作者: 甘肅老五, 出處:IT專家網(wǎng)
【IT專家網(wǎng)獨(dú)家】
如何在局域網(wǎng)中保護(hù)自我��,不僅僅是管理員也是大家要掌握技術(shù)���。怎么做?筆者認(rèn)為首先要從防開始。
一��、防掃描,讓攻擊者暈頭轉(zhuǎn)向
幾乎所有的入侵都是從掃描開始的�,攻擊者首先判斷目標(biāo)主機(jī)是否存在����,進(jìn)而探測(cè)其開放的端口和存在的漏洞,然后根據(jù)掃描結(jié)果采取相應(yīng)的攻擊手段實(shí)施攻擊�。因此����,防掃描是安全防護(hù)的第一步。防掃描做得好�����,就會(huì)讓惡意攻擊失去了目標(biāo)。
1�����、工具和原理
(1).掃描工具
攻擊者采用的掃描手段是很多的�,可以使用Ping、網(wǎng)絡(luò)鄰居���、SuperScan�����、NMAP、NC�、S掃描器等工具對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行掃描��。其中SuperScan的掃描速度非?����??��,而NMAP的掃描非常的專業(yè),不但誤報(bào)很少�����,而且還可以掃描到很多的信息�,包括系統(tǒng)漏洞�����、共享密碼���、開啟服務(wù)等等。
(2).防范原理
要針對(duì)這些掃描進(jìn)行防范�,首先要禁止ICMP的回應(yīng)���,當(dāng)對(duì)方進(jìn)行掃描的時(shí)候��,由于無法得到ICMP的回應(yīng)���,掃描器會(huì)誤認(rèn)為主機(jī)不存在,從而達(dá)到保護(hù)自己的目的。另外���,利用蜜罐技術(shù)進(jìn)行掃描欺騙也是不錯(cuò)的方法。
2�����、防范措施
(1).關(guān)閉端口
關(guān)閉閑置和有潛在危險(xiǎn)的端口��。這個(gè)方法比較被動(dòng)�����,它的本質(zhì)是將除了用戶需要用到的正常計(jì)算機(jī)端口之外的其他端口都關(guān)閉掉����。因?yàn)榫秃诳投?���,所有的端口都可能成為攻擊的目?biāo)�����?��?梢哉f,計(jì)算機(jī)的所有對(duì)外通訊的端口都存在潛在的危險(xiǎn)�,而一些系統(tǒng)必要的通訊端口,如訪問網(wǎng)頁需要的HTTP(80端口);QQ(4000端口)等不能被關(guān)閉����。
在Windows版本的服務(wù)器系統(tǒng)中要關(guān)閉掉一些閑置端口是比較方便的,可以采用“定向關(guān)閉指定服務(wù)的端口”(黑名單)和“只開放允許端口的方式”(白名單)進(jìn)行設(shè)置�。計(jì)算機(jī)的一些網(wǎng)絡(luò)服務(wù)會(huì)有系統(tǒng)分配默認(rèn)的端口,將一些閑置的服務(wù)關(guān)閉掉���,其對(duì)應(yīng)的端口也會(huì)被關(guān)閉了���。
進(jìn)入“控制面板”→“管理工具”→“服務(wù)”項(xiàng)內(nèi)����,關(guān)閉掉計(jì)算機(jī)的一些沒有使用的服務(wù)(如FTP服務(wù)���、DNS服務(wù)�����、IIS Admin服務(wù)等等)��,它們對(duì)應(yīng)的端口也被停用了�����。至于“只開放允許端口的方式”,可以利用系統(tǒng)的“TCP/IP篩選”功能實(shí)現(xiàn)���,設(shè)置的時(shí)候����,“只允許”系統(tǒng)的一些基本網(wǎng)絡(luò)通訊需要的端口即可。
圖1
(2).屏蔽端口
檢查各端口���,有端口掃描的癥狀時(shí)���,立即屏蔽該端口。這種預(yù)防端口掃描的方式通過用戶自己手工是不可能完成的��,或者說完成起來相當(dāng)困難�����,需要借助軟件��。這些軟件就是我們常用的網(wǎng)絡(luò)防火墻��。
