- 相關(guān)推薦
基于寬帶接入的局域網(wǎng)安全管理問題分析
基于寬帶接入的局域網(wǎng)安全管理問題分析
2002中南地區(qū)廣播電視技術(shù)年會優(yōu)秀論文三等獎隨著計(jì)算機(jī)應(yīng)用的普及和寬帶網(wǎng)絡(luò)技術(shù)的發(fā)展,目前寬帶接入方式已成為企業(yè)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)(Intranet)接入國際互連網(wǎng)(Inetrnet)的主要途徑與方式,許多企業(yè)還通過這種方式建立了自己的網(wǎng)站,通過Internet對外提供各種信息和服務(wù)。在這種形式下,如何有效的預(yù)防和檢測來自Internet的黑客攻擊和病毒入侵已成為當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的重要課題,作為一名合格的網(wǎng)絡(luò)管理員,必須要能敏銳地,及時地發(fā)現(xiàn)和處理網(wǎng)絡(luò)中特別是網(wǎng)絡(luò)服務(wù)器中存在的系統(tǒng)漏洞和安全隱患,有效的抑制制和防止黑客的非法攻擊。
網(wǎng)絡(luò)安全是一個十分復(fù)雜的問題,它的劃分也是多種多樣的,但大體上可以分為物理硬件層和系統(tǒng)軟件層,網(wǎng)絡(luò)內(nèi)部和網(wǎng)絡(luò)之間。如下表。
為何會產(chǎn)生網(wǎng)絡(luò)安全的問題?這與人有意或無意也有關(guān)系,以上表的劃分,安全問題產(chǎn)生于以下幾方面:
網(wǎng)內(nèi)硬件方面,即局域網(wǎng)的硬件方面。它主要包括網(wǎng)絡(luò)的電源供應(yīng)(UPS不間斷電源)和網(wǎng)絡(luò)的連接等。網(wǎng)絡(luò)的電源供應(yīng)的目的是保證網(wǎng)絡(luò)在有可能預(yù)見的突發(fā)性的非正常電源供應(yīng)情況下,為網(wǎng)絡(luò)(主指服務(wù)器、交換機(jī)等網(wǎng)絡(luò)的主干設(shè)備)提供一種短時的能量支持。網(wǎng)絡(luò)的連接又分為線路的連接和設(shè)備的接入,線路的連接雖然是在網(wǎng)絡(luò)的架設(shè)時所考慮的問題,但要必免因線路串?dāng)_而影響到線路的通信,以及布線的不合理造成的因線路過長而引發(fā)的信號衰減和線路因長期裸露意外遭到的外力的意外或有意的傷害等;設(shè)備的接入是指網(wǎng)絡(luò)的功能部件(如打印服務(wù)器、文件服務(wù)器和應(yīng)用服務(wù)器等)在網(wǎng)絡(luò)中正常連接。
網(wǎng)間硬件方面很少被提及,主要是因?yàn)檫@種網(wǎng)絡(luò),在工程實(shí)施時為保證數(shù)據(jù)的遠(yuǎn)距離傳輸,所使用的一般都是造價高但質(zhì)量好的連接設(shè)備,出現(xiàn)故障的概率較低。但收由于線路過長,一旦出現(xiàn)問題卻很難及時發(fā)現(xiàn)故障所在地,從而延緩了處理時間,像2001年初的中美海底光纜掛斷的類似事件還時有發(fā)生。
網(wǎng)內(nèi)軟件層,根據(jù)網(wǎng)絡(luò)實(shí)現(xiàn)的功能上的差異,不同用途的局域網(wǎng)(辦公網(wǎng)、專用存儲網(wǎng)、校園網(wǎng)以及運(yùn)算處理網(wǎng)等)的安全側(cè)重點(diǎn)也不盡相同。網(wǎng)間軟件層,就是局域網(wǎng)接入外網(wǎng)。也就是我們一般所討論的網(wǎng)絡(luò)安全,主要包括系統(tǒng)漏洞、數(shù)據(jù)遭更改或泄露、安全策略配置不當(dāng)、網(wǎng)絡(luò)攻擊、病毒入侵等。而能否抵抗網(wǎng)絡(luò)攻擊,又幾乎成為衡量這個網(wǎng)絡(luò)安全與否的標(biāo)準(zhǔn)。
網(wǎng)絡(luò)攻擊
