红色的士 的个人主页 二级域名: http://红色的士.
首页 | 搜索 | 登陆 | 注册
校园网安全技术讲座
红色的士 2006-10-09 17:03 复制

校园网络的发展到今天,大多都已成为了Internet的一部分。Internet的不再免费使用,使校园网的安全性显得尤其重要。这里我主要就下面几个问题进行讨论:

¨ Internet为什么不安全

¨ 网络系统安全管理措施

¨ 网络安全工具

¨ 其他安全信息

一、 Internet为什么不安全

Internet本来就不安全, 因为最初的Internet建设者们不认为安全是问题。Internet在其早期是一个开放的为研究人员服务的网际网,是完全非赢利性的信息共享载体,所以,几乎所有的Internet协议都没有考虑安全机制。这点从Internet上最通用的应用FTP, Telnet和电子邮件中的用户口令的明文传输以及IP报文在子网段上的广播传递就充分地体现出来。只是近些年来, Internet的性质和使用人员的情况发生了很大的变化,使得Internet的安全问题显得越来越突出。随着Internet的全球普及和商业化,用户很多非常私人化,如信用卡号等和其自身利益相关的信息也通过Internet传输,而且越来越多的信息放在网上是为了赢利,而不是完全免费的信息共享,所以其安全性也成为人们日趋关注的问题。

Internet不安全的另一个因素是因为人们很容易从Internet上获得相关的核心技术资料,特别是有关Internet自身的技术资料,比如RFC, FAQ文档,各类应用程序原代码,如TCP/IP, Sendmail, FTP等, 还有各类安全工具的原代码也是公开免费的, 象颇有争议的SATAN,Crack等。这些资料拿出来共享其愿望是好的, 但也难免产生事与愿违的效果。

Internet不安全的另一个致命因素是使用者普遍缺乏安全意识,特别是那些对计算机和Internet技术不了解的用户。很少用户会去读RFC1244安全手册,或关注CERT安全组织提出的忠告。对大多数用户来说, 能管好自己的密码就万事大吉了,但又有多少用户愿意取一个不好记的密码呢? 方便性和安全性总是相互冲突,很难兼得的。

说来说去,Internet不安全归根到底还是因为人自己,我们只要看一看那越来越厚的防盗门就明白了。如今,Internet上也出现了比防盗门更复杂的防火墙(firewall)来防范那些不怀好意或那些只是为了逞能和好奇的的黑客们,还出现了各种各样的密钥(private key)或公钥(public key)来保护在网上传送的信息。

Internet不安全是一个不可回避的现实。下面让我们正视这个现实, 谈谈我们可以采取的安全措施。

二、 网络系统安全管理措施

网上大部分的攻击是针对网络上的服务器系统, 其中包括电子邮件, 匿名FTP, WWW, DNS, News等服务系统。 这些系统大都是运行在UNIX系统上的,其中有SUNSolaris, SCO UNIX, HPUX, SGIIRIX, IBMAIX, Linux等。系统之所以易受攻击,有各方面的因素。首先是这些系统知名度高,容易引起注意,其次,系统本身存在漏洞。我们一方面可采用一些防卫性措施; 另一方面, 网络系统管理员可以应用一些工具,来查找系统安全漏洞,或从网上截获报文进行分析。下面我们以SunSolaris为例, 来具体介绍可采用哪些安全防卫措施。

(一)安装系统补丁程序(Patch)

任何操作系统都有漏洞,作为网络系统管理员就有责任及时的将补丁(Patch)打上。SUN公司为了弥补他们的操作系统的安全漏洞,在他们的网站上及时的提供了大量的Patch, 这些Patch程序可以从各地的SUNSITE站点获取。这些Patches在北大FTP上的地址是:

ftp://ftp.pku.edu.cn/pub/Sun/sun-info/sun-patches

(二)采用最新版本的服务方软件

和操作系统一样,在服务器上运行的服务方软件也需要不断的更新,而且新版本的软件往往提供了更多更好的功能来保证服务器更有效更安全的运行。为了将安全漏洞降低到最小, 系统管理员必须及时更新服务方软件。下面给出几个目前最新版本的服务方软件:

*域名服务DNS软件 Bind-8.x

*匿名FTP软件: Wu-ftpd2.4.2-academ[BETA-18]

*镜像软件: Mirror-2.9

*Sendmail: Sendmail8.9.x

*News: INN2.1

*HTTPD: Apache_1.3.x

这些版本更新得非常快,大家可以跟踪他们的正式家目录来获得最新软件。

() 口令安全

口令可以说是系统的第一道防线,目前网上的大部分对系统的攻击都是从截获或猜测口令开始的,一旦黑客进入了系统,那么前面的防卫措施几乎就没有作用。所以对口令进行安全地管理可以说是系统管理员的重要职责。

