使用 IPsec 与组策略隔离服务器和域－附录 D：IT 威胁类别

最新推荐文章于 2024-01-23 20:57:09 发布

freexploit

最新推荐文章于 2024-01-23 20:57:09 发布

阅读量1.8k

点赞数

CC 4.0 BY-SA版权

分类专栏：安全解析文章标签：服务器网络 internet 路由器 tcp 工具

本文链接：https://blog.youkuaiyun.com/freexploit/article/details/548604

安全解析专栏收录该内容

21 篇文章

订阅专栏

本目录提供了影响组织的潜在威胁和攻击的列表，并说明服务器和域隔离解决方案可以如何帮助缓解这些潜在威胁和攻击。

本页内容

	STRIDE 识别的威胁
	其他威胁
	总结

STRIDE 识别的威胁

本部分描述了许多通过 STRIDE（哄骗、篡改、抵赖、信息泄露、拒绝服务和特权提升）模式确定的网络安全威胁，以及作为本解决方案的一部分实施的安全措施可以如何帮助减轻威胁。

哄骗身份威胁

哄骗身份威胁包括为非法获取、访问以及使用其他人的身份验证信息（例如用户名或密码）而进行的任何行为。此类威胁包括中间人攻击以及受信任主机与不受信任主机之间的通信。

中间人攻击

中间人攻击是黑客的一招惯用伎俩。此技术将一台计算机放置在网络连接中的两台通信计算机之间，然后用中间计算机模拟一台或两台原始计算机。此技术可以使“中间人”与原始计算机建立活动连接并允许其读取和/或修改传递的信息，然而两个原始计算机用户却认为他们是在互相通信。

一些 Internet 服务提供商 (ISPs) 开发了试图对抗中间人攻击和电子邮件欺骗的过滤做法。例如，许多 ISP 只授权用户通过 ISP 服务器发送电子邮件，并且根据对抗垃圾邮件的需要来验证此限制。但是，此项限制同样阻止了授权用户使用第三方提供的合法电子邮件服务，这使得许多高级用户十分不满。一些电缆 ISP 尝试阻止音频或视频通信，试图强制用户使用其自己的 IP 语音或视频流服务。其他示例包括：试图禁止某些形式的虚拟专用网络 (VPN) 通信，原因是 VPN 是一项需要较高订购费用的商务服务；以及禁止用户在家中运行服务器。

ISP 筛选器通常通过使用路由器的硬件功能来实施，此类路由器在特定协议类型（用户数据报协议 (UDP) 或传输控制协议 (TCP)）、端口号或 TCP 标志（初始连接包，且无数据或确认码）上运行。如果使用 IPsec 有效地禁用了此类过滤，这就给 ISP 带来了两个非常极端地选择：要么禁止所有 IPsec 通信，要么禁止与某些已标识的对等端之间的通信。如果广泛使用了 IPsec，则这两种选择都将造成消费者的对抗性反应。

受信任主机与不受信任主机通信

此威胁实际上是几个较小威胁的超集，包括以下问题：常见的身份哄骗、修改传输中终结点间的数据以及窃听。但是，最大的威胁是哄骗，因为其意图在于诱使受信任的主机相信自已是在与另外一台受信任的主机通信。并非所有将被隔离的主机都会要求与不受信任主机通信。因为 IPsec 使用了一套基于策略的机制来确定两台主机之间开始协商时所需的安全级别，因此这些问题大多数都可通过仔细考虑安全和通信之间的权衡，然后仔细设计和实施反映首选结果的 IPsec 策略来解决。第 5 章“为隔离组创建 IPsec 策略”讲述了 Woodgrove Bank 方案的通信要求以及用于创建控制通信发生方式的 IPsec 策略的方法。

篡改数据

篡改数据威胁包括对数据的恶意修改。例如，对永久性数据进行未经授权的更改（如网站毁坏），或者对数据库中的信息或者两台计算机之间在开放网络上流动的数据进行未经授权的更改。此类别中的一个特定威胁是会话劫持。

