菜鳥安全加倍:精通防火墻問與答
[ 2007-03-25 03:55:36 | 作者: sun ]
凡是網絡存在之處,都不可避免地會受到諸多不安全因素的威脅,在系統中安裝防火墻無疑是最明智、有效的選擇。我們既然寄希望于防火墻成為個人計算機與網絡之間的一道安全屏障,就一定要對防火墻的方方面面有通透的了解,才能事半功倍,達到預期效果。
問:Windows 2003 自帶的防火墻應該如何打開和關閉?
答:可以直接在網卡屬性里面設置,也可以在服務里面自己開啟服務。
*******************************************************
問:除了Norton 8.1版能裝在Windows 2003,還有哪個殺毒軟件能支持Windows 2003的?
答:McAfee VirusScan Enterprise、Kaspersky Anti-Virus for NT Server 都可以,但惟一通過Windows 2003認證的目前是趨勢SPNT 5.57中文版。
******************************************************
問:Windows 2000 Server裝了ZoneAlarm Pro防火墻,還裝了Terminal Service終端服務用來遠程控制。可怎么配置都無法從遠程連接終端服務,大概是ZoneAlarm Pro禁止了鏈接請求。應該怎樣配置才能讓ZoneAlarm Pro允許終端服務連接呢?
答:開放3389端口。
***************************************************
問:我在使用 Norton Internet Security 時遇到了以下問題:一是由于硬性屏蔽了來路信息,導致 Discuz 提交安全檢查無法通過,在發帖等情況下提示為未定義操作;二是由于誤判斷,將發帖時的 Discuz 代碼輔助提示判斷為廣告信息而不被執行。有何解決方法?
答:修改 Norton 的默認配置可以避免以上問題,方法如下(以 Norton Internet Security 2003 中文版為例)。
1. 調出“選項”窗口,選擇“Norton Internet Security→Web內容→瀏覽站點的信息”,選擇“允許”。
2. 選擇“禁止廣告→配置”,取消“啟用禁止廣告”復選框。
經過上述修改后,在安裝有 Norton Internet Security 的機器上仍然可以順暢地訪問 Discuz! 及其他網站。
************************************************************
問:單位有人使用BT大量下載東西。以前我在防火墻上封掉對外的6969端口好像很有效果,但是最近好像沒啥效果了。請問有什么好的建議嗎?
答:那就使用防火墻把6999-9999端口都封了,不過,他們還會開別的,用監視看他們用哪個就封哪個。
***********************************************************
問:朋友的一臺筆記本電腦,主要就是寫寫文章,上網查點東西,不玩游戲,其他東西做的也不多。3月份重裝系統安裝了ZoneAlarm防火墻后,就開始出現:如果ADSL網絡沒有流量(就是不訪問點什么,停在那里不動)大概過10分鐘就會斷線,然后機器重新撥號連接!我檢查半天,就是找不到有什么問題,請問可能會是什么原因?
答:通常來說,這類防火墻都有當網絡閑置時自動斷線的功能,而且,一般來說,這個功能默認情況下是啟用的,解決這位朋友遇到的問題辦法其實很簡單,只需去掉這個功能即可。
************************************************************
問:裝Kerio Personal Firewall 2.1.5防火墻的這臺機器是直接撥號上網ADSL,兩臺機器是Hub相連的,通過Windows XP的那個共享來一起上網。現在裝了防火墻之后,另一臺就不能上網了,不論做什么都不行。請問大家,要創建些怎樣的規則才行呢?
答:選擇“管理→防火墻→高級→Microsoft網絡”,選中“允許其他用戶訪問我的共享文件夾和打印機”即可。
********************************************************
問:我現在QQ每發送一個消息,Norton都會進行病毒掃描。在內存駐留Savscan.exe這個程序,在后臺強行關閉不了這個文件,一關閉就會出現提示,但是仍然繼續掃描,好像是掃描msg.db的一個文件。掃描過程使我用QQ速度很慢,而且CPU占用率很高,請問我如何關閉Norton對QQ的病毒掃描?
答:在Norton的程序選項中,選擇“系統→自動防護→排除”,在右側列表中將QQ程序添加至要“排除的項目”。再選擇“其它→威脅類別→排除”,同樣添加QQ程序至右側列表中。
問:Windows 2003 自帶的防火墻應該如何打開和關閉?
答:可以直接在網卡屬性里面設置,也可以在服務里面自己開啟服務。
*******************************************************
問:除了Norton 8.1版能裝在Windows 2003,還有哪個殺毒軟件能支持Windows 2003的?
答:McAfee VirusScan Enterprise、Kaspersky Anti-Virus for NT Server 都可以,但惟一通過Windows 2003認證的目前是趨勢SPNT 5.57中文版。
******************************************************
問:Windows 2000 Server裝了ZoneAlarm Pro防火墻,還裝了Terminal Service終端服務用來遠程控制。可怎么配置都無法從遠程連接終端服務,大概是ZoneAlarm Pro禁止了鏈接請求。應該怎樣配置才能讓ZoneAlarm Pro允許終端服務連接呢?
答:開放3389端口。
***************************************************
問:我在使用 Norton Internet Security 時遇到了以下問題:一是由于硬性屏蔽了來路信息,導致 Discuz 提交安全檢查無法通過,在發帖等情況下提示為未定義操作;二是由于誤判斷,將發帖時的 Discuz 代碼輔助提示判斷為廣告信息而不被執行。有何解決方法?
答:修改 Norton 的默認配置可以避免以上問題,方法如下(以 Norton Internet Security 2003 中文版為例)。
1. 調出“選項”窗口,選擇“Norton Internet Security→Web內容→瀏覽站點的信息”,選擇“允許”。
2. 選擇“禁止廣告→配置”,取消“啟用禁止廣告”復選框。
經過上述修改后,在安裝有 Norton Internet Security 的機器上仍然可以順暢地訪問 Discuz! 及其他網站。
************************************************************
問:單位有人使用BT大量下載東西。以前我在防火墻上封掉對外的6969端口好像很有效果,但是最近好像沒啥效果了。請問有什么好的建議嗎?
答:那就使用防火墻把6999-9999端口都封了,不過,他們還會開別的,用監視看他們用哪個就封哪個。
***********************************************************
問:朋友的一臺筆記本電腦,主要就是寫寫文章,上網查點東西,不玩游戲,其他東西做的也不多。3月份重裝系統安裝了ZoneAlarm防火墻后,就開始出現:如果ADSL網絡沒有流量(就是不訪問點什么,停在那里不動)大概過10分鐘就會斷線,然后機器重新撥號連接!我檢查半天,就是找不到有什么問題,請問可能會是什么原因?
答:通常來說,這類防火墻都有當網絡閑置時自動斷線的功能,而且,一般來說,這個功能默認情況下是啟用的,解決這位朋友遇到的問題辦法其實很簡單,只需去掉這個功能即可。
************************************************************
問:裝Kerio Personal Firewall 2.1.5防火墻的這臺機器是直接撥號上網ADSL,兩臺機器是Hub相連的,通過Windows XP的那個共享來一起上網。現在裝了防火墻之后,另一臺就不能上網了,不論做什么都不行。請問大家,要創建些怎樣的規則才行呢?
答:選擇“管理→防火墻→高級→Microsoft網絡”,選中“允許其他用戶訪問我的共享文件夾和打印機”即可。
********************************************************
問:我現在QQ每發送一個消息,Norton都會進行病毒掃描。在內存駐留Savscan.exe這個程序,在后臺強行關閉不了這個文件,一關閉就會出現提示,但是仍然繼續掃描,好像是掃描msg.db的一個文件。掃描過程使我用QQ速度很慢,而且CPU占用率很高,請問我如何關閉Norton對QQ的病毒掃描?
答:在Norton的程序選項中,選擇“系統→自動防護→排除”,在右側列表中將QQ程序添加至要“排除的項目”。再選擇“其它→威脅類別→排除”,同樣添加QQ程序至右側列表中。
如何成為一個網絡安全專家
[ 2007-03-25 03:55:24 | 作者: sun ]
cceye譯
譯自 RFP Cceye注腳:既 .rain.forest.puppy. 也是我在 BUG trag 見到的最有影響力的發言
者. )原文在: http://cceye.iscool.net
[ 我寫這個并不是因為我已經厭倦了一遍又一遍的回答一樣的問題,而是考慮到這確實是一個有意
義的問題,其實很多人(90%)確實需要問這個問題而從來沒有去問.]
[ 這是一個可能經常更新的文檔 ]
我被問了很多次有關于很多領域的問題.
比如:什么編程語言你最推薦? 應該讀什么書作為開始?
總而言之,如何在安全領域內成為一個有影響的人.
既然我的答案和一般的答案有所不同,我打算把我的看法說出來.
-----------------------------------------------------------------------
從那里開始?
-----------------------------------------------------------------------
我的觀點可能和一般的看法十分的不一樣。如果你是剛剛起步,我建議你---*不要*以
Technotronic, Bugtraq,
Packetstorm, Rootshell (不知道這個是否還在運行?), 等等地方為開始。
沒錯!*不要*從那里開始。(盡管他們是很好的站點,而且這里沒有說你不要去訪問他們的站
點)。
原因十分簡單。如果你以為通曉“安全”就是知道最新的漏洞,你將會發現你自己一無所獲。
我同意,知道什么是好的,什么有漏洞是十分有必要的。但是這些并不能夠給你的高手之路打下堅
實的基礎知識。很好,你知道RDS 是最新的漏洞,你知道如何下載并使用利用這個漏洞的SCRIPT
工具。你知道如何修補這個漏洞(也許。很多人只知如何攻擊,不知道如何防護)3個月后,補丁
漫天飛舞。這個漏洞已經不存再了------現在你的那些知識還有什么用?而且還不算你可能根本
沒有理解漏洞的分析。
你的知識是什么? 分析?還是攻擊手段?
這是我想要再一次強調的。人們可能沒有注意,已經有很多人認為只要他們知道最新的漏洞他們就
是安全專家。NO! NO ! NO!所有他們知道的只不過是“漏洞”,而*不是* “安全”。
例如:你知道有關于PHF 的漏洞,SHOWCODE。ASP 的漏洞。 COUNT。CGI 和TEST-CGI 的漏洞。
但是你知道為什么他們會成為CGI 的漏洞嗎?你知道如何編一個安全的通用網關嗎?你會根據一
個CGI 的工作狀態來判斷他可能有哪些漏洞或那方面的漏洞嗎?或者,你是不是只知道這些CGI
有漏洞呢?
