多重保護防范辦公室內網安全
[ 2007-03-25 03:52:43 | 作者: sun ]
一、邊際設備保護
網關是內外網通信的必經之路,是外網聯入內網的咽喉。相對來說,內網的木馬病毒都是比較少的,但是缺乏隔離機制的內網,一旦有一臺計算機被病毒木馬所感染,其它的也就都陷入了非常危險的境地。正如流感一般,雖然輕易不會得流感,但如果一家人中有一人不小心得上了,那其它家庭成員也就很容易被感染。
所以,對于一個局域網絡來說,在邊際處至少應當有一個初具安全防范功能的路由器或是防火墻,以建立第一道防線。
二、口令安全
現在大部分人都認識到口令安全的重要性了,不過還是要重申一下:口令的位數要盡可能的長;不要選用生日、門牌號碼、電話號碼等容易猜測的密碼作為口令;不要在每個系統上都使用同一種口令;最好使用大小寫的字母和數字混合和沒有規律的密碼作為口令,并定期改變各系統的口令。另外,個人私用密碼最好與工作時使用的密碼分開。
三、終端計算機防護
一般來說,終端計算機上必然需要安裝的防護軟件就是殺毒軟件了,基本要求就是能實時防護(特別在上外網的時候)、數據庫更新快,以及占用系統資源小。個人強烈推薦使用kaspersky,技術實力沒的說,俄國技術,病毒數據庫每天更新兩次,并承諾對新病毒的響應時間為30分鐘,使用起來也比較方便,又有漢化版,好處說不完(唯一缺點就是不是國產的,使用它不能算支持民族企業了)。
操作系統絕大多數人應當用的是微軟的windows系列,windows9x系列穩定性是不太強,幸而從windows2000之后已經不太容易死機了,操作系統本身的穩定性還可以,主要受影響的就是在安裝軟件時不小心裝上的哪些如同“牛皮癬”一般的各類插件了,如XX實名,XX豬,XX21,XX助手,XX搜等等,不僅占用了大量的系統資源和窗口空間,影響開機速度,有時還會引起不知名的錯誤。想卸載的話就在google、baidu上面搜搜吧,相關的資料還是不少的。另外,系統補丁也要及時打上。
定期備份重要數據也是非常重要的。一方面,硬盤數據恢復的價格一般要高于購買硬盤的價格,而且未必能夠恢復出來;另一方面,若誤操作將重要數據刪除,這時候備份的重要性就體現出來了。
對于擁有數十臺、上百臺甚至以上的企業,添加域控制器進行管理是一個十分有效的方法。企業一般通過代理或者路由上網,那么可以使用“網盾IPtrust內網安全管理系統”對內部計算機的操作行為進行監控,他可以對終端操作、網站瀏覽和各類即時信息軟件進行監控,并且也可以限制或禁止游戲、多媒體、股票軟件等非工作用的軟件,還能進行網站的過濾,限制色情、政治或是其它各類網站。
四、物理防護
這里指的是各種PC、路由器、交換機、工作站等硬件設備和通信鏈路的安全,主要應當注意重要設備如對外提供服務的服務器的供電以及防止水災、火災、雷擊等自然災害,人為破壞和誤操作、外界的電磁干擾等,物理安全的威脅可直接造成設備的損壞和數據的丟失。為防止這類事故要建立機房的管理制度,并嚴格執行,在基建階段就要做好機房、電源的防雷工作。
小結
要更好的解決內網的安全問題,需要從各種角度看待內網安全。在目前網絡飛速發展的形勢下,安全問題不能只停留在“堵”,“殺”或者“防”的層面上,要以動態的方式迎接各方面的挑戰,不斷學習跟上新技術的變化。除了技術上的防范,健全網絡安全的管理制度,建立健全各種規章制度也是保障內網安全必不可少的措施。
網關是內外網通信的必經之路,是外網聯入內網的咽喉。相對來說,內網的木馬病毒都是比較少的,但是缺乏隔離機制的內網,一旦有一臺計算機被病毒木馬所感染,其它的也就都陷入了非常危險的境地。正如流感一般,雖然輕易不會得流感,但如果一家人中有一人不小心得上了,那其它家庭成員也就很容易被感染。
所以,對于一個局域網絡來說,在邊際處至少應當有一個初具安全防范功能的路由器或是防火墻,以建立第一道防線。
二、口令安全
現在大部分人都認識到口令安全的重要性了,不過還是要重申一下:口令的位數要盡可能的長;不要選用生日、門牌號碼、電話號碼等容易猜測的密碼作為口令;不要在每個系統上都使用同一種口令;最好使用大小寫的字母和數字混合和沒有規律的密碼作為口令,并定期改變各系統的口令。另外,個人私用密碼最好與工作時使用的密碼分開。
三、終端計算機防護
一般來說,終端計算機上必然需要安裝的防護軟件就是殺毒軟件了,基本要求就是能實時防護(特別在上外網的時候)、數據庫更新快,以及占用系統資源小。個人強烈推薦使用kaspersky,技術實力沒的說,俄國技術,病毒數據庫每天更新兩次,并承諾對新病毒的響應時間為30分鐘,使用起來也比較方便,又有漢化版,好處說不完(唯一缺點就是不是國產的,使用它不能算支持民族企業了)。
操作系統絕大多數人應當用的是微軟的windows系列,windows9x系列穩定性是不太強,幸而從windows2000之后已經不太容易死機了,操作系統本身的穩定性還可以,主要受影響的就是在安裝軟件時不小心裝上的哪些如同“牛皮癬”一般的各類插件了,如XX實名,XX豬,XX21,XX助手,XX搜等等,不僅占用了大量的系統資源和窗口空間,影響開機速度,有時還會引起不知名的錯誤。想卸載的話就在google、baidu上面搜搜吧,相關的資料還是不少的。另外,系統補丁也要及時打上。
定期備份重要數據也是非常重要的。一方面,硬盤數據恢復的價格一般要高于購買硬盤的價格,而且未必能夠恢復出來;另一方面,若誤操作將重要數據刪除,這時候備份的重要性就體現出來了。
對于擁有數十臺、上百臺甚至以上的企業,添加域控制器進行管理是一個十分有效的方法。企業一般通過代理或者路由上網,那么可以使用“網盾IPtrust內網安全管理系統”對內部計算機的操作行為進行監控,他可以對終端操作、網站瀏覽和各類即時信息軟件進行監控,并且也可以限制或禁止游戲、多媒體、股票軟件等非工作用的軟件,還能進行網站的過濾,限制色情、政治或是其它各類網站。
四、物理防護
這里指的是各種PC、路由器、交換機、工作站等硬件設備和通信鏈路的安全,主要應當注意重要設備如對外提供服務的服務器的供電以及防止水災、火災、雷擊等自然災害,人為破壞和誤操作、外界的電磁干擾等,物理安全的威脅可直接造成設備的損壞和數據的丟失。為防止這類事故要建立機房的管理制度,并嚴格執行,在基建階段就要做好機房、電源的防雷工作。
小結
要更好的解決內網的安全問題,需要從各種角度看待內網安全。在目前網絡飛速發展的形勢下,安全問題不能只停留在“堵”,“殺”或者“防”的層面上,要以動態的方式迎接各方面的挑戰,不斷學習跟上新技術的變化。除了技術上的防范,健全網絡安全的管理制度,建立健全各種規章制度也是保障內網安全必不可少的措施。
企業中進行病毒管理防范的技巧
[ 2007-03-25 03:52:30 | 作者: sun ]
對于企業反病毒來說,如何通過少量的管理員來維護龐大的內部網絡是首要問題,如何通過整體的管理策略和解決方案,來讓企業網絡管理員能便捷、輕松、放心地掌控企業信息安全。可以說,企業防毒,“三分技術,七分管理”。本文將著重介紹目前主要的企業反病毒管理策略。
企業反病毒管理策略
1. 集中管理
在管理方式上,可分為B/S架構和C/S架構兩大主流,B/S架構相對C/S架構來說實現更為復雜,但給管理員提供了一個可移動的管理控制臺,更便捷、靈活。而C/S架構則具有實時性的優點,能夠實時反映狀態信息。
2. 分級(分地)管理
在集中管理的基礎上,衍生出分級(分地)管理的策略,針對那些有分支機構企業,提供中央加地方的管理模式,中央的管理員能夠管理企業網絡內所有機器,而分支機構的日常維護工作則由地方管理員來執行,這樣的管理策略顯然比單純的集中管理更可靠、靈活。
3. 分組管理
分組管理是對一個企業機器群的細分管理方式。一個企業內部可能分為研發、市場、財務等部門,而相應的安全性、穩定性的要求是不一樣的,分組管理在客戶端設置、警報級別等方面進行細分管理,幫助企業管理員制定更完善和有針對性的安全管理策略。
