1、ICS 35.020 L 80 噩噩和国国家标准11: ./、中华人民GB/T 25068.4-201 O/ISO/IEC 18028-4: 2005 信息技术安全技术IT网络安全第4部分:远程接入的安全保护Information technology-Security techniques-IT network security一Part 4: Securing remote access (ISO/IEC 18028-4: 2005 , IDT) 2010-09-02发布数码防伪, 中华人民共和国国家质量监督检验检菇总局中国国家标准化管理委员会2011-02-01实施发布GB/T 2506
2、8.4-201 O/ISO/IEC 18028-4: 2005 目次前言.皿引言.町1 范围.2 术语和定义3 目的.4 综述.5 5 安全要求.6 6 远程访问连接类型7 远程访问连接技术7.1 概述-7.2 通信服务器的访问.7.3 局域网资源的访问.10 7.4 用于维护的访问.8 选择和配置指南8.1 概述8.2 RAS客户端的保护8.3 RAS服务器的保护8.4 连接的保护.8.5 元线安全.14 8. 6 组织措施.8.7 法律考量.9 结论.16 附录A(资料性附录)远程接入安全策略示例.17A.1 目的MA.2范围A.3 策略A.4 强制执行A.5 术语和定义.18 附录B(资
3、料性附录)RADIUS实施和部署的最佳实践20B.1 概述 20 B. 2 实施的最佳实践. 20 B.3 部署的最佳实践. 21 附录C(资料性附录)FTP的两种模式22C.1 PORT模式FTP22C.2 PASV模式FTP附录D(资料性附录)安全邮件服务核查表.23 D.1 邮件服务器操作系统核查表.23 D.2 邮件服务器与邮件内容安全核查表.24G/T 25068.4-201 O/ISO/IEC 18028-4: 2005 D.3 网络基础设施核查表.25D.4 邮件客户端安全核查表.26 D.5 邮件服务器的安全管理核查表.26 附录E(资料性附录)安全Web服务核查表. 28 E
4、.l Web服务器操作系统核查表.28 E.2 安全Web服务器安装与配置核查表29E.3 Web内容核查表mE.4 Web鉴别和加密核查表nE.5 网络基础设施核查表. 32 E.6 安全Web服务器管理核查表33附录F(资料性附录)元线局域网安全核查表.35 参考文献.37 E GB/T 25068.4-201 O/ISO/IEC 18028-4: 2005 目IJ=i GB/T 25068在信息技术安全技术IT网络安全总标题下,拟由以下5个部分组成:一一第1部分z网络安全管理;一第2部分z网络安全体系结构;一一第3部分:使用安全网关的网间通信安全保护;一一第4部分:远程接人的安全保护;一
5、一第5部分z使用虚拟专用网的跨网通信安全保护。本部分为GB/T25068的第4部分。本部分使用翻译法等同采用国际标准ISO/IEC18028-4: 2005(信息技术安全技术IT网络安全第4部分:远程接入的安全保护)(英文版)。该国际标准中缺少规范性引用文件的章条,为保持与该国际标准编排方式的一致,本部分未添加相应的章条。本部分更正了部分术语(条款2.10中DHCP全称中的Control更正为Configuration;条款2.28中RADIUS全称中的Access更正为Authentication;条款2.43中TKIP全称中的implementation更正为integrity;条款7.2
6、. 2中S/MIME全称中的exchange更正为exten-slOns勺。本部分更正了部分错误(附录E.1中误表示为行为的删除或关闭不必要的服务和应用和配置操作系统用户鉴别更正为标题表示形式;附录E.3中的SSI更正为SSL勺。8.4.3中窃听威胁只能用加密与之对抗中的只能过于绝对,修改为大多,为今后技术发展预留了空间。8. 7中增加了使用国家加密标准的规定。本部分的附录A、附录B、附录C、附录D、附录E、附录F为资料性附录。本部分由全国信息安全标准化技术委员会(TC260)提出并归口。本部分起草单位:黑龙江省电子信息产品监督检验院、中国电子技术标准化研究所、哈尔滨工程大学、北京励方华业技术
