局域网的安全隐患及防护措施.docVIP

局域网所面临的安全隐患及防护措施 一、密码 　　一般在我们的局域网中都使用的是WINDOWS操作系统,WINDOWS采用的是DES的加密方法,然而好多的管理员为了密码好记,往往将密码只设置为4~6位,这样就给一部分黑客可乘之机,轻而易举的获取了管理员的密码。本人也很懒，但是也比较注意安全性，所以能设置密码的地方都设置了密码，但是密码全是一样的。从E-mail信箱到用户Administrator，统一都使用了一个8位密码。我当初想：8位密码，怎么可能说破就破，固若金汤。所以从来不改。用了几个月，没有任何问题，洋洋自得，自以为安全性一流。恰恰在你最得意的时候，该抽你嘴巴的人就出现了。我的一个同事竟然用最低级也是最有效的穷举法把我的8位密码给破了。当初还真的吓出一身的冷汗,因为公司的好多重要数据就保存在我的硬盘上。事后我问他，怎么破解我的密码的，答曰：只因为每次看我敲密码时手的动作完全相同，于是便知道我的密码都是一样的，而且从不改变。这件事情被我引以为戒，以后密码分开设置，采用10位密码，并且一月一更换. 　　从这件事中得出的教训是，密码安全要放在网络安全的第一位。因为密码就是钥匙，如果别人有了你家的钥匙，就可以堂而皇之的进你家偷东西，并且左邻右舍不会怀疑什么。我的建议，对于重要用户，诸如：Administrator的密码要求最少要8位，并且应该有英文字母大小写以及数字和其他符号。千万不要嫌麻烦，密码被破后更麻烦。 　　以下是针对于以上这种情况出现所采取的解决方案: 　　1．采用10位以上密码 　　对于一般情况下，8位密码是足够了，如一般的网络社区的密码、E-mail的密码。但是对于系统管理的密码，尤其是超级用户的密码最好要在10位以上，12位最佳。首先，8位密码居多，一般穷举工作的起始字典都使用6位字典或8位字典，10位或12位的字典不予考虑。其次，一个全码8位字典需要占去4G左右空间，10位或12位的全码字典更是天文数字，要是用一般台式机破解可能要到下个千年了，运用中型机破解还有有点希望的。再次，哪怕是一个12个字母的英文单词，也足以让黑客望而却步。 　　2．使用不规则密码 　　对于有规律的密码，如：a1b2c3d4e5f6，尽管是12位的，但是也是非常好破解的。因为现在这种密码很流行，字典更是多的满天飞，使用这种密码等于自杀。 　　3．使用键盘外围的按键作为密码的组成部分 　　现在的许多破解软件都支持Incremental（渐进）方式的密码组合进行穷举，其核心内容就是引入频率统计信息，即高频先试的原则。所以，对于键盘外围的按键都属于低频使用的按键。运用这些按键组成密码可以防止支持渐进式组合穷举的破解软件。 　　4．使用左右上下按键结合输入的密码 　　把键盘从T、G、B三个键和Y、H、N三个键中间划分成左右部分，从Q~P和A~这两行中间划分为上下部分，这样键盘就被围成了4部分。选取组成密码的按键最好从这4部分中分别选取交叉组合，这样做的目的是防止别人轻易看出并且记住你密码。最好是熟练使用Caps Lock键，可以达到密码安全的最高境界。 　　5．不要选取显而易见的信息作为口令 　　单词、生日、纪念日、名字都不要作为密码的内容。 　　6．使用ZZMONITOR的防密码猜解模块，一发现有其他机器在使用破解工具攻击自己，立即进行断开或者反跟踪攻击。 二、漏洞 　　网络安全性之所以这么低的一个主要原因就是系统漏洞。譬如管理漏洞、软件漏洞、结构漏洞、信任漏洞。如果管理员解决不好结构漏洞和信任漏洞，我想这位管理员应该可以卷着被子回家了。在此主要谈论一下管理漏洞和软件漏洞。这两种漏洞产生的原因也是人为的。 　　主要针对的是Windows 9x系统、Windows 2000系统、SQL Server等 　　不可否认，尽管这些系统的内核和组成有所不同，但通病还是有的，比如容易受到DoS（Denial Of Service，分布式拒绝服务）和OOB（Out Of Band）方式的攻击。这是比较致命的漏洞，但是通过修改注册表、打补丁的方法都可以避免。但是有一点漏洞是不能避免的，就是在Windows系统下运行IIS（Internet Information Server，Internet信息服务），这样约等于自杀。 　　首先，Windows下的密码文件存储时都不能经过shadow，所以只要拿到了这个文件用相应的软件打开，所有的用户名和密码都暴露无遗。其次，现在许多用户喜欢用Windows 2000，原因是不易崩溃。但是很多人都在Windows 2000下安装了IIS，但是他们却不会配置IIS。最可悲的是只要你登陆到Internet，IIS就自动运行，而且端口都是固定的：默认FTP Port 21，默认Web Port 80，默认SMTP Port 2