網管囧事系列二：又要殺毒，又要防黑客，網管怎樣三頭六臂？

場景之二：又要殺毒，又要防黑客，網管怎樣三頭六臂？

案例描述：小熊的公司是剛剛搬遷到北京市大興科技園區的新型企業，公司主要從事影視特效和動漫遊戲開發。公司的網站上提供了大量線上遊戲和FLASH動畫，網站的通路者大多時尚的年輕人和大學學生。但頻繁出現的黑客入侵和内網病毒傳播問題，已經直接危害到網絡的運作和業務的正常開展。在沒有專門的安全管理人員情況下，小熊如何自己應對這些安全問題呢？

這可不是小熊一個人的問題，在中小企業中，網絡管理者随時都充當着安全專家的角色。我們知道，每當一種新的計算機技術廣泛應用的時候，總會有相應的病毒随之出現，現在則是病毒與黑客技術相結合的趨勢，威脅更加嚴重。網絡的普及與網速的提高，使得計算機之間的遠端控制越來越友善，傳輸檔案也變得友善快捷，正因如此，病毒與黑客技術結合以後的危害更為嚴重，病毒的發作往往在侵入了一台計算機後，又通過網絡侵入其他網絡上的機器，這是中小企業中最為薄弱的網絡管理環節。

誰毒了我的電腦？

如何診斷電腦是否中毒，可用醫生“望、聞、問、切”的方法，不過這适合對系統了解較深入的網絡管理者。那麼有沒有簡單的辦法，自測電腦是否“中毒”或“被黑”了呢？

病毒方面，我們可以排查系統程序是否存在異常。開機後，什麼都不要啟動，直接打開任務管理器，檢視有沒有可疑的程序，對于那些你不認識的程序可以利用搜尋引擎搜尋。如果任務管理器打開後馬上就消失了，可以判定已經中毒。另外一種情況是，提示你任務管理器已經被管理者禁用，則要引起警惕。此時我們可以一些第三方的安全檢測工具，例如：端口掃描 （Port scanners）、網絡/作業系統弱點掃描 （Network/OS vulnerability scanners）、應用程式/資料庫弱點掃描 （Application/database vulnerability scanners）、密碼破解 （Password crackers）、檔案查找工具 （File searching tools）、網絡分析 （Network analyzers）、漏洞檢查工具等。以比較有代表性的“冰刃”為例，運作之後可以檢視那些隐藏程序（冰刃中以紅色标出），然後檢視系統程序的路徑是否正确，通常Windows自己的程序工具應該放在System32或者System目錄下。如果這些工具無法正常使用或有紅色的程序，則可以判定已經中毒。如果程序全部正常，則利用Wsyscheck等工具檢視是否有可疑程序注入到正常程序中。

誰黑了我的電腦？

黑客方面，可以檢查賬戶和網絡的連接配接狀況是否存在異常。這需要在作業系統和網絡裝置上都要檢查，而作業系統又可分為Windows和Linux兩大陣營，下面我們分開介紹一下

對于Windows使用者此時可以先用Net user等指令檢視系統是都有可疑的帳戶存在，然後在沒有進行任何主動通路外網的情況下，利用Netstat –an指令檢視是否有主動連接配接外網特定端口的情況。如果你在日志方面已經下了一些功夫，則可以迅速在日志中檢視到黑客的蛛絲馬迹，包括登入的使用者、時間、操作了哪些系統的服務等等。不過提醒你的是，如果你沒有使用日志轉移，一些黑客的高手則會删除他們通路的記錄，此時如果你發現正常的日志統計中少了一段時間記載，則可以斷定有些黑客光臨過你的系統。

