| 当我们把56K的Modem换成网卡,几倍于原来的速度接入互联网的时候,互联网的新应用也就随之而来了。如果用无线网卡的话,连线路都可以省略了,这比起原来的联络方式来说,即方便又时尚。但随着网络新应用而来的还有另外一种产物,那就是威胁,伴随着即时通信、点对点通信或者无线网络通信而来的威胁...... IM潜伏威胁 你知道2年前,同时在OICQ(后改名为QQ)上聊天的人有多少吗?是15万左右。那么现在同时通过QQ联系的人有多少呢?是150万,2年前的10倍。这只是中国的情况,如果算上ICQ、Yahoo! Messenger、Microsoft .NET Messenger、AOL的Instant Messenger(AIM),以及许许多多我们连名字都说不出来的聊天工具,用户数量恐怕要以“亿”来计算了。 也许你在聊兴大发时,IM正在把你的公司带入万丈深渊!无论是本地的QQ,还是外来的其他聊天工具,我们都称它们为“即时通信工具”(Instant Message,简称IM)。IM作为应用层通信软件,不仅支持实时消息传输,还支持文件传输、语音和视频会谈和文件共享。一些IM软件甚至允许用户远程控制一个客户端。也许我们每天通过IM完成了很多工作,或者认识了很多朋友,IM也给我们带来了很大的便捷和快乐,但是有谁彻底的想过,IM的存在是伴随着一种巨大危险的呢!几乎所有免费在线即时信息系统都缺乏加密功能;大多数都具备绕过传统防火墙的功能,给管理企业内部网带来了很大的困难。这些系统中的密码管理也不安全,容易受到帐户哄骗的攻击,还可能受到拒绝服务攻击。 微软曾发表声明,承认自己的MSN Messenger程序容易让用户受到黑客侵袭,还说他们的IM产品有瑕疵,不能阻止黑客潜入其目标用户的电脑上为所欲为。但是微软立即发布了补救程序。微软受到影响的软件包括MSN Chat Control、MSN Messenger 4.5/4.6版,以及Exchange Instant Messenger 4.5/4.6版。顺便提一句,不知是为了提高工作效率,还是出于安全考虑,微软中国员工在单位是不容许使用MSN Messenger的。 随着IM用户爆炸性增长,除了聊友们高兴以外,还有一些人也在偷偷的欣喜,这些人就是黑客。他们发现,通过IM可以轻松的突破公司的层层安全防线,利用这个通道,可以迅速定位用户并直接访问到公司内部的核心网络。当黑客通过IM轻易获得自己想要的东西时,对于用户来说,他们为了安全做出的种种努力,都显得那么的脆弱。对于这种严重的安全漏洞,如果想要保护网络系统与核心业务话,关掉IM程序是最好的办法。但是IM带给我们的便捷是难以割舍的,我们的生活已经不能没有IM了,还是想想其他办法来保护IM吧。 要保护IM,还是要首先了解它的脆弱性。大多数IM系统采用客户机/服务器结构。一般在安装时,用户都在自己的客户端机器上安装即时信息代理,然后通过即时信息提供商架构中的即时信息服务器实现信息的通信交换。在大部分情况下,即时信息并不是从用户计算机直接发送给他或她的好友的,而是通过公用的互联网从第一个用户发送至即时信息服务器,然后发送到接收者的计算机那里。由于几乎在所有的即时信息系统中,用户之间发送的信息未加密(也没法加密),是清楚可见的,导致信息容易遭到窃取。而且文件交换会导致传统病毒、蠕虫、特洛伊木马以及混合威胁的大量传播。此外,从技术上讲,安全产品可以实现,当即时信息文件交换穿越企业防火墙时,对其进行扫描。但是目前还没有安全软件提供商提供这样的网关扫描解决方案,其中部分原因在于即时信息协议的专有性。 其实IM除了容易成为黑客进入公司网络的踏板外,对公司的生产力造成的影响也不小,如果每个小时都和几个网友聊上几句的话,工作效率无疑会大打折扣。因此一些公司是严令禁止IM存在的。但也有很多公司例外,他们愿意利用IM工具来提高效率。