局域网上网的安全防范与技巧

1.引言

在计算机网络日益成为生活中不可或缺的工具时，计算机网络中的入侵活动已经引起了公众的高度重视。非法入侵一直危害着网络安全，计算机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击三个方面。网络的安全威胁方向也分为外部和内部。黑客攻击早在主机终端时代就已经出现，随着因特网的发展，现代黑客则从以系统为主的攻击转变到以网络为主的攻击。本文提供一些网络安全防范的措施和技巧，希望能对网络安全防范起一定的参考作用。

2.黑客攻击类型

任何系统得安全都是相对的，没有一个网络操作系统是绝对安全的。局域网上网即使有防火墙的保护,由于防火墙错误配置等其他原因,仍很难保证百份百的安全。

几种网络攻击类型：

●Data Diddling-------------未经授权删除档案，更改其资料（15.5%)

●Scanner-------------利用工具寻找暗门漏洞(15.8%)

●Sniffer--------------监听加密之封包(11.2%)

●Denial of Service-------------使其系统瘫痪（16.2%)

●IP Spoofing---------------冒充系统内网络的IP地址(12.4%)

●Other------------其他(13.9%) 3.防范黑客的措施:

◎ 选用安全的口令：据统计，大约80%的安全隐患是由于口令设置不当引起的。

◎ 用户口令应包含大小写，最好能加上字符串和数字，一起使用以期达到最好的保密效果；

◎ 用户口令不要太规则,不要用用户姓名、生日和电话号码作为口令。不要用常用单词作为口令；

◎ 根据黑客软件的工作原理,参照口令破译的难易程度,以破解需要的时间为排序指标，口令长度设置时应遵循7位或14位的整数倍原则；

◎ 安装某些系统服务功能模块时有内建帐号，应及时修改操作系统内部帐号口令的缺省设置；

◎ 应及时取消调离或停止工作的雇员的帐号以及无用的帐号;

◎ 在通过网络验证口令过程中,不得以明文方式传输，以免被监听截取;

◎ 口令不得以明文方式存放在系统中,确保口令以加密的形式写在硬盘上并包含口令的文件是只读的;

◎ 口令应定期修改，应避免重复使用旧口令，应采用多套口令的命名规则；

◎ 建立帐号锁定机制，一旦同一帐号密码校验错误若干次即断开连接并锁定该帐号，至一段时间才解锁

再次开放使用。

◎ 实施存取控制：主要是针对网络操作系统的文件系统的存取控制。

◎ 存取控制是内部网络安全理论的重要方面,它包括人员权限,数据标识,权限控制,控制类型,风险分析等内容.

◎ 确保数据的安全：完整性是在数据处理过程中,在原来数据和现行数据之间保持完全一致的证明手段.一般常用数字签名和数据加密算法来保证。请参照几个加密站点：

规定公共密钥加密:http://word.std.com/~franl/crypto/crypto.html

RSA加密专利公司:http://www.rsa.com.faq
◎ 使用安全的服务器系统：虽然没有一种网络操作系统是绝对安全的，但UNIX经过几十年来的发展已相当成熟，以其稳定性和安全性成为关键性应用的首选。

Windows NT的安全问题：

例子：RDISK漏洞：RDISK是WINDOWSNT提供的紧急修复磁盘工具，虽然是很好的工具，但存在巨大的安全漏洞。用户使用RDISK将所有安全信息（包括口令和注册信息）放入C:\WINNT\REPAIR，攻击者很容易获得口令。相应的解决方案可以参见《安全Windows NT安装和配置指导》，网络地址：http://infosec.nosc.mil/TEXT.COMPUSEC/Navynt.zip

UNIX的安全问题：

例子：Linux中的imapd coredump 可以泄露隐蔽口令。 Http://underground.simplenet.com/central/linux-ex/imapd_core.txt

