今日頭條
官方微信
官方抖音
案例頻道
馬玉敏(1971-)
女,江蘇省丹陽(yáng)市人,同濟(jì)大學(xué)CIMS研究中心博士,研究方向?yàn)榫W(wǎng)絡(luò)控制技術(shù)、數(shù)字化制造技術(shù)。
6.1 網(wǎng)絡(luò)中的安全性
信息安全、網(wǎng)絡(luò)可用性和可靠的通信是確保一個(gè)公司商業(yè)成功的三個(gè)主要特征。針對(duì)自動(dòng)化網(wǎng)絡(luò)的攻擊,或者從互聯(lián)網(wǎng)對(duì)自動(dòng)化網(wǎng)絡(luò)未經(jīng)授權(quán)的接入嘗試,自動(dòng)化系統(tǒng)的管理員都應(yīng)該給予高度警惕。除此之外,在系統(tǒng)網(wǎng)絡(luò)中由公司職員或外部服務(wù)人員造成的有意或無(wú)意的安全威脅,同樣威脅到自動(dòng)化生產(chǎn)過(guò)程。信息、生產(chǎn)過(guò)程以及操作過(guò)程的安全比以往任何時(shí)候都更為重要。
安全并非是一個(gè)靜態(tài)過(guò)程,而是一個(gè)動(dòng)態(tài)過(guò)程。在這個(gè)過(guò)程中,很難對(duì)“虛擬”風(fēng)險(xiǎn)進(jìn)行評(píng)估。然而,人們必須針對(duì)風(fēng)險(xiǎn)進(jìn)行有效的防衛(wèi),并且根據(jù)最新的技術(shù)檢測(cè)這些防衛(wèi)的有效性并進(jìn)一步加以改進(jìn)。對(duì)于安全等級(jí)的改進(jìn)應(yīng)當(dāng)從風(fēng)險(xiǎn)的定義和評(píng)估開(kāi)始。充分認(rèn)識(shí)風(fēng)險(xiǎn)有助于適當(dāng)?shù)膽?yīng)對(duì)風(fēng)險(xiǎn)。
風(fēng)險(xiǎn)或者威脅總是在薄弱環(huán)節(jié)出現(xiàn)。在每個(gè)案例中,必須為具有潛在高風(fēng)險(xiǎn)的薄弱環(huán)節(jié)確定相應(yīng)的優(yōu)先級(jí),并根據(jù)不同的優(yōu)先級(jí)采取防范措施。區(qū)分優(yōu)先次序涉及從經(jīng)濟(jì)角度衡量風(fēng)險(xiǎn),并且與相應(yīng)的安全措施的代價(jià)進(jìn)行平衡。
6.2 應(yīng)急規(guī)劃
關(guān)于災(zāi)難準(zhǔn)備的全面性安全概念不僅包括如何防止病毒和黑客,也包括自然災(zāi)害、硬件錯(cuò)誤、人為錯(cuò)誤等預(yù)防計(jì)劃。為了保護(hù)系統(tǒng)免受可能出現(xiàn)的災(zāi)難,所有與安全相關(guān)的方面都應(yīng)被考慮,并且應(yīng)建立全面的防護(hù)墻。該防護(hù)墻將承受攻擊,并且有時(shí)可能因?yàn)橐恍┮蛩囟獾狡茐摹S糜诰S持防護(hù)墻功能的防范措施被概括地稱為IT安全。
圖1 全面的EDP防護(hù)墻
IT安全是一個(gè)針對(duì)整個(gè)公司的全面安全策略,包括常規(guī)目標(biāo)和質(zhì)量目標(biāo)。其中,
● 常規(guī)目標(biāo),包括:①保護(hù)所有的IT系統(tǒng);②防止破壞;③系統(tǒng)遭到破壞后的恢復(fù)工作。
● 質(zhì)量目標(biāo),包括有效性、機(jī)密性、真實(shí)性和完整性。
6.2.1 安全漏洞和措施
