查看: 620|回复: 2
|
给黑客设置障碍:网络安全三部曲
[复制链接]
|
|
基本设置篇
一、在线安全的四个误解
Internet实际上是个有来有往的世界,你可以很轻松地连接到你喜爱的站点,而其他人,例如入侵者也很方便地连接到你的机器。实际上,很多机器都因为自己很糟糕的在线安全设置无意间在机器和系统中留下了“后门”,也就相当于给入侵者打开了大门。 你上网的时间越多,被别人通过网络侵入机器的可能性也就越大。如果入侵者们在你的设置中发现了安全方面的漏洞,就会对你发起攻击,可能是一般的骚扰,如降低你的速度或者让你的机器崩溃;也可能更严重,例如打开你的机密文件、偷窃口令和信用卡密码。但是很多人并不以为然,因为他们在网络安全方面还存在四个误区:
误区一:我没有连接其他网络,所以我很安全。对,连接INTERNET是要上网的,但是可以上网的独立机器,与一台商业网络中心的机器相比,所使用的网络协议仍然有一些甚至全部相同,而一台商业网络中心的机器还可能安装了公共防火墙或者有专门负责安全的人员。与此形成强烈对比的是一些用于家庭、办公室、小公司的个人用机确是门户大开,完全没有防范入侵者的能力。这种威胁是很现实的:如果你使用了cable modem或是DSL连接上网,而且在网上的时间很长,一天里也许就会有2-4个卑鄙的入侵者企图攻击你。
误区二:我是用拨号上网,所以我的机器是安全的。每次当你开始拨号上网,你使用的IP地址都会不同,也就是动态IP,所以相比静态IP的用户而言。入侵者是很难找到你,但是有一些入侵者软件已经发展到可以在1个小时以内逐个扫描上万个IP地址的能力,所以只要入侵者使用了这些工具,即使是拨号上网的用户也可能受到攻击。
误区三:我使用了防病毒软件,所以我很安全。 一个好的病毒软件确实是在线安全不可或缺的部分,但是也是很小的一个部分。它能够通过检测病毒和类似的问题保护你,但是它们对防范入侵者、对带有恶意的“合法”程序却无能为力。
误区四:我使用了防火墙,所以我很安全。 防火墙是很有用处,但是如果你的机器总是采用一些不够安全的方式接收和发送数据,而你又仅仅依靠一些附加的程序提供安全,这就等于把所有的蛋放在一个篮子里,一旦防火墙软件出现bug或者有漏洞,那你很危险了。另外,防火墙对于病毒一类的软件完全没有防范能力,尤其是那些带有恶意的悄悄地向你的机器发送或提取数据的程序。最后,一些防火墙软件还可能帮倒忙,因为它们的厂商在广告中把产品的特点介绍出去,可能招致一些专门针对它们弱点的攻击。
但是解决方法是有的,你可以使用你已经有的工具,而且本文也会告诉你怎样才是安全的设置和怎样选择安全软件。
二、一分钟的网络基础知识
看到这个内容,你可能想一眼扫过或者直接跳过去,但是这只需要一分钟,而且对你理解下面的内容很有帮助。 简单地说,你可以将你和网络的连接分为三层。 最深的一层是你和网络的物理连接方式,包括硬件。例如拨号上网,要使用“拨号适配器”才能和你的MODEM“交谈”;如果是局域网,需要网卡和驱动程序,以便你的PC和网卡交换数据,而DSL、cable等也需要网卡。一个PC可以同时使用多个硬件适配器,例如可以即用cable modem上网,也连接拨号上网的MODEM,还在局域网中,这样系统的网络设置中就有两个网络适配器和一个拨号适配器。
中间的一层连接由你的机器所使用的和网络其他机器交流的通讯协议和语言组成,例如TCP/IP协议,其他还有NetBEUI和IPX/SPX,这些协议也可以并行工作,一个协议可以被同时捆绑到多个硬件设备上,而一个硬件设备也可以同时捆绑多个协议。 最顶层的连接是网络设备,登录上网、文件与打印共享和以及位于最顶层的客户程序,为你完成需要在网络上完成的任务,但不幸的是,它是双向的,也可以让入侵者对你执行他们的操作。 所以,保证安全的窍门在于确保没有那些危险的设置和设备,例如如果不需要从网上进行访问,“文件与打印共享”就完全没有必要,这也是入侵者经常利用的地方。换句话说,仔细地设置哪些要进行捆绑,可以确保你的机器不那么轻易被访问,尽管存在一些本身安全性较差的设备和协议。
三、怎样确保连接安全
