对于家庭用户和企业局域网/广域网用户来说,通过专用因特网连接的非授权访问,是最危险的、但是却很少被关注的弱点之一。尽管这一问题可能存在于多种操作系统和多种互联网连接类型,本文只关注于以数据订阅线路(DSL)或者有线调制解调器为基础的互联网服务上运行的Win9x系统。
逐渐清醒
对公众开放的的价钱可以接受的高速互联网服务的出现,使得许多传统的调制解调器接入用户放弃了这种接入方式。调制解调器接入,分配的IP是动态的,无形之中为未受保护的系统提供了一层安全保护层。用户们在享受高速网络优异性能的同时,开始逐渐关注由于有静态地址和全时连接所带来的安全问题。经常会有消息报道,连接互联网的家庭系统被邻居或者未知身份的人访问。
Win9x的开放性
Win9x的特性就是为了易于使用和共享信息而设计的(安全当然不是最优先考虑的方面)。其中的一个特性就是文件和打印机共享,使用了NetBIOS。不恰当管理的共享会受到用户局域网范围内的中等程度的威胁,但是如果连上了互联网,威胁的程度会迅速升高。DSL和有限调制解调器服务,会允许同一个网段的其他用户,只通过点击"网上邻居"就能访问他们的共享信息,许多共享都没有密码保护。一些恶意的行为,包括安装BackOrifice、Netbus或者其他类似的程序,都可以使所连接的别的系统安全性受到严重破坏,也就是说,能够与企业网络建立安全的远程访问会话。
DSL和有线调制解调器网络的特性
DSL和有线调制解调器网络在设计和配置上有很多的不同。两者之间最基本的区别是:DSL网络是交换式的,用户没有共享传输介质。用户有可能看到他们子网上的其他用户,但是所看到的流量仅限于资源广播。另一方面,有线调制解调器网络,可以被看成是局域网。许多用户可以共享共同的段,因此他们不仅能看到其他用户的资源广播,也能看到真实的数据流。但是事情并不总是这样,例如ISP可以采用类似于DOCSIS(有线服务的数据接口规范)的增强型过滤技术。用户必须注意的非常重要的一点,就是限制网络并不能保护系统不受攻击,用户必须自己采取措施来保证计算机的安全。
保护系统
保护一个时刻与互联网相连的Win9x系统,并不是那么令人退却的。应该重点考虑的方面包括:
确定文件和打印共享是不是真的需要,大部分家庭使用的系统不需要共享。建议解除NetBIOS和TCP/IP的绑定(这样有效的禁止了Windows(SMB)的文件和打印共享)
安装基于软件或者基于硬件的防火墙。不同的产品有不同的功能和性能。一些防火墙产品提供NAT服务(网络地址转换),非常适合多个用户共享一个互联网连接的情况。但是请注意:NAT并不提供防火墙服务!越来越多的个人防火墙产品可供使用。由于概念、方法和特性的不同,在选购产品之前,应该对自己的需求进行估计。
确信"受保护"的系统确实受到了保护。可以运行一些入侵测试工具来证明有效性。网络联合(Network Associates)的"网络警察(CyberCop)"似乎有点复杂,基于Web方式的"Shields UP!"(Gibson Research,网址:http://grc.com/default.htm) 也可以用来达到这一目的。
用户最好也能明白他们的互联网连接情况。可以联系ISP来询问连接的细节:UDP/TCP的137,138,139端口的流量是否被过滤,以避免偶然的Windows文件和系统共享?有线系统是否实行了DOCSIS?可以在接入点用网络嗅探器来分析网络流量的类型。(