局域網上網的安全防范與技巧

2019-11-05 03:17:50

字體：大中小

來源：轉載

供稿：網友

1.引言

　　在計算機網絡日益成為生活中不可或缺的工具時，計算機網絡中的入侵活動已經引起了公眾的高度重視。非法入侵一直危害著網絡安全，計算機網絡系統的安全威脅主要來自黑客攻擊、計算機病毒和拒絕服務攻擊三個方面。網絡的安全威脅方向也分為外部和內部。黑客攻擊早在主機終端時代就已經出現，隨著因特網的發展，現代黑客則從以系統為主的攻擊轉變到以網絡為主的攻擊。本文提供一些網絡安全防范的措施和技巧，希望能對網絡安全防范起一定的參考作用。

2.黑客攻擊類型

　　任何系統得安全都是相對的，沒有一個網絡操作系統是絕對安全的。局域網上網即使有防火墻的保護,由于防火墻錯誤配置等其他原因,仍很難保證百份百的安全。

幾種網絡攻擊類型：

●Data Diddling-------------未經授權刪除檔案，更改其資料（15.5%)

●Scanner-------------利用工具尋找暗門漏洞(15.8%)

●Sniffer--------------監聽加密之封包(11.2%)

●Denial of Service-------------使其系統癱瘓（16.2%)

●ip Spoofing---------------冒充系統內網絡的IP地址(12.4%)

●Other------------其他(13.9%) 3.防范黑客的措施:

◎ 選用安全的口令：據統計，大約80%的安全隱患是由于口令設置不當引起的。

◎ 用戶口令應包含大小寫，最好能加上字符串和數字，一起使用以期達到最好的保密效果；

◎ 用戶口令不要太規則,不要用用戶姓名、生日和電話號碼作為口令。不要用常用單詞作為口令；

◎ 根據黑客軟件的工作原理,參照口令破譯的難易程度,以破解需要的時間為排序指標，口令長度設置時應遵循7位或14位的整數倍原則；

◎ 安裝某些系統服務功能模塊時有內建帳號，應及時修改操作系統內部帳號口令的缺省設置；

◎ 應及時取消調離或停止工作的雇員的帳號以及無用的帳號;

◎ 在通過網絡驗證口令過程中,不得以明文方式傳輸，以免被監聽截取;

◎ 口令不得以明文方式存放在系統中,確保口令以加密的形式寫在硬盤上并包含口令的文件是只讀的;

◎ 口令應定期修改，應避免重復使用舊口令，應采用多套口令的命名規則；

◎ 建立帳號鎖定機制，一旦同一帳號密碼校驗錯誤若干次即斷開連接并鎖定該帳號，至一段時間才解鎖

再次開放使用。

◎ 實施存取控制：主要是針對網絡操作系統的文件系統的存取控制。

◎ 存取控制是內部網絡安全理論的重要方面,它包括人員權限,數據標識,權限控制,控制類型,風險分析等內容.

◎ 確保數據的安全：完整性是在數據處理過程中,在原來數據和現行數據之間保持完全一致的證實手段.一般常用數字簽名和數據加密算法來保證。請參照幾個加密站點：

　　規定公共密鑰加密:http://Word.std.com/~franl/crypto/crypto.Html

　　RSA加密專利公司:http://www.rsa.com.faq
◎ 使用安全的服務器系統：雖然沒有一種網絡操作系統是絕對安全的，但UNIX經過幾十年來的發展已相當成熟，以其穩定性和安全性成為要害性應用的首選。

　　Windows NT的安全問題：

例子：RDISK漏洞：RDISK是WINDOWSNT提供的緊急修復磁盤工具，雖然是很好的工具，但存在巨大的安全漏洞。用戶使用RDISK將所有安全信息（包括口令和注冊信息）放入C:/WINNT/REPAIR，攻擊者很輕易獲得口令。相應的解決方案可以參見《安全Windows NT安裝和配置指導》，網絡地址：http://infosec.nosc.mil/TEXT.COMPUSEC/Navynt.zip

　　UNIX的安全問題：

例子：linux中的imapd coredump 可以泄露隱蔽口令。 Http://underground.simplenet.com/central/linux-ex/imapd_core.txt

