前言
本来实在不想写这篇文章,可是实在无法让人忍受。没想到学校校园网的安全状况居然这么差,其中最令人无可奈何地。还是管理员的素质和安全意识。
状况
回想起一年前,我无意中进入哈尔滨XX大学的Web服务器。这台服务器似乎是刚装好,全是默认的漏洞,我想可能是没有来得及配置吧,于是发信提醒管理员尽快做安全配置。然后离开了,一个星期后,我应朋友要求检测一台服务器安全性。由于没有得到授权,所以需要一台跳板,想到了哈尔滨XX大学的服务器。一去看,居然纹丝未动,赤裸裸的运行着,我用完后为了引起管理的注意修改了首页的title标签,更令我无法想象的是被修改过的页面居然能在google上搜索到,真是无比惊讶,后来再访问一次访问不了了,也ping不通了。看来关了,不知道什么原因,宁愿关也不愿配置一下,哪怕是装个防火墙也好啊。对服务器如此,内网可想而知。
我们柳州市有两所省重点,鉴于影响,全是用化名,一所是市里(下面简称市高)的,一所地区(下面简称地高)的,每年都有近300人重点,近600人本科,地高今年还得了9个清华,按理说电脑老师水平应该很高。可是不光对外服务器安全性差,内网的安全状况更是惨不忍睹。还有FTP服务器、MAIL服务器都存在一定的缺陷。什么原因?
地高的网站做得不错。看得出全站基于ASP+SQL,而且是自己写的程序,细心观擦源代码就可以发现不少过滤问题,只是简单的查看一些ASP文件运行的结果的HTML代码就可以看到表单有一些小问题,很容易让人执行跨站越权操作。FTP服务器是用IIS5.0的。还可以匿名登陆,不过现在好像弄好了。现在imail到7.xx版了,现在还用5.xx。
论坛用动网0109版本的,dispuser.asp有严重的语句过滤问题,使得攻击者可以执行跨站脚本获取任何论坛用户的密码,由于数据库没有加密。所有密码明文显示。聪明的人应该可以知道这意味着什么。我曾经就这个问题发信给管理员。管理员不自己去检测居然来问我要解决办法。悲哀……
更严重的还是内网的安全问题,在黑客软件横行霸道的今天,各种危险性的数据包满天飞,经常有人无故死机,利用设备名称解析漏洞更是无声无息。共享资源也暴露得过火,刚才所说的web服务器的web目录也共享出来,直接就可以把所有ASP文件要下来,当然,也找到了conn.asp文件里的sa用户名及密码,虽然无法连接,但的确开不了玩笑得,前段时间,有个同学无意中发现了老师电脑里的试卷。结果很多学生都乐此不疲东翻西找,后来简单的隐藏了网上邻居,没有发现人成功了,但其实要进入老师的电脑还是轻而易举。只是我不需要这样做。领导办公室、教务处的电脑里,学期计划,考试成绩,工资、学生评定等一览无余。有的还是任意读写,任何人知道了都会震惊。
机房本地安全做得不错,使用EXTRA硬盘还原卡,禁止注册表和控制面板里的所有选项,教学监控软件以前可以单纯的在开机前终止进程,后来软件采用再生技术,进程被杀会再生,程序被删会再生,甚至你改掉Program Files目录他也会再生一个完整的程序出来。有点像qeyes 潜伏猎手。(http:// www.sangel.net /bbs/dispbbs.asp?boardID=2&ID=1183)。结果没有人能逃脱老师的监视了,可是我还是畅通无阻。由此可见,还是非常不安全的,程序很优秀,系统本身很糟糕。可是管理员一向都自我感觉良好……
不久,在我的论坛上发现了市高的一个学生把进市高的服务器过程写了下来。(URL:http://www.sangel.net/bbs/dispbbs.asp?boardID=2&ID=1264)是在内部入侵的。居然还有二次解码漏洞,.printer远程溢出漏洞。看到这里,我就去市高的服务器上看看,结果令人大跌眼镜。既然不是我们学校的,我就不好透露什么,我只想提醒柳高的管理员尽快仔细检查自己的系统。即使装了防火墙也无济于事。
上面是我所了解的情况,其他学校也好不到哪里去。现况大家了解得差不多了,有什么感想呢?我总结了几点原因。
一、管理员素质极低,安全意识淡薄,水平普遍偏低。对于发出的信漠不关心。