4. 權限管理
權限管理是一種強制性策略,管理員通過設置客戶端權限,來保護整個網絡的利益。通過權限管理,管理員可限制反病毒客戶端的直接控制權,比如開/關防火墻、卸載客戶端、關閉客戶端、更改客戶端設置。
5. 升級管理
保證全網所有客戶端病毒庫的及時更新是升級管理的目的,為了減少網絡帶寬和管理員維護的難度,在企業內網搭建專用的升級服務器是最佳解決方案。升級服務器包括自動更新、手動更新、升級包更新等升級方式,相應的管理接口有日志管理、病毒庫管理。
6. 警報與日志
警報在疫情發生或者將要發生時提醒管理員,使管理員可以預先防范,或者采取應急措施,保障企業數據安全。而日志是管理員對行為的一種回溯途徑,可以幫助管理員查找歷史記錄、可疑操作以及越權操作,以發現安全管理隱患。
金山毒霸網絡版的管理策略
1. B/S管理架構
金山毒霸網絡版采用業界主流的B/S結構,可保證管理員在任何一臺具備上網條件的計算機上(即使在外出差)對整個防毒體系進行集中統一的管理。
2. 無限分層的多級管理
針對政府、軍隊及大型企業集團的多級行政架構,金山毒霸網絡版采用了可無限分層的多級管理中心,各級管理中心對應于相應的行政層級,且每級都可實現對下級單位的統一管理。這種模式將行政架構、計算機網絡系統及防毒體系三者完全融合。
3. 分級架構、集中管理
金山毒霸網絡版實現跨地區多網域的分級防毒體系架構,管理員可在總部對各地分支機構的所有防毒節點進行集中統一管理,各分支機構也可實施本地化管理。該架構具有良好的可擴展性和可伸縮性,能很好適應網絡規模擴大或新增管理節點。
4. 可級聯的升級服務器
采用獨立的升級服務器,支持分級,以實現服務器升級流量的負載均衡效果,優化網絡整體性能;
企業反病毒管理策略
1. 集中管理
在管理方式上,可分為B/S架構和C/S架構兩大主流,B/S架構相對C/S架構來說實現更為復雜,但給管理員提供了一個可移動的管理控制臺,更便捷、靈活。而C/S架構則具有實時性的優點,能夠實時反映狀態信息。
2. 分級(分地)管理
在集中管理的基礎上,衍生出分級(分地)管理的策略,針對那些有分支機構企業,提供中央加地方的管理模式,中央的管理員能夠管理企業網絡內所有機器,而分支機構的日常維護工作則由地方管理員來執行,這樣的管理策略顯然比單純的集中管理更可靠、靈活。
3. 分組管理
分組管理是對一個企業機器群的細分管理方式。一個企業內部可能分為研發、市場、財務等部門,而相應的安全性、穩定性的要求是不一樣的,分組管理在客戶端設置、警報級別等方面進行細分管理,幫助企業管理員制定更完善和有針對性的安全管理策略。
4. 權限管理
權限管理是一種強制性策略,管理員通過設置客戶端權限,來保護整個網絡的利益。通過權限管理,管理員可限制反病毒客戶端的直接控制權,比如開/關防火墻、卸載客戶端、關閉客戶端、更改客戶端設置。
5. 升級管理
保證全網所有客戶端病毒庫的及時更新是升級管理的目的,為了減少網絡帶寬和管理員維護的難度,在企業內網搭建專用的升級服務器是最佳解決方案。升級服務器包括自動更新、手動更新、升級包更新等升級方式,相應的管理接口有日志管理、病毒庫管理。
6. 警報與日志
警報在疫情發生或者將要發生時提醒管理員,使管理員可以預先防范,或者采取應急措施,保障企業數據安全。而日志是管理員對行為的一種回溯途徑,可以幫助管理員查找歷史記錄、可疑操作以及越權操作,以發現安全管理隱患。
金山毒霸網絡版的管理策略
1. B/S管理架構
金山毒霸網絡版采用業界主流的B/S結構,可保證管理員在任何一臺具備上網條件的計算機上(即使在外出差)對整個防毒體系進行集中統一的管理。
2. 無限分層的多級管理
針對政府、軍隊及大型企業集團的多級行政架構,金山毒霸網絡版采用了可無限分層的多級管理中心,各級管理中心對應于相應的行政層級,且每級都可實現對下級單位的統一管理。這種模式將行政架構、計算機網絡系統及防毒體系三者完全融合。
3. 分級架構、集中管理
金山毒霸網絡版實現跨地區多網域的分級防毒體系架構,管理員可在總部對各地分支機構的所有防毒節點進行集中統一管理,各分支機構也可實施本地化管理。該架構具有良好的可擴展性和可伸縮性,能很好適應網絡規模擴大或新增管理節點。
4. 可級聯的升級服務器
采用獨立的升級服務器,支持分級,以實現服務器升級流量的負載均衡效果,優化網絡整體性能;
不怕攻擊 撥號上網必學的八招安全技巧
[ 2007-03-25 03:52:13 | 作者: sun ]
與局域網用戶相比,普通撥號上網的用戶在預防黑客入侵的對抗中,往往處于更不利的地位。但是,許多上網的蟲蟲一向對網絡安全抱著無所謂的態度,認為最多不過是被人盜用賬號而損失幾千元而已,卻沒有想到被盜用的賬號如果被黑客利用做為跳板從事網絡破壞活動,你可能就要背黑鍋了。根據筆者一位朋友對撥號上網用戶的抽樣追蹤發現,在廣州城里,居然有三成多的用戶半年以內都不更換一次賬號密碼!由于從事黑客活動越來越容易,是到了需要提高網絡安全意識的時候了,下面的方法將有助于撥號上網用戶預防黑客入侵。
一、 經常修改密碼
老生常談了,但卻是最簡單有效的方法。由于許多黑客利用窮舉法來破解密碼,像John這一類的密碼破解程序可從因特網上免費下載,只要加上一個足夠大的字典在足夠快的機器上沒日沒夜地運行,就可以獲得需要的帳號及密碼,因此,經常修改密碼對付這種盜用就顯得十分奏效。由于那么多潛在的黑客千方百計想要獲得別人的密碼,那么撥號上網用戶就應該加強防范,以下四個原則可提高密碼的抗破解能力。
1.不要選擇常用字做密碼。
2.用單詞和符號混合組成密碼。
3.使用9個以上的字符做密碼,使你的密碼盡可能地長,對Windows系統來說,密碼最少要由9個字符組成才算安全。
4.密碼組成中最好混合使用大小寫字母,一般情況下密碼只由英文字母組成,密碼中可使用26或52個字母。若對一個8個字母組成的密碼進行破解,密碼中字母有無大小寫之分將使破解時間產生256倍的差別。
二、 請他人安裝后應立即修改密碼
這是一個很容易忽略的細節,許多用戶第一次不懂得如何撥號上網,就請別人來教,這樣常常把用戶名和密碼告訴此人,這個人記住以后就可以回去盜用服務了。所以,用戶最好自己學會如何撥號后再去申請上網賬號,或者首先向ISP問清如何修改自己的密碼,在別人教會自己如何撥號后,立刻將密碼改掉,避免被人盜用。
三、 使用“撥號后出現終端窗口”功能
選中某一連接,單擊鼠標右鍵,選“屬性/常規/配置/選項/撥號后出現終端窗口”,然后撥號時,在撥號界面上不要填入用戶名和密碼(更不要選中“保存密碼”項),在出現撥號終端窗口后再進行相應的輸入,這可以避免用戶名和密碼被記錄到硬盤上的密碼文件中,同時,也可以避免被某些黑客程序捕獲用戶名和密碼。
四、 刪除.pwl文件
在Windows目錄下往往有一些以“.pwl”為后綴名的密碼文件,“.pwl”是password的音譯縮寫。比如:在最初的Windows 95操作系統中密碼的保存即存在安全漏洞,從而使黑客可以利用相應的程序輕松獲取保存在pwl文件里的密碼。這一漏洞在Windows 97中已經被修復。因此,你需要為你的電腦安裝Windows 97以上版本的操作系統。pwl文件還常常記錄其他地方要用到的密碼,比如開啟Exchange電子信箱的密碼、玩Mud游戲的密碼等,要經常刪除這些pwl文件避免將密碼留在硬盤上。
五、 禁止安裝擊鍵記錄程序
很多人知道doskey.exe這個程序,這個在DOS下常用的外部命令能通過恢復以前輸入的命令來加快輸入命令的速度,在Windows下也有了許多類似的程序,如keylog,它不但能記錄用戶的擊鍵動作甚至能以快照的形式記錄到屏幕上發生的一切。還有些程序能將擊鍵字母記錄到根目錄下的某一特定文件中,而這一文件可以用文本編輯器來查看。密碼就是這樣被泄露出去的,偷盜者只要在根目錄下看看就可以了,根本無需任何專業知識!
