作品发布     邀请码    设为首页  收藏 

当前位置:文章提权渗透 → 文章内容 >> 从黑客踩点 谈重建安全防御系统 (1)


从黑客踩点 谈重建安全防御系统 (1)

更新时间:2012-2-18 16:09:56   作者:华中帝国整理  来源:华中帝国
中国古代的大军事家孙子早在几千年前就在《孙子兵法》里指出:“知己知彼,百战不殆;不知彼而知己,一胜一负;不知彼不知己,每战必败。” 如果并不清楚黑客是如何找到我们的,如果也不知道黑客是如何进来的 ...

    中国古代的大军事家孙子早在几千年前就在《孙子兵法》里指出:“知己知彼,百战不殆;不知彼而知己,一胜一负;不知彼不知己,每战必败。” 如果并不清楚黑客是如何找到我们的,如果也不知道黑客是如何进来的,即使我们拿一些安全设备将自己伪装起来,依然可能被黑客再次扒了衣服,透明的外衣加上裸奔,滋味一定不好受。

    部署数据泄漏防护,减少黑客“踩点”途径

    踩点(Footprinting),这是收集目标信息的奇技淫巧。举例来说,当盗贼决定抢劫一家银行时,他们不会大摇大摆地走进去直接要钱(至少明智的贼不会)。相反,他们会狠下一番苦功夫收集关于这家银行的相关信息,包括武装押运车的路线和运送时间、摄像头位置和摄像范围、出纳员人数、逃跑出口以及其他任何有助于行事的信息。同样的需要也适用于赵明的对手。他们必须收集大量的信息,以便集中火力进行外科手术式攻击(这种攻击可不会轻易被捉住)。因此,攻击者将尽可能多地收集一个单位安全情况的方方面面。最后,黑客就得到了独特的足迹(Footprint),也就是说黑客同样也能得到任何一个企业内网的结构图。

    ◆公司的Web网页

    ◆相关组织

    ◆地理位置细节

    ◆电话号码、联系人名单、电子邮件地址、详细的个人资料

    ◆近期重大事件(合并、收购、裁员、快速增长等等)

    ◆可以表明现有信息安防机制的隐私/安防策略和技术细节

    ◆已归档的信息

    ◆心怀不满的员工

    ◆搜索引擎、Usenet和个人简历

    ◆让人感兴趣的其他信息

    我们举一个例子来说,联系人名单和电子邮件地址也是非常有用的情报。大多数组织都会使用其员工姓名的某种变体作为他们的用户名和电子邮件地址(比如说,赵明的用户名往往会是“zhaoming”、“zhaom”或“zm”,而他的电子邮件地址则往往会是zhaoming@company.com或类似的东西)。如果能够设法弄到某个组织里的一个用户名或电子邮件地址,我们就可以相当准确地把很多用户的用户名和电子邮件地址推测出来。在我们稍后尝试获得系统资源的访问权限时,一个合法的用户名将非常有用,这很有可能造成网站管理账户的密码被“暴力破解”!

    那么如何防止运维人员和公司内部普通用户将私有信息泄露出去,成为黑客踩点阶段的美餐呢?我们希望赵明通过一定的技术或管理手段,防止用户的指定数据或信息资产以违反安全策略规定的形式被有意或意外流出。那么在管理上,赵明可以借鉴更多的教育手段来提升普通用户将信息丢到外网上去,而技术手段上则需要“数据泄漏防护”(Data leakage prevention, DLP),产品的支撑。

    通过赵明公司网络和应用结构图的分析,我们可以发现,这些敏感数据通常存放在文件服务器上,普通的用户通过自己的终端进行访问。而用户周边的打印机、可移动存储设备、摄像头、调制解调器和无线网络也是潜在的本地数据泄漏源,赵明可以通过在用户的终端上部署基于主机的数据泄漏防御方案来进行控制。而终端用户和Internet进行的通讯,尤其是最常见的E-mail、FTP、HTTP和即时通讯也是常见的网络数据泄漏源,在这种场合就需要在内部网络和Internet连接的出口处部署基于网络的数据泄漏防御方案进行控制。

    部署传统防火墙,防范数据库暴露

    如果说踩点相当于寻找并侦察情报中心的话,扫描就是在逐寸敲打墙壁以期找出所有门窗了。黑客通过踩点获得了很多有价值的信息,包括员工们的姓名和电话号码、IP地址范围、DNS服务器、Web服务器、论坛的账户信息、通过员工个人文档以及邮件内容获得的种种信息。他们将利用各种工具和技巧——比如 ping扫描、端口扫描以及各种自动发现工具——去确定在目标网络里都有哪些系统正在监听外来的网络通信(或者说是真实存在的),以及都有哪些系统可以从因特网直接进行访问。

    从基于Web主机的角度,各种服务器自身内置的实用工具都可以监测到ping或者扫描活动并把它们记载到日志文件里去。如果你们在查看有关日志时发现来自某个系统或网络的ICMP ECHO数据包是某种可疑的模式,那可能代表着有人正在对你们的站点进行网络侦察。希望赵明要密切留意这类活动,它往往预示着一次全面的攻击已迫在眉睫。另外,有许多种商业化的网络和桌面防火墙工具(Cisco、Check Point、Microsoft、McAfee、Symantec和ISS等公司都能提供)可以监测到ICMP、TCP和UDP ping扫描活动。

    但存在可以监测ping扫描活动的技术,并不意味着有

   免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。

[1] [2] [3]

责任编辑:华中帝国        



本文引用网址: 

从黑客踩点 谈重建安全防御系统 (1)的相关文章
发表评论

用户名: 查看更多评论

分 值:100分 85分 70分 55分 40分 25分 10分 0分

内 容:

         (注“”为必填内容。) 验证码: 验证码,看不清楚?请点击刷新验证码