【正文】 數(shù)據(jù)庫和加密過程導(dǎo)致了一系列安全漏洞 ， 這個(gè)問題值得探討 。 (1)? Windows NT對較大的 ICMP包是很脆弱的 。 安裝 NT時(shí)別忘了趕快安裝 Service Pack 3以上的補(bǔ)丁程序 。 能解碼 SAM數(shù)據(jù)庫并能破解口令的工具有PWDump和 NTCrack。 (5) 所有用戶可能通過命令行方式試圖連接管理系統(tǒng)的共享資源 。 (7) 通過訪問其他并存的操作系統(tǒng) ， 有可能繞過 NTFS的安全設(shè)置 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 (8) 任何用戶可以通過命令行方式遠(yuǎn)程查詢?nèi)魏我慌_ NT/2023服務(wù)器上的已注冊的用戶名 ， 如果它涉及到特權(quán)賬號的話 ， 這個(gè)安全漏洞意味著一個(gè)十分嚴(yán)重的風(fēng)險(xiǎn) 。 用鼠標(biāo)左鍵單擊選項(xiàng)按鈕 ， 在出現(xiàn)的對話框中選擇 Inter選項(xiàng) ， 也可以對主頁 、鏈接 、 安全 、 高級選項(xiàng)等做任何修改 。 (3) 不創(chuàng)建任何 DOS分區(qū) 。 要加強(qiáng)服務(wù)器的安全 ， 必須根據(jù)需要設(shè)置這些功能 。 最明智的做法就是為每個(gè)用戶指定一個(gè)工作組 ， 為工作組指定文件 、 文件夾訪問權(quán) 。 (2) 至少包含兩個(gè)字母字符和一個(gè)非字母字符 。 (6) 給系統(tǒng)的默認(rèn)用戶特別是 Administrator改名 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 8) 控制遠(yuǎn)程訪問服務(wù) 遠(yuǎn)程訪問是黑客攻擊 NT/2023系統(tǒng)的常用手段 ，Windows NT/2023集成的防止外來入侵最好的功能是認(rèn)證系統(tǒng) 。 但要結(jié)合工作實(shí)際 ， 設(shè)置合理的審計(jì)規(guī)則 ， 切忌審查事件太多 ， 以免無時(shí)間全部審查安全問題 。 網(wǎng)絡(luò)監(jiān)聽原本是網(wǎng)絡(luò)管理員使用的一個(gè)工具 ， 主要用來監(jiān)視網(wǎng)絡(luò)的流量 、 狀態(tài) 、 數(shù)據(jù)等信息 。其次，在計(jì)算機(jī)網(wǎng)絡(luò)中，大量的數(shù)據(jù)是以明文傳輸?shù)?，如局域網(wǎng)上的 FTP、 Web等服務(wù)一般都是明文傳輸?shù)摹ＭǔＴO(shè)置的這些條件是包含字“ username”或“ password”的包。 一個(gè)連到以太網(wǎng)總線上的設(shè)備在任何時(shí)間內(nèi)都在接收數(shù)據(jù)，不過它只是將屬于自己的數(shù)據(jù)傳給該計(jì)算機(jī)上的應(yīng)用程序。 Sniffer除了能得到口令或用戶名外 ， 還能得到更多的其他信息 ， 比如網(wǎng)上傳送的金融信息等等 。 因?yàn)槿绻麤]有恰當(dāng)?shù)卦O(shè)置這個(gè)程序 ，根本就不能從大量的數(shù)據(jù)中找出需要的信息 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 在 Windows系統(tǒng)下 ， 按下 Ctrl+Alt+Del鍵 ， 看一下任務(wù)列表 。 還有許多工具能用來查看系統(tǒng)會不會工作在Promiscuous模式 ， 從而發(fā)現(xiàn)是否有 Sniffer程序在運(yùn)行 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 3． 怎樣防止 Sniffer 要防止 Sniffer并不困難 ， 有許多可以選用的方法 ， 但關(guān)鍵是需要增加開銷 。 加密一般采用 SSH， SSH又叫 Secure Shell， 是一個(gè)在應(yīng)用程序中提供安全通信的協(xié)議 ， 它建立在客戶機(jī) /服務(wù)器模型上 。 目前 ， 還沒有人突破過這種加密方法 。 有一種智力游戲 ， 它通常由一系列數(shù)字組成 ， 游戲的目的是要安排好數(shù)字 ， 用最少的步驟把它們按遞減順序排好 。 