為了達(dá)到一個(gè)能接受的安全等級(jí),大約97%的公司采用病毒掃描,70%的公司采用接入控制工具,60%的公司采用防火墻。然而數(shù)據(jù)流的編碼措施卻很少采用,只有不到10%的公司采用這種措施。
根據(jù)調(diào)查,73%的公司的系統(tǒng)受到過(guò)病毒的感染,同時(shí)有31%的被調(diào)查者抱怨網(wǎng)絡(luò)可用性問(wèn)題,其中一小部分安全漏洞是由工業(yè)間諜引起的,有4%是由DDoS(Distributed Denial of Service,分布式拒絕服務(wù))攻擊平臺(tái)所引起的,它通過(guò)使系統(tǒng)過(guò)載來(lái)對(duì)系統(tǒng)形成破壞。
由于自動(dòng)化網(wǎng)絡(luò)并不會(huì)存在電子郵件問(wèn)題,因此其風(fēng)險(xiǎn)主要是來(lái)自于網(wǎng)絡(luò)的可用性,工業(yè)間諜和DDoS攻擊。
6.2.2 自動(dòng)化中的安全性
機(jī)器和系統(tǒng)的實(shí)用自動(dòng)化是基于強(qiáng)大的通信。廣泛使用的總線系統(tǒng)正是為其而開(kāi)發(fā)的,而現(xiàn)在正逐漸被以太網(wǎng)代替。在現(xiàn)場(chǎng)層中使用主流的以太網(wǎng)技術(shù)有利于成本的節(jié)省,同時(shí)也能通過(guò)消除技術(shù)屏障來(lái)簡(jiǎn)化工程設(shè)計(jì)。這些都是眾所周知的使用以太網(wǎng)所能帶來(lái)的優(yōu)點(diǎn)。但是,在安裝、操作和維護(hù)方面,基于以太網(wǎng)的自動(dòng)化解決方案也決不會(huì)是一個(gè)退步。
關(guān)于有效的基礎(chǔ)組件,目前已經(jīng)有多種類(lèi)型的產(chǎn)品可供使用,如工業(yè)交換機(jī)。它們的使用無(wú)需專門(mén)知識(shí),且有足夠的魯棒性能安裝在機(jī)器附近使用。合適的工業(yè)組件的有效性對(duì)以太網(wǎng)的成功起了很大的作用,由于RJ45端口本身的性質(zhì),即它提供了快速擴(kuò)展可能性的同時(shí),也提供了不可控制訪問(wèn)性,因此人們必須考慮自動(dòng)化的安全性方面的問(wèn)題。由于簡(jiǎn)單遠(yuǎn)程訪問(wèn)選項(xiàng)和無(wú)線LAN的使用,安全方面的討論將變得更加迫切。
與自動(dòng)化技術(shù)的安裝方法和基礎(chǔ)結(jié)構(gòu)同樣,安全措施也不能直接采用IT界的,而不作適當(dāng)?shù)男薷摹R环N提高安全性而不增加復(fù)雜性的方法就是從機(jī)械上封鎖自由端口和插線電纜,如圖2所示。圖3是在工業(yè)交換機(jī)中建立訪問(wèn)控制表,過(guò)濾訪問(wèn)節(jié)點(diǎn)。一些制造商提供了專門(mén)設(shè)計(jì)的安全產(chǎn)品,它們使用加密技術(shù)建立VPN(Virtual Private Network,虛擬專用網(wǎng))與防火墻相連接。然而,這些解決方案仍然過(guò)于昂貴,并且在實(shí)時(shí)能力上會(huì)起到副作用,而且參數(shù)化復(fù)雜。
圖2 自動(dòng)化組件中的機(jī)械安全解決方案
圖3 在工業(yè)交換機(jī)中建立訪問(wèn)控制表
6.3 網(wǎng)絡(luò)攻擊的檢測(cè)與處理
人們總是期望能從自己的桌面上自由地接入互聯(lián)網(wǎng),也希望能從辦公環(huán)境接入自動(dòng)化網(wǎng)絡(luò),因此互聯(lián)網(wǎng)和自動(dòng)化網(wǎng)絡(luò)能直接或者間接的相互連接(例如遠(yuǎn)程診斷/監(jiān)控)。由于自動(dòng)化網(wǎng)絡(luò)至少使用一些與辦公環(huán)境網(wǎng)絡(luò)相同或者相似的協(xié)議,因此它極有可能具有通過(guò)互聯(lián)網(wǎng)被攻擊的風(fēng)險(xiǎn)。遺憾的是,這些不同的網(wǎng)絡(luò)間幾乎沒(méi)有采取保護(hù)內(nèi)部網(wǎng)絡(luò)的措施,這就意味著滲透進(jìn)公司網(wǎng)絡(luò)獲取敏感數(shù)據(jù)或者破壞重要的操作過(guò)程的核心功能是有可能的。
因此防護(hù)概念的一個(gè)重要部分就是偵查與處理網(wǎng)絡(luò)攻擊。即時(shí)響應(yīng)通常能夠避免進(jìn)一步破壞。
6.3.1 網(wǎng)絡(luò)攻擊
為了滲透進(jìn)一個(gè)網(wǎng)絡(luò),必須具有基本現(xiàn)狀知識(shí),它能夠使攻擊獲得成功。現(xiàn)狀知識(shí)可以通過(guò)自動(dòng)化生產(chǎn)過(guò)程(掃描)或者通過(guò)非技術(shù)(社會(huì)工程或廢品)手段獲得,包括連接掃描和穿越防火墻兩種。
(1)連接掃描—確定公共可訪問(wèn)服務(wù)
圖4 連接掃描
如圖4所示,使用簡(jiǎn)單的建立連接嘗試以及確認(rèn)(端口或者返回的數(shù)據(jù)格式),就能判定目標(biāo)計(jì)算機(jī)的服務(wù)類(lèi)型,這樣,這些服務(wù)的弱點(diǎn)就會(huì)被利用。為了使掃描不被記錄,攻擊者不將應(yīng)答信息返還給目標(biāo)系統(tǒng),因此建立連接嘗試失敗。如果在短時(shí)間內(nèi)多次嘗試失敗,這就表明一次攻擊,或者至少是一次攻擊的準(zhǔn)備。
(2)穿越防火墻—確定網(wǎng)絡(luò)拓?fù)?BR>
圖5 穿越防火墻
如圖5所示,在穿越防火墻中,數(shù)據(jù)包與起始值為1的TTL(Time to Live,生存期)一起發(fā)送到合法端口。第一個(gè)接收器(路由,交換機(jī)等等)將TTL減至0并拒絕該數(shù)據(jù)包。然而,數(shù)據(jù)包的被拒并不是不留痕跡的;拒絕數(shù)據(jù)包的接收器會(huì)對(duì)發(fā)送者返還一個(gè)回饋“超時(shí),拒絕數(shù)據(jù)包,我的IP地址是…”。下一個(gè)數(shù)據(jù)包與值為2的TTL一起,重復(fù)著該過(guò)程。這樣攻擊者就能獲得網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),而不會(huì)使NAT路由器崩潰。 等 級(jí) 功能/設(shè)備 保 護(hù) 努力/知識(shí) 費(fèi) 用
網(wǎng)絡(luò)攻擊的類(lèi)型主要有:
(1)不安全的中繼點(diǎn)
如果一個(gè)攻擊者訪問(wèn)了一個(gè)不安全的中繼點(diǎn),那么它就可以偽裝成一個(gè)交換機(jī),并對(duì)數(shù)據(jù)包相應(yīng)地加以標(biāo)識(shí)(標(biāo)簽),而真正的交換機(jī)將提供所有的網(wǎng)絡(luò)資源的訪問(wèn)權(quán)。
(2)含無(wú)效參數(shù)的IP數(shù)據(jù)包
