- 相關(guān)推薦
基于寬帶接入的局域網(wǎng)安全管理問(wèn)題分析
基于寬帶接入的局域網(wǎng)安全管理問(wèn)題分析
2002中南地區(qū)廣播電視技術(shù)年會(huì)優(yōu)秀論文三等獎(jiǎng)隨著計(jì)算機(jī)應(yīng)用的普及和寬帶網(wǎng)絡(luò)技術(shù)的發(fā)展,目前寬帶接入方式已成為企業(yè)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)(Intranet)接入國(guó)際互連網(wǎng)(Inetrnet)的主要途徑與方式,許多企業(yè)還通過(guò)這種方式建立了自己的網(wǎng)站,通過(guò)Internet對(duì)外提供各種信息和服務(wù)。在這種形式下,如何有效的預(yù)防和檢測(cè)來(lái)自Internet的黑客攻擊和病毒入侵已成為當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的重要課題,作為一名合格的網(wǎng)絡(luò)管理員,必須要能敏銳地,及時(shí)地發(fā)現(xiàn)和處理網(wǎng)絡(luò)中特別是網(wǎng)絡(luò)服務(wù)器中存在的系統(tǒng)漏洞和安全隱患,有效的抑制制和防止黑客的非法攻擊。
網(wǎng)絡(luò)安全是一個(gè)十分復(fù)雜的問(wèn)題,它的劃分也是多種多樣的,但大體上可以分為物理硬件層和系統(tǒng)軟件層,網(wǎng)絡(luò)內(nèi)部和網(wǎng)絡(luò)之間。如下表。
為何會(huì)產(chǎn)生網(wǎng)絡(luò)安全的問(wèn)題?這與人有意或無(wú)意也有關(guān)系,以上表的劃分,安全問(wèn)題產(chǎn)生于以下幾方面:
網(wǎng)內(nèi)硬件方面,即局域網(wǎng)的硬件方面。它主要包括網(wǎng)絡(luò)的電源供應(yīng)(UPS不間斷電源)和網(wǎng)絡(luò)的連接等。網(wǎng)絡(luò)的電源供應(yīng)的目的是保證網(wǎng)絡(luò)在有可能預(yù)見(jiàn)的突發(fā)性的非正常電源供應(yīng)情況下,為網(wǎng)絡(luò)(主指服務(wù)器、交換機(jī)等網(wǎng)絡(luò)的主干設(shè)備)提供一種短時(shí)的能量支持。網(wǎng)絡(luò)的連接又分為線路的連接和設(shè)備的接入,線路的連接雖然是在網(wǎng)絡(luò)的架設(shè)時(shí)所考慮的問(wèn)題,但要必免因線路串?dāng)_而影響到線路的通信,以及布線的不合理造成的因線路過(guò)長(zhǎng)而引發(fā)的信號(hào)衰減和線路因長(zhǎng)期裸露意外遭到的外力的意外或有意的傷害等;設(shè)備的接入是指網(wǎng)絡(luò)的功能部件(如打印服務(wù)器、文件服務(wù)器和應(yīng)用服務(wù)器等)在網(wǎng)絡(luò)中正常連接。
網(wǎng)間硬件方面很少被提及,主要是因?yàn)檫@種網(wǎng)絡(luò),在工程實(shí)施時(shí)為保證數(shù)據(jù)的遠(yuǎn)距離傳輸,所使用的一般都是造價(jià)高但質(zhì)量好的連接設(shè)備,出現(xiàn)故障的概率較低。但收由于線路過(guò)長(zhǎng),一旦出現(xiàn)問(wèn)題卻很難及時(shí)發(fā)現(xiàn)故障所在地,從而延緩了處理時(shí)間,像2001年初的中美海底光纜掛斷的類似事件還時(shí)有發(fā)生。
網(wǎng)內(nèi)軟件層,根據(jù)網(wǎng)絡(luò)實(shí)現(xiàn)的功能上的差異,不同用途的局域網(wǎng)(辦公網(wǎng)、專用存儲(chǔ)網(wǎng)、校園網(wǎng)以及運(yùn)算處理網(wǎng)等)的安全側(cè)重點(diǎn)也不盡相同。網(wǎng)間軟件層,就是局域網(wǎng)接入外網(wǎng)。也就是我們一般所討論的網(wǎng)絡(luò)安全,主要包括系統(tǒng)漏洞、數(shù)據(jù)遭更改或泄露、安全策略配置不當(dāng)、網(wǎng)絡(luò)攻擊、病毒入侵等。而能否抵抗網(wǎng)絡(luò)攻擊,又幾乎成為衡量這個(gè)網(wǎng)絡(luò)安全與否的標(biāo)準(zhǔn)。
網(wǎng)絡(luò)攻擊