六、 對付特洛伊木馬
特洛伊木馬程序常被定義為當執行一個任務時卻實際上執行著另一個任務的程序,用“瞞天過海”或“披著羊皮的狼”之類的詞來形容這類程序一點也不為過。典型的一個例子是:偽造一個登錄界面,當用戶在這個界面上輸入用戶名和密碼時,程序將它們轉移到一個隱蔽的文件中,然后提示錯誤要求用戶再輸入一遍,程序這時再調用真正的登錄界面讓用戶登錄,于是在用戶幾乎毫無察覺的情況下就得到了記錄有用戶名和密碼的文件。現在互聯網上有許多所謂的特洛伊木馬程序,像著名的BO、Backdoor、Netbus及國內的Netspy等等。嚴格地說,它們屬于客戶機/服務器(C/S)程序,因為它們往往帶有一個用于駐留在用戶機器上的服務器程序,以及一個用于訪問用戶機器的客戶端程序,就好像NT的Server和Workstation的關系一樣。
在對付特洛伊木馬程序方面,有以下幾種辦法:
多讀readme.txt。許多人出于研究目的下載了一些特洛伊木馬程序的軟件包,在沒有弄清軟件包中幾個程序的具體功能前,就匆匆地執行其中的程序,這樣往往就錯誤地執行了服務器端程序而使用戶的計算機成為了特洛伊木馬的犧牲品。軟件包中經常附帶的readme.txt文件會有程序的詳細功能介紹和使用說明,盡管它一般是英文的,但還是有必要先閱讀一下,如果實在讀不懂,那最好不要執行任何程序,丟棄軟件包當然是最保險的了。有必要養成在使用任何程序前先讀readme.txt的好習慣。
值得一提的是,有許多程序說明做成可執行的readme.exe形式,readme.exe往往捆綁有病毒或特洛伊木馬程序,或者干脆就是由病毒程序、特洛伊木馬的服務器端程序改名而得到的,目的就是讓用戶誤以為是程序說明文件去執行它,可謂用心險惡。所以從互聯網上得來的readme.exe最好不要執行它。
大多數網站殘疾人無法訪問 缺乏必要軟件
[ 2007-03-25 03:52:01 | 作者: sun ]
本周二,聯合國發表的一份調查報告稱,全球的許多網站都無法為殘疾人所訪問,但通過簡單的改進就能夠符合國際可訪問性標準。
英國高科技廠商Nomensa對20個國家的100個流行的網站進行了研究,發現許多網站不符合國際訪問性標準。Nomensa的沃森在聯合國總部的一個新聞發布會上說,很顯然,我們有些困難需要克服。沃森本人就是個盲人。
沃森表示,盡管許多網站已經采取了提高可訪問性的措施,但是,它們需要做出更多的努力,使自己能夠為不能使用計算機鼠標、弱視的人、甚至是盲人所訪問。
沃森指出,在調查中最常見的問題是對JavaScript腳本語言的使用,以及使用不帶解釋性文字的圖像。大量使用JavaScript使得約10%的互聯網用戶無法訪問關鍵的信息,因為他們缺乏必要的軟件;圖片的文字描述使盲人能夠通過使用可以將文本轉化為語音的屏幕文本閱讀軟件“看到”圖像。
這次調查發現的另一個問題是顏色搭配不夠好,給患有色盲等輕微眼疾的用戶訪問網頁帶來了困難。
在被調查的100個網站中,有3個符合基本的可訪問性標準——德國總理、英國首相,以及西班牙政府的網站。
創建容易記憶而又安全的密碼
[ 2007-03-25 03:51:48 | 作者: sun ]
用戶們經常會忘記自己的密碼。為了不忘記密碼,他們就是用些簡單的信息來創建密碼,比如用養的狗的名字,兒子的名字和生日,目前月份的名稱——或者任何可以幫助他們記住密碼的東西。
對于那些侵入你的計算機系統的黑客來說,你創建的這些密碼毫無作用,就好比把門鎖上了卻把鑰匙扔在門外的擦鞋墊上一樣。黑客不需要使用特殊工具就能發現你個人的基本信息——名字,孩子的名字,生日,寵物名字,等等。他可以把這些作為破解你密碼的線索一一嘗試。
想要創建安全又好記的密碼,請遵循如下幾個簡單的要求:
1、別用個人信息
永遠不要用個人信息來創建密碼。別人很容易猜到你可能用姓,寵物名字,孩子的出生日期或者其他類似的細節。
2、別用真實的單詞
黑客們能用某些工具猜出你的密碼。現如今的計算機不需要花很久的時間就可以把字典中的所有單詞都試一遍,然后找出你的密碼。所以你最好別用真實的單詞做密碼。
3、混用不同體的字符
混用不同的字體的字符可以使你的密碼更安全。既用大寫字母也用小寫字母,以及數字,甚至諸如‘&’和‘%’等。
4、使用慣用語
除了記住那些用各種字符組成的密碼,你還可以使用慣用語,它同樣可以組成不是字典中的單詞的密碼。你可以想出一句話或者一行你喜歡的歌曲或詩歌,用它每個單詞的首字母創建一個密碼。
例如,與其創建一個'yrHes'這樣的密碼,你不如用“I like to read the About.com Internet / Network Security web site”這句話,把它轉成如“il2rtA!nsws”這樣的密碼。這個密碼中,用‘2’取代‘to’,并且用驚嘆號代替‘Internet’的首字母‘i’。你也可以用各種各樣的字符來創建難以被破解的密碼,并且便于自己記憶。
5、使用密碼管理工具
安全地儲存和記憶密碼的另一個辦法就是使用密碼管理工具。這類工具把用戶名密碼加密后保存。有些甚至可以在你訪問網站時自動向站點或者應用程序填寫用戶名和密碼信息。
6、使用不同的密碼
如果想要保護你的賬戶和程序,你應該為每個應用程序使用不同的用戶名和密碼。即使其中的某一個密碼被破解了,你其他的密碼還是安全的。另一個方法比這種方法的安全性略低,但是它可以使你在安全與方便之間取個折衷。這種方法就是對那些不需要額外保障其安全性的應用都是用一套用戶名和密碼,而在你的銀行或者信用卡的網站則用單獨的用戶名和更安全的密碼。
7、經常更換密碼
你應該至少每30到60天就應該更換密碼。并且至少一年之內不應當重復使用同一個密碼。
8、加強密碼的安全性
與其依靠計算機的每一位使用者去理解并遵循以上的建議,你還不如給操作系統配置密碼策略,這樣系統將不接受那些不符合最低安全要求的密碼
對于那些侵入你的計算機系統的黑客來說,你創建的這些密碼毫無作用,就好比把門鎖上了卻把鑰匙扔在門外的擦鞋墊上一樣。黑客不需要使用特殊工具就能發現你個人的基本信息——名字,孩子的名字,生日,寵物名字,等等。他可以把這些作為破解你密碼的線索一一嘗試。
想要創建安全又好記的密碼,請遵循如下幾個簡單的要求:
1、別用個人信息
永遠不要用個人信息來創建密碼。別人很容易猜到你可能用姓,寵物名字,孩子的出生日期或者其他類似的細節。
2、別用真實的單詞
黑客們能用某些工具猜出你的密碼。現如今的計算機不需要花很久的時間就可以把字典中的所有單詞都試一遍,然后找出你的密碼。所以你最好別用真實的單詞做密碼。
3、混用不同體的字符
混用不同的字體的字符可以使你的密碼更安全。既用大寫字母也用小寫字母,以及數字,甚至諸如‘&’和‘%’等。
4、使用慣用語
除了記住那些用各種字符組成的密碼,你還可以使用慣用語,它同樣可以組成不是字典中的單詞的密碼。你可以想出一句話或者一行你喜歡的歌曲或詩歌,用它每個單詞的首字母創建一個密碼。
例如,與其創建一個'yrHes'這樣的密碼,你不如用“I like to read the About.com Internet / Network Security web site”這句話,把它轉成如“il2rtA!nsws”這樣的密碼。這個密碼中,用‘2’取代‘to’,并且用驚嘆號代替‘Internet’的首字母‘i’。你也可以用各種各樣的字符來創建難以被破解的密碼,并且便于自己記憶。
5、使用密碼管理工具
安全地儲存和記憶密碼的另一個辦法就是使用密碼管理工具。這類工具把用戶名密碼加密后保存。有些甚至可以在你訪問網站時自動向站點或者應用程序填寫用戶名和密碼信息。
6、使用不同的密碼
如果想要保護你的賬戶和程序,你應該為每個應用程序使用不同的用戶名和密碼。即使其中的某一個密碼被破解了,你其他的密碼還是安全的。另一個方法比這種方法的安全性略低,但是它可以使你在安全與方便之間取個折衷。這種方法就是對那些不需要額外保障其安全性的應用都是用一套用戶名和密碼,而在你的銀行或者信用卡的網站則用單獨的用戶名和更安全的密碼。
7、經常更換密碼
你應該至少每30到60天就應該更換密碼。并且至少一年之內不應當重復使用同一個密碼。
8、加強密碼的安全性
與其依靠計算機的每一位使用者去理解并遵循以上的建議,你還不如給操作系統配置密碼策略,這樣系統將不接受那些不符合最低安全要求的密碼
Windows服務器:切斷默認共享通道七招
[ 2007-03-25 03:51:37 | 作者: sun ]
在Windows服務器系統中,每當服務器啟動成功時,系統的C盤、D盤等都會被自動設置成隱藏共享,盡管通過這些默認共享可以讓服務器管理維護起來更方便一些;但在享受方便的同時,這些默認共享常常會被一些非法攻擊者利用,從而容易給服務器造成安全威脅。如果你不想讓服務器輕易遭受到非法攻擊的話,就必須及時切斷服務器的默認共享“通道”。下面,本文就為大家推薦以下幾則妙招,以便讓你輕松禁止掉服務器的默認共享。
功能配置法
這種方法是通過Windows XP或Windows 2003系統中的msconfig命令,來實現切斷服務器默認共享“通道”目的的。使用該方法時,可以按照如下步驟來進行:
依次單擊“開始”/“運行”命令,在隨后出現的系統運行設置框中,輸入字符串命令“msconfig”,單擊“確定”按鈕后,打開一個標題為系統配置實用程序的設置窗口;
單擊該窗口中的“服務”選項卡,在其后打開的如圖1所示的選項設置頁面中,找到其中的“Server”項目,并檢查該項目前面是否有勾號存在,要是有的話必須將其取消掉,最后單擊一下“確定”按鈕,以后重新啟動服務器系統時,服務器的C盤、D盤等就不會被自動設置成默認共享了。