對于Linux使用者如果你安裝了所有正确的更新檔，擁有經過測試的防火牆，并且在多個級别都激活了先進的入侵檢測系統，那麼隻有在一種情況下你才會被黑，那就是，你太懶了以至沒去做該做的事情，例如沒有更新服務軟體包的版本。Linux系統中更嚴重的威脅是某些“腳本小子”還會下載下傳一些衆所周知的“root kits”或者流行的刺探工具，這些都占用了你的CPU，存儲器，資料和帶寬。找出root kit的首個竅門是運作ps指令。黑客常用的一個詭計就是把ps指令替換掉，而這個替換上的ps将不會顯示那些正在你的機器上運作的非法程式。為了測試個，應該檢查你的ps檔案的大小，它通常位于 /bin/ps 目錄下。在Linux系統上尋找未知的使用者賬号可能要複雜一些，需要本機登入到你的Linux機器時，敲入以下的指令：“grep :x:0: /etc/passwd ”這個指令應該隻傳回一行，類似 root:x:0:0:root:/root:/bin/bash ，如果系統傳回的結果不止一行，那可能就有問題了。應該隻有一個使用者的UID為0，而如果grep指令的傳回結果超過一行，那就表示不止一個使用者了，這很有可能就是黑客光臨了你的主機。

提示：Script Kiddie，國内翻譯成“腳本小子”，指的是用别人寫的程式的人。網上有很多hacker寫的小程式，許多hacker 在公布他們發現的漏洞時，常常也會上傳一個可以溢出（exploit）漏洞的程式，作為自己發現這個漏洞的證明。也有的hacker 編寫了一些hacking的工具程式。而腳本小子就是收集這些程式的人，他們可能自己從來沒有寫過一行程式，可能對這些程式内部如何工作一無所知，也不知道如何寫這些程式，更不知道如何發現系統的漏洞，就是說他們不知道如何“hack” 一個作業系統或一個應用程式，但是他們知道如何使用hacker編寫的程式與工具，這種人危害最為嚴重，有的人設定兩Format這樣的指令都敢操作。

快速安全的法寶：劃分信任區域

随着時間的發展，安全威脅無論在形式上還是在數量上，都已呈現出爆炸性的增長；現在每天都有成百種新型病毒在網上出現，而主流應用平台的安全漏洞更是數以千計。使用者的防禦體系，早已從單點裝置防護轉移到如何治理混合型威脅的趨勢中來。劃分區域不但可以阻斷黑客通路内往的可能，也會減少内網之間的病毒感染。安全區域的劃分可以分成兩類：根據安全等級劃分；根據資源位置劃分。

 根據安全等級劃分

這也是我們通常所說的“垂直分層”管理模型，比如将承載不同應用的主機分為4個網絡安全層次：核心層、應用層、隔離層與接入層。對應用系統實施網絡分層防護，有效地增加了系統的安全防護縱深，使得外部的侵入需要穿過多層防護機制，不僅增加惡意攻擊的難度，還為主動防禦提供了時間上的保證。

 根據資源位置劃分

根據資源位置劃分的目标是将同一網絡安全等級的資源，根據對企業的重要性、面臨的外來攻擊風險、内在的運作風險不同，劃分成多個網絡安全區域。執行劃分的原則是将同一網絡安全層次内伺服器之間的連接配接控制在相同的區域内，盡量消除不同安全層次之間的聯系，實施互相邏輯或實體隔離。

劃分安全區域最簡單的辦法是使用功能強大的防火牆，那麼防火牆中最關鍵的技術又是什麼呢？這就是：網絡驗證算法。以Cisco 的PIX防火牆為例：ASA算法采用了一種基于狀态和面向TCP連接配接的安全設計體系。ASA基于源和目的地位址建立一個會話流，同時在一個連接配接完成之前将其TCP序列号、TCP端口号和附帶的TCP識别标記随機地加入會話序列。實作會話序列得的作用主要是用來監視從目的位址傳回的資料包，并保證其合法性。例如每一個内部系統和相關應用在未經過明确的安全配置的情況下隻允許單一方向的連接配接(由inside到outside)，随機生成的TCP序列号可以避免黑客利用篡改TCP序列号進行攻擊的可能性，這是傳統的包過濾防火牆不能比拟的。擁有特殊算法的防火牆幾乎不影響網絡性能，是以可以應用在内部網和 Internet、Extranet 或 Intranet 鍊路之間執行安全通路，這使得劃分區域時變得非常Easy。

本文轉自張琦51CTO部落格，原文連結： http://blog.51cto.com/zhangqi/428993，如需轉載請自行聯系原作者