?? rfc1636.txt
字號:
2. 啟動訪問該服務會導致經過防火墻路由器越過一個或多個保護邊界。
3. 策略控制標準在防火墻路由器中設置過濾器,以此來允許或拒絕該嘗試。
策略控制標準包括兩種不同的功能,驗證和授權。驗證是一種校驗用戶聲明身份的功能。授權功能應穿過Internet被分配的,以使一種組織中的用戶能被其他組織鑒別。一旦用戶被鑒別了,它就應執行對本地資源的授權服務,該本地資源是指決定用戶是否授權訪問該資源的請求。如果授權被允許了,防火墻中的過濾器就能被更新以便允許該訪問。
作為理解該命令的輔助程序,我們介紹特殊的詳細機制。我們強調該機制僅作為一個說明性實例;該機制的實際工程毫無疑問將導致許多變化。該機制由下圖說明。在此用戶要將防火墻F1后的計算機C與防火墻F2后的服務器S連接起來。A1是一個特殊的鑒別服務器,Z1是一個 特殊的授權服務器。
C <-------> F1 <-------> F2 <-------> S
\ /
\_____ /
\ \ /
A1 Z1
C試圖通過發送一個初始數據包給S來啟動會話。C利用一個普通的DNS查找來解析S的名字,并利用普通IP路由器機制。C的數據包到達防火墻路由器F1,由于它不與任何可接受數據包文件匹配而拒絕該數據包。F1返回一個“鑒別請求”錯誤信息給C,包括一張F1信任的鑒別/授權服務器表單。該信息可能是一種新的ICMP目標文件不可接收數據包類型,或某些與C交流的其他機制。
當C在確認A1的身份后接收到錯誤信息時,帶有A1的鑒別,錯誤信息表單中的一種鑒別服務器。C向Z1服務器請求授權,通知它要執行的應用中的Z1,并對它要通過的F1的數據包提供文件。Z1執行授權功能來決定是否允許C穿透F1。如果C被允許了,Z1就通知防火墻F1允許匹配數據包文件的數據包通過防火墻F1。
在C的數據包穿透F1后,它又一次被第二個防火墻F2拒絕。C能利用F2信任的鑒別服務器A2和授權服務器Z2來執行相同的程序。這由以下事件順序的示意圖表說明。
----------+--------+--------+------------+------------+----
| C | A1 | Z1 | F1 | F2 | S
----------+--------+--------+------------+------------+----
|發送數據包| | | | |
| 到 S -----------------------> 截取; | |
| | | | 要求 | |
| | | | 認證 |
| <------------------------------- | |
| 認證 | | | | |
| C 到 A1 ----> | | | |
| | 提供 | | | |
| <------- 標簽 | | | |
| 要求 | | | | |
| 授權 | | | | |
| -------------------> 允許| | |
| | | C嗎? | | |
| | | OK ---------> | |
| 再發送 | | | 設置過濾 | |
|第一個數據| | | | |
|包到S-------------------------->(OK)------> 截取; |
| | | | | 要求 |
| | | | | 認證
| <------------------------------------------- |
| ( 重復 | | | | |
| 過程 | | | | |
同 A2,Z2 ) | | | | |
| ... | | | | |
|再發送第 | | | | |
一個數據包| | | | |
| ------------------------------>(OK)--------(OK)------>
| | | | | |
-----------+--------+--------+------------+------------+----
我們再一次強調這只是可能機制的部分草圖。它省略了某些重要的命令,包括不對稱路徑的可行性(參見以下3.3.3章節),和兩種方向C,S間不同文件的可行性。
我們可以想象將此歸納成防火墻的任意順序。然而,安全性需要每個防火墻能校驗數據包確實來自于C。該數據包鑒別問題,在下一章節討論,如果數據必須順序通過多個或可能是兩個防火墻,則這將會變得非常困難。
