《网络安全与管理》第9章 其他Internet应用的安全性分析

第12章 其它 nternet应用的安全性分析 网络安全与管理

网络安全与管理 1 第12章 其它Internet应用的安全性分析

本章学习目标 Telnet的安全漏洞与 防范措施 DNS和NFS的安全特 性 网络安全与管理

网络安全与管理 2 本章学习目标 ◼ Telnet的安全漏洞与 防范措施 ◼ DNS和NFS的安全特 性

第12章目录 12.1文件传输服务FTP的安全性 ■12.2远程登录服务 Telnet的安全性分析 123DNS的安全性分析 124NFS的安全性分析 网络安全与管理

网络安全与管理 3 第12章目录 ◼ 12.1 文件传输服务FTP的安全性 ◼ 12.2 远程登录服务Telnet的安全性分析 ◼ 12.3 DNS的安全性分析 ◼ 12.4 NFS的安全性分析

12.1文件传输服务FTP的安全 性 ■12.1.1FTP的工作原理 ■12.1.2FTP的安全漏洞及其防范措施 网络安全与管理

网络安全与管理 4 12.1 文件传输服务FTP的安全 性 ◼ 12.1.1 FTP的工作原理 ◼ 12.1.2 FTP的安全漏洞及其防范措施

12.1.1FTP的工作原理 ■FTP的连接模式 ■匿名FP 网络安全与管理 5

网络安全与管理 5 12.1.1 FTP的工作原理 ◼ FTP的连接模式 ◼ 匿名FTP

FTP的连接模式 FTP支持两种连接模式 主动方式 Standard(也就是 Active) Standard模式,FP的客户端发送PORT 命令到FTP的服务器端 >被动方式Pase(也就是PASV) Passive模式,FTP的客户端发送PASV命 令到FTP的服务器端 网络安全与管理 6

网络安全与管理 6 FTP的连接模式 FTP支持两种连接模式 ➢ 主动方式 Standard (也就是 Active) Standard模式 ，FTP的客户端发送 PORT 命令到FTP的服务器端 ➢ 被动方式 Passive (也就是PASV) Passive模式，FTP的客户端发送 PASV命 令到FTP的服务器端

匿名FTP ■访问匿名FTP ■提高匿名FTP安全性的方法 (1)检查系统上FTP服务的所有缺省配 置情况 (2)检查文件访问权限和可写目录 网络安全与管理

网络安全与管理 7 匿名FTP ◼ 访问匿名FTP ◼ 提高匿名FTP安全性的方法 （1）检查系统上FTP服务的所有缺省配 置情况 （2）检查文件访问权限和可写目录

12.1.2FTP的安全漏洞及其防 范措施 保护密码( Protecting Passwords) ■访问控制( Restricted access) 端口盜用( Port Stealing) 保护用户名( User names) 私密性( Privacy) 网络安全与管理

网络安全与管理 8 12.1.2 FTP的安全漏洞及其防 范措施 ◼ 保护密码（Protecting Passwords） ◼ 访问控制（Restricted Access） ◼ 端口盗用（Port Stealing） ◼ 保护用户名（User names） ◼ 私密性（Privacy）

保护密码 ( Protecting Passwords) 漏洞: 第一,在FTP标准[PR85]中,FTP服务器允许无限次输入密码。 第二,“PASS"命令以明文传送密码 攻击: 强力攻击有两种表现: (1)在同一连接上直接强力攻击 (2)和服务器建立多个、并行的连接进行强力攻击 防范措施 对第种中强h婺卖;:服务嚣度限制蒙试输公正确早含的次数:隻咨 以发送返回信息码421(“服务不可用,关闭控制连接” 另外,服务 器在相应无效的“PASS°命令之前应暂停几秒来消减强力攻击的有效性。 对第二种强力攻击,服务器可以限制控制连接的最大数目,或探耷会话 中的可疑行为并在以后拒绝该站点的连接请求。密码的明文传播问题可 以用FTP扩展中防止窃听的认证机制解决 网络安全与管理

网络安全与管理 9 保护密码 (Protecting Passwords) ◼ 漏洞： ➢ 第一，在FTP标准[PR85]中，FTP服务器允许无限次输入密码。 ➢ 第二，“PASS”命令以明文传送密码 ◼ 攻击： 强力攻击有两种表现： ➢ （1）在同一连接上直接强力攻击 ➢ （2）和服务器建立多个、并行的连接进行强力攻击 ◼ 防范措施 ： ➢ 对第一种中强力攻击，服务器应限制尝试输入正确口令的次数。在几次 尝试失败后，服务器应关闭和客户的控制连接。在关闭之前，服务器可 以发送返回信息码421（“服务不可用，关闭控制连接”）。另外，服务 器在相应无效的“PASS”命令之前应暂停几秒来消减强力攻击的有效性。 ➢ 对第二种强力攻击，服务器可以限制控制连接的最大数目，或探查会话 中的可疑行为并在以后拒绝该站点的连接请求。 密码的明文传播问题可 以用FTP扩展中防止窃听的认证机制解决

访问控制( Restricted access) 漏洞: 从安全角度出发,对一些FTP服务器来说,基于网络地址的访问 控制是非常重要的。例如,服务器可能希望限制或允许来自某些 网络地址的用戶对某些文件的访问,杏则可能会发生信息泄漏。 另外,客户端也需要知道所进行的连接是否是与它所期望的服务 器建立的、有时攻击者会利用这样的情况,将控制连接是在可信 在的主机之 ■防范措施: 在建立连接前,双方需要同时认证远端主机的控制连接,数据连 接的网络地址是否可信。 遗留问题 基于网络地址的访问控制可以起一定作用,但还可能受到“地址 盗用( spoof)攻击。在spoo攻击中,攻击机器可以冒用在组织内 的机器的网络地址,从而将文件下载到在组织之外的未授权的机 器上。 网络安全与管理

网络安全与管理 10 访问控制（Restricted Access） ◼ 漏洞： 从安全角度出发，对一些FTP服务器来说，基于网络地址的访问 控制是非常重要的。例如，服务器可能希望限制或允许来自某些 网络地址的用户对某些文件的访问，否则可能会发生信息泄漏。 另外，客户端也需要知道所进行的连接是否是与它所期望的服务 器建立的。有时攻击者会利用这样的情况，将控制连接是在可信 任的主机之上。 ◼ 防范措施： 在建立连接前，双方需要同时认证远端主机的控制连接，数据连 接的网络地址是否可信。 ◼ 遗留问题： 基于网络地址的访问控制可以起一定作用，但还可能受到“地址 盗用(spoof)”攻击。在spoof攻击中，攻击机器可以冒用在组织内 的机器的网络地址，从而将文件下载到在组织之外的未授权的机 器上