企业网络安全存在的隐患及其对策
2003-10-20    蔡明   
打印自: 安恒公司
地址: HTTP://b-461.anheng.com.cn/news/article.php?articleid=136
企业网络安全存在的隐患及其对策

  今天下午讲的题目主要是针对经常会出现哪些隐患,怎么针对它们做出决策、对策。核心的部分有两个,一个是隐患,隐患在什么地方,隐患问题的位置。还有一个是时间,什么时间会出现一个隐患,会出现一个问题。真正问题的出现和我们发现它的时间,有时并不一致,我们什么时候能够发现它?什么时候能够发现问题给我们带来的影响?这是作为企业网络管理人员比较关心的问题。

    针对发现的问题以及知道这些问题的影响,接下来就是对策,怎么解决这些问题。最主要的我个人认为并不是出了问题解决,而是防患于未然,问题出现,但影响还没有出现的阶段弥补,把这个问题补救,就算曾经可能有过问题,有过一些失误,有过一些漏洞,但是没有被攻击者,或者没有被病毒恶意的利用,没有造成恶意的影响,这样就把企业经济上的损失,还有形象上的损失,各方面的损失降到可行性的最低的程度。所谓可行性的程度,几乎没有任何一家公司或者任何一个人可以保证某一个系统是绝对安全的,除非这个系统不存在,是一个无形的系统,是一个找不到的硬件,可以说它是安全或者不安全,因为没有人知道它,只要是有一个有形的东西必然有问题,这就是厂商不可能成分百分之百的绝对没有问题的,像保险一样的东西,一般很少有企业会这么说,就算说了,这个东西也不可能做到。

    先谈一下安全的起源问题,这些问题从什么地方冒出来的。说白了,企业中有很多计算机,有很多网络设备,之所以谈到网络的安全,这些问题都是由谁而起的,由哪些设备而起的。最简单的例子,手里的鼠标可能不会引起什么安全问题,或者至少大家在概念上认为它不会有安全问题。但是有一些设备,比如说PC,一个计算机,或者数据库,或者路由器这些设备往往可能存在问题,或者可能由于它们而引起相关的问题。没有它们,我们可能没法正常的工作,比如PC、路由器的设备,没有它们,一些工作根本做不了,网络根本联不通,有了这些设备又可能带来一些问题,二者之间抉择,在座哪位也不会选择不用它,因为不用它就什么都不用干了,网络也不用联了。安全问题一般解决的就是某些企业必须使用的,作为一般的企业必须使用的网络设备,包括路由器、交换机,现在有很多DSL用户上网的,包括宽带设备,锚也可以算是一种路由器,还有内外地址转换的。还有一些工作站,行政人员或者网络技术人员使用的电脑,这些东西一般都属于安全问题的重要保护对象。

    还有一个角度,可以从历史上提及一下。历史上安全问题,最早是在病毒这个概念上,病毒可能是人们最早认识到计算机上有不安全的因素,可能会出现危险,它和现实社会是一样的。现实社会里不可能保证每一个人都是善良的,每一个人都不会违法,如果这样就没必要出法律条文。计算机的社会也是一样,网络社会,也有人不守法,也有人从中捣乱,或者为了谋取私人的利益捣乱。病毒正是由于这个想法诞生的产物。

    80年代,Internet基本上没有发展,在中国没有网络的形态,那时网络的安全问题没什么可体现的,就好像在没有汽车之前,没有人会因为汽车撞死,就是这个道理。到了90年代初期,有一些ISP商提供了一些接入服务,从最早的Moder开始,这时很多企业也开始联网,他们开始体会到由于把企业联到互联网上,带来一些正面的影响,带来的一些收获,比如最早有很长时间的热潮,就是.COM浪潮,大批量的构建网站的时期,很多企业建了自己的网站,从中得到了一些收益。但是也有企业因为做网站,实际上也是在往里赔钱。正是由于无论是商业行为还是技术行为,Internet壮大了,扩展速度越来越快,肯定就有人会想到这么多信息联在网上,是不是企业有用的信息也在网上,企业内部机密的信息也在Internet不能拿到,有一定的安全保障机制。网络安全操作系统登陆的时候可以设置口令。这是一个很简单的保护,就是说一个没有授权的用户,正常的登录会有问题,有障碍,不是那么容易看到里面的东西。但是它是不是那么保险,是不是有了这道登录的机制之后,就确保别人都不能登录进去,不能从里边拷走信息?一些管理人员,大多数用户在这方面的技术并不是足够的成熟,只有少数的专业性的单位,在这方面技术成熟,人的意识也到位。现在据我们的日常客户资源的调查统计,将近80%的企业都存在网络上的安全问题,只不过或多或少。

