網管,你的防火牆上也有“洞”嗎(轉)
網管,你的防火牆上也有“洞”嗎(轉)[@more@]防火牆對於網路防範駭客來說好比是一個家庭中的防盜門,它的功效的確不小。但是,有了防盜門並不意味著你的家庭就徹底安全了,最簡單的例子就是防盜門沒上鎖,這樣一來防盜的作用自然無從談起了。還好生活中這種疏忽還不是很多。不過在防火牆的使用中這樣的簡單錯誤卻還不少。想想看如果你的防火牆開了個洞會是怎樣? ■接到傳呼 LAN遭黑手 經過近一年的努力,閩越終於出色地完成了本單位區域網的建設,並且這個頗有些特色的LAN在這所小城裡還引起了一場不大不小的轟動,其他單位那些CIO們紛紛組織各自單位的技術精英前來參觀學習。 當閩越將花了數週時間搞出來的方案交由領導審閱時,不菲的預算讓這位局長大人也眉頭緊蹙,尤其是其中“防火牆”一項更讓他大惑不解,“我們辦公樓的防火設施不是已經夠多了嗎,怎麼還需要另外為這個網路建一堵防火牆,這牆是什麼材料做的,怎麼要花十多萬元?” 價值十幾萬的防火牆的保駕護航使閩越對這個區域網的安全性頗有信心,他甚至有把握將這個LAN直接掛接到Internet上,接受更為嚴峻的安全考驗,但考慮到局內員工的電腦水平,還是暫時將這一想法作罷了,因為雖然他自信這個LAN已然固若金湯,但難保局內員工使用時不會將特洛伊木馬之類的東西 “宕”進來。因此,閩越僅將這個LAN與系統內其它地市局的網路連了起來,併為單位做了一個主頁,使之成為介紹局內各科室分佈及業務情況、科室間及系統內檔案資料上傳下達的平臺。然而,讓閩越始料未及的是,這個讓他傾注了不少心血的LAN恰恰就是在他最為得意的安全環節上出了紕漏。 絡繹不絕的參觀者稀落下來之後,閩越這天終於有空出去處理一下他多日積攢下來的一些瑣事,不想剛離開單位一會兒,就收到了傳呼,“單位有急事,速回!”開始他並不太在意,因為局內操作人員丁點兒小事就稱“急事”的事例早已讓他習慣了。不過這次似乎確有些異樣,傳呼一遍接一遍響個不停,閩越感到事態可能有些嚴重,就匆匆趕回了單位。 一進門,就有人迎上來,讓他快去看看單位主頁上怎麼出現了一些莫名其妙的東西,是不是被“黑”了? 聽了這話,閩越懸著的一顆心反倒放了下來,心說“笑話!LAN上的網站哪有被‘黑’之說!肯定是瀏覽器設定搞亂了,頁面出現了亂碼。”這種情況以往也有過幾次。閩越就半開玩笑地說,“沒什麼大不了的,我看看是怎麼一回事?” 瀏覽器上顯示的畫面卻讓閩越倒吸了一口涼氣,半天回不過神來:主頁上單位辦公樓的照片被換成了一個骷髏樣的圖形,旁邊還有一行文字,“哈哈,沒想到吧?LAN我也能攻進來!” 閩越的頭一下子變大了,LAN內出現駭客絕對是他做夢也想不到的,這種僅在Internet才可能出現的事情竟會發生在他部署縝密的區域網中,是哪一個駭客,竟會對地處偏遠的一個小城的小小局域感興趣呢? ■初尋黑手未果 他沒有往內部職工方面想,因為他相信這個局內尚無人能夠有如此高的技巧可以攻破他設定的重重關卡。會不會是局內人引狼入室呢?想到這兒,他趕緊一路小跑著來到了位於辦公樓頂層的機房,開啟了Web伺服器上的日誌檔案,日誌檔案上並沒有留下任何痕跡,看來不像是局內人所為,那這位駭客究竟是何方神聖呢?照理說外界根本沒有侵入這個LAN內的可能,系統內其它地市的兄弟局雖可以訪問這個網站,但這些訪問均需經過防火牆過濾,並且防火牆似也無被攻破的可能。