所以我建議你*不要*從漏洞開始。就當他們不存在(你知道我的意思)。你真正需要做的是從一個
普通用戶開始。
-----------------------------------------------------------------------
做一個用戶。
-----------------------------------------------------------------------
我的意思是你至少要有一個基本的常規的知識。例如:如果你要從事 WEB HACKING 你是否可能連
瀏覽器都不會使用?你會打開NETSCAPE , 打開IE? 很好!你會輸入姓名。你知道 。HTML 是
網頁。 很好。。。你要一直這樣下去,變成一個熟練的用戶。你會區別ASP 和CGI 是動態的。
什么是PHP ? 什么是轉向?COOKIE? SSL?你要知道任何一個普通用戶可能接觸到的關于WEB
的事物。
不是進攻漏洞,僅僅是使用。沒有基礎的(也許是枯燥的)的這些東西你不可能成為高手++。
這里沒有任何捷徑。
好, 現在你知道這里的一切了, 你用過了。在你HACK UNIX 之前你至少要知道如何LOGIN 。
LOGOUT 。 使用 SHELL COMMAND 。 使用一般的常用的程序。 ( MAIL , FTP ,WEB 。
LYNX 。 等等)。 你要想成為一個管理員,你要知道基本的操作。
-----------------------------------------------------------------------
成為一個管理員。
-----------------------------------------------------------------------
現在你已經超過了一個普通用戶的領域了。進入了更復雜的領域。你要掌握更多的東西。
例如:WEB 服務器的類型。和其他的有什么區別?如何去配置他。想這樣的知識你知道的越多意
味著你更了解他是如何工作的。他是干什么的。你理解HTTP 協議嗎?你知道HTTP 1。0 和
HTTP1。1 之間的區別嗎?WEBDAV 是什么?知道HTTP1。1 虛擬主機有助于你建立你的WEB 服務
器。。。。 深入, 深入。
操作系統?如果你從來沒有配置過NT 你怎么可能去進攻一個NT 服務器?你從來沒有用過
RDISK, 用戶管理器, 卻期望CRACK 一個ADMIN 的密碼,得到用戶權限?你
想使用RDS 而一切你在NT 下的操作你一直是使用圖形界面?再一次,你需要從管理員上升到一
個”超級管理員“。這里不是指你有一個超級用戶的權限。而是你的知識要貫穿你的所有領域。很
好, 你會在圖形界面下添加用戶,命令行方式怎么樣?而且,那些在 SYSTERM32 里的。EXE 文
件都是干什么的?你知道為什么USERNETCTL 必須要有超級用戶權限?你是不是從來沒有接觸過
USERNETCTL?深入, 深入。。。。
成為一個”百曉生“這是關鍵。不要以為知道如何作到就行了(騙老板可以,騙進攻
者??。。。)盡可能的知道越多越好。成為一個技術上的首腦。但是。。。。。。
-----------------------------------------------------------------------
你不可能知道所有的事情。
-----------------------------------------------------------------------
哎!這是生命中不得不面對的悲慘事實。不要以為你能。。。。如果你認為你可以。你在自欺欺
人。你需要做的是選擇一個領域。一個你最感興趣的領域。進一步的學習更多的知識。
成為一個用戶, 成為一個管理員,成為一個首腦。成為在某領域的最優秀的家伙(小伙,姑
娘) 不要僅僅學習如何使用WEB 瀏覽器,怎樣寫CGI 就行了。知道HTTP ,知道WEB 服務器是干
什么的,怎么干的。知道在那里找答案。知道當服務器不正常工作時應該怎樣讓他工作。
當你在你的領域內有一定經驗時,你自然就知道怎樣進攻了。
這其實是很簡單的道理。如果你知道所有的關于這里的知識,那么。你也知道安全隱患在那里。所
有的漏洞,新的,舊的,將來的,你自己就能夠發現未知的漏洞(你這時已經是一個網絡高手
了),你,找漏洞,是的,可以,但你必須了解你要找的一切先。
所以,放下你手中的WHISKER 的拷貝。去學習到底那些CGI 是干什么的。他們怎么使通過HTTP使
WEB 服務器有漏洞的?很快你就會知道到底WHISKER 是干什么的了。
-----------------------------------------------------------------------
編程語言。
-----------------------------------------------------------------------
一些最近我經常被問的問題中最常聽的問題就是我認為什么編程語言應該學:
我想這要根據一些具體情況。----大致上是你準備花費多少時間在上面,你想讓這個語言有多么
有用。一個程序要多長時間完成。和這個程序能完成多么復雜的事情。
以下有幾個選項(排列沒有什么意義)。
Visual Basic.
- 非常容易學習的語言。很多這方面的書,公開的免費原代碼也很多。你應該可以很快的使用他。
但是這個語言有一個限度。他并不是象 比如 c++ 一樣強大。你需要在WINDOWS 下運行他。需要
一個VB 的編程環境(不論盜版還是正版的 ,反正他不是免費的)。想用VB 來編攻擊代碼,或
補丁是十分困難的。
C++
- 也許是最強大的語言.在所有的操作系統里都有.在網上有上噸的原代碼和書是免費的。
,包括編程環境。比VB 要復雜一點。也許要掌握他花費的時間要比VB 要多一點。簡單的東西容易
學,干復雜的活的東西理解起來也要復雜一點。你自己衡量。
Assembly
- 最復雜的,也是最難學習的語言,如果你把他當作第一個你要學習的語言,那么將會難的你頭要
爆裂。但是,你先學了匯編,其余的還不是小菜
有一些書,這方面的教材有減少的趨勢。但是匯編知識對某些方面來說是致關緊要的。比如:緩沖
逸出。攻擊。很多這類的免費軟件。但從這個語言開始是十分*困難*。
Perl
- 一個很不錯的語言. 他象VB 一樣容易.學習他相應的容易一些.他也象VB一樣有限制,但是他在
多數操作平臺都能運行.(UNIX . 和WIN ).所以這是他的優勢.很多這方面的書. (O‘Reilly
‘Camel‘ books), 而且這個語言是完全免費的.你可以使用他來作一些普通的攻擊工具. 他主要
是作用于一些文本的技巧攻擊.不適合做二進制程序.
我想這是所有你想知道的. 有把握的說 C/C++是最佳選擇.
------------------------------------------------------------------------
推薦的書
-----------------------------------------------------------------------
另外一個問題是我推薦去讀什么書:
我個人手邊總是有以下的幾本書做參考:
Applied Cryptography (Bruce Scheiner)
Linux Application Development (Mike Johnson and Erik Troan)
Windows Assembly Language and Systems Programming (Barry Kauler)
Perl Cookbook (Tom Christiansen and Nathan Torkington) (O‘Reilly)
Linux Programmer‘s Reference (Richard Petersen) (Osborne)
All the O‘Reilly ‘Pocket Reference‘ books, which include vi, emacs,
python, perl, pl/sql, NT, javascript, sendmail, tcl/tk, perl/tk
我總是在這些書的一些基本的規則里思考.
我的心得,大部分 O‘Reilly 書耐讀.找一個你感興趣的領域專心去鉆研.
譯自 RFP Cceye注腳:既 .rain.forest.puppy. 也是我在 BUG trag 見到的最有影響力的發言
者. )原文在: http://cceye.iscool.net
[ 我寫這個并不是因為我已經厭倦了一遍又一遍的回答一樣的問題,而是考慮到這確實是一個有意
義的問題,其實很多人(90%)確實需要問這個問題而從來沒有去問.]
[ 這是一個可能經常更新的文檔 ]
我被問了很多次有關于很多領域的問題.
比如:什么編程語言你最推薦? 應該讀什么書作為開始?
總而言之,如何在安全領域內成為一個有影響的人.
既然我的答案和一般的答案有所不同,我打算把我的看法說出來.
-----------------------------------------------------------------------
從那里開始?
-----------------------------------------------------------------------
我的觀點可能和一般的看法十分的不一樣。如果你是剛剛起步,我建議你---*不要*以
Technotronic, Bugtraq,
Packetstorm, Rootshell (不知道這個是否還在運行?), 等等地方為開始。
沒錯!*不要*從那里開始。(盡管他們是很好的站點,而且這里沒有說你不要去訪問他們的站
點)。
原因十分簡單。如果你以為通曉“安全”就是知道最新的漏洞,你將會發現你自己一無所獲。
我同意,知道什么是好的,什么有漏洞是十分有必要的。但是這些并不能夠給你的高手之路打下堅
實的基礎知識。很好,你知道RDS 是最新的漏洞,你知道如何下載并使用利用這個漏洞的SCRIPT
工具。你知道如何修補這個漏洞(也許。很多人只知如何攻擊,不知道如何防護)3個月后,補丁
漫天飛舞。這個漏洞已經不存再了------現在你的那些知識還有什么用?而且還不算你可能根本
沒有理解漏洞的分析。
你的知識是什么? 分析?還是攻擊手段?
這是我想要再一次強調的。人們可能沒有注意,已經有很多人認為只要他們知道最新的漏洞他們就
是安全專家。NO! NO ! NO!所有他們知道的只不過是“漏洞”,而*不是* “安全”。
例如:你知道有關于PHF 的漏洞,SHOWCODE。ASP 的漏洞。 COUNT。CGI 和TEST-CGI 的漏洞。
但是你知道為什么他們會成為CGI 的漏洞嗎?你知道如何編一個安全的通用網關嗎?你會根據一
個CGI 的工作狀態來判斷他可能有哪些漏洞或那方面的漏洞嗎?或者,你是不是只知道這些CGI
有漏洞呢?
所以我建議你*不要*從漏洞開始。就當他們不存在(你知道我的意思)。你真正需要做的是從一個
普通用戶開始。
-----------------------------------------------------------------------
做一個用戶。
-----------------------------------------------------------------------
我的意思是你至少要有一個基本的常規的知識。例如:如果你要從事 WEB HACKING 你是否可能連
瀏覽器都不會使用?你會打開NETSCAPE , 打開IE? 很好!你會輸入姓名。你知道 。HTML 是
網頁。 很好。。。你要一直這樣下去,變成一個熟練的用戶。你會區別ASP 和CGI 是動態的。
什么是PHP ? 什么是轉向?COOKIE? SSL?你要知道任何一個普通用戶可能接觸到的關于WEB
的事物。
不是進攻漏洞,僅僅是使用。沒有基礎的(也許是枯燥的)的這些東西你不可能成為高手++。
這里沒有任何捷徑。
好, 現在你知道這里的一切了, 你用過了。在你HACK UNIX 之前你至少要知道如何LOGIN 。
LOGOUT 。 使用 SHELL COMMAND 。 使用一般的常用的程序。 ( MAIL , FTP ,WEB 。
LYNX 。 等等)。 你要想成為一個管理員,你要知道基本的操作。
-----------------------------------------------------------------------
成為一個管理員。
-----------------------------------------------------------------------
現在你已經超過了一個普通用戶的領域了。進入了更復雜的領域。你要掌握更多的東西。
例如:WEB 服務器的類型。和其他的有什么區別?如何去配置他。想這樣的知識你知道的越多意
味著你更了解他是如何工作的。他是干什么的。你理解HTTP 協議嗎?你知道HTTP 1。0 和
HTTP1。1 之間的區別嗎?WEBDAV 是什么?知道HTTP1。1 虛擬主機有助于你建立你的WEB 服務
器。。。。 深入, 深入。
操作系統?如果你從來沒有配置過NT 你怎么可能去進攻一個NT 服務器?你從來沒有用過
RDISK, 用戶管理器, 卻期望CRACK 一個ADMIN 的密碼,得到用戶權限?你
想使用RDS 而一切你在NT 下的操作你一直是使用圖形界面?再一次,你需要從管理員上升到一
個”超級管理員“。這里不是指你有一個超級用戶的權限。而是你的知識要貫穿你的所有領域。很
好, 你會在圖形界面下添加用戶,命令行方式怎么樣?而且,那些在 SYSTERM32 里的。EXE 文
件都是干什么的?你知道為什么USERNETCTL 必須要有超級用戶權限?你是不是從來沒有接觸過
USERNETCTL?深入, 深入。。。。
成為一個”百曉生“這是關鍵。不要以為知道如何作到就行了(騙老板可以,騙進攻
者??。。。)盡可能的知道越多越好。成為一個技術上的首腦。但是。。。。。。
-----------------------------------------------------------------------
你不可能知道所有的事情。
-----------------------------------------------------------------------
哎!這是生命中不得不面對的悲慘事實。不要以為你能。。。。如果你認為你可以。你在自欺欺
人。你需要做的是選擇一個領域。一個你最感興趣的領域。進一步的學習更多的知識。
成為一個用戶, 成為一個管理員,成為一個首腦。成為在某領域的最優秀的家伙(小伙,姑
娘) 不要僅僅學習如何使用WEB 瀏覽器,怎樣寫CGI 就行了。知道HTTP ,知道WEB 服務器是干
什么的,怎么干的。知道在那里找答案。知道當服務器不正常工作時應該怎樣讓他工作。
當你在你的領域內有一定經驗時,你自然就知道怎樣進攻了。
這其實是很簡單的道理。如果你知道所有的關于這里的知識,那么。你也知道安全隱患在那里。所
有的漏洞,新的,舊的,將來的,你自己就能夠發現未知的漏洞(你這時已經是一個網絡高手
了),你,找漏洞,是的,可以,但你必須了解你要找的一切先。
所以,放下你手中的WHISKER 的拷貝。去學習到底那些CGI 是干什么的。他們怎么使通過HTTP使
WEB 服務器有漏洞的?很快你就會知道到底WHISKER 是干什么的了。
-----------------------------------------------------------------------
編程語言。
-----------------------------------------------------------------------
一些最近我經常被問的問題中最常聽的問題就是我認為什么編程語言應該學:
我想這要根據一些具體情況。----大致上是你準備花費多少時間在上面,你想讓這個語言有多么
有用。一個程序要多長時間完成。和這個程序能完成多么復雜的事情。
以下有幾個選項(排列沒有什么意義)。
Visual Basic.
