—- 随着电子商务的发展,保卫企业的计算机网络不受恶意侵犯是至 关重要的,必须把重点放在服务上。面对信息战的挑战,网络管理人 员应该了解哪些对网络的入侵是非恶意的,以便把精力集中在对付那 些潜在的、严重的威胁上。 —- 目前企业服务器和桌面系统比90年代初期安全多了,这是因为系 统和应用厂商已经意识到了早期系统的脆弱。更令人欣喜的是,信息 安全的领域也扩大了,并且把对入侵系统的探测作为一个重要的方 面。许多厂商开始提供强壮的入侵探测系统(Intrusion Detection System,IDS)。 —- 事物的发展也有不利的一面。Internet几乎按指数规律增长,因 此不断出现新的攻击方法,而IDS提供厂商却跟不上这些变化。因此在 网络安全方面,有许多地方没有建立可靠的防御体系。而且,即使是 最复杂的探测工具也不能替代人工分析入侵事件,因为自动化的工具 不具备从各个分散的事件中综合分析信息的能力。因此,对于网络管 理人员来说,采用IDS的挑战是如何把无关的信息过滤掉,以便集中精 力处理真正严重的网络侵袭。 澄清误区 —- 在分析网络入侵之前,首先应该澄清一些错误的概念,以免陷入 不必要的麻烦。 —- 第一个错误的概念是认为只有.com公司才是黑客进攻的目标。只 要您建立了网站,或者您的企业网连入了Internet,就有可能遭到攻 击。虽然通过域名系统(DNS)得不到什么有关公司网络系统的信息, 但是一个简单的名字查找便可以获得公司公共服务器的许多细节。 —- 第二个误解是黑客只愿意闯进Unix系统。Internet已经普及到 数千万张桌面系统上,其中大多数是Windows机器,它们特别容易受到 恶意的侵袭和破坏。蒙丽莎病毒仅仅是上百种凶恶病毒当中的一个。 特洛伊木马侵入被证明是控制基于Windows的个人计算机的有效方法。 —- 第三个误解是相信只要部署了IDS并且进行注册就可以保证系统 的安全。如今开发的大多数IDS是滞后的,也就是说,它们所能检查和 记录的内容都是基于从过去的入侵中所得到的线索,而对于新的网络 攻击方法却很难查出。 —- 这种方式还有一个潜在的问题,就是老练的入侵者很容易通过破 坏日志文件掩盖自己的踪迹。另一个问题是您捕获的信息越多,就越 难以发现独立的、明显的信息。 —- 必须指出的是,一些安全专家经常夸口说他们的网络从来没有受 到侵害,其实事实并不一定就是如此,也许只是这些网络从来没有探 测到有入侵的情况。 如何处理入侵 —- 如果IDS探测出意外的事件,您应该如何处理呢?例如,如果您 发现一些网络共享是不可用的,还有远程拨号用户没有经过认证,那 么您是否在遭受攻击,还是这些仅仅是无关的例行事件?您最好尽快 做出决策。下面是判断是否遭受严重攻击的步骤。 —- 首先要中断系统和网络的连接。因为您在做出判断之前需要控制 环境。更重要的是,如果入侵者依然存在,他会主动扰乱您的工作。 —- 其次,拷贝所有的注册文件,包括IDS日志文件和事件日志文件 (Windows NT系统)或syslog文件(Unix系统)。入侵者也许会通过 删除所有的日志文件来掩盖作案的痕迹。 —- 第三,检查最后访问特权账户的时间(在Windows NT的管理员 目录或Unix的根目录下),并和系统管理员保存的日志文件进行比 较,同时检查有关账号的命令使用情况记录。 —- 1. 检查针对“静态”系统设备的最新修改日期,检查passwd或 su二进制文件是否遭受侵犯。如果您已经拥有这些设备的记录,那么 需要和当前的结果仔细比较。 —- 2. 在用户目录上检查系统管理文件的拷贝。在Unix机器上,运 行find命令,并在用户分区检查passwd和su一类的二进制文件。如果 发现这类文件,记录拥有它们的用户、文件的大小和修改日期,采用 /sbin或/usr/sbin下的工具比较。 —- 3. 检查对口令和用户授权文件的最新修改,查找有无异常的增 加或删除,以及有无组或用户ID号的改变。 —- 第四,扫描进程表,查找有无异常的活动。如果发现有可疑的进 程,注意该进程的拥有者、大小和使用处理机的时间。使用类似lsof 的工具确认当前被该进程使用的资源,,如文件和管道等等。 —- 此外,扫描主机上所有开放的TCP/UDP服务。检查网络的守护进 程是否被入侵者插入了特洛伊木马。 —- 最后,记录您所做的一切,把它们写在纸面上,包括日期、主机 名、用户名和在场的其他人员的名字。 