    一方面是人的安全意识。网管人员没有足够的重视自己的口令,或者安全设置是不是足够得到位,是不是有效。这个意识也是起源于技术,对这个系统是不是足够的了解,比如W2000,大家如果打一条命令NE tart,查看一下服务有哪些,是不是每一位网管人员对显示出来的每一条服务都了解,它是干什么用的,不敢轻易的把这个服务停掉,或者把网络的配置、设置改掉,因为不了解它,改掉以后可能会导致系统出问题,为了避免给自己造麻烦,或者避免这个系统瘫痪掉,路由器有安全问题,你是不用路由器还是宁可冒着风险去用,一般的做法是宁可冒着风险继续用,因为没有它就没法工作。所以大家会把系统正常工作摆在最前面,虽然这个差距可能很小,但是相对的其次才考虑是不是在安全的运行。安全公司的理念也是这样的,要率先保证用户的应用,可用性是首先要保证的,其次才考虑网络安全是不是在保证可用性的情况下,提高安全性。

    人的因素,人的意识是不是把服务,一方面是系统服务,还有很多地方,像Windows系统,还有权限机制,包括Unix都有基于磁盘系统上权限设置的方法,Linux,各个操作系统都有不同的方法,但是大家都有不同的机制,每一个管理人员是不是都充分的利用这个机制,这是一个很值得深思的问题,也是一个突破口。

    还有一点就是除了人的因素以外,还有设备和技术。一台服务器放到Internet上,托管中心,托管以后可能没有足够的资金租用防火墙,购买防火墙入侵检测的设备,接下来的结果是这样的,服务器遭受攻击的机率,或者在攻击的时候,被真正有效的攻击的机率大大增加。如果有防火墙,或者有相应的安全设备,再加之合理的配置,可能被有效攻击的机率大大减小。很重要的一点,也是一个误区,很多网管人员都认为买一个防火墙以后就万事大吉了,至少认为放心很多了,往网上一链,电源一开就认为不错了,其实这个防火墙跟没有差不多,就是多费了点电。

    正确使用这些安全产品,除了防火墙,任何一个安全产品都有这个问题,是不是合理的、正确的配置,是不是把逻辑上的要求用防火墙实现了,这是一个很重要的环节。举个例子,公司雇很多人,可以多干活儿,可以增加工作能力,这是一个常理,也是一个能够理解的现象。但是如果雇来的人很多,却什么任务都没有安排,人很多并不一定力量很大,只是占了一个空间,实际上并没有产出。用防火墙入侵检测,或者杀毒软件,如果没有您的要求,逻辑上的思维正确的配置到防火墙,或者入侵检测里去,实际并不能发挥作用。我虽然在研发部,但是也面对过客户,有些人抱怨买了防火墙以后没什么用。其实不是防火墙没有这个能力,而是没有合理的配置。当然,这里有一个问题,配置工作由谁来做?用户如果不是专业的用户,可能不知道自己逻辑上的要求,怎样用防火墙实现。比如说某个企业的要求,机器都是直接开了共享,照说企业内部可以互相共享,但是企业有两个部门,相当于两个小的局域网,之间隔离开来,因为两个部门相对不一样,比如一个是销售部,另外一个是行政的主要部门,财务、人力资源这些部门,这两个部门之间内部是可以允许共享的,但是跨部门以后应该不允许共享,这时大家常用的防范手段就是用口令的方式,不给销售部人员口令,只给行政部门人员口令,他们就可以访问我了,互相都是这么做的,这两个网络认为不可互访。实际上有些问题,第一,口令一般在企业内部的设置都比较简单,而且长年累月不愿意更换,更有甚者用网管的名字或者网管常用的英文或者拼音字母,或者加一些简单的数字组合起来了,很容易被别人知道,尤其同一个公司的人互相串门也是常事,很容易被别人知道,这种机制并不保险。如果加了防火墙设备,前提是已经在部门的网之间加了防火墙设备,用户可能想不让这两边共享,防火墙应该怎么做,虽然有逻辑上的需要,但是不知道怎么运用防火墙实现,这可能是一个很大的问题。

    我们现在的意识,认为由防火墙或者安全产品的销售厂商,根据用户的需求来帮助用户把安全配置做好,做到位,用户需要提供的并不是我想怎么配防火墙,这个话不应该让用户来说,而是让用户说我的逻辑是怎样的需求,比如我不想让内网的用户,比如一个企业内部的用户,不想让他们上QQ,上OICQ,或者不想让他们上某些聊天室,或者上班时间控制他们上网的时段,给一个逻辑上的需求,有了一些逻辑要求以后,应该由安全公司把这些逻辑要求经过一个函数转换一下,这个函数是由人脑完成的,变成防火墙懂得语言,把策略放在工作的设备上,这样才能达到安全的目的。

