ch7網(wǎng)絡(luò)應(yīng)用安全

第7章網(wǎng)絡(luò)應(yīng)用安全內(nèi)容提要：遠(yuǎn)程接入安全

網(wǎng)絡(luò)協(xié)議安全網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全小結(jié)7.1

遠(yuǎn)程接入安全遠(yuǎn)程接入是一項重要的網(wǎng)絡(luò)應(yīng)用，在利用公用網(wǎng)絡(luò)構(gòu)建單位內(nèi)部專用網(wǎng)絡(luò)方面具有廣泛應(yīng)用。返回本章首頁7.1.1VPN的定義及特點1．VPN的定義VPN（VirtualPrivateNetwork），顧名思義，虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。虛擬專用網(wǎng)指的是依靠ISP（Internet服務(wù)提供商）和其它NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。返回本章首頁VPN在Internet上傳輸數(shù)據(jù)時使用了兩種技術(shù)：隧道技術(shù)和加密技術(shù)。隧道技術(shù)是一種封裝數(shù)據(jù)的方式，以這種方式封裝的數(shù)據(jù)在Internet上是不可識別的，只有對用戶端的網(wǎng)絡(luò)可以識別。加密技術(shù)保證鏈接的安全，使數(shù)據(jù)在傳輸中不被第三者看到。返回本章首頁2．VPN的分類（1）軟件VPN軟件VPN顧名思義就是只通過軟件實現(xiàn)的VPN安全連接。可以節(jié)省大部分投資。（2）硬件VPN硬件VPN是目前應(yīng)用較多的VPN技術(shù)，其突出特點就是安全性高，許多常規(guī)網(wǎng)絡(luò)產(chǎn)品如路由器、防火墻中都集成了VPN功能。返回本章首頁3．VPN的特點（1）費用低廉（2）安全性高（3）支持最常用的網(wǎng)絡(luò)協(xié)議（4）有利于IP地址安全（5）網(wǎng)絡(luò)架構(gòu)彈性大（6）管理方便靈活（7）完全控制主動權(quán)返回本章首頁7.1.2VPN的功能及作用VPN本身是一種為遠(yuǎn)程訪問提供安全保障的技術(shù)，因此通常用于連接異地局域網(wǎng)，并且實現(xiàn)安全通信。一般來說，VPN有以下3種基本功能，即通過Internet實現(xiàn)遠(yuǎn)程用戶訪問、通過Internet實現(xiàn)網(wǎng)絡(luò)互連、連接內(nèi)部網(wǎng)絡(luò)計算機。返回本章首頁1．遠(yuǎn)程用戶訪問返回本章首頁2．網(wǎng)絡(luò)互連（1）使用專線連接異地局域網(wǎng)異地服務(wù)器之間使用各自本地的專用線路，通過本地的ISP連接到Internet。返回本章首頁2．網(wǎng)絡(luò)互連（2）使用撥號線路連接異地局域網(wǎng)

通過撥號方式連接本地ISP。VPN軟件使用與本地ISP建立起的連接，在分支機構(gòu)和企業(yè)端路由器之間創(chuàng)建一個跨越Internet的虛擬專用網(wǎng)絡(luò)。返回本章首頁3．連接內(nèi)部網(wǎng)絡(luò)計算機采用VPN方案，通過使用一臺VPN服務(wù)器既能實現(xiàn)與整個企業(yè)網(wǎng)絡(luò)的連接，又可以保證保密數(shù)據(jù)的安全。此外，可以對所有VPN數(shù)據(jù)進(jìn)行加密，從而確保數(shù)據(jù)的安全性。返回本章首頁7.2網(wǎng)絡(luò)協(xié)議安全

TCP/IP協(xié)議是Internet的事實上的標(biāo)準(zhǔn)協(xié)議，是保證Internet正常運行的基礎(chǔ)。由于TCP/IP協(xié)議在設(shè)計之初在安全性方面考慮不足，隨著Internet技術(shù)和應(yīng)用的發(fā)展，TCP/IP協(xié)議的一些安全問題逐漸顯現(xiàn)。返回本章首頁7.2.1

TCP/IP協(xié)議安全1．TCP/IP協(xié)議概述TCP/IP協(xié)議是一種異構(gòu)網(wǎng)絡(luò)互連的通信協(xié)議，通過它實現(xiàn)各種異構(gòu)網(wǎng)絡(luò)或異種計算機之間的互連通信，可用于任何類型網(wǎng)絡(luò)。

TCP/IP協(xié)議是由100多個協(xié)議組成的協(xié)議集。TCP和IP是其中兩個最重要的協(xié)議。返回本章首頁2．TCP/IP協(xié)議安全問題