防火墻的工作原理是:首先檢查每個(gè)到達(dá)你的電腦的數(shù)據(jù)包����,在這個(gè)包被你機(jī)上運(yùn)行的任何軟件看到之前,防火墻有完全的否決權(quán)��,可以禁止你的電腦接收Internet上的任何東西��。當(dāng)?shù)谝粋€(gè)請(qǐng)求建立連接的包被你的電腦回應(yīng)后,一個(gè)“TCP/IP端口”被打開;端口掃描時(shí)���,對(duì)方計(jì)算機(jī)不斷和本地計(jì)算機(jī)建立連接����,并逐漸打開各個(gè)服務(wù)所對(duì)應(yīng)的“TCP/IP端口”及閑置端口�����。防火墻經(jīng)過自帶的攔截規(guī)則判斷���,就能夠知道對(duì)方是否正進(jìn)行端口掃描���,并攔截掉對(duì)方發(fā)送過來的所有掃描需要的數(shù)據(jù)包。
現(xiàn)在市面上幾乎所有網(wǎng)絡(luò)防火墻都能夠抵御端口掃描�����,在默認(rèn)安裝后�,應(yīng)該檢查一些防火墻所攔截的端口掃描規(guī)則是否被選中��,否則它會(huì)放行端口掃描����,而只是在日志中留下信息而已���。
3、防范工具
(1).系統(tǒng)防火墻
現(xiàn)在很多的防火墻都有禁止ICMP的設(shè)置����,而Windows XP SP2自帶的防火墻也包括該功能。啟用這項(xiàng)功能的設(shè)置非常簡(jiǎn)單:執(zhí)行“控制面板”→“Windows防火墻”��,點(diǎn)擊“高級(jí)”選項(xiàng)卡�����,選擇系統(tǒng)中已經(jīng)建立的Internet連接方式(寬帶連接)�,點(diǎn)擊旁邊的“設(shè)置”按鈕打開“高級(jí)設(shè)置”窗口,點(diǎn)擊“ICMP”選項(xiàng)卡�����,確認(rèn)沒有勾選“允許傳入的回顯請(qǐng)求”����,最后點(diǎn)擊“確定”即可。
圖2
另外�,通過其他專業(yè)的防火墻軟件不但可以攔截來自局域網(wǎng)的各種掃描入侵,從軟件的日志中,我們還可以查看到數(shù)據(jù)包的來源和入侵方式等�。
(2).第三方防火墻
在企業(yè)局域網(wǎng)中部署第三方的防火墻,這些防火墻都自帶了一些默認(rèn)的“規(guī)則”�����,可以非常方便地應(yīng)用或者取消應(yīng)用這些規(guī)則�。當(dāng)然也可以根據(jù)具體需要?jiǎng)?chuàng)建相應(yīng)的防火墻規(guī)則,這樣可以比較有效地阻止攻擊者的惡意掃描���。
比如以天網(wǎng)防火墻為例:首先運(yùn)行天網(wǎng)防火墻��,點(diǎn)擊操作界面中的“IP規(guī)則管理”按鈕�����,彈出“自定義IP規(guī)則”窗口��,去掉“允許局域網(wǎng)的機(jī)器用ping命令探測(cè)”選項(xiàng)�,最后點(diǎn)擊“保存規(guī)則”按鈕進(jìn)行保存即可��。 例如創(chuàng)建一條防止Ineternet中的主機(jī)ping的規(guī)則����,可以點(diǎn)擊“增加規(guī)則”按鈕,輸入如圖的相關(guān)參數(shù)就創(chuàng)建成功�,然后勾選并保存該規(guī)則就可以防止網(wǎng)絡(luò)中的主機(jī)惡意掃描局域網(wǎng)了�。
圖3
(3).蜜罐技術(shù)
蜜罐工具很多,其原理大同小異����,它會(huì)虛擬一臺(tái)有“缺陷”的服務(wù)器�����,等著惡意攻擊者上鉤�����。在黑客看來被掃描的主機(jī)似乎打開了相應(yīng)的端口,但是卻無法實(shí)施工具�,從而保護(hù)了真正的服務(wù)器,這也可以說是比較另類的防掃描手法��。
