网络安全问题产生的原因有什么
引起网络安全问题的原因有以下六种:
薄弱的认证环节:网络上的认证通常是使用口令来实现的,但口令有公认的薄弱性。网上口令可以通过许多方法破译,其中最常用的两种方法是把加密的口令解密和通过信道窃取口令。例如,UNIX操作系统通常把加密的口令保存在一个文件中,面该文件普通用户即可读取。该口令文件可以通过简单的拷贝或其他方法得到。一旦口令文件被闯入者得到,他们就可以使用解密程序对口令进行解密,然后用它来获取对系统的访问权。由于些TCP或UDP服务只能对主机地址进行认证,而不能对指定的用户进行认证,所以,即使一个服务器的管理员只信任某一主机的一个特定用户,并希望给该用户访问权,也只能给该主机上所有用户访问权。
系统的易被监视性:用户使用Telnet或FTP连接他在远程主机上的账户,在网上传的口令是没有加密的。人侵者可以通过监视携带用户名和口令的IP包获取它们,然后使用这些用户名和口令通过正常渠道登录到系统。如果被截获的是管理员的口令,那么获取特权级访问就变得更容易了。成千上万的系统就是被通过这种方式侵入的。
易欺骗性:TCP或UDP服务相信主机的地址。如果使用IP Soure Routing, 那么攻击者的主机就可以冒充个被信任的主机或客户。许多组织中UNIX主机作为局城网服务器使用,职员用个人计算机和TCP/IP网络软件来连接和使用它们。个人计算机一般使用NFS来对服务器的目录和文件进行访问(NFS仅使用IP地址来验证客户)。一个攻击者几小时就可以设置好-台与别人使用相同名字和IP地址的个人计算机,然后与UNIX主机建立连接,就好像它是“真的”客户。这是非常容易实行的攻击手段,但应该是内部人员所为。网络的电子邮件是最容易被欺骗的,当UNIX主机发生电子邮件交换时,交换过程是通过一些由ASCI字符命令组成的协议进行的。闯人者可以用Tehet直接连到系统的SMTP端口上,手工输人这些命令。接收的主机相信发送的主机,那么有关邮件的来源就可以轻易地被欺骗,只需输人一个与真实地址不同的发送地址就可以做到这一点。 这导致了任何没有特权的用户都可以伪造或欺骗电子邮件。
有缺陷的局域网服务和相互信任的主机:主机的安全管理既困难又费时。为了降低管理要求并增强局域网,一些站点使用了诸如NIS和NFS之类的服务。这些服务通过允许一些数据库(如口令文件)以分布式方式管理以及允许系统共享文件和数据,在很大程度上减轻了过多的管理工作量。但这些服务带来了不安全因素,可以被有经验的闯入者利用以获得访问权。如果一个中央服务器遭受到损失,那么其他信任该系统的系统会更容易遭受损害。一些系统 (如rlogin)出于方便用户并加强系统和设备共享的目的,允许主机们相互“信任”。如果一个系统被侵入或欺骗, 那么对闯人者来说,获取那些信任其他系统的访问权就很简单了。如一个在多个系统上拥有账户的用户,可以将这些账户设置成相互信任的。这样就不需要在连人每个系统时都输入口令。当用户使用rlogin命令连接主机时,目标系统将不再询问口令或账户,而且将接受这个连接。这样做的好处是用户口令和账户不需在网络上传输,所以不会被监视和窃听,弊端在于一旦用户的账户被侵人,那么闯人者就可以轻易地使用rlogin侵人其他账户。
复杂的设置和控制:主机系统的访问控制配置复杂且难于验证,因此偶然的配置错误会使闯人者获取访问权。一些主要的 UNIX经销商仍然把UNIX配置成具有最大访问权的系统,这将导致未经许可的访问。许多网上的安全事故原因是由于人侵者发现的弱点造成的:由于目前大部分的UNIX系统都是从BSD获得网络部分的代码,而BSD的源代码又可以轻易获得,所以闯人者可以通过研究其中可利用的缺陷来侵入系统。存在缺陷的部分原因是因为软件的复杂性,所以没有能力在各种环境中进行测试。有时候缺陷很容易被发现和修改,而另些时候除了重写软件外几乎别无他法(如Sendmail)。
无法估计主机的安全性:主机系统的安全性无法很好地估计:随着一个站点的主机数量的增加,确保每台主机的安全性都处在高水平的能力却在下降。只用管理一台系统的能力来管理如此多的系统就容易犯错误。另一因素是系统管理的作用经常变换并行动迟缓,这导致些系统的安全性比另一此要低,这些系统将成为薄弱环节,最终将破坏整个安全链。