查找入侵者的踪迹 —- 了解如何处理偶然事件是至关重要的,识别潜在的入侵者也是如 此。下面的问题将有助于您了解潜在的入侵者。 —- 1. 入侵者会反复进攻吗? —- 如果入侵失败的话,很少有入侵者会再次试图访问同一个服务 器。另一方面,老练的入侵者将收集服务器的信息,以便发现更多的 细节。例如,某一天,您正在扫描您的IDS日志文件,这时您注意到有 黑客正在扫描您的邮件服务器,寻找开放的TCD和UDP端口。2天后,该 入侵者的IP地址又出现了,但是这次他的目标仅仅是开放端口。再过 几个小时,入侵者通过端口25进入SMTP命令系列。 —- 2. 入侵者会犯明显的错误吗? —- 入侵过程的每一个步骤都反映了入侵者的技能。一个老练的入侵 者不会在语法错误和试验方面浪费时间。企图通过网络新闻传输协议 NNTP端口进入SMTP命令的黑客肯定是新手。 —- 3. 入侵者会在一天中不同的时间进行攻击吗? —- 入侵者的访问模式可以提供非常重要的线索,例如地理位置、职 业和年龄等。大多数黑客往往在晚上9点到上午1点之间活动。如果入 侵只发生在工作日的上午9点到下午5点之间,那么黑客发动进攻的地 点一般是在他们的工作场所。 —- 4. 黑客会企图掩盖作案的痕迹吗? —- 在发现入侵12小时之内,您检查过系统日志吗?您曾注意过根账 户目录下的命令记录文件已经神秘地消失了吗?这些迹象都表明,这 是一次老练黑客的攻击,他精心删除了所有活动的记录,甚至骗过了 IDS的报警机制。这点和窃贼非常相似,在偷走了室内的宝物之后,又 放火烧毁了房子。 —- 一种可行的解决方案是在几个地方保存日志文件,最好有一处是 在可移动的介质上面,如在软盘上。在进行系统数据备份的同时也一 定要备份日志文件。 防止入侵 —- 我们了解了一些如何对付入侵的方法,但是最为重要的是防止入 侵。下面是一些防止网络侵袭的简单过程。 —- 首先是预防IP欺骗。IP欺骗是一种比较复杂的入侵方法,而且还 比较成功。目前大多数主要的安全设备都是包过滤型的,它像一道安 全网闸,根据用户信息的源地址决定数据包是否可以通过。这种方式 基于黑客不可能破坏数据包的包头,但是实际上IP包头很容易被破 坏,所以黑客可以伪装成来自被允许通过的信息源。 —- 为了弥补这一不足,下一代的IP网络(IPv6)已经采取了新的安 全机制,即IPSec协议,它能够较好地封装数据包头。目前市场上已经 有了成熟的IPSec产品。 —- 另一项保护措施是保护网络系统内部配置的信息,因为不少黑客 都想了解防火墙后面的情况。此外,通过展示网络规划,在不知不觉 的情况下,可能暴露了网络比较薄弱的地方。这时,不要幻想您已经 配置了IDS。黑客进行成功袭击的第一步就是收集安全机制的信息。因 此不能让入侵者轻而易举地得到关键的信息。 —- 一种聪明的办法是让网络平台多元化。当X厂商宣布发现其SMTP 性能有巨大缺陷的时候,也许您会感到很庆幸,因为您的另一个电子 邮件服务器采用的是Y厂商的结构。在安全方面,和其他工作十分相 似,把所有的鸡蛋放到一个篮子里是不明智的。 —- 您还应该在用户不再使用系统后及时停止用户的账号。在许多情 况下,入侵者首先通过识别已经不使用的账号,获得访问系统特权账 号的权利。为了避免出现这种漏洞,您需要改变安全策略,使系统能 自动让长期不用的账号作废,并最终给予删除。 —- 防止入侵的另一个好方法是外部审计。应该由安全专家进行审 计,他需要仔细检查系统的安全策略和网络的配置。审计之后应该提 交一份内容全面的报告,包含所发现缺陷的全部细节。 —- 您还应该寻找一位“讲道德的黑客”来试图侵入您的系统。这里 重点是在广泛全面的基础之上,这位“黑客”不能仅仅在特殊领域有 所擅长。最后,需要培训有关员工可以识别各种进攻。 —- 尽管入侵探测技术不断成熟,但是在这场斗争中,技术的发展显 然还跟不上Internet的飞速增长。由于电子商务的需求,企业 Intranet正在平稳地集成Extranet、VPN和远程访问等,使得今天防 止网络入侵的形势更加复杂。 —- 安全管理人员面临着巨大的挑战,惟一保证网络处在一定安全级 别的方法是不断地获得最新的信息。网络管理人员应该经常访问安全 方面的网站,这要成为日常工作的一部分。总之,在处理网络入侵方 面,人的工作是不可替代的,应该在安全管理培训上进行投资,也需 要购置有效的工具,这样在网络安全方面就能立于不败之地。看了哪些风景,遇到哪些人。尽管同学说,去旅行不在于记忆,
如何预防针对网络的袭击