什么是攻擊,難道僅僅發(fā)生在入侵行為完全完成且入侵者已侵入目標(biāo)網(wǎng)絡(luò)內(nèi)才算是攻擊?一切可能使得網(wǎng)絡(luò)受到破壞的行為都應(yīng)稱之為攻擊。就拿一個很常見的現(xiàn)象來說吧,很多在互聯(lián)網(wǎng)中具有固定IP的服務(wù)器,每天都要受到數(shù)以百計(jì)的端口掃描和試圖侵入,雖然不一定會被攻克,但你總不能說它沒有受到攻擊。在正式攻擊之前,攻擊者一般都會先進(jìn)行試探性攻擊,目標(biāo)是獲取系統(tǒng)有用的信息,此時比較常用的包括ping掃描,端口掃描,帳戶掃描,dns轉(zhuǎn)換,以及惡性的ip sniffer(通過技術(shù)手段非法獲取ip packet,獲得系統(tǒng)的重要信息,來實(shí)現(xiàn)對系統(tǒng)的攻擊,后面還會詳細(xì)講到),特洛依木馬程序等。如果在某一個集中的時期內(nèi),有人在頻繁得對你所管理的網(wǎng)絡(luò)進(jìn)行試探攻擊,或有不明身份的用戶經(jīng)常連入網(wǎng)絡(luò),這時網(wǎng)絡(luò)管理員就要注意了,你該好好分析一下日志文件,并對系統(tǒng)好好檢查檢查了。
通常,在正式攻擊之前,攻擊者先進(jìn)行試探性攻擊,目標(biāo)是獲取系統(tǒng)有用的信息,此時比較常用的包括ping掃描,端口掃描,帳戶掃描,dns轉(zhuǎn)換,以及惡性的ip sniffer(通過技術(shù)手段非法獲取ip packet,獲得系統(tǒng)的重要信息,來實(shí)現(xiàn)對系統(tǒng)的攻擊,后面還會詳細(xì)講到),特洛依木馬程序等。這時的被攻擊狀態(tài)中的網(wǎng)絡(luò)經(jīng)常會表現(xiàn)出一些信號,特征,例如:
2.1 收集信息攻擊:
經(jīng)常使用的工具包括:NSS, Strobe,Netscan, SATAN(Security Aadministrator's Tool for Auditing Network),Jakal, IdentTCPscan, FTPScan等以及各種sniffer.廣義上說,特洛依木馬程序也是收集信息攻擊的重要手段。收集信息攻擊有時是其它攻擊手段的前奏。對于簡單的端口掃描,敏銳的安全管理員往往可以從異常的日志記錄中發(fā)現(xiàn)攻擊者的企圖。但是對于隱秘的sniffer和trojan程序來說,檢測就是件更高級和困難的任務(wù)了。
2.1.1 sniffer
它們可以截獲口令等非常秘密的或?qū)S玫男畔ⅲ踔吝可以用來攻擊相鄰的網(wǎng)絡(luò),因此,網(wǎng)絡(luò)中sniffer的存在,會帶來很大的威脅。這里不包括安全管理員安裝用來監(jiān)視入侵者的sniffer,它們本來是設(shè)計(jì)用來診斷網(wǎng)絡(luò)的連接情況的.它可以是帶有很強(qiáng)debug功能的普通的網(wǎng)絡(luò)分析器,也可以是軟件和硬件的聯(lián)合形式。現(xiàn)在已有工作于各種平臺上的sniffer,例如
· Gobbler(MS-DOS)
· ETHLOAD(MS-DOS)
· Netman(Unix)
· Esniff.c(SunOS)
· Sunsniff(SunOS)
· Linux-sniffer.c(Linux)
· NitWit.c(SunOS)
· etc.
檢測sniffer的存在是個非常困難的任務(wù),因?yàn)閟niffer本身完全只是被動地接收數(shù)據(jù),而不發(fā)送什么。并且上面所列的sniffer程序都可以在internet上下載到,其中有一些是以源碼形式發(fā)布的(帶有.c擴(kuò)展名的)。
一般來講,真正需要保密的只是一些關(guān)鍵數(shù)據(jù),例如用戶名和口令等。使用ip包一級的加密技術(shù),可以使sniffer即使得到數(shù)據(jù)包,也很難得到真正的數(shù)據(jù)本身。這樣的工具包括 secure shell(ssh),以及F-SSH, 尤其是后者針對一般利用tcp/ip進(jìn)行通信的公共傳輸提供了非常強(qiáng)有力的,多級別的加密算法。ssh有免費(fèi)版本和商業(yè)版本,可以工作在unix上,也可以工作在windows 3.1, windows 95, 和windows nt.
