TCP IP協議族應用安全
我們?yōu)槭裁匆顺鯥Pv6?很大一部分原因不僅僅是因為IP地址的匱乏。更多的是它能改善現在網絡的安全問題。基于TCP IP協議族的互聯網第四協議版本,現在的確存在著很多安全問題。那么,在此我們就來做一個分析,看看這些安全隱患藏在哪里。
IP層的主要曲線是缺乏有效的安全認證和保密機制,其中最主要的因素就是IP地址問題。TCP IP協議用IP地址來作為網絡節(jié)點的惟一標識,許多 TCP/IP服務,包括Berkeley中的R命令、NFS、X Window等都是基于IP地址對用戶進行認證和授權。當前TCP/IP網絡的安全機制主要是基于IP地址的包過濾(Packet Filtering)和認證(Authentication)技術,它的有效性體現在可以根據IP包中的源IP地址判斷數據的真實性和安全性。然而IP地址存在許多問題,協議的最大缺點就是缺乏對IP地址的保護,缺乏對IP包中源IP地址真實性的認證機制與保密措施。這也就是引起整個TCP IP協議不安全的根本所在。
由于UDP是基于IP協議之上的,TCP分段和UDP協議數據包是封裝在IP包中在網絡上傳輸的,因此同樣面臨IP層所遇到的安全威脅。現在人們一直在想辦法解決,卻仍然無法避免的就是根據TCP連接建立時“三次握手”機制的攻擊。
TCP IP協議族之文件傳輸協議
FTP經久不衰的原因在于它可以在互聯網上進行與平臺無關的數據傳輸,它基于一個客戶機/服務器架構。FTP 將通過兩個信道(端口)傳輸,一個傳輸數據(TCP 端口 20),另一個傳輸控制信息(TCP 端口 21)。在控制信道之上,雙方(客戶機和服務器)交換用于發(fā)起數據傳輸的命令。一個 FTP 連接包含4個步驟:用戶鑒權→建立控制信道→建立數據信道→關閉連接。FTP 的連接控制使用 TCP (Transmission Control Protocol, 傳輸控制協議),它保障了數據的可靠傳輸。因此,FTP 在數據傳輸中不需要關心分組丟失和數據錯誤檢測。
匿名FTP作為互聯網上廣泛應用的服務,安全等級的低下受到了黑客的頻繁光顧。匿名FTP 是真的匿名,并沒有記錄誰請求了什么信息,誰下載了什么文件,上傳了什么東西(有可能是木馬)。FTP存在著致命的安全缺陷,FTP使用標準的用戶名和口令作為身份驗證,缺乏有效的訪問權限的控制機制,而其口令和密碼的傳輸也都是明文的方式。
TCP IP協議族之Web服務
Web服務器位于宿主基礎結構的前端,它與Internet直接相連,負責接收來自客戶端的請求,創(chuàng)建動態(tài)Web頁并響應請求數據。最初WWW服務只提供靜態(tài)的HTML頁面,為改變人們對網絡互動請求的愿望,開始引入了CGI程序,CGI程序讓主頁活動起來。CGI程序可以接收用戶的輸入信息,一般用戶是通過表格把輸入信息傳給CGI程序的,然后CGI程序可以根據用戶的要求進行一些處理,一般情況下會生成一個HTML文件,并傳回給用戶。很多CGI 程序都存在安全漏洞,很容易被黑客利用做一些非法的事情。現在很多人在編寫CGI程序時,可能對CGI軟件包中的安全漏洞并不了解,而且大多數情況下不會重新編寫程序的所有部分,只是對其加以適當的修改,這樣很多CGI程序就不可避免的具有相同的安全漏洞。很多 SQL Server 開發(fā)人員并沒有在代碼編寫開始的時候就從安全防護基礎開始,這樣就無法確保您開發(fā)的代碼的安全性,其結果就造成了無法將應用程序的運行控制在所需的最低權限之內。
TCP IP協議族之提高網絡可信度
前面的IPv4存在的弊端,很多安全防范技術被忽略了,它不可避免地被新一代技術IPv6取代。IPsec安全協議就是事后 發(fā)展的一種協議(如圖3-1),而NAT(網絡地址轉換,Network Address Translation)解決了IP地址短缺的問題,卻增加了安全風險,使真正的端到端的安全應用難以實現。端到端安全性的兩個基本組件——鑒權和加密都是IPv6協議的集成組件;而在IPv4中,它們只是附加組件,因此,采用IPv6安全性會更加簡便、一致。
在現在的網絡環(huán)境中,尤其是園區(qū)網當中,由于不存在NAT地址轉換的問題,所以IPSec具備允許部署可信計算基礎架構的基本特征。IPSec數據包驗證能夠確保整個IP報頭、下一層協議(例如TCP、UPD或ICMP)報頭以及數據包有效負載的數據完整性。 華夏網管ofAdmin.Com
另外,針對數據包的單向Hash算法用以提供校驗和。通信發(fā)起方計算校驗和并在發(fā)送之前將其附加到數據包中;響應方則在收到數據包后為其計算校驗和。如果響應方所計算出的校驗和與數據包中附帶的校驗和完全匹配,則證明數據包在傳輸過程中未被修改。校驗和的單向計算特性意味著其取值無法在傳輸過程中進行修改,這也就保證了端到端的數據傳輸過程的可信程度。