    这些都是比较泛泛的隐患和对策,现在我们谈点具体的。安全问题的来源,很多人在一大段时间里认为是来自Internet不知名的某个角落,一般人看来是小角落冒出来的问题最多,其实这仅仅是一方面,作为企业用户来讲,这些的确是较少的一方面,更重要的是来自于企业内部。虽然大家可能觉得说起来,不太好听,明枪易躲,暗箭难防。在家里的人对你的网络足够熟悉,拓扑结构,重要的信息放在什么地方。我以前给国家级的单位做过安全渗透操作,模拟入侵它的网络,根本不知道哪个代码是有用的,找也得找一会儿,有时打一个DIR/S,列出所有的目录,目录很多,外人很难一下命中哪部分资料是很敏感的,哪部分资料是有价值的,尤其硬盘里装了MP3,都翻一遍是很麻烦的,所以安全问题,很大程度上作为公司内部,或者跟企业相关的,比如代理商、渠道商,或者分销部门、分支机构,人们都很了解重要信息是什么,敏感信息是什么,要么没有动作,只要有动作,成功的概率很高,而且不容易被发现,因为他对网络足够的熟悉,他可能知道公司哪个部门买防火墙入侵检测了,哪个部门不知道。但是作为外面的入侵者,完全不相干的入侵者,可以称为来自Internet黑角的入侵者,他根本不知道什么地方是最重要的,什么地方没有防火墙,没有各种安全配置的。大家一定不要忽视来自内部的安全问题。往往内部的安全问题和外部的安全问题,在国内来看是1:1的比例,同样都存在。在国外,可能来自内部的稍微多一些,因为国外相对的计算机技术比较普及,各种攻击技术相对比较普及,很多人都掌握一小部分攻击的手段,所以来自内部的安全问题一点都不少于来自外部的安全问题。

    这里隐含的提出一个概念,大家在购置防火墙,购置安全产品的时候,并不仅仅是防止内网到外网的出入口,这是一个瓶颈,是一个闸门,很重要的关口。安全问题的来源,一半是来自外部,一半来自内部,把这个地方防住了,显然是防住了一半。但是防的效率还没有百分之百。投资购买设备,最主要的是花费精力不仅仅在输口的地方,而需要对整个网络,各个部门之间,各个主要设备之间进行防护。还有一点其实是IDS的概念,跟安全概念是很密切的关系。

    IDS是NIDS和HIDS。NIDS是网络的入侵检测。HIDS是基于主机的入侵检测。安全概念的问题,入侵检测的作用就是发现入侵的行踪,发现入侵或者起伏入侵的动作,包括端口扫描、易输程序的常识,这种程序的措施,IDS负责捕捉、跟踪或者记录这些行为的。IDS不只是装在企业的出口,大的企业网,比如只有一个出口或者两个出口,不仅仅装在这个位置可以解决问题的,因为他们只能监控到来自外部的攻击,很难监控到内部的攻击。NIDS能够适用的范围只有在关卡处完成监控,很难做到针对每台主机进行监控,除非是当它只针对一台主机做监控,但是这样太奢侈了,一般来讲,针对主机的可以采用HIDS,基于操作系统的。防火墙也同样是这个概念,一方面是大盒子的,摆起来的一个硬件,属于网络复活防火墙,往往用于关卡处,可以接受或者不接受发给自己的和不是发给自己的数据包,这点概念大家都能理解,防火墙接触很大的数据量并不是给他的,而是给别人的,只不过透过它而已。HIDS的概念是基于主机的防火墙,基于操作系统,安装在服务器或者安装在工作量上,仅仅是一个软件,只针对防范本机或者别的通讯,不会监控其他两个人之间的通讯,甚至不会检测,没有这个机制。只是针对谁要攻击我了,或者他发现本地有什么程序异常的反映,要向外发起连接,这时它会出来。瑞星也有这方面的防火墙产品,也有基于软件的。

    这里提出来一个攻网的概念。木马现在发展比较快,也可称“后门单座”。防火墙的概念,一方面要阻挡别人对我的攻击,别人主动发现我的数据包,我要看这个数据包有问题,我要阻拦住,没有问题,我可以转交给系统,这是一个很常见的,大家很容易理解的方式。还有一个很特殊的方式,外界发给系统的数据没有什么问题,很正常,但是这些数据会激发埋在我程序里的木马程序,肯定是由管理者或者使用者人为的运行,这种情况下也不排除您的系统已经被人家攻击过了,比如服务器被人家入侵过了,当时在入侵完成以后,作为服务器的使用者了,因为他获得权限了,作为一个使用者运行木马,把木马程序启动在服务器上,可以退出,临时获得用户权,也可以退出,退出也看不出什么异样,还很好的工作。但是这时比以前多了一个木马程序跑到您的系统中,跑的程序很多,Windows,可能是计算机的系统服务,多了一个服务,这可能是木马病毒,要求管理员对这些服务比较熟悉才可以,才知道哪个对的,哪个有问题。还有加了一个帐户,将来他在登录的时候会不使用现有的帐户,使用一个他自己加的帐户。还有增加一些隐藏的比较常见的,伴随着一些系统可装载别的进程的程序运行起来。还有一些替换文件,比如一般的操作系统,像W2000启动以后,肯定要执行某几个程序,把这个程序替换掉,操作系统在启动的时候不了解木马程序带起来了。还有42000对本身的系统文件的核心有保护机制,发现替换以后会识别,从一个目录把文件覆盖了。这个机制实际上可以关掉,平时大家不是那么深入的研究它,也不是掌握、使用它。入侵者如果想替换文件,可能会把文件保护机制关掉,把文件检测机制关掉,Windows失去了保护自我的功能。Windows和DOS系统很不同的一点,开始失去自身保护机制的能力。这个机制也不是很完善,还可以关掉。

