設備安全加固案例及網(wǎng)絡安全意識淺析

竇桂英

【摘要】 通過一個實際案例---一個公司服務器遭到攻擊，來剖析在現(xiàn)實生活中，我們遭遇到網(wǎng)絡安全時的應對策略，并詳細介紹了網(wǎng)絡安全加固以及怎么預防的方法。在民航中，民航氣象的飛速發(fā)展，使得民航氣象信息在民航中占有非常重要的地位，民航信息安全也就顯得尤為重要。

【關鍵字】 操作系統(tǒng) ssh arp攻擊

一、前言

在計算機網(wǎng)絡安全的圈子里流傳著這么一句話：“計算機并沒有漏洞，漏洞在于人的身上?！?其實網(wǎng)絡是人、組織機構與電腦之間相互聯(lián)系的迷宮。網(wǎng)絡攻擊最簡單的方式就是找出關系中的薄弱環(huán)節(jié)。通常人是這三者中最弱的一環(huán)，因此也就成了攻擊進入任何電腦網(wǎng)絡最簡單的方式。

現(xiàn)代黑客已經(jīng)將攻擊目標由組織機構的系統(tǒng)轉為人類的操作系統(tǒng)。由于個體攻擊需要一套不同的工具和從蠻力轉變?yōu)椴呗缘募记桑W(wǎng)絡攻擊就利用了人的弱點和個人習慣。俗話說：積習難改。我們長期養(yǎng)成的薄弱的網(wǎng)絡安全意識和帶有明顯個人及組織特征的網(wǎng)絡操作習慣，就往往成為個人與所維護設備組成的一體系統(tǒng)中最大的安全漏洞。下面以一個案例為背景，淺談下網(wǎng)絡安全加固。

二、案例背景

2014年10月份公某司一臺服務器異常，且經(jīng)網(wǎng)絡特征分析得出此服務器成為“肉雞”的結論。

由于此服務器為私網(wǎng)地址，是與外網(wǎng)隔離的，從安全性上來說是比架設在公網(wǎng)上的平臺穩(wěn)固性高的。維護人員對此服務器進行檢查，發(fā)現(xiàn)所謂的私網(wǎng)其實并不封閉，此服務器就是一個公網(wǎng)接入點。原來此服務器為綜合網(wǎng)管告警監(jiān)控系統(tǒng)的前置機，為了完成與監(jiān)控系統(tǒng)采集機的連接，前置機映射了公網(wǎng)地址，而采集機是在公網(wǎng)上的。這樣，就給外網(wǎng)對私網(wǎng)提供了一個攻擊通道。連接了公網(wǎng)就一定要受到攻擊么？那架設在公網(wǎng)上的平臺怎么辦？我們的個人計算機平時就與公網(wǎng)連接的，有沒有一些安全措施來保證我們電腦不被攻擊或減少攻擊的可能性呢？

鑒于這些想法，我們根據(jù)網(wǎng)絡安全知識在主機層面進行安全加固工作。下面就對本案例的問題解決過程所涉及的內(nèi)容對網(wǎng)絡安全分析進行分享，提供一些簡單通用的安全加固內(nèi)容。

三、問題解決方案及安全分析

3.1 服務器斷網(wǎng)并更換操作系統(tǒng)

不聯(lián)網(wǎng)的設備是無法進行攻擊的，在檢查時將傀儡服務器斷網(wǎng)。對服務器，原操作系統(tǒng)為windows 2003。根據(jù)設備硬件信息可以更換操作系統(tǒng)為Linux。

通常評定網(wǎng)絡安全等級的客觀的方法是跟蹤一個特定的操作系統(tǒng)發(fā)布的修復漏洞的補丁數(shù)量。而windows與Linux進行比較發(fā)現(xiàn)，Windows似乎安全漏洞似乎更多。一份美國計算機應急反應小組發(fā)表的安全漏洞測評報告表明，Windows出現(xiàn)了250次安全漏洞，而Red Hat Linux只有46次安全漏洞。而兩者存在這種差別是有充分理由的。原因是Linux的開放源代碼的軟件開發(fā)方式有助于更容易地暴露錯誤，而Windows由于其許多應用程序依靠遠程程序調(diào)用，遠程程序調(diào)用是計算機內(nèi)部的一種通信方式，無法提前預知和主動地分配通信方法。而Linux是限制使用遠程程序調(diào)用的，相比之下，就迫使Windows的防火墻沒有Linux那樣嚴格

