網絡安全三步曲
轉自INTERNET
基本設置篇
一、在線安全的四個誤解
Internet實際上是個有來有往的世界,你可以很輕鬆地連接到你喜愛的站點,而其他人,例如黑客也很方便地連接到你的機器。實際上,很多機器都因為自己很糟糕的在線安全設置無意間在機器和系統中留下了「後門」,也就相當於給黑客打開了大門。
你上網的時間越多,被別人通過網絡侵入機器的可能性也就越大。如果黑客們在你的設置中發現了安全方面的漏洞,就會對你發起攻擊,可能是一般的騷擾,如降低你的速度或者讓你的機器崩潰;也可能更嚴重,例如打開你的機密文件、偷竊口令和信用卡密碼。
但是很多人並不以為然,因為他們在網絡安全方面還存在四個誤區:
誤區一:我沒有連接其他網絡,所以我很安全。
對,連接INTERNET是要上網的,但是可以上網的獨立機器,與一台商業網絡中心的機器相比,所使用的網絡協議仍然有一些甚至全部相同,而一台商業網絡中心的機器還可能安裝了公共防火牆或者有專門負責安全的人員。與此形成強烈對比的是一些用於家庭、辦公室、小公司的個人用機確是門戶大開,完全沒有防範黑客的能力。這種威脅是很現實的:如果你使用了cable modem或是DSL連接上網,而且在網上的時間很長,一天
裡也許就會有2-4個卑鄙的黑客企圖攻擊你。
誤區二:我是用撥號上網,所以我的機器是安全的。
每次當你開始撥號上網,你使用的IP地址都會不同,也就是動態IP,所以相比靜態IP的用戶而言。黑客是很難找到你,但是有一些黑客軟件已經發展到可以在1個小時以內逐個掃瞄上萬個IP地址的能力,所以只要黑客使用了這些工具,即使是撥號上網的用戶也可能受到攻擊。
誤區三:我使用了防病毒軟件,所以我很安全。
一個好的病毒軟件確實是在線安全不可或缺的部分,但是也是很小的一個部分。它能夠通過檢測病毒和類似的問題保護你,但是它們對防範黑客、對帶有惡意的「合法」程序卻無能為力。
誤區四:我使用了防火牆,所以我很安全。
防火牆是很有用處,但是如果你的機器總是採用一些不夠安全的方式接收和發送數據,而你又僅僅依靠一些附加的程序提供安全,這就等於把所有的蛋放在一個籃子裡,一旦防火牆軟件出現bug或者有漏洞,那你很危險了。另外,防火牆對於病毒一類的軟件完全沒有防範能力,尤其是那些帶有惡意的悄悄地向你的機器發送或提取數據的程序。
最後,一些防火牆軟件還可能幫倒忙,因為它們的廠商在廣告中把產品的特點介紹出去,可能招致一些專門針對它們弱點的攻擊。
但是解決方法是有的,你可以使用你已經有的工具,而且本文也會告訴你怎樣才是安全的設置和怎樣選擇安全軟件。
二、一分鐘的網絡基礎知識
看到這個內容,你可能想一眼掃過或者直接跳過去,但是這只需要一分鐘,而且對你理解下面的內容很有幫助。
簡單地說,你可以將你和網絡的連接分為三層。
最深的一層是你和網絡的物理連接方式,包括硬件。例如撥號上網,要使用「撥號適配器」才能和你的MODEM「交談」;如果是局域網,需要網卡和驅動程序,以便你的PC和網卡交換數據,而DSL、cable等也需要網卡。一個PC可以同時使用多個硬件適配器,
例如可以即用cable modem上網,也連接撥號上網的MODEM,還在局域網中,這樣系統的網絡設置中就有兩個網絡適配器和一個撥號適配器。
中間的一層連接由你的機器所使用的和網絡其他機器交流的通訊協議和語言組成,例如TCP/IP協議,其他還有NetBEUI和IPX/SPX,這些協議也可以並行工作,一個協議可以被同時捆綁到多個硬件設備上,而一個硬件設備也可以同時捆綁多個協議。最頂層的連接是網絡設備,登錄上網、文件與打印共享和以及位於最頂層的客戶程序,為你完成需要在網絡上完成的任務,但不幸的是,它是雙向的,也可以讓黑客對你執行他們的操作。
