【正文】 ， 它們中可能存在的安全漏洞使攻擊者甚至不需要賬戶就能控制機(jī)器 .為了系統(tǒng)的安全 ， 應(yīng)把不必要的功能服務(wù)及時(shí)關(guān)閉 ， 從而大大減少安全風(fēng)險(xiǎn) 。 ? 另外在系統(tǒng)安裝目錄下的 repair目錄下也有 SAM文件 ， 這是每次生成系統(tǒng)修復(fù)盤時(shí)創(chuàng)建的備份 。 安全帳號(hào)管理器 （ SAM） 數(shù) 據(jù) 庫 在 磁 盤 上 的 具 體 位 置 就 是 保 存 在 系 統(tǒng) 安 裝 目 錄 下 的system32\config\中的 SAM文件 ， 在這個(gè)目錄下還包括一個(gè) Security文件 ，也是安全數(shù)據(jù)庫的內(nèi)容 。 ? 針對(duì) workstation：創(chuàng)建一個(gè)叫 AutoShareWks的雙字節(jié) （ DWORD ）鍵名 ， 鍵值為 0。 盡管它們僅僅是針對(duì)管理而配置的 ， 但卻隱藏了一定的風(fēng)險(xiǎn) ， 成為方便攻擊者入侵的途徑 。 ? 我們需要改變這種不安全的權(quán)限設(shè)置 。 ? 建議：嘗試 5次失敗鎖定；鎖定 30分鐘 如何設(shè)置帳戶鎖定策略 設(shè)置安全選項(xiàng) ? 登陸屏幕上不要顯示上次登陸的用戶名 ? 對(duì)匿名連接的限制 ? 用戶試圖登陸時(shí)的消息標(biāo)題 ? 用戶試圖登陸時(shí)的消息內(nèi)容 ? 在關(guān)機(jī)時(shí)清理虛擬內(nèi)存頁面交換文件 如何設(shè)置安全選項(xiàng) 合理設(shè)置目錄及文件權(quán)限 ? windows默認(rèn)情況下 Everyone 對(duì)所有盤符都具有完全控制的權(quán)限 ， 這是很危險(xiǎn)的 ， 尤其是對(duì)于有些重要的系統(tǒng)及服務(wù)目錄 例如 IIS的根目錄等 。*?之類的字符 。 而對(duì)于 8位密碼 （ 包括七個(gè)字母和一位數(shù)字或符號(hào) ） 來說 ， 若完全破解 ， 則需要將近三年的時(shí)間 。 不過這只是是理論估算 ， 實(shí)際上密碼比這有規(guī)律得多 。 ? 安全的密碼還要符合下列的規(guī)則：不使用普通的名字或昵稱；不使用普通的個(gè)人信息 ， 如生日日期；密碼里不含有重復(fù)的字母或數(shù)字；至少使用八個(gè)字符 ? 另外 ， 應(yīng)該還要求用戶 60天必須修改一次 密碼 。 ? 不要與其他操作系統(tǒng)共存安裝 。 然后以介紹網(wǎng)絡(luò)安全中重要元素和常見的網(wǎng)絡(luò)安全黑客攻擊方式與防護(hù)方式 ， 同時(shí)還側(cè)重的介紹了網(wǎng)絡(luò)基礎(chǔ)設(shè)備的常見安全問題與漏洞 。 ? 示例 onfig CISCO WEB接口的越權(quán)訪問管理 路由器安全配置 ?物理訪問控制 密碼恢復(fù)機(jī)制 ?密碼策略 enable secret vs enable pasword service passwordencryption ?交互訪問控制（ console, aux, vty） line console|aux|vty login password power ip accessclass 88 exectimeout 300 路由器安全配置 ?SNMP配置 snmpserver munity mym rw snmpserver party authentication md5 snmpserver trapsource Ether0 snmpserver host sercetpasswd no snmpserver ?HTTP配置 ip authentication ip accessclass no ip 路由器安全配置 ?審計(jì) aaa logging aaa accounting snmptrap logging snmpserver trap system logging logging console logging trap logging monitor ?防止欺騙 antispoofing with access lists accesslist number deny ip any accesslist number deny ip any accesslist number deny ip any accesslist number deny ip host any 路由器安全配置 ?