另外,采用網(wǎng)絡(luò)分段技術(shù),減少信任關(guān)系等手段可以將sniffer的危害控制在較小范圍以內(nèi),也為發(fā)現(xiàn)sniffer的主人提供了方便.
2.1.2 Trojan
這是一種技術(shù)性攻擊方式. RFC1244中給出了trojan程序的經(jīng)典定義:特洛依木馬程序是這樣一種程序,它提供了一些有用的,或僅僅是有意思的功能。但是通常要做一些用戶不希望的事,諸如在你不了解的情況下拷貝文件或竊取你的密碼, 或直接將重要資料轉(zhuǎn)送出去,或破壞系統(tǒng)等等. 特洛依程序帶來一種很高級別的危險(xiǎn),因?yàn)樗鼈兒茈y被發(fā)現(xiàn),在許多情況下,特洛依程序是在二進(jìn)制代碼中發(fā)現(xiàn)的,它們大多數(shù)無法直接閱讀,并且特洛依程序可以作用在許許多多系統(tǒng)上,它的散播和病毒的散播非常相似。從internet上下載的軟件,尤其是免費(fèi)軟件和共享軟件,從匿名服務(wù)器或者usernet新聞組中獲得的程序等等都是十分可疑的. 所以作為關(guān)鍵網(wǎng)絡(luò)中的用戶有義務(wù)明白自己的責(zé)任,自覺作到不輕易安裝使用來路不清楚的軟件.
2.2 denial of service:
這是一類個人或多個人利用internet協(xié)議組的某些方面妨礙甚至關(guān)閉其它用戶對系統(tǒng)和信息的合法訪問的攻擊. 其特點(diǎn)是以潮水般的連接申請使系統(tǒng)在應(yīng)接不暇的狀態(tài)中崩潰。對于大型網(wǎng)絡(luò)而言,此類攻擊只是有限的影響, 但是卻可能導(dǎo)致較小網(wǎng)絡(luò)退出服務(wù), 遭到重創(chuàng).
這是最不容易捕獲的一種攻擊,因?yàn)椴涣羧魏魏圹E,安全管理人員不易確定攻擊來源。由于這種攻擊可以使整個系統(tǒng)癱瘓,并且容易實(shí)施,所以非常危險(xiǎn)。但是從防守的角度來講,這種攻擊的防守也比較容易. 攻擊者通過此類攻擊不會破壞系統(tǒng)數(shù)據(jù)或獲得未授權(quán)的權(quán)限, 只是搗亂和令人心煩而已. 例如使網(wǎng)絡(luò)中某個用戶的郵箱超出容限而不能正常使用等.
典型的攻擊包括如E-mail炸彈, 郵件列表連接,
2.2.1 Email炸彈
它是一種簡單有效的侵?jǐn)_工具. 它反復(fù)傳給目標(biāo)接收者相同的信息, 用這些垃圾擁塞目標(biāo)的個人郵箱. 可以使用的工具非常多, 例如bomb02.zip(mail bomber), 運(yùn)行在windows平臺上,使用非常簡單. unix平臺上發(fā)起email bomb攻擊更為簡單, 只需簡單幾行shell程序即可讓目標(biāo)郵箱內(nèi)充滿垃圾.
它的防御也比較簡單. 一般郵件收發(fā)程序都提供過濾功能, 發(fā)現(xiàn)此類攻擊后, 將源目標(biāo)地址放入拒絕接收列表中即可.
2.2.2 郵件列表連接
它產(chǎn)生的效果同郵件炸彈基本相同. 將目標(biāo)地址同時注冊到幾十個(甚至成百上千)個郵件列表中, 由于一般每個郵件列表每天會產(chǎn)生許多郵件, 可以想象總體效果是什么樣子. 可以手工完成攻擊, 也可以通過建立郵件列表數(shù)據(jù)庫而自動生成. 對于郵件列表連接,尚沒有快速的解決辦法. 受害者需要把包含注銷"unsubscribe"信息的郵件發(fā)往每個列表.
