|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來(lái)的新技術(shù)�,它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作�,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計(jì)算機(jī)�、存儲(chǔ)資源、數(shù)據(jù)資源�、信息資源�、知識(shí)資源、專家資源�、大型數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)�、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享�,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。 服務(wù)器安全 WEB和FTP這兩種服務(wù)器通常置于DMZ�,無(wú)法得到防火墻的完全保護(hù)�,所以也特別容易遭到攻擊�。Web和FTP服務(wù)通常存在的問題包括:
· 用戶通過公網(wǎng)發(fā)送未加密的信息;
· 操作系統(tǒng)和服務(wù)存在眾所周知的漏洞導(dǎo)致拒絕服務(wù)攻擊或破壞系統(tǒng)�;
· 舊有操作系統(tǒng)中以root權(quán)限初始運(yùn)行的服務(wù),一旦被黑客破壞�,入侵者便可以在產(chǎn)生的命令解釋器中運(yùn)行任意的代碼。
Web頁(yè)面涂改
近來(lái)�,未經(jīng)授權(quán)對(duì)Web服務(wù)器進(jìn)行攻擊并涂改缺省主頁(yè)的攻擊活動(dòng)越來(lái)越多。許多企業(yè)�、政府和公司都遭受過類似的攻擊。有時(shí)這種攻擊是出于政治目的�。大多數(shù)情況下Web頁(yè)面的涂改意味著存在這入侵的漏洞。這些攻擊通常包括Man-in-the-middle攻擊(使用包嗅探器)和利用緩沖區(qū)溢出�。有時(shí),還包括劫持攻擊和拒絕服務(wù)攻擊�。
郵件服務(wù)
廣泛使用的SMTP、POP3和IMAP一般用明文方式進(jìn)行通信�。這種服務(wù)可以通過加密進(jìn)行驗(yàn)證但是在實(shí)際應(yīng)用中通信的效率不高。又由于大多數(shù)人對(duì)多種服務(wù)使用相同的密碼�,攻擊者可以利用嗅探器得到用戶名和密碼,再利用它攻擊其它的資源�,例如Windows NT服務(wù)器�。這種攻擊不僅僅是針對(duì)NT系統(tǒng)。許多不同的服務(wù)共享用戶名和密碼。你已經(jīng)知道一個(gè)薄弱環(huán)節(jié)可以破壞整個(gè)的網(wǎng)絡(luò)�。FTP和SMTP服務(wù)通常成為這些薄弱的環(huán)節(jié)。
與郵件服務(wù)相關(guān)的問題包括:
· 利用字典和暴力攻擊POP3的login shell�;
· 在一些版本中sendmail存在緩沖區(qū)溢出和其它漏洞;
· 利用E-mail的轉(zhuǎn)發(fā)功能轉(zhuǎn)發(fā)大量的垃圾信件
名稱服務(wù)
攻擊者通常把攻擊焦點(diǎn)集中在DNS服務(wù)上�。由于DNS使用UDP,而UDP連接又經(jīng)常被各種防火墻規(guī)則所過濾�,所以許多系統(tǒng)管理員發(fā)現(xiàn)將DNS服務(wù)器至于防火墻之后很困難。因此�,DNS服務(wù)器經(jīng)常暴露在外�,使它成為攻擊的目標(biāo)。DNS攻擊包括:
· 未授權(quán)的區(qū)域傳輸�;
· DNS 毒藥,這種攻擊是指黑客在主DNS服務(wù)器向輔DNS服務(wù)器進(jìn)行區(qū)域傳輸時(shí)插入錯(cuò)誤的DNS信息�,一旦成功,攻擊者便可以使輔DNS服務(wù)器提供錯(cuò)誤的名稱到IP地址的解析信息�;
· 拒絕服務(wù)攻擊;
其它的一些名稱服務(wù)也會(huì)成為攻擊的目標(biāo)�,如下所示:
· WINS,“Coke”通過拒絕服務(wù)攻擊來(lái)攻擊沒有打補(bǔ)丁的NT系統(tǒng)�。
· SMB服務(wù)(包括Windows的SMB和UNIX的Samba)這些服務(wù)易遭受Man-in-the-middle攻擊,被捕獲的數(shù)據(jù)包會(huì)被類似L0phtCrack這樣的程序破解�。
· NFS和NIS服務(wù)。這些服務(wù)通常會(huì)遭受Man-in-the-middle方式的攻擊�。
在審計(jì)各種各樣的服務(wù)時(shí),請(qǐng)考慮升級(jí)提供這些服務(wù)的進(jìn)程。
審計(jì)系統(tǒng)BUG 作為安全管理者和審計(jì)人員�,你需要對(duì)由操作系統(tǒng)產(chǎn)生的漏洞和可以利用的軟件做到心中有數(shù)。早先版本的Microsoft IIS允許用戶在地址欄中運(yùn)行命令�,這造成了IIS主要的安全問題。其實(shí)�,最好的修補(bǔ)安全漏洞的方法是升級(jí)相關(guān)的軟件。為了做到這些�,你必須廣泛地閱讀和與其他從事安全工作的人進(jìn)行交流,這樣�,你才能跟上最新的發(fā)展�。這些工作會(huì)幫助你了解更多的操作系統(tǒng)上的特定問題。
雖然大多數(shù)的廠商都為其產(chǎn)品的問題發(fā)布了修補(bǔ)方法�,但你必須充分理解補(bǔ)上了哪些漏洞。如果操作系統(tǒng)或程序很復(fù)雜�,這些修補(bǔ)可能在補(bǔ)上舊問題的同時(shí)又開啟了新的漏洞。因此�,你需要在實(shí)施升級(jí)前進(jìn)行測(cè)試。這些測(cè)試工作包括在隔離的網(wǎng)段中驗(yàn)證它是否符合你的需求�。當(dāng)然也需要參照值得信賴的網(wǎng)絡(luò)刊物和專家的觀點(diǎn)。
審計(jì)Trap Door和Root Kit
Root kit是用木馬替代合法程序�。Trap Door是系統(tǒng)上的bug,當(dāng)執(zhí)行合法程序時(shí)卻產(chǎn)生了非預(yù)期的結(jié)果�。如老版本的UNIX sendmail,在執(zhí)行debug命令時(shí)允許用戶以root權(quán)限執(zhí)行腳本代碼�,一個(gè)收到嚴(yán)格權(quán)限控制的用戶可以很輕易的添加用戶賬戶。
雖然root kit通常出現(xiàn)在UNIX系統(tǒng)中,但攻擊者也可以通過看起來(lái)合法的程序在Windows NT中置入后門�。象NetBus,BackOrifice和Masters of Paradise等后門程序可以使攻擊者滲透并控制系統(tǒng)。木馬可以由這些程序產(chǎn)生�。如果攻擊者夠狡猾,他可以使這些木馬程序避開一些病毒檢測(cè)程序�,當(dāng)然用最新升級(jí)的病毒檢測(cè)程序還是可以發(fā)現(xiàn)它們的蹤跡。在對(duì)系統(tǒng)進(jìn)行審計(jì)時(shí)�,你可以通過校驗(yàn)分析和掃描開放端口的方式來(lái)檢測(cè)是否存在root kit等問題。
審計(jì)和后門程序
通常�,在服務(wù)器上運(yùn)行的操作系統(tǒng)和程序都存在代碼上的漏洞�。例如,最近的商業(yè)Web瀏覽器就發(fā)現(xiàn)了許多安全問題�。攻擊者通常知道這些漏洞并加以利用。就象你已經(jīng)知道的RedButton�,它利用了Windows NT的漏洞使攻擊者可以得知缺省的管理員賬號(hào)�,即使賬號(hào)的名稱已經(jīng)更改。后門(back door)也指在操作系統(tǒng)或程序中未記錄的入口�。程序設(shè)計(jì)人員為了便于快速進(jìn)行產(chǎn)品支持有意在系統(tǒng)或程序中留下入口。不同于bug�,這種后門是由設(shè)計(jì)者有意留下的。例如�,像Quake和Doom這樣的程序含有后門入口允許未授權(quán)的用戶進(jìn)入游戲安裝的系統(tǒng)。雖然看來(lái)任何系統(tǒng)管理員都不會(huì)允許類似的程序安裝在網(wǎng)絡(luò)服務(wù)器上�,但這種情況還是時(shí)有發(fā)生。
從后門程序的危害性,我們可以得出結(jié)論�,在沒有首先閱讀資料和向值得信賴的同事咨詢之前不要相信任何新的服務(wù)或程序。在你進(jìn)行審計(jì)時(shí)�,請(qǐng)花費(fèi)一些時(shí)間仔細(xì)記錄任何你不了解它的由來(lái)和歷史的程序。 審計(jì)拒絕服務(wù)攻擊 Windows NT 易遭受拒絕服務(wù)攻擊�,主要是由于這種操作系統(tǒng)比較流行并且沒有受到嚴(yán)格的檢驗(yàn)。針對(duì)NT服務(wù)的攻擊如此頻繁的原因可以歸結(jié)為:發(fā)展勢(shì)頭迅猛但存在許多漏洞�。在審計(jì)Windows NT網(wǎng)絡(luò)時(shí),一定要花時(shí)間來(lái)驗(yàn)證系統(tǒng)能否經(jīng)受這種攻擊的考驗(yàn)�。打補(bǔ)丁是一種解決方法。當(dāng)然�,如果能將服務(wù)器置于防火墻的保護(hù)之下或應(yīng)用入侵監(jiān)測(cè)系統(tǒng)的話就更好了。通常很容易入侵UNIX操作系統(tǒng)�,主要因?yàn)樗辉O(shè)計(jì)來(lái)供那些技術(shù)精湛而且心理健康的人使用。在審計(jì)UNIX系統(tǒng)時(shí)�,要注意Finger服務(wù),它特別容易造成緩沖區(qū)溢出�。
緩沖區(qū)溢出
緩沖區(qū)溢出是指在程序重寫內(nèi)存塊時(shí)出現(xiàn)的問題。所有程序都需要內(nèi)存空間和緩沖區(qū)來(lái)運(yùn)行�。如果有正確的權(quán)限,操作系統(tǒng)可以為程序分配空間�。C和C++等編程語(yǔ)言容易造成緩沖區(qū)溢出,主要因?yàn)樗鼈儾幌葯z查是否有存在的內(nèi)存塊就直接調(diào)用系統(tǒng)內(nèi)存�。一個(gè)低質(zhì)量的程序會(huì)不經(jīng)檢查就重寫被其它程序占用的內(nèi)存,而造成程序或整個(gè)系統(tǒng)死掉�,而留下的shell有較高的權(quán)限�,易被黑客利用運(yùn)行任意代碼�。
據(jù)統(tǒng)計(jì)�,緩沖區(qū)溢出是當(dāng)前最緊迫的安全問題。要獲得關(guān)于緩沖區(qū)溢出的更多信息�,請(qǐng)?jiān)L問Http://www-4.ibm.com/software/developer/library/overflows/index.heml
網(wǎng)絡(luò)的神奇作用吸引著越來(lái)越多的用戶加入其中,正因如此�,網(wǎng)絡(luò)的承受能力也面臨著越來(lái)越嚴(yán)峻的考驗(yàn)―從硬件上、軟件上�、所用標(biāo)準(zhǔn)上......,各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢(shì)�,對(duì)應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑�。
|
溫馨提示:喜歡本站的話,請(qǐng)收藏一下本站�!
