今天下午讲的题目主要是针对经常会出现哪些隐患,怎么针对它们做出决策、对策。核心的部分有两个,*个是隐患,隐患在什么地方,隐患问题的位置。还有*个是时间,什么时间会出现*个隐患,会出现*个问题。真正问题的出现和我们发现它的时间,有时并不*致,我们什么时候能够发现它?什么时候能够发现问题给我们带来的影响?这是作为企业网络管理人员比较关心的问题。
针对发现的问题以及知道这些问题的影响,接下来就是对策,怎么解决这些问题。*主要的我个人认为并不是出了问题解决,而是防患于未然,问题出现,但影响还没有出现的阶段弥补,把这个问题补救,就算曾经可能有过问题,有过*些失误,有过*些漏洞,但是没有被攻击者,或者没有被病毒恶意的利用,没有造成恶意的影响,这样就把企业经济上的损失,还有形象上的损失,各方面的损失降到可行性的*低的程度。所谓可行性的程度,几乎没有任何*家公司或者任何*个人可以保证某*个系统是绝对安全的,除非这个系统不存在,是*个无形的系统,是*个找不到的硬件,可以说它是安全或者不安全,因为没有人知道它,只要是有*个有形的东西必然有问题,这就是厂商不可能成分百分之百的绝对没有问题的,像保险*样的东西,*般很少有企业会这么说,就算说了,这个东西也不可能做到。
*谈*下安全的起源问题,这些问题从什么地方冒出来的。说白了,企业中有很多计算机,有很多网络设备,之所以谈到网络的安全,这些问题都是由谁而起的,由哪些设备而起的。*简单的例子,手里的鼠标可能不会引起什么安全问题,或者至少大家在概念上认为它不会有安全问题。但是有*些设备,比如说PC,*个计算机,或者数据库,或者路由器这些设备往往可能存在问题,或者可能由于它们而引起相关的问题。没有它们,我们可能没法正常的工作,比如PC、路由器的设备,没有它们,*些工作根本做不了,网络根本联不通,有了这些设备又可能带来*些问题,二者之间抉择,在座哪位也不会选择不用它,因为不用它就什么都不用干了,网络也不用联了。安全问题*般解决的就是某些企业必须使用的,作为*般的企业必须使用的网络设备,包括路由器、交换机,现在有很多DSL用户上网的,包括宽带设备,锚也可以算是*种路由器,还有内外地址转换的。还有*些工作站,行政人员或者网络技术人员使用的电脑,这些东西*般都属于安全问题的重要保护对象。
还有*个角度,可以从历史上提及*下。历史上安全问题,*早是在病毒这个概念上,病毒可能是人们*早认识到计算机上有不安全的因素,可能会出现危险,它和现实社会是*样的。现实社会里不可能保证每*个人都是善良的,每*个人都不会违法,如果这样就没必要出法律条文。计算机的社会也是*样,网络社会,也有人不守法,也有人从中捣乱,或者为了谋取私人的利益捣乱。病毒正是由于这个想法诞生的产物。
80年代,Internet基本上没有发展,在中国没有网络的形态,那时网络的安全问题没什么可体现的,就好像在没有汽车之前,没有人会因为汽车撞死,就是这个道理。到了90年代初期,有*些ISP商提供了*些接入服务,从*早的Moder开始,这时很多企业也开始联网,他们开始体会到由于把企业联到互联网上,带来*些正面的影响,带来的*些收获,比如*早有很长时间的热潮,就是.COM浪潮,大批量的构建网站的时期,很多企业建了自己的网站,从中得到了*些收益。但是也有企业因为做网站,实际上也是在往里赔钱。正是由于无论是商业行为还是技术行为,Internet壮大了,扩展速度越来越快,肯定就有人会想到这么多信息联在网上,是不是企业有用的信息也在网上,企业内部机密的信息也在Internet不能拿到,有*定的安全保障机制。网络安全操作系统登陆的时候可以设置口令。这是*个很简单的保护,就是说*个没有授权的用户,正常的登录会有问题,有障碍,不是那么容易看到里面的东西。但是它是不是那么保险,是不是有了这道登录的机制之后,就确保别人都不能登录进去,不能从里边拷走信息?*些管理人员,大多数用户在这方面的技术并不是足够的成熟,只有少数的专业性的单位,在这方面技术成熟,人的意识也到位。现在据我们的日常客户资源的调查统计,将近80%的企业都存在网络上的安全问题,只不过或多或少。
