优创月刊

《安全月刊》第十二期

　出刊：2005年6月30日

南京优创科技有限公司
客户服务中心

服务电话：025-84808848

服务邮箱：service@ultratech.com.cn

本期导读：
	\|-用户培训通知
	\|-东软网络安全产品变更通知
	\|-产品介绍－LANDesk管理解决方案让复杂的IT系统管理简单化
	\|-最新病毒警报
	\|-工程师解疑空间-如何利用NetEye防火墙阻止Unicode漏洞攻击
	\|-谭博士专栏

培　训　通　知

尊敬的用户：
　　您好！
　　我司将在7月份与东软联合举办一次大规模的用户集中培训，凡在我司购买东软网络安全产品的用户均可参加，此次培训为免费培训，参加培训人员差旅费自行解决：我司将统一安排食宿，按300元/人/天收取食宿费用(开服务费发票）。
　　请有相关培训需求且未给我们回执的客户登陆我们公司的网站www.ultratech.com.cn下载《培训登记表》，填好后在7月10日前反馈给我们，我们将为您准备好相关培训教材及礼品。对培训合格的用户由东软颁发《培训合格证书》。
　　培训地点：南京国际会议大酒店
　　培训时间：7月20日至22日（三天）
　　培训课程及时间安排如下。

时间	课程名称	讲师	地点
2005-7-20上午8：30－11：30	签到（交费）
2005-7-20下午14：00－17：00	NetEye 防火墙产品培训	东软高级工程师　邰阳	君子兰厅
2005-7-21上午8：30－11：30	NetEye VPN产品培训	东软高级工程师　邰阳	君子兰厅
2005-7-21下午14：00－17：00	NetEye IDS产品培训	东软高级工程师　邰阳	君子兰厅
2005-7-22上午8：30－11：30	网络安全基础理论培训、信息安全管理培训	东软高级工程师　邰阳	君子兰厅
2005-7-22下午14：00－17：00	考核		君子兰厅

培训联系人：张花、夏冰晶　　　联系电话：025-84808848　　　传真：025-84827970
　

　　　　　　　　　　　　　　　　　　　　
请随时关注东软安全产品变更通知。

销售产品变更通知：
　　东软网络安全产品最新版本：NetEye防火墙FW4016-M和FW4032-M系列（VE、VI型号产品除外）产品均为NP机型、WEB方式管理、软件版本仍为3.2.1；FW4016-H和FW4032-H系列（VE、VI型号产品除外）产品均为NP机型、GUI方式管理、软件版本为3.2(A)；FW4016-H和FW4032-H系列所有VE、VI型号产品和其它系列防火墙产品均为X86机型、GUI方式管理、软件版本为3.2.1；入侵检测为2.2版本，SJW20网络密码机（NetEye VPN模块）。
　　军品防火墙产品4016和4032系列为NP机型，软件版本为3.2(A)，其它型号产品软件版本为3.2；IDS的版本为2.2。
　　产品型号、价格变更通知
　　东软网络安全产品报价表2005年5月版较东软网络安全产品报价表2004年12月版发生如下变化：
　　增加了FW4032-NP系列5端口产品和FW4016-NP系列4端口和5端口产品，此产品的主板为公司自主研制开发；另外军品4032和4016系列全部更改为NP机型产品；具体型号如下：
NetEye FW4016-NP-M-FE4
NetEye FW4016-NP-M-FE5
NetEye FW4016-NP-H-FE4
NetEye FW4016-NP-H-FE5
NetEye FW4032-NP-H-FE5
NetEye FW4032-NP-M-FE5
盾－JUN1.1 FW4016-NP-M-FE4
盾－JUN1.1 FW4016-NP-M-FE5
盾－JUN1.1 FW4016-NP-H-FE4
盾－JUN1.1 FW4016-NP-H-FE5
盾－JUN1.1 FW4032-NP-M-FE4
盾－JUN1.1 FW4032-NP-M-FE5
盾－JUN1.1 FW4032-NP-H-FE4
盾－JUN1.1 FW4032-NP-H-FE5

停止销售产品通知
FW4016和FW4032系列：所有X86主板的非硬件加密（即VI）的所有产品不再销售：
SG1000系列：所有SG1000系列产品不再销售；
具体停销产品型号如下：
NetEye FW4016-M-FE3
NetEye FW4016-M-FE3-VE
NetEye FW4016-M-FE3-VI
NetEye FW4016-H-FE3
NetEye FW4016-H-FE3-VE
NetEye FW4016-H-FE3-VI
NetEye FW4016-M-FE4
NetEye FW4016-H-FE4
NetEye FW4032-FE3
NetEye FW4032-FE3-VE
NetEye FW4032-FE3-VI
NetEye FW4032-FE4
SG1000-FE2
SG1000-FE2-VE
SG1000-FE2-VI
盾－JUN1 FW4016-M-FE3
盾－JUN1 FW4016-H-FE3
盾－JUN1 FW4016-M-FE4
盾－JUN1 FW4016-H-FE4
盾－JUN1 FW4032-M-FE3
盾－JUN1 FW4032-H-FE4

