即时通信(Instant Message)已经被越来越多用户使用,在给人们带来廉价、快捷和方便的同时,也给网络带来了新的安全隐患。这个,您知道吗?
一、漏洞与对策
即时通信给网络带来了哪些安全漏洞呢?面对漏洞,弃之不用不是良策。那么,我们又该怎么办呢?
漏洞1:防火墙形同虚设
大多数即时通信软件都可以绕过防火墙(比如MSN可以通过ENAT来绕过防火墙),允许用户选择使用的端口,甚至会自动尝试连接未被封住的端口,因此任何局域网内具有Web浏览权限的用户,都可以通过一个外部的代理服务器和特定的未被防火墙禁止的端口将信息发送到外部网络,而通过端口号来限制非授权访问的目的也不能达到。这样,防火墙已经不再发挥作用,形同虚设。
对策: 一个比较有效的解决方案是使用基于网络的入侵检测系统监视所有通过边缘防火墙的数据,并将它调整为可以有效鉴别即时通信数据的传输模式。
漏洞2:防病毒网关能力减弱
许多即时通信软件可以将文件作为附件通过点对点方式传送,绕过网络周边安全防御设备。由于点对点隧道直接传至桌面计算机,因此受感染的文件借即时通信软件就能绕过防病毒网关的扫描,病毒、蠕虫和特洛伊木马等可以借此轻松地进入网络。
对策: 用户要在终端上安装桌面防火墙和防病毒软件。
漏洞3:脚本功能存在安全缺陷
目前比较流行的一些即时通信软件都有脚本编写功能,用户可以编写Visual Basic、javascript脚本程序,这样的脚本可以执行自动指导即时信息代理,自动与其他用户联系、发文件、改变程序设置、执行其他可能的恶意程序等操作。脚本功能虽然为用户提供了方便,但同时也助长了计算机蠕虫和混合威胁的传播,目前已知的基于VB、Java脚本的即时信息蠕虫已经多达几十种。
对策:防病毒软件能有效地防止基于脚本的即时通信蠕虫和恶意代码。
漏洞4:系统自身缺陷
即时通信软件与其他网络应用软件一样也不可避免地存在着一些安全漏洞,攻击者可能会通过Internet利用这些安全漏洞发起攻击。
对策: 用户应该及时地安装补丁和升级即时通信软件,才能有效地增强即时通信系统的安全性,减少被攻击的危险。
说明,总的来看,因为即时通信的安全漏洞较多,因此要将其安全堵住也要采取综合的方法,如安装防毒软件、及时安装补丁并编写VB、Jave脚本程序等。
二、个人用户要走好七步棋
1.个人用户包括电话拨号和ADSL虚拟拨号等。不容忽视的是,这类用户存在即时通信带来的隐患(如拨号后获取IP为61.168.0.6,和您即时通信的另一个用户获取的IP为 61.168.0.8,实际上也相当于在一个局域网中,可以相互通讯,自然也可以互相攻击)。该如何防范拨号后的攻击呢?笔者认为走好下面七步棋是关键。
2.高安全防范意识 提高安全防范意识,克服麻痹大意思想,认为黑客都是光顾大网站的,不会注意到个人桌面。
3.及时下载更新安全补丁和防毒系统升级代码。
4.重新修改ADSL Modem的以太网缺省地址和登录密码,该缺省地址一般为192.168.0.1 如果不修改地址和密码,黑客就会通过该地址进入系统。
[1] [2]
5.使用合适的防火墙及防毒软件。
6.定期备份,以备不时之需 对于商业用户来说,数据备份是必修课,就像每天吃饭睡觉那么平常。对于普通用户来说,也不能掉以轻心,因为数据备份实在是太重要了。另外,使用Ghost或其他软件对系统做一个备份,是一个好习惯,当系统崩溃的时候,只要使用专用的软件,就可以在很短的时间内(一般10分钟左右) 重新导入一个干净的系统。
7.合理配置IE 对于不熟悉的网站,可以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以减少被攻击的机会。不过,这样做在以后的网页浏览过程中可能会造成一些原来正常使用ActiveX的网站无法浏览的现象。对于安全网站,可以再将其打开。这样,虽然麻烦一些,但为了系统安全也还是值得的。
8.屏蔽自己不使用的网络协议或共享 拨号上网后,大家都处在同一个局域网里,如果开放了共享文件夹,是十分危险的事情。因此我们尽量不要在这种网络中共享文件和打印机,也不要使用NETBIOS协议,对Windows 98用户来说,即在“网上邻居”的“属性”选项卡中,不要选择“文件及打印共享”。同时注意如果您使用了windows 2000 Server之类的操作系统,不要在自己的机器上通过IIS开放FTP或HTTP服务以及Telnet服务,以免受到无谓的攻击。