二、web服务器和系统都没有经过细心的安全配置。
三、使用的程序的版本过低,漏洞明显,但又不采取任何补救措施。
四、没有严格的控制好各工作组之间的访问权限,也没有做好单机的防范工作。
五、管理员太依赖程序。自己却没有尽职。
解决方案
下面给出我认为行得通的一些解决方案,仅供参考。
A、对外服务器的安全问题
对外服务器通常是web服务器这是局域网的第一道关卡,由于经费、在线时间、管理等诸多原因,这台服务器肯定与内网相连,这样只要控制了该服务器,那么想获取内部任意一台电脑的资料也不是难事了。所以这台服务器至关重要,一定要精心的配置。如果不是专业网管,请参考网上的相关文章(URL:http://www.sangel.net/old/index.asp?classid=1&Nclassid=2)。
B、内部网的安全问题
要想解决局域网内部安全的问题,最基本的就是安装NT内核的操作系统,使用NTFS格式的分区。服务器可以使用Windows 2000 Server或Windows 2000 Advanced Server甚至UNIX或类UNIX系统。学生和教师机可以使用Windows 2000 professional,牢固的系统可以提高抵抗各种bomb的能力,还可以更好的控制权限,强健的密码机制让98无地自容。此外,还可以安装一些占用资源少的简单的包过滤防火墙。
C、学生机的安全问题
学校担心学生在电脑的种种错误操作而导致数据丢失、系统崩溃,因此安装各种硬盘还原卡、保护卡或者还原精灵。这对硬盘来说是种酷刑,而且增加了开支,其实充分利用NTFS分区的“安全”特性,就可以对硬盘进行良好的保护,因为目前为止,我还没有发现什么工具能冲破NTFS的保护。严格设置好各个分区、目录、文件的访问权限,效果比还原卡还要理想数倍。而且不损坏硬盘,还可以很好的限制下载等。难道管理员怕吃苦或是认为电脑是由学校出钱买的而不当回事?
D、内部管理问题。
对于IP,每台电脑仅有的一个网络标识,就像人的身份证一样,如果管理不好甚至被更改或盗用,可能导致那太电脑不能上网,而且现在每个学校基本上都是人工分配IP地址,费时费力而且页可能让学生修改,其实NT/2000就提供了DHCP(动态主机配置协议)服务,通过这个功能可以很好的解决IP的分配和盗用问题。如果不懂设置请看《使用DHCP服务巧妙固定IP地址》《如何解决校园网络中避免IP地址被盗用》,这两篇文章足以解决问题URL分别是
http://www.sangel.net/old/list.asp?id=437
http://www.sangel.net/old/list.asp?id=768
安全管理措施
下面再说说一些网络系统安全管理措施
A、任何操作系统都有漏洞,作为管理员就有责任及时的打上各种补丁(Patch)。为了将安全漏洞降低到最少,也为了系统能更加稳定的工作。
B、密码是首席看门官,大部分的攻击都是从截获或猜测密码开始的,一旦黑客成功进入,那么前面的防卫措施几乎就没有作用。因此对密码进行安全、有效地管理是管理员义不容辞的职责。
C、关闭不必要的服务、如果系统都使用NT内核系统就涉及到一个服务的概念,有的服务控制着一个端口的开与关,多一个不必要的服务就多一个威胁。这点也是需要注意的。
D、数据备份永远是最累人但最必要的工作,谁也不敢肯定错误操作、停电、硬盘损坏等意外事故什么时候发生。勤备份数据能给你减少数据丢失后的尴尬。
E、慎重选择好杀毒软件,病毒是个与大型网络形影不离的家伙,几乎每个大型的网络都有它的身影,2003年1月25日爆发的全球性SQL蠕虫病毒就是最好的警告。
F、合理利用安全工具进行检测,不要以为安全工具是入侵(攻击)者的专利,管理员比这些人更有权利使用它。扫描器能让你更好的了解系统出现的漏洞。嗅探器能更好帮帮你解决网络的一些实质性问题。所以你必须熟练运用他们。
解决方案和防护措施也是针对校园网而言,网络安全是一门艺术型的学问,只有不断挖掘和探索才能更好的管理和完善她。以适应不同的场合。
以上是我个人的观点,有不少错误望大家能指出。
