学习园地电脑网络 › 安全常识

文章 feed - 评论 feed

2025-07-14

网络安全

作者 R Nalan 于 2025-07-14, 3:55

网络安全是指通过采取必要的措施来保护网络系统的硬件、软件以及系统中的数据,以防止因偶然或恶意原因造成的破坏、更改或泄露。确保系统能够连续、可靠和正常地运行。

网络安全,指计算机网络的安全,也可指计算机通信网络的安全。计算机通信网络是将若干台具有独立功能的计算机通过通信设备及传输媒体互连起来,在通信软件的支持下,实现计算机间的信息传输与交换的系统。而计算机网络是指以共享资源为目的,利用通信手段把地域上相对分散的若干独立的计算机系统、终端设备和数据设备连接起来,并在协议的控制下进行数据交换的系统。

计算机网络的根本目的在于资源共享,通信网络是实现网络资源共享的途径。

安全的基本含义:客观上不存在威胁,主观上不存在恐惧。即客体不担心其正常状态受到影响。可以把网络安全定义为:一个网络系统不受任何威胁与侵害,能正常地实现资源共享功能。

从用户的角度来讲,其希望:

(1)在网络上传输的个人信息(如银行账号和上网登录口令等)不被他人发现,这就是用户对网络上传输的信息具有保密性的要求。

(2)在网络上传输的信息没有被他人篡改,这就是用户对网络上传输的信息具有完整性的要求。

(3)在网络上发送的信息源是真实的,不是假冒的,这就是用户对通信各方提出的身份认证的要求。

(4)信息发送者对发送过的信息或完成的某种操作是承认的,这就是用户对信息发送者提出的不可否认的要求。

从网络运行和管理者的角度来讲,其希望本地信息网正常运行,正常提供服务,不受网外攻击,未出现计算机病毒、非法存取、拒绝服务、网络资源非法占用和非法控制等威胁。

从安全保密部门的角度来讲,其希望对非法的、有害的、涉及国家 安全或商业机密的信息进行过滤和防堵,避免通过网络泄露关于国家 安全或商业机密的信息,避免对社会造成危害,对企业造成经济损失。

从社会教育和意识形态的角度来讲,应避免不健康内容的传播,正确引导积极向上的网络文化。

没有评论 没有 trackback

网络安全防护

作者 R Nalan 于 2025-07-14, 3:51

网络安全防护是一系列技术和方法的集合,主要目的是确保网络的安全和数据传输的安全。它涵盖了多个层面,包括物理安全、网络结构安全、系统安全以及管理安全等。网络安全防护能够有效地防止未授权访问、数据泄露和其他网络攻击,保障网络资源的完整性、可靠性和可用性。

防护措施

访问控制:对用户访问网络资源的权限进行严格的认证和控制。例如,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,等等。

数据加密防护:加密是防护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。

网络隔离防护:网络隔离有两种方式,一种是采用隔离卡来实现的,一种是采用网络安全隔离网闸实现的。

防范意识

拥有网络安全意识是保证网络安全的重要前提。许多网络安全事件的发生都和缺乏安全防范意识有关。

安全方案

防火墙

如果没有防火墙屏蔽有害的流量,那么企业保护自己网络资产的工作就会成倍增加。防火墙必须部署在企业的外部边界上,但是它也可以安置在企业网络的内部,保护各网络段的数据安全。在企业内部部署防火墙还是一种相对新鲜但却很好的实践。之所以会出现这种实践,主要是因为可以区分可信任流量和有害流量的任何有形的、可靠的网络边界正在消失的缘故。旧有的所谓清晰的互联网边界的概念在现代网络中已不复存在。最新的变化是,防火墙正变得越来越智能,颗粒度也更细,能够在数据流中进行定义。如今,防火墙基于应用类型甚至应用的某个功能来控制数据流已很平常。举例来说,防火墙可以根据来电号码屏蔽一个SIP语音呼叫。

安全路由器

(FW、IPS、QoS、VPN)——路由器在大多数网络中几乎到处都有。按照惯例,它们只是被用来作为监控流量的交通警察而已。但是现代的路由器能够做的事情比这多多了。路由器具备了完备的安全功能,有时候甚至要比防火墙的功能还全。大多数路由器都具备了健壮的防火墙功能,还有一些有用的IDS/IPS功能,健壮的QoS和流量管理工具,当然还有很强大的VPN数据加密功能。这样的功能列表还可以列出很多。现代的路由器完全有能力为你的网络增加安全性。而利用现代的VPN技术,它可以相当简单地为企业WAN上的所有数据流进行加密,却不必为此增加人手。有些人还可充分利用到它的一些非典型用途,比如防火墙功能和IPS功能。打开路由器,你就能看到安全状况改善了很多。

无线WPA2

这5大方案中最省事的一种。如果你还没有采用WPA2无线安全,那就请把你的安全方案停掉,做个计划准备上WPA2吧。其他众多的无线安全方法都不够安全,数分钟之内就能被破解。所以请从开始就改用带AES加密的WPA2吧。

邮件安全

我们都知道邮件是最易受攻击的对象。病毒、恶意软件和蠕虫都喜欢利用邮件作为其传播渠道。邮件还是我们最容易泄露敏感数据的渠道。除了安全威胁和数据丢失之外,我们在邮件中还会遭遇到没完没了的垃圾邮件!