由于維護人員熟悉windows系統(tǒng)的操作，因此也往往形成對windows的習慣性依賴。而且，現(xiàn)在網(wǎng)絡上的攻擊多是針對windows操作系統(tǒng)的，我們不妨換一種操作系統(tǒng)，既有較高的安全性又能豐富我們的維護知識。

3.2 更換遠程登錄方式telnet為ssh

在更換操作系統(tǒng)后，對服務器的遠程登錄進行設置，禁用Telnet，使用SSH遠程登錄。

1、#chkconfig telnet off （關閉telnet）

#chkconfig --del telnet（開機不啟動命令）

2、#service xinet restart （重啟）

3、#rmp -e telnet -server –nodeps（刪除包）

4、#vi /etc/services （注釋掉23端口）

由于物理距離的限制，很多維護人員都是通過遠程登錄進行設備維護的。一般的網(wǎng)絡服務程序，如：telnet、ftp和pop在本質(zhì)上都是不安全的，原因是在網(wǎng)絡上它們都是用明文傳送數(shù)據(jù)和口令。而SSH（安全外殼協(xié)議） 是建立在傳輸層和應用層基礎上的安全協(xié)議，是目前較為可靠，專門為遠程登錄會話和其他網(wǎng)絡服務提供安全性的遠程登錄協(xié)議。簡言之：Telent是明碼傳輸，SSH是加密傳輸。

而Telnet訪問遠程計算機用的TCP/IP協(xié)議是以控制網(wǎng)絡設備，就好比在離開某個建筑時大喊用戶名和口令。就會有人進行監(jiān)聽，并且會利用你安全意識的缺乏，把這些數(shù)據(jù)和口令截獲了。同時這些服務程序的安全驗證方式也是有弱點的，也就是很容易受到“中間人”的攻擊。就是“中間人”冒充真的服務器接收你傳給服務器的信息，然后再冒充你把信息傳給真的服務器。你和服務器之間的信息傳送被“中間人”做了手腳之后，就會出現(xiàn)很糟糕的問題。

而SSH提供的一種基于密鑰的安全認證，則為自己創(chuàng)建一對密匙，并把公用密匙放在需要訪問的服務器上。用這種方式，你必須知道自己密匙的口令，而口令是不需要在網(wǎng)絡上傳送的。這種認證方式不僅加密所有傳送的信息，而且“中間人”這種攻擊方式也是不可能的（因為他沒有你的私人密匙）。

3.3 弱口令問題

弱口令問題恐怕是最能體現(xiàn)個人習慣和暴露個人信息的。有人說破解密碼的高手都是一個優(yōu)秀的心理學家，他可以通過對你個人的所有網(wǎng)絡信息和生活習慣的了解經(jīng)過縝密的推理來破解你的密碼。而你是防不勝防的。因為密碼是我們最容易麻痹和偷懶的網(wǎng)絡信息。

這就要說到密碼破解方法。攻擊者一般都會使用一些常用的弱口令先進行手工試探，我們平時所用的一些系統(tǒng)服務、數(shù)據(jù)庫、web應用等都有其默認的弱口令，這更是需要我們注意和更改的地方。

手工試探失敗，是可以暴力破解的。理論上密碼都是可以破解的，但是理論歸理論，現(xiàn)實歸現(xiàn)實，暴力破解是需要成本的，稍微復雜的密碼，一臺普通設備都要破解很長時間。

因此，關于登錄密碼最好的弱口令問題的解決方案：不使用空口令或系統(tǒng)缺省的口令；口令長度不小于8個字符；口令應該為大寫字母、小寫字母、數(shù)字和特殊字符的組合；不使用與自己個人信息有關的密碼，如生日、姓名簡寫等；定期更換口令密碼，防止未被發(fā)現(xiàn)的入侵者繼續(xù)使用該口令等等。這些措施都能給攻擊者破解密碼帶來很大的障礙，保證了口令破解的難度。

為了防止維護人員偷懶，可以進行密碼復雜度配置：

參數(shù)含義：常識次數(shù)5；最少不通字符4；最小密碼長度8；最少大寫字母1；最少小寫字母：1；最少數(shù)字1。

參數(shù)含義：

PASS_MAX_DAYS 90 #密碼最長過期天數(shù)

PASS_MIN_DAYS 80 #密碼最小過期天數(shù)

PASS_MIN_LEN 8 #密碼最小長度

PASS_WARN_AGE 7 #密碼過期警告天數(shù)

