吉林大学北国之春BBS

标题: 给黑客们设置更多障碍—网络安全三部曲 [打印本页]

作者: 没蜡笔的小丸子 时间: 2013-1-19 22:00
标题: 给黑客们设置更多障碍—网络安全三部曲
基本设置篇
一、在线安全的四个误解
Internet实际上是个有来有往的世界，你可以很轻松地连接到你喜爱的站点，而其他人，例如黑客也很方便地连接到你的机器。实际上，很多机器都因为自己很糟糕的在线安全设置无意间在机器和系统中留下了“后门”，也就相当于给黑客打开了大门。你上网的时间越多，被别人通过网络侵入机器的可能性也就越大。如果黑客们在你的设置中发现了安全方面的漏洞，就会对你发起攻击，可能是一般的骚扰，如降低你的速度或者让你的机器崩溃；也可能更严重，例如打开你的机密文件、偷窃口令和信用卡密码。但是很多人并不以为然，因为他们在网络安全方面还存在四个误区：
误区一：我没有连接其他网络，所以我很安全。对，连接INTERNET是要上网的，但是可以上网的独立机器，与一台商业网络中心的机器相比，所使用的网络协议仍然有一些甚至全部相同，而一台商业网络中心的机器还可能安装了公共防火墙或者有专门负责安全的人员。与此形成强烈对比的是一些用于家庭、办公室、小公司的个人用机确是门户大开，完全没有防范黑客的能力。这种威胁是很现实的：如果你使用了cable modem或是DSL连接上网，而且在网上的时间很长，一天里也许就会有-个卑鄙的黑客企图攻击你。
误区二：我是用拨号上网，所以我的机器是安全的。每次当你开始拨号上网，你使用的IP地址都会不同，也就是动态IP，所以相比静态IP的用户而言。黑客是很难找到你，但是有一些黑客软件已经发展到可以在个小时以内逐个扫描上万个IP地址的能力，所以只要黑客使用了这些工具，即使是拨号上网的用户也可能受到攻击。
误区三：我使用了防病毒软件，所以我很安全。一个好的病毒软件确实是在线安全不可或缺的部分，但是也是很小的一个部分。它能够通过检测病毒和类似的问题保护你，但是它们对防范黑客、对带有恶意的“合法”程序却无能为力。
误区四：我使用了防火墙，所以我很安全。防火墙是很有用处，但是如果你的机器总是采用一些不够安全的方式接收和发送数据，而你又仅仅依靠一些附加的程序提供安全，这就等于把所有的蛋放在一个篮子里，一旦防火墙软件出现bug或者有漏洞，那你很危险了。另外，防火墙对于病毒一类的软件完全没有防范能力，尤其是那些带有恶意的悄悄地向你的机器发送或提取数据的程序。最后，一些防火墙软件还可能帮倒忙，因为它们的厂商在广告中把产品的特点介绍出去，可能招致一些专门针对它们弱点的攻击。
但是解决方法是有的，你可以使用你已经有的工具，而且本文也会告诉你怎样才是安全的设置和怎样选择安全软件。
二、一分钟的网络基础知识
看到这个内容，你可能想一眼扫过或者直接跳过去，但是这只需要一分钟，而且对你理解下面的内容很有帮助。简单地说，你可以将你和网络的连接分为三层。最深的一层是你和网络的物理连接方式，包括硬件。例如拨号上网，要使用“拨号适配器”才能和你的MODEM“交谈”；如果是局域网，需要网卡和驱动程序，以便你的PC和网卡交换数据，而DSL、cable等也需要网卡。一个PC可以同时使用多个硬件适配器，例如可以即用cable modem上网，也连接拨号上网的MODEM，还在局域网中，这样系统的网络设置中就有两个网络适配器和一个拨号适配器。
