第9章网络站点的安全 本章主要介绍: 1因特网的安全 2.Web站点安全 3黑客 4.口令安全 5网络监听 6扫描器 7E-mai的安全 8IP电子欺骗 2021年2月20日6时5分 计算机网络安全基础
2021年2月20日6时5分 计算机网络安全基础 第9章 网络站点的安全 本章主要介绍: 1.因特网的安全 2. Web站点安全 3.黑客 4.口令安全 5.网络监听 6.扫描器 7.E-mail的安全 8.IP电子欺骗
9因特网的安全 9,1.1因特网服务的安全隐患 1.电子邮件 个安全问题是邮件的溢出,即无休止的邮件耗尽 用户的存储空间(包括链式邮件)。而邮件系统,可以 发送包含程序的电子邮件,这种程序如果在管理不严格 的情况下运行能产生“特洛伊木马” 2.文件传输(FTP) 匿名FTP是ISP的一项重要服务,它允许用户通过 FTP,访问FTP服务器上的文件,这时不正确的配置将 严重威胁系统的安全。因此需要保证使用它的人不会申 请系统上其它的区域或文件,也不能对系统做任意的修 改 2021年2月20日6时5分 计算机网络安全基础
2021年2月20日6时5分 计算机网络安全基础 9.1 因特网的安全 9.1.1 因特网服务的安全隐患 1.电子邮件 一个安全问题是邮件的溢出,即无休止的邮件耗尽 用户的存储空间(包括链式邮件)。而邮件系统,可以 发送包含程序的电子邮件,这种程序如果在管理不严格 的情况下运行能产生“特洛伊木马” 。 2.文件传输(FTP) 匿名FTP是ISP的一项重要服务,它允许用户通过 FTP,访问FTP服务器上的文件,这时不正确的配置将 严重威胁系统的安全。因此需要保证使用它的人不会申 请系统上其它的区域或文件,也不能对系统做任意的修 改
91因特网的安全 3.远程登录( Telnet) Telnet早期是比较安全的,它要用户认证。但 Telnet 送出的所有信息是不加密的,很容易被黑客攻击。现在 Telnet被认为是从远程系统申请你的站点时最危险的服 务之一。 4.用户新闻( Usenet News) 像电子邮件一样,用户新闻具有危险性,并且大多 数站点的新闻信息量大约6个月翻一番,很容易造成溢 出。为了安全起见,一定要配置好新闻服务。 很多站点建立了预定的本地新闻组以便于本地用户 间进行讨论。这些新闻组往往包含秘密的、有价值的或 者是敏感的信息。有些人可以通过NNTP服务器私下申 请这些预定新闻组,结果造成泄密 2021年2月20日6时5分 计算机网络安全基础
2021年2月20日6时5分 计算机网络安全基础 9.1 因特网的安全 3.远程登录(Telnet) Telnet早期是比较安全的,它要用户认证。但Telnet 送出的所有信息是不加密的,很容易被黑客攻击。现在 Telnet被认为是从远程系统申请你的站点时最危险的服 务之一。 4.用户新闻(Usenet News) 像电子邮件一样,用户新闻具有危险性,并且大多 数站点的新闻信息量大约6个月翻一番,很容易造成溢 出。为了安全起见,一定要配置好新闻服务。 很多站点建立了预定的本地新闻组以便于本地用户 间进行讨论。这些新闻组往往包含秘密的、有价值的或 者是敏感的信息。有些人可以通过NNTP服务器私下申 请这些预定新闻组,结果造成泄密
91因特网的安全 5.万维网(WWW) 搜索Web文件的工具是浏览器,而浏览器由于灵活 而倍受用户的欢迎,而灵活性也会导致控制困难。浏览 器比FTP服务器更容易转换和执行,但是一个恶意的侵 入也就更容易得到转换和执行。浏览器一般只能理解基 本的数据格式如HTML、JPEG和GIF格式。对其它的数 据格式,浏览器要通过外部程序来观察。一定要注意哪 些外部程序是默认的,不能允许那些危险的外部程序进 入站点。用户不要随便的增加外部程序,随便修改外部 程序的配置。 2021年2月20日6时5分 计算机网络安全基础