什么是攻擊,難道僅僅發(fā)生在入侵行為完全完成且入侵者已侵入目標(biāo)網(wǎng)絡(luò)內(nèi)才算是攻擊?一切可能使得網(wǎng)絡(luò)受到破壞的行為都應(yīng)稱之為攻擊。就拿一個(gè)很常見(jiàn)的現(xiàn)象來(lái)說(shuō)吧,很多在互聯(lián)網(wǎng)中具有固定IP的服務(wù)器,每天都要受到數(shù)以百計(jì)的端口掃描和試圖侵入,雖然不一定會(huì)被攻克,但你總不能說(shuō)它沒(méi)有受到攻擊。在正式攻擊之前,攻擊者一般都會(huì)先進(jìn)行試探性攻擊,目標(biāo)是獲取系統(tǒng)有用的信息,此時(shí)比較常用的包括ping掃描,端口掃描,帳戶掃描,dns轉(zhuǎn)換,以及惡性的ip sniffer(通過(guò)技術(shù)手段非法獲取ip packet,獲得系統(tǒng)的重要信息,來(lái)實(shí)現(xiàn)對(duì)系統(tǒng)的攻擊,后面還會(huì)詳細(xì)講到),特洛依木馬程序等。如果在某一個(gè)集中的時(shí)期內(nèi),有人在頻繁得對(duì)你所管理的網(wǎng)絡(luò)進(jìn)行試探攻擊,或有不明身份的用戶經(jīng)常連入網(wǎng)絡(luò),這時(shí)網(wǎng)絡(luò)管理員就要注意了,你該好好分析一下日志文件,并對(duì)系統(tǒng)好好檢查檢查了。
通常,在正式攻擊之前,攻擊者先進(jìn)行試探性攻擊,目標(biāo)是獲取系統(tǒng)有用的信息,此時(shí)比較常用的包括ping掃描,端口掃描,帳戶掃描,dns轉(zhuǎn)換,以及惡性的ip sniffer(通過(guò)技術(shù)手段非法獲取ip packet,獲得系統(tǒng)的重要信息,來(lái)實(shí)現(xiàn)對(duì)系統(tǒng)的攻擊,后面還會(huì)詳細(xì)講到),特洛依木馬程序等。這時(shí)的被攻擊狀態(tài)中的網(wǎng)絡(luò)經(jīng)常會(huì)表現(xiàn)出一些信號(hào),特征,例如:
2.1 收集信息攻擊:
經(jīng)常使用的工具包括:NSS, Strobe,Netscan, SATAN(Security Aadministrator's Tool for Auditing Network),Jakal, IdentTCPscan, FTPScan等以及各種sniffer.廣義上說(shuō),特洛依木馬程序也是收集信息攻擊的重要手段。收集信息攻擊有時(shí)是其它攻擊手段的前奏。對(duì)于簡(jiǎn)單的端口掃描,敏銳的安全管理員往往可以從異常的日志記錄中發(fā)現(xiàn)攻擊者的企圖。但是對(duì)于隱秘的sniffer和trojan程序來(lái)說(shuō),檢測(cè)就是件更高級(jí)和困難的任務(wù)了。
2.1.1 sniffer
它們可以截獲口令等非常秘密的或?qū)S玫男畔,甚至還可以用來(lái)攻擊相鄰的網(wǎng)絡(luò),因此,網(wǎng)絡(luò)中sniffer的存在,會(huì)帶來(lái)很大的威脅。這里不包括安全管理員安裝用來(lái)監(jiān)視入侵者的sniffer,它們本來(lái)是設(shè)計(jì)用來(lái)診斷網(wǎng)絡(luò)的連接情況的.它可以是帶有很強(qiáng)debug功能的普通的網(wǎng)絡(luò)分析器,也可以是軟件和硬件的聯(lián)合形式。現(xiàn)在已有工作于各種平臺(tái)上的sniffer,例如
· Gobbler(MS-DOS)
· ETHLOAD(MS-DOS)
· Netman(Unix)
· Esniff.c(SunOS)
· Sunsniff(SunOS)
· Linux-sniffer.c(Linux)
· NitWit.c(SunOS)
· etc.
檢測(cè)sniffer的存在是個(gè)非常困難的任務(wù),因?yàn)閟niffer本身完全只是被動(dòng)地接收數(shù)據(jù),而不發(fā)送什么。并且上面所列的sniffer程序都可以在internet上下載到,其中有一些是以源碼形式發(fā)布的(帶有.c擴(kuò)展名的)。
一般來(lái)講,真正需要保密的只是一些關(guān)鍵數(shù)據(jù),例如用戶名和口令等。使用ip包一級(jí)的加密技術(shù),可以使sniffer即使得到數(shù)據(jù)包,也很難得到真正的數(shù)據(jù)本身。這樣的工具包括 secure shell(ssh),以及F-SSH, 尤其是后者針對(duì)一般利用tcp/ip進(jìn)行通信的公共傳輸提供了非常強(qiáng)有力的,多級(jí)別的加密算法。ssh有免費(fèi)版本和商業(yè)版本,可以工作在unix上,也可以工作在windows 3.1, windows 95, 和windows nt.
