使用 IPsec 與組策略隔離服務器和域

來源:本站原創 網絡技術 超過792 views圍觀 0條評論

STRIDE 識別的威脅

本部分描述了許多通過 STRIDE(哄騙、篡改、抵賴、信息泄露、拒絕服務和特權提升)模式確定的網絡安全威脅,以及作為本解決方案的一部分實施的安全措施可以如何幫助減輕威脅。

哄騙身份威脅

哄騙身份威脅包括為非法獲取、訪問以及使用其他人的身份驗證信息(例如用戶名或密碼)而進行的任何行為。 此類威脅包括中間人攻擊以及受信任主機與不受信任主機之間的通信。

中間人攻擊

中間人攻擊是黑客的一招慣用伎倆。 此技術將一臺計算機放置在網絡連接中的兩臺通信計算機之間,然后用中間計算機模擬一臺或兩臺原始計算機。 此技術可以使“中間人”與原始計算機建立活動連接并允許其讀取和/或修改傳遞的信息,然而兩個原始計算機用戶卻認為他們是在互相通信。

一些 Internet 服務提供商 (ISPs) 開發了試圖對抗中間人攻擊和電子郵件欺騙的過濾做法。 例如,許多 ISP 只授權用戶通過 ISP 服務器發送電子郵件,并且根據對抗垃圾郵件的需要來驗證此限制。 但是,此項限制同樣阻止了授權用戶使用第三方提供的合法電子郵件服務,這使得許多高級用戶十分不滿。 一些電纜 ISP 嘗試阻止音頻或視頻通信,試圖強制用戶使用其自己的 IP 語音或視頻流服務。 其他示例包括:試圖禁止某些形式的虛擬專用網絡 (VPN) 通信,原因是 VPN 是一項需要較高訂購費用的商務服務;以及禁止用戶在家中運行服務器。

ISP 篩選器通常通過使用路由器的硬件功能來實施,此類路由器在特定協議類型(用戶數據報協議 (UDP) 或傳輸控制協議 (TCP))、端口號或 TCP 標志(初始連接包,且無數據或確認碼)上運行。 如果使用 IPsec 有效地禁用了此類過濾,這就給 ISP 帶來了兩個非常極端地選擇:要么禁止所有 IPsec 通信,要么禁止與某些已標識的對等端之間的通信。 如果廣泛使用了 IPsec,則這兩種選擇都將造成消費者的對抗性反應。

受信任主機與不受信任主機通信

此威脅實際上是幾個較小威脅的超集,包括以下問題:常見的身份哄騙、修改傳輸中終結點間的數據以及竊聽。 但是,最大的威脅是哄騙,因為其意圖在于誘使受信任的主機相信自已是在與另外一臺受信任的主機通信。 并非所有將被隔離的主機都會要求與不受信任主機通信。 因為 IPsec 使用了一套基于策略的機制來確定兩臺主機之間開始協商時所需的安全級別,因此這些問題大多數都可通過仔細考慮安全和通信之間的權衡,然后仔細設計和實施反映首選結果的 IPsec 策略來解決。 第 5 章“為隔離組創建 IPsec 策略”講述了 Woodgrove Bank 方案的通信要求以及用于創建控制通信發生方式的 IPsec 策略的方法。

篡改數據

篡改數據威脅包括對數據的惡意修改。 例如,對永久性數據進行未經授權的更改(如網站毀壞),或者對數據庫中的信息或者兩臺計算機之間在開放網絡上流動的數據進行未經授權的更改。 此類別中的一個特定威脅是會話劫持。

會話劫持

正確設計的身份驗證機制以及冗長、隨機的密碼可以分別抵御網絡探測和字典攻擊。 但是,攻擊者可能利用會話劫持捕獲常規用戶通過驗證和獲得授權之后的會話。 黑客可以通過會話劫持使用常規用戶的特權訪問或修改數據庫,還可能安裝軟件以進一步滲透,甚至不需要獲得常規用戶的憑據。 執行會話劫持最簡單的方法是,首先使用專用劫持工具試圖將黑客的計算機置于連接路徑某處。 黑客將觀察交換行為并在某一點進行接替。 由于黑客位于交換的中間位置,所以他們可以終止 TCP 連接的任意一端,并使用正確的 TCP/IP 參數和序列號保持與其另一端連接。 使用 IPsec 進行加密或身份驗證可以保護終結點免遭會話劫持。

