网络通信 频道

警告:网络可信接入已危在旦夕?

可信接入的历史难题

    客户端接入的目的就是对资源的访问。普通用户比较熟悉的有WWW服务,FTP服务,电子邮件服务,不太熟悉可能有TFTP服务,NFS服务,Finger服务等等。在使用这些服务的时候,我们可能没有想到,TCP/IP在一开始设计的时候就没有充分考虑到安全的因素,从底层我们就出现了安全问题,何况这些应用层的东西。

     CP/IP的主要安全问题是认证和保密机制不完善,其中最主要的因素就是IP地址问题。IP地址作为网络节点的唯一标示,许多TCP/IP服务,包括Berkeley中的R命令、NFS、X Window等都是基于IP地址来对用户进行认证和授权。归纳起来,针对TCP/IP的攻击可以分成如下几类:
* 源地址欺骗(Source address spoofing)或IP欺骗(IP spoofing)。
* 源路由选择欺骗(Source Routing spoofing)。
* 路由选择信息协议攻击(RIP Attacks)。
* 鉴别攻击(Authentication Attacks)。
* TCP序列号欺骗(TCP Sequence number spoofing)。
* TCP/IP协议数据流采用明文传输。
* TCP序列号轰炸攻击(TCP SYN Flooding Attack),简称SYN攻击。
* 易欺骗性(Ease of spoofing)。
*
  当前的安全防御方法主要是基于IP地址的包过滤(packet filtering)和认证(authentication)技术,然而IP地址存在了许多问题,协议的最大缺点就是缺乏对IP地址的保护,缺乏对IP包中源IP地址真实性的认证机制与保密措施,如NAT代理访问。
  
  为了解决这些棘手的问题,人们开始热衷于是构建一个“完整的”网络接入控制解决方案——“可信接入”。 

0
相关文章