而且從動機上看,系統內人員進行這類攻擊的可能性也不會很大,除非這個人處心積慮地想要惹火上身。那麼,這個駭客到底來自何處呢? 整整一個上午,閩越也沒想出個所以然來,他下意識地關閉了WEB伺服器,卻立即招致了下面科室的強烈抗議。他這才意識到這個網站已成為單位工作聯絡的主渠道,暫時的關閉也已是不可能的,而且這也終非長遠之計,但在未找出安全漏洞之前,繼續開放網站會不會招致更大的損失呢?懷著僥倖心理,閩越只好先將被 “黑”過的頁面改了回來,還好,這位駭客還算手下留情,僅改動了單位主頁,並未進行其它惡意破壞,所以,沒費多大勁,閩越就將網站恢復了正常。當天下午,在閩越提心吊膽地密切注視下,網站總算安然無恙,但在問題沒有搞清楚之前,他並未感到如釋重負,因為他深知這位駭客既然能夠攻進來一次,就會有第二次,一個駭客能夠攻進來,其他駭客同樣能夠攻進來,這個駭客雖還算“客氣”,沒有進行什麼惡意破壞,但難保其他駭客也能有如此“善心”。 ■黑手猖獗 再次顯形 閩越的擔心不是沒有道理的,第二天上午10點左右,在機房裡忙於對各個環節進行徹底排查的閩越又接到了下面科室的一個電話,稱單位網頁又出現了奇怪的內容,閩越趕緊重新整理了一下瀏覽器,出現的情景幾乎讓他暈了過去,那個骷髏樣的圖形又大模大樣地出現在了螢幕上,旁邊的文字則變成了“我又來也!” 一連幾天,這種惡作劇式的攻擊每天10點左右準時出現,而且總是同樣的畫面,僅僅文字內容略有變更,並且每次閩越將其恢復正常後,當天也就安然無事了,直至第二天再上演同樣的一幕。所幸的是,這位駭客似乎尚無意進行惡意破壞,整個系統仍運作如常。更讓閩越暗自慶幸的是,這一事件是發生在參觀熱潮之後,如果正當有人參觀時出現這一幕,豈非尷尬之至? 不過,就是這樣也讓閩越煩透了,這些天,他甚至到了茶飯不思的地步,所有能夠聯絡上的懂點網路安全技術的同學、朋友甚至只有一面之交的同行及眾多安全廠商都被他電話騷擾了一遍,但仍一無所獲,得到的回答卻幾乎如出一轍:“照常理講,這種情況是不該發生的!” 這下讓他徹底沒了轍,只好每天一邊陪著這位駭客玩著這種貓捉老鼠式的遊戲,一邊伺機尋找這隻老鼠出沒的通道。 ■原來是防火牆上開了個洞 這天,閩越到一個科室幫他們處理一個技術問題時,聽到一位工作人員正在很不耐煩地接聽一個電話:“我不是跟你說過了嗎,每天只有10點到11點傳資料,其它時間不開機!”說完就撂下了電話,並很不高興地嘀咕道,“都說過多少遍了,老是記不住!真是的!” 對10點這一時間段特別敏感的閩越聽到這話,心裡一個激凌,連忙趕過去問道,“你們10點傳什麼資料?”這位工作人員沒好氣地說,“什麼資料?還不是企業的那些報表資料?通知每天10點到11點傳,他們總是記不住!每天都要接幾個來問的電話,煩死了!” 閩越趕忙問用哪一臺機器傳的,這位工作人員指了指旁邊的一臺伺服器,“喏,就是那臺機器,省局剛配下來的,說要上一個大程式,現在只是用來接收企業資料和上傳彙總資料。” 閩越看到那臺伺服器上放了一臺Hub,還有一臺Modem,而且這個Hub除了連線了幾臺客戶機外,還用網線連到了局內區域網的資料埠上,他頓時心裡有了一種撥開雲霧見青天的感覺,看來,多日一直讓他苦思不得其解的問題正是出在這臺伺服器上! 由於這個科室在局內地位較為特殊,與其它科室的聯絡鬆散,因而一直處於一種相對獨立的狀態,其計算機裝置也均是由上級局對應處室直接下撥並幫助安裝,所以通常情況下,閩越基本不插手這個科室的電腦系統管理。