网络安全手册<三>
4.其它网络
(1)远程作业登录(RJE)
RJE(remote job entry)系统提供了一组程序及相应的硬件,允许UNIX系
统与IBM主机上的JES(job entry subsystems)通讯.可通过两条命令的send和
usend存取RJE.send命令是RJE的通用的作业提供程序,它将提供文件给JES,就
好像这些作业文件是从卡片阅读机读入的"穿孔卡片"一样.usend命令用于在
使用了RJE系统的UNIX系统间传送文件,它将建立一个"作业"(虚拟的一叠穿孔
卡片),并以send命令的送文件的同样方式将该作业提供给JES.该作业卡片叠
中的控制卡告诉JES数据传送到何处(这里,数据是正被传送的文件).文件传送
的目的地是UNIX系统,但JES认为是一个"行式打印机".RJE系统通常以每秒
9600位的速率与JES通讯.典型的usend命令句法如下:
usend -d system -u login file(s)
system是挂到IBM JES上的另一个UNIX系统名,login是另一个系统上的接
收用户的登录名,file(s)是用户希望传送的文件.
几个关于RJE的安全问题:
. 缺省时,RJE将把文件传送到接收用户的HOME目录中的rje目录.该目录
必须对其他人可写,可执行,这意味着存入rje目录的文件易受到检查,
移动,修改.然而如果该目录的许可方式是733,其他用户就不能用ls列
目录内容寻找感兴趣的文件.被建立的文件对所有者,小组或其他人都
是可读的,所以通过RJE网络传送的安全文件在系统上都是可读的.为什
么这些问题不同于UUCP和/usr/uucppublic目录?
* UUCP定期地清除/usr/spool/uucppublic目录的内容,几天前或几星
期前的老文件将被删除,通常用户将把自己的文件移出uucppublic目
录,以免文件被删除,而存在用户rje目录中的文件不会被清除,所以
有些用户从来不把自己的文件移到其它目录.
* 用户清楚地知道uucppublic目录是一个公共目录,存入重要信息之前,
首先注意将其加密.但是用户却总是容易忘记自己rje目录实际上也
是公共目录,经常忘记将重要文件加密.
. usend命令在其他人可写的目录中建立文件,并重写其他人可写的文件.
. RJE服务子程序是执行一些功能而不是执行文件传送.RJE系统像UUCP一
样也执行远程命令,运行RJE的大多数系统用远程命令执行转送电子邮
件.因为RJE的传输率通常比UUCP更高.遗憾的是RJE没有像UUCP那样的
能力限制能执行的命令和能存取的文件.一个好的经验是将连接到同一
个JES的一组系统,看作这些系统是在同一系统上.
(2)NSC网络系统
NSC(network systems corporation)宽信道网络是一个高速局域网络
(LAN).NSC可将数千个最远相距5000英尺的系统挂在一起,传输速率可高达
50MBIT/S,NSC也可通过的通讯如微波或人造卫星通讯线连接不同系统.
UNIX用户可通过nusend命令存取NSC宽信道,nusend命令的句法与usend命
令相同,除用-c选项传送其他人不可存取的文件外,大多数情况下,nusend的用
法与usend是一样的,换言之,如果无-c选项,文件就是可读的,而且文件路径名
中列出所有目录对其他人也都是可搜索的,前边讨论过的关于RJE的安全问题
的考虑也适合于NSC网络.
可查看NSC记录文件,了解NSC是否正在执行任何不应执行的命令.记录文
件保存在目录/usr/nsc/log中.下面的命令将打印出所有由NSC在本系统上执
行的命令(rmail除外):
grep execute /usr/nsc/log/LOGFILE|grep -v rmail
5.通讯安全
有两种方法可以提供安全的通讯:第一种是保证传输介质的物理安全,即使
任何人都不可能在传输介质上接上自己的窃密线或"窃听",第二种方法是加密重
要数据.