TCP/IP協(xié)議的設(shè)計初衷是為計算機聯(lián)網(wǎng)服務(wù)的，很少考慮安全性方面的問題。IP協(xié)議是無連接協(xié)議，IP數(shù)據(jù)包中的源IP地址只有當(dāng)數(shù)據(jù)包到達(dá)目的IP地址或被中間路由器由于某種原因丟棄時才會用到。這就為一臺主機冒用另外一臺主機的IP地址發(fā)送數(shù)據(jù)包創(chuàng)造了條件。返回本章首頁2．TCP/IP協(xié)議安全問題利用TCP協(xié)議進(jìn)行數(shù)據(jù)通信前，必須完成建立TCP連接的三次握手過程。典型的拒絕服務(wù)攻擊方式TCPSYNFlood就是利用TCP協(xié)議的這一特性發(fā)揮作用。TCP會話劫持是另一種比較常見的TCP協(xié)議安全問題，通常也稱為中間人攻擊。返回本章首頁7.2.2HTTP協(xié)議安全1．HTTP協(xié)議概述HTTP協(xié)議是Web站點與Web瀏覽器之間交互信息的協(xié)議，也是目前應(yīng)用最為普遍的一種協(xié)議。HTTP協(xié)議是一種無狀態(tài)協(xié)議，即服務(wù)器不保留與客戶交易時的任何狀態(tài)。HTTP又是一種面向?qū)ο蟮膮f(xié)議，允許傳送任意類型的數(shù)據(jù)對象。返回本章首頁2．HTTP協(xié)議安全問題

HTTP協(xié)議雖然使用極為廣泛，但是卻存在不小的安全缺陷，主要是其數(shù)據(jù)的明文傳送和消息完整性檢測的缺乏。針對HTTP協(xié)議的明文數(shù)據(jù)傳輸，最常見的攻擊手段是網(wǎng)絡(luò)監(jiān)聽。HTTP協(xié)議唯一的數(shù)據(jù)完整性檢驗是在報文頭部包含了本次傳輸數(shù)據(jù)的長度，而對內(nèi)容是否被篡改不作確認(rèn)。返回本章首頁7.2.3FTP協(xié)議安全1．FTP協(xié)議概述FTP協(xié)議是TCP/IP協(xié)議族中的一種應(yīng)用層協(xié)議，允許用戶以文件操作的方式與其他主機相互通信。通過FTP協(xié)議，可以在網(wǎng)絡(luò)上方便地傳輸文件。返回本章首頁2．FTP協(xié)議安全問題（1）明文口令返回本章首頁2．FTP協(xié)議安全問題（2）服務(wù)程序版本泄露返回本章首頁2．FTP協(xié)議安全問題（3）通過FTP服務(wù)器進(jìn)行端口掃描FTP客戶端所發(fā)送的PORT命令告訴服務(wù)器FTP服務(wù)器傳送數(shù)據(jù)時應(yīng)當(dāng)連向的IP地址和端口號。FTP協(xié)議本身并沒有要求客戶發(fā)送的PORT命令中必須指定自己的IP地址。利用這一點，可以通過第三方FTP服務(wù)器對目標(biāo)進(jìn)行端口掃描，這種方式一般稱為FTP代理掃描。返回本章首頁2．FTP協(xié)議安全問題（4）數(shù)據(jù)劫持FTP協(xié)議本身并沒有要求傳輸命令的客戶IP和進(jìn)行數(shù)據(jù)傳輸?shù)目蛻鬒P一致，這樣就有可能劫持客戶和服務(wù)器之間傳送的數(shù)據(jù)。返回本章首頁7.2.4Telnet協(xié)議安全1．Telnet協(xié)議概述Telnet協(xié)議是是Internet遠(yuǎn)程登錄服務(wù)的標(biāo)準(zhǔn)協(xié)議。遠(yuǎn)程登錄是指用戶使用Telnet命令，使自己的計算機暫時成為遠(yuǎn)程主機的一個仿真終端的過程。返回本章首頁2．Telnet協(xié)議安全問題（1）沒有加密保護(hù)，遠(yuǎn)程用戶登錄傳送的賬戶和密碼都是明文，使用普通的網(wǎng)絡(luò)監(jiān)聽工具就可以被截獲。（2）沒有強力認(rèn)證過程。只是驗證連接者的賬戶和密碼。（3）沒有完整性檢查。沒有辦法知道傳送的數(shù)據(jù)是否完整，是否被篡改。（4）傳送的數(shù)據(jù)都沒有加密。返回本章首頁7.2.5SNMP協(xié)議安全1．SNMP協(xié)議概述SNMP是目前標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理協(xié)議，其基本功能包括監(jiān)視網(wǎng)絡(luò)性能、檢測分析網(wǎng)絡(luò)差錯和配置網(wǎng)絡(luò)設(shè)備等。在網(wǎng)絡(luò)正常工作時，SNMP可實現(xiàn)統(tǒng)計、配置和測試等功能。當(dāng)網(wǎng)絡(luò)出故障時，可實現(xiàn)各種差錯檢測和恢復(fù)功能。返回本章首頁2．SNMP協(xié)議安全問題（1）SNMPv1的消息是以明文形式發(fā)送的，而這些消息很容易被網(wǎng)絡(luò)監(jiān)聽器截獲，從中可以得到SNMP通信的通行字信息。利用截獲的通行字可以獲取有關(guān)網(wǎng)絡(luò)設(shè)備的重要信息，甚至可以實現(xiàn)對設(shè)備的管控。（2）SNMP默認(rèn)會啟用public和private兩個通行字。如果不及時修改，將嚴(yán)重影響網(wǎng)絡(luò)設(shè)備的安全。返回本章首頁7.3網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全

