CISSP培训系列讲座(2)-通讯和网络安全
CISSP培训系列讲座(2)-通讯和网络安全
编者的话:本期我们介绍通讯和网络安全。
通讯和网络安全
在这一部分中包含网络结构、传输方法、数据传输格式,以及用于保证数据在公共网络和私有网络及介质传输时的完整性、稳定性、验证和加密。
考生应该了解通讯和网络安全,包括在局域网、广域网和远程访问方面的语音和数据传输。了解防火墙、路由器和TCP/IP,以及在通讯安全管理方面的防御、检测及纠正方法。具体应从以下几方面入手:
一、 OSI参考模型。
二、 通讯和网络安全,内容包括:物理介质的特性、网络拓扑、IPSec认证和加密、TCP/IP特点和弱点、局域网、广域网、远程访问和通讯技术、安全远程处理、远程拨入用户系统/终端访问控制系统、网络检测和数据捕获。
三、 Internet/Intranet/Extranet,内容包括:防火墙、路由器、交换机、网关、代理,以及协议:TCP/IP协议、网络层安全协议(IPSec、SKIP、SWIPE)、传输层安全协议(SSL)、应用层安全协议(S/MIME,SSL,SET,PEM)、挑战握手认证协议(CHAP)和密码认证协议(PAP)、点对点协议PPP和串行线路协议SLIP。
四、 E-mail 安全。
五、 传真安全。
六、 安全语音通讯。
七、 安全的界定与安全策略的实施。
八、 攻击手段和防护策略。
本文主要讲述CISSP考试中经常涉及到的防火墙的知识。
防火墙
防火墙是隔绝危险和潜在危机的防护设备。在整个Internet中,防火墙不单纯指的是路由器、主机系统或是网络中保证安全的一系列系统;防火墙更重要的是安全方法,它能帮助实施一整套定义允许的服务和访问的安全策略。防火墙最重要的功能就是包过滤,而发挥包过滤功能的方式就是访问控制ACL,一般而言防火墙有许多种形式,有以软件形式运行在普通计算机之上的,也有以硬件形式设计在路由器之中的。总的来说业界的分类有三种:包过滤防火墙、应用级网关和状态监视器。
一、包过滤防火墙
在互联网络这样的TCP/IP网络上,所有往来的信息都被分割成许许多多一定长度的信息包,包中包含发送者的IP地址和接收者的IP地址信息。当这些信息包被送上互联网络时,路由器会读取接收者的IP并选择一条合适的物理线路发送出去,信息包可能经由不同的路线抵达目的地,当所有的包抵达目的地后会重新组装还原。包过滤式的防火墙会检查所有通过的信息包中的IP地址,并按照所给定的过滤规则进行过滤。如果对防火墙设定某一IP地址的站点为不适宜访问的话,从这个地址来的所有信息都会被防火墙屏蔽掉。
包过滤防火墙的优点是它对于用户来说是透明的,处理速度快而且易于维护,通常作为系统的第一道防线。包过滤路由器通常没有用户的使用记录,这样我们就不能得到入侵者的攻击记录。而攻破一个单纯的包过滤式防火墙对黑客来说还是有办法的。“IP地址欺骗”是黑客比较常用的一种攻击手段。黑客们向包过滤式防火墙发出一系列信息包,这些包中的IP地址已经被替换为一串顺序的IP地址,一旦有一个包通过了防火墙,黑客便可以用这个IP地址来伪装他们发出的信息;在另一种情况下黑客们使用一种他们自己编制的路由攻击程序,这种程序使用动态路由协议来发送伪造的路由信息,这样所有的信息包都会被重新路由到一个入侵者所指定的特别地址;破坏这种防火墙的另一种方法被称为“同步风暴”,这实际上是一种网络炸弹。攻击者向被攻击的计算机发出许许多多个虚假的“同步请求”信息包,目标计算机响应了这种信息包后会等待请求发出者的应答,而攻击者却不做任何的响应。如果服务器在一定时间里没有收到响应信号的话就会结束这次请求连接,但是当服务器在遇到成千上万个虚假请求时,它便没有能力来处理正常的用户服务请求,处于这种攻击下的服务器表现为性能下降、服务响应时间变长,严重时服务完全停止、甚至死机。