(1)物理安全
如果所有的系统都锁在屋里,并且所有连接系统的网络和接到系统上的终
端都在上锁的同一屋内,则通讯与系统一样安全(假定没有MODEM).但是系统的
通讯线在上锁的室外时,就会发生问题了.
尽管从网络通讯线提取信息所需要的技术,比从终端通讯线获取数据的技
术高几个数量级,上述的同样的问题也倒发生在网络连接上.
用一种简单的(但很昂贵)高技术加压电缆,可以获得通讯的物理安全.这
一技术是若干年前,为美国国家电话系统而发展的.通讯电缆密封在塑料中,埋
置于地下,并在线的两端加压.线上连接了带有报警器的监示器,用来测量压力.
如果压力下降,则意味电缆可能破了,维修人员将被派出寻找与修复出问题的
电缆.
电缆加压技术提供了安全的通讯线.不是将电缆埋置于地下,而是架线于
整座楼中,每寸电缆都将暴露在外.如果任何人企图割电缆,监示器会启动报警
器,通知安全保卫人员电缆已被破坏.如果任何人成功地在电缆上接了自己的
通讯线,安全人员定期地检查电缆的总长度,应可以发现电缆拼接处.加压电缆
是屏蔽在波纹铝钢包皮中的,因此几乎没有电磁发射,如果要用电磁感应窃密,
势必需用大量可见的设备.
这样终端就不必锁在办公室,而只需将安全电缆的端头锁在办公室的一个
盒子里.
另一个增加外部终端物理安全的方法,是在每天下午5点使用计算机的时
间结束时,即当所有用户回家时,断开终端的连接.这样某人若想非法进入系统,
将不得不试图在白天人们来来回回的时间里获取终端的存取权,或不得不在下
午5点手试图潜入计算机房(如果5点后计算机房有操作人员或有安全人员,潜
入计算机房的企图就不可能得逞).
光纤通讯线曾被认为是不可搭线窃听的,其断破处立即可被检测到,拼接
处的传输会令人难以忍耐的缓慢.光纤没有电磁幅射,所以也不能用电磁感应
窃密.不幸的是光纤的最大长度有限制,长于这一长度的光纤系统必须定期地
放大(复制)信号.这就需要将信号转换成电脉冲,然后再恢复成光脉冲,继续通
过另一条线传送.完成这一操作的设备(复制器)是光纤通讯系统的安全薄弱环
节,因为信号可能在这一环节被搭线窃听.有两个办法可解决这一问题:距离大
于最大长度限制的系统间,不要用光纤线通讯(目前,网络覆盖范围半径约100
公里),或加强复制器的安全(用加压电缆,警报系统,警卫).
(2)加密
加密也可提高终端和网络通讯的物理安全,有三种方法加密传输数据:
. 链接加密:在网络节点间加密,在节点间传输加密,传送到节点后解密,
不同节点对间用不同的密码.
. 节点加密:与链接加密类似,不同的只是当数据在节点间传送时,不用明
码格式传送,而是用特殊的加密硬件进行解密和重加密,这种
专用硬件通常旋转在安全保险箱中.
. 首尾加密:对进入网络的数据加密,然后待数据从网络传送出后再进行
解密.网络本身并不会知道正在传送的数据是加密数据.这一
方法的优点是,网络上的每个用户(通常是每个机器的一个用
户)可有不同的加密关键词,并且网络本身不需增添任何专门
的加密设备.缺点是每个系统必须有一个加密设备和相应的
软件(管理加密关键词).或者每个系统必须自己完成加密工
作(当数据传输率是按兆位/秒的单位计算时,加密任务的计
算量是很大的).
终端数据加密是一特殊情况,此时链接加密法和首尾加密法是一样的方
法,终端和计算机都是既为节点又为终止端点.
