入侵檢測實戰之全面問答
來源:cnsafe 時間:2003-03-19 10:03:00
http://it.rising.com.cn/Channels/Safety/SysSaf...1048042380d7586.shtml 在網絡安全領域,隨著黑客應用技術的不斷“傻瓜化”,入侵檢測係統IDS的地位正在逐漸增加。一個網絡中,只有有效實施了IDS,才能敏銳地察覺攻擊者的侵犯行爲,才能防患於未然!本文對IDS的概念、行爲及策略等方面內容以問答形式進行全面介紹,期望幫助管理者更快和更好地使用IDS。
問:都有哪些重要的IDS係統?
根據監測對象不同,IDS係統分爲很多種,以下是幾種很重要的IDS係統:
1、NIDS
NIDS是network intrusion detection system的縮寫,即網絡入侵檢測係統,主要用於檢測hacker或cracker通過網絡進行的入侵行爲。NIDS的運行方式有兩種,一種是在目標主機上運行以監測其本身的通訊信息,另一種是在一台單獨的機器上運行以監測所有網絡設備的通訊信息,比如hub、路由器。
2、SIV
SIV是system integrity verifiers的縮寫,即係統完整性檢測,主要用於監視係統文件或者Windows 注冊表等重要信息是否被修改,以堵上攻擊者日後來訪的後門。SIV更多的是以工具軟件的形式出現,比如著名的“Tripwire”,它可以檢測到重要係統組件的變換情況,但並不産生實時的報警信息。
3、LFM
LFM是log file monitors的縮寫,即日志文件監測器,主要用於監測網絡服務所産生的日志文件。LFM通過檢測日志文件內容並與關鍵字進行匹配的方式判斷入侵行爲,例如對於HTTP服務器的日志文件,只要搜索“swatch”關鍵字,就可以判斷出是否有“phf”攻擊。
4、Honeypots
蜜罐係統,也就是誘騙係統,它是一個包含漏洞的係統,通過模擬一個或多個易受攻擊的主機,給黑客提供一個容易攻擊的目標。由於蜜罐沒有其它任務需要完成,因此所有連接的嘗試都應被視爲是可疑的。蜜罐的另一個用途是拖延攻擊者對其真正目標的攻擊,讓攻擊者在蜜罐上浪費時間。與此同時,最初的攻擊目標受到了保護,真正有價值的內容將不受侵犯。蜜罐最初的目的之一是爲起訴惡意黑客搜集證據,這看起來有“誘捕”的感覺。
問:誰是入侵者?
通常我們將入侵者稱爲hacker,但實際上這是不準確的。可以這麽說:hacker是發現係統漏洞並修補漏洞的,cracker才是利用漏洞占山頭搞破壞的入侵者。爲了不混淆視聽,在此幹脆統一叫作入侵者吧。一般來說,入侵者分爲兩類:內部和外部。內部入侵者通常利用社會工程學盜用非授權帳戶進行非法活動,比如使用其他人的機器、冒充是處長或局長;外部入侵者則要借助一定的攻擊技術對攻擊目標進行監測、查漏,然後采取破壞活動。
有一點請牢記:統計表明,入侵行爲有80%來自內部。
問:入侵者如何進入係統?
主要有三種方式:
1、物理入侵
指入侵者以物理方式訪問一個機器進行破壞活動,例如趁人不備遛進機房重地趕緊敲打兩下鍵盤試圖闖入操作係統、拿著鉗子改錐卸掉機器外殼“借”走硬盤裝在另一台機器上進行深入研究。
2、係統入侵
指入侵者在擁有係統的一個低級賬號權限下進行的破壞活動。通常,如果係統沒有及時“打”最近的補丁程序,那麽擁有低級權限的用戶就可能利用係統漏洞獲取更高的管理特權。
3、遠程入侵
指入侵者通過網絡滲透到一個係統中。這種情況下,入侵者通常不具備任何特殊權限,他們要通過漏洞掃描或端口掃描等技術發現攻擊目標,再利用相關技術執行破壞活動。NIDS主要針對的就是這種入侵。
問:入侵者爲何能闖入係統?