Web安全

来自80端口和443端口的威胁比任何其他威胁都要迅猛。有鉴于基于Web的攻击越来越复杂化,所以企业就必须部署一个健壮的Web安全解决方案。多年来,我们一直在使用简单的URL过滤,这种办法的确是Web安全的一项核心内容。但是Web安全还远不止URL过滤这么简单,它还需要有注入AV扫描、恶意软件扫描、IP信誉识别、动态URL分类技巧和数据泄密防范等功能。攻击者们正在以惊人的速度侵袭着很多高知名度的网站,假如我们只依靠URL黑白名单来过滤的话,那我们可能就只剩下白名单的URL可供访问了。任何Web安全解决方案都必须能够动态地扫描Web流量,以便决定该流量是否合法。在此处所列举的5大安全解决方案中,Web安全是处在安全技术发展最前沿的,也是需要花钱最多的。而其他解决方案则大多数已经相当成熟。Web安全应尽快去掉虚饰,回归真实,方能抵挡住黑客们发起的攻击。 

没有评论 没有 trackback

2019-12-02

几种开源的入侵检测系统

作者 R Nalan 于 2019-12-02, 4:26

Snort

在1998年,Marty Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统,Snort 基于libpcap。目前最著名最活跃的开放源码NIDS项目,定位于轻量级的入侵检测系统,已经实现了网络探测器和许多第三方的管理及日志分析工具( http://www.snort.org/ )

Snort(入侵检测系统) v2.9.15 英文安装版类型:系统监视大小:3.08MB语言:英文软件时间:2019-12-01查看详情 Prelude IDS

从设计的方式来看定位于适应大型网络的需求, 实现了网络探测器、日志分析器、告警信息集中查看分析工具。其网络探测器部分基本上翻版了Snort的功能,完全兼容Snort的规则集。 ( http://www.prelude-ids.org/ )

Firestorm

是一个非常高性能的网络入侵检测系统(NIDS)。目前它仅实现了探测器部分,完全兼容Snort的规则集,但计划包括对分析、报告、远程控制台和实时传感器配置的真正支持。它完全可插拔,因此非常灵活,,可以把告警信息记录到Prelude IDS的管理器, 自称性能上比Snort强很多。http://www.scaramanga.co.uk/firestorm/

NetSTAT

基于STAT(State Transition Analysis Technique,状态迁移分析技术)描述攻击的研究成果,使用特有的STATL语言描述攻击,攻击描述文本被STATL解释工具转换为C++代码编译进检测引擎来实现检测功能,目前已经发布了STATL语言解释转换工具及一个基本的示例网络探测器部分(很少的几个检测功能例子)。要熟练使用这个IDS工具需要比较强的编程功底,但用此IDS可以实现很复杂的检测功能。

http://www.cs.ucsb.edu/~rsg/STAT/

Bro

是一个Vern Paxson实现的实时网络入侵检测软件,于98年对外发布,BSD license,它的最初设计目标是实现一个在100M网络下实时告警、机制与策略分离、高可扩展性的入侵检测及网络监视审计系统。

https://www.bro.org/

Suricata

是一款支持IDS、IPS和NSM的系统,系统有一个类似Snort的架构,依赖于像Snort等的签名,甚至可以使用VRT Snort规则和Snort本身使用的相同的Emerging Threat规则集。Suricata比Snort更新,它将有机会赶超Snort。https://suricata-ids.org/

OSSEC

OSSEC开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT)是一款开源的基于主机的入侵检测系统,可以简称为HIDS。它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能。https://ossec.github.io/

没有评论 没有 trackback

2017-04-16

重放攻击

作者 R Nalan 于 2017-04-16, 6:43

重放攻击(Replay Attacks)又称重播攻击、回放攻击或新鲜性攻击(Freshness Attacks),是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。

它是一种攻击类型,这种攻击会不断恶意或欺诈性地重复一个有效的数据传输,重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。从这个解释上理解,加密可以有效防止会话劫持,但是却防止不了重放攻击。重放攻击任何网络通讯过程中都可能发生。重放攻击是计算机世界黑客常用的攻击方式之一,它的书面定义对不了解密码学的人来说比较抽象。

概念性的几个防御手段

时间戳

“时戳”──代表当前时刻的数

基本思想──A接收一个消息当且仅当其包含一个对A而言足够接近当前时刻的时戳

原理──重放的时戳将相对远离当前时刻

时钟要求──通信各方的计算机时钟保持同步

处理方式──设置大小适当的时间窗(间隔),越大越能包容网络传输延时,越小越能防重放攻击

适用性──用于非连接性的对话(在连接情形下双方时钟若偶然出现不同步,则正确的信息可能会被误判为重放信息而丢弃,而错误的重放信息可能会当作最新信息而接收)

序号

通信双方通过消息中的序列号来判断消息的新鲜性

要求通信双方必须事先协商一个初始序列号,并协商递增方法

提问与应答

“现时”──与当前事件有关的一次性随机数N(互不重复即可)

基本做法──期望从B获得消息的A 事先发给B一个现时N,并要求B应答的消息中包含N或f(N),f是A、B预先约定的简单函数

原理──A通过B回复的N或f(N)与自己发出是否一致来判定本次消息是不是重放的

时钟要求──无

适用性──用于连接性的对话

重放攻击是对协议的攻击中危害最大、最常见的一种攻击形式。

以登陆为例看具体的例子

常规流程

1.前端web页面用户输入账号、密码,点击登录。

2.请求提交之前,web端首先通过客户端脚本如javascript对密码原文进行md5加密。

3.提交账号、md5之后的密码

4.请求提交至后端,验证账号与密码是否与数据库中的一致,一致则认为登录成功,反之失败。

有什么问题呢?

