这已经变成了每日的事实:蠕虫和病毒不断地攻击我们的网络。根据SANS的报告,这个情况还会越变越坏。当法律在不断打击这些恶意的活动的时候,黑客们仍然在不断地写恶意代码,而且网络仍旧一直遭受着这些代码的危害。
根据你的操作系统和你运行的程序,会有成百上千的蠕虫和病毒都可以使你的系统遭受到侵害。以下是最近的有危害性的病毒:
W32.HLLW.Cebe: 这个蠕虫在KaZaa和iMesh文件共享网络里蔓延。
W32.Swen.A@mm: 这个电子邮件蠕虫使用它自己的SMTP驱动来进行传播。
W32.Sobig.A@mm: 这个蠕虫将它自己复制到所有能以.txt,.eml,.html,.htm,.htm,.dbx和.wab为后缀的文件中去。
W32.Blaster.Worm: 这个蠕虫病毒使用了DCOM的RPC漏洞,使用TCP的135端口。
一个公用的线程
在所有的病毒和蠕虫中,百分之九十九的病毒和蠕虫都对你的网络有危害性,它们都共享一个公用的线程:
* 在电子邮件服务中,它们需要一个附件
* 它们在公共的接口上进行操作
* 它们发现了一个弱点
* 让我们来看看你如何在这些方面增强你的系统。
附件安全性
所有值得在你网络上运行的电子邮件服务都有能力去剥夺有害的附件。有些通过SMTP完成,还有一些通过在主机上安全修复来实现这个保护。
如果你正在去除危险的附件,那么,在你的邮件网关处加病毒保护机制确实没有必要。你应该在用户们看到他们的邮箱之前去除所有可以的可执行代码(后缀为.vbs, .exe, .pif, .bat, 等等)。如果你想要阻止这些病毒,那么就阻止那些传播这些病毒的附件。
众所周知的端口
如果你阻止或者过滤了你的网络上输入输出端口(正像是UDP/TCP135通过了139和445端口),你可以通过破坏蠕虫的载体来阻止大多数蠕虫的传播。阻止有害的端口是一个永远不会终止的任务。
相反,只开通你网络需要操作的端口,阻止任何其它的端口。工作站产生了大多数的病毒并且不应该从英特网上接收一个端口连接。服务器从来都不应该接受一个从英特网上的低端口连接,除非它们都特别地提供了这个服务(例如,网络端口80,SMTP端口25,等等)。
众所周知的弱点
根据SANS的报告,大多的弱点都会存在长达两年之久。只有少量的弱点只存在少于六个月。
在声明弱点的存在到发布修复弱点的时间越来越短了。但是,还有一个事实,就是安装补丁包可以减少暴露给危险代码的弱点。声明缺陷的出现和发布修补方案的时间缩短意味着管理员对于修复安全漏洞必须反应迅速,通过工作区或通过使用补丁包。
最后的思考
病毒、蠕虫将继续侵害我们的网络。如果你希望防止这些病毒等的侵害,就可以阻止有危害的附件,过滤和阻止有害的端口和程序,并且给你的系统打补丁。法律不能总是保护你的网络??但是好的管理可以。