抵賴

抵賴威脅包括用戶拒絕承認其執行了某項操作,而其他方沒有辦法進行證明。 此類威脅的示例:某用戶在缺乏跟蹤禁止操作能力的系統中執行了禁止操作。 不可否認性指系統抵御抵賴威脅的能力。 例如,某用戶從基于 Web 的供應商處購買了某產品,當用戶收到產品時要進行簽名。 然后供應商可以使用簽名收據作為用戶收到包裹的證據。

信息泄露

信息泄露威脅包括將信息暴露給不允許訪問該信息的人。 例如,沒有授予文件訪問權限的用戶能夠讀取文件,或者入侵者能夠讀取兩臺計算機之間傳輸的數據。 此類威脅包括未經授權的連接和網絡探測。

未經授權的連接

許多網絡配置都有非常可信的安全狀況,并授予對來自外圍計算機的大量信息的訪問權限。 由于某些應用程序的安全防護薄弱,此訪問有時候是顯式的(如在 Intranet Web 服務器的情況下),有時候是隱式的。 一些策略依賴于簡單的地址測試,但是攻擊者可以通過偽造地址而繞過這些測試。

可以使用 IPsec 執行附加連接檢查。 可以設置策略規則,以要求一組應用程序僅在成功地協商 IPsec 之后才可訪問。

網絡探測

攻擊者試圖捕獲網絡通信有兩種原因:在傳輸中獲取重要文件的副本,或者獲取密碼以延伸其滲透。 在廣播網絡上,黑客使用網絡探測工具記錄 TCP 連接并獲取通信信息的副本。 盡管這些工具并不能很好地用于交換網絡,但是仍可能在交換網絡上使用其他專用工具攻擊地址解析協議 (ARP),這些專用工具可以通過攻擊者的計算機重定向 IP 通信,并輕易記錄所有連接。

少數協議(郵局協議 3 (POP3) 和文件傳輸協議 (FTP))仍通過網絡發送純文本密碼,探測網絡的攻擊者可以輕而易舉地發現此信息。 許多應用程序使用質詢-響應機制,這樣可以避免發送純文本密碼的問題,但卻只是稍微更具挑戰性。 黑客雖然無法直接讀取密碼,但字典攻擊通常可以從質詢和響應的副本中推斷出密碼。 使用 IPsec 對此類交換進行有效地加密可以抵御網絡探測。

拒絕服務

拒絕服務攻擊是專門針對特定主機或網絡的攻擊。 這些攻擊通常向主機或路由器發送超出其指定時間內可以處理的通信量,導致網絡無法處理通信從而破壞合法的通信流。 拒絕服務攻擊可以分布于許多攻擊者,集中精力于特定目標。 目標計算機通常會意外地受到破壞,并安裝惡意軟件腳本或程序,從而使攻擊者可以使用該計算機將大量網絡通信引至其他計算機或計算機組。 受到破壞的計算機被稱為“僵尸”,此類攻擊被稱為“分布式拒絕服務攻擊”。

IPsec 在建立通信之前要求身份驗證,因此有助于緩解大多數分布式拒絕服務攻擊(使用受信任攻擊者進行攻擊的情形除外)。 換言之,基于 Internet 的分布式拒絕服務攻擊顯示為無害的,但是如果攻擊主機或主機可以使用 IPsec 進行身份驗證或通信,則在組織網絡內發起的拒絕服務攻擊仍可能成功。

區別標準通信和攻擊通信

在 2003 年 1 月 Slammer 蠕蟲病毒發作之后不久,據觀測,如果采用簡單的規則將 UDP 通信限制到可用帶寬的 50%,網絡就不會被蠕蟲通信淹沒。 受感染的主機會被 UDP 通信迅速填滿 50% 帶寬,但剩余的帶寬仍可供操作通信使用。 自動取款機 (ATM) 將繼續工作,而管理員則可以使用 TCP 以應用修補程序并傳播策略。 盡管限制 UDP 通信的策略過分簡單化,但設置好此策略卻可以保證網絡安全可靠。

通過為重要通信使用 IPsec,管理員可以應用較為復雜的 UDP 策略版本。 通常,網絡管理員可以監視網絡上的通信混合,并確定 UDP 通信量、TCP 通信量以及 Internet 控制消息協議 (ICMP) 通信量等等。 在負載下,加權公平隊列算法可以確保資源按照標準模式共享。 事實上,通常可以編制路由器中的默認策略,在標準網絡活動期間收集長期趨勢和統計資料,然后將這些收集到的統計資料作為公平隊列加權在嚴重擁塞期間應用。