各大UNIX廠商的補丁站點：

AIX（IBM） http://www.ers.ibm.com/tech-info/index.html

FreeBSD/OpenBSD FTP://ftp.openbsd.org/pub/OpenBSD/patches

HP-UNIX http://us-support.external.hp.com/

SCO ftp://ftp.sco.com/SLS/

SunOS/Solaris http://sunsolve.sun.com/sunsolve/pubpatches/

IRIX www.sgi.com/Support/security/patches.html

◎ 謹慎開放缺乏安全保障的應用和端口：很多黑客攻擊程序是針對特定服務和特定服務端口的，所以關閉不必要的服務和服務端口，能大大降低遭受黑客攻擊的風險。

　　NT SERVER：將缺省的NWLink IPX/SPX傳輸協議去掉；在TCP/IP協議屬性里，啟用安全機制。假如沒有非凡需求（如ICQ,Real數據流傳輸等）可將所有UDP端口關閉。(具體方法：控制面板／協議／TCP/IP協議屬性／高級／啟用安全機制／配置）

　　UNIX：最好關閉UNIX的rServices,如rlogin,rfingerd等。用戶不提供r Services,最好將/etc/hosts.equiv和rhosts文件刪除，修改/etc/services和/etc/inetd.conf文件，將不必要的服務去除。
◎ 定期分析系統日志:日志文件不僅在調查網絡入侵時十分重要的，它們也是用少的代價來阻止攻擊的辦法之一。這里提供給大家一些比較有用的日志文件分析工具：

　　NestWatch能從所有主web服務器和許多防火墻中導入日志文件。它運行在Windows NT 機器上，能夠以HTML格式輸出報告，并將它們分發到選定的服務器上。（URL：http://www.sscnet.com/nestwatch.html）

　　LogSurfer是一個綜合日志分析工具。根據它發現的內容，它能執行各種動作，包括告警、執行外部程序，甚至將日志文件數據分塊并將它們送給外部命令或進程處理。（ftp://ftp.cert.dfn.de/pub/tols/audit/logsurfer-1.41.tar.gz）要求有C編譯器。

◎ 不斷完善服務器系統的安全性能:無論是UNIX還是NT的操作系統都存在安全漏洞，他們的站點會不定期發布系統補丁，系統治理員應定期下載補丁，及時堵住系統漏洞。（微軟公司：http://www.microsoft.com/ntserver/）.

◎ 排除人為因素：再完善的安全體制,沒有足夠的安全意識和技術人員經常維護,安全性將大打折扣。要制定一整套完整的網絡安全治理操作規范。

◎ 進行動態站點監控：利用網絡治理軟件對整個局域網進行監控，發現問題及時防范。

◎ 掃描、攻擊自己的站點：網絡上有許多掃描軟件（例如satan），適用于各種平臺，它們是把雙刃劍。在網絡治理員手里可以成為簡化安審計工作的利器，在cracker手里卻可成為網絡攻擊工具。

◎ 請第三方評估機構或專家來完成網絡安全的評估:一般能較系統地檢查局域網的各項安全指標,但花費較貴.

◎ 謹慎利用共享軟件：不應隨意下載使用共享軟件，有些程序員為了調測軟件的方便都設有后門，這往往成為最好的攻擊后門。
◎ 做好數據的備份工作：這是非常要害的一個步驟,有了完整的數據備份,我們在遭到攻擊或系統出現故障時才可能迅速恢復我們的系統.

◎ 使用防火墻

　　防火墻是防止從網絡外部訪問本地網絡的所有設備，它們防止外部攻擊提供了重要的安全保障。但防火墻只是所有安全體系結構中的一個部件，故不能完全依耐防火墻。

　　防火墻分為網絡級防火墻和應用網關防火墻。

　　網絡級防火墻一般是具有很強報文過濾能力的路由器，可以改變參數來答應或拒絕外部環境對站點的訪問，但對欺騙性攻擊的防護很脆弱。

　　應用代理防火墻（應用網關）的優勢是它們能阻止IP報文無限制地進入網絡，缺點是它們的開銷比較大且影響內部網絡的工作。代理必須為一個網絡應用進行配置，包括HTTP、FTP、TELNET、電子郵件、新聞組等。（相關信息：http://www.telstra.com.au/pub/docs/security/800-10/node52.html）

　　防火墻的安全問題：

　　Cisco PIX DES漏洞：Cisco PRivate Link使用一個48位DES（Date Encryption Standard）密碼,被認為較輕易被解密。（補丁：http://www.cisco.com/warp/public/770/pixkey-pub.shtml）

　　FireWall-1保留要害字漏洞：FireWall-1有許多保留要害字，當用它們描述網絡對象時會打開一個安全漏洞，使得已命名的對象成為“未定義”，可被任何地址訪問。
1.引言