上述流程看似安全,认为传输过程中的密码是md5之后的,即使被监听截取到,由于md5的不可逆性,密码明文也不会泄露。其实不然!监听者无需解密出密码明文即可登录!监听者只需将监听到的url(如:http://****/login.do?method=login&password=md5之后的密码&userid=登录账号)重放一下,即可冒充你的身份登录系统。

稍微安全点的方式

1.进入登陆页面时,生成一个随机码(称之为盐值),在客户端页面和session中各保存一份。

2.客户端提交登录请求时,将md5之后的密码与该随机码拼接后,再次执行md5,然后提交(提交的密码=md5(md5(密码明文)+随机码))。

3.后端接收到登录请求后,将从数据库中查询出的密码与session中的随机码拼接后,md5运算,然后与前端传递的结果进行比较。

为何要这样?

该登录方式,即使登录请求被监听到,回放登录URL,由于随机码不匹配(监听者的session中的随机码与被监听者的session中的随机码相同概率可忽略),无法登录成功。

该登录方式,由于传输的密码是原密码md5之后与随机码再次md5之后的结果,即使监听者采用暴力破解的方式,也很难解密出密码明文。

更进一步

考虑到密码输入的方便性,好多用户的密码都设置的很短,并且不够复杂,往往是6位数字字母组合,这样的密码md5之后保存到数据库,一旦数据库数据泄露,简单密码的md5结果很容易通过暴力破解的方式给解密出来,何况md5出现了这么多年,可能已经有不少字典了!同时为了方便用户登录的方便性,我们的系统一般不可能要求用户设置很长、很复杂的密码!怎么办?加固定盐值。1.系统设置一个固定的盐值,该盐值最好足够复杂,如:1qaz2wsx3edc4rfv!@#$%^&qqtrtRTWDFHAJBFHAGFUAHKJFHAJHFJHAJWRFA

2.用户注册、修改密码时,将用户的原始密码与我们的固定盐值拼接,然后做md5运算。

3.传递至后端,保存进数据库(数据库中保存的密码是用户的原始密码拼接固定盐值后,md5运算后的结果)。

4.登录时,将用户的原始密码与我们的固定盐值进行拼接,然后做md5运算,运算后的结果再拼接上我们的随机码,再次md5运算,然后提交。

5.后端接收到登录请求后,将从数据库中查询出的密码与session中的随机码拼接后,md5运算,然后与前端传递的结果进行比较。

再再进一步

1.加登录验证码,可预防人为地暴力登录破解

2.账户锁定,如果用户密码输入错误次数达到一定量后(如6次),则可以锁定该账号

没有评论 没有 trackback

2016-10-31

网络密码破解方法

作者 R Nalan 于 2016-10-31, 4:22

1.破解网络密码—暴力穷举

  密码破解技术中最基本的就是暴力破解,也叫密码穷举。如果黑客事先知道了账户号码,如邮件帐号、QQ用户帐号、网上银行账号等,而用户的密码又设置的十分简单,比如用简单的数字组合,黑客使用暴力破解工具很快就可以破解出密码来。因此用户要尽量将密码设置的复杂一些。

2.破解网络密码—击键记录

  如果用户密码较为复杂,那么就难以使用暴力穷举的方式破解,这时黑客往往通过给用户安装木马病毒,设计“击键记录”程序,记录和监听用户的击键操作,然后通过各种方式将记录下来的用户击键内容传送给黑客,这样,黑客通过分析用户击键信息即可破解出用户的密码。

3.破解网络密码—屏幕记录

  为了防止击键记录工具,产生了使用鼠标和图片录入密码的方式,这时黑客可以通过木马程序将用户屏幕截屏下来然后记录鼠标点击的位置,通过记录鼠标位置对比截屏的图片,从而破解这类方法的用户密码。

4.破解网络密码—网络钓鱼

  “网络钓鱼”攻击利用欺骗性的电子邮件和伪造的网站登陆站点来进行诈骗活动,受骗者往往会泄露自己的敏感信息(如用户名、口令、帐号、PIN码或信用卡详细信息),网络钓鱼主要通过发送电子邮件引诱用户登录假冒的网上银行、网上证券网站,骗取用户帐号密码实施盗窃。

5.破解网络密码—Sniffer(嗅探器)

  在局域网上,黑客要想迅速获得大量的账号(包括用户名和密码),最为有效的手段是使用Sniffer程序。Sniffer,中文翻译为嗅探器,是一种威胁性极大的被动攻击工具。使用这种工具,可以监视网络的状态、数据流动情况以及网络上传输的信息。

