基于寬帶接入的局域網(wǎng)安全管理問(wèn)題分析

基于寬帶接入的局域網(wǎng)安全管理問(wèn)題分析

2002中南地區(qū)廣播電視技術(shù)年會(huì)優(yōu)秀論文三等獎(jiǎng)

    隨著計(jì)算機(jī)應(yīng)用的普及和寬帶網(wǎng)絡(luò)技術(shù)的發(fā)展，目前寬帶接入方式已成為企業(yè)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)（Intranet）接入國(guó)際互連網(wǎng)（Inetrnet）的主要途徑與方式，許多企業(yè)還通過(guò)這種方式建立了自己的網(wǎng)站，通過(guò)Internet對(duì)外提供各種信息和服務(wù)。在這種形式下，如何有效的預(yù)防和檢測(cè)來(lái)自Internet的黑客攻擊和病毒入侵已成為當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的重要課題，作為一名合格的網(wǎng)絡(luò)管理員，必須要能敏銳地，及時(shí)地發(fā)現(xiàn)和處理網(wǎng)絡(luò)中特別是網(wǎng)絡(luò)服務(wù)器中存在的系統(tǒng)漏洞和安全隱患，有效的抑制制和防止黑客的非法攻擊。

    網(wǎng)絡(luò)安全是一個(gè)十分復(fù)雜的問(wèn)題，它的劃分也是多種多樣的,但大體上可以分為物理硬件層和系統(tǒng)軟件層，網(wǎng)絡(luò)內(nèi)部和網(wǎng)絡(luò)之間。如下表。

    為何會(huì)產(chǎn)生網(wǎng)絡(luò)安全的問(wèn)題？這與人有意或無(wú)意也有關(guān)系，以上表的劃分，安全問(wèn)題產(chǎn)生于以下幾方面：
    網(wǎng)內(nèi)硬件方面，即局域網(wǎng)的硬件方面。它主要包括網(wǎng)絡(luò)的電源供應(yīng)（UPS不間斷電源）和網(wǎng)絡(luò)的連接等。網(wǎng)絡(luò)的電源供應(yīng)的目的是保證網(wǎng)絡(luò)在有可能預(yù)見(jiàn)的突發(fā)性的非正常電源供應(yīng)情況下，為網(wǎng)絡(luò)（主指服務(wù)器、交換機(jī)等網(wǎng)絡(luò)的主干設(shè)備）提供一種短時(shí)的能量支持。網(wǎng)絡(luò)的連接又分為線路的連接和設(shè)備的接入，線路的連接雖然是在網(wǎng)絡(luò)的架設(shè)時(shí)所考慮的問(wèn)題，但要必免因線路串?dāng)_而影響到線路的通信，以及布線的不合理造成的因線路過(guò)長(zhǎng)而引發(fā)的信號(hào)衰減和線路因長(zhǎng)期裸露意外遭到的外力的意外或有意的傷害等；設(shè)備的接入是指網(wǎng)絡(luò)的功能部件（如打印服務(wù)器、文件服務(wù)器和應(yīng)用服務(wù)器等）在網(wǎng)絡(luò)中正常連接。

    網(wǎng)間硬件方面很少被提及，主要是因?yàn)檫@種網(wǎng)絡(luò)，在工程實(shí)施時(shí)為保證數(shù)據(jù)的遠(yuǎn)距離傳輸，所使用的一般都是造價(jià)高但質(zhì)量好的連接設(shè)備，出現(xiàn)故障的概率較低。但收由于線路過(guò)長(zhǎng)，一旦出現(xiàn)問(wèn)題卻很難及時(shí)發(fā)現(xiàn)故障所在地，從而延緩了處理時(shí)間，像2001年初的中美海底光纜掛斷的類似事件還時(shí)有發(fā)生。

    網(wǎng)內(nèi)軟件層，根據(jù)網(wǎng)絡(luò)實(shí)現(xiàn)的功能上的差異，不同用途的局域網(wǎng)（辦公網(wǎng)、專用存儲(chǔ)網(wǎng)、校園網(wǎng)以及運(yùn)算處理網(wǎng)等）的安全側(cè)重點(diǎn)也不盡相同。網(wǎng)間軟件層，就是局域網(wǎng)接入外網(wǎng)。也就是我們一般所討論的網(wǎng)絡(luò)安全，主要包括系統(tǒng)漏洞、數(shù)據(jù)遭更改或泄露、安全策略配置不當(dāng)、網(wǎng)絡(luò)攻擊、病毒入侵等。而能否抵抗網(wǎng)絡(luò)攻擊，又幾乎成為衡量這個(gè)網(wǎng)絡(luò)安全與否的標(biāo)準(zhǔn)。

