似乎有很多介紹寬帶上網(wǎng)安全的文章，但往往提到的是木馬、IE的漏洞之類的問(wèn)題，殊不知有一類更危險(xiǎn)的問(wèn)題卻好像未被用戶注意，甚至不為防火墻所重視，但是一旦被人入侵卻可以隨意共享你的所有驅(qū)動(dòng)器和其中的文件，而且實(shí)現(xiàn)起來(lái)是如此的簡(jiǎn)單。是何危險(xiǎn)？且聽我慢慢道來(lái)。

　　思考

　　近來(lái)我正在裝修新居，這兩天考慮到新家的局域網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)，因?yàn)槲以缡褂蒙狭擞芯€通，到時(shí)候肯定移機(jī)過(guò)去，所以現(xiàn)在有兩種方案能被我考慮：

　　1、CABLE MODEM——HUB——各臺(tái)主機(jī)；
　　2、CABLE MODEM——服務(wù)器（軟路由）——HUB——各臺(tái)主機(jī)

　　看到這里大家一定認(rèn)為第一種方案更好，很明顯網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單，至少可以節(jié)約一塊網(wǎng)卡，而且不需要有一臺(tái)服務(wù)器整天開著。有線通的說(shuō)明書上也是這么推薦的。但是，我正是想到第一種方案各臺(tái)主機(jī)之間的共享時(shí)，才突然意識(shí)到長(zhǎng)期未被我重視的安全問(wèn)題。

　　大家都知道，所謂的小區(qū)寬帶是一種局域網(wǎng)+互聯(lián)網(wǎng)出口的解決方案，小區(qū)的用戶連在一個(gè)局域網(wǎng)上，然后通過(guò)一個(gè)出口上互聯(lián)網(wǎng)，這種方案的安全性是比較差的，主要是內(nèi)部的安全性，因?yàn)槭沁B在一個(gè)局域網(wǎng)上嘛，如果你不注意，別人是可能共享到你的資源的。而有線通的問(wèn)題則比較有隱蔽性，他在物理上并不是我們常見的星形以太網(wǎng)+出口的結(jié)構(gòu)，而且DHCP服務(wù)器分配給用戶的也是標(biāo)準(zhǔn)的C類地址，似乎我們直接面對(duì)的就是廣域網(wǎng)上的沖擊。殊不知，他在物理上的總線型結(jié)構(gòu)把幾乎所有的有線通用戶連接在了一個(gè)局域網(wǎng)上，我們同樣面臨著一個(gè)嚴(yán)重的本地網(wǎng)的安全問(wèn)題，而且這個(gè)本地網(wǎng)的范圍更大，因此被入侵（嚴(yán)格的來(lái)講不能叫做入侵，而是共享）的機(jī)率就更大。

　　實(shí)驗(yàn)

　　為了驗(yàn)證我的觀點(diǎn)，特地做了以下實(shí)驗(yàn)：

　　我的主機(jī)現(xiàn)在被分配到的ip地址是211.167.123.8，這是一個(gè)標(biāo)準(zhǔn)的c類地址，因此子網(wǎng)掩碼是24位，這就意味著理論上有252臺(tái)主機(jī)（去掉網(wǎng)關(guān)和我自己）和我是處在同一網(wǎng)段中，考慮到有線通的實(shí)際使用率，252臺(tái)估計(jì)是沒(méi)有的，但同時(shí)間幾十臺(tái)應(yīng)該還是有的，應(yīng)該說(shuō)我是可以訪問(wèn)到這些主機(jī)的。