- 非常容易學習的語言。很多這方面的書,公開的免費原代碼也很多。你應該可以很快的使用他。
但是這個語言有一個限度。他并不是象 比如 c++ 一樣強大。你需要在WINDOWS 下運行他。需要
一個VB 的編程環境(不論盜版還是正版的 ,反正他不是免費的)。想用VB 來編攻擊代碼,或
補丁是十分困難的。
C++
- 也許是最強大的語言.在所有的操作系統里都有.在網上有上噸的原代碼和書是免費的。
,包括編程環境。比VB 要復雜一點。也許要掌握他花費的時間要比VB 要多一點。簡單的東西容易
學,干復雜的活的東西理解起來也要復雜一點。你自己衡量。
Assembly
- 最復雜的,也是最難學習的語言,如果你把他當作第一個你要學習的語言,那么將會難的你頭要
爆裂。但是,你先學了匯編,其余的還不是小菜
有一些書,這方面的教材有減少的趨勢。但是匯編知識對某些方面來說是致關緊要的。比如:緩沖
逸出。攻擊。很多這類的免費軟件。但從這個語言開始是十分*困難*。
Perl
- 一個很不錯的語言. 他象VB 一樣容易.學習他相應的容易一些.他也象VB一樣有限制,但是他在
多數操作平臺都能運行.(UNIX . 和WIN ).所以這是他的優勢.很多這方面的書. (O‘Reilly
‘Camel‘ books), 而且這個語言是完全免費的.你可以使用他來作一些普通的攻擊工具. 他主要
是作用于一些文本的技巧攻擊.不適合做二進制程序.
我想這是所有你想知道的. 有把握的說 C/C++是最佳選擇.
------------------------------------------------------------------------
推薦的書
-----------------------------------------------------------------------
另外一個問題是我推薦去讀什么書:
我個人手邊總是有以下的幾本書做參考:
Applied Cryptography (Bruce Scheiner)
Linux Application Development (Mike Johnson and Erik Troan)
Windows Assembly Language and Systems Programming (Barry Kauler)
Perl Cookbook (Tom Christiansen and Nathan Torkington) (O‘Reilly)
Linux Programmer‘s Reference (Richard Petersen) (Osborne)
All the O‘Reilly ‘Pocket Reference‘ books, which include vi, emacs,
python, perl, pl/sql, NT, javascript, sendmail, tcl/tk, perl/tk
我總是在這些書的一些基本的規則里思考.
我的心得,大部分 O‘Reilly 書耐讀.找一個你感興趣的領域專心去鉆研.
這些代碼都是真實存在的漏洞代碼,我想把他們收集起來,漏洞代碼看多了勢必提高自己的漏洞識別能力.至少當拿到一個待分析的程序時知道那些地方會出問題,從而有目的性的讀.
1雞肋的注入
現在PHP程序能直接注入的情況已經很少了,即使你按默認安裝PHP,MAGIC就是打開的,這樣提交的單引
號就會被轉義成\’,這樣就無法閉合單引號,也就不存在后面的查詢,現在有好多程序都存在這種情況
,舉個例子:
if($_GET[’x’] == "") {
if($_GET[’showimage’] == "") {
$row = sql_array("select * from ".$pixelpost_db_prefix."pixelpost where
datetime〈=’$cdate’ order by datetime DESC limit 0,1");
} else {
$row = sql_array("select * from ".$pixelpost_db_prefix."pixelpost where
(id=’".$_GET[’showimage’]."’)");
}
這樣寫程序的現在很多見的,說他是個漏洞,可利用價值很低;說他不是漏洞,可理論上確實存在注入
,很有點雞肋的感覺,其實只需這樣寫就天下太平了:
$row = sql_array("select * from ".$pixelpost_db_prefix."pixelpost where (intval
(id=’".$_GET[’showimage’]."’))");
2跨站的問題
出現跨站漏洞的代碼多種多樣,今天看到了一種就記錄下來
$message = isset($_POST[’message’]) ? $_POST[’message’] : "";
if (eregi("\r",$message) || eregi("\n",$message)){ die("No
intrusion! ?? :(");}
$message = clean(nl2br($message),’html’);
$name = isset($_POST[’name’]) ? $_POST[’name’] : "";
if (eregi("\r",$name) || eregi("\n",$name)){ die("No intrusion! ??
:(");}
$name = clean($name,’html’);
$url = isset($_POST[’url’]) ? $_POST[’url’] : "";
if (eregi("\r",$url) || eregi("\n",$url)){ die("No intrusion! ??
:(");}
$url = clean($url,’html’);
$parent_name = isset($_POST[’parent_name’]) ? $_POST[’parent_name’]
: "";
if (eregi("\r",$parent_name) || eregi("\n",$parent_name)){ die("No
intrusion! ?? :(");}
$parent_name = clean($parent_name);
$email = isset($_POST[’email’]) ? $_POST[’email’] : "";
if (eregi("\r",$email) || eregi("\n",$email)){ die("No intrusion!
?? :(");}
$email = clean($email,’html’);
if(($parent_id != "") and ($message != "")) $query = "Insert INTO
".$pixelpost_db_prefix."comments(id,parent_id,datetime,ip,message,name,url,email)
VALUES(’NULL’,’$parent_id’,’$datetime’,’$ip’,’$message’,’$name’,’$url’,’$email’)";
$result = mysql_query($query);
clean()函數并不是過濾用的,以上程序只是用了個3元判斷是否有$_POST[$var],如果有就賦值,然
后就提交到數據庫里了。
修補方法也很簡單,可以用PHP自帶的htmlspecialchars函數過濾掉HTML實體或者自己寫過濾函數:
function dangerchr($var){
$var = str_replace("\t","",$msg);
$var = str_replace("〈","〈",$msg);
$var = str_replace("〉","〉",$msg);
$var = str_replace("\r","",$msg);
$var = str_replace("\n","〈br /〉",$msg);
$var = str_replace(" "," ",$msg);
}------來自PW的
3目錄遍歷漏洞:
這類漏洞一般會出現在一些比較簡單的留言日記類程序或者郵件列表程序中。
Simplog是國外的一款基于PHP的日記程序。該程序中就出現了目錄遍歷漏洞
漏洞代碼如下:
〈?
$act = $_GET[’act’];
if ($act == ’’)
{
include("blog.txt");
}
else
{
include("act/$act.txt");
}
?〉
〈?
$blog_id = $_GET[’blogid’];
if ($blog_id == ’’)
{
include("blog.txt");
}
else
{
include("./blog_entries/$blog_id.txt");
}
?〉
從上面的代碼可以清晰的看出問題所在,第一段程序獲得$_GET[]提交的數據并賦值給$act,這里沒有對
act做任何的過濾,而在后面判斷如果變量為空就把blog.txt包含進來,如果不為空就包含act目錄下的
$act.txt文件,這樣當我們不管提交什么文件類型都會被加上.txt后綴,再加上我們可以用../來跳轉到別的
目錄,就可以遍歷整個服務器上的文件了。第2段程序也是同樣的漏洞,只不過變量變成數字型了,我們
一樣可以構造類似于index.php?act=blog&blogid=../config.php這樣的URL來讀取敏感文件內容。
修補方法很簡單,對于數字形的只需用intval()函數來把ID強制整形化就可以了,對于字符形的可以
用類似的代碼來過濾$act = str_replace("../","",$act),當然這樣寫是不全面的,如有需要可以自定
義一個過濾的函數,把危險字符都替換掉。
1雞肋的注入
現在PHP程序能直接注入的情況已經很少了,即使你按默認安裝PHP,MAGIC就是打開的,這樣提交的單引
號就會被轉義成\’,這樣就無法閉合單引號,也就不存在后面的查詢,現在有好多程序都存在這種情況
,舉個例子:
if($_GET[’x’] == "") {
if($_GET[’showimage’] == "") {
$row = sql_array("select * from ".$pixelpost_db_prefix."pixelpost where
datetime〈=’$cdate’ order by datetime DESC limit 0,1");
} else {
$row = sql_array("select * from ".$pixelpost_db_prefix."pixelpost where
(id=’".$_GET[’showimage’]."’)");
}
這樣寫程序的現在很多見的,說他是個漏洞,可利用價值很低;說他不是漏洞,可理論上確實存在注入
,很有點雞肋的感覺,其實只需這樣寫就天下太平了:
$row = sql_array("select * from ".$pixelpost_db_prefix."pixelpost where (intval
(id=’".$_GET[’showimage’]."’))");
2跨站的問題
出現跨站漏洞的代碼多種多樣,今天看到了一種就記錄下來
$message = isset($_POST[’message’]) ? $_POST[’message’] : "";
if (eregi("\r",$message) || eregi("\n",$message)){ die("No
intrusion! ?? :(");}
$message = clean(nl2br($message),’html’);
$name = isset($_POST[’name’]) ? $_POST[’name’] : "";
if (eregi("\r",$name) || eregi("\n",$name)){ die("No intrusion! ??
:(");}
$name = clean($name,’html’);
$url = isset($_POST[’url’]) ? $_POST[’url’] : "";
if (eregi("\r",$url) || eregi("\n",$url)){ die("No intrusion! ??
:(");}
$url = clean($url,’html’);
$parent_name = isset($_POST[’parent_name’]) ? $_POST[’parent_name’]
: "";
if (eregi("\r",$parent_name) || eregi("\n",$parent_name)){ die("No
intrusion! ?? :(");}
$parent_name = clean($parent_name);
$email = isset($_POST[’email’]) ? $_POST[’email’] : "";
if (eregi("\r",$email) || eregi("\n",$email)){ die("No intrusion!
?? :(");}
$email = clean($email,’html’);
if(($parent_id != "") and ($message != "")) $query = "Insert INTO
".$pixelpost_db_prefix."comments(id,parent_id,datetime,ip,message,name,url,email)
VALUES(’NULL’,’$parent_id’,’$datetime’,’$ip’,’$message’,’$name’,’$url’,’$email’)";
$result = mysql_query($query);
clean()函數并不是過濾用的,以上程序只是用了個3元判斷是否有$_POST[$var],如果有就賦值,然
后就提交到數據庫里了。
修補方法也很簡單,可以用PHP自帶的htmlspecialchars函數過濾掉HTML實體或者自己寫過濾函數:
function dangerchr($var){
$var = str_replace("\t","",$msg);
$var = str_replace("〈","〈",$msg);
$var = str_replace("〉","〉",$msg);
$var = str_replace("\r","",$msg);
$var = str_replace("\n","〈br /〉",$msg);
$var = str_replace(" "," ",$msg);
}------來自PW的
3目錄遍歷漏洞:
這類漏洞一般會出現在一些比較簡單的留言日記類程序或者郵件列表程序中。
Simplog是國外的一款基于PHP的日記程序。該程序中就出現了目錄遍歷漏洞
漏洞代碼如下:
〈?
$act = $_GET[’act’];
if ($act == ’’)
{
include("blog.txt");
}
else
{
include("act/$act.txt");
}
?〉
〈?
