黑客攻击企业信息系统的手段
企业网络安全的核心是企业信息的安全。为防止非法用户利用网络系统的安全缺陷进行数据的窃取、伪造和破坏,必须建立企业网络信息系统的安全服务体系。关于计算机信息系统安全性的定义到目前为止还没有统一,国际标准化组织(ISO)的定义为:“为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露”。计算机安全包括物理安全和逻辑安全,其中物理安全指系统设备及相关设施的物理保护以免于被破坏和丢失,逻辑安全是指信息的可用性、完整性和保密性三要素。 信息安全的隐患存在于信息的共享和传递过程中。目前,浏览器/服务器技术已广泛应用于企业网络信息系统中,而其基础协议就存在着不少的安全漏洞。 一种基本的安全系统——网络安全系统,也称为防火墙系统,可以设置在公用网络系统和企业内部网络之间,或者设置在内部网络的不同网段之间,用以保护企业的核心秘密并抵御外来非法攻击。随着企业网上业务的不断扩大和电子商务的发展,对网络的安全服务提出了新的要求。像用户认证、信息的加密存贮、信息的加密传输、信息的不可否认性、信息的不可修改性等要求,要用密码技术、数字签名、数字邮戳、数字凭证和认证中心等技术和手段构成安全电子商务体系。
黑客攻击企业信息系统的手段
2.1 TCP/IP协议存在安全漏洞
目前使用最广泛的网络协议是TCP/IP协议,而TCP/IP协议恰恰存在安全漏洞。如IP层协议就有许多安全缺陷。IP地址可以软件设置,这就造成了地址假冒和地址欺骗两类安全隐患;IP协议支持源路由方式,即源点可以指定信息包传送到目的节点的中间路由,这就提供了源路由攻击的条件。再如应用层协议Telnet、FTP、SMTP等协议缺乏认证和保密措施,这就为否认、拒绝等欺瞒行为开了方便之门。 对运行TCP/IP 协议的网络系统,存在着如下五种类型的威胁和攻击:欺骗攻击、否认服务、拒绝服务、数据截取和数据纂改。
2.2 黑客攻击网络信息系统的手段
黑客攻击的目标不相同,有的黑客注意焦点是美国国防部五角大楼,有的关心是安全局、银行或者重要企业的信息中心,但他们采用的攻击方式和手段却有一定的共同性。一般黑客的攻击大体有如下三个步骤:
信息收集→对系统的安全弱点探测与分析→实施攻击。
tcp ip协议的安全隐患2.2.1 信息收集
信息收集的目的是为了进入所要攻击的目标网络的数据库。黑客会利用下列的公开协议或工具,收集驻留在网络系统中的各个主机系统的
相关信息。
·SNMP协议 用来查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其内部细节。
·TraceRoute程序 能够用该程序获得到达目标主机所要经过的网络数和路由器数。
·Whois协议 该协议的服务信息能提供所有有关的DNS域和相关的管理参数。
·DNS服务器 该服务器提供了系统中可以访问的主机的IP地址表和它们所对应的主机名。
·Finger协议 可以用Finger来获取一个指定主 机上的所有用户的详细信息(如用户注册名、电话号码、最后注册时间以及他们有没有读邮件等等)。
·Ping实用程序 可以用来确定一个指定的主机的位置。
·自动Wardialing软件 可以向目标站点一次连续拨出大批电话号码,直到遇到某一正确的号码使其MODEM响应。
2.2.2 系统安全弱点的探测
在收集到攻击目标的一批网络信息之后,黑客会探测网络上的每台主机,以寻求该系统的安全漏洞或安全弱点,黑客可能使用下列方式自动扫描驻留网络上的主机。
·自编程序 对某些产品或者系统,已经发现了一些安全漏洞,该产品或系统的厂商或组织会提供一些“补丁”程序给予弥补。但是用户并不一定及时使用这些“补丁”程序。黑客发现这些“补丁”程序的接口后会自己编写程序,通过该接口进入目标系统,这时该目标系统对于黑客来讲就变得一览无余了。
·利用公开的工具 象Internet的电子安全扫描程序IIS(Internet Security Scanner)、审计网络用的安全分析工具SATAN(Security Analysis Tool for Auditing Network)等这样的工具,可以对整个网络或子网进行扫描,寻安全漏洞。这些工具有两面性,就看是什么人在使用它们。系统管理员可以使用它们,以帮助发现其管理的网络系统内部隐藏的安全漏洞,从而确定系统中那些主机需要用“补丁”程序去堵塞漏洞。而黑客也可以利用这些工具,收集目标系统的信息,获取攻击目标系统的非法访问权。
2.2.3 网络攻击
黑客使用上述方法,收集或探测到一些“有用”信息之后,就可能会对目标系统实施攻击。黑客一旦获得了对攻击的目标系统的访问权后,又可能有下述多种选择:
·该黑客可能试图毁掉攻击入侵的痕迹,并在受到损害的系统上建
立另外的新的安全漏洞或后门,以便在先前的攻击点被发现之后,继续访问这个系统。
·该黑客可能在目标系统中安装探测器软件,包括特洛伊木马程序,用来窥探所在系统的活动,收集黑客感兴趣的一切信息,如Telnet 和FTP的帐号名和口令等等。
·该黑客可能进一步发现受损系统在网络中的信任等级,这样黑客就可以通过该系统信任级展开对整个系统的攻击。
·如果该黑客在这台受损系统上获得了特许访问权,那么它就可以读取邮件,搜索和盗窃私人文件,毁坏重要数据,破坏整个系统的信息,造成不堪设想的后果。
防火墙的基本思想
如果网络在没有防火墙的环境中,网络安全性完全依赖主系统的安全性。在一定意义上,所有主系统必须通力协作来实现均匀一致的高级安全性。子网越大,把所有主系统保持在相同的安全性水平上的可管理能力就越小,随着安全性的失策和失误越来越普遍,入侵就时有发生。防火墙有助于提高主系统总体安全性。 防火墙的基本思想——不是对每台主机系统进行保护,而是让所有对系统的访问通过某一点,并且保护这一点,并尽可能地对外界屏蔽保护网络的信息和结构。它是设置在可信任的内部网络和不可信任的外界之间的一道屏障,它可以实施比较广泛的安全政策来控制信息流,防止不可预料的潜在的入
侵破坏。 防火墙系统可以是路由器,也可以是个人机、主系统或者是一批主系统,专门用于把网点或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。 防火墙可以从通信协议的各个层次以及应用中获取、存储并管理相关的信息,以便实施系统的访问安全决策控制。 防火墙的技术已经经历了三个阶段,即包过滤技术、代理技术和状态监视技术。
包过滤技术
包过滤防火墙的安全性是基于对包的IP地址的校验。在Internet 上,所有信息都是以包的形式传输的,信息包中包含发送方的IP地址和接收方的IP地址。包过滤防火墙将所有通过的信息包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出,并按照预先设定的过滤原则过滤信息包。那些不符合规定的IP地址的信息包会被防火墙过滤掉,以保证网络系统的安全。这是一种基于网络层的安全技术,对于应用层的黑客行为是无能为力的。
代理技术
代理服务器接收客户请求后会检查验证其合法性,如其合法,代理服务器象一台客户机一样取回所需的信息再转发给客户。它将内部系统
与外界隔离开来,从外面只能看到代理服务器而看不到任何内部资源。代理服务器只允许有代理的服务
通过,而其他所有服务都完全被封锁住。这一点对系统安全是很重要的,只有那些被认为“可信赖的”服务才允许通过防火墙。另外代理服务还可以过滤协议,如可以过滤FTP连接,拒绝使用FTP put(放置)命令,以保证用户不能将文件写到匿名服务器。 代理服务具有信息隐蔽、保证有效的认证和登录、简化了过滤规则等优点。 网络地址转换服务(NAT Network Address Translation)可以屏蔽内部网络的IP地址,使网络结构对外部来讲是不可见的。
状态监视技术