網(wǎng)絡(luò)攻擊

    什么是攻擊，難道僅僅發(fā)生在入侵行為完全完成且入侵者已侵入目標(biāo)網(wǎng)絡(luò)內(nèi)才算是攻擊？一切可能使得網(wǎng)絡(luò)受到破壞的行為都應(yīng)稱之為攻擊。就拿一個(gè)很常見(jiàn)的現(xiàn)象來(lái)說(shuō)吧，很多在互聯(lián)網(wǎng)中具有固定IP的服務(wù)器，每天都要受到數(shù)以百計(jì)的端口掃描和試圖侵入，雖然不一定會(huì)被攻克，但你總不能說(shuō)它沒(méi)有受到攻擊。在正式攻擊之前，攻擊者一般都會(huì)先進(jìn)行試探性攻擊，目標(biāo)是獲取系統(tǒng)有用的信息，此時(shí)比較常用的包括ping掃描，端口掃描，帳戶掃描，dns轉(zhuǎn)換，以及惡性的ip sniffer（通過(guò)技術(shù)手段非法獲取ip packet，獲得系統(tǒng)的重要信息，來(lái)實(shí)現(xiàn)對(duì)系統(tǒng)的攻擊，后面還會(huì)詳細(xì)講到），特洛依木馬程序等。如果在某一個(gè)集中的時(shí)期內(nèi)，有人在頻繁得對(duì)你所管理的網(wǎng)絡(luò)進(jìn)行試探攻擊，或有不明身份的用戶經(jīng)常連入網(wǎng)絡(luò)，這時(shí)網(wǎng)絡(luò)管理員就要注意了，你該好好分析一下日志文件，并對(duì)系統(tǒng)好好檢查檢查了。

    通常，在正式攻擊之前，攻擊者先進(jìn)行試探性攻擊，目標(biāo)是獲取系統(tǒng)有用的信息，此時(shí)比較常用的包括ping掃描，端口掃描，帳戶掃描，dns轉(zhuǎn)換，以及惡性的ip sniffer（通過(guò)技術(shù)手段非法獲取ip packet，獲得系統(tǒng)的重要信息，來(lái)實(shí)現(xiàn)對(duì)系統(tǒng)的攻擊，后面還會(huì)詳細(xì)講到），特洛依木馬程序等。這時(shí)的被攻擊狀態(tài)中的網(wǎng)絡(luò)經(jīng)常會(huì)表現(xiàn)出一些信號(hào)，特征，例如：

2.1 收集信息攻擊：

    經(jīng)常使用的工具包括：NSS, Strobe，Netscan， SATAN（Security Aadministrator's Tool for Auditing Network),Jakal, IdentTCPscan, FTPScan等以及各種sniffer.廣義上說(shuō)，特洛依木馬程序也是收集信息攻擊的重要手段。收集信息攻擊有時(shí)是其它攻擊手段的前奏。對(duì)于簡(jiǎn)單的端口掃描，敏銳的安全管理員往往可以從異常的日志記錄中發(fā)現(xiàn)攻擊者的企圖。但是對(duì)于隱秘的sniffer和trojan程序來(lái)說(shuō)，檢測(cè)就是件更高級(jí)和困難的任務(wù)了。

2.1.1 sniffer

    它們可以截獲口令等非常秘密的或?qū)Ｓ玫男畔�，甚至還可以用來(lái)攻擊相鄰的網(wǎng)絡(luò)，因此，網(wǎng)絡(luò)中sniffer的存在，會(huì)帶來(lái)很大的威脅。這里不包括安全管理員安裝用來(lái)監(jiān)視入侵者的sniffer，它們本來(lái)是設(shè)計(jì)用來(lái)診斷網(wǎng)絡(luò)的連接情況的.它可以是帶有很強(qiáng)debug功能的普通的網(wǎng)絡(luò)分析器，也可以是軟件和硬件的聯(lián)合形式。現(xiàn)在已有工作于各種平臺(tái)上的sniffer，例如

· Gobbler(MS-DOS)
· ETHLOAD(MS-DOS)
· Netman(Unix)
· Esniff.c(SunOS)
· Sunsniff(SunOS)
· Linux-sniffer.c(Linux)
· NitWit.c(SunOS)
· etc.
    檢測(cè)sniffer的存在是個(gè)非常困難的任務(wù)，因?yàn)閟niffer本身完全只是被動(dòng)地接收數(shù)據(jù)，而不發(fā)送什么。并且上面所列的sniffer程序都可以在internet上下載到，其中有一些是以源碼形式發(fā)布的(帶有.c擴(kuò)展名的)。

    一般來(lái)講，真正需要保密的只是一些關(guān)鍵數(shù)據(jù)，例如用戶名和口令等。使用ip包一級(jí)的加密技術(shù)，可以使sniffer即使得到數(shù)據(jù)包，也很難得到真正的數(shù)據(jù)本身。這樣的工具包括 secure shell（ssh），以及F-SSH， 尤其是后者針對(duì)一般利用tcp/ip進(jìn)行通信的公共傳輸提供了非常強(qiáng)有力的，多級(jí)別的加密算法。ssh有免費(fèi)版本和商業(yè)版本，可以工作在unix上，也可以工作在windows 3.1, windows 95, 和windows nt.

