淺析分布式系統的安全性問題

摘要:這里簡要分析了分布式系統存在的安全性問題,說明了構建安全的分布式系統的重要性,同時針對這些問題從技術角度介紹了幾種關鍵技術以及每種技術的特點,并對其實現原理進行了簡單分析。

關鍵詞:分布式系統;安全

收稿日期:2009-11-08

作者簡介:楊立華(1964-),男,黑龍江綏化人,武警黑龍江省總隊司令部通信處處長。

一、局域網的安全性問題

目前大多數企業、公司乃至軍隊、政府機關都有自己內部的局域網。在這里,我們可以根據其連接性質將它們分類為連接的局域網和非連接的局域網。非連接的局域網即:這個網絡在物理上只對有限人員開放,通常是一個組織的成員。很顯然,非連接的局域網和那些不是非連接的局域網相比,在安全方面要考慮的問題要少得多,因為和那些不是非連接的局域網相比,潛在的威脅要少很多。對于非連接的局域網而言,最大的威脅來自于那些組織成員內部。因為只有這些人可以在物理上訪問網絡,所以只有這些人才能對網絡構成威脅。但是這些來自于內部人的威脅是最難防范的。正所謂家賊難防。大多數情況下,他們對系統的工作原理了解得非常清楚,當然他們對系統的弱點也了解得非常清楚。非連接網絡的一個潛在的威脅是,這個網絡在大家都不知道的情況下已經和外部連上了。你可以認為你的局域網是安全的,以為這個網絡只聯了你們工作組的幾臺計算機,而這些計算機都屬于可以信賴的人的。但是在誰都不知道的情況下,某個人在某臺計算機上安置了一個調制解調器。這時,這個網絡就變得不安全了。

連接的局域網除了連接本組織內部的網絡外還和一些不受該組織控制的其他網絡相連。和非連接的局域網相比,一個主要的不同是,這個網絡面臨的潛在威脅要大得多。除了要面對來自于內部人員的威脅以外,還要面對那些通過網際互聯可以訪問該網絡的外部人員的威脅。和外部連接的局域網可以分為兩類,一類是全連接的局域網。這個局域網和外部網絡有無縫接口。還有一類是部分連接的局域網。這種網絡可以在外部進行訪問,但是得通過這個組織自己定義的技術和方法,而這種技術和局域網流行技術不相同。一個簡單的例子是上面所提到的。某個人通過一臺機器上的調制解調器訪問一個非連接的網絡,結果就造成了一個部分連接的局域網。這個連接之所以是部分連接,是因為通過調制解調器訪問該網絡,本身就是通過電話線來訪問的,這個手段本身就可能包含了對訪問該網絡的某些權限限制。對于和外部連接的局域網而言,最大的威脅是它可能遭受來自于世界上任何一個地方的威脅。

二、分布式系統的網絡安全策略

(一)防火墻

一個最常用的網絡安全技術就是使用防火墻。防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態。構建一個防火墻就是在連接該局域網和外部網絡的路由器上建立包過濾。只有那些符合規定的包才能從防火墻里邊傳到防火墻外邊。

防火墻處于5層網絡安全體系中的最底層,屬于網絡層安全技術范疇。在這一層上,企業對安全系統提出的問題是:所有的IP是否都能訪問到企業的內部網絡系統?如果答案是“是”,則說明企業內部網絡還沒有在網絡層采取相應的防范措施。雖然從理論上看,防火墻處于網絡安全的最底層,負責網絡間的安全認證與傳輸,但隨著網絡安全技術的整體發展和網絡應用的不斷變化,現代防火墻技術已經逐步走向網絡層之外的其他安全層次,不僅要完成傳統防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務。另外還有多種防火墻產品正朝著數據安全與用戶認證、防止病毒與黑客侵入等方向發展。

防火墻的關鍵技術就在于端口之間進行訪問控制。比如一個路由器可以被設置成把所有從外邊過來的試圖通過端口23來訪問的包都丟棄掉。這樣做可以有效地關掉從外邊進來的TELNET。大部分的路由器供應商都支持網絡管理員建立一張關于允許訪問和不允許訪問的端口號表。使用防火墻的一個好處是網絡管理員可以做到不用去訪問組織內的每個用戶的計算機就能提高系統的安全性。換句話來說,組織內的用戶可以隨意配置他們的計算機,防火墻可以保護他們。

防火墻的配置是非常重要的,必須要保證網絡支持的協議(Domain Name System protocal)能夠通過防火墻。否則,組織內部的機器就不能解析防火墻外的機器名字。同樣,如果你想讓防火墻內外的機器能夠通訊的話,就要保證防火墻外的機器能夠訪問相應的DNS服務器,這樣它們才能解析防火墻內的主機地址。實現防火墻的通常辦法是拒絕絕大部分從防火墻外發起的到防火墻內的機器的連接。當然,特定的機器除外,這種機器被保證是絕對安全的。

必須嚴格限制從防火墻內發起的到防火墻外的連接,必須對這種連接特別小心。你必須明白誰會對你構成威脅,以及什么會對你構成威脅。禁止從內部發起的連接即意味著你連接到的主機可能就是潛在的威脅。如果防火墻允許任何協議通過的話,一個惡意的內部人員很容易攻破防火墻。