許多程序能夠同時完成兩種攻擊, 包括Up yours(Windows), KaBoom(Windows), Avalanche(Windows), Unabomber(Windows), eXtreme Mail(Windows), Homicide(Windows), Bombtrack(Macintosh), FlameThrower(Macintosh), etc.
2.2.3 其它
還有一些針對其它服務(wù)的攻擊, 例如Syn-Flooder, Ping of Death(發(fā)送異常的很大的進(jìn)行ping操作的packet來攻擊windows nt), DNSkiller(運(yùn)行在linux平臺上, 攻擊windows nt平臺上的dns服務(wù)器)等。
在路由的層次上,對數(shù)據(jù)流進(jìn)行過濾, 通過合適的配置會減少遭受此類攻擊的可能性.Cisco Systems就提供了路由級的解決方案.
2.3 spoofing attack(電子欺騙):
針對http,ftp,dns等協(xié)議的攻擊,可以竊取普通用戶甚至超級用戶的權(quán)限,任意修改信息內(nèi)容,造成巨大危害。所謂ip欺騙,就是偽造他人的源ip地址。其實(shí)質(zhì)上就是讓一臺機(jī)器來扮演另一臺機(jī)器,借以達(dá)到蒙混過關(guān)的目的。下面一些服務(wù)相對來說容易招致此類攻擊:
· 任何使用sunrpc調(diào)用的配置;rpc指sun公司的遠(yuǎn)程過程調(diào)用標(biāo)準(zhǔn),是一組工作于網(wǎng)絡(luò)之上的處理系統(tǒng)調(diào)用的方法。
· 任何利用ip地址認(rèn)證的網(wǎng)絡(luò)服務(wù)
· mit的xwindow系統(tǒng)
· 各種r服務(wù): 在unix環(huán)境中,r服務(wù)包括rlogin和rsh,其中r表示遠(yuǎn)程。人們設(shè)計(jì)這兩個應(yīng)用程序的初衷是向用戶提供遠(yuǎn)程訪問internet網(wǎng)絡(luò)上主機(jī)的服務(wù)。r服務(wù)極易受到ip欺騙的攻擊
幾乎所有的電子欺騙都倚賴于目標(biāo)網(wǎng)絡(luò)的信任關(guān)系(計(jì)算機(jī)之間的互相信任,在unix系統(tǒng)中,可以通過設(shè)置rhosts和host.equiv 來設(shè)置)。入侵者可以使用掃描程序來判斷遠(yuǎn)程機(jī)器之間的信任關(guān)系。這種技術(shù)欺騙成功的案例較少,要求入侵者具備特殊的工具和技術(shù)(,并且現(xiàn)在看來對非unix系統(tǒng)不起作用)。另外spoofing的形式還有dns spoofing等。
解決的途徑是慎重設(shè)置處理網(wǎng)絡(luò)中的主機(jī)信任關(guān)系,尤其是不同網(wǎng)絡(luò)之間主機(jī)的信任關(guān)系。如只存在局域網(wǎng)內(nèi)的信任關(guān)系,可以設(shè)置路由器使之過濾掉外部網(wǎng)絡(luò)中自稱源地址為內(nèi)部網(wǎng)絡(luò)地址的ip包,來抵御ip欺騙。下面一些公司的產(chǎn)品提供了這種功能
· Cisco System
· iss.net公司的安全軟件包可以測試網(wǎng)絡(luò)在ip欺騙上的漏洞。
· etc.
國際黑客已經(jīng)進(jìn)入有組織有計(jì)劃地進(jìn)行網(wǎng)絡(luò)攻擊階段,美國政府有意容忍黑客組織的活動,目的是使黑客的攻擊置于一定的控制之下,并且通過這一渠道獲得防范攻擊的實(shí)戰(zhàn)經(jīng)驗(yàn)。國際黑客組織已經(jīng)發(fā)展出不少逃避檢測的技巧. 使得攻擊與安全檢測防御的任務(wù)更加艱巨.
3 入侵層次分析:
3.1 敏感層的劃分
使用敏感層的概念來劃分標(biāo)志攻擊技術(shù)所引起的危險(xiǎn)程度.