另外,采用網(wǎng)絡(luò)分段技術(shù),減少信任關(guān)系等手段可以將sniffer的危害控制在較小范圍以內(nèi),也為發(fā)現(xiàn)sniffer的主人提供了方便.
2.1.2 Trojan
這是一種技術(shù)性攻擊方式. RFC1244中給出了trojan程序的經(jīng)典定義:特洛依木馬程序是這樣一種程序,它提供了一些有用的,或僅僅是有意思的功能。但是通常要做一些用戶不希望的事,諸如在你不了解的情況下拷貝文件或竊取你的密碼, 或直接將重要資料轉(zhuǎn)送出去,或破壞系統(tǒng)等等. 特洛依程序帶來(lái)一種很高級(jí)別的危險(xiǎn),因?yàn)樗鼈兒茈y被發(fā)現(xiàn),在許多情況下,特洛依程序是在二進(jìn)制代碼中發(fā)現(xiàn)的,它們大多數(shù)無(wú)法直接閱讀,并且特洛依程序可以作用在許許多多系統(tǒng)上,它的散播和病毒的散播非常相似。從internet上下載的軟件,尤其是免費(fèi)軟件和共享軟件,從匿名服務(wù)器或者usernet新聞組中獲得的程序等等都是十分可疑的. 所以作為關(guān)鍵網(wǎng)絡(luò)中的用戶有義務(wù)明白自己的責(zé)任,自覺(jué)作到不輕易安裝使用來(lái)路不清楚的軟件.
2.2 denial of service:
這是一類個(gè)人或多個(gè)人利用internet協(xié)議組的某些方面妨礙甚至關(guān)閉其它用戶對(duì)系統(tǒng)和信息的合法訪問(wèn)的攻擊. 其特點(diǎn)是以潮水般的連接申請(qǐng)使系統(tǒng)在應(yīng)接不暇的狀態(tài)中崩潰。對(duì)于大型網(wǎng)絡(luò)而言,此類攻擊只是有限的影響, 但是卻可能導(dǎo)致較小網(wǎng)絡(luò)退出服務(wù), 遭到重創(chuàng).
這是最不容易捕獲的一種攻擊,因?yàn)椴涣羧魏魏圹E,安全管理人員不易確定攻擊來(lái)源。由于這種攻擊可以使整個(gè)系統(tǒng)癱瘓,并且容易實(shí)施,所以非常危險(xiǎn)。但是從防守的角度來(lái)講,這種攻擊的防守也比較容易. 攻擊者通過(guò)此類攻擊不會(huì)破壞系統(tǒng)數(shù)據(jù)或獲得未授權(quán)的權(quán)限, 只是搗亂和令人心煩而已. 例如使網(wǎng)絡(luò)中某個(gè)用戶的郵箱超出容限而不能正常使用等.
典型的攻擊包括如E-mail炸彈, 郵件列表連接,
2.2.1 Email炸彈
它是一種簡(jiǎn)單有效的侵?jǐn)_工具. 它反復(fù)傳給目標(biāo)接收者相同的信息, 用這些垃圾擁塞目標(biāo)的個(gè)人郵箱. 可以使用的工具非常多, 例如bomb02.zip(mail bomber), 運(yùn)行在windows平臺(tái)上,使用非常簡(jiǎn)單. unix平臺(tái)上發(fā)起email bomb攻擊更為簡(jiǎn)單, 只需簡(jiǎn)單幾行shell程序即可讓目標(biāo)郵箱內(nèi)充滿垃圾.
它的防御也比較簡(jiǎn)單. 一般郵件收發(fā)程序都提供過(guò)濾功能, 發(fā)現(xiàn)此類攻擊后, 將源目標(biāo)地址放入拒絕接收列表中即可.
2.2.2 郵件列表連接
它產(chǎn)生的效果同郵件炸彈基本相同. 將目標(biāo)地址同時(shí)注冊(cè)到幾十個(gè)(甚至成百上千)個(gè)郵件列表中, 由于一般每個(gè)郵件列表每天會(huì)產(chǎn)生許多郵件, 可以想象總體效果是什么樣子. 可以手工完成攻擊, 也可以通過(guò)建立郵件列表數(shù)據(jù)庫(kù)而自動(dòng)生成. 對(duì)于郵件列表連接,尚沒(méi)有快速的解決辦法. 受害者需要把包含注銷"unsubscribe"信息的郵件發(fā)往每個(gè)列表.
