《安全月刊》第六期

 

出刊:2004年12月21日 
南京优创科技有限公司客户服务中心

服务电话:025-84808848

服务邮箱:service@ultratech.com.cn
本期导读:
|-新品介绍
|-您知道吗?
|-本月安全警报
|-业界新闻
|-谭博士专栏
·新品介绍

 

东软强力推出全新NP架构NetEye防火墙

东软2000年开始立项并投入大量经费,由资深的研发团队开发的具有自主知识产权的NP防火墙:NetEye FW4032-NP-M-FE4NetEye FW4032-NP-H-FE4近日已正式面向市场销售了,此次NP架构硬件防火墙的推出,也标志着作为软件领军企业的东软,向硬件领域的一次突破。新产品继承了东软NetEye传统防火墙高性能、高可靠性、高可管理性的技术优势,使用户的网络安全体系能够平滑过渡到NP时代。这也标志着作为国内网络安全领头羊的东软公司,突破国内安全厂商长期局限于工控机时代的束缚,进一步巩固其网络安全领域的领先地位。

东软新推出的NP架构NetEye防火墙,是具有完全自主版权的硬件防火墙。从包括主板在内的硬件到软件都具有完全自主版权,使得这款防火墙能够百分之百地屏蔽采用国外技术可能存在的安全漏洞,也很大程度地解决了长期困扰防火墙的BIOS漏洞问题。NP防火墙内置了大量硬件寄存器,可以方便地实现各种MIB统计功能,从而能够在保证防火墙系统性能基本不变的前提下,对网管系统提供高效、便捷的支持。

    NP技术的突出优点是完全可编程,系统的“硬件”功能可以通过软件模块(微码)的方式方便地进行修改、完善。而NetEye防火墙产品本身的流过滤技术更是保证了防火墙系统的灵活性。对于特殊的用户需求,基于NP的NetEye防火墙可以实现定制开发,即可以通过模块删减开发出满足不同用户需求的产品。基于微码的功能开发周期一般为6个月甚至更短,能够以更快的速度适用不同的网络环境。

    基于NP的NetEye防火墙,提供了更高的集成度。大部分功能都能通过使用一个或者两个芯片来实现,从而避免了以前使用多个芯片、芯片组的方式所带来的隐患以及功能、性能的下降。冗余方式的芯片设计使采用NP的防火墙系统可靠性大大提高。采用NP技术的NetEye防火墙将更适用于运营级的网络环境。

 
·您知道吗?


网络攻击入侵手段

随着计算机技术的高速发展,黑客对网络攻击和入侵的手段和方法也不断更新。只要网络存在,针对网络的犯罪就会时有发生。这里,总结了几种黑客常用的对计算机网络的攻击方法。

口令入侵:黑客可以利用得到的系统口令获得对网络系统的控制权。口令入侵是利用一种利用软件工具解开被加密的口令文档。口令获取的可能原因有:管理不善导致人为因素的口令扩散,利用工具对弱口令的破解,通过对主机、网络的窃听而窃取口令。比如,一种叫Sniffer的软件,就可以截取口令,并获得秘密的信息,还可以攻击相邻的网络。

利用系统漏洞、后门的入侵:诸如操作系统、数据库系统、应用软件系统等的安全漏洞或“后门”不可避免地存在,很多的硬件系统在设计上也存在安全漏洞或后门,很多的黑客正是利用了这些漏洞的潜在隐患完成对系统的攻击。大量工具的存在和流传,使得入侵电脑系统变得容易,而不需要深入了解系统的内部结构。

窃听:这是很实用的黑客入侵方法,很多的黑客利用此方法入侵网络系统。这种方法是在网络节点之间、网络通讯线路上,通过信息传送的转发而实现的。

拒绝服务攻击:通过使用户的服务计算机崩溃或把它压跨来阻止服务器继续提供服务。对于一个典型的TCP连接,用户向服务器发送一条信息请求认证,服务器进行确认,并将访问许可返回给用户,于是用户就可以访问该服务器。而在拒绝服务(DoS)攻击中,恶意用户向服务器发送多个连接请求,使其满负载,并且所有请求的返回地址都是伪造的。这样的过程重复大量地发生,造成服务器的过载而拒绝提供服务。这样的攻击很多,比如,Ping FloodingUDP FloodingSYN FloodingTear dropLAND攻击,电子邮件炸弹等等。

隐藏技术:每一台计算机都有一个IP地址,在登录时服务器可以根据这个IP地址来判断来访者的身份。而隐藏技术是通过提供一个假冒的IP地址骗取服务器的信任,实现非法登录。