  当信息以明文的形式在网络上传输时,便可以使用网络监听的方式窃取网上的传送的数据包。将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。任何直接通过HTTP、FTP、POP、SMTP、TELNET协议传输的数据包都会被Sniffer程序监听。

6.破解网络密码—Password Reminder

  对于本地一些保存的以星号方式密码,可以使用类似Password Reminder这样的工具破解,把Password Reminder中的放大镜拖放到星号上,便可以破解这个密码了。

7.破解网络密码—远程控制

 使用远程控制木马监视用户本地电脑的所有操作,用户的任何键盘和鼠标操作都会被远程的黑客所截取。

8.破解网络密码—不良习惯

  有一些公司的员工虽然设置了很长的密码,但是却将密码写在纸上,还有人使用自己的名字或者自己生日做密码,还有些人使用常用的单词做密码,这些不良的习惯将导致密码极易被破解。

9.破解网络密码—分析推理

  如果用户使用了多个系统,黑客可以通过先破解较为简单的系统的用户密码,然后用已经破解的密码推算出其他系统的用户密码,比如很多用户对于所有系统都使用相同的密码。

10.破解网络密码—密码心理学

  很多著名的黑客破解密码并非用的什么尖端的技术,而只是用到了密码心理学,从用户的心理入手,从细微入手分析用户的信息,分析用户的心理,从而更快的破解出密码。其实,获得信息还有很多途径的,密码心理学如果掌握的好,可以非常快速破解获得用户信息。

  密码是保护我们隐私的很有效和实用的工具之一,但我们在应用过程中也要注意安全问题的存在,黑客们的手段千变万化,我们应对起来也是非常困难的,希望读者能够了解以上的破解密码的方法,从根本上了解黑客,才能对症下药。

没有评论 没有 trackback

2016-06-26

虚拟专用网络并不能保护隐私

作者 R Nalan 于 2016-06-26, 2:48

虚拟专用网络常被用户用来改变自己的IP地址,这样就可以获取一些其他地域的媒体内容,或者能匿名下载一些东西。然而虚拟专用网络的提供商参差不齐。某些虚拟专用网络是禁用了torrent下载的,还有些会记录下信息,跟踪上网行为,或者按照当地的法律对数据进行保留。

虚拟专用网络不是用来匿名的

关于虚拟专用网络的一个常见的误读是:它们会给大家提供匿名功能,即使是针对民族主义者。但是,安全研究员Kenneth White表示:

“如果政府对目标进行专门的监测追踪,虚拟专用网络是不足以做到这一点的。”

事实上,虚拟专用网络声称的会给提供用户匿名性,是“不可行的,不负责的,或者两者兼备的”。DNSleaktest.com的站长Jeremy Campbell在邮件里告诉记者:

“为了实现匿名去使用公共虚拟专用网络是非常愚蠢而危险的,无论服务配置的有多么安全,匿名技术本身并没有在这里实现。虚拟专用网络服务要求你信任他们,但匿名系统本身是没有这个属性的。”

White没有坚持完全放弃虚拟专用网络,但是他警告说它应该作为一个辅助工具,而不是一个隐私的解决方案,他表示:

“相反,像专门的隐私工具如Tor浏览器之类的(里面可能包含了信用良好的虚拟专用网络),那就是可以使用的。它们不仅实现了匿名化属性,而且浏览器已经进行了大量定制,以实现网络隐私的最大化(比如弱化了cookie、Flash、Java插件等特征)。”

Tor分布式网络,会尝试在多个中继传输流量来实现匿名。但其实它也很难进行核实,没有人知道Tor这样是否能够获得百分百成功。Tor浏览器最近受到了美国国防部的瞩目,这只会强化这种担心。某些批评者认为,Tor会让人们更容易依赖过时版本的Firefox,但这些东西都不能保证是万无一失的。

Johns Hopkins大学的密码学教授Matthew Green表示:

“某些在俄罗斯出口节点的恶意Tor,实际上会偷偷修改二进制文件。所以,如果你不幸在Tor下载文件时碰巧遇到了这些节点,它们可能会将它转换成恶意软件。”

尽管Green并没有听说过虚拟专用网络发生过这样的事,但他指出这样的攻击是存在可能的。与多数虚拟专用网络不同,Tor和Tor浏览器通常用于高风险的情况,工程师需要迅速修复安全漏洞,这样的方式可能不适用于所有的虚拟专用网络。

22.png

用虚拟专用网络来BT下载安全吗?

某些虚拟专用网络提供商会禁用p2p,如果有必要还会把用户的名字给版权所有者。代表版权所有者的利益的,可能会取消惯犯的账户。希望使用虚拟专用网络进行torrent下载和流媒体观看的亲们,可以寻找那些特殊的服务提供商(或者不保留日志),但是问题又来了,Campbell表示:

“然而,我们并没有办法验证虚拟专用网络提供商所说的话。大家必须依靠新闻报道和网上论坛的讨论等等,来判断服务提供商的声誉。”

看来,必须时刻保持警惕才行。

虚拟专用网络可以“防御”广告追踪?