通讯数据加密常常不同于文件加密,加密所用的方法不应降低数据的传送
速度.丢失或被歪曲了的数据不应当引起丢失更多的数据位,即解密进程应当
能修复坏数据,而不能由于坏数据对整个文件或登录进行不正确地解密.对于
登录会话,必须一次加密一个字节,特别是在UNIX系统的情况下,系统要将字所
返回给用户,更应一次加密一个字节.在网络中,每一链可能需要不同的加密关
键字,这就提出了对加密关键词的管理,分配和替换问题.
DES传送数据的一般形式是以代入法密码格式按块传送数据,不能达到上
述的许多要求.DES采用另一加密方法,一次加密一位或一个字节,形成密码流.
密码流具有自同步的特点,被传送的密码文本中发生的错误和数据丢失,将只
影响最终的明码文本的一小段(64位).这称为密码反馈.在这种方法中,DES被
用作虚拟随机数发生器,产生出一系列用于对明码文本的随机数.明码文本的
每n位与一个DESn位的加密输出数进行异或,n的取值为1-64,DES加密处理的输
入是根据前边传送的密码文本形成的64位的数值.
发n为1时,加密方法是自同步方式:错一位或丢失1位后,64位的密码文本
将不能被正确地解密,因为不正确的加密值将移入DES输入的末端.但是一旦接
收到正确的64位密码,由于DES的加密和解密的输入是同步的,故解密将继续正
确地进行.
DES的初始输入称为种子,是一个同时由传输器和接收器认可的随机数.通
常种子由一方选择,在加密前给另一方.而加密关键词不能以明码格式通过网
络传送,当加密系统加电时在两边都写入加密关键词,并且在许多阶段期间加
密关键词都保持不变,用户可以选择由主关键词加密的阶段关键词,发送到数
据传送的另一端,当该阶段结束后,阶段关键词就不再使用了.主关键词对用户
是不可见的,由系统管理员定期改变,选择哪一种关键词管理方法,常由所用的
硬件来确定.如果加密硬件都有相应的设备,则用种子还是用主关键词阶段关
键词是无关紧要的.
(3)用户身份鉴别
口令只是识别一个用户的一种方法,实际上有许多方法可以用来识别用户.
. CALL BACK MODEM:则维护系统有效用户表及其相应电话号码的设备.当
用户拨号调用系统时,CALL BACK MODEM获得用户的登录户头,挂
起,再回头调用用户的终端.这种方法的优点是,限制只有电话号
码存于MODEM中的人才是系统的用户,从而使非法侵入者不能从其
家里调用系统并登录,这一方法的缺点是限制了用户的灵活性,并
仍需要使用口令,因为MODEM不能仅从用户发出调用的地方,唯一
地标识用户.
. 标记识别:标记是口令的物理实现,许多标记识别系统使用某种形式的
卡(如背面有磁条的信用卡),这种卡含有一个编码后的随机数.卡
由连接到终端的阅卡机读入,不用再敲入口令.为了增加安全性,
有的系统要求读入卡和敲入口令.有些卡的编码方法使得编码难
于复制.标记识别的优点是,标识可以是随机的并且必须长于口令.
不足之处是每个用户必须携带一个卡(卡也可与公司的徽记组合
使用).并且每个终端上必须连接一个阅读机.
. 一次性口令:即"询问-应答系统".一次性口令系统允许用户每次登录时
使用不同的口令.这种系统允许用户每次登录时使用不同的口令.
这种系统使用一种称做口令发生器的设备,设备是手携式的(大约
为一个袖珍计算器的大小),并有一个加密程序和独一的内部加密
关键词.系统在用户登录时给用户提供一个随机数,用户将这个随
机数送入口令发生器,口令发生器用用户的关键词对随机数加密,
然后用户再将口令发生器输出的加密口令(回答)送入系统,系统
将用户输入的口令,与它用相同的加密程序,关键词和随机数产生
的口令比较,如果二者相同,允许用户存取系统.这种方法的优点
是:用户可每次敲入不同的口令,因此不需要口令保密,唯有口令
发生器需要安全保护.为了增加安全性,UNIX系统甚至不需联机保
存关键词,实际的关键词可保存在有线连接于系统的一个特殊加
密计算机中.在用户登录期间,加密计算机将为用户产生随机数和
加密口令.这样一种系统的优点是,口令实际不由用户输入,系统
中也不保存关键词,即使是加密格式的关键词也可保存于系统中.
其不足之处类似于标记识别方法,每个用户必须携带口令发生器,
如果要脱机保存关键词,还需要有一个特殊硬件.
. 个人特征:有些识别系统检测如指印,签名,声音,零售图案这倦的物理
特征.大多数这样的系统极是实验性的,昂贵的,并且不是百分之
百的可靠.任何一个送数据到远程系统去核实的系统有被搭线窃
听的危险,非法入侵者只须记录下送去系统校核的信息,以后再重
显示这些信息,就能窃密.注意:这同样也是标记识别系统的一个
问题.
6.SUN OS系统的网络安全
美国SUN MICROSYSTEM公司的SUN OS操作系统是建立在贝尔实验室的UNIX
SYSTEM V和加州大学伯克得分校的UNIX 4.3基础上的UNIX操作系统.SUN OS 4.0
版提供了专门的鉴别系统,该系统极大地提高了网络环境的安全性.它也可用来
确保其它UNIX系统或非UNIX系统的安全.它使用DES密码机构和公共关键字密码
机构来鉴别在网络中的用户和机器.DES表示数据编码标准,而公共数据编码机构
是包含两种密钥的密码系统:一种是公用的,另一种是专用的.公用的密钥是公开
的而专用密钥是不公开的.专用(秘密)的密钥用来对数据进行编码和解码.
SUN OS系统不同于其它公共关键字编码之系统在于:SUN OS的公用和专用密
钥都被用来生成一个通用密钥,该密钥又用来产生DES密钥.
(1)确保NFS的安全
在网络文件系统NFS上建立安全系统,首先文件系统必须开放并保证装配
的安全.
. 编辑/etc/exports文件,并将-Secure任选项加在要使用DES编码机构的文
件系统上.在屏幕上显示服务器怎样开放安全的/home目录,如:
home -Secure,access=engineering
其中engineering是网络中唯一能存取/home文件系统的用户组.
. 对于每台客户机(CLIENT),编辑/etc/fastab文件时,Secure将作为一个装
配任选项出现在每个需要确保安全的文件系统中.
. SUN OS中包括有/etc/publickey数据库,该库对每个用户均包含有三个域:
用户的网络名,公用密钥和编码后的密钥.当正常安装时X唯一的用户是
nobody,这个用户可以无需管理员的干预即可建立自己的专用密钥(使用
chkey(1)).为了进一步确保安全,管理员可为每个使用newkey(8)的用户
建立一个公用密钥.
. 确认keyserv(8c)进程由/etc/rc.local启动,并且仍在运行.该进程执行
对公用密码的编码,并将编码后的专用密钥存入/etc/keystore中.
. 此时,所有的用户(除超级用户)都必须使用yppasswd来代替passwd,以使
得登录的口令与用户的密钥一致.其结果是在网络中每台客户机的
/etc/passwd文件中不能有每个用户的用户名,因而应使用有缺省值的
/etc/passwd文件.
. 当安装,移动或升级某台机器时,要将/etc/keystore和/etc/.rootkey两
个文件保留.
注意:当你使用login,rlogin或telnet命令到远程机器时,你会被要求输
入口令.一旦你输入正确的口令,你也就泄漏了你的帐号.因为此时你的密钥是
存放在/etc/keystore中.当然这是指用户对远程机器的安全不信任时.如果用
户觉得远程机器在安全保密方面不可靠,那就不要登录到远程机器去,而可使
用NFS来装配你所查找的文件
发布人:netbull 来自:安全教程