北邮网络及其内容安全 大作业 远程访问方式及安全问题由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“北邮网络及其内容安全”。
网络及其内容安全
远程访问方式及安全问题
姓名:曹爽 学号:2013210640 班级:2013211124
目录
0 1 综述........................................................................................................................3 基于终端的远程访问............................................................................................3 1.1 TELNET................................................................................................................3 1.2 rlogin..................................................................................................................4 1.3 X-Windows.........................................................................................................5 2 文件传输协议........................................................................................................6 2.1 文件传输协议(FTP)......................................................................................6 2.2 远程复制协议(RCP).....................................................................................7 3 4 对等网络................................................................................................................7 漏洞和对策分析....................................................................................................8 4.1 加密远程访问....................................................................................................9 4.2 安全外壳协议(SSH)......................................................................................9 4.3 远程桌面..........................................................................................................10 4.4 安全文件传输(SFTP、FTPS、HTTPS)........................................................10 参考文献..............................................................................................................11 0 综述
自早期计算机诞生以来,对计算资源的远程访问就成为计算机用户的需求。第一个远程访问协议为TELNET,它允许运行TELNET客户端程序的计算机连接到运行TELNET服务程序的计算机;另一个重要的协议称为rlogin,它支持基于UNIX的计算机及任何被信任的环境;此外,还有X-视窗操作系统,它允许运行X-视窗操作系统服务程序的计算机用户连接到远程计算机。用户计算机显示图形化内容,并且用户能使用鼠标操作。
除了远程终端访问需求之外,也有在计算机之间传输数据文件的需求,文件传输协议(FTP)是常用协议之一。另一种协议是rlogin命令序列中的一部分,称为远程复制协议(RCP),用于在运行UNIX的彼此信任的计算机之间复制文件。而在过去的10年里,针对大型网络计算机用户相互共享数据的对等网络(P2P)有了长足的发展,协议的设计常常是为了逃避传统的安全设备。
