3.2 不同的对策
根据遭受的攻击的不同层次,应采取不同的对策.
第一层:
处于第一层的攻击基本上应互不相干,第一层的攻击包括服务拒绝攻击和邮件炸弹攻击.邮件炸弹的攻击还包括登记列表攻击(同时将被攻击目标登录到数千或更多的邮件列表中,这样,目标有可能被巨大数量的邮件列表寄出的邮件淹没)。对付此类攻击的最佳的方法是对源地址进行分析,把攻击者使用的主机(网络)信息加入inetd.sec的拒绝列表(denylistings)中.除了使攻击者网络中所有的主机都不能对自己的网络进行访问外,没有其他有效的方法能防止这种攻击的出现.
此类型的攻击只会带来相对小的危害。使人头疼的是虽然这类攻击的危害性不大,不过发生的频率却可能非常高,因为仅具有有限的经验和专业知识就能进行此类型的攻击。
第二层和第三层:
这两层的攻击的严重程度取决于那些文件的读或写权限被非法获得。对于isp来说,最安全的办法是将所有的shell帐户都集中到某一台(或几台)主机上,只有他们才能接受登录,这样能使得管理日志,控制访问,协议设置和相关的安全措施实施变得更加简单。另外,还应该把存贮用户编写的cgi程式的机器和系统中的其他机器相隔离。
招致攻击的原因有可能是部分设置错误或是在软件内固有的漏洞.对于前者,管理员应该注意经常使用安全工具查找一般的设置错误,例如satan。后者的解决需要安全管理员花费大量的时间去跟踪了解最新的软件安全漏洞报告,下载补丁或联系供货商。实际上,研究安全是个永不终结的学习过程。安全管理员能订阅一些安全邮件列表,并学会使用一些脚本程式(如perl,等)自动搜索处理邮件,找到自己需要的最新信息。
发现发起攻击的用户后,应该即时停止其访问权限,冻结其帐号。
第四层:
该层攻击涉及到远程用户怎么获取访问内部文件的权利。其起因大多是服务器的设置不当,cgi程式的漏洞和溢出问题。
第五层和第六层:
只有利用那些不该出现却出现的漏洞,才可能出现这种致命的攻击。
出现第三,四,五层的攻击表明网络已处于不安全状态之中,安全管理员应该即时采取有效措施, 保护重要数据, 进行日志记录和汇报,同时争取能够定位攻击发起地点:
将遭受攻击的网段分离出来,将此攻击范围限制在小的范围内
记录当前时间,备份系统日志,检查记录损失范围和程度
分析是否需要中断网络连接
让攻击行为继续进行
如果可能,对系统做0级备份
将入侵的周详情况逐级向主管领导和有关主管部门汇报;如果系统受到严重破坏,影响网络业务功能,即时调用备件恢复系统
对此攻击行为进行大量的日志工作
(在另一个网段上)竭尽全力地判断寻找攻击源
总之,不到万不得已的情况下, 不可使系统退出服务. 寻找入侵者的最重要的工作就是做日志记录和定位入侵者,而找出入侵者并通过法律手段迫使其停止攻击是最有效的防卫手段。
4 关于口令安全性
通过口令进行身份认证是目前实现计算机安全的主要手段之一,一个用户的口令被非法用户获悉,则该非法用户即获得了该用户的全部权限,这样,尤其是高权限用户的口令泄露以后,主机和网络也就随即失去了安全性。黑客攻击目标时也常常把破译普通用户的口令作为攻击的开始。然后就采用字典穷举法进行攻击。他的原理是这样的:网络上的用户常采用一个英语单词或自己的姓名、生日作为口令。通过一些程式,自动地从计算机字典中取出一个单词,作为用户的口令输入给远端的主机,申请进入系统。若口令错误,就按序取出下一个单词,进行下一个尝试。并一直循环下去,直到找到正确的口令,或字典的单词试完为止。由于这个破译过程由计算机程式来自动完成,几个小时就能把字典的所有单词都试一遍。这样的测试容易在主机日志上留下明显攻击特征,因此,更多的时候攻击者会利用其他手段去获得主机系统上的/etc/passwd文件甚至/etc/shadow文件,然后在本地对其进行字典攻击或暴力破解。攻击者并不必所有人的口令,他们得到几个用户口令就能获取系统的控制权,所以即使普通用户取口令过于简单可能会对系统安全造成非常大的威胁。系统管理员及其他所有用户对口令选取的应采取负责的态度,消除侥幸和偷懒思想。
然而,有许多用户对自己的口令没有非常好的安全意识,使用非常容易被猜出的口令,如:帐号本身,第一个字母大写,或全部大写,或后面简单加上一个数字,甚至只是简单的数字,如0,1,123,888,6666,168等,有些是系统或主机的名字,或常见名词如system,manager,admin等。其实,根据目前计算机加密解密处理的算法和能力,防止自己口令被使用字典攻击法猜出的办法也非常简单,使自己的口令不在相应解密程式的字典中。一个好的口令应当至少有7个字符长,不要用个人信息(如生日,名字等),口令中要有一些非字母(如数字,标点符号,控制字符等),还要好记一些,不能写在纸上或计算机中的文件中,选择口令的一个好方法是将两个不相关的词(最佳再组合上大小写)用一个数字或控制字符相连,并截断为8个字符。例如me2.Hk97就是个从安全角度讲非常不错的口令。