*方面是人的安全意识。网管人员没有足够的重视自己的口令,或者安全设置是不是足够得到位,是不是有效。这个意识也是起源于技术,对这个系统是不是足够的了解,比如W2000,大家如果打*条命令NE tart,查看*下服务有哪些,是不是每*位网管人员对显示出来的每*条服务都了解,它是干什么用的,不敢轻易的把这个服务停掉,或者把网络的配置、设置改掉,因为不了解它,改掉以后可能会导致系统出问题,为了避免给自己造麻烦,或者避免这个系统瘫痪掉,路由器有安全问题,你是不用路由器还是宁可冒着风险去用,*般的做法是宁可冒着风险继续用,因为没有它就没法工作。所以大家会把系统正常工作摆在*前面,虽然这个差距可能很小,但是相对的其次才考虑是不是在安全的运行。安全公司的理念也是这样的,要率*保证用户的应用,可用性是**要保证的,其次才考虑网络安全是不是在保证可用性的情况下,提高安全性。
人的因素,人的意识是不是把服务,*方面是系统服务,还有很多地方,像Windows系统,还有权限机制,包括Unix都有基于磁盘系统上权限设置的方法,Linux,各个操作系统都有不同的方法,但是大家都有不同的机制,每*个管理人员是不是都充分的利用这个机制,这是*个很值得深思的问题,也是*个突破口。
还有*点就是除了人的因素以外,还有设备和技术。*台服务器放到Internet上,托管中心,托管以后可能没有足够的资金租用防火墙,购买防火墙入侵检测的设备,接下来的结果是这样的,服务器遭受攻击的机率,或者在攻击的时候,被真正有效的攻击的机率大大增加。如果有防火墙,或者有相应的安全设备,再加之合理的配置,可能被有效攻击的机率大大减小。很重要的*点,也是*个误区,很多网管人员都认为买*个防火墙以后就万事大吉了,至少认为放心很多了,往网上*链,电源*开就认为不错了,其实这个防火墙跟没有差不多,就是多费了点电。
正确使用这些安全产品,除了防火墙,任何*个安全产品都有这个问题,是不是合理的、正确的配置,是不是把逻辑上的要求用防火墙实现了,这是*个很重要的环节。举个例子,公司雇很多人,可以多干活儿,可以增加工作能力,这是*个常理,也是*个能够理解的现象。但是如果雇来的人很多,却什么任务都没有安排,人很多并不*定力量很大,只是占了*个空间,实际上并没有产出。用防火墙入侵检测,或者杀毒软件,如果没有您的要求,逻辑上的思维正确的配置到防火墙,或者入侵检测里去,实际并不能发挥作用。我虽然在研发部,但是也面对过客户,有些人抱怨买了防火墙以后没什么用。其实不是防火墙没有这个能力,而是没有合理的配置。当然,这里有*个问题,配置工作由谁来做?用户如果不是专业的用户,可能不知道自己逻辑上的要求,怎样用防火墙实现。比如说某个企业的要求,机器都是直接开了共享,照说企业内部可以互相共享,但是企业有两个部门,相当于两个小的局域网,之间隔离开来,因为两个部门相对不*样,比如*个是销售部,另外*个是行政的主要部门,财务、人力资源这些部门,这两个部门之间内部是可以允许共享的,但是跨部门以后应该不允许共享,这时大家常用的防范手段就是用口令的方式,不给销售部人员口令,只给行政部门人员口令,他们就可以访问我了,互相都是这么做的,这两个网络认为不可互访。实际上有些问题,第*,口令*般在企业内部的设置都比较简单,而且长年累月不愿意更换,更有甚者用网管的*字或者网管常用的英文或者拼音字母,或者加*些简单的数字组合起来了,很容易被别人知道,尤其同*个公司的人互相串门也是常事,很容易被别人知道,这种机制并不保险。如果加了防火墙设备,前提是已经在部门的网之间加了防火墙设备,用户可能想不让这两边共享,防火墙应该怎么做,虽然有逻辑上的需要,但是不知道怎么运用防火墙实现,这可能是*个很大的问题。
我们现在的意识,认为由防火墙或者安全产品的销售厂商,根据用户的需求来帮助用户把安全配置做好,做到位,用户需要提供的并不是我想怎么配防火墙,这个话不应该让用户来说,而是让用户说我的逻辑是怎样的需求,比如我不想让内网的用户,比如*个企业内部的用户,不想让他们上QQ,上OICQ,或者不想让他们上某些聊天室,或者上班时间控制他们上网的时段,给*个逻辑上的需求,有了*些逻辑要求以后,应该由安全公司把这些逻辑要求经过*个函数转换*下,这个函数是由人脑完成的,变成防火墙懂得语言,把策略放在工作的设备上,这样才能达到安全的目的。