    木马有很多种形式,很多种可能实现最终的目的。一般传统的防范木马的概念,好像这间屋子有一个后门,墙上开了个洞,人都从正门进进出出,可能有不法之徒从洞里钻出来,大家检测这个系统是不是中了木马,或者是不是被安装了后门,最常用的思路,检查一下这个屋子开了多少口,有多少扇窗户,有多少门数一下,看看除此之外还有没有其它的口,如果有肯定是有问题的。最常用的一条命令是“Netstat  -an”开放的端口,有哪些端口,是通讯的激活的状态还,哪一种状态是可以查看出来的。还可以查看某一个端口是由哪一个程序开的,是由哪一个程序上的进程,哪个系统进程打开的?有一个第三方工具比较好用,大家从很多站点搜索到,Mport。如果发现有一个端,8626由一个程序是由服务器SE,本身不是系统应有的应用程序,比如放在C盘的目录下,对操作系统足够熟悉的人意识到不应该出现这个文件,而且不应该跑到系统中运行,并且开这个端口,可能这就是问题的意识,发现了这有问题。传统的方法检测。现在木马越做越新,已经有很多新的思路,不去守候一个端口,不再墙壁上开一个端口,在墙壁上装一个定时炸弹,比如在墙上装一个微型的定时炸弹,每当从外面接收到一个控制信号,比如外面传进这个屋子,外面有一个人高唱了一句“我的太阳”,这个程序接收到这个信号,马上炸一下,把墙炸开一个洞,这时外面的人想进来就进来,然后它会把洞马上修复好了。平时检测屋子有没有问题的时候检测不到,为什么?外面没有人唱一声“我的太阳”,没有人开洞,检测屋子发现完好无损,没有洞。但是只要外面有某一个条件触发它,它就会开一个洞,这是里外沟通的思路,也叫里应外合的方式。

    针对各种不同的新式木马的工作形态,防火墙要完成的,除了要监控从外面到里面的东西是不是具有危险性,是不是很明显的是木马,或者是攻击程序,同时还要看自己向外撒的东西,自己发向外面的东西是不是同样有问题,或者自己是不是正在为外面开放一个端口,正在为外面不知情的,这个系统不知道是什么的目标,送去一个系统管理的控制权限。有一个叫NC.EXE的文件,很小,别人把一个控制权,一个壳指的是操作系统的控制输入、输出,并且能够给系统传指令的通道。NC可以接通别的系统传给我的shair,他把他身上的控制权限送给我,我可以通过他给我的通道发送指令,计算机就会听我的指令工作。还有一种形式,NC可以做到的把自己身上的送给别人,我可以把我的共享文件送出去,实际上这已经是一个木马进入,只要它被合理的激发,NC并没有自己激发的机制,如果稍加改造,变成可激发的,当外界条件触发的时候,就把我自身的控制权限送出去,送给别人,送给一个指定的人,完全符合木马的特征,所以防火墙对于这样的形式,无论从里向外,还是从外向里都有一个入侵检测。包括入侵检测,也是要检测双向的。

    有一个攻击的分类,大概有九项。

   一个是口令破解,是很常见的。大家做安全文献或者杂志,在报刊、网上都很容易见到。解决方法很简单,只不过意识上是不是懒得去做,把口令设的很长,就差到企业墙上贴小条,每个人都应该把口令设的复杂一点,没有坏处,但是还有很多人把自己的银行密码设的生日,或者电话号码的某几位,说到底还是意识问题。换句话说,没出现过问题就不以为然,等出现问题就晚了。发现问题,如果您的口令,公司也好,家里也好,或者个人的信息设备口令的强度是可猜测的,或者是非常简单的,比如说了五个1,或者三个1,或者123456,这些都属于弱口令的范畴。包括有人自认为聪明一点,按shift键编1234,实际上还是可以猜到的,您能想到,别人也一样能想到。凡是使用类似这样的口令,针对隐患要关注的问题,一个是问题出现的位置,一个是问题出现的时间,还有一个是问题被发现的时间,还有造成影响的时间。您如果正在使用这样的口令,实际上已经有问题了。我现在告诉您,您就发现问题了。造成的影响,开始发作了的时间,就是有人开始利用您的口令攻入您的系统,或者有人拿着您的银行卡,知道您很简单的口令,把钱取出来了,这就是造成的影响。不怕有问题,关键是在知道问题以后要补上,修改掉,对我们来讲就达到目的了,这是安全厂商最希望做到的。

     破解无外乎猜,字点的概念,把很常用的,可能是弱口令的字符串罗列起来,优先尝试大多数人常用的口令。比如黑客想得到一个字点,有机会攻入某一个邮件系统,把所有用户的口令全都取出来,这就是一种很好的字点,因为这是很天然的,没有人为的,大家默认设置的口令。六个8的可能一下占到了,比如我拿到两万个邮件用户的口令,发现用六个8的不下20、30人,这个概率已经非常高德,用六个6的也很多,用12345的也很多,还有跟用户名相同的,用户名很容易被别人知道,很容易调查出来,如果用户名相同的口令,往往也是不安全的。

