---- 随着电子商务的发展,保卫企业的计算机网络不受恶意侵犯是至
关重要的,必须把重点放在服务上。面对信息战的挑战,网络管理人
员应该了解哪些对网络的入侵是非恶意的,以便把精力集中在对付那
些潜在的、严重的威胁上。
---- 目前企业服务器和桌面系统比90年代初期安全多了,这是因为系
统和应用厂商已经意识到了早期系统的脆弱。更令人欣喜的是,信息
安全的领域也扩大了,并且把对入侵系统的探测作为一个重要的方
面。许多厂商开始提供强壮的入侵探测系统(Intrusion Detection
System,IDS)。
---- 事物的发展也有不利的一面。Internet几乎按指数规律增长,因
此不断出现新的攻击方法,而IDS提供厂商却跟不上这些变化。因此在
网络安全方面,有许多地方没有建立可靠的防御体系。而且,即使是
最复杂的探测工具也不能替代人工分析入侵事件,因为自动化的工具
不具备从各个分散的事件中综合分析信息的能力。因此,对于网络管
理人员来说,采用IDS的挑战是如何把无关的信息过滤掉,以便集中精
力处理真正严重的网络侵袭。
澄清误区
---- 在分析网络入侵之前,首先应该澄清一些错误的概念,以免陷入
不必要的麻烦。
---- 第一个错误的概念是认为只有.com公司才是黑客进攻的目标。只
要您建立了网站,或者您的企业网连入了Internet,就有可能遭到攻
击。虽然通过域名系统(DNS)得不到什么有关公司网络系统的信息,
但是一个简单的名字查找便可以获得公司公共服务器的许多细节。
---- 第二个误解是黑客只愿意闯进Unix系统。Internet已经普及到
数千万张桌面系统上,其中大多数是Windows机器,它们特别容易受到
恶意的侵袭和破坏。蒙丽莎病毒仅仅是上百种凶恶病毒当中的一个。
特洛伊木马侵入被证明是控制基于Windows的个人计算机的有效方法。
---- 第三个误解是相信只要部署了IDS并且进行注册就可以保证系统
的安全。如今开发的大多数IDS是滞后的,也就是说,它们所能检查和
记录的内容都是基于从过去的入侵中所得到的线索,而对于新的网络
攻击方法却很难查出。
---- 这种方式还有一个潜在的问题,就是老练的入侵者很容易通过破
坏日志文件掩盖自己的踪迹。另一个问题是您捕获的信息越多,就越
难以发现独立的、明显的信息。
---- 必须指出的是,一些安全专家经常夸口说他们的网络从来没有受
到侵害,其实事实并不一定就是如此,也许只是这些网络从来没有探
测到有入侵的情况。
如何处理入侵
---- 如果IDS探测出意外的事件,您应该如何处理呢?例如,如果您
发现一些网络共享是不可用的,还有远程拨号用户没有经过认证,那
么您是否在遭受攻击,还是这些仅仅是无关的例行事件?您最好尽快
做出决策。下面是判断是否遭受严重攻击的步骤。
---- 首先要中断系统和网络的连接。因为您在做出判断之前需要控制
环境。更重要的是,如果入侵者依然存在,他会主动扰乱您的工作。
---- 其次,拷贝所有的注册文件,包括IDS日志文件和事件日志文件
(Windows NT系统)或syslog文件(Unix系统)。入侵者也许会通过
删除所有的日志文件来掩盖作案的痕迹。
---- 第三,检查最后访问特权账户的时间(在Windows NT的管理员
目录或Unix的根目录下),并和系统管理员保存的日志文件进行比
较,同时检查有关账号的命令使用情况记录。
---- 1. 检查针对“静态”系统设备的最新修改日期,检查passwd或
su二进制文件是否遭受侵犯。如果您已经拥有这些设备的记录,那么
需要和当前的结果仔细比较。
---- 2. 在用户目录上检查系统管理文件的拷贝。在Unix机器上,运
行find命令,并在用户分区检查passwd和su一类的二进制文件。如果
发现这类文件,记录拥有它们的用户、文件的大小和修改日期,采用
/sbin或/usr/sbin下的工具比较。
---- 3. 检查对口令和用户授权文件的最新修改,查找有无异常的增
加或删除,以及有无组或用户ID号的改变。
---- 第四,扫描进程表,查找有无异常的活动。如果发现有可疑的进
程,注意该进程的拥有者、大小和使用处理机的时间。使用类似lsof
的工具确认当前被该进程使用的资源,如文件和管道等等。
---- 此外,扫描主机上所有开放的TCP/UDP服务。检查网络的守护进
程是否被入侵者插入了特洛伊木马。
---- 最后,记录您所做的一切,把它们写在纸面上,包括日期、主机
名、用户名和在场的其他人员的名字。
查找入侵者的踪迹
---- 了解如何处理偶然事件是至关重要的,识别潜在的入侵者也是如
此。下面的问题将有助于您了解潜在的入侵者。
---- 1. 入侵者会反复进攻吗?