蒼蠅不盯無縫的蛋,入侵者只要找到複雜的計算機網絡中的一個縫,就能輕而易舉地闖入係統。所以,了解這些縫都有可能在哪裏,對於修補它們至關重要。通常,裂縫主要表現在軟件編寫存在bug、係統配置不當、口令失竊、明文通訊信息被監聽以及初始設計存在缺陷等方面。
1、軟件編寫存在bug
無論是服務器程序、客戶端軟件還是操作係統,只要是用代碼編寫的東西,都會存在不同程度的bug。Bug主要分爲以下幾類:
緩沖區溢出:指入侵者在程序的有關輸入項目中了輸入了超過規定長度的字符串,超過的部分通常就是入侵者想要執行的攻擊代碼,而程序編寫者又沒有進行輸入長度的檢查,最終導致多出的攻擊代碼占據了輸入緩沖區後的內存而執行。別以爲爲登錄用戶名留出了200個字符就夠了而不再做長度檢查,所謂防小人不防君子,入侵者會想盡一切辦法嘗試攻擊的途徑的。
意料外的聯合使用問題:一個程序經常由功能不同的多層代碼組成,甚至會涉及到最底層的操作係統級別。入侵者通常會利用這個特點爲不同的層輸入不同的內容,以達到竊取信息的目的。例如:對於由Perl編寫的程序,入侵者可以在程序的輸入項目中輸入類似“| mail < /etc/passwd”的字符串,從而使perl讓操作係統調用郵件程序,並發送出重要的密碼文件給入侵者。借刀殺人、借Mail送“信”,實在是高!
不對輸入內容進行預期檢查:有些編程人員怕麻煩,對輸入內容不進行預期的匹配檢查,使入侵者輸送炸彈的工作輕松簡單。
Race conditions:多任務多線程的程序越來越多,在提高運行效率的同時,也要注意Race conditions的問題。比如說:程序A和程序B都按照“讀/改/寫”的順序操作一個文件,當A進行完讀和改的工作時,B啓動立即執行完“讀/改/寫”的全部工作,這時A繼續執行寫工作,結果是A的操作沒有了表現!入侵者就可能利用這個處理順序上的漏洞改寫某些重要文件從而達到闖入係統的目的,所以,編程人員要注意文件操作的順序以及鎖定等問題。
2、係統配置不當
默認配置的不足:許多係統安裝後都有默認的安全配置信息,通常被稱爲easy to use。但遺憾的是,easy to use還意味著easy to break in。所以,一定對默認配置進行揚棄的工作。
管理員懶散:懶散的表現之一就是係統安裝後保持管理員口令的空值,而且隨後不進行修改。要知道,入侵者首先要做的事情就是搜索網絡上是否有這樣的管理員爲空口令的機器。
臨時端口:有時候爲了測試之用,管理員會在機器上打開一個臨時端口,但測試完後卻忘記了禁止它,這樣就會給入侵者有洞可尋、有漏可鑽。通常的解決策略是:除非一個端口是必須使用的,否則禁止它!一般情況下,安全審計數據包可用於發現這樣的端口並通知管理者。
信任關係:網絡間的係統經常建立信任關係以方便資源共享,但這也給入侵者帶來借牛打力、間接攻擊的可能,例如,只要攻破信任群中的一個機器,就有可能進一步攻擊其他的機器。所以,要對信任關係嚴格審核、確保真正的安全聯盟。
3、口令失竊
弱不禁破的口令:就是說雖然設置了口令,但卻簡單得再簡單不過,狡猾的入侵者只需吹灰之力就可破解。
字典攻擊:就是指入侵者使用一個程序,該程序借助一個包含用戶名和口令的字典數據庫,不斷地嘗試登錄係統,直到成功進入。毋庸置疑,這種方式的關鍵在於有一個好的字典。
暴力攻擊:與字典攻擊類似,但這個字典卻是動態的,就是說,字典包含了所有可能的字符組合。例如,一個包含大小寫的4字符口令大約有50萬個組合,1個包含大小寫且標點符號的7字符口令大約有10萬億組合。對於後者,一般的計算機要花費大約幾個月的時間才能試驗一遍。看到了長口令的好處了吧,真正是一兩撥千斤啊!
