局域網(wǎng)上網(wǎng)的安全防范與技巧

2019-11-05 03:17:50

字體：大中小

供稿：網(wǎng)友

1.引言

　　在計算機(jī)網(wǎng)絡(luò)日益成為生活中不可或缺的工具時，計算機(jī)網(wǎng)絡(luò)中的入侵活動已經(jīng)引起了公眾的高度重視。非法入侵一直危害著網(wǎng)絡(luò)安全，計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自黑客攻擊、計算機(jī)病毒和拒絕服務(wù)攻擊三個方面。網(wǎng)絡(luò)的安全威脅方向也分為外部和內(nèi)部。黑客攻擊早在主機(jī)終端時代就已經(jīng)出現(xiàn)，隨著因特網(wǎng)的發(fā)展，現(xiàn)代黑客則從以系統(tǒng)為主的攻擊轉(zhuǎn)變到以網(wǎng)絡(luò)為主的攻擊。本文提供一些網(wǎng)絡(luò)安全防范的措施和技巧，希望能對網(wǎng)絡(luò)安全防范起一定的參考作用。

2.黑客攻擊類型

　　任何系統(tǒng)得安全都是相對的，沒有一個網(wǎng)絡(luò)操作系統(tǒng)是絕對安全的。局域網(wǎng)上網(wǎng)即使有防火墻的保護(hù),由于防火墻錯誤配置等其他原因,仍很難保證百份百的安全。

幾種網(wǎng)絡(luò)攻擊類型：

●Data Diddling-------------未經(jīng)授權(quán)刪除檔案，更改其資料（15.5%)

●Scanner-------------利用工具尋找暗門漏洞(15.8%)

●Sniffer--------------監(jiān)聽加密之封包(11.2%)

●Denial of Service-------------使其系統(tǒng)癱瘓（16.2%)

●ip Spoofing---------------冒充系統(tǒng)內(nèi)網(wǎng)絡(luò)的IP地址(12.4%)

●Other------------其他(13.9%) 3.防范黑客的措施:

◎ 選用安全的口令：據(jù)統(tǒng)計，大約80%的安全隱患是由于口令設(shè)置不當(dāng)引起的。

◎ 用戶口令應(yīng)包含大小寫，最好能加上字符串和數(shù)字，一起使用以期達(dá)到最好的保密效果；

◎ 用戶口令不要太規(guī)則,不要用用戶姓名、生日和電話號碼作為口令。不要用常用單詞作為口令；

◎ 根據(jù)黑客軟件的工作原理,參照口令破譯的難易程度,以破解需要的時間為排序指標(biāo)，口令長度設(shè)置時應(yīng)遵循7位或14位的整數(shù)倍原則；

◎ 安裝某些系統(tǒng)服務(wù)功能模塊時有內(nèi)建帳號，應(yīng)及時修改操作系統(tǒng)內(nèi)部帳號口令的缺省設(shè)置；

◎ 應(yīng)及時取消調(diào)離或停止工作的雇員的帳號以及無用的帳號;

◎ 在通過網(wǎng)絡(luò)驗證口令過程中,不得以明文方式傳輸，以免被監(jiān)聽截取;

◎ 口令不得以明文方式存放在系統(tǒng)中,確?？诹钜约用艿男问綄懺谟脖P上并包含口令的文件是只讀的;

◎ 口令應(yīng)定期修改，應(yīng)避免重復(fù)使用舊口令，應(yīng)采用多套口令的命名規(guī)則；

◎ 建立帳號鎖定機(jī)制，一旦同一帳號密碼校驗錯誤若干次即斷開連接并鎖定該帳號，至一段時間才解鎖

再次開放使用。

◎ 實施存取控制：主要是針對網(wǎng)絡(luò)操作系統(tǒng)的文件系統(tǒng)的存取控制。

◎ 存取控制是內(nèi)部網(wǎng)絡(luò)安全理論的重要方面,它包括人員權(quán)限,數(shù)據(jù)標(biāo)識,權(quán)限控制,控制類型,風(fēng)險分析等內(nèi)容.

