案例描述:小熊的公司是刚刚搬迁到北京市大兴科技园区的新型企业,公司主要从事影视特效和动漫游戏开发。公司的网站上提供了大量在线游戏和FLASH动画,网站的访问者大多时尚的年轻人和大学学生。但频繁出现的黑客入侵和内网病毒传播问题,已经直接危害到网络的运行和业务的正常开展。在没有专门的安全管理人员情况下,小熊如何自己应对这些安全问题呢?这可不是小熊一个人的问题,在中小企业中,网络管理员随时都充当着安全专家的角色。我们知道,每当一种新的计算机技术广泛应用的时候,总会有相应的病毒随之出现,现在则是病毒与黑客技术相结合的趋势,威胁更加严重。网络的普及与网速的提高,使得计算机之间的远程控制越来越方便,传输文件也变得方便快捷,正因如此,病毒与黑客技术结合以后的危害更为严重,病毒的发作往往在侵入了一台计算机后,又通过网络侵入其他网络上的机器,这是中小企业中最为薄弱的网络管理环节。谁毒了我的电脑?如何诊断电脑是否中毒,可用医生 望、闻、问、切 的方法,不过这适合对系统了解较深入的网络管理员。那么有没有简单的办法,自测电脑是否 中毒 或 被黑 了呢?病毒方面,我们可以排查系统进程是否存在异常。开机后,什么都不要启动,直接打开任务管理器,查看有没有可疑的进程,对于那些你不认识的进程可以利用搜索引擎搜索。如果任务管理器打开后马上就消失了,可以判定已经中毒。另外一种情况是,提示你任务管理器已经被管理员禁用,则要引起警惕。此时我们可以一些第三方的安全检测工具,例如:端口扫描 (Port scanners)、网络/操作系统弱点扫描 (Network/OS vulnerability scanners)、应用程序/数据库弱点扫描 (Application/database vulnerability scanners)、密码破解 (Password crackers)、文件查找工具 (File searching tools)、网络分析 (Network analyzers)、漏洞检查工具等。以比较有代表性的 冰刃 为例,运行之后可以查看那些隐藏进程(冰刃中以红色标出),然后查看系统进程的路径是否正确,通常Windows自己的进程工具应该放在System32或者System目录下。如果这些工具无法正常使用或有红色的进程,则可以判定已经中毒。如果进程全部正常,则利用Wsyscheck等工具查看是否有可疑进程注入到正常进程中。谁黑了我的电脑?黑客方面,可以检查账户和网络的连接状况是否存在异常。这需要在操作系统和网络设备上都要检查,而操作系统又可分为Windows和Linux两大阵营,下面我们分开介绍一下对于Windows用户此时可以先用Net user等命令查看系统是都有可疑的帐户存在,然后在没有进行任何主动访问外网的情况下,利用Netstat an命令查看是否有主动连接外网特定端口的情况。如果你在日志方面已经下了一些功夫,则可以迅速在日志中查看到黑客的蛛丝马迹,包括登录的用户、时间、操作了哪些系统的服务等等。不过提醒你的是,如果你没有使用日志转移,一些黑客的高手则会删除他们访问的记录,此时如果你发现正常的日志统计中少了一段时间记载,则可以断定有些黑客光临过你的系统。对于Linux用户如果你安装了所有正确的补丁,拥有经过测试的防火墙,并且在多个级别都激活了先进的入侵检测系统,那么只有在一种情况下你才会被黑,那就是,你太懒了以至没去做该做的事情,例如没有升级服务软件包的版本。Linux系统中更严重的威胁是某些 脚本小子 还会下载一些众所周知的 root kits 或者流行的刺探工具,这些都占用了你的CPU,存储器,数据和带宽。找出root kit的首个窍门是运行ps命令。黑客常用的一个诡计就是把ps命令替换掉,而这个替换上的ps将不会显示那些正在你的机器上运行的非法程序。为了测试个,应该检查你的ps文件的大小,它通常位于 /bin/ps 目录下。在Linux系统上寻找未知的用户账号可能要复杂一些,需要本机登录到你的Linux机器时,敲入以下的命令: grep :x:0: /etc/passwd 这个命令应该只返回一行,类似 root:x:0:0:root:/root:/bin/bash ,如果系统返回的结果不止一行,那可能就有问题了。应该只有一个用户的UID为0,而如果grep命令的返回结果超过一行,那就表示不止一个用户了,这很有可能就是黑客光临了你的主机。提示:Script Kiddie,国内翻译成 脚本小子 ,指的是用别人写的程序的人。网上有很多hacker写的小程序,许多hacker 在公布他们发现的漏洞时,常常也会上传一个可以溢出(exploit)漏洞的程序,作为自己发现这个漏洞的证明。也有的hacker 编写了一些hacking的工具程序。而脚本小子就是收集这些程序的人,他们可能自己从来没有写过一行程序,可能对这些程序内部如何工作一无所知,也不知道如何写这些程序,更不知道如何发现系统的漏洞,就是说他们不知道如何 hack 一个操作系统或一个应用程序,但是他们知道如何使用hacker编写的程序与工具,这种人危害最为严重,有的人设置两Format这样的命令都敢操作。快速安全的法宝:划分信任区域随着时间的发展,安全威胁无论在形式上还是在数量上,都已呈现出爆炸性的增长;现在每天都有成百种新型病毒在网上出现,而主流应用平台的安全漏洞更是数以千计。用户的防御体系,早已从单点设备防护转移到如何治理混合型威胁的趋势中来。划分区域不但可以阻断黑客访问内往的可能,也会减少内网之间的病毒感染。安全区域的划分可以分成两类:根据安全等级划分;根据资源位置划分。 根据安全等级划分这也是我们通常所说的 垂直分层 管理模型,比如将承载不同应用的主机分为4个网络安全层次:核心层、应用层、隔离层与接入层。对应用系统实施网络分层防护,有效地增加了系统的安全防护纵深,使得外部的侵入需要穿过多层防护机制,不仅增加恶意攻击的难度,还为主动防御提供了时间上的保证。 根据资源位置划分根据资源位置划分的目标是将同一网络安全等级的资源,根据对企业的重要性、面临的外来攻击风险、内在的运行风险不同,划分成多个网络安全区域。执行划分的原则是将同一网络安全层次内服务器之间的连接控制在相同的区域内,尽量消除不同安全层次之间的联系,实施相互逻辑或物理隔离。划分安全区域最简单的办法是使用功能强大的防火墙,那么防火墙中最关键的技术又是什么呢?这就是:网络验证算法。以Cisco 的PIX防火墙为例:ASA算法采用了一种基于状态和面向TCP连接的安全设计体系。ASA基于源和目的地地址创建一个会话流,同时在一个连接完成之前将其TCP序列号、TCP端口号和附带的TCP识别标记随机地加入会话序列。实现会话序列得的作用主要是用来监视从目的地址返回的数据包,并保证其合法性。例如每一个内部系统和相关应用在未经过明确的安全配置的情况下只允许单一方向的连接(由inside到outside),随机生成的TCP序列号可以避免黑客利用篡改TCP序列号进行攻击的可能性,这是传统的包过滤防火墙不能比拟的。拥有特殊算法的防火墙几乎不影响网络性能,因此可以应用在内部网和 Internet、Extranet 或 Intranet 链路之间执行安全访问,这使得划分区域时变得非常Easy。
一个有信念者所开发出的力量,大于99个只有兴趣者。
