校園網絡的發展到今天，大多都已成為了Internet的一部分。Internet的不再免費使用，使校園網的安全性顯得尤其重要。這裡我主要就下面幾個問題進行討論:

¨ Internet為什不安全

¨ 網絡系統安全管理措施

¨ 網絡安全工具

¨ 其他安全信息

一、 Internet為什不安全

Internet本來就不安全, 因為最初的Internet建設者們不認為安全是問題。Internet在其早期是一個開放的為研究人員服務的網際網，是完全非贏利性的信息共享載體，所以，幾乎所有的Internet協議都沒有考慮安全機制。這點從Internet上最通用的應用FTP, Telnet和電子郵件中的用戶口令的明文傳輸以及IP報文在子網段上的廣播傳遞就充分地體現出來。只是近些年來, Internet的性質和使用人員的情況發生了很大的變化，使得Internet的安全問題顯得越來越突出。隨著Internet的全球普及和商業化，用戶很多非常私人化，如信用卡號等和其自身利益相關的信息也通過Internet傳輸，而且越來越多的信息放在網上是為了贏利，而不是完全免費的信息共享，所以其安全性也成為人們日趨關注的問題。

Internet不安全的另一個因素是因為人們很容易從Internet上獲得相關的核心技術資料，特別是有關Internet自身的技術資料，比如RFC, FAQ文檔，各類應用程序原代碼，如TCP/IP, Sendmail, FTP等， 還有各類安全工具的原代碼也是公開免費的， 象頗有爭議的SATAN,Crack等。這些資料拿出來共享其願望是好的， 但也難免產生事與願違的效果。

Internet不安全的另一個致命因素是使用者普遍缺乏安全意識，特別是那些對計算機和Internet技術不了解的用戶。很少用戶會去讀RFC1244安全手冊，或關注CERT安全組織提出的忠告。對大多數用戶來說， 能管好自己的密碼就萬事大吉了，但又有多少用戶願意取一個不好記的密碼呢？ 方便性和安全性總是相互沖突，很難兼得的。

說來說去，Internet不安全歸根到底還是因為人自己，我們只要看一看那越來越厚的防盜門就明白了。如今，Internet上也出現了比防盜門更復雜的防火牆（firewall）來防范那些不懷好意或那些只是為了逞能和好奇的的黑客們，還出現了各種各樣的密鑰（private key）或公鑰(public key)來保護在網上傳送的信息。

Internet不安全是一個不可回避的現實。下面讓我們正視這個現實， 談談我們可以採取的安全措施。

二、 網絡系統安全管理措施

網上大部分的攻擊是針對網絡上的服務器系統, 其中包括電子郵件, 匿名FTP, WWW, DNS, News等服務系統。 這些系統大都是運行在UNIX系統上的，其中有SUN的Solaris, SCO UNIX, HPUX, SGI的IRIX, IBM的AIX, 和Linux等。系統之所以易受攻擊，有各方面的因素。首先是這些系統知名度高，容易引起注意，其次，系統本身存在漏洞。我們一方面可採用一些防衛性措施； 另一方面， 網絡系統管理員可以應用一些工具，來查找系統安全漏洞，或從網上截獲報文進行分析。下面我們以Sun的Solaris為例, 來具體介紹可採用哪些安全防衛措施。

（一）安裝系統補丁程序(Patch)

任何操作系統都有漏洞，作為網絡系統管理員就有責任及時的將補丁（Patch）打上。SUN公司為了彌補他們的操作系統的安全漏洞,在他們的網站上及時的提供了大量的Patch, 這些Patch程序可以從各地的SUNSITE站點獲取。這些Patches在北大FTP上的地址是:

ftp://ftp.pku.edu.cn/pub/Sun/sun-info/sun-patches

（二）採用最新版本的服務方軟件

和操作系統一樣，在服務器上運行的服務方軟件也需要不斷的更新，而且新版本的軟件往往提供了更多更好的功能來保証服務器更有效更安全的運行。為了將安全漏洞降低到最小, 系統管理員必須及時更新服務方軟件。下面給出幾個目前最新版本的服務方軟件：

*域名服務DNS軟件： Bind-8.x

*匿名FTP軟件: Wu-ftpd2.4.2-academ[BETA-18]版

*鏡像軟件: Mirror-2.9版

*Sendmail: Sendmail8.9.x版

*News: INN2.1版

*HTTPD: Apache_1.3.x版

這些版本更新得非常快，大家可以跟蹤他們的正式家目錄來獲得最新軟件。

(三) 口令安全

口令可以說是系統的第一道防線，目前網上的大部分對系統的攻擊都是從截獲或猜測口令開始的，一旦黑客進入了系統，那前面的防衛措施幾乎就沒有作用。所以對口令進行安全地管理可以說是系統管理員的重要職責。