部署區域網時,也只給他們留出了一個資料埠就不再管了,不想就是這個資料埠竟搞得他這段時間日夜不得安寧! 這臺可以撥號接入的伺服器無異在防火牆上開出了一個後門,如果駭客將此作為跳板,防火牆當然就失去了用武之地,因為防火牆過濾的只是來自外部的訪問,內部資料流量可以自由來去。更讓閩越哭笑不得是這臺Unix伺服器的系統超級使用者竟沒有設口令!這就是說,處於全球任一角落的任一電腦使用者,僅靠一臺電腦、一部Modem及一條電話線就可以很輕鬆地撥入這臺伺服器,並以超級使用者身份登入,有這樣的後門存在,系統焉有安全可言! 閩越當即先行切斷了這臺伺服器與區域網的連線,並向這個科室說明情況後,設法將這臺伺服器隔離在了防火牆之外。自此之後,那隻“老鼠”果然再也沒有出現過。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/8225414/viewspace-945520/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 防火牆埠(上)(轉載)防火牆
- 企業上網與防火牆建設(轉)防火牆
- 不要讓你們的防火牆上隨意出現漏洞(轉)防火牆
- 一個高效、安全、通用的防火牆共享上網指令碼(轉)防火牆指令碼
- 全面分析防火牆及防火牆的滲透(轉)防火牆
- 防火牆在RAC上的配置防火牆
- Mac有防火牆嗎?關於Mac防火牆常見的問題解答Mac防火牆
- IE上網不用防火牆!一招剋死所有的病毒(轉)防火牆
- 雲伺服器需要防火牆嗎?防火牆如何啟用設定?伺服器防火牆
- 用防火牆來做CC防護,你是這樣選的嗎?防火牆
- pfSense——跑在 Vmware 上的防火牆防火牆
- Windows上Oracle開放防火牆埠問題(轉)WindowsOracle防火牆
- 天網防火牆的配置方法防火牆
- 選用單防火牆DMZ還是雙防火牆DMZ(轉)防火牆
- 安全網路防火牆的十二個注意事項(轉)防火牆
- Juniper防火牆簡介(轉)防火牆
- 防火牆介紹(1)(轉)防火牆
- 防火牆介紹(2)(轉)防火牆
- 動態 iptables 防火牆(轉)防火牆
- NAT iptables防火牆(script)(轉)防火牆
- 防火牆埠(下)(轉載)防火牆
- 防火牆埠(中)(轉載)防火牆
- 開源的firewall(防火牆) SINUS (轉)防火牆
- 淺析Windows防火牆的缺陷(轉)Windows防火牆
- 八種防火牆產品評測(企業級防火牆)(轉)防火牆
- 在vmware esxi上安裝panabit實現連線管控(防火牆)的注意點防火牆
- 防火牆 | 網路協議防火牆協議
- rmi、防火牆與網閘防火牆
- slackware-10.1 下 adsl 撥號上網的 iptables 防火牆設定(轉)防火牆
- 建立防火牆的主動性網路安全體系(轉)防火牆
- 網路防火牆的配置與管理防火牆
- 流氓和木馬結合 強行關閉你的防火牆(轉)防火牆
- solaris上如何檢視防火牆配置防火牆
- WAb防火牆與傳統防火牆防火牆
- FreeBSD防火牆技術(轉)防火牆
- 深入淺出談防火牆(轉)防火牆
- 動態iptables防火牆dynfw(轉)防火牆
- 輕輕鬆鬆穿透防火牆(轉)穿透防火牆