由校園網(wǎng)看網(wǎng)絡(luò)安全現(xiàn)況

前言
    本來實(shí)在不想寫這篇文章，可是實(shí)在無法讓人忍受。沒想到學(xué)校校園網(wǎng)的安全狀況居然這么差，其中最令人無可奈何地。還是管理員的素質(zhì)和安全意識(shí)。
    狀況
    回想起一年前，我無意中進(jìn)入哈爾濱XX大學(xué)的Web服務(wù)器。這臺(tái)服務(wù)器似乎是剛裝好，全是默認(rèn)的漏洞，我想可能是沒有來得及配置吧，于是發(fā)信提醒管理員盡快做安全配置。然后離開了，一個(gè)星期后，我應(yīng)朋友要求檢測(cè)一臺(tái)服務(wù)器安全性。由于沒有得到授權(quán)，所以需要一臺(tái)跳板，想到了哈爾濱XX大學(xué)的服務(wù)器。一去看，居然紋絲未動(dòng)，赤**的運(yùn)行著，我用完后為了引起管理的注意修改了首頁的title標(biāo)簽，更令我無法想象的是被修改過的頁面居然能在google上搜索到，真是無比驚訝，后來再訪問一次訪問不了了，也ping不通了?？磥黻P(guān)了，不知道什么原因，寧愿關(guān)也不愿配置一下，哪怕是裝個(gè)防火墻也好啊。對(duì)服務(wù)器如此，內(nèi)網(wǎng)可想而知。
    我們柳州市有兩所省重點(diǎn)，鑒于影響，全是用化名，一所是市里（下面簡稱市高）的，一所地區(qū)（下面簡稱地高）的，每年都有近300人重點(diǎn)，近600人本科，地高今年還得了9個(gè)清華，按理說電腦老師水平應(yīng)該很高?？墒遣还鈱?duì)外服務(wù)器安全性差，內(nèi)網(wǎng)的安全狀況更是慘不忍睹。還有FTP服務(wù)器、MAIL服務(wù)器都存在一定的缺陷。什么原因？
    地高的網(wǎng)站做得不錯(cuò)?？吹贸鋈净贏SP+SQL，而且是自己寫的程序，細(xì)心觀擦源代碼就可以發(fā)現(xiàn)不少過濾問題，只是簡單的查看一些ASP文件運(yùn)行的結(jié)果的HTML代碼就可以看到表單有一些小問題，很容易讓人執(zhí)行跨站越權(quán)操作。FTP服務(wù)器是用IIS5.0的。還可以匿名登陸，不過現(xiàn)在好像弄好了?，F(xiàn)在imail到7.xx版了，現(xiàn)在還用5.xx。
    論壇用動(dòng)網(wǎng)0109版本的，dispuser.asp有嚴(yán)重的語句過濾問題，使得攻擊者可以執(zhí)行跨站腳本獲取任何論壇用戶的密碼，由于數(shù)據(jù)庫沒有加密。所有密碼明文顯示。聰明的人應(yīng)該可以知道這意味著什么。我曾經(jīng)就這個(gè)問題發(fā)信給管理員。管理員不自己去檢測(cè)居然來問我要解決辦法。悲哀……
    更嚴(yán)重的還是內(nèi)網(wǎng)的安全問題，在黑客軟件橫行霸道的今天，各種危險(xiǎn)性的數(shù)據(jù)包滿天飛，經(jīng)常有人無故死機(jī)，利用設(shè)備名稱解析漏洞更是無聲無息。共享資源也暴露得過火，剛才所說的web服務(wù)器的web目錄也共享出來，直接就可以把所有ASP文件要下來，當(dāng)然，也找到了conn.asp文件里的sa用戶名及密碼，雖然無法連接，但的確開不了玩笑得，前段時(shí)間，有個(gè)同學(xué)無意中發(fā)現(xiàn)了老師電腦里的試卷。結(jié)果很多學(xué)生都樂此不疲東翻西找，后來簡單的隱藏了網(wǎng)上鄰居，沒有發(fā)現(xiàn)人成功了，但其實(shí)要進(jìn)入老師的電腦還是輕而易舉。只是我不需要這樣做。領(lǐng)導(dǎo)辦公室、教務(wù)處的電腦里，學(xué)期計(jì)劃，考試成績，工資、學(xué)生評(píng)定等一覽無余。有的還是任意讀寫，任何人知道了都會(huì)震驚。
