Linux从入门到提高-第17章--网络信息安全

第17章网络信息安全网络信息安全简介常见的攻击类型防火墙技术入侵检测系统使用Tripwire保护网络系统的数据安全本章小结以Internet为代表的全球性信息化浪潮日益深刻，信息网络技术的应用正日益普及和广泛，安全日益成为影响网络效能的重要问题，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对信息安全提出了更高的要求，这主要表现在以下几个方面：开放性国际性自由性17.1网络信息安全简介信息安全包括五个基本要素：机密性完整性可用性可控性可审查性国际标准化组织（ISO）定义计算机信息系统的安全概念为：为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏。17.1.1网络信息安全的要素目前网络中存在的对信息系统构成的威胁主要表现在以下几个方面：非授权访问信息泄漏或丢失破坏数据完整性拒绝服务攻击网络病毒17.1.2网络中存在的威胁针对上述信息安全的概念以及网络中存在的各种威胁，当前信息安全研究领域主要包括以下几个方面：密码理论与技术安全协议理论与技术安全体系结构理论与技术信息对抗理论与技术网络安全与安全产品17.1.3网络信息安全领域的研究重点目前，在市场上比较流行，又能够代表未来发展方向的安全产品大致可以分为以下几类：防火墙安全路由器虚拟专用网（VPN）安全服务器电子签证机构（CA和PKI）用户认证产品安全管理中心入侵检测系统（IDS）安全数据库安全操作系统17.1.3网络信息安全领域的研究重点本节将对网络安全中经常出现的攻击类型的原理、特点、防范等进行介绍，包括端口扫描、特洛伊木马、拒绝服务攻击（DoS）和病毒。17.2常见的攻击类型从技术原理上来说，端口扫描向目标主机的TCP/IP服务端口发送探测数据包，并记录目标主机的响应。通过分析响应来判断服务端口是否打开，进而得知端口提供的服务或信息。端口扫描也可以通过捕获本地主机或服务器的流入/流出IP数据包来监视本地主机的运行情况，不仅能对接收到的数据进行分析，而且能够帮助用户发现目标主机的某些内在问题，而不会提供进入一个系统的详细步骤。端口扫描主要有经典的扫描器（全连接）和所谓的SYN（半连接）扫描器，此外还有间接扫描、秘密扫描等。17.2.1端口扫描特洛伊木马是一个包含在合法程序中的非法代码。这些非法代码会被用户在不知情的情况下执行。一般的木马都包含客户端和服务器端两个执行程序，其中客户端用于攻击者远程控制植入木马的主机，服务器端程序便是木马程序。攻击者要通过木马攻击系统，它所做的第一步是把木马的服务器端程序植入到被攻击用户的电脑里面。17.2.2特洛伊木马木马主要有如下几种类型，用户需要多加注意：破坏型密码发送型远程访问型键盘记录木马DoS攻击木马代理木马FTP木马程序杀手木马反弹端口型木马17.2.2特洛伊木马木马的防护手段和基本原则：提高安全意识小心电子邮件的附件不要从非正规站点下载文件使用反病毒防火墙随时监控系统定期检查系统当前开放的端口17.2.2特洛伊木马DoS的英文全称为DenialofService，也就是拒绝服务的意思。其目的就是拒绝用户的服务访问，破坏服务器的正常运行，最终使用户的部分Internet连接和网络系统失效。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。根据利用漏洞产生的来源来分，可以分为：利用软件实现的缺陷利用协议的漏洞资源消耗17.2.3DoS攻击从目前发现的病毒来说，Linux系统下的病毒相对于Windows系统下的来说要少很多，但并不能忽视。Linux平台下病毒主要有如下几类：可执行文件型病毒蠕虫（worm）病毒脚本病毒后门程序17.2.4Linux下的病毒防火墙（Firewall）的本义是指古代建筑木质结构房屋的时侯，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称之为防火墙。其实与防火墙一起起作用的就是“门”。这个门就相当于这里所讲述的防火墙的安全策略，所以防火墙实际并不是一堵实心墙，而是带有一些小孔的墙。这些小孔就是用来留给那些允许进行的通信，这就是所谓的防火墙单向导通性。17.3防火墙（FireWall）技术防火墙的一端连接企事业单位内部的局域网，而另一端则连接着Internet。所有的内、外部网络之间的通信都要经过防火墙。只有符合安全策略的数据流才能通过防火墙。防火墙之所以能保护企业内部网络，就是依据这样的工作原理或者说是防护机制进行的。它可以由管理员自由设置企业内部网络的安全策略，使允许的通信不受影响，而不允许的通信全部被拒绝于内部网络之外。17.3.1防火墙简介防火墙发展到今天，分类的方式多种多样，下面给出几种常用的分类方式。按防火墙的软、硬件形式分类按防火墙技术分类按防火墙结构分类按防火墙的应用部署位置分类按防火墙性能分类17.3.2防火墙的分类传统的防火墙种类繁多，各有各的特点，在应用中应该区别对待，以最大限度地发挥它们的优势，下面分别介绍各种传统防火墙技术及其特点。数据包过滤防火墙技术应用层网关防火墙技术代理防火墙技术17.3.3传统防火墙技术及其特点新一代防火墙的目的主要是综合包过滤和代理技术，克服二者在安全方面的缺陷；能从数据链路层一直到应用层施加全方位的控制；实现TCP/IP协议的微内核，从而在TCP/IP协议层进行各项安全控制；基于上述微内核，使速度超过传统的包过滤防火墙；提供透明代理模式，减轻客户端的配置工作；支持数据加密/解密，提供对虚拟网VPN的强大支持；内部信息完全隐藏；产生一个新的防火墙理论。