控制廣播 no ipdirected broadcast ?禁止源路由 no ip sourceroute ?禁止路由重定向 accesslist 110 deny icmp any any 5 ?路由協(xié)議過濾和驗(yàn)證 路由器安全配置 ?關(guān)閉不需要的服務(wù) no service finger no ntp enable no cdp enable no service tcpsmallservers no service udpsmallservers ?更多請(qǐng)參考： ?全球超過 30萬個(gè)黑客站點(diǎn)提供系統(tǒng)漏洞和攻擊知識(shí)，國內(nèi)有將近 1000個(gè)。 SNMP泄露網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 利用 SNMP的團(tuán)體字下載 CISCO的配置文件 專門針對(duì) SNMP的暴力破解程序 CISCO SNMP的越權(quán)訪問查詢可寫團(tuán)體字 SNMP解決辦法 ?修改默認(rèn)的 munity string snmpserver munity my_readonly RO snmpserver munity my_readwrite RW ?添加訪問控制規(guī)則（ ACL） accesslist 110 permit udp any eq 161 log accesslist 110 deny udp any any eq 161 log interface f0/0 ip accessgroup 110 ?關(guān)閉 SNMP支持 no snmpserver Cisco路由器 80端口漏洞（二） ? 越權(quán)訪問 如果開放了 80端口，將允許任意遠(yuǎn)程攻擊者獲取該設(shè)備 的完全管理權(quán)限。 目前網(wǎng)絡(luò)設(shè)備面臨的安全威脅 ?攻擊者利用 Tracert/SNMP命令很容易確定網(wǎng)絡(luò)路由設(shè)備位置和基本結(jié)構(gòu) ?成為新一代 DDOS攻擊的首選目標(biāo) ?泄露網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) ?成為攻擊者的攻擊跳板 (tel ping命令的使用 ) ?交換機(jī)楨聽口的安全問題 路由器缺省帳號(hào) 設(shè)備 用戶名 密碼 級(jí)別 Bay 路由器 User null user Manager null manager Cisco路由器 （ tel） c user （ tel） cisco user （ enable） cisco manager Shiva root null manager Guest null user Webramp wradmin tracell manager Motorola cable router manager 3 security security manager Cisco路由器密碼 ? 非加密和弱加密 enable password 7 011B03085704 line vty 0 4 password 7 130B12061B03132F39 login ? MD5加密 enable secret 5 $1$uh9n$2yBbtgtNsSdz46yodGnOE0 對(duì)其中的簡單加密的密碼進(jìn)行直接解密 CISCO MD5加密 HASH的本地暴力破解 SNMP協(xié)議 ?版本 SNMPv1， SNMPv2， SNMPv3 ?Snmp Agent ?MIB ?輪循（ pollingonly）和中斷（ interuptbased） ?Community String ?SNMP網(wǎng)管軟件 Solarwinds, HP Openview, IBM Netview 十種最易受攻擊端口 ?某組織 ITrap曾經(jīng)收集了來自 24個(gè)防火墻12小時(shí)工作的數(shù)據(jù)，這些防火墻分別位于美國俄亥俄州 24個(gè)企業(yè)內(nèi)網(wǎng)和本地 ISP所提供的 Inter主干網(wǎng)之間。更安全。數(shù)據(jù)仍能夠被非法破解并修改。通過小心使用數(shù)學(xué)方程式，你可以保證只有特定的接受者才能查看內(nèi)容。 ? 