    機(jī)房本地安全做得不錯(cuò)，使用EXTRA硬盤還原卡，禁止注冊(cè)表和控制面板里的所有選項(xiàng)，教學(xué)監(jiān)控軟件以前可以單純的在開機(jī)前終止進(jìn)程，后來軟件采用再生技術(shù)，進(jìn)程被殺會(huì)再生，程序被刪會(huì)再生，甚至你改掉Program Files目錄他也會(huì)再生一個(gè)完整的程序出來。有點(diǎn)像qeyes 潛伏獵手。結(jié)果沒有人能逃脫老師的監(jiān)視了，可是我還是暢通無阻。由此可見，還是非常不安全的，程序很優(yōu)秀，系統(tǒng)本身很糟糕?？墒枪芾韱T一向都自我感覺良好……
    不久，在我的論壇上發(fā)現(xiàn)了市高的一個(gè)學(xué)生把進(jìn)市高的服務(wù)器過程寫了下來。是在內(nèi)部入侵的。居然還有二次解碼漏洞，.printer遠(yuǎn)程溢出漏洞。看到這里，我就去市高的服務(wù)器上看看，結(jié)果令人大跌眼鏡。既然不是我們學(xué)校的，我就不好透露什么，我只想提醒柳高的管理員盡快仔細(xì)檢查自己的系統(tǒng)。即使裝了防火墻也無濟(jì)于事。
    上面是我所了解的情況，其他學(xué)校也好不到哪里去?，F(xiàn)況大家了解得差不多了，有什么感想呢？我總結(jié)了幾點(diǎn)原因：
    一、管理員素質(zhì)極低，安全意識(shí)淡薄，水平普遍偏低。對(duì)于發(fā)出的信漠不關(guān)心。
    二、web服務(wù)器和系統(tǒng)都沒有經(jīng)過細(xì)心的安全配置。
    三、使用的程序的版本過低，漏洞明顯，但又不采取任何補(bǔ)救措施。
    四、沒有嚴(yán)格的控制好各工作組之間的訪問權(quán)限，也沒有做好單機(jī)的防范工作。
    五、管理員太依賴程序。自己卻沒有盡職。
    解決方案
    下面給出我認(rèn)為行得通的一些解決方案，僅供參考。
    A、對(duì)外服務(wù)器的安全問題
    對(duì)外服務(wù)器通常是web服務(wù)器這是局域網(wǎng)的第一道關(guān)卡，由于經(jīng)費(fèi)、在線時(shí)間、管理等諸多原因，這臺(tái)服務(wù)器肯定與內(nèi)網(wǎng)相連，這樣只要控制了該服務(wù)器，那么想獲取內(nèi)部任意一臺(tái)電腦的資料也不是難事了。所以這臺(tái)服務(wù)器至關(guān)重要，一定要精心的配置。如果不是專業(yè)網(wǎng)管，請(qǐng)參考網(wǎng)上的相關(guān)文章。
    B、內(nèi)部網(wǎng)的安全問題
    要想解決局域網(wǎng)內(nèi)部安全的問題，最基本的就是安裝NT內(nèi)核的操作系統(tǒng)，使用NTFS格式的分區(qū)。服務(wù)器可以使用Windows 2000 Server或Windows 2000 Advanced Server甚至Unix或類UNIX系統(tǒng)。學(xué)生和教師機(jī)可以使用Windows 2000 professional，牢固的系統(tǒng)可以提高抵抗各種bomb的能力，還可以更好的控制權(quán)限，強(qiáng)健的密碼機(jī)制讓98無地自容。此外，還可以安裝一些占用資源少的簡單的濾防火墻。
    C、學(xué)生機(jī)的安全問題
