|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來(lái)的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體��,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作���,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計(jì)算機(jī)���、存儲(chǔ)資源�、數(shù)據(jù)資源���、信息資源����、知識(shí)資源���、專(zhuān)家資源�����、大型數(shù)據(jù)庫(kù)�����、網(wǎng)絡(luò)�、傳感器等�����。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段��。 7.檢查涉及到的或者受到威脅的遠(yuǎn)程站點(diǎn)
在審查日志文件���、入侵程序的輸出文件和系統(tǒng)被侵入以來(lái)被修改的和新建立的文件時(shí)�����,要注意哪些站點(diǎn)可能會(huì)連接到被侵入的系統(tǒng)��。根據(jù)經(jīng)驗(yàn)?zāi)切┻B接到被侵入主機(jī)的站點(diǎn),通常已經(jīng)被侵入了����。所以要盡快找出其它可能遭到入侵的系統(tǒng),通知其管理人員�����。
D.通知相關(guān)的CSIRT和其它被涉及的站點(diǎn)
1.事故報(bào)告
入侵者通常會(huì)使用被侵入的帳戶或者主機(jī)發(fā)動(dòng)對(duì)其它站點(diǎn)的攻擊�。如果你發(fā)現(xiàn)針對(duì)其它站點(diǎn)的入侵活動(dòng),建議你馬上和這些站點(diǎn)聯(lián)絡(luò)��。告訴他們你發(fā)現(xiàn)的入侵征兆�����,建議他們檢查自己的系統(tǒng)是否被侵入�,以及如何防護(hù)。要盡可能告訴他們所有的細(xì)節(jié)����,包括:日期/時(shí)間戳、時(shí)區(qū)��,以及他們需要的信息�。
你還可以向CERT(計(jì)算機(jī)緊急反應(yīng)組)提交事故報(bào)告,從他們那里的到一些恢復(fù)建議��。
中國(guó)大陸地區(qū)的網(wǎng)址是:
http://www.cert.org.cn
2.與CERT調(diào)節(jié)中心聯(lián)系
你還可以填寫(xiě)一份事故報(bào)告表���,使用電子郵件發(fā)送http://www.cert.org,從那里可以得到更多幫助����。CERT會(huì)根據(jù)事故報(bào)告表對(duì)攻擊趨勢(shì)進(jìn)行分析�����,將分析結(jié)果總結(jié)到他們的安全建議和安全總結(jié)����,從而防止攻擊的蔓延������?梢詮囊韵戮W(wǎng)址獲得事故報(bào)告表:
http://www.cert.org/ftp/incident_reporting_form
3.獲得受牽連站點(diǎn)的聯(lián)系信息
如果你需要獲得頂級(jí)域名(.com����、.edu、.net����、.org等)的聯(lián)系信息,建議你使用interNIC的whois數(shù)據(jù)庫(kù)���。
http://rs.internic.net/whois.html
如果你想要獲得登記者的確切信息����,請(qǐng)使用interNIC的登記者目錄:
http://rs.internic.net/origin.html
想獲得亞太地區(qū)和澳洲的聯(lián)系信息���,請(qǐng)查詢:
http://www.apnic.net/apnic-bin/whois.pl
http://www.aunic.net/cgi-bin/whois.aunic
如果你需要其它事故反應(yīng)組的聯(lián)系信息���,請(qǐng)查閱FIRST(Forum of Incident Response and Security Teams)的聯(lián)系列表:
http://www.first.org/team-info/
要獲得其它的聯(lián)系信息�����,請(qǐng)參考:
http://www.cert.org/tech_tips/finding_site_contacts.html
建議你和卷入入侵活動(dòng)的主機(jī)聯(lián)系時(shí)�,不要發(fā)信給root或者postmaster�����。因?yàn)橐坏┻@些主機(jī)已經(jīng)被侵入���,入侵者就可能獲得了超級(jí)用戶的權(quán)限,就可能讀到或者攔截送到的e-mail���。
E.恢復(fù)系統(tǒng)
1.安裝干凈的操作系統(tǒng)版本
一定要記住如果主機(jī)被侵入�����,系統(tǒng)中的任何東西都可能被攻擊者修改過(guò)了�,包括:內(nèi)核�����、二進(jìn)制可執(zhí)行文件���、數(shù)據(jù)文件�、正在運(yùn)行的進(jìn)程以及內(nèi)存。通常����,需要從發(fā)布介質(zhì)上重裝操作系統(tǒng),然后在重新連接到網(wǎng)絡(luò)上之前���,安裝所有的安全補(bǔ)丁,只有這樣才會(huì)使系統(tǒng)不受后門(mén)和攻擊者的影響�����。只是找出并修補(bǔ)被攻擊者利用的安全缺陷是不夠的�。
我們建議你使用干凈的備份程序備份整個(gè)系統(tǒng)。然后重裝系統(tǒng)�。
2.取消不必要的服務(wù)
只配置系統(tǒng)要提供的服務(wù),取消那些沒(méi)有必要的服務(wù)�����。檢查并確信其配置文件沒(méi)有脆弱性以及該服務(wù)是否可靠����。通常��,最保守的策略是取消所有的服務(wù)��,只啟動(dòng)你需要的服務(wù)��。