特洛伊木马:最典型的做法就是把一个能帮助黑客完成某一特定动作的程序依附在某一合法用户的正常程序中,改变合法用户的程序代码。一旦用户触发该程序,那么依附在内的黑客指令程序同时被激活,这些代码往往能完成黑客指定的任务。这种入侵法需要有很好的编程经验,且要更改代码、要一定的权限,因此属于一种高级攻击手段,一般较难被网络管理员发现。

病毒:计算机病毒是一种程序,它通过在计算机之间的传播,感染所经过的每一个地方,这样的复制是通过附着在某一类文件中来进行的。病毒的特点:很强的感染性;一定的潜伏性;特定的触发性;很大的破坏性。黑客通过编程可以设计病毒程序代码。


 
·本月安全警报
 

                     病毒预报(12.20-12.26) 注意Worm_Zafi.d

  国家计算机病毒应急处理中心通过对互联网的监测,发现病毒Worm_Zafi.d。该蠕虫通过邮件和网络共享进行传播,并将自己伪装为圣诞节电子贺卡,发给用户。病毒还将自己伪装为新版的聊天工具 ICQ 2005 或 音频播放软件 winamp 5.7 放到共享目录中,诱使用户打开。用户运行后,会弹出一个对话框故意报告压缩包损坏,以麻痹用户。病毒会在感染机器上开启一个后门,供远程黑客控制。

病毒名称:Worm_Zafi.D
其他病毒名:W32/Zafi.d@MM (McAfee)


W32.Erkez.D@mm(Symantec)
WORM_ZAFI.D(Trend Micro)
Worm.Zafi.d(金山)
I-Worm.Zafi.d(瑞星)
I-Worm/Zafi.d(江民)

感染系统:Windows 2000, Windows 98, Windows Me, Windows NT, Windows XP
病毒特征:

1、生成病毒文件
    病毒运行后在%System%目录下生成Norton Update.exe和C:\s.cm。(其中,%System%为系统文件夹,在默认情况下,在Windows 95/98/Me中为 C:\Windows\System、在Windows NT/2000中为C:\Winnt\System32、在Windows XP中为C:\Windows\System32)病毒还会将自己复制在%System%目录下,名为{随机字符}.dll 文件。病毒还会试图在任何包含字符「shar」的文件夹中建立本身的副本,副本名称为:winamp 5.7 new!.exe 、ICQ 2005a new!.exe。

2、修改注册表项
     病毒创建注册表项,使得自身能够在系统启动时自动运行,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中添加值"Wxp4" = "%System%\Norton Update.exe"。这样可以在每次开机时自动运行,文件名伪装为 Norton 的升级程序。同时,病毒还会在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\中添加Wxp4,把自身一些信息保存到注册表中的该键内。

3、通过电子邮件传播
    病毒电子邮件特征如下:
主题:为下列名称之一
Merry Christmas!
boldog karacsony...
Feliz Navidad!
ecard.ru
Christmas Kort!
Christmas Vykort!
Christmas Postkort!
Christmas postikorti!
Christmas - Kartki!
Weihnachten card.
Prettige Kerstdagen!
Christmas pohlednice
Joyeux Noel!
Buon Natale!

4、病毒运行
    当病毒发出的邮件被阅读或者共享驱动器中的文件被激活的时候,病毒就会开始运行。病毒在运行的时候会显示如下消息框:

为了避免轻易被检测或清除,该病毒会结束以下名称中包含如下字符串的进程:
msconfig
reged
task

5、后门功能
    该病毒还具有后门功能,它会打开TCP端口8181,允许远程用户对具有安全漏洞的系统上载文件。
手工清除病毒:

1、结束病毒进程
  打开Windows任务管理器,在 Windows 95/98/ME 系统上, 按下
CTRL+ALT+DELETE
在 Windows NT/2000/XP 系统上, 按下
CTRL+SHIFT+ESC, 并点击进程标签
在运行的程序列表中,找到下面的进程:
NORTON UPDATE.EXE ,结束该进程,即可。

2、删除病毒文件
  右击开始,点击搜索或寻找,这取决于当前运行的Windows版本。 在名称输入框中,
输入:Norton Update.exe和s.cm ,找到文件然后选择删除。

3、修改注册表
  打开注册表编辑器。点击开始->运行,输入REGEDIT,依次双击左边的面板中的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,找到右侧面板中"Wxp4" = "%System%\Norton Update.exe",并将其删除。
依次双击左边的面板,双击并删除下面的项目
HKEY_LOCAL_MACHINE>Software>Microsoft>wxp4

专家提醒:
1、由于邮件病毒的特征较为鲜明,信体内容为空或有简短的英文,并带有带毒附件。还是请用户了解病毒邮件的基本特征,并谨慎处理,尤其对邮件的附件,不要随便运行。