    从解决意识来讲,多加小心,严加防范,不要松懈这个概念。

    第二,连接盗用这个概念实际上不是特别好理解,说的白一点,是招摇撞骗的概念。举个例子,身穿劳动布的服装,挎一个包,说是修水表的,进去以后就不是这样的,经常有这种情况,以前电视上也报道过,这种概念是属于招摇撞骗,帽子上写着“自来水公司”,其实帽子谁不能做,这就是招摇撞骗的。以前有一个脚本的概念,看到前面的域名,写的WWW.163.COM,大家觉得可信,很知名,页面卖东西果然便宜,帕萨特可能卖两万五,交了定金,从网上划帐的方法,存到招商银行、建行,很多银行可以有网上付款,一卡通支付,过了很多天还见不到帕萨特,为什么?因为是假的,找163,163说没这么回事,到163的网站上的确找不到,实际上是利用了163网站上某一处JAVA脚本的缺陷,得到这个效果,看到外表上的确写的163.COM,实际上当时你访问的已经不再是163的服务器,是某一个骗子设置的,他的服务器上可能放的是他的银行帐号,但是他可以把网站的形式做的和163一模一样,这点好理解。这种方式在现实生活当中有招摇撞骗,骗取您的信任,登录重要的口令,比如163给您看的是一个信箱,163获得新信箱,这里登录可以获大奖,敲完以后真能登录,黑客或者破坏者接收到您的口户口令,送到真的163上兑现,如果发现对的话就指还过去,如果不对,提示口令错误,看起来挺真,实际上这个口令从他身上再回到163身上,从中骗取口令。别太冒然的去访问,就算访问了,通过这种形式获得的要加以防范。

    第三,服务拒绝。比如前不久有一位先生是某公司的老总,忙的很,我想给他捣捣乱,用什么办法呢?我知道他的手机号,天天给他打电话,一天打十个,这个先生至少接我十个电话的时间不能正常工作,因为他在接我的电话,虽然可能接完了,我跟他瞎说两句,他发现打错了,骂我两句打错了。如果我号召百十来个人都这么干,我不用我的电话,可以用公共电话,可以找很多人各自的电话给这位先生打,依此类推,如果想象这位先生很忙的话,可以找更多的人,以更高的频率给他打电话,很快这位先生遇到一个麻烦事,这个手机号很快就不能用了,打的太多了,正常的客户往里打经常占线,他根本没时间,这就是服务拒绝攻击。我给这位先生打电话,然后说对不起,打错了,这个事情构不成违法犯罪,但是影响了这位先生的正常工作。作为攻击来讲,这个方法好得多。

    计算机系统每去接受一个用户的访问,就要消耗一定的资源,这个资源包括时间资源,处理器,整个硬件系统为此消耗的资源,换句话说就是CPU要多热一会儿,多算东西,每有这个请求,每有这个客户它就要折腾一下。某知名网站的服务器正常客户不知道十万还是百万,这时伪造出一千万个用户对新浪进行访问,如果知名网站的设计访问量是150万,偶尔有高峰,比如过年过节,或者举办活动的时候,这个网站的访问量会突然增高,设计访问量是每天150万次,我现在每天找一千万人访问,每天伪造一千万个客户访问它,而且这些客户都不是它的正常用户,在这种情况下,实际就会造成一个问题,服务器资源严重超标,严重超过了当时的规划,就没有足够的能力为它每天正常的50万用户服务,邮件服务器很慢,根本登录不上,作为一个Web服务器,链上十分钟页面还没有打开,可能造成这种情况。

    我们再把这个事情说的细致一点,这位先生的手机,我不见得非得等他接了手机再说对不起,打错了,没这个必要。我可以弄很多手机,或者弄很多部电话,都是打,只要他这边一通我就挂,但是我没完没了的往里打,只要一通就挂,正常用户打不进去,极少的情况下能挤进去,这种情况下涉及到费用,还要考虑到我的成本,攻击者还要考虑攻击成本,降低自己的费用,只是发一个很这位先生的链接,在Internet基于IP协议的,发起一个连接,请求和这位先生的,当他应答的时候我就跑了,应答不着,这种情况下这位先生按协议来讲,会反复再追问,喂几下,那边嘟嘟开始响他才死心,这位先生如果对工作更认真,这时会找个座机把号回拨过来,看看这到底是谁,有没有正事,这位先生正负责,有意味着他会消耗更多的资源。虽然说不上这是一个缺陷,至少是一个不足。我向先生发起一个ACK,ACK确认安装信号把那个号加1,他给我发一个信号,这时我就跑掉了,这位先生在那儿等待,要等待足够长的时间,根据不同的操作系统实现协议的时间不一样,等待的时间不一样,等超时了以后,他认为我彻底不会再跟他通讯了,他才放弃,才把这段资源释放。在此期间他脑子里蹦着一根弦,CPU都在这里,这是一个事件,就是一个线程,要留一个中断的机会,内存中也要为这个事件分配内存记录这个东西,至少记录下这个事件,记录下有这样的还没有完全的连接,既不是断开的状态,也不是已经建立连接的状态,而是正在建立连接过程的状态,至少要记录这种信息。只要我发出大量的连接请求,很快服务器资源就一下落满了,没有更多的资源处理新的连接,人也好,计算机也好,处理能力都是有限的,不能处理更多的连接,很难接待新来的用户,这时就实现服务拒绝攻击,只对我服务,不对别人服务,或者只对虚假的信息服务,而不针对正常的服务了。有些不仅利用连接的问题,还利用系统堆站的实现问题,或者对校验机制,或者导致整个系统的崩溃,还有可能导致蓝屏,不同类型的拒绝服务。

