區域網內如何保證區域網的安全
如何在區域網中保護自我,不僅僅是管理員也是大家要掌握技術。下面由小編給你做出詳細的介紹!希望對你有幫助!
介紹:
保證區域網安全一、防掃描,讓攻擊者暈頭轉向
幾乎所有的入侵都是從掃描開始的,攻擊者首先判斷目標主機是否存在,進而探測其開放的埠和存在的漏洞,然後根據掃描結果採取相應的攻擊手段實施攻擊。因此,防掃描是安全防護的第一步。防掃描做得好,就會讓惡意攻擊失去了目標。
保護區域網安全1、工具和原理
1.掃描工具
攻擊者採用的掃描手段是很多的,可以使用Ping、網路鄰居、SuperScan、NMAP、NC、S掃描器等工具對目標計算機進行掃描。其中SuperScan的掃描速度非常快,而NMAP的掃描非常的專業,不但誤報很少,而且還可以掃描到很多的資訊,包括系統漏洞、共享密碼、開啟服務等等。
2.防範原理
要針對這些掃描進行防範,首先要禁止ICMP的迴應,當對方進行掃描的時候,由於無法得到ICMP的迴應,掃描器會誤認為主機不存在,從而達到保護自己的目的。另外,利用蜜罐技術進行掃描欺騙也是不錯的方法。
保護區域網安全2、防範措施
1.關閉埠
關閉閒置和有潛在危險的埠。這個方法比較被動,它的本質是將除了使用者需要用到的正常計算機埠之外的其他埠都關閉掉。因為就黑客而言,所有的埠都可能成為攻擊的目標。可以說,計算機的所有對外通訊的埠都存在潛在的危險,而一些系統必要的通訊埠,如訪問網頁需要的HTTP80埠;QQ4000埠等不能被關閉。
在Windows版本的伺服器系統中要關閉掉一些閒置埠是比較方便的,可以採用“定向關閉指定服務的埠”黑名單和“只開放允許埠的方式”白名單進行設定。計算機的一些網路服務會有系統分配預設的埠,將一些閒置的服務關閉掉,其對應的埠也會被關閉了。
進入“控制面板”→“管理工具”→“服務”項內,關閉掉計算機的一些沒有使用的服務如FTP服務、DNS服務、IIS Admin服務等等,它們對應的埠也被停用了。至於“只開放允許埠的方式”,可以利用系統的“TCP/IP篩選”功能實現,設定的時候,“只允許”系統的一些基本網路通訊需要的埠即可。
2.遮蔽埠
檢查各埠,有埠掃描的症狀時,立即遮蔽該埠。這種預防埠掃描的方式通過使用者自己手工是不可能完成的,或者說完成起來相當困難,需要藉助軟體。這些軟體就是我們常用的網路防火牆。
防火牆的工作原理是:首先檢查每個到達你的電腦的資料包,在這個包被你機上執行的任何軟體看到之前,防火牆有完全的否決權,可以禁止你的電腦接收Internet上的任何東西。當第一個請求建立連線的包被你的電腦回應後,一個“TCP/IP埠”被開啟;埠掃描時,對方計算機不斷和本地計算機建立連線,並逐漸開啟各個服務所對應的“TCP/IP埠”及閒置埠。防火牆經過自帶的攔截規則判斷,就能夠知道對方是否正進行埠掃描,並攔截掉對方傳送過來的所有掃描需要的資料包。
現在市面上幾乎所有網路防火牆都能夠抵禦埠掃描,在預設安裝後,應該檢查一些防火牆所攔截的埠掃描規則是否被選中,否則它會放行埠掃描,而只是在日誌中留下資訊而已。
保護區域網安全3、防範工具
1.系統防火牆
現在很多的防火牆都有禁止ICMP的設定,而Windows XP SP2自帶的防火牆也包括該功能。啟用這項功能的設定非常簡單:執行“控制面板”→“Windows防火牆”,點選“高階”選項卡,選擇系統中已經建立的Internet連線方式寬頻連線,點選旁邊的“設定”按鈕開啟“高階設定”視窗,點選“ICMP”選項卡,確認沒有勾選“允許傳入的回顯請求”,最後點選“確定”即可。
另外,通過其他專業的防火牆軟體不但可以攔截來自區域網的各種掃描入侵,從軟體的日誌中,我們還可以檢視到資料包的來源和入侵方式等。
2.第三方防火牆
在企業區域網中部署第三方的防火牆,這些防火牆都自帶了一些預設的“規則”,可以非常方便地應用或者取消應用這些規則。當然也可以根據具體需要建立相應的防火牆規則,這樣可以比較有效地阻止攻擊者的惡意掃描。
比如以天網防火牆為例:首先執行天網防火牆,點選操作介面中的“IP規則管理”按鈕,彈出“自定義IP規則”視窗,去掉“允許區域網的機器用ping命令探測”選項,最後點選“儲存規則”按鈕進行儲存即可。 例如建立一條防止Ineternet中的主機ping的規則,可以點選“增加規則”按鈕,輸入如圖的相關引數就建立成功,然後勾選並儲存該規則就可以防止網路中的主機惡意掃描區域網了。
3.蜜罐技術
蜜罐工具很多,其原理大同小異,它會虛擬一臺有“缺陷”的伺服器,等著惡意攻擊者上鉤。在黑客看來被掃描的主機似乎打開了相應的埠,但是卻無法實施工具,從而保護了真正的伺服器,這也可以說是比較另類的防掃描手法。
例如,Defnet HoneyPot“蜜罐”虛擬系統,通過Defnet HoneyPot虛擬出來的系統和真正的系統看起來沒有什麼兩樣,但它是為惡意攻擊者佈置的陷阱。只不過,這個陷阱欺騙惡意攻擊者,能夠記錄他都執行了那些命令,進行了哪些操作,使用了哪些惡意攻擊工具。通過陷阱的記錄,可以瞭解攻擊者的習慣,掌握足夠的攻擊證據,甚至反擊攻擊者。利用該工具部署一個蜜罐系統非常簡單,開啟軟體,輸入相應的引數即可。然後它會隨機啟動,如果有惡意的掃描它都會記錄下來如圖。
現在的黑客工具非常普及其操作也越來越傻瓜化,入侵門檻比較低。一個具有初、中級電腦水平的攻擊者利用掃描器隨意掃描,就能夠完成一次入侵。做好防掃描措施,就能夠在很大程度上杜絕來自這些一般入侵者的騷擾,而這也是網路入侵的大多數。
保證區域網安全二、防溢位,讓攻擊者無功而返
溢位是作業系統、應用軟體永遠的痛!在駭客頻頻攻擊、系統漏洞層出不窮的今天,任何人都不能保證作業系統系統、應用程式不被溢位。既然溢位似乎是必然的,而且利用溢位攻擊的門檻比較低,利用工具有一定電腦基礎的人都可以完成一次溢位。這樣看來,我們的系統就處於隨時被溢位的危險中,所以防溢位也是我們必須要做的工作。
保護區域網安全1、全面出擊,嚴防死守
1.必須打齊補丁
盡最大的可能性將系統的漏洞補丁都打完;Microsoft Windows Server系列的伺服器系統可以將自動更新服務開啟,然後讓伺服器在指定的某個時間段內自動連線到Microsoft Update網站進行補丁的更新。如果伺服器為了安全起見禁止了對公網外部的連線的話,可以用Microsoft WSUS服務在內網進行升級。
2.服務最小化
最少的服務等於最大的安全,停掉一切不需要的系統服務以及應用程式,最大限度地降底伺服器的被攻擊係數。比如前陣子的NDS溢位,就導致很多伺服器掛掉了。其實如果WEB類伺服器根本沒有用到DNS服務時,大可以把DNS服務停掉,這樣DNS溢位就對你們的伺服器不構成任何威脅了。
3.埠過濾
啟動TCP/IP埠的過濾,僅開啟伺服器常用的TCP如21、80、25、110、3389等埠;如果安全要求級別高一點可以將UDP埠關閉,當然如果這樣之後缺陷就是如在伺服器上連外部就不方便連線了,這裡建議大家用IPSec來封UDP。在協議篩選中只允許TCP協議、UDP協議 以及RDP協議等必需用協議即可;其它無用均不開放。
4.系統防火牆
啟用IPSec策略,為伺服器的連線進行安全認證,給伺服器加上雙保險。封掉一些危險的埠,諸如:135 145 139 445 以及UDP對外連線之類、以及對通讀進行加密與只與有信任關係的IP或者網路進行通訊等等。通過IPSec禁止UDP或者不常用TCP埠的對外訪問就可以非常有效地防反彈類木馬。
5.系統命令防禦
刪除、移動、更名或者用訪問控制表列Access Control Lists ACLs控制關鍵系統檔案、命令及資料夾:攻擊者通常在溢位得到shell後,來用諸如net.exe、net1.exe、ipconfig.exe、user.exe、query.exe、 regedit.exe、regsvr32.exe 來達到進一步控制伺服器的目的。如:加賬號、克隆管理員了等等。我們可以將這些命令程式刪除或者改名。
訪問控制表列ACLS控制找到%windir%system32下找到cmd.exe、cmd32.exe、net.exe、net1.exe、ipconfig.exe、tftp.exe、ftp.exe、user.exe、reg.exe、regedit.exe、regedt32.exe、regsvr32.exe這些黑客常用的檔案,在“屬性”→“安全”中對他們進行訪問的ACLs使用者進行定義,諸如只給administrator有權訪問,如果需要防範一些溢位攻擊、以及溢位成功後對這些檔案的非法利用;那麼我們只需要將system使用者在ACLs中進行拒絕訪問即可。
如果你覺得在GUI下面太麻煩的話,你也可以用系統命令的CACLS.EXE來對這些.exe檔案的Acls進行編輯與修改,或者說將他寫成一個.bat批處理 檔案來執行以及對這些命令進行修改。對磁碟如C、D、E、F等進行安全的ACLS設定從整體安全上考慮的話也是很有必要的,另外特別要對Windows、WinntSystem、Document and Setting等資料夾。
6.組策略配置
想禁用“cmd.exe”,執行“開始→執行”輸入gpedit.msc開啟組策略,選擇“使用者配置→管理模板→系統”,把“阻止訪問命令提示符”設為“啟用”。同樣的可以通過組策略禁止其它比較危險的應用程式。
7.服務降級
對一些以System許可權執行的系統服務進行降級處理。比如:將Serv-U、Imail、IIS、Php、Mssql、Mysql等一系列以 System許可權執行的服務或者應用程式換成其它administrators成員甚至users許可權執行,這樣就會安全得多了。但前提是需要對這些基本執行狀態、呼叫API等相關情況較為了解。
其實,關於防止如Overflow溢位類攻擊的辦法除了用上述的幾點以外,還有很多種辦法:比如通過登錄檔進行建立相應的鍵值,進行設定;寫防護過濾程式用DLL方式載入windows到相關的SHell以及動態連結程式之中這類。當然自己寫程式碼來進行驗證加密就需要有相關深厚的Win32程式設計基礎了,以及對Shellcode較有研究。
保證區域網安全三、防竊密,讓惡意使用者無可奈何
在資源比較緊缺的企事業單位中多人共用一臺電腦是非常普遍的,或者在某些企業中有那麼一些公共電腦供大家使用。既然多人使用,儲存在這些電腦上的公共資料以及個人資料就沒有什麼安全性可言,極易造成資訊的洩密,因此如何安全部署這些公用電腦是擺在管理員面前的一個必須要解決的問題。
保護區域網安全1、作業系統很重要
管理員要實施對這些公共電腦的許可權控制,就必須得考慮採用什麼作業系統。由於Server版系統的安全性遠遠高於個人版系統,一般在這樣的電腦上安裝Windows Server 2003或者Windows Server 2008這樣的系統。另外,要設定使用者許可權系統分割槽格式必須是NTFS格式。
保護區域網安全2、嚴密部署
1.每個使用者各歸其所
管理員制定安全策略,為每個使用者在公共電腦上建立私人資料夾僅供個人使用,另外建一個共享資料夾讓大家使用。具體步驟是:
在檔案公共電腦上建立NTFS分割槽,然後為每個使用者建立一個賬號,再建立一個組包含所有的使用者。為每個使用者建立一個共享資料夾,在設定共享許可權的時候去掉Everyone組,將對應的個人使用者賬號新增進來,然後根據需要設定許可權。為所有的人建立一個共享資料夾,再在設定共享許可權的時候去掉Everyone組,將第一步中建立的包含所有使用者的組新增進來如圖1,然後根據需要設定許可權即可。
2.防止惡意刪除
公共資料夾裡的內容是隻許大家看的,但有些惡意使用者會刪除其中的檔案,因此還要做好防刪除措施。操作如下:
右鍵點選公共資料夾“屬性→安全→高階”,取消“允許父項的繼承許可權傳播到到該物件和所有子物件”選項,在彈出的選單中選擇“刪除”操作,點選“確定”。新增需要設定的帳號,只賦予該帳號“遍歷資料夾/執行檔案 ”、“列出資料夾/讀取資料 ”、“讀取屬性 ”、“讀取擴充套件屬性 ”、“建立檔案/寫入資料 ”看到的文章源自活動目錄、“建立資料夾/附加資料 ”、“寫入屬性 ”、“寫入擴充套件屬性”的許可權。 拒絕該帳號“刪除子資料夾及檔案”和“刪除”許可權。選中“用在此顯示的可以應用到子物件的專案代替所有子物件的許可權專案”,點選“確定”。
關於區域網中公共電腦的安全部署因為具體的安全要求、應用需求等不同會有所不同,上面的兩個策略是最常見的。在實際應用中,關鍵是制定安全策略,然後利用技術去實現。
總結:防掃描、防溢位、防竊密這是區域網安全安防的重點,但不是全部。另外,安全防護不僅僅是技術,還是意識。只有大家提高自身的安全意識,然後利用相應的技術才能最大程度地保證網路安全。
”人還: