计算机安全与保密技术第五章网络安全

网箱及金

第五讲积极防御

本讲内容

5.1访问控制

5.2审计

5.3防火墙

5.4入侵检测

5.5安全系统设计

5.1访问控制_______

5.1.1安全服务的各个层面

•安全服务(SecurityServices):

开放某一层所提供的服务，用以保证系统

或数据传输足够的安全性

根据ISO7498-2,安全服务包括：

1.实体认证(EntityAuthentication)

2.数据机密性(DataConfidentiality)

3.数据完整性(DataIntegrity)

4.防抵赖(Non-repudiation)

5.访问控制(AccessControl)

5.L2访问控制的概念及分类

原始概念----

是对进入系统的控制（用户标识+口令/生物特性/

访问卡）

一般概念----

是针对越权使用资源的防御措施。

一般分为：

•自主访问控制

・强制访问控制

•基于角色的访问控制

5.1.3访问控制的目的和作用

»目的：

是为了限制访问主体（用户、进程、服务

等）对访问客体（文件、系统等）的访问权限，

从而使计算机系统在合法范围内使用；决定用户

能做什么，也决定代表一定用户利益的程序能做

什么

»作用.

是对需要访问系统及其数据的人进行鉴别,并

验证其合法身份；也是进行记账、审计等的前提

5.1.5访问控制的一般实现机制和方法

一般实现机制——

•基于访问控制属性

——〉访问控制表/矩阵

•基于用户和资源分级（“安全标签”）

——〉多级访问控制

常见实现方法——

•访问控制表（ACL）

•访问能力表（Capabilities）

•授权关系表

3.访问控制实现方法

——访问控制矩阵

•按列看是访问控制表内容

•按行看是访问能力表内容

Objects

SubjectsOi02O3

SiRead/write

S2Write

S3ExecuteRead

4.访问控制实现方法

——授权关系表

UserAOwnObjl

UserARObjl

UserAWObjl

UserAWObj2

UserARObj2

5.1.7常见相关工介绍一访问控制（1）

>>Kerberos

开发者：BarrayJaspan

一个用于不安全物理网络上的验证原则有效性系统

原则=vPrimaryName,Instance,Realm>

主名事例领域

1.用户：注册标识符空或与用户相区分不同的

_________________________关的特殊信息身份蛤讦域

2.服务：服务的名字机器名（所以可同时拥有

不同的K服务器）

常见相关工介绍一访问控制（2）

>•其它常见工具软件

□Deslogin-----开发者DaveBarrett

提供比Telnet,rlogin更强的安全认证功能，而且所有的数据都可

通过DES加密方式从远程主机传入或传出，因此可允许用户通

过不可靠的网络访问远程主机，而不必担心被窃听

□DIAL-----开发者RogerTolkvEmulex

通过利用电话业务控制访问者身份的回拨工具。即只有已经授

权的用户通过自己特定的电话号码，才能够通过驹证；一旦用

户通过了身份认证，他这次的连接就会被挂断，然后系统会按

照他拨入时所使用的电话号码进行回拨用（C语言编写的）

□CALLBACK.EXE

功能/原理和DIAL几乎一致（用Fortran编写）

5.1.8常见相关工具介绍单机访问控制

访问控制主要内容典型工具软件

Windows平台桌面保护WindowsEnforcer

+CetusStormWindows

系统保护

UNIX平台多层次权限管理GUARDIAN

（一般通过特权值）suGUARD

注：1.桌面保护包括隐藏桌面图标/网上邻居/所有的驱动程序等

2.系统保护包括屏蔽热启动/添删打印机/进入DOS环境等

5.2审计

5.2.1问题的提出

/70%的安全问题起源于管理

,几乎所有的安全事件的查处和追踪依赖

系统事件记录

/系统资源的改善需要历史经验

5.2.2审计

口概念：

根据一定的策略，通过记录、分析历史操作事件发

现和改进系统性能和安全

□作用：

,对潜在的攻击者起到震摄或警告

,对于已经发生的系统破坏行为提供有效的追纠证据

,为系统管理员提供有价值的系统使用日志，从而帮助

系统管理员及时发现系统入侵行为或潜在的系统漏洞

5.2.3NT的安全审计

»在NT中可以对如下事件进行安全审计:

■登录及注销

■文件及对象访问

■用户权力的使用，用户及组管理

■安全性规则更改

■重新启动、关机系统

■进程追踪等

NT安全审计方法_____________

□利用NT的用户管理器，可以设置安全审计规则

要启用安全审计功能，只需在规则菜单下选择审

计，然后通过查看NT记录的安全性事件类型的

事件，可以跟踪所选用户的操作。

□NT的审计规则如下（既可以审计成功的操作，

又可以审计失败的操作）：

/登录及注销：登录及注销或连接到网络

/文件及对象访问

/用户及组管理：创建、申改或删除用户帐号或组：改

命名、禁止或启用用户号；或设置和更改密码

,安全性规则更改：对用户权利、审计或委托关系规则

的改动

/重新启动、关机：用户重新启动或关闭计算机；或者

发生了一个影响系统安全性或安全日志的事件

/进程追踪：这些事件提供了关于事件的详细跟踪信息,

如程序活动、某些形式句柄的复制，间接对象的访问

和退出进程

对于文件及对象访问中的文件和目录的审计还需要在

资源管理器中对要审计的目录或文件进行具体的设置

，文件和目录审计允许您跟踪目录和文件的用法。

对于一个具体的文件或目录，可以指定要审计

的组、用户或操作。既可以审计成功的操作，

又可以审计失败的操作

，审计目录可以选择下列事件：读、写、执行、

删除、更改权限、获得所有权

5.2.4NT日志文件—

□名称：

/WINNT/SYSTEM32/CONFIG/

/SysEvent.evt

/SecEvent.evt

/AppEvent.evt

口打开工具：

□程序/管理工具/事件查看器

5.2.5UNTX的安全审计

Unix的日志文件

主要目录：

/etc

/etc/security

/usr/adm早期版本

/var/adm近期版本

/var/log

主要文件：---------------

acctpacct记录所有用户使用过的文件

lastlog记录最新登录时间（成/败）

message记录syslog产生的输出到控制台的信息I

sulog使用su命令的记录

utmp记录当前登录进系统的用户信息

wtmp提供一份详细每次用户登录和退出的历

史信息文件

HOME/.shhistory用户登录进系统后执行的所有命令

主要工具：_

Authd

Dump_lastlog

logdaemom

loginlog.c.Z

netlog

NOCOL/NetConsole

Spar

sunrogate-syslog

主要工具:

chklastlog

chkwtmp

trimlog

L5

tracerout

startUplog

supersave

bootlogger

inftp.pl

5.3防火墙

ATCP/IP基础知识

＞防火墙

＞防火墙简介

»几种防火墙的类型

»防火墙的配置

»防火墙技术的发展

5.3.1TCP/IP协议栈

网络展

r

协议栈各层数据包的结构

ItI'应用皎何

TCP凌

IP百部TCT年部应用牧抠

IP收据出

【喑部「CP酋秘应用数据以太网

1翻；以女网

20

以大M帧

46~”()0字节"

IP网络互连的原理

»广播子网内部

AARP地址解析

□从MAC地址到IP地址之间的解析

A以太网络间路由Elba

TCP也公

悔由塞

以天卿口太网I1U网加以好视

动程序劫程用

以太网以女网

IP数据包格式

0151631

4位4位首身»便服务类型

16位忐■长典字节数)

版本长度(TOS)

