組策略最容易引起誤解的是它的名字──組策略並不是將策略運用到組中去的方法!與之相反的是,組策略通過將組策略鏈接到活動目錄容器(通常就是組織單元,但也包括域和站點)對象而施行於個體或單獨用戶賬戶以及計算機賬戶。這裡的組策略對象,就是策略設置的集合。
雖然通過組策略來限制可移動設備並不是一個十分出色的網絡安全解決方案,因為一個已經安裝了存儲設備(如安裝了一個USB驅動設備)的用戶,可以繼續使用它。不過我們還是可以進行一些細微的設置,這些設置可以允許你通過設備的ID來限制特定的可移動存儲設備。
很難說哪一種安全威脅對你的網絡數據影響最大。由於幾個原因,我趨向於認為可移動存儲設備,特別是USB驅動設備,應該位於列表的頂部。原因1:USB儲存設備非常容易被忽略。第二個原因:有一個簡單的事實是,你可以將很大的數據(如多達4GB的數據)存儲到一個USB驅動器上,這也就意味著用戶可以將同樣大的應用程序帶到企業中。它還意味著用戶可以將多達4GB的數據從企業帶走。用戶可以訪問的任何數據都可以輕松地復制到這些驅動器上。而且USB設備本身體積很小,這使得用戶可以方便地將它帶入、帶出企業。
筆者曾與一些網管員談到USB儲存設備的安全風險問題。不過,這些網管員最通用的做法是禁用工作站上的USB端口。有一些較新的機器允許你通過BIOS禁用USB端口,不過大多數老機器並沒有提供這個能力。這種情況下,還有一種方案最常用,那就是用膠布將USB端口封住以此來阻止其使用。
雖然這些方法都可以起到一定的作用,不過,都有一些缺點。對於操作者來說,這些方法都是“勞動密集型的吧,也就是說太難於實施。另外一個問題是禁用USB端口並沒有徹底地解決用戶訪問可移動媒體的問題。用戶可以輕松地使用FireWire硬盤驅動器、可移動的DVD驅動器作為另外一種選擇。
在所有的這些方法中,最大的弊端就在於永久性地禁用USB端口會使用戶沒法使用USB設備並且使得這些端口不能被支持的用戶訪問。此外,偶爾也會有一些合法的理由使得USB端口應該可用。例如,有些工作需要用戶擁有一個連接到其PC上的USB掃描儀。
幸運的是,微軟的Windows Vista(還有其著名的Windows Server 2008 (Longhorn))一個重要目標就是就是給管理員控制工作站使用硬件的方法提供了更好的控制。現在我們可以借助於組策略來控制對可移動稿設備的訪問。
限制對USB存儲設備訪問的組策略設置目前只是在Windows Vista中可用。目前,這也就意味著你只能在本地計算機的層次上設置組策略。在Windows Server 2008發布之後,你就可以在域中、站點中或OU層次上設置這些組策略(當然,前提是你有一個Windows Server 2008的域控制器)。
本文針對入侵檢測系統的漏洞來了解一下黑客的入侵手法。一旦安裝了網絡入侵檢測系統,網絡入侵檢測系統就會為你分析出網上出現的黑客攻擊事件,而且你能用此入侵檢測系統的反擊功能,即時將這種聯機獵殺或阻斷。你也可以配合防火牆的設置,由入侵檢測系統自動為你動態修改防火牆的存取規則,拒絕來自這個IP 的後續聯機動作!這種美好的“前景,可能是許多入侵檢測系統提供商的慣用銷售手法,一般的企業或組織在建立自己的入侵檢測系統時也會有這種預期目的。誠然,入侵檢測系統可以具有很好的監視及檢測入侵的能力,也可以對企業或組織的安全提供很好的協助。但是,正如小偷的手法會隨著鎖的設計而不斷“更新一樣,隨著入侵檢測系統的出現,許多針對網絡入侵檢測系統的規避手法也隨之不斷“升級。如今,黑客對於入侵檢測系統已經有了一套較完整的入侵手法。下面我們將針對入侵檢測系統的漏洞來了解一下黑客的入侵手法。
