第12章 其它 nternet应用的安全性分析 网络安全与管理
网络安全与管理 1 第12章 其它Internet应用的安全性分析
本章学习目标 Telnet的安全漏洞与 防范措施 DNS和NFS的安全特 性 网络安全与管理
网络安全与管理 2 本章学习目标 ◼ Telnet的安全漏洞与 防范措施 ◼ DNS和NFS的安全特 性
第12章目录 12.1文件传输服务FTP的安全性 ■12.2远程登录服务 Telnet的安全性分析 123DNS的安全性分析 124NFS的安全性分析 网络安全与管理
网络安全与管理 3 第12章目录 ◼ 12.1 文件传输服务FTP的安全性 ◼ 12.2 远程登录服务Telnet的安全性分析 ◼ 12.3 DNS的安全性分析 ◼ 12.4 NFS的安全性分析
12.1文件传输服务FTP的安全 性 ■12.1.1FTP的工作原理 ■12.1.2FTP的安全漏洞及其防范措施 网络安全与管理
网络安全与管理 4 12.1 文件传输服务FTP的安全 性 ◼ 12.1.1 FTP的工作原理 ◼ 12.1.2 FTP的安全漏洞及其防范措施
12.1.1FTP的工作原理 ■FTP的连接模式 ■匿名FP 网络安全与管理 5
网络安全与管理 5 12.1.1 FTP的工作原理 ◼ FTP的连接模式 ◼ 匿名FTP
FTP的连接模式 FTP支持两种连接模式 主动方式 Standard(也就是 Active) Standard模式,FP的客户端发送PORT 命令到FTP的服务器端 >被动方式Pase(也就是PASV) Passive模式,FTP的客户端发送PASV命 令到FTP的服务器端 网络安全与管理 6
网络安全与管理 6 FTP的连接模式 FTP支持两种连接模式 ➢ 主动方式 Standard (也就是 Active) Standard模式 ,FTP的客户端发送 PORT 命令到FTP的服务器端 ➢ 被动方式 Passive (也就是PASV) Passive模式,FTP的客户端发送 PASV命 令到FTP的服务器端
匿名FTP ■访问匿名FTP ■提高匿名FTP安全性的方法 (1)检查系统上FTP服务的所有缺省配 置情况 (2)检查文件访问权限和可写目录 网络安全与管理
网络安全与管理 7 匿名FTP ◼ 访问匿名FTP ◼ 提高匿名FTP安全性的方法 (1)检查系统上FTP服务的所有缺省配 置情况 (2)检查文件访问权限和可写目录
12.1.2FTP的安全漏洞及其防 范措施 保护密码( Protecting Passwords) ■访问控制( Restricted access) 端口盜用( Port Stealing) 保护用户名( User names) 私密性( Privacy) 网络安全与管理
网络安全与管理 8 12.1.2 FTP的安全漏洞及其防 范措施 ◼ 保护密码(Protecting Passwords) ◼ 访问控制(Restricted Access) ◼ 端口盗用(Port Stealing) ◼ 保护用户名(User names) ◼ 私密性(Privacy)
保护密码 ( Protecting Passwords) 漏洞: 第一,在FTP标准[PR85]中,FTP服务器允许无限次输入密码。 第二,“PASS"命令以明文传送密码 攻击: 强力攻击有两种表现: (1)在同一连接上直接强力攻击 (2)和服务器建立多个、并行的连接进行强力攻击 防范措施 对第种中强h婺卖;:服务嚣度限制蒙试输公正确早含的次数:隻咨 以发送返回信息码421(“服务不可用,关闭控制连接” 另外,服务 器在相应无效的“PASS°命令之前应暂停几秒来消减强力攻击的有效性。 对第二种强力攻击,服务器可以限制控制连接的最大数目,或探耷会话 中的可疑行为并在以后拒绝该站点的连接请求。密码的明文传播问题可 以用FTP扩展中防止窃听的认证机制解决 网络安全与管理
网络安全与管理 9 保护密码 (Protecting Passwords) ◼ 漏洞: ➢ 第一,在FTP标准[PR85]中,FTP服务器允许无限次输入密码。 ➢ 第二,“PASS”命令以明文传送密码 ◼ 攻击: 强力攻击有两种表现: ➢ (1)在同一连接上直接强力攻击 ➢ (2)和服务器建立多个、并行的连接进行强力攻击 ◼ 防范措施 : ➢ 对第一种中强力攻击,服务器应限制尝试输入正确口令的次数。在几次 尝试失败后,服务器应关闭和客户的控制连接。在关闭之前,服务器可 以发送返回信息码421(“服务不可用,关闭控制连接”)。另外,服务 器在相应无效的“PASS”命令之前应暂停几秒来消减强力攻击的有效性。 ➢ 对第二种强力攻击,服务器可以限制控制连接的最大数目,或探查会话 中的可疑行为并在以后拒绝该站点的连接请求。 密码的明文传播问题可 以用FTP扩展中防止窃听的认证机制解决
访问控制( Restricted access) 漏洞: 从安全角度出发,对一些FTP服务器来说,基于网络地址的访问 控制是非常重要的。例如,服务器可能希望限制或允许来自某些 网络地址的用戶对某些文件的访问,杏则可能会发生信息泄漏。 另外,客户端也需要知道所进行的连接是否是与它所期望的服务 器建立的、有时攻击者会利用这样的情况,将控制连接是在可信 在的主机之 ■防范措施: 在建立连接前,双方需要同时认证远端主机的控制连接,数据连 接的网络地址是否可信。 遗留问题 基于网络地址的访问控制可以起一定作用,但还可能受到“地址 盗用( spoof)攻击。在spoo攻击中,攻击机器可以冒用在组织内 的机器的网络地址,从而将文件下载到在组织之外的未授权的机 器上。 网络安全与管理
网络安全与管理 10 访问控制(Restricted Access) ◼ 漏洞: 从安全角度出发,对一些FTP服务器来说,基于网络地址的访问 控制是非常重要的。例如,服务器可能希望限制或允许来自某些 网络地址的用户对某些文件的访问,否则可能会发生信息泄漏。 另外,客户端也需要知道所进行的连接是否是与它所期望的服务 器建立的。有时攻击者会利用这样的情况,将控制连接是在可信 任的主机之上。 ◼ 防范措施: 在建立连接前,双方需要同时认证远端主机的控制连接,数据连 接的网络地址是否可信。 ◼ 遗留问题: 基于网络地址的访问控制可以起一定作用,但还可能受到“地址 盗用(spoof)”攻击。在spoof攻击中,攻击机器可以冒用在组织内 的机器的网络地址,从而将文件下载到在组织之外的未授权的机 器上