3.安裝供應(yīng)商提供的所有補(bǔ)丁
我們強(qiáng)烈建議你安裝了所有的安全補(bǔ)丁�,要使你的系統(tǒng)能夠抵御外來(lái)攻擊�,不被再次侵入,這是最重要的一步���。
你應(yīng)該關(guān)注所有針對(duì)自己系統(tǒng)的升級(jí)和補(bǔ)丁信息。
4.查閱CERT的安全建議�、安全總結(jié)和供應(yīng)商的安全提示
我們鼓勵(lì)你查閱CERT以前的安全建議和總結(jié),以及供應(yīng)商的安全提示�,一定要安裝所有的安全補(bǔ)丁。
CERT安全建議:
http://www.cert.org/advisories/
CERT安全總結(jié):
http://www.cert.org/advisories/
供應(yīng)商安全提示:
ftp://ftp.cert.org/pub/cert_bulletins/
5.謹(jǐn)慎使用備份數(shù)據(jù)
在從備份中恢復(fù)數(shù)據(jù)時(shí)�,要確信備份主機(jī)沒(méi)有被侵入。一定要記住���,恢復(fù)過(guò)程可能會(huì)重新帶來(lái)安全缺陷�,被入侵者利用����。如果你只是恢復(fù)用戶的home目錄以及數(shù)據(jù)文件�,請(qǐng)記住文件中可能藏有特洛伊木馬程序���。你還要注意用戶起始目錄下的.rhost文件����。
6.改變密碼
在彌補(bǔ)了安全漏洞或者解決了配置問(wèn)題以后�����,建議你改變系統(tǒng)中所有帳戶的密碼���。一定要確信所有帳戶的密碼都不容易被猜到�����。你可能需要使用供應(yīng)商提供的或者第三方的工具加強(qiáng)密碼的安全��。
澳大利亞CERT發(fā)表了一篇choosing good passwords的文章�����,可以幫助你選擇良好的密碼����。
F.加強(qiáng)系統(tǒng)和網(wǎng)絡(luò)的安全
1.根據(jù)CERT的UNIX/NT配置指南檢查系統(tǒng)的安全性
CERT的UNIX/NT配置指南可以幫助你檢查系統(tǒng)中容易被入侵者利用的配置問(wèn)題。
http://www.cert.org/tech_tips/unix_configuration_guidelines.html
http://www.cert.org/tech_tips/win_configuration_guidelines.html
查閱安全工具文檔可以參考以下文章�,決定使用的安全工具。
http://www.cert.org/tech_tips/security_tools.html
2.安裝安全工具
在將系統(tǒng)連接到網(wǎng)絡(luò)上之前����,一定要安裝所有選擇的安全工具。同時(shí)����,最好使用Tripwire、aide等工具對(duì)系統(tǒng)文件進(jìn)行MD5校驗(yàn)���,把校驗(yàn)碼放到安全的地方,以便以后對(duì)系統(tǒng)進(jìn)行檢查����。
3.打開(kāi)日志
啟動(dòng)日志(logging)/檢查(auditing)/記帳(accounting)程序,將它們?cè)O(shè)置到準(zhǔn)確的級(jí)別,例如sendmail日志應(yīng)該是9級(jí)或者更高。經(jīng)常備份你的日志文件�,或者將日志寫(xiě)到另外的機(jī)器、一個(gè)只能增加的文件系統(tǒng)或者一個(gè)安全的日志主機(jī)��。
4.配置防火墻對(duì)網(wǎng)絡(luò)進(jìn)行防御
現(xiàn)在有關(guān)防火墻的配置文章很多�,在此就不一一列舉了。你也可以參考:
http://www.cert.org/tech_tips/packet_filtering.html
G.重新連接到Internet全
完成以上步驟以后,你就可以把系統(tǒng)連接回Internet了�。
H.升級(jí)你的安全策略
CERT調(diào)節(jié)中心建議每個(gè)站點(diǎn)都要有自己的計(jì)算機(jī)安全策略。每個(gè)組織都有自己特殊的文化和安全需求�,因此需要根據(jù)自己的情況指定安全策略。關(guān)于這一點(diǎn)請(qǐng)參考RFC2196站點(diǎn)安全手冊(cè):
ftp://ftp.isi.edu/in-notes/rfc2196.txt
1.總結(jié)教訓(xùn)
從記錄中總結(jié)出對(duì)于這起事故的教訓(xùn)��,這有助于你檢討自己的安全策略��。
2.計(jì)算事故的代價(jià)
許多組織只有在付出了很大代價(jià)以后才會(huì)改進(jìn)自己的安全策略���。計(jì)算事故的代價(jià)有助于讓你的組織認(rèn)識(shí)到安全的重要性�����。而且可以讓管理者認(rèn)識(shí)到安全有多么重要�。
3.改進(jìn)你的安全策略
最后一步是對(duì)你的安全策略進(jìn)行修改���。所做的修改要讓組織內(nèi)的所有成員都知道��,還要讓他們知道對(duì)他們的影響。
網(wǎng)絡(luò)的神奇作用吸引著越來(lái)越多的用戶加入其中�����,正因如此,網(wǎng)絡(luò)的承受能力也面臨著越來(lái)越嚴(yán)峻的考驗(yàn)―從硬件上��、軟件上����、所用標(biāo)準(zhǔn)上......,各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢(shì)�,對(duì)應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑���。
|
溫馨提示:喜歡本站的話�����,請(qǐng)收藏一下本站����!