    學(xué)校擔(dān)心學(xué)生在電腦的種種錯(cuò)誤操作而導(dǎo)致數(shù)據(jù)丟失、系統(tǒng)崩潰，因此安裝各種硬盤還原卡、保護(hù)卡或者還原精靈。這對(duì)硬盤來說是種酷刑，而且增加了開支，其實(shí)充分利用NTFS分區(qū)的“安全”特性，就可以對(duì)硬盤進(jìn)行良好的保護(hù)，因?yàn)槟壳盀橹?，我還沒有發(fā)現(xiàn)什么工具能沖破NTFS的保護(hù)。嚴(yán)格設(shè)置好各個(gè)分區(qū)、目錄、文件的訪問權(quán)限，效果比還原卡還要理想數(shù)倍。而且不損壞硬盤，還可以很好的限制下載等。難道管理員怕吃苦或是認(rèn)為電腦是由學(xué)校出錢買的而不當(dāng)回事？
    D、內(nèi)部管理問題。
    對(duì)于IP，每臺(tái)電腦僅有的一個(gè)網(wǎng)絡(luò)標(biāo)識(shí)，就像人的身份證一樣，如果管理不好甚至被更改或盜用，可能導(dǎo)致那太電腦不能上網(wǎng)，而且現(xiàn)在每個(gè)學(xué)校基本上都是人工分配IP地址，費(fèi)時(shí)費(fèi)力而且頁可能讓學(xué)生修改，其實(shí)NT/2000就提供了DHCP(動(dòng)態(tài)主機(jī)配置協(xié)議)服務(wù)，通過這個(gè)功能可以很好的解決IP的分配和盜用問題。如果不懂設(shè)置請(qǐng)看《使用DHCP服務(wù)巧妙固定IP地址》《如何解決校園網(wǎng)絡(luò)中避免IP地址被盜用》。
    安全管理措施
    下面再說說一些網(wǎng)絡(luò)系統(tǒng)安全管理措施
    A、任何操作系統(tǒng)都有漏洞，作為管理員就有責(zé)任及時(shí)的打上各種補(bǔ)丁（Patch）。為了將安全漏洞降低到最少，也為了系統(tǒng)能更加穩(wěn)定的工作。
    B、密碼是首席看門官，大部分的攻擊都是從截獲或猜測(cè)密碼開始的，一旦黑客成功進(jìn)入，那么前面的防衛(wèi)措施幾乎就沒有作用。因此對(duì)密碼進(jìn)行安全、有效地管理是管理員義不容辭的職責(zé)。
    C、關(guān)閉不必要的服務(wù)、如果系統(tǒng)都使用NT內(nèi)核系統(tǒng)就涉及到一個(gè)服務(wù)的概念，有的服務(wù)控制著一個(gè)端口的開與關(guān)，多一個(gè)不必要的服務(wù)就多一個(gè)威脅。這點(diǎn)也是需要注意的。
    D、數(shù)據(jù)備份永遠(yuǎn)是最累人但最必要的工作，誰也不敢肯定錯(cuò)誤操作、停電、硬盤損壞等意外事故什么時(shí)候發(fā)生。勤備份數(shù)據(jù)能給你減少數(shù)據(jù)丟失后的尷尬。
    E、慎重選擇好殺毒軟件，病毒是個(gè)與大型網(wǎng)絡(luò)形影不離的家伙，幾乎每個(gè)大型的網(wǎng)絡(luò)都有它的身影，2003年1月25日爆發(fā)的全球性SQL蠕蟲病毒就是的警告。
    F、合理利用安全工具進(jìn)行檢測(cè)，不要以為安全工具是入侵（攻擊）者的專利，管理員比這些人更有權(quán)利使用它。掃描器能讓你更好的了解系統(tǒng)出現(xiàn)的漏洞。嗅探器能更好幫幫你解決網(wǎng)絡(luò)的一些實(shí)質(zhì)性問題。所以你必須熟練運(yùn)用他們。
    解決方案和防護(hù)措施也是針對(duì)校園網(wǎng)而言，網(wǎng)絡(luò)安全是一門藝術(shù)型的學(xué)問，只有不斷挖掘和探索才能更好的管理和完善她。以適應(yīng)不同的場合。
    以上是我個(gè)人的觀點(diǎn)，有不少錯(cuò)誤望大家能指出。