在按照我下面提到的建议对系统设置进行修改以前,最好先将你系统中的关键数据备份,或者记下你原来的设置,以便在需要的时候恢复。如果你是在局域网或是有特殊的网络要求,请先和管理员商量。 我们先检查你的网络设置:右击“网络邻居”,选择“属性”,现在我们要删除一些很容易就能够让别人通过INTERNET连接到你的INTERNET协议:TCP/IP。
如果你没有使用拨号上网,可以直接跳到下一段。双击“拨号适配器”、“绑定”,把除TCP/IP以外的内容都去掉,回到主界面,双击“TCP/IP -> 拨号适配器”,你可能看到一个警告,说明如果修改将有危险,不管它,不修改才会有危险呢!单击“绑定”,如果选择了“microsoft 网络用户”和“文件和打印共享”,把它们选掉,这样就只剩下TCP/IP了,你会得到这样一个警告:TCO/IP已经没有绑定到任何驱动程序“,回答NO。 如果你使用了网卡,单击每个卡对应的TCP/IP,例如我就用了一块便宜的Realtek 网卡,则单击“TCP/IP -> Realtek RT8029(as) PCI Ethernet NIC.”,单击“绑定”,确认没有选择“micrcosoft 网络用户”和“文件和打印共享”。但是如果你是在局域网上,希望在本地共享文件和打印机,也有办法呀,添加一个非INTERNET协议IPX/SPX 或者 NetBEUI都可以。添加适当的“micrcosoft网络用户”,选择“文件和打印共享”,就可以共享文件和打印了!
现在倒回去检查系统中的每个适配器和协议,确保“micrcosoft 网络用户”和“文件和打印共享”只在IPX/SPX and/或 NetBEUI 中被选择了。同时,也确认在TCP/IP中没有选择这两项。然后对局域网中的所有机器重复这个检查过程。用这种方法,你的机器在INTERNET上就只使用TCP/IP,而在局域网上使用非INTERNET协议以便共享打印机和文件。因为入侵者必须使用TCP/IP,这样他们就需要花费更多的时间来访问被共享的打印机和文件。 需要注意的是你对网络设置的任何变动都可能重新设置绑定和其他设置,甚至包括你不曾接触的内容,而当你或者是你所安装的软件修改了网络设置,都要执行上面介绍的步骤检查TCP/IP连接以确保它保持“干净”,没有与“micrcosoft 网络用户”和“文件和打印共享”绑定。
要改善你的网络安全性你可以作很多工作,我们将在下面讨论,但是上面的设置将消除WINDOWS PC的最常见和突出的网络安全问题,把最明显的漏洞给你堵上,让你拥有一个更安全的线上操作基础。一旦你学会了上面的方法,只用几分钟进行检查,基本就不需要其他的辅助软件,这样做的好处在于不用花钱哟!
工具篇
在上一部分,我们讨论了怎样调整网络设置以获得更好的安全性,现在,我们来看看怎样利用一些免费或者商业产品和服务做更多的事。 既然你已经有了很好的防范入侵者的线上安全基础,现在你可以学习使用决定性的一招,帮你的机器增强抵抗力,能够防范一些常见的和不常见的攻击,甚至一些更高水平的或者更迂回曲折的攻击。于是,你就有了两级安全措施了,一个是前面介绍的网络安全设置,一个是附加的安全产品,即使有其中一个出现了问题,你也仍然有另一个保护,总不能一棵树上吊死人吧! 在你向系统中添加任何安全性产品之前,作一个额外的测试,检查一下你的设置是否已经OK了。最好是定时(每月或者每周)检查一下你的基本网络设置是否安全。
我推荐两个绝好的免费站点帮助你从外端检测你的INTERNET连接,以便你检测和纠正潜在的安全问题。
http://www.dslreports.com/r3/dsl/secureme
http://www.antionline.com/
我曾经连续使用过这第两个站点,他们测试的对象是一样的,有些重复,但是采用了不同的方法,测试的重点也不同。通过一个一个地在这两个网站进行测试,你可以“嗅”到你的INTERNET连接中存在的最常见的漏洞,如果你通过了这两个测试,你就可以防范绝大多数的常见的入侵者攻击了。 另外,Gibson Research 网站(http://grc.com/intro.htm )所提供的额外的帮助文件值得一读,特别是当你对关闭一个端口有疑惑(例如NetBIOS 的Port139)的时候,Gibson提供了一步一步的指导可以确保你将端口关闭,具体参看 http://grc.com/su-bondage.htm 。