7、有限公司、山东省标准化研究院。本部分主要起草人:王希忠、黄庶、刘亚东、黄俊强、马遥、方舟、王大萌、树彬、张清江、王智、许玉娜、张国印、李健利、冯亚娜、曲家兴、邱益民、王运福。mM GB/T 25068.4-201 O/ISO/IEC 18028-4: 2005 51 在信息技术领域,在组织内部和组织之间使用网络的需求日益增加。因此,安全使用网络的要求必须得到满足。在远程接入网络领域要求特定措施时,IT安全宜得到适当安排。GB/T25068的本部分为远程接人网络(或使用电子邮件、文件传输,或只是远程工作)提供指南。W GB/T 25068.4-201 O/ISO/IEC 18028-4: 200
8、5 1 范围信息技术安全技术IT网络安全第4部分:远程接入的安全保护GB/T 25068的本部分规定了安全使用远程接入(使用公共网络将一台计算机远程连接到另一台计算机或某个网络的方法及其IT安全含义)的安全指南。本部分介绍不同类型的远程接人以及使用的协议,讨论与远程接人相关的鉴别问题,并提供安全建立远程接入时的支持。本部分适用于那些计划使用这种连接或者已经使用这种连接并且需要其安全建立及安全操作方式建议的网络管理员和技术员。2 术语和定义2. 1 2.2 下列术语和定义适用于本部分。接入点Access Point; AP 提供从无线网络接入到地面网络的系统。高级加密栋准Advanced Enc
9、ryption Standard; AES 一种对称加密机制。注:AES提供可变的密钥长度并允许按美国联邦信息处理标准(FIPS)l97的规范有效实现。2.3 鉴别authentication 确信实体是其所声称身份的措施。在用户鉴别的情况下,通过所知的东西(例如口令)、拥有的东西(例如令牌)或个人特征(生物特征)识别用户。强鉴别既可以基于强机制(例如生物特征),也可以利用这些因子中至少两个(称为多因子鉴别勺。2.4 2.5 2.6 回叫call-back 一种在收到有效标识符(ID)参数后向预先定义或建议位置(和地址)呼叫的机制。挑战一握手鉴别协议Challenge-Handshake Au
10、thentication Protocol; CHAP 一种在RFC1994中定义的3次鉴别协议。数据加密标准Data Encryption Standard; DES 一种众所周知的使用56比特密钥的对称加密机制。因其密钥长度短,DES已被AES取代,但仍在多重加密模式中使用,例如,3DES或三重DES(FIPS46-3)。2. 7 非军事区de-militarised zone; DMZ 一种本地网络或站点网络的隔离区,其访问借助防火墙实现的特定策略来控制。DMZ不是内部网络的一部分并被认为不太安全。1 G/T 25068.4一2010/ISO/IEC18028-4: 2005 2.8 2
11、.9 2. 10 2. 11 拒绝服务Denial of Service; DoS 一种使系统失去可用性的攻击。数字用户线Digital Subscriber Line; DSL 一种快速访问本地电信回路网络的技术。动态主机配置协议Dynamic Host Configuration Protol;DHCP 一种在启动时动态提供IP地址的互联网协议(RFC2131)。封装安全载荷Encapsulatiog Security Payload; ESP 一种基于IP、对数据提供保密性服务的协议。特别是,ESP将加密作为一种安全服务来提供,以保护IP包的数据内容。ESP是一个互联网标准(RFC240
