浅析分布式系统的安全性问题

摘要:这里简要分析了分布式系统存在的安全性问题,说明了构建安全的分布式系统的重要性,同时针对这些问题从技术角度介绍了几种关键技术以及每种技术的特点,并对其实现原理进行了简单分析。

关键词:分布式系统;安全

收稿日期:2009-11-08

作者简介:杨立华(1964-),男,黑龙江绥化人,武警黑龙江省总队司令部通信处处长。

一、局域网的安全性问题

目前大多数企业、公司乃至军队、政府机关都有自己内部的局域网。在这里,我们可以根据其连接性质将它们分类为连接的局域网和非连接的局域网。非连接的局域网即:这个网络在物理上只对有限人员开放,通常是一个组织的成员。很显然,非连接的局域网和那些不是非连接的局域网相比,在安全方面要考虑的问题要少得多,因为和那些不是非连接的局域网相比,潜在的威胁要少很多。对于非连接的局域网而言,最大的威胁来自于那些组织成员内部。因为只有这些人可以在物理上访问网络,所以只有这些人才能对网络构成威胁。但是这些来自于内部人的威胁是最难防范的。正所谓家贼难防。大多数情况下,他们对系统的工作原理了解得非常清楚,当然他们对系统的弱点也了解得非常清楚。非连接网络的一个潜在的威胁是,这个网络在大家都不知道的情况下已经和外部连上了。你可以认为你的局域网是安全的,以为这个网络只联了你们工作组的几台计算机,而这些计算机都属于可以信赖的人的。但是在谁都不知道的情况下,某个人在某台计算机上安置了一个调制解调器。这时,这个网络就变得不安全了。

连接的局域网除了连接本组织内部的网络外还和一些不受该组织控制的其他网络相连。和非连接的局域网相比,一个主要的不同是,这个网络面临的潜在威胁要大得多。除了要面对来自于内部人员的威胁以外,还要面对那些通过网际互联可以访问该网络的外部人员的威胁。和外部连接的局域网可以分为两类,一类是全连接的局域网。这个局域网和外部网络有无缝接口。还有一类是部分连接的局域网。这种网络可以在外部进行访问,但是得通过这个组织自己定义的技术和方法,而这种技术和局域网流行技术不相同。一个简单的例子是上面所提到的。某个人通过一台机器上的调制解调器访问一个非连接的网络,结果就造成了一个部分连接的局域网。这个连接之所以是部分连接,是因为通过调制解调器访问该网络,本身就是通过电话线来访问的,这个手段本身就可能包含了对访问该网络的某些权限限制。对于和外部连接的局域网而言,最大的威胁是它可能遭受来自于世界上任何一个地方的威胁。

二、分布式系统的网络安全策略

(一)防火墙

一个最常用的网络安全技术就是使用防火墙。防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。构建一个防火墙就是在连接该局域网和外部网络的路由器上建立包过滤。只有那些符合规定的包才能从防火墙里边传到防火墙外边。

防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统?如果答案是“是”,则说明企业内部网络还没有在网络层采取相应的防范措施。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。

防火墙的关键技术就在于端口之间进行访问控制。比如一个路由器可以被设置成把所有从外边过来的试图通过端口23来访问的包都丢弃掉。这样做可以有效地关掉从外边进来的TELNET。大部分的路由器供应商都支持网络管理员建立一张关于允许访问和不允许访问的端口号表。使用防火墙的一个好处是网络管理员可以做到不用去访问组织内的每个用户的计算机就能提高系统的安全性。换句话来说,组织内的用户可以随意配置他们的计算机,防火墙可以保护他们。

防火墙的配置是非常重要的,必须要保证网络支持的协议(Domain Name System protocal)能够通过防火墙。否则,组织内部的机器就不能解析防火墙外的机器名字。同样,如果你想让防火墙内外的机器能够通讯的话,就要保证防火墙外的机器能够访问相应的DNS服务器,这样它们才能解析防火墙内的主机地址。实现防火墙的通常办法是拒绝绝大部分从防火墙外发起的到防火墙内的机器的连接。当然,特定的机器除外,这种机器被保证是绝对安全的。