例如�����,Defnet HoneyPot“蜜罐”虛擬系統(tǒng),通過Defnet HoneyPot虛擬出來的系統(tǒng)和真正的系統(tǒng)看起來沒有什么兩樣�����,但它是為惡意攻擊者布置的陷阱。只不過����,這個(gè)陷阱欺騙惡意攻擊者�����,能夠記錄他都執(zhí)行了那些命令�,進(jìn)行了哪些操作��,使用了哪些惡意攻擊工具�。通過陷阱的記錄,可以了解攻擊者的習(xí)慣����,掌握足夠的攻擊證據(jù)���,甚至反擊攻擊者���。利用該工具部署一個(gè)蜜罐系統(tǒng)非常簡(jiǎn)單��,打開軟件����,輸入相應(yīng)的參數(shù)即可。然后它會(huì)隨機(jī)啟動(dòng)�����,如果有惡意的掃描它都會(huì)記錄下來如圖�����。
圖4
現(xiàn)在的黑客工具非常普及其操作也越來越傻瓜化,入侵門檻比較低����。一個(gè)具有初、中級(jí)電腦水平的攻擊者利用掃描器隨意掃描�����,就能夠完成一次入侵����。做好防掃描措施���,就能夠在很大程度上杜絕來自這些一般入侵者的騷擾���,而這也是網(wǎng)絡(luò)入侵的大多數(shù)。
二��、防溢出����,讓攻擊者無功而返
溢出是操作系統(tǒng)�����、應(yīng)用軟件永遠(yuǎn)的痛!在駭客頻頻攻擊�、系統(tǒng)漏洞層出不窮的今天��,任何人都不能保證操作系統(tǒng)系統(tǒng)、應(yīng)用程序不被溢出���。既然溢出似乎是必然的,而且利用溢出攻擊的門檻比較低����,利用工具有一定電腦基礎(chǔ)的人都可以完成一次溢出�。這樣看來���,我們的系統(tǒng)就處于隨時(shí)被溢出的危險(xiǎn)中,所以防溢出也是我們必須要做的工作���。
1、全面出擊�����,嚴(yán)防死守
(1).必須打齊補(bǔ)丁
盡最大的可能性將系統(tǒng)的漏洞補(bǔ)丁都打完;Microsoft Windows Server系列的服務(wù)器系統(tǒng)可以將自動(dòng)更新服務(wù)打開����,然后讓服務(wù)器在指定的某個(gè)時(shí)間段內(nèi)自動(dòng)連接到Microsoft Update網(wǎng)站進(jìn)行補(bǔ)丁的更新��。如果服務(wù)器為了安全起見禁止了對(duì)公網(wǎng)外部的連接的話��,可以用Microsoft WSUS服務(wù)在內(nèi)網(wǎng)進(jìn)行升級(jí)����。
(2).服務(wù)最小化
最少的服務(wù)等于最大的安全����,停掉一切不需要的系統(tǒng)服務(wù)以及應(yīng)用程序,最大限度地降底服務(wù)器的被攻擊系數(shù)����。比如前陣子的NDS溢出�����,就導(dǎo)致很多服務(wù)器掛掉了�。其實(shí)如果WEB類服務(wù)器根本沒有用到DNS服務(wù)時(shí)�,大可以把DNS服務(wù)停掉,這樣DNS溢出就對(duì)你們的服務(wù)器不構(gòu)成任何威脅了�。
圖5
(3).端口過濾
啟動(dòng)TCP/IP端口的過濾����,僅打開服務(wù)器常用的TCP如21、80��、25����、110�、3389等端口;如果安全要求級(jí)別高一點(diǎn)可以將UDP端口關(guān)閉��,當(dāng)然如果這樣之后缺陷就是如在服務(wù)器上連外部就不方便連接了�����,這里建議大家用IPSec來封UDP。在協(xié)議篩選中只允許TCP協(xié)議����、UDP協(xié)議 以及RDP協(xié)議等必需用協(xié)議即可;其它無用均不開放。
(4).系統(tǒng)防火墻
啟用IPSec策略,為服務(wù)器的連接進(jìn)行安全認(rèn)證����,給服務(wù)器加上雙保險(xiǎn)。封掉一些危險(xiǎn)的端口���,諸如:135 145 139 445 以及UDP對(duì)外連接之類、以及對(duì)通讀進(jìn)行加密與只與有信任關(guān)系的IP或者網(wǎng)絡(luò)進(jìn)行通訊等等�����。通過IPSec禁止UDP或者不常用TCP端口的對(duì)外訪問就可以非常有效地防反彈類木馬��。
