隨著計算機的普及和網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，人們也越來越依賴于計算機和網(wǎng)絡(luò)。因此，網(wǎng)絡(luò)安全應(yīng)該也必須引起注意。網(wǎng)絡(luò)安全是一門涉及計算機、網(wǎng)絡(luò)、通訊、密碼、信息安全、應(yīng)用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科，涉及面極廣，而且不斷更新和發(fā)展。國家對信息產(chǎn)業(yè)的扶持，使國內(nèi)的網(wǎng)絡(luò)狀況逐漸好轉(zhuǎn)，更多的服務(wù)器的開通，更快的寬帶網(wǎng)得逐漸普及，各種各樣的攻擊行為在網(wǎng)上也越來越頻繁化和簡單化。因此，網(wǎng)絡(luò)安全的嚴峻性對網(wǎng)絡(luò)管理員的水平提出了極高的要求。本文將詳細介紹各種系統(tǒng)最常見的一些安全問題以及對應(yīng)的解決辦法。

關(guān)于WindowsNT

 　　國內(nèi)站點中，NT站點最多，占91.4%，其余不足10%的多為類Unix系統(tǒng)（如SunOS、HP-Unix、SCO Unix、Linux、BSD Unix等）,而恰恰NT的漏洞最多。由于微軟的技術(shù)壟斷，NT的漏洞一般很難迅速、完美地解決。NT把用戶信息和加密口令保存與SAM文件中，即安全帳戶管理（Security Accounts Management)數(shù)據(jù)庫，由于NT的加密過程與Win9x一樣簡單，因此NT口令比Unix(linux)口令更加脆弱，更容易受到一本簡單黑客字典的攻擊。（NT5.0已改進了它的加密程序，但國內(nèi)跑得最多的依然是NT4.0）。

 　　NT首當其沖的漏洞就是SMB漏洞，其導致SAM數(shù)據(jù)庫和其他NT服務(wù)器及NT/9x工作站上的文件可能被SMB的后門所共享。SMB(Server Message Block 服務(wù)器消息塊）是微軟早期的LAN產(chǎn)品的一種繼承協(xié)議，即基于Windows95/98/NT平臺的共享功能。在LAN中，共享功能提供了網(wǎng)絡(luò)中硬盤，CDROM，打印機的資源共享，極大方便了網(wǎng)絡(luò)的使用。由于LAN局限在內(nèi)部使用，并未引起較大安全問題。當LAN連上因特網(wǎng)，成為一個子網(wǎng)絡(luò)時，人們通常還是認為，共享功能僅限于LAN使用，其實不然，通過因特網(wǎng)，是可以訪問到LAN中的共享資源。共享資源有兩種訪問方式，一種是只讀方式，另一種是完全訪問方式。通常基于方便使用的考慮，共享資源都沒有設(shè)置口令，而且，有些還打開了完全訪問方式。這僅我知道的此類軟件就有老掉牙的Logion、Redbutton和NetHackerII。用這些軟件訪問LAN不需要Administrator訪問權(quán)或者交互式訪問權(quán)。NT在安裝后，每個磁盤都會缺省地被設(shè)置成共享，這時后，Internet和LAN上的任何人都可以用命令行方式連接服務(wù)器。如在開始-運行里鍵入“\\IPADDRESS\C$,\\IPADDRESS\D&……”或在Dos下連接。當前。對于使用SMB進行NT組網(wǎng)，還沒有任何其他可選的方法。
 
　　建議：安裝NT后，立即修改磁盤共享屬性；嚴格控制共享，請加上復雜的口令；打印服務(wù)器應(yīng)認真對待，任何人都可以通過SMB漏洞將你的打印驅(qū)動替換成木馬或夾入病毒；安裝防火墻，截止從端口135到142的所有TCP和UDP連接，這樣有利于控制，其中包括對基于RPC工作于135端口的安全漏洞的控制。

