作者:(boyhacker)
随着全球性信息化浪潮日益深刻,Internet信息网络技术的应用正向着深度和广度的发展。如何才能让Internet信息网络技术有效的服务与企业,行政,金融业务系统、企业商务。而这个除了使网络和系统更稳定的工作之外,就是所涉及和面临的网络安全的问题。如何才能使自己的网络安全,如何才能使自己的机密的数据、资料不会被盗,乃至整个网络的瘫痪,如何防止黑客和商业黑客间谍的入侵?特别是现在各种大型企业或单位也将通过网络与用户及其他相关行业系统之间进行交流,提供各种网上的信息服务。必然会导致企业之间的竞争,雇佣一些企业黑客间谍盗取商业机密,也位置可否。但是大部分的商业的机密,并不会放在外部的主机上,不放在外部的主机上就安全了吗?未必。我们又该如何防范呢?
一.如何入侵企业内部网络
任何一种有目的性和技术性的入侵都要必须了解你所入侵的网络的大体拓扑,而一般的企业上网大多数
是通过申请一条连接到Internet的线路,宽带、DDN、ADSL、ISDN......一个外部主机做网关,服务器上有两个
网卡,一个连接到Internet另一个连接到内部网络的HUB或者交换机,而内部网络上网可以通过网关实现内部网络和外部网络数据的转发。
这样看来,既然内部网络上网与外部网络之间的数据转发是靠的是服务器网关,那么,进去内部网络的第一步必须要拿到外部服务器的权限。我们可以以服务器为windows 2000为例
1:入侵企业网关服务器
由于大部分的网关服务器在企业上网的时候,并没有做一些安全配置,或者所安装的系统版本没有打最新的补丁,那么很可能导致,黑客轻松的拿到服务器的权限。
1.1密码探测:管理员在设置密码的时候过于简单或者有些人为的原因致使密码外泄。比如简单密码的探测,很容易被黑客用一些扫描软件拿到密码。诸如
大名鼎鼎的小榕软件流光破解版本,和安全焦点发布的X-Scan-v1.3版本,它们都具有多线成,扫描速度快,捕获密码准确的特点。当然还有sql数据库的一些弱密码探测,拿到sql用户和密码,用工具sqlcme.exe可以连接数据库,添加用户和提升管理员权限等等
1.2漏洞攻击:系统在开发过程中或者管理员在设置自己的网关服务器的时候会出现错误,而导致漏洞的攻击。最长见的系统漏洞有微软的解码漏洞,隐射漏洞,idq漏洞,还有最近发布的asp溢出漏洞。这些都有相应的溢出程序在一些大大小小的黑客站点公布。一旦溢出之后,就可以提升权限,安装后门等等。当然大部分的企业网关服务器是用来存放web主页的,有的需要支持asp,cgi,php,而这些程序都会存在漏洞。比如现在比较流行的bbs3000,雷傲论坛等,黑客可以通过这些设置不当,透过程序的漏洞,直刺服务器,夺取管理员权限
1.3欺骗技术:单独的把欺骗技术拿出来,是因为好多读者对这个技术很陌生。它应当归结为漏洞攻击里(其实也不一定)欺骗技术是由于访问信任站点或者在网络中恶意的发掘网络协议存在的的漏洞而攻击的。包括Web欺骗,Web欺骗是一种电子信息欺骗,攻击者在其中创造了整个Web世界的一个令人信服但是完全错误的拷贝。错误的Web看起来十分逼真,它拥有相同的网页和链接。然而,攻击者控制着错误的Web站点,这样受攻击者浏览器和Web之间的所有网络信息完全被攻击者所截获,其工作原理就好像是一个过滤器。TCP和DNS欺骗
TCP欺骗(在TCP包中使用伪造的IP地址)以及DNS欺骗(攻击者伪造关于机器名称和网络信息)。而这些最中的
目的是拿到网关服务器的管理员权限。
当这些技术被黑客一旦利用成功的话,那么入侵内部网络已经成功了一半了,现在他们要做的就是如何透过企业网关服务器进入企业内网
2:透过企业网关服务器进入企业内网
2.1 修改配置信任关系 黑客已经成功的控制了网关服务器,但是假如他们需要的文件放在企业内网的WEB服务器或FTP服务器的话,聪明的黑客们长长会改变网络构架,把外网的机器配置成连接内网和企业内网的“网桥”。如果所要的资料在内部网络的某台机子上,那么有可以通过内部主机对网关服务器服务器的信任关系,直接的获取资料。但是这个并非易事,因为我们在外部一台有独立的ip的地址的主机上没有办法和内部网络里的主机直接对话,我们需要的是TCP socket数据转发,也就是我们必须要网关服务器为黑客忠实的转发来自内部网络上的数据,传输到黑客的主机上。TCP socket这样的小程序,在网上很多。当黑客已经获知某台内部的主机上有他们想要的资料的话,可以用已经获取的权限(入侵企业网关服务器所拿到的权限)安装一些可以图面话操作的软件,比如:Terminal 3389端口,一些可以远程操作的木马程序,诸如冰河,BO2000,这样,
黑客就利用TCP socket数据转发,当黑客开始连接到网关服务器的时候,其实出来的界面就已经是那台有商业机密资料的内部网络的主机了。
