|
网络安全:Telnet中的安全问题(6) SPX、SSLtelnet、Kerberos等产品提供了不同级别的安全保护,但是有一个共同的地方就是需要外部的证书或者是某种密钥分发设施。这就使得它们的应用范围受到了很大的限制。 2.6 S/key,IOIE一次性口令系统
一次性口令系统(OPT)。一次性口令系统可以使用很方便,原因是客户端不需要被修改。然而,它固有的安全缺陷却掩盖了它的优点。 OPT系统不使用任何形式的会话加密,因此是没有保密性的。所以这会在第一次会话中成为一个问题,如果他想要阅读他的在远程系统的邮件或者日志。而且,有感TCP会话的攻击,对这样的会话也构成威胁。所有的一次性口令系统都面临一个问题,就是密钥的复用。有时候,使用密钥的用户会重复使用以前使用的密钥。同样会给入侵者提供入侵的机会。 还有,去维护一个很大的一次性密钥列表也很麻烦,有的系统甚至让用户把所有使用的一次性密钥列在纸上。这样很明显是让人很讨厌的事情。有的是提供硬件支持,就是使用产生密钥的硬件,提供一次性密钥。但是这样所有的用户都必须安装这样的硬件。 最后,用户必须维护一个口令列表。这个列表是当前的OPTs选择的口令用完的时候使用。当系统是自动认证的时候,这个问题尤为严重。即使是一个长的OPTs ,有的时候也会很快就耗尽。所以OPTs在一个有很多用户的大型的系统中是不适用用的,有的时候会导致一次性密钥管理混乱,尤其是对于管理者,要维护每一个用户的一次性密钥列表,势必提高系统的维护费用。 2.7 Deslogin
Deslogin是一个使用DES加密算法实现密钥认证和会话加密的远程登陆系统。它尽管比使用明文密码认证要安全的多,但是仍然存在两个主要的缺点。因为口令文件不像/etc/passwd和/etc/shadow,包括用户的明文口令。因此这个口令文件必须被小心保护,避免整个系统被攻破。而且,Deslogin对强力字典攻击也暴露出了缺陷。Delogin的会话加密,阻止了电子窃听。尽管Deslogin和标准的Telnet是完全兼容的,但是,用户必须记住各种命,令访问被Deslogin保护的系统,这个命令和其他主机使用的口令都是不同的。 虽然,所有的早期试图创造一个安全远程登陆系统比起明文口令认证安全度提高很多,但是它们中很多引入了其他的安全缺陷。例如和以前的标准的Telnet不兼容或者明文口令短缺等问题,有的给用户带来了很多的不便,增加了系统维护费用,例如使用证书系统等。最困难的是,用户使用了安全Telnet产品后,他以前使用的软件不至于不能在使用。完全透明而且又可以避免网络上的一般攻击是很困难的。 SRP是一个理想的安全Telnet协议。用户可以基于本身的口令加密认证,而不必维护所谓的密钥管理系统。用户使用自己本身口令加密保护的机制,同样可以取得和使用公钥系统一样安全的效果。这个软件同样没有程序或者选项管理私钥。 小结
本章主要是讲述Telnet的基本安全。包括常见的Telnet安全系统工具。建议使用这些工具加强你的Telnet服务,至少可以使网络监听不是很容易就办到的。
|
