網管囧事系列二：又要防毒，又要防黑客，網管怎樣三頭六臂？

場景之二：又要防毒，又要防黑客，網管怎樣三頭六臂？

案例描述：小熊的公司是剛剛搬遷到北京市大興科技園區的新型企業，公司主要從事影視特效和動漫遊戲開發。公司的網站上提供了大量線上遊戲和FLASH動畫，網站的訪問者大多時尚的年輕人和大學學生。但頻繁出現的黑客入侵和內網病毒傳播問題，已經直接危害到網路的執行和業務的正常開展。在沒有專門的安全管理人員情況下，小熊如何自己應對這些安全問題呢？

這可不是小熊一個人的問題，在中小企業中，網路管理員隨時都充當著安全專家的角色。我們知道，每當一種新的計算機技術廣泛應用的時候，總會有相應的病毒隨之出現，現在則是病毒與黑客技術相結合的趨勢，威脅更加嚴重。網路的普及與網速的提高，使得計算機之間的遠端控制越來越方便，傳輸檔案也變得方便快捷，正因如此，病毒與黑客技術結合以後的危害更為嚴重，病毒的發作往往在侵入了一臺計算機後，又通過網路侵入其他網路上的機器，這是中小企業中最為薄弱的網路管理環節。
誰毒了我的電腦？
如何診斷電腦是否中毒，可用醫生“望、聞、問、切”的方法，不過這適合對系統瞭解較深入的網路管理員。那麼有沒有簡單的辦法，自測電腦是否“中毒”或“被黑”了呢？

病毒方面，我們可以排查系統程式是否存在異常。開機後，什麼都不要啟動，直接開啟工作管理員，檢視有沒有可疑的程式，對於那些你不認識的程式可以利用搜尋引擎搜尋。如果工作管理員開啟後馬上就消失了，可以判定已經中毒。另外一種情況是，提示你工作管理員已經被管理員禁用，則要引起警惕。此時我們可以一些第三方的安全檢測工具，例如：埠掃描 （Port scanners）、網路/作業系統弱點掃描 （Network/OS vulnerability scanners）、應用程式/資料庫弱點掃描 （Application/database vulnerability scanners）、密碼破解 （Password crackers）、檔案查詢工具 （File searching tools）、網路分析 （Network analyzers）、漏洞檢查工具等。以比較有代表性的“冰刃”為例，執行之後可以檢視那些隱藏程式（冰刃中以紅色標出），然後檢視系統程式的路徑是否正確，通常Windows自己的程式工具應該放在System32或者System目錄下。如果這些工具無法正常使用或有紅色的程式，則可以判定已經中毒。如果程式全部正常，則利用Wsyscheck等工具檢視是否有可疑程式注入到正常程式中。
誰黑了我的電腦？
黑客方面，可以檢查賬戶和網路的連線狀況是否存在異常。這需要在作業系統和網路裝置上都要檢查，而作業系統又可分為Windows和Linux兩大陣營，下面我們分開介紹一下

對於Windows使用者此時可以先用Net user等命令檢視系統是都有可疑的帳戶存在，然後在沒有進行任何主動訪問外網的情況下，利用Netstat –an命令檢視是否有主動連線外網特定埠的情況。如果你在日誌方面已經下了一些功夫，則可以迅速在日誌中檢視到黑客的蛛絲馬跡，包括登入的使用者、時間、操作了哪些系統的服務等等。不過提醒你的是，如果你沒有使用日誌轉移，一些黑客的高手則會刪除他們訪問的記錄，此時如果你發現正常的日誌統計中少了一段時間記載，則可以斷定有些黑客光臨過你的系統。

