IP安全策略范文(精选8篇)
IP安全策略 第1篇
关键词:多功能IP代理服务器,用户管理,安全策略
随着信息技术的告诉发展和网络的逐步普及, 互联网已经深入到人们日常生活中的方方面面, 可以说互联网已经成为人们工作、学习、生活、娱乐中不可或缺的工具。截止到2010年, 我国网民数量已经突破4.2亿, 然而我国分配到的IP地址八千多万个, 远远低于人均一个IP地址的标准。为了有效解决IP地址资源紧张的状况, 越来越多的公司、单位、机构或者学校在他们自己的局域网的建设中使用了IP代理服务器系统。
1 工作原理浅析
代理服务器使用的是内网终端需要通过代理服务器才能与外网进行信息传输, 而外网主机只能访问到代理服务器这种代理机制。通常, 较为流行的是采取IP代理方式, 基于这种方式的I P代理服务器能够使没有分配到IP地址的内网终端通过分配到I P地址的代理服务器顺利访问到外网主机。其工作原理是:当一台内网终端需要访问外网主机时, 需要向工作在I P层的服务器发送一个IP包, 这是服务器会将该IP包的源地址和TCP/IP包中的端口号分别替换成自己现有的IP地址和一个临时生成的端口号, 与此同时, 服务器会将该源IP地址和该临时端口号记录下来, 当外网主机发送I P包返回时, 代理服务器就能过自动识别并将该IP包替换其IP地址和端口号然后发送到内网终端。由于现在的代理服务器都安装有动态主机设置协议即DHCP, 服务器能够自动的动态分配I P地址给内网终端, 使得内网用户在访问外网主机时几乎感觉不到代理服务器的存在。
2 存在的注意缺点
IP代理服务器虽然在使用便利等方面有许多优点, 但在用户管理上存在一些不足。由于它是基于IP层工作, 因此IP代理服务器对信息访问的控制职能基于I P报文, 因在用户身份认证方面就出现了很大漏洞, 对用一个内网终端上的不同用户不能分别进行计费, 也不能对不同的用户实施不同的安全策略。因此, 在进行IP代理服务器的用户管理设计时首先要加入一个包括了认证管理的管理系统。
3 用户管理系统的设计
目前较为广泛使用的身份认证机制是口令验证机制, 但采用这种机制的用户管理系统大多存在一些安全隐患。首先, 系统中的用户口令往往是以明文形式储存验证, 其次, 用户口令的输入和传输也是采用的明文形式, 因此口令泄露出去是非常简单的事情, 一些别有用心的人可以利用系统漏洞、监听线路或者伪造登陆界面等方式轻易的获取到。
出于对以上问题的考虑, 为了保障用户信息的安全, 在用户系统和安全策略设计时应首先对用户口令进行单向函数加密, 以密文的形式在系统中传输和储存, 而且只能加密不能解密, 同时也大大提高用户在输入口令时的安全性。目前较为以普遍的服务器操作系统是Linux, 因此可以使用DES加密口令, 对于一些对安全性较为敏感的单位服务器还可以用随机数来确定DES算法中的E置换办法来减小被破译的可能性。
4 安全策略的设计
在解决了用户身份认证问题后下面需要考虑用户账号和密码的管理问题。创建用户账号的一般方式是管理员在服务器上直接操作, 将账号加入服务器上的/etc/password文件中, 并且给这些用户最低的权限是的他们无法访问服务器上的文件。
用户在获得账号时需要更改初始密码, 初始密码往往是由管理员设置的如123456或者admin。, 服务器端的daemon监听到内网终端向服务器发送更改用户密码的请求时会提示用户输入原始密码、新密码等验证信息, 用户将信息输入完后发送到服务器, 服务器端daemon会调用相应的函数更改并保存新的用户密码, 这是整个过程结束。
在设计用户管理系统时, 需要利用Linux系统中的PAM库来调用各种认证函数。PAM库支持认证管理、账户管理、密码管理和会话管理四个界面。通过PAM库的认证模块administrator可以在不重新编写、编译程序的情况下变更认证机制。它是应用程序编程接口用来确认用户的应用程序, 为系统管理时候进行用户信息确认提供了广泛的严格控制。PAM库可以进行单独配置也可以利用/etc/pam.d/终端配置文件一起来配置, 单独配置的方法是通过设置/etc/pam.conf文件来实现的。
在PAM提供的四个界面中, Authentication management (认证界面) 主要是核对认证用户名和密码等, 以提示输入密码并进行核对为例, 设置保密字如用户组或KERBEROS通行证;Account management (帐户管理界面) 主要负责检测核对用户收费被允许登陆、账号是否已经过期、账号是否存在登陆条件限制等等;Password management (密码管理界面) 主要用来修改用户密码。用户在通过了前面三个界面的认证后Session management (会话管理界面) , 将会出现主要是提供对会话的管理和记账, 用来安装用户的H O M E目录, 用户的E-mail, 界面管理等初始化红做。
在PAM中, Authentication managemen t (认证界面) :包括pare-authenticate () ’函数用来认证账号和密码, pam-sered () ’用来更新或者删除账号的credentials。Account management (帐户管理界面) :包括pare-ac ctmgmt () ’用来核对检验用户的有效性, 他能检查出登陆超时与否以及账号是不是在有效期内。password management (密码管理界面) 包括:pam-chauthtok () ’修改账号密码用的。程序通过调用pam-slart () ’和pare-end () ’来开始或结束一次PAM事务。pam-get.item () ’和pam-set.item () ’读写有关事务的信息。可以用pam-suerlDr () ’来取得错误信息oSessionmanagement包括p am-open.session () ’和pam-dose-session () 用于对话过程的管理。例如;可以用来纪录用户的连接时间。一次telnet过程实际上也是一个session。
参考文献
[1]刘育楠, 马军.局域网安全与代理服务器设置[M].北京:清华大学出版社, 2004.
[2]孙青.代理服务器安装配置与应用[M]北京:冶金工业出版社, 2002.
[3]Douglas E.Comer, David L.Stevens.INTERNETWORKING WITH TCP/IP[M].北京:电子工业出版社, 2001.
[4]周明天, 汪文勇.TCP/IP网络原理与技术[M].北京:清华大学出版社, 1996.
[5]汤子瀛, 哲凤屏.计算机操作系统[M].西安:西安电子科大出版社, 1995.