防火墻路由器需要再鑒別,因為:
* 它已被路由變化添加到路徑中,或
* 它已超時文件入口,或
* 可能在因丟失可接受文件列表而引起崩潰后,它已被重新再次激活。
如果C要將S信任的鑒別和授權服務器連接起來,那么C可以利用開始使用S時這些服務器所給的票據,而且對S可以避免再次鑒別自己。
盡管鑒別服務器A1和授權服務器Z1概念上是分離的,但它們運行在相同的計算機或路由器上,甚至是單個程序的不同的方面。C對An的協議,C對Zn的協議和Zn對Fn的協議都未在這些注解中指定。用防火墻Fn所需的An和數據包文件鑒別機制被認為是策略的內容。
3.3.2源文件鑒別
下一步我們考慮如何保護對IP源文件地址的欺騙,例如:不是C發送但聲稱是C發送的注入數據包。有三種防御該IP級防火墻的欺騙機制。這些機制的概要在以下4.3章節也將得到討論。
o 數據包外形
安全性的最低標準包括對僅僅基于數據包文件的過濾數據包降低IP層防火墻。這是被當今過濾路由器所使用的本質途徑,通過附加(1)鑒別和授權服務器來控制過濾文件,和(2)自動“鑒別請求”通知機制。該途徑幾乎沒有提供安全性;它不能保護其他計算機防止表面上由C發送的,或接管C對S的傳送標準連接的欺騙性數據包。
o 密封數據包
安全性的第二層,每個數據包都是用安全哈希算法“密封”的。鑒別服務器Ai選擇一個密鑰并把它與源文件主機S和授權服務器Zi共享,Zi還與防火墻Fi共享該密鑰。C傳送的每個數據包包含一個由數據包和密鑰值內容產生的哈希值。防火墻Fi能計算相同哈希函數并校驗該數據包是否是由已知的共享密鑰計算機產生的。
該途徑提出了C信任Zi和Fi到何種程度的問題。既然它們都知道C的密鑰,則Zi或Fi能欺騙C。如果C在其路徑中不完全信任Z和F,則需要更強大(參見下面)的機制。
當一個以上的防火墻存位于路徑中時,在鑒別C的數據包問題上還存在更多的難題。為每個被滲透的防火墻攜帶一個單獨的密封信息就數據包大小來說將是非常昂貴的。另一方面,為了使用單個密封信息,所有防火墻必須協作,這需要一個比前面章節中的單個草圖更復雜的機制。而且,它需要所有鑒別服務器Ai和授權服務器Zi的相互信任;這些服務器中的任何一個都能破壞所有其他的服務器。調查中的其他可能性是利用HOP-BY-HOP方式而不是END-TO-END方式鑒別C的數據包。也就是說,每個防火墻都替代數據包中下一個防火墻需要的哈希函數。
多防火墻源文件鑒別是一個困難的問題,它需要更多的研究。
o 數據包簽名
安全性的第三層中,每個數據包都是用公鑰/密鑰算法“簽名”的。C將其公鑰與Zn共享, C又將之與Fn共享。在這種方案中,所有授權服務器和防火墻都能安全地使用一對密鑰。沒有哪個授權服務器或防火墻可以欺騙C,因為它們不能給數據包正確的簽名。
盡管數據包簽名帶來了更可靠的安全性,但它需要獲得專利的公鑰算法和當前非常昂貴的計算機。為了哈希算法,它們的時間也必須填加到上面。同樣,簽名哈希通常使之更大。
3.3.3其它防火墻問題
* 執行
Internet層防火墻具有一般性和機動性的優點。然而,過濾器提出了一個潛在的執行問題。執行可能需要依靠用于過濾的包的字段的數目和位置,依賴包必須匹配的規則數。
否認服務攻擊要求每一個包規則匹配,訪問路徑能跟上接口速度。
* 多點傳送
為了讓多點傳送通過防火墻,所需要的規則應為接收方而不是發送方提供。然而,這將不適用于3.3.1中所描述的難題機構,因為"必須認證"的通知將要送到發送方,而非接收方。
多點傳送會話可以用前面章節所述的三級安全中的任何一級,但所有的防火墻將要和數據流發送方共享同一秘密。該秘密需經過其它的渠道提供給接收方,然后在接收方傳給防火墻。(和資源保存在接收方的RSVP中的方式相同)。
* 不對稱路由選擇
假如客戶端計算機C通過防火墻F從其它的計算機S上獲得服務:如果從S返回給C的包的通道不同于C到S 的通道,他們可能遇到沒有授權的防火墻F'(不像已經授權的F)。F'將要核實S而不是C,而S可能沒有被F'信任的證明它自身的憑證。
幸運的是,這種不對稱的路由選擇情形對于通用的單一本地管理域來說不是問題。不對稱的路由選擇將匯聚在防火墻。
* 非法匯合
?? 快捷鍵說明
復制代碼
Ctrl + C
搜索代碼
Ctrl + F
全屏模式
F11
切換主題
Ctrl + Shift + D
顯示快捷鍵
?
增大字號
Ctrl + =
減小字號
Ctrl + -