4、嗅探未加密通訊數據
共享介質:傳統的以太網結構很便於入侵者在網絡上放置一個嗅探器就可以查看該網段上的通訊數據,但是如果采用交換型以太網結構,嗅探行爲將變得非常困難。
服務器嗅探:交換型網絡也有一個明顯的不足,入侵者可以在服務器上特別是充當路由功能的服務器上安裝一個嗅探器軟件,然後就可以通過它收集到的信息闖進客戶端機器以及信任的機器。例如,雖然不知道用戶的口令,但當用戶使用Telnet軟件登錄時就可以嗅探到他輸入的口令了。
遠程嗅探:許多設備都具有RMON(Remote monitor,遠程監控)功能以便管理者使用公共體字符串(public community strings)進行遠程調試。隨著寬帶的不斷普及,入侵者對這個後門越來越感興趣了。
5、TCP/IP初始設計存在缺陷
即使軟件編寫不出現bug,程序執行時也按照正確的步驟進行,但初始設計存在缺陷仍會導致入侵者的攻擊。TCP/IP協議現在已經廣爲應用、大行其道了,但是它卻是在入侵者猖狂肆虐的今天之很早以前設計出來的。因此,存在許多不足造成安全漏洞在所難免,例如smurf攻擊、ICMP Unreachable數據包斷開、IP地址欺騙以及SYN湮沒。然而,最大的問題在於IP協議是非常容易“輕信”的,就是說入侵者可以隨意地僞造及修改IP數據包而不被發現。幸好,大救星Ipsec協議已經開發出來以克服這個不足。
問:入侵者如何獲取口令?
1、監聽明文口令信息
大量的通訊協議比如Telnet、Ftp、基本HTTP都使用明文口令,這意味著它們在網絡上是赤裸裸地以未加密格式傳輸於服務器端和客戶端,而入侵者只需使用協議分析器就能查看到這些信息,從而進一步分析出口令,成爲真用戶的克隆。
2、監聽加密口令信息
當然,更多的通訊協議是使用加密信息傳輸口令的。這時,入侵者就需要借助字典或者采用暴力攻擊法來解密了。注意,我們並不能察覺到入侵者的監聽行爲,因爲他在暗處,是完全被動的,沒有發送任何信息到網絡上,入侵者的機器僅被用於分析這些口令信息。
3、重放攻擊(Replay attack)
這又是一種間接的攻擊方式,就是說:入侵者不必對口令進行解密,需要的是重新編寫客戶端軟件以使用加密口令實現係統登錄。
4、竊取口令文件
口令文件通常都保存在一個單獨的文件中,例如UNIX係統的口令文件是/etc/passwd(也可能是那個文件的鏡像),WinNT係統的口令文件是/winnt/system32/config/sam。入侵者一旦獲取了口令文件,就可以使用破解程序發現其中的弱口令信息。
5、觀察
用戶可能由於設置的口令複雜難記而將它寫在一張紙上壓在鍵盤下隨時查看,或者在輸入口令的時候不管身後有沒有站著一位“看客”。入侵者的搜索力與記憶力都非常好,這些操作習慣對他們來說簡直就是輕松練兵。所以,別忽視入侵者的眼睛!
6、社會工程
前面提到過這個問題,社會工程就是指采用非隱蔽方法盜用非授權帳戶進行的非法活動,比如使用其他人的機器、冒充是處長或局長騙取管理員信任得到口令等等。記住:如果有人想要你的口令,無論他說是爲了什麽,請記住他,一旦發生了關於口令的案件,那個人就是頭號嫌疑犯!
問:典型的入侵場景有哪些?