另一大漏洞就是注冊表訪問漏洞。NT的缺省Registry權(quán)限有很多不恰當之處。第一，Registry的缺省權(quán)限設(shè)置是對Everyone（所有人）的Full Control（完全控制）和Create（創(chuàng)建），這可能導致注冊表文件被不知情用戶或惡意用戶修改、刪除或替換。第二，NT的缺省狀態(tài)下是允許用戶遠程訪問NT的注冊表。這將導致嚴重的安全隱患。
 
　　建議：立即關(guān)掉“遠程注冊表造訪”，使用第三方的工具軟件如Enterprise Administrator來管理注冊表，必要時將其鎖住。或手動修改注冊表——在HKEY_Local_Machine\System\CurrentControlSet\Control\SecurePipeServer下添加Winreg項(Reg_SZ類型），再在其下添加Description值（Reg_SZ類型），輸入字符串“Registry sever",重啟計算機。

  　　NT的進程定期處理機制有較大漏洞。NT允許非特權(quán)用戶運行某些特別的程序，導致NT系統(tǒng)崩潰或者掛起。CPUHOG是一個只有5行的小程序，它可以使NT掛起；NTCrash與前者類似，這類軟件在Internet上到處可見。一些掃描器也可以使NT拒絕服務(wù)，如經(jīng)典的SATAN和InternetScanner,它們都可以使NT崩潰。甚至用一條簡單的Ping命令（對，就是Win9x/Nt中的Ping）也可以服務(wù)器重啟。如“Ping -l 65524 host.domain.com ”。究其原因，在于NT對較大的ICMP包是很脆弱的，如果向NT發(fā)一條指定包大小為64K的Ping命令，NT的TCP/IP Stack將不會正常工作。此種情況會使系統(tǒng)離線工作，直至重啟。
 
　　建議：趕快去下載Service Pack 6，立即安裝。

  　　帳戶設(shè)置不合理也是人為的安全因素，如果和NT密碼的脆弱性聯(lián)合起來，又是一個嚴重的隱患。通常入侵者最感興趣的是Administrator帳戶，次之是Guest帳戶。因此，必須嚴格地設(shè)置域和帳戶。
 
　　建議：必須設(shè)置兩個或兩個以上的系統(tǒng)管理員帳戶，以免萬一入侵者已得到最高權(quán)限并將口令更改。并且將原Administrator帳戶改名，加上復雜的口令，再設(shè)置一個沒有任何權(quán)限的假Administrator帳戶，以欺騙入侵者；取消Guest帳戶或者加上復雜的口令；設(shè)置口令嘗試次數(shù)上限，達到即鎖住該帳戶，以防止窮舉口令；關(guān)注系統(tǒng)日志，對大量Login失敗記錄應(yīng)保持警惕。

 　　LAN中的不友好用戶和惡意用戶也應(yīng)注意。通常LAN中的用戶得到管理員權(quán)限的成功概率高達70%，而其他用戶則不到5%，因為本網(wǎng)用戶通常較熟悉管理員的工作習慣，而且窮舉口令在局域網(wǎng)中也比從互聯(lián)網(wǎng)上快得多（LAN中100次/秒，Internet中3-5次/秒）。“我用NetHackerII試著監(jiān)聽了本段局域網(wǎng)僅兩分鐘，就得到了一個叫“super99”的明文共享口令；而密文口令，可以保存成SMB文本，送L0phtCracker解密。L0phtCracker2.52 在48小時內(nèi)，幾乎能解90%以上的密碼（當然要一個好字典哦:-)）?，F(xiàn)在的入侵者在服務(wù)器久攻不下后，會用IP掃描器掃描服務(wù)器所在網(wǎng)段（如馮志宏大俠的“月光搜索”），得到本網(wǎng)段的工作站的IP，然后挨個嘗試，找出最脆弱的一臺攻擊，得手后即開始監(jiān)聽，伺機竊得管理員口令。而且在寬帶網(wǎng)逐漸普及的今天，攻擊的速度也越來越快。可能原來需要一個月跑出來的口令，現(xiàn)在只需一天或幾小時。
 
