广州网络工程师网络安全入门2

广州网络工程师网络安全入门2


3.2 不同的对策

根据遭受的攻击的不同层次，应采取不同的对策.

第一层：

处于第一层的攻击基本上应互不相干,第一层的攻击包括服务拒绝攻击和邮件炸弹攻击.邮件炸弹的攻击还包括登记列表攻击（同时将被攻击目标登录到数千或更多的邮件列表中，这样，目标有可能被巨大数量的邮件列表寄出的邮件淹没）。对付此类攻击的最好的方法是对源地址进行分析，把攻击者使用的主机(网络)信息加入inetd.sec的拒绝列表(denylistings)中.除了使攻击者网络中所有的主机都不能对自己的网络进行访问外,没有其它有效的方法可以防止这种攻击的出现.

此类型的攻击只会带来相对小的危害。使人头疼的是虽然这类攻击的危害性不大，但是发生的频率却可能很高，因为仅具备有限的经验和专业知识就能进行此类型的攻击。

第二层和第三层：

这两层的攻击的严重程度取决于那些文件的读或写权限被非法获得。对于isp来说，最安全的办法是将所有的shell帐户都集中到某一台（或几台）主机上，只有它们才能接受登录，这样可以使得管理日志，控制访问，协议配置和相关的安全措施实施变得更加简单。另外，还应该把存贮用户编写的cgi程序的机器和系统中的其它机器相隔离。

招致攻击的原因有可能是部分配置错误或者是在软件内固有的漏洞.对于前者，管理员应该注意经常使用安全工具查找一般的配置错误，例如satan。后者的解决需要安全管理员花费大量的时间去跟踪了解最新的软件安全漏洞报告，下载补丁或联系供货商。实际上，研究安全是一个永不终结的学习过程。安全管理员可以订阅一些安全邮件列表，并学会使用一些脚本程序（如perl，等）自动搜索处理邮件，找到自己需要的最新信息。

发现发起攻击的用户后，应该立即停止其访问权限，冻结其帐号。

第四层:

该层攻击涉及到远程用户如何获取访问内部文件的权利。其起因大多是服务器的配置不当，cgi程序的漏洞和溢出问题。

第五层和第六层:

只有利用那些不该出现却出现的漏洞，才可能出现这种致命的攻击。

出现第三,四,五层的攻击表明网络已经处于不安全状态之中，安全管理员应该立即采取有效措施, 保护重要数据, 进行日志记录和汇报,同时争取能够定位攻击发起地点：

· 将遭受攻击的网段分离出来，将此攻击范围限制在小的范围内
· 记录当前时间,备份系统日志,检查记录损失范围和程度
· 分析是否需要中断网络连接
· 让攻击行为继续进行
· 如果可能，对系统做0级备份
· 将入侵的详细情况逐级向主管领导和有关主管部门汇报；如果系统受到严重破坏，影响网络业务功能，立即调用备件恢复系统
· 对此攻击行为进行大量的日志工作
· (在另一个网段上）竭尽全力地判断寻找攻击源

总之，不到万不得已的情况下, 不可使系统退出服务. 寻找入侵者的最重要的工作就是做日志记录和定位入侵者，而找出入侵者并通过法律手段迫使其停止攻击是最有效的防卫手段。



4 关于口令安全性



通过口令进行身份认证是目前实现计算机安全的主要手段之一，一个用户的口令被非法用户获悉，则该非法用户即获得了该用户的全部权限，这样，尤其是高权限用户的口令泄露以后，主机和网络也就随即失去了安全性。黑客攻击目标时也常常把破译普通用户的口令作为攻击的开始。然后就采用字典穷举法进行攻击。它的原理是这样的：网络上的用户常采用一个英语单词或自己的姓名、生日作为口令。通过一些程序，自动地从电脑字典中取出一个单词，作为用户的口令输入给远端的主机，申请进入系统。若口令错误，就按序取出下一个单词，进行下一个尝试。并一直循环下去，直到找到正确的口令，或字典的单词试完为止。由于这个破译过程由计算机程序来自动完成，几个小时就可以把字典的所有单词都试一遍。这样的测试容易在主机日志上留下明显攻击特征，因此，更多的时候攻击者会利用其它手段去获得主机系统上的/etc/passwd文件甚至/etc/shadow文件，然后在本地对其进行字典攻击或暴力破解。攻击者并不需要所有人的口令，他们得到几个用户口令就能获取系统的控制权，所以即使普通用户取口令过于简单可能会对系统安全造成很大的威胁。系统管理员以及其它所有用户对口令选取的应采取负责的态度，消除侥幸和偷懒思想。