IP网络安全管理系统探讨 第2篇
1、引言
IP网络是电信运营的基础网络之一,网络安全是保证网络品质的基础。随着宽带业务的迅猛发展,运营商提供的数据业务越来越多,因此网络与信息的安全性也日渐重要。与此同时,互联网的开放性给网络运营带来了越来越多的安全隐患,互联网网络安全管理工作目前急需加强。对于运营商来说,相应的安全管理系统及检测手段的建设也势在必行。信产部对互联网的安全问题十分重视,要求各运营商制定“互联网网络 安全应急预案”。根据信息产业部的要求,各运营商已在建设互联网网络安全应急处理组织体系,从人员和组织架构上提供保障,但相对缺乏相应的安全管理系统和技术手段。为适应互联网业务发展的需要及加强互联网网络安全管理工作,各运营商都在积极着手建设安全管理系统。
2、IP网络安全管理的主要问题
IP网络规模庞大、系统复杂,其中包含各种网络设备、服务器、工作站、业务系统等。安全领域也逐步发展成复杂和多样的子领域,例如,访问控制、入侵检测、身份认证等。这些安全子领域通常在各个业务系统中独立建立,随着大规模安全设施的部署,安全管理成本不断飞速上升,同时对这些安全基础设施产品及其产生的信息管理成为日益突出的问题。IP网络安全管理的问题主要有以下几个方面:
(1)海量事件。
企业中存在的各种IT设备提供大量的安全信息,特别是安全系统,例如,安全事件管理系统和漏洞扫描系统等。这些数量庞大的信息致使管理员疲于应付,容易忽略一些重要但是数量较少的告警。海量事件是现代企业安全管理和审计面临的主要挑战之一。
(2)孤立的安全信息。
相对独立的IT设备产生相对孤立的安全信息。企业缺乏智能的关联分析方法来分析多个安全信息之间的联系,从而揭示安全信息的本质。例如,什么样的安全事件是真正的安全事件、它是否真正影响到业务系统的运行等。
(3)响应缺乏保障。
安全问题和隐患被发掘出来,但是缺少一个良好的机制去保证相应的安全措施得到良好执行。至今困扰许多企业的安全问题之一——弱口令就是响应缺乏保障的结果。
(4)知识“孤岛”。
许多前沿的安全技术往往只有企业内部少数人员了解,他们缺少将这些知识共享以提高企业整体的安全水平的途径。目前安全领域越来越庞大,分支也越来越细微,各方面的专家缺少一个沟通的平台来保证这些知识的不断积累和发布。
(5)安全策略缺乏管理。
随着安全知识水平的提高,企业在自身发展过程中往往制定了大量的安全制度和规定,但是数量的庞大并不能代表安全策略的完善,反而安全策略版本混乱、内容重复和片面、关键制度缺失等问题依然在企业中不同程度的存在。
(6)习惯冲突。
以往的运维工作都是基于资产+网络的运维,但是安全却是基于安全事件的运维。企业每出现一个安全问题就需要进行一次大范围的维护,比如出现病毒问题就会使安全运维工作不同于以往的运维工作习惯。
随着IP技术的飞速发展,网络安全逐渐成为影响网络进一步发展的关键问题。为提升用户业务平台系统的安全性及网络安全管理水平,增强竞争力,IP网络安全管理从单一的安全产品管理发展到安全事件管理,最后发展到安全管理系统,即作为一个系统工程需要进行周密的规划设计。
3、安全管理系统建设管理需求
安全管理系统的建设需求主要表现在以下几个方面:
(1)各运营商通过安全管理系统的建设,可以完善IP网的安全管理组织机构、安全管理规章制度,指导安全建设和安全维护工作,建立一套有效的IP的安全预警和响应机制。
(2)能够提供有效的安全管理手段,能充分提高以前安全系统功能组件(如入侵检测、反病毒等)投资的效率,减小相应的管理人工成本,提高安全体系的效果。
(3)通过对网络上不同安全基础设施产品的统一管理,解决安全产品的“孤岛”问题,建立统一的安全策略,集中管理,有效地降低复杂性,提高工作效率,进一步降低系统建设维护成本,节省经济成本和人工成本。
(4)优化工作流程促进规程的执行,减轻管理人员的工作负担,增强管理人员的控制力度。
(5)实时动态监控网络能有效地保障业务系统安全、稳定运行,及时发现隐患,缩短响应时间和处理时间,有效地降低安全灾害所带来的损失,保障骨干网络的可用性及可控性,同时也可提高客户服务水平,间接地提高客户满意度。
(6)通过对安全信息的深度挖掘和信息关联,提取出真正有价值的信息,一方面便于快速分析原因,及时采取措施;另一方面为管理人员提供分析决策的数据支持,提高管理水平。
(7)通过信息化手段对资源进行有效的信息管理,有助于提高企业的资产管理水平,从而提高企业的经济效益和企业的市场竞争力等。
4、安全管理系统建设目标
安全管理系统的建设是一项长期的工作,综合考虑实际工作的需求、当前的技术条件以及相关产品的成熟度,安全管理系统的建设工作应该按照分阶段、有重点的建设的方式来规划。根据各阶段具体的安全需求,确定各阶段工作的重点,集中力量攻克重点建设目标,以保证阶段性目标的实现。建设的同时需要注意完善相关的管理制度和流程,保证安全管理系统与企业业务的有机融合和有效使用。对于IP网安全管理系统的建设,建议分近期目标、中期目标和长期目标3个阶段来实现:
*近期目标。以较为成熟的相关技术为基础,根据当前最迫切的安全管理工作需求制定,包括安全风险管理、安全策略管理、安全响应管理的基本需求。
*中期目标。在近期目标基础上提高内部各系统之间的集成度和可用度,扩大管理范围,增强各功能模块,初步实现与其他信息系统的交互和安全管理的自动化流程。
*长期目标。实现安全管理系统的集成化、自动化、智能化,保证信息、知识充分的挖掘和共享,为高水平管理工作和高效率的安全响应工作提供良好的技术平台。
5、安全管理体系与功能模型
5.1 管理体系
明确了建设目标后就要结合运营商安全需求、网络环境及整体规划方向确定安全体系模型。IP网安全包括物理安全、设备与网管系统安全、网络层安全、网络信息安全。IP网安全体系分为技术体系层面(安全基础设施)、安全管理系统、管理体系层面。
(1)管理体系层面。它包括安全策略管理、安全组织管理、安全运作管理等几个方面。安全策略是IP网安全管理工作的依据,包括安全策略、标准、过程等方面的内容。安全策略管理是整个安全体系的基础,通过对策略进行有效的发布和贯彻执行,可以规范项目建设、运行维护相关的安全内容,指导各种安全工作的开展和流程,确保IP网的安全。安全组织是安全的管理组织架构,包括运营商安全相关的管理组织和人员。安全运作管理是策略、组织、技术的结合,是通过安全组织规定的人员,按照相应的流程,采取安全措施,对安全事件进行处理,从而整体提升IP网的安全水平。
(2)技术体系层面。它包括安全基础设施,安全基础设施包括访问控制系统、身份和认证管理系统等。
