网络入侵两种思路

申请免费试用、咨询电话：400-8352-114

文章来源：泛普软件 问安非常有趣，因为编者无意中发现了国内外论坛上针锋相对的两篇文章，一篇是讨论网络入侵，另一篇是利用路由器设置防范入侵，对企业而言，两种情况都经常碰到，那究竟是道高一尺还是魔高一丈呢？   国内热门   网络入侵思路解析   第一步：进入系统   对企业用户来说，一般一个入侵者想要入侵一台服务器，首先要扫描这台服务器，检查开放的端口，获得服务软件及版本。同时检查服务软件与附属程序（如CGI）是否存在漏洞，并检查服务软件是否存在脆弱账号或密码。   需要注意的是，有些企业的服务软件，容易泄露系统敏感信息。   第二步：提升权限   入侵者会检查企业服务器上的SUID和GUID程序以及本地服务是否存在漏洞，是否存在脆弱账号或密码，以便利用其提升权限。另外，一些入侵者还经常检查重要文件的权限是否设置错误，包括企业服务器的配置目录中是否存在敏感信息可以利用。   需要提醒企业用户注意的是，一些用户的用户目录中容易存在敏感信息，且临时文件目录也经常存在漏洞。   第三步：放置后门   入侵者一般入侵一台机器后留下后门，充分利用这台机器来做一些他想做的事情，如：利用该机扫描内网，进一步扩大战果，利用该机作跳板入侵企业别的网段的机器，嫁祸于这台机器的管理员等等。除了常见的nc.exe、srv.exe，现在的很多入侵者喜欢自己写后门程序，因为用别人的程序总是相对容易被发现。   第四步：清理日志   入侵者会手工修改日志，一般不会全部删除。因为用户通常都需要借助第三方软件来分析日志，其中记录了入侵者扫描信息的部分会被删除，而合法用户的正确请求则会被保留。   国外热门   利用路由器防止入侵   第一，做好路由器访问控制   企业需要严格控制可以访问路由器的网络管理员，任何一次维护都需要记录备案。同时，建议企业用户不要远程访问路由器。即使需要远程访问路由器，也要使用访问控制列表和高强度的密码控制。另外，对于CON端口的访问，也需要进行物理线路、连接属性、高级密码等手法进行控制。如果企业用户不需要使用AUX端口，则禁止这个端口，并采用权限分级策略。另外，如果企业用户不需要远程访问，则禁止对VTY的访问。   第二，设置路由器网络服务安全配置   用户可以禁止CDP(对Cisco路由器而言)，同时禁止其他的TCP、UDP Small、Finger服务。如果企业启用了HTTP服务则需要对其进行安全配置：用户名，密码，采用访问列表控制。而对企业网安全有影响建议禁止的内容还包括：BOOTp服务，禁止从网络启动和自动从网络下载初始配置文件，禁止IP Source Routing，IP Directed Broadcast，IP Classless。禁止ICMP协议的IP Unreachables，Redirects，Mask Replies。而对于SNMP协议服务，如果禁止，则必须删除一些SNMP服务的默认配置，或者利用访问列表来过滤。   第三，针对路由协议安全配置   企业用户需要首先禁止默认启用的ARP-Proxy，因为它容易引起路由表的混乱。接下来用户可以启用OSPF路由协议的MD5认证，并设置一定强度密钥。对于RIP协议的认证，建议企业网管启用RIP-V2的MD5认证。也有专家建议用户启用passive-interface命令，以便禁用一些不需要接收和转发路由信息的端口。此外，用户可以启用访问列表过滤一些垃圾和恶意路由信息，控制网络的垃圾信息流。对于支持CEF的路由器，可以启用IP Unicast Reverse-Path Verification，它能够检查源IP地址的准确性，从而可以防止一定的IP Spooling。(ccw)