    另外,采用網(wǎng)絡(luò)分段技術(shù),減少信任關(guān)系等手段可以將sniffer的危害控制在較小范圍以內(nèi),也為發(fā)現(xiàn)sniffer的主人提供了方便.

2.1.2 Trojan

    這是一種技術(shù)性攻擊方式. RFC1244中給出了trojan程序的經(jīng)典定義：特洛依木馬程序是這樣一種程序，它提供了一些有用的，或僅僅是有意思的功能。但是通常要做一些用戶不希望的事，諸如在你不了解的情況下拷貝文件或竊取你的密碼, 或直接將重要資料轉(zhuǎn)送出去，或破壞系統(tǒng)等等. 特洛依程序帶來(lái)一種很高級(jí)別的危險(xiǎn)，因?yàn)樗鼈兒茈y被發(fā)現(xiàn)，在許多情況下，特洛依程序是在二進(jìn)制代碼中發(fā)現(xiàn)的，它們大多數(shù)無(wú)法直接閱讀，并且特洛依程序可以作用在許許多多系統(tǒng)上,它的散播和病毒的散播非常相似。從internet上下載的軟件,尤其是免費(fèi)軟件和共享軟件,從匿名服務(wù)器或者usernet新聞組中獲得的程序等等都是十分可疑的. 所以作為關(guān)鍵網(wǎng)絡(luò)中的用戶有義務(wù)明白自己的責(zé)任,自覺(jué)作到不輕易安裝使用來(lái)路不清楚的軟件.

2.2 denial of service：

    這是一類個(gè)人或多個(gè)人利用internet協(xié)議組的某些方面妨礙甚至關(guān)閉其它用戶對(duì)系統(tǒng)和信息的合法訪問(wèn)的攻擊. 其特點(diǎn)是以潮水般的連接申請(qǐng)使系統(tǒng)在應(yīng)接不暇的狀態(tài)中崩潰。對(duì)于大型網(wǎng)絡(luò)而言,此類攻擊只是有限的影響, 但是卻可能導(dǎo)致較小網(wǎng)絡(luò)退出服務(wù), 遭到重創(chuàng).
這是最不容易捕獲的一種攻擊，因?yàn)椴涣羧魏魏圹E，安全管理人員不易確定攻擊來(lái)源。由于這種攻擊可以使整個(gè)系統(tǒng)癱瘓，并且容易實(shí)施，所以非常危險(xiǎn)。但是從防守的角度來(lái)講，這種攻擊的防守也比較容易. 攻擊者通過(guò)此類攻擊不會(huì)破壞系統(tǒng)數(shù)據(jù)或獲得未授權(quán)的權(quán)限, 只是搗亂和令人心煩而已. 例如使網(wǎng)絡(luò)中某個(gè)用戶的郵箱超出容限而不能正常使用等.

典型的攻擊包括如E-mail炸彈, 郵件列表連接,
2.2.1 Email炸彈
    它是一種簡(jiǎn)單有效的侵?jǐn)_工具. 它反復(fù)傳給目標(biāo)接收者相同的信息, 用這些垃圾擁塞目標(biāo)的個(gè)人郵箱. 可以使用的工具非常多, 例如bomb02.zip(mail bomber), 運(yùn)行在windows平臺(tái)上,使用非常簡(jiǎn)單. unix平臺(tái)上發(fā)起email bomb攻擊更為簡(jiǎn)單, 只需簡(jiǎn)單幾行shell程序即可讓目標(biāo)郵箱內(nèi)充滿垃圾.
它的防御也比較簡(jiǎn)單. 一般郵件收發(fā)程序都提供過(guò)濾功能, 發(fā)現(xiàn)此類攻擊后, 將源目標(biāo)地址放入拒絕接收列表中即可.
2.2.2 郵件列表連接
    它產(chǎn)生的效果同郵件炸彈基本相同. 將目標(biāo)地址同時(shí)注冊(cè)到幾十個(gè)(甚至成百上千)個(gè)郵件列表中, 由于一般每個(gè)郵件列表每天會(huì)產(chǎn)生許多郵件, 可以想象總體效果是什么樣子. 可以手工完成攻擊, 也可以通過(guò)建立郵件列表數(shù)據(jù)庫(kù)而自動(dòng)生成. 對(duì)于郵件列表連接,尚沒(méi)有快速的解決辦法. 受害者需要把包含注銷"unsubscribe"信息的郵件發(fā)往每個(gè)列表.
許多程序能夠同時(shí)完成兩種攻擊, 包括Up yours(Windows), KaBoom(Windows), Avalanche(Windows), Unabomber(Windows), eXtreme Mail(Windows), Homicide(Windows), Bombtrack(Macintosh), FlameThrower(Macintosh), etc.

2.2.3 其它
    還有一些針對(duì)其它服務(wù)的攻擊, 例如Syn-Flooder, Ping of Death(發(fā)送異常的很大的進(jìn)行ping操作的packet來(lái)攻擊windows nt), DNSkiller(運(yùn)行在linux平臺(tái)上, 攻擊windows nt平臺(tái)上的dns服務(wù)器)等。
在路由的層次上,對(duì)數(shù)據(jù)流進(jìn)行過(guò)濾, 通過(guò)合適的配置會(huì)減少遭受此類攻擊的可能性.Cisco Systems就提供了路由級(jí)的解決方案.
2.3 spoofing attack(電子欺騙)：
    針對(duì)http，ftp，dns等協(xié)議的攻擊，可以竊取普通用戶甚至超級(jí)用戶的權(quán)限，任意修改信息內(nèi)容，造成巨大危害。所謂ip欺騙，就是偽造他人的源ip地址。其實(shí)質(zhì)上就是讓一臺(tái)機(jī)器來(lái)扮演另一臺(tái)機(jī)器，借以達(dá)到蒙混過(guò)關(guān)的目的。下面一些服務(wù)相對(duì)來(lái)說(shuō)容易招致此類攻擊：
· 任何使用sunrpc調(diào)用的配置；rpc指sun公司的遠(yuǎn)程過(guò)程調(diào)用標(biāo)準(zhǔn)，是一組工作于網(wǎng)絡(luò)之上的處理系統(tǒng)調(diào)用的方法。
· 任何利用ip地址認(rèn)證的網(wǎng)絡(luò)服務(wù)
· mit的xwindow系統(tǒng)
· 各種r服務(wù): 在unix環(huán)境中，r服務(wù)包括rlogin和rsh，其中r表示遠(yuǎn)程。人們?cè)O(shè)計(jì)這兩個(gè)應(yīng)用程序的初衷是向用戶提供遠(yuǎn)程訪問(wèn)internet網(wǎng)絡(luò)上主機(jī)的服務(wù)。r服務(wù)極易受到ip欺騙的攻擊
幾乎所有的電子欺騙都倚賴于目標(biāo)網(wǎng)絡(luò)的信任關(guān)系（計(jì)算機(jī)之間的互相信任，在unix系統(tǒng)中，可以通過(guò)設(shè)置rhosts和host.equiv 來(lái)設(shè)置）。入侵者可以使用掃描程序來(lái)判斷遠(yuǎn)程機(jī)器之間的信任關(guān)系。這種技術(shù)欺騙成功的案例較少，要求入侵者具備特殊的工具和技術(shù)（，并且現(xiàn)在看來(lái)對(duì)非unix系統(tǒng)不起作用）。另外spoofing的形式還有dns spoofing等。
解決的途徑是慎重設(shè)置處理網(wǎng)絡(luò)中的主機(jī)信任關(guān)系，尤其是不同網(wǎng)絡(luò)之間主機(jī)的信任關(guān)系。如只存在局域網(wǎng)內(nèi)的信任關(guān)系，可以設(shè)置路由器使之過(guò)濾掉外部網(wǎng)絡(luò)中自稱源地址為內(nèi)部網(wǎng)絡(luò)地址的ip包，來(lái)抵御ip欺騙。下面一些公司的產(chǎn)品提供了這種功能
· Cisco System
· iss.net公司的安全軟件包可以測(cè)試網(wǎng)絡(luò)在ip欺騙上的漏洞。
· etc.
    國(guó)際黑客已經(jīng)進(jìn)入有組織有計(jì)劃地進(jìn)行網(wǎng)絡(luò)攻擊階段，美國(guó)政府有意容忍黑客組織的活動(dòng)，目的是使黑客的攻擊置于一定的控制之下，并且通過(guò)這一渠道獲得防范攻擊的實(shí)戰(zhàn)經(jīng)驗(yàn)。國(guó)際黑客組織已經(jīng)發(fā)展出不少逃避檢測(cè)的技巧. 使得攻擊與安全檢測(cè)防御的任務(wù)更加艱巨.

