你的网络有多安全?

保护你自己

你的网络有多安全?

你的网络中有机密的或者比较敏感的数据吗?如果有的话,那你一
定希望它非常安全,受到可靠的保护.在这篇文章中,我们介绍了
一些相对简单的方法,它们可以使你的数据免受破坏。


口令

人们一想到网络安全,首先就会想到口令。虽然安全性口令只是
你可以用来保护你数据的屏障中的一种,但由于它是保护你网络
安全的非常典型的方式,所以我们还是要讨论几种简单的方法,
它们可以使你的口令更可靠。一个编码比较复杂的口令可能要花
费一个黑客几个星期的时间来破译。基于这个原因,你应当使用
那种不容易被破译的密码,并且要经常更新。Windows NT 服务
器和Novell NetWare 服务器都允许你在你的网络口令上加上某
种限制。比如说,如图A所示,我们可以设置最小的口令长度,
还可以强制要求用户每三十天更换口令并且在相当长的时间内不
能重复使用老的口令。我们采用的另一个防范措施是:当一个帐
号连续三次登录失败后,这个帐号就会失效。这种措施使得那些
黑客不能通过猜测的方式得到口令而非法闯入。

你可以通过这种方式对口令作限制
然而不幸的是,那些网上黑客可以通过许多其他的方式来获取口
令。事实上,有许多工具可以用来破译口令。例如,我们在一台
试验用的服务器上运行一个叫做NTCrack的工具,图B显示了运行
的结果。一个黑客想要使用NTCrack的话,还必须下载另外一个
工具,叫做PWDUMP,用来制作一个包含已破译口令的文本文件。
然后NTCrack将存储在文本文件中的口令密码同包含在一个目录
文件中的规则词汇做比较。所以,你应当避免使用名字或普通的
词汇作为口令。最安全的口令应当是由数字和字符混在一起组成
的。

NTCrack 能迅速击破不牢固的口令
你可以从Internet上下载一个免费的NTCrack 拷贝,然后使用它
定期检测是否有人在使用脆弱的口令。可供下载NTCrack 的网址
是: www.secnet.com/nav6.html

下载PWDUMP的网址是
ftp://samba.anu.edu.au/pub/samba/pwdump/

值得一提的是:我们注意到NTCrack 的目录下只有不到900个词
汇。你可以假如一些你自己的词汇到这个目录文件中以便增大你
的安全系数—检测到尽可能多的你会使用到的口令。

使用多个口令

尽管你可以在很大程度上减少被人破译你的口令的机会,但是你
并不能完全阻止这种行为。基于此,我们建议你多使用几种方
式,防患于未然。如果你使用多台服务器,我们建议你在每台服
务器上都使用不同的管理员口令。那样的话,就算是有人破译了
一个管理员口令,所造成的损失程度也会降低到最小。

用户限制

尽管你的网络有非常安全的口令,但是你是无法限制知道这些口
令的用户泄露口令或利用他们的权利做一些别的事情,比如用户
告诉别人他们的口令或为了个人目的而试图使用网络上的信息。
雇员通常在办公室访问网络而不是通过拨号的方式连接,而这种
拨号的方式通常是处在严密监视之下的。由于用户不想引起注
意,他们要么是通过在僻静角落的PC机读取那些保密的数据,要
么就是在一个隐蔽的角落通过一个空闲的网络插孔用膝上电脑上
网,有时他们也会趁着晚上大楼里几乎每人的时候来做这件事。

幸运的是,你可以对付这种用户来保护你的网络。NetWare 和
Windows NT Server 允许你对哪个用户可以登录哪台PC机做限
制,正如图C所示。通过限制一个用户对一台PC机或一个部门的
PC机的存取权限,你可以防止用户从大楼里隐蔽的角落登录PC
机。使用这种方法以后,黑客想要进入你的网络也是难上加难
了,就算他们破译了一个口令,也只是能访问有限的区域。

你可以限制用户对PC机的登录权限

然而,仅仅是控制用户对PC机的登录权限并不能完全解决问题。
如果用户能够通过一台膝上电脑登录上网,他们就可以把它插在
大楼里的任何地方,网络只知道他们是通过一台已授权的PC机上
网的。为了防止这种情况出现,我们建议断掉你的集线器上任何
不用的网络插孔。如果你使用的是同轴电缆拓扑结构,我们建议
你用桶型接头代替任何不用的T型接头。就算一个心怀不轨的用
户仍然可以把PC的接头拔掉,他或她在这么做时还是要冒着被人
发现的危险。