这种类型最常见的实际应用的例子就是Internet上的路由设备,使用者可以通过定制访问控制列表(ACL)来对路由器进出端口的数据包进行控制,如针对rfc1918的保留地址进行屏蔽,在路由器上可以进行如下配置:
interface x
ip access-group 101 in
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 permit ip any any
从上面这个例子可以很明显地看出,路由器这里的配置完全是针对OSI的三层IP地址,也就是IP的包头进行过滤,至于这些IP数据包里携带的具体是什么内容,路由器完全不会去关心。
由此考虑一下,我们就不难看出这个层次的防火墙的优点和弱点:
1. 基于包过滤的防火墙一个非常明显的优势就是速度。这是因为防火墙只是去检查数据包的包头,而对数据包所携带的内容没有任何形式的检查,因此速度非常快。
2. 还有一个比较明显的好处是,对用户而言,包过滤防火墙是透明的,无需用户端进行任何配置。
包过滤防火墙的特性决定了它很适合放在局域网的前端,由它来完成整个安全工作环节中的数据包前期处理工作,如:控制进入局域网的数据包的可信任IP,对外界开放尽量少的端口等。与此同时,这种防火墙的弊端也是显而易见的,比较关键的几点包括:
1. 由于无法对数据包及上层的内容进行核查,因此无法过滤审核数据包的内容。体现这一问题的一个很简单的例子就是:对某个端口的开放意味着相应端口对应的服务所能够提供的全部功能都被放开,即使通过防火墙的数据包有攻击性,也无法进行控制和阻断。比如针对微软IIS漏洞的Unicode攻击,因为这种攻击走的是防火墙所允许的80端口,而包过滤的防火墙无法对数据包内容进行审查,因此防火墙形同虚设,未打相应patch的提供Web服务的系统,即使在防火墙的屏障之后,也会被攻击者轻松拿下超级用户的权限。
2. 由于此种类型的防火墙工作在较低层次,防火墙本身所能接触到的信息较少,所以它无法提供描述事件细节的日志系统。此类防火墙生成的日志常常只是包括数据包捕获时间、三层的IP地址、四层的端口等非常原始的信息。至于这个数据包内容是什么,防火墙不会理会,这恰恰对安全管理员而言是至为关键的。因为即使一个非常优秀的系统管理员一旦陷入大量的通过/屏蔽的原始数据包信息中,往往也是难以理清头绪的,当发生安全事件时会给管理员的安全审计带来了很大的困难。
3. 所有可能用到的端口都必须静态放开,对外界暴露,从而极大地增加了被攻击的可能性。这个问题一个很好的例子就是Unix下的危险的rpc服务,它们也工作在高端口,而针对这些服务的攻击程序在Internet上异常流行。
4. 如果网络结构比较复杂,那么对管理员而言配置ACL(访问控制列表)将是非常“恐怖”的事情。当网络发展到一定规模时,ACL出错几乎是必然的,这一点相信许多大型站点的系统管理员印象深刻。
二、应用级网关 (Proxy Server)
应用级网关也就是通常我们提到的代理服务器。它适用于特定的Internet服务,如超文本传输(HTTP)、远程文件传输(FTP)等。代理服务器通常运行在两个网络之间,它对于客户来说像是一台真的服务器,而对于外界的服务器来说,它又是一台客户机。当代理服务器接收到用户对某站点的访问请求后会检查该请求是否符合规定,如果规则允许用户访问该站点的话,代理服务器会像一个客户一样去那个站点取回所需信息再转发给客户。代理服务器通常都拥有一个高速缓存,这个缓存存储有用户经常访问的站点内容,在下一个用户要访问同一站点时,服务器就不用重复地获取相同的内容,直接将缓存内容发出即可,既节约了时间也节约了网络资源。代理服务器会像一堵墙一样挡在内部用户和外界之间,从外部只能看到该代理服务器而无法获知任何的内部资源,诸如用户的IP地址等。