3 入侵層次分析：
3.1 敏感層的劃分
使用敏感層的概念來(lái)劃分標(biāo)志攻擊技術(shù)所引起的危險(xiǎn)程度.
1 郵件炸彈攻擊（emailbomb）（layer1）
2 簡(jiǎn)單服務(wù)拒絕攻擊（denial of service）（layer1+）
3 本地用戶獲得非授權(quán)讀訪問(wèn)（layer2）
4 本地用戶獲得他們非授權(quán)的文件寫權(quán)限（layer3）
5 遠(yuǎn)程用戶獲得非授權(quán)的帳號(hào)（layer3+）
6 遠(yuǎn)程用戶獲得了特權(quán)文件的讀權(quán)限（layer4）
7 遠(yuǎn)程用戶獲得了特權(quán)文件的寫權(quán)限（layer5）
8 遠(yuǎn)程用戶擁有了根（root）權(quán)限（黑客已攻克系統(tǒng)）（layer6）
以上層次劃分在所有的網(wǎng)絡(luò)中幾乎都一樣，基本上可以作為網(wǎng)絡(luò)安全工作的考核指標(biāo)。

    "本地用戶"（local user）是一種相對(duì)概念。它是指任何能自由登錄到網(wǎng)絡(luò)上的任何一臺(tái)主機(jī)上，并且在網(wǎng)絡(luò)上的某臺(tái)主機(jī)上擁有一個(gè)帳戶，在硬盤上擁有一個(gè)目錄的任何一個(gè)用戶。在一定意義上，對(duì)內(nèi)部人員的防范技術(shù)難度更大。據(jù)統(tǒng)計(jì)，對(duì)信息系統(tǒng)的攻擊主要來(lái)自內(nèi)部，占85％。因?yàn)樗麄儗?duì)網(wǎng)絡(luò)有更清楚的了解，有更多的時(shí)間和機(jī)會(huì)來(lái)測(cè)試網(wǎng)絡(luò)安全漏洞，并且容易逃避系統(tǒng)日志的監(jiān)視。

3.2 不同的對(duì)策

    根據(jù)遭受的攻擊的不同層次，應(yīng)采取不同的對(duì)策.

第一層：

    處于第一層的攻擊基本上應(yīng)互不相干,第一層的攻擊包括服務(wù)拒絕攻擊和郵件炸彈攻擊.郵件炸彈的攻擊還包括登記列表攻擊（同時(shí)將被攻擊目標(biāo)登錄到數(shù)千或更多的郵件列表中，這樣，目標(biāo)有可能被巨大數(shù)量的郵件列表寄出的郵件淹沒(méi)）。對(duì)付此類攻擊的最好的方法是對(duì)源地址進(jìn)行分析，把攻擊者使用的主機(jī)(網(wǎng)絡(luò))信息加入inetd.sec的拒絕列表(denylistings)中.除了使攻擊者網(wǎng)絡(luò)中所有的主機(jī)都不能對(duì)自己的網(wǎng)絡(luò)進(jìn)行訪問(wèn)外,沒(méi)有其它有效的方法可以防止這種攻擊的出現(xiàn).

    此類型的攻擊只會(huì)帶來(lái)相對(duì)小的危害。使人頭疼的是雖然這類攻擊的危害性不大，但是發(fā)生的頻率卻可能很高，因?yàn)閮H具備有限的經(jīng)驗(yàn)和專業(yè)知識(shí)就能進(jìn)行此類型的攻擊。

第二層和第三層：

    這兩層的攻擊的嚴(yán)重程度取決于那些文件的讀或?qū)憴?quán)限被非法獲得。對(duì)于isp來(lái)說(shuō)，最安全的辦法是將所有的shell帳戶都集中到某一臺(tái)（或幾臺(tái)）主機(jī)上，只有它們才能接受登錄，這樣可以使得管理日志，控制訪問(wèn)，協(xié)議配置和相關(guān)的安全措施實(shí)施變得更加簡(jiǎn)單。另外，還應(yīng)該把存貯用戶編寫的cgi程序的機(jī)器和系統(tǒng)中的其它機(jī)器相隔離。

    招致攻擊的原因有可能是部分配置錯(cuò)誤或者是在軟件內(nèi)固有的漏洞.對(duì)于前者，管理員應(yīng)該注意經(jīng)常使用安全工具查找一般的配置錯(cuò)誤，例如satan。后者的解決需要安全管理員花費(fèi)大量的時(shí)間去跟蹤了解最新的軟件安全漏洞報(bào)告，下載補(bǔ)丁或聯(lián)系供貨商。實(shí)際上，研究安全是一個(gè)永不終結(jié)的學(xué)習(xí)過(guò)程。安全管理員可以訂閱一些安全郵件列表，并學(xué)會(huì)使用一些腳本程序（如perl，等）自動(dòng)搜索處理郵件，找到自己需要的最新信息。

    發(fā)現(xiàn)發(fā)起攻擊的用戶后，應(yīng)該立即停止其訪問(wèn)權(quán)限，凍結(jié)其帳號(hào)。

第四層:

    該層攻擊涉及到遠(yuǎn)程用戶如何獲取訪問(wèn)內(nèi)部文件的權(quán)利。其起因大多是服務(wù)器的配置不當(dāng)，cgi程序的漏洞和溢出問(wèn)題。