12、的。2. 12 2. 13 2. 14 2.15 可扩展鉴别协议Extensible Authentication Protocol; EAP 一种由远程拨号接入用户鉴别服务(RADIUS)支持并由IETF在RFC2284中标准化的鉴别协议。文件传输协议File Transfer Protocol; FTP 一种用于在客户端与服务器之间传输文件的互联网标准(RFC959)。互联网工程任务组Ioternet Engineering Task Force; IETF 负责提出和制定互联网技术标准的小组。互联罔消息访问协议第4版Internet Message Access Protocol v4;
13、 IMAP4 一种电子邮件协议,该协议允许访问和管理远程电子邮件服务器上的电子邮件和信箱(在盯C2060 中被定义)。2. 16 2. 17 局域网Local Area Network;LAN 一种通常在建筑物之内的本地网络。调制解调器modem 为将电话协议作为一种计算机协议使用,而将数字信号调制成模拟信号或反向调制(解调)的硬件或软件。2.18 多用途互联网邮件扩展协议MuItipurpose Internet Mail Extensions;MIME 一种允许通过电子邮件传输多媒体和二进制数据的方法,在RFC2045至RFC2049中被规范。2. 19 网络访问服务器Network Ac
14、cess Server; NAS 为远程客户端提供对某基础设施访问的系统(通常是计算机)。2.20 -次性口令one-time password; OTP 一种仅使用一次(因而对抗重放攻击)的口令。2 GB/T 25068.4-201 O/ISO/IEC 18028-4: 2005 2.21 2.22 2.23 2.24 被动模式Passive mode; P ASV mode 一种FTP连接建立模式。口令鉴别协议Password Authentication Protocol; PAP 一种为点对点协议(PPP)提供的鉴别协议(RFC1334)。个人数字助理Personal Digital
15、Assistant; PDA 通常指手持式计算机(掌上计算机)。点对点协议Point-to-Point Protocol; PPP 一种在点对点链路上封装网络层协议信息的标准方法。2.25 邮局协议第3版Post Office Protocol v3; POP3 RFC1939中定义的电子邮件协议,该协议允许电子邮件客户端索取存储在电子邮件服务器中的电子邮件。2.26 良好隐私保护Pretty Good Privacy; PGP 一种基于公钥密码、可公开提供的加密软件程序,其消息格式在RFC1991和RFC2440中被规范。2.27 2.28 2.29 2.30 2.31 用户级交换机Priv
16、ate Branch Exchange; PBX 一种通常基于计算机的企业级数字电话交换机。远程拨号接入用户鉴别服务Remote Authentication Dial-in User Service; RADIUS 一种用于鉴别远程用户的互联网安全协议(RFC2138和RFC2139)。远程接入服务Remote Access Service; RAS 通常是提供远程接入的硬件和软件。远程接入remote access 从安全域的外部对某系统的授权访问。请求评议Request for Comment; RFC 由IETF提出的互联网标准的标识。2.32 安全壳Secure Shell; SSH
17、 一种利用不安全的网络提供安全的远程登录的协议。SSH虽为专有,但不久将成为IETF标准。SSH最初由SSH通信安全组开发。2.33 安全套接字Secure Sockets Layer; SSL 一种处于网络层与应用层之间、提供客户端和服务器的鉴别及保密性和完整性服务的协议。SSL由Netscape开发,并构成安全传输层(TLS)的基础。3 GB/T 25068.4一2010/ISO/IEC18028-4: 2005 2.34 安全多用途互联网邮件扩展Security/MuItipurpose Internet Mail Extensions;S/MIME 一种提供安全多用途邮件交换的协议。注