(3)安全管理系统层面。它是安全体系的中心枢纽,向上作为一种安全管理的形式和技术平台,协助用户实现安全策略管理、安全组织管理、安全运作管理,提供支撑手段。安全管理系统构建于安全基础设施之上,向下将管理贯彻到整个技术层面,通过收集来自所有安全产品和非安全产品的信息,进行统一的自动化风险评估,评价是否符合安全管理的策略,并报告给决策者,提供必要的响应。安全管理系统将安全管理和安全技术层面联系起来,能够保证安全产品部署符合安全管理的要求,提升安全基础设施的效率,减少相应的管理人工成本。
IP网络安全管理体系如图1所示。
5.2 安全管理系统功能模型运营商在建设安全管理系统时,可通过安全服务的建设初步建立安全策略管理、安全运作管理体系,通过IP网安全管理系统的建设,实现基本的安全策略管理、安全运作管理功能。安全管理系统的功能及核心模块如图2所示。
图2 安全管理系统功能及核心模块
(1)资产信息管理模块。
它实现对网络安全管理系统所管辖的设备和系统对象的管理。它将所辖IP设备资产信息按其重要程度分类登记入库,并为其他安全管理模块提供信息接口。
(2)脆弱性管理模块。
它实现对IP网络中主机系统和网络设备安全脆弱性信息的收集和管理,并配备远程脆弱性评估工具和本地脆弱性信息收集工具,及时掌握网络中各个系统的最新安全风险动态。该模块收集和管理的脆弱性信息主要包括两类:通过远程安全扫描可以获得的安全脆弱性信息(下称远程脆弱性信息)和通过在主机上运行脚本收集的脆弱性信息(下称本地脆弱性信息)。在定期收集到这些脆弱性信息后可以利用脆弱性管理系统进行导入和处理,以利于安全管理员对脆弱性信息的查询、呈现并采取相应的措施进行处理。
(3)安全事件监控管理模块。
安全事件监控系统是实时掌握全网的安全威胁状况的重要手段之一。通过事件监控模块监控各个网络设备、主机系统等日志信息以及安全产品的安全事件报警信息等,及时发现正在和已经发生的安全事件,通过响应模块采取措施,以保证网络和业务系统安全、可靠运行。
(4)安全响应管理模块。
安全响应是安全工作中重要的一环。运营商应考虑目前的网络运行状况与管理机制的特点,将安全管理系统安全响应的建设重点放在通过工单系统进行工作指令的传达和网络安全评价机制的建设上。
网络安全响应是根据当前的网络安全状态,及时调动有关资源作出响应,降低风险对网络的负面影响。网络安全响应模块负责利用安全管理系统平台提供的采集和统计功能,科学合理地评价网络安全的状态指标,并根据安全的状态指标,结合安全风险控制的需要,及时通过工单系统发布工作指令,调动有关资源作出相应的响应,将剩余风险控制在可以接受的范围。
(5)安全预警模块。
结合安全漏洞的跟踪和研究,及时发布有关的安全漏洞信息和解决方案,督促和指导各级安全管理部门及时作好安全防范工作,防患于未然;同时通过安全威胁管理模块所掌握的全网安全动态,有针对性地指导各级安全管理机构做好安全防范工作,特别是针对当前发生频率较高的攻击做好预警和防范工作。
(6)安全知识库模块。
安全知识库信息的发布,不仅可以充分共享各种安全信息资源,而且也会成为运营商各级网络安全管理机构和技术人员之间进行安全知识和经验交流的平台,有助于提高人员的安全技术水平和能力。安全管理系统要求实现网络安全信息的共享和利用,在安全管理系统平台提供统一界面以安全Web的形式发布最新的安全信息,并将处理的安全事件方法和方案收集起来,形成一个安全共享知识库,该知识库的数据以数据库的形式存储及管理,为培养高素质网络安全技术人员提供培训资源。信息模块可以包括安全技术园地、安全技术交流、安全案例库、补丁库、论坛以及其他管理信息系统等子信息系统。
6、安全管理系统评估
安全管理系统建设后,应能达到以下各项目的评估:
(1)结合落实信产部对通信安全的要求,提供应急响应的技术手段,为运营商互联网网络安全应急处理小组提供安全事件应急响应的技术手段和管理平台,实现《互联网网络安全应急处理预案》所要求的安全目标。
(2)运营商IP网络安全应急信息的发布。能够以E-mail、网页、任务单等多种方式将最新的安全公告,预警信息、安全事件信息等及时发布给相关人员。
(3)实现安全事件预警、快速响应的闭环管理功能。安全预警和快速响应能够有效降低安全灾害所带来的损失,单纯的安全产品不足以呈现全网的安全状况、提供足够的预警信息,必须实现安全的集中管理,才能实现以地域、业务系统等方式统一呈现安全风险、缩短响应时间。
(4)定期进行安全审计实现风险评估,确保安全管理系统持续的适宜性和有效性。定期进行安全审计,并结合现有的安全措施及界定的各类风险处置策略对管理的资产(包括安全事件、安全事件处置策略及安全工单执行情况等)进行评估,不断充实安全知识库的内容以提高运维及网络安全技术人员的技术水平。
(5)从安全建设的角度来讲,建立完善的安全管理组织体系是非常重要的。企业应该设置专职人员对企业的安全负责、统一协调、统一管理,应定期对专职人员的安全工作进行考核,要及时发现问题、解决问题,逐步完善运营商的安全管理。
7、结束语
IP广播安全技术 第3篇
IP广播安全技术项目是以广播电视新技术发展为背景, 以IP广播的业务经营模式及其技术体系为基础, 研究适合产业发展和国家监管需要的监测技术方法, 项目属于电子信息技术领域。
项目分为软课题和技术课题两部分。
技术课题实现IP广播安全监管原型系统, 包括六个子课题:
1.授权审查子系统;
2.节目分类分级子系统;
3.标识嵌入子系统;
4.具有标记提取和节目过滤功能的监控网关;
5.具有标记提取和节目过滤功能的机顶盒;
6.监控点管理中心。
项目研究节目源、信号播出、数据传输到用户端接收各环节的监测方法和安全监控技术体制, 包括安全保密强度、内容防篡改、防止非法内容插入和授权认证等方面的内容。
项目原型系统具有以下技术特点:
1.有效的安全标记嵌入技术
通过嵌入到IP广播中的包含节目版权、来源、拥有者、使用规则等信息的计算机码, 保护内容提供商的利益, 并考虑政府监管部门监控媒体信息是否违规的安全需求。
2.具备标记识别功能的IP广播监控网关
研发具备标记提取和内容过滤功能的IP广播监控网关, 根据该过滤网关设定的安全等级来判断是否过滤该视频节目。
3.完整的端到端的IP广播信号监测
原型系统实现了端到端的信号监测, 即从IP广播内容源、播出端、传输层直到终端显示全部环节的信号监测。
项目软课题包含四部分内容:
1.《IP广播安全监管法规建议书》
该课题结合当前我国IP广播发展现状, 通过对已有相关法律法规的深入研究和剖析, 从《安全监管和技术监管》、《市场监管和行政监管》、《起草依据和说明》三方面系统全面地阐述了IP广播安全监管。