　　于是我就ping，從211.167.123.2開始，到211.167.123.15 ping通了，說(shuō)明這臺(tái)主機(jī)正聯(lián)線，我馬上打開IE，在地址欄中輸入\\211.167.123.15，系統(tǒng)提示我輸入用戶名和密碼，用戶名輸入administrator，密碼為空，嘿嘿，進(jìn)入了。除了打印機(jī)外看不到什么共享資源？沒(méi)關(guān)系，我已經(jīng)是管理員了，還怕找不到資源？我再輸入\\211.167.123.15\c$，c盤的根目錄不就出來(lái)了，這是windows2000的默認(rèn)共享，是為管理而設(shè)的，去不掉的。接下來(lái)d$、e$，要找什么自己輸入。
　　在整個(gè)實(shí)驗(yàn)的過(guò)程中，配合上FluxayIV（流光），一個(gè)網(wǎng)段3、5分鐘就搞定了，發(fā)現(xiàn)有3x臺(tái)主機(jī)正聯(lián)線，其中居然有5、6臺(tái)主機(jī)的administrator賬號(hào)密碼為空，這豈不是任人宰割了？就算那些設(shè)了密碼的，一般也不會(huì)有人在自己的電腦上設(shè)得太復(fù)雜，如果有心拆解的話，配上個(gè)詞典，也不是很困難的事。更有甚者，可能是一臺(tái)某個(gè)公司的主機(jī)，居然直接共享了所有的資源，沒(méi)有任何密碼，看來(lái)是被他們作為文件服務(wù)器使用了。

　　結(jié)論

　　現(xiàn)在大家知道我上面說(shuō)的兩種方案哪個(gè)更好了吧？

　　由于有線通分配的是標(biāo)準(zhǔn)C類地址，不可能通過(guò)延長(zhǎng)子網(wǎng)掩碼去減少每個(gè)網(wǎng)段的主機(jī)數(shù)，所以本地網(wǎng)的安全始終是我們這些用戶的大敵。而且DHCP服務(wù)器分配的IP地址是有存活期的，大概一個(gè)星期左右，你又會(huì)被分配到一個(gè)新的IP地址，也就意味著你又進(jìn)入了一個(gè)新的網(wǎng)段，又有252個(gè)新鄰居在等著你，可怕吧？最可怕的是，和你處在同一網(wǎng)段的主機(jī)被你的防火墻認(rèn)為是局域網(wǎng)主機(jī)，一般防火墻的預(yù)設(shè)里不會(huì)對(duì)這類主機(jī)進(jìn)行設(shè)防。

　　防范措施

　　首先，也是最起碼的，就是為你的administrator賬號(hào)設(shè)一個(gè)密碼（不能太簡(jiǎn)單），因?yàn)檫@個(gè)賬號(hào)是刪不掉的，你即使不用也不能讓密碼空著。在實(shí)驗(yàn)的過(guò)程中我發(fā)現(xiàn)有好多用戶平時(shí)可能用另外一個(gè)賬號(hào)，密碼倒是設(shè)了，但administrator的密碼卻是空的，那你豈不是白忙一場(chǎng)？

　　還有些用戶administrator賬號(hào)密碼設(shè)了，但又開了幾個(gè)密碼為空的賬號(hào)，這同樣是危險(xiǎn)的。記住，所有的可用賬號(hào)都要設(shè)密碼，而且要定時(shí)管理這些賬號(hào)，關(guān)閉長(zhǎng)期不用的賬號(hào)，對(duì)于administrator賬號(hào)最好是能經(jīng)常更換密碼。

　　安裝一兩個(gè)防火墻是好方法，但記住一定要對(duì)防火墻進(jìn)行設(shè)置，因?yàn)橐话泐A(yù)設(shè)里面對(duì)局域網(wǎng)主機(jī)是沒(méi)有嚴(yán)密防范的，而你看到這里應(yīng)該知道我們最需要防范的恰好是這些“局域網(wǎng)”主機(jī)。同時(shí)，防火墻本身也可能是有漏洞的，所以我用的是天網(wǎng)+Norton，這樣交叉防范還是比較令我放心的。至于防火墻的具體設(shè)置方法就請(qǐng)參閱相關(guān)文章了，我就不贅述了。

　　還要提醒你的就是，作了這樣防范之后，如果你的網(wǎng)絡(luò)結(jié)構(gòu)采用的是第一種方案，那么你的幾臺(tái)主機(jī)之間也不能共享了，因?yàn)檫@幾臺(tái)主機(jī)和本網(wǎng)段的其他主機(jī)是處在平等地位。所以你如果要建設(shè)自己的網(wǎng)絡(luò)，考慮到安全性，建議你采用第二種方案，如果能用硬件路由器代替軟路由那就更佳了。

　　寫這篇文章的目的是希望起到拋磚引玉的作用，如果各位看官想到方便、安全、高效的防范手段請(qǐng)一定和我交流。

最新評(píng)論