Bantu公司的总裁Larry Schlang说:“公司级的用户都已经意识到了即时通信的重要用途,我们认为市场的潜力是很大的。即时通信服务不仅仅可以提高通信和信息传递的效率,在其他领域,如在公司的客户关系管理中也会大有作为。”但是使用IM工具的公司并不是盲目的使用,他们对IM有着更高的要求。Larry Schlang说:”客户对即时通信主要有三方面的要求,他们希望能够保证通信安全,不泄密、不遭恶意破坏;服务要具有平台独立性;而且还必须与他们现有的工作平台和应用程序进行很好的整合。” P2P暴露在威胁下 也许IM的功能还不能满足人们的要求吧,有时让人觉得不过瘾,比如在文件共享方面,用户通常采用发送电子邮件的形式。但邮件的稳定性和其对附件大小的限制,已经影响到用户之间进行文件传输。而P2P(Peer To Peer,点对点通信)软件的功能则强大多了。但是P2P也像IM一样存在很多安全缺陷,而且可能更危险,所以一些对安全有较高需求的用户,就P2P的看法,真可谓爱恨交加。 由于P2P是高速连接网络和维持PC开放状态,所以遭受攻击的风险更高。ISS公司(Internet Security System)的研究主任Chris Rouland曾针对P2P的音乐交换服务做出这样的评判:“我们将网上音乐下载称作危险的网络行为。P2P在网上和别人分享了你的IP地址,这样很容易引来入侵者。”McAfee.com的病毒研究主管April Goostree说:“由于人们在处理P2P文件时,不像操作Email或者互连网其它的操作一样慎重,使得P2P正面临着严重的危险。P2P无疑是病毒的滋生地,人们来来往往地发送文件,而根本不考虑安全的事情。” 但是一些厂商确实也在为P2P的安全问题努力工作着。英特尔正致力于促进在网络安全领域推出更多的P2P产品。英特尔刚刚公布了P2P Trust Library安全源码,以帮助其他开发商用来开发P2P应用软件。英特尔公布的源码包括完整的应用编程接口文件,并提供终端认证、安全存储、加密和电子签名等方面的技术支持。 也有人利用P2P改善以前的工作方式。NAI的MyCIO软件就运用了P2P技术,作为其病毒版本升级的存储途径。在企业环境下,比起每个用户都去Internet网站上浏览最近的更新,MyCIO的技术允许第一个用户将其已经获得的信息传送给下一个访问该网站的用户,以降低Internet接口和局域网带宽的压力。每台终端机的系统都对下一台登录的终端进行认证。该系统运用了基于时间的协议,使得共享文件的用户不会因为多用户的大量访问而导致系统和网络资源不足。比起传统P2P网络中任意终端都能随时访问其他任意终端的状况,该系统为需要访问共享资源的用户提供最直接最有效的途径,而拒绝用户对其他可能途径的访问。P2P使用户更新病毒的速度加快了,这是件好事。但只怕又会带来新的安全问题,这永远是一对矛盾。 无线威胁的真实存在 如果你能买到Yagi外置天线和3-dB磁性HyperGain漫射天线硬盘,拿着它到各大写字楼里走一圈,你也许就能进入那些大公司的无线局域网络里,做你想要做的一切。或者再简单一点,对于那些防范手段差的公司来说,用一块802.11b无线网卡也可以进入他们的网络。这种事时常在美国发生。 人们对无线网络安全的认识一直存在着一个误区,总是认为在空间传播的电波容易被别人捕获,而固定的电话线传输的数据就是安全的。其实要说捕获数据,在电话线上做手脚要比在空中拦截电波讯号容易。所以,首先要澄清的一点就是无线网络的安全性并没有想象的那么差,不过随着应用的增多,以及地位的重要性提升,无线网络安全也应该引起人们的关注。根据RSA Security在英国的调查发现,67%的WLAN都没有采取安全措施。而要保护无线网络,必需要做到三点:信息加密、身份验证和访问控制。 WEP存在的问题由两个方面造成。一个是接入点和客户端使用相同的加密密钥。如果在家庭或者小企业内部,一个访问节点只连接几台PC的话还可以,但如果在不确定的客户环境下则无法使用。