淺談局域網(wǎng)安全十大威脅

　　歡迎來(lái)到學(xué)習(xí)啦，本文淺談局域網(wǎng)安全十大威脅，歡迎大家閱讀。

　　1. 筆記本電腦和上網(wǎng)本

　　筆記本電腦是一種考慮周到的便攜式設(shè)備，包含完整的操作系統(tǒng)，能夠使用內(nèi)置電池工作并且配置了以太網(wǎng)端口可以直接連接到一個(gè)網(wǎng)絡(luò)。此外，筆記本電腦中也許已經(jīng)有了在后臺(tái)運(yùn)行的惡意代碼，其任務(wù)是尋找網(wǎng)絡(luò)和發(fā)現(xiàn)其它可供感染的系統(tǒng)。這臺(tái)筆記本電腦也許屬于一個(gè)內(nèi)部的員工或者屬于一個(gè)從開(kāi)放的辦公室來(lái)訪或者工作的客戶。

　　除了被感染的筆記本電腦破壞內(nèi)部網(wǎng)絡(luò)之外，重要的是要考慮這些筆記本電腦本身的問(wèn)題。所有的公司都擁有絕對(duì)不允許帶出辦公樓的敏感資料(如工資信息、醫(yī)療記錄、家庭地址、電話號(hào)碼和社會(huì)安全保險(xiǎn)號(hào)碼等)。當(dāng)這些信息存儲(chǔ)在沒(méi)有安全措施的便攜式電腦中的時(shí)候，那是很危險(xiǎn)的，因?yàn)楸銛y式電腦很容易帶出去。我們看到過(guò)許多存儲(chǔ)了敏感數(shù)據(jù)的筆記本電腦丟失的例子。除非這個(gè)筆記本電腦使用一種嚴(yán)格的加密算法，否則，任何文件系統(tǒng)的數(shù)據(jù)都是很容易恢復(fù)的。

　　防范措施：對(duì)于敏感的數(shù)據(jù)采用一個(gè)加密的文件系統(tǒng)。有許多現(xiàn)成的解決方案可供選擇，還有開(kāi)源軟件解決方案，如TrueCrypt。對(duì)于進(jìn)出內(nèi)部系統(tǒng)的端點(diǎn)實(shí)施控制也是重要的。虛擬專用網(wǎng)、DV和WiFi接入等敏感信息不應(yīng)該永久性地存儲(chǔ)在筆記本電腦或者上網(wǎng)本等設(shè)備上。

　　2. 無(wú)線接入點(diǎn)

　　無(wú)線接入點(diǎn)為這個(gè)網(wǎng)絡(luò)附近的任何用戶提供直接的連接。攻擊駕駛員(駕駛汽車搜索沒(méi)有安全保護(hù)措施的WiFi網(wǎng)絡(luò)的人)實(shí)施的無(wú)線攻擊是很常見(jiàn)的并且曾造成重大損失。Marshalls和TJMaxx公司的東家TJ Stores曾經(jīng)遭受過(guò)使用這種方式進(jìn)行的攻擊。入侵者侵入了這家公司處理和存儲(chǔ)客戶交易數(shù)據(jù)的計(jì)算機(jī)系統(tǒng) 。這些交易數(shù)據(jù)包括客戶的信用卡、借記卡、支票和退貨交易等信息。據(jù)報(bào)道，這次入侵使TJ Stores商店的損失超過(guò)了5億美元。

　　無(wú)線接入點(diǎn)本身是不安全的，無(wú)論是否使用加密措施都是如此。無(wú)線加密協(xié)議等協(xié)議都包含已知的安全漏洞，使用Aircrack等攻擊框架就很容易攻破。如果不使用強(qiáng)口令，WPA(無(wú)線保護(hù)接入)和WPA2等更安全的協(xié)議也容易受到字典攻擊。

　　防范措施：建議使用帶RADIUS(遠(yuǎn)程認(rèn)證撥入用戶服務(wù)協(xié)議)的WPA2企業(yè)版以及能夠進(jìn)行身份識(shí)別和強(qiáng)制執(zhí)行安全措施的接入點(diǎn)。應(yīng)該使用強(qiáng)混合口令并且不斷地更換口令。一般來(lái)說(shuō)，無(wú)線接入點(diǎn)只是為了連接方便，因此，通常沒(méi)有必要把無(wú)線接入點(diǎn)連接到工作環(huán)境。