這種攻擊經(jīng)常被用來(lái)中斷目標(biāo)系統(tǒng)的操作(拒絕服務(wù))。由于其無(wú)效參數(shù),這些IP數(shù)據(jù)包易于識(shí)別。如果出現(xiàn)多次這樣的數(shù)據(jù)包表明系統(tǒng)遭到了攻擊。例如,如果源地址或目標(biāo)地址,以及源端口和目標(biāo)端口相同,則多數(shù)計(jì)算機(jī)會(huì)因?yàn)槟撤N執(zhí)行錯(cuò)誤而崩潰。
(3)SYN 泛濫
在SYN泛濫情況下,攻擊者不停地發(fā)送同步數(shù)據(jù)包以啟動(dòng)一個(gè)連接建立。這些數(shù)據(jù)包被發(fā)送到目標(biāo)系統(tǒng)以打開(kāi)其端口,并能不停地改變?cè)炊丝凇D繕?biāo)計(jì)算機(jī)便會(huì)建立一個(gè)TCP連接并發(fā)送帶有SYN和ACK標(biāo)記的確認(rèn)信息,并等待通信連接的確認(rèn),但是攻擊者并不會(huì)發(fā)送。這樣,建立了大量的“半”連接,這最終將耗盡目標(biāo)系統(tǒng)的大量資源,使它再也無(wú)法完成實(shí)際任務(wù)。
(4)IP欺詐
在IP欺詐的情況下,操作數(shù)據(jù)包的發(fā)送者IP地址,使其看上去像是來(lái)自于另一臺(tái)計(jì)算機(jī)。IP欺詐經(jīng)常被用來(lái)通過(guò)防火墻或是在進(jìn)行攻擊的情況下隱藏攻擊者的身份。
(5)登錄攻擊
在登錄攻擊情況下,發(fā)送至目標(biāo)計(jì)算機(jī)的TCP數(shù)據(jù)包具有以下屬性:
● SYN標(biāo)志被置位;
● 發(fā)送地址與目標(biāo)計(jì)算機(jī)的地址是相同的。
目標(biāo)計(jì)算機(jī)便會(huì)將它本身的ACK標(biāo)志當(dāng)作是新建立連接的SYN標(biāo)志。這種無(wú)限循環(huán)將導(dǎo)致目標(biāo)系統(tǒng)的崩潰。
(6)MAC(地址)泛濫/人為干擾
諸如“disniff”或“macof”這種軟件,會(huì)產(chǎn)生帶有不同MAC地址的數(shù)據(jù)包。如果在網(wǎng)絡(luò)攻擊中,一個(gè)交換機(jī)面對(duì)帶有成千上萬(wàn)的不同的MAC發(fā)送地址的數(shù)據(jù)包,其內(nèi)部的MAC列表(ARP列表)便會(huì)超出限度。交換機(jī)因此無(wú)法為特殊的數(shù)據(jù)包轉(zhuǎn)發(fā)使用其分配選項(xiàng)。結(jié)果,交換機(jī)就變成了集線器。這意味著它將所有接收到的數(shù)據(jù)包發(fā)送到所有端口,由此攻擊者便能記錄所要的數(shù)據(jù)包。
其它的攻擊方式還有:數(shù)據(jù)泛濫、SYN發(fā)送者無(wú)法找到、ICMP回復(fù)請(qǐng)求、緩沖器溢出、Smurf攻擊和整數(shù)溢出等。
6.3.2 Rootkit
Rootkit是在系統(tǒng)中隱藏運(yùn)行的程序,它最早出現(xiàn)于2000年左右,鑒于其結(jié)構(gòu),功能和操作方法,是最復(fù)雜的一種攻擊形式,它威脅著網(wǎng)絡(luò)以及自動(dòng)控制系統(tǒng)的安全。為了不被識(shí)破,Rootkit隱藏了它的過(guò)程、注冊(cè)表信息、相關(guān)文件和網(wǎng)絡(luò)連接。Rootkit截取了所有與硬盤(pán)空間相關(guān)的請(qǐng)求、運(yùn)行過(guò)程以及注冊(cè)表信息,并操縱它們使自己不被發(fā)現(xiàn)并刪除。Rootkit可以無(wú)需交換文件就可以隱藏目標(biāo)。它也可以在網(wǎng)絡(luò)掃描下隱藏自身的網(wǎng)絡(luò)連接信息,并使自己不被包括在連接列表窗體(網(wǎng)絡(luò)統(tǒng)計(jì))中。它們和正在運(yùn)行的服務(wù)使用同一端口,這樣它們就可以順利通過(guò)防火墻了。
