網(wǎng)絡(luò)入侵兩種思路

申請免費試用、咨詢電話：400-8352-114

文章來源：泛普軟件 問安非常有趣，因為編者無意中發(fā)現(xiàn)了國內(nèi)外論壇上針鋒相對的兩篇文章，一篇是討論網(wǎng)絡(luò)入侵，另一篇是利用路由器設(shè)置防范入侵，對企業(yè)而言，兩種情況都經(jīng)常碰到，那究竟是道高一尺還是魔高一丈呢？   國內(nèi)熱門   網(wǎng)絡(luò)入侵思路解析   第一步：進入系統(tǒng)   對企業(yè)用戶來說，一般一個入侵者想要入侵一臺服務(wù)器，首先要掃描這臺服務(wù)器，檢查開放的端口，獲得服務(wù)軟件及版本。同時檢查服務(wù)軟件與附屬程序（如CGI）是否存在漏洞，并檢查服務(wù)軟件是否存在脆弱賬號或密碼。   需要注意的是，有些企業(yè)的服務(wù)軟件，容易泄露系統(tǒng)敏感信息。   第二步：提升權(quán)限   入侵者會檢查企業(yè)服務(wù)器上的SUID和GUID程序以及本地服務(wù)是否存在漏洞，是否存在脆弱賬號或密碼，以便利用其提升權(quán)限。另外，一些入侵者還經(jīng)常檢查重要文件的權(quán)限是否設(shè)置錯誤，包括企業(yè)服務(wù)器的配置目錄中是否存在敏感信息可以利用。   需要提醒企業(yè)用戶注意的是，一些用戶的用戶目錄中容易存在敏感信息，且臨時文件目錄也經(jīng)常存在漏洞。   第三步：放置后門   入侵者一般入侵一臺機器后留下后門，充分利用這臺機器來做一些他想做的事情，如：利用該機掃描內(nèi)網(wǎng)，進一步擴大戰(zhàn)果，利用該機作跳板入侵企業(yè)別的網(wǎng)段的機器，嫁禍于這臺機器的管理員等等。除了常見的nc.exe、srv.exe，現(xiàn)在的很多入侵者喜歡自己寫后門程序，因為用別人的程序總是相對容易被發(fā)現(xiàn)。   第四步：清理日志   入侵者會手工修改日志，一般不會全部刪除。因為用戶通常都需要借助第三方軟件來分析日志，其中記錄了入侵者掃描信息的部分會被刪除，而合法用戶的正確請求則會被保留。   國外熱門   利用路由器防止入侵   第一，做好路由器訪問控制   企業(yè)需要嚴格控制可以訪問路由器的網(wǎng)絡(luò)管理員，任何一次維護都需要記錄備案。同時，建議企業(yè)用戶不要遠程訪問路由器。即使需要遠程訪問路由器，也要使用訪問控制列表和高強度的密碼控制。另外，對于CON端口的訪問，也需要進行物理線路、連接屬性、高級密碼等手法進行控制。如果企業(yè)用戶不需要使用AUX端口，則禁止這個端口，并采用權(quán)限分級策略。另外，如果企業(yè)用戶不需要遠程訪問，則禁止對VTY的訪問。   第二，設(shè)置路由器網(wǎng)絡(luò)服務(wù)安全配置   用戶可以禁止CDP(對Cisco路由器而言)，同時禁止其他的TCP、UDP Small、Finger服務(wù)。如果企業(yè)啟用了HTTP服務(wù)則需要對其進行安全配置：用戶名，密碼，采用訪問列表控制。而對企業(yè)網(wǎng)安全有影響建議禁止的內(nèi)容還包括：BOOTp服務(wù)，禁止從網(wǎng)絡(luò)啟動和自動從網(wǎng)絡(luò)下載初始配置文件，禁止IP Source Routing，IP Directed Broadcast，IP Classless。禁止ICMP協(xié)議的IP Unreachables，Redirects，Mask Replies。而對于SNMP協(xié)議服務(wù)，如果禁止，則必須刪除一些SNMP服務(wù)的默認配置，或者利用訪問列表來過濾。   第三，針對路由協(xié)議安全配置   企業(yè)用戶需要首先禁止默認啟用的ARP-Proxy，因為它容易引起路由表的混亂。接下來用戶可以啟用OSPF路由協(xié)議的MD5認證，并設(shè)置一定強度密鑰。對于RIP協(xié)議的認證，建議企業(yè)網(wǎng)管啟用RIP-V2的MD5認證。也有專家建議用戶啟用passive-interface命令，以便禁用一些不需要接收和轉(zhuǎn)發(fā)路由信息的端口。此外，用戶可以啟用訪問列表過濾一些垃圾和惡意路由信息，控制網(wǎng)絡(luò)的垃圾信息流。對于支持CEF的路由器，可以啟用IP Unicast Reverse-Path Verification，它能夠檢查源IP地址的準確性，從而可以防止一定的IP Spooling。(ccw)