政府的数十万设备为什么连小黑客都挡不住

嘟嘟的手机铃声,惊扰了我午夜的酣睡,迷迷糊糊中隐约的听到电话中急切的声音:“我们政府网站遭受黑客攻击了”,听到这里我顿时睡意全无,细心的聆听电话那头的情况陈述……。
掌握大致情况后,迅速爬上网络打开受攻击的站点,原来的页面已经被改得面目全非了。在网页的首屏上是一个来回走动的大螃蟹,下面附着一条标语:“老子横行江湖数年,偶而路过,只因最近十分烦躁,特拿此站练手”。

解决受攻击站点实例

这 种情况只有去查服务器记录,半个小时后,我到了该政府的服务器机房。做的第一件事就是把服务器访问日志下载到自己的笔记本上,(因为习惯,对谁的机器都不 放心,只相信自己的),经过仔细分析日志,发现有人在主站的上传了一个私人论坛。根据经验判断,这个论坛程序是罪魁祸首。于是经过调查,发现论坛是负责维 护该站的小李私自放上去的,这个论坛是免费的动网论坛,小李只是做了简单的修改,便把程序上传到服务器。在业内很多人都知道动网=洞网,从日志的分析来 看,入侵者就是利用某安全组织刚刚公布的动网上传漏洞,获得了主服务器的控制权。随后删除了论坛程序,还原备份页面,至此恢复了网站的原貌。从踏入机房到 恢复站点,只有5分种。
企业网络信息安全面临不解的困惑
此事件引起了政府相关部门领导的高度重视,第二天,他们领导奇怪的问我:我们每年 都花几十万的政府采购,更是把网络安全放在了第一位,我们配备的有防火墙,IPS,IDS,为什么这么坚固的城墙就不管用呢,早知道如此,就不去买这些设 备了。这个问题也许是很多企业都面临的困惑。

解惑一:缺乏技术培训,好刀使不到刃上

其 实防火墙、IDS、IPS等硬件防护设备针对某些入侵手段有着很好的效果,只是企业部署后,没有发挥真正的作用。如上面的实例中,我曾检查过防火墙的配 置,发现好多设置都是默认状态,竟然连登陆用户名和密码都是出厂默认值。这可以说明网络管理人员缺乏相应技能培训,才会造成很多设备无用武之地的尴尬局 面,就好象厨子用青龙偃月刀切菜一样,同样一把刀,放在厨子手里只能切菜,而放在关羽手里则能过五关斩六将。所以,有了好设备不等于有了安全,需要把设备 进行合理的配置才能发挥它们应有的性能。很多企业显然把这些技术工作交给了集成商和厂家来完成。从资金投入角度考虑,这样的做法非常适合中小企业。但政府 的中心机构和大型企业不缺的就是资金,想要实现网络信息安全,这些大型企业就一定要有自己的运行维护力量,只有自己的东西自己管才能真正的确保第一道安全 防线。

解惑二:没有安全意识,安全将无从谈起

从上面的实例中,我们不难看出,企业员 工的安全意识决定了企业网络安全的健壮性。这一点对网络管理人员来说,尤其重要。作为单位的网络管理者如果小李懂得起码的安全常识,就不会把免费的论坛放 到服务器上;如果小李了解安全的重要性,也不会去下载这样的程序,起码不会在企业网络内下载。这些都是员工缺乏安全意识的表现。
再举个实例:某集 团也曾打来求助电话,他们的企业网络频繁的掉线,几乎处于瘫痪状态。我在检查了设备信息和配置后,发现一台华为交换机,全部都是死包,凭借经验初步判断应 该是遭到了蠕虫攻击,但这还需要事实来证明。捕获数据包后,经过分析,确定就是蠕虫病毒惹的祸。而查找毒源却遇到了麻烦,根据数据包的分析,很快能判断出 毒源机器的IP与MAC地址,但问管理人员这是哪台机器时,他们没有一个人知道的。这就只能从交换机处下手,但让我郁闷的事情又来了,由于机房管理混乱, 防静电地板上的烟头随处可见,很多交换机上都没有网线标签,布线也极乱无比,为了排查这台机器,我们3个人用笔一个一个记录,花了整整2个小时才把问题机 找到。在这个问题机上发现了大量的病毒,还有很多成人片。
无论政府还是企业都应该有相应的安全管理制度和规范,这些是指导员工行为的重要准则。如 果该政府相关部门规定不允许下载任何程序,或是只限网络管理人员下载,那政府站点的小李下载带有安全隐患程序的情况就不会出现;如果规范机房的管理和使 用,那我也不会在集团公司浪费2个小时整理线缆,如果规范的操作流程守则,如果有规范的网络安全制度,如果……,有这些如果也会黑客入侵攻击增加相当大的 难度。这也印证了不知道谁说的那句古话:安全是三分技术,七分管理。

解惑三:如何规范配置网络安全设备,制定合理的安全策略

1、要规范防火墙的安全策略,如增加防火墙的规则匹配,有些防火墙属于嵌入式开发的设备,这就需要熟练使用linux命令和dos 命令,还有一些防火墙需要按自身情况具体配置,如Cisco的PIX防火墙,H3C的SecPath防火墙等。
2、然后最好能在网络中计划分出vlan和绝对独立的安全域,即使有病毒蔓延,也不至于感染整个网络。
3、 对于工作站,要启用组策略,并且在系统里面把自动播放给完全禁用,根据目前流行的蠕虫攻击和移动存储设备感染来看,多数都是自动访问存储设备的时造成了间 接感染。删除guest帐号,定期更改密码等基本安全维护策略。最好能绑定工作站的mac地址和ip地址,具体落实到一机一人,达到规范使用计算机的目 的。
4、把个人移动存储设备与企业办公用存储设备分开使用。人手一个,专人专用,定期杀毒。
其实从国内信息安全的整体情况看,企业和政府依然存在很大的安全隐患,就是买了再好的网络安全设备,没有人调试和配置,那也是形同虚设,网络管理不规范,员工的安全意识不够高,都可能造成严重的恶果。

个人建议:

1、针对政府,制定规范的安全管理制度。上班期间禁止使用任何P2P软件下载任何程序与电影;为了方便网络管理,最好划分合理的VLAN,在交换机上做相应的管理策略;对防火墙进行优化管理,登陆密码每星期都要更换。
2、针对企业,制定规范的安全管理制度,做好网络管理人员的培训工作,尽量提高员工安全意识。企业邮箱要重点防护,因为更多的内部泄密和网络攻击的重要突破口就是利用企业邮箱来进行攻击,欺骗管理人员,达到渗透的目的。80%的网络攻击是在内部发生的。

91ri.org点评:能在一个政府站上留那种言的,除了用人才两个字来形容我真不知道还能说什么了,但是就是这种SB式的人才却能攻破,其中的原因和问题难道不值得我们深思么?上面的建议很好,很有价值,希望相关企业的朋友假如有幸看到这个文章可以参考一下上面的建议吧!不要让10多万的设备变成花瓶!

本文转自冠威博客由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理,转载请著名出处。