LANDesk管理解决方案――让复杂的IT系统管理简单化

在蓝代斯克全系列的产品和服务中，提供了您所需要的保证对您企业IT环境控制力的所有功能；提供IT专业人员所需的全面的集成解决方案，能够完全自动的完成系统管理任务以及主动的控制桌面、服务器和移动设备。即便是您工作中最复杂的方面：
　　
　　IT资产管理：跟踪您所有的IT资产，从软硬件到合同、协议甚至电话。使用实时健康监控解决方案自动发现管理硬件与软件资产（包括移动设备）。同时，也可以通过单一控制台报告状态及IT操作结果，并保证所有系统的可用性、安全性与配置管理。

　　远程控制/问题解决：通过我们提供的一系列强大的工具，包括实时系统信息、远程控制、双向文件传输、远程重启以及屏幕绘图工具等来降低支持帮助桌面的成本，同时使IT支持能够在第一时间，更快的解决用户问题。另外，您还可以扩展实时系统信息收集与远程诊断的功能，使IT支持在任何时间任何地点通过互联网安全的支持用户成为可能。

　　软件许可证监控：通过我们软件许可证监控功能使IT雇员能够发现软件的控制软件资产，降低软件许可证的成本、响应软件许可证审计。使用我们的解决方案，您可以监视软件的使用情况，可以收回或重新申请未使用的软件许可证，通过采购您真正需要的软件许可证数量来降低软件成本。

　　补丁管理：通过全面地、自动的漏洞评估和补丁管理可以在异构网络环境下实现和保持操作系统及应用程序的安全管理。您可以建立和保持操作系统应用程序的基线安全、稳定和性能。

　　服务器管理：通过操作系统与应用程序的介质准备、实时硬件健康监控、历史数据收集、预先错误分析与保护以及远程问题解决来提高服务器性能、可靠性、可用性。

　　软件分发：在桌面高效的安装和维护软件。通过全面的控制软件分发和配置管理流程，我们集成的程序包生成器、计划任务和应用程序策略将正确的软件包分发到正确的用户手中的过程变得更加容易，并且我们能帮助您在提高这些工作的效率的同时降低对网络带宽的影响。

　　操作系统镜像与迁移：现在，只要您计划好您的策略并通过简单的查询工具选择好目标，您就可以轻松的迁移用户和他们的配置信息到操作系统。我们的解决方案就能确保您只用最小的网络带宽，高效的利用您已有的资源而不需额外的服务器和重新配置路由器。
　

最新病毒警报

　　近期内频频出现了利用windows系统漏洞进行传播的蠕虫，如上周出现的蠕虫Bobax的一个新变种Worm_Bobax.P。它是一个常驻内存型的蠕虫，它利用电子邮件进行传播。重要的是该蠕虫可以利用Windows的LSASS的漏洞进行传播，同时会修改系统的HOSTS文件，阻止用户访问某些反病毒网站。因此，我们建议计算机用户立即对自己的操作系统进行漏洞检查，将一些重要的系统漏洞补丁（如LSASS、RPC补丁程序）及时下载安装到自己的机器中，以免受到蠕虫感染。
　　同时，一些网络攻击事件和计算机用户受到黑客木马入侵的现象有明显增多的迹象，还有感染蠕虫邮件的用户数量也有增多。我们建议计算机用户了解一些黑客木马及邮件蠕虫的基本特性，做好防护工作，免受侵害。
　　另外，利用各类即时通讯工具软件（如MSN、P2P等）为传播途径的病毒的数量日渐增多，目前很多个人和企业将即时通讯软件（如MSN）作为相互传递信息的重要手段，而把P2P软件作为文件交换的一个重要途径。但是，这些工具也被病毒编制者利用，作为目前病毒的重要传播手段。所以，用户在使用这些工具软件的时候要加小心，杜绝此类事件的发生。
　　据有关报道，MSN网站http://ilovemessenger.msn.com/，包含所谓的交叉网站脚本漏洞。这个网站主要为MSN信使用户提供表情、显示图像和背景等服务。攻击者可以利用这种漏洞点击一个恶意代码URL后获得用户的帐号中的cookies。cookies是用户存储在电脑中的小型文件，包含有用户的帐号和数据内容。由于MSN网站存在此漏洞有可能引起hotmail账户被黑客入侵，攻击者可从hotmail账户里窃取一些重要信息，导致用户信息失窃，给用户带来一定的损失。
　　微软在本周的时间里，连续发布了十个系统漏洞安全公告及相应的补丁程序，其中有七个是针对Windows操作系统的，在这里面又有一个安全级别定为“高危”。因此，在这里提醒计算机用户根据自己操作系统的情况立即下载安装这些漏洞补丁，谨防受到利用这些漏洞进行传播的病毒的感染。