要保護(hù)系統(tǒng)不受Rootkit的侵害非常困難,因?yàn)橄到y(tǒng)的源代碼一般都是公開(kāi)的,也就是說(shuō)要編譯一個(gè)新的不被防毒系統(tǒng)所識(shí)破的Rootkit是一件十分容易的事情。由于Rootkit一般都在系統(tǒng)的核心活動(dòng),它們擁有與操作系統(tǒng)本身相同的權(quán)限。它們操縱防火墻和病毒掃描器的驅(qū)動(dòng)程序。
Rootkit的應(yīng)用范圍很廣,包括:
● 可以隱藏鍵盤(pán)記錄程序和其它間諜軟件,這些軟件可以獲取密碼或用于工業(yè)間諜活動(dòng);
● 可以在不需要服務(wù)器操作知識(shí)的情況下通過(guò)網(wǎng)絡(luò)或FTP服務(wù)器散布非法的內(nèi)容;
● 可以用來(lái)建立后門(mén),為了DDoS攻擊和其它網(wǎng)絡(luò)攻擊提供方便;
● 可以用來(lái)操縱簽名和樣本文件,它們被用來(lái)偵測(cè)垃圾郵件、病毒、蠕蟲(chóng)病毒、特洛伊木馬等。
6.4 防范機(jī)制
信息安全包括了保護(hù)數(shù)據(jù)/文件不被誤操作、盜竊、間諜以及操縱的所有合適的措施。為了防止機(jī)密數(shù)據(jù)的丟失越來(lái)越多地使用了防火墻,入侵檢測(cè)/響應(yīng)和防入侵系統(tǒng)。這些系統(tǒng)也可以結(jié)合在一起使用,其目的就是將公司網(wǎng)絡(luò)屏蔽于外網(wǎng)之外。
6.4.1 分級(jí)保護(hù)機(jī)制
一個(gè)結(jié)合安全措施的解決方法主要針對(duì)于它的最薄弱的連接,所以,所有可能的薄弱環(huán)節(jié)都必須考慮周到。所需要的安全措施一般應(yīng)該提供相同的防護(hù)等級(jí),因?yàn)楣艨偸菍?duì)準(zhǔn)那些最薄弱的點(diǎn)。為了使過(guò)程更為簡(jiǎn)單,可將可能的保護(hù)機(jī)制劃分等級(jí)。表1顯示了所達(dá)到的保護(hù)程度。
表1 分級(jí)安全機(jī)制
0
設(shè)備不含密碼保護(hù)
-使用集線器
-可自由訪問(wèn)的設(shè)備,連接和電纜
1
從機(jī)械方面保護(hù)的電纜,設(shè)備和連接(控制柜,安全罩等)
-無(wú)自由連接的電纜。 提供保護(hù),防止環(huán)路的無(wú)意形成,電纜中斷,和非授權(quán)的網(wǎng)絡(luò)連接
最小
2
等級(jí)一
-不使用網(wǎng)絡(luò)集線器
-使用非管理交換機(jī) 通過(guò)數(shù)據(jù)的專門(mén)轉(zhuǎn)發(fā),防止數(shù)據(jù)和信息的被動(dòng)記錄。
非常低
3
等級(jí)一
-使用管理交換機(jī)
-無(wú)默認(rèn)密碼;
獨(dú)立強(qiáng)效密碼 提供更強(qiáng)的保護(hù),防止對(duì)配置的篡改,配置的篡改會(huì)使數(shù)據(jù)和信息訪問(wèn)簡(jiǎn)單,并能夠?qū)ζ溥M(jìn)行操作。
極低
低
4
等級(jí)一,三
-不使用DHCP(動(dòng)態(tài)主機(jī)配置協(xié)議)
-激活訪問(wèn)控制
(限制IP地址) -第二層屏障防止對(duì)配置的篡改
