防火牆對於網絡防范黑客來說好比是一個家庭中的防盜門,它的功效的確不小。但是,有了防盜門並不意味著你的家庭就徹底安全了,最簡單的例子就是防盜門沒上鎖,這樣一來防盜的作用自然無從談起了。還好生活中這種疏忽還不是很多。不過在防火牆的使用中這樣的簡單錯誤卻還不少。想想看如果你的防火牆開了個洞會是怎樣?
■接到傳呼 LAN遭黑手
經過近一年的努力,閩越終於出色地完成了本單位局域網的建設,並且這個頗有些特色的LAN在這所小城裡還引起了一場不大不小的轟動,其他單位那些CIO們紛紛組織各自單位的技術精英前來參觀學習。
當閩越將花了數周時間搞出來的方案交由領導審閱時,不菲的預算讓這位局長大人也眉頭緊蹙,尤其是其中“防火牆”一項更讓他大惑不解,“我們辦公樓的防火設施不是已經夠多了嗎,怎麼還需要另外為這個網絡建一堵防火牆,這牆是什麼材料做的,怎麼要花十多萬元?”
價值十幾萬的防火牆的保駕護航使閩越對這個局域網的安全性頗有信心,他甚至有把握將這個LAN直接掛接到Internet上,接受更為嚴峻的安全考驗,但考慮到局內員工的電腦水平,還是暫時將這一想法作罷了,因為雖然他自信這個LAN已然固若金湯,但難保局內員工使用時不會將特洛伊木馬之類的東西“宕”進來。因此,閩越僅將這個LAN與系統內其它地市局的網絡連了起來,並為單位做了一個主頁,使之成為介紹局內各科室分布及業務情況、科室間及系統內文件資料上傳下達的平台。然而,讓閩越始料未及的是,這個讓他傾注了不少心血的LAN恰恰就是在他最為得意的安全環節上出了纰漏。
絡繹不絕的參觀者稀落下來之後,閩越這天終於有空出去處理一下他多日積攢下來的一些瑣事,不想剛離開單位一會兒,就收到了傳呼,“單位有急事,速回!”開始他並不太在意,因為局內操作人員丁點兒小事就稱“急事”的事例早已讓他習慣了。不過這次似乎確有些異樣,傳呼一遍接一遍響個不停,閩越感到事態可能有些嚴重,就匆匆趕回了單位。
一進門,就有人迎上來,讓他快去看看單位主頁上怎麼出現了一些莫名其妙的東西,,是不是被“黑”了?
聽了這話,閩越懸著的一顆心反倒放了下來,心說“笑話!LAN上的網站哪有被‘黑’之說!肯定是浏覽器設置搞亂了,頁面出現了亂碼。”這種情況以往也有過幾次。閩越就半開玩笑地說,“沒什麼大不了的,我看看是怎麼一回事?”
浏覽器上顯示的畫面卻讓閩越倒吸了一口涼氣,半天回不過神來:主頁上單位辦公樓的照片被換成了一個骷髅樣的圖形,旁邊還有一行文字,“哈哈,沒想到吧?LAN我也能攻進來!”
閩越的頭一下子變大了,LAN內出現黑客絕對是他做夢也想不到的,這種僅在Internet才可能出現的事情竟會發生在他部署缜密的局域網中,是哪一個黑客,竟會對地處偏遠的一個小城的小小局域感興趣呢?
■初尋黑手未果
他沒有往內部職工方面想,因為他相信這個局內尚無人能夠有如此高的技巧可以攻破他設置的重重關卡。會不會是局內人引狼入室呢?想到這兒,他趕緊一路小跑著來到了位於辦公樓頂層的機房,打開了Web服務器上的日志文件,日志文件上並沒有留下任何痕跡,看來不像是局內人所為,那這位黑客究竟是何方神聖呢?照理說外界根本沒有侵入這個LAN內的可能,系統內其它地市的兄弟局雖可以訪問這個網站,但這些訪問均需經過防火牆過濾,並且防火牆似也無被攻破的可能。而且從動機上看,系統內人員進行這類攻擊的可能性也不會很大,除非這個人處心積慮地想要惹火上身。那麼,這個黑客到底來自何處呢?