这些都是比较泛泛的隐患和对策,现在我们谈点具体的。安全问题的来源,很多人在*大段时间里认为是来自Internet不知*的某个角落,*般人看来是小角落冒出来的问题*多,其实这仅仅是*方面,作为企业用户来讲,这些的确是较少的*方面,更重要的是来自于企业内部。虽然大家可能觉得说起来,不太好听,明枪易躲,暗箭难防。在家里的人对你的网络足够熟悉,拓扑结构,重要的信息放在什么地方。我以前给国家*的单位做过安全渗透操作,模拟入侵它的网络,根本不知道哪个代码是有用的,找也得找*会儿,有时打*个DIR/S,列出所有的目录,目录很多,外人很难*下命中哪部分资料是很敏感的,哪部分资料是有价值的,尤其硬盘里装了MP3,都翻*遍是很麻烦的,所以安全问题,很大程度上作为公司内部,或者跟企业相关的,比如代理商、渠道商,或者分销部门、分支机构,人们都很了解重要信息是什么,敏感信息是什么,要么没有动作,只要有动作,成功的概率很高,而且不容易被发现,因为他对网络足够的熟悉,他可能知道公司哪个部门买防火墙入侵检测了,哪个部门不知道。但是作为外面的入侵者,完全不相干的入侵者,可以称为来自Internet黑角的入侵者,他根本不知道什么地方是*重要的,什么地方没有防火墙,没有各种安全配置的。大家*定不要忽视来自内部的安全问题。往往内部的安全问题和外部的安全问题,在国内来看是1:1的比例,同样都存在。在国外,可能来自内部的稍微多*些,因为国外相对的计算机技术比较普及,各种攻击技术相对比较普及,很多人都掌握*小部分攻击的手段,所以来自内部的安全问题*点都不少于来自外部的安全问题。
这里隐含的提出*个概念,大家在购置防火墙,购置安全产品的时候,并不仅仅是防止内网到外网的出入口,这是*个瓶颈,是*个闸门,很重要的关口。安全问题的来源,*半是来自外部,*半来自内部,把这个地方防住了,显然是防住了*半。但是防的效率还没有百分之百。投资购买设备,*主要的是花费精力不仅仅在输口的地方,而需要对整个网络,各个部门之间,各个主要设备之间进行防护。还有*点其实是IDS的概念,跟安全概念是很密切的关系。
IDS是NIDS和HIDS。NIDS是网络的入侵检测。HIDS是基于主机的入侵检测。安全概念的问题,入侵检测的作用就是发现入侵的行踪,发现入侵或者起伏入侵的动作,包括端口扫描、易输程序的常识,这种程序的措施,IDS负责捕捉、跟踪或者记录这些行为的。IDS不只是装在企业的出口,大的企业网,比如只有*个出口或者两个出口,不仅仅装在这个位置可以解决问题的,因为他们只能监控到来自外部的攻击,很难监控到内部的攻击。NIDS能够适用的范围只有在关卡处完成监控,很难做到针对每台主机进行监控,除非是当它只针对*台主机做监控,但是这样太奢侈了,*般来讲,针对主机的可以采用HIDS,基于操作系统的。防火墙也同样是这个概念,*方面是大盒子的,摆起来的*个硬件,属于网络复活防火墙,往往用于关卡处,可以接受或者不接受发给自己的和不是发给自己的数据包,这点概念大家都能理解,防火墙接触很大的数据量并不是给他的,而是给别人的,只不过透过它而已。HIDS的概念是基于主机的防火墙,基于操作系统,安装在服务器或者安装在工作量上,仅仅是*个软件,只针对防范本机或者别的通讯,不会监控其他两个人之间的通讯,甚至不会检测,没有这个机制。只是针对谁要攻击我了,或者他发现本地有什么程序异常的反映,要向外发起连接,这时它会出来。瑞星也有这方面的防火墙产品,也有基于软件的。
这里提出来*个攻网的概念。木马现在发展比较快,也可称“后门单座”。防火墙的概念,*方面要阻挡别人对我的攻击,别人主动发现我的数据包,我要看这个数据包有问题,我要阻拦住,没有问题,我可以转交给系统,这是*个很常见的,大家很容易理解的方式。还有*个很特殊的方式,外界发给系统的数据没有什么问题,很正常,但是这些数据会激发埋在我程序里的木马程序,肯定是由管理者或者使用者人为的运行,这种情况下也不排除您的系统已经被人家攻击过了,比如服务器被人家入侵过了,当时在入侵完成以后,作为服务器的使用者了,因为他获得权限了,作为*个使用者运行木马,把木马程序启动在服务器上,可以退出,临时获得用户权,也可以退出,退出也看不出什么异样,还很好的工作。但是这时比以前多了*个木马程序跑到您的系统中,跑的程序很多,Windows,可能是计算机的系统服务,多了*个服务,这可能是木马病毒,要求管理员对这些服务比较熟悉才可以,才知道哪个对的,哪个有问题。还有加了*个帐户,将来他在登录的时候会不使用现有的帐户,使用*个他自己加的帐户。还有增加*些隐藏的比较常见的,伴随着*些系统可装载别的进程的程序运行起来。还有*些替换文件,比如*般的操作系统,像W2000启动以后,肯定要执行某几个程序,把这个程序替换掉,操作系统在启动的时候不了解木马程序带起来了。还有42000对本身的系统文件的核心有保护机制,发现替换以后会识别,从*个目录把文件覆盖了。这个机制实际上可以关掉,平时大家不是那么深入的研究它,也不是掌握、使用它。入侵者如果想替换文件,可能会把文件保护机制关掉,把文件检测机制关掉,Windows失去了保护自我的功能。Windows和DOS系统很不同的*点,开始失去自身保护机制的能力。这个机制也不是很完善,还可以关掉。
