前言
本來實在不想寫這篇文章,可是實在無法讓人忍受。沒想到學校校園網(wǎng)的安全狀況居然這么差,其中最令人無可奈何地。還是管理員的素質(zhì)和安全意識。
狀況
回想起一年前,我無意中進入哈爾濱XX大學的Web服務器。這臺服務器似乎是剛裝好,全是默認的漏洞,我想可能是沒有來得及配置吧,于是發(fā)信提醒管理員盡快做安全配置。然后離開了,一個星期后,我應朋友要求檢測一臺服務器安全性。由于沒有得到授權,所以需要一臺跳板,想到了哈爾濱XX大學的服務器。一去看,居然紋絲未動,赤裸裸的運行著,我用完后為了引起管理的注意修改了首頁的title標簽,更令我無法想象的是被修改過的頁面居然能在google上搜索到,真是無比驚訝,后來再訪問一次訪問不了了,也ping不通了。看來關了,不知道什么原因,寧愿關也不愿配置一下,哪怕是裝個防火墻也好啊。對服務器如此,內(nèi)網(wǎng)可想而知。
我們柳州市有兩所省重點,鑒于影響,全是用化名,一所是市里(下面簡稱市高)的,一所地區(qū)(下面簡稱地高)的,每年都有近300人重點,近600人本科,地高今年還得了9個清華,按理說電腦老師水平應該很高??墒遣还鈱ν夥掌靼踩圆?,內(nèi)網(wǎng)的安全狀況更是慘不忍睹。還有FTP服務器、MAIL服務器都存在一定的缺陷。什么原因?
地高的網(wǎng)站做得不錯??吹贸鋈净贏SP+SQL,而且是自己寫的程序,細心觀擦源代碼就可以發(fā)現(xiàn)不少過濾問題,只是簡單的查看一些ASP文件運行的結果的HTML代碼就可以看到表單有一些小問題,很容易讓人執(zhí)行跨站越權操作。FTP服務器是用IIS5.0的。還可以匿名登陸,不過現(xiàn)在好像弄好了?,F(xiàn)在imail到7.xx版了,現(xiàn)在還用5.xx。
論壇用動網(wǎng)0109版本的,dispuser.asp有嚴重的語句過濾問題,使得攻擊者可以執(zhí)行跨站腳本獲取任何論壇用戶的密碼,由于數(shù)據(jù)庫沒有加密。所有密碼明文顯示。聰明的人應該可以知道這意味著什么。我曾經(jīng)就這個問題發(fā)信給管理員。管理員不自己去檢測居然來問我要解決辦法。悲哀……
更嚴重的還是內(nèi)網(wǎng)的安全問題,在黑客軟件橫行霸道的今天,各種危險性的數(shù)據(jù)包滿天飛,經(jīng)常有人無故死機,利用設備名稱解析漏洞更是無聲無息。共享資源也暴露得過火,剛才所說的web服務器的web目錄也共享出來,直接就可以把所有ASP文件要下來,當然,也找到了conn.asp文件里的sa用戶名及密碼,雖然無法連接,但的確開不了玩笑得,前段時間,有個同學無意中發(fā)現(xiàn)了老師電腦里的試卷。結果很多學生都樂此不疲東翻西找,后來簡單的隱藏了網(wǎng)上鄰居,沒有發(fā)現(xiàn)人成功了,但其實要進入老師的電腦還是輕而易舉。只是我不需要這樣做。領導辦公室、教務處的電腦里,學期計劃,考試成績,工資、學生評定等一覽無余。有的還是任意讀寫,任何人知道了都會震驚。
機房本地安全做得不錯,使用EXTRA硬盤還原卡,禁止注冊表和控制面板里的所有選項,教學監(jiān)控軟件以前可以單純的在開機前終止進程,后來軟件采用再生技術,進程被殺會再生,程序被刪會再生,甚至你改掉Program Files目錄他也會再生一個完整的程序出來。有點像qeyes 潛伏獵手。結果沒有人能逃脫老師的監(jiān)視了,可是我還是暢通無阻。由此可見,還是非常不安全的,程序很優(yōu)秀,系統(tǒng)本身很糟糕。可是管理員一向都自我感覺良好……
不久,在我的論壇上發(fā)現(xiàn)了市高的一個學生把進市高的服務器過程寫了下來。是在內(nèi)部入侵的。居然還有二次解碼漏洞,.printer遠程溢出漏洞??吹竭@里,我就去市高的服務器上看看,結果令人大跌眼鏡。既然不是我們學校的,我就不好透露什么,我只想提醒柳高的管理員盡快仔細檢查自己的系統(tǒng)。即使裝了防火墻也無濟于事。
上面是我所了解的情況,其他學校也好不到哪里去?,F(xiàn)況大家了解得差不多了,有什么感想呢?我總結了幾點原因:
一、管理員素質(zhì)極低,安全意識淡薄,水平普遍偏低。對于發(fā)出的信漠不關心。
二、web服務器和系統(tǒng)都沒有經(jīng)過細心的安全配置。
三、使用的程序的版本過低,漏洞明顯,但又不采取任何補救措施。
四、沒有嚴格的控制好各工作組之間的訪問權限,也沒有做好單機的防范工作。