3便

16位标识位片偏移

标志13

8位生存时间

16位首部检验和

(TFL)8位协议

32位源IP地址

32位目的IP地计

・.,'：■I

数据

济

喘

@

府

城

d

e

m

TCP数据包格式

常用的上层协议

DNS:53/tcp,udp

FTP:20,21/tcp.udp

telnet:23/tcp,udp

HTTP:80/tcp,udp

NNTP:119/tcp?udp

SMTP:25/tcp,udp

POP3:110/tcp9udp

参考：lANA提供的port-numbers.txt

常用的网络工

Netstat

Ipconfig/ifconfig

Ping

Tracert

5.3.2防火墙（Firewall）

A防火墙的基本设计目标

A对于一个网络来说，所有通过“内部”和“外部”

的网络流量都要经过防火墙

A通过一些安全策略，试图确保只有经过授权的流

量才可以通过防火墙

A防火墙本身必须建立在安全操作系统的基础上

＞防火墙的控制能力

»服务控制，确定哪些服务可以被访问

A方向控制，对于特定的服务，可以确定允许进/出

某个方向能够通过防火墙

»用户控制，根据用户来控制对服务的访问

A行为控制，控制一个特定的服务行为

1.防火墙能解决什幺

»定义一个必经之节点

A挡住未经授权的访问流量

»禁止具有脆弱性的服务带来的危害

»实施保护，以避免各种IP欺骗和路由攻击

＞防火墙提供了一个监视各种安全事件的位置,

可以在防火墙上实现审计和报警

»对于某些Interne助能来说，防火墙也可以是

一个理想的平台，如地址转换、Internet日志、

审计、计费等功能

2.防火墙自身的一些局限性

□对于绕过防火墙的攻击，它无能为力，例如,

在防火墙内部通过拨号出去

口防火墙不能防止内部的攻击，以及内部人员

与外部人员的联合攻击（比如，通过tunnel进

入）

口防火墙不能防止被病毒感染的程序或者文件、

邮件等

□防火墙的性能要求

5.3.3包过滤路由器

＞基本思想

A对于每个进来的包，适用一组规则，然后决定转发

或者丢弃该包

»往往配置成双向转发

A如何过滤

»过滤的规则以IP和传输层的头中的域（字段）为基础,

包括源和目标IP地址、IP协议域、源和目标端口号

A过滤器往往建立一组规则，根据IP包是否匹配规则

中指定的条件来作出决定。

□如果匹配到一条规则，则根据此规则决定转发或者丢弃

□如果所有规则都不匹配，则根据缺省策略

2.包过滤路由器示意图

5.3.4包过滤防火墙

＞在网络层上进行监测

＞并没有考虑连接状态信息

＞通常在路由器上实现

＞实际上是一种网络的访问控制机制

»优点：

＞实现简单

＞对用户透明

＞效率高

＞缺点：

＞正确制定规则并不容易

＞不可能引入认证机制

»举例：

＞ipchainsandiptables

1.包过滤防火墙的设置（1）

口由内向外的telnet服务

clientserver

外部

>往外包的特性（用户操作信>向内包的特性（显示信息）

息）

■IP源是server

■IP源是内部地址■目标地址为内部地址

■目标地址为server

■TCP协议，源端口23

TCP协议，目标端口23

■■目标端口>1023

■源端口

>1023■所有往内的包都是ACK=1

■连接的第一个包ACK=0,

其他包ACK=1

包过滤防火墙的设置⑵

＞从外向内的telnet服务

clientserver

¥

"

!

»

!