应用级网关比单一的包过滤更为可靠,而且会详细地记录所有的访问状态信息。但是应用级网关也存在一些不足之处,首先它会使访问速度变慢,因为它不允许用户直接访问网络,而且应用级网关需要对每一个特定的Internet服务安装相应的代理服务软件,用户不能使用未被服务器支持的服务,同时对每一类服务要使用特殊的客户端软件。更不幸的是,并不是所有的Internet应用软件都可以使用代理服务器。
三、状态监测防火墙
防火墙的内核中运行着Stateful Inspectionsm engine(状态监测引擎),由它在OSI底层对接收到的数据包进行审核,当接收到的数据包符合访问控制要求时,将该数据包传到高层进行应用级别和状态的审核,如果不符合要求,则丢弃。由于Stateful Inspectionsm engine工作在内核中,因此效率和速度都能得到很好的保证,同时由于Stateful Inspectionsm engine能够理解应用层的数据包,所以能够快速有效地在应用层进行数据包审核。
这种防火墙具有非常好的安全特性,它使用了一个在网关上执行网络安全策略的软件模块,称之为监测引擎。监测引擎在不影响网络正常运行的前提下,采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考。监测引擎支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。与前两种防火墙不同,当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。一旦某个访问违反安全规定,系统就会拒绝该访问,并报告有关状态做日志记录。状态监测防火墙的另一个优点是它会监测无连接状态的远程过程调用(RPC)和用户数据报(UDP)之类的端口信息,而包过滤和应用网关防火墙都不支持此类应用。这种防火墙无疑是非常坚固的,但它会降低网络的速度,而且配置也比较复杂。好在有关防火墙厂商已注意到这一问题,如CheckPoint公司的防火墙产品Firewall-1,它所有的安全策略规则都是通过面向对象的图形用户界面(GUI)来定义以简化配置过程。
防火墙的功能
◆ UA (User Authentication)。用以控制授权非特定IP地址使用者的连接,如企业出差人员、拨号接入用户等,经过用户认证后,这些用户可通过防火墙访问公司局域网数据或应用程序。
◆ NAT(Network Address Translation)地址转换。进行内外部地址转换(公有地址转换为局域网地址)。NAT至少有两个优点:解决公有地址不足;隐藏内部IP地址,保护局域网内部的安全。NAT能提供一对一、多(内部地址)对一的IP地址转换。
◆ 预警功能(Alert)。当入侵事件或有异常情况发生时,防火墙提供各种预警方式以通知防火墙管理者来处理,一个良好的防火墙应至少提供E-mail、pager、SNMP Trap等预警方式。
◆ 日志(log)。多数入侵事件没有被发现或被追踪,主要在于日志的丢失或没有日志存档。日志分为事件日志(event log)、在线日志和系统日志,这些日志应至少经常的备份和存档。
◆ 日志分析工具。日志分析工具有助于管理者从大量的日志中提取所需的资料,提供图形化的表格界面,帮助管理员判断各种入侵事件与网络状况,
防火墙的种类
防火墙的种类除了用上述的过滤方式来区分外,也可以按软硬件来区分。
1.硬件防火墙:硬件防火墙强调的是高效能与安装容易,硬件防火墙采用厂商自己的系统,相对漏洞较少,比较安全。
2.软件防火墙:软件防火墙提供较高的使用弹性和扩充性。企业可以将软件防火墙安装在服务器上,而无需改变现有网络布局,同时可以根据目前安全的需求来选择合适的软件防火墙。
搜索更多相关主题的帖子:
网络安全 CISSP 讲座 通讯 培训
社区:
