局域网与Internet安全技术ppt111.ppt

6.5.2 FTP安全技术 1.匿名登录 用过FTP的人都知道，FTP提供一种匿名服务(Anonymous Service)功能。登录名用“anonymous”，而口令通常可用你的电子邮件地址代替。正是这种服务方式方便了用户，但也不可避免地带来了安全问题，如客户登录后，往往能够获得一个可写目录，这样客户就可以通过put上载一个甚至是多个txt文件，来达到其攻击该FTP服务器或其他FTP服务器的目的。虽然许多FTP服务器都限制匿名用户的权限，比如执行权，而许多FTP服务器与Web服务器同装在一台机器上，那么匿名用户完全可以利用该可写目录运行命令调用Web服务器执行。 2.FTP代理服务器 通过FTP代理服务器连接到匿名FTP服务器，而不是直接连接到FTP服务器上。这样做的主要目的基于两个方面：第一，无法直接连接，比如存在防火墙；第二，出于不被匿名服务器知晓其IP地址的目的，或者登录者就是网络攻击者，或者由于匿名服务器根据IP地址来限制客户登录。 因此，对于防火墙内的客户来说，它必须先运行FTP命令并通过作为主机的防火墙连接，连接完成后，必须说明用户名和连接地点，在认证该地点确实允许之后，代理才与远程系统上的FTP服务器建立连接，使用用户提供的用户名开始登录。然后远程服务器提示用户输入口令，如果口令正确则连接被允许。对于非防火墙内用户，它可以通过任意代理服务器来连接其目的服务器，并达到隐藏其地址的目的。因对于目标服务器而言，其知道的仅仅是代理服务器的地址。 这样，通过FTP代理服务器对FTP服务器进行攻击，往往使得查找网络攻击源变得很困难，而且如果FTP服务器和FTP代理服务器间存在一定的信任关系，攻击就变得更容易了。 3.跳板(Bounce)攻击问题 FTP的代理服务特性是允许第三方文件传输。一个用户可以从一个FTP向另一个远程FTP请求代理传输。实际上这种特性已在RFC959中被说明，当与引用命令相连时，例如PORT及PASV语句，允许一个用户避免IP访问控制及可跟踪性。 假设一个网络攻击者的IP地址是0，他想从另一个目标服务器获得资源。但目标服务器对一些特定的IP地址范围进行了限制。假定网络攻击者的IP地址0恰好在这一范围内，因此目标服务器上的一些或所有的资源都不能访问，所以必须使用另一台机器(中继服务器)去访问目标服务器。其简单的过程就是，用户登录上这台中继网服务器后，向中继用服务器目录写一个文件，该文件包含有连接到目标机器并获得一些文件的命令。当该中介服务器连接目标服务器时，使用了它自己的地址而不是攻击者的地址。因此，目标服务器信任该连接请求并返回要求的文件。这样就构成了一个跳板攻击。 6.5.3 Telnet安全性分析 Telenet是一个非常有用的工具，并且一般主机都开启了Telnet服务。我们可以使用Telnet登录上一个开启了Telnet服务的主机来执行一些命令，便于进行远程工作或维护。 但Telnet本身存在很多的安全问题，描述如下： l 传输明文：Telnet登录时没有口令保护，远程用户的登录传送的用户名和密码都是明文，网络攻击者使用任何一种简单的嗅探器都可以截获； l 没有强力认证机制，验证的只是连接者的用户名和密码； l 没有完整性检查。传送的数据没有办法知道是否完整，不能判断数据是否被篡改过； l 传送的数据都没有加密。中途的截获可以马上看到数据的内容。 解决办法：不要使用传统的明文软件Telnet，而要使用SSLTelnet或SSH这样的对数据加密传输的软件。 6.6 IPv4与IPv6安全 本节内容 6.6.1 IPv4安全性分析 6.6.2 IPv6安全性分析 6.6.3 IPv6安全机制 6.6.1 IPv4安全性分析 目前广泛使用的TCP/IP协议是安全机制不完善的IPv4版本。该版本的TCP/IP协议体系中存在许多安全缺陷，列举如下： l?TCP/IP本身不提供加密传输功能，用户口令和数据是以明文形式传输的，很容易在传输过程中被截获或修改； l?TCP/IP本身不支持信息流填充机制，容易受到信息流分析的攻击； l?TCP/IP本身不提供对等实体鉴别功能，恶意的第三者实体可以轻易冒充合法用户与连接的一方通信，并能骗取对方的信任； l?TCP/IP协议体系本身存在缺陷，容易遭受到攻击，例如，服务端口的半开连接问题会造成拒绝服务现象发生； l?由TCP/IP支持的Internet中的各个子网是平等的，难以实现分级安全的网络结构(如树状结构)，无法实现有效的安全管理； l许多厂商提供的TCP/IP应用层协议实用软件中存在严重的安全