在这个现代时代,组织非常依赖计算机网络以高效和富有成效的方式在整个组织内共享信息.组织计算机网络现在变得庞大且无处不在.假设每个工作人员都有一个专用工作站,一个大型公司将拥有数千个工作站和网络上的许多服务器.
这些工作站很可能不是集中管理的,也不是他们会有周边保护吗?它们可能具有各种操作系统,硬件,软件和协议,用户之间具有不同级别的网络意识.现在想象一下,公司网络上的这些数千个工作站直接连接到Internet.这种不安全的网络成为攻击的目标,它可以保存有价值的信息并显示漏洞.
在本章中,我们将描述网络的主要漏洞和网络安全的重要性.在随后的章节中,我们将讨论实现相同的方法.
网络定义为连接在一起的两个或多个计算设备有效地共享资源.此外,将两个或更多个网络连接在一起被称为网络互连.因此,互联网只是一个互联网络 - 互联网络的集合.
为了建立内部网络,组织有各种选择.它可以使用有线网络或无线网络连接所有工作站.如今,组织大多使用有线和无线网络的组合.
在有线网络中,设备使用电缆相互连接.通常,有线网络基于以太网协议,其中设备使用非屏蔽双绞线(UTP)电缆连接到不同的交换机.这些交换机进一步连接到网络路由器以访问互联网.
在无线网络中,设备通过无线电传输连接到接入点.接入点还通过电缆连接到交换机/路由器以进行外部网络访问.
无线网络因其提供的移动性而受到欢迎.移动设备无需连接到电缆,可以在无线网络范围内自由漫游.这可确保有效的信息共享并提高生产力.
有线和无线网络中存在的常见漏洞是对网络的"未经授权的访问".攻击者可以通过不安全的集线器/交换机端口将其设备连接到网络.在这方面,无线网络被认为不如有线网络安全,因为无需任何物理连接即可轻松访问无线网络.
攻击后,攻击者可利用此漏洞发起攻击as :
嗅探数据包数据以窃取有价值的信息.
通过使用虚假数据包淹没网络媒体,拒绝为网络上的合法用户提供服务.
欺骗合法的物理身份(MAC)主机然后窃取数据或进一步发起'中间人'攻击.
网络协议是一组规则,用于管理网络上连接的设备之间的通信.它们包括用于建立连接的机制,以及用于发送和接收的消息的数据打包的格式化规则.
已经开发了几种计算机网络协议,每种协议都是为特定目的而设计的.流行且广泛使用的协议是TCP/IP以及相关的高级和低级协议.
传输控制协议(TCP)和 Internet协议(IP)是两种主要使用的不同计算机网络协议.由于它们的普及和广泛采用,它们内置于网络设备的所有操作系统中.
IP对应于网络层(第3层),而TCP对应于传输层(第4层) )在OSI中. TCP/IP适用于使用TCP传输通过IP网络传输数据的网络通信.
TCP/IP协议通常与其他协议(如HTTP,FTP,SSH)一起使用数据链路/物理层的层和以太网.
TCP/IP协议套件创建于1980年,是一种互联网解决方案,几乎不关心安全问题.
它是为有限的可信网络中的通信而开发的.但是,在一段时间内,该协议成为不安全的Internet通信的事实标准.
TCP/IP协议套装的一些常见安全漏洞是 :
HTTP是TCP/IP套件中的应用层协议,用于组成来自Web服务器的网页的传输文件.这些传输以纯文本形式完成,入侵者可以轻松读取服务器和客户端之间交换的数据包.
另一个HTTP漏洞是一种弱的身份验证初始化会话期间的客户端和Web服务器.此漏洞可能导致会话劫持攻击,攻击者窃取合法用户的HTTP会话.
TCP协议漏洞是建立连接的三次握手.攻击者可以发起拒绝服务攻击"SYN-flooding"以利用此漏洞.他通过不完成握手建立了很多半开的会话.这会导致服务器过载并最终导致崩溃.
IP层容易受到许多漏洞的影响.通过IP协议头修改,攻击者可以发起IP欺骗攻击.
除了上述许多其他安全漏洞外在设计及其实现中存在于TCP/IP协议族中.
顺便提一下,在基于TCP/IP的网络通信中,如果一个层被黑客攻击,其他层就不会意识到黑客攻击和整个通信都受到了损害.因此,需要在每一层采用安全控制来确保万无一失的安全性.
域名系统(DNS)用于将主机域名解析为IP地址.网络用户主要在浏览互联网期间通过在Web浏览器中键入URL来依赖DNS功能.
在攻击DNS时,攻击者的目的是修改合法的DNS记录以便它解析为不正确的IP地址.它可以将该IP的所有流量定向到错误的计算机.攻击者可以使用DNS协议漏洞或破坏DNS服务器以实现攻击.