　　在計算機網絡日益成為生活中不可或缺的工具時，計算機網絡中的入侵活動已經引起了公眾的高度重視。非法入侵一直危害著網絡安全，計算機網絡系統的安全威脅主要來自黑客攻擊、計算機病毒和拒絕服務攻擊三個方面。網絡的安全威脅方向也分為外部和內部。黑客攻擊早在主機終端時代就已經出現，隨著因特網的發展，現代黑客則從以系統為主的攻擊轉變到以網絡為主的攻擊。本文提供一些網絡安全防范的措施和技巧，希望能對網絡安全防范起一定的參考作用。

2.黑客攻擊類型

　　任何系統得安全都是相對的，沒有一個網絡操作系統是絕對安全的。局域網上網即使有防火墻的保護,由于防火墻錯誤配置等其他原因,仍很難保證百份百的安全。

幾種網絡攻擊類型：

●Data Diddling-------------未經授權刪除檔案，更改其資料（15.5%)

●Scanner-------------利用工具尋找暗門漏洞(15.8%)

●Sniffer--------------監聽加密之封包(11.2%)

●Denial of Service-------------使其系統癱瘓（16.2%)

●IP Spoofing---------------冒充系統內網絡的IP地址(12.4%)

●Other------------其他(13.9%) 3.防范黑客的措施:

◎ 選用安全的口令：據統計，大約80%的安全隱患是由于口令設置不當引起的。

◎ 用戶口令應包含大小寫，最好能加上字符串和數字，一起使用以期達到最好的保密效果；

◎ 用戶口令不要太規則,不要用用戶姓名、生日和電話號碼作為口令。不要用常用單詞作為口令；

◎ 根據黑客軟件的工作原理,參照口令破譯的難易程度,以破解需要的時間為排序指標，口令長度設置時應遵循7位或14位的整數倍原則；

◎ 安裝某些系統服務功能模塊時有內建帳號，應及時修改操作系統內部帳號口令的缺省設置；

◎ 應及時取消調離或停止工作的雇員的帳號以及無用的帳號;

◎ 在通過網絡驗證口令過程中,不得以明文方式傳輸，以免被監聽截取;

◎ 口令不得以明文方式存放在系統中,確保口令以加密的形式寫在硬盤上并包含口令的文件是只讀的;

◎ 口令應定期修改，應避免重復使用舊口令，應采用多套口令的命名規則；

◎ 建立帳號鎖定機制，一旦同一帳號密碼校驗錯誤若干次即斷開連接并鎖定該帳號，至一段時間才解鎖

再次開放使用。

◎ 實施存取控制：主要是針對網絡操作系統的文件系統的存取控制。

◎ 存取控制是內部網絡安全理論的重要方面,它包括人員權限,數據標識,權限控制,控制類型,風險分析等內容.

◎ 確保數據的安全：完整性是在數據處理過程中,在原來數據和現行數據之間保持完全一致的證實手段.一般常用數字簽名和數據加密算法來保證。請參照幾個加密站點：

　　規定公共密鑰加密:http://word.std.com/~franl/crypto/crypto.html

　　RSA加密專利公司:http://www.rsa.com.faq
◎ 使用安全的服務器系統：雖然沒有一種網絡操作系統是絕對安全的，但UNIX經過幾十年來的發展已相當成熟，以其穩定性和安全性成為要害性應用的首選。

　　Windows NT的安全問題：

例子：RDISK漏洞：RDISK是WINDOWSNT提供的緊急修復磁盤工具，雖然是很好的工具，但存在巨大的安全漏洞。用戶使用RDISK將所有安全信息（包括口令和注冊信息）放入C:/WINNT/REPAIR，攻擊者很輕易獲得口令。相應的解決方案可以參見《安全Windows NT安裝和配置指導》，網絡地址：http://infosec.nosc.mil/TEXT.COMPUSEC/Navynt.zip

　　UNIX的安全問題：

例子：Linux中的imapd coredump 可以泄露隱蔽口令。 Http://underground.simplenet.com/central/linux-ex/imapd_core.txt

