网络安全-技术与实践03

网络安全—技术与实践（第2版）刘建伟王育民编著清华大学出版社普通高等教育“十一五”国家级规划教材教育部2011年精品教材课件制作人声明n 本课件总共有17个文件，版权属于刘建伟所有，仅供选用此教材的教师和学生参考。n 本课件严禁其他人员自行出版销售，或未经作者允许用作其他社会上的培训课程。n 对于课件中出现的缺点和错误，欢迎读者提出宝贵意见，以便及时修订。课件制作人：刘建伟2012年2月11日 第3章高层协议的安全性Internet电话协议二三四一五网络时间协议六简单网络管理协议消息传输协议远程登录协议电子邮件协议一信息服务七第3章高层协议的安全性Internet电话协议二三四一五网络时间协议六简单网络管理协议消息传输协议远程登录协议电子邮件协议一信息服务七SMTP昀常用的实现方案是Sendmail。Sendmail有一个致命的缺陷：它常以root用户权限工作。这实际上违背了“昀小信任”原则。SMTP后台程序不必以root权限运行。对于邮件管理人员来说，昀大的问题是如何对这些邮件服务程序进行合理配置。Sendmail的配置规则非常复杂。简单邮件传输协议—SMTP邮局协议（版本3）—POP3它是因特网电子邮件的第一个离线协议标准。POP3允许用户从服务器上把邮件存储到本地主机（即自己的计算机）上，同时删除保存在邮件服务器上的邮件。该协议非常简单，服务器甚至可以采用Perl脚本程序非常容易地实现，所以也非常不安全。多用途网间邮件扩充协议—MIMEMIME在1992年应用于电子邮件系统，后来也应用于浏览器。服务器通过MIME类型告诉浏览器哪些是MP3文件，哪些是Shockwave文件。对MIME存在一种分段攻击。其它MIME的危险包括邮递可执行的程序，或邮件自身含有危险的PostScript文件。是传播蠕虫和病毒的主要途径。 它提供了同POP3一样方便的邮件下载服务，在邮箱访问上有更加强大的功能。比如一封邮件里含有５个附件，而其中只有2个附件是您需要的，则可以选择只下载这2个附件。 能够支持一些认证方法，有些方法确实是非常安全的。在“挑战—响应”机制中使用一个共享的秘密，这个秘密信息也必须存储在服务器上。如果将该秘密信息与域字符串进行杂凑运算，对于消除某些口令的等值性可能会更有利。 多个认证选项会提高IMAP遭受版本反转攻击（version-rollbackattack）的可能性，该攻击迫使服务器使用较弱的认证或密码算法。Internet消息访问协议—IMAP4第3章高层协议的安全性Internet电话协议二三四一五网络时间协议六简单网络管理协议消息传输协议远程登录协议电子邮件协议一信息服务七ITU的互联网电话协议—H.323互联网电话目前主要采用的协议有两种，一种叫做会话启动协议SIP（SessionInitiationProtocol），另一种叫做H.323协议。这两种协议除了可以建立简单的电话呼叫之外，还可以建立电话会议（微软的NetMeeting可以支持这两种协议）。SIP还是某些互联网/电话网络交互和某些即时消息协议的基础。H.323是ITU的互联网电话协议。该协议是ITU基于ISDN的信令协议Q.931设计的。但是，该协议增加了复杂度，并且与现有的ISDN协议栈有部分区别。SIP是一个通讯协议，它使用户的通讯系统更为开放、更好地保持连接、使用更方便、选择更多，也更为个性化。因为SIP使用简便，功能强大，分布广泛，它在整个IETF内迅速得到了使用者的认同，特别是VoIP应用和即时留言应用，给大家留下了更为深刻的印象。IETF的会话启动协议——SIP第3章高层协议的安全性Internet电话协议二三四一五网络时间协议六简单网络管理协议消息传输协议远程登录协议电子邮件协议一信息服务七简单文件传输协议——TFTPTFTP（TrivialFileTransferProtocol）是一个简单的基于UDP的文件传输协议。该协议中没有使用认证。