◎ 確保數(shù)據(jù)的安全：完整性是在數(shù)據(jù)處理過程中,在原來數(shù)據(jù)和現(xiàn)行數(shù)據(jù)之間保持完全一致的證實手段.一般常用數(shù)字簽名和數(shù)據(jù)加密算法來保證。請參照幾個加密站點：

　　規(guī)定公共密鑰加密:http://Word.std.com/~franl/crypto/crypto.Html

　　RSA加密專利公司:http://www.rsa.com.faq
◎ 使用安全的服務(wù)器系統(tǒng)：雖然沒有一種網(wǎng)絡(luò)操作系統(tǒng)是絕對安全的，但UNIX經(jīng)過幾十年來的發(fā)展已相當(dāng)成熟，以其穩(wěn)定性和安全性成為要害性應(yīng)用的首選。

　　Windows NT的安全問題：

例子：RDISK漏洞：RDISK是WINDOWSNT提供的緊急修復(fù)磁盤工具，雖然是很好的工具，但存在巨大的安全漏洞。用戶使用RDISK將所有安全信息（包括口令和注冊信息）放入C:/WINNT/REPAIR，攻擊者很輕易獲得口令。相應(yīng)的解決方案可以參見《安全Windows NT安裝和配置指導(dǎo)》，網(wǎng)絡(luò)地址：http://infosec.nosc.mil/TEXT.COMPUSEC/Navynt.zip

　　UNIX的安全問題：

例子：linux中的imapd coredump 可以泄露隱蔽口令。 Http://underground.simplenet.com/central/linux-ex/imapd_core.txt

各大UNIX廠商的補(bǔ)丁站點：

AIX（IBM） http://www.ers.ibm.com/tech-info/index.html

FreeBSD/OpenBSD FTP://ftp.openbsd.org/pub/OpenBSD/patches

HP-UNIX http://us-support.external.hp.com/

SCO ftp://ftp.sco.com/SLS/

SunOS/Solaris http://sunsolve.sun.com/sunsolve/pubpatches/

IRIX www.sgi.com/Support/security/patches.html

◎ 謹(jǐn)慎開放缺乏安全保障的應(yīng)用和端口：很多黑客攻擊程序是針對特定服務(wù)和特定服務(wù)端口的，所以關(guān)閉不必要的服務(wù)和服務(wù)端口，能大大降低遭受黑客攻擊的風(fēng)險。

　　NT SERVER：將缺省的NWLink IPX/SPX傳輸協(xié)議去掉；在TCP/IP協(xié)議屬性里，啟用安全機(jī)制。假如沒有非凡需求（如ICQ,Real數(shù)據(jù)流傳輸?shù)龋┛蓪⑺蠻DP端口關(guān)閉。(具體方法：控制面板／協(xié)議／TCP/IP協(xié)議屬性／高級／啟用安全機(jī)制／配置）

　　UNIX：最好關(guān)閉UNIX的rServices,如rlogin,rfingerd等。用戶不提供r Services,最好將/etc/hosts.equiv和rhosts文件刪除，修改/etc/services和/etc/inetd.conf文件，將不必要的服務(wù)去除。
◎ 定期分析系統(tǒng)日志:日志文件不僅在調(diào)查網(wǎng)絡(luò)入侵時十分重要的，它們也是用少的代價來阻止攻擊的辦法之一。這里提供給大家一些比較有用的日志文件分析工具：

　　NestWatch能從所有主web服務(wù)器和許多防火墻中導(dǎo)入日志文件。它運(yùn)行在Windows NT 機(jī)器上，能夠以HTML格式輸出報告，并將它們分發(fā)到選定的服務(wù)器上。（URL：http://www.sscnet.com/nestwatch.html）

　　LogSurfer是一個綜合日志分析工具。根據(jù)它發(fā)現(xiàn)的內(nèi)容，它能執(zhí)行各種動作，包括告警、執(zhí)行外部程序，甚至將日志文件數(shù)據(jù)分塊并將它們送給外部命令或進(jìn)程處理。（ftp://ftp.cert.dfn.de/pub/tols/audit/logsurfer-1.41.tar.gz）要求有C編譯器。

◎ 不斷完善服務(wù)器系統(tǒng)的安全性能:無論是UNIX還是NT的操作系統(tǒng)都存在安全漏洞，他們的站點會不定期發(fā)布系統(tǒng)補(bǔ)丁，系統(tǒng)治理員應(yīng)定期下載補(bǔ)丁，及時堵住系統(tǒng)漏洞。（微軟公司：http://www.microsoft.com/ntserver/）.