所謂入侵場景,就是指入侵者都會從哪些方面采取哪些步驟嘗試攻擊係統。典型的入侵畫面是這樣一幕幕展開的:
1、外部調研
知己知彼,百戰不殆。入侵者攻擊的第一步就是盡一切可能對攻擊目標進行調研以獲取充足的資料。采取的方法包括:使用whois工具獲取網絡注冊信息;使用nslookup或dig工具搜索DNS表以確定機器名稱;搜索關於公司的公開新聞。這一步對於被攻擊者是完全不知的。
2、內部分析
確定了攻擊目標的基本屬性(站點地址、主機名稱),入侵者將對它們進行深入剖析。方法有:遍曆每個Web頁面搜索是否存在CGI漏洞;使用ping工具一一探尋“活”著的機器;對目標機器執行UDP/TCP掃描以發現是否有可用服務。這些行爲都屬於正常的網絡操作,還不能算作入侵行爲,但是NIDS係統將能夠告訴管理者“有人正在撼動門把手……”
3、漏洞利用
現在到了開始動手的時候了!破壞花樣實在繁多,在此擇優列舉如下:通過在輸入項目中寫入殼命令字符串(shell command)來考驗CGI腳本的安全性;通過發送大量數據以確定是否存在臭名昭著的緩沖區溢出漏洞;嘗試使用簡單口令破解登錄障礙。當然,混合使用多種方式是攻占成功的不二法門。
4、站穩腳跟
對於入侵者而言,一旦成功地入侵了網絡中的一台機器,就可以說是站穩腳跟了。入侵者現在要做的就是隱藏入侵痕迹並制造日後再攻的後門,這就需要對日志文件或其他係統文件進行改造,或者安裝上木馬程序、或者替換係統文件爲後門程序。這時,SIV(係統完整性檢測)係統會注意到這些文件的變化。由於內部網絡中的安全措施通常都比較少,進一步地,入侵者將以這第一台機器作爲跳板,攻擊網絡中的其他機器,尋找下一個安身之家。
5、享受成果
到此,入侵者可以說是完成了攻擊任務,剩下的就是享受成果了:或者對竊取的秘密文件肆意使用、或者濫用係統資源、或者篡改Web頁面內容,甚至將你的機器作爲跳板攻擊其他機器。
以上討論是的有目的入侵者的通常行爲。還有一種入侵場景通常被稱爲“birthday attack”,我想其含義是模擬生日時接收到許多熟人或者未知朋友的禮物吧,不過用在這裏還要在禮物前加上“攻擊”兩字了。Birthday attack的一般步驟是:隨機搜索一個Internet地址;搜索其上是否有指定的漏洞;如果有,根據已知的漏洞利用方法進行攻擊。計算機網絡中的漏洞實在太多了,初級入侵者別通過這個方法練手噢
問:入侵有哪些方式?
1、探測
探測方式有很多,包括ping掃描、探測操作係統類別、係統及應用軟件的弱帳號掃描、偵探電子郵件、TCP/UDP端口掃描、探測Web服務器CGI漏洞等。
2、漏洞利用
指入侵者利用係統的隱藏功能或漏洞嘗試取得係統控制權。主要包括:
CGI漏洞:編寫CGI程序需要考慮得非常完善才有可能避免安全威脅。入侵者經常要嘗試訪問係統中的一些具有知名漏洞的CGI程序,以期尋找到突破口。這些CGI程序有:TextCounter、GuestBook、EWS、info2www、Count.cgi、handler、webdist.cgi、php.cgi、files.pl、nph-test-cgi、nph-publish、AnyFORM、FORMMail。如果我們沒有使用這些文件卻發現有人正在頻繁地訪問其中之一,就可以清楚地斷明一個入侵行爲正在進行了。
Web服務器漏洞:比如文件名中包含一係列“../”字符串從而可以訪問係統中的任意文件;URL路徑後添加上“::$DATA”就可以查看腳本源代碼。
Web浏覽器漏洞:這方面的漏洞涉及面同樣很廣,沖浪者絕不能掉以輕心。比如可能導致緩沖區溢出或執行.LNK命令的URL、畸形的HTTP header內容、MIME類型溢出(例如Netscape浏覽器的命令)、總是有漏可乘的javascript腳本(例如利用文件上傳功能創建後門程序)、偶爾犯些錯誤的Java代碼以及現在更爲厲害、更爲猖獗的ActiveX組件。
STMP漏洞:比如利用緩沖區溢出攻擊STMP、使用VRFY命令搜索用戶名稱。
IMAP漏洞:IMAP即Internet信息控制協議(Internet Message Access Protocol),是指從郵件服務器上獲取Email信息或直接收取郵件的協議。傳統的POP3收信過程中,用戶無法得知郵件的具體信息,只有在郵件全部下載到硬盤後,才能慢慢地浏覽或刪除,用戶幾乎沒有對郵件的控制決定權。IMAP解決的就是這個問題。但是許多流行的IMAP服務器都存在重大漏洞。
IP地址欺騙:由於路由選擇不需要判斷來源地址,因此入侵者就可將IP數據包的來源地址替換爲僞造地址以期隱藏其攻擊地點。而且,由於是僞造的來源地址,入侵者也不會接收到目標機器的返回通訊信息,真正做到了“攻不還手”。
緩沖區溢出:除了前面提及的緩沖區溢出種類外,還有DNS溢出(超長DNS名字發送給服務器)、statd溢出(超長文件名)。
3、DoS或DDoS(拒絕服務攻擊或分布式拒絕服務攻擊)
這種攻擊是真正的“損人不利己”,不需要別人的數據,只想等別人出錯看熱鬧。這種攻擊行爲越來越多,是不是因爲這種人也越來越 ...... 常見的DoS有死亡之Ping、SYN湮沒、Land攻擊。
問:檢測入侵有哪些方式?