許多程序能夠同時(shí)完成兩種攻擊, 包括Up yours(Windows), KaBoom(Windows), Avalanche(Windows), Unabomber(Windows), eXtreme Mail(Windows), Homicide(Windows), Bombtrack(Macintosh), FlameThrower(Macintosh), etc.
2.2.3 其它
還有一些針對(duì)其它服務(wù)的攻擊, 例如Syn-Flooder, Ping of Death(發(fā)送異常的很大的進(jìn)行ping操作的packet來(lái)攻擊windows nt), DNSkiller(運(yùn)行在linux平臺(tái)上, 攻擊windows nt平臺(tái)上的dns服務(wù)器)等。
在路由的層次上,對(duì)數(shù)據(jù)流進(jìn)行過(guò)濾, 通過(guò)合適的配置會(huì)減少遭受此類攻擊的可能性.Cisco Systems就提供了路由級(jí)的解決方案.
2.3 spoofing attack(電子欺騙):
針對(duì)http,ftp,dns等協(xié)議的攻擊,可以竊取普通用戶甚至超級(jí)用戶的權(quán)限,任意修改信息內(nèi)容,造成巨大危害。所謂ip欺騙,就是偽造他人的源ip地址。其實(shí)質(zhì)上就是讓一臺(tái)機(jī)器來(lái)扮演另一臺(tái)機(jī)器,借以達(dá)到蒙混過(guò)關(guān)的目的。下面一些服務(wù)相對(duì)來(lái)說(shuō)容易招致此類攻擊:
· 任何使用sunrpc調(diào)用的配置;rpc指sun公司的遠(yuǎn)程過(guò)程調(diào)用標(biāo)準(zhǔn),是一組工作于網(wǎng)絡(luò)之上的處理系統(tǒng)調(diào)用的方法。
· 任何利用ip地址認(rèn)證的網(wǎng)絡(luò)服務(wù)
· mit的xwindow系統(tǒng)
· 各種r服務(wù): 在unix環(huán)境中,r服務(wù)包括rlogin和rsh,其中r表示遠(yuǎn)程。人們?cè)O(shè)計(jì)這兩個(gè)應(yīng)用程序的初衷是向用戶提供遠(yuǎn)程訪問(wèn)internet網(wǎng)絡(luò)上主機(jī)的服務(wù)。r服務(wù)極易受到ip欺騙的攻擊
幾乎所有的電子欺騙都倚賴于目標(biāo)網(wǎng)絡(luò)的信任關(guān)系(計(jì)算機(jī)之間的互相信任,在unix系統(tǒng)中,可以通過(guò)設(shè)置rhosts和host.equiv 來(lái)設(shè)置)。入侵者可以使用掃描程序來(lái)判斷遠(yuǎn)程機(jī)器之間的信任關(guān)系。這種技術(shù)欺騙成功的案例較少,要求入侵者具備特殊的工具和技術(shù)(,并且現(xiàn)在看來(lái)對(duì)非unix系統(tǒng)不起作用)。另外spoofing的形式還有dns spoofing等。
解決的途徑是慎重設(shè)置處理網(wǎng)絡(luò)中的主機(jī)信任關(guān)系,尤其是不同網(wǎng)絡(luò)之間主機(jī)的信任關(guān)系。如只存在局域網(wǎng)內(nèi)的信任關(guān)系,可以設(shè)置路由器使之過(guò)濾掉外部網(wǎng)絡(luò)中自稱源地址為內(nèi)部網(wǎng)絡(luò)地址的ip包,來(lái)抵御ip欺騙。下面一些公司的產(chǎn)品提供了這種功能
· Cisco System
· iss.net公司的安全軟件包可以測(cè)試網(wǎng)絡(luò)在ip欺騙上的漏洞。
· etc.
國(guó)際黑客已經(jīng)進(jìn)入有組織有計(jì)劃地進(jìn)行網(wǎng)絡(luò)攻擊階段,美國(guó)政府有意容忍黑客組織的活動(dòng),目的是使黑客的攻擊置于一定的控制之下,并且通過(guò)這一渠道獲得防范攻擊的實(shí)戰(zhàn)經(jīng)驗(yàn)。國(guó)際黑客組織已經(jīng)發(fā)展出不少逃避檢測(cè)的技巧. 使得攻擊與安全檢測(cè)防御的任務(wù)更加艱巨.
3 入侵層次分析:
3.1 敏感層的劃分
使用敏感層的概念來(lái)劃分標(biāo)志攻擊技術(shù)所引起的危險(xiǎn)程度.
1 郵件炸彈攻擊(emailbomb)(layer1)
2 簡(jiǎn)單服務(wù)拒絕攻擊(denial of service)(layer1+)
3 本地用戶獲得非授權(quán)讀訪問(wèn)(layer2)
4 本地用戶獲得他們非授權(quán)的文件寫權(quán)限(layer3)
5 遠(yuǎn)程用戶獲得非授權(quán)的帳號(hào)(layer3+)
6 遠(yuǎn)程用戶獲得了特權(quán)文件的讀權(quán)限(layer4)
7 遠(yuǎn)程用戶獲得了特權(quán)文件的寫權(quán)限(layer5)
8 遠(yuǎn)程用戶擁有了根(root)權(quán)限(黑客已攻克系統(tǒng))(layer6)
以上層次劃分在所有的網(wǎng)絡(luò)中幾乎都一樣,基本上可以作為網(wǎng)絡(luò)安全工作的考核指標(biāo)。
"本地用戶"(local user)是一種相對(duì)概念。它是指任何能自由登錄到網(wǎng)絡(luò)上的任何一臺(tái)主機(jī)上,并且在網(wǎng)絡(luò)上的某臺(tái)主機(jī)上擁有一個(gè)帳戶,在硬盤上擁有一個(gè)目錄的任何一個(gè)用戶。在一定意義上,對(duì)內(nèi)部人員的防范技術(shù)難度更大。據(jù)統(tǒng)計(jì),對(duì)信息系統(tǒng)的攻擊主要來(lái)自內(nèi)部,占85%。因?yàn)樗麄儗?duì)網(wǎng)絡(luò)有更清楚的了解,有更多的時(shí)間和機(jī)會(huì)來(lái)測(cè)試網(wǎng)絡(luò)安全漏洞,并且容易逃避系統(tǒng)日志的監(jiān)視。
3.2 不同的對(duì)策
根據(jù)遭受的攻擊的不同層次,應(yīng)采取不同的對(duì)策.
第一層:
處于第一層的攻擊基本上應(yīng)互不相干,第一層的攻擊包括服務(wù)拒絕攻擊和郵件炸彈攻擊.郵件炸彈的攻擊還包括登記列表攻擊(同時(shí)將被攻擊目標(biāo)登錄到數(shù)千或更多的郵件列表中,這樣,目標(biāo)有可能被巨大數(shù)量的郵件列表寄出的郵件淹沒(méi))。對(duì)付此類攻擊的最好的方法是對(duì)源地址進(jìn)行分析,把攻擊者使用的主機(jī)(網(wǎng)絡(luò))信息加入inetd.sec的拒絕列表(denylistings)中.除了使攻擊者網(wǎng)絡(luò)中所有的主機(jī)都不能對(duì)自己的網(wǎng)絡(luò)進(jìn)行訪問(wèn)外,沒(méi)有其它有效的方法可以防止這種攻擊的出現(xiàn).
此類型的攻擊只會(huì)帶來(lái)相對(duì)小的危害。使人頭疼的是雖然這類攻擊的危害性不大,但是發(fā)生的頻率卻可能很高,因?yàn)閮H具備有限的經(jīng)驗(yàn)和專業(yè)知識(shí)就能進(jìn)行此類型的攻擊。
第二層和第三層:
這兩層的攻擊的嚴(yán)重程度取決于那些文件的讀或?qū)憴?quán)限被非法獲得。對(duì)于isp來(lái)說(shuō),最安全的辦法是將所有的shell帳戶都集中到某一臺(tái)(或幾臺(tái))主機(jī)上,只有它們才能接受登錄,這樣可以使得管理日志,控制訪問(wèn),協(xié)議配置和相關(guān)的安全措施實(shí)施變得更加簡(jiǎn)單。另外,還應(yīng)該把存貯用戶編寫的cgi程序的機(jī)器和系統(tǒng)中的其它機(jī)器相隔離。
招致攻擊的原因有可能是部分配置錯(cuò)誤或者是在軟件內(nèi)固有的漏洞.對(duì)于前者,管理員應(yīng)該注意經(jīng)常使用安全工具查找一般的配置錯(cuò)誤,例如satan。后者的解決需要安全管理員花費(fèi)大量的時(shí)間去跟蹤了解最新的軟件安全漏洞報(bào)告,下載補(bǔ)丁或聯(lián)系供貨商。實(shí)際上,研究安全是一個(gè)永不終結(jié)的學(xué)習(xí)過(guò)程。安全管理員可以訂閱一些安全郵件列表,并學(xué)會(huì)使用一些腳本程序(如perl,等)自動(dòng)搜索處理郵件,找到自己需要的最新信息。
發(fā)現(xiàn)發(fā)起攻擊的用戶后,應(yīng)該立即停止其訪問(wèn)權(quán)限,凍結(jié)其帳號(hào)。
第四層:
該層攻擊涉及到遠(yuǎn)程用戶如何獲取訪問(wèn)內(nèi)部文件的權(quán)利。其起因大多是服務(wù)器的配置不當(dāng),cgi程序的漏洞和溢出問(wèn)題。
第五層和第六層:
只有利用那些不該出現(xiàn)卻出現(xiàn)的漏洞,才可能出現(xiàn)這種致命的攻擊。
出現(xiàn)第三,四,五層的攻擊表明網(wǎng)絡(luò)已經(jīng)處于不安全狀態(tài)之中,安全管理員應(yīng)該立即采取有效措施, 保護(hù)重要數(shù)據(jù), 進(jìn)行日志記錄和匯報(bào),同時(shí)爭(zhēng)取能夠定位攻擊發(fā)起地點(diǎn):
· 將遭受攻擊的網(wǎng)段分離出來(lái),將此攻擊范圍限制在小的范圍內(nèi)
· 記錄當(dāng)前時(shí)間,備份系統(tǒng)日志,檢查記錄損失范圍和程度
· 分析是否需要中斷網(wǎng)絡(luò)連接
· 讓攻擊行為繼續(xù)進(jìn)行
· 如果可能,對(duì)系統(tǒng)做0級(jí)備份
· 將入侵的詳細(xì)情況逐級(jí)向主管領(lǐng)導(dǎo)和有關(guān)主管部門匯報(bào);如果系統(tǒng)受到嚴(yán)重破壞,影響網(wǎng)絡(luò)業(yè)務(wù)功能,立即調(diào)用備件恢復(fù)系統(tǒng)
· 對(duì)此攻擊行為進(jìn)行大量的日志工作
· (在另一個(gè)網(wǎng)段上)竭盡全力地判斷尋找攻擊源
總之,不到萬(wàn)不得已的情況下, 不可使系統(tǒng)退出服務(wù). 尋找入侵者的最重要的工作就是做日志記錄和定位入侵者,而找出入侵者并通過(guò)法律手段迫使其停止攻擊是最有效的防衛(wèi)手段。
4 關(guān)于口令安全性
通過(guò)口令進(jìn)行身份認(rèn)證是目前實(shí)現(xiàn)計(jì)算機(jī)安全的主要手段之一,一個(gè)用戶的口令被非法用戶獲悉,則該非法用戶即獲得了該用戶的全部權(quán)限,這樣,尤其是高權(quán)限用戶的口令泄露以后,主機(jī)和網(wǎng)絡(luò)也就隨即失去了安全性。黑客攻擊目標(biāo)時(shí)也常常把破譯普通用戶的口令作為攻擊的開(kāi)始。然后就采用字典窮舉法進(jìn)行攻擊。它的原理是這樣的:網(wǎng)絡(luò)上的用戶常采用一個(gè)英語(yǔ)單詞或自己的姓名、生日作為口令。通過(guò)一些程序,自動(dòng)地從電腦字典中取出一個(gè)單詞,作為用戶的口令輸入給遠(yuǎn)端的主機(jī),申請(qǐng)進(jìn)入系統(tǒng)。若口令錯(cuò)誤,就按序取出下一個(gè)單詞,進(jìn)行下一個(gè)嘗試。并一直循環(huán)下去,直到找到正確的口令,或字典的單詞試完為止。由于這個(gè)破譯過(guò)程由計(jì)算機(jī)程序來(lái)自動(dòng)完成,幾個(gè)小時(shí)就可以把字典的所有單詞都試一遍。這樣的測(cè)試容易在主機(jī)日志上留下明顯攻擊特征,因此,更多的時(shí)候攻擊者會(huì)利用其它手段去獲得主機(jī)系統(tǒng)上的/etc/passwd文件甚至/etc/shadow文件,然后在本地對(duì)其進(jìn)行字典攻擊或暴力破解。攻擊者并不需要所有人的口令,他們得到幾個(gè)用戶口令就能獲取系統(tǒng)的控制權(quán),所以即使普通用戶取口令過(guò)于簡(jiǎn)單可能會(huì)對(duì)系統(tǒng)安全造成很大的威脅。系統(tǒng)管理員以及其它所有用戶對(duì)口令選取的應(yīng)采取負(fù)責(zé)的態(tài)度,消除僥幸和偷懶思想。
保持口令安全的一些要點(diǎn)如下:
· 口令長(zhǎng)度不要小于6位,并應(yīng)同時(shí)包含字母和數(shù)字,以及標(biāo)點(diǎn)符號(hào)和控制字符
· 口令中不要使用常用單詞(避免字典攻擊),英文簡(jiǎn)稱,個(gè)人信息(如生日,名字,反向拼寫的登錄名,房間中可見(jiàn)的東西),年份,以及機(jī)器中的命令等
· 不要將口令寫下來(lái)。
· 不要將口令存于電腦文件中。
· 不要讓別人知道。
· 不要在不同系統(tǒng)上,特別是不同級(jí)別的用戶上使用同一口令。