◎ 排除人為因素：再完善的安全體制,沒有足夠的安全意識和技術(shù)人員經(jīng)常維護(hù),安全性將大打折扣。要制定一整套完整的網(wǎng)絡(luò)安全治理操作規(guī)范。

◎ 進(jìn)行動態(tài)站點監(jiān)控：利用網(wǎng)絡(luò)治理軟件對整個局域網(wǎng)進(jìn)行監(jiān)控，發(fā)現(xiàn)問題及時防范。

◎ 掃描、攻擊自己的站點：網(wǎng)絡(luò)上有許多掃描軟件（例如satan），適用于各種平臺，它們是把雙刃劍。在網(wǎng)絡(luò)治理員手里可以成為簡化安審計工作的利器，在cracker手里卻可成為網(wǎng)絡(luò)攻擊工具。

◎ 請第三方評估機(jī)構(gòu)或?qū)＜襾硗瓿删W(wǎng)絡(luò)安全的評估:一般能較系統(tǒng)地檢查局域網(wǎng)的各項安全指標(biāo),但花費(fèi)較貴.

◎ 謹(jǐn)慎利用共享軟件：不應(yīng)隨意下載使用共享軟件，有些程序員為了調(diào)測軟件的方便都設(shè)有后門，這往往成為最好的攻擊后門。
◎ 做好數(shù)據(jù)的備份工作：這是非常要害的一個步驟,有了完整的數(shù)據(jù)備份,我們在遭到攻擊或系統(tǒng)出現(xiàn)故障時才可能迅速恢復(fù)我們的系統(tǒng).

◎ 使用防火墻

　　防火墻是防止從網(wǎng)絡(luò)外部訪問本地網(wǎng)絡(luò)的所有設(shè)備，它們防止外部攻擊提供了重要的安全保障。但防火墻只是所有安全體系結(jié)構(gòu)中的一個部件，故不能完全依耐防火墻。

　　防火墻分為網(wǎng)絡(luò)級防火墻和應(yīng)用網(wǎng)關(guān)防火墻。

　　網(wǎng)絡(luò)級防火墻一般是具有很強(qiáng)報文過濾能力的路由器，可以改變參數(shù)來答應(yīng)或拒絕外部環(huán)境對站點的訪問，但對欺騙性攻擊的防護(hù)很脆弱。

　　應(yīng)用代理防火墻（應(yīng)用網(wǎng)關(guān)）的優(yōu)勢是它們能阻止IP報文無限制地進(jìn)入網(wǎng)絡(luò)，缺點是它們的開銷比較大且影響內(nèi)部網(wǎng)絡(luò)的工作。代理必須為一個網(wǎng)絡(luò)應(yīng)用進(jìn)行配置，包括HTTP、FTP、TELNET、電子郵件、新聞組等。（相關(guān)信息：http://www.telstra.com.au/pub/docs/security/800-10/node52.html）

　　防火墻的安全問題：

　　Cisco PIX DES漏洞：Cisco PRivate Link使用一個48位DES（Date Encryption Standard）密碼,被認(rèn)為較輕易被解密。（補(bǔ)?。篽ttp://www.cisco.com/warp/public/770/pixkey-pub.shtml）

　　FireWall-1保留要害字漏洞：FireWall-1有許多保留要害字，當(dāng)用它們描述網(wǎng)絡(luò)對象時會打開一個安全漏洞，使得已命名的對象成為“未定義”，可被任何地址訪問。
1.引言

