• 网络攻击与防御——对局域网的攻击

    那些认为可以通过密码学解决问题的人,其实并不真正了解他们的问题,而且也不了解密码学本身。

    —— Roger Needham与Butler Lampson

    如果你在咖啡上的开销比IT安全方面还要多,你将受到黑客的攻击,而且是咎由自取。

    —— Richard Clarke,美国前赛博安全主管

     网络攻击与防御——对局域网的攻击 

           假设攻击者控制了你的某台PC机,这可能是由于某位雇员粗心大意,也可能是他恶意地试图接管某个账号,以其他人的名义对你进行诈骗,又或者想做其他坏事,比如下载非法内容来陷害某人。攻击者可以通过多种方式进行攻击:

    (1) 攻击者可以安装数据包嗅探软件,以便获取密码,甚至根密码,之后接管相应的账号。如果使用质询-应答密码生成器,或者Kerberos与ssh等协议(保证LAN上不会有明文密码传送),就可以阻止这种密码嗅探攻击。第3章描述了Kerberos,后面会对SSH进行介绍。

    (2) 另一种方法是伪装成目标用户(比如系统管理员)已经登录的计算机。攻击者可以简单地将自己机器的MAC地址和IP地址设为目标机器的MAC和IP地址。理论上,当发现自己IP地址的流量没有对自己已发送的数据包响应时,目标计算机应该发送“重置”数据包;但是,现今的很多计算机安装了个人防火墙,防火墙将丢弃“可疑的”数据包。由此导致的结果是,不会产生上述预期的警告[300]。

    (3) 对老式的LAN,在技术上有一整套的地址劫持攻击。在本书第一版中,我给出的一个实例是,攻击者将错误的响应发给ARP消息,并声称自己是目标计算机,也可以通过发送虚假的子网掩码来阻止目标计算机察觉到并发出报警。另一种可能性是发送伪造的DHCP消息。类似于这样的攻击对现代的交换式以太网可能有效,也可能无效,这依赖于具体配置。

    (4) 还有一些攻击针对特定的平台。比如,如果目标公司使用Linux或Unix服务器,那么机器很可能使用Sun公司的网络文件系统(Network File System,NFS)进行文件共享。NFS允许工作站像使用本地磁盘一样使用网络磁盘,并包含大量为攻击者所熟知的漏洞。在某个卷第一次被挂载时,客户端会从服务器获取一个根文件句柄,这实际上是一个可以指代已挂载文件系统根目录的访问票据,但它不依赖于时间或服务器生成数,也不能被调用。NFS中没有针对每个用户的身份验证机制:服务器或者完全信任一个客户端,或者完全不信任。并且,NFS服务器通常会对从不同网络到达指令接口的请求进行响应。因此,如果请求在管理员使用文件服务器之前处于等待状态,那么之后假冒该管理员重写密码文件是可能的。通过网络窃听也可以截获文件句柄—— 尽管交换式以太网增加了这种窃听的难度。Kerberos可用于客户端与服务器之间的身份验证,然而很多公司并不使用这种身份验证方式;因为在异构环境中使用Kerberos有难度。

           局域网中某台被控制的计算机接管其他计算机的难度依赖于网络防护的强度,该计算机造成的危害程度则与局域网的大小有关。系统管理员的行为也存在一些限制;公司可能需要运行各种复杂的旧系统,这些旧系统不支持Kerberos。此外,雇佣安全意识强的管理员也会增加运营成本。在我们的实验室中,与系统管理员的争论已经持续多年,因为我们试图连接到Internet,以便访问其他站点,但是,管理员们无论是出于技术防护还是政策因素考虑(我们的学术网络不能对商业用户开放)都拒绝我们的请求。最终,我们通过设置一个独立的客人网络解决了这一问题,该客人网络连接到商用ISP,而非我们大学的骨干网络。

           这带来了更广泛的问题:网络的边界在哪里?过去,很多公司都只有单一的内部网络,并通过某种类型的防火墙连接到Internet。但边界划分具有意义,正如第9章中所讨论的:每个部门有一个单独的网络,这会对遭受控制的计算机所能造成的危害有所控制。如果某部门有高度的防护需求,而其他部门需要更高的灵活性,这会引发很大的争议。比如,在我们的大学,我们不希望学生与员工们使用同一个LAN,实际上,我们将学生、员工与管理人员的网络分隔开,前二者所在网络进一步地按学院与系进行分隔。最近,移动性与虚拟网络的引入使得定义清晰的网络边界变得更加困难,这种争论可以使用行话“反边界”进行描述,后面我会谈到这一点。

            最后一种值得注意的针对局域网的攻击是欺骗访问点(rogue access point)。有时,人们会在公共区域中发现WiFi访问点,例如机场,但该访问点已被恶意部署。操作员可能坐在候机厅中,使用笔记本通过付费的WiFi服务访问Internet,同时提供一个免费的接入点;如果你使用该接入点,他就可以嗅探你输入的明文密码,比如你访问webmail或Amazon账号的密码;如果你使用在线银行,他就会将你导向到恶意站点。这在某种程度上与pharming驱动的攻击类似,虽然更可靠但却无法扩展。此外,欺骗访问点也可以是雇员为了自己方便而违反公司安全策略要求安装的设备,甚至也可以是错误配置(以至于不能对网络流量进行加密)的正式节点。未加密的WiFi流量是否是一个大问题依赖于具体情况,后面讨论加密时会对这一问题进行更深入的探讨。

    摘自:《信息安全工程(第2版)》

    ISBN:9787-302-27115-4

    信息安全工程(第2版)

     

     
  • 相关阅读:
    销售排行榜
    视频合并的问题
    全排列的问题
    24点的游戏
    分数拆分
    竖式
    MVVM
    package
    WP8.1APP执行流程
    W
  • 原文地址:https://www.cnblogs.com/tupbook/p/2337248.html
Copyright © 2020-2023  润新知