客戶端服務器套接字安全

Question

假設我們有一個服務器S和幾個客戶端（C），並且每當客戶端更新服務器時，服務器上的內部數據庫就會更新並複製到其他客戶端。這一切都是在Intranet環境中使用套接字完成的。 我相信攻擊者可以很容易地嗅探這種純文本流量。我的同事們認爲我太過偏執，因爲我們在防火牆後面。

我是否過分偏執？你知道任何利用這種情況的利用（請鏈接），並且可以採取不同的做法。客戶端用Java重寫，但服務器仍在使用C++。 代碼中的任何東西都可以抵禦攻擊？

Answer 1

你的同事們是na ï ve。

一個高調的襲擊事件發生在Heartland Payment Systems，信用卡處理人們預期是非常注意安全性。假設他們的防火牆後面的內部通信是安全的，他們沒有使用類似SSL的東西來確保他們的隱私。黑客能夠竊聽該流量，並從系統中提取敏感數據。

這裏是another story與攻擊本身的多一點說明：由鮑德溫形容

「相當 複雜的攻擊，」他說，它已 具有挑戰性發現它究竟 如何發生的。該法醫小組 發現黑客「被抓 數字與嗅探器的惡意軟件，因爲它 去了我們的處理平臺，」 鮑德溫說。 「不幸的是，我們是 確信持卡人姓名和 號碼被曝光。」數據顯示，包括送過來 中心地帶的內部處理 平臺 卡交易，發送未加密的，他 解釋說，「正在 處理作爲交易，它必須是未加密 形式獲得授權請求 出來。」

Answer 2

你可以做很多事情，以防止中間人攻擊。對於大多數內部數據，在防火牆/ IDS保護的網絡中，您確實無需保護它。但是，如果你要保護的數據，你可以做到以下幾點：

1. 使用PGP加密，簽名和加密郵件
2. 加密敏感信息
3. 使用散列函數來驗證發送的消息具有不已被修改。

保護所有數據是一個很好的標準操作過程，但是安全數據的成本非常高。通過安全通道，您需要擁有一個證書頒發機構，並允許所有涉及通信的機器進行額外處理。

Answer 3

在您公司的防火牆內，您可以安全地從外部直接進行黑客攻擊。但是，我不會麻煩挖掘出的統計數據聲稱，企業數據的大部分損害都是從INside開始的。這其中大部分都是簡單的事故，但員工不滿的原因有很多，沒有發現;如果你的數據很敏感，他們可能會以這種方式傷害你的公司。

也有關於如何處理個人身份證數據的法律。如果您正在處理的數據屬於這種類型，那麼在您的公司內不小心處理它也可能會讓您的公司面臨訴訟。

解決方案是使用SSL連接。您想爲此使用預先打包的庫。您爲兩端提供私鑰/公鑰，並將私鑰保存在正常的文件訪問權限下，並且嗅探問題通常得到處理。

Answer 4

SSL提供加密和認證。 Java有它built in和OpenSSL是一個常用的C/C++庫。

Answer 5

幾乎所有我使用過的「重要」應用程序都依賴於SSL或其他一些加密方法。

僅僅因爲您在Intranet上並不意味着您可能沒有在某些可能試圖嗅探流量的服務器或客戶端上運行惡意代碼。

Answer 6

你正在偏執。您正在談論的是在理想的安全內部網絡上傳輸數據。

可以嗅探到信息嗎？是的，它可以。但是它被已經違反網絡安全並且進入防火牆的人所嗅到。這可以通過無數的方式完成。

基本上，對於絕大多數企業來說，沒有理由對內部流量進行加密。從公司內部獲取信息幾乎總是要簡單得多，甚至沒有接近「嗅探」網絡。大多數這樣的「攻擊」來自首先被授權查看數據並且已經擁有證書的人。

解決方案不是加密所有的流量，解決方案是監控和限制訪問，以便如果任何數據受到攻擊，可以更輕鬆地檢測是誰執行了操作，以及他們訪問的內容。

最後，不管怎麼說，系統管理員和數據庫管理員幾乎都對整個系統有全權委託，因爲不可避免地，有人總是需要這種訪問權限。加密所有內容以防止窺探，這是不切實際的。

最後，你正在做一件大事，就像在某人的顯示器底部貼上粘貼的東西一樣。

Answer 7

攻擊者可以訪問網絡中的設備，爲他提供嗅探客戶端和服務器之間的整個流量或流量的可能性，這是最低要求。
無論如何，如果攻擊者已經在裏面，嗅探應該只是你必須考慮的問題之一。

我知道有很多公司並不知道哪些公司在內部網的客戶端和服務器之間使用安全套接字，這主要是因爲成本更高，性能更低。

Answer 8

你的數據庫有密碼嗎？我當然希望答案是肯定的。沒有人會認爲保護數據庫的密碼過於偏執。爲什麼你不能通過網絡上的相同數據獲得相同級別的安全性*。就像一個不受保護的數據庫一樣，網絡上的未保護數據流不僅容易被嗅探，而且容易受到惡意攻擊者的攻擊。我將如何框架討論。

*通過相同級別的安全性，我的意思是像某些人所建議的那樣使用SSL，或者如果您必須使用原始套接字，則只需使用衆多可用加密庫之一加密數據。