资讯系统安全策略(V) - 信祥股份有限公司.DOC

信祥事業群Network常識-資訊系統安全策略 重要觀念：不管任何網路系統，均會有發信站與收信站。 入 侵 者 的 追 蹤 (Intruder Tracing) 在 區 域 網 路 上 可 能 你 聽 過 所 謂 「 廣 播 模 式 」 的 資 料 發 送 方 法 ， 此 種 方 法 不 指 定 收 信 站 ， 只 要 和 此 網 路 連 結 的 所 有 網 路 設 備 皆 為 收 信 對 象 。 但 是 這 僅 僅 在 區 域 網 路 上 能 夠 實 行 ， 因 為 區 域 網 路 上 的 機 器 不 多 (和 Internet比 起 來 )。 如 果 想 是 Internet上 有 數 千 萬 的 主 機 ， 根 本 就 不 可 能 實 施 資 料 廣 播 (至 於 IP Multicast算 是 一 種 限 定 式 廣 播 Restricted Broadcast， 唯 有 被 指 定 的 機 器 會 收 到 ， Internet上 其 他 電 腦 還 是 不 會 收 到 )。 假 設 Internet上 可 以 實 施 非 限 定 廣 播 ， 那 隨 便 一 個 人 發 出 廣 播 訊 息 ， 全 世 界 的 電 腦 皆 受 其 影 響 ， 豈 不 世 界 大 亂 ？ 因 此 ， 任 何 區 域 網 路 內 的 路 由 器 或 是 類 似 網 路 設 備 都 不 會 將 自 己 區 域 網 路 內 的 廣 播 訊 息 轉 送 出 去 。 萬 一 在 WAN Port收 到 廣 播 訊 息 ， 也 不 會 轉 進 自 己 的 LAN Port中 。 而 既 然 網 路 皆 有 發 信 站 與 收 信 站 ， 用 以 標 示 資 訊 發 送 者 與 資 訊 接 收 者 ， 除 非 對 方 使 用 一 些 特 殊 的 封 包 封 裝 方 式 或 是 使 用 防 火 牆 對 外 連 線 ， 那 麼 只 要 有 人 和 你 的 主 機 進 行 通 訊 (寄 信 或 是 telnet、 ftp過 來 都 算 )你 就 應 該 會 知 道 對 方 的 位 址 ， 如 果 對 方 用 了 防 火 牆 來 和 你 通 訊 ， 你 最 少 也 能 夠 知 道 防 火 牆 的 位 址 。 也 正 因 為 只 要 有 人 和 你 連 線 ， 你 就 能 知 道 對 方 的 位 址 ， 那 麼 要 不 要 知 道 對 方 位 址 只 是 要 做 不 做 的 問 題 而 已 。 如 果 對 方 是 透 過 一 台 UNIX主 機 和 你 連 線 ， 則 你 更 可 以 透 過 ident查 到 是 誰 和 你 連 線 的。 在 實 行 TCP/IP通 訊 協 定 的 電 腦 上 ， 通 常 可 以 用 netstat指 令 來 看 到 目 前 連 線 的 狀 況 。在 下 面 的 連 線 狀 況 中 ， netstat指 令 是 在 win95上 實 行 的 ， 可 以 看 到 目 前 自 己 機 器 (Local Address處 )的 telnet port有 一 台 主 機 由 遠 端 (Foreign Address 處 )連 線 進 來 並 且 配 到 1029號 tcp port.而 ccunix1主 機 也 以 ftp port連 到 去 。 所 有 的 連 線 狀 況 看 得 一 清 二 楚 。 (如 A、 B) A.在 UNIX主 機 ()看 netstat B.另 一 端 在 Windows 95() 看 netstat 雖 然 是 不 同 的 作 業 系 統 ， 但 netstat是 不 是 長 得 很 像 呢 ？ 　 通 信 過 程 的 紀 錄 設 定 如 果 想 要 把 網 路 連 線 紀 錄 給 記 錄 下 來 ， 你 可 以 用 cron table定 時 去 跑 ： netstat ＞ ＞ filename 但 是 UNIX系 統 早 已 考 慮 到 這 一 個 需 求 ， 因 此 在 系 統 中 有 一 個 專 職 記 錄 系 統 事 件 的 Daemon: syslogd，在 UNIX系 統 的 /var/adm下 面 有 兩 個 系 統 紀 錄 檔 案 ： syslog與 messages， 一 個 是 一 般 系 統 的 紀 錄 ， 一 個 是 核 心 的 紀 錄 。 系 統 的 紀 錄 基 本 上 都 是 由 syslogd(System Kernel Log Daemon)來 產 生 ， 而 syslogd的 控 制 是 由 /etc/syslog.conf來 做 的 。 syslog.conf以 兩 個 欄 位 來 決 定 要 記 錄 哪 些 東 西 ， 以 及 記 錄 到 哪 邊