当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 网络安全讲座之九:审计结果(6)

安全基础
IE浏览器防黑十大秘籍,黑客也没招
网络工程师讲解系统安全漏洞的形成和防治
清除导致XP系统反复重启的新网银木马
识破QQ欺骗网络地址的几种方法汇总
安全基础知识 细说暴库的原理与方法
排除无线突然中断故障实例
强搜天线 搜出WiFi世界的安全漏洞
网管应用技巧 内网安全十大策略说明
如何修改局域网内部打印机的IP地址
如何找出IIS中隐藏的网站
EFS加密技术的概念分析及一次解密经过
提高Windows XP系统安全性要关闭的10种服务
PHPBB 2.0.22 MOD版最新注入漏洞
修复Windows系统忘记密码的9个高招
用SockOnline软件轻松突破端口限制
安全基础知识 最强0到33600端口详解
执行文件方式加密FLASH文件的解密方法
网吧被入侵后的应对解决方法
网页“黑手”如何攻击你的Windows系统
不要让别人读了你的信 谈私密数据保护

安全基础 中的 网络安全讲座之九:审计结果(6)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 30 ::
收藏到网摘: n/a

 个人防火墙软件

  虽然称为个人防火墙,但这类软件提供了两个主要的功能。

  ·端口阻塞
  ·连接追踪

  你还可以拒绝特定的IP地址。这些程序并不是真的防火墙。而且,大多数的个人防火墙软件并不适合做服务器的安全解决方案。

  流行的软件

  流行的防火墙软件包括:

  ·Network Ice’s Black Ice和Black Ice Defender
  ·McAffee’s ConSeal
  ·Zone Labs’Zone Alarm

  虽然大多数的个人防火墙产品是针对客户端系统的,但NetworkIce同样也适合对高性能的产品提供支持。它们是ICEcap和BlackIce。后者是主机级的入侵监测软件的代表。

  IPSec和加密

  许多公司越来越重视内部的攻击。为了解决这种问题,你可以建议应用IPSec和个人加密。PGP程序是简单地应用IPSec来帮助建立有效的局域网和广域网级别的VPN解决方案的实例。

  个人加密产品包括象BestCrypt这样的程序。这些软件有助于公司确保文件,目录甚至是整个硬盘的保密性。这些操作系统的附件可以帮助确保数据的机密。

  加密和安全策略的一致性

  其实,有些公司不希望使用个人加密,因为不希望员工加密的文件连管理者和IT人员也解不开。因此,如果你建议了这种解决方案,你需要准备建立Key escrow系统来统一管理加密和解密。

  审计可以建立在多种级别上。例如,如果你在Windows Primary Domain Controller(PDC)实施了审计,则该策略将应用于整个域。审计还可以发生在操作系统级别。例如,你可以象前面课程中所学的审计登录失败和系统关闭。最后,你可以在资源级别实施审计,这些资源包括文件和目录。

  修补系统漏洞

  审计人员的工作就是发现系统漏洞并修补它们。操作系统的hot fixes和service packs是修补系统漏洞的主要手段。你可以升级TCP/IP堆栈,或者,甚至应用Ipv6。

  NT中的TCP序列

  知道Service Pack5出现之前,windowsNT使用的TCP序列机制是很容易被预测的。虽然序列号可以从随机的数值开始,但是随后接收的包会在序列上加一。攻击者通常会利用这种可以预测的序列数,因为这允许他们进行劫持攻击。虽然由SP5提供的序列机制也没有像Linux和UNIX操作系统中的复杂,但仍然建议安装最新的Service Pack 6a版本。

  Ipv6

  虽然Ipv6无法实施在每种场合,但它迅速成为一种选择。IPv6使用了加密和验证机制,现在主流的操作系统如WindowsNT,Linux 6.1和Solaris都支持IPv6。在本书写作的时候,选择IPv6作为唯一的协议会限制访问Internet,但是在某些情况下,对隔离的局域网使用IPv6会达到更高的安全效果。

  IPv6提供了下列的安全特性:

  ·加强的验证机制(通过验证扩展头)减小了被spoofing和hijacking攻击的可能性。
  ·数据加密(通过Encrypted Security Payload扩展头)减小了被嗅探攻击的可能性。

  想获得关于IPv6的更多信息,请访问http://www.ipv6.org。这个站点包含了最新的有关IPv6发展的信息,所有与协议相关的RFC文件,和所有支持IPv6的操作系统和程序。

  升级和替代服务

  通常你需要升级和替代已经存在的服务。在进行更改时,请考虑下列的步骤:

  ·研究新的产品。问问自己它是否适合你的网络和商业情况。
  ·确定需要多少时间来实施这些变化。
  ·在把它们应用到产品之前彻底地进行测试。
  ·要考虑到这些升级和替代会影响其它服务。大多数的网络主机之间是相互影响的。这些新的服务会引起这些问题吗?
  ·确定是否需要对最终用户进行培训。

  Secure Shell(SSH)

  Telnet,rlogin和rsh非常有用。它们允许你远程操作服务器就象在本地工作一样。Rexec程序允许你不用提供密码就可以从远程在服务器上运行命令。然而,这些服务都是以明文的方式传输信息。Secure Shell(SSH)是最常见的替代这些服务的方法。在本文写作时,SSH2是最新的版本。

  SSH提供的安全服务

  SSH提供两项基本的服务:

  ·数据保密:由于服务器首先发送它的公钥给客户端,所以数据通道是加密的。然后客户端使用服务器的公钥对所有信息加密。当服务器收到加密的信息后,使用自己的私钥对信息进行解密。
  ·验证:使用上面谈到的公钥,两个用户交换彼此的公钥然后使用公钥进行验证。这种机制的好处是在网络上不会传输用户名和密码的信息。

  你需要理解SSH首先加密了数据通道,然后运行各种各样的验证方法。缺省情况下,Secure Shell使用22端口,允许你使用公钥进行加密。SSH2使用DSA数字签名算法,这种算法与RSA公钥加