然而，有许多用户对自己的口令没有很好的安全意识，使用很容易被猜出的口令，如：帐号本身，第一个字母大写，或者全部大写，或者后面简单加上一个数字，甚至只是简单的数字，如0，1，123，888，6666，168等，有些是系统或者主机的名字，或者常见名词如system，manager，admin等。其实，根据目前计算机加密解密处理的算法和能力，防止自己口令被使用字典攻击法猜出的办法也很简单,使自己的口令不在相应解密程序的字典中。一个好的口令应当至少有7个字符长,不要用个人信息(如生日,名字等),口令中要有一些非字母(如数字,标点符号,控制字符等),还要好记一些,不能写在纸上或计算机中的文件中,选择口令的一个好方法是将两个不相关的词（最好再组合上大小写）用一个数字或控制字符相连,并截断为8个字符。例如me2.Hk97就是一个从安全角度讲很不错的口令。

保持口令安全的一些要点如下:

· 口令长度不要小于6位，并应同时包含字母和数字，以及标点符号和控制字符
· 口令中不要使用常用单词（避免字典攻击），英文简称，个人信息（如生日,名字,反向拼写的登录名,房间中可见的东西），年份，以及机器中的命令等
· 不要将口令写下来。
· 不要将口令存于电脑文件中。
· 不要让别人知道。
· 不要在不同系统上，特别是不同级别的用户上使用同一口令。
· 为防止眼明手快的人窃取口令,在输入口令时应确认无人在身边。
· 定期改变口令,至少6个月要改变一次。
· 系统安装对口令文件进行隐藏的程序或设置。（e.g. Shadow Suite for linux)
· 系统配置对用户口令设置情况进行检测的程序，并强制用户定期改变口令。任何一个用户口令的脆弱，都会影响整个系统的安全性。(e.g. passwd+, Crack,etc)

最后这点是十分重要的,永远不要对自己的口令过于自信,也许就在无意当中泄露了口令。定期地改变口令,会使自己遭受黑客攻击的风险降到了一定限度之内。一旦发现自己的口令不能进入计算机系统,应立即向系统管理员报告,由管理员来检查原因。

系统管理员也应定期运行这些破译口令的工具,来尝试破译shadow文件,若有用户的口令密码被破译出,说明这些用户的密码取得过于简单或有规律可循,应尽快地通知他们,及时更正密码,以防止黑客的入侵。



5 网络安全管理员的素质要求



· 深入地了解过至少两个操作系统，其中之一无可置疑地是unix。熟练配置主机的安全选项和设置，及时了解已见报道的安全漏洞，并能够及时下载相应补丁安装。在特殊紧急情况下，可以独立开发适合的安全工具或补丁，提高系统的安全性。
· 对tcp/ip协议族有透彻的了解，这是任何一个合格的安全管理员的必备的素质。并且这种知识要不仅仅停留在internet基本构造等基础知识上，必须能够根据侦测到的网络信息数据进行准确的分析，达到安全预警，有效制止攻击和发现攻击者等防御目的。
· 熟练使用c，c++，perl等语言进行编程。这是基本要求，因为许多基本的安全工具是用这些语言的某一种编写的。安全管理员至少能正确地解释，编译和执行这些程序。更高的要求是能够把不专门为某个特定平台开发的工具移植到自己的平台上。同时他们还能够开发出可扩展自己系统网络安全性的工具来，如对satan和safe suite的扩展和升级（它们允许用户开发的工具附加到自己上）
· 经常地保持与internet社会的有效接触。不仅要了解自己的机器和局域网，还必须了解熟悉internet。经验是不可替代的。
· 熟练使用英语读写，与internet网上的各个安全论坛建立经常的联系。
· 平时注意收集网络的各种信息, 包括硬件应识别其构造,制造商,工作模式,以及每台工作站,路由器,集线器,网卡的型号等;软件网络软件的所有类型以及它们的版本号;协议网络正在使用的协议; 网络规划例如工作站的数量,网段的划分,网络的扩展; 以及其它信息例如网络内部以前一直实施中的安全策略的概述,曾遭受过的安全攻击的历史记录等.



6 综述



本文主要总结了unix系统平台的安全问题，有些方面与其它操作系统（windows nt等）相通。这并不意味着其它系统平台或设备就没有安全问题或较少安全问题，只是因为目前情况下，关键任务应用运行的平台以unix为主。但是随着windows nt系统高端应用装机数量的增加，nt平台的安全问题也越来越重要。据报道，Cisco公司日前向他们的客户们确认了他们的互联网络操作系统IOS软件存在漏洞，该漏洞将破坏Cisco公司的多数路由器产品的安全系统。 根据该公司的说法，一个未经授权的入侵将导致运行IOS软件的Cisco网络设备崩溃，而且在重启后可以不通过路由器直接登录。为了修补这个BUG，Cisco公司估计客户得对2-3个联在互联网络上的路由器上的软件进行升级。Cisco可为客户提供免费升级软件。目前 Cisco 已将该漏洞的 补丁程序放在其公司网站上供用户下载。但据说这个补丁程序对IOS 10.3或更低的版本不起作用。据称此次发现的漏洞已经存在了很长的一段时间，一直没有被发现。Cisco希望用户不要对此过于担心。以此说明，专门提供安全功能的产品本身依然有安全漏洞，安全问题事实上已成为非常普遍存在的隐患，需要投入更充足的人力，资源来重视解决。


