讓我們研究一些方案，分析攻擊者如何發(fā)起攻擊以及如何停止或預防他們。我將首先描述兩種涉及內(nèi)部攻擊的方案（即，在組織內(nèi)部發(fā)起的攻擊），然后研究涉及外部攻擊的兩種方案。

內(nèi)部攻擊

內(nèi)部攻擊者是解密攻擊最常見的來源，因為攻擊者具有對組織系統(tǒng)的直接訪問權(quán)。第一種方案研究的是攻擊者是心懷不滿的雇員的情況。攻擊者，一名經(jīng)驗豐富的系統(tǒng)管理員，在工作中遇到了問題，而拿她自己管理、保護的系統(tǒng)發(fā)泄。

示例：心懷不滿的雇員

Jane Smith是一名經(jīng)驗豐富的且在技術上有完善的記錄證明的系統(tǒng)管理員，她被公司雇傭在深夜運行備份磁帶。您的公司，作為一家 ISP，擁有非常龐大的數(shù)據(jù)中心，大約4000多個系統(tǒng)都由一個網(wǎng)絡運營中心（Network Operations Center）監(jiān)控。Jane和另外兩名技術人員一起工作以監(jiān)控通宵備份，并且在早班之前倒完磁帶。他們彼此獨立工作：一名技術員負責UNIX 服務器，一名技術員負責全部Novell服務器，而Jane負責Windows 2000服務器。

Jane已經(jīng)工作了六個月并且是一名后起之秀。她來得很早，走得很晚，并且曾請求轉(zhuǎn)到公司的另一個部門。問題是那時沒有空位子。在上個月，您（安全分析師）發(fā)現(xiàn) Cisco路由器和UNIX服務器上的登錄嘗試的數(shù)量有大幅增加。您實現(xiàn)了CiscoSecure ACS，所以可以對嘗試進行審計，您發(fā)現(xiàn)它們大部分出現(xiàn)在早上3點鐘。

您產(chǎn)生了懷疑，但作為一名安全分析師，您不能在沒有證據(jù)的情況下到處指證。

一名優(yōu)秀的安全分析師從深入研究問題著手。您發(fā)現(xiàn)攻擊出自高手，并且出現(xiàn)在Jane 當班期間，正好在她完成倒帶任務之后，在日班小組到來之前，她有一個小時的時間學習和閱讀。所以您決定請夜班經(jīng)理夜晚監(jiān)督 Jane。三個星期的嚴密監(jiān)督之后，您發(fā)現(xiàn)攻擊已經(jīng)停止了。您的懷疑是正確的。正是Jane試圖登錄到Cisco路由器和UNIX服務器中。

一名優(yōu)秀的安全分析師還需要使用一種好的審計工具（如Tacacs+）來記錄攻擊。Tacacs+是由諸如CiscoSecure ACS之類的應用程序所使用的協(xié)議，該協(xié)議強制授權(quán)（Authorization）、可計帳性（Accountability）和認證（Authentication）（簡稱 AAA）。如果您具有授權(quán)，則需要對請求訪問的人進行授權(quán)以訪問系統(tǒng)。如果您具有認證，則需要對訪問資源的用戶進行認證以驗證他們是否有訪問的權(quán)利和權(quán)限。如果同時被授權(quán)和認證會發(fā)生什么呢？您必須具有可計帳的。單獨計算登錄數(shù)通過強制攻擊者保持可計帳的、被認證及被授權(quán)，從而解決了許多密碼破解問題。

接下來，我將給出一個老的（但仍廣泛使用的）攻擊示例，它就在網(wǎng)下嗅探密碼。您可以研究一下網(wǎng)絡主管的Cisco路由器和交換機是如何被公司中的Help Desk技術人員破解的。

示例：Help Desk技術人員

Tommy被雇傭擔任Help Desk技術員，他和下班后的Help Desk人員一起工作。下班后的Help Desk人員由大約10 名技術員組成，他們負責公司需要在下班期間支持的8個遠程站點。Tommy總是帶著他的筆記本電腦上班。當經(jīng)理問及此事時，Tommy 解釋說他用其休息時間準備一個認證考試。這似乎是無害的并得到了批準，盡管公司對在未經(jīng)公司安全檢查就從外部將機器帶入公司網(wǎng)絡的行為有一條公司內(nèi)的安全制度。

最終，一個監(jiān)視器捕獲了Tommy在離開一間小配線房時在手臂下藏著某些東西。但由于無人報告丟失任何東西，無法證明Tommy犯了什么錯。當Help Desk經(jīng)理詢問Tommy為什么出現(xiàn)在配線房時，他說誤把配線房當成了休息室。

公司安全經(jīng)理Erika看到了由負責大樓安全的門衛(wèi)提交的報告。她想知道Tommy在配線房干什么，并且對Tommy向Help Desk 經(jīng)理的回答感到懷疑。檢查配線房時，她發(fā)現(xiàn)從其中一個配線板上垂下一根被拔下的接線電纜以及一個空的集線器端口。當她將電纜插回去時，鏈路燈還是不亮，這意味著這是一個死端口。電纜管理員Velcro將所有其它電纜都整齊地捆綁在一起。憑著Erika 多年經(jīng)驗以及對安全利用的敏銳意識，她確切地知道發(fā)生了什么。

Erika假設Tommy 在未被發(fā)現(xiàn)的情況下將其筆記本電腦帶入了配線房。他很有可能尋找集線器上的一個死端口，然后插上安裝了包嗅探器的筆記本電腦，該嗅探器可以不加選擇地拾取網(wǎng)段上的通信量。稍后他返回取走了電腦（被監(jiān)視器捕捉到），在保存捕捉文件后拿回家進行分析。

使用公司的安全制度，她找到Tommy并說明了所有非法進入公司的個人財產(chǎn)（如筆記本電腦和掌上電腦）都需要進行檢查。由于Tommy本不該帶入他的筆記本電腦，所以將它交給了Erika。經(jīng)過仔細檢查，Erika發(fā)現(xiàn)了下列跟蹤譯碼，如圖1中所示。

圖1 使用協(xié)議分析器捕獲的telnet通信量

經(jīng)過對Sniffer Pro分析器十六進制窗格的嚴格檢查，在圖2中的窗格的右邊清晰地顯示了ASCII數(shù)據(jù)。當連接到配線房的交換機時，Tommy通過telnet會話連接在運行配置。由于 telnet協(xié)議是不安全的且通過明文發(fā)送，所以很容易看到密碼“cisco”。

圖2 明文數(shù)據(jù)的ASCII譯碼

這是最基本的安全性原則之一：不要使用產(chǎn)品名稱作為密碼。但無論原則如何基本，奇怪的是還是經(jīng)常有人這樣做。

接下來，請注意某些外部威脅。