TCP/IP网络协议栈攻击防范措施研究分析
摘要:由于tcp/ip网络协议栈在设计上的安全缺陷和脆弱性,使得在协议栈各个网络层次上均存在着各种类型的网络攻击技术
方法,对互联网及内部网络的安全性造成威胁。该文主要介绍对网络各层的安全协议,也分别列举说明了各层的网络安全防范措施,对如何改善网络安全配置和使用条件,对tcp/ip网络协议栈攻击的防范技术及其发展,进行研究分析。
关键词:tcp/ip;网络协议;防御;安全协议
中图分类号:tp393 文献标识码:a 文章编号:1009-3044(2013)03-0485-02
在短期内,基础tcp/ip网络协议不可能进行重新设计和部署实施,无法从根本上改变目前网络面临严重安全威胁的状况。通过部署一些监测、预防与安全加固的防范措施,是增强网络对已知攻击的抵御能力不可或缺的环节。
1 网络各层防范措施
在网络接口层,主要监测和防御的安全威胁的方法是网络嗅探,可以利用防范网络嗅探的思路,检测出局域网中的监听点,并在网络设计上尽量细分和优化网络结构,尽量消除数据广播的情况,并对关键路径上的网关、路由器等设备进行严格的安全防护,以减少网络嗅探造成的影响。此外,对于无线网络而言,应增强链路层加密的强度,同时对各类网络采用加密通信协议,使得在通信过程中,即使遭受嗅探也不会破坏数据要达到的机密性要求。
在互联层上,虽然ip、icmp、arp等协议中存在安全缺陷,安全问题带来的风险很难完全避免,但我们可以采用多种检测和过滤技术来发现和阻断网络中可能出现的欺骗攻击,此外也可以增强防火墙、路由器和网关设备的安全策略,对一些用于欺骗攻击的特殊数据包进行过滤,特别是对外部网络进行欺骗攻击的数据包进行出站过滤,只有如此,才能共同维护整个互联网的安全。对关键服务器使用静态绑定ip-mac映射表、使用ip sec协议加密通信等预防机制,可以有效地增强网络对欺骗攻击的抵御能力。
在传输层,可以实现基于面向连接和无连接服务的加密传输和安全控制机制,包括身份认证,访问控制等。
应用层可以采用加密、用户级身份认证、数字签名技术、授权和访问控制技术,以及主机安全技术,如审计、入侵检测等。
2 网络各层安全协议
为了克服tcp/ip协议栈的安全缺陷和问题,互联网研究机构也在不断地研究和开发一些网络安全协议,ietf、ieee 802等国际性的网络研究和标准化组织在不断地进行讨论和改进,并作为标准化协议规范对业界进行发布,使得业界能够在这些标准在网络设备、操作系统中实现和应用这些安全协议,从而增强现有网络的安全性。在tcp/ip协议栈各个层次上运用的网络安全协议如下表1所示。
2.1 网络接口层的安全协议
网络接口层的安全协议设计和标准化主要由ieee802委员会负责
推进,由于无线网络传输媒介的共享特性,因此比有线网络更加需要安全保护机制,目前常用的802.11wifi、蓝牙(bluetooth)等无线网络均实现了用于身份认证、加密传输和防止假冒篡改攻击的安全协议,如wep(wired equivalent privacy)和wpa/wpa2(wi-fi protected access)协议等。此外ieee802委员会还制定了802.1x 协议,提供了基于端口访问控制的接入管理协议标准,为各种不同类型网络中的用户认证和访问控制给出了通用的解决方案。
2.2 网络互联层的安全协议
网络互联层目前最重要的安全通信协议主要是ip sec协议簇。ip sec (internet protocol security),即互联网安全协议,是ietf(internet engineering task force)提供的一系列的互联网安全通信的标准规范,这些是私有信息通过公用网的安全保障。ip sec适用于目前的ip版本ipv4和下一代ipv6。ip sec规范相当复杂,规范中包含大量的标准文档。由于ip sec在tcp/ip协议的核心层——ip层实现,因此可以有效地保护各种上层协议,并为各种安全服务提供一个统一的平台,ip sec也是被下一代互联网所采用的网络安全协议。 ip sec协议是现在vpn开发中使用最广泛的一种协议,有可能在将来成为ipvpn的标准。
ip sec协议簇的基本目的是把密码学的安全机制引入ip协议,通过使用现代密码学方法支持机密性和认证服务,使用户能有选择地使用,并得到所期望的安全服务。ip sec将几种安全技术结合形成一个完整的安全体系,包括安全协议部分和密钥协商部分。ip sec
的安全协议主要包括ah协议(authentication header,认证头)和esp协议(encapsulate security payload,封装安全载荷)两大部分:ah认证协议提供五连接的完整性、数据源认证和抗重放保护服务,但是ah不提供任何机密性保护服务;而esp协议则为ip 协议提供机密性、数据源验证、抗重放,以及数据完整性等安全服务。其中,数据机密性是esp的基本功能,而带有数据源身份认证、数据完整性检验以及抗重放保护等功能。此外ip sec中还包含了密钥协商和交换协议,如internet密钥交换协议(internet key exchange,ike),负责处理通信双方的协议及算法的协商,产生并交换加密和认证密钥,以建立起ah和esp协议需要的通信双方安全关联(security association,sa)。
ip sec协议支持隧道及传输两种模式。隧道模式用于主机与路由器或两部路由器之间,保护整个ip数据包。通常情况下,只要ip sec 双方有一方是安全网关或路由器,就必须使用隧道模式。传输模式用于两台主机之间,保护传输层协议头,实现端到端的安全。它所保护的数据包的通信终点也是ipsec终点。传输模式下,ip sec主要对上层协议即ip包的载荷进行封装保护,通常情况下,传输模式只用于两台主机之间的安全通信。
由于工作在互联层上,ip sec协议能够为ip协议之上的任何网络应用提供安全保护机制,而网络应用无需任何的特殊设计和实现,就可以使用ip sec.
2.3 传输层的安全协议