一、識別方式的設計漏洞
1.對比已知攻擊手法與入侵檢測系統監視到的在網上出現的字符串,是大部分網絡入侵檢測系統都會采取的一種方式。例如,在早期Apache Web服務器版本上的phf CGI程序,就是過去常被黑客用來讀取服務器系統上的密碼文件(/etc/passWord),或讓服務器為其執行任意指令的工具之一。當黑客利用這種工具時,在其URL request請求中多數就會出現類似“GET /cgi-bin/phf?.....的字符串。因此許多入侵檢測系統就會直接對比所有的URL request 中是否出現/cgi-bin/phf 的字符串,以此判斷是否出現phf 的攻擊行為。
2.這樣的檢查方式,雖然適用於各種不同的入侵檢測系統,但那些不同的入侵檢測系統,因設計思想不同,采用的對比方式也會有所不同。有的入侵檢測系統僅能進行單純的字符串對比,有的則能進行詳細的TCP Session重建及檢查工作。這兩種設計方式,一個考慮了效能,一個則考慮了識別能力。攻擊者在進行攻擊時,為避免被入侵檢測系統發現其行為,可能會采取一些規避手法,以隱藏其意圖。例如:攻擊者會將URL中的字符編碼成%XX 的警惕6進值,此時“cgi-bin就會變成“%63%67%69%2d%62%69%6e,單純的字符串對比就會忽略掉這串編碼值內部代表的意義。攻擊者也可以通過目錄結構的特性,隱藏其真正的意圖,例如:在目錄結構中,“./代表本目錄,“../代表上層目錄,Web服務器 可能會將“/cgi-bin/././phf、“//cgi-bin//phf、“/cgi-bin/blah/../phf?這些URL request均解析成“/cgi-bin/phf,但單純的入侵檢測系統可能只會判斷這些request是否包含“/cgi-bin/phf的字符串,而沒有發現其背後所代表的意義。
3.將整個request在同一個TCP Session中切割成多個僅內含幾個字符的小Packet,網絡入侵檢測若沒將整個TCP session重建,則入侵檢測系統將僅能看到類似“GET、“/cg、“i、“-bin、“/phf的個別Packet,而不能發現重組回來的結果,因為它僅單純地檢查個別Packet是否出現類似攻擊的字符串。類似的規避方式還有IP Fragmentation Overlap、TCP Overlap 等各種較復雜的欺瞞手法。
二、“獵殺及重調安全政策的漏洞
所謂“獵殺,就是在服務器中設定一個陷阱,如有意打開一個端口,用檢測系統對其進行24小時的嚴密盯防,當黑客嘗試通過該端口入侵時,檢測系統就會及時地將其封鎖。網絡入侵檢測系統的“獵殺及重新調整防火牆安全政策設置功能,雖然能即時阻斷攻擊動作,但這種阻斷動作僅能適用TCP Session,要完全限制,就必須依賴重新調整防火牆安全政策設置的功能,同時也可能造成另一種反效果:即時阻斷的動作會讓攻擊者發現IDS的存在,攻擊者通常會尋找規避方式,或轉向對IDS進行攻擊。重新設置防火牆的安全政策,若設置不當,也可能造成被攻擊者用來做阻斷服務(Denial of Service)攻擊的工具:經過適當的設計,若網絡入侵檢測的檢查不足,攻擊者可以偽裝成其他的正常IP來源進行攻擊動作,入侵檢測系統若貿然限制這些來源的IP,將會導致那些合法用戶因攻擊者的攻擊而無法使用。論是識別方式的設計,還是所謂的“獵殺及重新設置防火牆安全政策的設置功能,都有其利弊。能夠實地了解入侵檢測系統的識別方式,或進行其識別手法的調整,將有助於提高入侵檢測系統運作的正確性。對“獵殺及重新調整防火牆安全政策設置功能工具的使用,則應仔細評估其效益與相應的損失,這樣才能有效地發揮網絡入侵檢測系統的功能。