網(wǎng)絡(luò)入侵兩種思路

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

文章來(lái)源：泛普軟件 問(wèn)安非常有趣，因?yàn)榫幷邿o(wú)意中發(fā)現(xiàn)了國(guó)內(nèi)外論壇上針?shù)h相對(duì)的兩篇文章，一篇是討論網(wǎng)絡(luò)入侵，另一篇是利用路由器設(shè)置防范入侵，對(duì)企業(yè)而言，兩種情況都經(jīng)常碰到，那究竟是道高一尺還是魔高一丈呢？   國(guó)內(nèi)熱門(mén)   網(wǎng)絡(luò)入侵思路解析   第一步：進(jìn)入系統(tǒng)   對(duì)企業(yè)用戶(hù)來(lái)說(shuō)，一般一個(gè)入侵者想要入侵一臺(tái)服務(wù)器，首先要掃描這臺(tái)服務(wù)器，檢查開(kāi)放的端口，獲得服務(wù)軟件及版本。同時(shí)檢查服務(wù)軟件與附屬程序（如CGI）是否存在漏洞，并檢查服務(wù)軟件是否存在脆弱賬號(hào)或密碼。   需要注意的是，有些企業(yè)的服務(wù)軟件，容易泄露系統(tǒng)敏感信息。   第二步：提升權(quán)限   入侵者會(huì)檢查企業(yè)服務(wù)器上的SUID和GUID程序以及本地服務(wù)是否存在漏洞，是否存在脆弱賬號(hào)或密碼，以便利用其提升權(quán)限。另外，一些入侵者還經(jīng)常檢查重要文件的權(quán)限是否設(shè)置錯(cuò)誤，包括企業(yè)服務(wù)器的配置目錄中是否存在敏感信息可以利用。   需要提醒企業(yè)用戶(hù)注意的是，一些用戶(hù)的用戶(hù)目錄中容易存在敏感信息，且臨時(shí)文件目錄也經(jīng)常存在漏洞。   第三步：放置后門(mén)   入侵者一般入侵一臺(tái)機(jī)器后留下后門(mén)，充分利用這臺(tái)機(jī)器來(lái)做一些他想做的事情，如：利用該機(jī)掃描內(nèi)網(wǎng)，進(jìn)一步擴(kuò)大戰(zhàn)果，利用該機(jī)作跳板入侵企業(yè)別的網(wǎng)段的機(jī)器，嫁禍于這臺(tái)機(jī)器的管理員等等。除了常見(jiàn)的nc.exe、srv.exe，現(xiàn)在的很多入侵者喜歡自己寫(xiě)后門(mén)程序，因?yàn)橛脛e人的程序總是相對(duì)容易被發(fā)現(xiàn)。   第四步：清理日志   入侵者會(huì)手工修改日志，一般不會(huì)全部刪除。因?yàn)橛脩?hù)通常都需要借助第三方軟件來(lái)分析日志，其中記錄了入侵者掃描信息的部分會(huì)被刪除，而合法用戶(hù)的正確請(qǐng)求則會(huì)被保留。   國(guó)外熱門(mén)   利用路由器防止入侵   第一，做好路由器訪(fǎng)問(wèn)控制   企業(yè)需要嚴(yán)格控制可以訪(fǎng)問(wèn)路由器的網(wǎng)絡(luò)管理員，任何一次維護(hù)都需要記錄備案。同時(shí)，建議企業(yè)用戶(hù)不要遠(yuǎn)程訪(fǎng)問(wèn)路由器。即使需要遠(yuǎn)程訪(fǎng)問(wèn)路由器，也要使用訪(fǎng)問(wèn)控制列表和高強(qiáng)度的密碼控制。另外，對(duì)于CON端口的訪(fǎng)問(wèn)，也需要進(jìn)行物理線(xiàn)路、連接屬性、高級(jí)密碼等手法進(jìn)行控制。如果企業(yè)用戶(hù)不需要使用AUX端口，則禁止這個(gè)端口，并采用權(quán)限分級(jí)策略。另外，如果企業(yè)用戶(hù)不需要遠(yuǎn)程訪(fǎng)問(wèn)，則禁止對(duì)VTY的訪(fǎng)問(wèn)。   第二，設(shè)置路由器網(wǎng)絡(luò)服務(wù)安全配置   用戶(hù)可以禁止CDP(對(duì)Cisco路由器而言)，同時(shí)禁止其他的TCP、UDP Small、Finger服務(wù)。如果企業(yè)啟用了HTTP服務(wù)則需要對(duì)其進(jìn)行安全配置：用戶(hù)名，密碼，采用訪(fǎng)問(wèn)列表控制。而對(duì)企業(yè)網(wǎng)安全有影響建議禁止的內(nèi)容還包括：BOOTp服務(wù)，禁止從網(wǎng)絡(luò)啟動(dòng)和自動(dòng)從網(wǎng)絡(luò)下載初始配置文件，禁止IP Source Routing，IP Directed Broadcast，IP Classless。禁止ICMP協(xié)議的IP Unreachables，Redirects，Mask Replies。而對(duì)于SNMP協(xié)議服務(wù)，如果禁止，則必須刪除一些SNMP服務(wù)的默認(rèn)配置，或者利用訪(fǎng)問(wèn)列表來(lái)過(guò)濾。   第三，針對(duì)路由協(xié)議安全配置   企業(yè)用戶(hù)需要首先禁止默認(rèn)啟用的ARP-Proxy，因?yàn)樗菀滓鹇酚杀淼幕靵y。接下來(lái)用戶(hù)可以啟用OSPF路由協(xié)議的MD5認(rèn)證，并設(shè)置一定強(qiáng)度密鑰。對(duì)于RIP協(xié)議的認(rèn)證，建議企業(yè)網(wǎng)管啟用RIP-V2的MD5認(rèn)證。也有專(zhuān)家建議用戶(hù)啟用passive-interface命令，以便禁用一些不需要接收和轉(zhuǎn)發(fā)路由信息的端口。此外，用戶(hù)可以啟用訪(fǎng)問(wèn)列表過(guò)濾一些垃圾和惡意路由信息，控制網(wǎng)絡(luò)的垃圾信息流。對(duì)于支持CEF的路由器，可以啟用IP Unicast Reverse-Path Verification，它能夠檢查源IP地址的準(zhǔn)確性，從而可以防止一定的IP Spooling。(ccw)