目前大多数的Unix系统都将用户账号信息和加密口令分开存放,在 /etc/passwd文件中不在包含加密口令,而加密口令是存放在/etc/shadow 文件中,该文件只有超级用户(root)可读。在这里特别须注意的是一些系统帐号,如 uucp, ftp,news 等,一定不要给它们设置 /bin/sh,/bin/csh Shell 变量,可以在/etc/passwd 中将它们的Shell变量置空,或设为 /bin/ftponly 等。 /bin/ftponly 可以是一个简单的Shell程序,如下:

#/bin/sh

echo “ Sorry, ftp only allowed.”

exit 0

不要忘记在 /etc/shells 中加入 /bin/ftponly

(四)文件目录权限

特别要注意系统中那些所有这为rootSUID, SGID的文件,因为一旦有黑客进入你的系统,他可通过这些程序获得超级用户权限。目前Interenet上有不少工具软件可帮助你来检查权限,在下面我们会介绍。

(五) 限制网络用户对系统的访问

这种限制分两步:

1) 通过IP地址来限制, 这是通过安装TCP_Wrappers软件来实现的。

该软件可对系统进行telnet, ftp, rlogin, rsh, finger, talk等访问的IP进行了控制,比如你可以只允许网控中心内部的一些机器对服务器进行这些操作。

2) 超级用户口令, 只允许系统管理员知道,并要求定期修改。另外,不允许用户远程登陆来访问root, 这是在系统文件 /etc/default/login中缺省设置好的。

(六)关闭不必要的服务端口

通过修改 /etc/services /etc/inetd.conf文件, 将不需要的服务和服务端口关闭。

(七)定期对服务器进行备份

为了防止不能预料的系统故障, 或用户不小心的非法操作, 必须对系统进行了安全备份。除了对全系统进行每月一次的备份外, 还应对修改过的数据进行每周一次的备份。同时应该将修改过的重要的系统文件存放在不同的服务器上,以便在系统万一崩溃时(通常是硬盘出错), 可以及时地将系统恢复到最佳状态。

目前各类Unix系统都有功能很强的备份工具,如Solaris中的 ufsdump ufsrestore

(八)设置系统日志

通过运行系统日志程序, 系统会记录下所有用户使用系统的情形,包括最近登陆时间,输入过的每一条命令,磁盘空间和CPU占用情况。日志程序会定期生成报表,通过对报表进行分析,你可以知道是否有异常现象。 比如,如果你发现有某一帐号总是在半夜登陆,就要警惕了,也许该帐号已被盗用;如果某一系统帐号象uucp有人登陆或占用大量的CPU或磁盘,也要引起注意。

Solaris2.x中,通过运行 /etc/init.d/acct start|stop 来启动或停止系统日志的运行,所有的日志信息是放在/var/adm/acct目录下。

运行系统日志的主要缺点是要占用大量的磁盘空间。

(九)定期检查系统安全性.

这种检查是通过定期运行系统安全检测工具来实现的。通过这些工具,可以检查:

¨ 用户口令的安全性,包括口令的内容,格式,存活期等。

¨ 文件被访问权限的合法性,包括SUID文件存在与否,权限为777666 的文件或目录,系统文件一致性检查,用户家目录和启动文件的合法性检查等。

¨ 匿名FTP设置安全性检查。

¨ tftp, sendmail中的decode alias, inetd.conf中的隐含shells等的检查。

¨ NFS文件系统共享安全检查,包括 $HOME/.rhosts, /etc/hosts.equiv等的检查.

¨ CERT公布的安全漏洞的检查。

目前在Internet较流行的检测工具有:

¨ COPS(Computer Oracle and Password System): 是一个工具组,运行完后会产生一个结果报告。系统管理员需要对该报告进行分析, 对发现的漏洞进行弥补。

¨ SATAN( Security Administrator Tool for Analyzing Networks) : 是最通用的网络安全分析工具, 具有良好的用户界面。它具有HTML接口, 能以各种形式选择目标,可生成结果表格。发现漏洞时, 会立刻出现提示。SATAN可以扫描的漏洞主要包括以下几种: 匿名ftpd的脆弱性和可写的目录; NFS, NIS, RSH, Sendmail, X服务器的脆弱性等。

¨ Crack: 口令检查器。通过标准推测技术, 发现标准的UNIX 8字符DES加密口令。

¨ Shadow: 提供口令隐藏,支持16位密码,检查用户口令并提供相对强度,还可以记录失败登录企图。

¨ passwd+:另一个口令检查命令.它主要是在用户选择口令时对口令进行一系列的规则检查, 对不符合要求的口令强迫用户作出其他选择。

¨ Snoop Tcp-dump:可以对在网络上传输的包进行实时监控,在网络运行异常时很有用。SnoopSolaris2.x 的系统命令。

¨ Tripware: 文件系统检查程序,主要检查文件系统的使用和修改情况。

这些工具基本上都是Internet的免费软件,可以从相应的主页或匿名FTP站点上获取。也可以在北大FTP上获取, 具体目录是 /pub/cert/tools 下面我们介绍其中主要的几个工具。

