[cisco 网络安全]Cisco指导:网络安全的七大误解
【shitiku.jxxyjl.com--思科指导交流】
许多人对于自己的数据和网络目前有一种虚假的安全感;在边界安装了防火墙、在桌面上安装了防病毒和防间谍软件工具、使用加密技术发送和保存数据;此外,微软及各大安全公司不断增强安全工具和补丁程序……似乎可以松口气了,但果真如此吗?以下是有关安全的七大误解,不妨看看你的数据是否有你想象中的那么安全。
误解一、加密确保了数据得到保护
对数据进行加密是保护数据的一个重要环节,但不是绝无差错。jon orbeton是开发zonealarm防火墙软件的zone labs的高级安全研究员,他支持加密技术,不过警告说:如今黑客采用嗅探器可是越来越完善,能够截获ssl和ssl交易信号,窃取经过加密的数据。虽然加密有助于保护遭到窃取的数据被人读取,但加密标准却存在着几个漏洞。黑客只要拥有适当工具,就能够钻这些漏洞的空子。orbeton说:“黑客在想方设法避开安全机制。”
误解二、防火墙会让系统固若金汤
stevethornburg是开发半导体联网解决方案的mindspeed科技公司的工程师,他说:“许多人说:‘我们装有防火墙。’但防火墙功能再好,经过它们的ip数据痕迹照样能够被读取。”黑客只要跟踪内含系统网络地址的ip痕迹,就能了解服务器及与它们相连的计算机的详细信息,然后利用这些信息钻网络漏洞的空子。
如此看来,仅有防火墙和加密显然不够。网络管理员不仅要确保自己运行的软件版本最新、最安全,还要时时关注操作系统的漏洞报告,时时密切关注网络,寻找可疑活动的迹象。此外,他们还要对使用网络的最终用户给出明确的指导,劝他们不要安装没有经过测试的新软件,打开电子邮件的可执行附件,访问文件共享站点、运行对等软件,配置自己的远程访问程序和不安全的无线接入点,等等。
thornburg说,问题在于,愿意投入财力和人力来保持安全的公司寥寥无几。他说:“它们知道这么做不会受欢迎,因为这会降低工作效率。成本是主要的问题,因为这些公司都关注成本底线。”
误解三、黑客不理睬老的软件
一些人认为,如果运行老的系统,就不会成为黑客的攻击目标,因为黑客只盯住使用较为广泛的软件,而这些软件的版本要比我们自己正在用的来得新。
事实并非如此,johannes ullrich说。他是安全分析和预警服务机构——sans因特网风暴中心的首席技术官,这家机构负责发布有关安全漏洞和错误的警告。他提醒,对黑客来说,最近没有更新或者没有打上补丁的web服务器是一个常见的攻击点。“许多旧版本的apache和iis(因特网信息服务器)会遭到缓冲器溢出攻击。”
如果存储空间处理不了太多信息,就会出现溢出,从而会发生缓冲器溢出问题。额外信息总会溢出到某个地方,这样黑客就可以利用系统的漏洞,让额外信息进入本不该进入的地方。虽然微软和apache.org在几年前都发布了解决缓冲器溢出问题的补丁,但还有许多旧系统没打上补丁。
误解四、mac机很安全
许多人还认为,自己的mac系统跟老系统一样,也不容易遭到黑客的攻击。但是,许多mac机运行微软office等windows程序,或者与windows机器联网。这样一来,mac机同样难免遇到windows用户面临的漏洞。正如安全专家cigital公司的cto gary mcgraw所说:出现针对win32和os x的跨平台病毒“只是迟早的事”。
mac os x环境也容易受到攻击,即便不是在运行windows软件。赛门铁克公司最近发布的一份报告发现,2004年查明mac os x存在37种漏洞。该公司警告,这类漏洞可能会日渐成为黑客的目标,特别是因为mac系统开始日渐流行。譬如在2004年10月,黑客编写了名为opener的一款脚本病毒。该脚本可以让mac os x防火墙失效、获取个人信息和口令、开后门以便可以远程控制mac机,此外还可能会删除数据。误解五、安全工具和软件补丁让每个人更安全
有些工具可以让黑客对微软通过其windows update服务发布的补丁进行“逆向工程”(reverse-engineer)。通过比较补丁出现的变化,黑客就能摸清补丁是如何解决某个漏洞的,然后查明怎样利用补丁。