· 為防止眼明手快的人竊取口令,在輸入口令時(shí)應(yīng)確認(rèn)無(wú)人在身邊。
· 定期改變口令,至少6個(gè)月要改變一次。
· 系統(tǒng)安裝對(duì)口令文件進(jìn)行隱藏的程序或設(shè)置。(e.g. Shadow Suite for linux)
· 系統(tǒng)配置對(duì)用戶口令設(shè)置情況進(jìn)行檢測(cè)的程序,并強(qiáng)制用戶定期改變口令。任何一個(gè)用戶口令的脆弱,都會(huì)影響整個(gè)系統(tǒng)的安全性。(e.g. passwd+, Crack,etc)
最后這點(diǎn)是十分重要的,永遠(yuǎn)不要對(duì)自己的口令過(guò)于自信,也許就在無(wú)意當(dāng)中泄露了口令。定期地改變口令,會(huì)使自己遭受黑客攻擊的風(fēng)險(xiǎn)降到了一定限度之內(nèi)。一旦發(fā)現(xiàn)自己的口令不能進(jìn)入計(jì)算機(jī)系統(tǒng),應(yīng)立即向系統(tǒng)管理員報(bào)告,由管理員來(lái)檢查原因。
系統(tǒng)管理員也應(yīng)定期運(yùn)行這些破譯口令的工具,來(lái)嘗試破譯shadow文件,若有用戶的口令密碼被破譯出,說(shuō)明這些用戶的密碼取得過(guò)于簡(jiǎn)單或有規(guī)律可循,應(yīng)盡快地通知他們,及時(shí)更正密碼,以防止黑客的入侵。
5 網(wǎng)絡(luò)安全管理員的素質(zhì)要求
· 深入地了解過(guò)至少兩個(gè)操作系統(tǒng),其中之一無(wú)可置疑地是unix。熟練配置主機(jī)的安全選項(xiàng)和設(shè)置,及時(shí)了解已見(jiàn)報(bào)道的安全漏洞,并能夠及時(shí)下載相應(yīng)補(bǔ)丁安裝。在特殊緊急情況下,可以獨(dú)立開(kāi)發(fā)適合的安全工具或補(bǔ)丁,提高系統(tǒng)的安全性。
· 對(duì)tcp/ip協(xié)議族有透徹的了解,這是任何一個(gè)合格的安全管理員的必備的素質(zhì)。并且這種知識(shí)要不僅僅停留在internet基本構(gòu)造等基礎(chǔ)知識(shí)上,必須能夠根據(jù)偵測(cè)到的網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行準(zhǔn)確的分析,達(dá)到安全預(yù)警,有效制止攻擊和發(fā)現(xiàn)攻擊者等防御目的。
· 熟練使用c,c++,perl等語(yǔ)言進(jìn)行編程。這是基本要求,因?yàn)樵S多基本的安全工具是用這些語(yǔ)言的某一種編寫的。安全管理員至少能正確地解釋,編譯和執(zhí)行這些程序。更高的要求是能夠把不專門為某個(gè)特定平臺(tái)開(kāi)發(fā)的工具移植到自己的平臺(tái)上。同時(shí)他們還能夠開(kāi)發(fā)出可擴(kuò)展自己系統(tǒng)網(wǎng)絡(luò)安全性的工具來(lái),如對(duì)satan和safe suite的擴(kuò)展和升級(jí)(它們?cè)试S用戶開(kāi)發(fā)的工具附加到自己上)
· 經(jīng)常地保持與internet社會(huì)的有效接觸。不僅要了解自己的機(jī)器和局域網(wǎng),還必須了解熟悉internet。經(jīng)驗(yàn)是不可替代的。
· 熟練使用英語(yǔ)讀寫,與internet網(wǎng)上的各個(gè)安全論壇建立經(jīng)常的聯(lián)系。
· 平時(shí)注意收集網(wǎng)絡(luò)的各種信息, 包括硬件應(yīng)識(shí)別其構(gòu)造,制造商,工作模式,以及每臺(tái)工作站,路由器,集線器,網(wǎng)卡的型號(hào)等;軟件網(wǎng)絡(luò)軟件的所有類型以及它們的版本號(hào);協(xié)議網(wǎng)絡(luò)正在使用的協(xié)議; 網(wǎng)絡(luò)規(guī)劃例如工作站的數(shù)量,網(wǎng)段的劃分,網(wǎng)絡(luò)的擴(kuò)展; 以及其它信息例如網(wǎng)絡(luò)內(nèi)部以前一直實(shí)施中的安全策略的概述,曾遭受過(guò)的安全攻擊的歷史記錄等。