会话劫持

正确设计的身份验证机制以及冗长、随机的密码可以分别抵御网络探测和字典攻击。但是，攻击者可能利用会话劫持捕获常规用户通过验证和获得授权之后的会话。黑客可以通过会话劫持使用常规用户的特权访问或修改数据库，还可能安装软件以进一步渗透，甚至不需要获得常规用户的凭据。执行会话劫持最简单的方法是，首先使用专用劫持工具试图将黑客的计算机置于连接路径某处。黑客将观察交换行为并在某一点进行接替。由于黑客位于交换的中间位置，所以他们可以终止 TCP 连接的任意一端，并使用正确的 TCP/IP 参数和序列号保持与其另一端连接。使用 IPsec 进行加密或身份验证可以保护终结点免遭会话劫持。

抵赖

抵赖威胁包括用户拒绝承认其执行了某项操作，而其他方没有办法进行证明。此类威胁的示例：某用户在缺乏跟踪禁止操作能力的系统中执行了禁止操作。不可否认性指系统抵御抵赖威胁的能力。例如，某用户从基于 Web 的供应商处购买了某产品，当用户收到产品时要进行签名。然后供应商可以使用签名收据作为用户收到包裹的证据。

信息泄露

信息泄露威胁包括将信息暴露给不允许访问该信息的人。例如，没有授予文件访问权限的用户能够读取文件，或者入侵者能够读取两台计算机之间传输的数据。此类威胁包括未经授权的连接和网络探测。

未经授权的连接

许多网络配置都有非常可信的安全状况，并授予对来自外围计算机的大量信息的访问权限。由于某些应用程序的安全防护薄弱，此访问有时候是显式的（如在 Intranet Web 服务器的情况下），有时候是隐式的。一些策略依赖于简单的地址测试，但是攻击者可以通过伪造地址而绕过这些测试。

可以使用 IPsec 执行附加连接检查。可以设置策略规则，以要求一组应用程序仅在成功地协商 IPsec 之后才可访问。

网络探测

攻击者试图捕获网络通信有两种原因：在传输中获取重要文件的副本，或者获取密码以延伸其渗透。在广播网络上，黑客使用网络探测工具记录 TCP 连接并获取通信信息的副本。尽管这些工具并不能很好地用于交换网络，但是仍可能在交换网络上使用其他专用工具攻击地址解析协议 (ARP)，这些专用工具可以通过攻击者的计算机重定向 IP 通信，并轻易记录所有连接。

少数协议（邮局协议 3 (POP3) 和文件传输协议 (FTP)）仍通过网络发送纯文本密码，探测网络的攻击者可以轻而易举地发现此信息。许多应用程序使用质询-响应机制，这样可以避免发送纯文本密码的问题，但却只是稍微更具挑战性。黑客虽然无法直接读取密码，但字典攻击通常可以从质询和响应的副本中推断出密码。使用 IPsec 对此类交换进行有效地加密可以抵御网络探测。

拒绝服务

拒绝服务攻击是专门针对特定主机或网络的攻击。这些攻击通常向主机或路由器发送超出其指定时间内可以处理的通信量，导致网络无法处理通信从而破坏合法的通信流。拒绝服务攻击可以分布于许多攻击者，集中精力于特定目标。目标计算机通常会意外地受到破坏，并安装恶意软件脚本或程序，从而使攻击者可以使用该计算机将大量网络通信引至其他计算机或计算机组。受到破坏的计算机被称为“僵尸”，此类攻击被称为“分布式拒绝服务攻击”。

IPsec 在建立通信之前要求身份验证，因此有助于缓解大多数分布式拒绝服务攻击（使用受信任攻击者进行攻击的情形除外）。换言之，基于 Internet 的分布式拒绝服务攻击显示为无害的，但是如果攻击主机或主机可以使用 IPsec 进行身份验证或通信，则在组织网络内发起的拒绝服务攻击仍可能成功。

区别标准通信和攻击通信

在 2003 年 1 月 Slammer 蠕虫病毒发作之后不久，据观测，如果采用简单的规则将 UDP 通信限制到可用带宽的 50%，网络就不会被蠕虫通信淹没。受感染的主机会被 UDP 通信迅速填满 50% 带宽，但剩余的带宽仍可供操作通信使用。自动取款机 (ATM) 将继续工作，而管理员则可以使用 TCP 以应用修补程序并传播策略。尽管限制 UDP 通信的策略过分简单化，但设置好此策略却可以保证网络安全可靠。

