1. 程式人生 > >為什麼數十萬的裝置擋不住黑客攻擊

為什麼數十萬的裝置擋不住黑客攻擊

作者:中國紅客聯盟小墓(4COOH)

                                                                                                                                         

嘟嘟的手機鈴聲,驚擾了我午夜的酣睡,迷迷糊糊中隱約的聽到電話中急切的聲音:“我們政府網站遭受黑客攻擊了”,聽到這裡我頓時睡意全無,細心的聆聽電話那頭的情況陳述……。

掌握大致情況後,迅速爬上網路開啟受攻擊的站點,原來的頁面已經被改得面目全非了。在網頁的首屏上是一個來回走動的大螃蟹,下面附著一條標語:“老子橫行江湖數年,偶而路過,只因最近十分煩躁,特拿此站練手”。

解決受攻擊站點例項

這種情況只有去查伺服器記錄,半個小時後,我到了該政府的伺服器機房。做的第一件事就是把伺服器訪問日誌下載到自己的筆記本上,(因為習慣,對誰的機器都不放心,只相信自己的),經過仔細分析日誌,發現有人在主站的上傳了一個私人論壇。根據經驗判斷,這個論壇程式是罪魁禍首。於是經過調查,發現論壇是負責維護該站的小李私自放上去的,這個論壇是免費的動網論壇,小李只是做了簡單的修改,便把程式上傳到伺服器。在業內很多人都知道動網=洞網,從日誌的分析來看,入侵者就是利用某安全組織剛剛公佈的動網上傳漏洞,獲得了主伺服器的控制權。隨後刪除了論壇程式,還原備份頁面,至此恢復了網站的原貌。從踏入機房到恢復站點,只有5分種。

企業網路資訊安全面臨不解的困惑

此事件引起了政府相關部門領導的高度重視,第二天,他們領導奇怪的問我:我們每年都花幾十萬的政府採購,更是把網路安全放在了第一位,我們配備的有防火牆,IPS,IDS,為什麼這麼堅固的城牆就不管用呢,早知道如此,就不去買這些裝置了。這個問題也許是很多企業都面臨的困惑。

解惑一:缺乏技術培訓,好刀使不到刃上

其實防火牆、IDS、IPS等硬體防護裝置針對某些入侵手段有著很好的效果,只是企業部署後,沒有發揮真正的作用。如上面的例項中,我曾檢查過防火牆的配置,發現好多設定都是預設狀態,竟然連登陸使用者名稱和密碼都是出廠預設值。這可以說明網路管理人員缺乏相應技能培訓,才會造成很多裝置無用武之地的尷尬局面,就好象廚子用青龍偃月刀切菜一樣,同樣一把刀,放在廚子手裡只能切菜,而放在關羽手裡則能過五關斬六將。所以,有了好裝置不等於有了安全,需要把裝置進行合理的配置才能發揮它們應有的效能。很多企業顯然把這些技術工作交給了整合商和廠家來完成。從資金投入角度考慮,這樣的做法非常適合中小企業。但政府的中心機構和大型企業不缺的就是資金,想要實現網路資訊保安,這些大型企業就一定要有自己的執行維護力量,只有自己的東西自己管才能真正的確保第一道安全防線。

解惑二:沒有安全意識,安全將無從談起

從上面的例項中,我們不難看出,企業員工的安全意識決定了企業網路安全的健壯性。這一點對網路管理人員來說,尤其重要。作為單位的網路管理者如果小李懂得起碼的安全常識,就不會把免費的論壇放到伺服器上;如果小李瞭解安全的重要性,也不會去下載這樣的程式,起碼不會在企業網路內下載。這些都是員工缺乏安全意識的表現。

再舉個例項:某集團也曾打來求助電話,他們的企業網路頻繁的掉線,幾乎處於癱瘓狀態。我在檢查了裝置資訊和配置後,發現一臺華為交換機,全部都是死包,憑藉經驗初步判斷應該是遭到了蠕蟲攻擊,但這還需要事實來證明。捕獲資料包後,經過分析,確定就是蠕蟲病毒惹的禍。而查詢毒源卻遇到了麻煩,根據資料包的分析,很快能判斷出毒源機器的IP與MAC地址,但問管理人員這是哪臺機器時,他們沒有一個人知道的。這就只能從交換機處下手,但讓我鬱悶的事情又來了,由於機房管理混亂,防靜電地板上的菸頭隨處可見,很多交換機上都沒有網線標籤,佈線也極亂無比,為了排查這臺機器,我們3個人用筆一個一個記錄,花了整整2個小時才把問題機找到。在這個問題機上發現了大量的病毒,還有很多成人片。

無論政府還是企業都應該有相應的安全管理制度和規範,這些是指導員工行為的重要準則。如果該政府相關部門規定不允許下載任何程式,或是隻限網路管理人員下載,那政府站點的小李下載帶有安全隱患程式的情況就不會出現;如果規範機房的管理和使用,那我也不會在集團公司浪費2個小時整理線纜,如果規範的操作流程守則,如果有規範的網路安全制度,如果……,有這些如果也會黑客入侵攻擊增加相當大的難度。這也印證了不知道誰說的那句古話:安全是三分技術,七分管理。

解惑三:如何規範配置網路安全裝置,制定合理的安全策略

1、要規範防火牆的安全策略,如增加防火牆的規則匹配,有些防火牆屬於嵌入式開發的裝置,這就需要熟練使用linux命令和dos 命令,還有一些防火牆需要按自身情況具體配置,如Cisco的PIX防火牆,H3C的SecPath防火牆等。

2、然後最好能在網路中計劃分出vlan和絕對獨立的安全域,即使有病毒蔓延,也不至於感染整個網路。

3、對於工作站,要啟用組策略,並且在系統裡面把自動播放給完全禁用,根據目前流行的蠕蟲攻擊和移動儲存裝置感染來看,多數都是自動訪問儲存裝置的時造成了間接感染。刪除guest帳號,定期更改密碼等基本安全維護策略。最好能繫結工作站的mac地址和ip地址,具體落實到一機一人,達到規範使用計算機的目的。

4、把個人移動儲存裝置與企業辦公用儲存裝置分開使用。人手一個,專人專用,定期防毒。

其實從國內資訊保安的整體情況看,企業和政府依然存在很大的安全隱患,就是買了再好的網路安全裝置,沒有人除錯和配置,那也是形同虛設,網路管理不規範,員工的安全意識不夠高,都可能造成嚴重的惡果。

個人建議:

1、針對政府,制定規範的安全管理制度。上班期間禁止使用任何P2P軟體下載任何程式與電影;為了方便網路管理,最好劃分合理的VLAN,在交換機上做相應的管理策略;對防火牆進行優化管理,登陸密碼每星期都要更換。

2、針對企業,制定規範的安全管理制度,做好網路管理人員的培訓工作,儘量提高員工安全意識。企業郵箱要重點防護,因為更多的內部洩密和網路攻擊的重要突破口就是利用企業郵箱來進行攻擊,欺騙管理人員,達到滲透的目的。80%的網路攻擊是在內部發生的。