marty lindner是卡内基梅隆大学软件工程研究所计算机紧急响应小组协调中心的事件处理小组负责人,他说:“如今开发的新工具都围绕同一个基本主题:扫描寻找漏洞。对因特网进行扫描,详细列出易受攻击的机器。所开发的工具假定每台机器都容易遭到某个漏洞的攻击,然后只需运行工具就是了。每个系统都有漏洞;没有什么是百分之百安全的。”
黑客普遍使用的工具当中就有google,它能够搜索并找到诸多网站的漏洞,譬如默认状态下的服务器登录页面。有人利用google寻找不安全的网络摄像头、网络漏洞评估报告、口令、信用卡账户及其他敏感信息。santy蠕虫和mydoom的新变种最近就利用了google的黑客功能(google hacking)。甚至已经开始涌现出了这样的网站,它们提供链接到介绍越来越多的google黑客手法的地方。
今年早些时候,mcafee公司发布了sitedigger 2.0工具的更新版,它有一些新特性,譬如可以查明某个站点是不是容易受到google黑客攻击。虽然这款工具的目的是供管理员测试各自的网络,但黑客也有可能利用该软件寻找任何站点存在的漏洞。
误解六、只要企业网络的安全没有被突破,黑客就奈何不了你
有些it部门拼命防护企业网络,却不料因为用户把公司的便携式电脑接到家里或者wi-fi热点地区等未受保护的网络连接,结果企业网安全遭到危及。黑客甚至可以在热点地区附近未授权的wi-fi接入点,诱骗用户登录到网络。一旦恶意用户控制了某台计算机,就可以植入击键记录程序,窃取企业vpn软件的口令,然后利用窃取的口令随意访问网络。
有时候,单单恐吓要搞破坏也会迫使公司就范,黑客甚至扬言要破坏网站、删除重要文件,或者把幼儿色情图片放到公司计算机上,从而对受害者进行敲诈。这已有过先例,据说,因黑客扬言要发动拒绝服务攻击敲诈钱财,英国有许多网上赌博站点一直在出钱消灾。
误解七、如果你为安全公司工作,数据就安然无恙
连据认为最安全的组织也有可能发现自己容易受到黑客的攻击。位于弗吉尼亚州费尔法克斯的乔治梅森大学是安全信息系统中心的所在地,向来不乏安全专家。但这个工作场所最近发现,黑客攻击了这所大学的主id服务器、往服务器中安装了搜寻其他大学的系统的工具后,32000多名学生和教职员工的姓名、社会保障号码以及照片在黑客面前暴露无遗。黑客可能通过没有防火墙保护的计算机潜入进来,然后植入了扫描工具,寻找闯入其他系统的口令。
这家大学立即采取了对策,关闭了服务器中的部分系统,用不同的id号取代了学生们的社会保障号码,防范身份失窃。校方还在允许计算机连接到其网络之前,先使用软件进行扫描;建立较小的子网,隔离存放有敏感数据的计算机;更加密切地监控整个网络的活动。
连一些国家的国防部门也不能幸免。它们只好不断部署新软件以防范新出现的漏洞,并且坚持采用经过实践证明可靠的安全方法。譬如说,加拿大国防部就使用vanguard integrity professionals公司的vanguard security solutions 5.3,保护所用的ibm eserver zseries大型机。这款软件包括采用双令牌的用户验证机制,可以同ibm用于z/os的资源访问控制工具(racf)配合使用。
加拿大国防部的racf中心管理员george mitchell说,他总是保持高度警惕,以防未授权用户获得访问系统的机会。除了使用监控工具外,他还要运用常识。“我会让某人打电话告诉大致情况。如果某人想更改口令,我会问几个问题,通过加密的电子邮件对该人进行答复。”
归根结蒂是需要始终保持谨慎。前不久,社会名流帕丽斯希尔顿(paris hilton)储存在t-mobile sidekick手机的资料被黑客公布到网上;choicepoint和lexisnexis两家公司为顾客保存的机密的信用信号被人窃取,这些事件表明,黑客采用的伎俩越来越五花八门。黑客在利用不断增多的漏洞时,手法越来越新奇,所以我们的任务就是随时关注最新工具和技巧,采取相应的措施自我保护。 许多人对于自己的数据和网络目前有一种虚假的安全感;在边界安装了防火墙、在桌面上安装了防病毒和防间谍软件工具、使用加密技术发送和保存数据;此外,微软及各大安全公司不断增强安全工具和补丁程序……似乎可以松口气了,但果真如此吗? 以下是有关安全的七大误解,不妨看看你的数据是否有你想象中的那么安全。误解一、加密确保了数据得到保护