-不會(huì)為了與網(wǎng)絡(luò)連接,而“公開(kāi)發(fā)送”所需的配置設(shè)定(第三層屏障防止數(shù)據(jù)間諜,第二層屏障防止數(shù)據(jù)操作) 低
低
5
等級(jí)一,三,四和五
-使用VLAN
-開(kāi)啟冗余機(jī)制 -第二層屏障防止機(jī)械上的配置錯(cuò)誤
-第四/三層屏障防止數(shù)據(jù)間諜和操作
-如果接入非授權(quán)的端口,開(kāi)啟附加的自動(dòng)冗余報(bào)警(本地/遠(yuǎn)程)來(lái)通知人員。 中
低
6
從機(jī)械方面保護(hù)的電纜,設(shè)備和連接(控制柜,安全罩等)
-無(wú)自由連接的電纜。 -第五/四層屏障防止數(shù)據(jù)間諜和操作
-通過(guò)邏輯沖突區(qū)增強(qiáng)其有效性
-如果接入非授權(quán)的端口,開(kāi)啟附加的自動(dòng)冗余報(bào)警(本地/遠(yuǎn)程)來(lái)通知人員。
-如果非法接入端口,開(kāi)啟不可中斷的遠(yuǎn)程報(bào)警。
-如果某個(gè)被使用的端口在機(jī)械上有所改變(例如:斷開(kāi)連接器,為一個(gè)非法的筆記本獲取一個(gè)空閑的端口),則開(kāi)啟附加的報(bào)警(其它的遠(yuǎn)程/本地)中/高
低
7
等級(jí)一,三,四,五和六
使用附加的設(shè)備來(lái)保護(hù)每一個(gè)獨(dú)立的網(wǎng)絡(luò)島(防火墻,數(shù)據(jù)包過(guò)濾器,病毒掃描器,入侵檢測(cè)) -只適用于被批準(zhǔn)的服務(wù)
-只使用被批準(zhǔn)的硬件
-病毒保護(hù)
-在邏輯層檢測(cè)攻擊
-高性能需求
-與實(shí)時(shí)應(yīng)用相結(jié)合的問(wèn)題 高
高
8
等級(jí)一,三,四,五,六和七
-授權(quán)機(jī)制的集成(RADIUS服務(wù)器)
-入侵響應(yīng)/回避 PKI系統(tǒng)(公開(kāi)密鑰基礎(chǔ)結(jié)構(gòu))
-加密(帶IPSec的VPN)
-登錄
-生物學(xué)方法(指紋,虹膜,簽名,聲音,等)
-智能卡 -只允許授權(quán)的人員(授權(quán)系統(tǒng)不可被操縱)
-在邏輯層對(duì)攻擊進(jìn)行防御與響應(yīng)(反擊)
-可以對(duì)攻擊的類(lèi)型進(jìn)行跟蹤,檢測(cè)到薄弱環(huán)節(jié),
-數(shù)據(jù)與信息保護(hù),通過(guò)加密防止操縱與間諜非常高
非常高
9
等級(jí)一,三,四,五,六,七,八
-證書(shū)
-一次性密碼
-tempest(抑制和防止電磁泄漏)系統(tǒng)
-異常檢測(cè)機(jī)制 最高安全等級(jí),被用于ABC武器或智能服務(wù)
極高
極高
6.4.2 防火墻
防火墻的任務(wù)可以分成兩個(gè)主要部分:
● 檢查數(shù)據(jù)包
● 日志和報(bào)警生成
在檢查數(shù)據(jù)包時(shí),每個(gè)數(shù)據(jù)包都會(huì)被調(diào)查,以確定是否允許它在期望的方向上通過(guò)防火墻。該檢查遵循預(yù)定的準(zhǔn)則,也就是規(guī)則。每個(gè)輸入輸出的數(shù)據(jù)包都必須通過(guò)防火墻。環(huán)繞防火墻的各條其它的路徑都會(huì)削弱檢查的效果,甚至可能完全消除防火墻的作用。因此,識(shí)別和消除其它路徑是非常重要的。