所以,保證安全的竅門在於確保沒有那些危險的設置和設備,例如如果不需要從網上進行訪問,「文件與打印共享」就完全沒有必要,這也是黑客經常利用的地方。換句話說,仔細地設置哪些要進行捆綁,可以確保你的機器不那麼輕易被訪問,儘管存在一些本身安全性較差的設備和協議。
三、怎樣確保連接安全
在按照我下面提到的建議對系統設置進行修改以前,最好先將你系統中的關鍵數據備份,或者記下你原來的設置,以便在需要的時候恢復。如果你是在局域網或是有特殊的網絡要求,請先和管理員商量。
我們先檢查你的網絡設置:右擊「網絡鄰居」,選擇「屬性」,現在我們要刪除一些很容易就能夠讓別人通過INTERNET連接到你的INTERNET協議:TCP/IP。
如果你沒有使用撥號上網,可以直接跳到下一段。雙擊「撥號適配器」、「綁定」,把除TCP/IP以外的內容都選掉,回到主界面,雙擊「TCP/IP ->撥號適配器」,你可能看到一個警告,說明如果修改將有危險,不管它,不修改才會有危險呢!單擊「綁定」,如果選擇了「microsoft網絡用戶」和「文件和打印共享」,把它們選掉,這樣就只剩下TCP/IP了,你會得到這樣一個警告:TCO/IP已經沒有綁定到任何驅動程序「,回答NO。
如果你使用了網卡,單擊每個卡對應的TCP/IP,例如我就用了一塊便宜的Realtek網卡,則單擊「TCP/IP -> Realtek RT8029(as) PCI Ethernet NIC.」,單擊「綁定」,確認沒有選擇「micrcosoft網絡用戶」和「文件和打印共享」。
但是如果你是在局域網上,希望在本地共享文件和打印機,也有辦法呀,添加一個非INTERNET協議IPX/SPX或者NetBEUI都可以。添加適當的「micrcosoft網絡用戶」,選擇「文件和打印共享」,就可以共享文件和打印了!
現在倒回去檢查系統中的每個適配器和協議,確保「micrcosoft網絡用戶」和「文件打印共享」只在IPX/SPX and/或NetBEUI中被選擇了。同時,也確認在TCP/IP中沒有選擇這兩項。然後對局域網中的所有機器重複這個檢查過程。用這種方法,你的機器在
INTERNET上就只使用TCP/IP,而在局域網上使用非INTERNET協議以便共享打印機和文件。因為黑客必須使用TCP/IP,這樣他們就需要花費更多的時間來訪問被共享的打印機和
文件。
需要注意的是你對網絡設置的任何變動都可能重新設置綁定和其他設置,甚至包括你不曾接觸的內容,而當你或者是你所安裝的軟件修改了網絡設置,都要執行上面介紹的步驟檢查TCP/IP連接以確保它保持「乾淨」,沒有與「micrcosoft網絡用戶」和「文件和打印共享」綁定。
AOL(美國在線)有一點是令人厭惡的:它把它自己的(通常是沒有必要的)適配器加入到你的網絡設置中,而且可能會不正確地修改你的綁定設置,一些用戶在安裝AOL後報告,他們的「文件和打印共享」被綁定在TCP/IP上,意味著對任何想連接的人都提供
打印機和文件,上面的介紹的竅門對避免出現AOL的這個情況也很有效。
要改善你的網絡安全性你可以作很多工作,我們將在下面討論,但是面的設置將消除WINDOWS PC的最常見和突出的網絡安全問題,把最明顯的漏洞給你堵上,讓你擁有一個更安全的線上操作基礎。一旦你學會了上面的方法,只用幾分鐘進行檢查,基本就不需要其他的輔助軟件,這樣做的好處在於不用花錢喲!
工具篇
在上一部分,我們討論了怎樣調整網絡設置以獲得更好的安全性,現在,我們來看看怎樣利用一些免費或者商業產品和服務做更多的事。
既然你已經有了很好的防範黑客的線上安全基礎,現在你可以學習使用決定性的一招,幫你的機器增強抵抗力,能夠防範一些常見的和不常見的攻擊,甚至一些更高水平的或者更迂迴曲折的攻擊。於是,你就有了兩級安全措施了,一個是前面介紹的網絡安全設置,一個是附加的安全產品,即使有其中一個出現了問題,你也仍然有另一個保護,總不能一棵樹上吊死人吧!