蠕蟲和拒絕服務攻擊

最近的一些跡象顯示,網絡容易受到拒絕服務攻擊,此攻擊的運作方式是:向特定服務器或網絡的特定分區發送過量通信,從而使其達到飽合。 拒絕服務攻擊的一種形式是以分布方式運作的,從而引導大量計算機同時攻擊所選目標的通信;此種攻擊尤其難以應付。 CodeRed 蠕蟲首先試圖滲入一些 Web 服務器,假設這些服務器均將向 whitehouse.gov(美國華盛頓特區白宮的域)發送破壞性通信。 事實上,CodeRed、Nimda 和 Slammer 蠕蟲的傳播機制都是針對 Internet 的拒絕服務攻擊。 每臺受感染的計算機可向任意目標執行成千上萬次感染嘗試,產生的通信會破壞許多本地和區域網絡。

IPsec 以許多種方式抵御拒絕服務攻擊,并向潛在的攻擊受害人提供增強的保護級別。 它可以通過強制消耗大量資源延緩攻擊者,還可以允許網絡操作者區分不同類型的通信。

特權提升

此類威脅允許不具有特權的用戶獲取訪問特權,從而使他們可能破壞或摧毀整個系統環境。 特權提升威脅包括攻擊者有效地突破所有系統防御,從而利用和破壞系統的情形。

其他威脅

并非所有類型的威脅都與 STRIDE 模式完全相吻合。 以下項目描述其他威脅,并介紹了這些威脅對服務器和域隔離解決方案的潛在影響。

物理安全

物理安全包括僅向最少數有需要的用戶提供對系統或資源的物理訪問。 物理安全是大多數 IT 安全威脅的最低防護層。 然而,在大多數網絡級攻擊中,物理安全被完全忽視了。 物理安全作為縱深防御手段的一部分,仍有著巨大的價值。 例如,安全守衛、數據中心錄像、敏感位置訪問控制、以及門卡或鑰匙等物理安全形式均有助于防止受信任設備遭到破壞。 使用多種物理安全方法非常重要,這有助于防止一些重要數據中心的安全被破壞。

應當非常清楚的一點是,如果物理安全被破壞了,則始終意味著所有的安全層均被破壞。 本解決方案中所討論的所有安全均基于物理安全問題已解決的假設。 如果缺乏物理安全,則其他任何安全措施都是毫無意義的。

網絡安全

網絡是指一個由許多計算機相互連接構成的系統。 大多數為網絡設計的協議和服務在創建時并未將惡意企圖的潛在威脅考慮在內。 高速計算的出現、對網絡的便捷訪問以及 Internet 的廣泛可用性,導致許多有惡意企圖的用戶集中精力于從系統或服務中掠奪資源或進行破壞。 在此附錄的前面部分已對許多網絡威脅稍加詳述。 有關 IPsec 如何抵御這些網絡攻擊的其他信息,可在 Windows? XP Professional 資源工具包“Chapter 19 – Configuring TCP/IP”的“IPsec”部分找到,網址為 www.microsoft.com/resources/documentation/Windows/
XP/all/reskit/en-us/prcc_tcp_naoc.asp。

應用程序安全

大多數瞄準了應用程序的攻擊試圖利用那些應用程序或操作系統中的漏洞。 由于 IPsec 是在開放式系統互連 (OSI) 模式的網絡層實施的,所以它決定了在數據包到達應用程序之前是否允許數據包。 此行為意味著 IPsec 無法對應用程序級別作出決定,但可在較低級別為應用程序通信提供安全。

社會工程

社會工程是指利用人類行為中的弱點以獲得系統的訪問權限或對系統深入了解的行為。 例如,一個潛在攻擊者可能會打電話到目標公司,并詢問負責特定項目的主管的姓名。 該公司將在此項目中開發一項新產品或新服務,而這恰恰是攻擊者想要了解的。 如果接線員向攻擊者提供了該主管的姓名,甚至是其所處位置或聯系信息,攻擊者就有了更多可以用來達到其目的信息。

由于此類攻擊瞄準的是計算機的用戶,IPsec 無法防止。 同樣,如果某惡意用戶有權限訪問被隔離的系統,并且濫用該訪問權限(通常被稱為“受信任的攻擊者”),則需要使用其他安全技術對其進行防范。

總結

毫無疑問,使用服務器或域隔離無法解決組織面臨的所有威脅。 只有對可用選擇進行透徹理解,并詳細地了解技術難題,組織才能恰當地保護其 IT 環境。

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=379轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