必须严格限制从防火墙内发起的到防火墙外的连接,必须对这种连接特别小心。你必须明白谁会对你构成威胁,以及什么会对你构成威胁。禁止从内部发起的连接即意味着你连接到的主机可能就是潜在的威胁。如果防火墙允许任何协议通过的话,一个恶意的内部人员很容易攻破防火墙。

防火墙的另外一个成本是机会成本。因为大部分防火墙通常只允许特定的协议通过,一般是电子邮件。而其他的协议则一律不允许通过。这就使得公司的员工不能访问一些新的,有潜在价值的网络。这会使得网络不能得到很好的利用。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。

根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。1.包过滤型 包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点。一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。2.网络地址转化—NAT 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不需要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。3.代理型 代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。4.监测型 监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。

(二)应用网关(Application Gateways)

网关经常和防火墙联合起来使用。基本思想是用防火墙把大部分送往指定应用网关的包阻塞住。举个例子,如果电子邮件不是能够毫无阻碍地到达每台主机,而是只能到达某个特定的主机,这样的话,这台机器就能被设置成能够为整个组织收发电子邮件。同样地,只有一台特定的机器开放TELNET服务(这台机器是安全管理的),只有登录到这台机器上以后,你才能访问防火墙内的其他机器。应用网关可以被用来处理电子邮件,远程登录,及文件传输。大部分情况,仅仅是要正确配置一些软件。

总的来说,防火墙和网关联合起来的话,可以提供某种程度上的安全。既使这个局域网运行在不安全的网上,只要网络管理员对局域网的安全负责的话,即使他不能为每台机器进行合理的配置,这个网络还是安全的。不过要记住,防火墙和网关结合并不是完美的。大部分的网络管理员应该对1988年的蠕虫还记忆犹新。既使是在今天,蠕虫病毒还是能够轻而易举地越过大部分的防火墙。

(三)虚拟专用网络(Virtual Private Networks)

有一些企业上网只是为了和异地的其他部门进行通讯,对于这种情况,在Internet上建立自己的虚拟专用网络是一个安全的策略。

这种技术具有成本低的优势,还克服了Internet不安全的弱点。其实,简单来说就是在数据传送过程中加上了加密和认证的网络安全技术。在VPN网络中,位于Internet两端的网络在Internet上传输信息时,其信息都是经过RSA非对称加密算法的Private/Public Key加密处理的,它的密钥(Key)则是通过Diffie-Hellman算法计算得出。如,假设A、B在Internet网络的两端,在A端得到一个随机数,由VPN通过Diffie-Hellman算法算出一组密钥值,将这组密钥值存储在硬盘上,并发送随机数到B端,B端收到后,向A端确认,如果验证无误则在B端再由此产生一组密钥值,并将这组值送回A端,注册到N0vell的目录服务中。这样,双方在传递信息时便会依据约定的密钥随机数产生的密钥来加密数据。

确切来说,虚拟专用网络(VirtUal PrivateNetwork,VPN)是利用不可靠的公用互联网络作为信息传输媒介,通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络相类似的安全性能,从而实现对重要信息的安全传输。

到这里,我们论述了构建安全的分布式系统的重要性,同时从技术角度介绍了几种关键技术以及每种技术的特点和实现手段。我们应该认识到系统的安全性问题是不断地发展变化的,这要求我们不断探索新技术、新方法确保系统的安全性。同时我们也应该认识到,安全不是绝对的。因为我们很容易就能建造世界上最安全的计算机,但它却什么都不能干。在很多情况下,安全需求必须和系统的其他设计目标之间做出妥协,比如说性能和用户界面的友好等等。还有一点很重要,就是你必须得考虑为了达到所要求的安全,你所需要花费的资金和个人的精力。这就要求我们能够准确衡量其之间的权重,根据不同的安全级别需要构建安全、可靠的网络安全系统。

参考文献:

[1]宋丽华.网络流量特征对排队性能影响的仿真分析与比较[J].系统仿真学报,2005-1,(17).

[2]阙喜戎等.信息安全原理及应用[M].北京:清华大学出版社,2003.

[3]周学广,刘艺.信息安全学[M].北京:机械工业出版社,2003.

[责任编辑:吴纪龙]