---- 如果入侵失败的话,很少有入侵者会再次试图访问同一个服务
器。另一方面,老练的入侵者将收集服务器的信息,以便发现更多的
细节。例如,某一天,您正在扫描您的IDS日志文件,这时您注意到有
黑客正在扫描您的邮件服务器,寻找开放的TCD和UDP端口。2天后,该
入侵者的IP地址又出现了,但是这次他的目标仅仅是开放端口。再过
几个小时,入侵者通过端口25进入SMTP命令系列。
---- 2. 入侵者会犯明显的错误吗?
---- 入侵过程的每一个步骤都反映了入侵者的技能。一个老练的入侵
者不会在语法错误和试验方面浪费时间。企图通过网络新闻传输协议
NNTP端口进入SMTP命令的黑客肯定是新手。
---- 3. 入侵者会在一天中不同的时间进行攻击吗?
---- 入侵者的访问模式可以提供非常重要的线索,例如地理位置、职
业和年龄等。大多数黑客往往在晚上9点到上午1点之间活动。如果入
侵只发生在工作日的上午9点到下午5点之间,那么黑客发动进攻的地
点一般是在他们的工作场所。
---- 4. 黑客会企图掩盖作案的痕迹吗?
---- 在发现入侵12小时之内,您检查过系统日志吗?您曾注意过根账
户目录下的命令记录文件已经神秘地消失了吗?这些迹象都表明,这
是一次老练黑客的攻击,他精心删除了所有活动的记录,甚至骗过了
IDS的报警机制。这点和窃贼非常相似,在偷走了室内的宝物之后,又
放火烧毁了房子。
---- 一种可行的解决方案是在几个地方保存日志文件,最好有一处是
在可移动的介质上面,如在软盘上。在进行系统数据备份的同时也一
定要备份日志文件。
防止入侵
---- 我们了解了一些如何对付入侵的方法,但是最为重要的是防止入
侵。下面是一些防止网络侵袭的简单过程。
---- 首先是预防IP欺骗。IP欺骗是一种比较复杂的入侵方法,而且还
比较成功。目前大多数主要的安全设备都是包过滤型的,它像一道安
全网闸,根据用户信息的源地址决定数据包是否可以通过。这种方式
基于黑客不可能破坏数据包的包头,但是实际上IP包头很容易被破
坏,所以黑客可以伪装成来自被允许通过的信息源。
---- 为了弥补这一不足,下一代的IP网络(IPv6)已经采取了新的安
全机制,即IPSec协议,它能够较好地封装数据包头。目前市场上已经
有了成熟的IPSec产品。
---- 另一项保护措施是保护网络系统内部配置的信息,因为不少黑客
都想了解防火墙后面的情况。此外,通过展示网络规划,在不知不觉
的情况下,可能暴露了网络比较薄弱的地方。这时,不要幻想您已经
配置了IDS。黑客进行成功袭击的第一步就是收集安全机制的信息。因
此不能让入侵者轻而易举地得到关键的信息。
---- 一种聪明的办法是让网络平台多元化。当X厂商宣布发现其SMTP
性能有巨大缺陷的时候,也许您会感到很庆幸,因为您的另一个电子
邮件服务器采用的是Y厂商的结构。在安全方面,和其他工作十分相
似,把所有的鸡蛋放到一个篮子里是不明智的。
---- 您还应该在用户不再使用系统后及时停止用户的账号。在许多情
况下,入侵者首先通过识别已经不使用的账号,获得访问系统特权账
号的权利。为了避免出现这种漏洞,您需要改变安全策略,使系统能
自动让长期不用的账号作废,并最终给予删除。
---- 防止入侵的另一个好方法是外部审计。应该由安全专家进行审
计,他需要仔细检查系统的安全策略和网络的配置。审计之后应该提
交一份内容全面的报告,包含所发现缺陷的全部细节。
---- 您还应该寻找一位“讲道德的黑客”来试图侵入您的系统。这里
重点是在广泛全面的基础之上,这位“黑客”不能仅仅在特殊领域有
所擅长。最后,需要培训有关员工可以识别各种进攻。
---- 尽管入侵探测技术不断成熟,但是在这场斗争中,技术的发展显
然还跟不上Internet的飞速增长。由于电子商务的需求,企业
Intranet正在平稳地集成Extranet、VPN和远程访问等,使得今天防
止网络入侵的形势更加复杂。
---- 安全管理人员面临着巨大的挑战,惟一保证网络处在一定安全级
别的方法是不断地获得最新的信息。网络管理人员应该经常访问安全
方面的网站,这要成为日常工作的一部分。总之,在处理网络入侵方
面,人的工作是不可替代的,应该在安全管理培训上进行投资,也需
要购置有效的工具,这样在网络安全方面就能立于不败之地。