尽管虚拟专用网络能掩饰你的IP地址,但它不一定能保证你免受间谍广告和追踪的困扰。

Campbell表示:

“虚拟专用网络提供的防广告追踪的技术可以忽略不计,因为IP掩盖是一个弱标志。网络广告更倾向于cookies、supercookies和浏览器指纹技术,这些东西虚拟专用网络是无法进行保护的。”

为了防止无处不在的广告跟踪,广告阻断器uBlock、uBlock origin,以及追踪阻断器PrivacyBadger或Disconnect会提供一定程度的保护。禁用JS代码,或者使用Firefox下的NoScript可以消除一些指纹。更高级的用户可以使用虚拟机或者沙箱浏览器。当然,Tor浏览器也能防止产生特定浏览器指纹。

虚拟专用网络让你更危险?

用户使用虚拟专用网络的是为了保护自身网络安全,特别是在处于公共WIFI之下的时候。GoGo被爆出使用了Youtube的伪造证书,这可能会泄露用户的流量,包括用户的Youtube密码。

因为虚拟专用网络建立了用户和虚拟专用网络商服务器之间的通道,所以用户对于虚拟专用网络提供商的信任非常重要。毕竟提供商能看到和记录你所有的流量,甚至可以更改你的流量内容。一个虚拟专用网络的配置不当,黑客就可能直接访问你的本地局域网,这比别人在咖啡店网络下,嗅探你的流量更加可怕。

“如果虚拟专用网络服务供应商不老实的话,你只能自己做祈祷了。你得时刻担心是否会在本地局域网被人黑掉,若是使用了一个粗制滥造的虚拟专用网络服务,很可能就会把自己推入虎口。”

预共享密钥

White提供了一个虚拟专用网络的列表,在网上已有共享密钥发布:

GoldenFrog、GFw虚拟专用网络、虚拟专用网络Reactor、Unblock虚拟专用网络、IB虚拟专用网络、Astril、Pure虚拟专用网络、PrivateInternetAccess、TorGuard、IPVanish、Nordic虚拟专用网络、Earth虚拟专用网络。

“如果我知道了你正在使用的虚拟专用网络预共享密钥,并且我控制了你所在WIFI的热点,那么就可以进行中间人攻击并且解密你的上网行为。也就是说,当黑客拥有这预共享密钥时,您的网络安全系数就降低了。”

PPTP的代替品

一些虚拟专用网络还使用了老掉牙的的PPTP 虚拟专用网络协议,这在根本上就是不安全的。更好的选择包括IPSec(有人积极维护)、L2TP/IPSec、IKEv2以及Open虚拟专用网络等等。

在上述的几个选项中,IPSec可以设置为不需要安装额外的软件,但有人认为这是故意破坏和削弱NSA(美国国家安全局)的力量。Open虚拟专用网络比它还要安全,但是搭建手法更加复杂,需要第三方软件的帮助,以及用户进行正确且复杂的配置。

根据High-Tech Bridge最近的研究发现,SSL 虚拟专用网络中,有90%会使用不安全的或者过时的加密。而有77%使用了不安全的SSLv3(甚至SSLv2)协议,76%用了不可信的SSL证书(黑客可以更轻易的进行中间人攻击,拦截虚拟专用网络连接中的流量),更有一大部分用的不安全的RSA密钥长度的签名,以及不安全的SHA-1签名。不管你信不信,其中还有10%存在心脏出血漏洞。

数据保留和日志记录

一些虚拟专用网络会根据本国或当地的法律,进行日志信息保存。而且许多虚拟专用网络服务提供商会记录大量信息,比如在特定的用户来连接时,是从哪里、从什么时候连上的,甚至还有他们做了哪些连接。

甚至有些虚拟专用网络服务提供商,日志量少时会记录下重要日志,比如连接的IP地址和用户名,以及内部路由使用的内部负载均衡和服务器维护。某些虚拟专用网络服务提供商的日志记录可能会很快销毁,而其他的由于本地的相关法律,处理方式会有所不同。不管怎样日志里保存的信息都是足以破除用户匿名性的。

仔细阅读服务条款会帮助你确定服务商日志维护保留的情况,并可以了解他们会如何使用收集到的信息。但是其中的真伪也很难验证。有人认为进行犯罪活动时虚拟专用网络也会保护用户的身份,但人家美国政府已经与世界上数十个国家签署了司法互助条约了。

33.jpg

泄露用户隐私

即使用户已经连上了虚拟专用网络服务器,但某些发出的包可能没有经过虚拟专用网络通道进行通信,这就泄露了用户的隐私。

Campbell表示:

“从技术角度来讲,我认为最被低估的漏洞就是虚拟专用网络软件客户端的网络信息泄露。严重的时候,它可能会危及用户的生命,许多网络安全和隐私社区已经对此漏洞进行了重点关注。”

一些虚拟专用网络服务提供商设置了规则,在用户出篓子之前,能阻止不安全的连接。比如你首次登入某个WIFI热点,或者从一个热点转入另一个的时候。其他服务商还会允许用户自己设置防火墙规则。

2015年6月,罗马Sapienza大学和伦敦玛丽女王大学的研究人员测试了14款热门的商业虚拟专用网络服务,他们发现了其中10个会泄露IP的数据,且都会遭受IPV6 DNS劫持攻击。虽然后期研究人员并没有全面复查他们是否修复了,但是也做了一些特别的测试,并发现情况有所改善。但是可能修复了问题后,还存在其他漏洞。

