《安全月刊》第十一期

 出刊:2005年5月26日 

南京优创科技有限公司
客户服务中心

服务电话:025-84808848

服务邮箱:service@ultratech.com.cn
 
本期导读:
|-业界新闻-东软Neteye出席2005黑龙江信息安全论坛
|-产品介绍-LANDesk 领航IT管理
|-最新病毒警报
|-防火墙技术的发展
|-工程师解疑空间-通过防火墙事件日志看网络安全
|-谭博士专栏


                                                东软Neteye出席2005黑龙江信息安全论坛

       “2005黑龙江信息安全论坛暨计算机信息安全研讨培训会于近日在北国冰城哈尔滨隆重召开。会议由黑龙江省网络与信息安全工作小组办公室、中国计算机报报社主办,东软网络安全作为冠名第一合作伙伴参加了此次盛会。来自黑龙江省政府主管部门领导、信息安全专家、各重点行业信息化工作者、信息安全服务厂商等,计100余位专业人士共聚一堂,从多角度,多方位研讨并阐述黑龙江政府以及中小企业信息安全的重要性以及未来发展方向,同时进行信息安全知识推广普及。
  会议围绕信息安全的应用与理念主题展开研讨,东软网络安全事业部总经理曹斌博士围绕信息安全应用 贵在务实可信题目发表了精彩演讲,曹斌博士充分表达自己对于信息安全的见解,他认为:首先网络安全问题是一个完整的过程,而不是一个孤立的事件。面对用户的需求,中国网络安全企业仍需继续以先进的技术和优秀的品质去赢得客户,把技术发展和产品创新作为市场的根本。其次随着网络技术的快速发展,各种对网络和信息造成威胁的病毒以及攻击手段也开始迅猛发展,这就更加要求网络安全厂商不仅要时刻关注网络攻击的最新动态,同时还要迅速地做出响应,在最短时间内拿出相应的解决办法。最后曹斌博士通过东软网络安全多年来取得的成就和成功经验和与嘉宾进行了分享与沟通,并为黑龙江信息安全工作的开展出谋划策,演讲得到了与会嘉宾的高度认可。  
    2005信息安全的更显突出,信息安全已成为国家、国防及国民经济的重要组成部分,各级国家政府和重点行业均提高了对信息安全的重视程度,倡导信息安全理念,普及信息安全知识也已成为全社会的工作重点。展望2005年,用户在网络安全方面将会更加关注两个问题:一是网络的持续可用性和性能方面的保障。尤其是企业用户,要求网络持续可用,性能方面有一个平稳的保障。并且,用户要求技术的进步和改进,要求产品不断地更新换代,这种趋势会越来越明显。因此东软网络安全将继续以务实可信的安全理念致力于为用户提供优秀的网络安全产品和专业化的网络安全解决方案,为中国的信息安全体系建设贡献超越智慧的应用技术及力量。
 

                    
                                 LANDesk 领航IT管理 

    当一个企业中有几台机器时,用户可能意识不到管理有多么重要,但当企业中的桌面、移动设备和服务器的数量达到成千上万时,单靠人力已经不可行了。同时各种软件和补丁更新换代速度加快,都对桌面管理提出了更高的要求。作为桌面管理领域的领导者,蓝代斯克(LANDesk)正是为解决用户这种IT管理的问题应运而生的如今LANDesk在桌面管理领域已经拥有20项专利,其解决方案管理着全球超过2亿5千万个节点,更是被IDC认为是系统和安全管理领域的领导者。
   LANDesk如今所提供的IT管理软件不仅仅包括桌面管理,还包括服务器管理和移动设备管理,将这些IT基础设施统一管理起来。LANDesk的产品特色还在于能提供统一的界面、统一的控制台和客户端以便于用户安装和使用,易用性好也是LANDesk一直引以为豪的。同时,LANDesk投入大量的人力物力开发安全管理产品,把越来越多的安全功能吸收到系统管理软件之中,其中包括补丁管理软件、清除间谍的软件以及防止信息泄漏的软件等。比如LANDesk 补丁管理器就能够迅速扫描系统,发现客户端是否有安全漏洞,并及时打上补丁,由于采用了LANDesk有专利技术的软件分发产品,所以能够快速地进行补丁分发,同时也不会增加太多的网络流量。
   IT系统管理有三个发展方向,一是朝向套件方向发展,如今用户已经完全可以选择使用单个产品实现多种管理功能;二是大型用户的CIO将会更加关注ROI(投资回报)的速度,LANDesk的优势正在于此,IDC报告显示,LANDesk产品的平均投资回报时间是76.2天;第三个趋势是系统管理与安全管理会更好地结合。这三个趋势也正是LANDesk努力的方向。
   如果您也想从容应对IT管理,请继续关注我们下一期对LANDesk产品的有关介绍。
             