各大UNIX厂商的补丁站点：

AIX（IBM） http://www.ers.ibm.com/tech-info/index.html

FreeBSD/OpenBSD ftp://ftp.openbsd.org/pub/OpenBSD/patches

HP-UNIX http://us-support.external.hp.com/

SCO ftp://ftp.sco.com/SLS/

SunOS/Solaris http://sunsolve.sun.com/sunsolve/pubpatches/

IRIX www.sgi.com/Support/security/patches.html



◎ 谨慎开放缺乏安全保障的应用和端口：很多黑客攻击程序是针对特定服务和特定服务端口的，所以关闭 不必要的服务和服务端口，能大大降低遭受黑客攻击的风险。

NT SERVER：将缺省的NWLink IPX/SPX传输协议去掉；在TCP/IP协议属性里，启用安全机制。如果没有特别需求（如ICQ,Real数据流传输等）可将所有UDP端口关闭。(具体方法：控制面板／协议／TCP/IP协议属性／高级／启用安全机制／配置）

UNIX：最好关闭UNIX的rServices,如rlogin,rfingerd等。用户不提供r Services,最好将/etc/hosts.equiv和rhosts文件删除，修改/etc/services和/etc/inetd.conf文件，将不必要的服务去除。
◎ 定期分析系统日志:日志文件不仅在调查网络入侵时十分重要的，它们也是用少的代价来阻止攻击的办法之一。这里提供给大家一些比较有用的日志文件分析工具：

NestWatch能从所有主web服务器和许多防火墙中导入日志文件。它运行在Windows NT 机器上，能够以HTML格式输出报告，并将它们分发到选定的服务器上。（URL：http://www.sscnet.com/nestwatch.html）

LogSurfer是一个综合日志分析工具。根据它发现的内容，它能执行各种动作，包括告警、执行外部程序，甚至将日志文件数据分块并将它们送给外部命令或进程处理。（ftp://ftp.cert.dfn.de/pub/tols/audit/logsurfer-1.41.tar.gz）要求 有C编译器。

◎ 不断完善服务器系统的安全性能:无论是UNIX还是NT的操作系统都存在安全漏洞，他们的站点会不定期发布系统补丁，系统管理员应定期下载补丁，及时堵住系统漏洞。（微软公司：http://www.microsoft.com/ntserver/）.

◎ 排除人为因素：再完善的安全体制,没有足够的安全意识和技术人员经常维护,安全性将大打折扣。要制定一整套完整的网络安全管理操作规范。

◎ 进行动态站点监控：利用网络管理软件对整个局域网进行监控，发现问题及时防范。

◎ 扫描、攻击自己的站点：网络上有许多扫描软件（例如satan），适用于各种平台，它们是把双刃剑。在网络管理员手里可以成为简化安审计工作的利器，在cracker手里却可成为网络攻击工具。

◎ 请第三方评估机构或专家来完成网络安全的评估:一般能较系统地检查局域网的各项安全指标,但花费较贵.

◎ 谨慎利用共享软件：不应随意下载使用共享软件，有些程序员为了调测软件的方便都设有后门，这往往成为最好的攻击后门。
◎ 做好数据的备份工作：这是非常关键的一个步骤,有了完整的数据备份,我们在遭到攻击或系统出现故障时才可能迅速恢复我们的系统.

◎ 使用防火墙

防火墙是防止从网络外部访问本地网络的所有设备，它们防止外部攻击提供了重要的安全保障。但防火墙只是所有安全体系结构中的一个部件，故不能完全依耐防火墙。

防火墙分为网络级防火墙和应用网关防火墙。

网络级防火墙一般是具有很强报文过滤能力的路由器，可以改变参数来允许或拒绝外部环境对站点的访问，但对欺骗性攻击的防护很脆弱。

应用代理防火墙（应用网关）的优势是它们能阻止IP报文无限制地进入网络，缺点是它们的开销比较大且影响内部网络的工作。代理必须为一个网络应用进行配置，包括HTTP、FTP、TELNET、电子邮件、新闻组等。（相关信息：http://www.telstra.com.au/pub/docs/security/800-10/node52.html）

防火墙的安全问题：

Cisco PIX DES漏洞：Cisco Private Link使用一个48位DES（Date Encryption Standard）密码,被认为较容易被解密。（补丁：http://www.cisco.com/warp/public/770/pixkey-pub.shtml）

FireWall-1保留关键字漏洞：FireWall-1有许多保留关键字，当用它们描述网络对象时会打开一个安全漏洞，使得已命名的对象成为“未定义”，可被任何地址访问。
1.引言

