基于宽带接入的局域网安全管理问题分析
发现发起攻击的用户后,应该立即停止其访问权限,冻结其帐号。
第四层:
该层攻击涉及到远程用户如何获取访问内部文件的权利。其起因大多是服务器的配置不当,cgi程序的漏洞和溢出问题。
第五层和第六层:
只有利用那些不该出现却出现的漏洞,才可能出现这种致命的攻击。
出现第三,四,五层的攻击表明网络已经处于不安全状态之中,安全管理员应该立即采取有效措施, 保护重要数据, 进行日志记录和汇报,同时争取能够定位攻击发起地点:
· 将遭受攻击的网段分离出来,将此攻击范围限制在小的范围内
· 记录当前时间,备份系统日志,检查记录损失范围和程度
· 分析是否需要中断网络连接
· 让攻击行为继续进行
· 如果可能,对系统做0级备份
· 将入侵的详细情况逐级向主管领导和有关主管部门汇报;如果系统受到严重破坏,影响网络业务功能,立即调用备件恢复系统
· 对此攻击行为进行大量的日志工作
· (在另一个网段上)竭尽全力地判断寻找攻击源
总之,不到万不得已的情况下, 不可使系统退出服务. 寻找入侵者的最重要的工作就是做日志记录和定位入侵者,而找出入侵者并通过法律手段迫使其停止攻击是最有效的防卫手段。
4 关于口令安全性
通过口令进行身份认证是目前实现计算机安全的主要手段之一,一个用户的口令被非法用户获悉,则该非法用户即获得了该用户的全部权限,这样,尤其是高权限用户的口令泄露以后,主机和网络也就随即失去了安全性。黑客攻击目标时也常常把破译普通用户的口令作为攻击的开始。然后就采用字典穷举法进行攻击。它的原理是这样的:网络上的用户常采用一个英语单词或自己的姓名、生日作为口令。通过一些程序,自动地从电脑字典中取出一个单词,作为用户的口令输入给远端的主机,申请进入系统。若口令错误,就按序取出下一个单词,进行下一个尝试。并一直循环下去,直到找到正确的口令,或字典的单词试完为止。由于这个破译过程由计算机程序来自动完成,几个小时就可以把字典的所有单词都试一遍。这样的测试容易在主机日志上留下明显攻击特征,因此,更多的时候攻击者会利用其它手段去获得主机系统上的/etc/passwd文件甚至/etc/shadow文件,然后在本地对其进行字典攻击或暴力破解。攻击者并不需要所有人的口令,他们得到几个用户口令就能获取系统的控制权,所以即使普通用户取口令过于简单可能会对系统安全造成很大的威胁。系统管理员以及其它所有用户对口令选取的应采取负责的态度,消除侥幸和偷懒思想。
保持口令安全的一些要点如下:
· 口令长度不要小于6位,并应同时包含字母和数字,以及标点符号和控制字符
· 口令中不要使用常用单词(避免字典攻击),英文简称,个人信息(如生日,名字,反向拼写的登录名,房间中可见的东西),年份,以及机器中的命令等
· 不要将口令写下来。
· 不要将口令存于电脑文件中。
· 不要让别人知道。
· 不要在不同系统上,特别是不同级别的用户上使用同一口令。
· 为防止眼明手快的人窃取口令,在输入口令时应确认无人在身边。
· 定期改变口令,至少6个月要改变一次。
· 系统安装对口令文件进行隐藏的程序或设置。(e.g. Shadow Suite for linux)
· 系统配置对用户口令设置情况进行检测的程序,并强制用户定期改变口令。任何一个用户口令的脆弱,都会影响整个系统的安全性。(e.g. passwd+, Crack,etc)
最后这点是十分重要的,永远不要对自己的口令过于自信,也许就在无意当中泄露了口令。定期地改变口令,会使自己遭受黑客攻击的风险降到了一定限度之内。一旦发现自己的口令不能进入计算机系统,应立即向系统管理员报告,由管理员来检查原因。
系统管理员也应定期运行这些破译口令的工具,来尝试破译shadow文件,若有用户的口令密码被破译出,说明这些用户的密码取得过于简单或有规律可循,应尽快地通知他们,及时更正密码,以防止黑客的入侵。
5 网络安全管理员的素质要求
· 深入地了解过至少两个操作系统,其中之一无可置疑地是unix。熟练配置主机的安全选项和设置,及时了解已见报道的安全漏洞,并能够及时下载相应补丁安装。在特殊紧急情况下,可以独立开发适合的安全工具或补丁,提高系统的安全性。
· 对tcp/ip协议族有透彻的了解,这是任何一个合格的安全管理员的必备的素质。并且这种知