平凡黑客（四） 为什么数十万的设备挡不住黑客攻击

【51CTO.com 独家特稿】在51CTO安全频道策划的“平凡黑客讲述精彩人生”系列文章中的上一篇《黑客如何窃取银行》中，子明给大家介绍了黑客入侵银行的各种手段，对于使用网银的用户有非常大的帮助，而承受黑客攻击的不仅仅是银行，更多的企业和单位同样受到各种各样的黑客攻击，这时也许你会想到为什么防火墙、IDS/IPS等安全防护设备都没有了神威？本文子明将讲述他的亲身经历，为51CTO广大企业用户答疑解惑。
嘟嘟的手机铃声，惊扰了我午夜的酣睡，迷迷糊糊中隐约的听到电话中急切的声音：“我们政府网站遭受黑客攻击了”，听到这里我顿时睡意全无，细心的聆听电话那头的情况陈述……。
掌握大致情况后，迅速爬上网络打开受攻击的站点，原来的页面已经被改得面目全非了。在网页的首屏上是一个来回走动的大螃蟹，下面附着一条标语：“老子横行江湖数年，偶而路过，只因最近十分烦躁，特拿此站练手”。
解决受攻击站点实例
这种情况只有去查服务器记录，半个小时后，我到了该政府的服务器机房。做的第一件事就是把服务器访问日志下载到自己的笔记本上，(因为习惯，对谁的机器都不放心，只相信自己的)，经过仔细分析日志，发现有人在主站的上传了一个私人论坛。根据经验判断，这个论坛程序是罪魁祸首。于是经过调查，发现论坛是负责维护该站的小李私自放上去的，这个论坛是免费的动网论坛，小李只是做了简单的修改，便把程序上传到服务器。在业内很多人都知道动网=洞网，从日志的分析来看，入侵者就是利用某安全组织刚刚公布的动网上传漏洞，获得了主服务器的控制权。随后删除了论坛程序，还原备份页面，至此恢复了网站的原貌。从踏入机房到恢复站点，只有5分种。
企业网络信息安全面临不解的困惑
此事件引起了政府相关部门领导的高度重视，第二天，他们领导奇怪的问我：我们每年都花几十万的政府采购，更是把网络安全放在了第一位，我们配备的有防火墙，IPS，IDS，为什么这么坚固的城墙就不管用呢，早知道如此，就不去买这些设备了。这个问题也许是很多企业都面临的困惑。
解惑一：缺乏技术培训，好刀使不到刃上
其实防火墙、IDS、IPS等硬件防护设备针对某些入侵手段有着很好的效果，只是企业部署后，没有发挥真正的作用。如上面的实例中，我曾检查过防火墙的配置，发现好多设置都是默认状态，竟然连登陆用户名和密码都是出厂默认值。这可以说明网络管理人员缺乏相应技能培训，才会造成很多设备无用武之地的尴尬局面，就好象厨子用青龙偃月刀切菜一样，同样一把刀，放在厨子手里只能切菜，而放在关羽手里则能过五关斩六将。所以，有了好设备不等于有了安全，需要把设备进行合理的配置才能发挥它们应有的性能。很多企业显然把这些技术工作交给了集成商和厂家来完成。从资金投入角度考虑，这样的做法非常适合中小企业。但政府的中心机构和大型企业不缺的就是资金，想要实现网络信息安全，这些大型企业就一定要有自己的运行维护力量，只有自己的东西自己管才能真正的确保第一道安全防线。
解惑二：没有安全意识，安全将无从谈起
从上面的实例中，我们不难看出，企业员工的安全意识决定了企业网络安全的健壮性。这一点对网络管理人员来说，尤其重要。作为单位的网络管理者如果小李懂得起码的安全常识，就不会把免费的论坛放到服务器上；如果小李了解安全的重要性，也不会去下载这样的程序，起码不会在企业网络内下载。这些都是员工缺乏安全意识的表现。