2.《IP广播安全监管技术体制研究报告》
该课题在介绍IP广播安全监管的背景及现状的基础上, 描述了当前国内外IP广播安全监管的现状、分析了IP广播监测需求, 通过对IP广播监管体系架构、IP广播监管技术路线的研究, 提出了基于嵌入标识方案的技术架构及其安全信任体系。
3.《IP广播安全监管标准化建议书》
该课题在软课题2和技术课题IP广播安全监管原型系统的基础上, 全面总结分析了IP广播安全监管体系中涉及需要规范的内容。
4.《IP广播安全监管项目立项可研报告》
该课题对整个项目的技术成果进行了全面提取和深入总结, 为下一步IP广播安全的实施部署提供了可行性依据。
IP网络主流安全协议的安全问题 第4篇
SSH(Secure Shell)是一种介于传输层与应用层之间的加密通道协议,主要用于为用户提供安全的远程登陆服务,也可以执行远程文件拷贝、加密邮件连接和激活远端程序等操作。
SSH的协议结构可分为三层,从低到高分别为传送层协议、认证协议和连接协议,下层协议为上层协议的实现提供服务。一般的SSH协议层次结构如图1所示。
SSH解决了许多和网络有关的安全漏洞,有效地防止了网络窃听、IP欺骗、DNS欺骗、连接劫持、插入攻击等。但并没有解决全部问题,尤其是容易受到针对底层TCP/IP缺陷而发起的服务器拒绝攻击(DoS);传送层协议在执行服务器认证时采用的是基于主机的认证方式,而且认证方式一般也是简单的比较认证,通信方需要维护一个本地密钥数据库或采用第三方认证,其实现并不是很方便,易于遭受中间人攻击;没有解决一些环境因素而产生的攻击方法,例如流量分析和避免隐蔽信道的问题;不能防止出现病毒,如Trojin木马和咖啡豆(coffee spill)。因而,SSH当前只限于为小型网络提供安全服务,其大规模的应用还有待于进一步完善。
2 SSL协议的安全问题
SSL(Secure Socket Layer)称为安全套接层协议,是一种作用于传输层和应用层之间的协议,用于在浏览器和Web服务器之间传输敏感数据时建立一条安全数据传输通道。
SSL协议分为两层:上层是握手协议,下层记录协议,如图2所示。
SSL协议在服务器与客户之间建立了一条安全通道,保证了在互联网上通信的保密性,但SSL协议也存在如下的缺陷和漏洞。
通信业务流攻击:攻击者试图通过分析IP包未经加密的字段和未受保护的属性,恢复受保护会话的机密信息。
密钥交换算法欺骗:SSL协议的密钥交换算法域并不包含在服务器对公开参数的签名内容中,这样攻击者可以滥用服务器的签名来欺骗客户,在密钥交换过程中,主密钥就被泄露给攻击者了,则以后的所有消息交换过程都可以被攻击者伪造,协议不再有任何安全性可言。
Change Cipher Spec消息丢弃:SSL握手协议中有一个小的漏洞,那就是在finished消息中没有对Change Cipher Spec消息的认证保护。从而存在一种潜在的攻击方法--丢弃Change Cipher Spec消息。
证书攻击和窃取:由于微软公司的IIS服务器提供了“客户端证书映像”功能,用于将客户端提交证书的名字映射到NT系统的用户帐号,因此,攻击者就有可能获得主机的系统管理员的权限;当然,攻击者还可以尝试运用暴力攻击获取访问的权限。攻击者还可能窃取有效的证书及相应的私有密钥,其最简单的方法是特洛依木马病毒。
3 IPSec协议的安全问题
IPSec是在IP层上对数据包进行安全处理,为IP层及其上层协议如TCP、UDP等提供安全服务,主要提供了访问控制、无连接的数据完整性、数据源验证、防重放、数据机密性和有限的业务流机密性等安全服务。
IPSec协议由核心协议和支撑模块组成。核心协议包括认证首部AH与封装安全载荷ESP;支撑部分包括加密算法、HASH算法、安全策略、安全关联、IKE密钥交换机制。
IPSec协议在某些特定条件下存在着隐蔽信道这一安全漏洞。IPSec协议中为了防止数据包重放攻击,设置了序列号字段,而该字段所标志的数据包排列顺序刚好可以被数据包序列重排与恢复技术利用以携带隐蔽信息。在经过IPSec协议层之后,篡改每个数据包中的序列号域,按某种特殊规则对序列号域重新赋值,达到传递隐蔽信息的目的。
IPSec规定安全关联SA是一种对所承载的数据包提供安全服务的单向连接,也就是说,仅朝一个方向定义安全服务,要么对通信实体收到的包进行“进入”保护,要么对实体外发的包进行“外出”保护。这种单向SA会引起一些IPSec的安全问题,因为只有当两个配对的SA(外出的和进入的)正确建立起来之后,才可以建立起受IPSec保护的安全的双向连接。但是当出现误差的情况下或使用其它的通信手段时就会出现问题。并且在实际应用中很少有一方给另一方发送信息而另一方没有应答的应用,也很少有双向通信中的一个方向需要安全,而另一个方向不需要的情形。
IPSec所提供的防重放服务还存在一定的漏洞。利用这些漏洞,可以对IPSec保护下的报文进行重放攻击。这是因为:(1)每个安全关联SA中不包括任何与源地址有关的信息;(2)对特殊ICMP报文建立SA后不检查源地址是否匹配;(3)当建立SA时,通信双方的序号计数器都要被始化为0。
IPSec协议是在网络层实现的,即对应用层是透明的。然而不改变应用层实现的IPSec所获得的安全性并不安全。IPSec不能够像上层的系统那样提供点对点的安全,而IPSec认证的是设备的IP地址而不是其它的身份标识,但是大多数应用软件采用像名字这样的身份信息,并且用不同的IP地址访问。在这种情况下,IPSec能做的是将执行最高的安全性和代价昂贵的认证,对保护这样的身份信息建立一个安全关联,但是无法告诉应用程序对方是谁。应用程序将不得不依赖现存的机制像用户名和密码来决定在和谁通信。因为不修改应用层也无法检测到双方的通信是否被IPSec协议保护,所以容易受到“configuration attack”,这种攻击使通信避开IPSec的保护而进行。
IPSec还有一些缺陷,如客户机/服务器模式下实现需要公钥来完成。IPSec需要已知范畴的IP地址或固定范畴的IP地址,因此在动态分配IP地址时不太适宜于IPSec。
4 结束语
网络安全协议SSH、SSL、IPSec也有其不足和安全问题,使用者应做到心中有数、知己知彼,防患于未然。
摘要:分析讨论了SSH、SSL和IPSec三个安全协议存在的安全问题。
关键词:IP网络,安全协议,SSH,SSL,IPSec,TCP/IP
参考文献
[1]费晓飞,胡捍英.IPSec协议安全性分析[J].郑州:中国安全生产科学技术,2005,1(6):40-42.
