系統安全實務

TCP/IP 安全問題

Terminal Hijacking

入 侵 者 利 用 kernel module TAP ( 原 用 於 capture streams) 而 被 用 來 看 使 用 者 所 輸 入 的 每 一 個 鍵 . 也 可 以 被 用 來 寫 入 某 一 user 的 stream. 也 就 變 成 cracker 可 以 輸 入 指 令 , "hijack" 這 個 session.
TAP 的 載 入 與 要 root 來 安 裝 , 如 果 你 已 做 過 所 有 的 patch 而 且 做 了 必 要 的 措 施 防 止 入 侵 者 得 到 root 等 級 , 則 可 以 放 心 一 下 . 你 也 可 以 將 SunOS 中 loadable module 功 能 關 掉 . ex:

在 /sys/`arch -k`/conf 中
將 其 中 的 options VDDRV # loadable modules
然 後 重 做 kernel...

或 跑 modstat 來 看 系 統 module 運 作 情 形 ...
但 modstat 有 可 能 被 cracker 換 掉 , 記 得 做 原 始 binary 的 checksum ...

IP Spoofing

這 種 攻 擊 可 以 使 入 侵 者 所 送 出 的 packet 看 起 來 像 是 從 trusted host 發 出 的 , 而 有 些 以 ip authenication 為 基 礎 的 service 可 以 使 入 侵 者 下 命 令 。
(ex: rsh rlogin NFS NIS X Window ...) 而 因 為 這 些 封 包 來 自 trusted host, 所 以 可 能 會 騙 過 防 火 牆 。
解 決 方 案 : 有 些 硬 體 有 Input Filter 的 功 能 , 而 軟 體 部 份 TCP WRAPPER 配 合 IDENTD 可 以 擋 掉 ip spoofing 攻 擊 . 只 要 在 TCP WRAPPER 中 的 access list 加 上 ALL: UNKNOWN@ALL : DENY 即 可 。

Sniffer

電 腦 網 路 不 像 電 話 線 , 而 電 話 網 路 是 用 switch 的 方 式 。 電 腦 網 路 用 的 是 共 享 式 (shared) 通 訊 頻 道 , share 指 的 是 電 腦 網 路 中 用 的 是 網 路 頻 寬 共 享 的 方 法 , 而 可 以 收 到 原 本 是 要 送 到 其 他 電 腦 的 資 訊 。 抓 取 這 些 資 訊 的 過 程 就 叫 sniffing.
在 local 網 路 中 最 流 行 的 一 種 ethernet . Enternet 這 種 protocol 運 作 的 方 法 是 broadcast 。 而 在 boardcast 的 packet 的 header 中 , 含 有 destination 的 address , 只 有 剛 好 match 這 個 位 置 的 電 腦 才 會 接 收 這 個 packet 。 Ethernet 有 一 個 模 式 叫 promiscuous mode , 可 將 無 條 件 的 接 收 所 有 在 LAN 上 廣 播 的 資 料 。
而 在 一 般 網 路 環 境 中 , id 、 passwd 都 是 以 未 編 碼 的 型 態 傳 送 , 因 此 cracker 也 可 以 很 容 易 的 以 root 等 級 或 一 般 PC 輕 易 的 截 取 網 路 上 的 封 包 。
截 取 封 包 的 程 式 在 網 路 上 隨 手 可 得 , 如 etherfind 、 snoop 、 tcpdump 、 packetman ... 及 DOS 版 的 etherdump 。 etherload ... 甚 至 某 學 校 的 網 路 作 業 就 是 寫 一 套 sniffer .
在 UNIX 系 統 中 偵 測 工 作 站 是 否 在 promicious mode 是 用 ifconfig ,

ex: ifconfig -a, ifconfig le0...

Sniffer 的 防 止 法 : 改 用 10BASE-T 網 路 架 構 . 軟 體 治 本 方 案 : TCP/IP Encryption . 如 Kerberos、SNP (Secure Network Protocol) ...