網(wǎng)絡(luò)入侵兩種思路

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

文章來(lái)源：泛普軟件 問(wèn)安非常有趣，因?yàn)榫幷邿o(wú)意中發(fā)現(xiàn)了國(guó)內(nèi)外論壇上針?shù)h相對(duì)的兩篇文章，一篇是討論網(wǎng)絡(luò)入侵，另一篇是利用路由器設(shè)置防范入侵，對(duì)企業(yè)而言，兩種情況都經(jīng)常碰到，那究竟是道高一尺還是魔高一丈呢？   國(guó)內(nèi)熱門   網(wǎng)絡(luò)入侵思路解析   第一步：進(jìn)入系統(tǒng)   對(duì)企業(yè)用戶來(lái)說(shuō)，一般一個(gè)入侵者想要入侵一臺(tái)服務(wù)器，首先要掃描這臺(tái)服務(wù)器，檢查開(kāi)放的端口，獲得服務(wù)軟件及版本。同時(shí)檢查服務(wù)軟件與附屬程序（如CGI）是否存在漏洞，并檢查服務(wù)軟件是否存在脆弱賬號(hào)或密碼。   需要注意的是，有些企業(yè)的服務(wù)軟件，容易泄露系統(tǒng)敏感信息。   第二步：提升權(quán)限   入侵者會(huì)檢查企業(yè)服務(wù)器上的SUID和GUID程序以及本地服務(wù)是否存在漏洞，是否存在脆弱賬號(hào)或密碼，以便利用其提升權(quán)限。另外，一些入侵者還經(jīng)常檢查重要文件的權(quán)限是否設(shè)置錯(cuò)誤，包括企業(yè)服務(wù)器的配置目錄中是否存在敏感信息可以利用。   需要提醒企業(yè)用戶注意的是，一些用戶的用戶目錄中容易存在敏感信息，且臨時(shí)文件目錄也經(jīng)常存在漏洞。   第三步：放置后門   入侵者一般入侵一臺(tái)機(jī)器后留下后門，充分利用這臺(tái)機(jī)器來(lái)做一些他想做的事情，如：利用該機(jī)掃描內(nèi)網(wǎng)，進(jìn)一步擴(kuò)大戰(zhàn)果，利用該機(jī)作跳板入侵企業(yè)別的網(wǎng)段的機(jī)器，嫁禍于這臺(tái)機(jī)器的管理員等等。除了常見(jiàn)的nc.exe、srv.exe，現(xiàn)在的很多入侵者喜歡自己寫后門程序，因?yàn)橛脛e人的程序總是相對(duì)容易被發(fā)現(xiàn)。   第四步：清理日志   入侵者會(huì)手工修改日志，一般不會(huì)全部刪除。因?yàn)橛脩敉ǔ６夹枰柚谌杰浖?lái)分析日志，其中記錄了入侵者掃描信息的部分會(huì)被刪除，而合法用戶的正確請(qǐng)求則會(huì)被保留。   國(guó)外熱門   利用路由器防止入侵   第一，做好路由器訪問(wèn)控制   企業(yè)需要嚴(yán)格控制可以訪問(wèn)路由器的網(wǎng)絡(luò)管理員，任何一次維護(hù)都需要記錄備案。同時(shí)，建議企業(yè)用戶不要遠(yuǎn)程訪問(wèn)路由器。即使需要遠(yuǎn)程訪問(wèn)路由器，也要使用訪問(wèn)控制列表和高強(qiáng)度的密碼控制。另外，對(duì)于CON端口的訪問(wèn)，也需要進(jìn)行物理線路、連接屬性、高級(jí)密碼等手法進(jìn)行控制。如果企業(yè)用戶不需要使用AUX端口，則禁止這個(gè)端口，并采用權(quán)限分級(jí)策略。另外，如果企業(yè)用戶不需要遠(yuǎn)程訪問(wèn)，則禁止對(duì)VTY的訪問(wèn)。   第二，設(shè)置路由器網(wǎng)絡(luò)服務(wù)安全配置   用戶可以禁止CDP(對(duì)Cisco路由器而言)，同時(shí)禁止其他的TCP、UDP Small、Finger服務(wù)。如果企業(yè)啟用了HTTP服務(wù)則需要對(duì)其進(jìn)行安全配置：用戶名，密碼，采用訪問(wèn)列表控制。而對(duì)企業(yè)網(wǎng)安全有影響建議禁止的內(nèi)容還包括：BOOTp服務(wù)，禁止從網(wǎng)絡(luò)啟動(dòng)和自動(dòng)從網(wǎng)絡(luò)下載初始配置文件，禁止IP Source Routing，IP Directed Broadcast，IP Classless。禁止ICMP協(xié)議的IP Unreachables，Redirects，Mask Replies。而對(duì)于SNMP協(xié)議服務(wù)，如果禁止，則必須刪除一些SNMP服務(wù)的默認(rèn)配置，或者利用訪問(wèn)列表來(lái)過(guò)濾。   第三，針對(duì)路由協(xié)議安全配置   企業(yè)用戶需要首先禁止默認(rèn)啟用的ARP-Proxy，因?yàn)樗菀滓鹇酚杀淼幕靵y。接下來(lái)用戶可以啟用OSPF路由協(xié)議的MD5認(rèn)證，并設(shè)置一定強(qiáng)度密鑰。對(duì)于RIP協(xié)議的認(rèn)證，建議企業(yè)網(wǎng)管啟用RIP-V2的MD5認(rèn)證。也有專家建議用戶啟用passive-interface命令，以便禁用一些不需要接收和轉(zhuǎn)發(fā)路由信息的端口。此外，用戶可以啟用訪問(wèn)列表過(guò)濾一些垃圾和惡意路由信息，控制網(wǎng)絡(luò)的垃圾信息流。對(duì)于支持CEF的路由器，可以啟用IP Unicast Reverse-Path Verification，它能夠檢查源IP地址的準(zhǔn)確性，從而可以防止一定的IP Spooling。(ccw)