rfc1636.txt

RFC文档

没有任何机构反对来自集合点的同一防火墙两端的用户以写在可能已被授权的协议上的定制的应用穿过一个防火墙来运行。
例如：如果一个机构有这样的一个政策：确定的信息是敏感的并且其前提之外的是不允许的。如果用户可以附带上敏感的信息来邮寄并发送给外面的任意方，那么防火墙将不足以执行这个策略。
类似的，防火墙将不阻止带有输入数据的所有程序。如果用户引入数据并且执行它，这个程序可能有特洛伊木马病毒，该病毒泄漏敏感信息，或者修改，或者删除重要数据。可执行代码来源于许多的形式，包括后记文件，各种解释程序的副本，甚至发送邮件的返回地址。防火墙能够检查一些，并审查一些潜在的危险代码，但它不能阻止用户传输看起来像程序中的数据的东西。
我们考虑一些防火墙路由器机构范围之外的问题。它是拥有该防火墙并从事这些论点的机构的策略问题。
* 安全包的透明度
对于以上所述的机构，认证所需要的问题和用于在代理计算机和认证及授权服务器之间的认证/授权协议，必须被所有的防火墙自动地传输。这些可能建立在安全文件包的基础上。或者，防火墙路由器作为这些类型通讯的应用层防火墙服务。他们能验证他们传递以避免欺骗和非法聚合的数据。
3.3.4友好的防火墙应用
防火墙路由器对于某些通讯形式有困难，在这些通讯形式中请求是由服务器发起的，包括收回和多线路连接（例如：FTP）。事实表明如果给应用设计者以指南来帮助他们创建友好的防火墙应用，则它们将是很有用的，。下面是所建议的指南：
1） 无入站调用（终端仿真问题）
2） 固定端口数（没有portmapper或tcpmux）
3） 好的整形转移（申请网关）
4） 协议中没有转移
5） 32位序列数
6） 确定头字段的长度和数量
类型字段是好的但如果有固定的端口数的话，也可能不需要它。
3.3.5结论
与应用层防火墙相比，一个IP层防火墙机制能够提供许多好处：
* 对于终端主机没有额外的鉴定。
* 单一的鉴定协议能够用于所有的预期申请。
* IP层防火墙能够降低消耗。
* IP层防火墙可以崩溃或恢复状态而不需要干扰打开的TCP连接。
* 移动线路而不需要干扰打开的TCP连接。
* 没有单点失效。
* 是独立申请。
尽管如此，在设计问题上仍有实质性的困难尚待解决，特别是在多重防火墙，对称线路，多信道广播，和执行等方面。
4. 安全QOS推进
当因特网对特殊的数据包流提供专用的服务质量时，将会出现一系列新的安全问题。对于在网络资源里申请昂贵的QOS值的用户，有进行鉴别和批准的需要。因此，防止这些资源的盗窃，以及来自其它用户的否认服务攻击就显得十分必要。本节包含了对于这些问题的一个概念上的模型，我们称之为安全QOS推进。此论题有别于端端安全和防火墙，因为在路径的每一个路径上都需要加强QOS推进安全。
这并不是一个新问题，它是由Radia Perlman通过一篇论文在理论上提出和解决的。
4.1 安装要求
安装在QOS机制中非常重要。然而，在任何网络层安装安全机制，仍然有十分充分的工程理由，。抽象地说，你可以想象一个纯粹的数据报模型，其中，每一个IP包都分别携带着在前进路径上所有阶段所必需的授权，这并不可行，因为安全信息既大得无法接收，又对每个包的内容有计算上的需求。这似乎意味着对于安全安装有些状态形式上的需求。
因此，我们假定一个分成两阶段的过程，它降低了纯数据报模型的要求。在第一阶段――安装阶段，在路由器（其它网络组件）上建立了一些状态，它们描述了如何看待并发的数据包流。在第二阶段――分类阶段，到达的包与正确的状态信息相匹配，并加以处理。今天所用的称呼这些不同状态描述符的术语为“类别”，即分类的过程。
