Asp的安全管理（12）

DMZ 体系结构 — 安全和性能
另一类常见的攻击是从线路上窥探数据包。尽管有最近出现的防窥探工具（可能经常不可靠），但用简单集线器构建的网络还是很容易受到这种攻击。（并且反防窥探工具也可能使它成为一项重要议题。） 使用交换机替代集线器可消除此弱点。在共享介质网络（即用集线器构建的网络）中，所有的设备可看见所有的通信。通常网络接口对非发给它的数据帧不进行处理。混杂模式的接口将把每一帧的内容向上传到计算机的协议栈。该信息对于有协议分析器的攻击者可能非常有价值。

交换网络可以实际杜绝这种情况的发生。交换网络中任何机器的网络接口将只能看到特别发给该接口的那些帧。在这里混杂模式没有什么不同，因为 NIC 不识别其它任何网络通信。攻击者窥探交换网络的唯一已知方法是：攻击者破坏交换机本身并更改其操作，这样交换机至少在一个端口充斥了所有通信。破坏交换机很难，并且很快会被网络管理员发现。

交换网络还免去了使用双主机 DMZ 服务器的必要。双主机提供不了更多的附加保护；附加的 NIC 不能防止来自已破坏计算机的攻击。但是在需要高可用性或高性能情况下，使用两个 NIC 可能更加适合。

消除故障点。在需要高可用性的环境中有必要使用两个 NIC。一种切实可行的设计方案是在核心部分包括两台交换机，并在每台服务器中包括两个 NIC。一个 NIC 连接到一台交换机，另一个 NIC 连接到另一台交换机。

内部网络的情况如何？出于同样的原因，内部网络也应当用交换机来构建。如果需要高可用性，请遵照 DMZ 中同样的原则。

群集互连。无论在 DMZ 还是在内部网络中，都使用集线器连接所有群集。Microsoft 不建议使用跨接电缆，因为它们不能提供确保介质敏感型操作正常工作所需的电子信号。

IPSec — 信任 DMZ 的一种更安全的选择
如果所有的服务器都在运行 Windows 2000，则应当使用 Internet 协议安全 (IPSec) 来保护 DMZ 和内部网络之间所有通讯的安全。IPSec 提供下列功能：

身份验证。 可以确定这样的策略，使得只有那些需要彼此通讯的计算机才可以互相通讯。
加密。 已经侵入到 DMZ 的入侵者无法将通信解释进或解释出内部网络。
保护。 IPSec 保护网络避免重放攻击、人为干预攻击以及通过标准协议（如 ICMP 或 HTTP）进行的攻击（这些攻击可通过基本防火墙和状态检查数据包筛选器防火墙）。
启用 IPSec 后，内部防火墙必须只允许 IPSec、IKE、Kerberos 以及 DNS 通信，这样进一步加强了内部网络的安全性。内部防火墙中不会有其它漏洞。对于各种应用程序有漏洞的标准防火墙规则，入侵者可以通过 Firewalk 这样的工具确定防火墙的策略；而将所有通信封装在 IPSec 中并只许使用该协议，可隐藏对攻击者可能有用的实施细节（但是还应参见下面的“可能的安全含意”）。下表列出了应当在防火墙中开启的服务： 服务
位置
说明

Domain

端口 53/tcp 和 53/udp

域名服务


kerberos

端口 88/tcp 和 88/udp

Kerberos v.5 身份验证


isakmp

端口 500/udp

Internet 密钥交换


esp

协议 50

IPSec 封装的安全有效载荷


ah

协议 51

IPSec 验证的标头




请注意不需要证书授权；IPSec 策略将用 Kerberos （本机的 Windows 2000 身份验证机制）作为建立 IKE 主模式安全关联的基础。

可能的安全含意。如前所述，对 DMZ 和内部网络之间的通信加密后不可能再检查内部防火墙中的通信。并非所有的网络或安全管理员都对此方法满意。ESP 的加密提供了进入内部网络的封装路径，一旦某台 DMZ 机器被破坏，它就可能被利用。使用 IPSec AH 替代 ESP 将使较为简单的防火墙配置显示其优势，同时由于 AH 数据包有效载荷未经加密，还可进行通信检查。

入侵检测 — 早期的警告系统
入侵检测系统正在成为与 Internet 连接的任何网络的必要组件。尽管它不能替代防火墙详细不间断的检查和服务器日志，但是入侵检测系统能够提早识别潜在入侵，为您提供更多的时间以对事故采取相应措施。请在 DMZ 中安装入侵检测系统。

入侵检测系统和防病毒实用程序相似，它们都是在检测到它们识别的东西时向管理员发出警报。入侵检测系统包含一个攻击特征数据库，但是并非所有的入侵检测系统都同样可以识别不同类型的攻击或保持最新状态（各个 IDS 厂商都将他们的特征数据库和更新机制当作商业机密）。目前有两种值得关注的检测系统，它们是：RealSecure by Internet Security Systems (http://www.iss.net) 和 Network Flight Recorder ( http://www.nfr.net )。

基于主机的入侵检测。大多数入侵检测系统在网络级别工作，在网络被破坏后向管理员发出警报。最近出现了一种新的入侵检测系统类型：基于主机的入侵检测系统。这些工具本身在服务器上运行，并在特定计算机遭到破坏时向管理员发出警报。这种警报机制对于包含有重要操作数据的计算机（如后端数据库服务器）尤为重要。

将基于网络的入侵检测系统和基于主机的入侵检测系统结合起来，并且让训练有素的安全专家定期检查系统日志是保护网络、收集证据和处理安全事故的最有效方法。

DNS — 确保客户到达正确的地方
常见的 DNS 实施（包括如图所示的实施）称为拆分 DNS 实施。外部服务器用来解决 Internet 对 DMZ 中计算机的查询，并解决 DMZ 计算机对其它 DMZ 计算机的查询。内部服务器用来解决内部网络对内部计算机的查询，对 DMZ 中或 Internet 上计算机的查询将被转发到外部服务器。但是拆分 DNS 不能保护 DNS 高速缓存免受攻击。

在 DNS 高速缓存的侵害中，攻击者会破坏另一网络的 DNS 高速缓存。当受害者试图在破坏的网络中确定地址时，该高速缓存返回攻击者在高速缓存中放入的无效信息。通常攻击者这样做是为了把受害者重新定向到攻击者的计算机。

最安全的 DNS 实施称为 拆分 — 拆分 DNS 实施。在 DMZ 中有两台 DNS 服务器。一台服务器（例如 DMZDNS-IN）只接受对 DMZ 中计算机的传入查询 — 并只接受 Internet 上计算机的查询。另一台服务器（如 DMZDNS-OUT）只允许解决对 Internet 的传出查询，以及 DMZ 计算机对其它 DMZ 计算机的查询。DMZDNS-IN 是 DMZ 的 DNS 区域的主 DNS 服务器，DMZDNS-OUT 是辅助 DNS 服务器，使用 IPSec 进行区域传输。内部网络中的 DNS 服务器仅是内部网络的主 DNS 服务器，并且将对 DMZ 或 Internet 的请求转发到 DMZDNS-OUT。这消除了使网络易于受到已被袭击的 DNS 高速缓存攻击的条件。

 如果您对本文有任何疑问或者建议，请到讨论区发表您的意见: >> 论坛入口 <<

上一页 1 23 下一页

上一篇：Windows 2000 安全性技术概述--3   下一篇：用VB构建Internet的应用

【文章评论】 【收藏本文】 【推荐好友】 【打印本文】 【我要投稿】 【论坛讨论】