$blog_id = $_GET[’blogid’];
if ($blog_id == ’’)
{
include("blog.txt");
}
else
{
include("./blog_entries/$blog_id.txt");
}
?〉
從上面的代碼可以清晰的看出問題所在,第一段程序獲得$_GET[]提交的數據并賦值給$act,這里沒有對
act做任何的過濾,而在后面判斷如果變量為空就把blog.txt包含進來,如果不為空就包含act目錄下的
$act.txt文件,這樣當我們不管提交什么文件類型都會被加上.txt后綴,再加上我們可以用../來跳轉到別的
目錄,就可以遍歷整個服務器上的文件了。第2段程序也是同樣的漏洞,只不過變量變成數字型了,我們
一樣可以構造類似于index.php?act=blog&blogid=../config.php這樣的URL來讀取敏感文件內容。
修補方法很簡單,對于數字形的只需用intval()函數來把ID強制整形化就可以了,對于字符形的可以
用類似的代碼來過濾$act = str_replace("../","",$act),當然這樣寫是不全面的,如有需要可以自定
義一個過濾的函數,把危險字符都替換掉。
關于最近QQ尾巴“給你點的一首歌”病毒的解決辦法
[ 2007-03-25 03:55:00 | 作者: sun ]
起先也只是自己收到Q友的這種病毒信息,沒想到,從蘇州回到上海之后,自己也就中標了。這東西害人不淺。病毒如下:“我剛剛給你點了一首好聽的歌放在手機信箱里你用手機撥 1②590556225就可以聽了,聽完后有我留言”。在網上查過,有人打過這類的電話,70元的話費只剩1元了,謀財的。我殺了兩天的時間才在迷失中搞定,現在還不知有沒有徹底清除掉,詢問多個同學,好象沒有再出現,叫人深惡痛絕的狀況。隨將自己解決的方法與大家共享,以抵制垃圾人物制造的垃圾程序。
在中毒后,我下載了N多的殺毒軟件,包括本機中原有的“木馬殺客”、“卡巴斯基”,以及下載的,“QQKAV”、“Saint”、“瑞星QQ專殺”、“Ewido”、“Virus Scan”只有“Ewido”和“QQKAV”查殺到多個病毒,但問題仍然沒有解決,晚上和同事出去吃完飯回來,病毒更加猖獗。向我大學同學發了N個病毒,他的電腦好像也中標了,發給我的,被我的“QQKAV”給屏蔽了,丫的,不解決不行呀,這不是害人又害已嗎~~~~~~~~~~~~多次重起電腦后發現在,在剛剛打開桌面的時候,有兩個不知名的進程在運行,然后就沒了,進程查看器也看不到了。分別是:“8AB0E010.EXE”和“D504584F.EXE”,到注冊表里找到這兩個文件:打開—開始—運行—輸入“regedit”—CTRL+F—把剛剛那兩個文件名寫上,再找呀,時間漫長~~=====刪除。繼續再找下,防止沒有刪除,汗,還又出來了,怎么刪也沒行,找到原文件刪,打開我的電腦,使用查詢快鍵方式“CTRL+F”,查找下,全在WINDOWS系統里面,我刪~~~~~~~~~但是與這兩個名字相同,后綴名不同的DLL文件刪不了,可能還有程序在占用。我都快傻了。重起,按F8,進入安全模式,按上面的步驟再刪一次,把DLL文件也刪了,全刪了,OK。重起之后看不到這兩個進程了。
但再用Ewido殺時候還有一個毒(可能是,英文版的,偶不認識)HKLM/SOFTWARE/Microsoft/Internet Explorer/ActiveX Compatibility/{471E7641-6365-43FE-8464-37DEF8335FB0}/{4A2AACF3-ADF6-11D5-98A9-00E018981B9E} -> Adware.NewDotNet : No action taken 找到這個注冊表位置,刪,刪了再殺,有再刪,不行就到安全模式下刪。重查殺兩次,沒有了。哈哈~~~~~~~~~不知道問題有沒有最終解決。
如有朋友看到此文有更好的解決軟件,請給我留言,告之下,十分感謝ING。
在中毒后,我下載了N多的殺毒軟件,包括本機中原有的“木馬殺客”、“卡巴斯基”,以及下載的,“QQKAV”、“Saint”、“瑞星QQ專殺”、“Ewido”、“Virus Scan”只有“Ewido”和“QQKAV”查殺到多個病毒,但問題仍然沒有解決,晚上和同事出去吃完飯回來,病毒更加猖獗。向我大學同學發了N個病毒,他的電腦好像也中標了,發給我的,被我的“QQKAV”給屏蔽了,丫的,不解決不行呀,這不是害人又害已嗎~~~~~~~~~~~~多次重起電腦后發現在,在剛剛打開桌面的時候,有兩個不知名的進程在運行,然后就沒了,進程查看器也看不到了。分別是:“8AB0E010.EXE”和“D504584F.EXE”,到注冊表里找到這兩個文件:打開—開始—運行—輸入“regedit”—CTRL+F—把剛剛那兩個文件名寫上,再找呀,時間漫長~~=====刪除。繼續再找下,防止沒有刪除,汗,還又出來了,怎么刪也沒行,找到原文件刪,打開我的電腦,使用查詢快鍵方式“CTRL+F”,查找下,全在WINDOWS系統里面,我刪~~~~~~~~~但是與這兩個名字相同,后綴名不同的DLL文件刪不了,可能還有程序在占用。我都快傻了。重起,按F8,進入安全模式,按上面的步驟再刪一次,把DLL文件也刪了,全刪了,OK。重起之后看不到這兩個進程了。
但再用Ewido殺時候還有一個毒(可能是,英文版的,偶不認識)HKLM/SOFTWARE/Microsoft/Internet Explorer/ActiveX Compatibility/{471E7641-6365-43FE-8464-37DEF8335FB0}/{4A2AACF3-ADF6-11D5-98A9-00E018981B9E} -> Adware.NewDotNet : No action taken 找到這個注冊表位置,刪,刪了再殺,有再刪,不行就到安全模式下刪。重查殺兩次,沒有了。哈哈~~~~~~~~~不知道問題有沒有最終解決。
如有朋友看到此文有更好的解決軟件,請給我留言,告之下,十分感謝ING。
判斷你的電腦是否中了病毒
[ 2007-03-25 03:54:49 | 作者: sun ]
各種病毒時至今日也可算是百花齊放了,搞得人心惶惶,一旦發現自己的電腦有點異常就認定是病毒在作怪,到處找殺毒軟件,一個不行,再來一個,總之似乎不找到"元兇"誓不罷休一樣,結果病毒軟件是用了一個又一個,或許為此人民幣是用了一張又一張,還是未見"元兇"的蹤影,其實這未必就是病毒在作怪。
這樣的例子并不少見,特別是對于一些初級電腦用戶。下面我就結合個人電腦使用及企業網絡維護方面的防毒經驗從以下幾個方面給大家介紹介紹如何判斷是否中了病毒,希望對幫助識別"真毒"有一定幫助!
病毒與軟、硬件故障的區別和聯系
電腦出故障不只是因為感染病毒才會有的,個人電腦使用過程中出現各種故障現象多是因為電腦本身的軟、硬件故障引起的,網絡上的多是由于權限設置所致。我們只有充分地了解兩者的區別與聯系,才能作出正確的判斷,在真正病毒來了之時才會及時發現。下面我就簡要列出了分別因病毒和軟、硬件故障引起的一些常見電腦故障癥狀分析。
病毒入侵后可能引起軟、硬件故障的可能性
經常死機:病毒打開了許多文件或占用了大量內存;不穩定(如內存質量差,硬件超頻性能差等);運行了大容量的軟件占用了大量的內存和磁盤空間;使用了一些測試軟件(有許多BUG);硬盤空間不夠等等;運行網絡上的軟件時經常死機也許是由于網絡速度太慢,所運行的程序太大,或者自己的工作站硬件配置太低。
系統無法啟動:病毒修改了硬盤的引導信息,或刪除了某些啟動文件。如引導型病毒引導文件損壞;硬盤損壞或參數設置不正確;系統文件人為地誤刪除等。
文件打不開:病毒修改了文件格式;病毒修改了文件鏈接位置。文件損壞;硬盤損壞;文件快捷方式對應的鏈接位置發生了變化;原來編輯文件的軟件刪除了;如果是在局域網中多表現為服務器中文件存放位置發生了變化,而工作站沒有及時涮新服器的內容(長時間打開了資源管理器)。
經常報告內存不夠:病毒非法占用了大量內存;打開了大量的軟件;運行了需內存資源的軟件;系統配置不正確;內存本就不夠(目前基本內存要求為128M)等。
提示硬盤空間不夠:病毒復制了大量的病毒文件(這個遇到過好幾例,有時好端端的近10G硬盤安裝了一個WIN98或WINNT4.0系統就說沒空間了,一安裝軟件就提示硬盤空間不夠。硬盤每個分區容量太小;安裝了大量的大容量軟件;所有軟件都集中安裝在一個分區之中;硬盤本身就小;如果是在局域網中系統管理員為每個用戶設置了工作站用戶的"私人盤"使用空間限制,因查看的是整個網絡盤的大小,其實"私人盤"上容量已用完了。
軟盤等設備未訪問時出讀寫信號:病毒感染;軟盤取走了還在打開曾經在軟盤中打開過的文件。
出現大量來歷不明的文件:病毒復制文件;可能是一些軟件安裝中產生的臨時文件;也或許是一些軟件的配置信息及運行記錄。
啟動黑屏:病毒感染(記得最深的是98年的4.26,我為CIH付出了好幾千元的代價,那天我第一次開機到了Windows畫面就死機了,第二次再開機就什么也沒有了);顯示器故障;顯示卡故障;主板故障;超頻過度;CPU損壞等等
數據丟失:病毒刪除了文件;硬盤扇區損壞;因恢復文件而覆蓋原文件;如果是在網絡上的文件,也可能是由于其它用戶誤刪除了。
鍵盤或鼠標無端地鎖死:病毒作怪,特別要留意"木馬";鍵盤或鼠標損壞;主板上鍵盤或鼠標接口損壞;運行了某個鍵盤或鼠標鎖定程序,所運行的程序太大,長時間系統很忙,表現出按鍵盤或鼠標不起作用。
系統運行速度慢:病毒占用了內存和CPU資源,在后臺運行了大量非法操作;硬件配置低;打開的程序太多或太大;系統配置不正確;如果是運行網絡上的程序時多數是由于你的機器配置太低造成,也有可能是此時網路上正忙,有許多用戶同時打開一個程序;還有一種可能就是你的硬盤空間不夠用來運行程序時作臨時交換數據用。
系統自動執行操作:病毒在后臺執行非法操作;用戶在注冊表或啟動組中設置了有關程序的自動運行;某些軟件安裝或升級后需自動重啟系統。
通過以上的分析對比,我們知道其實大多數故障都可能是由于人為或軟、硬件故障造成的,當我們發現異常后不要急于下斷言,在殺毒還不能解決的情況下,應仔細分析故障的特征,排除軟、硬件及人為的可能性。
新的一年新的安全 及早預測及時預防
[ 2007-03-25 03:54:37 | 作者: sun ]
網絡犯罪日益猖獗,明年也肯定會有新病毒、新犯罪手段出現,雖然這些現在可能和你沒有關系,但是常在江湖漂,哪能不挨刀,McAfee在分析明年安全形勢的時候做出了十條預測,我們與大家分享一下,了解之后預防勝于治療,希望大家永遠不要被病毒、木馬、流氓軟件騷擾。
網絡沖浪,小心為上,讓我們來看看這十條預測:
1.盜竊密碼的網頁會增加,多數是模仿知名網站例如eBay的登陸界面,誘使用戶上當。
2.垃圾郵件、占據帶寬的圖像郵件等比率會繼續增長。
3.視頻網站的流行會讓黑客也注意到MPEG這一散布惡意代碼的途徑。
4.當移動設備變得更加智能的時候,針對它們的攻擊也會增加。
5.隨著網絡的發展,廣告流氓軟件也會增多。
6.身份和數據被盜仍會成為廣大用戶頭痛的原因,除了計算機被控制之外,裝有信息的設備丟失和網絡通訊截取也是主要丟失原因。
7.使用“機器人”來自動完成任務,也會讓黑客較容易盯上你。
8.惡意軟件、木馬、病毒將會更不容易徹底清除,它們會采用更加難纏的備份恢復手段。
9.32位平臺上的攻擊型rootkit會增加,不過相應的防護技術也會進步。
10.系統或軟件漏洞仍會持續刺激“信息地下市場”。
雖然情況看上去不太樂觀,但是就如McAfee安全研究通信主管David Marcus所說的:“這不是世界末日,壞家伙在盡力而為,安全業界也在日益成長中。”
網絡安全熱點技術大放送
[ 2007-03-25 03:54:26 | 作者: sun ]
據統計,全球平均每20秒鐘就發生一次網上入侵事件,我國互聯網站點已達3萬個之多,國內有80%以上的網站缺乏安全措施,20%的網站有嚴重的安全問題。國內各行業、企業用戶已逐漸意識到網絡安全的重要性,正在打算或者已經開始實施完善的安全解決方案。那么,目前主流的網絡安全技術、產品和市場到底如何呢?記者總結了日前參加第三屆中國國際計算機信息系統安全展覽會時的所見所聞,以饗讀者。