　　建議：采用Switch HUB 后就只能監(jiān)聽本網(wǎng)段；嚴格設(shè)定域和工作組，用拓撲結(jié)構(gòu)將各個域分開。

另外，Modem撥入式訪問也應(yīng)引起注意。不要將電話號碼透露給任何人，不要將記有號碼的介質(zhì)隨意放置，并要給此種訪問加上口令。 NT在默認狀況下用緊急修復盤更新后，整個SAM數(shù)據(jù)庫會被復制到%system%repair\sam._下，而且對所有人可讀。因此在修復后，立即將其改為對所有人不可讀。
 
關(guān)于泛Unix

 　　NT由于界面友好，操作簡單，被中小型企業(yè)廣泛采用；而Unix由于對管理人員要求較高，常常用于大型企業(yè)和ISP。因此，若此類服務(wù)器被摧毀，損失將是驚人的。

 　　Unix系統(tǒng)中的/etc/passwd文件是整個系統(tǒng)中最重要的文件，它包含了每個用戶的信息（加密后的口令也可能存與/etc/shadow文件中）。它每一行分為7個部分，依次為用戶登錄名，加密過的口令，用戶號，用戶組號，用戶全名，用戶主目錄和用戶所用的Shell程序，其中用戶號（UID）和用戶組號（GID)用于Unix系統(tǒng)唯一地標識用戶和同組用戶及用戶的訪問權(quán)限。這個文件是用DES不可逆算法加密的，只能用John之類的軟件窮舉，因此，此文件成為入侵者的首要目標。通常黑客用FTP匿名登錄后將passwd Get回去，就用John開始跑了。所以一定要把此文件設(shè)為不可讀不可寫。另注意，opasswd或passwd.old是passwd的備份，它們可能存在，如果存在，一定也要設(shè)為不可讀不可寫

 　　文件許可權(quán)也是應(yīng)高度注意的問題。用ls -l 可以看到文件的權(quán)限。r表示可讀，w表示可寫，x表示可執(zhí)行；第一個rwx表示文件屬主的訪問權(quán)限，第二個rwx表示文件屬主同組用戶的訪問權(quán)限，第三個rwx表示其他用戶的訪問權(quán)限。改變文件的屬主和組名可用chown和chgrp,但修改后原屬主和組名就無法修改回來了。用ls -l看時，目錄前面有個d，在Unix中，目錄也是文件，所以目錄許可也類似與文件許可。

 　　用戶目錄下的.profile文件在用戶登錄時就被執(zhí)行，若此文件對其他人是可寫的則系統(tǒng)的任何用戶都能修改此文件，比如上傳木馬，加入后門。如“echo "++">.rhosts”就可隨意進出其他用戶帳號，再開始攻擊，從而嫁禍他人。應(yīng)設(shè)置用戶ID許可和同組用戶ID許可；并將umask命令加入每個用戶的.profile文件，以避免特絡(luò)依木馬攻擊和各種模擬Login的誘騙。同時應(yīng)多用ls -l查看自己的目錄，包括以.開頭的文件。任何不屬于自己但存在于自己目錄的文件應(yīng)立即引起懷疑和追究。

 　　最好不設(shè)匿名帳戶或來賓帳戶（anonymouse & guest）如果一定要設(shè)，請在/etc/passwd中將其shell設(shè)為/bin/failure，使其不能訪問任何shell。（注意：Linux中是設(shè)為/bin/false）。打開chroot（如chroot -s）,使其訪問的文件限定在一定目錄下。

 　　作為root登錄后，應(yīng)時刻保持清醒，知道自己下一步該做什么，因為你的一點微小的疏忽都可能給整個系統(tǒng)帶來不良后果 ，甚至導致系統(tǒng)崩潰。盡量少用root登錄，而以具有同樣權(quán)限的其他帳戶登錄，或用普通帳戶登錄后再用su命令取得管理員權(quán)限。這樣做是為了避免可能潛在的嗅探器監(jiān)聽和加載木馬。給你的root 帳戶加上足夠復雜的口令，并定期更換。