1、異常行爲檢測
最普通的檢測入侵的方式是對異常行爲進行統計,並與設備的基準行爲進行對比以判斷是否存在入侵。例如,檢查CPU利用率是否猛烈增長、磁盤空間是否一下子縮小、用戶登錄失敗次數增加、文件鎖定過多等等。這種檢測方式的優點是不必了解異常行爲背後的黑幕就能判斷出發生了入侵,所謂不見其人已聞其聲。
2、特征行爲檢測
大多數的商業産品是基於特征標志對入侵行爲進行檢測的,就是說,采用對號入坐的方式,一旦發現了與特征數據庫中匹配的行爲,就認爲發生了某種入侵。例如,如果發現網絡上有信息包含有字符串“/cgi-bin/phf?”,就可以初步判斷有人正在試圖利用Web服務器上的phf CGI漏洞。注意,這種方式下的特征數據庫非常關鍵,根據新入侵行爲及特征的出現,要不斷地更新補充,是活水不能是死水。
問:到哪裏尋找關於入侵事件的最新動態信息?
所謂前車之鑒、後車之師,及時地了解最新的入侵事件信息對於自身的安全防範也是十分必要的。下面是我精選的幾個這方面的站點,請心係網絡安全的讀者經常參閱:瑞星、賽迪網-信息安全、Securityfocus、Cert。
問:NIDS係統如何對通訊信息進行特征比較?
通訊信息就是穿越網絡的IP數據包流,NIDS係統能夠捕獲它們並利用其自身的TCP/IP堆棧對它們重新組織進行分析。其中使用到的技術包括:
1、協議棧驗證
協議棧就是一些以層次結構組成的協議,例如TCP/IP協議棧。協議棧中的每一層都爲它的上層協議提供功能,而向其下層協議要求服務。許多入侵行爲比如“死亡之Ping”、“TCP隱蔽掃描”都是以反規則使用底層IP、TCP、UDP和ICMP協議的方式攻擊係統的,因此,建立協議棧驗證係統對非法數據包進行標記十分必要。
2、應用協議驗證
許多入侵還使用非法應用協議進行攻擊,比如WinNuke攻擊就使用到NetBIOS應用協議。因此,NIDS係統必須有能力重新實現廣泛的應用層協議,從而有效地檢測可疑或非法行爲。
3、創建新日志事件
通過記錄一個機器使用的所有應用層協議,NIDS係統就可用於擴展網絡管理軟件的審計功能。這樣,下遊事件日志係統例如Win2K事件管理器、UNIX的係統日志、SNMP TRAP等等就能夠將它們與其他網絡上的其他事件進行關聯分析。
問:NIDS檢測到一個入侵行爲後做什麽?
當發現一個入侵行爲後,NIDS係統將采取諸多有力措施對付攻擊,這主要包括:
* 重新配置防火牆禁止入侵者IP地址進入
* 播放一段.WAV音樂提醒管理者
* 發送SNMP TRAP信息包到管理控制台
* 將事件記錄到係統日志文件中
* 給管理員發送電子郵件通知入侵正在發生
* 以尋呼方式(BP機)告知管理員
* 保存攻擊信息,如攻擊時間、入侵者IP地址、受害者IP地址及端口、協議信息、相關數據包
* 啓動特殊程序處理入侵事件
* 僞造TCP FIN信息包強制結束連接,避免悲劇繼續上演
問:除了IDS外,還有什麽入侵對策?