各大UNIX廠商的補丁站點：

AIX（IBM） http://www.ers.ibm.com/tech-info/index.html

FreeBSD/OpenBSD ftp://ftp.openbsd.org/pub/OpenBSD/patches

HP-UNIX http://us-support.external.hp.com/

SCO ftp://ftp.sco.com/SLS/

SunOS/Solaris http://sunsolve.sun.com/sunsolve/pubpatches/

IRIX www.sgi.com/Support/security/patches.html

◎ 謹慎開放缺乏安全保障的應用和端口：很多黑客攻擊程序是針對特定服務和特定服務端口的，所以關閉不必要的服務和服務端口，能大大降低遭受黑客攻擊的風險。

　　NT SERVER：將缺省的NWLink IPX/SPX傳輸協議去掉；在TCP/IP協議屬性里，啟用安全機制。假如沒有非凡需求（如ICQ,Real數據流傳輸等）可將所有UDP端口關閉。(具體方法：控制面板／協議／TCP/IP協議屬性／高級／啟用安全機制／配置）

　　UNIX：最好關閉UNIX的rServices,如rlogin,rfingerd等。用戶不提供r Services,最好將/etc/hosts.equiv和rhosts文件刪除，修改/etc/services和/etc/inetd.conf文件，將不必要的服務去除。
◎ 定期分析系統日志:日志文件不僅在調查網絡入侵時十分重要的，它們也是用少的代價來阻止攻擊的辦法之一。這里提供給大家一些比較有用的日志文件分析工具：

　　NestWatch能從所有主web服務器和許多防火墻中導入日志文件。它運行在Windows NT 機器上，能夠以HTML格式輸出報告，并將它們分發到選定的服務器上。（URL：http://www.sscnet.com/nestwatch.html）

　　LogSurfer是一個綜合日志分析工具。根據它發現的內容，它能執行各種動作，包括告警、執行外部程序，甚至將日志文件數據分塊并將它們送給外部命令或進程處理。（ftp://ftp.cert.dfn.de/pub/tols/audit/logsurfer-1.41.tar.gz）要求有C編譯器。

◎ 不斷完善服務器系統的安全性能:無論是UNIX還是NT的操作系統都存在安全漏洞，他們的站點會不定期發布系統補丁，系統治理員應定期下載補丁，及時堵住系統漏洞。（微軟公司：http://www.microsoft.com/ntserver/）.

◎ 排除人為因素：再完善的安全體制,沒有足夠的安全意識和技術人員經常維護,安全性將大打折扣。要制定一整套完整的網絡安全治理操作規范。

◎ 進行動態站點監控：利用網絡治理軟件對整個局域網進行監控，發現問題及時防范。

◎ 掃描、攻擊自己的站點：網絡上有許多掃描軟件（例如satan），適用于各種平臺，它們是把雙刃劍。在網絡治理員手里可以成為簡化安審計工作的利器，在cracker手里卻可成為網絡攻擊工具。

◎ 請第三方評估機構或專家來完成網絡安全的評估:一般能較系統地檢查局域網的各項安全指標,但花費較貴.

◎ 謹慎利用共享軟件：不應隨意下載使用共享軟件，有些程序員為了調測軟件的方便都設有后門，這往往成為最好的攻擊后門。
◎ 做好數據的備份工作：這是非常要害的一個步驟,有了完整的數據備份,我們在遭到攻擊或系統出現故障時才可能迅速恢復我們的系統.

◎ 使用防火墻

　　防火墻是防止從網絡外部訪問本地網絡的所有設備，它們防止外部攻擊提供了重要的安全保障。但防火墻只是所有安全體系結構中的一個部件，故不能完全依耐防火墻。

　　防火墻分為網絡級防火墻和應用網關防火墻。

　　網絡級防火墻一般是具有很強報文過濾能力的路由器，可以改變參數來答應或拒絕外部環境對站點的訪問，但對欺騙性攻擊的防護很脆弱。

　　應用代理防火墻（應用網關）的優勢是它們能阻止IP報文無限制地進入網絡，缺點是它們的開銷比較大且影響內部網絡的工作。代理必須為一個網絡應用進行配置，包括HTTP、FTP、TELNET、電子郵件、新聞組等。（相關信息：http://www.telstra.com.au/pub/docs/security/800-10/node52.html）

　　防火墻的安全問題：

　　Cisco PIX DES漏洞：Cisco Private Link使用一個48位DES（Date Encryption Standard）密碼,被認為較輕易被解密。（補丁：http://www.cisco.com/warp/public/770/pixkey-pub.shtml）

　　FireWall-1保留要害字漏洞：FireWall-1有許多保留要害字，當用它們描述網絡對象時會打開一個安全漏洞，使得已命名的對象成為“未定義”，可被任何地址訪問。

上一篇：橫看成嶺側成峰：局域網“隱身”小技巧兩則

下一篇：萬無一失！局域網內完全共享文件防誤刪妙計