系統安全實務

TCP/IP 安全問題

Terminal Hijacking

入侵者利用 kernel module TAP (原用於 capture streams) 而被用來看使用者所輸入的每一個鍵。也可以被用來寫入某一 user 的 stream。也就變成 cracker 可以輸入指令，"hijack" 這個 session.

TAP 的載入與要 root 來安裝，如果你已做過所有的 patch 而且做了必要的措施防止入侵者得到 root 等級，則可以放心一下。你也可以將 SunOS 中 loadable module 功能關掉。 ex:
在 /sys/`arch -k`/conf 中
將 其 中 的 options VDDRV # loadable modules
然後重做 kernel...

或跑 modstat 來看系統 module 運作情形 ...
但 modstat 有可能被 cracker 換掉，記得做原始 binary 的 checksum ...

IP Spoofing

這種攻擊可以使入侵者所送出的 packet 看起來像是從 trusted host 發出的，而有些以 ip authenication 為基礎的 service 可以使入侵者下命令。
(ex: rsh rlogin NFS NIS X Window ...) 而因為這些封包來自 trusted host，所以可能會騙過防火牆。
解決方案: 有些硬體有 Input Filter 的功能，而軟體部份 TCP WRAPPER 配合 IDENTD 可以擋掉 ip spoofing 攻擊。只要在 TCP WRAPPER 中的 access list 加上 ALL: UNKNOWN@ALL : DENY 即可。

Sniffer

電腦網路不像電話線，而電話網路是用 switch 的方式。電腦網路用的是共享式 (shared) 通訊頻道，share 指的是電腦網路中用的是網路頻寬共享的方法，而可以收到原本是要送到其他電腦的資訊。抓取這些資訊的過程就叫 sniffing.
在 local 網路中最流行的一種 ethernet。Enternet 這種 protocol 運作的方法是 broadcast。 而在 boardcast 的 packet 的 header 中，含有 destination 的 address，只有剛好 match 這個位置的電腦才會接收這個 packet。Ethernet 有一個模式叫 promiscuous mode，可將無條件的接收所有在 LAN 上廣播的資料。
而在一般網路環境中，id、passwd 都是以未編碼的型態傳送，因此 cracker 也可以很容易的以 root 等級或一般 PC 輕易的截取網路上的封包。
截取封包的程式在網路上隨手可得，如 etherfind、snoop、tcpdump、packetman ...及 DOS 版 的 etherdump。etherload ... 甚至某學校的網路作業就是寫一套 sniffer .
在 UNIX 系統中偵測工作站是否在 promicious mode 是用 ifconfig ,

ex: ifconfig -a, ifconfig le0...

Sniffer 的防止法: 改用 10BASE-T 網路架構。 軟體治本方案: TCP/IP Encryption。 如 Kerberos、SNP (Secure Network Protocol) ...