    第四是网络窃听。这种攻击也很好理解。说白了就是偷听,公司几个老总谈话的时候绝对不能好几个人在门口扒着往里听,比如您正在登录邮件,有人在旁边一直盯着您按什么键盘,知道你的口令是什么,这是一定要走到你那儿才行,有一种可以实行监听,我知道你用公司的网络上网,连接到163信箱,可以在你登录之前,我在网络上装一个窃听器,可以窃听网络通讯都有什么,当你登录的时候就能听到谈话,对口令是明文处理的,以明文的形式直接送出去,包括登录管理,早期一点的系统,也会以明文的形式侦听下来,发送的邮件内容被人家知道了,这显然都是不合适的。

    第五是数据篡改。比如那位先生给那位先生发了定单,要买一百万,最后说要25个,两家公司就打起来了。影响和破坏的东西有很多,所以值得重视的程度并不亚于其它的方式。

    第六,地址欺骗。有经验的网管都知道,装了窃听器就能听到全过程,这是集线器那个时代的说法,接到一个口上去,可以听到整个网络所有的通讯。在交换机时代并不是这样的,两个机器之间的通讯只要不是广播包,单播包只会从该转发的口转发,其实交换机可以兼容网络资源的。基于交换机组的特点,已经不容易工作了,但是可以有办法欺骗交换机,给我返出一个信息的口从这儿出来,这是可以的,实际上就是对交换机的欺骗。实际上是NRP协议,不能说缺陷,但至少是一个不足,是设计上比较简单导致的一些问题。

    地址欺骗实际上包括两层,一个是二层地址,还有一个是三层地址,IP地址。NRP协议做的欺骗过程就属于二层地址欺骗。三层地址欺骗也有很多办法。

    第七,社会工程。这种攻击非常简单,说白了就是骗人,名称叫的好听一点叫“社会工程学”,难听一点就是给你打个电话,您好,我是您公司的网管,我们正在清理系统,您先把您的口令改成公司,十分钟以后再改回去,现在统一的清理一下邮箱,有的同志就改了,接到这个电话就把自己的邮箱密码改了,还等着十分钟以后再改回去,人家已经把你的信读走了,或者趁着十分钟把密码改成别的了。

    第八是恶意扫描。扫描实际上是一个攻击的预兆,是先期处理,是预处理过程,我想攻击,肯定要做到知此知彼。知彼就不容易了,要看你买不买防火墙,打没打补丁配置,大概配置了什么东西,肯定要做一个分析的过程。为什么企业内部用户比外部用户更容易呢?都不用扫描,找到网管问一句就知道了,咱们公司买什么防火墙,网管说还没买呢,所以完全没有必要通过网络、工具探测,首先打一个电话,或者嚷一嗓子,什么信息都知道了。

    第九,基础设施破坏。DNS的破坏,咱们国家遇到一次,是3月份还是5月份,扫描很多网站都出问题,再前一阵是说什么也访问不了,后来有一阵是因为根域名的服务器坏了,整个DNS组织的服务器被人拒绝服务,DOS。还有人见到一种DDOS,。DOS和DUS,我一个人对一个先生嫂脑叫DNS,找很多人对他进行骚扰叫SDUS。持续不断对他进行骚扰,导致这个服务器没有能力为正常上网用户做出DNS解析,对公共基础设施的破坏,比如想让某个网站不能正常访问,我攻击不了他,但是我如果能攻击某一部分公共基础设施,像DNS,比如新浪有新闻、汽车的很多栏目,新闻的服务器,每个人上网不能都这样,一般来讲还是敲域名,想看新闻可能还是打NW.SINA.COM.CN,不会打数字的地址。

    第十,数据驱动攻击。比如好几个G的数据,接触服务器,往里塞个病毒,有纯是以破坏为目的的攻击者会使用这种方法。现在很少有以纯破坏为主,都是为了盗取信息,国内很多页面被涂改一下,能取得工质控制权,为了表现欲。