DNS缓存中毒是利用DNS协议中发现的漏洞的攻击.攻击者可能通过伪造对解析器发送给权威服务器的递归DNS查询的响应来中毒缓存.一旦DNS解析器的缓存中毒,主机将被定向到恶意网站,并可能通过与此站点的通信来损害凭证信息.
Internet控制管理协议(ICMP)是基本的TCP/IP网络的网络管理协议.它用于发送有关联网设备状态的错误和控制消息.
ICMP是IP网络实施的一个组成部分,因此存在于非常网络设置中. ICMP有自己的漏洞,可能会被滥用来对网络发起攻击.
由于ICMP漏洞而在网络上发生的常见攻击是 :
ICMP允许攻击者进行网络侦察,以确定网络拓扑和进入网络的路径. ICMP扫描涉及发现整个目标网络中存在的所有主机IP地址.
跟踪路由是一种流行的ICMP实用程序,用于映射目标网络从客户端到远程主机实时描述路径.
攻击者可以使用ICMP漏洞发起拒绝服务攻击.此攻击涉及向目标设备发送超过65,535字节的IPMP ping数据包.目标计算机无法正确处理此数据包并导致操作系统崩溃.
其他协议,如ARP,DHCP,SMTP等等也有他们的漏洞可被攻击者利用来破坏网络安全.我们将在后面的章节中讨论其中的一些漏洞.
在协议的设计和实现过程中对安全方面的最少关注已经成为网络安全威胁的主要原因.
如前面部分所述,网络中存在大量漏洞.因此,在传输过程中,数据极易受到攻击.攻击者可以瞄准通信信道,获取数据,读取数据或重新插入虚假信息以实现其恶意目标.
网络安全不仅关注网络的安全性通信链两端的计算机;但是,它旨在确保整个网络的安全.
网络安全需要保护网络和数据的可用性,可靠性,完整性和安全性.有效的网络安全性可以防止各种威胁进入或传播到网络上.
网络安全的主要目标是机密性,完整性和可用性.网络安全的这三大支柱通常表示为 CIA三角形.
机密性 : 保密功能是保护珍贵的商业数据免受未经授权的人员的侵害.网络安全的保密部分确保数据仅供预期和授权人员使用.
诚信 : 这一目标意味着维护和确保数据的准确性和一致性.诚信的功能是确保数据可靠并且不会被未经授权的人员更改.
可用性 : Network Security中的可用性功能是确保合法用户可以随时获得数据,网络资源/服务.
确保网络安全可能非常简单.要实现的目标似乎很简单.但实际上,用于实现这些目标的机制非常复杂,理解它们涉及合理的推理.
国际电信联盟(ITU),在其推荐中在安全架构X.800上,已经定义了某些机制来实现网络安全的方法标准化.其中一些机制是 :
En-cipherment : 该机制通过将数据转换为未授权人员的不可读形式来提供数据机密性服务.此机制使用加密 - 解密算法和密钥.
数字签名 : 该机制是电子数据中普通签名的电子等价物.它提供了数据的真实性.
访问控制 : 该机制用于提供访问控制服务.这些机制可以使用实体的标识和身份验证来确定和实施实体的访问权限.
开发并识别各种为实现网络安全的安全机制,必须决定应用它们的位置;物理上(在什么位置)和逻辑上(在TCP/IP等架构的哪一层).
已经开发了几种安全机制,可以在OSI网络层模型的特定层开发它们.
应用层的安全性 : 此层使用的安全措施是特定于应用程序的.不同类型的应用程序需要单独的安全措施.为了确保应用程序层的安全性,需要修改应用程序.
认为设计加密声音的应用程序协议非常困难,正确实现它更具挑战性.因此,用于保护网络通信的应用层安全机制最好只是已经使用一段时间的基于标准的解决方案.
应用层安全协议的一个例子是安全多用途互联网邮件扩展名(S/MIME),通常用于加密电子邮件. DNSSEC是此层的另一个协议,用于安全交换DNS查询消息.
传输层的安全性 : ;此层的安全措施可用于保护两台主机之间的单个通信会话中的数据.传输层安全协议的最常见用途是保护HTTP和FTP会话流量.传输层安全性(TLS)和安全套接字层(SSL)是用于此目的的最常用协议.
网络层 : 该层的安全措施可以应用于所有应用程序;因此,它们不是特定于应用程序的.可以在该层保护两个主机或网络之间的所有网络通信,而无需修改任何应用程序.在某些环境中,网络层安全协议(如Internet协议安全性(IPsec))提供了比传输或应用程序层控制更好的解决方案,因为向单个应用程序添加控件存在困难.但是,此层的安全协议提供了一些应用程序可能需要的通信灵活性.
顺便提一下,设计用于操作的安全机制在较高层不能为较低层的数据提供保护,因为较低层执行较高层不知道的功能.因此,可能需要部署多种安全机制来增强网络安全性.
在本教程的后续章节中,我们将讨论在OSI网络架构的不同层面采用的安全机制实现网络安全.