這些其它路徑可能是私有的調(diào)制解調(diào)器,來(lái)自于這些調(diào)制解調(diào)器的數(shù)據(jù)流繞開(kāi)每個(gè)防火墻,直接進(jìn)入網(wǎng)絡(luò),建議調(diào)制解調(diào)器安裝在防火墻外部“非安全”一側(cè)。
因此,建議將防火墻安裝在公司網(wǎng)絡(luò)與外界網(wǎng)絡(luò)中間連接點(diǎn)的位置上。這樣能夠通過(guò)簡(jiǎn)單的配置就可以得到高等級(jí)的安全性。
日志和報(bào)警的生成能使管理人員對(duì)攻擊作出快速而準(zhǔn)確地響應(yīng)。日志能有助于重建攻擊,并確定被利用的薄弱點(diǎn),從而優(yōu)化防火墻的配置。
6.4.3 數(shù)據(jù)包過(guò)濾器
根據(jù)每個(gè)數(shù)據(jù)包頭部的相關(guān)信息,數(shù)據(jù)包過(guò)濾器確定這個(gè)數(shù)據(jù)包是否被繼續(xù)轉(zhuǎn)發(fā)還是被拒絕。被評(píng)估的信息包括來(lái)源和目的IP地址,所使用的傳輸協(xié)議,相關(guān)端口號(hào),涉及到的設(shè)備的MAC地址。
數(shù)據(jù)包過(guò)濾器被用來(lái)限制和防止特定計(jì)算機(jī)或網(wǎng)絡(luò)之間的通信,并限制和防止特定設(shè)備的使用。由于對(duì)計(jì)算性能的要求極低,數(shù)據(jù)包過(guò)濾器常被直接應(yīng)用在路由器或接入點(diǎn)上。
數(shù)據(jù)包過(guò)濾器的配置非常簡(jiǎn)單,但經(jīng)過(guò)長(zhǎng)時(shí)間的使用后,其規(guī)則將變得模糊。另一方面,服務(wù)與被所使用的端口進(jìn)行動(dòng)態(tài)協(xié)商,這也將帶來(lái)問(wèn)題。為了確保非限制操作,所有可能被使用的的端口都必須打開(kāi)。很顯然,這與大多數(shù)安全概念相沖突。
6.4.4 入侵檢測(cè)/響應(yīng)
入侵檢測(cè)是指一個(gè)系統(tǒng),它可以自動(dòng)檢測(cè)出對(duì)網(wǎng)絡(luò)的試圖攻擊,并且對(duì)相關(guān)管理人員觸發(fā)報(bào)警。入侵響應(yīng)則是指一個(gè)系統(tǒng),當(dāng)它受到試圖攻擊時(shí)將自動(dòng)采取適當(dāng)?shù)膶?duì)策。
6.5 藍(lán)牙安全性
在藍(lán)牙規(guī)范中來(lái)提供的密碼安全機(jī)制有兩個(gè)主要目的:防止未授權(quán)的藍(lán)牙設(shè)備干擾通信,并徹底禁止活動(dòng)的未授權(quán)的通信。除了傳輸錯(cuò)誤檢測(cè)和消除的非密碼的方式,規(guī)范還詳細(xì)定義了密碼的授權(quán)和加密算法。由于它們已經(jīng)在芯片層實(shí)現(xiàn)了,所以在鏈路層,他們可以以標(biāo)準(zhǔn)化的形式提供。
鏈接密鑰是其所使用的加密方法的基礎(chǔ)。在配對(duì)時(shí),兩個(gè)藍(lán)牙設(shè)備將統(tǒng)一鏈接密鑰。
藍(lán)牙的定義中介紹了三種安全模式:
● 安全模式1:藍(lán)牙設(shè)備自己不啟動(dòng)任何有效的安全機(jī)制,只是響應(yīng)其它設(shè)備的認(rèn)證請(qǐng)求;
● 安全模式2:根據(jù)藍(lán)牙設(shè)備和所使用的服務(wù),由用戶對(duì)安全機(jī)制加以選擇和使用。設(shè)備只有當(dāng)已經(jīng)接受了建立連接的請(qǐng)求時(shí)才啟動(dòng)安全機(jī)制;