[2]胡静,谢俊元.IPSec协议中潜在的隐蔽信道问题研究[J].南京:计算机工程与设计,2007,28(17):4116-4118.
浅论IP安全性 第5篇
IPSec是设计为IPv4和IPv6协议提供基于加密安全的协议, 它使用AH和ESP协议来实现其安全, 使用ISAKMP/Oakley及SKIP进行密钥交换、管理及安全协商。IPSec安全协议工作在网络层, 运行在它上面的所有网络通道都是加密的。IPSec安全服务包括访问控制、数据源认证、无连接数据完整性、抗重播、数据机密性和有限的通信流量机密性。IPSec使用身份认证机制进行访问控制, 即两个IPSec实体试图进行通信前, 必须通过IKE协商SA, 协商过程中要进行身份认证, 身份认证采用公钥签名机制, 使用数字签名标准算法或RSA算法, 而公钥通常是从证书中获得的;IPSec使用消息鉴别机制实现数据源验证服务, 即发送方在发送数据包前, 要用消息鉴别算法HMAC计算MAC, HMAC将消息的一部分和密钥作为输入, 以MAC作为输出, 目的地收到IP包后, 使用相同的验证算法和密钥计算验证数据, 如果计算出的MAC与数据包中的MAC完全相同, 则认为数据包通过了验证;无连接数据完整性服务是对单个数据包是否被篡改进行检查, 而对数据包的到达顺序不作要求, IPSec使用数据源验证机制实现无连接完整性服务;通信流机密性服务是指防止对通信的外部属性的泄露, 从而使攻击者对网络流量进行分析, 推导其中的传输频率、通信者身份、数据包大小、数据流标识符等信息。IPSec使用ESP隧道模式, 对IP包进行封装, 可达到一定程度的机密性, 即有限的通信流机密性。
2 IPSec安全方面的特点
数据可靠性是指在传输数据前先加密数据, 这样就可以保证在数据的传输过程中, 即使遭到恶意的拦截等, 由于加密的原因也可以保证数据的安全。该特性作为一个可选项出现在IPSec的设置当中, 可以根据个人需求进行选择。
数据完整性是指避免在数据的传送过程中被他人恶意修改, 避免了数据发出和接到的内容不相同。IPSec 通过利用一些复杂的数学函数对每个要传送的数据包都进行检查和加密, 在对方接收前再次进行检查计算, 如果数据包在传送的过程中发生了丢失等现象, 则检查结果会提示用户。
反传播性是指在传播过程中避免数据被他人截取复制后, 再次进行传输和利用的特性, 保证了数据的唯一性。这一特性非常重要, 在一定的时间内避免了数据在传输过程中被他人恶意拦截, 并对数据进行修改后取得访问权。
不可否认性是指避免在数据传输后, 唯一的发送者否认自己曾经发送过信息的行为。作为公钥技术中最重要一环的“不可否认性”保证了在使用该技术时, 可以将发送人的私钥用一个数字签名来代替, 并且与数据一起进行传送, 而接受者在接收时可以用发信人的公钥来验证与数据一起传送的数字签名的可靠性。由于私钥是唯一的, 每个用户只能拥有一个, 也就是说数字签名是唯一的, 只有发送者才可以拥有, 所以通过验证数字签名就可以确认是否是该发送人发送的数据。但是不可否认性也有一定的不足, 由于其是双方共享密钥技术, 所以在认证的过程中, 接收方与发送方都拥有这个密钥。
认证是指在数据发送时, 发送方将信任状与数据一起发送, 接收方负责验证该信任状的合法性, 只有符合相应的认证系统, 才可以在双方之间建立连接。
3密钥管理协议简述
密匙管理主要包括两个方面, 他们分别是确定密匙以及分发密匙两个方面, 最多的情况下需要4层密匙, 分别是ESP与AH的两个接收与发送密匙。密匙管理有两种方式, 分别是自动与手工两种, 自动密匙管理可以满足更高的安全需求, 而手工密匙管理仅能在一般的安全条件下达到更好的工作状态。
通过使用自动密匙管理系统可以自动地进行迷失的分发和确定工作。自动密匙管理系统有一个高度集中的中央控制点, 可以让密匙系统的管理员拥有更好的安全保障, 并且更能够将IPSec的功能最大程度的发挥。而手动密匙管理系统从字面上也可以看出来是手动的, 只能通过管理站确定后才可以向用户发送密匙。密匙的结构多种多样, 可以是任意的数字拼凑出来, 也可以是数字生成器随机生成, 但是每一个密匙都可以按照相关的安全政策这个大前提下进行修改工作。
在任意一次通信中, 密钥产生的频率都是不同的, 都是按照动态密钥更新的方法来产生的。动态密钥指在通信过程中, 数据流被划分成一个个“数据块”, 每一个“数据块”都使用不同的密钥加密, 这可以保证万一攻击者中途截取了部分通信数据流和相应的密钥后, 也不会危及到所有其余的通信信息的安全。动态密钥更新服务由Internet密钥交换IKE提供。IPSec策略允许专家级用户自定义密钥生命周期。密钥长度每增加一位, 可能的密钥数就会增加一倍, 相应地, 破解密钥的难度也会随之成指数级加大。除进行密钥交换外, IPSec还使用DH 算法生成所有其他加密密钥。
4结语
综上所述, 我们要在信息保护与网络攻击的竞争中占得先机, 必须通过进一步的验证系统来保证系统的完备性以及安全性。同时, 我国的IP安全防护与西方发达国家之间仍存在一定的差距, 只有正确地认识自己, 发现差距, 才能够迎头赶上, 继而推动我国互联网技术不断向前发展。
摘要:电子计算机已经广泛深入到我们的日常工作、生活中, 因此其安全性受到了大家的广泛关注, 而其中的IP安全性更是成为了其中最关键的一个环节。根据相关行业工作经验, 并结合我国IP安全的实际情况, 先对IPSec协议的主要内容进行阐述, 继而对其安全特性进行详细分析, 最后再对IPSec的密钥管理协议进行深入探讨, 希望可以起到抛砖引玉的作用, 引起大家广泛关注的同时, 推进我国IP安全行业的不断发展。
关键词:IP安全,IPSec协议,安全特性,密钥管理
参考文献
IP安全策略 第6篇
1 常见IP地址盗用方法
1.1 修改静态IP地址