对于个人用户来说,走好上面的七步棋,一般可以抵御大部分的攻击,即时通信安全也将不再是空洞的口号。
三、企业用户管理和技术并重
如何让企业充分享受即时通信带来的便利而又不受其害呢?笔者以为,应从管理和技术两方面入手。
(一) 管理策略
对于安全的防范,“三分技术,七分管理”是较为普遍的观点。针对即时通信的安全,也不例外。因此,加强法律约束和增大企业内部的监管力度,制定和有效地实施安全制度是减少安全威胁的一种有效途径,具体可从下面几方面着手。
1.强化管理理念 有些企业管理层可能认为实施安全策略管理会侵犯员工的隐私权,甚至抱怨安全性的提高降低了网络性能,使用起来不方便,或者网络管理人员认为我们公司不值得花很大精力去做安全防范,在Internet这个无边的海洋里,黑客并不会注意到我们这个小角落。这些想法是不可取的。
2.提高普通用户的安全意识 在网络系统中,每一台机器的安全性都影响着整个系统的安全,安全策略得以正确地实施是与网络中的每一个用户分不开的。比如,在一个具有严格访问权限的系统中,使用弱密码或没有密码的用户就会成为安全系统的极大缺陷,黑客就会通过这个弱密码或没有密码的用户进入系统,进而攻破整个系统。
3.强化网管监察力度 绑定IP和网卡地址,确定内部用户惟一标识,一旦某个内部用户出现问题,要能够惟一确定,并具有不可抵赖性。
(二) 技术策略
即时通信软件为适应用户的需求,不断提高系统的通信能力,即通过防火墙的能力,这就为安全带来负作用。这就要求企业必须综合考虑防火墙、防病毒、入侵监测、安全评估、VPN等多种产品,根据网络的具体拓扑和应用的具体需求,制定整体的解决方案和安全策略。下面简单介绍2种方法。
1.建置企业内部封闭式的实时信息系统 所谓封闭式实时信息系统是在企业内部建立自己的即时信息服务器,在每台个人计算机上安装特定的实时信息程序,这个程序可以是企业自己开发的,也可以是通用的,比如BQQ、MSN等。实时信息系统完全运作在企业的 Intranet 环境并不与外界有任何联系。优点是可以为企业提供更为安全、可靠的音视频文件及信息传输服务,同时网络管理人员还可对企业内部实时信息进行更加有效的管理,目前提供这方面解决方案的厂商有IBM、Jabber和Bantu等。在此不详述。
2.设置实时信息网关(Messaging Gateway) 在企业内部,每一个员工都可以使用通用的实时信息程序 (如 AOL、ICQ、MSN等)进行方便、快捷的即时通信,但必须通过公司内部的即时信息网关,通过即时信息网关对信息进行过滤和管理,任何进出的即时通信信息都必须留下记录(日志文件),必要时信息管理人员可以根据这些记录追查来龙去脉。目前可以提供这方面解决方案的厂商有 Akonix Systems、FaceTime等。
(出处:http://www.sheup.com)
[1] [2]
1.建置企业内部封闭式的实时信息系统 所谓封闭式实时信息系统是在企业内部建立自己的即时信息服务器,在每台个人计算机上安装特定的实时信息程序,这个程序可以是企业自己开发的,也可以是通用的,比如BQQ、MSN等。实时信息系统完全运作在企业的 Intranet 环境并不与外界有任何联系。优点是可以为企业提供更为安全、可靠的音视频文件及信息传输服务,同时网络管理人员还可对企业内部实时信息进行更加有效的管理,目前提供这方面解决方案的厂商有IBM、Jabber和Bantu等。在此不详述。
2.设置实时信息网关(Messaging Gateway) 在企业内部,每一个员工都可以使用通用的实时信息程序 (如 AOL、ICQ、MSN等)进行方便、快捷的即时通信,但必须通过公司内部的即时信息网关,通过即时信息网关对信息进行过滤和管理,任何进出的即时通信信息都必须留下记录(日志文件),必要时信息管理人员可以根据这些记录追查来龙去脉。目前可以提供这方面解决方案的厂商有 Akonix Systems、FaceTime等。
(出处:http://www.sheup.com)
[1] [2] [3]