对数据进行加密是保护数据的一个重要环节,但不是绝无差错。jon orbeton是开发zonealarm防火墙软件的zone labs的高级安全研究员,他支持加密技术,不过警告说:如今黑客采用嗅探器可是越来越完善,能够截获ssl和ssl交易信号,窃取经过加密的数据。虽然加密有助于保护遭到窃取的数据被人读取,但加密标准却存在着几个漏洞。黑客只要拥有适当工具,就能够钻这些漏洞的空子。orbeton说:“黑客在想方设法避开安全机制。”
误解二、防火墙会让系统固若金汤
stevethornburg是开发半导体联网解决方案的mindspeed科技公司的工程师,他说:“许多人说:‘我们装有防火墙。’但防火墙功能再好,经过它们的ip数据痕迹照样能够被读取。”黑客只要跟踪内含系统网络地址的ip痕迹,就能了解服务器及与它们相连的计算机的详细信息,然后利用这些信息钻网络漏洞的空子。
如此看来,仅有防火墙和加密显然不够。网络管理员不仅要确保自己运行的软件版本最新、最安全,还要时时关注操作系统的漏洞报告,时时密切关注网络,寻找可疑活动的迹象。此外,他们还要对使用网络的最终用户给出明确的指导,劝他们不要安装没有经过测试的新软件,打开电子邮件的可执行附件,访问文件共享站点、运行对等软件,配置自己的远程访问程序和不安全的无线接入点,等等。
thornburg说,问题在于,愿意投入财力和人力来保持安全的公司寥寥无几。他说:“它们知道这么做不会受欢迎,因为这会降低工作效率。成本是主要的问题,因为这些公司都关注成本底线。”
误解三、黑客不理睬老的软件
一些人认为,如果运行老的系统,就不会成为黑客的攻击目标,因为黑客只盯住使用较为广泛的软件,而这些软件的版本要比我们自己正在用的来得新。
事实并非如此,johannes ullrich说。他是安全分析和预警服务机构——sans因特网风暴中心的首席技术官,这家机构负责发布有关安全漏洞和错误的警告。他提醒,对黑客来说,最近没有更新或者没有打上补丁的web服务器是一个常见的攻击点。“许多旧版本的apache和iis(因特网信息服务器)会遭到缓冲器溢出攻击。”
如果存储空间处理不了太多信息,就会出现溢出,从而会发生缓冲器溢出问题。额外信息总会溢出到某个地方,这样黑客就可以利用系统的漏洞,让额外信息进入本不该进入的地方。虽然微软和apache.org在几年前都发布了解决缓冲器溢出问题的补丁,但还有许多旧系统没打上补丁。
误解四、mac机很安全
许多人还认为,自己的mac系统跟老系统一样,也不容易遭到黑客的攻击。但是,许多mac机运行微软office等windows程序,或者与windows机器联网。这样一来,mac机同样难免遇到windows用户面临的漏洞。正如安全专家cigital公司的cto gary mcgraw所说:出现针对win32和os x的跨平台病毒“只是迟早的事”。
mac os x环境也容易受到攻击,即便不是在运行windows软件。赛门铁克公司最近发布的一份报告发现,2004年查明mac os x存在37种漏洞。该公司警告,这类漏洞可能会日渐成为黑客的目标,特别是因为mac系统开始日渐流行。譬如在2004年10月,黑客编写了名为opener的一款脚本病毒。该脚本可以让mac os x防火墙失效、获取个人信息和口令、开后门以便可以远程控制mac机,此外还可能会删除数据。
本文来源:https://shitiku.jxxyjl.com/sikezhidaojiaoliu/50523.html
-
cisco 认证_我的CISCO认证学习笔记总结详细阅读
第1章 故障处理方法 一、网络的复杂性 一般网络包括路由、拨号、交换、视频、wan(isdn、帧中继、atm、)、lan、vlan、 二、故障处理模型 1、 界定问题(define the problem) 详细而精确地描述故障的症状和潜在的原因...