木马有很多种形式,很多种可能实现*终的目的。*般传统的防范木马的概念,好像这间屋子有*个后门,墙上开了个洞,人都从正门进进出出,可能有不法之徒从洞里钻出来,大家检测这个系统是不是中了木马,或者是不是被安装了后门,*常用的思路,检查*下这个屋子开了多少口,有多少扇窗户,有多少门数*下,看看除此之外还有没有其它的口,如果有肯定是有问题的。*常用的*条命令是“Netstat -an”开放的端口,有哪些端口,是通讯的激活的状态还,哪*种状态是可以查看出来的。还可以查看某*个端口是由哪*个程序开的,是由哪*个程序上的进程,哪个系统进程打开的?有*个第三方工具比较好用,大家从很多站点搜索到,Mport。如果发现有*个端,8626由*个程序是由服务器SE,本身不是系统应有的应用程序,比如放在C盘的目录下,对操作系统足够熟悉的人意识到不应该出现这个文件,而且不应该跑到系统中运行,并且开这个端口,可能这就是问题的意识,发现了这有问题。传统的方法检测。现在木马越做越新,已经有很多新的思路,不去守候*个端口,不再墙壁上开*个端口,在墙壁上装*个定时炸弹,比如在墙上装*个微型的定时炸弹,每当从外面接收到*个控制信号,比如外面传进这个屋子,外面有*个人高唱了*句“我的太阳”,这个程序接收到这个信号,马上炸*下,把墙炸开*个洞,这时外面的人想进来就进来,然后它会把洞马上修复好了。平时检测屋子有没有问题的时候检测不到,为什么?外面没有人唱*声“我的太阳”,没有人开洞,检测屋子发现完好无损,没有洞。但是只要外面有某*个条件触发它,它就会开*个洞,这是里外沟通的思路,也叫里应外合的方式。
针对各种不同的新式木马的工作形态,防火墙要完成的,除了要监控从外面到里面的东西是不是具有危险性,是不是很明显的是木马,或者是攻击程序,同时还要看自己向外撒的东西,自己发向外面的东西是不是同样有问题,或者自己是不是正在为外面开放*个端口,正在为外面不知情的,这个系统不知道是什么的目标,送去*个系统管理的控制权限。有*个叫NC.EXE的文件,很小,别人把*个控制权,*个壳指的是操作系统的控制输入、输出,并且能够给系统传指令的通道。NC可以接通别的系统传给我的shair,他把他身上的控制权限送给我,我可以通过他给我的通道发送指令,计算机就会听我的指令工作。还有*种形式,NC可以做到的把自己身上的送给别人,我可以把我的共享文件送出去,实际上这已经是*个木马进入,只要它被合理的激发,NC并没有自己激发的机制,如果稍加改造,变成可激发的,当外界条件触发的时候,就把我自身的控制权限送出去,送给别人,送给*个指定的人,完全符合木马的特征,所以防火墙对于这样的形式,无论从里向外,还是从外向里都有*个入侵检测。包括入侵检测,也是要检测双向的。
有*个攻击的分类,大概有九项。
*个是口令破解,是很常见的。大家做安全文献或者杂志,在报刊、网上都很容易见到。解决方法很简单,只不过意识上是不是懒得去做,把口令设的很长,就差到企业墙上贴小条,每个人都应该把口令设的复杂*点,没有坏处,但是还有很多人把自己的银行密码设的生日,或者电话号码的某几位,说到底还是意识问题。换句话说,没出现过问题就不以为然,等出现问题就晚了。发现问题,如果您的口令,公司也好,家里也好,或者个人的信息设备口令的强度是可猜测的,或者是非常简单的,比如说了五个1,或者三个1,或者123456,这些都属于弱口令的范畴。包括有人自认为聪明*点,按shift键编1234,实际上还是可以猜到的,您能想到,别人也*样能想到。凡是使用类似这样的口令,针对隐患要关注的问题,*个是问题出现的位置,*个是问题出现的时间,还有*个是问题被发现的时间,还有造成影响的时间。您如果正在使用这样的口令,实际上已经有问题了。我现在告诉您,您就发现问题了。造成的影响,开始发作了的时间,就是有人开始利用您的口令攻入您的系统,或者有人拿着您的银行卡,知道您很简单的口令,把钱取出来了,这就是造成的影响。不怕有问题,关键是在知道问题以后要补上,修改掉,对我们来讲就达到目的了,这是安全厂商*希望做到的。