1、防火牆
有種觀點說:防火牆是安全護衛的第一道防線,只要突破它,入侵者將隨意馳騁被突破的網絡。但是更好的說法應該是:防火牆是安全護衛的最後一道防線,在正確配置機器及良好運行入侵檢測係統的前提下,用防火牆來避免script kiddies的幼稚和簡單的攻擊。有兩點要注意:一是現在的許多路由器都可以配置成防火牆的過濾功能;二是防火牆通常只能抵抗外部攻擊,對於內部破壞則顯得力不從心。
2、口令驗證係統
保證口令驗證係統的穩固性是另外一個要采取的措施。或者采用係統內置的口令驗證策略,比如Win2K的Kerberos驗證,或者考慮購買單獨産品以整合進增強的口令係統,比如RADIUS(遠程認定撥號用戶服務)或TACACS(TACACS是用於UNIX係統上有曆史的認證協議,它使遠程訪問服務器將用戶的登錄信息發送到認證服務器以確定用戶是否可以訪問給定係統)。這些驗證係統都有助於消除Telnet、ftp、IMAP或POP等協議帶來的明文口令問題。
3、虛擬專用網VPN
VPN通過Internet爲遠程訪問創建安全的連接管道環境,其中使用的主要協議有PPTP和Ipsec。PPTP即PPP over TCP,使用它就可以爲一台機器分配2個IP地址,一個用於Internet,另一個用於虛擬網。Ipsec是Win2K係統的新協議,它提高了傳統IP協議的安全性。然而VPN也有其明顯的弱點,雖然管道本身經過驗證和加密處理是安全的,但是管道的兩端卻是開放的,這就可能造成入侵者從一個被安裝了後門的家庭用戶機器上大搖大擺地遛進安全管道、不被檢查地訪問內部網。
4、加密係統
隨著個人隱私權的不斷被重視,加密係統現在越來越“時髦”了。加密郵件可以使用PGP(Pretty Good Privacy)和SMIME(加密專用多用途Internet郵件擴展),加密文件也可以使用PGP,加密文件係統可以使用BestCrypt或者還是PGP。
問:IDS係統應該安放到網絡的什麽部位?
1、網絡主機
在非混雜模式網絡中,可以將NIDS係統安裝在主機上,從而監測位於同一交換機上的機器間是否存在攻擊現象。
2、網絡邊界
IDS非常適合於安裝在網絡邊界處,例如防火牆的兩端、撥號服務器附近以及到其他網絡的連接處。由於這些位置的帶寬都不很高,所以IDS係統可以跟上通訊流的速度。
3、廣域網中樞
由於經常發生從偏僻地帶攻擊廣域網核心位置的案件以及廣域網的帶寬通常不很高,在廣域網的骨幹地段安裝IDS係統也顯得日益重要。
4、服務器群
服務器種類不同,通訊速度也不同。對於流量速度不是很高的應用服務器,安裝IDS是非常好的選擇;對於流量速度快但又特別重要的服務器,可以考慮安裝專用IDS係統進行監測。
5、局域網中樞
IDS係統通常都不能很好地應用於局域網,因爲它的帶寬很高,IDS很難追上狂奔的數據流、不能完成重新構造數據包的工作。如果必須使用,那麽就不能對IDS的性能要求太高,一般達到檢測簡單攻擊的目的就應該心滿意足。
問:IDS如何與網絡中的其他安全措施相配合?
1、建立不斷完善的安全策略。這一點異常重要!誰負責幹什麽?發生了入侵事件後怎麽幹?有了這些,就有了正確行動的指南。
2、根據不同的安全要求,合理放置防火牆。例如,放在內部網和外部網之間、放在服務器和客戶端之間、放在公司網絡和合作夥伴網絡之間。
3、使用網絡漏洞掃描器檢查防火牆的漏洞。
4、使用主機策略掃描器確保服務器等關鍵設備的最大安全性,比如看看它們是否已經打了最新補丁。
5、使用NIDS係統和其他數據包嗅探軟件查看網絡上是否有“黑”流湧動。
6、使用基於主機的IDS係統和病毒掃描軟件對成功的入侵行爲作標記。
7、使用網絡管理平台爲可疑活動設置報警。最起碼的,所有的SNMP設備都應該能夠發送“驗證失敗”的trap信息,然後由管理控制台向管理員報警。
問:如何檢測網絡上有人在使用NIDS係統?