用户在配置TCP/IP选项时,使用的不是管理员分配的IP地址,就形成了IP地址的盗用。
1.2 修改IP地址的同时修改MAC地址
MAC地址是网络设备的硬件地址,具有唯一性。但是,用户可以通过配置程序修改MAC地址,或者使用底层网络软件修改MAC地址。
1.3 电子欺骗
通过使用SOCKET编程,发送带有假冒的源IP地址的IP数据包,绕过上层网络软件,达到动态修改自己的IP地址目的。
2 原因分析
原因之一,冒用合法身份享用网络服务获取网络资源,或者盗用合法IP,实施危害网络安全的活动;原因之二,目前使用的Ipv4消耗太快,造成IPv4地址紧缺的原因还在于IPv4地址技术上的两个弱点:地址空间的浪费和过度的路由负担,所以,IPV4延续使用,但是向IPV6的过渡是必然的。
3 应对策略
3.1 做好地址规划
在局域网拓扑结构逐渐扩大并不断完善的过程中,工作重点就偏向了网络管理。在局域网内部使用私有地址作为设备的管理地址以及接口地址,将私有地址资源分成管理地址和用户地址两部分。根据用户实际情况,将用户地址规律化、细致化,确定用户VLAN的范围。
3.2 静态与动态相结合
静态地址分配是给每一台计算机、交换机、路由器、防火墙和服务器等联网设备分配一个固定的IP地址,通过IP地址就可以访问到每一台主机。这样便于管理者了解设备情况,及时掌握设备信息,但是当更新设备或者更换用户时管理者的工作量就会增大。
DHCP协议主要用于给内部网络自动分配IP地址给用户给内部网络管理员作为对所有计算机作中央管理的手段,它是基于C S模式的,使用UDP协议工作的,是可自动将IP位址指派给登入TCP/IP网络的用户端的一种软件。DHCP服务器自动为用户指定IP地址。DHCP使IP地址的可以租用,对于许多拥有许多台计算机的大型局域网来说,租期可以不确定,当租期到了的时候,服务器可以把这个IP地址分配给别的机器使用。客户也可以请求使用自己喜欢的网络地址及相应的配置参数。
所以,在核心区域,或者相对固定的局域内使用固定地址,便于通信与维护,然而针对用户一般采用动态地址规划。
3.3 技术防范
3.3.1 MAC地址与主机绑定
如果小型局域网是通过代理服务器上网,那么在代理服务器上打开DOS窗口,键入:
C:arp–s[局域网内部用户IP地址][需要绑定的主机mac地址]
这样就将某个IP地址与网内某个主机绑定,也就是说,这个IP固定分配给某个主机,即使其他计算机修改相同的IP地址,也不能通过代理上网。这里需要做的就是,针对代理服务器的维护工作,因为当服务器因任何原因重启后命令将消除,得重新绑定。
3.3.2 静态ARP表的绑定
ARP绑定设置可以防止ARP攻击,因为ARP病毒可以伪IP为代理服务器,但MAC地址还是本机的。在用户不修改MAC地址的情况下,通过ARP映射表来观察网络中计算机的MAC地址和IP地址的映射关系。配置路由器时,可以指定静态的ARP表,路由器会根据静态的ARP表检查数据包,如果不能对应,则不进行数据转发。
3.3.3 交换机端口与主机的绑定
管理员利用可网管交换机规定其端口只允许具合法MAC地址访问网络让使得每个交换机端口有对应的MAC地址,如果修改了主机MAC地址则不能访问网络。以cisco2950为例,在全局配置模式下:
arp 172.24.2.2[主机MAC地址]arpa
arp 172.24.2.2[主机MAC地址]fastethernet 0/1
3.3.4 细化VLAN做路由隔离
VLAN划分是管理与技术相结合的方法。将具有相近权限的IP地址划分到同一个VLAN,设置路由策略,可以有效阻止非法用户冒用其他网段的IP地址的企图。具体为将VLAN基于端口划分,限制接入主机数量:
如果网络中接了很多网络设备和主机,而且网络拓扑也很复杂,那么大量的设备都去处理广播信息,这样掉线的可能性就会增大。比较实际的办法就是细化VLAN,将比较大的局域网划分成许多个子网。端口隔离特性与以太网端口所属的vlan无关,通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层、三层数据的隔离,既增强了网络的安全性,也为用户提供了灵活的组网方案。以S3000为例:
此功能只能用于隔离同一个VLAN相同IP网段用户,对于两个端口之间的隔离,只需要在其中一个端口下进行配置即可。
3.4 建立认证计费系统
针对局域网建立认证机制。采用802.1x认证具有的最大特点是简单,无需特殊的设备支持,同时支持任何网络应用。接入交换机启动802.1x功能,完成对用户认证请求的处理,将802.1x协议规定的EAP报文转化成Radius报文,完成和认证计费平台的互动,允许或拒绝用户上网。对于上网用户,交换机完成用户上网的实时统计和定期更新,并将时间信息交由认证计费平台处理。
4 结束语
通过分析,我们发现IP地址的管理是网络能否正常高效运行的关键之一,将管理方式和技术应用相结合是能够对网络的安全稳定起到实际作用。
摘要:由于造成IP地址非法使用的问题, 不是普通的技术问题, 而是一个管理问题。该文针对非法IP的使用动机和方法, 提出应对策略和管理办法, 维护网络的正常运行。
关键词:局域网,IP地址,VLAN
参考文献
[1]李斌.大型局域网IP地址的规划与分配[J].科技信息, 2009, (34) :189-190.
[2]段煜晖, 蔡鹏飞.局域网IP地址盗用问题综合解决方案[J]河南机电高等专科学校学报, 2007, (3) :42-43.
[3]靳亚楠.局域网IP地址盗用现象探析及对策研究[J]软件导刊, 2008, (4) :153.
[4]王寒冰.局域网IP地址非法使用解决方案[J].电脑知识与技术, 2007, (11) :1225, 1246.
[5]周杨.“动静结合”应对局域网IP地址冲突[J].军事经济学院计算机中心, 2006, (21) :17-18.
IP网络安全防护方案研究 第7篇
Internet的不安全因素, 来自两个方面。一方面, Internet网络做为一种开放的通信基础设施, 是面向所有用户提供服务的;另一方面, Internet技术是开放和标准的, 任何人都可以取得和进行研究。随着国内互联网的发展, 来自国内的黑客攻击也日益频繁, 黑客攻击的案例不断增加, 而且来自于国内的网络攻击呈指数增长的趋势。
但是, 在实际操作中, 保障网络安全与提供高效灵活的网络服务是一对矛盾。从网络服务的可用性、灵活性和网络性能考虑, 网络结构和技术实现应该尽可能简捷, 不引入额外的控制因素和资源开销。但从网络安全保障考虑, 则要求网络对所提供的服务的种类、时间、对象、地点甚至内容有尽可能多的了解和控制能力, 实现这些附加的安全功能不可避免地要耗费有限的网络资源或限制网络资源的使用, 从而对网络系统的性能、服务的使用方式和范围产生影响。
1 网络安全建议
建议互联网运营商在运营过程中采用如下安全措施:
1.1 关闭不必要的服务
关闭网络设备上的不必要的服务, 如Finger等。
1.2 设置加密特权密码
使用加密的特权密码, 注意密码的选择:
(1) 不要使用登录名, 不管以何种形式;
(2) 不要用名字的第一个、中间一个或最后一个字;
(3) 不要用最亲近的家人的名字;
(4) 不要用其他任何容易得到的关于你的信息;
(5) 不要使用纯数字或完全同一个字母组成的口令;
(6) 不要使用在英文字典中的单词;
(7) 不要使用短于6位的口令;
(8) 不要将口令告诉任何人或通过电子邮件给任何人;
1.3 打开密码标记
加密密码, 原先使用明文显示的密码将会以密文方式出现。
1.4 配置Console、AUX和VTY登录控制
登录一台路由器可以通过Console端口、AUX端口和VTY远程方式。在三种登录方式下需要设置认证和超时选项。建议认证使用本地用户名加密码的方式增加安全性。
1.5 设置NTP server, 配置日志服务
为了保证全网网络设备时钟的同步, 必须在网络设备上配置NTP。在所有的路由器或交换机上配置相应的日志选项, 将日志的DEBUG的信息做上时间标志。
1.6 限制SNMP访问
限制可以通过SNMP访问该网络设备的地址。
3 路由器安全建议
路由器的安全可以分为三部分:
(1) 路由器的物理安全
(2) 操作系统安全
(3) 网络安全配置
过安全配置策略减少路由器受攻击的手段, 主要包含以下几部分:
(1) 路由器访问安全
(2) 路由协议安全
(3) 保护路由引擎
(4) 安全审计建议对某网络安全做如下安全策略部署, 用于保护改网络设备免受非法用户以及垃圾流量的攻击。
3.1 漏洞保护
安全目标:防止非法用户利用系统服务漏洞进行攻击, 如ICMP Redirect、Proxy ARP等。
保护方法:关闭存在安全风险的漏洞, 如ICMP Redirect、Proxy ARP等。
3.2 过滤无效流量
安全目标:过滤源或目的地址非法的流量, 如RFC1918定义的地址。
保护方法:在某运营商网络中所有连接省网、其他运营商网络的接口上部署访问列表, 过滤目的地址明显非法的数据包, 如192.x.x.x等非公网数据包。
4 路由协议安全建议
4.1 ISIS协议安全
安全目标:保护ISIS协议免受攻击。
保护方法:在某运营商网络中所有连接省网、其他运营商的接口上禁止运行ISIS;配置ISIS协议加密。
4.2 BGP协议安全
安全目标:保护BGP协议免受攻击。
保护方法:在某运营商网络中的所有路由器上限定合法邻居路由器IP地址。在某运营商网络所有连接省网和其他运营商的端口上采用访问列表拒绝非法EBGP协议数据包。EBGP邻居间部署MD5认证。部署路由策略, 过滤异常路由, 如RFC1918定义的路由、缺省路由。
4.3 NTP协议安全
安全目标:保护NTP免受攻击
保护方法:部署访问列表限制从外网进入某运营商网络的NTP数据包。对NTP会话进行MD5认证。
5 设备访问控制
一是VTY控制;二是SNMP控制;三是HTTP控制。
6 总结
综合上述几方面的研究, 对于安全性要求比较高的运营商网络, 建议在网络设备、路由协议、设备访问控制等方面都部署上述安全措施, 这样可以极大提高网络的安全性, 以保证运营商网络能够安全可靠的运行, 网络服务不中断。
摘要:本文研究如何为运营商提供网络安全保护方案, 并通过网络设备、网络协议、网络设备访问等多方面进行阐述, 为提高运营商网络安全提供参考。
关键词:网络安全,路由协议,NTP SNMP
参考文献
[1]《An Active Network Approach for Security Management[J]》by Ahmed Eddaoui and Abdellatif Mezrioui, 2006
TCP/IP协议的网络安全 第8篇
TCP/IP协议叫做传输控制/网际协议, 是Internet国际互联网络的基础。TCP/IP是网络中使用的基本的通信协议。其中IP (Internet Protocol) 全名为“网际互连协议”, 是为计算机网络相互连接进行通信而设计的协议。TCP (Transfer Control Protocol) 是传输控制协议。TCP/IP协议是能够使连接到网上的所有计算机网络实现相互通信的1套规则, 正是因为有了TCP/IP协议, 因特网才得以迅速发展成为世界上最大的、开放的计算机通信网络。
从表面名字上看TCP/IP包括两个协议, 传输控制协议 (TCP) 和互联网际协议 (IP) , 其实TCP/IP实际上是1组协议的集合, 包括了上百个各种功能的协议。如:远程登录、文件传输和电子邮件等, 而TCP协议和IP协议是保证数据完整传输的两个基本的重要协议。IP协议之所以能使各种网络互联起来是由于它把各种不同的“帧”统一转换成“IP数据包”格式, 这种转换是因特网的1个最重要的特点。所以IP协议使各种计算机网络都能在因特网上实现互通, 即具有“开放性”的特点。TCP/IP协议的基本传输单位是数据包 (datagram) 。TCP协议负责把数据分成若干个数据包, 并给每个数据包加上包头, 包头上有相应的编号, 以保证在数据接收端能将数据还原为原来的格式, IP协议在每个包头上还要加上接收端主机地址, 这样数据通过路由器中的MAC地址来确定数据的流向, 如果传输过程中出现数据丢失, 数据失真等情况, TCP协议会自动要求数据重新传输, 并重新组。总之, IP协议保证数据的传输, 而TCP协议保证数据传输的质量。TCP/IP协议数据的传输基于TCP/IP协议的4层结构:应用层、传输层、网络层、接口层。
2 TCP/IP协议的结构功能