18、z该协议第3版由5部分组成:RFC3369和RFC3370定义消息句法,RFC2631至RFC2633定义消息规范、证书处理和密钥协定方法。2.35 2.36 2.37 2.38 2.39 2.40 2.41 2.42 2.43 串行结互联网协议Serial Line Internet Protocol; SLIP 一种在RFC1055中被规范的、采用电话线(串行线)传输数据的包成帧协议。服务集标识符Service Set Identifier; SSID 一种通常以名字的形式表示的无线接人点标识符。简单邮件传输协议SimpleMail Transfer Protocol; SMTP 一种用于
19、向电子邮件服务器发送电子邮件(外发)的互联网协议(RFC821及其扩展)。传输层安全协议Transport Layer Security Protocol; TLS SSL的后继协议,是正式的互联网协议(RFC2246)。统-资源定位符Uniform Resource Locator; URL Web服务的地址方案。不间断电源Uninterruptible Power Supply; UPS 通常是一种基于电池的系统,用于在停电、电压下降和电涌时保护设备。用户数据报协议User Datagram Protocol; UDP 一种用于元连接通信的互联网联网协议(RFC768)。虚拟专用同Virt
20、ual Private Network; VPN 利用共享网络的专用网,例如,基于密码隧道协议运行在另一个网络基础设施上的网络。WiFi保护接入WiFi Protected Access; WP A 一种为元线通信提供保密性和完整性的安全增强规范。该规范包括临时密钥完整性协议(TKIP)。WPA是有线等效隐私(WEP)的后继协议。2.44 有钱等效隐私Wired Equivalent Privacy; WEP 一种采用128比特密钥提供流密码加密的密码协议。该协议被定义在GB15629. 11-2003 (元线局域网规范)中。2.45 无线保真Wireless Fidelity; WiFi 一
21、种WiFi联盟推动使用无线LAN设备的商标。2.46 无结局域网Wireless LAN ; WLAN 一种使用无线电频率的网络。最常用的标准是GB15629. 1102-2003和GB15629. 1104-2006 , 4 G/T 25068.4-201 O/ISO/IEC 18028-4: 2005 它们利用2.4GHz频段,分别提供可高达11Mbit/s和54Mbit/s的传输速率。3 目的本部分旨在当网络管理员和IT安全主管遇到远程接人安全保护问题时提供指南。它提供各种远程接人类型和技术的信息,并帮助目标读者识别适当的措施来保护远程接入抵御己识别的威胁。它也可能在用户打算从其家庭办公
22、室或在旅途中远程访问他们的办公室时提供帮助。4 综述远程接入使得用户能够从本地计算机登录到远程计算机或计算机网络上,并且就像存在直接的局域网链接那样,使用这些远程资源(见图1)。这里所使用的服务称为远程接人服务(RAS)0 RAS确保远程用户能够访问网络资源。通常,在以下情形中使用RAS: 链接固定的个人工作站(例如,使得员工能够在家远程办公); 链接移动计算机(例如,支持员工在现场或商务外出时办公); 链接整个局域网(例如,把远地或分支机构的本地网络连接到公司总部的局域网上h 提供对远程计算机的管理访问(例如,用于远程维护)。RAS提供一种在如下场景中连接远程用户的简单方式z远程用户建立与主