目前大多數的Unix系統都將用戶賬號信息和加密口令分開存放，在 /etc/passwd文件中不在包含加密口令，而加密口令是存放在/etc/shadow 文件中，該文件只有超級用戶(root)可讀。在這裡特別須注意的是一些系統帳號，如 uucp, ftp,news 等，一定不要給它們設置 /bin/sh,/bin/csh 等 Shell 變量，可以在/etc/passwd 中將它們的Shell變量置空，或設為 /bin/ftponly 等。 /bin/ftponly 可以是一個簡單的Shell程序，如下：

#！/bin/sh

不要忘記在 /etc/shells 中加入 /bin/ftponly。

（四）文件目錄權限

特別要注意系統中那些所有這為root的SUID, SGID的文件，因為一旦有黑客進入你的系統，他可通過這些程序獲得超級用戶權限。目前Interenet上有不少工具軟件可幫助你來檢查權限，在下面我們會介紹。

（五） 限制網絡用戶對系統的訪問

這種限制分兩步:

1) 通過IP地址來限制, 這是通過安裝TCP_Wrappers軟件來實現的。

該軟件可對系統進行telnet, ftp, rlogin, rsh, finger, talk等訪問的IP進行了控制,比如你可以只允許網控中心內部的一些機器對服務器進行這些操作。

2) 超級用戶口令, 只允許系統管理員知道,並要求定期修改。另外，不允許用戶遠程登陸來訪問root, 這是在系統文件 /etc/default/login中缺省設置好的。

（六）關閉不必要的服務端口

通過修改 /etc/services 和 /etc/inetd.conf文件, 將不需要的服務和服務端口關閉。

（七）定期對服務器進行備份

為了防止不能預料的系統故障, 或用戶不小心的非法操作, 必須對系統進行了安全備份。除了對全系統進行每月一次的備份外, 還應對修改過的數據進行每周一次的備份。同時應該將修改過的重要的系統文件存放在不同的服務器上,以便在系統萬一崩潰時(通常是硬盤出錯), 可以及時地將系統恢復到最佳狀態。

目前各類Unix系統都有功能很強的備份工具，如Solaris中的 ufsdump 和 ufsrestore。

（八）設置系統日志

通過運行系統日志程序， 系統會記錄下所有用戶使用系統的情形，包括最近登陸時間，輸入過的每一條命令，磁盤空間和CPU佔用情況。日志程序會定期生成報表，通過對報表進行分析，你可以知道是否有異常現象。 比如，如果你發現有某一帳號總是在半夜登陸，就要警惕了，也許該帳號已被盜用；如果某一系統帳號象uucp有人登陸或佔用大量的CPU或磁盤，也要引起注意。

Solaris2.x中，通過運行 /etc/init.d/acct start|stop 來啟動或停止系統日志的運行，所有的日志信息是放在/var/adm/acct目錄下。

運行系統日志的主要缺點是要佔用大量的磁盤空間。

（九）定期檢查系統安全性.

這種檢查是通過定期運行系統安全檢測工具來實現的。通過這些工具,可以檢查:

¨ 用戶口令的安全性,包括口令的內容,格式,存活期等。

¨ 文件被訪問權限的合法性,包括SUID文件存在與否,權限為777或666 的文件或目錄,系統文件一致性檢查,用戶家目錄和啟動文件的合法性檢查等。

¨ 匿名FTP設置安全性檢查。

¨ 對tftp, sendmail中的decode alias, inetd.conf中的隱含shells等的檢查。

¨ 對NFS文件系統共享安全檢查,包括 $HOME/.rhosts, /etc/hosts.equiv等的檢查.

¨ 對CERT公布的安全漏洞的檢查。

目前在Internet較流行的檢測工具有:

¨ COPS(Computer Oracle and Password System): 是一個工具組,運行完會產生一個結果報告。系統管理員需要對該報告進行分析, 對發現的漏洞進行彌補。

¨ SATAN( Security Administrator Tool for Analyzing Networks) : 是最通用的網絡安全分析工具, 具有良好的用戶界面。它具有HTML接口, 能以各種形式選擇目標,可生成結果表格。發現漏洞時, 會立刻出現提示。SATAN可以掃描的漏洞主要包括以下幾種: 匿名ftpd的脆弱性和可寫的目錄; NFS, NIS, RSH, Sendmail, X服務器的脆弱性等。