常用的網(wǎng)絡(luò)應(yīng)用包括Web、FTP、電子郵件、即時通信等，下面對其安全配置方法進(jìn)行簡要介紹。返回本章首頁7.3.1Web應(yīng)用安全1．Web服務(wù)器安全Web服務(wù)器上的漏洞主要涉及以下幾方面因素：（1）在Web服務(wù)器上存在秘密文件、目錄或重要數(shù)據(jù)；（2）從遠(yuǎn)程用戶向服務(wù)器發(fā)送消息時，特別是信用卡之類的信息時，中途可能遭惡意用戶非法攔截；（3）Web服務(wù)器本身存在一些漏洞，使得一些惡意用戶可能侵入到主機系統(tǒng)，破壞一些重要的數(shù)據(jù)，甚至造成系統(tǒng)癱瘓；（4）用CGI腳本編寫的程序，當(dāng)涉及到遠(yuǎn)程用戶從瀏覽器中輸入表格，并進(jìn)行檢索或在主機上直接操作命令時，可能會給Web主機系統(tǒng)造成危險。返回本章首頁Web服務(wù)器安全應(yīng)遵循以下原則：（1）限制在Web服務(wù)器創(chuàng)建賬戶；（2）對在Web服務(wù)器上創(chuàng)建的賬戶，在口令長度及定期更改方面做出要求，防止被盜用；（3）盡量與FTP服務(wù)器、E-mail服務(wù)器等分開，去掉無關(guān)的應(yīng)用；（4）在Web服務(wù)器上將那些絕對不用的文件刪除掉；（5）定期查看服務(wù)器中的日志文件，分析可疑事件；（6）設(shè)置好Web服務(wù)器上文件的權(quán)限和屬性，對允許訪問的文檔分配一個公用組，并只分配它“只讀”權(quán)限。返回本章首頁2．Web瀏覽器安全配置（1）選擇默認(rèn)安全級別加強Web瀏覽器安全最簡單的方法就是使用一個瀏覽器預(yù)配置的安全級別，操作步驟如下：第1步：打開瀏覽器IE；第2步：單擊“工具”下拉菜單；第3步：選擇“Internet選項”；第4步：單擊“安全”；第5步：在彈出的窗口里，找到“該區(qū)域的安全級別”，如沒有看到安全設(shè)置的滑塊，單擊“默認(rèn)級別”；第6步：設(shè)置安全級別：低、中低、中和高。返回本章首頁2．Web瀏覽器安全配置（2）添加受信任的站點