2021年2月20日6时5分 计算机网络安全基础 9.1 因特网的安全 5.万维网(WWW) 搜索 Web文件的工具是浏览器,而浏览器由于灵活 而倍受用户的欢迎,而灵活性也会导致控制困难。浏览 器比FTP服务器更容易转换和执行,但是一个恶意的侵 入也就更容易得到转换和执行。浏览器一般只能理解基 本的数据格式如 HTML、JPEG和GIF格式。对其它的数 据格式,浏览器要通过外部程序来观察。一定要注意哪 些外部程序是默认的,不能允许那些危险的外部程序进 入站点。用户不要随便的增加外部程序,随便修改外部 程序的配置
91因特网的安全 9,12因特网的脆弱性 因特网会受到严重的与安全有关的问题的损害。忽 视这些问题的站点将面临被闯入者攻击的危险,而且可 能给闯入者攻击其它的网络提供了基地。 1.认证环节薄弱性 因特网的许多事故的起源是因为使用了薄弱的、静 态的口令。因特网上的口令可以通过许多方法破译,其 中最常用的两种方法是把加密的口令解密和通过监视信 道窃取口令。一些TCP或UDP服务只能对主机地址进 认证,而不能对指定的用户进行认证。 2021年2月20日6时5分 计算机网络安全基础
2021年2月20日6时5分 计算机网络安全基础 9.1 因特网的安全 9.1.2 因特网的脆弱性 因特网会受到严重的与安全有关的问题的损害。忽 视这些问题的站点将面临被闯入者攻击的危险,而且可 能给闯入者攻击其它的网络提供了基地。 1.认证环节薄弱性 因特网的许多事故的起源是因为使用了薄弱的、静 态的口令。因特网上的口令可以通过许多方法破译,其 中最常用的两种方法是把加密的口令解密和通过监视信 道窃取口令。一些TCP或UDP服务只能对主机地址进行 认证,而不能对指定的用户进行认证
91因特网的安全 2.系统易被监视性 应该注意到当用户使用 Telnet或FTP连接到远程主 机上的账户时,在因特网上传输的口令是没有加密的, 这很重要。那么侵入系统的一个方法就是通过监视携带 用户名和口令的IP包获取,然后使用这些用户名和口 通过正常渠道登录到系统。如果被截获的是管理员的口 令,那么获取特权级访问就变得更容易了。 3.易被欺骗性 主机的P地址被假定为是可用的,TCP和UDP服务 相信这个地址。问题在于,如果将攻击者的主机冒充 个被信任的主机或客户就危险了 2021年2月20日6时5分 计算机网络安全基础
2021年2月20日6时5分 计算机网络安全基础 9.1 因特网的安全 2.系统易被监视性 应该注意到当用户使用Telnet或FTP连接到远程主 机上的账户时,在因特网上传输的口令是没有加密的, 这很重要。那么侵入系统的一个方法就是通过监视携带 用户名和口令的IP包获取,然后使用这些用户名和口令 通过正常渠道登录到系统。如果被截获的是管理员的口 令,那么获取特权级访问就变得更容易了。 3.易被欺骗性 主机的IP地址被假定为是可用的,TCP和UDP服务 相信这个地址。问题在于,如果将攻击者的主机冒充一 个被信任的主机或客户就危险了
91因特网的安全 例:攻击者假扮成某一特定服务器的可信任的客户 (1)攻击者要使用那个被信任的客户的P地址取代自己 的地址 2)攻击者构造一条要攻击的服务器和其主机间的直接 路径,把被信任的客户作为通向服务器路径的最后节点 (3)攻击者用这条路径向服务器发出客户申请。 (4)服务器接收客户申请,就好像是从可信任客户直接 发出的一样,然后返回响应。 (5)可信任客户使用这条路径将数据包向前传送给攻击 者的主机。 2021年2月20日6时5分 计算机网络安全基础