NIDS係統實際上就是一個嗅探器(sniffer),因此,任何標準的嗅探器檢測工具都可用於發現它的存在。這些工具有:
1、AntiSniffhttp://www.l0pht.com/antisniff/)
2、nepedhttp://www.securiteam.com/tools/Neped_-_Detect_sniffers_on_your_local_network.html)
3、Sentinelhttp://www.packetfactory.net/Projects/sentinel/)
4、ifstatus(ftp://andrew.triumf.ca/pub/security/ifstatus2.0.tar.gz)
問:如何提高WinNT/Win2K係統的入侵保護程度?
關於這個問題已經有許多諸葛亮出過謀劃過策,在此我將選擇重點並按考慮順序列舉如下:
1、訪問
http://www.microsof...curity/ 下載並安裝最新的SP和hotfix。
2、安裝時文件係統選擇NTFS格式,並且每個磁盤都使用NTFS(不要啓動盤是FAT,其他盤是NTFS)。NTFS不僅僅可以實現對單個文件和單個目錄的權限設置,還可以對它們進行審計。
3、創建一個新的管理員帳號,將administrator的功能限制到最小以設置陷阱,觀察是否有人試圖盜用其權限;禁止guest帳號或者將guest帳號改名並創建一個新的guest帳號,目的同樣是監測是否有人試圖使用它入侵係統。
4、去掉對%systemroot%/system32目錄的默認權限:Everyone/寫。
5、啓動REGEDT32程序打開“HKEY_LOCAL_MACHINESecurity”項,以檢測遠程注冊表浏覽行爲。
6、安裝係統時默認目錄不要選擇“c:winnt”,讓入侵者費些心思猜測係統文件的位置。還有一個更好的方法是:首先安裝在c:winnt目錄下,然後重新安裝係統到其他目錄,並且對c:winnt目錄添加審計功能,這樣就可以監測是否有人想訪問c:winnt目錄了。正所謂真真假假、假假真真,你在不斷窺視、我設陷阱無數。
7、啓動分區只存放係統文件,數據和應用程序放到其他分區,甚至將數據和應用程序也分區存放。總之,隔離是避免“火燒聯營”的最好方法。
8、屏幕保護使用“Blank Screen”且設置密碼保護,這樣既達到安全目的也節省服務器處理資源。注意,如果使用來曆不明的屏幕保護方案,要小心它可能就是一個後門程序。
9、啓動REGEDT32程序,修改AutoSharexxx參數關閉係統默認的自動共享目錄,例如ADMIN$、C$、D$等等。對於WinNT,這個參數的位置是:
HKEY_LOCAL_MACHINESystemCurrentControlSetServices
LanmanServerParametersAutoShareServer
於WinNT Workstation,位置是:
HKEY_LOCAL_MACHINESystemCurrentControlSetServices
LanmanServerParametersAutoShareWks
10、禁止匿名訪問帳號,方法是設置下列項目的值爲1:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSet
ControlLSARestrictAnonymous
11、對於域控制器,將“從網絡訪問計算機”的權限分配給授權用戶而不是默認Everyone,這樣就禁止了使用機器的本地帳號進行遠程訪問的可能,只允許通過域帳號進行訪問。
12、爲管理員帳號設置遠程訪問的帳號鎖定策略,使入侵者猜測其口令失敗限定次數後自動被鎖。當然,我們還是可以在本地使用管理員帳號進入係統的。爲了更加安全,也可以完全禁止遠程使用管理員帳號,方法是將管理員帳號從“從網絡訪問計算機”的權限中去除掉。
問:如何提高Win9X係統的入侵保護程度?
保護措施象攻擊手段一樣多,在此列出我認爲最重要的也是最基本的3條:
1、安裝最新的補丁程序。
2、關閉打印機共享PRINTER$。打印機共享後,遠程用戶就可以訪問到被共享機器的system32目錄下的打印機驅動程序。但是由於係統bug的存在,其他係統文件就有了被竊取的可能,例如密碼文件。
3、關閉文件共享。如果是家庭用戶,通常根本不需要共享文件。如果非共享不可,必須添加上共享口令並且只在需要共享的時刻共享,貢獻完自己的東東後立即關閉。
問:企業網的安全響應組織都應該包括哪些人員?