在计算机网络日益成为生活中不可或缺的工具时，计算机网络中的入侵活动已经引起了公众的高度重视。非法入侵一直危害着网络安全，计算机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击三个方面。网络的安全威胁方向也分为外部和内部。黑客攻击早在主机终端时代就已经出现，随着因特网的发展，现代黑客则从以系统为主的攻击转变到以网络为主的攻击。本文提供一些网络安全防范的措施和技巧，希望能对网络安全防范起一定的参考作用。

2.黑客攻击类型

任何系统得安全都是相对的，没有一个网络操作系统是绝对安全的。局域网上网即使有防火墙的保护,由于防火墙错误配置等其他原因,仍很难保证百份百的安全。

几种网络攻击类型：

●Data Diddling-------------未经授权删除档案，更改其资料（15.5%)

●Scanner-------------利用工具寻找暗门漏洞(15.8%)

●Sniffer--------------监听加密之封包(11.2%)

●Denial of Service-------------使其系统瘫痪（16.2%)

●IP Spoofing---------------冒充系统内网络的IP地址(12.4%)

●Other------------其他(13.9%) 3.防范黑客的措施:

◎ 选用安全的口令：据统计，大约80%的安全隐患是由于口令设置不当引起的。

◎ 用户口令应包含大小写，最好能加上字符串和数字，一起使用以期达到最好的保密效果；

◎ 用户口令不要太规则,不要用用户姓名、生日和电话号码作为口令。不要用常用单词作为口令；

◎ 根据黑客软件的工作原理,参照口令破译的难易程度,以破解需要的时间为排序指标，口令长度设置时应遵循7位或14位的整数倍原则；

◎ 安装某些系统服务功能模块时有内建帐号，应及时修改操作系统内部帐号口令的缺省设置；

◎ 应及时取消调离或停止工作的雇员的帐号以及无用的帐号;

◎ 在通过网络验证口令过程中,不得以明文方式传输，以免被监听截取;

◎ 口令不得以明文方式存放在系统中,确保口令以加密的形式写在硬盘上并包含口令的文件是只读的;

◎ 口令应定期修改，应避免重复使用旧口令，应采用多套口令的命名规则；

◎ 建立帐号锁定机制，一旦同一帐号密码校验错误若干次即断开连接并锁定该帐号，至一段时间才解锁

再次开放使用。

◎ 实施存取控制：主要是针对网络操作系统的文件系统的存取控制。

◎ 存取控制是内部网络安全理论的重要方面,它包括人员权限,数据标识,权限控制,控制类型,风险分析等内容.

◎ 确保数据的安全：完整性是在数据处理过程中,在原来数据和现行数据之间保持完全一致的证明手段.一般常用数字签名和数据加密算法来保证。请参照几个加密站点：

规定公共密钥加密:http://word.std.com/~franl/crypto/crypto.html

RSA加密专利公司:http://www.rsa.com.faq
◎ 使用安全的服务器系统：虽然没有一种网络操作系统是绝对安全的，但UNIX经过几十年来的发展已相当成熟，以其稳定性和安全性成为关键性应用的首选。

Windows NT的安全问题：

例子：RDISK漏洞：RDISK是WINDOWSNT提供的紧急修复磁盘工具，虽然是很好的工具，但存在巨大的安全漏洞。用户使用RDISK将所有安全信息（包括口令和注册信息）放入C:\WINNT\REPAIR，攻击者很容易获得口令。相应的解决方案可以参见《安全Windows NT安装和配置指导》，网络地址：http://infosec.nosc.mil/TEXT.COMPUSEC/Navynt.zip

UNIX的安全问题：

例子：Linux中的imapd coredump 可以泄露隐蔽口令。 Http://underground.simplenet.com/central/linux-ex/imapd_core.txt