外部一

＞向内包的特性（用户操作信＞往外包的特性（显示信息）

息）

■IP源是本地server

■IP源是外部地址■目标地址为外部地址

■目标地址为本地server

■TCP协议，源端口23

TCP协议，目标端口23

■■目标端口＞1023

■源端口＞

1023■所有往内的包都是ACK=1

I连接的第一个包ACK=0,

其他包ACK=1

2.针对telnet服务的防火墙规则

服务方包方向源地址目标地包类型源端口目标端ACK

向址□_____

往外外内部外部TCP>102323(*

往外内外部内部TCP23>10231

往内外外部内部TCP>102323*

往内内内部外部TCP23>10231

*:第一个ACK=O,其他=1

针对ftp的包过滤规则

＞建立一组复杂的规则集

»是否允许正常模式的ftp数据通道？

»动态监视即通道发出的port命令

»有一些动态包过滤防火墙可以做到

»启示

»包过滤防火墙比较适合于单连接的服务（比如smtp,

pop3）,不适合于多连接的服务（比如ftp）

4.针对包过滤防火墙的攻击

AIP地址欺骗，假冒内部的IP地址

»对策：在外部接口上禁止内部地址

»源路由攻击，即由源指定路由

»对策：禁止这样的选项

»小碎片攻击，利用IP分片功能把TCP头部切分

到不同的分片中

»对策：丢弃分片太小的分片

»利用复杂协议和管理员的配置失误进入防火墙

»例如，利用即协议对内部进行探查

5.3.5应用层网关

A又称为代理服务器

»特点

»所有的连接都通过防火墙，防火墙作为网关

»在应用层上实现

»可以监视包的内容

»可以实现基于用户的认证

»所有的应用需要单独实现

»可以提供理想的日志功能

»非常安全，但是开销比较大

1.应用层网关的结构示意图

Application-level

<D»atenav•

OutsideInside

connectionconnection

IELNET

Insidehost

OutsidehostSMTP

HTTP

2.应用层网关的协议栈结构

3,应用层网关的优缺点

»优点

»允许用户“直接”访问Internet

»易于记录日志

A缺点

A新的服务不能及时地被代理

»每个被代理的服务都要求专门的代理软件

»客户软件需要修改，重新编译或者配置

»有些服务要求建立直接连接，无法使用代理

./比如聊天服务、或者即时消息服务

A代理服务不能避免协议本身的缺陷或者限制

4.应用层网关实现

＞编写代理软件

＞代理软件一方面是服务器软件

□但是它所提供的服务可以是简单的转发功能

»另一方面也是客户软件

□对于外面真正的服务器来说，是客户软件

＞针对每一个服务都需要编写模块或者单独的程序

»实现一个标准的框架，以容纳各种不同类型的服务

口软件实现的可扩展性和可重用性

＞客户软件

＞软件需要定制或者改写

»对于最终用户的透明性？

＞协议对于应用层网关的处理

＞协议设计时考虑到中间代理的存在，特别是在考虑安全性,

比如数据完整性的时候

应用层网关——代理服务器

>发展方向——智能代理

»不仅仅完成基本的代理访问功能

»还可以实现其他的附加功能，比如

•对于内容的自适应剪裁

•增加计费功能

•提供数据缓冲服务

»两个代理服务器的实现例子

AMSP—MicrosoftProxyServer

>squid

MicrosoftProxyServer2.0

＞一个功能强大的代理服务器

＞提供常用的Internet服务

■除了基本的WebProxy,还有SocksProxy和WinsockProxy

＞强大的cache和log功能

»对于软硬件的要求比较低

＞安装管理简单

＞与NT/2000集成的认证机制

»扩展的一些功能

»反向proxy:proxy作为Internet上的一个Webserver

＞反向hosting,以虚拟WebServer的方式为后面的Web

Server独立地发布到Internet上

＞安全报警

MicrosoftProxyServerv2管理示意图

squid_______

>关于squid

»是一个功能全面的WebProxyCache

>可以运行在各种UNIX版本上

A是一个自由软件，而且源码开放

A功能强大，除了http协议之外，还支持许多其它的

协议，如加、sskDNS等代理服务

»管理和配置

>/usr/local/squid/etc/squid.conf

»默认端口3128

>一种使用方案

>Linux+Squid

5.3.6电路层网关

Circuit-level

gateway

Outside

connection

Outsidehost

Inside

connection.