如果選擇了高安全級別，你會發(fā)現(xiàn)很多經(jīng)常訪問的站點現(xiàn)在無法訪問了。要解決這個問題，可以把這些站點加入到受信任站點區(qū)域里。返回本章首頁2．Web瀏覽器安全配置（3）禁用自動完成功能第1步：打開瀏覽器IE；第2步：單擊“工具”下拉菜單；第3步：選擇“Internet選項”；第4步：彈出對話框，單擊“內(nèi)容”；第5步：單擊“自動完成”；第6步：去掉選中的Web地址、表單、表單上的用戶名和密碼；第7步：單擊“清除表單”和“清除密碼”，將刪除自動完成功能所保存的用戶名和密碼等信息。返回本章首頁7.3.2FTP應(yīng)用安全1．在Serv-U中創(chuàng)建FTP站點啟動Serv-U管理程序，進(jìn)入管理界面。然后選中“域”，右鍵選擇“新建域”，根據(jù)提示新建一個域。返回本章首頁選中“用戶”，右鍵選擇“新建用戶”，根據(jù)提示分別設(shè)置用戶名、密碼和主目錄，并且選擇鎖定用戶于主目錄。返回本章首頁2．FTP站點的安全設(shè)置（1）賬戶名與密碼設(shè)置由于攻擊者可以通過暴力猜測的方式來破解FTP服務(wù)的賬戶名和密碼，為了防止被暴力破解，應(yīng)精心設(shè)置賬戶名和密碼，保證用戶名和密碼的復(fù)雜性和強度，增加破解的難度。返回本章首頁2．FTP站點的安全設(shè)置（2）限制連接數(shù)量為了防止FTP服務(wù)器被拒絕服務(wù)攻擊或密碼猜測，應(yīng)設(shè)置同一IP允許登錄的個數(shù)和最大用戶數(shù)量。返回本章首頁2．FTP站點的安全設(shè)置（3）限制目錄與文件訪問權(quán)限為了防止FTP服務(wù)器被濫用，危害服務(wù)器上的文件安全，應(yīng)設(shè)置目錄與文件的訪問權(quán)限，根據(jù)需要給不同目錄與文件賦予不同的訪問權(quán)限。返回本章首頁2．FTP站點的安全設(shè)置（4）限制IP地址范圍為了將FTP服務(wù)器的訪問權(quán)限限制在一定的范圍，拒絕非授權(quán)IP地址訪問FTP服務(wù)器，應(yīng)設(shè)置IP訪問規(guī)則，允許指定范圍內(nèi)的IP地址訪問，或拒絕指定范圍內(nèi)的IP地址訪問。返回本章首頁2．FTP站點的安全設(shè)置（5）啟用磁盤配額為了防止用戶無限制地上傳文件，大量占用FTP服務(wù)器的存儲空間，應(yīng)設(shè)置磁盤配額，指定用戶可以使用的磁盤空間上限。返回本章首頁2．FTP站點的安全設(shè)置（6）修改BANNER標(biāo)識為了防止攻擊者通過BANNER標(biāo)識探測FTP服務(wù)器的版本信息，應(yīng)修改BANNER標(biāo)識信息為其他內(nèi)容。返回本章首頁7.3.3電子郵件安全1．電子郵箱的密碼設(shè)置（1）盡量不要使用與個人身份緊密相關(guān)的字符，如姓名、出生年月、電話號碼、家庭住址等作為密碼；（2）密碼中應(yīng)該既包含英文字符又包含阿拉伯?dāng)?shù)字；（3）如果一定要使用熟悉的字符，可以采用字母的大小寫、數(shù)字、標(biāo)點的交叉混合組合，比如用數(shù)字“0”來代替字母“O”；（4）不要使用易猜字符，如某個單詞、姓名或綽號等作為密碼，密碼中的英文字母或數(shù)字也盡量不要照規(guī)律排列，如：8765、9999或abcde等出現(xiàn)在密碼中是不安全的。此外，用戶名也不要出現(xiàn)在密碼中；返回本章首頁（5）用足系統(tǒng)所規(guī)定的字符長度，字符越多，被攻破的可能性越小。密碼一般應(yīng)設(shè)置成8位以上；（6）盡量不要“一碼多用”，尤其是常用密碼，更要分別設(shè)置；（7）對于郵箱密碼提示問題及其答案，不要選用易于破解的問題及答案；（8）郵箱的密碼應(yīng)該定期更換。為了保證郵箱的安全，一定要養(yǎng)成定期更換密碼習(xí)慣。對于重要密碼，建議至少每三個月左右更換一次。返回本章首頁2．電子郵箱的密碼使用（1）用公用機器上網(wǎng)，使用瀏覽器時注意不要選擇"將密碼加密保存"，以防止密碼泄露；（2）重要步驟親自操作；（3）重要操作不要在網(wǎng)吧等公共場所進(jìn)行；（4）用公用電腦上網(wǎng)，結(jié)束使用時要將上網(wǎng)的歷史記錄全部清空；（5）當(dāng)在公共場合使用Web郵箱界面后，離開時請勿必點擊菜單欄的退出按鈕正常退出郵箱。返回本章首頁3．電子郵件加密

電子郵件加密是最常用的安全措施，主要手段包括：（1）利用壓縮軟件加密郵件（2）使用PGP加密郵件（3）利用Outlook加密郵件返回本章首頁7.3.4即時通信工具安全保護(hù)即時通信工具的安全應(yīng)做好以下幾點：（1）經(jīng)常升級即時通信工具版本（2）設(shè)置安全的密碼（3）申請密碼保護(hù)（4）防止通信監(jiān)聽返回本章首頁7.3.5反網(wǎng)絡(luò)釣魚所謂“網(wǎng)絡(luò)釣魚(Phishing)”就是向大量用戶發(fā)送經(jīng)過偽裝、看似正規(guī)公司發(fā)出的郵件，引誘計算機用戶登錄其經(jīng)過偽裝的網(wǎng)站，借機騙取用戶的登錄信息，而后實施財務(wù)竊取、破壞等犯罪行為。

網(wǎng)絡(luò)釣魚主要有三種方式：電子郵件、盜號木馬、網(wǎng)址欺騙。返回本章首頁根據(jù)網(wǎng)絡(luò)釣魚攻擊手段的不同，相應(yīng)的防范措施也不盡相同。（1）針對釣魚