通过为重要通信使用 IPsec，管理员可以应用较为复杂的 UDP 策略版本。通常，网络管理员可以监视网络上的通信混合，并确定 UDP 通信量、TCP 通信量以及 Internet 控制消息协议 (ICMP) 通信量等等。在负载下，加权公平队列算法可以确保资源按照标准模式共享。事实上，通常可以编制路由器中的默认策略，在标准网络活动期间收集长期趋势和统计资料，然后将这些收集到的统计资料作为公平队列加权在严重拥塞期间应用。

蠕虫和拒绝服务攻击

最近的一些迹象显示，网络容易受到拒绝服务攻击，此攻击的运作方式是：向特定服务器或网络的特定分区发送过量通信，从而使其达到饱合。拒绝服务攻击的一种形式是以分布方式运作的，从而引导大量计算机同时攻击所选目标的通信；此种攻击尤其难以应付。 CodeRed 蠕虫首先试图渗入一些 Web 服务器，假设这些服务器均将向 whitehouse.gov（美国华盛顿特区白宫的域）发送破坏性通信。事实上，CodeRed、Nimda 和 Slammer 蠕虫的传播机制都是针对 Internet 的拒绝服务攻击。每台受感染的计算机可向任意目标执行成千上万次感染尝试，产生的通信会破坏许多本地和区域网络。

IPsec 以许多种方式抵御拒绝服务攻击，并向潜在的攻击受害人提供增强的保护级别。它可以通过强制消耗大量资源延缓攻击者，还可以允许网络操作者区分不同类型的通信。

特权提升

此类威胁允许不具有特权的用户获取访问特权，从而使他们可能破坏或摧毁整个系统环境。特权提升威胁包括攻击者有效地突破所有系统防御，从而利用和破坏系统的情形。

返回页首

其他威胁

并非所有类型的威胁都与 STRIDE 模式完全相吻合。以下项目描述其他威胁，并介绍了这些威胁对服务器和域隔离解决方案的潜在影响。

物理安全

物理安全包括仅向最少数有需要的用户提供对系统或资源的物理访问。物理安全是大多数 IT 安全威胁的最低防护层。然而，在大多数网络级攻击中，物理安全被完全忽视了。物理安全作为纵深防御手段的一部分，仍有着巨大的价值。例如，安全守卫、数据中心录像、敏感位置访问控制、以及门卡或钥匙等物理安全形式均有助于防止受信任设备遭到破坏。使用多种物理安全方法非常重要，这有助于防止一些重要数据中心的安全被破坏。

应当非常清楚的一点是，如果物理安全被破坏了，则始终意味着所有的安全层均被破坏。本解决方案中所讨论的所有安全均基于物理安全问题已解决的假设。如果缺乏物理安全，则其他任何安全措施都是毫无意义的。

网络安全

网络是指一个由许多计算机相互连接构成的系统。大多数为网络设计的协议和服务在创建时并未将恶意企图的潜在威胁考虑在内。高速计算的出现、对网络的便捷访问以及 Internet 的广泛可用性，导致许多有恶意企图的用户集中精力于从系统或服务中掠夺资源或进行破坏。在此附录的前面部分已对许多网络威胁稍加详述。有关 IPsec 如何抵御这些网络攻击的其他信息，可在 Windows® XP Professional 资源工具包“Chapter 19 – Configuring TCP/IP”的“IPsec”部分找到，网址为 www.microsoft.com/resources/documentation/Windows/
XP/all/reskit/en-us/prcc_tcp_naoc.asp。

应用程序安全

大多数瞄准了应用程序的攻击试图利用那些应用程序或操作系统中的漏洞。由于 IPsec 是在开放式系统互连 (OSI) 模式的网络层实施的，所以它决定了在数据包到达应用程序之前是否允许数据包。此行为意味着 IPsec 无法对应用程序级别作出决定，但可在较低级别为应用程序通信提供安全。

社会工程

社会工程是指利用人类行为中的弱点以获得系统的访问权限或对系统深入了解的行为。例如，一个潜在攻击者可能会打电话到目标公司，并询问负责特定项目的主管的姓名。该公司将在此项目中开发一项新产品或新服务，而这恰恰是攻击者想要了解的。如果接线员向攻击者提供了该主管的姓名，甚至是其所处位置或联系信息，攻击者就有了更多可以用来达到其目的信息。

由于此类攻击瞄准的是计算机的用户，IPsec 无法防止。同样，如果某恶意用户有权限访问被隔离的系统，并且滥用该访问权限（通常被称为“受信任的攻击者”），则需要使用其他安全技术对其进行防范。

返回页首