　　3. 優(yōu)盤

　　不管你是否相信，優(yōu)盤實(shí)際上是你能夠從防火墻內(nèi)部感染一個(gè)網(wǎng)絡(luò)的常用方法，如果不是最常用的方法的話。這有許多理由：優(yōu)盤價(jià)格便宜，體積小、存儲(chǔ)許多數(shù)據(jù)并且能夠在多種設(shè)備之間使用。優(yōu)盤的普遍應(yīng)用促使黑客開(kāi)發(fā)出一種有針對(duì)性的惡意軟件，如臭名昭著的 Conficker蠕蟲。這種蠕蟲能夠在連接到USB端口的時(shí)候自動(dòng)執(zhí)行。更嚴(yán)重的是默認(rèn)的操作系統(tǒng)設(shè)置一般都允許大多數(shù)程序(包括惡意程序)自動(dòng)運(yùn)行。這相當(dāng)于你的鄰居每一個(gè)人都有一把你的電子車庫(kù)門的鑰匙，并且利用這個(gè)鑰匙打開(kāi)其他人的車庫(kù)門。

　　防范措施：修改計(jì)算機(jī)默認(rèn)的自動(dòng)運(yùn)行政策。

　　4. 各種各樣的USB接口設(shè)備

　　優(yōu)盤并不是IT部門需要擔(dān)心的唯一的USB接口設(shè)備。許多設(shè)備都能夠把數(shù)據(jù)存儲(chǔ)到普通的文件系統(tǒng)中并且通過(guò)一個(gè)USB接口或者類似的連接進(jìn)行讀寫。由于這不是這些設(shè)備的主要功能，這些設(shè)備通常被忘記是一種潛在的威脅。事實(shí)是，如果一個(gè)端點(diǎn)能夠從這個(gè)設(shè)備上讀取和執(zhí)行數(shù)據(jù)，這種設(shè)備就能夠同優(yōu)盤一樣造成威脅。這些設(shè)備包括數(shù)碼相機(jī)、MP3播放機(jī)、打印機(jī)、掃描儀、傳真機(jī)、甚至還有數(shù)碼相框。在2008年，百思買報(bào)告稱，他們?cè)谑フQ節(jié)銷售的Insignia數(shù)碼相框中發(fā)現(xiàn)了一種病毒。這種病毒直接來(lái)自于廠商。

　　防范措施：實(shí)施和強(qiáng)制執(zhí)行資產(chǎn)控制和政策，規(guī)定什么設(shè)備可以進(jìn)入這個(gè)環(huán)境以及什么時(shí)候可以進(jìn)入這個(gè)環(huán)境。然后，定期使用政策提醒程序檢測(cè)這些政策的執(zhí)行情況。2008年，美國(guó)國(guó)防部制定了一些政策，禁止優(yōu)盤和其它可移動(dòng)介質(zhì)進(jìn)/出他們的環(huán)境。

　　5. 內(nèi)部連接

　　公司內(nèi)部員工也可能意外地或者故意地進(jìn)入他們不會(huì)或者不應(yīng)該接入的網(wǎng)絡(luò)，使用本文介紹的一些手段破壞端點(diǎn)。也許一位員工在同事吃午飯的時(shí)候“借用”那個(gè)同事的電腦。也許一位員工讓一位同事幫助他訪問(wèn)他無(wú)權(quán)訪問(wèn)的網(wǎng)絡(luò)中的一個(gè)區(qū)域。

　　防范措施：應(yīng)該經(jīng)常改變口令。為員工規(guī)定身份識(shí)別和接入等級(jí)是必須的。他應(yīng)該只有訪問(wèn)系統(tǒng)、文件共享等權(quán)限。任何特殊的要求應(yīng)該呈報(bào)給有權(quán)批準(zhǔn)這個(gè)請(qǐng)求的團(tuán)隊(duì)(而不是有權(quán)的一個(gè)用戶)。

　　6. 特洛伊人

　　同特洛伊木馬一樣，特洛伊人以某種偽裝的方式進(jìn)入企業(yè)。他可能身穿工作服或者穿著合法的維修工的服裝。這類騙子曾經(jīng)進(jìn)入過(guò)許多非常保密的環(huán)境，包括服務(wù)器機(jī)房等。根據(jù)我們自己的社交經(jīng)驗(yàn)，我們一般不會(huì)阻止或者詢問(wèn)在我們的辦公環(huán)境中的不認(rèn)識(shí)的身穿工作服的人。一個(gè)員工也許不會(huì)認(rèn)真思考一下就刷自己的入門卡讓一個(gè)身穿工作服的人進(jìn)入他們的環(huán)境提供服務(wù)。一個(gè)無(wú)人監(jiān)視的人不用1分鐘就能進(jìn)入服務(wù)器機(jī)房去感染整個(gè)網(wǎng)絡(luò)。