23、干网的连接,例如,使用调制解调器经由电话网络。只要需要,这种直接连接可能一直存在,并且能够看作是租用线路,仅在需要时才激活。当使用DSL或者其他适当技术时,该连接也可能是永久的。重要提示:对企业的远程接入宜总是通过远程接入服务器来控制。直接拨号接入计算机意味着会有很多风险,因此宜避免使用。企业里的调制解调器只宜在限定的位置使用。远程客户端图1资源的远程接入建立RAS连接通常需要以下三种组件:远程应用远程接入服务器a) 企业网络内的本地网络组件,它提供RAS(即,已安装RAS软件)并且已经准备好接受RAS连接。这种组件称为RAS服务器或访问服务器。b) 已安装RAS软件并发起RAS连接的远程计算
24、机。这种组件称为RAS客户端。远程客户端可能是工作站或移动计算机。c) 在其上建立RAS连接的通信介质。在大多数场景中,RAS客户端使用电信网络建立连接。因此,其最低要求是一条电话线和一个相匹配的调制解调器。根据RAS的体系结构,在服务器端能够使用不同的连接技术。RAS是按照客户端/服务器体系结构实现的:当通过拨打巳安装RAS服务器软件的计算机的电话5 GB/T 25068.4-201 O/ISO/IEC 18028-4: 2005 号码来请求公司的网络资源时,RAS客户端可以配置成能自动建立RAS连接。另一种方式是,用户能够手动发起RAS连接。一些操作系统也允许在系统登录后立即激活RAS。客
25、户端系统可以是任何一种计算机例如膝上型计算机、个人数字助理(PDA)、智能电话。连接建立之后,客户端系统可以使用各种应用,其中一些可能有安全含义。5 安全要求从安全角度来看,RAS服务器和RAS客户端被认为处于规定的安全策略的控制之下,而通信介质被认为在控制之外并且可能处于敌对的环境中。安全机制关注的风险是未授权的实体(例如个人或者过程)可能: 获得对RAS客户端的访问; 获得对RAS服务器的访问; 阻止对RAS服务器的访问(拒绝服务h 窃听RAS客户端与RAS服务器之间交换的信息; 修改交换的信息。对抗这些风险的安全服务包括保密性服务、鉴别服务和访问控制。因此,下列安全目标适用于RAS访问:
26、鉴别:远程用户必须由RAS系统唯一地识别。每次与本地网络建立连接时,必须通过鉴别机制确定用户的身份。在系统访问情况下,必须使用额外的控制机制,以确保远程用户的系统访问受到适当控制(例如,限制访问次数或只能访问得到允许的远程连接点)。有多种在质量和技术上不同的鉴别用户和过程的方法。最常用但也是最脆弱的方法是使用口令。访问控制:一旦远程用户已经被鉴别,远程接人服务器必须能够限制用户与网络的交互。为此要求,除了对远程用户的任何特定限制(例如特定的白天时间段、每个用户一个连接)外,还强制对远程用户实施由己授权管理员针对本地网络资源规定的授权和限制。通信安全z在远程接人的本地资源所在之处,用户数据也必须
27、在已建立的RAS连接上传输。通常,适用于本地网络的有关通信保护(保密性、完整性、真实性的安全要求,对于在RAS连接上传输的数据也必须是可实现的。然而,RAS通信的保护尤为关键,因为可以使用许多通信介质和协议来进行RAS通信,且一般不能假定这些通信处于本地网络操作人员的控制之下。可用性:当远程接人用于主流业务活动时,RAS访问的可用性尤其重要。如果RAS访问彻底失败或连接带宽不足,业务过程的通畅性可能受到削弱。通过使用替代的或冗余的RAS连接,可以将这种风险降低到一定程度。这种方式尤其适用于以互联网作为通信介质的情况,因为互联网对连接和带宽一般都没有保证。RAS系统的客户端/服务器体系结构,意味
28、着RAS客户端和RAS服务器都会因为操作环境的类型和使用方式,而面临特定的风险。RAS客户端不必是固定的(例如家庭PC),但也可能是移动设备(例如膝上型计算机)。然而,客户端的位置通常不处于局域网操作人员的控制下,所以,必须假定这种环境是不安全的并且暴露于特定威胁,对移动客户端尤其如此。这里特别需要考虑的威胁包括物理威胁,诸如窃取或损坏。RAS服务器通常是远程用户希望登录的局域网的一部分。它们处于局域网操作人员的控制下,并因此能被本地适用的安全措施覆盖。因为RAS服务器的主要任务是确保只有得到授权的用户才能访问已连接的局域网,所以,RAS服务器面临的威胁宜被看作属于以未授权访问该局域网为目的的