1 郵件炸彈攻擊(emailbomb)(layer1)
2 簡單服務(wù)拒絕攻擊(denial of service)(layer1+)
3 本地用戶獲得非授權(quán)讀訪問(layer2)
4 本地用戶獲得他們非授權(quán)的文件寫權(quán)限(layer3)
5 遠(yuǎn)程用戶獲得非授權(quán)的帳號(layer3+)
6 遠(yuǎn)程用戶獲得了特權(quán)文件的讀權(quán)限(layer4)
7 遠(yuǎn)程用戶獲得了特權(quán)文件的寫權(quán)限(layer5)
8 遠(yuǎn)程用戶擁有了根(root)權(quán)限(黑客已攻克系統(tǒng))(layer6)
以上層次劃分在所有的網(wǎng)絡(luò)中幾乎都一樣,基本上可以作為網(wǎng)絡(luò)安全工作的考核指標(biāo)。
"本地用戶"(local user)是一種相對概念。它是指任何能自由登錄到網(wǎng)絡(luò)上的任何一臺主機(jī)上,并且在網(wǎng)絡(luò)上的某臺主機(jī)上擁有一個帳戶,在硬盤上擁有一個目錄的任何一個用戶。在一定意義上,對內(nèi)部人員的防范技術(shù)難度更大。據(jù)統(tǒng)計(jì),對信息系統(tǒng)的攻擊主要來自內(nèi)部,占85%。因?yàn)樗麄儗W(wǎng)絡(luò)有更清楚的了解,有更多的時間和機(jī)會來測試網(wǎng)絡(luò)安全漏洞,并且容易逃避系統(tǒng)日志的監(jiān)視。
3.2 不同的對策
根據(jù)遭受的攻擊的不同層次,應(yīng)采取不同的對策.
第一層:
處于第一層的攻擊基本上應(yīng)互不相干,第一層的攻擊包括服務(wù)拒絕攻擊和郵件炸彈攻擊.郵件炸彈的攻擊還包括登記列表攻擊(同時將被攻擊目標(biāo)登錄到數(shù)千或更多的郵件列表中,這樣,目標(biāo)有可能被巨大數(shù)量的郵件列表寄出的郵件淹沒)。對付此類攻擊的最好的方法是對源地址進(jìn)行分析,把攻擊者使用的主機(jī)(網(wǎng)絡(luò))信息加入inetd.sec的拒絕列表(denylistings)中.除了使攻擊者網(wǎng)絡(luò)中所有的主機(jī)都不能對自己的網(wǎng)絡(luò)進(jìn)行訪問外,沒有其它有效的方法可以防止這種攻擊的出現(xiàn).
此類型的攻擊只會帶來相對小的危害。使人頭疼的是雖然這類攻擊的危害性不大,但是發(fā)生的頻率卻可能很高,因?yàn)閮H具備有限的經(jīng)驗(yàn)和專業(yè)知識就能進(jìn)行此類型的攻擊。
第二層和第三層:
這兩層的攻擊的嚴(yán)重程度取決于那些文件的讀或?qū)憴?quán)限被非法獲得。對于isp來說,最安全的辦法是將所有的shell帳戶都集中到某一臺(或幾臺)主機(jī)上,只有它們才能接受登錄,這樣可以使得管理日志,控制訪問,協(xié)議配置和相關(guān)的安全措施實(shí)施變得更加簡單。另外,還應(yīng)該把存貯用戶編寫的cgi程序的機(jī)器和系統(tǒng)中的其它機(jī)器相隔離。
招致攻擊的原因有可能是部分配置錯誤或者是在軟件內(nèi)固有的漏洞.對于前者,管理員應(yīng)該注意經(jīng)常使用安全工具查找一般的配置錯誤,例如satan。后者的解決需要安全管理員花費(fèi)大量的時間去跟蹤了解最新的軟件安全漏洞報(bào)告,下載補(bǔ)丁或聯(lián)系供貨商。實(shí)際上,研究安全是一個永不終結(jié)的學(xué)習(xí)過程。安全管理員可以訂閱一些安全郵件列表,并學(xué)會使用一些腳本程序(如perl,等)自動搜索處理郵件,找到自己需要的最新信息。
發(fā)現(xiàn)發(fā)起攻擊的用戶后,應(yīng)該立即停止其訪問權(quán)限,凍結(jié)其帳號。