最后,你可能想限制用户登录的时间段。很明显,你还不得不对
那些加班工作的人放宽限度。尽管这些用户经常加班,但是你仍
然可以限制他们在周一到周五工作时间的登录特权,如图D所
示。例如,假设一个用户工作到很晚,通常晚上九点离开。在这
种情况下,你可以在晚上11:00到第二天用户上班时间提前一小
时的时间内拒绝这个用户的访问。当然,你必须谨慎小心地设定
拒绝用户访问的时间—因为你并不想打断任何一个员工正在进
行的工作。

你可以通过限制访问时间增强安全性

远程访问

如果你公司里的人用的是膝上电脑,那你就获得了通过建立拨号
连接进行远程网络访问的机会。不幸的是,这种远程拨号上网的
方式给了非法闯入你网络的黑客以可乘之机。有一种方式可以有
效的阻止这件事情的发生,就是使用自动回复电话的功能。例
如,假设一些用户从自己的家中拨号上网,如果你使用的是
Windows NT Server,你就可以设置这种功能,这样当用户登录
时,服务器就会断掉连接然后按照这个用户的电话号码回电话。
使用这种方式,你就可以确定是否确实是这个用户在登录。

一些远程访问包允许用户登录时指定服务器回电的号码。尽管这
种方式不如前面的方式安全,但是使用这种方式是考虑到出差在
外的用户。而且服务器将会保留使用拨号方式登录上网的电话号
码,所以你可以定期地检查可疑的电话号码。

审计

Windows NT Server和NetWare 都提供了用来审计各种网络事件
的工具。比如图E所示的Audit Policy,保留着各种网络事件的
记录,因为这些工具对许多不同的事件进行审计,所以日志文件
很快就变得非常庞大无法阅读。你应当只审查那些有迹象试图闯
入你系统的事件。例如,你可以跟踪那些试图登录而又因为在规
定次数内无法提供正确口令而失败的登录事件,或者是对那些在
下班时间登录的人做个记录。

通常,黑客闯入系统后要做的第一件事就是先为将来能够访问建
立一个网络帐号。所以,对帐号的创建和删除也是一件非常重要
而不容忽视的事情。

在NetWare环境中,你必须提供一个用来浏览审计日志的口令。
这个口令必须唯一并且应当非常小心不要轻易告诉别人。

审计功能可疑用来跟踪网络的使用

服务器和集线器的物理位置

如果有人能直接进入你的服务器,那世界上所有工作站的安全措
施都帮不了你。所以,你应当将你的服务器锁在屋子里,而不是
放在任何人都能碰到的地方。而且还要注意这件屋子的湿度和温
度,不要把服务器放在没有空调和通风口的储藏室一类的地方。

你还应当把你的集线器放在保险的地方。如果不注意的话,那些
伺机偷取你数据的人有可能会将网络分析器插入集线器来偷取在
线上经过的数据和口令。

电线窃听

将你的局域网电缆放在安全的地方也是很重要的一件事。黑客会
窃听电缆来偷取情报。如果可能的话,我们建议你把电缆铺设在
墙壁里或者悬挂在天花板上,但是如果这样的话,要小心选择电
缆防止起火。

备份存储

黑客窃取你的数据的最简单的方法就是偷取你的备份磁带。他们
可能会在别处建立自己的服务器然后只存储磁带的数据部分,这
样就绕过了保护措施。为了防止这件事情发生,我们建议你在一
个保密的地方找一间防火的房间,比如说放置你服务器的地方。
你早晨一上班,就把前一天晚上做的备份放进去防止被偷走或不
小心被损坏。这样做是为了防止小偷或自然灾害。在你下班时,
将空磁带放入磁带驱动器中。如果你是循环使用磁带,你就应当
在你离开以前把当天晚上要用来备份的磁带清空。这样,如果有
人要在你离开后偷磁带的话,所得到的只是一个空的磁带。

为了使你的数据更安全,还有一些事情可以做。首先,绝大多数
备份程序都允许你给磁带加上口令;其次,设置备份的时间最好
让它差不多在你到达公司的同时结束。那样的话,没有人可以在
你的备份工作进行期间偷走备份磁带,如果有人在备份还没结束
时偷走了磁带,他们不会找到任何数据。因为绝大多数备份程序
在把所有的文件备份完以后才把文件的位置写到磁带头。

结论

在这篇文章中,我们讨论了一些黑客从网络盗走数据的方法,也
讨论了一些让你的网络更安全的应对措施。

文章分类 安全文档

发表评论

电子邮件地址不会被公开。