最新蠕虫病毒蒙面客现形 可致用户隐私泄漏

  5月15日国家计算机病毒应急处理中心通过对互联网的监测发现,近期出现了一个新的蠕虫“蒙面客”(Worm_Wurmark.J)。
  这是一个常驻内存型蠕虫,它利用电子邮件进行传播。用户感染了该病毒后的典型症状就是不断地向外发送病毒邮件,更糟糕的是这个病毒具有击键记录功能,导致泄漏用户的隐私。
  该蠕虫除了间谍功能以外,还在附件的文件名上下了一番功夫,附件使用的文件名如:女孩们、爱情、音乐、照片、屏保等等,后面紧跟着一个假的doc,jpg,txt等扩展名,而在精心设计的多个空格后才是真的scr可执行文件扩展名。
  例如:“message.txt.scr”,如果用户不仔细看,会误认为是“message.txt”,一个纯文本文件,从放松了警惕,掉入病毒的圈套。
  病毒名称:Worm_Wurmark.J
  感染系统:Win9x/WinNT/Win2000/WinXP/Win ME
  病毒特征:
  1、生成文件
  蠕虫运行后,会在%Windows%目录下生成一个随机命名的自身拷贝文件,同时在目录%Windows%中生成一个随机命名的动态链接库(DLL)文件。(其中,%Windows%为操作系统的安装目录,通常为 C:\Windows 或 C:\WINNT)。
  2、修改注册表项
  病毒创建注册表项,使得自身能够在系统启动时自动运行,会在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中添加{蠕虫随机的文件名}=“{该文件名}”
  3、通过电子邮件进行传播
  蠕虫在被感染用户的系统内搜索多种扩展名的文件,找到电子邮件地址,并使用自带的SMTP向这些地址发送带毒的电子邮件。
  电子邮件格式如下:主题: (其中之一)details girls image love message music news photo pic readme resume screensaver song video
  另外,该蠕虫会在Windows系统文件夹中生成多个zip文件,用作病毒邮件的附件。这些附件如下:附件: (其中之一)details.zip girls.zip image.zip love.zip message.zip music.zip news.zip photo.zip pic.zip readme.zip resume.zip screensaver.zip song.zip video.zip
  4、其他功能
  该蠕虫具有击键记录功能,会将用户的击键内容保存到一个随机命名的DLL文件当中。
  此外,Worm_Mytob又出现了两个新变种分别是Worm_Mytob.EG和Worm_MytobED,这两新变种继承了它们以前的版本,都是驻留内存的病毒,并且通过网络共享和邮件进行传播,同时具有后门功能,连接IRC服务器,一旦连接成功,它就会监听来自远程恶意用户的命令,进行一些下载文件、执行文件、获取病毒版本、清除病毒、结束病毒和升级病毒等操作。
  病毒中心建议用户熟悉该蠕虫及变种的基本特征,谨慎收取电子邮件,仔细审阅邮件的附件,防止受到感染。
 


防火墙技术的发展

防火墙技术经过近几年的快速发展,产品概念和应用已经深入人心,这主要是由于防火墙作为网关设备,直接保护着内部网络免受外部非法访问的侵害,因此,用户需求急剧上升,从而促进了防火墙产品和技术的快速增长。从CCID对防火墙市场的统计来看,在2003年中国网络安全产品市场中防火墙占据了41.1%的市场份额,市场销售总额9.68亿元,2004年,防火墙产品占据中国网络安全产品市场43.7%的份额,市场销售总额达到15.25亿元,销售总额比2003年增长近58%。而在防火墙的市场份额中,大型企业又占据防火墙市场51.9%
  防火墙产品和技术中,将包过滤技术和多种应用技术融合到一起构成复合型防火墙是目前国内防火墙产品的一个特点,也是防火墙最近几年来发展的主流技术,作为一种技术,该类产品在今后许多年还会得到更为完善的发展。
  在防火墙的发展过程中,现有的X86普通工控机架构仍然占据了国内大部分的百兆防火墙市场,其主要原因是技术成熟、成本相对较低,至强服务器架构的防火墙由于其本身硬件具有较高的性能,因此已经被众多的厂商用作千兆防火墙的平台。而NP架构一直被业界认为是防火墙架构的最佳选择,从2003年使用的Intel 1200到现在主流的Intel 2800(当然Inter 1200现在已经停产),虽然性能是提高了不少,但其仍然采用了国外技术,因此采用这种架构只能使用于电信、银行、企业等政府、军队行业,这从一定程度上对其产品的销售有一些冲击,当然,从产品的多元化来看无疑也是一条生路。至于其他防火墙技术,如分布式防火墙虽然在未来有发展的迹象,但未形成成熟的产品。
  以用户为导向,产品向高性能、多端口、高细粒度控制是防火墙未来发展的主要方向。一方面,在用户对高性能需求的驱使下,百兆防火墙的性能将会得到进一步的提高;另一方面,千兆流量的防火墙已经得到较快发展,它已成为高端市场防火墙系统中添加网络硬件加速器,将能有效提高其处理能力;而多端口的防火墙能为用户提供更好的安全解决方案,这种多端口技术也是防火墙技术发展的主要方向;当然高细粒度的控制无疑能够增加防火墙访问控制的作用。
  从目前防火墙技术来看,以下几方面将在今后得到进一步的发展。
  1、应用状态检测技术
  安全领域中长期依赖发挥最大作用的无非是状态防火墙,通过协议状态检测技术实现数据访问单向流动,从而有效地保护内部网络不受攻击。而对服务器,采取暴露端口的形式。随着应用的增多和对安全性要求的提高,对这种开放端口的服务器同样需要保护,在网络层状态检查的检查基础上需要扩展到应用层的状态检查,从而对暴露在网路中的服务器进行保护。这种趋势会带给产品一系列的应用层安全网关,比如Web安全网关,主意语音安全网关等专用协议网关。当然,其网络位置不必是整个网络的出口,只要在保护资源的通路上即可。目前的专有过滤网关就是这一趋势的一个表现。
  2、细粒度数据控制技术
  目前的数据控制是非常粗糙的,基于协议的简单过滤和复杂QoS,说简单一点是基于IP的。但是,借用传统电信的观点,所有的控制都是基于用户的。固网电话号码可以代表固定网的用户,移动网号码可以代表移动用户,而IP地址绝对不能代表IP网络的用户。虽然目前很多产品都是这样做的,但是总存在不能解决的问题。通过对用户认证功能的融合,网络设备,包括防火墙可以具备标识用户的能力;已经通过使用FPGA(目前这种方式在国内更加普及和现实)和NP,可以对用户数据进行细粒度控制。比如,可以实现针对哪些用户可以用QQ,哪些不能;一部分用户可以使用BT下载达到20K的速度,而一些用户可以达到5K的速度。传统的基于ACL的访问控制,流量控制等功能将被新技术逐渐所取代。
  3、分析产品整合
  在防火墙功能中,安全审计、IDS、安全探测、流量分析等进一步进行整合,通过统一的用户接口,界面的友好化和操作的自动化,不需要人工干预的自动定期分析等功能是防火墙发展的另一特征,通过整合后的这种产品,将会为管理员提供更明确的网络诊断报告,让网管的安全工作变得简单而有效。
  4、安全技术融合
  传统的网络层安全技术,如NAT,状态防火墙,VPN将不再作为热点的专有设备,网络中路由器,交换机性能的提升和硬件构架的换代将直接提供网络层的安全功能,传统意义上的防火墙功能将集成在路由器中。而另一方面,随着协议和接口的统一,原来防火墙完全也可以占据路由器或者交换机的位置。例如思科把原来一款支持硬件安全插卡的交换机全部插上安全模块,这就是思科的高端防火墙。交换、路由、安全的融合是近两年以通信厂商为主提出的技术融合。但是,从这种安全技术的特点来看,网络设备厂商将变为安全厂商,而安全厂商通常不会变为网络设备厂商,如华为和思科就是目前最具代表性的厂商。那么传统的安全厂商到底如何发展呢?从目前状况来看,以NetScreen为代表的把自己融合进网络设备厂商是一种发展状况;以Fortinet为代表的向安全的新领域――业务安全(而不是网络安全)进军的是另一个状况;而第三种就是组建安全联盟,形成一个大的安全体系,自己是其中一个基石,这种例子不用再列举。因此也可以说安全技术的融合必然会引起防火墙产品的新一轮竞争。
 


通过防火墙事件日志看网络安全

防火墙防火墙事件日志是所有防火墙当前正在通过的信息,其中会保存系统收到的各种不安全信息的时间、类型等等。通过分析这些日志,可以发现曾经发生过或正在进行的系统入侵行为。

防火墙日志并不复杂,但要看懂它还是需要了解一些基础概念(如端口、协议等)。尽管这种防火墙日志不一样,但在记录方式上大同小异,主要包括:时间、允许或拦截(Accept或Block)、通讯类型、源IP地址、源端口、目的地址和目的端口等。本文将以东软防火墙事件日志为例,让大家了解如何分析防火墙日志,进而找出系统漏洞和可能存在的攻击行为。
  东软防火墙事件日志会把所有不合规则的数据包拦截并记录到日志中,通过对防火墙事件日志的分析可以有针对性的防范网络的攻击。

 1.139、445端口攻击
  来自于局域网内的某台电脑正大量的访问外部网络的139、445端口时,或未经允许的外部某IP试图连接内部某电脑的139、445端口时,但该操作未能成功执行。表明内网可能有蠕虫病毒或外网有攻击企图。
  139、端口是NetBIOS协议所使用的端口,在windows NT以后的版本中新增加了445端口的开放。在安装TCP\IP协议的同时,NetBIOS也会被作为默认设置安装到系统中。139端口的开放意味着硬盘可能会在网络中共享;网上黑客也可通过NetBIOS知道你的电脑中的一切!