小提示:盡管Windows 2000服務器系統沒有系統配置實用程序功能,但考慮到該系統的內核與Windows 2003系統內核比較接近,因此你可以將Windows 2003系統中的msconfig.exe文件和msconfig.chm文件直接復制到Windows 2000系統目錄中,以后你也可以在該系統的運行對話框中,直接啟動系統配置實用程序功能了。如果在啟動該功能的過程中,遇到有錯誤提示窗口彈出時,你可以不必理會,不停單擊“取消”按鈕就可以看到系統配置實用程序設置窗口了。
“強行”停止法
所謂“強行”停止法,其實就是借助Windows服務器的計算機管理功能,來對已經存在的默認共享文件夾,“強制”停止共享命令,以便讓其共享狀態取消,同時確保這些文件夾下次不能被自動設置成共享。在“強行”停止默認共享文件夾的共享狀態時,你可以按照下面的步驟來進行:
依次單擊“開始”/“運行”命令,在打開的系統運行設置框中,輸入字符串命令“compmgmt.msc”,單擊“確定”按鈕后,打開打開Windows服務器系統的“計算機管理”界面;
在該界面的左側列表區域中,用鼠標逐一展開“系統工具”、“共享文件夾”、“共享”文件夾,在對應“共享”文件夾右邊的子窗口中,你將會發現服務器系統中所有已被共享的文件文件夾都被自動顯示出來了,其中共享名稱后面帶有“$”符號的共享文件夾,就是服務器自動生成的默認共享文件夾;
要取消這些共享文件夾的共享狀態,你只要先用鼠標逐一選中它們,然后再用右鍵單擊之,在其后打開的快捷菜單中,選中“停止共享”選項,隨后屏幕上將打開一個如圖2所示的對話框,要求你確認一下是否真的想停止已經選擇的共享,此時你再單擊一下“是”按鈕,所有選中的默認共享文件夾的共享標志就會自動消失了,這表明它們的共享狀態已經被“強行”停止了,以后哪怕是重新啟動服務器系統,服務器的C盤、D盤也不會被自動設置成默認共享了。
逐一刪除法
所謂“逐一刪除法”,其實就是借助Windows服務器內置的“net share”命令,來將已經處于共享狀態的默認共享文件夾,一個一個地刪除掉(當然這里的刪除,僅僅表示刪除默認共享文件夾的共享狀態,而不是刪除默認文件夾中的內容),但該方法有一個致命的缺陷,就是無法實現“一勞永逸”的刪除效果,只要服務器系統重新啟動一下,默認共享文件夾又會自動生成了。在使用該方法刪除默認共享文件夾的共享狀態時,可以參考如下的操作步驟:
首先在系統的開始菜單中,執行“運行”命令,打開系統運行設置框,在該對話框中輸入字符串命令“cmd”后,再單擊“確定”按鈕,這樣Windows服務器系統就會自動切換到DOS命令行工作狀態;
然后在DOS命令行中,輸入字符串命令“net share c$ /del”,單擊回車鍵后,服務器中C盤分區的共享狀態就被自動刪除了;如果服務器中還存在D盤分區、E盤分區的話,你可以按照相同的辦法,分別執行字符串命令“net share d$ /del”、“net share e$ /del”來刪除它們的共享狀態;
此外,對應IP$、Admin$之類的默認共享文件夾,你們也可以執行字符串命令“net share ipc$ /del”、“net share admin$ /del”,來將它們的隱藏共享狀態取消,這樣的話非法攻擊者就無法通過這些隱藏共享“通道”,來隨意攻擊Windows服務器了。
“自動”刪除法
如果服務器中包含的隱藏共享文件夾比較多的話,依次通過“net share”命令來逐一刪除它們時,將顯得非常麻煩。其實,我們可以自行創建一個批處理文件,來讓服務器一次性刪除所有默認共享文件夾的共享狀態。在創建批處理文件時,只要打開類似記事本之類的文本編輯工具,并在編輯窗口中輸入下面的源代碼命令:
@echo off
net share C$ /del
net share D$ /del
net share ipc$ /del
net share admin$ /del
……
完成上面的代碼輸入操作后,再依次單擊文本編輯窗口中的“文件”/“保存”菜單命令,在彈出的文件保存對話框中輸入文件名為“delshare.bat”,并設置好具體的保存路徑,再單擊一下“保存”按鈕,就能完成自動刪除默認共享文件夾的批處理文件創建工作了。以后需要刪除這些默認共享文件夾的共享狀態時,只要雙擊“delshare.bat”批處理文件,服務器系統中的所有默認共享“通道”就能被自動切斷了。
功能配置法
這種方法是通過Windows XP或Windows 2003系統中的msconfig命令,來實現切斷服務器默認共享“通道”目的的。使用該方法時,可以按照如下步驟來進行:
依次單擊“開始”/“運行”命令,在隨后出現的系統運行設置框中,輸入字符串命令“msconfig”,單擊“確定”按鈕后,打開一個標題為系統配置實用程序的設置窗口;
單擊該窗口中的“服務”選項卡,在其后打開的如圖1所示的選項設置頁面中,找到其中的“Server”項目,并檢查該項目前面是否有勾號存在,要是有的話必須將其取消掉,最后單擊一下“確定”按鈕,以后重新啟動服務器系統時,服務器的C盤、D盤等就不會被自動設置成默認共享了。
小提示:盡管Windows 2000服務器系統沒有系統配置實用程序功能,但考慮到該系統的內核與Windows 2003系統內核比較接近,因此你可以將Windows 2003系統中的msconfig.exe文件和msconfig.chm文件直接復制到Windows 2000系統目錄中,以后你也可以在該系統的運行對話框中,直接啟動系統配置實用程序功能了。如果在啟動該功能的過程中,遇到有錯誤提示窗口彈出時,你可以不必理會,不停單擊“取消”按鈕就可以看到系統配置實用程序設置窗口了。
“強行”停止法
所謂“強行”停止法,其實就是借助Windows服務器的計算機管理功能,來對已經存在的默認共享文件夾,“強制”停止共享命令,以便讓其共享狀態取消,同時確保這些文件夾下次不能被自動設置成共享。在“強行”停止默認共享文件夾的共享狀態時,你可以按照下面的步驟來進行:
依次單擊“開始”/“運行”命令,在打開的系統運行設置框中,輸入字符串命令“compmgmt.msc”,單擊“確定”按鈕后,打開打開Windows服務器系統的“計算機管理”界面;
在該界面的左側列表區域中,用鼠標逐一展開“系統工具”、“共享文件夾”、“共享”文件夾,在對應“共享”文件夾右邊的子窗口中,你將會發現服務器系統中所有已被共享的文件文件夾都被自動顯示出來了,其中共享名稱后面帶有“$”符號的共享文件夾,就是服務器自動生成的默認共享文件夾;
要取消這些共享文件夾的共享狀態,你只要先用鼠標逐一選中它們,然后再用右鍵單擊之,在其后打開的快捷菜單中,選中“停止共享”選項,隨后屏幕上將打開一個如圖2所示的對話框,要求你確認一下是否真的想停止已經選擇的共享,此時你再單擊一下“是”按鈕,所有選中的默認共享文件夾的共享標志就會自動消失了,這表明它們的共享狀態已經被“強行”停止了,以后哪怕是重新啟動服務器系統,服務器的C盤、D盤也不會被自動設置成默認共享了。
逐一刪除法
所謂“逐一刪除法”,其實就是借助Windows服務器內置的“net share”命令,來將已經處于共享狀態的默認共享文件夾,一個一個地刪除掉(當然這里的刪除,僅僅表示刪除默認共享文件夾的共享狀態,而不是刪除默認文件夾中的內容),但該方法有一個致命的缺陷,就是無法實現“一勞永逸”的刪除效果,只要服務器系統重新啟動一下,默認共享文件夾又會自動生成了。在使用該方法刪除默認共享文件夾的共享狀態時,可以參考如下的操作步驟:
首先在系統的開始菜單中,執行“運行”命令,打開系統運行設置框,在該對話框中輸入字符串命令“cmd”后,再單擊“確定”按鈕,這樣Windows服務器系統就會自動切換到DOS命令行工作狀態;
然后在DOS命令行中,輸入字符串命令“net share c$ /del”,單擊回車鍵后,服務器中C盤分區的共享狀態就被自動刪除了;如果服務器中還存在D盤分區、E盤分區的話,你可以按照相同的辦法,分別執行字符串命令“net share d$ /del”、“net share e$ /del”來刪除它們的共享狀態;
此外,對應IP$、Admin$之類的默認共享文件夾,你們也可以執行字符串命令“net share ipc$ /del”、“net share admin$ /del”,來將它們的隱藏共享狀態取消,這樣的話非法攻擊者就無法通過這些隱藏共享“通道”,來隨意攻擊Windows服務器了。
“自動”刪除法
如果服務器中包含的隱藏共享文件夾比較多的話,依次通過“net share”命令來逐一刪除它們時,將顯得非常麻煩。其實,我們可以自行創建一個批處理文件,來讓服務器一次性刪除所有默認共享文件夾的共享狀態。在創建批處理文件時,只要打開類似記事本之類的文本編輯工具,并在編輯窗口中輸入下面的源代碼命令:
@echo off
net share C$ /del
net share D$ /del
net share ipc$ /del
net share admin$ /del
……
完成上面的代碼輸入操作后,再依次單擊文本編輯窗口中的“文件”/“保存”菜單命令,在彈出的文件保存對話框中輸入文件名為“delshare.bat”,并設置好具體的保存路徑,再單擊一下“保存”按鈕,就能完成自動刪除默認共享文件夾的批處理文件創建工作了。以后需要刪除這些默認共享文件夾的共享狀態時,只要雙擊“delshare.bat”批處理文件,服務器系統中的所有默認共享“通道”就能被自動切斷了。
安全方案 多角度詳解網站安全保護方法
[ 2007-03-25 03:51:25 | 作者: sun ]
一、網站的通用保護方法
針對黑客威脅,網絡安全管理員采取各種手段增強服務器的安全,確保WWW服務的正常運行。象在Internet上的Email、ftp等服務器一樣,可以用如下的方法來對WWW服務器進行保護:
安全配置
關閉不必要的服務,最好是只提供WWW服務,安裝操作系統的最新補丁,將WWW服務升級到最新版本并安裝所有補丁,對根據WWW服務提供者的安全建議進行配置等,這些措施將極大提供WWW服務器本身的安全。
防火墻