伦敦玛丽女王大学的研究员GarethTyson博士表示:

“我给大家的建议是,如果你担心被政府监控,你应该全方面使用Tor。”

同样,这可能也是一个不完美的解决方案。虽然Tor浏览器提供匿名、规避审查和反监控追踪,但是它并不像虚拟专用网络一样迅速。更糟糕的是,某些互联网服务提供商会拒绝Tor。

营销宣传

许多声称安全的虚拟专用网络服务提供商,其实缺乏可信度。某些虚拟专用网络服务提供商声明不会记录日志,接受比特币,浮夸地表示他们是军用、政府、NSA级别的加密。

而且,虚拟专用网络不仅仅会存在安全漏洞的问题,还可能是民族主义者的蜜罐,相反,那些事先声明他们的威胁模型,讲清楚能保护的和不能提供保护虚拟专用网络服务提供商,可能更值得信任。

阅读服务条款有时能给用户一个清晰的认识。比如2015年,免费的以色列虚拟专用网络 Hola被发现将用户带宽出售给Luminati 虚拟专用网络。那些想要隐藏IP地址的用户不知不觉就变成了虚拟专用网络的出口节点和终点(暴露了自己的IP地址,混入了别人的流量)。直到8chan留言板运营商 Fredrick Brennan说,直到Hola用户在不知不觉中被利用来攻击他的网站后,才更新了自己的FAQ。

如何寻找可信的虚拟专用网络

看到上面所有的预防措施和虚拟专用网络说明了吧,靠它们去找可信的虚拟专用网络靠谱么?虚拟专用网络服务提供商表示购者自慎。

某家虚拟专用网络服务提供商是否使用了最新的协议,该公司的背景和声誉如何,服务条款是否容易理解,这些虚拟专用网络 到底能防护什么和未能照顾到什么,它对于信息披露的细节表达了足够诚实吗?

抛开这些因素,Campbell建议大家看看公司的行为,他说这可能会显示出一个服务商是否关心客户的隐私。这三年来,他自己也在寻找一个清晰明确的隐私政策,而不是只有样板政策的公司。

Campbell警告道:

“在斯诺登泄密事件后,过去几年已有了很多廉价的虚拟专用网络服务提供商。这些新入行的虚拟专用网络服务提供商在安全方面做的不是很好。许多情况,他们想把部分服务器的主机业务转为带宽业务,但是他们完全没有安全方面的经验。”

作为最后一个预防措施,Campbell也在寻找不通过第三方系统捕获用户敏感数据的虚拟专用网络,他表示:

“任何尊重客户隐私的虚拟专用网络服务提供商,都不会去触碰与客户交互的系统,比如第三方聊天脚本、支持票务系统、博客评论等等。用户通常会在请求包里提交非常敏感的数据,但是他们并不一定清楚他们的虚拟专用网络服务提供商是否单独监控了流量系统。”

自己动手,丰衣足食

根据你的隐私需求,一个满意的预解决方案可能并不存在。如果是这样的话,懂技术的用户可以自己搭建虚拟专用网络。如果你的方案里更在意速度,你可以在DigitalOcean、Amazon主机、Vultur,、OVH或者其他可靠的主机商的VPS运行Streisand。Streisand是在土耳其推特全面被封杀后推出的,它的目的是为了帮助用户绕过互联网封锁。

没有评论 没有 trackback

2015-09-27

WebSQL攻击的风险知识

作者 R Nalan 于 2015-09-27, 2:32

HTML5引入本地数据库和WebSQL之后,数据库安全的风险也来到了网页和浏览器。

WebSQL的两种风险:(1)SQL注入。(2)XSS漏洞导致数据库内容泄露。

SQL注入

例如,有一个网页 https://example.net/girls?id=1024。这个网页有一个网址参数id,它是由WebSQL在浏览器本地的数据库中查询内容。 若其SQL为:

SELECT name, age 
FROM girls
WHERE id = 1024

攻击者构造一个虚假的输入,将id改为1024 or 1024 = 1024。这时,其对应的SQL会变为:

SELECT name, age 
FROM girls
WHERE id = 1024 or 1024 = 1024

数据库执行这个语句时,会将girls表的所有数据都输出。

XSS与数据库操纵

在有XSS漏洞的情况下,攻击者获取本地数据需要如下几个步骤:

1)获取JavaScript数据库对象

2)获取SQLite上的表结构

3)获取数据表名

4)操作数据

防范方法

1) 检查输入类型,过滤危险字符 2) 使用预处理语句,或参数形式,拒绝拼接字符串。

executeSql("SELECTname FROM stud WHERE id=?“, [input_id]);)

3)谨慎对待每一次SQL操作 4)不要存储重要数据

本地数据库永远透明而不安全,重要的数据必须要存储在服务器上。

5)杜绝XSS漏洞

没有评论 没有 trackback

2014-07-30

最危险的网络管理员

作者 R Nalan 于 2014-07-30, 4:01

Jeff Dray最近经过对IT行业的深入调查研究,列出了七类最不安全的网络管理员。

对安全过于谨慎的管理员(NetopsiaSecuritatis)