由于網(wǎng)絡(luò)分段了 ， 因而數(shù)據(jù)包只能在某個(gè)網(wǎng)段上被監(jiān)聽 ， 多個(gè)網(wǎng)段間將不可能被監(jiān)聽 ， 除非它們之間建立了信任關(guān)系 。 對于劃分網(wǎng)段和建立信任關(guān)系 ， 可通過 VLAN(虛擬局域網(wǎng) )技術(shù)來實(shí)現(xiàn) ， 目前市面上的許多交換機(jī)都支持 VLAN技術(shù) ， 可以通過設(shè)置將網(wǎng)絡(luò)上的任意幾個(gè)站點(diǎn)邏輯設(shè)定在同一個(gè)網(wǎng)段上 。 端口掃描 在 OSI/RM模型的傳輸層上 ， 計(jì)算機(jī)通過端口進(jìn)行通信和提供服務(wù) ， 一個(gè)端口就是一個(gè)潛在的通信通道 ， 也就是一個(gè)入侵通道 。 用端口掃描軟件掃描時(shí) ， 許多掃描軟件都有分析數(shù)據(jù)的功能 。 如果返回的數(shù)據(jù)包和發(fā)送的數(shù)據(jù)包一致 ， 那就是說 Ping命令成。 1． Ping命令 Ping命令經(jīng)常用來對 TCP/IP網(wǎng)絡(luò)進(jìn)行診斷 。 進(jìn)行掃描的方法很多 ， 可以手工掃描 ， 也可以用端口掃描軟件掃描 。 系統(tǒng)安全管理員要定期對所管理的網(wǎng)絡(luò)進(jìn)行安全測試 ， 防止安全隱患 ， 同時(shí)要控制擁有相當(dāng)權(quán)限的用戶的數(shù)量 。 系統(tǒng)管理員的工作是構(gòu)造一個(gè)策略 ， 使得計(jì)算機(jī)之間的信任關(guān)系很小 ， 這樣就建立了一種框架 ， 建立信任策略表的目的是保證一旦出現(xiàn)了監(jiān)聽問題 ， 它只對最小范圍有效 。 這里網(wǎng)段僅由能互相信任的計(jì)算機(jī)組成 ， 通常它們在同一個(gè)房間里 ， 或在同一個(gè)辦公室里 。 當(dāng)然 ， 最關(guān)鍵的是怎樣使用 SSH和 FSSH加密方法 ， SSH和 FSSH都有商業(yè)或自由軟件版本存在 ， 即 NT are available。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 SSH后來發(fā)展成為 FSSH， 提供了高層次的軍方級別的對通信過程的加密 ， 它為通過 TCP/IP網(wǎng)絡(luò)進(jìn)行通信提供了通用的最強(qiáng)的加密技術(shù) 。 有些數(shù)據(jù)是沒有經(jīng)過處理的 ， 一旦遇到 Sniffer， 對方就能獲得這些信息 。例如，網(wǎng)卡處于Promiscuous模式，對于 TCP/IP協(xié)議中的 IGMP、 ARP等協(xié)議沒有反應(yīng) (不同的系統(tǒng)有不同的反應(yīng)或反應(yīng)很慢 )，通過對這些協(xié)議進(jìn)行測試就可以知道對方的主機(jī)狀態(tài)，從而發(fā)現(xiàn)監(jiān)聽者。 另一個(gè)方法就是在系統(tǒng)中搜索 ， 查找可懷疑的文件 。 2. 怎樣在一個(gè)網(wǎng)絡(luò)上發(fā)現(xiàn)一個(gè) Sniffer 網(wǎng)絡(luò)監(jiān)聽是被動的 ， 它不與其他主機(jī)交換信息 ， 也不修改密碼 ， 這就使對監(jiān)聽者的追蹤變得十分困難 ， 因?yàn)樗麄兏揪蜎]有留下任何痕跡 。 有許多運(yùn)行于不同平臺上的 Sniffer程序： Linux tcpdump、 DOS ETHLOAD、 The Gobbler、 LanPatrol、LanWatch 、 Netmon、 Netwatch、 Netzhack等 ， 都可以從 Inter上找到 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 Sniffer通常運(yùn)行在路由器或有路由器功能的主機(jī)上 ， 這樣就能對大量的數(shù)據(jù)進(jìn)行監(jiān)控 。 Promiscuous模式中網(wǎng)絡(luò)上的所有設(shè)備都對總線上傳送的數(shù)據(jù)進(jìn)行偵聽，而不僅僅是偵聽它們自己的數(shù)據(jù)。 另外 ， 網(wǎng)絡(luò)監(jiān)聽采用被動的方式 ， 它不與其他主機(jī)交換信息 ， 也不修改密碼 ， 這就使對監(jiān)聽者的追蹤變得十分困難 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 網(wǎng)絡(luò)監(jiān)聽的危害很大。