¨ Crack: 口令檢查器。通過標準推測技術, 發現標準的UNIX 8字符DES加密口令。

¨ Shadow: 提供口令隱藏,支持16位密碼,檢查用戶口令並提供相對強度,還可以記錄失敗登錄企圖。

¨ passwd+:另一個口令檢查命令.它主要是在用戶選擇口令時對口令進行一系列的規則檢查, 對不符合要求的口令強迫用戶作出其他選擇。

¨ Snoop 和Tcp-dump:可以對在網絡上傳輸的包進行實時監控,在網絡運行異常時很有用。Snoop是Solaris2.x 的系統命令。

¨ Tripware: 文件系統檢查程序,主要檢查文件系統的使用和修改情況。

這些工具基本上都是Internet的免費軟件，可以從相應的主頁或匿名FTP站點上獲取。也可以在北大FTP上獲取, 具體目錄是 /pub/cert/tools。 下面我們介紹其中主要的幾個工具。

3. 、 網絡安全工具

（一）COPS 系統安全檢測

COPS對Unix系統進行安全檢查。它的主要檢測目標有以下幾點：

1. 文件,目錄和設備文件的權限檢查。
2. 重要系統文件的內容，格式，和權限檢查。
3. 檢查是否存在所有者為root的SUID 文件。
4. 對重要系統二進制文件進行CRC校驗和檢查，看其是否被修改過。
5. 對匿名FTP, Sendmail, tftp等網絡應用進行檢查。

值得一提的是，COPS只是監測工具，並不做實際的修復。

（二）Crack 口令密碼解破

Crack是最名的Unix系統上破解UNIX口令的工具。 Crack 的工作原理很簡單。我們知道加密口令是不會被解開的，這是因為加密算法是不可逆的。所以，一般的口令入侵是通過生成口令進行加密去匹配原口令密碼，或直接從網上截獲明文口令。Crack 程序中包含了幾個很大的字典庫，進行解破時它會按照一定的規則將字詞進行組合，然對之進行加密，再與要解破的加密口令匹配。所以 運行Crack通常要佔用大量的CPU, 並要運行相當長的時間才結束。

目前最新的版本是Crack5.0。Crack5.0的安裝和使用比較簡單，可執行下列幾步：

1. 修改Crack, 修改CC之類的參數。
2. 執行 Crack makeonly 生成可執行代碼。

3．執行 Crack makedict 生成字典。

4．執行 scripts/shadmrg.sv > passwd 將/etc/passwd 和/etc/shadow 文件合並。

5．執行Crack passwd 解破passwd中的口令。

6．執行 ./Reporter 查看解破結果。

(三) Sniffer網路監聽

Sniffer這個詞是指黑客或其他人通過一些軟件來截獲在網絡上傳送的包。常用的工具有traceroute,snoop,Gobbler, tcp-dump, ethload, Netman, Sunsniff等。

防止sniffer 有兩種辦法，加密和分段。比如設置SSH(Secure Shell) 替換rlogin 和telnet等, 這樣可解決用戶名和口令在網絡上明文傳輸的問題。

所謂分段，是根據分段越多，網絡信息可靠性越高的原則。因為IP報文只能在本子網段上廣播。有些單位甚至直接將服務器和交換機聯接來保証服務器的安全運行，但這樣的做法開銷太大，對較小的單位是不可行的。

（四）防火牆對付遠程攻擊

防火牆的共性是它們都有基源地址基礎上的區分或拒絕某些訪問的能力。這裡我們介紹幾種其實只是具有防火牆功能的軟件。目前使用較多的軟件有下面兩類：

¨ 數據包過濾工具：TCP_Wrappers, NetGate

¨ 應用代理和應用網關：Netscape Proxy, Socks, TIS-FWTK

前面我們已提到，TCP_Wrappers是通過IP地址來控制對服務器的訪問，它的主要配置文件有兩個：/etc/hosts.allow, /etc/hosts.deny。而 Netscape Proxy則可以根據用戶帳號來進行訪問控制和記帳。

（五）掃描器 Scanner

定義：自動檢測遠地或本地主機安全性的程序。

原理：掃描TCP端口，並記錄反饋信息。

意義：發現網絡的弱點，促使系統安全。

常見的工具有: host, traceroute, rusers, finger, showmount，NSS(網絡安全掃描器），Strobe（超級優化TCP端口檢測程序）及SATAN等。

四、 其他安全信息

WWW站點：

http://www.alw.nih.gov/Security/security.html

http://www.raptor.com/library/library.html

http://www.cs.purdue.edu/coast/archive

http://www.first.org/ (FIRST)

http://www.defcon.org/ (DEFCON)

Newsgroups：

<<網絡最高安全技術指南>>等