    病毒带来的威胁,2003蠕虫王,影响的效果的确很大,破坏力很大,持续的时间大概仅仅几天,把电信的骨干网都堵了,我还帮助网络处理了广州城域网,有几台三层交换机完全被堵死,刚一出来没人知道怎么回事,以为交换机被堵死,打一条命令,思科的设备,看UDP包,我怀疑可能是蠕虫到了,远程上去,我告诉看UDP包,结果一下终端就断了,数据量太大了,走的全部都是UDP的通讯。

    这种蠕虫后来又冒出好几个,包括前一段时间的“冲击波”也是影响很大的。“冲击波”这种病毒或者蠕虫,想预防都是很容易的,最简单的办法就是跟着微软打补丁,只要微软出补丁,每一个办公室马上打上去,相当程度的保证网络安全。不是100多兆的包,那不是一个个问题,出了一个问题以后,马上出一个补丁弥补。蠕虫的顺序一般是这样的,先是发现Windows或者操作系统的安全问题,可能会有一些人讨论,会有一些安全的文章出现,大家会交流、讨论这个问题,这时我们就知道一点消息,可能要出问题,这是安全公司的一个工作,肯定要和程序员做交流,这个漏洞被大家确认肯定是有问题了,并且写出一些程序可以用于测试和利用了,这个过程实际就已经变得很危险了,比如有一些人手里拿到利用程序,可能这时就会发现有一些网站被黑掉了,这个事情向恶化的方面发展。几乎与此同时,微软操作系统的厂商就知道这个问题了,就会马上针对这些问题想补救的措施,可能就把补救的程序也写出来了,这就是所谓的补丁,叫热补,热补和平时说的打补丁很不一样,只要一有问题就出现,不是周期性的,而是突发性的,只要有问题就出。三天一天一个问题,就会三天出一个补丁,会跟的很快。尽量把这个系统装全,实践证明,有坏处的机会很小,导致系统出问题的有,但是很小,建议大家把这个补丁打全。

    如果没有打补丁,面临的问题就是利用程序,现在少数人拥有问题不太大,一台台黑也没那么多时间,但是如果这个程序发散开了,一个传一个,不是我给了你就没有了,一个给两个,两个给四个,一会儿就很多了。人多了以后就会出问题。利用程序我们大概几个月前就有了,在蠕虫爆发之前几个月就有了,完全意识到安全问题,包括冲击波,我们提前两个多星期拿到利用程序,也有一些是朋友自己写的程序,好使的不好使的都有,大家已经能够意识到有没有这个问题存在了。其实可以预言蠕虫的出现,但是那时蠕虫没出现,谁也不知道叫什么名,所以发布信息谁也不好说,好像后天出生的小孩儿叫什么,很难猜得到。目前现阶段还不好做,我们当时说的东西就是后来要出现的东西,以后我们会慢慢改进,让大家提早知道这些问题,针对可能会出现的网络攻击怎样做弥补,怎样做防范。

    企业面对的真正风险,我觉得对企业最主要的一个是数据,还有一个是正常运行。大家很关心的就是网络是不是正常运行,别一攻击我的网络,我就上不了网,邮件也收不了,办公的OA系统全部瘫掉了。包括有时就算用上网的路由器,服务器经常重启,前一段“冲击波”来了就要重启,W2000蓝屏,要么复制也没用了。一个是保证数据,一个是保证可用性,网络整体的可用性。所谓风险,一旦它被破坏,问题最大。企业声誉,企业名被人涂改了,一个不健康的网站贴在上面了,影响形象,一般国人是比较理解这个问题。还有避免诉讼,有一个组织和中国电信达成协议合作,原先对国内发送垃圾邮件,还有发送反政府言论的服务器,没有什么能力干预、制止,现在尤其对发送垃圾邮件,这些组织和中国的电信部门经过协商以后,可以互相沟通,他们一旦发现有某些服务器在国内发邮件,可以通知电信,让电信局通告用户把这些问题尽快解决,如果还不解决就会上黑名单,网络邮件系统的网管知道,有一个反垃圾邮件组织好像叫SPIM,会经常拉黑名单,全世界只要和这个组织合作的厂商,或者合作的邮件服务器,都不接收来自黑名单服务器发送的内容,都支持黑名单机制。如果老发垃圾邮件,第一,企业邮件服务器,发送的邮件人家拒绝接收,如果还继续发,就会进一步投诉,再投诉就会出现电信屏蔽你,你的IP就会上不了网,更有甚者现在还有罚款的。

    还有一个问题是怎样合理的防范,怎样补救。一方面是总体的设计,规划网络,第一是便于管理,第二,也使网络有条理,有层次。一旦出现一点安全问题,很快能断定安全问题来源于哪儿,追究到哪台机器,哪台机器管理有失误,没有进行有效的防范,整体确认一下问题,便于解决问题,发现问题,最主要的是一旦出现问题,缩小影响,比如我能断定某一个网络中某一台机器出现问题,往外发送数据包,赶紧组合起来,让它在里面自生自灭,而不要影响到更多的服务器,影响到更多的网络用户。

    选择安全产品肯定是必要的,但是选购产品的时候,千万不要只堵在口上,堵在大门。内部之间并不是完全信任的,至少国内来看是一半一半,我们有更多的需要,有更多的必要精力、财务投入到内部的安全问题上。