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 12) 應(yīng)用系統(tǒng)的安全 在 Windows NT/2023上運(yùn)行的應(yīng)用系統(tǒng)如 Web服務(wù)器 、 FTP服務(wù)器 、 Email服務(wù)器 、 Inter Explorer等 ，應(yīng)及時(shí)通過各種途徑 (如 Web站點(diǎn) )獲得其補(bǔ)丁程序包 ，以解決其安全問題 。 9) 啟用登錄工作站和登錄時(shí)間限制 如果每個(gè)用戶只有一個(gè) PC，并且只允許工作時(shí)間登錄，可以把每個(gè)用戶的賬號限制在自己的 PC上且在工作時(shí)間內(nèi)使用，從而保護(hù)網(wǎng)絡(luò)數(shù)據(jù)的安全。 (8) 禁用 Guest賬號 。 (4) 不是用戶的姓名 ， 不是相關(guān)人物 、 著名人物的姓名 ， 不是用戶的生日和電話號碼及其他容易猜測的字符組合等 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 6) 實(shí)施賬號及口令策略 用域用戶管理器配置口令策略 。 5) 避免給用戶定義特定的訪問控制 將用戶以 “ 組 ” 的方式進(jìn)行管理是一個(gè)用戶管理的有效方法 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 2) 用最新的 Service Pack升級 Windows NT/2023 Server 因?yàn)榉?wù)包 (Service Pack)包括所有補(bǔ)丁程序和后來發(fā)表的很多安全補(bǔ)丁程序 。 1) 加強(qiáng)物理安全管理 (1) 去掉或鎖死軟盤驅(qū)動器 ， 禁止 DOS或其他操作系統(tǒng)訪問 NTFS分區(qū) 。在登錄界面將光標(biāo)移至用戶名輸入框，按 Ctrl+Shift鍵，這時(shí)在缺省的安裝狀態(tài)下會出現(xiàn)輸入法狀態(tài)條，將鼠標(biāo)移至輸入法狀態(tài)條上單擊鼠標(biāo)右鍵，在出現(xiàn)的對話框中選擇幫助，選擇操作指南或輸入法入門 (微軟的拼音輸入法和智能 ABC沒有這個(gè)選項(xiàng) )，在出現(xiàn)的操作指南或輸入法入門窗口中會出現(xiàn)幾個(gè)按鈕，關(guān)鍵是選項(xiàng)按鈕。 這些工具有 DOS/Windows的 NTFS文件系統(tǒng)重定向器 (NTFS File System Redirector for DOS/Windows)、 SAMBA或者 Linux NTFS Reader。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 (6) 如果系統(tǒng)里只有一個(gè) Administrator賬號 ， 當(dāng)注冊失敗的次數(shù)達(dá)到設(shè)置時(shí) ， 該賬號也不可能被鎖住 。Inter上有些工具程序可以相對容易地獲得 Administrator特權(quán) (比如 NT R e c o v e r、 W i n t e r n a l S o f t w a r e的NTLocksmith)。 NT在對用戶進(jìn)行身份驗(yàn)證時(shí) ， 只能達(dá)到加密RSA的水平 。 下面的命令可以作為例子用于測試這個(gè)安全漏洞： pingl 65524 。 加密口令時(shí)先用 RSA MD4系統(tǒng)對口令進(jìn)行加密 ， 但其后的加密過程缺乏復(fù)雜度 ， 比如加密口令時(shí)沒有考慮時(shí)間的因素 ， 結(jié)果 NT/2023口令比 UNIX口令更加脆弱 ， 更容易受到一本簡單字典的攻擊 。 (2) 若目錄對象有訪問控制列表 ACL， 但訪問控制條目 ACE為空 ， 則系統(tǒng)對所有用戶都拒絕訪問該對象 。 資源對象的安全屬性在 NT/2023內(nèi)部以訪問控制列表 ACL形式存放 ， ACL中包含了每個(gè)權(quán)限的分配 ， 以訪問控制條目 ACE來表示 。當(dāng)用戶初始化一個(gè)進(jìn)程時(shí)，存取標(biāo)識的一個(gè)副本就被永久地附于這個(gè)進(jìn)程。 每次用戶登錄到系統(tǒng)上時(shí) ， 便生成了用戶的存取 SID， 并且在登錄后不再更新 。