首页 > 安全 > 系统安全 >

调制解调器的不安全

2004-10-01

随着计算机技术的高速发展,原来认为非常神秘的互联网随着新世纪的到来已大步走进千家万户,走进万千商家。上网已成为人们生活、工作中的一个重要组成部分及最重要、最平凡通信手段。 但就象任何其它新生事物一样,互联网的发展也不

随着计算机技术的高速发展,原来认为非常神秘的互联网随着新世纪的到来已大步走进千家万户,走进万千商家。上网已成为人们生活、工作中的一个重要组成部分及最重要、最平凡通信手段。

但就象任何其它新生事物一样,互联网的发展也不是一帆风顺的,关心互联网发展的人一定知道,最最让人们担心的就是互联网上的安全问题,也是互联网发展的最大阻力互联网上的安全性问题最突出的体现在网络信息的窃听和劫持。也许你还记忆犹新,曾几何时,网络的安全问题给认为互联网已经或必将完全胜任商务活动的人们泼了一盆冷水,也给把重宝全押在互联网上的商家留下一个个永远无法愈合的伤痕,就因这样互联网曾一度几乎要被其安全性问题扼杀于摇篮之中。

其实早在1994年,在IAB(因特网体系结构理事会)的一次研讨会上,扩充与安全就被当作关系互联网生死存亡的两个最重要的议题了,但互联网发展至今天在安全问题上还没有得到一个完善的解决方案,甚至有越来越恐怖、越来越复杂的趋势。

下面我就互联网上安全性问题产生的原因方面谈谈我个人的一些看法。

调制解调器是人们常用的一种通讯设备,通过调制解调器和电话线上网还是目前普通网民上网的最主要的选择,通过MORDEM和一条电话线用户就可以访问互联网,也可以用它们在家里访问办公室里的主机或公司的局域网。虽然MORDEM给我们上网带来了极大的方便,但同时也带来了危险。

调制解调器的危险就在于它提供了进入用户网络的另一个入口点,也就是我们平时所说的端口,一般来说打开网络端口点越多,被入侵的可能性就越大。一般一个标准的Intranet结构会包括内、外网段,内网段和外段网之间有防火墙,在内外网段都可能提供拨号服务器,外网段拨号服务器供普通用户使用,内网段拨号服务器供公司的高级职员使用,这两种拨号服务保护方式是不同的。

外网段拨号服务器被置于防火墙外部,它的安全是安全通过防火墙和身份验证服务器来保证。对于内网段的内部网来说,这种服务应该是保密的,而且要严格控制,并应有强大的身份验证系统来保证安全。如果一个黑客通过拨号服务器登录到用户的网络中,那么他就像在用户的公司里使用一台机器一样,他会窃听到用户的内部网络通信。如何才能提高拨号网络的安全性呢?

提高拨号调制解调器安全的方法很多,至少可以通过以下方法来实现:

1、不要把号码广泛流传。

只把号码告诉需要使用该服务的人,同时要对公司员工加强安全意识教育,要求他们也不要把公司内部拨号号码告诉其他人。

2、使用用户名和口令来保护拨号服务器。

口令可以是静态,但最好是一次性口令。我们知道在电话线上可以用Sniffer来窃听口令,但它始终不像在局域网上那么容易,如果入侵者不知道用户名和口令要入侵时需要把探尖插入电话线来窃听电话,这一般是较难做到的。所以用户口令要妥善保存,不要写在任何地方,最好是用脑来记住!

3、使用安全性好的调制调解器。

如回拨调制解调器、安静调制解调器。回拨调制解调器是在连接时要求用户输入用户名和口令,它不会马上为你连接,它会先断开连接,查找该用户的合法电话号码,然后,回拨调制解调器会回拨到该电话号码,并建立起连接。最后,用户就可以输入用户名和口令而进入该系统。这样做虽然比较麻烦,但确实比用一般调制解调器上网安全许多,至少可以杜绝一个账号可以在不同电话机上使用的危险。安静调制解调器在登录完成之前不会发出特殊的“Connection established ”信号,这样可以防止有人按顺序搜索计算机拨号系统的电话号码。

4、在网络上加一个用于核实用户身份的服务器。

只有用户身份被该服务验证后才允许进入该系统,并且服务器可以对登录情况进行审计。这虽然或许会增加公司一些成本开支,但它所带来的安全性效益是难以用钱来衡量的。

5、防范通过调制调解器对Windows NT的RAS访问带来的安全隐患。

我们知道Windows NT的远程访问服务(RAS)给用户提供了一种远程用调制解调器访问远程网络的功能 ,当用户通过远程访问服务连接到远程网络当中,电话线就变得透明了,用户可以访问所有资源,就像他们坐在办公室进而访问这资源一样,RAS调制解调器起着像网卡一样的作用。

但这种RAS在实施过程中存在许多重大的安全隐患。因为RAS服务器和Windows NT服务器使用相同的用户数据库,这使得用户使用起来变得容易,因为用户要用在办公室中使用的同一个用户进行登录,这样可以保证

用户将具有相同的访问权限。但这给网络安全的管理带来了新的难题,为了进行连接,用户必须有一个有效的Windws NT用户帐户和RAS拨入许可,这在用户尝试登录到Windows NT之前,必须被验证。但要用户不在公司,其身份的真实性就很难验证,如果某个系统管理员的账号被一些别有用心的人知道后进行RAS访问,那后果想念大家也一定可以想象得到!

为了防止非法用户通过RAS访问网络就必需加强公司员工账号管理,特别是管理员账号,另一个管理员账号最好不是使用“Administrator”这个账号,对其进行改名,或增加一个同样权限的系统管理员组成员,用户账号也要求经常更改。如雀巢公司就要求所要用户密码至少一个月改一次,而且最近的两次密码不能一样,公司的进、销、存管理软件用户密码至少要求一个星期改一次,这在某种程度上预防了非法用户通过RAS进行非法登录。

相关文章
最新文章
热点推荐