  1. 网络安全工具

(一)COPS — 系统安全检测

COPSUnix系统进行安全检查。它的主要检测目标有以下几点:

  1. 文件,目录和设备文件的权限检查。

  2. 重要系统文件的内容,格式,和权限检查。

  3. 检查是否存在所有者为rootSUID 文件。

  4. 对重要系统二进制文件进行CRC校验和检查,看其是否被修改过。

  5. 对匿名FTP, Sendmail, tftp等网络应用进行检查。

值得一提的是,COPS只是监测工具,并不做实际的修复。

(二)Crack — 口令密码解破

Crack是最著名的Unix系统上破解UNIX口令的工具。 Crack 的工作原理很简单。我们知道加密口令是不会被解开的,这是因为加密算法是不可逆的。所以,一般的口令入侵是通过生成口令进行加密去匹配原口令密码,或直接从网上截获明文口令。Crack 程序中包含了几个很大的字典库,进行解破时它会按照一定的规则将字词进行组合,然后对之进行加密,再与要解破的加密口令匹配。所以 运行Crack通常要占用大量的CPU, 并要运行相当长的时间才结束。

目前最新的版本是Crack5.0Crack5.0的安装和使用比较简单,可执行下列几步:

    1. 修改Crack, 修改CC之类的参数。

    2. 执行 Crack –makeonly 生成可执行代码。

3.执行 Crack –makedict 生成字典。

4.执行 scripts/shadmrg.sv > passwd /etc/passwd /etc/shadow 文件合并。

5.执行Crack passwd 解破passwd中的口令。

6.执行 ./Reporter 查看解破结果。

() Sniffer—网路监听

Sniffer这个词是指黑客或其他人通过一些软件来截获在网络上传送的包。常用的工具有traceroute,snoop,Gobbler, tcp-dump, ethload, Netman, Sunsniff等。

防止sniffer 有两种办法,加密和分段。比如设置SSH(Secure Shell) 替换rlogin telnet, 这样可解决用户名和口令在网络上明文传输的问题。

所谓分段,是根据分段越多,网络信息可靠性越高的原则。因为IP报文只能在本子网段上广播。有些单位甚至直接将服务器和交换机联接来保证服务器的安全运行,但这样的做法开销太大,对较小的单位是不可行的。

(四)防火墙对付远程攻击

防火墙的共性是它们都有基于源地址基础上的区分或拒绝某些访问的能力。这里我们介绍几种其实只是具有防火墙功能的软件。目前使用较多的软件有下面两类:

¨ 数据包过滤工具:TCP_Wrappers, NetGate

¨ 应用代理和应用网关:Netscape Proxy, Socks, TIS-FWTK

前面我们已提到,TCP_Wrappers是通过IP地址来控制对服务器的访问,它的主要配置文件有两个:/etc/hosts.allow, /etc/hosts.deny。而 Netscape Proxy则可以根据用户帐号来进行访问控制和记帐。

(五)扫描器 Scanner

定义:自动检测远地或本地主机安全性的程序。

原理:扫描TCP端口,并记录反馈信息。

意义:发现网络的弱点,促使系统安全。

常见的工具有: host, traceroute, rusers, finger, showmountNSS(网络安全扫描器),Strobe(超级优化TCP端口检测程序)及SATAN等。

 

四、 其他安全信息

WWW站点:

http://www.alw.nih.gov/Security/security.html

http://www.raptor.com/library/library.html

http://www.cs.purdue.edu/coast/archive

http://www.first.org/ (FIRST)

http://www.defcon.org/ (DEFCON)

Newsgroups

alt.hackers ,alt.security ,alt.security.alarms

comp.os.ms-windows.nt.admin.security

comp.protocols.kerberos

comp.risks ,comp.security.announce

comp.security.firewalls ,comp.security.misc

comp.security.pgp

comp.security.unix ,comp.virus

参考书:

TCP/IP Network Administration

Practical UNIX Security

Essential System Administration

Building Internet Firewall(O’Reilly)

<<网络最高安全技术指南>>


阅读全文(2041) | 回复(0) | 推送

欢迎到 红色的士 的个人主页看更多内容

 共0条回复



 

Powered by BLOG 教师博客 Code © 2006-08 Design by http://blog.yxzkxx.net
Time 0.026585 second(s),query:6 Gzip enabled