今年的安全展參展廠商有60家左右,規模比去年小,涵蓋了信息與網絡安全所涉及的主要方面,但這其中最值得的關注的依然是防火墻、防病毒以及入侵檢測幾大領域。
硬件防火墻是主流
防火墻作為防護網絡安全的第一道門,是目前市場規模最大的一種產品,也是企業用戶率先選用的網絡安全產品。同時,由于防火墻技術相對比較成熟,幾乎每家的產品都使用了包過濾、狀態檢測以及應用層代理這三種實現技術,所以很多網絡安全企業認為防火墻門檻比較低,紛紛從防火墻切入網絡安全領域。
作為目前最琳瑯滿目的網絡安全產品,從實現形式來說,我們可以看到以硬件為主體的防火墻是主流方向,國內代表當屬天融信、東方龍馬、安氏、聯想網御等,國外代表是Cisco PIX、NetScreen、SonicWall等。據安全專家介紹,大家之所以都在走硬件防火墻之路,其中一個原因是軟件往往會成為影響網絡性能的瓶頸,我們報社曾經刊登的“防火墻測試報告”中也顯示出硬件防火墻性能遠遠高于軟件,同時國內用戶往往感覺硬件比軟件要安全。
CheckPoint FireWall-1作為業界第一大防火墻品牌,以軟件制勝,但實際上此次展會上所見到的集成了CheckPoint FireWall-1內核的上海應確信有限公司安全產品和群柏數碼所帶來的諾基亞系列安全產品都是典型的硬盒子。國內自主研發的防火墻產品基本上都是將以Linux 為內核開發的防火墻軟件固化在硬件中提供給用戶。
入侵檢測應用嶄露頭角
對于企業用戶來說,防火墻畢竟還是被動防護手段,入侵檢測作為一種主動動態的防護手段,與防火墻、防病毒產品結合在一起,才能構筑完整的安全防護解決方案。
此次展會上,我們看到入侵檢測產品數量遠比去年增加了不少,但廠商規模和實力相差甚大。據專家介紹,其實,國內不少入侵檢測產品是拿國外的產品改頭換面,并非真正從底層進行研發的,所以用戶選擇時一定要擦亮眼睛。同時,用戶在選購入侵檢測產品時,除了考慮檢測能力和協議分析能力以外,還需要注意產品本身的升級擴充能力,因為入侵檢測產品與防病毒軟件一樣依賴于巨大的攻擊特征庫,特征庫的更新對產品的功能和性能都非常重要。當然,對于入侵檢測產品來說,產品本身的安全性也非常關鍵。
防病毒走向多層次
如今,越來越多的企業用戶認識到單靠在客戶端安裝個人防病毒軟件并不能解決問題,病毒是無孔不入的,有的病毒來自軟盤或光盤,有的來自電子郵件,有的是通過Internet瀏覽、下載文件時感染。因此針對不同的病毒來源,用戶應該建立全方位的防病毒體系,也就是在客戶端、服務器端(包括文件服務器、郵件服務器、Web服務器等)以及網關端都部署防病毒產品,這種多層次防病毒體系將從不同的角度全面保障企業免受病毒之侵害。IDC統計數字表明,防病毒軟件市場正從消費性市場逐漸轉型成為企業防毒軟件市場,成長動力主要源自于服務器和訂閱服務市場,其在2005年將占據整體防毒軟件市場中的70%。如今,不只是國外廠商在企業級防毒方面提供完善的方案,國內廠商如瑞星也在大力推廣自己的網絡防病毒軟件。
當然,對于用戶來說,要想真正實現對病毒的防患于未然,還必須要時常更新病毒特征庫。同時,對于企業級防病毒軟件來說,部署與管理是非常重要的問題。各防病毒軟件廠商都推出了專門的管理工具來實現對各節點防病毒軟件的管理與升級。
協作與寬帶——安全產品之方向
以往企業用戶采購安全產品往往只買一個防火墻或一套防病毒軟件,并沒有真正將網絡安全作為一種完整的體系來考慮。而實際上,今天的用戶正在朝向構建網絡安全體系的方向發展。
當然,國內的產品與國外的產品相比較,在產品系列的完整性和產品性能上都存在較大的差距,各產品間缺乏協作,難以適應國內安全產品市場的需求。由于單一的網絡安全產品,如防火墻、入侵檢測系統等,只注重于網絡安全的某一方面,難以滿足日益復雜的安全需求。實際應用中,用戶往往要購買多類產品。可是,由于產品之間相互獨立,合作起來很不方便,無法發揮整體優勢。因此,將各類產品集成起來,使之相互協作,成為當前網絡安全發展的一個重要趨勢。
我們可以看到,原本生產單一網絡安全產品的廠商正將產品朝向多元化方向發展或者與其他安全廠商攜手并進,以實現不同網絡安全產品之間的互動。比如,CheckPoint的OPSEC便是為了集結其他安全領域的強手而推出的一個平臺,國內的天融信也推出了類似的TOPSEC平臺以實現以防火墻為基礎的網絡安全防護體系。安氏公司8月初推出的LinkTrust防火墻與ISS的入侵檢測體系以及趨勢科技的InterScan防病毒網關實現互動,真正結成了完整的網絡安全體系。
另外,隨著寬帶應用的發展,高速網絡已經開始從100M帶寬向1000M帶寬過渡,現有的產品難以適應高速網絡的安全需求,如何在這種情況下實現安全與性能之間的平衡是網絡安全產品面臨的一大挑戰。比如,在防火墻領域,用戶希望高速度的寬帶防火墻,Cisco和NetScreen都已推出了千兆級防火墻產品;入侵檢測產品也在朝向寬帶方向發展,目前很多廠商在采用集群技術實現千兆級入侵檢測。
安全服務不容忽視
如同軟件服務一樣,安全服務是一個重要方向無庸置疑。但就目前的網絡安全市場來說,安全服務還處于初級階段。雖然有一些廠商宣稱自己是安全服務提供商,但要想將安全服務作為唯一的盈利點,在目前市場狀態下還無法實現。所以,目前安全服務的提供者往往又是安全產品的生產者或有其他業務作為基礎,將安全服務作為增值來發展,這使得國內安全服務的質量參差不齊。
同時,就國內的網絡安全應用水平來說,網絡管理人員至少有90%以上沒有受過正規的網絡安全培訓;很多網絡管理員還是新手上路。信息系統從基礎設施到應用程序都存在著大量的漏洞與隱患,即使是經驗豐富的系統管理員對層出不窮的漏洞與日新月異的黑客技術也常常感到束手無策。在這種情況下,用戶確實需要專業化的網絡安全服務,希望廠商能夠提供從安全檢測及風險評估,安全方案設計與系統集成,安全應急響應以及相關的安全技術咨詢與培訓服務在內的完善的服務。但面對這么多宣稱能夠提供安全服務的廠商,用戶不知如何選擇,因此制定衡量安全服務廠商資質的標準是亟需解決的重要問題。
國家正在引導網絡安全服務朝向規范化方向發展。不久前,信息產業部計算機網絡與信息安全管理工作辦公室組織進行了“國家計算機網絡安全服務試點單位”選拔工作。三O衛士信息安全事務所、瑪賽、中聯綠盟等十幾家單位入選國家首批網絡安全服務試點單位,將為全國范圍內的信息安全建設提供示范工程,對促進安全服務的規范化起到重要的作用
今年的安全展參展廠商有60家左右,規模比去年小,涵蓋了信息與網絡安全所涉及的主要方面,但這其中最值得的關注的依然是防火墻、防病毒以及入侵檢測幾大領域。
硬件防火墻是主流
防火墻作為防護網絡安全的第一道門,是目前市場規模最大的一種產品,也是企業用戶率先選用的網絡安全產品。同時,由于防火墻技術相對比較成熟,幾乎每家的產品都使用了包過濾、狀態檢測以及應用層代理這三種實現技術,所以很多網絡安全企業認為防火墻門檻比較低,紛紛從防火墻切入網絡安全領域。
作為目前最琳瑯滿目的網絡安全產品,從實現形式來說,我們可以看到以硬件為主體的防火墻是主流方向,國內代表當屬天融信、東方龍馬、安氏、聯想網御等,國外代表是Cisco PIX、NetScreen、SonicWall等。據安全專家介紹,大家之所以都在走硬件防火墻之路,其中一個原因是軟件往往會成為影響網絡性能的瓶頸,我們報社曾經刊登的“防火墻測試報告”中也顯示出硬件防火墻性能遠遠高于軟件,同時國內用戶往往感覺硬件比軟件要安全。
CheckPoint FireWall-1作為業界第一大防火墻品牌,以軟件制勝,但實際上此次展會上所見到的集成了CheckPoint FireWall-1內核的上海應確信有限公司安全產品和群柏數碼所帶來的諾基亞系列安全產品都是典型的硬盒子。國內自主研發的防火墻產品基本上都是將以Linux 為內核開發的防火墻軟件固化在硬件中提供給用戶。
入侵檢測應用嶄露頭角
對于企業用戶來說,防火墻畢竟還是被動防護手段,入侵檢測作為一種主動動態的防護手段,與防火墻、防病毒產品結合在一起,才能構筑完整的安全防護解決方案。
此次展會上,我們看到入侵檢測產品數量遠比去年增加了不少,但廠商規模和實力相差甚大。據專家介紹,其實,國內不少入侵檢測產品是拿國外的產品改頭換面,并非真正從底層進行研發的,所以用戶選擇時一定要擦亮眼睛。同時,用戶在選購入侵檢測產品時,除了考慮檢測能力和協議分析能力以外,還需要注意產品本身的升級擴充能力,因為入侵檢測產品與防病毒軟件一樣依賴于巨大的攻擊特征庫,特征庫的更新對產品的功能和性能都非常重要。當然,對于入侵檢測產品來說,產品本身的安全性也非常關鍵。
防病毒走向多層次
如今,越來越多的企業用戶認識到單靠在客戶端安裝個人防病毒軟件并不能解決問題,病毒是無孔不入的,有的病毒來自軟盤或光盤,有的來自電子郵件,有的是通過Internet瀏覽、下載文件時感染。因此針對不同的病毒來源,用戶應該建立全方位的防病毒體系,也就是在客戶端、服務器端(包括文件服務器、郵件服務器、Web服務器等)以及網關端都部署防病毒產品,這種多層次防病毒體系將從不同的角度全面保障企業免受病毒之侵害。IDC統計數字表明,防病毒軟件市場正從消費性市場逐漸轉型成為企業防毒軟件市場,成長動力主要源自于服務器和訂閱服務市場,其在2005年將占據整體防毒軟件市場中的70%。如今,不只是國外廠商在企業級防毒方面提供完善的方案,國內廠商如瑞星也在大力推廣自己的網絡防病毒軟件。
當然,對于用戶來說,要想真正實現對病毒的防患于未然,還必須要時常更新病毒特征庫。同時,對于企業級防病毒軟件來說,部署與管理是非常重要的問題。各防病毒軟件廠商都推出了專門的管理工具來實現對各節點防病毒軟件的管理與升級。
協作與寬帶——安全產品之方向
以往企業用戶采購安全產品往往只買一個防火墻或一套防病毒軟件,并沒有真正將網絡安全作為一種完整的體系來考慮。而實際上,今天的用戶正在朝向構建網絡安全體系的方向發展。
當然,國內的產品與國外的產品相比較,在產品系列的完整性和產品性能上都存在較大的差距,各產品間缺乏協作,難以適應國內安全產品市場的需求。由于單一的網絡安全產品,如防火墻、入侵檢測系統等,只注重于網絡安全的某一方面,難以滿足日益復雜的安全需求。實際應用中,用戶往往要購買多類產品。可是,由于產品之間相互獨立,合作起來很不方便,無法發揮整體優勢。因此,將各類產品集成起來,使之相互協作,成為當前網絡安全發展的一個重要趨勢。
我們可以看到,原本生產單一網絡安全產品的廠商正將產品朝向多元化方向發展或者與其他安全廠商攜手并進,以實現不同網絡安全產品之間的互動。比如,CheckPoint的OPSEC便是為了集結其他安全領域的強手而推出的一個平臺,國內的天融信也推出了類似的TOPSEC平臺以實現以防火墻為基礎的網絡安全防護體系。安氏公司8月初推出的LinkTrust防火墻與ISS的入侵檢測體系以及趨勢科技的InterScan防病毒網關實現互動,真正結成了完整的網絡安全體系。
另外,隨著寬帶應用的發展,高速網絡已經開始從100M帶寬向1000M帶寬過渡,現有的產品難以適應高速網絡的安全需求,如何在這種情況下實現安全與性能之間的平衡是網絡安全產品面臨的一大挑戰。比如,在防火墻領域,用戶希望高速度的寬帶防火墻,Cisco和NetScreen都已推出了千兆級防火墻產品;入侵檢測產品也在朝向寬帶方向發展,目前很多廠商在采用集群技術實現千兆級入侵檢測。
安全服務不容忽視
如同軟件服務一樣,安全服務是一個重要方向無庸置疑。但就目前的網絡安全市場來說,安全服務還處于初級階段。雖然有一些廠商宣稱自己是安全服務提供商,但要想將安全服務作為唯一的盈利點,在目前市場狀態下還無法實現。所以,目前安全服務的提供者往往又是安全產品的生產者或有其他業務作為基礎,將安全服務作為增值來發展,這使得國內安全服務的質量參差不齊。
同時,就國內的網絡安全應用水平來說,網絡管理人員至少有90%以上沒有受過正規的網絡安全培訓;很多網絡管理員還是新手上路。信息系統從基礎設施到應用程序都存在著大量的漏洞與隱患,即使是經驗豐富的系統管理員對層出不窮的漏洞與日新月異的黑客技術也常常感到束手無策。在這種情況下,用戶確實需要專業化的網絡安全服務,希望廠商能夠提供從安全檢測及風險評估,安全方案設計與系統集成,安全應急響應以及相關的安全技術咨詢與培訓服務在內的完善的服務。但面對這么多宣稱能夠提供安全服務的廠商,用戶不知如何選擇,因此制定衡量安全服務廠商資質的標準是亟需解決的重要問題。
國家正在引導網絡安全服務朝向規范化方向發展。不久前,信息產業部計算機網絡與信息安全管理工作辦公室組織進行了“國家計算機網絡安全服務試點單位”選拔工作。三O衛士信息安全事務所、瑪賽、中聯綠盟等十幾家單位入選國家首批網絡安全服務試點單位,將為全國范圍內的信息安全建設提供示范工程,對促進安全服務的規范化起到重要的作用
入侵檢測是防火墻的合理補充,幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下能對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執行以下任務來實現:
· 監視、分析用戶及系統活動;
· 系統構造和弱點的審計;
· 識別反映已知進攻的活動模式并向相關人士報警;
· 異常行為模式的統計分析;
· 評估重要系統和數據文件的完整性;
· 操作系統的審計跟蹤管理,并識別用戶違反安全策略的行為。
對一個成功的入侵檢測系統來講,它不但可使系統管理員時刻了解網絡系統(包括程序、文件和硬件設備等)的任何變更,還能給網絡安全策略的制訂提供指南。更為重要的一點是,它應該管理、配置簡單,從而使非專業人員非常容易地獲得網絡安全。而且,入侵檢測的規模還應根據網絡威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵后,會及時作出響應,包括切斷網絡連接、記錄事件和報警等。
信息收集
入侵檢測的第一步是信息收集,內容包括系統、網絡、數據及用戶活動的狀態和行為。而且,需要在計算機網絡系統中的若干不同關鍵點(不同網段和不同主機)收集信息,這除了盡可能擴大檢測范圍的因素外,還有一個重要的因素就是從一個源來的信息有可能看不出疑點,但從幾個源來的信息的不一致性卻是可疑行為或入侵的最好標識。
當然,入侵檢測很大程度上依賴于收集信息的可靠性和正確性,因此,很有必要只利用所知道的真正的和精確的軟件來報告這些信息。因為黑客經常替換軟件以搞混和移走這些信息,例如替換被程序調用的子程序、庫和其它工具。黑客對系統的修改可能使系統功能失常并看起來跟正常的一樣,而實際上不是。例如,unix系統的PS指令可以被替換為一個不顯示侵入過程的指令,或者是編輯器被替換成一個讀取不同于指定文件的文件(黑客隱藏了初試文件并用另一版本代替)。這需要保證用來檢測網絡系統的軟件的完整性,特別是入侵檢測系統軟件本身應具有相當強的堅固性,防止被篡改而收集到錯誤的信息。
入侵檢測利用的信息一般來自以下四個方面:
1.系統和網絡日志文件
黑客經常在系統日志文件中留下他們的蹤跡,因此,充分利用系統和網絡日志文件信息是檢測入侵的必要條件。日志中包含發生在系統和網絡上的不尋常和不期望活動的證據,這些證據可以指出有人正在入侵或已成功入侵了系統。通過查看日志文件,能夠發現成功的入侵或入侵企圖,并很快地啟動相應的應急響應程序。日志文件中記錄了各種行為類型,每種類型又包含不同的信息,例如記錄“用戶活動”類型的日志,就包含登錄、用戶ID改變、用戶對文件的訪問、授權和認證信息等內容。很顯然地,對用戶活動來講,不正常的或不期望的行為就是重復登錄失敗、登錄到不期望的位置以及非授權的企圖訪問重要文件等等。
2.目錄和文件中的不期望的改變
網絡環境中的文件系統包含很多軟件和數據文件,包含重要信息的文件和私有數據文件經常是黑客修改或破壞的目標。目錄和文件中的不期望的改變(包括修改、創建和刪除),特別是那些正常情況下限制訪問的,很可能就是一種入侵產生的指示和信號。黑客經常替換、修改和破壞他們獲得訪問權的系統上的文件,同時為了隱藏系統中他們的表現及活動痕跡,都會盡力去替換系統程序或修改系統日志文件。
3.程序執行中的不期望行為
網絡系統上的程序執行一般包括操作系統、網絡服務、用戶起動的程序和特定目的的應用,例如數據庫服務器。每個在系統上執行的程序由一到多個進程來實現。每個進程執行在具有不同權限的環境中,這種環境控制著進程可訪問的系統資源、程序和數據文件等。一個進程的執行行為由它運行時執行的操作來表現,操作執行的方式不同,它利用的系統資源也就不同。操作包括計算、文件傳輸、設備和其它進程,以及與網絡間其它進程的通訊。
一個進程出現了不期望的行為可能表明黑客正在入侵你的系統。黑客可能會將程序或服務的運行分解,從而導致它失敗,或者是以非用戶或管理員意圖的方式操作。
4. 物理形式的入侵信息
這包括兩個方面的內容,一是未授權的對網絡硬件連接;二是對物理資源的未授權訪問。黑客會想方設法去突破網絡的周邊防衛,如果他們能夠在物理上訪問內部網,就能安裝他們自己的設備和軟件。依此,黑客就可以知道網上的由用戶加上去的不安全(未授權)設備,然后利用這些設備訪問網絡。例如,用戶在家里可能安裝Modem以訪問遠程辦公室,與此同時黑客正在利用自動工具來識別在公共電話線上的Modem,如果一撥號訪問流量經過了這些自動工具,那么這一撥號訪問就成為了威脅網絡安全的后門。黑客就會利用這個后門來訪問內部網,從而越過了內部網絡原有的防護措施,然后捕獲網絡流量,進而攻擊其它系統,并偷取敏感的私有信息等等。
信號分析
對上述四類收集到的有關系統、網絡、數據及用戶活動的狀態和行為等信息,一般通過三種技術手段進行分析:模式匹配,統計分析和完整性分析。其中前兩種方法用于實時的入侵檢測,而完整性分析則用于事后分析。
1. 模式匹配
模式匹配就是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較,從而發現違背安全策略的行為。該過程可以很簡單(如通過字符串匹配以尋找一個簡單的條目或指令),也可以很復雜(如利用正規的數學表達式來表示安全狀態的變化)。一般來講,一種進攻模式可以用一個過程(如執行一條指令)或一個輸出(如獲得權限)來表示。該方法的一大優點是只需收集相關的數據集合,顯著減少系統負擔,且技術已相當成熟。它與病毒防火墻采用的方法一樣,檢測準確率和效率都相當高。但是,該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法,不能檢測到從未出現過的黑客攻擊手段。
2.統計分析
統計分析方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性(如訪問次數、操作失敗次數和延時等)。測量屬性的平均值將被用來與網絡、系統的行為進行比較,任何觀察值在正常值范圍之外時,就認為有入侵發生。例如,統計分析可能標識一個不正常行為,因為它發現一個在晚八點至早六點不登錄的帳戶卻在凌晨兩點試圖登錄。其優點是可檢測到未知的入侵和更為復雜的入侵,缺點是誤報、漏報率高,且不適應用戶正常行為的突然改變。具體的統計分析方法如基于專家系統的、基于模型推理的和基于神經網絡的分析方法,目前正處于研究熱點和迅速發展之中。
3.完整性分析
完整性分析主要關注某個文件或對象是否被更改,這經常包括文件和目錄的內容及屬性,它在發現被更改的、被特絡伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制,稱為消息摘要函數(例如MD5),它能識別哪怕是微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵,只要是成功的攻擊導致了文件或其它對象的任何改變,它都能夠發現。缺點是一般以批處理方式實現,不用于實時響應。盡管如此,完整性檢測方法還應該是網絡安全產品的必要手段之一。例如,可以在每一天的某個特定時間內開啟完整性分析模塊,對網絡系統進行全面地掃描檢查。
入侵檢測系統的典型代表是ISS公司(國際互聯網安全系統公司)的RealSecure。它是計算機網絡上自動實時的入侵檢測和響應系統。它無妨礙地監控網絡傳輸并自動檢測和響應可疑的行為,在系統受到危害之前截取和響應安全漏洞和內部誤用,從而最大程度地為企業網絡提供安全。
入侵檢測功能
·監督并分析用戶和系統的活動
·檢查系統配置和漏洞
·檢查關鍵系統和數據文件的完整性
·識別代表已知攻擊的活動模式
·對反常行為模式的統計分析
·對操作系統的校驗管理,判斷是否有破壞安全的用戶活動。
·入侵檢測系統和漏洞評估工具的優點在于:
·提高了信息安全體系其它部分的完整性
·提高了系統的監察能力
·跟蹤用戶從進入到退出的所有活動或影響
·識別并報告數據文件的改動
·發現系統配置的錯誤,必要時予以更正
·識別特定類型的攻擊,并向相應人員報警,以作出防御反應
·可使系統管理人員最新的版本升級添加到程序中
·允許非專家人員從事系統安全工作
·為信息安全策略的創建提供指導
·必須修正對入侵檢測系統和漏洞評估工具不切實際的期望:這些產品并不是無所不能的,它們無法彌補力量薄弱的識別和確認機制
·在無人干預的情況下,無法執行對攻擊的檢查
·無法感知公司安全策略的內容
·不能彌補網絡協議的漏洞
·不能彌補由于系統提供信息的質量或完整性的問題
·它們不能分析網絡繁忙時所有事務
·它們不能總是對數據包級的攻擊進行處理
·它們不能應付現代網絡的硬件及特性
入侵檢測作為一種積極主動地安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵。從網絡安全立體縱深、多層次防御的角度出發,入侵檢測理應受到人們的高度重視,這從國外入侵檢測產品市場的蓬勃發展就可以看出。在國內,隨著上網的關鍵部門、關鍵業務越來越多,迫切需要具有自主版權的入侵檢測產品。但現狀是入侵檢測僅僅停留在研究和實驗樣品(缺乏升級和服務)階段,或者是防火墻中集成較為初級的入侵檢測模塊。可見,入侵檢測產品仍具有較大的發展空間,從技術途徑來講,我們認為,除了完善常規的、傳統的技術(模式識別和完整性檢測)外,應重點加強統計分析的相關技術研究。
· 監視、分析用戶及系統活動;
· 系統構造和弱點的審計;
· 識別反映已知進攻的活動模式并向相關人士報警;
· 異常行為模式的統計分析;
· 評估重要系統和數據文件的完整性;
· 操作系統的審計跟蹤管理,并識別用戶違反安全策略的行為。
對一個成功的入侵檢測系統來講,它不但可使系統管理員時刻了解網絡系統(包括程序、文件和硬件設備等)的任何變更,還能給網絡安全策略的制訂提供指南。更為重要的一點是,它應該管理、配置簡單,從而使非專業人員非常容易地獲得網絡安全。而且,入侵檢測的規模還應根據網絡威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵后,會及時作出響應,包括切斷網絡連接、記錄事件和報警等。
信息收集
入侵檢測的第一步是信息收集,內容包括系統、網絡、數據及用戶活動的狀態和行為。而且,需要在計算機網絡系統中的若干不同關鍵點(不同網段和不同主機)收集信息,這除了盡可能擴大檢測范圍的因素外,還有一個重要的因素就是從一個源來的信息有可能看不出疑點,但從幾個源來的信息的不一致性卻是可疑行為或入侵的最好標識。
當然,入侵檢測很大程度上依賴于收集信息的可靠性和正確性,因此,很有必要只利用所知道的真正的和精確的軟件來報告這些信息。因為黑客經常替換軟件以搞混和移走這些信息,例如替換被程序調用的子程序、庫和其它工具。黑客對系統的修改可能使系統功能失常并看起來跟正常的一樣,而實際上不是。例如,unix系統的PS指令可以被替換為一個不顯示侵入過程的指令,或者是編輯器被替換成一個讀取不同于指定文件的文件(黑客隱藏了初試文件并用另一版本代替)。這需要保證用來檢測網絡系統的軟件的完整性,特別是入侵檢測系統軟件本身應具有相當強的堅固性,防止被篡改而收集到錯誤的信息。
入侵檢測利用的信息一般來自以下四個方面:
1.系統和網絡日志文件
黑客經常在系統日志文件中留下他們的蹤跡,因此,充分利用系統和網絡日志文件信息是檢測入侵的必要條件。日志中包含發生在系統和網絡上的不尋常和不期望活動的證據,這些證據可以指出有人正在入侵或已成功入侵了系統。通過查看日志文件,能夠發現成功的入侵或入侵企圖,并很快地啟動相應的應急響應程序。日志文件中記錄了各種行為類型,每種類型又包含不同的信息,例如記錄“用戶活動”類型的日志,就包含登錄、用戶ID改變、用戶對文件的訪問、授權和認證信息等內容。很顯然地,對用戶活動來講,不正常的或不期望的行為就是重復登錄失敗、登錄到不期望的位置以及非授權的企圖訪問重要文件等等。
2.目錄和文件中的不期望的改變
網絡環境中的文件系統包含很多軟件和數據文件,包含重要信息的文件和私有數據文件經常是黑客修改或破壞的目標。目錄和文件中的不期望的改變(包括修改、創建和刪除),特別是那些正常情況下限制訪問的,很可能就是一種入侵產生的指示和信號。黑客經常替換、修改和破壞他們獲得訪問權的系統上的文件,同時為了隱藏系統中他們的表現及活動痕跡,都會盡力去替換系統程序或修改系統日志文件。
3.程序執行中的不期望行為
網絡系統上的程序執行一般包括操作系統、網絡服務、用戶起動的程序和特定目的的應用,例如數據庫服務器。每個在系統上執行的程序由一到多個進程來實現。每個進程執行在具有不同權限的環境中,這種環境控制著進程可訪問的系統資源、程序和數據文件等。一個進程的執行行為由它運行時執行的操作來表現,操作執行的方式不同,它利用的系統資源也就不同。操作包括計算、文件傳輸、設備和其它進程,以及與網絡間其它進程的通訊。
一個進程出現了不期望的行為可能表明黑客正在入侵你的系統。黑客可能會將程序或服務的運行分解,從而導致它失敗,或者是以非用戶或管理員意圖的方式操作。
4. 物理形式的入侵信息
這包括兩個方面的內容,一是未授權的對網絡硬件連接;二是對物理資源的未授權訪問。黑客會想方設法去突破網絡的周邊防衛,如果他們能夠在物理上訪問內部網,就能安裝他們自己的設備和軟件。依此,黑客就可以知道網上的由用戶加上去的不安全(未授權)設備,然后利用這些設備訪問網絡。例如,用戶在家里可能安裝Modem以訪問遠程辦公室,與此同時黑客正在利用自動工具來識別在公共電話線上的Modem,如果一撥號訪問流量經過了這些自動工具,那么這一撥號訪問就成為了威脅網絡安全的后門。黑客就會利用這個后門來訪問內部網,從而越過了內部網絡原有的防護措施,然后捕獲網絡流量,進而攻擊其它系統,并偷取敏感的私有信息等等。
信號分析
對上述四類收集到的有關系統、網絡、數據及用戶活動的狀態和行為等信息,一般通過三種技術手段進行分析:模式匹配,統計分析和完整性分析。其中前兩種方法用于實時的入侵檢測,而完整性分析則用于事后分析。
1. 模式匹配
模式匹配就是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較,從而發現違背安全策略的行為。該過程可以很簡單(如通過字符串匹配以尋找一個簡單的條目或指令),也可以很復雜(如利用正規的數學表達式來表示安全狀態的變化)。一般來講,一種進攻模式可以用一個過程(如執行一條指令)或一個輸出(如獲得權限)來表示。該方法的一大優點是只需收集相關的數據集合,顯著減少系統負擔,且技術已相當成熟。它與病毒防火墻采用的方法一樣,檢測準確率和效率都相當高。但是,該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法,不能檢測到從未出現過的黑客攻擊手段。
2.統計分析
統計分析方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性(如訪問次數、操作失敗次數和延時等)。測量屬性的平均值將被用來與網絡、系統的行為進行比較,任何觀察值在正常值范圍之外時,就認為有入侵發生。例如,統計分析可能標識一個不正常行為,因為它發現一個在晚八點至早六點不登錄的帳戶卻在凌晨兩點試圖登錄。其優點是可檢測到未知的入侵和更為復雜的入侵,缺點是誤報、漏報率高,且不適應用戶正常行為的突然改變。具體的統計分析方法如基于專家系統的、基于模型推理的和基于神經網絡的分析方法,目前正處于研究熱點和迅速發展之中。
3.完整性分析
完整性分析主要關注某個文件或對象是否被更改,這經常包括文件和目錄的內容及屬性,它在發現被更改的、被特絡伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制,稱為消息摘要函數(例如MD5),它能識別哪怕是微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵,只要是成功的攻擊導致了文件或其它對象的任何改變,它都能夠發現。缺點是一般以批處理方式實現,不用于實時響應。盡管如此,完整性檢測方法還應該是網絡安全產品的必要手段之一。例如,可以在每一天的某個特定時間內開啟完整性分析模塊,對網絡系統進行全面地掃描檢查。
入侵檢測系統的典型代表是ISS公司(國際互聯網安全系統公司)的RealSecure。它是計算機網絡上自動實時的入侵檢測和響應系統。它無妨礙地監控網絡傳輸并自動檢測和響應可疑的行為,在系統受到危害之前截取和響應安全漏洞和內部誤用,從而最大程度地為企業網絡提供安全。
入侵檢測功能
·監督并分析用戶和系統的活動
·檢查系統配置和漏洞
·檢查關鍵系統和數據文件的完整性
·識別代表已知攻擊的活動模式
·對反常行為模式的統計分析
·對操作系統的校驗管理,判斷是否有破壞安全的用戶活動。
·入侵檢測系統和漏洞評估工具的優點在于:
·提高了信息安全體系其它部分的完整性
·提高了系統的監察能力
·跟蹤用戶從進入到退出的所有活動或影響
·識別并報告數據文件的改動
·發現系統配置的錯誤,必要時予以更正
·識別特定類型的攻擊,并向相應人員報警,以作出防御反應
·可使系統管理人員最新的版本升級添加到程序中
·允許非專家人員從事系統安全工作
·為信息安全策略的創建提供指導
·必須修正對入侵檢測系統和漏洞評估工具不切實際的期望:這些產品并不是無所不能的,它們無法彌補力量薄弱的識別和確認機制
·在無人干預的情況下,無法執行對攻擊的檢查
·無法感知公司安全策略的內容
·不能彌補網絡協議的漏洞
·不能彌補由于系統提供信息的質量或完整性的問題
·它們不能分析網絡繁忙時所有事務
·它們不能總是對數據包級的攻擊進行處理
·它們不能應付現代網絡的硬件及特性
入侵檢測作為一種積極主動地安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵。從網絡安全立體縱深、多層次防御的角度出發,入侵檢測理應受到人們的高度重視,這從國外入侵檢測產品市場的蓬勃發展就可以看出。在國內,隨著上網的關鍵部門、關鍵業務越來越多,迫切需要具有自主版權的入侵檢測產品。但現狀是入侵檢測僅僅停留在研究和實驗樣品(缺乏升級和服務)階段,或者是防火墻中集成較為初級的入侵檢測模塊。可見,入侵檢測產品仍具有較大的發展空間,從技術途徑來講,我們認為,除了完善常規的、傳統的技術(模式識別和完整性檢測)外,應重點加強統計分析的相關技術研究。
面對黑客攻擊 網絡防火墻不是萬能的
[ 2007-03-25 03:54:00 | 作者: sun ]
單憑防火墻再也不足以保護網上資產。如今,黑客及其攻擊策略是越來越精明、越來越危險。當前的一大威脅就是應用層攻擊,這類攻擊可以偷偷潛入防火墻、直至潛入Web應用。沒錯,這類攻擊有不少喜歡把寶貴的客戶數據作為下手目標。
那么,為什么普通防火墻阻止不了這類攻擊呢?因為這類攻擊偽裝成正常流量,沒有特別大的數據包,地址和內容也沒有可疑的不相配,所以不會觸發警報。最讓人害怕的一個例子就是SQL指令植入式攻擊(SQL injection)。在這種攻擊中,黑客利用你自己的其中一張HTML表單,未經授權就查詢數據庫。另一種威脅就是命令執行。只要Web應用把命令發送到外殼程序,狡猾的黑客就可以在服務器上隨意執行命令。
另一些攻擊比較簡單。譬如說,HTML注釋里面往往含有敏感信息,包括不謹慎的編程人員留下的登錄信息。于是,針對應用層的攻擊手段,從篡改cookies到更改HTML表單里面的隱藏字段,完全取決于黑客的想象力。不過好消息是,大多數這類攻擊是完全可以阻止的。
如果結合使用,兩種互為補充的方案可以提供穩固防線。首先,使用應用掃描器徹底掃描你的Web應用,查找漏洞。然后,使用Web應用防火墻阻止不法分子闖入。
應用掃描器基本上可以對你的服務器發動一系列模擬攻擊,然后匯報結果。KaVaDo ScanDo、Sanctum AppScan Audit和SPI Dynamics在詳細列出缺陷、建議補救方法方面的功能都相當全面。AppScan Audit尤其值得關注,因為這款產品具有事后檢查功能,可以幫助編程人員在編制代碼時就查出漏洞。不過,這些工具包沒有一款比得上安全專業人士的全面審查。
一旦你設法堵住了漏洞,接下來就是部署Web應用防火墻。這類防火墻的工作方式很有意思:弄清楚進出應用的正常流量的樣子,然后查出不正常流量。為此,Web應用防火墻必須比普通防火墻更深層地檢查數據包。Check Point在這方面最出名,不過KaVaDo、NetContinuum、Sanctum和Teros等其它廠商的名氣相對要小。這類防火墻有的采用軟件,有的采用硬件,還有一些則兼而有之。不過別誤以為這類防火墻是即插即用的,即便采用硬件的也不能。與入侵檢測系統一樣,你也要認真調整Web應用防火墻,以減少誤報,又不讓攻擊潛入進來。
由于垃圾郵件以及越來越狡猾的攻擊,如果您以為安裝防火墻就萬事大吉,高枕無憂的話,您就應該好好想想上面所說您該如何應對。
簡析網絡安全中的人為惡意攻擊與漏洞
[ 2007-03-25 03:53:40 | 作者: sun ]
1.引言
隨著計算機網絡的不斷發展,全球信息化已成為人類發展的大趨勢。但由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征,致使網絡易受黑客、怪客、惡意軟件和其他不軌的攻擊,所以網上信息的安全和保密是一個至關重要的問題。對于軍用的自動化指揮網絡、C3I系統和銀行等傳輸敏感數據的計算機網絡系統而言,其網上信息的安全和保密尤為重要。因此,上述的網絡必須有足夠強的安全措施,否則該網絡將是個無用、甚至會危及國家安全的網絡。無論是在局域網還是在廣域網中,都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此,網絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性,這樣才能確保網絡信息的保密性、完整性和可用性。
2.計算網絡面臨的威脅
計算機網絡所面臨的威脅大體可分為兩種:一是對網絡中信息的威脅;二是對網絡中設備的威脅。影響計算機網絡的因素很多,有些因素可能是有意的,也可能是無意的;可能是人為的,也可能是非人為的;可能是外來黑客對網絡系統資源的非法使用,歸結起來,針對網絡安全的威脅主要有三:
(1)人為的無意失誤:如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。
(2)人為的惡意攻擊:這是計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害,并導致機密數據的泄漏。
(3)網絡軟件的漏洞和“后門”:網絡軟件不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標,曾經出現過的黑客攻入網絡內部的事件,這些事件的大部分就是因為安全措施不完善所招致的苦果。另外,軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,但一旦“后門”洞開,其造成的后果將不堪設想。
3.計算機網絡的安全策略
(1)物理安全策略
物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。
抑制和防止電磁泄漏(即TEMPEST技術)是物理安全策略的一個主要問題。目前主要防護措施有兩類:一類是對傳導發射的防護,主要采取對電源線和信號線加裝性能良好的濾波器,減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護,這類防護措施又可分為以下兩種:一是采用各種電磁屏蔽措施,如對設備的金屬屏蔽和各種接插件的屏蔽,同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離;二是干擾的防護措施,即在計算機系統工作的同時,利用干擾裝置產生一種與計算機系統輻射相關的偽噪聲向空間輻射來掩蓋計算機系統的工作頻率和信息特征。
(2)訪問控制策略
訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用,但訪問控制可以說是保證網絡安全最重要的核心策略之一。下面我們分述各種訪問控制策略。
(3)入網訪問控制
入網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源,控制準許用戶入網的時間和準許他們在哪臺工作站入網。
用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查。三道關卡中只要任何一關未過,該用戶便不能進入該網絡。
對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令,服務器將驗證所輸入的用戶名是否合法。如果驗證合法,才繼續驗證用戶輸入的口令,否則,用戶將被拒之網絡之外。用戶的口令是用戶入網的關鍵所在。為保證口令的安全性,用戶口令不能顯示在顯示屏上,口令長度應不少于6個字符,口令字符最好是數字、字母和其他字符的混合,用戶口令必須經過加密,加密的方法很多,其中最常見的方法有:基于單向函數的口令加密,基于測試模式的口令加密,基于公鑰加密方案的口令加密,基于平方剩余的口令加密,基于多項式共享的口令加密,基于數字簽名方案的口令加密等。經過上述方法加密的口令,即使是系統管理員也難以得到它。用戶還可采用一次性用戶口令,也可用便攜式驗證器(如智能卡)來驗證用戶的身份。
網絡管理員應該可以控制和限制普通用戶的帳號使用、訪問網絡的時間、方式。用戶名或用戶帳號是所有計算機系統中最基本的安全形式。用戶帳號應只有系統管理員才能建立。用戶口令應是每用戶訪問網絡所必須提交的“證件”、用戶可以修改自己的口令,但系統管理員應該可以控制口令的以下幾個方面的限制:最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效后允許入網的寬限次數。
用戶名和口令驗證有效之后,再進一步履行用戶帳號的缺省限制檢查。網絡應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。當用戶對交費網絡的訪問“資費”用盡時,網絡還應能對用戶的帳號加以限制,用戶此時應無法進入網絡訪問網絡資源。網絡應對所有用戶的訪問進行審計。如果多次輸入口令不正確,則認為是非法用戶的入侵,應給出報警信息。
(4)網絡的權限控制
網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受托者指派和繼承權限屏蔽(IRM)可作為其兩種實現方式。受托者指派控制用戶和用戶組如何使用網絡服務器的目錄、文件和設備。繼承權限屏蔽相當于一個過濾器,可以限制子目錄從父目錄那里繼承哪些權限。我們可以根據訪問權限將用戶分為以下幾類:(1)特殊用戶(即系統管理員);(2)一般用戶,系統管理員根據他們的實際需要為他們分配操作權限;(3)審計用戶,負責網絡的安全控制與資源使用情況的審計。用戶對網絡資源的訪問權限可以用一個訪問控制表來描述。
(5)目錄級安全控制
網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種:系統管理員權限(Supervisor)、讀權限(Read)、寫權限(Write)、創建權限(Create)、刪除權限(Erase)、修改權限(Modify)、文件查找權限(File Scan)、存取控制權限(Access Control)。用戶對文件或目標的有效權限取決于以下二個因素:用戶的受托者指派、用戶所在組的受托者指派、繼承權限屏蔽取消的用戶權限。一個網絡系統管理員應當為用戶指定適當的訪問權限,這些訪問權限控制著用戶對服務器的訪問。八種訪問權限的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對服務器資源的訪問 ,從而加強了網絡和服務器的安全性。
(6)屬性安全控制
當用文件、目錄和網絡設備時,網絡系統管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡上的資源都應預先標出一組安全屬性。用戶對網絡資源的訪問權限對應一張訪問控制表,用以表明用戶對網絡資源的訪問能力。屬性設置可以覆蓋已經指定的任何受托者指派和有效權限。屬性往往能控制以下幾個方面的權限:向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。網絡的屬性可以保護重要的目錄和文件,防止用戶對目錄和文件的誤刪除、、執行修改、顯示等。
(7)網絡服務器安全控制
網絡允許在服務器控制臺上執行一系列操作。用戶使用控制臺可以裝載和卸載模塊,可以安裝和刪除軟件等操作。網絡服務器的安全控制包括可以設置口令鎖定服務器控制臺,以防止非法用戶修改、刪除重要信息或破壞數據;可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。
(8)網絡監測和鎖定控制
網絡管理員應對網絡實施監控,服務器應記錄用戶對網絡資源的訪問,對非法的網絡訪問,服務器應以圖形或文字或聲音等形式報警,以引起網絡管理員的注意。如果不法之徒試圖進入網絡,網絡服務器應會自動記錄企圖嘗試進入網絡的次數,如果非法訪問的次數達到設定數值,那么該帳戶將被自動鎖定。
(9)網絡端口和節點的安全控制
網絡中服務器的端口往往使用自動回呼設備、靜默調制解調器加以保護,并以加密的形式來識別節點的身份。自動回呼設備用于防止假冒合法用戶,靜默調制解調器用以防范黑客的自動撥號程序對計算機進行攻擊。網絡還常對服務器端和用戶端采取控制,用戶必須攜帶證實身份的驗證器(如智能卡、磁卡、安全密碼發生器)。在對用戶的身份進行驗證之后,才允許用戶進入用戶端。然后,用戶端和服務器端再進行相互驗證。
(10)防火墻控制
防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施,它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡,以阻檔外部網絡的侵入。目前的防火墻主要有以下三種類型;
包過濾防火墻:包過濾防火墻設置在網絡層,可以在路由器上實現包過濾。首先應建立一定數量的信息過濾表,信息過濾表是以其收到的數據包頭信息為基礎而建成的。信息包頭含有數據包源IP地址、目的IP地址、傳輸協議類型(TCP、UDP、ICMP等)、協議源端口號、協議目的端口號、連接請求方向、ICMP報文類型等。當一個數據包滿足過濾表中的規則時,則允許數據包通過,否則禁止通過。這種防火墻可以用于禁止外部不合法用戶對內部的訪問,也可以用來禁止訪問某些服務類型。但包過濾技術不能識別有危險的信息包,無法實施對應用級協議的處理,也無法處理UDP、RPC或動態的協議。
代理防火墻:代理防火墻又稱應用層網關級防火墻,它由代理服務器和過濾路由器組成,是目前較流行的一種防火墻。它將過濾路由器和軟件代理技術結合在一起。過濾路由器負責網絡互連,并對數據進行嚴格選擇,然后將篩選過的數據傳送給代理服務器。代理服務器起到外部網絡申請訪問內部網絡的中間轉接作用,其功能類似于一個數據轉發器,它主要控制哪些用戶能訪問哪些服務類型。當外部網絡向內部網絡申請某種網絡服務時,代理服務器接受申請,然后它根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務,如果接受,它就向內部網絡轉發這項請求。代理防火墻無法快速支持一些新出現的業務(如多媒體)。現要較為流行的代理服務器軟件是WinGate和Proxy Server。
雙穴主機防火墻:該防火墻是用主機來執行安全控制功能。一臺雙穴主機配有多個網卡,分別連接不同的網絡。雙穴主機從一個網絡收集數據,并且有選擇地把它發送到另一個網絡上。網絡服務由雙穴主機上的服務代理來提供。內部網和外部網的用戶可通過雙穴主機的共享數據區傳遞數據,從而保護了內部網絡不被非法訪問。
4.信息加密策略
信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全;端-端加密的目的是對源端用戶到目的端用戶的數據提供保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網絡情況酌情選擇上述加密方式。
信息加密過程是由形形 色色的加密算法來具體實施,它以很小的代價提供很大的安全保護。在多數情況下,信息加密是保證信息機密性的唯一方法。據不完全統計,到目前為止,已經公開發表的各種加密算法多達數百種。如果按照收發雙方密鑰是否相同來分類,可以將這些加密算法分為常規密碼算法和公鑰密碼算法。
在常規密碼中,收信方和發信方使用相同的密鑰,即加密密鑰和解密密鑰是相同或等價的。比較著名的常規密碼算法有:美國的DES及其各種變形,比如Triple DES、GDES、New DES和DES的前身Lucifer; 歐洲的IDEA;日本的FEAL-N、LOKI-91、Skipjack、RC4、RC5以及以代換密碼和轉輪密碼為代表的古典密碼等。在眾多的常規密碼中影響最大的是DES密碼。
常規密碼的優點是有很強的保密強度,且經受住時間的檢驗和攻擊,但其密鑰必須通過安全的途徑傳送。因此,其密鑰管理成為系統安全的重要因素。
在公鑰密碼中,收信方和發信方使用的密鑰互不相同,而且幾乎不可能從加密密鑰推導出解密密鑰。比較著名的公鑰密碼算法有:RSA、背包密碼、McEliece密碼、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知識證明的算法、橢園曲線、EIGamal算法等等。最有影響的公鑰密碼算法是RSA,它能抵抗到目前為止已知的所有密碼攻擊。
公鑰密碼的優點是可以適應網絡的開放性要求,且密鑰管理問題也較為簡單,尤其可方便的實現數字簽名和驗證。但其算法復雜。加密數據的速率較低。盡管如此,隨著現代電子技術和密碼技術的發展,公鑰密碼算法將是一種很有前途的網絡安全加密體制。
當然在實際應用中人們通常將常規密碼和公鑰密碼結合在一起使用,比如:利用DES或者IDEA來加密信息,而采用RSA來傳遞會話密鑰。如果按照每次加密所處理的比特來分類,可以將加密算法分為序列密碼和分組密碼。前者每次只加密一個比特而后者則先將信息序列分組,每次處理一個組。 密碼技術是網絡安全最有效的技術之一。一個加密網絡,不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟件的有效方法之一。
5.網絡安全管理策略
在網絡安全中,除了采用上述技術措施之外,加強網絡的安全管理,制定有關規章制度,對于確保網絡的安全、可靠地運行,將起到十分有效的作用。
網絡的安全管理策略包括:確定安全管理等級和安全管理范圍;制訂有關網絡操作使用規程和人員出入機房管理制度;制定網絡系統的維護制度和應急措施等。
6.結束語
隨著計算機技術和通信技術的發展,計算機網絡將日益成為工業、農業和國防等方面的重要信息交換手段,滲透到社會生活的各個領域。因此,認清網絡的脆弱性和潛在威脅,采取強有力的安全策略,對于保障網絡的安全性將變得十分重要。