破解无外乎猜,字点的概念,把很常用的,可能是弱口令的字符串罗列起来,**尝试大多数人常用的口令。比如黑客想得到*个字点,有机会攻入某*个邮件系统,把所有用户的口令全都取出来,这就是*种很好的字点,因为这是很天然的,没有人为的,大家默认设置的口令。六个8的可能*下占到了,比如我拿到两万个邮件用户的口令,发现用六个8的不下20、30人,这个概率已经非常高德,用六个6的也很多,用12345的也很多,还有跟用户*相同的,用户*很容易被别人知道,很容易调查出来,如果用户*相同的口令,往往也是不安全的。
从解决意识来讲,多加小心,严加防范,不要松懈这个概念。
第二,连接盗用这个概念实际上不是特别好理解,说的白*点,是招摇撞骗的概念。举个例子,身穿劳动布的服装,挎*个包,说是修水表的,进去以后就不是这样的,经常有这种情况,以前电视上也报道过,这种概念是属于招摇撞骗,帽子上写着“自来水公司”,其实帽子谁不能做,这就是招摇撞骗的。以前有*个脚本的概念,看到前面的域*,写的WWW.163.COM,大家觉得可信,很知*,页面卖东西果然便宜,帕萨特可能卖两万五,交了定金,从网上划帐的方法,存到招商银行、建行,很多银行可以有网上付款,*卡通支付,过了很多天还见不到帕萨特,为什么?因为是假的,找163,163说没这么回事,到163的网站上的确找不到,实际上是利用了163网站上某*处JAVA脚本的缺陷,得到这个效果,看到外表上的确写的163.COM,实际上当时你访问的已经不再是163的服务器,是某*个骗子设置的,他的服务器上可能放的是他的银行帐号,但是他可以把网站的形式做的和163*模*样,这点好理解。这种方式在现实生活当中有招摇撞骗,骗取您的信任,登录重要的口令,比如163给您看的是*个信箱,163获得新信箱,这里登录可以获大奖,敲完以后真能登录,黑客或者破坏者接收到您的口户口令,送到真的163上兑现,如果发现对的话就指还过去,如果不对,提示口令错误,看起来挺真,实际上这个口令从他身上再回到163身上,从中骗取口令。别太冒然的去访问,就算访问了,通过这种形式获得的要加以防范。
第三,服务拒绝。比如前不久有*位*生是某公司的老总,忙的很,我想给他捣捣乱,用什么办法呢?我知道他的手机号,天天给他打电话,*天打十个,这个*生至少接我十个电话的时间不能正常工作,因为他在接我的电话,虽然可能接完了,我跟他瞎说两句,他发现打错了,骂我两句打错了。如果我号召百十来个人都这么干,我不用我的电话,可以用公共电话,可以找很多人各自的电话给这位*生打,依此类推,如果想象这位*生很忙的话,可以找更多的人,以更高的频率给他打电话,很快这位*生遇到*个麻烦事,这个手机号很快就不能用了,打的太多了,正常的客户往里打经常占线,他根本没时间,这就是服务拒绝攻击。我给这位*生打电话,然后说对不起,打错了,这个事情构不成违法犯罪,但是影响了这位*生的正常工作。作为攻击来讲,这个方法好得多。
计算机系统每去接受*个用户的访问,就要消耗*定的资源,这个资源包括时间资源,处理器,整个硬件系统为此消耗的资源,换句话说就是CPU要多热*会儿,多算东西,每有这个请求,每有这个客户它就要折腾*下。某知*网站的服务器正常客户不知道十万还是百万,这时伪造出*千万个用户对新浪进行访问,如果知*网站的设计访问量是150万,偶尔有高峰,比如过年过节,或者举办活动的时候,这个网站的访问量会突然增高,设计访问量是每天150万次,我现在每天找*千万人访问,每天伪造*千万个客户访问它,而且这些客户都不是它的正常用户,在这种情况下,实际就会造成*个问题,服务器资源严重超标,严重超过了当时的规划,就没有足够的能力为它每天正常的50万用户服务,邮件服务器很慢,根本登录不上,作为*个Web服务器,链上十分钟页面还没有打开,可能造成这种情况。
我们再把这个事情说的细致*点,这位*生的手机,我不见得非得等他接了手机再说对不起,打错了,没这个必要。我可以弄很多手机,或者弄很多部电话,都是打,只要他这边*通我就挂,但是我没完没了的往里打,只要*通就挂,正常用户打不进去,*少的情况下能挤进去,这种情况下涉及到费用,还要考虑到我的成本,攻击者还要考虑攻击成本,降低自己的费用,只是发*个很这位*生的链接,在Internet基于IP协议的,发起*个连接,请求和这位*生的,当他应答的时候我就跑了,应答不着,这种情况下这位*生按协议来讲,会反复再追问,喂几下,那边嘟嘟开始响他才死心,这位*生如果对工作更认真,这时会找个座机把号回拨过来,看看这到底是谁,有没有正事,这位*生正负责,有意味着他会消耗更多的资源。虽然说不上这是*个缺陷,至少是*个不足。