Insidehost

1.电路层网关

»本质上，也是一种代理服务器

A有状态的包过滤器

»动态包过滤器

»状态

»上下文环境

»流状态

»认证和授权方案

»例子：socks

socks―

»专门设计用于防火墙

»在应用层和传输层之间垫了一层

>Sockslib和socksserver

»不支持ICMP

>Socksv4和socksv5

A基于用户的认证方案

A对UDP的支持

»正在普及和流行

A可以参考有关的RFC

socks

server

Socksserver

A

Socksv5_______

>在socksv4的基础上发展起来

>Socksv4支持基于TCP的应用穿越防火墙

>Socksv5增加了对于UDP协议的支持

>Socksv5增加了对于认证方案的支持

>Socksv5支持IPv6地址

>Socks要求

>修改客户程序，链接到sockslibrary,以便socksified

>首先连接到socksserver,然后再同目标服务器连接

A对于UDP协议，首先同socksserver建立一个TCP连接，然

后再传送UDP数据

2.TCP客户的处理过程

»客户首先与socksserver建立一个TCP连接，通

常SOCKS端口为1080

＞然后客户与服务器协商认证方案

A然后进行认证过程

»认证完成之后

»客户发出请求

»服务器送回应答

»一旦服务器应答指示成功，客户就可以传送

数据了

认证方案的协商

Client->Server：

+------+-------------------+-----------------+

IVER|NMETHODSlMETHODS|

+------+-------------------+-----------------+

|1|1|1to255|

+------+-------------------+-----------------+

：

Server->ClientMethod

+-----+---------------+X'OO：NoAuthenticationrequire

IVER|METHOD|

+-----+---------------+X'01：GSSAPI

H11IX'02:Username/password

+-----+---------------+

XFF：NoAcceptableMethods

客户发出的请求

।MM।MMBBiBM।BM1^BMBMBBBMBM।BM।BMBM।BM।

|VER|CMD|RSV|ATYP|DST.ADDR|DST.PORT

।i^MM।IMHB।BM।MM1^।iM।BB।

|1|1|XP(F|1|Variable|2

।1^1^BMtMI।MB।MBBM।BBMB।BMBMHM।HMBM।

CMD：ATYP：

X*01：connectionX'01：IPv4

X'02:bindX'03：Domainname

X'03：UbPassociateX'04：IPv6

服务器的应答

।MMam■■■■■■MmMM|MBHMaaaamMBI^B।aaaam■■■MBMB।MBKBMBBMMMBManas।anaaiMMaaiMOMMWBMBHMMMHM।HMMMaaiaaiMBaaaaaaBMMBI^BMMMM■■>BM।

|VER|REP|RSV|ATYP|BND.ADDR|BND.PORT

।BMMBMBBMBMDM।BM■■■MB■■MM।■■■MBHMMMBMMB1^।I^BBMBMMB।BMBHiMBMMHMBM■■■■■■BMBM■■■■■■■■■।■■■BM■■■■■■■(HM■■■BM■■■BMBM■■BMMBMBi।

|1|1|X，0(T|1|Variable|2|

।BMMBBM■■■।MB■■■MOMBBM1^।HBMBHOMBBMMBIM1^।BMMBIMBMBMBM।MBBMMBMB■■■■■■■■■■*IBMIBM■■MB■■■■■■■■■MB।MBMB■■■BM■■■■■>MHiMBMBKOMMMBMBMM।

REP

BND.ADDR&BND.PORT:

00：succeed

01：generalSOCKSserverfailureSpecifytheaddrandport

02:connectionnotallowedbyrulesetofthesocksserverwhich

03：networkunreachablewillacceptaninbound

04：hostunreachableconnection

05：connectionrefused

06：TTLexpired

07：Commandnotsupported

08：addresstypenotsupported

09-FF：notassigned

UDP客户的处理过程

口请求命令为“UDPassociate55

口客户->UDPrelayserver->目标机器

□每一个UDP包包含一个UDP请求头

UDPpacket

+-------+-------+-------+--------------+-------------+-----------+

IRSV|FRAG|ATYP|DST.ADDR|DST.PORT|DATA|

+-------+-------+-------+--------------+-------------+-----------+

|2|1|1|Variable|2|Variable|

+-------+-------+-------+--------------+-------------+-----------+

FRAG：currentfragmentnumber

3.电路层网关的优缺点

»优点

»效率高

A精细控制，可以在应用层上授权

＞为一般的应用提供了一个框架

»缺点

»客户程序需要修改

口动态链接库？

5.3.7防火墙的酉己置

>几个概念

A堡垒主机(BastionHost):对外部网络暴露，同时

也是内部网络用户的主要连接点

A双宿主主机(dual-homedhost):至少有两个网络接

口的通用计算机系统

>DMZ(DemilitarizedZone,非军事区或者停火区)：

在内部网络和外部网络之间增加的一个子网

防火墙几种典型配置方案

»双宿主方案

＞屏蔽主机方案

»单宿主堡垒主机

»双宿主堡垒主机

»屏蔽子网方案

1.配置方案1

router

□双宿主堡垒主机方案

口所有的流量都通过堡垒主机

□优点：简单

2.配置方案2

□屏蔽主机方案：单宿主堡垒主机

口只允许堡垒主机可以与外界直接通讯

口优点：两层保护：包过滤+应用层网关；灵活配置

口缺点：一旦包过滤路由器被攻破，则内部网络被暴

(足=1各=1

3.配置方案3

filtering

router

口屏蔽主机方案：双宿主堡垒主机

口从物理上把内部网络和Internet隔开，必须通过两层屏

障

口优点：两层保护：包过滤+应用层网关；配置灵活

4.配置方案4

»屏蔽子网防火墙

»优点：

»三层防护，用来阻止入侵者

＞外面的router只向Interne曝露屏蔽子网中的主机

＞内部的router只向内部私有网暴露屏蔽子网中的主机

5.3.8防火墙的发展

»分布式防火墙

»应用层网关的进一步发展

A认证机制

»智能代理

»与其他技术的集成

»比如NAT、VPN(IPSec).IDS,以及一些认证和访

问控制技术

＞防火墙自身的安全性和稳定性

5.3.9参考资料_____________

A书

>WilliamStallings,Cryptographyandnetwork

security:principlesandpractice,SecondEdition

>文章

>SOCKSProtocolVersion5,RFC1928

＞其他相关书籍

5.4入侵检测(IDS:Intrusion

DetectionSystem)

»入侵检测系统介绍

»入侵检测系统分类

»入侵检测系统常用的一些技术

＞入侵检测系统的研究和发展

5.4.1IDS的用途

攻击机制

实

时

入

侵'漏洞扫描

检

测评估

加固

攻击者

入侵检测系统的实现过程

»信息收集，来源

»网络流量

»系统日志文件

»系统目录和文件的异常变化

»程序执行中的异常行为

»信息分析

»模式匹配

»统计分析

»完整性分析，往往用于事后分析

5.4.2入侵检测系统的种类

»基于主机

A安全操作系统必须具备一定的审计功能，并记录

相应的安全性日志

»基于网络

AIDS可以放在防火墙或者网关的后面，以网络嗅探

器的形式捕获所有的对内对外的数据包

»基于内核

»从操作系统的内核接收数据，比如LIDS

»基于应用

＞从正在运行的应用程序中收集数据

5.4.3IDS的技术____________

A异常检测(anomalydetection)

»也称为基于行为的检测

»首先建立起用户的正常使用模式，即知识库

»标识出不符合正常模式的行为活动

»误用检测(misusedetection)

»也称为基于特征的检测

»建立起已知攻击的知识库

»判别当前行为活动是否符合已知的攻击模式

1.异常检测

＞比较符合安全的概