Transcript 从架构层面看Internet的安全问题

从架构层面看Internet安全
江健
2010.12.28
现阶段的认识
• 没有普适，完美，一劳永逸的安全架构
• 安全机制需要明确的场景和目的
– goals and context
• 安全和易用性的对立
• arms race
Internet的安全问题
• Internet的成功
– 任意两台online主机默认开放的访问方式
– smart end, dummy network :
• stateless network
• 丰富的应用和适应能力
• Internet不安全的根源
– 开放的访问
– smart end, dummy network
• 网络没有控制能力
• 大多数功能在端上完成，而端是脆弱的：系统和软件漏
洞，病毒木马
Design space of security approaches
[GENI Report]
•
•
•
•
•
Prevention
Detection
Recovery
Resilience
Deterrence
• 怎么理解，哪些是架构层面的
架构层面的安全
• 从机制上消除弱点: eliminate the weakness
• weakness在哪里
– 网络是分层的，安全机制也是分层的
– 不同层面有不同的安全问题和weakness
– 下层有一些根本的weakness, 但是更多的攻击针
对的weakness是应用层面的
举例
• ARP欺骗：以太网链路层
• Spoofing和Sniffing：网络层
• DDoS：网络层[带宽]，端系统[资源消耗,CC
攻击]
• Botnet：端系统，应用
• Spam：应用
• Phishing：应用，社会工程
• WEB的各种攻击：端系统，应用
如果局限在网络层
• 开放的访问方式
– 不能改变
• Accountability: 不可抵赖性
– 防伪造，防篡改
• DDoS：receiver需要对sender有控制能力
Accountability
• 源地址认证
– still vulnerable to on-path spoofer
• 入网认证
– 入网认证了，但是应用层仍然有各种匿名代理
和匿名通信系统
– 开放，匿名，free speech，Internet的根本
• clean-slate: AIP [sigcomm’08]
– 数据签名，验证
– PKI的死结：key management
ubiquitous encryption
• e2e session encryption: no pre-shared key
–
–
–
–
Encrypting the internet [sigcomm’10]
BTNS
tcpcrypt [security’10] : http://www.tcpcrypt.org/
not provable security
• MITM, 但是基本上很难
• 防伪造，篡改，但是离accoutability的目标有一
些距离
• network provider 不会欢迎
– Interpretability with middle-box
– DPI [GFW]
DDoS
• 接收端对发送端的控制能力
– TVA [sigcomm’05] capability-based
• sender发送之前先要获得receiver的授权token
– StopIT [sigcomm’08] filter-based
• 一个额外的filter infrastructure
• 基本上很难实现和部署
Named Data Networking
• 所有的数据签名
– Key management [trust management] problem
• receiver driven communication
– 先有interest，后有data
– 问题空间的转移：Interest flooding problem?
• 值得关注
安全的community
• Honeynet
– http://www.honeynet.org/
• WOMBAT
– http://www.wombat-project.eu/
• Security event system
– http://www.ren-isac.net/
• Shadowserver
– http://www.shadowserver.org/wiki/
• 立足于现实，积极进行arms race
Rethink the design space
•
•
•
•
•
Prevention
Detection
Recovery
Resilience
Deterrence