對於Linux使用者如果你安裝了所有正確的補丁，擁有經過測試的防火牆，並且在多個級別都啟用了先進的入侵檢測系統，那麼只有在一種情況下你才會被黑，那就是，你太懶了以至沒去做該做的事情，例如沒有升級服務軟體包的版本。Linux系統中更嚴重的威脅是某些“指令碼小子”還會下載一些眾所周知的“root kits”或者流行的刺探工具，這些都佔用了你的CPU，儲存器，資料和頻寬。找出root kit的首個竅門是執行ps命令。黑客常用的一個詭計就是把ps命令替換掉，而這個替換上的ps將不會顯示那些正在你的機器上執行的非法程式。為了測試個，應該檢查你的ps檔案的大小，它通常位於 /bin/ps 目錄下。在Linux系統上尋找未知的使用者賬號可能要複雜一些，需要本機登入到你的Linux機器時，敲入以下的命令：“grep :x:0: /etc/passwd ”這個命令應該只返回一行，類似 root:x:0:0:root:/root:/bin/bash ，如果系統返回的結果不止一行，那可能就有問題了。應該只有一個使用者的UID為0，而如果grep命令的返回結果超過一行，那就表示不止一個使用者了，這很有可能就是黑客光臨了你的主機。

提示：Script Kiddie，國內翻譯成“指令碼小子”，指的是用別人寫的程式的人。網上有很多hacker寫的小程式，許多hacker 在公佈他們發現的漏洞時，常常也會上傳一個可以溢位（exploit）漏洞的程式，作為自己發現這個漏洞的證明。也有的hacker 編寫了一些hacking的工具程式。而指令碼小子就是收集這些程式的人，他們可能自己從來沒有寫過一行程式，可能對這些程式內部如何工作一無所知，也不知道如何寫這些程式，更不知道如何發現系統的漏洞，就是說他們不知道如何“hack” 一個作業系統或一個應用程式，但是他們知道如何使用hacker編寫的程式與工具，這種人危害最為嚴重，有的人設定兩Format這樣的命令都敢操作。

快速安全的法寶：劃分信任區域

隨著時間的發展，安全威脅無論在形式上還是在數量上，都已呈現出爆炸性的增長；現在每天都有成百種新型病毒在網上出現，而主流應用平臺的安全漏洞更是數以千計。使用者的防禦體系，早已從單點裝置防護轉移到如何治理混合型威脅的趨勢中來。劃分割槽域不但可以阻斷黑客訪問內往的可能，也會減少內網之間的病毒感染。安全區域的劃分可以分成兩類：根據安全等級劃分；根據資源位置劃分。
 根據安全等級劃分
這也是我們通常所說的“垂直分層”管理模型，比如將承載不同應用的主機分為4個網路安全層次：核心層、應用層、隔離層與接入層。對應用系統實施網路分層防護，有效地增加了系統的安全防護縱深，使得外部的侵入需要穿過多層防護機制，不僅增加惡意攻擊的難度，還為主動防禦提供了時間上的保證。
 根據資源位置劃分
根據資源位置劃分的目標是將同一網路安全等級的資源，根據對企業的重要性、面臨的外來攻擊風險、內在的執行風險不同，劃分成多個網路安全區域。執行劃分的原則是將同一網路安全層次內伺服器之間的連線控制在相同的區域內，儘量消除不同安全層次之間的聯絡，實施相互邏輯或物理隔離。

劃分安全區域最簡單的辦法是使用功能強大的防火牆，那麼防火牆中最關鍵的技術又是什麼呢？這就是：網路驗證演算法。以Cisco 的PIX防火牆為例：ASA演算法採用了一種基於狀態和麵向TCP連線的安全設計體系。ASA基於源和目的地地址建立一個會話流，同時在一個連線完成之前將其TCP序列號、TCP埠號和附帶的TCP識別標記隨機地加入會話序列。實現會話序列得的作用主要是用來監視從目的地址返回的資料包，並保證其合法性。例如每一個內部系統和相關應用在未經過明確的安全配置的情況下只允許單一方向的連線(由inside到outside)，隨機生成的TCP序列號可以避免黑客利用篡改TCP序列號進行攻擊的可能性，這是傳統的包過濾防火牆不能比擬的。擁有特殊演算法的防火牆幾乎不影響網路效能，因此可以應用在內部網和 Internet、Extranet 或 Intranet 鏈路之間執行安全訪問，這使得劃分割槽域時變得非常Easy。

 

本文轉自張琦51CTO部落格，原文連結： http://blog.51cto.com/zhangqi/428993，如需轉載請自行聯絡原作者