整整一個上午,閩越也沒想出個所以然來,他下意識地關閉了WEB服務器,卻立即招致了下面科室的強烈抗議。他這才意識到這個網站已成為單位工作聯系的主渠道,暫時的關閉也已是不可能的,而且這也終非長遠之計,但在未找出安全漏洞之前,繼續開放網站會不會招致更大的損失呢?懷著僥幸心理,閩越只好先將被“黑”過的頁面改了回來,還好,這位黑客還算手下留情,僅改動了單位主頁,並未進行其它惡意破壞,所以,沒費多大勁,閩越就將網站恢復了正常。當天下午,在閩越提心吊膽地密切注視下,網站總算安然無恙,但在問題沒有搞清楚之前,他並未感到如釋重負,因為他深知這位黑客既然能夠攻進來一次,就會有第二次,一個黑客能夠攻進來,其他黑客同樣能夠攻進來,這個黑客雖還算“客氣”,沒有進行什麼惡意破壞,但難保其他黑客也能有如此“善心”。
■黑手猖獗 再次顯形
閩越的擔心不是沒有道理的,第二天上午10點左右,在機房裡忙於對各個環節進行徹底排查的閩越又接到了下面科室的一個電話,稱單位網頁又出現了奇怪的內容,閩越趕緊刷新了一下浏覽器,出現的情景幾乎讓他暈了過去,那個骷髅樣的圖形又大模大樣地出現在了屏幕上,旁邊的文字則變成了“我又來也!”
一連幾天,這種惡作劇式的攻擊每天10點左右准時出現,而且總是同樣的畫面,僅僅文字內容略有變更,並且每次閩越將其恢復正常後,當天也就安然無事了,直至第二天再上演同樣的一幕。所幸的是,這位黑客似乎尚無意進行惡意破壞,整個系統仍運作如常。更讓閩越暗自慶幸的是,這一事件是發生在參觀熱潮之後,如果正當有人參觀時出現這一幕,豈非尴尬之至?
不過,就是這樣也讓閩越煩透了,這些天,他甚至到了茶飯不思的地步,所有能夠聯系上的懂點網絡安全技術的同學、朋友甚至只有一面之交的同行及眾多安全廠商都被他電話騷擾了一遍,但仍一無所獲,得到的回答卻幾乎如出一轍:“照常理講,這種情況是不該發生的!”
這下讓他徹底沒了轍,只好每天一邊陪著這位黑客玩著這種貓捉老鼠式的游戲,一邊伺機尋找這只老鼠出沒的通道。
■原來是防火牆上開了個洞
這天,閩越到一個科室幫他們處理一個技術問題時,聽到一位工作人員正在很不耐煩地接聽一個電話:“我不是跟你說過了嗎,每天只有10點到11點傳數據,其它時間不開機!”說完就撂下了電話,並很不高興地嘀咕道,“都說過多少遍了,老是記不住!真是的!”
對10點這一時間段特別敏感的閩越聽到這話,心裡一個激凌,連忙趕過去問道,“你們10點傳什麼數據?”這位工作人員沒好氣地說,“什麼數據?還不是企業的那些報表資料?通知每天10點到11點傳,他們總是記不住!每天都要接幾個來問的電話,煩死了!”
閩越趕忙問用哪一台機器傳的,這位工作人員指了指旁邊的一台服務器,“喏,就是那台機器,省局剛配下來的,說要上一個大程序,現在只是用來接收企業數據和上傳匯總數據。”
閩越看到那台服務器上放了一台Hub,還有一台Modem,而且這個Hub除了連接了幾台客戶機外,還用網線連到了局內局域網的數據端口上,他頓時心裡有了一種撥開雲霧見青天的感覺,看來,多日一直讓他苦思不得其解的問題正是出在這台服務器上!
由於這個科室在局內地位較為特殊,與其它科室的聯系松散,因而一直處於一種相對獨立的狀態,其計算機設備也均是由上級局對應處室直接下撥並幫助安裝,所以通常情況下,閩越基本不插手這個科室的電腦系統管理。部署局域網時,也只給他們留出了一個數據端口就不再管了,不想就是這個數據端口竟搞得他這段時間日夜不得安寧!
這台可以撥號接入的服務器無異在防火牆上開出了一個後門,如果黑客將此作為跳板,防火牆當然就失去了用武之地,因為防火牆過濾的只是來自外部的訪問,內部數據流量可以自由來去。更讓閩越哭笑不得是這台Unix服務器的系統超級用戶竟沒有設口令!這就是說,處於全球任一角落的任一電腦用戶,僅靠一台電腦、一部Modem及一條電話線就可以很輕松地撥入這台服務器,並以超級用戶身份登錄,有這樣的後門存在,系統焉有安全可言!
閩越當即先行切斷了這台服務器與局域網的連接,並向這個科室說明情況後,設法將這台服務器隔離在了防火牆之外。自此之後,那只“老鼠”果然再也沒有出現過。