“安全先生”存在的全部意义就是防止任何不利于他的网络的事情发生。线路由承包商负责运营,机柜、配线架、路由器、UPS都由厂商负责安装,他所要负责的全部事情只是在他抽屉中放一个积满灰尘的鼠标球,这仅仅是为了满足“万一要用它作替换”之需。 他避免冲突的方法是紧紧地锁住系统,以至于任何人或者发生任何事情都无法改变系统。有时这意味着用户能做的事情就只是登录和修改自己的密码,而密码每次使用后,都有可能失效。运行程序和编辑文件对用户来说太危险了,所以拥护只能面对一个的登录界面和一台普通的桌面系统。 这类管理员7年来从未遇到过病毒的攻击,而且以后也不会遇到。他不仅在每个工作站的BIOS中禁用了USB插槽,并且BIOS也被设置了密码保护,就连插孔都用胶水封住了,来防止微小的数据会通过USB存储设备泄露出去。邮件服务器不允许安装任何其他的附件;如果网络线路发生了改变,工作站将不能启动;系统的硬件设备则已被固定,失去了设备的灵活性。如果有人试图打开机器的外壳,一个小的爆炸装置将使机器变得无法使用(同时可能还会损害操作者)。

力不从心的管理员(NetopsiaSubmersio)

这类管理员的技术能力随着公司的成长而发展。公司在10年前,仅需要购买一台PC来处理一些文字性的工作时,负责这方面工作的人员通过自身的努力,半路出家成为了一名非正式的PC管理员。今天,公司已经从5名员工发展到80名员工,公司的内部网络也随之相应扩大。现在,仅有15或20台工作站,由一台低端的服务器负责管理,该服务器还同时作为电子邮件网关、文件服务器和网络代理服务器。没有任何的相关文档,所有的东西都在管理员一个人的头脑里,如果一切还顺利的话,这些已足够维持公司网络的正常运行。 公司目前还没有能力聘请全职的IT主管,但他确实已经力不从心了,因为他还有一份设计小组的全职工作。他只能希望未来系统扩充的时候,能有一位全职的IT主管,可以使她彻底地让出系统的支配权。 总体上说,如果你不在意频繁的掉电、死机和不可避免的病毒侵袭,系统还是工作得不错的。每个人拥有同样的口令,并且对网络中的每个文件夹拥有同样的权限,不过这似乎不会造成什么问题,因为公司里的每个人都非常好而且绝对值得信任。

频繁更新网络的管理员(NetopsiaAbsistus)

不论你是否愿意他这样做,这类网络管理员都会通过远程控制,来管理应用程序和系统的升级。在每天工作结束时自动关闭你的工作站,而且你无法阻止他这样做,因为他把网络上的每个工作站都设置成“网络唤醒”模式。如果你确实想制止他的话,你必须把网线与你的工作站断开。下午5点下班时,你的计算机还是功能齐全的,但当第二天早上上班后,你会发现你的系统完全变成了另一个模样,你已经找不到你昨天使用过的任何程序了。

工作死板的管理员(NetopsiaOfficiatis)

这类的工作死板的管理员,可以经常在英国的行政事务部门碰到。如果你请求他稍微做一些例外的事情,他便会回答你:“那超出了我的工作职责之外”。 试着在她值班的时候带一个USB存储设备到办公室并看看会发生什么吧!如果在她不注意的时候把这个存储设备放到她的午餐包中,她甚至要对自己的失职进行处理。哪天她要是发现某台机器发出的电子邮件并不是与工作完全相关的,她就会认为这是不应该出现的工作事故。 我在公司以外的工作场所时,使用公司配备的一台笔记本电脑。由于公司总部在150英里以外,所以我不可能时时刻刻都联入公司的网络。我们的网络管理员,一个典型的工作死板的管理员,只允许我在电脑中安装几个典型的公司通用的应用软件,但是这些软件对我一点用处都没有。安装一个能让我找到我所在地点以外区域的导航软件,甚至都成了我能享受到的巨大福利。

不考虑后果的管理员(NetopsiaExperiortus)

这类不考虑后果的管理员总是不停地试验各种新的补丁或升级程序。大多数明智的网络管理员在把新的解决方案应用到现有的系统中之前,都会在一个小的试验网络上做一下测试。但是,这类管理员却直接在现有的系统中操作,往往给用户的使用带来不必要的厌烦,这倒是和用户对频繁更新网络的管理员的反应有几分相像。不同的是,频繁更新网络的管理员一定会试图确保他的产品或升级行为真正有效,并且不会对网络和用户造成任何其它影响。

视网络为私有财产的管理员( NetopsiaDictatoris)

任何有可能影响网络平稳运行的事情都会使他激动不已。他会保留详尽的日志来说明网络的性能达到了100%。但这是在几乎没有任何的网络资源分配给普通应用的情况下才能达到的。

利用工作之便玩游戏的管理员(NetopsiaAliatorium)

大多数网络资源只提供给那些以“管理员”身份登录的人, 这些人会定期在网上联机对战,在游戏中他们以各种富于高度想象力的手段使对方从网络上消失。今天,由于廉价的小路由器和交换机唾手可得,这些人也可以在家中进行游戏。

没有评论 没有 trackback

2013-08-22

几种不同位置的DMZ

作者 R Nalan 于 2013-08-22, 3:42

位于DMZ中的设备,需要可以在公共网络(如互联网)上访问,因此不会设置太高的安全策略。为了便于管理,通常把这些设备独立出来,放置在所谓的DMZ中。

DMZ通常是驻留于专用网络和公共网络之间的一个子网,从公共网络的连接到DMZ设备终止:这些服务器也经常被相对安全的专用网络设备访问。

一、使用防火墙创建DMZ

这种方法使用一个有3个接口的防火墙去创建隔离区,每个隔离区成为这个防火墙接口的一员。防火墙提供区与区之间的隔离。此种方式是创建DMZ最常用的方法。

二、在防火墙之外的公共网络和防火墙之间创建DMZ

DMZ暴露在防火墙的公共面一侧。通过防火墙的流量,首先要通过DMZ。DMZ中能够用来控制设备安全的控制非常少。这些设备实际上是公共区域的一部分,它们自身并没有受到真正的保护。

一般情况下不推荐这种配置。

三、在防火墙之外且不在公共网络和防火墙之间创建DMZ

DMZ不是位于防火墙和公共网络之间,而是位于连接防火墙同公共网络的边缘路由器的一个隔离接口。

这种类型的配置向DMZ网络中的设备提供了非常小的安全性,但是这种配置使防火墙有从未保护和易受攻击的DMZ网络的隔离性。这种配置中的边缘路由器能够用于拒绝所有从DMZ子网到防火墙所在的子网的访问。并且,隔离的VLAN能够允许防火墙所在的子网和DMZ子网间有第二层的隔离。当位于DMZ子网的主机受到危害,并且攻击者开始使用这个主机对防火墙和网络发动更进一步攻击的情形下这类型的配置是有用的。

四、在层叠防火墙之间创建DMZ

两个防火墙层叠放置,访问专用网络时,所有的流量必须经过两个层叠防火墙,两个防火墙之间的网络用作DMZ。由于DMZ前面的防火墙使它获得了大量的安全性,但是它的缺陷是所有专用网络到公共网络之间的数据流必须经过DMZ,一个被攻陷的DMZ设备能够使攻击者以不同的方法阻截和攻击这个流量。可以在防火墙之间设置专用VLAN减轻这种风险。

没有评论 没有 trackback

2012-12-15

安全使用公共WiFi安全小技巧

作者 R Nalan 于 2012-12-15, 3:48

用户使用公共Wi-Fi存在不少风险,养成一些习惯来更安全地使用公共Wi-Fi网络。

1、关掉共享。用户在工作场所或自己家里使用笔记本电脑时可能会与其他电脑共享文件及文件夹,但在使用公共Wi-Fi时关掉这些共享会更加安全。

2、不要自动连接Wi-Fi网络。用户的智能手机、平板电脑及笔记本电脑自动连接家里或工作网络确实方便,但当用户在外使用公共Wi-Fi时自动连接Wi-Fi网络可能会导致一些麻烦,甚至可能遭到黑客的攻击。

3、在移动银行及购物方面用户须保持“精明”。用户最好在家时才进行与网上银行或购物相关的事项。如果用户确实需要进行一项紧急资产转移,或者立刻购买能够节省一大笔费用,那么使用手机网络连接也比Wi-Fi更安全。

4、使用安全软件。用户的笔记本电脑也应该安装与家里电脑一样的反病毒、反间谍软件、防火墙等安全软件,在使用公共网络时防火墙尤其重要,其整个目的就是将“窥探”隔绝于用户的系统之外。

没有评论 没有 trackback

2012-06-12

WAPI与Wi-Fi

作者 R Nalan 于 2012-06-12, 4:10

无线网络,是利用无线电波作为信息传输的媒介构成的无线局域网(WLAN),与有线网络的用途十分类似,最大的不同在于传输媒介的不同。

Wi-Fi全称Wireless Fidelity。

802.11b有时也被错误地标为Wi-Fi,实际上Wi-Fi是无线局域网联盟(WLANA)的一个商标,该商标仅保障使用该商标的商品互相之间可以合作,与标准本身实际上没有关系。但是后来人们逐渐习惯用WIFI来称呼802.11b协议。它的最大优点就是传输速度较高,可以达到11Mbps,另外它的有效距离也很长,同时也与已有的各种802.11 DSSS设备兼容。    WAPI标准

  WAPI是WLAN Authentication and Privacy Infrastructure的英文缩写。它像红外线、蓝牙、GPRS、CDMA1X等协议一样,是无线传输协议的一种,只不过跟它们不同的是它是无线局域网(WLAN)中的一种传输协议而已,它与现行的802.11B传输协议比较相近。

WAPI与Wi-Fi的区别   无线局域网的传输协议有很多种,包括802.11A、802.11B、802.11G、802.11i等等,它是由美国WI-FI组织制定和进行认证的,而WAPI则由ISO/IEC授权的IEEE Registration authority审查获得认可。两者最大的区别是安全加密的技术不同;WAPI使用的是一种名为“无线局域网鉴别与保密基础架构(WAPI )”的安全协议,而802.11B则利用“有线加强等效保密(WEP)”安全协议。

  WAPI是我国自主研发的,拥有自主知识产权的无线局域网安全技术标准。

没有评论 没有 trackback