-
思科认证工程师|思科认证的36个热门考点详细阅读
1 enterprise campus包括四部分:campus infrastructure; network management; server farm; edge distribution modules。 2 layer 3 forwarding engine 的两张重要的表:fib...
-
[cisco 网络安全]Cisco指导:网络安全的七大误解详细阅读
许多人对于自己的数据和网络目前有一种虚假的安全感;在边界安装了防火墙、在桌面上安装了防病毒和防间谍软件工具、使用加密技术发送和保存数据;此外,微软及各大安全公司不断增强安全工具和补丁程序似乎可以松口气了,但果真如此吗? 以下是有关安全的七大误解,不妨看看你的数据是否有你想象中的那么安全。误解...
-
[锐捷交换机密码恢复]思科交换机密码恢复方法介绍详细阅读
交换机是网络常用设备之一,也是网络必备设备之一,作为网络的基础构件,它的安全性着实成为许多工程师及网管人员的首要关注点。 交换机在单位局域网中是必须使用的网络设备。 本人工作单位局域网中使用了15台cisco catalyst2950交换机。管理交换机是网络管理员的重要职责,为了提高...
-
【交换机snmptrap配置监控】CiscoMDS9000交换机配置、监控和排障详细阅读
简介 cisco fabric manager是一种基于web、易于使用的响应性应用,能够用集成式方法实现交换机和网络管理,从而简化存储局域网(san)中cisco mds 9000系列交换机的管理。cisco fabric manager能够为存储管理员提供网络级管理功能,包括识别、多交换机配置、...
-
dhcp故障转移|解读DHCP故障,提升网络运行效率之一详细阅读
在规模较大的局域网中,工作站的ip地址通常都是从dhcp服务器中动态获取得到的,这样可以有效地节省ip地址资源;不过在与dhcp服务器长期接触的过程中,我们或许会遇到各种与dhcp服务有关的网络故障,这些故障极大地影响了局域网网络的运行效率。有鉴于此,本文下面就对几则常见的与dhcp...
-
沃尔夫ccie实验室_CCIE实验室考试指南(4)详细阅读
lab 04 - time protocol using the diagram below configure network time protocol send_ntp will provide time to receive_ntp use your curre...
-
沃尔夫ccie实验室|CCIE实验室考试指南(3)详细阅读
lab 03 -frame relay and ipx tunneling (gre)scenario:given the following diagram, configure ipx on the ethernet links ofrouter_a and router_c only pro...
-
【ccie高级网络工程师】CCIE高手修炼秘诀之“独孤九剑”详细阅读
在80386的电脑上有一个叫笑傲江湖的游戏,国产的;剑宗的风清扬使出9招剑式,威力无比,号称独孤九剑,令狐冲练了之后,武功迅速大增;气宗的岳不群练了数30年的神功,其武功确是十分地烂。这跟我们学习ccie和互联网技术是相通的,我们的学员,自从来了我们实验室,便逐渐抛弃了练神功的修炼方法,专心练起了独...
-
[ccie学什么]CCIE的学习方法和能力定位之经验谈详细阅读
今天凌晨一点,踢完球回到实验室,下午要讲mpls,虽然已经很熟悉,但还是想看看有没有什么新思路,所以又作了一下课程准备,两点的时候准备回去休息了,去np课室巡查了一下,发现movie-time还没结束,最后排有个学员正看得津津有味,他刚才跟我们一起踢得很累,本应该早早休息,准备明天的实...