所有的 SID用一個(gè)用戶信息、時(shí)間、日期和域信息的結(jié)合體來創(chuàng)建。 對資源的靈活 、 具體的存取控制能作用于特定的用戶 、 多個(gè)用戶 、 用戶組 、 無人或者所有人 ， 由資源擁有者 、 系統(tǒng)管理賬號的用戶或者任何被授權(quán)控制系統(tǒng)上資源的用戶來設(shè)定 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 2. ?Windows NT/2023的資源訪問控制機(jī)制 根據(jù)需要選擇的存取控制 ， 使資源擁有者可以控制網(wǎng)絡(luò)用戶存取其資源以及能存取的權(quán)限 。 用戶成功登錄之后 ， 只要沒有注銷 ， 其在系統(tǒng)中的權(quán)力就以存取標(biāo)識 SID為準(zhǔn) ， NT/2023安全系統(tǒng)在此期間不再檢查安全賬號數(shù)據(jù)庫 SAM， 這主要是為了提高效率 。 如果賬號及口令無效 ， 則用戶的登錄企圖被拒絕；如果賬號及口令有效 ， 則把安全賬號數(shù)據(jù)庫中有關(guān)該賬號的信息收集在一起 ， 形成一個(gè)使用者的安全存取標(biāo)識 SID。當(dāng)用戶開始登錄時(shí)，按下 Ctrl+Alt+Del鍵， NT系統(tǒng)啟動登錄進(jìn)程執(zhí)行 ，彈出登錄對話框，讓用戶輸入用戶名及口令。 用戶對系統(tǒng)資源所具有的權(quán)限應(yīng)與特定的資源一起存放 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 Windows NT/2023的安全保護(hù)及模型 Windows NT/2023系統(tǒng)安全模型 好的安全系統(tǒng)可以確認(rèn)試圖訪問計(jì)算環(huán)境的個(gè)人的身份 ， 防止冒名頂替者訪問 、 盜竊或者破壞系統(tǒng)資源 ， 保護(hù)環(huán)境中的特定資源免受用戶的不正當(dāng)訪問 ， 為設(shè)置和維護(hù)用戶工作環(huán)境的安全性提供了一種簡單而有效的方法 ， 同時(shí)防止信息和資源被損壞以及未授權(quán)訪問 。 (3) 利用防火墻建立專用網(wǎng) (VPN是較長一段時(shí)間內(nèi)用戶使用的主流 )， IP加密需求越來越強(qiáng) ， 安全協(xié)議的開發(fā)是一大熱點(diǎn) 。 ● 安全控制策略的規(guī)范性 、 邏輯上的正確合理性 ，避免了由于各大防火墻廠商推出的防火墻產(chǎn)品在安全策略上有漏洞而對整個(gè)內(nèi)部保護(hù)網(wǎng)絡(luò)產(chǎn)生危害 。 子網(wǎng)屏蔽防火墻是最安全的一種防火墻體系結(jié)構(gòu)，它具有主機(jī)屏蔽防火墻的所有優(yōu)點(diǎn)，并且比之更加優(yōu)越。 Intra不能直接通過路由器和 Inter相聯(lián)系，信息包要通過路由器和堡壘主機(jī)兩道防線。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 3) 主機(jī)屏蔽防火墻 (Screened Host Firewall) 包過濾路由器雖有較好的透明性 ， 但無法有效區(qū)分同一 IP地址的不同用戶；應(yīng)用型防火墻可以提供詳細(xì)的日志及身份驗(yàn)證 ， 但又缺少透明性 。 它既能作為服務(wù)器接收外來請求 ， 又能作為客戶轉(zhuǎn)發(fā)請求 。 2. 防火墻的基本準(zhǔn)則 1)過濾不安全服務(wù) 2) 過濾非法用戶和訪問特殊站點(diǎn) 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 3． 防火墻的分類 目前，根據(jù)防火墻在 ISO/OSI模型中的邏輯位置和網(wǎng)絡(luò)中的物理位置及其所具備的功能，可以將其分為兩大類：基本型防火墻和復(fù)合型防火墻。防火墻能有效地控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問及數(shù)據(jù)傳送，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問和過濾不良信息的目的。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 防火墻技術(shù)