|
網絡技術是從1990年代中期發展起來的新技術��,它把互聯網上分散的資源融為有機整體�����,實現資源的全面共享和有機協作�,使人們能夠透明地使用資源的整體能力并按需獲取信息��。資源包括高性能計算機�����、存儲資源、數據資源��、信息資源���、知識資源�、專家資源、大型數據庫���、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段����。 服務器安全 WEB和FTP這兩種服務器通常置于DMZ�,無法得到防火墻的完全保護���,所以也特別容易遭到攻擊����。Web和FTP服務通常存在的問題包括:
· 用戶通過公網發送未加密的信息���;
· 操作系統和服務存在眾所周知的漏洞導致拒絕服務攻擊或破壞系統��;
· 舊有操作系統中以root權限初始運行的服務���,一旦被黑客破壞�,入侵者便可以在產生的命令解釋器中運行任意的代碼��。
Web頁面涂改
近來���,未經授權對Web服務器進行攻擊并涂改缺省主頁的攻擊活動越來越多��。許多企業、政府和公司都遭受過類似的攻擊��。有時這種攻擊是出于政治目的�����。大多數情況下Web頁面的涂改意味著存在這入侵的漏洞���。這些攻擊通常包括Man-in-the-middle攻擊(使用包嗅探器)和利用緩沖區溢出�����。有時,還包括劫持攻擊和拒絕服務攻擊���。
郵件服務
廣泛使用的SMTP、POP3和IMAP一般用明文方式進行通信�����。這種服務可以通過加密進行驗證但是在實際應用中通信的效率不高�。又由于大多數人對多種服務使用相同的密碼���,攻擊者可以利用嗅探器得到用戶名和密碼�����,再利用它攻擊其它的資源�,例如Windows NT服務器。這種攻擊不僅僅是針對NT系統。許多不同的服務共享用戶名和密碼����。你已經知道一個薄弱環節可以破壞整個的網絡���。FTP和SMTP服務通常成為這些薄弱的環節���。
與郵件服務相關的問題包括:
· 利用字典和暴力攻擊POP3的login shell����;
· 在一些版本中sendmail存在緩沖區溢出和其它漏洞�����;
· 利用E-mail的轉發功能轉發大量的垃圾信件
名稱服務
攻擊者通常把攻擊焦點集中在DNS服務上���。由于DNS使用UDP�����,而UDP連接又經常被各種防火墻規則所過濾,所以許多系統管理員發現將DNS服務器至于防火墻之后很困難。因此����,DNS服務器經常暴露在外,使它成為攻擊的目標�。DNS攻擊包括:
· 未授權的區域傳輸�;
· DNS 毒藥��,這種攻擊是指黑客在主DNS服務器向輔DNS服務器進行區域傳輸時插入錯誤的DNS信息�����,一旦成功,攻擊者便可以使輔DNS服務器提供錯誤的名稱到IP地址的解析信息��;
· 拒絕服務攻擊�;
其它的一些名稱服務也會成為攻擊的目標,如下所示:
· WINS�����,“Coke”通過拒絕服務攻擊來攻擊沒有打補丁的NT系統�����。
· SMB服務(包括Windows的SMB和UNIX的Samba)這些服務易遭受Man-in-the-middle攻擊��,被捕獲的數據包會被類似L0phtCrack這樣的程序破解。
· NFS和NIS服務����。這些服務通常會遭受Man-in-the-middle方式的攻擊�����。
在審計各種各樣的服務時,請考慮升級提供這些服務的進程����。
審計系統BUG 作為安全管理者和審計人員���,你需要對由操作系統產生的漏洞和可以利用的軟件做到心中有數。早先版本的Microsoft IIS允許用戶在地址欄中運行命令��,這造成了IIS主要的安全問題����。其實,最好的修補安全漏洞的方法是升級相關的軟件�����。為了做到這些����,你必須廣泛地閱讀和與其他從事安全工作的人進行交流�����,這樣,你才能跟上最新的發展�。這些工作會幫助你了解更多的操作系統上的特定問題�����。