　　在計算機(jī)網(wǎng)絡(luò)日益成為生活中不可或缺的工具時，計算機(jī)網(wǎng)絡(luò)中的入侵活動已經(jīng)引起了公眾的高度重視。非法入侵一直危害著網(wǎng)絡(luò)安全，計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自黑客攻擊、計算機(jī)病毒和拒絕服務(wù)攻擊三個方面。網(wǎng)絡(luò)的安全威脅方向也分為外部和內(nèi)部。黑客攻擊早在主機(jī)終端時代就已經(jīng)出現(xiàn)，隨著因特網(wǎng)的發(fā)展，現(xiàn)代黑客則從以系統(tǒng)為主的攻擊轉(zhuǎn)變到以網(wǎng)絡(luò)為主的攻擊。本文提供一些網(wǎng)絡(luò)安全防范的措施和技巧，希望能對網(wǎng)絡(luò)安全防范起一定的參考作用。

2.黑客攻擊類型

　　任何系統(tǒng)得安全都是相對的，沒有一個網(wǎng)絡(luò)操作系統(tǒng)是絕對安全的。局域網(wǎng)上網(wǎng)即使有防火墻的保護(hù),由于防火墻錯誤配置等其他原因,仍很難保證百份百的安全。

幾種網(wǎng)絡(luò)攻擊類型：

●Data Diddling-------------未經(jīng)授權(quán)刪除檔案，更改其資料（15.5%)

●Scanner-------------利用工具尋找暗門漏洞(15.8%)

●Sniffer--------------監(jiān)聽加密之封包(11.2%)

●Denial of Service-------------使其系統(tǒng)癱瘓（16.2%)

●IP Spoofing---------------冒充系統(tǒng)內(nèi)網(wǎng)絡(luò)的IP地址(12.4%)

●Other------------其他(13.9%) 3.防范黑客的措施:

◎ 選用安全的口令：據(jù)統(tǒng)計，大約80%的安全隱患是由于口令設(shè)置不當(dāng)引起的。

◎ 用戶口令應(yīng)包含大小寫，最好能加上字符串和數(shù)字，一起使用以期達(dá)到最好的保密效果；

◎ 用戶口令不要太規(guī)則,不要用用戶姓名、生日和電話號碼作為口令。不要用常用單詞作為口令；

◎ 根據(jù)黑客軟件的工作原理,參照口令破譯的難易程度,以破解需要的時間為排序指標(biāo)，口令長度設(shè)置時應(yīng)遵循7位或14位的整數(shù)倍原則；

◎ 安裝某些系統(tǒng)服務(wù)功能模塊時有內(nèi)建帳號，應(yīng)及時修改操作系統(tǒng)內(nèi)部帳號口令的缺省設(shè)置；

◎ 應(yīng)及時取消調(diào)離或停止工作的雇員的帳號以及無用的帳號;

◎ 在通過網(wǎng)絡(luò)驗證口令過程中,不得以明文方式傳輸，以免被監(jiān)聽截取;

◎ 口令不得以明文方式存放在系統(tǒng)中,確保口令以加密的形式寫在硬盤上并包含口令的文件是只讀的;

◎ 口令應(yīng)定期修改，應(yīng)避免重復(fù)使用舊口令，應(yīng)采用多套口令的命名規(guī)則；

◎ 建立帳號鎖定機(jī)制，一旦同一帳號密碼校驗錯誤若干次即斷開連接并鎖定該帳號，至一段時間才解鎖

再次開放使用。

◎ 實施存取控制：主要是針對網(wǎng)絡(luò)操作系統(tǒng)的文件系統(tǒng)的存取控制。

◎ 存取控制是內(nèi)部網(wǎng)絡(luò)安全理論的重要方面,它包括人員權(quán)限,數(shù)據(jù)標(biāo)識,權(quán)限控制,控制類型,風(fēng)險分析等內(nèi)容.

◎ 確保數(shù)據(jù)的安全：完整性是在數(shù)據(jù)處理過程中,在原來數(shù)據(jù)和現(xiàn)行數(shù)據(jù)之間保持完全一致的證實手段.一般常用數(shù)字簽名和數(shù)據(jù)加密算法來保證。請參照幾個加密站點：

　　規(guī)定公共密鑰加密:http://word.std.com/~franl/crypto/crypto.html

　　RSA加密專利公司:http://www.rsa.com.faq
◎ 使用安全的服務(wù)器系統(tǒng)：雖然沒有一種網(wǎng)絡(luò)操作系統(tǒng)是絕對安全的，但UNIX經(jīng)過幾十年來的發(fā)展已相當(dāng)成熟，以其穩(wěn)定性和安全性成為要害性應(yīng)用的首選。

　　Windows NT的安全問題：

例子：RDISK漏洞：RDISK是WINDOWSNT提供的緊急修復(fù)磁盤工具，雖然是很好的工具，但存在巨大的安全漏洞。用戶使用RDISK將所有安全信息（包括口令和注冊信息）放入C:/WINNT/REPAIR，攻擊者很輕易獲得口令。相應(yīng)的解決方案可以參見《安全Windows NT安裝和配置指導(dǎo)》，網(wǎng)絡(luò)地址：http://infosec.nosc.mil/TEXT.COMPUSEC/Navynt.zip

　　UNIX的安全問題：

例子：Linux中的imapd coredump 可以泄露隱蔽口令。 Http://underground.simplenet.com/central/linux-ex/imapd_core.txt

各大UNIX廠商的補(bǔ)丁站點：

AIX（IBM） http://www.ers.ibm.com/tech-info/index.html

FreeBSD/OpenBSD ftp://ftp.openbsd.org/pub/OpenBSD/patches

HP-UNIX http://us-support.external.hp.com/

SCO ftp://ftp.sco.com/SLS/

SunOS/Solaris http://sunsolve.sun.com/sunsolve/pubpatches/

IRIX www.sgi.com/Support/security/patches.html

◎ 謹(jǐn)慎開放缺乏安全保障的應(yīng)用和端口：很多黑客攻擊程序是針對特定服務(wù)和特定服務(wù)端口的，所以關(guān)閉不必要的服務(wù)和服務(wù)端口，能大大降低遭受黑客攻擊的風(fēng)險。

　　NT SERVER：將缺省的NWLink IPX/SPX傳輸協(xié)議去掉；在TCP/IP協(xié)議屬性里，啟用安全機(jī)制。假如沒有非凡需求（如ICQ,Real數(shù)據(jù)流傳輸?shù)龋┛蓪⑺蠻DP端口關(guān)閉。(具體方法：控制面板／協(xié)議／TCP/IP協(xié)議屬性／高級／啟用安全機(jī)制／配置）

　　UNIX：最好關(guān)閉UNIX的rServices,如rlogin,rfingerd等。用戶不提供r Services,最好將/etc/hosts.equiv和rhosts文件刪除，修改/etc/services和/etc/inetd.conf文件，將不必要的服務(wù)去除。
◎ 定期分析系統(tǒng)日志:日志文件不僅在調(diào)查網(wǎng)絡(luò)入侵時十分重要的，它們也是用少的代價來阻止攻擊的辦法之一。這里提供給大家一些比較有用的日志文件分析工具：

　　NestWatch能從所有主web服務(wù)器和許多防火墻中導(dǎo)入日志文件。它運(yùn)行在Windows NT 機(jī)器上，能夠以HTML格式輸出報告，并將它們分發(fā)到選定的服務(wù)器上。（URL：http://www.sscnet.com/nestwatch.html）

　　LogSurfer是一個綜合日志分析工具。根據(jù)它發(fā)現(xiàn)的內(nèi)容，它能執(zhí)行各種動作，包括告警、執(zhí)行外部程序，甚至將日志文件數(shù)據(jù)分塊并將它們送給外部命令或進(jìn)程處理。（ftp://ftp.cert.dfn.de/pub/tols/audit/logsurfer-1.41.tar.gz）要求有C編譯器。

◎ 不斷完善服務(wù)器系統(tǒng)的安全性能:無論是UNIX還是NT的操作系統(tǒng)都存在安全漏洞，他們的站點會不定期發(fā)布系統(tǒng)補(bǔ)丁，系統(tǒng)治理員應(yīng)定期下載補(bǔ)丁，及時堵住系統(tǒng)漏洞。（微軟公司：http://www.microsoft.com/ntserver/）.

◎ 排除人為因素：再完善的安全體制,沒有足夠的安全意識和技術(shù)人員經(jīng)常維護(hù),安全性將大打折扣。要制定一整套完整的網(wǎng)絡(luò)安全治理操作規(guī)范。

◎ 進(jìn)行動態(tài)站點監(jiān)控：利用網(wǎng)絡(luò)治理軟件對整個局域網(wǎng)進(jìn)行監(jiān)控，發(fā)現(xiàn)問題及時防范。

◎ 掃描、攻擊自己的站點：網(wǎng)絡(luò)上有許多掃描軟件（例如satan），適用于各種平臺，它們是把雙刃劍。在網(wǎng)絡(luò)治理員手里可以成為簡化安審計工作的利器，在cracker手里卻可成為網(wǎng)絡(luò)攻擊工具。

◎ 請第三方評估機(jī)構(gòu)或?qū)＜襾硗瓿删W(wǎng)絡(luò)安全的評估:一般能較系統(tǒng)地檢查局域網(wǎng)的各項安全指標(biāo),但花費(fèi)較貴.

◎ 謹(jǐn)慎利用共享軟件：不應(yīng)隨意下載使用共享軟件，有些程序員為了調(diào)測軟件的方便都設(shè)有后門，這往往成為最好的攻擊后門。
◎ 做好數(shù)據(jù)的備份工作：這是非常要害的一個步驟,有了完整的數(shù)據(jù)備份,我們在遭到攻擊或系統(tǒng)出現(xiàn)故障時才可能迅速恢復(fù)我們的系統(tǒng).

◎ 使用防火墻

　　防火墻是防止從網(wǎng)絡(luò)外部訪問本地網(wǎng)絡(luò)的所有設(shè)備，它們防止外部攻擊提供了重要的安全保障。但防火墻只是所有安全體系結(jié)構(gòu)中的一個部件，故不能完全依耐防火墻。

　　防火墻分為網(wǎng)絡(luò)級防火墻和應(yīng)用網(wǎng)關(guān)防火墻。

　　網(wǎng)絡(luò)級防火墻一般是具有很強(qiáng)報文過濾能力的路由器，可以改變參數(shù)來答應(yīng)或拒絕外部環(huán)境對站點的訪問，但對欺騙性攻擊的防護(hù)很脆弱。

　　應(yīng)用代理防火墻（應(yīng)用網(wǎng)關(guān)）的優(yōu)勢是它們能阻止IP報文無限制地進(jìn)入網(wǎng)絡(luò)，缺點是它們的開銷比較大且影響內(nèi)部網(wǎng)絡(luò)的工作。代理必須為一個網(wǎng)絡(luò)應(yīng)用進(jìn)行配置，包括HTTP、FTP、TELNET、電子郵件、新聞組等。（相關(guān)信息：http://www.telstra.com.au/pub/docs/security/800-10/node52.html）

　　防火墻的安全問題：

　　Cisco PIX DES漏洞：Cisco Private Link使用一個48位DES（Date Encryption Standard）密碼,被認(rèn)為較輕易被解密。（補(bǔ)?。篽ttp://www.cisco.com/warp/public/770/pixkey-pub.shtml）

　　FireWall-1保留要害字漏洞：FireWall-1有許多保留要害字，當(dāng)用它們描述網(wǎng)絡(luò)對象時會打開一個安全漏洞，使得已命名的對象成為“未定義”，可被任何地址訪問。

上一篇：橫看成嶺側(cè)成峰：局域網(wǎng)“隱身”小技巧兩則

下一篇：萬無一失！局域網(wǎng)內(nèi)完全共享文件防誤刪妙計