安裝必要的防火墻,阻止各種掃描工具的試探和信息收集,甚至可以根據一些安全報告來阻止來自某些特定IP地址范圍的機器連接,給WWW服務器增加一個防護層,同時需要對防火墻內的網絡環境進行調整,消除內部網絡的安全隱患。
漏洞掃描
使用商用或免費的漏洞掃描和風險評估工具定期對服務器進行掃描,來發現潛在的安全問題,并確保由于升級或修改配置等正常的維護工作不會帶來安全問題。
入侵檢測系統
利用入侵檢測系統(IDS)的實時監控能力,發現正在進行的攻擊行為及攻擊前的試探行為,記錄黑客的來源及攻擊步驟和方法。
這些安全措施都將極大提供WWW服務器的安全,減少被攻擊的可能性。
二、網站的專用保護方法
盡管采用的各種安全措施能防止很多黑客的攻擊,然而由于各種操作系統和服務器軟件漏洞的不斷發現,攻擊方法層出不窮,技術高明的黑客還是能突破層層保護,獲得系統的控制權限,從而達到破壞主頁的目的。這種情況下,一些網絡安全公司推出了專門針對網站的保護軟件,只保護網站最重要的內容--網頁。一旦檢測到被保護的文件發生了{非正常的}改變,就進行恢復。一般情況下,系統首先需要對正常的頁面文件進行備份,然后啟動檢測機制,檢查文件是否被修改,如果被修改就需要進行恢復。我們對以下幾個方面的技術進行分析比較:
監測方式
本地和遠程:檢測可以是在本地運行一個監測端,也可以在網絡上的另一臺主機。如果是本地的話,監測端進程需要足夠的權限讀取被保護目錄或文件。監測端如果在遠端的話,WWW服務器需要開放一些服務并給監測端相應的權限,較常見的方式是直接利用服務器的開放的WWW服務,使用HTTP協議來監測被保護的文件和目錄。也可利用其它常用協議來檢測保護文件和目錄,如FTP等。采用本地方式檢測的優點是效率高,而遠程方式則具有平臺無關性,但會增加網絡流量等負擔。
定時和觸發:絕大部分保護軟件是使用的定時檢測的方式,不論在本地還是遠程檢測都是根據系統設定的時間定時檢測,還可將被保護的網頁分為不同等級,等級高的檢測時間間隔可以設得較短,以獲得較好的實時性,而將保護等級較低的網頁文件檢測時間間隔設得較長,以減輕系統的負擔。觸發方式則是利用操作系統提供的一些功能,在文件被創建、修改或刪除時得到通知,這種方法的優點是效率高,但無法實現遠程檢測。
比較方法
在判斷文件是否被修改時,往往采用被保護目錄和備份庫中的文件進行比較,比較最常見的方式全文比較。使用全文比較能直接、準確地判斷出該文件是否被修改。然而全文比較在文件較大較多時效率十分低下,一些保護軟件就采用文件的屬性如文件大小、創建修改時間等進行比較,這種方法雖然簡單高效,但也有嚴重的缺陷:{惡意入侵者}可以通過精心構造,把替換文件的屬性設置得和原文件完全相同,{從而使被惡意更改的文件無法被檢測出來}。另一種方案就是比較文件的數字簽名,最常見的是MD5簽名算法,由于數字簽名的不可偽造性,數字簽名能確保文件的相同。
恢復方式
恢復方式與備份庫存放的位置直接相關。如果備份庫存放在本地的話,恢復進程必須有寫被保護目錄或文件的權限。如果在遠程則需要通過文件共享或FTP的方式來進行,那么需要文件共享或FTP的帳號,并且該帳號擁有對被保護目錄或文件的寫權限。
備份庫的安全
當黑客發現其更換的主頁很快被恢復時,往往會激發起進一步破壞的欲望,此時備份庫的安全尤為重要。網頁文件的安全就轉變為備份庫的安全。對備份庫的保護一種是通過文件隱藏來實現,讓黑客無法找到備份目錄。另一種方法是對備份庫進行數字簽名,如果黑客修改了備份庫的內容,保護軟件可以通過簽名發現,就可停止WWW服務或使用一個默認的頁面。
通過以上分析比較我們發現各種技術都有其優缺點,需要結合實際的網絡環境來選擇最適合的技術方案。
三、網站保護的缺陷
盡管網站保護軟件能進一步提高系統的安全,仍然存在一些缺陷。首先這些保護軟件都是針對靜態頁面而設計,而現在動態頁面占據的范圍越來越大,盡管本地監測方式可以檢測腳本文件,但對腳本文件使用的數據庫卻無能為力。
另外,有些攻擊并不是針對頁面文件進行的,前不久泛濫成災的"Red Code"就是使用修改IIS服務的一個動態庫來達到攻擊頁面的目的。另一個方面,網站保護軟件本身會增加WWW服務器的負載,在WWW服務器負載本身已經很重的情況下,一定好仔細規劃好使用方案。
四、結論
本文討論了網站常用的保護方法,詳細地分析比較了專用網站保護軟件采用的各種技術實現和優缺點,并指出了其缺陷。安全雖不是使用某個工具或某些工具就可以解決的,但使用這些工具能幫助提高安全性,減少安全風險。
針對黑客威脅,網絡安全管理員采取各種手段增強服務器的安全,確保WWW服務的正常運行。象在Internet上的Email、ftp等服務器一樣,可以用如下的方法來對WWW服務器進行保護:
安全配置
關閉不必要的服務,最好是只提供WWW服務,安裝操作系統的最新補丁,將WWW服務升級到最新版本并安裝所有補丁,對根據WWW服務提供者的安全建議進行配置等,這些措施將極大提供WWW服務器本身的安全。
防火墻
安裝必要的防火墻,阻止各種掃描工具的試探和信息收集,甚至可以根據一些安全報告來阻止來自某些特定IP地址范圍的機器連接,給WWW服務器增加一個防護層,同時需要對防火墻內的網絡環境進行調整,消除內部網絡的安全隱患。
漏洞掃描
使用商用或免費的漏洞掃描和風險評估工具定期對服務器進行掃描,來發現潛在的安全問題,并確保由于升級或修改配置等正常的維護工作不會帶來安全問題。
入侵檢測系統
利用入侵檢測系統(IDS)的實時監控能力,發現正在進行的攻擊行為及攻擊前的試探行為,記錄黑客的來源及攻擊步驟和方法。
這些安全措施都將極大提供WWW服務器的安全,減少被攻擊的可能性。
二、網站的專用保護方法
盡管采用的各種安全措施能防止很多黑客的攻擊,然而由于各種操作系統和服務器軟件漏洞的不斷發現,攻擊方法層出不窮,技術高明的黑客還是能突破層層保護,獲得系統的控制權限,從而達到破壞主頁的目的。這種情況下,一些網絡安全公司推出了專門針對網站的保護軟件,只保護網站最重要的內容--網頁。一旦檢測到被保護的文件發生了{非正常的}改變,就進行恢復。一般情況下,系統首先需要對正常的頁面文件進行備份,然后啟動檢測機制,檢查文件是否被修改,如果被修改就需要進行恢復。我們對以下幾個方面的技術進行分析比較:
監測方式
本地和遠程:檢測可以是在本地運行一個監測端,也可以在網絡上的另一臺主機。如果是本地的話,監測端進程需要足夠的權限讀取被保護目錄或文件。監測端如果在遠端的話,WWW服務器需要開放一些服務并給監測端相應的權限,較常見的方式是直接利用服務器的開放的WWW服務,使用HTTP協議來監測被保護的文件和目錄。也可利用其它常用協議來檢測保護文件和目錄,如FTP等。采用本地方式檢測的優點是效率高,而遠程方式則具有平臺無關性,但會增加網絡流量等負擔。
定時和觸發:絕大部分保護軟件是使用的定時檢測的方式,不論在本地還是遠程檢測都是根據系統設定的時間定時檢測,還可將被保護的網頁分為不同等級,等級高的檢測時間間隔可以設得較短,以獲得較好的實時性,而將保護等級較低的網頁文件檢測時間間隔設得較長,以減輕系統的負擔。觸發方式則是利用操作系統提供的一些功能,在文件被創建、修改或刪除時得到通知,這種方法的優點是效率高,但無法實現遠程檢測。
比較方法
在判斷文件是否被修改時,往往采用被保護目錄和備份庫中的文件進行比較,比較最常見的方式全文比較。使用全文比較能直接、準確地判斷出該文件是否被修改。然而全文比較在文件較大較多時效率十分低下,一些保護軟件就采用文件的屬性如文件大小、創建修改時間等進行比較,這種方法雖然簡單高效,但也有嚴重的缺陷:{惡意入侵者}可以通過精心構造,把替換文件的屬性設置得和原文件完全相同,{從而使被惡意更改的文件無法被檢測出來}。另一種方案就是比較文件的數字簽名,最常見的是MD5簽名算法,由于數字簽名的不可偽造性,數字簽名能確保文件的相同。
恢復方式
恢復方式與備份庫存放的位置直接相關。如果備份庫存放在本地的話,恢復進程必須有寫被保護目錄或文件的權限。如果在遠程則需要通過文件共享或FTP的方式來進行,那么需要文件共享或FTP的帳號,并且該帳號擁有對被保護目錄或文件的寫權限。
備份庫的安全
當黑客發現其更換的主頁很快被恢復時,往往會激發起進一步破壞的欲望,此時備份庫的安全尤為重要。網頁文件的安全就轉變為備份庫的安全。對備份庫的保護一種是通過文件隱藏來實現,讓黑客無法找到備份目錄。另一種方法是對備份庫進行數字簽名,如果黑客修改了備份庫的內容,保護軟件可以通過簽名發現,就可停止WWW服務或使用一個默認的頁面。
通過以上分析比較我們發現各種技術都有其優缺點,需要結合實際的網絡環境來選擇最適合的技術方案。
三、網站保護的缺陷
盡管網站保護軟件能進一步提高系統的安全,仍然存在一些缺陷。首先這些保護軟件都是針對靜態頁面而設計,而現在動態頁面占據的范圍越來越大,盡管本地監測方式可以檢測腳本文件,但對腳本文件使用的數據庫卻無能為力。
另外,有些攻擊并不是針對頁面文件進行的,前不久泛濫成災的"Red Code"就是使用修改IIS服務的一個動態庫來達到攻擊頁面的目的。另一個方面,網站保護軟件本身會增加WWW服務器的負載,在WWW服務器負載本身已經很重的情況下,一定好仔細規劃好使用方案。
四、結論
本文討論了網站常用的保護方法,詳細地分析比較了專用網站保護軟件采用的各種技術實現和優缺點,并指出了其缺陷。安全雖不是使用某個工具或某些工具就可以解決的,但使用這些工具能幫助提高安全性,減少安全風險。
網絡層安全服務與攻擊分析
[ 2007-03-25 03:51:11 | 作者: sun ]
在網絡層實現安全服務有很多的優點。首先,由于多種傳送協議和應用程序可以共享由網絡層提供的密鑰管理架構,密鑰協商的開銷被大大地削減了。其次,若安全服務在較低層實現,那么需要改動的程序就要少很多。但是在這樣的情況下仍會有新的安全問題。本文將對此作出闡述。
目前公認的網絡攻擊三種原型是竊聽 、篡改、偽造、拒絕服務攻擊等。
IPSec 針對攻擊原型的安全措施
IPsec提供三項主要的功能:認證功能(AH),認證和機密組合功能(ESP)及密鑰交換功能。AH的目的是提供無連接完整性和真實性包括數據源認證和可選的抗重傳服務;ESP分為兩部分,其中ESP頭提供數據機密性和有限抗流量分析服務,在ESP尾中可選地提供無連接完整性、數據源認證和抗重傳服務。
IPSec提供了一種標準的、健壯的以及包容廣泛的機制,可用它為IP及上層協議(如UDP和TCP)提供安全保證。它定義了一套默認的、強制實施的算法,以確保不同的實施方案相互間可以共通。而且很方便擴展。IPSec可保障主機之間、安全網關(如路由器或防火墻)之間或主機與安全網關之間的數據包的安全。IPSec是一個工業標準網絡安全協議,為IP網絡通信提供透明的安全服務,保護TCP/IP通信免遭竊聽和篡改,可以有效抵御網絡攻擊,同時保持易用性。IPSec有兩個基本目標:保護IP數據包安全;為抵御網絡攻擊提供防護措施。IPSec結合密碼保護服務、安全協議組和動態密鑰管理,三者共同實現上述兩個目標,IPSec基于一種端對端的安全模式。這種模式有一個基本前提假設,就是假定數據通信的傳輸媒介是不安全的,因此通信數據必須經過加密,而掌握加解密方法的只有數據流的發送端和接收端,兩者各自負責相應的數據加解密處理,而網絡中其他只負責轉發數據的路由器或主機無須支持IPSec。
IPSec提供三種不同的形式來保護通過公有或私有IP網絡來傳送的私有數據。
(1)驗證:通過認證可以確定所接受的數據與所發送的數據是一致的,同時可以確定申請發送者在實際上是真實發送者,而不是偽裝的。
(2)數據完整驗證:通過驗證保證數據從原發地到目的地的傳送過程中沒有任何不可檢測的數據丟失與改變。
(3)保密:使相應的接收者能獲取發送的真正內容,而無關的接收者無法獲知數據的真正內容。
IPv6下對網絡安全的威脅
針對密碼攻擊的分析
基于密碼的攻擊很具有生命力,在IPv6環境下同樣面臨著這樣的威脅。雖然在網絡IPv6下IPsec是強制實施的,但是在這種情況下,用戶使用的操作系統與其他訪問控制的共同之處就是基于密碼進行訪問控制。對計算機與網絡資源的訪問都是由用戶名與密碼決定的。對那些版本較老的操作系統,有些組件不是在通過網絡傳輸標識信息進行驗證時就對該信息加以保護,這樣竊聽者能夠獲取有效的用戶名與密碼,就擁有了與實際用戶同樣的權限。攻擊者就可以進入到機器內部進行惡意破壞。
針對泄漏密鑰攻擊的分析
IPv6下IPsec工作的兩種模式(傳輸模式和隧道模式)都需要密鑰交換這樣的過程,因此對密鑰的攻擊仍然具有威脅。盡管對于攻擊者來說確定密鑰是一件艱難而消耗資源的過程,但是這種可能性實實在在存在。當攻擊者確定密鑰之后,攻擊者使用泄露密鑰便可獲取對于安全通信的訪問權,而發送者或接收者卻全然沒有察覺攻擊,后面所進行的數據傳輸等等遭到沒有抵抗的攻擊。進而,攻擊者使用泄露密鑰即可解密或修改其他需要的數據。同樣攻擊者還會試圖使用泄露密鑰計算其它密鑰,從而使其獲取對其它安全通信的訪問權。
針對應用層服務攻擊
應用程序層攻擊的目標是應用程序服務器,即導致服務器的操作系統或應用程序出錯。這會使攻擊者有能力繞過正常訪問控制。攻擊者利用這一點便可控制應用程序、系統或網絡,并可進行下列任意操作:讀取、添加、刪除或修改數據或操作系統 ;引入病毒,即使用計算機與軟件應用程序將病毒復制到整個網絡;引入竊探器來分析網絡與獲取信息,并最終使用這些信息導致網絡停止響應或崩潰;異常關閉數據應用程序或操作系統;禁用其它安全控制以備日后攻擊。
由于IPsec在網絡層進行數據包加密,在網絡傳輸過程中防火墻無法有效地將加密的帶有病毒的數據包進行有效的監測,這樣就對接收端的主機或路由器構成了威脅。
可能發生的拒絕服務攻擊
密鑰管理分為手工密鑰管理和自動密鑰管理。Internet密鑰管理協議被定位在應用程序的層次,IETF規定了Internet安全協議和密鑰管理協議ISAKMP(Internet Security Association and Key Management Protocol) 來實現IPSec的密鑰管理需求, 為身份驗證的SA 設置以及密鑰交換技術定義了一個通用的結構, 可以使用不同的密鑰交換技術;IETF還設計了OA KL EY密鑰確定協議(Key Determination Protocol) 來實施ISAKMP的具體功能, 其主要目的是使需要保密通信的雙方能夠通過這個協議證明自己的身份、認證對方的身份、確定采用的加密算法和通信密鑰, 從而建立起安全的通信連接。
對IPsec最主要的難應用性在于它們所強化的系統的復雜性和缺乏清晰性。IPsec中包含太多的選項和太多的靈活性。對于相同的或者類似的情況常常有多種做法。
IKE的協議容易受到拒絕服務攻擊。攻擊者可以在因特網初始化許多連接請求就可以做到,這時服務器將會維護這些惡意的“小甜餅”。
加密是有代價的。進行模數乘冪運算,或計算兩個非常大的質數的乘積,甚至對單個數據包進行解密和完整性查驗,都會占用cpu的時間。發起攻擊的代價遠遠小于被攻擊對象響應這種攻擊所付出的代價。例如,甲想進行一次Diffie-Hellman密鑰交換,但mallory向她發送了幾千個虛假的Diffie-Hellman公共值,其中全部填充偽造的返回地址。這樣乙被動地進入這種虛假的交換。顯然會造成cpu的大量浪費。
IPsec對相應的攻擊提出了相應的對策。但它并不是通過抵擋服務否認攻擊來進行主動防御,只是增大了發送這種垃圾包的代價及復雜度,來進行一種被動防御。
但是攻擊者仍然可以利用IKE協議的漏洞從而使服務中斷。
以下是基于簽名的IKE階段1主模式的認證失敗(如圖4所示)。
(Malice 對I使用他的真實身份信息,而對R則冒充I)
1. I到Malice:HDRI,SAI;
1’Malice(“I”)到R:HDRI,SAI;
2’R到Malice(“I”):HDRR,SAR;
2.Malice到I:HDRR,SAR;
3.I到Malice:HDRI,gx,NI;
3’Malice(“I”)到R:HDRI,gx,NI;
4’R到Malice(“I”):HDRR,gy,NR;
4.Malice到I:HDRR,gy,NR;
5.I到Malice:HDRI,{IDI,CertI,SigI}gxy?;
5’Malice(“I”)到R:HDRI,{IDI,CertI,SigI}gxy;
6’R到Malice(“I”):HDRR,{IDR,CertR,SigR}gxy;
6. Dropped。
這樣,R認為剛才和他對話并和他共享會話密鑰的是I,而I卻認為剛才是和Malice進行了一次不成功的通信。R根本不會被通知存在任何異常,并且也許會拒絕來自I的服務;實際上R進入了這樣一種狀態,只接受來自I的服務請求(也許直到“超時”后,R才會脫離這樣的狀態。)
面對越來越多的網絡安全問題,唯有各種安全協議有效地結合起來使用才會降低攻擊的可能性。由于IPsec是IPv6下強制使用的,加上網絡層加密的特殊優點,把工作于IP層的IPsec和其他的安全協議(SSL等)結合起來可以將網絡安全的質量提高到更高的一個水平。但是同時道高一尺,魔高一丈,新的安全問題會接踵而至,對于協議的漏洞,要先知先覺,這樣才會未雨綢繆,防患于未然。
目前公認的網絡攻擊三種原型是竊聽 、篡改、偽造、拒絕服務攻擊等。
IPSec 針對攻擊原型的安全措施
IPsec提供三項主要的功能:認證功能(AH),認證和機密組合功能(ESP)及密鑰交換功能。AH的目的是提供無連接完整性和真實性包括數據源認證和可選的抗重傳服務;ESP分為兩部分,其中ESP頭提供數據機密性和有限抗流量分析服務,在ESP尾中可選地提供無連接完整性、數據源認證和抗重傳服務。
IPSec提供了一種標準的、健壯的以及包容廣泛的機制,可用它為IP及上層協議(如UDP和TCP)提供安全保證。它定義了一套默認的、強制實施的算法,以確保不同的實施方案相互間可以共通。而且很方便擴展。IPSec可保障主機之間、安全網關(如路由器或防火墻)之間或主機與安全網關之間的數據包的安全。IPSec是一個工業標準網絡安全協議,為IP網絡通信提供透明的安全服務,保護TCP/IP通信免遭竊聽和篡改,可以有效抵御網絡攻擊,同時保持易用性。IPSec有兩個基本目標:保護IP數據包安全;為抵御網絡攻擊提供防護措施。IPSec結合密碼保護服務、安全協議組和動態密鑰管理,三者共同實現上述兩個目標,IPSec基于一種端對端的安全模式。這種模式有一個基本前提假設,就是假定數據通信的傳輸媒介是不安全的,因此通信數據必須經過加密,而掌握加解密方法的只有數據流的發送端和接收端,兩者各自負責相應的數據加解密處理,而網絡中其他只負責轉發數據的路由器或主機無須支持IPSec。
IPSec提供三種不同的形式來保護通過公有或私有IP網絡來傳送的私有數據。
(1)驗證:通過認證可以確定所接受的數據與所發送的數據是一致的,同時可以確定申請發送者在實際上是真實發送者,而不是偽裝的。
(2)數據完整驗證:通過驗證保證數據從原發地到目的地的傳送過程中沒有任何不可檢測的數據丟失與改變。
(3)保密:使相應的接收者能獲取發送的真正內容,而無關的接收者無法獲知數據的真正內容。
IPv6下對網絡安全的威脅
針對密碼攻擊的分析
基于密碼的攻擊很具有生命力,在IPv6環境下同樣面臨著這樣的威脅。雖然在網絡IPv6下IPsec是強制實施的,但是在這種情況下,用戶使用的操作系統與其他訪問控制的共同之處就是基于密碼進行訪問控制。對計算機與網絡資源的訪問都是由用戶名與密碼決定的。對那些版本較老的操作系統,有些組件不是在通過網絡傳輸標識信息進行驗證時就對該信息加以保護,這樣竊聽者能夠獲取有效的用戶名與密碼,就擁有了與實際用戶同樣的權限。攻擊者就可以進入到機器內部進行惡意破壞。
針對泄漏密鑰攻擊的分析