29、攻击范畴。6 远程访问连接类型客户端与远程局域网中的计算机建立连接有多种方式:6 GB/T 25068.4-201 O/ISO/IEC 18028-4: 2005 直接拨号接入到访问服务器; 拨号接入到互联网服务提供商CISP)的访问服务器,并且通过互联网访问远程局域网; 通过到另一个网络的永久连接实现非拨号接入。图2示出这些远程连接类型。移动用户2通过ISP和互联网接入局域网,并由控制互联网与本地网络之间访问的防火墙过滤。移动用户1也可能是一个元线局域网(WLAN)用户,因此这里的RAS称作接入点(AP)。这种访问服务器也由防火墙控制(虚线)。注z移动用户可使用拨号、租用线路、宽带或无线连接
30、。所谓WLAN热点的情形描述为移动用户2通过WLAN接入点而非本地调制解调器接人。即,一般的互联网接人是经由WLANAP和ISP来提供。B 移动用户2LAN工作站LAN工作站移动用户1固2远程接入的类型客户端可使用多种方法连接到ISP。客户端可使用有线和/或无线技术。取决于所使用的方法,可能会发生额外的风险,例如,为了维持保密性,WLAN要求应用特定的安全措施。这些方法具有特定的优缺点,须加以考虑。例如,直接拨号接入方法旨在确保只有那些知道拨号号码的授权用户可以远程接入网络。但是,用于扫描可访问的拨号号码的工具(WarDialer)有助于黑客识别正在主动等待进入呼叫的现有调制解调器。对远程用户
31、来说,互联网拨号接入具有按呼叫接入的优点。用户可通过访问本地ISP来连接到远程LAN。但是,这种连接方法可能要求更为复杂和昂贵的服务器设置和配置。7 远程访问连接技术7. 1 概述远程接入只宜遵循需要知晓的原则来提供。因此,企业必须确定哪些用户应从外部世界访问哪些系统和哪些应用。远程接入的类型宜按照远程使用的服务来定义。7.2 通信服务器的访问7.2. 1 一般通讯保护所提供的最常见的访问是对企业内部通信服务的访问,亦即对用户的电子邮件账户、FTP服务器或Web服务器的访问。附录D提供有关对安全邮件服务器的实现和操作的核查表,附录E在安全地设置和管理Web服务器方面提供帮助。7 G/T 250
32、68.4-201 O/ISO/IEC 18028-4: 2005 有多种方式来保护服务器与客户端之间的通信,因而提供真实性、保密性和完整性服务,诸如:a) 安全套接层协议(SSL)提供一种鉴别通信双方(鉴别客户端和服务器)并对双方之间的信息交换进行加密的方法。所有互联网浏览器和Web服务器以及几乎所有的操作系统都支持SSL。互联网工程任务组(IETF)基于SSL开发了传输层安全协议(TLS),将其作为保护客户端/服务器通信的互联网标准(RFC2246)。b) IPsec(互联网协议安全)提供鉴别通信双方以及保护所传输信息的方式。IPsec还提供处理密钥管理问题的功能(见RFC2401)。c)
33、安全壳(SSH)是在不安全的网络上进行安全的远程登录和其他安全的网络服务的协议。当成功地鉴别了远程用户后,SSH建立起安全的通信链接,并且提供一系列命令和服务(例如,安全的文件传输)。这些方法提供安全的鉴别、保密性和完整性服务,宜附加到通信软件中使用。由于SSL事实上是普遍可用的互联网浏览器的一部分,因此,在访问用户的电子邮件账户之前建立SSL连接,可以容易地保护Web邮件访问。这些方法之间的主要区别在于,事实上SSL/TLS和IPsec通常作为下层的通信功能来提供,因而是一种安全网络服务,而SSH是一种安全应用。这些技术也适用于将FTP客户端连接到FTP服务器,因而允许访问存储在FTP服务器