(5).系統(tǒng)命令防御
刪除��、移動(dòng)、更名或者用訪問控制表列Access Control Lists (ACLs)控制關(guān)鍵系統(tǒng)文件����、命令及文件夾:攻擊者通常在溢出得到shell后,來用諸如net.exe���、net1.exe�、ipconfig.exe���、user.exe��、query.exe、 regedit.exe�����、regsvr32.exe 來達(dá)到進(jìn)一步控制服務(wù)器的目的�����。如:加賬號(hào)�����、克隆管理員了等等�����。我們可以將這些命令程序刪除或者改名。
圖6
訪問控制表列ACLS控制找到%windir%system32下找到cmd.exe���、cmd32.exe�����、net.exe、net1.exe����、ipconfig.exe、tftp.exe���、ftp.exe�、user.exe��、reg.exe����、regedit.exe�����、regedt32.exe�、regsvr32.exe這些黑客常用的文件����,在“屬性”→“安全”中對(duì)他們進(jìn)行訪問的ACLs用戶進(jìn)行定義�����,諸如只給administrator有權(quán)訪問���,如果需要防范一些溢出攻擊、以及溢出成功后對(duì)這些文件的非法利用;那么我們只需要將system用戶在ACLs中進(jìn)行拒絕訪問即可���。
如果你覺得在GUI下面太麻煩的話����,你也可以用系統(tǒng)命令的CACLS.EXE來對(duì)這些.exe文件的Acls進(jìn)行編輯與修改���,或者說將他寫成一個(gè).bat批處理 文件來執(zhí)行以及對(duì)這些命令進(jìn)行修改。對(duì)磁盤如C��、D����、E����、F等進(jìn)行安全的ACLS設(shè)置從整體安全上考慮的話也是很有必要的�����,另外特別要對(duì)Windows�、WinntSystem、Document and Setting等文件夾��。
(6).組策略配置
想禁用“cmd.exe”���,執(zhí)行“開始→運(yùn)行”輸入gpedit.msc打開組策略,選擇“用戶配置→管理模板→系統(tǒng)”����,把“阻止訪問命令提示符”設(shè)為“啟用”。同樣的可以通過組策略禁止其它比較危險(xiǎn)的應(yīng)用程序��。
圖7
(7).服務(wù)降級(jí)
對(duì)一些以System權(quán)限運(yùn)行的系統(tǒng)服務(wù)進(jìn)行降級(jí)處理���。比如:將Serv-U���、Imail���、IIS、Php�、Mssql�����、Mysql等一系列以 System權(quán)限運(yùn)行的服務(wù)或者應(yīng)用程序換成其它administrators成員甚至users權(quán)限運(yùn)行��,這樣就會(huì)安全得多了�����。但前提是需要對(duì)這些基本運(yùn)行狀態(tài)�、調(diào)用API等相關(guān)情況較為了解。
圖8
其實(shí)��,關(guān)于防止如Overflow溢出類攻擊的辦法除了用上述的幾點(diǎn)以外��,還有很多種辦法:比如通過注冊(cè)表進(jìn)行建立相應(yīng)的鍵值��,進(jìn)行設(shè)置;寫防護(hù)過濾程序用DLL方式加載windows到相關(guān)的SHell以及動(dòng)態(tài)鏈接程序之中這類��。當(dāng)然自己寫代碼來進(jìn)行驗(yàn)證加密就需要有相關(guān)深厚的Win32編程基礎(chǔ)了,以及對(duì)Shellcode較有研究�。
三、防竊密���,讓惡意用戶無可奈何
在資源比較緊缺的企事業(yè)單位中多人共用一臺(tái)電腦是非常普遍的,或者在某些企業(yè)中有那么一些公共電腦供大家使用���。既然多人使用�,存儲(chǔ)在這些電腦上的公共資料以及個(gè)人資料就沒有什么安全性可言�,極易造成信息的泄密�,因此如何安全部署這些公用電腦是擺在管理員面前的一個(gè)必須要解決的問題。