安装的形式很多。可以是动态的，也可以是如上所述的通过网络上程序的调用。安装的过程同样可以是通过协议如SNMP，或远程登录的方法来进行路由器的人工配置。例如，网络链接，如穿越大西洋的链接，由共同购买的用户所共享。他们通过配置一个路由器以实现共享。
其中用到规范，或过滤器，它描述了使用每一个共享服务所允许的包的种类。无论安装是动态的，人工的，短期的，还是半持久的，都有同样的效果：它在路由器里创建包类别，并定义了当包到达时如何分类。
目前许多关于QOS的IP扩展的研究，如实时服务，已假定了一个准确的安装步骤和分类阶段。安装阶段通过如PSVP或ST-11的协议来完成，它们同样说明了如何完成并发分类。在安装阶段安全只是对那些协议的一个扩展。应该注意，基于一个隐式的安装过程，对于实时QOS有折中的建议。
4.2 加强安装过程的安全
为加强安装过程的安全，我们要求一个安装请求应伴有用户的证书，以提供一个可信赖的保证：被怀疑的请求是认可的，并且是授权的。我们把安装过程中用到的证书看作是高级别鉴定（HLID）。
一种简单的授权就是路由器管理接口上的口令(那些口令模式的限制，众人皆知，此处不加讨论)。当安装请求是由单个的程序所发出时，必须假定一些特定用户的授权。
当有任何组织HLID的方法时，缩放的目标使得为用户命名和鉴别的全球性架构就显得十分有用。命名框架的选择将在第5节中深入讨论。注意这个讨论，它关心的是控制对网络资源和安全设备的访问，有别于端端鉴别和访问控制，然而，同样的鉴别架构对于两者都适用。
通常，重要的工程计划需要定义一个网络上的安装架构，它并不需要开发新的安全技术。然而，对于分类处理的安全方面，有与实现和耗费相关的重要问题。因此，应该集中更多的精力到全局架构的那方面。
首先，定义高级别ID（HLID）作为表示安装请求部分的信息集。它们也可以是低级别ID（LLID），有时称作“小甜饼”，携带在每个包里以便分类。在对当前的QOS的IP扩展中，包的分类是基于现有的包字段，如：源和目标地址，端口以及协议类型。
应注意到LLID有别于用户地址，这是十分重要的，最起码在概念上是这样。通过强调这些区别，我们可以认识到：用户的特权并不是由使用中的地址所决定的。如果用户的地址改变了，特权不变。
包中的LLID作为标签，路径上的部分或全部路由器用它来决定授权给包的QOS分类。LLID会在单个的源－目标地址对之间引用一个数据流，或者更一般，围绕一定范围类的数据流。并不要求LLID收录一个句法，以允许路由器来识别它所代表的QOS变量，但是同样没有任何对于这一优美结构的禁令。
我们建议一个IP数据包包含一个LLID，它可用在不同的网络阶段，以映射包到一个类别。对于网络中每一个不同的点，我们反对数据包应该有一个可变LLID号的折中性方案。而且，这不仅是个安全建议，还是一个安全隐式。
LLID的属性应摘录下来，以匹配尽可能广的请求范围。
*它的持续时间（下面所讨论的）必须既匹配安全协议的需要，以平衡健壮性和有效性，又要匹配应用程序的需要，程序必须处理LLID失效时安装的更新。一个有用的末端点设备将是自动更新安装请求的一个服务。
*信任的级别应该足够高，以适应我们将会遇到的最为严格的请求。
*对于网络中的任何资源选项，LLID结构的粒度必须允许数据包类别中的分类足够饱满。因此，我们希望每一个来自应用的独立的数据包流都有一个不同的LLID。几乎没有机会将一个LLID或认证者下的多个流聚集在一起。
4.3 确认一个LLID
最低限度，有必要确认环境中LLID的用途，如：确信在授权方式下它正待证实。未经授权的LLID使用将会导致服务的盗窃，以及否认服务的攻击，此时未经授权发送者发出的包，将与用作那个发送者（或发送者所在组）的QOS处理相一致。因此，LLID的使用应经过路由器的鉴别，使得QOS决定是基于LLID的。（注意：所有的路由器都不关心LLID）。