2、升级杀毒软件和防火墙,根据自身需求合理配置软件功能,同时开启实时监控功能,使病毒防护产品发挥最大功效保护系统安全。

3、在新年来临前,对系统进行全面的病毒清查工作,彻底排除病毒隐患。

 
·业界新闻-东软 产品荣誉

 

                  东软稳坐国内网络安全市场第一宝座
             东软NetEye防火墙以14.4%的市场占有率高居榜首

     近日,赛迪顾问最新发布的 2004 年第三季度中国网络安全产品市场分析报告显示,国内领先的网络安全解决方案提供商东软以 7.3% 的市场占有率,稳居网络安全国内外品牌第一的位置,其中在防火墙领域,东软以 14.4% 的占有率高居榜首,在入侵检测领域,东软新的 NetEye IDS 2.2 也得到广泛认可,以不俗的市场表现使东软首度闯入三甲,成为首家在防火墙和 IDS 两个领域都取得领先地位的软件厂商。东软 NetEye 系列网络安全产品自 2001 以来一直名列前茅,此次再获殊荣,标志着我国本土网络安全品牌在技术和市场上更加成熟,并成为国内网络安全产品的主流。

赛迪顾问的调查报告显示, 2004 年第三季度国内网络安全市场发展势头极为迅猛,与上一季度相比增长了 34.3% ,而比去年同期更是增长达 55.3% 。东软在第三季度举办了声势浩大的 NetEye 新品全国领跑大行动,重点在华南进一步扩大了 NetEye 防火墙等全线网络安全产品及解决方案的影响力。通过一系列巡展活动、行业研讨会等,东软切实解决了用户存在的实际问题,并直接推动了网络安全产品的市场销售。

5 月推出 NetEye IDS 2.2 新品之后,东软在第三季度也加大了 IDS 产品的推广力度。秉承东软所倡导的“全面关注网络健康”的管理理念, NetEye IDS 2.2 具有强大的攻击检测、网络内容恢复、网络应用审计、网络实时监控、网络主动扫描等功能,能与防火墙有效联动,为用户提供完善的网络安全解决方案。 NetEye IDS 创新的功能得到了用户的广泛认可,并直接提升了东软在 IDS 领域的市场排名。

东软自 1996 年涉足网络安全领域,短短几年即打造了具有广泛影响力的 NetEye 网络安全品牌,在多个产品领域都取得稳步的增长,市场地位不断提升。作为具有深厚技术积累的网络安全厂商,东软的发展眼光务实而长远。近期东软又强力推出了具有核心知识产权的新的 NP 架构防火墙,而且是对市场销售主流产品一步到位的替代,相信会进一步巩固东软在防火墙领域的领先地位,并对整个网络安全市场的走向带来深远的影响。

东软网络安全事业部总经理曹斌博士表示,东软在网络安全领域保持的领先地位,充分证明东软以客户为中心、以市场为导向的经营机制的成功。在安全与通讯日益融合的大趋势下,只有不断实现创新与突破,并以务实发展为用户带来实际利益的企业,才能始终走在市场的前列。东软将继续以领先的技术,给用户带来更优秀的网络安全产品,为国内用户的信息安全建设保驾护航。

 
·谭博士专栏

                    

分布式防火墙的策略制订

 
    上期我们介绍了分布式防火墙,本期我们继续讨论这个话题。
分布式防火墙是怎样保护对终端的访问的呢?其主要原因在于主机根据自身安全需求实施了安全策略。可是安全策略是由终端本身,还是其他设备制定、管理呢?常规来说,基于终端的安全策略目的是保护终端自身,由终端自己制定、管理策略更有针对性。如果另外设置一台设备用以定义、管理策略,既增加了复杂度,又增加了系统开销。
    可是,尽管终端对自己的意图很清楚,但用户并不都是计算机安全专家,所以,即便有安全策略供选择,但也多数用户情愿选择便利地网络共享,而简单设置或错误设置安全策略。所以,如果没有集中管理的安全解决方案能提供可靠的保护的安全机制,反而会给攻击者留下易受攻击的弱点,网络管理员也不能确保分布式防火墙执行代理能正确地阻止攻击者。
    如果策略由终端制定、管理,那么伪装成企业员工的入侵者、怀有不满即将调离岗位的员工或别有用心的内部用户只需修改主机的安全策略,他就可以通过预留的后门远程控制这台主机,窃取这台主机的信息也就变得易如反掌。
    所以,分布式防火墙的策略应当另外设置一个策略服务器,统一管理分布在企业中的所有安全策略。
   通过上述分析,我们不难得出这样的结论:分布式防火墙的工作原理是:统一制定、管理策略,在各终端分布执行。

 

 

谭博士信箱:txy@ultratech.com.cn    欢迎大家与我共同探讨安全问题