第48章 (第3/3页)
以上的每一件事。”漏掉 任何一扇门,我都会立刻再次归来。“我自己的故事就证明了这个观点。当我还在高中时,我攻击过 Digital Equipment Corporation 的 Easynet.他们知道了我的入侵, 但是八年来他们的安全部门都没能把我赶出去。他们最终让我自生 自灭--放弃了任何努力,同时政府的一个旅游部门还给我一个免 费旅游用来招安。
对策虽然黑客手段层出不穷,但是如果我们能睁大眼睛注意有多少 弱点总是被黑客利用来攻击,同样,我们就会有多少对策来应对这入侵的艺术些攻击。
接下来的故事就是讲这个的。
公司防火墙防火墙应当被设置为只允许幵通公司业务需求的关键服务。我 们必须反复仔细地检查防火墙来保证:除了业务实际需求的服务 外,任何服务都没有开通。另外,可以考虑使用”状态检测防火墙 (stateful inspection firewall)w ,这种防火墙能够在一段时间内追踪 数据包,从而提供更好的安全保障。收到的数据包只允许回应向外 接出的连接。换句话说,防火墙基于输出流来开放他的特殊接口。 同时也实现了向外接出的连接控制规则。防火墙管理员应该定期检 查防火墙设置和日志来保证没有任何未经授权的改动出现。因为一 旦有黑客攻破了防火墙,那么他就极有可能做出一些难以发现的小 改动来得到好处。
还有,如果町以的话,还要考虑控制进入基于用户IP地址的 VPN的权限。当使用VPN到公司闷络的个人连接限额时,这将是 可行的。另外,要考虑使用更安全的VPN认证形式,比如说智能 卡或者客户端证书,而不是静态的共享密钥。
个人防火墙进入了 CEO的计算机,发现了其中安装了个人防火墙。 他没有放弃,因为他挖掘出了一个被防火墙允许进入的服务。他可 以通过Microsoft SQL服务器默认允许的存储过程(Stored Procedure)来传输命令。这又是一个挖掘出防火墙没有保护的服务 的例子。这个例子中的受害者从来没有想过做这样一件麻烦事,检 査他的庞大的包含超过500K的活动记录防火墙日志。这不是个特 例。许多机构都配置了侵入保护和预防技术,同时期待这些技术能 自己解决所有问题,拿出来就可以直接用。以上例子中的粗心行为 将使得攻击愈演愈烈。
第8草:知识产权并不安全教训是很明显的:不仅要严格制定防火墙规则,过滤掉服务器 上非关键业务上的进出流,还要定期重新检查防火墙规则和日志, 发现非授权的改动或者有意图的安全破坏。
一旦一个黑客侵入,他就很可能夺取一个匿名系统或者用户账 户,以便将来卷土重来。另外一个策略就是给那些已经被获取的账 户添加特权或是组。