适当配置TFTP后台可以限制到1个或2个目录的文件传输，这两个目录通常为usr/local/boot和X11字库。很多路由器（特别是低端的路由器）都使用TFTP来装载可执行的镜像或配置文件。文件传输协议——FTP本地主机前的用户本地文件系统文件传送远程文件系统 从服务器到客户机，或者从客户机到服务器，均可以用FTP打开一条数据通道。一个伪装成FTP客户机的Java程序能够做一些危险的事情。例如，假设攻击者希望连接到防火墙后面的某台机器的telnet端口，他会将这个Java程序嵌入到指定的Web页面文件中。当有人在该站点上运行此Java程序时，它就会打开一条通往Web网站的FTP连接，并发出一条PORT指令，指明采用23号端口telnet到目标主机上。防火墙就会顺从地打开该端口。 该服务如果没有设防，FTP能够在短时间内泄露公司大量的重要文件；1 该访问依赖于口令，能够被很容易地探测或猜测到；2ftpd后台程序开始时以root用户权限运行，因为它要处理帐户的登录过程，包括口令处理。但是，它不能在登录后掩盖其特权用户身份；3 在匿名FTP服务中，全球可读写的目录常用来存储和发布盗版软件或其它违法的软件或数据。4FTP的安全性 网络文件系统NFS（NetworkFileSystem）昀早是由SUNMicrosystem公司开发的，，它是许多工作站的重要组成部分。NFS是一个流行的基于TCP/IP网络的文件共享协议，该协议提供了文件共享服务，在/etc/exports文件里保存具体的配置。可以简单的把它看成一个文件服务器。 NFS服务器使用2049号端口。由于它处于“无特权的”范围内，因此该范围的端口常常分配给那些普通的进程。必须要配置UDP会话的包过滤器，以阻止进入到2049端口的访问。网络文件系统协议——NFS NFS对客户机也有风险。某些人具有访问服务器的特权，有些能伪造返回数据包的人可能创建一个setuid程序或设备文件，然后等待客户机取消或打开它们，从而影响到客户机运行代码。某些NFS版本含有禁止这些东西进入的选项。如果你从不可信的资源装载文件系统的时候，请切记要利用这些选项。 当通过NFS浏览文档的时候，会出现一个更加敏感的问题。对于服务器来说，要在客户机上种植某种恶意的程序（如ls）非常容易，这种程序很可能用于某些非法操作。对于客户机来说，昀佳的防护是对所有外来的文件进行检查，删除那些可执行的代码。不过，我们不知道标准的NFS客户机是否提供这一选项。NFS的安全性 服务器消息块（ServerMessageBlock,SMB）协议早在20世纪80年代中期就已经在微软公司和IBM公司的操作系统中使用了。该协议的发展比较缓慢，现在似乎偏向于使用公用因特网文件系统协议。这是微软公司开发的一个新的开放文件共享协议。SMB和CIFS协议也可以向没有经过身份验证的用户提供丰富的信息，在高安全性的Windows环境中，通常建议禁止使用这两个协议。 当Windows系统共享它的文件或打印机时就用到这些服务。昀常见的安全性错误就是在共享文件系统时没有采用认证措施，另外，Windows的Samba服务也多次被报告存在DoS漏洞。对于UNIX系统来说，这些协议由流行的Samba软件包支持。但是，这个软件包太复杂，也存在许多安全问题。服务器消息块协议第3章高层协议的安全性Internet电话协议二三四一五网络时间协议六简单网络管理协议消息传输协议远程登录协议电子邮件协议一信息服务七远程登录协议——Telnet Telnet提供了简单终端到某台主机的访问。该协议包括对处理各种终端设置的规定，如自然模式、字符回送等。通常，telnet后台服务程序调用login程序来进行认证和引发会话。主叫用户提供帐户名称和口令来进行登录。 本地的Telnet程序可能会泄露秘密信息，攻击者可以通过嗅探器记录用户名和口令组合，或者记录整个会话。 在许多主要ISP的主机上都发现有口令嗅探器Sniffer存在。这些嗅探器能够捕获绝大部分的互联网业务流。它们记录telnet、ftp和rlogin会话的前128个字符，这对于记录目的地址、用户名和口令来说，已经足够用了。远程登录协议——Telnet 攻击者也可能在线路上做文章。黑客掌握了使用TCP劫持工具的方法，使他们能够在某种条件下霸占TCP会话。Telnet和rlogin会话是非常具有吸引力的目标。 有些对telnet会话进行加密的办法。目前出现了几种telnet的加密解决方案，它们分别为stel，SSLtelnet，stelnet，以及ssh。安全壳协议——SSH 该协议设计的初衷是用来取代rlogin,rdisk,rsh和rpc。 SSH支持身份认证和数据加密，对所有传输的数据进行加密处理。同时，可以对传输数据进行压缩处理，这样就可以加快数据传输的速度。它既可以代替Telnet作为安全的远程登录方式，又可以为FTP、POP等服务提供一个安全的“隧道”。 SSH含有两个替代程序ssh和scp，这两个程序与rsh和rcp具有相同的用户接口，所不同的是使用了加密协议。SSH也含有打通X11隧道或任意TCP端口的机制。第3章高层协议的安全性Internet电话协议二三四一五网络时间协议六简单网络管理协议消息传输协议远程登录协议电子邮件协议一信息服务七 SNMP是由IETF的研究小组为了解决Internet上的路由器管理问题而提出的。SNMP被设计成与协议无关，所以它可以在IP，IPX，AppleTalk，OSI以及其他传输协议上使用 SNMP用来控制路由器、网桥及其它的网络单元。简单网络管理协议——SNMP第3章高层协议的安全性Internet电话协议二三四一五网络时间协议六简单网络管理协议消息传输协议远程登录协议电子邮件协议一信息服务七 网络时间协议（NTP—NetworkTimeProtocol）主要用于调节系统时钟从而与外部时间源达到同步。外部时间源可以是原子钟、天文台、卫星，也可以从Internet上公开的时间服务器获取。如果无法与Internet连接，也可以指定内部的一些主机作为时间服务器。 NTP服务器自身可能成为各种攻击的目标。一般来说，这种攻击的目的是试图改变攻击目标的正确时间概念。例如，攻击者会考虑对基于时间的认证设备和协议发起攻击。如果黑客能够将机器的时钟重新设置成先前的某个值，他就能重发某个先前的认证字符串来实施重发攻击。网络时间协议——NTP第3章高层协议的安全性Internet电话协议二三四一五网络时间协议六简单网络管理协议消息传输协议远程登录协议电子邮件协议一信息服务七用户查询服务 Finger功能可以帮助用户查询系统中某一个用户的细节，如其全名、住址、电话号码、登陆细节等。 利用Finger协议获得的用户信息或用户登录信息应该引起高度关注。它可以被黑客用来调查并发现潜在的攻击目标。它所提供的信息，很可能被黑客用来实施口令猜测攻击。黑客还可以发现用户昀近与哪个实体相连，这个实体可能成为潜在的攻击目标；黑客还可以发现用户昀后使用的是哪个账号。 Finger协议不可能在防火墙上运行，因此对于受防火墙保护的网站来说，它不是主要考虑的问题。对于防火墙内部的用户来说，可以使用其他方法获得大量同样的信息。但是，如果把一台机器暴露在防火墙外部的话，那么关闭Finger后台程序，或者对其施加某些限制才是明智之举。数据库查询服务Whois被用来查询域名所有者的身份及数据库中的其他信息。 在Whois标签中，在地址框中输入“sipb.mit.edu”，在query框中输入“Whois-Server”，单击Go按钮，得到昀新的Whois服务器列表。只有在对象所属区域内的Whois服务器上查询，才有可能查到正确的结果。IP地址Whois地理位置WhoisLDAP LDAP的全称是轻量级目录访问协议。 1993年7月，第一个LDAP规范RFC1487由密歇根大学开发成功。它在功能性、数据表示、编码和传输方面都优于笨重的X.500目录访问协议。 信息量大小：适合于存放相对小