通過防火牆來堵住VPN安全漏洞

　　安全問題是VPN的核心問題。目前，VPN的安全保證主要是通過防火牆技術、路由器配以隧道技術、加密協議和安全密匙來實現的，足以保證企業員工安全地訪問公司網絡。

　　但是，如果一個企業的VPN需要擴展到遠程訪問時，就要注意，這些對公司網直接或始終在線的連接將會是黑客攻擊的主要目標。因為，遠程工作員工通過防火牆之外的個人計算機可以接觸到公司預算、戰略計劃以及工程項目等核心內容，這就構成了公司安全防御系統中的弱點。雖然，員工可以雙倍地提高工作效率，並減少在交通上所花費的時間，但同時也為黑客、競爭對手以及商業間諜提供了無數進入公司網絡核心的機會。

　　但是，企業並沒有對遠距離工作的安全性予以足夠的重視：大多數公司認為，公司網絡處於一道網絡防火牆之後是安全的，員工可以撥號進入系統，而防火牆會將一切非法請求拒之其外；還有一些網絡管理員認為，為網絡建立防火牆並為員工提供VPN，使他們可以通過一個加密的隧道撥號進入公司網絡就是安全的。這些看法都是不對的。

　　在家辦公是不錯，但從安全的觀點來看，它是一種極大的威脅，因為，公司使用的大多數安全軟件並沒有為家用計算機提供保護。一些員工所做的僅僅是進入一台家用計算機，跟隨它通過一條授權的連接進入公司網絡系統。雖然，公司的防火牆可以將侵入者隔離在外，並保證主要辦公室和家庭辦公室之間VPN的信息安全。但問題在於，侵入者可以通過一個被信任的用戶進入網絡。因此，加密的隧道是安全的，連接也是正確的，但這並不意味著家庭計算機是安全的。

　　黑客為了侵入員工的家用計算機，需要探測IP地址。有統計表明，使用撥號連接的IP地址幾乎每天都受到黑客的掃描。因此，如果在家辦公人員具有一條諸如DSL的不間斷連接鏈路（通常這種連接具有一個固定的IP地址），會使黑客的入侵更為容易。因為，撥號連接在每次接入時都被分配不同的IP地址，雖然它也能被侵入，但相對要困難一些。一旦黑客侵入了家庭計算機，他便能夠遠程運行員工的VPN客戶端軟件。如果需要輸入密碼，可以遠程記錄對鍵盤的敲擊或者查看屏幕顯示，這樣黑客便可以看到員工所看到的一切。

　　因此，必須有相應的解決方案堵住遠程訪問VPN的安全漏洞，使員工與網絡的連接既能充分體現VPN的優點，又不會成為安全的威脅。在個人計算機上安裝個人防火牆是極為有效的解決方法，它可以使非法侵入者不能進入公司網絡。當然，還有一些提供給遠程工作人員的實際解決方法：

　　所有遠程工作人員必須被批准使用VPN.

　　所有遠程工作人員需要有個人防火牆，它不僅防止計算機被侵入，還能告訴你，連接被掃描了多少次。

　　所有的遠程工作人員應具有侵入檢測系統，來提供對黑客攻擊信息的記錄。

　　公司的IT小組應該為用戶建立家用系統，這樣，更容易發現系統的弱點，並能有針對性地堅固系統，而不是讓用戶自行購買、訂購系統產品。

　　在辦公室中實施的計算機管理辦法對遠程辦公人員應同樣有效。

　　監控安裝在遠端系統中的軟件，並將其限制只能在工作中使用。

　　公司的IT小組需要對這些系統進行與辦公室系統同樣的定期性預定檢查。

　　外出工作人員應對敏感文件進行加密。

　　安裝要求輸入密碼的訪問控制程序，如果輸入密碼錯誤，則通過調制解調器向系統管理員發出警報。

　　外出工作人員應記住不要將計算機單獨放在旅館的房間裡或車上，不要讓已通過VPN進入公司網絡的計算機離開你的視線。

　　外出工作人員應使計算機具有多級安全防護，如屏幕鎖定或啟動密碼。

　　當選擇DSL供應商時，應選擇能夠提供安全防護功能的供應商。

　　新華網北京5月4日電　一個名為“線上游戲竊取者變種NBQ(Trojan.PSW.Win32.GameOL.nbq)”的病毒本周特別值得注意，它使用“木馬下載器”進行傳播。木馬下載器會從網上下載該病毒的數十個變種，一起發作，可竊取多款流行網游的賬號、密碼、裝備等，竊取游戲

