骇客攻防战：建立坚强的堡垒 -电脑资料

    在你的网络劫后余生之后，你必需迅速行动，复原系统，并防止进一步的网络攻击，

骇客攻防战：建立坚强的堡垒

。之前的两篇文章探讨的是侦测到攻击的那一刻要如何实时反应，在第一个小时内采取初步的行动。在本文里，我们则要把讨论的焦点放在长期的建置上，了解如何在尘埃落定之后强化你的防卫机制。

    建立监视系统

    修复系统时的主要挑战之一，就是要确定系统是何时受害、如何受害、以及骇客是钻那个漏洞入侵的。事实上，骇客很少第一次入侵就成功的，通常他们要试过许多漏洞，或者是许多使用者账号与密码的组合之后，才会找到你系统的漏洞。通常来说，骇客在尝式闯入你家大门时，可能或者往往都会留下蛛丝马迹。这要看你是否确保将这些刺探的痕迹留下记录，是否具有一套程序与系统可以在攻击发生时通知你。因此，你的长期安全策略的重要关键之一（特别是遭人攻击过之后），就是要开发出一套让网络入侵无所遁形的监视系统。

    检查Log檔

    你有多久没去检查服务器与防火墙里的事件记录（logs）了？如果你像大多数的IT专业人士一样忙碌，那你只会有问题才会去看看。当然，我们都知道，这并不是一个理想状态，只是时间真的不够用。

    你的系统遭入侵后，你应该了解到定期检查记录文件的重要性。星期一早上第一件事就是察看检查档，换句话说，星期一下班之前你可能就可以完成此事了。同时，你也可借机看看星期假日是否发生了什么事──骇客喜欢选择这个时候攻击，因为他们知道办公室里没有人来阻挡攻击。

    在网络遭受攻击之后的第一周，你应该每天检查记录，或者甚至每隔几个小时，因为骇客可能会去之前漏洞处刺探一下最新防护情况。如果你不想要以土法炼钢的方式从每台系统里搜集所有的纪录，而是希望是有状况发生时才收到警报，那么可以安装微软的Operations Manager。

   

    入侵侦测软件

   

    利用log检查，在攻击发生与你发现状况之间一定会有些时间的延迟。就算你是每天检查纪录，还是可能在攻击发生之后几个小时才发现──这已经让骇客有充足的时间去找到你系统内的真正弱点了。因此，就有了所谓的入侵侦测。入侵侦测系统（IDS）持续不断地监视你的网络，在侦测到入侵时，会发出警报或采取其它的行动。

   

    IDS可以和你既有的防火墙协力合作，加入一层过滤器以避免骇客有进一步的行动。对于攻击的发动地点，你可以加入严格的「阻断」（deny）规则，可以防止骇客对你的系统做任何进一步的攻击。

   

    执行外部安全稽查

   

    我以机房代管的方式在因特网外面保留了两套系统，虽然没有防火墙的保护，但也是有安全保护。这些系统摆在外面的用意很明显，可让我替客户快速执行入侵测试。其中一套系统用的是Linux操作系统，可以执行一系列的开放原始码漏洞分析工具，例如Nmap与Whisker，

电脑资料

《骇客攻防战：建立坚强的堡垒》(https://www.unjs.com)。另一套系统是Windows计算机，执行另外一组不同的工具，包括Foundstone的SuperScan，与N-Stalker的N-Stealth。

   

    为什么要执行两套不同工具的不同系统？答案很简单：没有任何工具可以提供绝对完美的漏洞评估。每种工具都有它的限制与怪癖。对于公司组织来说，要在防火墙外维持一套系统，购买多种扫瞄软件包，以及学会如何有效的执行这些系统等等，可能相当昂贵。因此，很重要的是委托一家独立的专业公司来执行外部的安全稽查。在找上这些公司时，你应该问他们有那些经验，以及所使用的工具类型。

   

    重设密码

   

    在骇客取得你的网络存取权限之后，你务必要改掉所有的密码──也就是所有的服务器及所有设备里的全部使用者与服务账号。表面上，这看起来好像是一件很简单的事。然而，事实上，这是个相当累人的事，可能要耗费相当多的时间。

   

    之所以要改变每一组密码的原因是，你系统里可能有些，或者甚至全部的密码都已遭窃（视被骇系统与入侵类型而有所不同）。取得所有使用者密码的骇客，一定会再次以有效的使用者账号及密码而取得存取权限。确保骇客不再握有有效账号与密码的唯一方法就是──全部换掉。

   

    在采取这项行动之前，先考虑以下三件事：

   

   

    所有使用者账号都会需要一组新的密码。这对使用者来说可能会相当头大，但是，在Windows 2000的环境下，只要敲几个键就可以更改密码了。

   

    更改服务账号的密码可能更让人小生怕怕，因为每台服务器都必需要重新开机来确认服务账号的新密码。这也意谓着，要更改网络等级的服务账号密码更需要协调一致，让所有的服务器可以在同一时间里更改所用的服务账号。

   

    更改所有设备的密码可能相当棘手。网络里的许多设备都有自己的一套使用者账号与密码。除非你在其它地方放了另一个密码表，不然你很可能就忘了其中一两台设备的密码了。很重要的是，路由器与防火墙的密码可能较容易记住。但是，像打印服务器、安全摄影机，以及其它网络附加装置等，就很容忘记了。

    最后，是否要换掉所有的这些密码，就要看你是否想要多一道可能避免骇客再次攻击的防线了。对于一些极度重视安全的环境来说，你可能还是要换掉所有的密码。

   

    适当的防御措施

   

    安全系统在遭入侵之后要复原实在是件相当痛苦的事。往往，IT的专业人士在打了第一场战之后整个人就筋疲力竭，而忘了后面还有一场战。但如果你建立了适当的障碍，以及建立了正确的侦防措施，来了解下次攻击可能在什么时候发动，那么你就可以在网络的攻防战上制敌之机先了。