TCP/IP是一个四层的分层体系结构。高层为传输控制协议, 负责聚集信息或把文件拆分成更小的包。这些包通过网络传送到接收端的TCP层, 接收端的TCP层把包还原为原始文件。低层是网际协议, 其处理每个包的地址部分, 使这些包正确的到达目的地。网络上的网关计算机根据信息的地址来进行路由选择。即使来自同一文件的分包路由也有可能不同, 但最后会在目的地汇合。TCP/IP使用客户端/服务器模式进行通信。TCP/IP通信是点对点的, 是网络中的一台主机与另一台主机之间的。TCP/IP与上层应用程序之间可以说是“没有国籍的”, 因为每个客户请求都被看做是与上一个请求无关的。正是它们之间的“无国籍的”释放了网络路径, 才使每个人都可以连续不断的使用网络。许多用户熟悉使用TCP/IP协议的高层应用协议。包括万维网的超文本传输协议 (HTTP) , 文件传输协议 (FTP) , 远程网络访问协议 (Telnet) 和简单邮件传输协议 (SMTP) 。这些协议通常和TCP/IP协议打包在一起。使用模拟电话调制解调器连接网络的个人电脑通常是使用串行线路接口协议 (SLIP) 和点对点协议 (P2P) 。这些协议压缩IP包后通过拨号电话线发送到对方的调制解调器中。与TCP/IP协议相关的协议还包括用户数据包协议 (UDP) , 代替TCP/IP协议来达到特殊的目的。其他协议是网络主机用来交换路由信息的, 包括Internet控制信息协议 (ICMP) 、内部网关协议 (IGP) 、外部网关协议 (EGP) 、边界网关协议 (BGP) 。
3 TCP/IP协议的安全隐患
3.1 关于链路层存在的安全漏洞
在以太网中, 信息通道是共享的, 一般地, CSMA/CD协议是以太网接口在检测到数据帧不属于自己时, 就把它忽略, 不会把其发送到上层协议。解决该漏洞的对策是:网络分段、利用交换器、动态集线器等设备对数据流进行限制、加密和禁用杂错节点。
3.2 关于IP漏洞
IP包一旦从网络中发送出去, 源IP地址就几乎不用, 仅在中间路由器因某种原因丢弃它或到达目标端后, 才被使用。如果攻击者把自己的主机伪装成被目标主机信任的友好主机, 即把发送的IP包中的源IP地址改成被信任的友好主机的IP地址, 利用主机间的信任关系和这种信任关系的实际认证中存在的脆弱性, 就可以对信任主机进行攻击。解决这个问题的一个办法是, 让路由器拒绝接受来自网络外部的IP地址与本地某一主机的IP地址相同的IP包的进入。
3.3 关于DNS欺骗
网络上的所有主机都信任DNS服务器, 如果DNS服务器中的数据被攻击者破坏, 就可以进行DNS欺骗。
4 SYN FLOOD攻击的基本原理
4.1 攻击原理
在SYN Flood攻击中, 黑客机器向受害主机发送大量伪造源地址的TCP SYN报文, 受害主机分配必要的资源, 然后向源地址返回SYN+ACK包, 并等待源端返回ACK包。由于源地址是伪造的, 所以源端永远都不会返回ACK报文, 受害主机继续发送SYN+ACK包, 并将半连接放入端口的积压队列中, 虽然一般的主机都有超时机制和默认的重传次数, 但是由于端口的半连接队列的长度是有限的, 如不断的向受害主机发送大量的TCP SYN报文, 半连接队列就会很快填满, 服务器拒绝新的连接, 将导致该端口无法响应其他机器进行的连接请求, 最终使受害主机的资源耗尽。
4.2 防御方法:SYN-cookie技术
一般情况下, 当服务器收到一个TCP SYN报文后, 马上为该连接请求分配缓冲区, 然后返回一个SYN+ACK报文, 这时形成一个半连接。SYN Flood正是利用了这一点, 发送大量的伪造源地址的SYN连接请求, 而不完成连接。这样就大量的消耗服务器的资源。
SYN-cookie技术针对标准TCP连接建立过程资源分配上的这一缺陷, 改变了资源分配的策略。当服务器收到一个SYN报文后, 不立即分配缓冲区, 而是利用连接的信息生成一个cookie, 并将这个cookie作为将要返回的SYN+ACK报文的初始序列号。当客户端返回一个ACK报文时, 根据包头信息计算cookie, 与返回的确认序列号 (初始的序列号+1) 的前24位进行对比, 如果相同, 则是一个正常连接, 然后, 分配资源, 建立连接。
该技术的巧妙之点在于避免了在连接信息未完全到达前进行资源分配, 使SYN Flood攻击的资源消耗失效。实现的关键之处在于cookie的计算。cookie的计算应该做到包含本次连接的状态信息, 使攻击者不能伪造cookie。cookie的计算过程如下:
(1) 服务器收到一个SYN包后, 计算一个消息摘要mac:mac=MAC (A, k) ;
MAC是密码学中的一个消息认证码函数, 也就是满足某种安全性质的带密钥的hash函数, 能够提供cookie计算中需要的安全性。
A为客户和服务器双方的IP地址和端口号以及参数t的串联组合:
时间参数t为32比特长的时间计数器, 每64秒加1;
K为服务器独有的密钥;
(2) 生成cookie。cookie=mac (0:24) ;表示取mac值的第0到24比特位;
(3) 设置将要返回的SYN+ACK报文的初始序列号, 设置过程如下:
(1) 高24位用cookie代替;
(2) 接下来的3比特位用客户要求的最大报文长度M-MS代替;
(3) 最后5比特位为t mod 32。
客户端收到来自服务器SYN+ACK报文后, 返回一个ACK报文, 这个ACK报文将带一个cookie (确认号为服务器发送过来的SYN ACK报文的初始序列号加1, 所以不影响高24位) , 在服务器端重新计算cookie, 与确认号的前24位比较, 如果相同, 则说明未被修改, 连接合法, 然后, 服务器完成连接的建立过程。SYN-cookie技术由于在连接建立过程中不需要在服务器端保存任何信息, 实现了无状态的三次握手, 从而有效的防御了SYN Flood攻击。但是该方法也存在一些弱点。由于cookie的计算只涉及了包头的部分信心, 在连接建立过程中不在服务器端保存任何信息, 所以失去了协议的许多功能, 比如, 超时重传。此外, 由于计算cookie有一定的运算量, 增加了连接建立的延迟时间, 因此, SYN-cookie技术不能作为高性能服务器的防御手段。通常采用动态资源分配机制, 当分配了一定的资源后再采用cookie技术, Linux就是这样实现的。还有一个问题是, 当人们避免了SYN Flood攻击的同时, 也提供了另一种拒绝服务攻击方式, 攻击者发送大量的ACK报文, 使服务器忙于计算验证。尽管如此, 在预防SYN Flood攻击方面, SYN-cookie技术仍然是一种有效的技术。
5 结束语
通过对TCP/IP协议的网络安全性的研究, 使人们更加注重网络的安全性。
摘要:论文介绍了TCP/IP协议的总体概况、结构功能;TCP/IP协议的安全隐患;然后从SYN的攻击代码来分析TCP/IP协议, 并且实现了防御SYN的方法。
关键词:TCP/IP协议,协议安全性
参考文献
[1]颜学雄, 王清贤, 李梅林.SYN Flood攻击原理与预防方法.北京:计算机应用, 2000.
[2]李磊, 赵永祥, 陈常嘉.TCP SYN Flooding原理及其应对策略.北京, 网络与应用, 2003.