34、上的数据。注z很多互联网协议,例如,提供终端访问能力的telnet或允许文件传输的FTP,只实现弱鉴别机制,并且一般以明文形式发送口令信息。通过诸如SSH、SSL/TLS或IPsec之类安全协议在这些互联网协议中形成隧道,不仅提供保密性,还提供对鉴别过程的实质性改进.注意:很多Web服务器只利用SSL/TLS提供服务器对用户的鉴别,反之要求用户验证服务器证书则不行。7.2.2 电子邮件保护虽然电子邮件是一种通常不为其消息发送提供保密性的服务,但是需满足特定前提条件才允许从外部访问邮件服务器。访问电子邮件服务器的一种常见方式是为邮件账户提供Web界面,这就允许用户在旅途中访问他们的电子邮件。这种
35、方法只要求带有浏览器的计算机,即这种方法可在任何可用的计算机上使用。另一方面,这种方法的目的不是让用户下载其邮件和离线答复。其他方法允许用户使用其标准的电子邮件客户端,但是鉴于电子邮件协议的概念,仍不提供足够的保密性和隐私保护。通常,电子邮件客户端通过以明文鉴别其自身和后面的用户来访问邮局(即,管理所有进入的电子邮件账户的公共程序)。目前使用的两个邮件访问协议(POP3和IMAP4)之间的主要区别在于所接收电子邮件的处理方式上z POP3下载所有可用的新电子邮件,且用户能在本地对其进行处理; IMAP4允许用户只下载邮件标题,然后再决定将哪些邮件下载到本地机器。事实上,由于这些协议均不能独自提
36、供足够的安全机制,强鉴别和传输保密性需额外提供(例如,SSL、SSH)。注:用户也可以保护电子邮件内容(这不包括发送方地址、接收方地址和主题行)。两个主要的规范是PGP(良好隐私保护)和S/MIME(安全多用途互联网邮件扩展),两者均提供保密性、完整性、真实性和发送方抗抵赖服务。两者均能适当地集成到很多电子邮件客户端程序中。由于发送方地址和接收方地址是以明文传送,所以两者均不能抵御通信流分析。远程用户可访问的电子邮件服务器宜置于网络的非军事区(DMZ)中。DMZ的任务就是通过隔离出一些能被内外网络直接访问的计算机,来分隔出内部网络和外部网络。将电子邮件服务器安放在DMZ中,意味着这台机器既可从
37、外部网络访问,也可从内部网络访问。为了避免这种做法对内部网络产生风险,需采取一定的措施。GB/T 25068.4-201 O/ISO/IEC 18028-4: 2005 通常,宜避免经由DMZ建立外部网络计算机和内部网络计算机之间的在线连接。可以通过配置各自的网关和相应的中间计算机或者使用提供这种隔离的计算机群达到这个目的。适当的配置需要注意以下问题: 邮件服务器应只安装运行特定的应用和最小的操作系统,以避免有可能被滥用作攻击的中间机器。 来自外部网络的访问应限定在严格规定的应用上(通过IP地址和端口号识别)。 来自内部网络的访问也应通过为源地址(内部网络中允许访问的那些计算机)以及目的地址所
38、规定的地址和端口来加以限制。此外,信息流的方向应加以限制。这能够通过路由器或防火墙来实现。其他通信服务器,诸如Web服务器,也可以被置于DMZ内,并得到相应的保护。表1提供一些在DMZ中安放电子邮件服务器时可考虑的端口号和协议。表1电子邮件和相关端口号端口号协议名称描述22 SSH 安全壳登录25 SMTP 具有TLS/SSL能力的常规SMTP端口465 SMTPS TLS/SSL上的SMTP143 IMAP 常规IMAP端口993 IMAPS TLS/SSL上的IMAP110 POP3 常规POP3端口995 POP3S TLS/SSL上的POP3图3示出路由器位于互联网一方和位于内部网络一
39、方所要求的不同配置。在这种情况下,从外部对邮件服务器的访问,只允许经由TLS;SSL上的IMAP和TLS;SSL上的POP进行,而发送电子邮件可使用常规的SMTP来完成。来自内部网络的访问,允许使用没有TLS;SSL额外保护的IMAP或POP。这些命令是一种伪命令语言,描述边界防火墙和内部路由器所要求的访问列表命令。通过定义,其他任何端口都被禁止,以避免与其他端口和协议相关的弱点。可应用额外的防范措施来避免SMTP邮件服务器的滥用(例如,限制SMTP连接以避免不速之客的电子邮件)。I permit tep any hosteqsmtp I permit tep any hosteqpop3s
40、I permit tep any hosteqlmaps 边界防火墙内部接入路由器邮件服务器mVA问叩mmm nuInHnul Lwaiuiw wMLW 凹凹凹LWiwiw 0303n3 .副剧目MMM KKvp nununu hULULU Vdvvd mmm nrnvnr hEM比hhmmm 国户LWPLiwn俨nvny嗣图3对DMZ内邮件服务器的访问7.2.3 FTP连接保护文件传输协议(FTP)是另一种服务,其服务器可置于DMZ内。FTP指定两种操作模式:9 GB/T 25068.4-201 O/ISO/IEC 18028-4: 2005 PORT模式(也称作正常或主动模式h PASV模
41、式(也称作被动模式)。这两种模式的区别在于数据通道的建立方式:在PASV模式中,命令通道和数据通道由访问FTP服务器的FTP客户端建立;在PORT模式中,FTP客户端打开命令通道,FTP服务器在接受该客户端请求时作为回应打开数据通道。指定FTP使用端口21来构建命令通道;数据通道端口在一定范围内动态分配,通常从端口1024开始直至端口50000当为远程客户端提供FTP能力时,从大体上说,PORT模式允许更安全地设置包过滤防火墙。只需向内打开TCP端口21来建立客户端发起的命令通道。然后向外打开随后的数据通道建立。图4示出对包含FTP服务器的DMZ的适当过滤。边界防火墙I pennit曲。und
42、top any hosteq ftp I pennit outbound top any hosteq data |阴阳(1024and above) FTP服务器图4对DMZ内FTP服务器的访问内部接入路由器相比之下,使用PASV模式连接来实现FTP服务器时,要求简单防火墙为进入连接打开从端口1024开始的很多端口这样的设置对防火墙自身隐含很大风险。遗憾的是,PORT模式不能与防火墙上的网络地址转换结合使用,因为其数据通道是单独建立的。PASV模式克服了这个限制,因为所有的通道均由客户端系统发起。实施更复杂的防火墙技术能解决因打开很多端口所隐含的风险。提供状态检测技术的防火墙,允许经请求临时
43、打开进入端口,从而在不要求开启很多入站端口的情况下,允许提供PASV模式的FTP服务。在防火墙中使用专门的FTP代理组件,也能得到同样结果。当考虑为远程客户端提供FTP能力时,重要的是要意识到FTP协议本身只提供非常基本的安全措施。FTP协议不支持保密性,所提供的鉴别服务级别是非常基本的。例如,口令用明文传输,这样做容易遭受重放攻击。因此,只要可能,FTP服务的实施宜结合下面安全层的隧道协议(例如TLS/SLS)或者改进的文件传输应用,比如安全FTP或scpC安全副本),两者均基于SSH协议。这两类变体都允许实施强鉴别及提供保密性服务。7.3 局域网资源的访问这种访问要求建立机器和特定系统配置
44、。由于远程用户访问网络内的资源对该网络形成高风险,因此,远程接入需满足如下要求。鉴别:强鉴别机制或双因子鉴别需确保远程用户的身份得到验证。授权z鉴别成功之后,远程用户获得允许其按规定开展工作的授权。用户以这种方式履行特定的远程用户角色。访问控制:在访问资源或数据之前,对照远程用户的授权检查其访问。保密性、真实性和完整性:根据所使用的资源和数据,通信安全需通过提供保密性、真实性和完整性10 GB/T 25068.4-201 O/ISO/IEC 18028-4: 2005 服务来建立。这些要求由包括适当鉴别机制的安全隧道协议(与用于虚拟专用网的协议相同)予以满足。更多细节在GB/T25068. 5中讨论。针对远程用户的适当鉴别机制有,例如,一次性口令COTP)令牌,用户每次访问时输入其个人识别号码CPIN)后便提供一个唯一的口令。这样的令牌提供双因子鉴别,用户需
