3高层协议的安全性.PDFVIP

第 3 章 高层协议的安全性 第 2 章介绍了低层协议的安全性问题。在图 2-1 中可以看出，在低层协议之上，存 在着大量各种各样的应用，其中许多应用都存在着一定的安全性问题。本章仅对那些安 全性问题非常突出的应用进行讨论。 3.1 电子邮件协议 本节对电子邮件的收发协议进行讨论。SMTP 是最通用的电子邮件传输协议，几乎 每条消息都是以这种方式来发送。一旦邮件到达了目标邮件缓冲主机，就存在多种选择 从服务器上访问这些邮件。 3.1.1 SMTP 电子邮件是因特网上使用最广泛的服务之一。尽管网络上有多种邮件收发服务，但 最常用的就是简单邮件传输协议（Simple Mail Transfer Protocol，SMTP ）[Klensin 2001]。 SMTP 服务使用的是 25 号端口。 传统 SMTP 使用简单的协议传输 7b ASCII 文本字符，SMTP 会话样本日志记录如 图 3-1 所示，箭头表明数据的流向。（它还有一种扩展形式，称为ESMTP ，允许扩展协 商，它包括 8b 的传输。这样，它就不仅能够传输二进制的数据，还可以传输非 ASCII 字符集。）从图中可以看出：远程站点 向本地主机 发送了一 个电子邮件。这是一个简单的协议，网络管理员和黑客都知道如何使用这些命令，他们 可以手工输入这些命令。 注意：主叫方在 MAIL FROM 命令中指明了一个返回地址。在这种情况下，本地主 机没有可靠的办法来验证该返回地址的正确性。你确实不知道是谁用 SMTP 给你发送了 邮件。如果你需要更高的可信度或保密性，就必须使用更高级的安全机制。 一个组织机构至少需要一个邮件服务器。内部网络用户的邮件服务器通常设置在网 关上。这样，内部的管理员只需从网关上的邮件服务器上获得他们的邮件。此网关能够 保证外出的邮件头部符合标准。如果本地的邮件服务器出现问题，管理员可以方便、及 时地解决邮件服务器故障。 通过采用邮件网关，公司内部的每个人都可以有一个单独设立的邮箱。但是这些邮 件账户列表必须严加保护，以防被人窃取而成为黑客攻击的目标。从安全的角度看，基 本的 SMTP 自身是完全无害的，但是它可能成为拒绝服务攻击的发源地。攻击者可以采 网络安全——技术与实践（第 2 版） 用拒绝服务攻击阻止用户合法使用该邮件服务器。假设攻击者能控制 50 台机器，每台机 器都向邮件服务器发送 1000 个 1MB 大小的邮件，恐怕邮件系统很难处理数量如此之多 的邮件。 图 3-1 SMTP 会话样本日志记录 邮件的别名有时也会给黑客提供一些有用的信息。像下面的一些命令 VRFY postmaster VRFY root 通常可以把 邮件别名翻译成实际的登录名称。它可能提供一些关于谁是系统管理员、 攻击成功后哪个账户最有价值等线索 。这些信息是敏感 的还是不敏感 的，完全是安全策 略问题。 EXPN 子命令扩展了邮件列表的别名 。这个命令存在很大的问题，这可能会导致机 性的丧失 。要避免这种风险，一种有用的做法是将暴露 的邮件服务器主机的别名指 向 一台内部的机器，这台机器从外部是不可达的，从而消除这种扩展所带来的风险 。 SMTP 最常用的实现方案包含在 Sendmail 中。在许多 UNIX 软件版本中，该程序是 免费的，但是它要比花钱购买的版本少很多东西。Sendmail 有一个致命的安全缺陷 。它 包含成千上万行的 C 语言程序，而它常常以 root 用户权限工作 。这实际上违背 了 “最小 信任”（Minimal Trust ）原则。这种有意或无意造成的安全漏洞已经存在了很长时间，其 中的一个安全漏洞可以被网络蠕虫用来传播病毒 。特权程序应该尽可能小，而且应该模 块化 。SMTP 后台程序不必以 root 权限来运行。最近 出现的 Sendmail 版本 已经做了很大 的改善。此外，还有一些免费的电子邮件服务程序也是可以信赖 的。 48 第 3 章 高层协议的安全性 对 于 邮件管理员来说 ，最大的问题是如何对这些邮件服务程序进行合理配置。 Sendmail 的配置规则非常复杂，现在有一些很