用免费软件维护异构网络的安全（下）

另一个减少危险的手段是加密。 比如，使用telnet服务简直是让攻击者脚踩红地毯相同大摇大摆的进入（您的网络系统），或象您给了强盗商店的钥匙。不但他们能得到环境 数据，而且能得到明明白白的文本形式的password：这也太爽了，不是吗？ 相应地，您能够自在地在那些”不安定”的协议下使用ssh（或直接使用他）。假如您必需（？）使用 telnet，您能够在选择一个安全的联接。这就是说把telnet的端口重定位到一个安全的端口上。 假如您想得到更多信息能够参考：这篇名为”通过隧道”的文章 ( ../../English/May2001/article202.shtml). （免费广告！）

好了，我们是想提高系统安全，现在回过头来检查我们的工作。为了做到这一点，让我们变成”黑客”，我们将使用他们的工具。恶心，是吗？在这个领域，也有一个很棒的工具的组合，我们随意的选择其中２个：nmap和nessus。这里可没有重复。比如说，第二个就需要第一个的支持。这些工具是端口扫描工具，nessus还远胜于此。Nessus能够报告给您系统的弱点，而且把扫描结果和弱点数据库进行对比。在网络中运行这些工具使得您能够得到每个主机的弱点，无论什么操作系统。这些工具得到的结论很有实际的意义，所以这些工具要必备。您能够在以下网址找到nmap和nessus： http://www.insecure.org， http://www.nessus.org.

在文章的开始我们讨论过一些联接外部网络的局域网的安全问题。这和一个因特网服务提供商的情形会有很多的不同并且我们不会在这个问题的上深入讨论。当然我们提到的依然有效但是您需要更精细的手段，比如VPN（虚拟私人网络），LDAP作为认证手段（打比方）等等。这几乎是另一个主题了因为他涉及到的东西有更多的约束条件。请千万不要提到电子商务网站，这些网站是不考虑安全隐患的。但是他们总是说自己的网站是安全的！不要告诉我...您已通过因特网发送了您的信用卡的卡号了。假如是，您的勇气可嘉。建言：假如您会法文能够看一下这个网站： http://www.kitetoa.com, 这很值哦。

系统特别性的考虑

我们已提过系统安全在敌人面前的表现是不相同的。有些有很好的能力但另一些没有。有点荒谬的，自由的操作系统是很好的。不同的BSD(OpenBSD, NetBSD,FreeBSD...)，不同的Linux在安全面走在别的系统的前面。当然，这归功于免费软件社区的伟大的工作。别的系统，即使有Unix的标签的，要差一点的。不是Unix的系统，那很糟糕。

任何这里提到的工具都在任何的操作系统里运转。大多数的专有的Unix系统也能够从中得益。无论如何，这些专有的操作系统大多数都有自己的工具。比如，在Solaris上有ndd and aset。因为传播的不广，Sun的系统不是个很好的安全的典范。

aset工具允许提高进入的权限的安全。aset提供３种保护等级：低，中，高。您能够在shell中运行他或在cron任务中起动他。在运行的网络中，事情总是变化的，在５pm是能够的在5.30pm是不能够的情形是有的。因此周期性的运行一些命令保持某种平衡的需要是有的。这就是aset由cron管理的原因。他总是每一小时或每３０分钟，或您想的任何时间，管理目录文档的进入权限...

ndd，允许改变IP栈的参数。比如他能够隐藏系统的fingerprints。一个被识别出的系统更容易受到攻击，因为入侵者知道从哪里”下手”会更容易。使用ndd，您能够改变最大段尺寸（MSS）。默认的情况下，Solaris2.6是５３６。命令ndd -set /dev/tcp tcp_mss_def 546,能够使MSS变为546。越高越好（也不能太多）。但是，Nmap能够找到这个弱点（值设的过大）。假如您运行Solaris，您能够自在的使用ndd。这里有很多的可选项：检查一下man帮助：

您能够使用IP Filter，一个包过滤工具。在以下的网址能够找到： ftp://coombs.anu.edu/pub/net/ip-filter.

涉及到Irix，情形又有不同！SGI（ex Silicon Graphics）如其名曰，是专用的图像设计的系统。安全不是他的关注的重点。小心没大错，应该强制性地提供工具减少危险。

ipfilterd在Irix中的发布中提供，但是在缺省情况下没有安装：您应该找到他！ipfilterd当然是个包过滤软件，这样您能够拒绝某人的访问。您能够在一个叫做ipfilterd.conf的文档中配置并且这里更有一点小奇巧。这个文档的字符比较奇特并且他不是空格和空行。假如您想让一个叫做mars的机器和一个叫做jupiter的机器（是SGI工作站的名子），您需要键入以下的命令： accept -i ec0 between jupiter mars.在这个机器中，文档没有被列举的是不允许进入jupiter的。更甚的是：假如您没有使用systune改变 ipfilterd_inactive_behavior的参数，没有人能够进入这台机器。很有效率，不是吗？这个参数的默认设为１，并且您应该使用systune -i ipfilterd_inactive_behavior 0 命令把他变成０。

另一个尽人皆知的事情是Irix有易个很”好”的易入侵性的东西，他是fam（文档变更监控器）。这个程式有一个很好的特性，在各个后台程式间通讯。比如，他能够使得文档管理器得到一个很漂亮的图标。很遗憾地，这里只有一件事情能够做的：关闭他！悲惨吧，但就要这么干。

为了结束Unix系统的讨论，让我们提一下QNX，他是很容易受到攻击的，但是您同样能够从免费软件中受益。Mac OS X也提供一些工具。

我们必需谈论一下在网络系统中绝对的参照物了：这就是孤独的NT4.0。维护他的安全简直是乌托邦的观点，当然Redmond的头头（和其他一些人）可不这么说。使用nessus模拟一次攻击，结果会使您遭碰到恶梦一般。只要NetBIOS处于激活状态，nessus会提供给您域中每台机器名和相应的用户名，包括管理员。答案是：干掉NetBIOS！对了，我们说过，没有NetBIOS就没有网络...您看着办吧。

nessus会很可爱的告诉您能够在空事务（就是使用空（NULL）用户名和空（NULL）密码）中以客户的身份登录。删掉他，那么...怎么办？怎么成了这个样子！

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!