保持口令安全的一些要点如下:
口令长度不要小于6位,并应同时包含字母和数字,及标点符号和控制字符
口令中不要使用常用单词(避免字典攻击),英文简称,个人信息(如生日,名字,反向拼写的登录名,房间中可见的东西),年份,及机器中的命令等
不要将口令写下来。
不要将口令存于计算机文件中。
不要让别人知道。
不要在不同系统上,特别是不同级别的用户上使用同一口令。
为防止眼明手快的人窃取口令,在输入口令时应确认无人在身边。
定期改动口令,至少6个月要改动一次。
系统安装对口令文件进行隐藏的程式或设置。(e.g. Shadow Suite for linux)
系统设置对用户口令设置情况进行检测的程式,并强制用户定期改动口令。所有一个用户口令的脆弱,都会影响整个系统的安全性。(e.g. passwd+, Crack,etc)
最后这点是十分重要的,永远不要对自己的口令过于自信,也许就在无意当中泄露了口令。定期地改动口令,会使自己遭受黑客攻击的风险降到了一定限度之内。一旦发现自己的口令不能进入计算机系统,应即时向系统管理员报告,由管理员来检查原因。
系统管理员也应定期运行这些破译口令的工具,来尝试破译shadow文件,若有用户的口令密码被破译出,说明这些用户的密码取得过于简单或有规律可循,应尽快地通知他们,及时更正密码,以防止黑客的入侵。
5 网络安全管理员的素质需求
深入地了解过至少两个操作系统,其中之一无可置疑地是unix。熟练设置主机的安全选项和设置,及时了解已见报道的安全漏洞,并能够及时下载相应补丁安装。在特别紧急情况下,能独立研发适合的安全工具或补丁,提高系统的安全性。
对tcp/ip协议族有透彻的了解,这是所有一个合格的安全管理员的必备的素质。并且这种知识要不仅仅停留在internet基本构造等基础知识上,必须能够根据侦测到的网络信息数据进行准确的分析,达到安全预警,有效制止攻击和发现攻击者等防御目的。
熟练使用c,c++,perl等语言进行编程。这是基本需求,因为许多基本的安全工具是用这些语言的某一种编写的。安全管理员至少能正确地解释,编译和执行这些程式。更高的需求是能够把不专门为某个特定平台研发的工具移植到自己的平台上。同时他们还能够研发出可扩展自己系统网络安全性的工具来,如对satan和safe suite的扩展和升级(他们允许用户研发的工具附加到自己上)
经常地保持和internet社会的有效接触。不仅要了解自己的机器和局域网,还必须了解熟悉internet。经验是不可替代的。
熟练使用英语读写,和internet网上的各个安全论坛建立经常的联系。
平时注意收集网络的各种信息, 包括硬件应识别其构造,制造商,工作模式,及每台工作站,路由器,集线器,网卡的型号等;软件网络软件的所有类型及他们的版本号;协议网络正在使用的协议; 网络规划例如工作站的数量,网段的划分,网络的扩展; 及其他信息例如网络内部以前一直实施中的安全策略的概述,曾遭受过的安全攻击的历史记录等.
6 综述
本文主要总结了unix系统平台的安全问题,有些方面和其他操作系统(windows nt等)相通。这并不意味着其他系统平台或设备就没有安全问题或较少安全问题,只是因为目前情况下,关键任务应用运行的平台以unix为主。不过随着windows nt系统高端应用装机数量的增加,nt平台的安全问题也越来越重要。据报道,Cisco公司日前向他们的客户们确认了他们的互连网络操作系统IOS软件存在漏洞,该漏洞将破坏Cisco公司的多数路由器产品的安全系统。 根据该公司的说法,一个未经授权的入侵将导致运行IOS软件的Cisco网络设备崩溃,而且在重启后能不通过路由器直接登录。为了修补这个BUG,Cisco公司估计客户得对2-3个联在互连网络上的路由器上的软件进行升级。Cisco可为客户提供免费升级软件。目前 Cisco 已将该漏洞的 补丁程式放在其公司网站上供用户下载。但据说这个补丁程式对IOS 10.3或更低的版本不起作用。据称此次发现的漏洞已存在了非常长的一段时间,一直没有被发现。Cisco希望用户不要对此过于担心。以此说明,专门提供安全功能的产品本身依然有安全漏洞,安全问题事实上已成为非常普遍存在的隐患,需要投入更充足的人力,资源来重视解决。
分页: [1] [2] [3]
TAG: 网络安全