    还有网络病毒。杀毒软件,IDS和防火墙有一定相同的地方,实际上基于主机还是基于整个网络的。基于整个网络的,在杀毒软件的概念,我理解并不是在一台机器上把病毒杀干净,而是在整个网络中所有可能让病毒寄生的节点都这样做一遍。内存中的病毒,内存中正在运行这个病毒,根本不需要硬盘,根本不需要硬盘里写文件,就算把硬盘里的文件删掉没有问题,它还在里面跑着。刚刚把这台机器杀干净,把磁盘拿出来,拿到另外一个硬盘杀,足够有时间让这台机器的病毒再写过来。全网络所有的病毒可能存在的介质,不管是硬盘还是内存,全部监控起来,全部杀,最后总有一个瞬间的状态,所有的地方都没有藏身之地了,没有可以把这个数据写的介质,做到比较彻底的查度或者杀毒的办法。

    安全产品占总工程的设计费用,这个可能不一样,各个工程或者各个厂家具体的情况,影响并不是那么确定。合理的产品选型是度身定做,您到底需要什么。卖产品的厂家并不是把盒子卖给您就完事了,是不是可以接受您提出的逻辑的要求,只要把逻辑要求提出来,是不是通过厂商就可以把逻辑通过防火墙要求实现。

    产品的性能,一些硬件指标可以看,一般说明书上这个东西不太会作假,都是经过国家认证的产品,顶多会有一些误差,但不会是错误。这里有一个误区,并不是越大越好,越大过筛子过的越糙,速度越快。过的越细,可能速度就慢一点。企业拉了两根专线,非要买防火墙,问我们能不能跑线速,说一百兆就真的能跑一百兆,一共出口只有两兆,放一个百兆线速的防火墙干嘛用,外面的出口根本没那么大,像家里的这扇墙的宽度只有5.5米,非要买25米宽的门装,门都能把房子装进去,肯定没有用。量身定做,安全厂商是不是可以根据您的具体需求,比如企业要把这个用到局域网,是百兆局域网,平时跑的流量到底有多少,可以通过中间加装一个测试性的设备,评估一下大概的流量是多少,根据流量选型一款,合适的价格,满足应用,做一个产品的选型。包括IDS检测的设备,攻击更多的来自于什么地方,选择什么样的检测系统可以达到要求,装在核心交换机上,说仅仅装在重要部门的出口,重要部门到企业之间的接口,放到具体哪个位置,这些定夺的事情一般来讲都是根据各个企业的实际需求,让安全厂商协助出方案。

    还有其它安全产品,包括VPN。瑞星还没有正式销售VPN产品,但这肯定是一个概念,炒了很长时间的概念,而且有很多实永嘉之,而且成本相对也是低成本的保密加密传输的措施。所谓说它是低成本,并不是看到现在的售价很便宜,但是可以相信有一定的增长空间,而且有一定的让利空间,除非你买的是硬件,一般软件的VPN产品的程序,防火墙买的时候,几乎不需要额外增加什么费用,可以要求加上VPN功能,可以在某一定的折数购买产品,可以直接要求把内部的系统换掉,换一种支持VPN的,支持数据传输加密的版本,廉价使用是一个热点、亮点,完全值得企业用户考虑的。举个最简单的例子,我接触过客户,在广东那边有一个分支,总部在北京,经常去广东提交销售,销售的所有清单每天都要提交一份,现在用的办法是用RAS拨号,分支机构拿电话拨上来,报表仅仅是数据,是一个表格,数据量其实不是很大,每天把表格传过来,一个月的长途话费大概就得有几千块钱,如果赶用VPN,虽然VPN也值几千块钱,但是长途话费再也不需要了,这是的确可以考虑省钱的东西。

    最后提醒、强调一下安全问题并不是买了产品,或者把钱花出去就可以解决了,尤其对于行政上的,对负责网络的人来看,绝对不是负责到位就可以了,最重要的是不是有安全意识,跟着安全厂商考虑为什么要发布新的产品,新发布的产品究竟能带来哪些方面的保障,这个保障跟以前的保障优越在什么地方。比如VPN,新款产品,一方面从费用上可能会节省,降低费用的发生,另外一方面,会保证数据的加密,在传输过程中确保数据,别人就算偷走了,没有用,看的全部是乱码,根本打不开数据,这是防止监听最好的办法。还有一些,除了安全厂商之外,操作系统厂商或者从安全厂商这儿也可以获得安全信息,某些操作系统又出现什么安全问题,某个安全问题即将爆发什么样的危害,或者即将爆发某一类蠕虫,在此之前您可能获得一些支持,怎么防范可能发生的问题。仅仅是可能发生的但是一旦发生,您可能就会认为精力上的投入,咨询就得到了很大的回报,能够帮助您抵御一个位置的漏洞,一个位置的攻击,未雨绸缪,每个人都把事情做在前面,发现问题,马上做出保护措施,马上行动,不要等到问题出现影响才开始行动。

    谢谢大家。

责任编辑: admin