 　　Unix可執(zhí)行文件的目錄如/bin可由所有的用戶進行讀訪問，這樣用戶就可以從可執(zhí)行文件中得到其版本號，從而知道它會有什么樣的漏洞。如從Telnet就可以知道sendmail的版本號。禁止對某些文件的訪問雖不能完全禁止黑客地攻擊，但至少可以使攻擊變得更加困難。
如果是SunOS系統(tǒng)，請及時關(guān)注Sun的補丁信息，因為SunOS系統(tǒng)被侵入的事件較多，而且國內(nèi)絕大部分重要的網(wǎng)絡(luò)都采用SunOS系統(tǒng)。據(jù)報道，有30%上有嚴重的root級安全問題，如最經(jīng)典的例子：SunOS V4安裝時會創(chuàng)建一個/rhosts文件，這個文件允許Internet上的任何人可以登錄主機并獲得超級用戶權(quán)限。SUN的本意是方便管理員從網(wǎng)上進行安裝，但也為入侵者大開其門。比較新的例子有SunOS的rpc.ttdbserver存在巨大漏洞，可以使任何人遠程登錄取得root級權(quán)限并不需要何口令，接著一條rm -fr * 的命令就可以…… 建議網(wǎng)絡(luò)管理員去下載最新的補丁。并且注意的是，通常管理員對核心主機非常關(guān)注，會及時補上補丁，但同網(wǎng)絡(luò)內(nèi)的其他主機的管理卻沒有跟上，入侵者雖然通常無法直接突破核心主機，但往往通過這一點，先突破附近的電腦，進入LAN網(wǎng)絡(luò)，在利用嗅探器等方式監(jiān)視LAN，獲取通向服務(wù)器的途徑。所以，同網(wǎng)段的機器都應(yīng)該同等級重視。

 　　這里將常見的系統(tǒng)漏洞的版本號總結(jié)一下，如果您的版本號與此相同，請立即升級系統(tǒng)或安裝補丁程序。

Linux 1.2.13可以利用CGI輕松獲得root權(quán)限（這個太老了吧?。?br /> XFree86 3.1.2 的某個漏洞可使其他替罪羊代為刪除任何文件
 Sendmail8.7-8.8.2 for Linux ,FreeBSD有root級漏洞
 SunOS Version4.0 有root 級漏洞
關(guān)于CGI等

 　　CGI 是主頁安全漏洞的主要來源。CGI(COMMOM GATE INTERFACE)是外部應(yīng)用程序與WEB服務(wù)器交互的一個標準接口，它可以完成客戶端與服務(wù)器的交互操作。CGI帶來了動態(tài)的網(wǎng)頁服務(wù),但是INTERNET的宗旨是面向每個人的，任何人可在任何時候任意多次通過INTERNET訪問某WEB服務(wù)器，而這些特性又會給INTERNET帶來安全上的問題。CGI程序設(shè)計不當,就可能暴露未經(jīng)授權(quán)的數(shù)據(jù),例如,一個最早的CGI漏洞:在瀏覽器里輸入
http://www.xxxx.xxxx.com/cgi-bin/phf?Qalias=x%0a/bin/cat /etc/passwd 就可以看到Unix服務(wù)器的passwd文件。

　　/msads/Samples/SELECTOR/showcode.asp可以看到NT服務(wù)器上的任何文件。這些root級漏洞幾乎均來自與用戶的交互，這種交互性在給主頁帶來活力的同時，成為Web服務(wù)器的一個潛在危險。
 