让全部客户都知道密钥的做法,无疑在宣告,WLAN根本没有加密。二是基于WEP的加密信息容易被破译。美国某些大学甚至已经公开了解密WEP的论文。这些都是WEP在设计上存在问题,是人们在使用IEEE 802.11b是心头无法抹去的阴影。我们不能完全信任WEP,在使用IEEE 802.11b时,除了WEP以外,还必须配合使用其他的认证及加密方法。比如微软在Windows XP中嵌入了通过ADIUS服务器上认证WLAN用户以及通过Active Directory进行认证的功能。考虑到将来WEP的性能还有可能进一步提高等因素,在这个问题上LAN还是有很大改善余地的。微软也在Windows XP中嵌入了可以从多个接入点中选择接驳设备的功能,旨在提高公司内部LAN使用的便利性。 WEP采用的对称性加密算法是RC4(一种流行的密码标准),它也存在着密钥调度算法的弱点。既然WEP并不那么安全,我们为什么不抛弃它呢?最主要的原因可能就是因为WEP是免费的。用总比不用要好一点。 当年在802.11b作为新一代无线网络传输标准时,多数厂商都使用“直接序列展频技术”(direct sequence spread spectrum,DSSS)作为实体层的选择。DSSS传送资料时会附加一个容错位,以保证资料传输的一致性和安全性。但是一位的加密怎能拦截住技术高超的黑客们呢,他们使用展频分析仪就能轻易的截取到无线电波,还可以用特定的无线网卡去搜寻各频道内的数据,加以解析就可以轻易破解。所以,单纯的给传送频道加密并不能保护数据不被窃取。为了克服这个问题,如果我们能把无线传输中的资料也加密,就算黑客中途拦截到资料也不会破译里面的内容。因此,IEEE 802.11b的制订者们又制定了一个共享金钥加密机制,这就是WEP,其目的就是要在无线网络上提供跟有线网络一样的保密功能。 不同的制造商提供了两种WEP级别。一种建立在40位密钥和24位初始向量基础上,被称作64位密码;另一种是建立在104位密码加上24位初始向量基础上的,被称作128位密码。高水平的黑客,要窃取通过40位密钥加密的传输资料并非难事,40位的长度就拥有2的40次方的排列组合,而RSA的破解速度,每秒就能列出2.45x10^9种排列组合,几分钟之内就可以破解出来。所以128位的密钥是以后采用的标准。 由于不同类型企业中的最终用户对安全性的需求各不相同,3Com公司为用户提供了分层化的安全特性,赋予了网络用户依其网络环境的不同来选择最优化的解决方案的能力。3Com公司已经在其产品中实现了对IEEE 802.11b标准中定义过的40位共享密钥WEP的支持。 虽然WEP有着种种的不安全,但是很多情况下,许多访问节点在没有激活WEP的情况下就开始使用网络了,这好像在敞开大门迎接敌人一样。用NetStumbler等工具扫描一下网络就能轻易记下MAC地址、网络名、服务设置标识符、制造商、信道、信号强度、信噪比的情况。安全不安全,还要我们自己作出努力才行。 开放式的网络,造成了无线网络的不安全。有接收器的用户可以截获正在传送的信息。而对于无线网络的保护既要掌握无线网络的通信技术,又要有安全防护技术。诺基亚就是能同时兼顾这两块领域的厂商代表。他们与Checkpoint合作安全项目,通过给传送信号加密、防火墙、接入技术等手段来保护数据。诺基亚还发布了移动VPN产品,可以将笔记本、手机上的信息通过加密后传送出去。但无论采用什么手段,网络协议本身存在的问题注定了安全将是一个永恒的话题。 |
|小黑屋|最新主题|手机版|微赢网络技术论坛
( 苏ICP备08020429号 )
GMT+8, 2024-10-1 15:27 , Processed in 0.083647 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.