雖然大多數的廠商都為其產品的問題發布了修補方法,但你必須充分理解補上了哪些漏洞����。如果操作系統或程序很復雜��,這些修補可能在補上舊問題的同時又開啟了新的漏洞。因此���,你需要在實施升級前進行測試。這些測試工作包括在隔離的網段中驗證它是否符合你的需求�。當然也需要參照值得信賴的網絡刊物和專家的觀點�����。
審計Trap Door和Root Kit
Root kit是用木馬替代合法程序�。Trap Door是系統上的bug,當執行合法程序時卻產生了非預期的結果。如老版本的UNIX sendmail����,在執行debug命令時允許用戶以root權限執行腳本代碼����,一個收到嚴格權限控制的用戶可以很輕易的添加用戶賬戶���。
雖然root kit通常出現在UNIX系統中���,但攻擊者也可以通過看起來合法的程序在Windows NT中置入后門����。象NetBus,BackOrifice和Masters of Paradise等后門程序可以使攻擊者滲透并控制系統。木馬可以由這些程序產生��。如果攻擊者夠狡猾�����,他可以使這些木馬程序避開一些病毒檢測程序��,當然用最新升級的病毒檢測程序還是可以發現它們的蹤跡。在對系統進行審計時,你可以通過校驗分析和掃描開放端口的方式來檢測是否存在root kit等問題�����。
審計和后門程序
通常�����,在服務器上運行的操作系統和程序都存在代碼上的漏洞。例如�,最近的商業Web瀏覽器就發現了許多安全問題����。攻擊者通常知道這些漏洞并加以利用�����。就象你已經知道的RedButton�����,它利用了Windows NT的漏洞使攻擊者可以得知缺省的管理員賬號,即使賬號的名稱已經更改。后門(back door)也指在操作系統或程序中未記錄的入口。程序設計人員為了便于快速進行產品支持有意在系統或程序中留下入口���。不同于bug,這種后門是由設計者有意留下的�����。例如,像Quake和Doom這樣的程序含有后門入口允許未授權的用戶進入游戲安裝的系統。雖然看來任何系統管理員都不會允許類似的程序安裝在網絡服務器上��,但這種情況還是時有發生����。
從后門程序的危害性,我們可以得出結論,在沒有首先閱讀資料和向值得信賴的同事咨詢之前不要相信任何新的服務或程序����。在你進行審計時��,請花費一些時間仔細記錄任何你不了解它的由來和歷史的程序。 審計拒絕服務攻擊 Windows NT 易遭受拒絕服務攻擊,主要是由于這種操作系統比較流行并且沒有受到嚴格的檢驗��。針對NT服務的攻擊如此頻繁的原因可以歸結為:發展勢頭迅猛但存在許多漏洞�����。在審計Windows NT網絡時,一定要花時間來驗證系統能否經受這種攻擊的考驗。打補丁是一種解決方法。當然���,如果能將服務器置于防火墻的保護之下或應用入侵監測系統的話就更好了。通常很容易入侵UNIX操作系統,主要因為它被設計來供那些技術精湛而且心理健康的人使用��。在審計UNIX系統時�,要注意Finger服務,它特別容易造成緩沖區溢出�。
緩沖區溢出
緩沖區溢出是指在程序重寫內存塊時出現的問題�����。所有程序都需要內存空間和緩沖區來運行。如果有正確的權限�,操作系統可以為程序分配空間�����。C和C++等編程語言容易造成緩沖區溢出,主要因為它們不先檢查是否有存在的內存塊就直接調用系統內存����。一個低質量的程序會不經檢查就重寫被其它程序占用的內存�����,而造成程序或整個系統死掉,而留下的shell有較高的權限���,易被黑客利用運行任意代碼。
據統計����,緩沖區溢出是當前最緊迫的安全問題。要獲得關于緩沖區溢出的更多信息���,請訪問Http://www-4.ibm.com/software/developer/library/overflows/index.heml
網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此��,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上�、軟件上、所用標準上......���,各項技術都需要適時應勢,對應發展�,這正是網絡迅速走向進步的催化劑��。
| 
