从架构层面看Internet的安全问题

Report
从架构层面看Internet安全
江健
2010.12.28
现阶段的认识
• 没有普适,完美,一劳永逸的安全架构
• 安全机制需要明确的场景和目的
– goals and context
• 安全和易用性的对立
• arms race
Internet的安全问题
• Internet的成功
– 任意两台online主机默认开放的访问方式
– smart end, dummy network :
• stateless network
• 丰富的应用和适应能力
• Internet不安全的根源
– 开放的访问
– smart end, dummy network
• 网络没有控制能力
• 大多数功能在端上完成,而端是脆弱的:系统和软件漏
洞,病毒木马
Design space of security approaches
[GENI Report]
•
•
•
•
•
Prevention
Detection
Recovery
Resilience
Deterrence
• 怎么理解,哪些是架构层面的
架构层面的安全
• 从机制上消除弱点: eliminate the weakness
• weakness在哪里
– 网络是分层的,安全机制也是分层的
– 不同层面有不同的安全问题和weakness
– 下层有一些根本的weakness, 但是更多的攻击针
对的weakness是应用层面的
举例
• ARP欺骗:以太网链路层
• Spoofing和Sniffing:网络层
• DDoS:网络层[带宽],端系统[资源消耗,CC
攻击]
• Botnet:端系统,应用
• Spam:应用
• Phishing:应用,社会工程
• WEB的各种攻击:端系统,应用
如果局限在网络层
• 开放的访问方式
– 不能改变
• Accountability: 不可抵赖性
– 防伪造,防篡改
• DDoS:receiver需要对sender有控制能力
Accountability
• 源地址认证
– still vulnerable to on-path spoofer
• 入网认证
– 入网认证了,但是应用层仍然有各种匿名代理
和匿名通信系统
– 开放,匿名,free speech,Internet的根本
• clean-slate: AIP [sigcomm’08]
– 数据签名,验证
– PKI的死结:key management
ubiquitous encryption
• e2e session encryption: no pre-shared key
–
–
–
–
Encrypting the internet [sigcomm’10]
BTNS
tcpcrypt [security’10] : http://www.tcpcrypt.org/
not provable security
• MITM, 但是基本上很难
• 防伪造,篡改,但是离accoutability的目标有一
些距离
• network provider 不会欢迎
– Interpretability with middle-box
– DPI [GFW]
DDoS
• 接收端对发送端的控制能力
– TVA [sigcomm’05] capability-based
• sender发送之前先要获得receiver的授权token
– StopIT [sigcomm’08] filter-based
• 一个额外的filter infrastructure
• 基本上很难实现和部署
Named Data Networking
• 所有的数据签名
– Key management [trust management] problem
• receiver driven communication
– 先有interest,后有data
– 问题空间的转移:Interest flooding problem?
• 值得关注
安全的community
• Honeynet
– http://www.honeynet.org/
• WOMBAT
– http://www.wombat-project.eu/
• Security event system
– http://www.ren-isac.net/
• Shadowserver
– http://www.shadowserver.org/wiki/
• 立足于现实,积极进行arms race
Rethink the design space
•
•
•
•
•
Prevention
Detection
Recovery
Resilience
Deterrence

similar documents