第五層和第六層:

只有利用那些不該出現(xiàn)卻出現(xiàn)的漏洞，才可能出現(xiàn)這種致命的攻擊。

    出現(xiàn)第三,四,五層的攻擊表明網(wǎng)絡(luò)已經(jīng)處于不安全狀態(tài)之中，安全管理員應(yīng)該立即采取有效措施, 保護(hù)重要數(shù)據(jù), 進(jìn)行日志記錄和匯報(bào),同時(shí)爭(zhēng)取能夠定位攻擊發(fā)起地點(diǎn)：

· 將遭受攻擊的網(wǎng)段分離出來(lái)，將此攻擊范圍限制在小的范圍內(nèi)
· 記錄當(dāng)前時(shí)間,備份系統(tǒng)日志,檢查記錄損失范圍和程度
· 分析是否需要中斷網(wǎng)絡(luò)連接
· 讓攻擊行為繼續(xù)進(jìn)行
· 如果可能，對(duì)系統(tǒng)做0級(jí)備份
· 將入侵的詳細(xì)情況逐級(jí)向主管領(lǐng)導(dǎo)和有關(guān)主管部門匯報(bào)；如果系統(tǒng)受到嚴(yán)重破壞，影響網(wǎng)絡(luò)業(yè)務(wù)功能，立即調(diào)用備件恢復(fù)系統(tǒng)
· 對(duì)此攻擊行為進(jìn)行大量的日志工作
· (在另一個(gè)網(wǎng)段上）竭盡全力地判斷尋找攻擊源

    總之，不到萬(wàn)不得已的情況下, 不可使系統(tǒng)退出服務(wù). 尋找入侵者的最重要的工作就是做日志記錄和定位入侵者，而找出入侵者并通過(guò)法律手段迫使其停止攻擊是最有效的防衛(wèi)手段。
4 關(guān)于口令安全性
    通過(guò)口令進(jìn)行身份認(rèn)證是目前實(shí)現(xiàn)計(jì)算機(jī)安全的主要手段之一，一個(gè)用戶的口令被非法用戶獲悉，則該非法用戶即獲得了該用戶的全部權(quán)限，這樣，尤其是高權(quán)限用戶的口令泄露以后，主機(jī)和網(wǎng)絡(luò)也就隨即失去了安全性。黑客攻擊目標(biāo)時(shí)也常常把破譯普通用戶的口令作為攻擊的開(kāi)始。然后就采用字典窮舉法進(jìn)行攻擊。它的原理是這樣的：網(wǎng)絡(luò)上的用戶常采用一個(gè)英語(yǔ)單詞或自己的姓名、生日作為口令。通過(guò)一些程序，自動(dòng)地從電腦字典中取出一個(gè)單詞，作為用戶的口令輸入給遠(yuǎn)端的主機(jī)，申請(qǐng)進(jìn)入系統(tǒng)。若口令錯(cuò)誤，就按序取出下一個(gè)單詞，進(jìn)行下一個(gè)嘗試。并一直循環(huán)下去，直到找到正確的口令，或字典的單詞試完為止。由于這個(gè)破譯過(guò)程由計(jì)算機(jī)程序來(lái)自動(dòng)完成，幾個(gè)小時(shí)就可以把字典的所有單詞都試一遍。這樣的測(cè)試容易在主機(jī)日志上留下明顯攻擊特征，因此，更多的時(shí)候攻擊者會(huì)利用其它手段去獲得主機(jī)系統(tǒng)上的/etc/passwd文件甚至/etc/shadow文件，然后在本地對(duì)其進(jìn)行字典攻擊或暴力破解。攻擊者并不需要所有人的口令，他們得到幾個(gè)用戶口令就能獲取系統(tǒng)的控制權(quán)，所以即使普通用戶取口令過(guò)于簡(jiǎn)單可能會(huì)對(duì)系統(tǒng)安全造成很大的威脅。系統(tǒng)管理員以及其它所有用戶對(duì)口令選取的應(yīng)采取負(fù)責(zé)的態(tài)度，消除僥幸和偷懶思想。

保持口令安全的一些要點(diǎn)如下:

· 口令長(zhǎng)度不要小于6位，并應(yīng)同時(shí)包含字母和數(shù)字，以及標(biāo)點(diǎn)符號(hào)和控制字符
· 口令中不要使用常用單詞（避免字典攻擊），英文簡(jiǎn)稱，個(gè)人信息（如生日,名字,反向拼寫的登錄名,房間中可見(jiàn)的東西），年份，以及機(jī)器中的命令等
· 不要將口令寫下來(lái)。
· 不要將口令存于電腦文件中。
· 不要讓別人知道。
· 不要在不同系統(tǒng)上，特別是不同級(jí)別的用戶上使用同一口令。
· 為防止眼明手快的人竊取口令,在輸入口令時(shí)應(yīng)確認(rèn)無(wú)人在身邊。
· 定期改變口令,至少6個(gè)月要改變一次。
· 系統(tǒng)安裝對(duì)口令文件進(jìn)行隱藏的程序或設(shè)置。（e.g. Shadow Suite for linux）
· 系統(tǒng)配置對(duì)用戶口令設(shè)置情況進(jìn)行檢測(cè)的程序，并強(qiáng)制用戶定期改變口令。任何一個(gè)用戶口令的脆弱，都會(huì)影響整個(gè)系統(tǒng)的安全性。(e.g. passwd+, Crack,etc)

    最后這點(diǎn)是十分重要的,永遠(yuǎn)不要對(duì)自己的口令過(guò)于自信,也許就在無(wú)意當(dāng)中泄露了口令。定期地改變口令,會(huì)使自己遭受黑客攻擊的風(fēng)險(xiǎn)降到了一定限度之內(nèi)。一旦發(fā)現(xiàn)自己的口令不能進(jìn)入計(jì)算機(jī)系統(tǒng),應(yīng)立即向系統(tǒng)管理員報(bào)告,由管理員來(lái)檢查原因。

    系統(tǒng)管理員也應(yīng)定期運(yùn)行這些破譯口令的工具,來(lái)嘗試破譯shadow文件,若有用戶的口令密碼被破譯出,說(shuō)明這些用戶的密碼取得過(guò)于簡(jiǎn)單或有規(guī)律可循,應(yīng)盡快地通知他們,及時(shí)更正密碼,以防止黑客的入侵。

5 網(wǎng)絡(luò)安全管理員的素質(zhì)要求
· 深入地了解過(guò)至少兩個(gè)操作系統(tǒng)，其中之一無(wú)可置疑地是unix。熟練配置主機(jī)的安全選項(xiàng)和設(shè)置，及時(shí)了解已見(jiàn)報(bào)道的安全漏洞，并能夠及時(shí)下載相應(yīng)補(bǔ)丁安裝。在特殊緊急情況下，可以獨(dú)立開(kāi)發(fā)適合的安全工具或補(bǔ)丁，提高系統(tǒng)的安全性。
· 對(duì)tcp/ip協(xié)議族有透徹的了解，這是任何一個(gè)合格的安全管理員的必備的素質(zhì)。并且這種知識(shí)要不僅僅停留在internet基本構(gòu)造等基礎(chǔ)知識(shí)上，必須能夠根據(jù)偵測(cè)到的網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行準(zhǔn)確的分析，達(dá)到安全預(yù)警，有效制止攻擊和發(fā)現(xiàn)攻擊者等防御目的。
· 熟練使用c，c++，perl等語(yǔ)言進(jìn)行編程。這是基本要求，因?yàn)樵S多基本的安全工具是用這些語(yǔ)言的某一種編寫的。安全管理員至少能正確地解釋，編譯和執(zhí)行這些程序。更高的要求是能夠把不專門為某個(gè)特定平臺(tái)開(kāi)發(fā)的工具移植到自己的平臺(tái)上。同時(shí)他們還能夠開(kāi)發(fā)出可擴(kuò)展自己系統(tǒng)網(wǎng)絡(luò)安全性的工具來(lái)，如對(duì)satan和safe suite的擴(kuò)展和升級(jí)（它們?cè)试S用戶開(kāi)發(fā)的工具附加到自己上）
· 經(jīng)常地保持與internet社會(huì)的有效接觸。不僅要了解自己的機(jī)器和局域網(wǎng)，還必須了解熟悉internet。經(jīng)驗(yàn)是不可替代的。
· 熟練使用英語(yǔ)讀寫，與internet網(wǎng)上的各個(gè)安全論壇建立經(jīng)常的聯(lián)系。

· 平時(shí)注意收集網(wǎng)絡(luò)的各種信息, 包括硬件應(yīng)識(shí)別其構(gòu)造,制造商,工作模式,以及每臺(tái)工作站,路由器,集線器,網(wǎng)卡的型號(hào)等;軟件網(wǎng)絡(luò)軟件的所有類型以及它們的版本號(hào);協(xié)議網(wǎng)絡(luò)正在使用的協(xié)議; 網(wǎng)絡(luò)規(guī)劃例如工作站的數(shù)量,網(wǎng)段的劃分,網(wǎng)絡(luò)的擴(kuò)展; 以及其它信息例如網(wǎng)絡(luò)內(nèi)部以前一直實(shí)施中的安全策略的概述,曾遭受過(guò)的安全攻擊的歷史記錄等。

