提高局域網(wǎng)安全

■河南 劉景云

發(fā)現(xiàn)非法代理服務(wù)器蹤跡

非法利用代理服務(wù)，雖然為個(gè)別用戶隨意上網(wǎng)帶來了方便，不過卻給整個(gè)局域網(wǎng)帶來了危險(xiǎn)。一旦病毒木馬侵入內(nèi)網(wǎng)，造成內(nèi)網(wǎng)病毒橫行，就會(huì)影響單位的日常工作。如何才能從眾多的主機(jī)中迅速找到非法的代理服務(wù)器呢？這里舉例來分析具體案例，例如，單位內(nèi)網(wǎng)只允許A、B、C、D（代表真實(shí)電腦名稱，假設(shè)B主機(jī)為網(wǎng)關(guān)）等電腦返回訪問外網(wǎng)，假設(shè)有內(nèi)網(wǎng)用戶利用各種方法（例如物理接觸、內(nèi)網(wǎng)滲透等）在A主機(jī)上安裝了CCProxy這款著名的代理服務(wù)器軟件，在CCProxy工具欄中點(diǎn)擊設(shè)置按鈕，在設(shè)置窗口中只勾選“HTTP/RTSP”項(xiàng)，并將端口設(shè)置為8080，而不選擇其余服務(wù)，之后保存配置信息。

之后該內(nèi)網(wǎng)用戶在本機(jī)上打開IE屬性窗口，在“連接”面板中點(diǎn)擊“局域網(wǎng)設(shè)置”按鈕，勾選“為LAN使用代理服務(wù)器”項(xiàng)，并輸入A主機(jī)的IP地 址（假 設(shè) 為 192.168.0.10）和8080端口號。這樣，該用戶打開IE，就可以順利地訪問外網(wǎng)了。如果別的用戶如此效仿，內(nèi)網(wǎng)安全性就會(huì)大大降低。如何才能快速找到被設(shè)置了代理服務(wù)的主機(jī)呢？我們在B主機(jī)上運(yùn)行代理獵手這款軟件，在其主界面中點(diǎn)擊菜單“系統(tǒng)”-“參數(shù)設(shè)置”項(xiàng)，在設(shè)置窗口（如圖1所示）中的“驗(yàn)證數(shù)據(jù)設(shè)置”面板中點(diǎn)擊“添加”按鈕，在“驗(yàn)證名”欄中輸入名稱，這個(gè)可以隨意輸入（例如CheckProxy等），在“驗(yàn)證地址”欄中隨意輸入一個(gè)網(wǎng)址，例如“www.xxx.com”等。在“特征字串”欄中輸入“”，這是因?yàn)椴还軆?nèi)網(wǎng)用戶使用代理服務(wù)器訪問任意網(wǎng)站，在傳輸?shù)臄?shù)據(jù)中都必然包含上述特征字符串，之后點(diǎn)擊確定按鈕，返回代理獵手主界面。

點(diǎn)擊“添加任務(wù)”按鈕，在操作向?qū)Ы缑嬷械摹叭蝿?wù)類型”列表中選擇“搜索網(wǎng)址范圍”項(xiàng)，在下一步窗口中點(diǎn)擊“添加”按鈕，在彈出窗口中的“地址范圍類型”列表中選擇“起止地址范圍”，在其下輸入檢測的IP范圍，這可以根據(jù)內(nèi)網(wǎng)地址范圍而定，例如192.168.0.1到192.168.0.99等。在下一步窗口中點(diǎn)擊“添加”按鈕，在添加端口和協(xié)議窗口中選擇“端口范圍”項(xiàng)，輸入搜索的端口范圍，在協(xié)議列表中可以選擇HTTP、SOCKS以及未知等類型，這里選擇“HTTP”，勾選“必搜”項(xiàng)，允許代理獵手搜索指定的端口。當(dāng)然，您可以根據(jù)需要，添加多個(gè)端口和協(xié)議檢測項(xiàng)目。

點(diǎn)擊完成按鈕，在代理獵手工具欄上點(diǎn)擊開始搜索按鈕，該程序就開始在指定的IP范圍內(nèi)，搜索所有各戶條件的代理信息。很快，在“搜索結(jié)果”面板中就會(huì)將安裝了代理服務(wù)器主機(jī)顯示出來，在“服務(wù)器地址”列中顯示安裝了其具體內(nèi)網(wǎng)地址、端口號等信息。假設(shè)為192.168.0.11，該地址和A主機(jī)對應(yīng)。點(diǎn)擊“驗(yàn)證”按鈕，在彈出窗口中獲取了預(yù)設(shè)地址的代碼信息，可以很清楚地看到具體的代理服務(wù)器地址。

僅僅找到了具體的代理服務(wù)器主機(jī)還是不夠的，還需要順藤摸瓜將非法使用代理服務(wù)的內(nèi)網(wǎng)用戶找出來，這就需要使用嗅探軟件了，例如可以使用SpyNet這款局域網(wǎng)抓包工具來完成上述任務(wù)。還是在B主機(jī)上運(yùn)行SpyNet，當(dāng)初次運(yùn)行SpyNet時(shí)，在彈出的操作向?qū)Т翱谥羞x擇網(wǎng)卡對象，點(diǎn)擊確定按鈕進(jìn)入其主界面，在SpyNet主界面左側(cè)點(diǎn)擊“Modify filter”按鈕，可以設(shè)置過濾條件，包括網(wǎng)絡(luò)協(xié)議類型等內(nèi)容，默認(rèn)捕獲所有的數(shù)據(jù)包。點(diǎn)擊菜單“Capture”-“Start”項(xiàng)，執(zhí)行嗅探動(dòng)作。所有進(jìn)出B主機(jī)的網(wǎng)絡(luò)數(shù)據(jù)全部顯示在監(jiān)控列表中，從中不難發(fā)現(xiàn)連接代理服務(wù)器的內(nèi)網(wǎng)主機(jī)信息，例如，內(nèi)網(wǎng)IP為192.168.0.91的主機(jī)和A主機(jī)的8080端口進(jìn)行了通訊，根據(jù)該主機(jī)的IP信息，很容易找到具體的責(zé)任人。

限制代理服務(wù)

使用代理服務(wù)，雖然可以讓內(nèi)網(wǎng)用戶實(shí)現(xiàn)穿越防火墻自由上網(wǎng)的目的，但是也會(huì)給內(nèi)網(wǎng)安全帶來很大的威脅，而且黑客也會(huì)通過Socket代理的方式來對內(nèi)網(wǎng)進(jìn)行入侵。因此，為了保障內(nèi)網(wǎng)的安全，就需要對內(nèi)網(wǎng)中存在的代理服務(wù)進(jìn)行檢測和攔截。使用億特上網(wǎng)管理專家這款軟件，就可以輕松實(shí)現(xiàn)上述功能。其使用方法并不復(fù)雜，在網(wǎng)關(guān)服務(wù)器上安裝該軟件，就可以對內(nèi)網(wǎng)用戶進(jìn)行有效的管理，而無需在客戶端上安裝任何軟件，當(dāng)局域網(wǎng)用戶試圖通過HTTP或者Socks代理服務(wù)突破限制隨意上網(wǎng)時(shí)，該行為就會(huì)被該軟件檢測到并被攔截。

先在服務(wù)器上安裝該軟件，之后在本地連接屬性中點(diǎn)擊“安裝”按鈕，在彈出窗口中雙擊“服務(wù)”項(xiàng)，在選擇網(wǎng)絡(luò)服務(wù)窗口中點(diǎn)擊“從磁盤安裝”按鈕，選擇億特上網(wǎng)管理專家安裝包中的“netFilter.inf”文件，在安裝過程中忽略系統(tǒng)彈出的驅(qū)動(dòng)未經(jīng)許可的警告提示，之后按照提示選擇安裝包中的“YitSNME.sys”文件，完成安裝操作。在本地連接窗口中的“常規(guī)”面板中顯示名為“億特上網(wǎng)管理專家”的網(wǎng)絡(luò)服務(wù)項(xiàng)目。注意：在該列表中只保留TCP/IP協(xié)議，其余的協(xié)議應(yīng)該全部刪除，主要作用就是為了避免內(nèi)網(wǎng)中的有些用戶擺脫該軟件的控制，在CMD窗口中執(zhí)行“C:YitSNMEYitSNMES.exe/install” 和“net start YitSNMEServices”命令，啟動(dòng)名 為“YitSNMEServices”的服務(wù)。這里的“C:YitSNME”為該軟件安裝路徑，如果您改變了其安裝路徑，需要對其進(jìn)行相應(yīng)的調(diào)整。

啟動(dòng)安裝包中的“YitSNMEM.exe”程序，在登錄窗口的“用戶名”欄中輸入“admin”，密碼默認(rèn)為空，點(diǎn)擊登錄按鈕，在自動(dòng)彈出的向?qū)Ы缑嬷羞x擇服務(wù)器上連接內(nèi)網(wǎng)的網(wǎng)卡，點(diǎn)擊下一步按鈕，在“IP地址”欄中輸入服務(wù)器的內(nèi)網(wǎng)IP地址，在下一步窗口中輸入內(nèi)網(wǎng)的IP地址范圍，點(diǎn)擊下一步按鈕，在系統(tǒng)設(shè)置窗口（如圖2所示）中的“代理服務(wù)器類型”欄中選擇所需的代理類型，包括應(yīng)用型代理和網(wǎng)關(guān)型代理等，這里選擇后者。

在“身份驗(yàn)證方式”欄中選擇所需的驗(yàn)證方式，包括讀取域控制器賬號和自檢賬號庫。如果選擇前者，表示導(dǎo)入本局域網(wǎng)域賬戶名稱，可以將使用已經(jīng)存在賬戶列表。為了方便起見，這里選擇后者。在“控制方式”欄中選擇“用戶通過服務(wù)器上網(wǎng)”項(xiàng)，來對其上網(wǎng)行為進(jìn)行合理控制。在“其他參數(shù)”欄中選擇“登錄賬戶惟一性檢查”項(xiàng)，保證上網(wǎng)的安全性。在“控制方式”欄中可以設(shè)置引用控制策略的方式，包括按照IP地址引用控制策略、按照MAC地址引用控制策略、按照用戶賬號引用控制策略等，您可以根據(jù)需要進(jìn)行選擇，這里選擇按照IP地址引用控制策略，最后點(diǎn)擊完成按鈕，保存配置參數(shù)。

億特上網(wǎng)管理專家提供了非常強(qiáng)悍的網(wǎng)絡(luò)管理功能，可以控制內(nèi)網(wǎng)中各賬戶的上網(wǎng)時(shí)間、流量、使用的端口、過濾IP、強(qiáng)制Web登錄等，為管理員提供了完美的日志記錄功能。和大多數(shù)安全軟件類似，億特上網(wǎng)管理專家也是通過安全策略，來對用戶的上網(wǎng)行為進(jìn)行管理的。例如，要使用代理控制控制功能，需要添加對應(yīng)的控制規(guī)則，在窗口左側(cè)點(diǎn)擊“控制策略”按鈕，在右側(cè)窗口中點(diǎn)擊“添加用戶策略”按鈕，在增加控制策略窗口（如圖3所示）中的“策略編號”欄中輸入對應(yīng)的編號，例如“1”?！安呗悦Q”欄中輸入策略名（例如“控制代理服務(wù)”），在“策略描述”欄中輸入描述信息。在“控制策略”欄中選擇“禁止使用HTTP代理”和“禁止使用SOCKS代理”項(xiàng)。當(dāng)然，也可以選擇“啟用時(shí)間限制”、“啟用目的端口限制”、“啟用目的地址限制”、“啟用連接數(shù)限制”、“啟用帶寬分配”、“啟用網(wǎng)址過濾”、“禁止新版QQ使用TCP協(xié)議登錄”等控制項(xiàng)目，來實(shí)現(xiàn)更加復(fù)雜的控制功能。點(diǎn)擊確定按鈕，完成本規(guī)則的創(chuàng)建操作。

當(dāng)億特上網(wǎng)管理專家運(yùn)行后，服務(wù)器的代理上網(wǎng)功能已經(jīng)被其接管，如果內(nèi)網(wǎng)用戶想順利上網(wǎng)，必須使用預(yù)設(shè)的賬戶才可以通過其審核，該軟件采用了分組管理上網(wǎng)賬號的方式，便于有效管理內(nèi)網(wǎng)用戶的上網(wǎng)需求。例如，將需要控制的內(nèi)網(wǎng)用戶添加到指定的組中，便于為其指派上網(wǎng)策略，在左側(cè)窗口中點(diǎn)擊“時(shí)間策略”項(xiàng)，在右側(cè)工具欄上點(diǎn)擊“添加時(shí)間策略”按鈕，在彈出窗口中的輸入該策略名稱，例如“全部時(shí)間”。之后點(diǎn)擊右側(cè)窗口中的“添加時(shí)間策略”項(xiàng)目按鈕，在打開窗口中的設(shè)置和結(jié)束的星期數(shù)，例如從星期一到星期七，輸入開始和結(jié)束時(shí)間，例如從“00:00:00” 到“23:59:59”，在“控制策略”列表中選擇上述名為“控制代理服務(wù)”的策略，點(diǎn)擊確定按鈕，完成該時(shí)間策略項(xiàng)目的配置。

在窗口左側(cè)點(diǎn)擊“賬戶管理”項(xiàng)，在右側(cè)工具欄上點(diǎn)擊“添加賬戶”-“新建組賬號”按鈕，在彈出窗口中設(shè)置合適的組編號，輸入組名稱和描述信息，在“時(shí)間策略”列表中選擇上述名為“全部時(shí)間”的策略項(xiàng)，點(diǎn)擊確定按鈕，就可以讓該組中的所有賬戶在全部的時(shí)間段中接受預(yù)設(shè)的代理策略的管控。在該組名的右鍵菜單上點(diǎn)擊“新建個(gè)人賬戶”項(xiàng)，在彈出窗口照片那個(gè)輸入其編號、賬戶名、全名、密碼、域名、描述信息等參數(shù)。如果允許其自行更改密碼，可以取消“用戶不得更改密碼”項(xiàng)的選擇狀態(tài)，取消“賬號永久有效”項(xiàng)的選擇狀態(tài)，在“有效期”欄中設(shè)置其有限期限，其余的設(shè)置項(xiàng)目保持默認(rèn)，點(diǎn)擊確定按鈕，完成該賬戶的創(chuàng)建操作。按照同樣的方法，可以為內(nèi)網(wǎng)中的全部用戶分別創(chuàng)建上網(wǎng)賬號，當(dāng)這些賬戶上網(wǎng)后全部受到預(yù)設(shè)策略的約束，不管其使用的HTTP代理或者SOCKS代理，都會(huì)被億特上網(wǎng)管理專家檢測到并被攔截。當(dāng)然，黑客試圖通過Socket代理入侵內(nèi)網(wǎng)的企圖也會(huì)被該軟件粉碎。