对于许多协议来说,它们的安全漏洞是类似的。本文将简要介绍以上这三种协议,之后分析其安全漏洞和对策。基于终端的远程访问
1.1 TELNET TELNET协议定义了运行TELNET客户端程序的远程计算机如何与运行TELNET服务程序的计算机进行通信。TELNET的设计,使得服务器上的各类应用不必修改就能与客户端TELNET应用进行交互。为了允许使用不同字符集的计算机之间彼此同心,TELNET定义了一个网络虚拟终端字符集。图1位TELNET服务程序背后的基本概念及其与应用程序的交互。
图1 TELNET服务程序结构
1.2 rlogin TELNET最初的设计是为了连接异种客户端和服务器计算机,并不直接支持任何用户或主机验证。TELNET简单地将客户和服务器应用程序连接起来,依赖服务器验证用户。1983年,一种新的终端程序rlogin随着BSD4.2 UNIX一同发行。rlogin的设计允许可信的UNIX机器与其他可信的UNIX机器进行无须用户验证或很少用户验证的连接。不像TELNET,rlogin协议支持验证。用户验证是基于客户端机器的IP地址、客户端用户的应户名和服务器用户的用户名。如果这三个参数被认为是可信的,那么客户端用户无须密码就被登录入服务器计算机。如果有任何一个参数是不可信的,那么就要求密码,并有一个提示要求输入密码。图2为rlogin过程的结构和rlogin运行所需的配置文件。
图2rlogin结构
1.3 X-Windows TELNET和rlogin允许远程用户作为远程终端连接到计算机,这就限制远程用户只能是命令行或简单图形方式的应用类型。TELNET和rlogin协议都给远程服务器发送终端类型,这样远程应用程序才能操控远程终端。由于终端在性能上有所不同,这使得产生图形应用很困难。
为了解决这个问题,X-Windows的支持图形应用协议在1984年诞生。X-Windows背后的思想是定义一个图形命令标准集,由应用程序用来控制图形显示和接收键盘与鼠标输入。X-Windows协议允许应用软件程序员产生与中毒案无关的图形用户界面。X-Windows定义了一个最小的终端特性集以满足高质量的图形用户界面。
如图3所示,提供图形显示和鼠标输入的终端是服务器,应用程序是连接到显示器的客户端。在远程X-Windows环境下,客户端计算机经常使用TELNET或一些其他的远程访问协议连接到远程计算机。一旦用户通过验证,就能运行X-Windows应用,这个应用给客户端计算机的X-Windows服务程序打开和返回一个连接。客户端的X-Windows服务程序从应用程序接收图形化指令并将其显示在屏幕上,并通过键盘和鼠标接受用户输入,使用X-Windows协议将信息发回至应用程序。
图3X-Windows远程结构文件传输协议
2.1 文件传输协议(FTP)
FTP是一种用于计算机间传输文件的通用协议。FTP支持用户验证并提供异种计算机之间有限的数据转换,FTP也提供通用的命令结构以支持目录和文件管理。通用命令结构允许用户与远程计算机进行交互,而无须知道他期望与之传输文件的每一台计算机的命令。FTP使用简单的ASCII码命令集来支持计算机之间的交互。图4为FTP客户端-服务器结构示意图。
图4 FTP客户端-服务器结构 2.2 远程复制协议(RCP)
文件传输的另一个方式,称为远程复制协议(RCP),是rlogin协议集的一部分,且它使用与rlogin章节里所描述的相同的信任机制。其主要的差别是RCP不支持验证,并且如果用户不值得信赖,则不发生复制。对等网络
对等网络背后的基本思想是允许用户搜索文件并与其他用户共享而无须验证。万维网将数据存储于网站,而用户能够从网站下载信息。与万维网不同的是,对等网络允许用户彼此连接并直接从用户到用户传输数据。一般来说,对等网络的用户彼此互不认识,并且在对等网络之外彼此也没有任何关系。这些网络的设计是为了方便文件的搜索和传输,许多对等协议的设计是为了逃避网络过滤器的探测。对等网络的基本类型有两种:集中式和分布式,如图5、6所示。
图5集中式对等网络
图6分布式对等网络
集中式对等网络使用一个中心服务器,这个中心服务器包含一个由网络用户提供的文件的索引,文件存储在用户的计算机上,而不是中心服务器上。用户给中心索引服务器发送需要共享的文件列表。用户查询中心索引服务器以找到与他们的搜索要求相匹配的文件,文件从一个用户到另一个用户进行传输。另外,用户可以直接彼此连接搜寻文件而无须中心索引服务器,中心索引服务器只是使搜寻更方便一些。中心索引服务器模式也可以拥有多个索引服务,以构成索引服务器的对等网络。这样可以加速查询,并在几个服务器之间分配工作负荷,这也提供了冗余,因此如果一个服务器节点退出,那么其他节点仍然能够运行,且确保网络仍然是可用的。