第四層:
該層攻擊涉及到遠(yuǎn)程用戶如何獲取訪問內(nèi)部文件的權(quán)利。其起因大多是服務(wù)器的配置不當(dāng),cgi程序的漏洞和溢出問題。
第五層和第六層:
只有利用那些不該出現(xiàn)卻出現(xiàn)的漏洞,才可能出現(xiàn)這種致命的攻擊。
出現(xiàn)第三,四,五層的攻擊表明網(wǎng)絡(luò)已經(jīng)處于不安全狀態(tài)之中,安全管理員應(yīng)該立即采取有效措施, 保護(hù)重要數(shù)據(jù), 進(jìn)行日志記錄和匯報(bào),同時爭取能夠定位攻擊發(fā)起地點(diǎn):
· 將遭受攻擊的網(wǎng)段分離出來,將此攻擊范圍限制在小的范圍內(nèi)
· 記錄當(dāng)前時間,備份系統(tǒng)日志,檢查記錄損失范圍和程度
· 分析是否需要中斷網(wǎng)絡(luò)連接
· 讓攻擊行為繼續(xù)進(jìn)行
· 如果可能,對系統(tǒng)做0級備份
· 將入侵的詳細(xì)情況逐級向主管領(lǐng)導(dǎo)和有關(guān)主管部門匯報(bào);如果系統(tǒng)受到嚴(yán)重破壞,影響網(wǎng)絡(luò)業(yè)務(wù)功能,立即調(diào)用備件恢復(fù)系統(tǒng)
· 對此攻擊行為進(jìn)行大量的日志工作
· (在另一個網(wǎng)段上)竭盡全力地判斷尋找攻擊源
總之,不到萬不得已的情況下, 不可使系統(tǒng)退出服務(wù). 尋找入侵者的最重要的工作就是做日志記錄和定位入侵者,而找出入侵者并通過法律手段迫使其停止攻擊是最有效的防衛(wèi)手段。
4 關(guān)于口令安全性
通過口令進(jìn)行身份認(rèn)證是目前實(shí)現(xiàn)計(jì)算機(jī)安全的主要手段之一,一個用戶的口令被非法用戶獲悉,則該非法用戶即獲得了該用戶的全部權(quán)限,這樣,尤其是高權(quán)限用戶的口令泄露以后,主機(jī)和網(wǎng)絡(luò)也就隨即失去了安全性。黑客攻擊目標(biāo)時也常常把破譯普通用戶的口令作為攻擊的開始。然后就采用字典窮舉法進(jìn)行攻擊。它的原理是這樣的:網(wǎng)絡(luò)上的用戶常采用一個英語單詞或自己的姓名、生日作為口令。通過一些程序,自動地從電腦字典中取出一個單詞,作為用戶的口令輸入給遠(yuǎn)端的主機(jī),申請進(jìn)入系統(tǒng)。若口令錯誤,就按序取出下一個單詞,進(jìn)行下一個嘗試。并一直循環(huán)下去,直到找到正確的口令,或字典的單詞試完為止。由于這個破譯過程由計(jì)算機(jī)程序來自動完成,幾個小時就可以把字典的所有單詞都試一遍。這樣的測試容易在主機(jī)日志上留下明顯攻擊特征,因此,更多的時候攻擊者會利用其它手段去獲得主機(jī)系統(tǒng)上的/etc/passwd文件甚至/etc/shadow文件,然后在本地對其進(jìn)行字典攻擊或暴力破解。攻擊者并不需要所有人的口令,他們得到幾個用戶口令就能獲取系統(tǒng)的控制權(quán),所以即使普通用戶取口令過于簡單可能會對系統(tǒng)安全造成很大的威脅。系統(tǒng)管理員以及其它所有用戶對口令選取的應(yīng)采取負(fù)責(zé)的態(tài)度,消除僥幸和偷懶思想。
保持口令安全的一些要點(diǎn)如下:
· 口令長度不要小于6位,并應(yīng)同時包含字母和數(shù)字,以及標(biāo)點(diǎn)符號和控制字符
· 口令中不要使用常用單詞(避免字典攻擊),英文簡稱,個人信息(如生日,名字,反向拼寫的登錄名,房間中可見的東西),年份,以及機(jī)器中的命令等
· 不要將口令寫下來。
· 不要將口令存于電腦文件中。
· 不要讓別人知道。