需要考慮一下安全政策給合法用戶帶來的影響在很多情況下如果你的用戶所感受到的不方便大于所產(chǎn)生的安全上的提高，則執(zhí)行的安全策略是實(shí)際降低了你公司的安全有效性。 ?客戶使用端口號(hào)及目的地 IP地址初始化與一個(gè)特定主機(jī)或服務(wù)的連接 。 ?某些服務(wù)進(jìn)程通常對(duì)應(yīng)于特定的端口。 ? TCP和 UDP軟件分別可以提供 65536個(gè)不同的端口。 ? 接口又是進(jìn)程訪問傳輸服務(wù)的人口點(diǎn)。 ? TCP或 UDP用協(xié)議端口標(biāo)識(shí)通信進(jìn)程，端口是一種抽象的軟件結(jié)構(gòu)（包括一些數(shù)據(jù)結(jié)構(gòu)和 I/O緩沖區(qū)）。 ? UDP不是面向連接的服務(wù)，幾乎不提供可靠性措施；因此，基于 UDP的服務(wù)具有較高的風(fēng)險(xiǎn)。 ?分組是 TCP傳輸數(shù)據(jù)的基本單元，分 TCP頭和 TCP數(shù)據(jù)體兩大部分。且面向連接的每一個(gè)報(bào)文都需接收端確認(rèn)，未確認(rèn)報(bào)文被認(rèn)為是出錯(cuò)報(bào)文，出錯(cuò)的報(bào)文協(xié)議要求出錯(cuò)重傳。 TCP ?TCP是傳輸層的重要協(xié)議之一，提供面向連接的可靠字節(jié)流傳輸。 ?IP層作為通信子網(wǎng)的最高層，屏蔽底層各種物理網(wǎng)絡(luò)的技術(shù)環(huán)節(jié)，向上（ TCP層）提供一致的、通用性的接口，使得各種物理網(wǎng)絡(luò)的差異性對(duì)上層協(xié)議不復(fù)存在。運(yùn)用相互信任的主機(jī)的概念，在其它系統(tǒng)上可以執(zhí)行命令且不要求 password。 ? X Window System ： 一個(gè)圖形化的窗口系統(tǒng)。如 NFS Network File System, 可允許系統(tǒng)共享目錄與磁盤。 ? WWW World Wide Web, 是 FTP、 gopher、WAIS及其它信息服務(wù)的結(jié)合體 ,使用超文本傳輸協(xié)議 ()。 ? FTP File Transfer Protocol,用于文件傳輸。 ? SMTP Simple Mail Transfer Protocol, 用于發(fā)送、接收電子郵件。 ?網(wǎng)絡(luò)接口層： TCP/IP協(xié)議的最低層，負(fù)責(zé)接收 IP數(shù)據(jù)報(bào)并通過網(wǎng)絡(luò)發(fā)送，或者從網(wǎng)絡(luò)上接收物理幀，抽出 IP數(shù)據(jù)包，交給 IP層。 ?網(wǎng)間網(wǎng)層（ IP）： 負(fù)責(zé)相鄰計(jì)算機(jī)之間的通信。其功能包括：格式化信息流及提供可靠傳輸。 用戶完全可以在 “ 網(wǎng)間網(wǎng) ” 之上 （ 即傳輸層之上 ） ， 建立自己的專用應(yīng)用程序 ， 這些專用應(yīng)用程序要用到 TCP/IP，但不屬于 TCP/IP。 應(yīng)用層 表示層 會(huì)話層 傳輸層 網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 物理層 FTP、 TELNET NFS SMTP、 SNMP XDR RPC TCP、 UDP IP Ether、 PDN、 、 、 ICMP ARP RARP OSI參考模型 Inter協(xié)議簇 OSI參考模型與 Inter協(xié)議簇 注解：通過對(duì)每一個(gè)協(xié)議簇中各種協(xié)議結(jié)構(gòu)的詳細(xì)了解，就可以非常輕松的針對(duì)包過濾型、應(yīng)用代理型等防火墻的 ACL（訪問控制列表）進(jìn)行制定和理解，并有助于了解防火墻的架構(gòu)體系。 ?表示層： 主要功能是信息轉(zhuǎn)換，包括信息壓縮、加密、與標(biāo)準(zhǔn)格式的轉(zhuǎn)換（以及上述各操作的逆操作）等等。 ?會(huì)話層： 主要針對(duì)遠(yuǎn)程終端訪問。傳輸層通過向上提供一個(gè)標(biāo)準(zhǔn)、通用的界面，使上層與通信子網(wǎng)（下三層）的細(xì)節(jié)相隔離。 ? 網(wǎng)絡(luò)層： 負(fù)責(zé)將數(shù)據(jù)從物理連接的一端傳到另一端，即所謂點(diǎn)到點(diǎn)，通信主要功能是尋徑，以及與之相關(guān)的流量控