在你向系統中添加任何安全性產品之前,作一個額外的測試,檢查一下你的設置是否已經OK了。最好是定時(每月或者每週)檢查一下你的基本網絡設置是否安全。
我推薦三個絕好的免費站點幫助你從外端檢測你的INTERNET連接,以便你檢測和糾正潛在的安全問題。
http://grc.com/intro.htm
http://www.dslreports.com/r3/dsl/secureme
http://www.antionline.com/
我曾經連續使用過這第三個站點,他們測試的對象是一樣的,有些重複,但是採用了不同的方法,測試的重點也不同。通過一個一個地在這三個網站進行測試,你可以「嗅」到你的INTERNET連接中存在的最常見的漏洞,如果你通過了這三個測試,你就可以防範絕大多數的常見的黑客攻擊了。
另外,Gibson Research網站( http://grc.com/intro.htm)所提供的額外的幫助文件值得一讀,特別是當你對關閉一個端口有疑惑(例如NetBIOS的Port 39)的時候,Gi
bson提供了一步一步的指導可以確保你將端口關閉,具體參看 http://grc.com/su-bond
age.htm。
一旦你的PC經過了上面的測試,你就可以再增加一個加強安全的程序了,這種程序有很多,但是目前最熱門的是「個人用防火牆」,下面我們討論的重點也就是如何選擇這一類產品。
不管你是否已經使用了公用的防火牆、代理服務器、域名服務器,這些本地的防火牆在你的機器內部監視你的INTERNET數據交換,防止來自黑客的不正常的訪問,其中一些還可以監視非正常的數據輸出,也就是那種特洛伊木馬程序式偷偷摸摸留下的「後門」,在你不知道的情況下,向你的機器發送信息或者獲取信息。
我現在使用的個人防火牆是免費而絕妙的ZoneAlarm,雖然它還有一些粗糙,但是它更新很快,最新的版本已經是2.0.26了,而且解決了很多早期版本存在的問題,而且它免費,卻比很多售價50美圓的商業產品更有效,例如它是少數能夠檢測到特洛伊程序的防火牆之一。
Aladdin的eSafe Protect Desktop也加入了類似於防病毒程序的功能,相當於防火牆加沙箱的功能,能夠防範決大多數帶有惡意的訪問,並將它們隔離起來。另外,它們讓人滿意的是佔用很少的系統資源,只有2%而已。它是一個值得注意的產品,售價為30美圓。但是為了與流行的ZoneAlarm抗衡,Aladdin的Protect Desktop現在對個人使用完
全免費,因此很值得試試看,我正在試用,可能它會變成我的新歡喲!
FWProxy是一個簡單免費的程序,能夠在設定的端口監聽進入的TCP連接,檢查用戶對設備的授權,在遠程RAS用戶和設定的內部TCP設備之間建立連接,你如果你只需要這個功能,那你可以試試它。
Sybergen Secure Desktop(以前叫SyShield)非常靈活,可以從多方面進行設置,售價為30美圓,它的長處在於安裝簡單,雖然為數不多的文檔讓那些迷失在它過多的設置選項中的初學者有些困惑,但是它馬上就會出新版本了,以後我們還要介紹。
BlackIce Defender是一個享有盛譽、非常流行的防火牆,花費40美圓就可以獲得BlackIce Defender和一年的安全升級。和ZoneAlarm一樣,BlackIce也有其顯得粗糙的地方,例如它的錯誤檢測警告,幾乎讓你發生一種錯覺,好像你受到外界的攻擊是基本不變的,另外文檔也不夠完善,除非你對防火牆技術和端口分配都非常精通,還有一些用
戶對它支持的級別和對錯誤反應的時間也不滿意。看來Networkice這位始作俑者已經被他們的勝利淹沒了,很難繼續保持原來的狀態。這種說法分的另一個佐證是關於Windows 2000,Windows 2000已經推出一段時間了,而BlackIce的站點還在說:「Win2k目前仍然是beta版本,我們目前還不能支持它,檢測侵入的部分運行良好,而防火牆部分現在
還不行,我們計劃在WIN 2000正式推出時再支持它。」這種情況讓人聯想到它的安全產品,因為人們總是希望它的內容能夠盡量保持最新狀態。
如果你到過各種黑客站點和黑客的BBS,你可以看到一個讓黑客們又愛又怕的軟件,售價為49美圓的ConSeal Private Desktop,他們喜歡在自己的機器上安裝這個軟件,但又痛恨在所攻擊的用戶機器上也安裝了這個軟件。出品它的加拿大公司Signal9剛被McA
fee收購,我們還不清楚McAfee的計劃是什麼,你可以到 http://www.signal9.com/上去看看相關信息。
McAfee還剛剛收購了Cybermedia,它的售價為30美圓的防護狗軟件是一個很有趣的產品,多種功能兼而有之,病毒檢測、隱私保護和在線安全,還包括對惡意ActiveX和Java applets的防護。