我向*生发起*个ACK,ACK确认安装信号把那个号加1,他给我发*个信号,这时我就跑掉了,这位*生在那儿等待,要等待足够长的时间,根据不同的操作系统实现协议的时间不*样,等待的时间不*样,等超时了以后,他认为我彻底不会再跟他通讯了,他才放弃,才把这段资源释放。在此期间他脑子里蹦着*根弦,CPU都在这里,这是*个事件,就是*个线程,要留*个中断的机会,内存中也要为这个事件分配内存记录这个东西,至少记录下这个事件,记录下有这样的还没有完全的连接,既不是断开的状态,也不是已经建立连接的状态,而是正在建立连接过程的状态,至少要记录这种信息。只要我发出大量的连接请求,很快服务器资源就*下落满了,没有更多的资源处理新的连接,人也好,计算机也好,处理能力都是有限的,不能处理更多的连接,很难接待新来的用户,这时就实现服务拒绝攻击,只对我服务,不对别人服务,或者只对虚假的信息服务,而不针对正常的服务了。有些不仅利用连接的问题,还利用系统堆站的实现问题,或者对校验机制,或者导致整个系统的崩溃,还有可能导致蓝屏,不同类型的拒绝服务。
第四是网络窃听。这种攻击也很好理解。说白了就是偷听,公司几个老总谈话的时候绝对不能好几个人在门口扒着往里听,比如您正在登录邮件,有人在旁边*直盯着您按什么键盘,知道你的口令是什么,这是*定要走到你那儿才行,有*种可以实行监听,我知道你用公司的网络上网,连接到163信箱,可以在你登录之前,我在网络上装*个窃听器,可以窃听网络通讯都有什么,当你登录的时候就能听到谈话,对口令是明文处理的,以明文的形式直接送出去,包括登录管理,早期*点的系统,也会以明文的形式侦听下来,发送的邮件内容被人家知道了,这显然都是不合适的。
第五是数据篡改。比如那位*生给那位*生发了定单,要买*百万,*后说要25个,两家公司就打起来了。影响和破坏的东西有很多,所以值得重视的程度并不亚于其它的方式。
第六,地址欺骗。有经验的网管都知道,装了窃听器就能听到全过程,这是集线器那个时代的说法,接到*个口上去,可以听到整个网络所有的通讯。在交换机时代并不是这样的,两个机器之间的通讯只要不是广播包,单播包只会从该转发的口转发,其实交换机可以兼容网络资源的。基于交换机组的特点,已经不容易工作了,但是可以有办法欺骗交换机,给我返出*个信息的口从这儿出来,这是可以的,实际上就是对交换机的欺骗。实际上是NRP协议,不能说缺陷,但至少是*个不足,是设计上比较简单导致的*些问题。
地址欺骗实际上包括两层,*个是二层地址,还有*个是三层地址,IP地址。NRP协议做的欺骗过程就属于二层地址欺骗。三层地址欺骗也有很多办法。
第七,社会工程。这种攻击非常简单,说白了就是骗人,*称叫的好听*点叫“社会工程学”,难听*点就是给你打个电话,您好,我是您公司的网管,我们正在清理系统,您*把您的口令改成公司,十分钟以后再改回去,现在统*的清理*下邮箱,有的同志就改了,接到这个电话就把自己的邮箱密码改了,还等着十分钟以后再改回去,人家已经把你的信读走了,或者趁着十分钟把密码改成别的了。
第八是恶意扫描。扫描实际上是*个攻击的预兆,是*期处理,是预处理过程,我想攻击,肯定要做到知此知彼。知彼就不容易了,要看你买不买防火墙,打没打补丁配置,大概配置了什么东西,肯定要做*个分析的过程。为什么企业内部用户比外部用户更容易呢?都不用扫描,找到网管问*句就知道了,咱们公司买什么防火墙,网管说还没买呢,所以完全没有必要通过网络、工具探测,**打*个电话,或者嚷*嗓子,什么信息都知道了。
第九,基础设施破坏。DNS的破坏,咱们国家遇到*次,是3月份还是5月份,扫描很多网站都出问题,再前*阵是说什么也访问不了,后来有*阵是因为根域*的服务器坏了,整个DNS组织的服务器被人拒绝服务,DOS。还有人见到*种DDOS,。DOS和DUS,我*个人对*个*生嫂脑叫DNS,找很多人对他进行骚扰叫SDUS。持续不断对他进行骚扰,导致这个服务器没有能力为正常上网用户做出DNS解析,对公共基础设施的破坏,比如想让某个网站不能正常访问,我攻击不了他,但是我如果能攻击某*部分公共基础设施,像DNS,比如新浪有新闻、汽车的很多栏目,新闻的服务器,每个人上网不能都这样,*般来讲还是敲域*,想看新闻可能还是打NW.SINA.COM.CN,不会打数字的地址。
第十,数据驱动攻击。比如好几个G的数据,接触服务器,往里塞个病毒,有纯是以破坏为目的的攻击者会使用这种方法。现在很少有以纯破坏为主,都是为了盗取信息,国内很多页面被涂改*下,能取得工质控制权,为了表现欲。
