《计算机网络信息安全理论与实践教程第14章》.pptVIP

* 第14章网络安全新技术 第14章网络安全新技术 14.1 入侵阻断 14.2 网络攻击诱骗 14.3 网络攻击容忍和系统生存 14.4 可信计算 14.5 本章小结 本章思考与练习 14.1 入 侵 阻 断 　　防火墙、IDS是保障网络安全不可缺少的基础技术，但是防火墙和IDS本身也存在技术上的缺陷，不可能完全解决越来越复杂的网络攻击。尽管防火墙有许多种安全功能，但它是基于静态的访问控制规则，属于粗粒度，不能检测网络包的内容。其缺点主要表现在： 　　* 防火墙不能阻止基于数据驱动式的攻击，攻击者可以通过构造符合防火墙的安全规则网络包，绕过防火墙访问控制，向目标发起进攻。例如，攻击者通过防火墙开放的80端口入侵Web系统。 　　* 防火墙不能完全防止后门攻击，某些基于应用级的后门能绕过防火墙的控制，例如 http tunnel等。 　　* 防火墙规则更新非自动，从而导致攻击响应延迟。 　　而IDS系统尽管能够识别并记录攻击，但却不能及时阻止攻击，而且IDS的误报警造成与之联动的防火墙无从下手。 图14-1 IPS应用示意图 14.2 网络攻击诱骗 　　1．空系统 　　空系统是标准的机器，上面运行着真实完整的操作系统及应用程序。在空系统中可以找到真实系统中存在的各种漏洞，与真实系统没有实质区别，没有刻意地模拟某种环境或者故意地使系统不安全。任何欺骗系统做得再逼真，也决不可能与原系统完全一样，利用空系统作蜜罐是一种简单的选择。 　　2．镜像系统 　　攻击者要攻击的往往是那些对外提供服务的主机，当攻击者被诱导到空系统或模拟系统的时候，会很快地发现这些系统并不是他们期望攻击的目标。因此，更有效的做法是，建立一些提供敌手感兴趣的服务的服务器镜像系统，这些系统上安装的操作系统、应用软件以及具体的配置与真实的服务器上的基本一致。镜像系统对攻击者有较强的欺骗性，并且通过分析攻击者对镜像系统所采用的攻击方法，有利于我们加强真实系统的安全。 　　3．虚拟系统 　　虚拟系统是指在一台真实的物理机上运行一些仿真软件，通过仿真软件对计算机硬件进行模拟，使得在仿真平台上可以运行多个不同的操作系统，这样，一台真实的机器就变成了多台主机(称为虚拟机)。通常将真实的机器上安装的操作系统称为宿主操作系统，仿真软件在宿主操作系统上安装，在仿真平台上安装的操作系统称为客户操作系统。VMware是典型的仿真软件，它在宿主操作系统和客户操作系统之间建立了一个虚拟的硬件仿真平台，客户操作系统可以基于相同的硬件平台模拟多台虚拟主机。另外，在因特网上，还有一个专用的虚拟蜜罐系统构建软件honeyd，它可以用来虚拟构造出多种主机，并且在虚拟主机上还可以配置运行不同的服务和操作系统，模拟多种系统脆弱性。honeyd应用环境如图14-2所示。 图14-2 honeyd虚拟系统示意图 　　4．陷阱网络 　　陷阱网络由多个蜜罐主机、路由器、防火墙、IDS、审计系统等共同组成，为攻击者制造了一个攻击环境，供防御者研究攻击者的攻击行为。陷阱网络一般需要实现蜜罐系统、数据控制系统、数据捕获系统、数据记录、数据分析、数据管理等功能。图14-3是第一代陷阱网络，出入陷阱网络的数据包都经过防火墙和路由器，防火墙的功能是控制内外网络之间的通信连接，防止陷阱网络被作为攻击其他系统的跳板，其规则一般配置成不限制外部网对陷阱网络的访问，但需要对陷阱网络中的蜜罐主机对外的连接加强控制，这些控制包括： 　　限制对外连接的目的地，限制主动对外发起连接，限制对外连接的协议类型等。路由器安放在防火墙和陷阱网络之间，其意图是路由器可以隐藏防火墙，即使攻击者控制了陷阱网络中的蜜罐主机，发现路由器与外部网相连接，也能被防火墙发现。同时，路由器具有访问控制功能，可以弥补防火墙的不足，例如用于防止地址欺骗攻击、DoS、基于ICMP的攻击等。陷阱网络的数据捕获设备是IDS，它监测和记录网络中的通信连接和对可疑的网络活动报警。此外，为掌握攻击者在蜜罐主机中的行为，必须设法获取系统活动记录，主要方法有两个：一是让所有的系统日志不但在本地记录，同时也传送到一个远程的日志服务器上；二是安放监控软件，进行击键记录、屏幕拷贝、系统调用记录等，然后传送给远程主机。 图14-3 第一代陷阱网络示意图 　　第二代陷阱网络技术实现了数据控制系统，数据捕获系统集中到一个单一系统中，这样就更便于安装与管理，如图14-4所示。它的优点之一是可以监控非授权的活动，之二是隐蔽性更强，之三是可以采用积极的响应方法限制非法活动的效果，如修改攻击代码字节，使攻击失效。 图14-4 第二代陷阱网络示意图 　　目前，研究人员正在开发虚拟陷阱网络(Virtual Honeynets)，它将陷阱网络所需要的功能集