2.2 安装嗅探器 一种简单而最有效的方法就是在内部网络里安装嗅探器,会几乎嗅探所有黑客需要的用户和密码,甚至一些需要的服务密码如:telnet ftp 等。但是,现在的大部分企业居于网都是通过交换环境的网关上网的,所以,即使我们运行了我们的嗅探器,也抓不到其他主机的信息。但是聪明的黑客们用ARP欺骗可以实现嗅探的目的。假如在企业居于网络里,192.168.0.12和192.168.0.15都是通过网关192.168.0.1上网的,黑客已经成功的利用2.1(修改配置信任关系)拿到了192.168.0.12的权限,但是黑客想要的机密资料在192.168.0.15上,他想嗅探192.168.0.15的通信,怎么办?那么我们就可以利用ARP欺骗实现。这样的话,192.168.0.15发到网关的数据就被转发到了192.168.0.12主机上了,但是这样做的带来的麻烦事,192.168.1.15的数据并没有通过192.168.0.1,它上不了网。但是黑客们通常会这么做可以把192.168.0.12嗅探的数据发给网关192.168.0.1,然后网关192.168.0.1在转发给192.168.0.12,windows环境下ARP欺骗工具可以到小容的站点下载。这样放有机密资料的主机就被嗅探,拿到密码和用户。资料被窃。
经过一上一系列的入侵手段,黑客就可以成功的进入企业内部网络机密资料。
二.如何防范入侵企业内部网络
入侵和防范始终是两个对立而有一体的。当我们开始了解如何入侵企业内部网络的时候,相应的防范措施就知道了。大体可以分为对入侵企业网关服务器的防范,监守自己的第一关,对入侵内部网络的防范,让黑客只能在大门前止步。
1.基于入侵企业网关服务器的防范,监守自己的第一关。
1.1 密码防范措施 选用安全的口令:据统计,大约80%的安全隐患是由于口令设置不当引起的。用户口令应包含大小写,最好能加上字符串和数字,一起使用以期达到最好的保密效果。根据黑客软件的工作原理,参照口令破译的难易程度,以破解需要的时间为排序指标,口令长度设置时应遵循7位或14位的整数倍原则;口令不得以明文方式存放在系统中,确保口令以加密口令应定期修改,应避免重复使用旧口令,应采用多套口令的命名规则;安装某些系统服务功能模块时有内建帐号,应及时修改操作系统内部帐号口令的缺省设置。
1.2 漏洞攻击防范措施 更上各个系统的开发商的步伐,即时的更新或者修补自己系统版本的漏洞。
设置和管理自己的系统配置。要配置系统,再安装配置相关服务,最后安装相应的补丁程序。
任何入侵都是基于漏洞的入侵,漏洞没有,任何高级的黑客都不可能入侵站点。
2. 基于透过企业网关服务器进入企业内网的防范,让黑客只能在大门前止步。
2.1网络分段 网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式。前,海关的局域网大多采用以交换机为中心、路由器为边界的网络格局,应重点挖掘中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。例如:在企业系统中普遍使用的一些小型的放火墙的入侵检测功能,其实就是一种基于MAC地址的访问控制,
2.2以交换式集线器代替共享式集线器 对企业局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是:用户TELNET到一台主机上,由于TELNET程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了机会。因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。当然,交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包(Multicast Packet)。
2.3 VLAN的划分 为了克服企业局域以太网的广播问题,除了上述方法外,还可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。目前的VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN,理论上非常理想,但实际应用却尚不成熟。
在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。
2.4 有效的利用放火墙保护企业内部网络 通过利用防火墙对企业内部网络的划分,可实现企业内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是企业内部网络非常关心的问题,一个企业内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关企业内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
|