病毒带来的威胁,2003蠕虫王,影响的效果的确很大,破坏力很大,持续的时间大概仅仅几天,把电信的骨干网都堵了,我还帮助网络处理了广州城域网,有几台三层交换机完全被堵死,刚*出来没人知道怎么回事,以为交换机被堵死,打*条命令,思科的设备,看UDP包,我怀疑可能是蠕虫到了,远程上去,我告诉看UDP包,结果*下终端就断了,数据量太大了,走的全部都是UDP的通讯。
这种蠕虫后来又冒出好几个,包括前*段时间的“冲击波”也是影响很大的。“冲击波”这种病毒或者蠕虫,想预防都是很容易的,*简单的办法就是跟着微软打补丁,只要微软出补丁,每*个办公室马上打上去,相当程度的保证网络安全。不是100多兆的包,那不是*个个问题,出了*个问题以后,马上出*个补丁弥补。蠕虫的顺序*般是这样的,*是发现Windows或者操作系统的安全问题,可能会有*些人讨论,会有*些安全的文章出现,大家会交流、讨论这个问题,这时我们就知道*点消息,可能要出问题,这是安全公司的*个工作,肯定要和程序员做交流,这个漏洞被大家确认肯定是有问题了,并且写出*些程序可以用于测试和利用了,这个过程实际就已经变得很危险了,比如有*些人手里拿到利用程序,可能这时就会发现有*些网站被黑掉了,这个事情向恶化的方面发展。几乎与此同时,微软操作系统的厂商就知道这个问题了,就会马上针对这些问题想补救的措施,可能就把补救的程序也写出来了,这就是所谓的补丁,叫热补,热补和平时说的打补丁很不*样,只要*有问题就出现,不是周期性的,而是突发性的,只要有问题就出。三天*天*个问题,就会三天出*个补丁,会跟的很快。尽量把这个系统装全,实践证明,有坏处的机会很小,导致系统出问题的有,但是很小,建议大家把这个补丁打全。
如果没有打补丁,面临的问题就是利用程序,现在少数人拥有问题不太大,*台台黑也没那么多时间,但是如果这个程序发散开了,*个传*个,不是我给了你就没有了,*个给两个,两个给四个,*会儿就很多了。人多了以后就会出问题。利用程序我们大概几个月前就有了,在蠕虫爆发之前几个月就有了,完全意识到安全问题,包括冲击波,我们提前两个多星期拿到利用程序,也有*些是朋友自己写的程序,好使的不好使的都有,大家已经能够意识到有没有这个问题存在了。其实可以预言蠕虫的出现,但是那时蠕虫没出现,谁也不知道叫什么*,所以发布信息谁也不好说,好像后天出生的小孩儿叫什么,很难猜得到。目前现阶段还不好做,我们当时说的东西就是后来要出现的东西,以后我们会慢慢改进,让大家提早知道这些问题,针对可能会出现的网络攻击怎样做弥补,怎样做防范。
企业面对的真正风险,我觉得对企业*主要的*个是数据,还有*个是正常运行。大家很关心的就是网络是不是正常运行,别*攻击我的网络,我就上不了网,邮件也收不了,办公的OA系统全部瘫掉了。包括有时就算用上网的路由器,服务器经常重启,前*段“冲击波”来了就要重启,W2000蓝屏,要么复制也没用了。*个是保证数据,*个是保证可用性,网络整体的可用性。所谓风险,*旦它被破坏,问题*大。企业声誉,企业*被人涂改了,*个不健康的网站贴在上面了,影响形象,*般国人是比较理解这个问题。还有避免诉讼,有*个组织和中国电信达成协议合作,原*对国内发送垃圾邮件,还有发送反政府言论的服务器,没有什么能力干预、制止,现在尤其对发送垃圾邮件,这些组织和中国的电信部门经过协商以后,可以互相沟通,他们*旦发现有某些服务器在国内发邮件,可以通知电信,让电信局通告用户把这些问题尽快解决,如果还不解决就会上黑*单,网络邮件系统的网管知道,有*个反垃圾邮件组织好像叫SPIM,会经常拉黑*单,全世界只要和这个组织合作的厂商,或者合作的邮件服务器,都不接收来自黑*单服务器发送的内容,都支持黑*单机制。如果老发垃圾邮件,第*,企业邮件服务器,发送的邮件人家拒绝接收,如果还继续发,就会进*步投诉,再投诉就会出现电信屏蔽你,你的IP就会上不了网,更有甚者现在还有罚款的。
还有*个问题是怎样合理的防范,怎样补救。*方面是总体的设计,规划网络,第*是便于管理,第二,也使网络有条理,有层次。*旦出现*点安全问题,很快能断定安全问题来源于哪儿,追究到哪台机器,哪台机器管理有失误,没有进行有效的防范,整体确认*下问题,便于解决问题,发现问题,*主要的是*旦出现问题,缩小影响,比如我能断定某*个网络中某*台机器出现问题,往外发送数据包,赶紧组合起来,让它在里面自生自灭,而不要影响到更多的服务器,影响到更多的网络用户。