人從來都是第一位重要的!建立安全響應組織的目的就是確定:當安全事件發生時,用戶該尋求誰的幫助、他又應該做什麽?由於安全問題涉及到每一個方面,因此這個組織的成員也應該來自五湖四海,保護企業各個部門甚至社會力量。通常,安全響應組織的人員包括:
1、上級主管
負責處理重大安全問題。比如對於一個正在遭受攻擊的電子商務的站點,決斷是否立即斷開網絡以免發生更大的損失。
2、人力資源主管
因爲許多攻擊都來自內部,所以一旦發現自家人搗亂,可以立即請人事部的同志找他談談心。
3、技術小組
負責對安全事件進行整理和分析,制定對策數據庫,指導實施人員正確操作。
4、實施人員
真正的救火隊員,哪裏發生火災,就出現在哪裏!
5、外部資源
有些破壞行爲罪大惡極、危害嚴重,自家人已經管不了了,這時就要靠有關的社會力量支援,比如ISP、公安部門等。一來他們的威懾力大,二來他們的政策權威。
問:如果有人說他們被來自我方站點的地址入侵了,該怎麽辦?
請假想這樣一個情形:有人發給你一封Email,有鼻子有眼地說他遭受到了你方地址的入侵,並粘貼來一段日志信息類似如下:
Nov 6 07:13:13 pbreton in.telnetd[31565]: refused connect from xx.xx.xx.xx
最後禮貌地說他們對此非常重視,希望你方認真調查。
在網絡時代,這種情況將越來越多。作爲管理者,當接收到這類狀紙後,首要的任務就是冷靜下來仔細地分析來信的真假以及證據的真假,從而決定采取的行爲方式。通常情況下,可以考慮以下幾個方面的可能:
1、首先盡可能地確定證據(日志信息)是何種軟件的産物、可能發生了什麽樣的攻擊行爲。在這個例子中,日志信息可能來自於tcpwrappers,一個增強UNIX係統服務的登錄及訪問控制的軟件;信息還表明這只是一個探測行爲而非攻擊活動。對這些信息了解得越多,就越可能描繪出罪犯的“長相”,好像警察爲將逮捕罪犯描圖一樣。
2、然後從好的方面設想一下這個行爲:可能是有人在敲入“telnet xx.xx.xx.xx”時錯打了IP地址;可能是想敲入“telnet xx.xx.xx.xx 25”連接一個STMP服務器但卻錯打成“telnet xx.xx.xx.xx 23”等等。就象是美國的法律,發生了案件,先假設被告無罪再尋找證據證明有罪。
3、接著從壞的方面設想這個行爲:可能是你方網絡已被攻陷,入侵者從受害機器上執行了掃描工作;你方網絡中的一名雇員確實執行了掃描工作。這好像與台灣的法律相似,發生了案件,先假設被告有罪再找證據證明無罪。
4、另外,還有一個經常忽視但也絕對有可能的情況是:來信人可能就是一個入侵者!怎麽說呢?通過觀察你對來信的重視程度、響應速度以及可能提供的相關資料,比如管理員的IP地址、郵件信息等等,入侵者就可能推測到你方的網絡架構是否安全、應急措施是否得當以及得到相關攻擊信息。一般來說,這歸類於社會工程的問題。要小心了,喊捉賊的可能就是賊!
問:怎麽搜集入侵者的攻擊證據?
這是一個非常有趣而且困難的課題,道高一尺、魔高一丈,精明的入侵者通常也是優秀的跳板選手和魔術大師,他們總是借助其他人的機器或者使用欺騙IP地址來完成他們的規定動作-攻擊!但是,他攻他的,我防我的,我認爲至少有以下2類有效方法可以采取:
1、在關鍵位置安裝數據包嗅探器捕獲經由的通訊數據以備分析。試一試這種方法吧,你會驚奇地叫道:天啊,我的網絡每日裏竟然有這麽多的掃描數據包在跳舞!
2、盡可能地爲開放的每個係統安裝審計和日志功能,當入侵發生時,這將是最好的犯罪現場映照。