原则上，LLID的有效性需要在每个包上进行检查，尽管不是在每个路由器上都需要，这也许会限制安全边界的检查。在那些必须验证LLID的路由器上，一个十分明显的问题就是执行效果。例如，一个路由器会选择一些数据流样品，并对其中的一些，但不是对所有的包，加以检验。或许它会先选择一个前进的包，将选择性确认的执行作为一个后台活动。在最为自由的方法中，一个路由器会记录选择的包，并确认它们，以作为今后审计活动的一部分。
有一些其它的确认LLID使用的技术。我们已经确认了三种基本技术，它们有别于计算的执行，带宽花费和有效性（对于各种变化攻击形式的抵抗）。
*数字签名
第一个必需的技术就是公钥加密术和数字签名的使用。通过对包计算单向的哈希值，并用与LLID相关的私钥来对此哈希值进行转换，包的发送者对每一个包进行签名。因此，鉴别码的值包含在包头里。经过可长期使用公钥的连接安装过程，将公钥和LLID绑定在一起。公钥术的使用使得任何路由器都可以确认一个包，但没有任何路由器必须在数据中产生一个带有有效鉴别码（也就是：它可以被其它路由器看作是有效的）的包。从“最小特权原则”来看，这个特性使得这种技术变得理想化。
公钥加密系统，如RSA就使得签名的确认比签名快许多，它减轻了路由器的处理负担。尽管如此，除对给定现有公钥算法的实现，由路由器进行有选择性的检查外，这种方法似乎并不是到处通行。
*密封
下面的技术同样是基于同类用作数字签名的单向哈希函数的使用，但是，它并不要求签上哈希值。这里，发送者用一个私值（本质上说是“密钥”）计算一个单向哈希值。此过程就是通常作为密码封装的一个实例。在经过哈希计算后的哈希值里的内容，对于任何没有私钥的实体都是不可预测的。因此，哈希值就是鉴别码，包含在包头里。路由器用附加的同一私钥对接收的包进行哈希计算，以确认包的有效性。如果传送的哈希值与计算的哈希值相匹配，认为包是有效的。与签名技术不同，封装意味着所有能校验封装的路由器，同样也可以生成（伪造）一个封装。因此，此技术要求发送者相信路由器不会滥用私钥。
在所有需要确认LLID相关包的发送者和路由器间共享单个密钥方面，此技术已作了说明。使用同样的鉴别码技术，有一个相关的折中策略，但必须在互利的基础上共享密钥，如：在第一个路由器和发送者之间，在相邻路由器之间等。这避免了在一个大的路由器组合里分发密钥的需要，但这需要安装机制使得路由器A确信它的邻居B，这样，A就被授权在一个特定的LLID或LLID集上代表通讯。最好将包密封在一个两端都可以确认的包里面。只要策略适当，路由器在它们中间集中通信就变得最为高效，并不是在每一个LLID的基础上都提供鉴别，由于路由器对可以相互信任，以代表数据流LLID。
作为单点传送的数据流，因为私钥的对称共享，在路由器间键入互利的使用，并不代表路由器或安装机制所需求的信任有任何真正的改变。然而，对于多点传送连接，这种互利的键入方法要高级一些，它防止在多点传送树中点上的路由器产生可以插入到树中其它点的通信。最糟糕的是，对于多点传送树中下面的点，路由器可产生伪造的，但是可鉴别的通信。
要注意的是网络管理错误隔离技术的使用，如：在数据流沿途的的不同点上进行路由器通信统计采样，应允许将包伪造攻击的hoc检测进行登记，此攻击已绑定在数据流路径上的路由器中。这种技术的使用是对路由器类似活动的一种威慑，更倾向于互利键入方法。
密封技术比数字签名技术要快，因为哈希计算的增加（包括附加的私值）比要求签上哈希值的密码转换要快得多。此处的处理负担是对称的，也就是说，发送者和每一个路由器都要投入同样的处理能力，以封装包，并校验此封装。同样，一个封装的哈希值要比签名的哈希值小得多，尽管在两种情况下使用同样的函数。（这是因为公钥签名算法的模数大小和任何附加参数会增加签名哈希值的大小）。此外，可以用一个广值的哈希函数来截短那个值，如果在耗费上需要减少：当鉴别码是一个签名的哈希值，此选项将变得不可行。
作为此种技术的一个变量，你可以想象一个“票据交换所”，它用来接收来自发送者的，用于产生和确认鉴别码的私钥。需要确认包的路由器发送一份包的拷贝到票据交换所，它将检查包，并反馈给路由器与LLID相关的不确认包的有效性。显然，仅当路由器正在完成很少的选择性包确认，此变量才可行。然而，它的确避免了在所有必须对包进行确认的路由器中秘密共享鉴别码的需要。
对于这两种技术，有一个残留的可进行否认性服务攻击的弱点，此攻击是基于在数据流生命期间有效包的延迟。除非包携带有序列号，而且路由器跟踪每一个数据流的序列和窗口，一种（外部）攻击可以拷贝有效包，并将它们延迟。对付这种攻击最简单的方法就是，集中所有路由器对中的通信，形成一个单一的流，将流作为一个整体，而不是当作单个的流单位，对其提供延迟保护。
*临时口令
对于包的确认，在工作室所探究的最终技术有很大分歧。先前的技术，技术包中位的函数，并以某种方式将值加以转换，可以防止产生带有有效鉴别码的攻击。对给定LLID产生一个带有有效鉴别码的包，需要访问仅有发送者知道，或在一个给定数据流中发送者和路由器共同参与的私值。
相反，的三种技术要求鉴别码是一个短的术语，私值包含在包头里面，不受任何更深层的保护。本质上，这种技术将短术语“口令”结合到每一个包头里。这种方法，如它的前身，要求所有的路由器认证LLID对鉴别码是私有的。而且，鉴别码对于任何路径上的其它路由器和设备都是可见的，这样，这种技术比以前的更易受到攻击。
此处同样的鉴别码可以应用在带有同样LLID的所有包中，由于鉴别码不是它所鉴别的包中的函数。实际上，这意味着将LLID作为鉴别码是可行的。
然而，采用这种方法将和前两种技术不一致，它们都需要显式的，独立的鉴别码，因此，我们反对这种最优化。
但是，问题在于鉴别码是独立于包内容的，如果鉴别码是从任何非法包中截获的，那么这使得产生（伪造）显式的可信任包变得毫无价值。同样，如果鉴别码可被猜测，任何攻击者都不需要进行被动的窃听，来欺骗这种模式。后一种发现意味着鉴别码必须足够长，使得猜测变得不可行，使LLID和鉴别码都能对这种要求有更好的支持。
这种方法最大的好处就是性能。通过简单的对照，鉴别码可以很会的得到确认。与防止猜测攻击的需求相一致，鉴别码不需要假设：在包头有一个重要的区域。
使用对于路由器可见的序列号是一种有趣的技术，探索一些使易受攻击的方法变得强健的技术。如果每一个流（每一个包源）将它的包编号，那么，企图使用网络资源的入侵者必须删除这些合法的包，在很多情况下这是非常困难的。另外，被攻击的路由器将会注意到：复制的序列号和类似的异常。确切的编号细则必须得到解决，因为合法的流包可能丢失，这将引起序列空间的空白。
这里我们并不考虑合谋的问题，那样，有给定LLID和鉴别码的用户故意将LLID和其它未经授权用户共享。这种可能性将被探究，看看这样的做的可行性利益，那样将会成为真正的威胁。
4.4 安装的动态
0 LLID的持续时间
使用LLID的一个关键问题是它们可以持续多久？在一种极端情况下，它们仅持续一段很短的时间，可能是几秒。当LLID被盗窃时，这可以限制危害的程度。在另一种极端情况下，LLID是半持久的，象信用卡卡号。上述提议的加强LLID安全的技术交易的是有效性的强度，假定危险由限制的LLID的合法性来加以限制。
用原始的安装技术，如：人工配置路由器来建立包类别，使得平衡长期或半永久LLID变得可行。由于安全的发展和动态资源的分配协议不能及时的得到跟踪，这种技术在短期运行中十分重要。