    還有一點(diǎn)也很重要，那就是不要過(guò)于相信你的供應(yīng)商，一定要有自己的判斷。你不能因?yàn)樗�告訴你裝上他的防火墻就可以高枕無(wú)憂而麻痹大意，在安裝完成后一定要進(jìn)行相應(yīng)地測(cè)試，并且還要定期對(duì)日志文件進(jìn)行審查。我還曾經(jīng)遇到過(guò)一個(gè)十分頭疼的事情，由于某軟件中存在的缺陷（應(yīng)該是指針的問(wèn)題），在運(yùn)行素材文件刪除后，管理軟件認(rèn)為已經(jīng)將文件清除，可物理上仍然存在，這樣舊有的空間無(wú)法釋放，當(dāng)這樣的素材文件越來(lái)越多時(shí)，磁盤的數(shù)據(jù)存貯就會(huì)出現(xiàn)問(wèn)題。網(wǎng)絡(luò)管理人員所要做的就是在日常工作中發(fā)現(xiàn)并處理這樣一些不可預(yù)期的問(wèn)題。

    談了這么多了，那么為什么會(huì)產(chǎn)生這樣的安全問(wèn)題呢？最初的黑客大多是個(gè)人的愛(ài)好，他們并沒(méi)有什么別的目的，最大的樂(lè)趣在于攻克別人的網(wǎng)絡(luò)堡壘，以展示自己技術(shù)水平的高超，這些人的特點(diǎn)是自身水平很高，但并不對(duì)網(wǎng)絡(luò)本身造成更大的破壞，很像李白所說(shuō)的"十步殺一人，千里不留名；事了拂衣去，深藏身與名"；隨著網(wǎng)絡(luò)的發(fā)展與人們對(duì)黑客技術(shù)的稱道，越來(lái)越多的人加入到黑客的陣營(yíng)，黑客本身也出現(xiàn)了分化，除了傳統(tǒng)意義上的黑客外，以盜取他人重要信息、以經(jīng)濟(jì)為目的和單純以破壞為目的的黑客越來(lái)越多，這時(shí)黑客的水平也良莠不齊；還有一些不妨說(shuō)是發(fā)燒友或是對(duì)網(wǎng)絡(luò)有興趣的初學(xué)者，這是目前占大多數(shù)的，他們通常只是知道一點(diǎn)網(wǎng)絡(luò)知識(shí)，會(huì)用幾個(gè)軟件而已，真正對(duì)協(xié)議了解的并不多，更不要說(shuō)自行編寫攻擊軟件了。

    需要強(qiáng)調(diào)的是，網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)工程，不是單一的產(chǎn)品或技術(shù)可以完全解決的。這是因?yàn)榫W(wǎng)絡(luò)安全包含多個(gè)層面，既有層次上的劃分、結(jié)構(gòu)上的劃分，也有防范目標(biāo)上的差別。在層次上涉及到物理層的安全、網(wǎng)絡(luò)層的安全、傳輸層的安全、應(yīng)用層的安全等；在結(jié)構(gòu)上，不同節(jié)點(diǎn)考慮的安全是不同的；在目標(biāo)上，有些系統(tǒng)專注于防范破壞性的攻擊，有些系統(tǒng)是用來(lái)檢查系統(tǒng)的安全漏洞，有些系統(tǒng)用來(lái)增強(qiáng)基本的安全環(huán)節(jié)（如審計(jì)），有些系統(tǒng)解決信息的加密、認(rèn)證問(wèn)題，有些系統(tǒng)考慮的是防病毒的問(wèn)題。任何一個(gè)產(chǎn)品不可能解決全部層面的問(wèn)題，這與系統(tǒng)的復(fù)雜程度、運(yùn)行的位置和層次都有很大關(guān)系，因而一個(gè)完整的安全體系應(yīng)該是一個(gè)由具有分布性的多種安全技術(shù)或產(chǎn)品構(gòu)成的復(fù)雜系統(tǒng)，既有技術(shù)的因素，也包含人的因素。用戶需要根據(jù)自己的實(shí)際情況選擇適合自己需求的技術(shù)和產(chǎn)品。

【基于寬帶接入的局域網(wǎng)安全管理問(wèn)題分析】相關(guān)文章：

基于局域網(wǎng)的電網(wǎng)理論線損管理系統(tǒng)08-06

基于手機(jī)無(wú)線局域網(wǎng)的架構(gòu)與應(yīng)用08-06

基于交往行為理論的FDI安全性分析08-17

能否基于問(wèn)題開(kāi)處方08-17

基于財(cái)務(wù)的成本管理問(wèn)題研究08-18

試析基于素質(zhì)教育要求的小學(xué)管理問(wèn)題研究08-01

冷鏈物流管理問(wèn)題分析08-18

我國(guó)居民收入不平等問(wèn)題：基于轉(zhuǎn)移性收入角度的分析08-07

基于企業(yè)系統(tǒng)觀的成本分析08-17