对于对等模式的点对点网络,每个计算机都是网络的一部分,并拥有自己的共享文件列表,且每一个计算机都与少量其他相邻的计算机连接起来,请求被发送到每一个相邻的计算机,每个邻居又将请求发送到其所相邻的计算机,以此类推。当一个计算机收到搜索请求,它便搜索它的共享文件,如果匹配,它将发回消息给请求者,通知他某个点拥有这个文件和有关文件的一些基本信息。
对等网络有不同的节点类型,经常被称之为叶节点和超级节点。叶节点常常为用户计算机,而超级节点被设计用来拥有数量巨大的与其连接的叶节点。通过这种方式,任何两个用户之间的距离就缩短了,这使得网络的速度更快。漏洞和对策分析
远程访问和文件传输中,最大的两个问题是验证和明文数据传输。4.1 加密远程访问
我们可以采用对流量进行加密的方式,并使用加密密钥来帮助认证主机的真实性。对远程访问协议的数据加密有几种方法,这些方法分为两类:基于应用程序的加密和基于通道的加密。基于应用程序的加密是在应用程序协议那里包含加密功能。例如,这可能包含安全TELNET。基于通道的加密是使用软件楔子(有时是支持通道的硬件)来创建一个加密的通道,在这里应用软件能够无须改变地运行。传输层安全/安全套接字层(TLS/SSL)就是在传输层的一个基于通道加密的例子,虚拟专用网络(VPN)是在网络协议(IP)层的一个基于通道加密的例子。图7为两种方式的差别。
图7基于应用程序的加密与基于通道的加密
两种方法都提供了跨网络的流量加密。基于通道的方法能够处理多种类型的应用程序。将两个方法结合起来也是可能的。例如,内置加密的应用程序只要理解协议就能连接到一个基于通道的层。
接下来介绍的是几个当前常用的协议,这些协议既可以是本节描述的远程访问协议的替代版,也可以是其增强版。
4.2 安全外壳协议(SSH)
安全外壳协议(SSH)是一个支持机器验证和流量加密的开源协议。由于客 户端和服务器程序对于大多数操作系统来说是随处可得的,因此SSH已经成为事实上的安全远程访问标准。SSH以rlogin远程访问协议为模型,它也很少用于数据转换,数据转换往往留给客户端和服务器去做。SSH也能支持其他协议的通道处理,包括X-Windows。SSH的设计是为使用公共和对称密钥加密。公共密钥加密用于验证SSH服务器,对称密钥用于加密数据传输。
SSH采用服务器的公共密钥作为标识符来支持服务器机器验证。当客户端与服务器开始联系时,客户端检查服务器的公共密钥确认客户端已经知道,如果客户端是第一次连接到服务器,则提示用户认证服务器公共密钥。一旦服务器公共密钥被认证,下一次客户端连接到这个服务器时,发布的公共密钥将与存储在客户端的公共密钥进行比较,如果它们匹配,那么客户端完成密钥交换。如果发布的服务器公共密钥与存储在客户端的服务器公共密钥不匹配,那么客户端不能连接。如果服务器公共密钥改变,则导致一个问题;如果服务器升级或服务器遭遇系统崩溃而必须重建,那么服务器公共密钥会有变更,然后用户需要清楚就的服务器公共密钥,这样客户端软件认为它是第一次与服务器进行交谈,并存储用于服务器的新密钥。
4.3 远程桌面
远程桌面(RDP)是微软公司用来使客户端连接到微软的基于Windows的服务器的协议和应用程序,即微软的X-Windows。RDP支持加密和用户验证,RDP最初版本使用加密技术,而且其是RDP协议的一部分,它以T.120协议为模型。RDP协议使用一次一密会话密钥的对称密钥加密算法(RC4)。在客户端和服务器交换公共密钥之后,交换一次性会话密钥,这种交换与SSH使用的方法很相似。RDP协议支持三种RC4密钥长度,分别对应三种不同的安全级别(高、中、低)。
4.4 安全文件传输(SFTP、FTPS、HTTPS)
为了加密文件传输,设计了几种协议来取代FTP协议。这些协议的设计用于保护验证交换和数据传输以免偷听,这些协议的大多数建立在SSH或SSH加密协议基础上。由于SSH文件传输协议(SFTP)只吃相同类型的为FTP所支持的命令和功能,因此它是一个类似FTP的客户端和服务器程序。SFTP使用SSH协议来加密命令通道和数据通道。SFTP不是一个简单的运行于SSH通道的FTP,他是一个新的基于SSH协议的协议。SFTP要求客户端和服务器都理解这个协议,并使大多数操作系统都可以随时得到客户端和服务器程序。SFTP协议易于受到中间人攻击,但是由于这个协议要复杂得多,比起对SSH的中间人攻击,实施这种攻击更加困难。针对SFTP的中间人攻击的最佳途径是获得用户名和密码。
文件传输协议/SSC(FTPS)是FTP协议的一个安全版本,它使用SSL/TLS安全传输层协议。FTPS是标准FTP协议的一个增强版,它是一种通过使用安全特 性,在初始连接阶段通过使用AUTH TLS指令就可以协商会话的协议。FTPS服务器像标准FTP 服务器那样在端口21处等待,并且像一个标准FTP服务器那样运作。
在建立SSL基础之上的HTTP(HTTPS)是用于安全文件传输的另一个方法。当你点击一个包含文件的链接时,就通过了安全Web网站,文件就通过安全连接传输。参考文献
[1]Douglas Jacobson,introduction to Network Security,CRC Pre,2009.