IPv6下IPsec工作的兩種模式(傳輸模式和隧道模式)都需要密鑰交換這樣的過程,因此對密鑰的攻擊仍然具有威脅。盡管對于攻擊者來說確定密鑰是一件艱難而消耗資源的過程,但是這種可能性實實在在存在。當攻擊者確定密鑰之后,攻擊者使用泄露密鑰便可獲取對于安全通信的訪問權,而發送者或接收者卻全然沒有察覺攻擊,后面所進行的數據傳輸等等遭到沒有抵抗的攻擊。進而,攻擊者使用泄露密鑰即可解密或修改其他需要的數據。同樣攻擊者還會試圖使用泄露密鑰計算其它密鑰,從而使其獲取對其它安全通信的訪問權。
針對應用層服務攻擊
應用程序層攻擊的目標是應用程序服務器,即導致服務器的操作系統或應用程序出錯。這會使攻擊者有能力繞過正常訪問控制。攻擊者利用這一點便可控制應用程序、系統或網絡,并可進行下列任意操作:讀取、添加、刪除或修改數據或操作系統 ;引入病毒,即使用計算機與軟件應用程序將病毒復制到整個網絡;引入竊探器來分析網絡與獲取信息,并最終使用這些信息導致網絡停止響應或崩潰;異常關閉數據應用程序或操作系統;禁用其它安全控制以備日后攻擊。
由于IPsec在網絡層進行數據包加密,在網絡傳輸過程中防火墻無法有效地將加密的帶有病毒的數據包進行有效的監測,這樣就對接收端的主機或路由器構成了威脅。
可能發生的拒絕服務攻擊
密鑰管理分為手工密鑰管理和自動密鑰管理。Internet密鑰管理協議被定位在應用程序的層次,IETF規定了Internet安全協議和密鑰管理協議ISAKMP(Internet Security Association and Key Management Protocol) 來實現IPSec的密鑰管理需求, 為身份驗證的SA 設置以及密鑰交換技術定義了一個通用的結構, 可以使用不同的密鑰交換技術;IETF還設計了OA KL EY密鑰確定協議(Key Determination Protocol) 來實施ISAKMP的具體功能, 其主要目的是使需要保密通信的雙方能夠通過這個協議證明自己的身份、認證對方的身份、確定采用的加密算法和通信密鑰, 從而建立起安全的通信連接。
對IPsec最主要的難應用性在于它們所強化的系統的復雜性和缺乏清晰性。IPsec中包含太多的選項和太多的靈活性。對于相同的或者類似的情況常常有多種做法。
IKE的協議容易受到拒絕服務攻擊。攻擊者可以在因特網初始化許多連接請求就可以做到,這時服務器將會維護這些惡意的“小甜餅”。
加密是有代價的。進行模數乘冪運算,或計算兩個非常大的質數的乘積,甚至對單個數據包進行解密和完整性查驗,都會占用cpu的時間。發起攻擊的代價遠遠小于被攻擊對象響應這種攻擊所付出的代價。例如,甲想進行一次Diffie-Hellman密鑰交換,但mallory向她發送了幾千個虛假的Diffie-Hellman公共值,其中全部填充偽造的返回地址。這樣乙被動地進入這種虛假的交換。顯然會造成cpu的大量浪費。
IPsec對相應的攻擊提出了相應的對策。但它并不是通過抵擋服務否認攻擊來進行主動防御,只是增大了發送這種垃圾包的代價及復雜度,來進行一種被動防御。
但是攻擊者仍然可以利用IKE協議的漏洞從而使服務中斷。
以下是基于簽名的IKE階段1主模式的認證失敗(如圖4所示)。
(Malice 對I使用他的真實身份信息,而對R則冒充I)
1. I到Malice:HDRI,SAI;
1’Malice(“I”)到R:HDRI,SAI;
2’R到Malice(“I”):HDRR,SAR;
2.Malice到I:HDRR,SAR;
3.I到Malice:HDRI,gx,NI;
3’Malice(“I”)到R:HDRI,gx,NI;
4’R到Malice(“I”):HDRR,gy,NR;
4.Malice到I:HDRR,gy,NR;
5.I到Malice:HDRI,{IDI,CertI,SigI}gxy?;
5’Malice(“I”)到R:HDRI,{IDI,CertI,SigI}gxy;
6’R到Malice(“I”):HDRR,{IDR,CertR,SigR}gxy;
6. Dropped。
這樣,R認為剛才和他對話并和他共享會話密鑰的是I,而I卻認為剛才是和Malice進行了一次不成功的通信。R根本不會被通知存在任何異常,并且也許會拒絕來自I的服務;實際上R進入了這樣一種狀態,只接受來自I的服務請求(也許直到“超時”后,R才會脫離這樣的狀態。)
面對越來越多的網絡安全問題,唯有各種安全協議有效地結合起來使用才會降低攻擊的可能性。由于IPsec是IPv6下強制使用的,加上網絡層加密的特殊優點,把工作于IP層的IPsec和其他的安全協議(SSL等)結合起來可以將網絡安全的質量提高到更高的一個水平。但是同時道高一尺,魔高一丈,新的安全問題會接踵而至,對于協議的漏洞,要先知先覺,這樣才會未雨綢繆,防患于未然。
網絡高手眼中的網絡安全 日常防護尤為必要
[ 2007-03-25 03:50:59 | 作者: sun ]
近期讀了一些關于網絡入侵的文章,感覺到增強網絡安全是一項日常性的工作,并不是說網絡設備、服務器配置好了就絕對安全了,操作系統和一些軟件的漏洞是不斷被發現的,比如沖擊波、震蕩波病毒就是利用系統漏洞,同樣利用這些漏洞可以溢出得到系統管理員權限, server-U的提升權限漏洞也可以被利用。在這些漏洞未被發現前,我們覺得系統是安全的,其實還是不安全的,也許漏洞在未公布前已經被部分hacker 所知,也就是說系統和應用軟件我們不知道還會存在什么漏洞,那么日常性的防護就顯得尤為必要。
一、做好基礎性的防護工作,服務器安裝干凈的操作系統,不需要的服務一律不裝,多一項就多一種被入侵的可能性,打齊所有補丁,微軟的操作系統當然推薦WIN2K3,性能和安全性比WIN2K都有所增強,選擇一款優秀的殺毒軟件,至少能對付大多數木馬和病毒 的,安裝好殺毒軟件,設置好時間段自動上網升級,設置好帳號和權限,設置的用戶盡可能的少,對用戶的權限盡可能的小,密碼設置要足夠強壯。對于MSSQL,也要設置分配好權限,按照最小原則分配。最好禁用xp_cmdshell。有的網絡有硬件防火墻,當 然好,但僅僅依靠硬件防火墻,并不能阻擋hacker的攻擊,利用反向連接型的木馬和其他的辦法還是可以突破硬件防火墻的阻擋。WIN2K3系統自帶的防火墻功能還不夠強大,建議打開,但還需要安裝一款優秀的軟件防火墻保護系統,我一般習慣用ZA,論壇有 很多教程了。對于對互聯網提供服務的服務器,軟件防火墻的安全級別設置為最高,然后僅僅開放提供服務的端口,其他一律關閉,對于服務器上所有要訪問網絡的程序,現在防火墻都會給予提示是否允許訪問,根據情況對于系統升級,殺毒軟件自動升級等有必要訪問外網 的程序加到防火墻允許訪問列表。那么那些反向連接型的木馬就會被防火墻阻止,這樣至少系統多了一些安全性的保障,給hacker入侵就多一些阻礙。網絡上有很多基礎型的防護資料,大家可以查查相關服務器安全配置方面的資料。
二、修補所有已知的漏洞,未知的就沒法修補了,所以要養成良好的習慣,就是要經常去關注。了解自己的系統,知彼知己,百戰百勝。所有補丁是否打齊,比如mssql,server-U,論壇程序是否還有漏洞,每一個漏洞幾乎都是致命的,系統開了哪些服務,開了哪些端口,目前開的這些服務中有沒有漏洞可以被黑客應用,經常性的了解當前黑客攻擊的手法和可以被利用的漏洞,檢查自己的系統中是否存在這些漏洞。比如SQL注入漏洞,很多網站 都是因為這個服務器被入侵,如果我們作為網站或者服務器的管理者,我們就應該經常去關注這些技術,自己經常可以用一些安全性掃描工具檢測檢測,比如X- scan,snamp, nbsi,PHP注入檢測工具等,或者是用當前比較流行的hacker入侵工具檢測自己的系統是否存在漏洞,這得針對自己的系統開的服務去檢測,發現漏洞及時修補。網絡管理人員不可能對每一方面都很精通,可以請精通的人員幫助檢測,當然對于公司來說,如果 系統非常重要,應該請專業的安全機構來檢測,畢竟他們比較專業。
三、服務器的遠程管理,相信很多人都喜歡用server自帶的遠程終端,我也喜歡,簡潔速度快。但對于外網開放的服務器來說,就要謹慎了,要想到自己能用,那么這個端口就對外開放了,黑客也可以用,所以也要做一些防護了。一就是用證書策略來限制訪問者,給 TS配置安全證書,客戶端訪問需要安全證書。二就是限制能夠訪問服務器終端服務的IP地址。三是可以在前兩者的基礎上再把默認的3389端口改一下。當然也可以用其他的遠程管理軟件pcanywhere也不錯。
四、另外一個容易忽視的環節是網絡容易被薄弱的環節所攻破,服務器配置安全了,但網絡存在其他不安全的機器,還是容易被攻破,“千里之堤,潰于蟻穴 ”。利用被控制的網絡中的一臺機器做跳板,可以對整個網絡進行滲透攻擊,所以安全的配置網絡中的機器也很必要。說到跳板攻擊,水平稍高一點的hacker攻擊一般都會隱藏其真實IP,所以說如果被入侵了,再去追查的話是很難成功的。Hacker利用控制的肉雞,肉雞一般都是有漏洞被完全控制的計算機,安裝了一些代理程序或者黑客軟件,比如DDOS攻擊軟件,跳板程序等,這些肉雞就成為黑客的跳板,從而隱藏了真實IP。
五、最后想說的是即使大家經過層層防護,系統也未必就絕對安全了,但已經可以抵擋一般的hacker的攻擊了。連老大微軟都不能說他的系統絕對安全。系統即使只開放80端口, 如果服務方面存在漏洞的話,水平高的hacker還是可以鉆進去,所以最關鍵的一點我認為還是關注最新漏洞,發現就要及時修補。“攻就是防,防就是攻” ,這個觀點我比較贊同,我說的意思并不是要去攻擊別人的網站,而是要了解別人的攻擊手法,更好的做好防護。比如不知道什么叫克隆管理員賬號,也許你的機器已經被入侵并被克隆了賬號,可能你還不知道呢?如果知道有這種手法,也許就會更注意這方面。自己的網站 如果真的做得無漏洞可鉆,hacker也就無可奈何了。
希望大家有好的思路和經驗能夠多探討探討,要做好網絡安全還有很多細節需要注意,一個微小的疏忽都可能導致功虧一簣
.