　　防范措施：應(yīng)該提醒員工有關(guān)授權(quán)第三方進(jìn)入的事情。要通過(guò)詢問(wèn)一些問(wèn)題來(lái)確定來(lái)人的身份，不要通過(guò)推測(cè)。

　　7. 光盤

　　在2010年6月，一個(gè)陸軍情報(bào)分析師被指控竊取并且在公網(wǎng)上泄露保密數(shù)據(jù)而被逮捕。知情人士說(shuō)，這位分析師是使用一張偽裝成流行歌手CD的光盤把數(shù)據(jù)帶出去的。一旦他進(jìn)入一臺(tái)網(wǎng)絡(luò)工作站，他就能訪問(wèn)到他有權(quán)訪問(wèn)的機(jī)密信息并且把數(shù)據(jù)以加密的方式存儲(chǔ)在他的“音樂(lè)”CD盤中。為了掩人耳目，這個(gè)分析師在使用工作站的時(shí)候還會(huì)假唱假裝存儲(chǔ)在CD盤中的歌曲。表面上合法的可記錄介質(zhì)能夠用來(lái)拷貝數(shù)據(jù)進(jìn)出網(wǎng)絡(luò)。同上面提到的優(yōu)盤一樣，光盤也是網(wǎng)絡(luò)感染的一個(gè)原因。

　　防范措施：同優(yōu)盤的技巧一樣，重要的是實(shí)施和強(qiáng)制執(zhí)行資產(chǎn)控制和政策，規(guī)定什么設(shè)備什么時(shí)候可以進(jìn)入這個(gè)環(huán)境。然后，定期使用政策提醒程序跟蹤執(zhí)行情況。

　　8. 事后諸葛亮

　　雖然這個(gè)列表重點(diǎn)介紹緩解利用數(shù)字技術(shù)的威脅，但是，我們不應(yīng)該忘記人類的大腦在存儲(chǔ)信息方面也是非常有效的。當(dāng)你登錄你的筆記本電腦的時(shí)候誰(shuí)在注意你?你的復(fù)印件存儲(chǔ)在什么地方?你在咖啡廳、機(jī)場(chǎng)等地方在筆記本電腦上閱讀了什么保密的文件?

　　防范措施：最好的防御措施是只要操作敏感的數(shù)據(jù)就要謹(jǐn)慎并且對(duì)這種威脅保持警惕，你甚至要立即停下來(lái)觀察你的周圍環(huán)境。

　　9. 智能手機(jī)和其它數(shù)字設(shè)備

　　現(xiàn)在，手機(jī)除了讓你給世界各地的人打電話之外還能做更多的事情。智能手機(jī)是功能齊全的計(jì)算機(jī)，配置了WiFi連接、多線程操作系統(tǒng)、大存儲(chǔ)容量、高分辨率攝像頭和大量的應(yīng)用程序支持。與其它便攜式平板電腦一樣，智能手機(jī)開(kāi)始獲準(zhǔn)在企業(yè)中使用。智能手機(jī)能夠引起上面所說(shuō)的優(yōu)盤和筆記本電腦引起的同樣的威脅。而且，智能手機(jī)有可能避開(kāi)傳統(tǒng)的數(shù)據(jù)泄漏保護(hù)解決方案。如何阻止一個(gè)用戶拍攝計(jì)算機(jī)顯示屏的高清照片并且通過(guò)手機(jī)的3G網(wǎng)絡(luò)用電子郵件把這個(gè)照片發(fā)出去?

　　防范措施：這里適用針對(duì)USB設(shè)備和光盤的同樣的規(guī)則。實(shí)施和強(qiáng)制執(zhí)行資產(chǎn)控制和政策，規(guī)定什么設(shè)備什么時(shí)候可以進(jìn)入這個(gè)環(huán)境。

　　10. 電子郵件

　　電子郵件是企業(yè)收發(fā)數(shù)據(jù)中經(jīng)常使用的方法。然而，電子郵件經(jīng)常被濫用。包含保密信息的郵件很容易發(fā)送到外部目標(biāo)。此外，電子郵件本身也可能攜帶病毒。一個(gè)有針對(duì)性的電子郵件可能是為了竊取一個(gè)員工的訪問(wèn)證書。這些竊取的證書可以在第二階段的攻擊中使用。

　　防范措施：對(duì)于電子郵件的安全，來(lái)源的身份識(shí)別是關(guān)鍵。使用PGP等技術(shù)識(shí)別發(fā)件人的身份或者在發(fā)送敏感的信息之前提出一些簡(jiǎn)單的問(wèn)題。應(yīng)該強(qiáng)制執(zhí)行對(duì)于廣泛的化名電子郵件地址的訪問(wèn)控制。政策和提醒程序應(yīng)該發(fā)給員工。