五、管理員太依賴程序。自己卻沒有盡職。
解決方案
下面給出我認為行得通的一些解決方案,僅供參考。
A、對外服務器的安全問題
對外服務器通常是web服務器這是局域網(wǎng)的第一道關卡,由于經(jīng)費、在線時間、管理等諸多原因,這臺服務器肯定與內(nèi)網(wǎng)相連,這樣只要控制了該服務器,那么想獲取內(nèi)部任意一臺電腦的資料也不是難事了。所以這臺服務器至關重要,一定要精心的配置。如果不是專業(yè)網(wǎng)管,請參考網(wǎng)上的相關文章。
B、內(nèi)部網(wǎng)的安全問題
要想解決局域網(wǎng)內(nèi)部安全的問題,最基本的就是安裝NT內(nèi)核的操作系統(tǒng),使用NTFS格式的分區(qū)。服務器可以使用Windows 2000 Server或Windows 2000 Advanced Server甚至UNIX或類UNIX系統(tǒng)。學生和教師機可以使用Windows 2000 professional,牢固的系統(tǒng)可以提高抵抗各種bomb的能力,還可以更好的控制權限,強健的密碼機制讓98無地自容。此外,還可以安裝一些占用資源少的簡單的包過濾防火墻。
C、學生機的安全問題
學校擔心學生在電腦的種種錯誤操作而導致數(shù)據(jù)丟失、系統(tǒng)崩潰,因此安裝各種硬盤還原卡、保護卡或者還原精靈。這對硬盤來說是種酷刑,而且增加了開支,其實充分利用NTFS分區(qū)的“安全”特性,就可以對硬盤進行良好的保護,因為目前為止,我還沒有發(fā)現(xiàn)什么工具能沖破NTFS的保護。嚴格設置好各個分區(qū)、目錄、文件的訪問權限,效果比還原卡還要理想數(shù)倍。而且不損壞硬盤,還可以很好的限制下載等。難道管理員怕吃苦或是認為電腦是由學校出錢買的而不當回事?
D、內(nèi)部管理問題。
對于IP,每臺電腦僅有的一個網(wǎng)絡標識,就像人的身份證一樣,如果管理不好甚至被更改或盜用,可能導致那太電腦不能上網(wǎng),而且現(xiàn)在每個學?;旧隙际侨斯し峙銲P地址,費時費力而且頁可能讓學生修改,其實NT/2000就提供了DHCP(動態(tài)主機配置協(xié)議)服務,通過這個功能可以很好的解決IP的分配和盜用問題。如果不懂設置請看《使用DHCP服務巧妙固定IP地址》《如何解決校園網(wǎng)絡中避免IP地址被盜用》。
安全管理措施
下面再說說一些網(wǎng)絡系統(tǒng)安全管理措施
A、任何操作系統(tǒng)都有漏洞,作為管理員就有責任及時的打上各種補?。≒atch)。為了將安全漏洞降低到最少,也為了系統(tǒng)能更加穩(wěn)定的工作。
B、密碼是首席看門官,大部分的攻擊都是從截獲或猜測密碼開始的,一旦黑客成功進入,那么前面的防衛(wèi)措施幾乎就沒有作用。因此對密碼進行安全、有效地管理是管理員義不容辭的職責。
C、關閉不必要的服務、如果系統(tǒng)都使用NT內(nèi)核系統(tǒng)就涉及到一個服務的概念,有的服務控制著一個端口的開與關,多一個不必要的服務就多一個威脅。這點也是需要注意的。
D、數(shù)據(jù)備份永遠是最累人但最必要的工作,誰也不敢肯定錯誤操作、停電、硬盤損壞等意外事故什么時候發(fā)生。勤備份數(shù)據(jù)能給你減少數(shù)據(jù)丟失后的尷尬。
E、慎重選擇好殺毒軟件,病毒是個與大型網(wǎng)絡形影不離的家伙,幾乎每個大型的網(wǎng)絡都有它的身影,2003年1月25日爆發(fā)的全球性SQL蠕蟲病毒就是最好的警告。
F、合理利用安全工具進行檢測,不要以為安全工具是入侵(攻擊)者的專利,管理員比這些人更有權利使用它。掃描器能讓你更好的了解系統(tǒng)出現(xiàn)的漏洞。嗅探器能更好幫幫你解決網(wǎng)絡的一些實質(zhì)性問題。所以你必須熟練運用他們。
解決方案和防護措施也是針對校園網(wǎng)而言,網(wǎng)絡安全是一門藝術型的學問,只有不斷挖掘和探索才能更好的管理和完善她。以適應不同的場合。
以上是我個人的觀點,有不少錯誤望大家能指出。
------------------------------- · 相關文檔瀏覽 · --------------------------------------------------------------------- · 熱門文檔瀏覽 · -------------------------------------