基本安全性 家庭和小型企業(yè)網絡 第八章 目標 識別和描述各種網絡威脅識別各種攻擊方式描述安全規(guī)程和應用程序描述防火墻的特點 以及如何應用防火墻來防范攻擊 內容索引 8 1網絡威脅8 2攻擊方式8 3安全策略8 4使用防火墻 8 1 1網絡入侵者 計算機網絡中 不速之客的入侵可能導致代價高昂的網絡中斷和工作成果的丟失 針對網絡的攻擊有時具有相當?shù)钠茐男?可能造成重要信息或資產的損壞或失竊 導致時間上和金錢上的損失 入侵者可通過軟件漏洞 硬件攻擊甚至一些科技含量很低的方法 例如猜測某人的用戶名和密碼 來獲得對網絡的訪問權 通過修改或利用軟件漏洞來獲取訪問權的入侵者通常被稱為黑客 8 1 1網絡入侵者 一旦黑客取得網絡的訪問權 就可能給網絡帶來以下四種威脅 信息盜竊 身份盜竊 數(shù)據丟失 操縱 服務中斷 8 1 1網絡入侵者 參見電子版教材練習8 1 1 2 8 1 2網絡入侵者的來源 網絡入侵者造成的安全威脅可能來自網絡內部和外部兩個源頭 外部威脅是由組織外部活動的個人引起的 他們沒有訪問組織計算機系統(tǒng)或網絡的權限 外部攻擊者主要通過Internet 無線鏈接或撥號訪問服務器進入網絡 8 1 2網絡入侵者的來源 內部威脅是由具備授權用戶帳戶的個人 或能夠實際接觸網絡設備的人員導致的 內部攻擊者了解內部的政策和人員 他們往往清楚的知道 什么信息有價值而且易受攻擊 以及怎么獲得該信息 然而 并不是所有內部攻擊都是故意的 在某些情況下 一個受信任的員工在公司外部工作時可能會感染上病毒或安全威脅 然后在不知情的情況下將它帶到內部網絡中 從而造成內部威脅 許多公司都在防御外部攻擊上花費了大量資源 但大多數(shù)威脅其實來自內部 據FBI調查顯示 在報告的安全入侵事件中 約有70 都是因內部訪問和計算機系統(tǒng)帳戶使用不當造成的 8 1 3社會和網絡釣魚 對于內外兩個源頭的入侵者而言 要想獲得訪問權 最簡單的一種方法就是利用人類行為的弱點 常見方法之一便是 社會工程 SocialEngineering 社會工程中最常用的三種技術有 假托 網絡釣魚和語音網絡釣魚 8 1 3社會和網絡釣魚 假托 Pretexting 是一種社會工程方式 攻擊者會對受害人編造虛假情景 假托 以使受害人泄漏信息或執(zhí)行某種操作 通常是通過電話聯(lián)系攻擊目標 要使假托起作用 攻擊者必須能夠與目標人員或受害人建立合理聯(lián)系 為此 攻擊者一般需要預先進行一些了解或研究 例如 如果攻擊者知道攻擊目標的社會保險號碼 他們就會使用該信息來獲取攻擊目標的信任 那么攻擊目標便很有可能進一步泄漏信息 8 1 3社會和網絡釣魚 網絡釣魚是一種社會工程方式 網絡釣魚者將自己偽裝為外部機構的合法人員 他們通常通過電子郵件聯(lián)系攻擊目標個人 網絡釣魚受害者 網絡釣魚者可能會聲稱 為了避免某些糟糕的后果 要求攻擊目標提供確認信息 例如密碼或用戶名 8 1 3社會和網絡釣魚 語音網絡釣魚 電話網絡釣魚一種使用IP語音 VoIP 的新式社會工程被稱為 語音網絡釣魚 vishing 在語音網絡釣魚攻擊中 用戶會收到一封語音郵件 郵件中指示他們撥打一個看上去像是正規(guī)電話銀行服務的電話號碼 隨后 沒有設防的用戶撥打該號碼時 通話會被竊賊截聽 為了進行確認而通過電話輸入的銀行帳戶號碼或密碼便被攻擊者竊取 8 2 1病毒 蠕蟲和特洛伊木馬 其它類型的攻擊 借助計算機軟件的漏洞來執(zhí)行 此類攻擊技術包括 病毒 蠕蟲和特洛伊木馬 所有這些都是侵入主機的惡意軟件 它們會損壞系統(tǒng) 破壞數(shù)據以及拒絕對網絡 系統(tǒng)或服務的訪問 它們還可將數(shù)據和個人詳細信息從沒有設防的PC用戶轉發(fā)到犯罪者手中 在許多情況下 它們會自身復制 然后傳播至連接到該網絡的其它主機 8 2 1病毒 蠕蟲和特洛伊木馬 病毒是通過修改其它程序或文件來運行和傳播的一種程序 病毒無法自行啟動 而需要受到激活 有的病毒一旦激活 便會迅速自我復制并四處傳播 但不會執(zhí)行其它操作 這類病毒雖然很簡單 但仍然非常危險 因為它們會迅速占用所有可用內存 導致系統(tǒng)停機 編寫的更為惡毒的病毒可能會在傳播前刪除或破壞特定的文件 病毒可通過電子郵件附件 下載的文件 即時消息或磁盤 CD或USB設備傳輸 參見電子版教材動畫8 2 1 2 8 2 1病毒 蠕蟲和特洛伊木馬 蠕蟲類似于病毒 與病毒不同的是它無需將自身附加到現(xiàn)有的程序中 蠕蟲使用網絡將自己的副本發(fā)送到任何所連接的主機中 蠕蟲可獨立運行并迅速傳播 它并不一定需要激活或人類干預才會發(fā)作 自我傳播的網絡蠕蟲所造成的影響可能比單個病毒更為嚴重 而且可迅速造成Internet大面積感染 特洛伊木馬是一種非自體復制型程序 它以合法程序的面貌出現(xiàn) 但實質上卻是一種攻擊工具 特洛伊木馬依賴于其合法的外表來欺騙受害人啟動該程序 它的危害性可能相對較低 但也可能包含可損壞計算機硬盤內容的代碼 特洛伊木馬還可為系統(tǒng)創(chuàng)建后門 從而使黑客獲得訪問權 8 2 1拒絕服務和暴力攻擊 拒絕服務 DoS DoS攻擊是針對單個計算機或一組計算機執(zhí)行的一種侵略性攻擊 目的是拒絕為特定用戶提供服務 DoS攻擊可針對最終用戶系統(tǒng) 服務器 路由器和網絡鏈接發(fā)起 兩種常見的DoS攻擊為 SYN 并發(fā) 洪水攻擊 向服務器發(fā)送大量請求客戶端連接的數(shù)據包 這些數(shù)據包中包含無效的源IP地址 服務器會因為試圖響應這些虛假請求而變得極為忙碌 導致無法響應合法請求 死亡之ping 向設備發(fā)送超過IP所允許的最大大小 65 535字節(jié) 的數(shù)據包 這可導致接收系統(tǒng)崩潰 8 2 1拒絕服務和暴力攻擊 8 2 1拒絕服務和暴力攻擊 分布式拒絕服務 DDoS DDoS的運行規(guī)模遠比DoS攻擊更大 通常會有成百上千個攻擊點試圖同時淹沒攻擊目標 攻擊點可能是之前感染了DDoS代碼的沒有設防的計算機 感染DDoS代碼的系統(tǒng)會在被調用時攻擊目標站點 暴力攻擊攻擊者使用運行速度很快的計算機來嘗試猜測密碼或破解加密密鑰 攻擊者會在短時間內嘗試大量可能的密碼來獲取訪問權限或破譯密鑰 暴力攻擊可引起針對特定資源的通信量過大或用戶帳戶鎖定 從而導致拒絕服務 參見電子版教材動畫8 2 2 2 8 2 3間諜軟件 跟蹤Cookie 廣告軟件和彈出廣告 許多威脅的目的是收集用戶的相關信息以用于廣告 盡管它們可能不會損壞計算機 但仍會侵犯隱私 而且非常招人反感 間諜軟件是一種程序 用于在未得到用戶認可或用戶不知情的情況下從計算機中收集個人信息 然后 這些個人信息會發(fā)送至Internet上的廣告商或第三方 其中可能包含密碼和帳戶號碼 間諜軟件通常是在下載文件 安裝其它程序或單擊彈出廣告時暗中安裝 它會降低計算機速度 更改內部設置 導致更多的漏洞暴露給其它威脅 此外 間諜軟件也難以刪除 跟蹤Cookie Cookie是間諜軟件的一種形式 但也有一些Cookie起到積極的作用 Cookie用于在Internet用戶訪問網站時記錄用戶的信息 由于它允許個性化定制以及其它一些節(jié)省時間的方法 所以可能相當有用并受人歡迎 許多網站都要求用戶啟用cookie后才能進行連接 8 2 3間諜軟件 跟蹤Cookie 廣告軟件和彈出廣告 廣告軟件是另一種形式的間諜軟件 它通過用戶訪問的網站收集用戶信息 這些信息之后會被利用進行針對性的廣告宣傳 彈出廣告和背投廣告是用戶在瀏覽網站時顯示的附加廣告宣傳窗口 與廣告軟件不同 彈出廣告和背投廣告并不收集關于用戶的信息 而且通常只與所訪問的網站關聯(lián) 彈出廣告 在當前瀏覽器窗口的前端打開 背投廣告 在當前瀏覽器窗口的后端打開 8 2 3間諜軟件 跟蹤Cookie 廣告軟件和彈出廣告 8 2 4垃圾郵件 垃圾郵件是非常嚴重的網絡威脅 可導致ISP 電子郵件服務器和最終用戶系統(tǒng)不堪重負 垃圾郵件發(fā)送者通常利用未受安全保護的電子郵件服務器來轉發(fā)電子郵件 垃圾郵件發(fā)送者可能使用黑客技術 例如病毒 蠕蟲和特洛伊木馬 來控制家用計算機 受控的這些計算機就會被用來在主人毫不知情的情況下發(fā)送垃圾郵件 垃圾郵件可通過電子郵件發(fā)送 如今它們還可通過即時消息軟件發(fā)送 據估計 Internet上的每個用戶每年收到的垃圾電子郵件超過3 000封 垃圾郵件消耗了大量的Internet帶寬 此問題的嚴重性已引起了許多國家的重視 各國紛紛出臺法律管制垃圾郵件的使用 參見電子版教材動畫8 2 4 1 8 3 1常用安全措施 安全風險無法徹底消除或預防 但有效的風險管理和評估可顯著減少現(xiàn)有的安全風險 要將風險降至最低 人們必須認識到一點 沒有任何一件產品可為組織提供絕對的安全保護 要獲得真正的網絡安全 需要結合應用多種產品和服務 制定徹底的安全策略并嚴格實施該策略 安全策略 標識和身份驗證策略密碼策略合理使用規(guī)定遠程訪問策略網絡維護程序事件處理程序 參見電子版教材動畫8 3 1 1 8 3 1常用安全措施 安全策略通過安全規(guī)程實施 這些規(guī)程定義了主機和網絡設備的配置 登錄 審計和維護過程 其中包括使用預防性措施來降低風險 以及采用主動措施來處理已知安全威脅 可保護網絡安全的一些安全工具和應用程序有 軟件補丁和更新病毒防護間諜軟件防護垃圾郵件攔截器彈出廣告攔截器防火墻 參見電子版教材動畫8 3 1 2 8 3 2更新和補丁 黑客用來獲取主機和 或 網絡訪問權的最常見方法之一便是利用軟件漏洞 因而及時對軟件應用程序應用最新安全補丁和更新以阻止威脅極為重要 補丁是修復特定問題的一小段代碼 更新則可能包含要添加到軟件包中的附加功能以及針對特定問題的補丁 操作系統(tǒng) 例如Linux Windows等 和應用程序廠商會不斷提供更新和安全補丁 以更正軟件中已知的漏洞 此外 廠商通常還會發(fā)布補丁和更新的集合 稱為服務包 值得慶幸的是 許多操作系統(tǒng)都具有自動更新功能 可在主機上自動下載和安裝操作系統(tǒng)與應用程序更新 8 3 3防病毒軟件 檢測病毒 即使操作系統(tǒng)和應用程序應用了所有最新的補丁和更新 仍然容易遭到攻擊 任何連接到網絡的設備都可能會感染上病毒 蠕蟲和特洛伊木馬 這些攻擊可損壞操作系統(tǒng)代碼 影響計算機性能 更改應用程序和毀壞數(shù)據 感染病毒 蠕蟲或特洛伊木馬后 可能出現(xiàn)的癥狀有 計算機行為開始變得不正常 程序不響應鼠標和擊鍵 程序自行啟動或關閉 電子郵件程序開始外發(fā)大量電子郵件 CPU使用率非常高 有不認識的 或大量進程運行 計算機速度顯著下降或崩潰 8 3 3防病毒軟件 防病毒軟件可用作預防工具和反應工具 它可預防感染 并能檢測和刪除病毒 蠕蟲和特洛伊木馬 連接到網絡的所有計算機都應安裝防病毒軟件 市面上存在許多防病毒程序 防病毒程序可具有以下功能 電子郵件檢查 掃描傳入和傳出電子郵件 識別可疑的附件 駐留內容動態(tài)掃描 在訪問可執(zhí)行文件和文檔時對它們進行檢查 計劃掃描 可根據計劃按固定的間隔運行病毒掃描以及檢查特定的驅動器或整個計算機 自動更新 檢查和下載已知的病毒特征碼和樣式 并可設為定期檢查更新 8 3 4反垃圾郵件 垃圾郵件不僅惹人討厭 還可能造成電子郵件服務器過載 有時還攜帶有病毒和其它安全威脅 垃圾郵件發(fā)送者還可以通過在主機上植入病毒或特洛伊木馬代碼來控制主機 讓受控主機在用戶毫不知情的情況下發(fā)送垃圾郵件 受到這種形式感染的計算機稱為 垃圾郵件工廠 反垃圾郵件軟件可識別垃圾郵件并執(zhí)行相應操作 例如將其放置到垃圾郵件文件夾或刪除 從而為主機提供保護 此類軟件可在機器本地加載 也可在電子郵件服務器上加載 此外 許多ISP也提供垃圾郵件過濾器 反垃圾郵件軟件無法識別所有的垃圾郵件 因此打開電子郵件時仍須非常謹慎 有時候 有用的電子郵件也會被錯誤地當作垃圾郵件處理了 參見電子版教材動畫8 3 4 1 除了使用垃圾郵件攔截器以外 還可使用其它預防措施來防止垃圾郵件傳播 這些措施包括 及時應用現(xiàn)有的操作系統(tǒng)和應用程序更新 定期運行防病毒程序 并始終保持最新版本 不要轉發(fā)可疑的電子郵件 不要打開電子郵件附件 尤其是來自陌生人的郵件附件 設置電子郵件規(guī)則 刪除繞過反垃圾郵件軟件的垃圾郵件 標識垃圾郵件來源 并將其報告給網絡管理員以便阻隔該來源 將事件報告給處理垃圾郵件濫用的政府機構 8 3 4反垃圾郵件 8 3 5反間諜軟件 反間諜軟件和廣告軟件間諜軟件和廣告軟件也會導致類似病毒的癥狀 除了收集未經授權的信息外 它們還會占用重要的計算機資源并影響性能 反間諜軟件可檢測和刪除間諜軟件應用程序 并防止這些程序將來再度安裝 許多反間諜軟件應用程序還包括cookie及廣告軟件的檢測和刪除功能 某些防病毒軟件包具有反間諜軟件功能 彈出廣告攔截器可安裝彈出廣告攔截器軟件來阻止彈出廣告和背投廣告 許多Web瀏覽器默認包含彈出廣告攔截器的功能 請注意 某些程序和網頁會生成必要和有用的彈出窗口 因此 大多數(shù)彈出廣告攔截器都具有忽略功能 即允許某些彈出窗口 8 4 1什么是防火墻 防火墻是保護內部網絡用戶遠離外部威脅的最為有效的安全工具之一 防火墻駐留在兩個或多個網絡之間 控制其間的通信量并幫助阻止未授權的訪問 數(shù)據包過濾 根據IP或MAC地址阻止或允許訪問 應用程序 網站過濾 根據應用程序來阻止或允許訪問 網站阻隔則通過指定網站URL地址或關鍵字來實現(xiàn) 狀態(tài)封包偵測 SPI 傳入數(shù)據包必須是對內部主機所發(fā)出請求的合法響應 除非得到特別允許 否則未經請求的數(shù)據包會被阻隔 狀態(tài)封包偵測還可具有識別和過濾特定類型攻擊 例如DoS 的能力 8 4 1什么是防火墻 防火墻可支持一個或多個此類過濾功能 此外 防火墻通常會執(zhí)行網絡地址轉換 NAT 網絡地址轉換將一個內部地址或一組地址轉換為一個公開的外部地址 該地址會通過網絡傳送 從而實現(xiàn)了對外部用戶隱藏內部IP地址的目的 8 4 1什么是防火墻 防火墻產品具有各種形式 基于設備的防火墻 此類防火墻內置在專用的硬件設備 稱為安全設備 中 基于服務器的防火墻 此類防火墻是在網絡操作系統(tǒng) NOS 例如UNIX Windows或Novell 上運行的防火墻應用程序 集成防火墻 此類防火墻通過對現(xiàn)有設備 例如路由器 添加防火墻功能來實現(xiàn) 個人防火墻 此類防火墻駐留在主機計算機中 不能用于LAN實施 它可以由操作系統(tǒng)默認提供 也可以由外部廠商提供安裝 8 4 2使用防火墻 通過在內部網絡 內部網 和Internet之間設置防火墻作為邊界設備 所有往來Internet的通信量都會被監(jiān)視和控制 如此一來 便在內部和外部網絡之間劃分了一條清晰的防御界線 然而 可能會有一些外部客戶需要訪問內部資源 為此 可配置一個非軍事區(qū) DMZ 術語 非軍事區(qū) 借用自軍事用語 它代表兩股勢力之間的一個指定區(qū)域 在該區(qū)域內不允許執(zhí)行任何軍事活動 在計算機網絡中 非軍事區(qū)代表內部和外部用戶都可訪問的網絡區(qū)域 其安全性高于外部網絡 低于內部網絡 它是由一個或多個防火墻創(chuàng)建的 這些防火墻起到分隔內部 非軍事區(qū)和外部網絡的作用 用于公開訪問的Web服務器通常位于非軍事區(qū)中 參見電子版教材動畫8 4 2 1 8 4 2使用防火墻 單防火墻配置單個防火墻包含三個區(qū)域 分別用于外部網絡 內部網絡和非軍事區(qū) 來自外部網絡的所有通信量都被發(fā)送到防火墻 然后防火墻會監(jiān)控通信量 決定哪些通信量應傳送到非軍事區(qū) 哪些應