3.4 更改遠程登錄端口號

從一臺設備到另一臺設備或幾臺設備可能建立多個連接，所以需要某種多路復用功能區(qū)分不同連接。多路復用確保傳輸層可以從某個應用程序?qū)?shù)據(jù)發(fā)送到恰當?shù)慕邮照?，并且從接收站接受?shù)據(jù)時，把數(shù)據(jù)傳送到恰當?shù)膽贸绦?。為了擁有這種本領，傳輸層為每個連接分配一套唯一的號碼，這些號碼成為端口（prot）。每個連接有一個源端口號和一個目的端口號。發(fā)送方設備所指定的目的端口號成為公共端口號，公共端口號中包括一些常用應用程序的“默認端口號”。比如：FTP，默認端口號為21；SSH，默認端口號為22；Telnet，默認端口號為23；TFTP（Trivial File Transfer Protocol ），默認端口號為69；QQ，默認的端口號為1080；…

遠程攻擊所使用的端口號基本都是默認的端口號，我們在維護工作中也習慣于記憶和使用默認端口號。而修改遠程端口號，會使得該遠程登錄只能在此更改的端口進行，即使知道賬號和口令，端口號不對依然無法登錄，這就使得我們的遠程登錄安全又增加了一份防護。

修改ssh端口號的方法：步驟一修改/etc/ssh/sshd_config文件

[root@localhost ssh]# more sshd_config#$OpenBSD： sshd_config，v 1.69 2004/05/23 23：59：53 dtucker Exp$

# This is the sshd server system-wide configuration file. See# sshd_config（5） for more information.

# This sshd was compiled with PATH=/usr/local/bin：/bin：/usr/ bin

# The strategy used for options in the default sshd_config shipped with

# OpenSSH is to specify options with their default value where

# possible， but leave them commented. Uncommented options change a

# default value.

#Port 22 //先把22注釋掉

port 2501 //添加一個新的端口

#Protocol 2，1

步驟二

[root@localhost ～]# service sshd restart

Stopping sshd：[ OK ]

Starting sshd：[ OK ]

步驟三

用SecureCRT測試3.5 ARP攻擊防護

在此案例中維護人員還發(fā)現(xiàn)同一網(wǎng)段中的一些設備存在嚴重的丟包行為，甚至影響了客戶端正常登錄平臺。最后的故障判斷為：存在ARP攻擊。所謂ARP攻擊就是通過偽造MAC地址和IP地址實現(xiàn)ARP欺騙，同時在網(wǎng)絡上產(chǎn)生大量的ARP通信量使網(wǎng)絡阻塞，攻擊者只要不斷的發(fā)出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網(wǎng)絡中斷或中間人攻擊。

為了保證服務器的順暢和業(yè)務的正常運行，對于ARP攻擊的防范工作必須要做，在此介紹三種常用的防范措施：一是在路由器和終端上都進行IP-MAC地址綁定，這可以對ARP欺騙的兩邊偽造網(wǎng)關和截獲數(shù)據(jù)，都具有約束的作用。二是通過在防火墻軟件中開啟ARP防護來對終端電腦上網(wǎng)關進行綁定，以防止不受網(wǎng)絡中假網(wǎng)關的影響，實現(xiàn)保護自身數(shù)據(jù)不被竊取。三是通過劃分VLAN和交換機端口綁定來實現(xiàn)。做法是通過細致地劃分VLAN，以減小廣播域的范圍，從而使ARP在小范圍內(nèi)起作用，不至于發(fā)生大面積影響。而針對一些網(wǎng)管交換機具有MAC地址學習的功能，學習完后，再關閉這個功能，就可以把對應的MAC和端口進行綁定，避免了病毒利用ARP攻擊篡改自身地址。

四、結論

通過對本案例的解決方案分析，回頭再去看前言的第一句話，不禁感受頗深。以上的安全加固策略其實都是基本的安全常識，也并不是多么復雜的操作。但是維護人員自身所具有的安全意識程度，卻反映了設備存在的漏洞大小和多少。在維護人員和設備組成的一體系統(tǒng)，具有了良好的安全操作和維護習慣以及預警意識，你就會成為維護設備外面一層最堅實的“防火墻”。

參 考 文 獻

[1] 鳥哥 著 鳥哥的Linux私房菜：服務器架設篇（第三版）機械工業(yè)出版社2012.7出版

[2] 閆宏生 王雪莉 楊軍等編著計算機網(wǎng)絡安全與防護（第二版）電子工業(yè)出版社 2010.11出版

[3]俞朝暉 王長征 趙怡程著 系統(tǒng)防護網(wǎng)絡安全與黑客攻防實用寶典中國鐵道出版社 2013.2出版