防火墻的另外一個成本是機會成本。因為大部分防火墻通常只允許特定的協議通過,一般是電子郵件。而其他的協議則一律不允許通過。這就使得公司的員工不能訪問一些新的,有潛在價值的網絡。這會使得網絡不能得到很好的利用。目前的防火墻產品主要有堡壘主機、包過濾路由器、應用層網關(代理服務器)以及電路層網關、屏蔽主機防火墻、雙宿主機等類型。

根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換—NAT、代理型和監測型。1.包過濾型 包過濾型產品是防火墻的初級產品,其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點。一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術,只能根據數據包的來源、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。2.網絡地址轉化—NAT 網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不需要為其網絡中每一臺機器取得注冊的IP地址。在內部網絡通過安全網卡訪問外部網絡時,將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接,這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時,它并不知道內部網絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可。3.代理型 代理型防火墻也可以被稱為代理服務器,它的安全性要高于包過濾型產品,并已經開始向應用層發展。代理服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流。從客戶機來看,代理服務器相當于一臺真正的服務器;而從服務器來看,代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時,首先將數據請求發給代理服務器,代理服務器再根據這一請求向服務器索取數據,然后再由代理服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網絡系統。代理型防火墻的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響,而且代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。4.監測型 監測型防火墻是新一代的產品,這一技術實際已經超越了最初的防火墻定義。監測型防火墻能夠對各層的數據進行主動的、實時的監測,在對這些數據加以分析的基礎上,監測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網絡的節點之中,不僅能夠檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防范作用。據權威機構統計,在針對網絡系統的攻擊中,有相當比例的攻擊來自網絡內部。因此,監測型防火墻不僅超越了傳統防火墻的定義,而且在安全性上也超越了前兩代產品。

(二)應用網關(Application Gateways)

網關經常和防火墻聯合起來使用?；舅枷胧怯梅阑饓Π汛蟛糠炙屯付☉镁W關的包阻塞住。舉個例子,如果電子郵件不是能夠毫無阻礙地到達每臺主機,而是只能到達某個特定的主機,這樣的話,這臺機器就能被設置成能夠為整個組織收發電子郵件。同樣地,只有一臺特定的機器開放TELNET服務(這臺機器是安全管理的),只有登錄到這臺機器上以后,你才能訪問防火墻內的其他機器。應用網關可以被用來處理電子郵件,遠程登錄,及文件傳輸。大部分情況,僅僅是要正確配置一些軟件。

總的來說,防火墻和網關聯合起來的話,可以提供某種程度上的安全。既使這個局域網運行在不安全的網上,只要網絡管理員對局域網的安全負責的話,即使他不能為每臺機器進行合理的配置,這個網絡還是安全的。不過要記住,防火墻和網關結合并不是完美的。大部分的網絡管理員應該對1988年的蠕蟲還記憶猶新。既使是在今天,蠕蟲病毒還是能夠輕而易舉地越過大部分的防火墻。

(三)虛擬專用網絡(Virtual Private Networks)

有一些企業上網只是為了和異地的其他部門進行通訊,對于這種情況,在Internet上建立自己的虛擬專用網絡是一個安全的策略。

這種技術具有成本低的優勢,還克服了Internet不安全的弱點。其實,簡單來說就是在數據傳送過程中加上了加密和認證的網絡安全技術。在VPN網絡中,位于Internet兩端的網絡在Internet上傳輸信息時,其信息都是經過RSA非對稱加密算法的Private/Public Key加密處理的,它的密鑰(Key)則是通過Diffie-Hellman算法計算得出。如,假設A、B在Internet網絡的兩端,在A端得到一個隨機數,由VPN通過Diffie-Hellman算法算出一組密鑰值,將這組密鑰值存儲在硬盤上,并發送隨機數到B端,B端收到后,向A端確認,如果驗證無誤則在B端再由此產生一組密鑰值,并將這組值送回A端,注冊到N0vell的目錄服務中。這樣,雙方在傳遞信息時便會依據約定的密鑰隨機數產生的密鑰來加密數據。

確切來說,虛擬專用網絡(VirtUal PrivateNetwork,VPN)是利用不可靠的公用互聯網絡作為信息傳輸媒介,通過附加的安全隧道、用戶認證和訪問控制等技術實現與專用網絡相類似的安全性能,從而實現對重要信息的安全傳輸。

到這里,我們論述了構建安全的分布式系統的重要性,同時從技術角度介紹了幾種關鍵技術以及每種技術的特點和實現手段。我們應該認識到系統的安全性問題是不斷地發展變化的,這要求我們不斷探索新技術、新方法確保系統的安全性。同時我們也應該認識到,安全不是絕對的。因為我們很容易就能建造世界上最安全的計算機,但它卻什么都不能干。在很多情況下,安全需求必須和系統的其他設計目標之間做出妥協,比如說性能和用戶界面的友好等等。還有一點很重要,就是你必須得考慮為了達到所要求的安全,你所需要花費的資金和個人的精力。這就要求我們能夠準確衡量其之間的權重,根據不同的安全級別需要構建安全、可靠的網絡安全系統。

參考文獻:

[1]宋麗華.網絡流量特征對排隊性能影響的仿真分析與比較[J].系統仿真學報,2005-1,(17).

[2]闕喜戎等.信息安全原理及應用[M].北京:清華大學出版社,2003.

[3]周學廣,劉藝.信息安全學[M].北京:機械工業出版社,2003.

[責任編輯:吳紀龍]