附录： 计算机网络安全的相关法律，条文

· 1991年6月4日国务院发布《计算机软件保护条例》
第三十条(五)未经软件著作权人或者其合法受让者的同意修改、翻译、注释其软件作品; (六)未经软件著作权人或者其合法受让者的同意复制或者部分复制其软件作品;

· 1994年2月18日国务院发布《中华人民共和国计算机信息系统安全保护条例》
第二十条 违反本条例的规定，有下列行为之一的，由公安机关处以警告或者停机整顿：
(一)违反计算机信息系统安全等级保护制度，危害计算机信息系统安全的；
(二)违反计算机信息系统国际联网备案制度的；
(三)不按照规定时间报告计算机信息系统中发生的案件的；
(四)接到公安机关要求改进安全状况的通知后，在限期内拒不改进的；
(五)有危害计算机信息系统安全的其他行为的。
第二十三条 故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的，或者未经许可出售计算机信息系统安全专用产品的，由公安机关处以警告或者对个人处以5000元以下的罚款、对单位处以15000元以下的罚款；有违法所得的，除予以没收外，可以处以违法所得1至3倍的罚款。
第二十四条 违反本条例的规定，构成违反治安管理行为的，依照《中华人民共和国治安管理处罚条例》的有关规定处罚；构成犯罪的，依法追究刑事责任。
第二十五条 任何组织或者个人违反本条例的规定，给国家、集体或者他人财产造成损失的，应当依法承担民事责任。

· 1996年4月原邮电部颁布《中国公用计算机互连网国际联网管理办法》
第八条 接入单位负责对其接入网内用户的管理，并按照规定与用户签定协议，明确双方的权利，义务和责任。
第九条 接入单位和用户应遵守国家法律，法规，加强信息安全教育，严格执行国家保密制度，并对所提供的信息内容负责。
第十条 任何组织或个人，不得利用计算机国际联网从事危害***，泄露国家秘密等犯罪活动；不得利用计算机国际联网查阅，复制，制造和传播危害***，妨碍社会治安和淫秽色情的信息；发现上述违法犯罪行为和有害信息，应及时向有关主管机关报告。
第十一条 任何组织或个人，不得利用计算机国际联网从事危害他人信息系统和网络安全，侵犯他人合法权益的活动。
第十五条 违反本办法第九条和第十条，第十一条规定的，由邮电部或邮电管理局给予警告，撤消批准文件并通知公用电信企业停止其联网接续的处罚。情节严重的，由公安机关依法给予处罚；构成犯罪的，提请由司法机关依法追究刑事责任。

· 1997年3月15日全国人民代表大会通过《中华人民共和国刑法》
第二百八十五条 违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。”
第二百八十六条 违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。
违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。”
第二百八十七条 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。”

· 1996年4月邮电部电信总局下发《关于加强中国公用计算机互联网chinanet网络安全管理的通知》

· 1997年12月30日公安部发布《计算机信息网络国际联网安全保护管理办法》
第四条　任何单位和个人不得利用国际联网危害***、泄露国家秘密，不得侵犯国家的、社会的、集体的利益和公民的合法权益，不得从事违法犯罪活动。
第六条任何单位和个人不得从事下列危害计算机信息网络安全的活动：
（一）未经允许，进入计算机信息网络或者使用计算机信息网络资源的；
（二）未经允许，对计算机信息网络功能进行删除、修改或者增加的；
（三）未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的；
（四）故意制作、传播计算机病毒等破坏性程序的；
（五）其他危害计算机信息网络安全的。
第七条　用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定，利用国际联网侵犯用户的通信自由和通信秘密。
第十三条　使用公用帐号的注册者应当加强对公用帐号的管理，建立帐号使用登记制度。用户帐号不得转借、转让。
第二十条　违反法律，行政法规，有本办法第五条、第六条所列行为之一的，由公安机关给予警告，有违法所得的；没收违法所得，对个人可以并处五千元以下的罚款，对单位可以并处一万五千元以下的罚款；情节严重的，并可以给予六个月以内停止联网、停机整顿的处罚，必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格；构成违反治安管理行为的，依照治安管理处罚条例的规定处罚；构成犯罪的，依法追究刑事责任。

http://www.gz-benet.com.cn