· 不要在不同系統(tǒng)上,特別是不同級別的用戶上使用同一口令。
· 為防止眼明手快的人竊取口令,在輸入口令時應(yīng)確認(rèn)無人在身邊。
· 定期改變口令,至少6個月要改變一次。
· 系統(tǒng)安裝對口令文件進(jìn)行隱藏的程序或設(shè)置。(e.g. Shadow Suite for linux)
· 系統(tǒng)配置對用戶口令設(shè)置情況進(jìn)行檢測的程序,并強(qiáng)制用戶定期改變口令。任何一個用戶口令的脆弱,都會影響整個系統(tǒng)的安全性。(e.g. passwd+, Crack,etc)
最后這點(diǎn)是十分重要的,永遠(yuǎn)不要對自己的口令過于自信,也許就在無意當(dāng)中泄露了口令。定期地改變口令,會使自己遭受黑客攻擊的風(fēng)險(xiǎn)降到了一定限度之內(nèi)。一旦發(fā)現(xiàn)自己的口令不能進(jìn)入計(jì)算機(jī)系統(tǒng),應(yīng)立即向系統(tǒng)管理員報(bào)告,由管理員來檢查原因。
系統(tǒng)管理員也應(yīng)定期運(yùn)行這些破譯口令的工具,來嘗試破譯shadow文件,若有用戶的口令密碼被破譯出,說明這些用戶的密碼取得過于簡單或有規(guī)律可循,應(yīng)盡快地通知他們,及時更正密碼,以防止黑客的入侵。
5 網(wǎng)絡(luò)安全管理員的素質(zhì)要求
· 深入地了解過至少兩個操作系統(tǒng),其中之一無可置疑地是unix。熟練配置主機(jī)的安全選項(xiàng)和設(shè)置,及時了解已見報(bào)道的安全漏洞,并能夠及時下載相應(yīng)補(bǔ)丁安裝。在特殊緊急情況下,可以獨(dú)立開發(fā)適合的安全工具或補(bǔ)丁,提高系統(tǒng)的安全性。
· 對tcp/ip協(xié)議族有透徹的了解,這是任何一個合格的安全管理員的必備的素質(zhì)。并且這種知識要不僅僅停留在internet基本構(gòu)造等基礎(chǔ)知識上,必須能夠根據(jù)偵測到的網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行準(zhǔn)確的分析,達(dá)到安全預(yù)警,有效制止攻擊和發(fā)現(xiàn)攻擊者等防御目的。
· 熟練使用c,c++,perl等語言進(jìn)行編程。這是基本要求,因?yàn)樵S多基本的安全工具是用這些語言的某一種編寫的。安全管理員至少能正確地解釋,編譯和執(zhí)行這些程序。更高的要求是能夠把不專門為某個特定平臺開發(fā)的工具移植到自己的平臺上。同時他們還能夠開發(fā)出可擴(kuò)展自己系統(tǒng)網(wǎng)絡(luò)安全性的工具來,如對satan和safe suite的擴(kuò)展和升級(它們允許用戶開發(fā)的工具附加到自己上)
· 經(jīng)常地保持與internet社會的有效接觸。不僅要了解自己的機(jī)器和局域網(wǎng),還必須了解熟悉internet。經(jīng)驗(yàn)是不可替代的。
· 熟練使用英語讀寫,與internet網(wǎng)上的各個安全論壇建立經(jīng)常的聯(lián)系。
· 平時注意收集網(wǎng)絡(luò)的各種信息, 包括硬件應(yīng)識別其構(gòu)造,制造商,工作模式,以及每臺工作站,路由器,集線器,網(wǎng)卡的型號等;軟件網(wǎng)絡(luò)軟件的所有類型以及它們的版本號;協(xié)議網(wǎng)絡(luò)正在使用的協(xié)議; 網(wǎng)絡(luò)規(guī)劃例如工作站的數(shù)量,網(wǎng)段的劃分,網(wǎng)絡(luò)的擴(kuò)展; 以及其它信息例如網(wǎng)絡(luò)內(nèi)部以前一直實(shí)施中的安全策略的概述,曾遭受過的安全攻擊的歷史記錄等。