中间的一层连接由你的机器所使用的和网络其他机器交流的通讯协议和语言组成，例如TCP/IP协议，其他还有NetBEUI和IPX/ X，这些协议也可以并行工作，一个协议可以被同时捆绑到多个硬件设备上，而一个硬件设备也可以同时捆绑多个协议。最顶层的连接是网络设备，登录上网、文件与打印共享和以及位于最顶层的客户程序，为你完成需要在网络上完成的任务，但不幸的是，它是双向的，也可以让黑客对你执行他们的操作。所以，保证安全的窍门在于确保没有那些危险的设置和设备，例如如果不需要从网上进行访问，“文件与打印共享”就完全没有必要，这也是黑客经常利用的地方。换句话说，仔细地设置哪些要进行捆绑，可以确保你的机器不那么轻易被访问，尽管存在一些本身安全性较差的设备和协议。
　　三、怎样确保连接安全
在按照我下面提到的建议对系统设置进行修改以前，最好先将你系统中的关键数据备份，或者记下你原来的设置，以便在需要的时候恢复。如果你是在局域网或是有特殊的网络要求，请先和管理员商量。我们先检查你的网络设置：右击“网络邻居”，选择“属性”，现在我们要删除一些很容易就能够让别人通过INTERNET连接到你的INTERNET协议：TCP/IP。
如果你没有使用拨号上网，可以直接跳到下一段。双击“拨号适配器”、“绑定”，把除TCP/IP以外的内容都去掉，回到主界面，双击“TCP/IP -> 拨号适配器”，你可能看到一个警告，说明如果修改将有危险，不管它，不修改才会有危险呢！单击“绑定”，如果选择了“microsoft 网络用户”和“文件和打印共享”，把它们选掉，这样就只剩下TCP/IP了，你会得到这样一个警告：TCO/IP已经没有绑定到任何驱动程序“，回答NO。如果你使用了网卡，单击每个卡对应的TCP/IP，例如我就用了一块便宜的Realtek 网卡，则单击“TCP/IP -> Realtek RT809(as) PCI Ethernet NIC.”，单击“绑定”，确认没有选择“micrcosoft 网络用户”和“文件和打印共享”。但是如果你是在局域网上，希望在本地共享文件和打印机，也有办法呀，添加一个非INTERNET协议IPX/ X 或者 NetBEUI都可以。添加适当的“micrcosoft网络用户”，选择“文件和打印共享”，就可以共享文件和打印了！
现在倒回去检查系统中的每个适配器和协议，确保“micrcosoft 网络用户”和“文件和打印共享”只在IPX/ X and/或 NetBEUI 中被选择了。同时，也确认在TCP/IP中没有选择这两项。然后对局域网中的所有机器重复这个检查过程。用这种方法，你的机器在INTERNET上就只使用TCP/IP，而在局域网上使用非INTERNET协议以便共享打印机和文件。因为黑客必须使用TCP/IP，这样他们就需要花费更多的时间来访问被共享的打印机和文件。需要注意的是你对网络设置的任何变动都可能重新设置绑定和其他设置，甚至包括你不曾接触的内容，而当你或者是你所安装的软件修改了网络设置，都要执行上面介绍的步骤检查TCP/IP连接以确保它保持“干净”，没有与“micrcosoft 网络用户”和“文件和打印共享”绑定。 AOL（美国在线）有一点是令人厌恶的：它把它自己的（通常是没有必要的）适配器加入到你的网络设置中，而且可能会不正确地修改你的绑定设置，一些用户在安装AOL后报告，他们的“文件和打印共享”被绑定在TCP/IP上，意味着对任何想连接的人都提供打印机和文件，上面的介绍的窍门对避免出现AOL的这个情况也很有效。
要改善你的网络安全性你可以作很多工作，我们将在下面讨论，但是上面的设置将消除WINDOWS

　工具篇
在上一部分，我们讨论了怎样调整网络设置以获得更好的安全性，现在，我们来看看怎样利用一些免费或者商业产品和服务做更多的事。既然你已经有了很好的防范黑客的线上安全基础，现在你可以学习使用决定性的一招，帮你的机器增强抵抗力，能够防范一些常见的和不常见的攻击，甚至一些更高水平的或者更迂回曲折的攻击。于是，你就有了两级安全措施了，一个是前面介绍的网络安全设置，一个是附加的安全产品，即使有其中一个出现了问题，你也仍然有另一个保护，总不能一棵树上吊死人吧！在你向系统中添加任何安全性产品之前，作一个额外的测试，检查一下你的设置是否已经OK了。最好是定时（每月或者每周）检查一下你的基本网络设置是否安全。
窍门篇
前面我们分别从PC的网络安全设置和优秀的网络安全产品出发，介绍了如何提高机器的安全性能，对大多数人而言，如果仅仅是一般的上网冲浪和日常的网络操作，这些措施已经相当足够了。但是也许你的要求和他们不同，因此我们还继续讨论第三步，如何让你的安全性能变得更高。实际上，这一步是针对我的个人而定的，因为我有下面几个特殊的地方：
我每周7天、每天小时在INTERNET上；我通过INETRNET做生意，并经营网站；我比一般人要显眼，更容易成为黑客的目标；我将INTERNET连接共享给其他的几台机器。如果你也具备上述的几个或全部特征，你可能也希望采用我的方法来让你的机器“固若金汤”，那么我们就交流一下。首先，我使用了在第一部分和第二部分介绍的所有技术，例如我的任何一台机器都没有绑定“网络用户”、“文件和打印共享”到TCP/IP，所有常见的攻击对我不起作用；第二，在每台机器里我都用了个人防火墙，ZoneAlarm，可以帮助我阻塞黑客的侵入。上面只是两个安全的级别，但是我还有第三个更简单和更便宜的方法，那就是：我所有的机器都没有直接连接INTERNET。相反地，我用了一台烂机器（古老的86，内存很少）作为与INTERNET连接的服务器，在它上面运行Windows 和 Sygate，有了Sygate，几台机器可以通过一个机器上网，而Sygate的防火墙功能非常出色。从外界能够看到的只有这台烂机器，而其余几台共享连接的机器从外面看不到，所以黑客也无法检测和攻击。 Sygate的防火墙功能帮了大忙，它把它自己藏了起来，准确地说，是把运行它的机器藏起来了，面对黑客的探测“屏声禁气”，所有的现象都说明这里根本就没有一台机器，所以Sygate的防火墙算是第四层保护了。下面的设置应该说是第五层的防护了：如果黑客打算侵入，他会发现他到了一台又空又烂的机器，不管怎么看都毫无兴趣和吸引力。我的其他几台位于局域网上的机器都有口令保护，而我从来不在烂机器中WINDOWS保存任何密码，所以即使黑客进入到这台机器，也很难进入到局域网中其他机器的系统，要通过防火墙、口令和内部的安全设置这几关可不是容易的事呢！
最后，我还有第六关：我的cable modem I 使用动态IP地址，和绝大多数拨号上网I 使用相同的技术，有了动态网址，每次你上网的时候都用的是新地址，对黑客来讲，很难预见下次的IP将是什么。利用动态IP地址的优势，我每搁一天或者是通过 modem发现有异常活动的时候，就会拔去 cable modem 的插头。每当我将插头重新插回去、重新上线，就会获得一个和上次不同的地址，即使有黑客发现过我，他也要一切重新开始了。
话虽这么说，你也应该知道没有任何线上的系统是完全保险的，除非你完全不和INTERNET连接，理论上任何系统都可能被攻击，但是如果你的机器加上了6层安全保护，给黑客们增加了太多的障碍，那么你的安全系数就很高了，也许因为他不能忍受如此多的麻烦就放弃了你呢！

作者: 威客巴巴 时间: 2013-1-20 03:16
恩，我觉得值得学习啊，顶你

作者: 似乎我知道 时间: 2013-1-20 08:24
好的，顶你，收藏了嘻嘻

作者: 雨露中的娃娃菜 时间: 2013-1-20 13:38
这个问题很有用，不错

作者: 丘石 时间: 2013-12-28 14:17
过来看看的

欢迎光临吉林大学北国之春BBS (http://jluol.com/)