一、做好基礎性的防護工作,服務器安裝干凈的操作系統,不需要的服務一律不裝,多一項就多一種被入侵的可能性,打齊所有補丁,微軟的操作系統當然推薦WIN2K3,性能和安全性比WIN2K都有所增強,選擇一款優秀的殺毒軟件,至少能對付大多數木馬和病毒 的,安裝好殺毒軟件,設置好時間段自動上網升級,設置好帳號和權限,設置的用戶盡可能的少,對用戶的權限盡可能的小,密碼設置要足夠強壯。對于MSSQL,也要設置分配好權限,按照最小原則分配。最好禁用xp_cmdshell。有的網絡有硬件防火墻,當 然好,但僅僅依靠硬件防火墻,并不能阻擋hacker的攻擊,利用反向連接型的木馬和其他的辦法還是可以突破硬件防火墻的阻擋。WIN2K3系統自帶的防火墻功能還不夠強大,建議打開,但還需要安裝一款優秀的軟件防火墻保護系統,我一般習慣用ZA,論壇有 很多教程了。對于對互聯網提供服務的服務器,軟件防火墻的安全級別設置為最高,然后僅僅開放提供服務的端口,其他一律關閉,對于服務器上所有要訪問網絡的程序,現在防火墻都會給予提示是否允許訪問,根據情況對于系統升級,殺毒軟件自動升級等有必要訪問外網 的程序加到防火墻允許訪問列表。那么那些反向連接型的木馬就會被防火墻阻止,這樣至少系統多了一些安全性的保障,給hacker入侵就多一些阻礙。網絡上有很多基礎型的防護資料,大家可以查查相關服務器安全配置方面的資料。
二、修補所有已知的漏洞,未知的就沒法修補了,所以要養成良好的習慣,就是要經常去關注。了解自己的系統,知彼知己,百戰百勝。所有補丁是否打齊,比如mssql,server-U,論壇程序是否還有漏洞,每一個漏洞幾乎都是致命的,系統開了哪些服務,開了哪些端口,目前開的這些服務中有沒有漏洞可以被黑客應用,經常性的了解當前黑客攻擊的手法和可以被利用的漏洞,檢查自己的系統中是否存在這些漏洞。比如SQL注入漏洞,很多網站 都是因為這個服務器被入侵,如果我們作為網站或者服務器的管理者,我們就應該經常去關注這些技術,自己經常可以用一些安全性掃描工具檢測檢測,比如X- scan,snamp, nbsi,PHP注入檢測工具等,或者是用當前比較流行的hacker入侵工具檢測自己的系統是否存在漏洞,這得針對自己的系統開的服務去檢測,發現漏洞及時修補。網絡管理人員不可能對每一方面都很精通,可以請精通的人員幫助檢測,當然對于公司來說,如果 系統非常重要,應該請專業的安全機構來檢測,畢竟他們比較專業。
三、服務器的遠程管理,相信很多人都喜歡用server自帶的遠程終端,我也喜歡,簡潔速度快。但對于外網開放的服務器來說,就要謹慎了,要想到自己能用,那么這個端口就對外開放了,黑客也可以用,所以也要做一些防護了。一就是用證書策略來限制訪問者,給 TS配置安全證書,客戶端訪問需要安全證書。二就是限制能夠訪問服務器終端服務的IP地址。三是可以在前兩者的基礎上再把默認的3389端口改一下。當然也可以用其他的遠程管理軟件pcanywhere也不錯。
四、另外一個容易忽視的環節是網絡容易被薄弱的環節所攻破,服務器配置安全了,但網絡存在其他不安全的機器,還是容易被攻破,“千里之堤,潰于蟻穴 ”。利用被控制的網絡中的一臺機器做跳板,可以對整個網絡進行滲透攻擊,所以安全的配置網絡中的機器也很必要。說到跳板攻擊,水平稍高一點的hacker攻擊一般都會隱藏其真實IP,所以說如果被入侵了,再去追查的話是很難成功的。Hacker利用控制的肉雞,肉雞一般都是有漏洞被完全控制的計算機,安裝了一些代理程序或者黑客軟件,比如DDOS攻擊軟件,跳板程序等,這些肉雞就成為黑客的跳板,從而隱藏了真實IP。
五、最后想說的是即使大家經過層層防護,系統也未必就絕對安全了,但已經可以抵擋一般的hacker的攻擊了。連老大微軟都不能說他的系統絕對安全。系統即使只開放80端口, 如果服務方面存在漏洞的話,水平高的hacker還是可以鉆進去,所以最關鍵的一點我認為還是關注最新漏洞,發現就要及時修補。“攻就是防,防就是攻” ,這個觀點我比較贊同,我說的意思并不是要去攻擊別人的網站,而是要了解別人的攻擊手法,更好的做好防護。比如不知道什么叫克隆管理員賬號,也許你的機器已經被入侵并被克隆了賬號,可能你還不知道呢?如果知道有這種手法,也許就會更注意這方面。自己的網站 如果真的做得無漏洞可鉆,hacker也就無可奈何了。
希望大家有好的思路和經驗能夠多探討探討,要做好網絡安全還有很多細節需要注意,一個微小的疏忽都可能導致功虧一簣
.
你的網絡安全嗎?需要澄清的五個誤解
[ 2007-03-25 03:50:46 | 作者: sun ]
目前,黑客攻擊已成為一個很嚴重的網絡問題。許多黑客甚至可以突破SSL加密和各種防火墻,攻入Web網站的內部,竊取信息。黑客可以僅憑借瀏覽器和幾個技巧,即套取Web網站的客戶信用卡資料和其它保密信息。
隨著防火墻和補丁管理已逐漸走向規范化,各類網絡設施應該是比以往更完全。但不幸的是,道高一尺,魔高一丈,黑客們已開始直接在應用層面
對Web網站下手。市場研究公司Gartner的分析師指出,目前有70%的黑客襲擊事件都發生在應用程序方面。要增強Web網站的安全性,首先要澄清五個誤解。
一、“Web網站使用了SSL加密,所以很安全”
單靠SSL加密無法保障網站的安全。網站啟用SSL加密后,表明該網站發送和接收的信息都經過了加密處理,但是SSL無法保障存儲在網站里的信息的安全。許多網站采用了128位SSL加密,但還是被黑客攻破。此外,SSL也無法保護網站訪問者的隱私信息。這些隱私信息直接存在網站服務器里面,這是SSL所無法保護的。
二、“Web網站使用了防火墻,所以很安全”
防火墻有訪問過濾機制,但還是無法應對許多惡意行為。許多網上商店、拍賣網站和BBS都安裝了防火墻,但依然脆弱。防火墻通過設置“訪客名單”,可以把惡意訪問排除在外,只允許善意的訪問者進來。但是,如何鑒別善意訪問和惡意訪問是一個問題。訪問一旦被允許,后續的安全問題就不是防火墻能應對了。
三、“漏洞掃描工具沒發現任何問題,所以很安全”
自1990年代初以來,漏洞掃描工具已經被廣泛使用,以查找一些明顯的網絡安全漏洞。但是,這種工具無法對網站應用程序進行檢測,無法查找程序中的漏洞。
漏洞掃描工具生成一些特殊的訪問請求,發送給Web網站,在獲取網站的響應信息后進行分析。該工具將響應信息與一些漏洞進行對比,一旦發現可疑之處即報出安全漏洞。目前,新版本的漏洞掃描工具一般能發現網站90%以上的常見安全問題,但這種工具對網站應用程序也有很多無能為力的地方。
四、“網站應用程序的安全問題是程序員造成的”
程序員確實造成了一些問題,但有些問題程序員無法掌控。
比如說,應用程序的源代碼可能最初從其它地方獲得,這是公司內部程序開發人員所不能控制的。或者,公司可能會請一些離岸的開發商作一些定制開發,與原有程序整合,這其中也可能會出現問題。或者,一些程序員會拿來一些免費代碼做修改,這也隱藏著安全問題。再舉一個極端的例子,可能有兩個程序員來共同開發一個程序項目,他們分別開發的代碼都沒有問題,安全性很好,但整合在一起則可能出現安全漏洞。
很現實地講,軟件總是有漏洞的,這種事每天都在發生。安全漏洞只是眾多漏洞中的一種。加強員工的培訓,確實可以在一定程度上改進代碼的質量。但需要注意,任何人都會犯錯誤,漏洞無可避免。有些漏洞可能要經過許多年后才會被發現。
五、“我們每年會對Web網站進行安全評估,所以很安全”
一般而言,網站應用程序的代碼變動很快。對Web網站進行一年一度的安全評估非常必要,但評估時的情況可能與當前情況有很大不同。網站應用程序只要有任何改動,都會出現安全問題的隱患。
網站喜歡選在節假日對應用程序進行升級,圣誕節就是很典型的一個旺季。網站往往會增加許多新功能,但卻忽略了安全上的考慮。如果網站不增加新功能,這又會對經營業績產生影響。網站應該在程序開發的各個階段都安排專業的安全人員。