還有一點(diǎn)也很重要,那就是不要過于相信你的供應(yīng)商,一定要有自己的判斷。你不能因?yàn)樗嬖V你裝上他的防火墻就可以高枕無憂而麻痹大意,在安裝完成后一定要進(jìn)行相應(yīng)地測試,并且還要定期對日志文件進(jìn)行審查。我還曾經(jīng)遇到過一個十分頭疼的事情,由于某軟件中存在的缺陷(應(yīng)該是指針的問題),在運(yùn)行素材文件刪除后,管理軟件認(rèn)為已經(jīng)將文件清除,可物理上仍然存在,這樣舊有的空間無法釋放,當(dāng)這樣的素材文件越來越多時,磁盤的數(shù)據(jù)存貯就會出現(xiàn)問題。網(wǎng)絡(luò)管理人員所要做的就是在日常工作中發(fā)現(xiàn)并處理這樣一些不可預(yù)期的問題。
談了這么多了,那么為什么會產(chǎn)生這樣的安全問題呢?最初的黑客大多是個人的愛好,他們并沒有什么別的目的,最大的樂趣在于攻克別人的網(wǎng)絡(luò)堡壘,以展示自己技術(shù)水平的高超,這些人的特點(diǎn)是自身水平很高,但并不對網(wǎng)絡(luò)本身造成更大的破壞,很像李白所說的"十步殺一人,千里不留名;事了拂衣去,深藏身與名";隨著網(wǎng)絡(luò)的發(fā)展與人們對黑客技術(shù)的稱道,越來越多的人加入到黑客的陣營,黑客本身也出現(xiàn)了分化,除了傳統(tǒng)意義上的黑客外,以盜取他人重要信息、以經(jīng)濟(jì)為目的和單純以破壞為目的的黑客越來越多,這時黑客的水平也良莠不齊;還有一些不妨說是發(fā)燒友或是對網(wǎng)絡(luò)有興趣的初學(xué)者,這是目前占大多數(shù)的,他們通常只是知道一點(diǎn)網(wǎng)絡(luò)知識,會用幾個軟件而已,真正對協(xié)議了解的并不多,更不要說自行編寫攻擊軟件了。
需要強(qiáng)調(diào)的是,網(wǎng)絡(luò)安全是一個系統(tǒng)工程,不是單一的產(chǎn)品或技術(shù)可以完全解決的。這是因?yàn)榫W(wǎng)絡(luò)安全包含多個層面,既有層次上的劃分、結(jié)構(gòu)上的劃分,也有防范目標(biāo)上的差別。在層次上涉及到物理層的安全、網(wǎng)絡(luò)層的安全、傳輸層的安全、應(yīng)用層的安全等;在結(jié)構(gòu)上,不同節(jié)點(diǎn)考慮的安全是不同的;在目標(biāo)上,有些系統(tǒng)專注于防范破壞性的攻擊,有些系統(tǒng)是用來檢查系統(tǒng)的安全漏洞,有些系統(tǒng)用來增強(qiáng)基本的安全環(huán)節(jié)(如審計(jì)),有些系統(tǒng)解決信息的加密、認(rèn)證問題,有些系統(tǒng)考慮的是防病毒的問題。任何一個產(chǎn)品不可能解決全部層面的問題,這與系統(tǒng)的復(fù)雜程度、運(yùn)行的位置和層次都有很大關(guān)系,因而一個完整的安全體系應(yīng)該是一個由具有分布性的多種安全技術(shù)或產(chǎn)品構(gòu)成的復(fù)雜系統(tǒng),既有技術(shù)的因素,也包含人的因素。用戶需要根據(jù)自己的實(shí)際情況選擇適合自己需求的技術(shù)和產(chǎn)品。
【基于寬帶接入的局域網(wǎng)安全管理問題分析】相關(guān)文章:
基于局域網(wǎng)的電網(wǎng)理論線損管理系統(tǒng)08-06
基于手機(jī)無線局域網(wǎng)的架構(gòu)與應(yīng)用08-06
基于交往行為理論的FDI安全性分析08-17
能否基于問題開處方08-17
試析基于素質(zhì)教育要求的小學(xué)管理問題研究08-01
冷鏈物流管理問題分析08-18