還有一點(diǎn)也很重要,那就是不要過(guò)于相信你的供應(yīng)商,一定要有自己的判斷。你不能因?yàn)樗嬖V你裝上他的防火墻就可以高枕無(wú)憂而麻痹大意,在安裝完成后一定要進(jìn)行相應(yīng)地測(cè)試,并且還要定期對(duì)日志文件進(jìn)行審查。我還曾經(jīng)遇到過(guò)一個(gè)十分頭疼的事情,由于某軟件中存在的缺陷(應(yīng)該是指針的問(wèn)題),在運(yùn)行素材文件刪除后,管理軟件認(rèn)為已經(jīng)將文件清除,可物理上仍然存在,這樣舊有的空間無(wú)法釋放,當(dāng)這樣的素材文件越來(lái)越多時(shí),磁盤的數(shù)據(jù)存貯就會(huì)出現(xiàn)問(wèn)題。網(wǎng)絡(luò)管理人員所要做的就是在日常工作中發(fā)現(xiàn)并處理這樣一些不可預(yù)期的問(wèn)題。
談了這么多了,那么為什么會(huì)產(chǎn)生這樣的安全問(wèn)題呢?最初的黑客大多是個(gè)人的愛(ài)好,他們并沒(méi)有什么別的目的,最大的樂(lè)趣在于攻克別人的網(wǎng)絡(luò)堡壘,以展示自己技術(shù)水平的高超,這些人的特點(diǎn)是自身水平很高,但并不對(duì)網(wǎng)絡(luò)本身造成更大的破壞,很像李白所說(shuō)的"十步殺一人,千里不留名;事了拂衣去,深藏身與名";隨著網(wǎng)絡(luò)的發(fā)展與人們對(duì)黑客技術(shù)的稱道,越來(lái)越多的人加入到黑客的陣營(yíng),黑客本身也出現(xiàn)了分化,除了傳統(tǒng)意義上的黑客外,以盜取他人重要信息、以經(jīng)濟(jì)為目的和單純以破壞為目的的黑客越來(lái)越多,這時(shí)黑客的水平也良莠不齊;還有一些不妨說(shuō)是發(fā)燒友或是對(duì)網(wǎng)絡(luò)有興趣的初學(xué)者,這是目前占大多數(shù)的,他們通常只是知道一點(diǎn)網(wǎng)絡(luò)知識(shí),會(huì)用幾個(gè)軟件而已,真正對(duì)協(xié)議了解的并不多,更不要說(shuō)自行編寫攻擊軟件了。
需要強(qiáng)調(diào)的是,網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)工程,不是單一的產(chǎn)品或技術(shù)可以完全解決的。這是因?yàn)榫W(wǎng)絡(luò)安全包含多個(gè)層面,既有層次上的劃分、結(jié)構(gòu)上的劃分,也有防范目標(biāo)上的差別。在層次上涉及到物理層的安全、網(wǎng)絡(luò)層的安全、傳輸層的安全、應(yīng)用層的安全等;在結(jié)構(gòu)上,不同節(jié)點(diǎn)考慮的安全是不同的;在目標(biāo)上,有些系統(tǒng)專注于防范破壞性的攻擊,有些系統(tǒng)是用來(lái)檢查系統(tǒng)的安全漏洞,有些系統(tǒng)用來(lái)增強(qiáng)基本的安全環(huán)節(jié)(如審計(jì)),有些系統(tǒng)解決信息的加密、認(rèn)證問(wèn)題,有些系統(tǒng)考慮的是防病毒的問(wèn)題。任何一個(gè)產(chǎn)品不可能解決全部層面的問(wèn)題,這與系統(tǒng)的復(fù)雜程度、運(yùn)行的位置和層次都有很大關(guān)系,因而一個(gè)完整的安全體系應(yīng)該是一個(gè)由具有分布性的多種安全技術(shù)或產(chǎn)品構(gòu)成的復(fù)雜系統(tǒng),既有技術(shù)的因素,也包含人的因素。用戶需要根據(jù)自己的實(shí)際情況選擇適合自己需求的技術(shù)和產(chǎn)品。
【基于寬帶接入的局域網(wǎng)安全管理問(wèn)題分析】相關(guān)文章:
基于局域網(wǎng)的電網(wǎng)理論線損管理系統(tǒng)08-06
基于手機(jī)無(wú)線局域網(wǎng)的架構(gòu)與應(yīng)用08-06
基于交往行為理論的FDI安全性分析08-17
能否基于問(wèn)題開(kāi)處方08-17
基于財(cái)務(wù)的成本管理問(wèn)題研究08-18
試析基于素質(zhì)教育要求的小學(xué)管理問(wèn)題研究08-01
冷鏈物流管理問(wèn)題分析08-18