再举个实例：某集团也曾打来求助电话，他们的企业网络频繁的掉线，几乎处于瘫痪状态。我在检查了设备信息和配置后，发现一台华为交换机，全部都是死包，凭借经验初步判断应该是遭到了蠕虫攻击，但这还需要事实来证明。捕获数据包后，经过分析，确定就是蠕虫病毒惹的祸。而查找毒源却遇到了麻烦，根据数据包的分析，很快能判断出毒源机器的IP与MAC地址，但问管理人员这是哪台机器时，他们没有一个人知道的。这就只能从交换机处下手，但让我郁闷的事情又来了，由于机房管理混乱，防静电地板上的烟头随处可见，很多交换机上都没有网线标签，布线也极乱无比，为了排查这台机器，我们3个人用笔一个一个记录，花了整整2个小时才把问题机找到。在这个问题机上发现了大量的病毒，还有很多成人片。
无论政府还是企业都应该有相应的安全管理制度和规范，这些是指导员工行为的重要准则。如果该政府相关部门规定不允许下载任何程序，或是只限网络管理人员下载，那政府站点的小李下载带有安全隐患程序的情况就不会出现；如果规范机房的管理和使用，那我也不会在集团公司浪费2个小时整理线缆，如果规范的操作流程守则，如果有规范的网络安全制度，如果……，有这些如果也会黑客入侵攻击增加相当大的难度。这也印证了不知道谁说的那句古话：安全是三分技术，七分管理。
解惑三：如何规范配置网络安全设备，制定合理的安全策略
1、要规范防火墙的安全策略，如增加防火墙的规则匹配，有些防火墙属于嵌入式开发的设备，这就需要熟练使用linux命令和dos 命令，还有一些防火墙需要按自身情况具体配置，如Cisco的PIX防火墙，H3C的SecPath防火墙等。
2、然后最好能在网络中计划分出vlan和绝对独立的安全域，即使有病毒蔓延，也不至于感染整个网络。
3、对于工作站，要启用组策略，并且在系统里面把自动播放给完全禁用，根据目前流行的蠕虫攻击和移动存储设备感染来看，多数都是自动访问存储设备的时造成了间接感染。删除guest帐号，定期更改密码等基本安全维护策略。最好能绑定工作站的mac地址和ip地址，具体落实到一机一人，达到规范使用计算机的目的。
4、把个人移动存储设备与企业办公用存储设备分开使用。人手一个，专人专用，定期杀毒。
其实从国内信息安全的整体情况看，企业和政府依然存在很大的安全隐患，就是买了再好的网络安全设备，没有人调试和配置，那也是形同虚设，网络管理不规范，员工的安全意识不够高，都可能造成严重的恶果。
个人建议：
1、针对政府，制定规范的安全管理制度。上班期间禁止使用任何P2P软件下载任何程序与电影；为了方便网络管理，最好划分合理的VLAN，在交换机上做相应的管理策略；对防火墙进行优化管理，登陆密码每星期都要更换。
2、针对企业，制定规范的安全管理制度，做好网络管理人员的培训工作，尽量提高员工安全意识。企业邮箱要重点防护，因为更多的内部泄密和网络攻击的重要突破口就是利用企业邮箱来进行攻击，欺骗管理人员，达到渗透的目的。80%的网络攻击是在内部发生的。
【51CTO.COM 独家特稿，未经书面许可严禁任何形式转载！】
51CTO编者注：本文讲述了企业防范黑客攻击应该做的事情，安全设备再多再先进，人的思想跟不上，那只能是纸上谈兵。那么针对我们个人使用的机器应该如何来做，降低风险呢，请看51CTO“平凡黑客讲述精彩人生”系列文章的第五篇《逐步深入教你做防范，把黑客关在门外面》

【相关文章】

• 平凡黑客讲述精彩人生（一） 旁观第六代网络黑客

• 平凡黑客讲述精彩人生（二） 黑客游戏潜规则

• 平凡黑客讲述精彩人生（三） 黑客如何窃取银行

• 专题：我是黑客我怕谁——讲述黑客的故事