1����、操作系統(tǒng)很重要
管理員要實(shí)施對(duì)這些公共電腦的權(quán)限控制�,就必須得考慮采用什么操作系統(tǒng)。由于Server版系統(tǒng)的安全性遠(yuǎn)遠(yuǎn)高于個(gè)人版系統(tǒng)���,一般在這樣的電腦上安裝Windows Server 2003或者Windows Server 2008這樣的系統(tǒng)�����。另外���,要設(shè)置用戶權(quán)限系統(tǒng)分區(qū)格式必須是NTFS格式。
2���、嚴(yán)密部署
(1).每個(gè)用戶各歸其所
管理員制定安全策略,為每個(gè)用戶在公共電腦上建立私人文件夾僅供個(gè)人使用����,另外建一個(gè)共享文件夾讓大家使用�。具體步驟是:
在文件公共電腦上建立NTFS分區(qū),然后為每個(gè)用戶創(chuàng)建一個(gè)賬號(hào)����,再創(chuàng)建一個(gè)組包含所有的用戶����。為每個(gè)用戶創(chuàng)建一個(gè)共享文件夾�����,在設(shè)置共享權(quán)限的時(shí)候去掉Everyone組�,將對(duì)應(yīng)的個(gè)人用戶賬號(hào)添加進(jìn)來����,然后根據(jù)需要設(shè)置權(quán)限�。為所有的人創(chuàng)建一個(gè)共享文件夾�����,再在設(shè)置共享權(quán)限的時(shí)候去掉Everyone組��,將第一步中創(chuàng)建的包含所有用戶的組添加進(jìn)來如圖1�����,然后根據(jù)需要設(shè)置權(quán)限即可��。
圖9
(2).防止惡意刪除
公共文件夾里的內(nèi)容是只許大家看的����,但有些惡意用戶會(huì)刪除其中的文件,因此還要做好防刪除措施�����。操作如下:
右鍵點(diǎn)擊公共文件夾“屬性→安全→高級(jí)”����,取消“允許父項(xiàng)的繼承權(quán)限傳播到到該對(duì)象和所有子對(duì)象”選項(xiàng)����,在彈出的菜單中選擇“刪除”操作,點(diǎn)擊“確定”�。添加需要設(shè)置的帳號(hào)�,只賦予該帳號(hào)“遍歷文件夾/運(yùn)行文件 ”、“列出文件夾/讀取數(shù)據(jù) ”�、“讀取屬性 ”�����、“讀取擴(kuò)展屬性 ”����、“創(chuàng)建文件/寫入數(shù)據(jù) ”看到的文章源自活動(dòng)目錄���、“創(chuàng)建文件夾/附加數(shù)據(jù) ”、“寫入屬性 ”�、“寫入擴(kuò)展屬性”的權(quán)限。 拒絕該帳號(hào)“刪除子文件夾及文件”和“刪除”權(quán)限���。選中“用在此顯示的可以應(yīng)用到子對(duì)象的項(xiàng)目代替所有子對(duì)象的權(quán)限項(xiàng)目”�����,點(diǎn)擊“確定”��。
圖10
關(guān)于局域網(wǎng)中公共電腦的安全部署因?yàn)榫唧w的安全要求�、應(yīng)用需求等不同會(huì)有所不同���,上面的兩個(gè)策略是最常見的���。在實(shí)際應(yīng)用中,關(guān)鍵是制定安全策略�����,然后利用技術(shù)去實(shí)現(xiàn)���。
總結(jié):防掃描�����、防溢出�、防竊密這是局域網(wǎng)安全安防的重點(diǎn)�,但不是全部。另外�����,安全防護(hù)不僅僅是技術(shù)���,還是意識(shí)��。只有大家提高自身的安全意識(shí)����,然后利用相應(yīng)的技術(shù)才能最大程度地保證網(wǎng)絡(luò)安全����。
本文來源:武林網(wǎng)[http://www.49028c.com]