● 安全模式3:在建立連接時(shí),認(rèn)證總是必需的。但可以選擇對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密。
另外,下列的查詢模式用于發(fā)現(xiàn)藍(lán)牙設(shè)備:
● 不可發(fā)現(xiàn)的:對(duì)其它設(shè)備的查詢,設(shè)備不作響應(yīng);
● 有限的可發(fā)現(xiàn):設(shè)備只在用戶發(fā)出指令時(shí),才對(duì)其它設(shè)備的查詢作出響應(yīng);
● 一般可發(fā)現(xiàn):設(shè)備自動(dòng)對(duì)其它設(shè)備的查詢作出響應(yīng)。
其它操作模式有“不可連接模式”(不響應(yīng)頁(yè)面請(qǐng)求)或“可連接模式”,“不可配對(duì)模式”(不可能配對(duì))或“可配對(duì)模式”。
6.6無(wú)線局域網(wǎng)的安全性
2003年6月,《ZDNet》有一則下面的消息:
● 德國(guó)慕尼黑在4.5個(gè)小時(shí)中發(fā)現(xiàn)了356個(gè)接入點(diǎn);
● 60%的無(wú)線局域網(wǎng)完全沒(méi)有受保護(hù);
● 219個(gè)局域網(wǎng)沒(méi)有WEP加密;
● 72個(gè)局域網(wǎng)使用默認(rèn)的SSID;
● 在2004年6月,無(wú)安全保護(hù)的無(wú)線局域網(wǎng)占50%(總共調(diào)查了1400個(gè)接入點(diǎn))。
無(wú)線局域網(wǎng)(WLAN)技術(shù)給我們帶來(lái)了很多方便和可移動(dòng)性,節(jié)約了網(wǎng)絡(luò)電纜的安裝,并在網(wǎng)絡(luò)中接入其它設(shè)備不存在任何問(wèn)題等等,但是無(wú)線局域網(wǎng)有其自身的缺點(diǎn)。與有線網(wǎng)絡(luò)不同,任何一個(gè)在接入點(diǎn)有效區(qū)域內(nèi)的無(wú)線網(wǎng)用戶都可以接收到所有的數(shù)據(jù)包并加以評(píng)估。這就意味著在操作WLAN時(shí),除了有線網(wǎng)絡(luò)中所用到的安全機(jī)制外,還必須添加其它的安全機(jī)制。需要其它機(jī)制的主要原因就是傳輸介質(zhì)(共享媒介)缺少物理保護(hù)。
在規(guī)劃和創(chuàng)建一個(gè)WLAN時(shí),正確的規(guī)劃無(wú)線系統(tǒng)能有效地阻止無(wú)授權(quán)的訪問(wèn)及相關(guān)損失。這些措施包括:
● 適當(dāng)?shù)奶炀€選址,以確保良好的覆蓋;
● 選擇合適性能的天線以及天線運(yùn)行時(shí)的合適發(fā)送功率;
● 選擇合適的頻率實(shí)現(xiàn)理想的覆蓋(2.4 GHz和/或5GHz);
● 信道選擇不要重疊;
● 負(fù)載平衡;
● 使用無(wú)線指令探測(cè);
● 使用無(wú)線傳感器探測(cè)干擾源和非授權(quán)的接入點(diǎn);
● 檢測(cè)驗(yàn)證系統(tǒng)中的邏輯DoS攻擊和EAP泛濫;。
● 定期的更新設(shè)備固件,并檢查制造商網(wǎng)站支持網(wǎng)頁(yè)上的有關(guān)故障和安全問(wèn)題信息,及時(shí)獲取制造商關(guān)于修補(bǔ)漏洞的支持。
作者信息:
馬玉敏(同濟(jì)大學(xué)CIMS中心)
張 龍(菲尼克斯亞太電氣(南京) 有限公司)
北京市公安局海淀分局備案號(hào):11010802023656號(hào)