这是第三代网络安全技术。状态监视服务的监视模块在不影响网络安全正常工作的前提下,采用抽取相关数据的方法对网络通信的各个层次实行监测,并作安全决策的依据。监视模块支持多种网络协议和应用协议,可以方便地实现应用和服务的扩充。状态监视服务可以监视RPC(远程过程调用)和UDP(用户数据报)端口信息,而包过滤和代理服务则都无法做到。
防火墙的类型
4.1 按实现的网络层次分
Internet采用TCP/IP协议,设置在不同网络层次上的电子屏障构成了不同类型的防火墙:
包过滤型防火墙(Packet Firewall)、电路网关(Circuit Gateway)和应用网关(Application Gateway)。
安全策略是防火墙的灵魂和基础。在建立防火墙之前要在安全现状、风险评估和商业需求的基础上提出一个完备的总体安全策略,这是配制防火墙的关键。 安全策略可以按如下两个逻辑来制订:·准许访问除明确拒绝以外的全部访问——所有未被禁止的都允许访问。
·拒绝访问除明确准许的全部访问——所有未被允许的都禁止访问。
可以看出后一逻辑限制性大,前一逻辑比较宽松。
4.1.1 包过滤防火墙
(1)包过滤防火墙实施步骤
包过滤防火墙是基于路由器来实现的。它利用数据包的头信息(源IP 地址、封装协议、端口号等)判定与过滤规则相匹配与否来决定舍取。建立这类防火墙需按如下步骤去做。
·建立安全策略——写出所允许的和禁止的任务;
·将安全策略转化为数据包分组字段的逻辑表达式;
·用供货商提供的句法重写逻辑表达式并设置之。
(2)包过滤防火墙针对典型攻击的过滤规则
包过滤防火墙主要是防止外来攻击,其过滤规则大体有:
·对付源IP地址欺骗式攻击(Source IP Address Spoofing Attacks) 对入侵者假冒内部主机,从外部传输一个源IP地址为内部网络IP地址的数据包的这类攻击,防火墙只需把来自外部端口的使用内部源地址的数据包统统丢弃掉。
·对付源路由攻击(Source Rowing Attacks) 源站点指定了数据包在Internet中的传递路线,以躲过安全检查,使数据包循着一条不可预料的路径到达目的地。对付这类攻击,防火墙应丢弃所有包含源路由选项的数据包。
·对付残片攻击(Tiny Fragment Attacks) 入侵者使用TCP/IP数据包的分段特性,创建极小的分段并强行将TCP头信息分成多个数据包,以绕过用户防火墙的过滤规则。黑客期望防火墙只检查第一个分段而允许其余的分段通过。对付这类攻击,防火墙只需将TCP/IP协议片断位移植(Fragment Offset)为1的数据包全部丢弃即可。
(3)包过滤防火墙的优缺点
包过滤防火墙的优点是简单、透明,其缺点是:
·该防火墙需从建立安全策略和过滤规则集入手,需要花费大量的时间和人力,还要不断根据新情况不断更新过滤规则集。同时,规则集的复杂性又没有测试工具来检验其正确性,难免仍会出现漏洞,给黑客以可乘之机。
·对于采用动态分配端口的服务,如很多RPC(远程过程调用)服务相关联的服务器在系统启动时随机分配端口的,就很难进行有效地过滤。
·包过滤防火墙只按规则丢弃数据包而不作记录和报告,没有日志功能,没有审计性。同时它不能识别相同IP地址的不同用户,不具备用户身份认证功能,不具备检测通过高层协议(如应用层)实现的安全攻击的能力。
包过滤防火墙是保护网络安全的必不可少的重要工具,更重要的是要理解这些问题并着手解决。
4.1.2电路级网关
电路级网关又称线路级网关,它工作在会话层。它在两个主机首次建立TCP连接时创立一个电子屏障。它作为服务器接收外来请求,转发请求;与被保护的主机连接时则担当客户机角、起代理服务的作用。它监视两主机建立连接时的握手信息,如Syn、Ack和序列数据等是否合乎逻辑,判定该会话请求是否合法。一旦会话连接有效后网关仅复制、传递数据,而不进行过滤。电路网关中特殊的客户程序只在初次连接时
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论