解释:NetBIOS”是网络的输入输出系统,尽管现在TCP\IP协议成为广泛使用的传输协议,但是NetBIOS提供的NetBEUI协议在局域网中还在被广泛使用.

尽管在东软防火墙的监控下,此隐患并没有被利用。但我们不能无动于衷,应想办法把这个漏洞补上。对于连接仅到互联网上的机器,NetBIOS完全没有用处,可以将它去掉。
   那么如何知晓这个来源地址的行为呢?如果是一个远程地址,有可能是对方在用软件进行扫描或是病毒的攻击,如果是在局域网内向外的连接,且上机人员未用软件攻击,则可能是电脑中了蠕虫病毒。要对相应电脑做杀毒处理。

 2.80端口FIN攻击
  在东软防火墙事件日志中,如果你收到从某IP到某IP的80端口TCP的FIN攻击时,通常有两种情况。第一种情况:如果防火墙作为网桥模式置于路由器与外部网络之间,且路由器做了内到外的NAT转换,源IP为内网IP目标IP为外网IP时,则可能为正常情况。因为大量内网IP经过NAT转换为相同IP地址对外网访问时,由于防火墙的内核检测规则同一IP在1秒内最大连接不能超过50个,超过50个则会被视为攻击行为。第二种情况:除了上一种情况外,其他情况大多数都可能为攻击行为。

 3.ping探测攻击
  在东软防火墙的事件日志中还会记录某些用户持续进行ping攻击。在排除了人为进行的ping之外,要注意可能是来自于源地址机器中有类似于“冲击波”等病毒在作怪。因此,对于源地址机器来讲,刻不容缓的事情就是要安装微软的“冲击波”补丁。
  最后要特别说明的是,不是所有被拦截的数据包都意味着有人在进行攻击,病毒或一些极端情况中防火墙也会对某些数据包进行拦截并报警。

        工程师信箱:service@ultratech.com.cn   欢迎大家与我一起交流技术方面的问题。       
                        
 

  
                                            谁在窃听?

Internet的爆炸式增长给我们管理日常活动的方式带来了革命性的变化,比如政府、商业、医疗、教育、环境等等。它使电子商务、电子银行,甚至电子政务成为可能。Internet现象加速了向人类的一个新时代――信息时代――发展的步伐。这种技术的发展也有它的负面作用。Internet遭遇了在计算机系统、网络上的安全事件和攻击的空前的增长。另外,利用大量的基于Internet特别是TCP/IP协议的弱点而设计的工具和技术,攻击事件大量增长。在这些工具中,sniffer是一个代表。
  sniffer本来是网络管理员进行管理的需要:进行故障分析以发现网络中存在的问题,例如判断链路是否已断开?主机是否可达?进行性能分析以找出网络瓶颈;入侵检测以发现外界入侵者;生成网络活动日志和安全审计等等。现在,它被用作危害系统安全的恶意手段。事实上,目前sniffer(嗅探器)作为一种被动方式的攻击工具,可以收集大量重要有价值的信息而不被网络的合法用户知道,从而产生非常严重的后果。事实上,被sniffer收集到的信息可能包括口令、e-mail消息、密钥和序列号等等。
  为了防范sniffer,可以采取如下措施:
  1.采用安全的通信线路;
  2.使用安全的网络结构;
  3.使用安全的网络协议;
  4.对重要数据进行加密;
  5.使用安全的操作系统;
  6.采用低辐射的设备,屏蔽措施;
  7.身份认证+数字签名;
  8.加强内部管理。
  防止sniff最有效的手段就是进行合理的网络分段,并在网络中使用交换机和网桥,在理想的情况下使每一台机器都拥有自己的网络段,当然这会使你的网络建设费用增加很多,所以你可以尽量使相互信任的机器属于同一个网段,使他们互相之间不必担心sniff的存在。并在网段于网段间进行硬件屏障。你也可以使用加密技术对你在网络中传送的敏感数据如户ID或口令,你的银行帐号,商业机密等进行加密,你可以选用SSH等加密手段。为了防止ARP欺骗,你可以使用永久的ARP缓存条目。总之在了解了上面的攻击手段和原理后,可以采取针对性的防范措施。不过有盾必有矛,平时的安全意识才是最重要的。

                       谭博士信箱:txy@ultratech.com.cn    欢迎大家与我共同探讨安全问题
 

         请输入Email:  加入订阅 取消订阅