2021年2月20日6时5分 计算机网络安全基础 9.1 因特网的安全 例:攻击者假扮成某一特定服务器的可信任的客户。 (l)攻击者要使用那个被信任的客户的IP地址取代自己 的地址。 (2)攻击者构造一条要攻击的服务器和其主机间的直接 路径,把被信任的客户作为通向服务器路径的最后节点。 (3)攻击者用这条路径向服务器发出客户申请。 (4)服务器接收客户申请,就好像是从可信任客户直接 发出的一样,然后返回响应。 (5)可信任客户使用这条路径将数据包向前传送给攻击 者的主机
91因特网的安全 因特网的电子邮件是最容易被欺骗的,因此没有被 保护(例如使用数字签名)的电子邮件是不可信的 例:考虑当UnX主机发生电子邮件交换时的情形 交换过程是通过一些有ASC字符命令组成的协议进行 的。闯入者可以用 Telnet直接连到系统的SMTP端口上 手工键入这些命令。接收的主机相信发送的主机,那么 有关邮件的来源就可以轻易地被欺骗,只需输入一个与 真实地址不同的发送者地址就可做到这一点。这导致了 任何没有特权的用户都可以伪造或欺骗电子邮件 2021年2月20日6时5分 计算机网络安全基础
2021年2月20日6时5分 计算机网络安全基础 9.1 因特网的安全 因特网的电子邮件是最容易被欺骗的,因此没有被 保护(例如使用数字签名)的电子邮件是不可信的。 例:考虑当Unix主机发生电子邮件交换时的情形, 交换过程是通过一些有ASCII字符命令组成的协议进行 的。闯入者可以用Telnet直接连到系统的SMTP端口上, 手工键入这些命令。接收的主机相信发送的主机,那么 有关邮件的来源就可以轻易地被欺骗,只需输入一个与 真实地址不同的发送者地址就可做到这一点。这导致了 任何没有特权的用户都可以伪造或欺骗电子邮件
91因特网的安全 4.有缺陷的局域网服务 些数据库(例如口令文件)以分布式管理,允许 系统共享文件和数据。但这些服务带来了不安全因素, 可以被有经验的闯入者利用以获得访问权。如果一个中 央服务系统遭到损害。那么其它信任该系统的系统会更 容易遭到损害。 些系统允许主机们互相“信任”。如果一个系统 被侵入或欺骗,那么对于闯入者来说,获取那些信任它 的访问权就很简单了。 2021年2月20日6时5分 计算机网络安全基础
2021年2月20日6时5分 计算机网络安全基础 9.1 因特网的安全 4.有缺陷的局域网服务 一些数据库(例如口令文件)以分布式管理,允许 系统共享文件和数据。但这些服务带来了不安全因素, 可以被有经验的闯入者利用以获得访问权。如果一个中 央服务系统遭到损害。那么其它信任该系统的系统会更 容易遭到损害。 一些系统允许主机们互相“信任” 。如果一个系统 被侵入或欺骗,那么对于闯入者来说,获取那些信任它 的访问权就很简单了
91因特网的安全 5.复杂的设备和控制 对主机系统的访问控制配置通常很复杂而且难以 验证其正确性。因此,偶然的配置错误会使闯入者获 取访问权。 许多因持网上的安全事故的部分起因是由那些被 闯入者发现的弱点造成的。由于目前大多数Unx系统 都是从BSD获得网络部分的代码,而BSD的源代码又 可以轻易得到,所以闯入者可以通过研究其中可利用 的缺陷来侵入系统。存在缺陷的部分原因是因为软件 的复杂性,而且没有能力在各种环境中进行测试 2021年2月20日6时5分 计算机网络安全基础
2021年2月20日6时5分 计算机网络安全基础 9.1 因特网的安全 5.复杂的设备和控制 对主机系统的访问控制配置通常很复杂而且难以 验证其正确性。因此,偶然的配置错误会使闯入者获 取访问权。 许多因持网上的安全事故的部分起因是由那些被 闯入者发现的弱点造成的。由于目前大多数Unix系统 都是从BSD获得网络部分的代码,而BSD的源代码又 可以轻易得到,所以闯入者可以通过研究其中可利用 的缺陷来侵入系统。存在缺陷的部分原因是因为软件 的复杂性,而且没有能力在各种环境中进行测试