17.3.4新一代防火墙的主要技术特点针对传统边界防火墙的缺陷，专家提出了分布式防火墙的概念。从狭义上讲，分布式防火墙产品是指那些驻留在网络中的主机（如服务器或桌面客户机），并对主机系统提供安全防护的软件产品；从广义上讲，分布式防火墙是一种新的防火墙体系结构，它主要包含以下几类产品：网络防火墙主机防火墙中心管理17.3.5新一代分布式防火墙概述嵌入式防火墙就是内嵌于路由器或交换机的防火墙。嵌入式防火墙是某些路由器的标准配置。用户也可以购买防火墙模块，安装到已有的路由器或交换机中。嵌入式防火墙也被称为阻塞点防火墙。由于互联网使用的协议多种多样，所以不是所有的网络服务都能得到嵌入式防火墙的有效处理。嵌入式防火墙工作于IP层，所以无法保护网络免受病毒、蠕虫、以及特洛伊木马程序等来自应用层的威胁。就本质而言，嵌入式防火墙通常是无监控状态的，它在传递信息包时并不考虑以前的连接状态。17.3.6新一代嵌入式防火墙技术智能防火墙从技术特征上讲，是利用统计、记忆、概率和决策的智能方法来对数据进行识别，并达到访问控制的目的。新的数学方法，消除了匹配检查所需要的海量计算，快速发现网络行为的特征值，直接进行访问控制。由于这些方法多是人工智能学科中所采用的方法，因此被称为智能防火墙。它的关键技术包括：防攻击技术防扫描技术防欺骗技术入侵防御技术包擦洗和协议正常化技术17.3.7新一代智能防火墙技术随着新的网络攻击的出现，防火墙技术也有一些新的发展趋势。这主要体现三个方面：包过滤技术防火墙体系结构防火墙系统管理17.3.8防火墙技术的发展趋势Linux系统提供了一个免费的netfilter/iptables防火墙框架，该框架功能强大，可以对流入和流出的信息进行控制，而且能够在一台低配置的计算机上很好地运行，它被认为是Linux系统中实现包过滤功能的第四代应用程序。17.3.9使用netfilter/iptables防火墙框架iptables[-t表]命令[匹配][目标]表filternatmangle命令-A或--append：将一条规则添加到链的末尾-D或--delete：指定要匹配的规则或者指定规则在链中的位置编号，从链中删除该规则-P或--policy：设置链的默认目标，即策略。-N或--new-chain：使用指定的名称创建一个新链-F或--flush：如果指定链名，该命令删除链中的所有规则，如果未指定链名，该命令删除所有链中的所有规则。-L或--list：列出指定链中的所有规则。17.3.9使用netfilter/iptables防火墙框架iptables[-t表]命令[匹配][目标]匹配-p或--protocol：用于检查某些特定协议。-s或--source：用于根据信息包的源IP地址来与它们匹配。-d或--destination：用于根据信息包的目的IP地址来与它们匹配目标ACCEPT：允许它前往目的地DROP：阻塞，并且不对它做进一步处理REJECT：该目标的工作方式与DROP目标相同，将错误消息发回给信息包的发送方。RETURN：停止遍历包含该规则的链。17.3.9使用netfilter/iptables防火墙框架示例#iptables-AINPUT-s198.168.80.10-jACCEPT#iptables-DINPUT--dport80-jDROP#iptables-AFORWARD-ptcp-d198.168.80.13--dportsmtp-ieth0-jACCEPT#iptables-AFORWARD-pudp-d198.168.80.0/24-ieth0-jACCEPT#iptables-AFORWARD-ptcp-d198.168.80.11--dport防火墙框架入侵检测系统被安全领域称为是继防火墙之后，保护网络安全的第二道闸门。17.4入侵检测系统（IDS）入侵检测系统（IntrusionDetectionSystem）顾名思义，是对入侵行为的发觉，它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。通常说来，它具有如下几个功能：监控、分析用户和系统的活动核查系统配置和漏洞评估关键系统和数据文件的完整性识别攻击的活动模式并向网管人员报警对异常活动进行统计分析审计跟踪管理，识别违反安全策略的用户活动17.4.1入侵检测系统简介按照技术和功能来划分，入侵检测系统可以分为以下几类：基于主机的入侵检测系统：它的输入数据来源于系统的审计日志，一般只能检测该主机上发生的入侵。基于网络的入侵检测系统：它的输入数据来源于网络的信息流，能够检测该网段上发生的网络入侵。采用上面两种数据来源的分布式入侵检测系统：能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统，一般为分布式结构，由多个部件组成。17.4.1入侵检测系统简介Snort是一个轻量级的免费网络入侵检测系统，具有实时数据流量分析和对IP网络数据包做日志记录的能力，能够进行协议分析，对内容进行搜索/匹配，可以检查各种不同的攻击方式，并进行实时的报警。Snort的主要特点如下：轻量级的网络入侵检测系统。可移植性好。功能非常强大。扩展性较好，对于新的攻击反应迅速。遵循公共通用许可证GPL。17.4.2Snort介绍Snort的官方主页为，当前最新的版本为2.8.6，读者可以下载源代码包snort-2.8.6.tar.gz进行安装。17.4.3安装Snort17.4.4使用Snortsnort[选项]选项：-A：设置Snort的警报模式。-a：显示ARP报文。