各大UNIX厂商的补丁站点：

AIX（IBM） http://www.ers.ibm.com/tech-info/index.html

FreeBSD/OpenBSD ftp://ftp.openbsd.org/pub/OpenBSD/patches

HP-UNIX http://us-support.external.hp.com/

SCO ftp://ftp.sco.com/SLS/

SunOS/Solaris http://sunsolve.sun.com/sunsolve/pubpatches/

IRIX www.sgi.com/Support/security/patches.html



◎ 谨慎开放缺乏安全保障的应用和端口：很多黑客攻击程序是针对特定服务和特定服务端口的，所以关闭 不必要的服务和服务端口，能大大降低遭受黑客攻击的风险。

NT SERVER：将缺省的NWLink IPX/SPX传输协议去掉；在TCP/IP协议属性里，启用安全机制。如果没有特别需求（如ICQ,Real数据流传输等）可将所有UDP端口关闭。(具体方法：控制面板／协议／TCP/IP协议属性／高级／启用安全机制／配置）

UNIX：最好关闭UNIX的rServices,如rlogin,rfingerd等。用户不提供r Services,最好将/etc/hosts.equiv和rhosts文件删除，修改/etc/services和/etc/inetd.conf文件，将不必要的服务去除。
◎ 定期分析系统日志:日志文件不仅在调查网络入侵时十分重要的，它们也是用少的代价来阻止攻击的办法之一。这里提供给大家一些比较有用的日志文件分析工具：

NestWatch能从所有主web服务器和许多防火墙中导入日志文件。它运行在Windows NT 机器上，能够以HTML格式输出报告，并将它们分发到选定的服务器上。（URL：http://www.sscnet.com/nestwatch.html）

LogSurfer是一个综合日志分析工具。根据它发现的内容，它能执行各种动作，包括告警、执行外部程序，甚至将日志文件数据分块并将它们送给外部命令或进程处理。（ftp://ftp.cert.dfn.de/pub/tols/audit/logsurfer-1.41.tar.gz）要求 有C编译器。

◎ 不断完善服务器系统的安全性能:无论是UNIX还是NT的操作系统都存在安全漏洞，他们的站点会不定期发布系统补丁，系统管理员应定期下载补丁，及时堵住系统漏洞。（微软公司：http://www.microsoft.com/ntserver/）.

◎ 排除人为因素：再完善的安全体制,没有足够的安全意识和技术人员经常维护,安全性将大打折扣。要制定一整套完整的网络安全管理操作规范。

◎ 进行动态站点监控：利用网络管理软件对整个局域网进行监控，发现问题及时防范。

◎ 扫描、攻击自己的站点：网络上有许多扫描软件（例如satan），适用于各种平台，它们是把双刃剑。在网络管理员手里可以成为简化安审计工作的利器，在cracker手里却可成为网络攻击工具。

◎ 请第三方评估机构或专家来完成网络安全的评估:一般能较系统地检查局域网的各项安全指标,但花费较贵.

◎ 谨慎利用共享软件：不应随意下载使用共享软件，有些程序员为了调测软件的方便都设有后门，这往往成为最好的攻击后门。
◎ 做好数据的备份工作：这是非常关键的一个步骤,有了完整的数据备份,我们在遭到攻击或系统出现故障时才可能迅速恢复我们的系统.

◎ 使用防火墙

防火墙是防止从网络外部访问本地网络的所有设备，它们防止外部攻击提供了重要的安全保障。但防火墙只是所有安全体系结构中的一个部件，故不能完全依耐防火墙。

防火墙分为网络级防火墙和应用网关防火墙。

网络级防火墙一般是具有很强报文过滤能力的路由器，可以改变参数来允许或拒绝外部环境对站点的访问，但对欺骗性攻击的防护很脆弱。

应用代理防火墙（应用网关）的优势是它们能阻止IP报文无限制地进入网络，缺点是它们的开销比较大且影响内部网络的工作。代理必须为一个网络应用进行配置，包括HTTP、FTP、TELNET、电子邮件、新闻组等。（相关信息：http://www.telstra.com.au/pub/docs/security/800-10/node52.html）

防火墙的安全问题：

Cisco PIX DES漏洞：Cisco Private Link使用一个48位DES（Date Encryption Standard）密码,被认为较容易被解密。（补丁：http://www.cisco.com/warp/public/770/pixkey-pub.shtml）

FireWall-1保留关键字漏洞：FireWall-1有许多保留关键字，当用它们描述网络对象时会打开一个安全漏洞，使得已命名的对象成为“未定义”，可被任何地址访问。

关键词：局域网上网的安全防范与技巧