专家提醒：

1、计算机一旦遭受病毒感染应首先断开网络（包括互联网和局域网），再进行病毒的检测和清除，避免病毒在更大范围内传播，造成更严重的危害。由于邮件病毒的特征较为鲜明，信体内容为空或有简短的英文，并带有带毒附件。还是请用户了解病毒邮件的基本特征，并谨慎处理，尤其对邮件的附件，不要随便运行。
2、提醒广大计算机用户升级杀毒软件，启动“实时监控”和“个人防火墙”，做好预防工作。
3、由于邮件病毒的特征较为鲜明，信体内容为空或有简短的英文，并带有带毒附件。还请用户了解病毒邮件的基本特征，并谨慎处理，尤其对邮件的附件，不要随便打开。
　

如何利用NetEye防火墙阻止Unicode漏洞攻击

　　一般来说，这种利用操作系统和Web Server本身的漏洞进行的攻击，其攻击成功与否从本质上说与是否安装了防火墙没有必然的联系！
　　Unicode漏洞攻击行为从表面上看是属于正常请求数据包，针对这种情况，一般的防火墙是不起作用的。但是，利用Unicode漏洞产生的攻击，给我们的用户造成了很多的麻烦，甚至一些安全知识比较欠缺的用户误认为防火墙有问题。这里，一方面需要用户提高自身的安全素质，了解攻击的原理，防火墙的作用等等，一方面需要依赖操作系统和应用软件厂商可以迅速的升级有漏洞的软件。
　　虽然Unicode漏洞是微软本身的安全问题，但是通过使用NetEye防火墙还是可以做到控制的。在仔细查看Unicode编码以后，可以看到英文版的WIN2000的编码是..％c0%af ,英文版的NT4编码是..％c1%9c,中文版的WIN2000是..%c1%1c等等。还有很多种编码这里就不一一列出了。接下来就该在我们的防火墙管理端进行相应的配置，来阻止这种攻击了。
　　针对中文版的Windows IIS服务器，可以在我们的防火墙HTTP内容过滤中添加URL信息，如下图1所示。
　　具体操作过程为：
　　添加 ..%c1，配置通配符出现在前或后，对此数据包进行阻断和报警。添加成功后，保存并在包过滤规则中应用HTTP内容过滤，在工程中选择该包过滤规则，保存并应用，这样就可以防护针对Unicode漏洞而产生的攻击。当然防火墙的这种保护措施是在不得已而采取的办法，经过实际测试，效果还是非常显著的。

图1 针对中文版WINDOWS配置

对应英文版的IIS服务器，配置的URL过滤改为 ..%c0 ,如图2所示。

图2针对英文版WINDOWS配置
　　另外，黑客在攻击之前，一般需要先找到具备攻击特征的服务器，他们大多利用一些扫描工具进行扫描，找到IIS服务器。针对这一点，我们可以从防火墙上将用户的服务器信息替换掉，使黑客找不到攻击的目标。
　　利用NetEye防火墙隐藏服务器信息的这个功能，不但可以防止Unicode漏洞，还可以防止很多其他的攻击，比如针对IIS服务器的.printer漏洞的攻击等等。替换服务器信息后，使外部攻击者看不到用户真正的服务器信息。
　　对于服务器信息，可以在HTTP内容过滤中，添加服务器信息替换，如图3所示。

图3 服务器信息替换

　　　　　工程师信箱：service@ultratech.com.cn 欢迎大家与我一起交流技术方面的问题。

　

网上911－美信用卡资料外泄事件的教训

　　据媒体报道，日前美国爆发信用卡资料处理公司CardSystems Solutions, Inc的4,000万笔信用卡资料外泄事件，堪称美国信用卡史上最大事件，其中VISA卡(威士卡)被盗2,200万笔，Master卡(万事达卡)被盗1,390万笔，还包括美国运通卡(American Express)与探索卡(Discover)，被盗的资料内容包括有信用卡号码、到期日及卡主姓名。虽说外泄部份主要是以美国区用户为主，但是其他区域一样受到波及，台湾地区区有1.6万名用户，新加坡与香港各约有1万名。

　　就万事达卡与VISA卡的官方说法，由于CardSystems违反处理程序，将持卡人的帐号与控制用安全内码储存在该公司电脑系统当中，当骇客入侵的时候，才会能取得信用卡号码与相关资料。

这起事件让人联想到2001年的911事件，它们都造成了非常严重的后果，并同时引起人们对于安全问题的深刻反省。实际上，这两件事情都不应该发生，如果我们一直保持足够的安全意识的话。

回顾这次事件，我们可以得到两个重要教训，第一，千万不要把重要数据直接放到线上（online）。第二，即使犯了第一个错误，作为补救措施，我们千万要记住，如果要放，至少也要加密了先。实际上，在VISA公司的众多安全条条中，加密乃是最重要的一条。如果CardSystems有点脑子，将数据进行了加密，即使丢了data，也不至于丢了face.

谭博士信箱：txy@ultratech.com.cn 欢迎大家与我共同探讨安全问题

　