而ConSeal的AtGuard,是另一個讓黑客愛恨交織的防火牆,剛剛被Symantec收購,現在變成了售價為60美圓的Norton Internet Security 2000的一部分。和它的其他產品相比,AtGuard略顯單薄,但是Norton Internet Security 2000是一個安全「巨人」,
雖然它的設置也很麻煩。但是無論如何,AtGuard安全部分的功能仍然使非常出色的,儘管它現在已經被其他產品的光芒掩蓋了。
上面介紹的產品都是一些用途廣泛功能全面的防護軟件,但是還有一些功能比較精細集中的產品:
Jammer,售價為20美圓,專門設計用來防範NetBus和BackOrifice的攻擊,如果你的其他安全產品只有一般的防護能力,它倒還是挺有用的;
ProtectX,售價為25美圓,可以同時監視最多20個端口,還可以幫你追蹤攻擊你的黑客的來源,也是一個享有盛譽的產品,儘管它所能監視的端口數量受到限制,和同類產品相比顯得有些不足。
Rainbow Diamond Intrusion Detector,售價為40美圓,在你可能受到侵犯的時候會發出警報,Intrusion Detector直接在機器中監視可疑的網絡活動,一旦發現對象,就發出報警。Intrusion Detector還會試圖確定攻擊你的用戶的身份。
TDS-2,售價33美圓,來自澳大利亞的Trojan特洛伊防範系統,對特洛伊有比其他軟件更強的檢測能力。
哦,你的選擇真是太多了,有了這些產品,你的機器的安全級別一定可以到很高的級別。
但是,即使有了上面的這些產品,我們的安全工作還是沒有完成,下一步或者是對上述產品的補充,或是對上述產品的替代,另外,還有一個特的措施你可以使用,將你的安全性能提高到一個很高的程度。
竅門篇
前面我們分別從PC的網絡安全設置和優秀的網絡安全產品出發,介紹了如何提高機器的安全性能,對大多數人而言,如果僅僅是一般的上網衝浪和日常的網絡操作,這些措施已經相當足夠了。
但是也許你的要求和他們不同,因此我們還繼續討論第三步,如何讓你的安全性能變得更高。實際上,這一步是針對我的個人而定的,因為我有下面幾個特殊的地方:
我每週7天、每天24小時在INTERNET上;
我通過INETRNET做生意,並經營網站;
我比一般人要顯眼,更容易成為黑客的目標;
我將INTERNET連接共享給其他的幾台機器。
如果你也具備上述的幾個或全部特徵,你可能也希望採用我的方法來讓你的機器「固若金湯」,那麼我們就交流一下。
首先,我使用了在第一部分和第二部分介紹的所有技術,例如我的任何一台機器都沒有綁定「網絡用戶」、「文件和打印共享」到TCP/IP,所有常見的攻擊對我不起作用;第二,在每台機器裡我都用了個人防火牆,ZoneAlarm,可以幫助我阻塞黑客的侵入。
上面只是兩個安全的級別,但是我還有第三個更簡單和更便宜的方法,那就是:我所有的機器都沒有直接連接INTERNET。相反地,我用了一台爛機器(古老的486,內存很
少)作為與INTERNET連接的服務器,在它上面運行Windows和Sygate,有了Sygate,幾台機器可以通過一個機器上網,而Sygate的防火牆功能非常出色。從外界能夠看到的只有這台爛機器,而其餘幾台共享連接的機器從外面看不到,所以黑客也無法檢測和攻擊。
Sygate的防火牆功能幫了大忙,它把它自己藏了起來,準確地說,是把運行它的機器藏起來了,面對黑客的探測「屏聲禁氣」,所有的現象都說明這裡根本就沒有一台機器,所以Sygate的防火牆算是第四層保護了。
下面的設置應該說是第五層的防護了:如果黑客打算侵入,他會發現他到了一台又空又爛的機器,不管怎麼看都毫無興趣和吸引力。我的其他幾台位於局域網上的機器都有口令保護,而我從來不在爛機器中WINDOWS保存任何密碼,所以即使黑客進入到這台機器,也很難進入到局域網中其他機器的系統,要通過防火牆、口令和內部的安全設置這
幾關可不是容易的事呢!
最後,我還有第六關:我的cable modem ISP使用動態IP地址,和絕大多數撥號上網ISP使用相同的技術,有了動態網址,每次你上網的時候都用的是新地址,對黑客來講,很難預見下次的IP將是什麼。利用動態IP地址的優勢,我每擱一天或者是通過modem發現有異常活動的時候,就會拔去cable modem的插頭。每當我將插頭重新插回去、重新上線
,就會獲得一個和上次不同的地址,即使有黑客發現過我,他也要一切重新開始了。 話雖這麼說,你也應該知道沒有任何線上的系統是完全保險的,除非你完全不和INTERNET連接,理論上任何系統都可能被攻擊,但是如果你的機器加上了6層安全保護,給黑客們增加了太多的障礙,那麼你的安全係數就很高了,也許因為他不能忍受如此多的麻煩就放棄了你呢!