一旦你的PC经过了上面的测试,你就可以再增加一个加强安全的程序了,这种程序有很多,但是目前最热门的是“个人用防火墙”,下面我们讨论的重点也就是如何选择这一类产品。 不管你是否已经使用了公用的防火墙、代理服务器、域名服务器,这些本地的防火墙在你的机器内部监视你的INTERNET数据交换,防止来自入侵者的不正常的访问,其中一些还可以监视非正常的数据输出,也就是那种特洛伊木马程序式偷偷摸摸留下的“后门”,在你不知道的情况下,向你的机器发送信息或者获取信息。
窍门篇
前面我们分别从PC的网络安全设置和优秀的网络安全产品出发,介绍了如何提高机器的安全性能,对大多数人而言,如果仅仅是一般的上网冲浪和日常的网络操作,这些措施已经相当足够了。 但是也许你的要求和他们不同,因此我们还继续讨论第三步,如何让你的安全性能变得更高。实际上,这一步是针对我的个人而定的,因为我有下面几个特殊的地方:
我每周7天、每天24小时在INTERNET上; 我通过INETRNET做生意,并经营网站; 我比一般人要显眼,更容易成为入侵者的目标; 我将INTERNET连接共享给其他的几台机器。 如果你也具备上述的几个或全部特征,你可能也希望采用我的方法来让你的机器“固若金汤”,那么我们就交流一下。 首先,我使用了在第一部分和第二部分介绍的所有技术,例如我的任何一台机器都没有绑定“网络用户”、“文件和打印共享”到TCP/IP,所有常见的攻击对我不起作用;第二,在每台机器里我都用了个人防火墙,ZoneAlarm,可以帮助我阻塞入侵者的侵入。 上面只是两个安全的级别,但是我还有第三个更简单和更便宜的方法,那就是:我所有的机器都没有直接连接INTERNET。相反地,我用了一台烂机器(古老的486,内存很少)作为与INTERNET连接的服务器,在它上面运行Windows 和 Sygate,有了Sygate,几台机器可以通过一个机器上网,而Sygate的防火墙功能非常出色。从外界能够看到的只有这台烂机器,而其余几台共享连接的机器从外面看不到,所以入侵者也无法检测和攻击。 Sygate的防火墙功能帮了大忙,它把它自己藏了起来,准确地说,是把运行它的机器藏起来了,面对入侵者的探测“屏声禁气”,所有的现象都说明这里根本就没有一台机器,所以Sygate的防火墙算是第四层保护了。 下面的设置应该说是第五层的防护了:如果入侵者打算侵入,他会发现他到了一台又空又烂的机器,不管怎么看都毫无兴趣和吸引力。我的其他几台位于局域网上的机器都有口令保护,而我从来不在烂机器中WINDOWS保存任何密码,所以即使入侵者进入到这台机器,也很难进入到局域网中其他机器的系统,要通过防火墙、口令和内部的安全设置这几关可不是容易的事呢!
最后,我还有第六关:我的cable modem ISP使用动态IP地址,和绝大多数拨号上网ISP使用相同的技术,有了动态网址,每次你上网的时候都用的是新地址,对入侵者来讲,很难预见下次的IP将是什么。利用动态IP地址的优势,我每搁一天或者是通过 modem发现有异常活动的时候,就会拔去 cable modem 的插头。每当我将插头重新插回去、重新上线,就会获得一个和上次不同的地址,即使有入侵者发现过我,他也要一切重新开始了。
话虽这么说,你也应该知道没有任何线上的系统是完全保险的,除非你完全不和INTERNET连接,理论上任何系统都可能被攻击,但是如果你的机器加上了6层安全保护,给入侵者们增加了太多的障碍,那么你的安全系数就很高了,也许因为他不能忍受如此多的麻烦就放弃了你呢! |
|
|
|
|
|
|
|
发表于 12-7-2005 05:36 PM
|
显示全部楼层
|
|
|
|
|
|
|
发表于 12-7-2005 06:45 PM
|
显示全部楼层
|
|
|
|
|
|
| |
本周最热论坛帖子
|