　　那么究竟應(yīng)如何防止這些數(shù)據(jù)的入侵呢?首先服務(wù)器應(yīng)對輸入數(shù)據(jù)的長度有嚴格限制，在使用POST方法時，環(huán)境變量CONTENT－LENGTH能確保合理的數(shù)據(jù)長度，對總的數(shù)據(jù)長度和單個變量的數(shù)據(jù)長度都應(yīng)有檢查功能；另外，GET方法雖可以自動設(shè)定長度，但不要輕信這種方法，因為客戶可以很容易地將GET改為POST。CGI程序還應(yīng)具有檢查異常情況的功能，在檢查出陌生數(shù)據(jù)后CGI還應(yīng)能及時處理這些情況。CGI在增加上這些功能后，很可能變得很繁瑣。在實際應(yīng)用當中還要在程序的繁瑣度和安全性上折衷考慮。“黑客”還可以想出其他辦法進攻服務(wù)器，比如以CET和POST以外的方法傳輸數(shù)據(jù)，通過改變路徑信息盜竊傳統(tǒng)上的密碼文件/etc/passwd, 在HTML里增加radio選項等等。最后，要對CGI進行全面的測試，確保沒有隱患再小心使用。
ASP也是一大問題。ASP由于強大的功能、簡單的開發(fā)和維護成為了當前開發(fā)Web程序的首選。但ASP一直BUG不斷。如IIS3.0時在ASP后加一個$Data就得到源碼；IIS4.0時在ASP后加%81或%82也有同樣功效。另外 showcode.asp、codebrws.asp等也有漏洞。管理員可以下載SP6補丁，并留意有關(guān)ASP漏洞的報道。

 　　近來郵件病毒一再升溫，惡意的VBScript也漫天飛。黑客可以將惡意的VBS代碼夾在超文本中，加上以over方式觸發(fā)的鏈接，將信以HTML格式寄給你，當你的鼠標挨上鏈接，具有特殊功能的VBS就被執(zhí)行，簡單的如亂刪你的文件，復雜的如得到你的系統(tǒng)目錄字符串，然后在注冊表中將你的C盤改為共享或更隱蔽一點的就是將startup目錄改為共享，最后用SMB共享軟件連接服務(wù)器，上傳木馬。因此，尤其注意異常的郵件，先用殺毒軟件掃一遍，如不放心就用記事本打開看；如果看都不敢看，簡單——Delete了事！

關(guān)于密碼 

 　　這可以說是老生常談，因此其重要性不必我再浪費口舌。密碼一定要長，至少7位以上，最好8位。如Unix一共是128個字符（0x00～0xff），小于0x20的都是控制符，不能作為口令輸入，0x7f為轉(zhuǎn)義符，也不能輸入，那么共有128-32-1=95個字符可作為口令輸入。如果passwd為6位，包括任意5個字母和一位數(shù)字或符號，則其可能性為52*52*52*52*52*43=16,348,773,000(163億種可能性)。這純粹是理論估算，實際上密碼比這有規(guī)律得多。英文常用詞條約5000條，從5000個詞中任取一個字母與一個字符合成口令，僅有5000*2*2*2*2*2*43=6,880,000(688萬種可能性)，現(xiàn)在一臺賽揚600上每秒可算10萬次，則需要時間為6880000/100000/60=1.146667（分鐘）僅需1分鐘！而就算全部窮舉，也只要16348773000/100000/60/60=9.621864（小時）因此6位密碼十分不可靠。而8位（7個字母和一個字符）要（52*52*52*52*52*52*52*43）/100000/3600≈26017.52（小時）≈1084（天）≈2.97（年）。你看，你的密碼僅僅加了兩位，別人就要多算近3年，舉手之勞，何樂而不為之？現(xiàn)在很多解密工具都采用分層解密。如先嘗試用用戶名或用戶名的變形來試，再用中文和英文字典來試，最后再用所有可能的組合來窮舉。但一般來說，除非黑客對你十分感興趣，才會進行費時頗多的第三步。因此，密碼不要用8位以下數(shù)字，不要用自己的中英文名，不要用字典上的詞，數(shù)字和字母交替夾雜，并最好加入@#$%!&*?之類的字符。但你一定要記熟，別自己進不了root！

 　　以上是對現(xiàn)有安全狀況的總結(jié)和建議，當然最好的辦法還是安裝防火墻（取決于你的財力）。你還應(yīng)經(jīng)常瀏覽一下安全網(wǎng)站，推薦Root Shell(http://www.rootshell.com),它可是最好的安全網(wǎng)站喲,搜集了大量的最新和經(jīng)典的漏洞及解決方法。你甚至還可以到黑客站點去轉(zhuǎn)一下，“知己知彼，百戰(zhàn)不殆”嘛。

網(wǎng)絡(luò)安全所面臨的問題及解決方案 doc版下載 http://www.dbjr.com.cn/books/75942.html

最新評論