　　密碼後發送給黑客指定的網址，使線上游戲玩家的利益嚴重受損。因此，瑞星反病毒反木馬一周播報(2008年5月5日至5月11日)將其列為本周關注病毒，警惕程度為★★★。

　　“線上游戲竊取者變種NBQ”病毒由木馬下載器下載多個變種，病毒互相守護，難以徹底清除。病毒運行後會在System32路徑下釋放病毒文件ayTQQTQQ1011.exe和ayTQQTQQ1011.dll，改寫注冊表項，實現開機自啟動。病毒會把動態庫注入到Explorer.exe進程中並查找是否存在游戲進程，當找到游戲進程時，就會把自己注到游戲進程中，獲取用戶輸入的賬號密碼，並發送到指定的網址。運行完畢之後，該病毒還會刪除自身，逃避殺毒軟件的查殺。

　　對此，專家建議用戶：1、養成良好的上網習慣，不打開不良網站，不隨意下載安裝可疑插件。2、開啟Windows安全中心、防火牆和自動更新，及時安裝最新系統補丁，避免病毒通過系統漏洞入侵電腦。3、安裝殺毒軟件2008版升級到最新版本，定時殺毒並開啟實時監控功能，防止病毒感染計算機。4、定時設置系統還原點和備份重要文件，並把網銀、網游、QQ等重要軟件加入到“賬號保險櫃”中，這樣就可以防止病毒竊取自己的游戲賬號、密碼等私人資料。

　　入侵檢測系統（IDS）檢查所有進入和發出的網絡活動，並可確認某種可疑模式，IDS利用這種模式能夠指明來自試圖進入（或破壞系統）的某人的網絡攻擊（或系統攻擊）。入侵檢測系統與防火牆不同，主要在於防火牆關注入侵是為了阻止其發生。防火牆限制網絡之間的訪問，目的在於防止入侵，但並不對來自網絡內部的攻擊發出警報信號。而IDS卻可以在入侵發生時，評估可疑的入侵並發出警告。而且IDS還可以觀察源自系統內部的攻擊。從這個意義上來講，IDS可能安全工作做得更全面。今天我們就看看下面這五個最著名的入侵檢測系統。

1.Snort：這是一個幾乎人人都喜愛的開源IDS，它采用靈活的基於規則的語言來描述通信，將簽名、協議和不正常行為的檢測方法結合起來。其更新速度極快，成為全球部署最為廣泛的入侵檢測技術，並成為防御技術的標准。通過協議分析、內容查找和各種各樣的預處理程序，Snort可以檢測成千上萬的蠕蟲、漏洞利用企圖、端口掃描和各種可疑行為。在這裡要注意，用戶需要檢查免費的BASE來分析Snort的警告。

2.OSSEC HIDS：這一個基於主機的開源入侵檢測系統，它可以執行日志分析、完整性檢查、Windows注冊表監視、rootkit檢測、實時警告以及動態的適時響應。除了其IDS的功能之外，它通常還可以被用作一個SEM/SIM解決方案。因為其強大的日志分析引擎，互聯網供應商、大學和數據中心都樂意運行OSSEC HIDS，以監視和分析其防火牆、IDS、Web服務器和身份驗證日志。

3.Fragroute/Fragrouter：是一個能夠逃避網絡入侵檢測的工具箱，這是一個自分段的路由程序，它能夠截獲、修改並重寫發往一台特定主機的通信，可以實施多種攻擊，如插入、逃避、拒絕服務攻擊等。它擁有一套簡單的規則集，可以對發往某一台特定主機的數據包延遲發送，或復制、丟棄、分段、重疊、打印、記錄、源路由跟蹤等。嚴格來講，這個工具是用於協助測試網絡入侵檢測系統的，也可以協助測試防火牆，基本的TCP/IP堆棧行為。可不要濫用這個軟件呵。

4.BASE：又稱基本的分析和安全引擎，BASE是一個基於PHP的分析引擎，它可以搜索、處理由各種各樣的IDS、防火牆、網絡監視工具所生成的安全事件數據。其特性包括一個查詢生成器並查找接口，這種接口能夠發現不同匹配模式的警告,還包括一個數據包查看器/解碼器，基於時間、簽名、協議、IP地址的統計圖表等。

5.Sguil：這是一款被稱為網絡安全專家監視網絡活動的控制台工具，它可以用於網絡安全分析。其主要部件是一個直觀的GUI界面，可以從Snort/barnyard提供實時的事件活動。還可借助於其它的部件，實現網絡安全監視活動和IDS警告的事件驅動分析。