选择安全产品肯定是必要的,但是选购产品的时候,千万不要只堵在口上,堵在大门。内部之间并不是完全信任的,至少国内来看是*半*半,我们有更多的需要,有更多的必要精力、财务投入到内部的安全问题上。
还有网络病毒。杀毒软件,IDS和防火墙有*定相同的地方,实际上基于主机还是基于整个网络的。基于整个网络的,在杀毒软件的概念,我理解并不是在*台机器上把病毒杀干净,而是在整个网络中所有可能让病毒寄生的节点都这样做*遍。内存中的病毒,内存中正在运行这个病毒,根本不需要硬盘,根本不需要硬盘里写文件,就算把硬盘里的文件删掉没有问题,它还在里面跑着。刚刚把这台机器杀干净,把磁盘拿出来,拿到另外*个硬盘杀,足够有时间让这台机器的病毒再写过来。全网络所有的病毒可能存在的介质,不管是硬盘还是内存,全部监控起来,全部杀,*后总有*个瞬间的状态,所有的地方都没有藏身之地了,没有可以把这个数据写的介质,做到比较彻底的查度或者杀毒的办法。
安全产品占总工程的设计费用,这个可能不*样,各个工程或者各个厂家具体的情况,影响并不是那么确定。合理的产品选型是度身定做,您到底需要什么。卖产品的厂家并不是把盒子卖给您就完事了,是不是可以接受您提出的逻辑的要求,只要把逻辑要求提出来,是不是通过厂商就可以把逻辑通过防火墙要求实现。
产品的性能,*些硬件指标可以看,*般说明书上这个东西不太会作假,都是经过国家认证的产品,顶多会有*些误差,但不会是错误。这里有*个误区,并不是越大越好,越大过筛子过的越糙,速度越快。过的越细,可能速度就慢*点。企业拉了两根专线,非要买防火墙,问我们能不能跑线速,说*百兆就真的能跑*百兆,*共出口只有两兆,放*个百兆线速的防火墙干嘛用,外面的出口根本没那么大,像家里的这扇墙的宽度只有5.5米,非要买25米宽的门装,门都能把房子装进去,肯定没有用。量身定做,安全厂商是不是可以根据您的具体需求,比如企业要把这个用到局域网,是百兆局域网,平时跑的流量到底有多少,可以通过中间加装*个测试性的设备,评估*下大概的流量是多少,根据流量选型*款,合适的价格,满足应用,做*个产品的选型。包括IDS检测的设备,攻击更多的来自于什么地方,选择什么样的检测系统可以达到要求,装在核心交换机上,说仅仅装在重要部门的出口,重要部门到企业之间的接口,放到具体哪个位置,这些定夺的事情*般来讲都是根据各个企业的实际需求,让安全厂商协助出方案。
还有其它安全产品,包括VPN。瑞星还没有正式销售VPN产品,但这肯定是*个概念,炒了很长时间的概念,而且有很多实永嘉之,而且成本相对也是低成本的保密加密传输的措施。所谓说它是低成本,并不是看到现在的售价很便宜,但是可以相信有*定的增长空间,而且有*定的让利空间,除非你买的是硬件,*般软件的VPN产品的程序,防火墙买的时候,几乎不需要额外增加什么费用,可以要求加上VPN功能,可以在某*定的折数购买产品,可以直接要求把内部的系统换掉,换*种支持VPN的,支持数据传输加密的版本,廉价使用是*个热点、亮点,完全值得企业用户考虑的。举个*简单的例子,我接触过客户,在广东那边有*个分支,总部在北京,经常去广东提交销售,销售的所有清单每天都要提交*份,现在用的办法是用RAS拨号,分支机构拿电话拨上来,报表仅仅是数据,是*个表格,数据量其实不是很大,每天把表格传过来,*个月的长途话费大概就得有几千块钱,如果赶用VPN,虽然VPN也值几千块钱,但是长途话费再也不需要了,这是的确可以考虑省钱的东西。
*后提醒、强调*下安全问题并不是买了产品,或者把钱花出去就可以解决了,尤其对于行政上的,对负责网络的人来看,绝对不是负责到位就可以了,*重要的是不是有安全意识,跟着安全厂商考虑为什么要发布新的产品,新发布的产品究竟能带来哪些方面的保障,这个保障跟以前的保障*越在什么地方。比如VPN,新款产品,*方面从费用上可能会节省,降低费用的发生,另外*方面,会保证数据的加密,在传输过程中确保数据,别人就算偷走了,没有用,看的全部是乱码,根本打不开数据,这是防止监听*好的办法。还有*些,除了安全厂商之外,操作系统厂商或者从安全厂商这儿也可以获得安全信息,某些操作系统又出现什么安全问题,某个安全问题即将爆发什么样的危害,或者即将爆发某*类蠕虫,在此之前您可能获得*些支持,怎么防范可能发生的问题。仅仅是可能发生的但是*旦发生,您可能就会认为精力上的投入,咨询就得到了很大的回报,能够帮助您抵御*个位置的漏洞,*个位置的攻击,未雨绸缪,每个人都把事情做在前面,发现问题,马上做出保护措施,马上行动,不要等到问题出现影响才开始行动。
谢谢大家。