您当前位置:首页 > 网管文库 > 网络安全

实施和做好入侵检测的步骤

大势至可以提供从上网行为管理到电脑文件防泄漏、企业数据防泄密一站式解决方案
聚生网管软件下载 是一款专业的上网行为管理系统,有效控制局域网网速、限制网络流量、禁止电脑玩网络游戏、禁止局域网迅雷下载上传、屏蔽网页视频、进行IP和MAC地址绑定、禁止无线路由器接入局域网等
大势至共享文件管理系统下载 是一款专门设置服务器共享文件访问权限,详细记录共享文件访问日志。设置共享文件访问权限,只让读取共享文件而禁止拷贝共享文件、只让修改共享文件而禁止删除共享文件、只让打开共享文件而禁止另存为本地磁盘,禁止拖拽共享文件和打印共享文件等,保护共享安全。
大势至电脑文件防泄密系统下载 是一款有效禁止U盘使用、禁用USB存储设备使用,可以只让使用特定U盘、向USB存储设备复制文件必须输入密码,以及禁止发送邮件附件、禁止使用网盘上传文件、禁止FTP文件上传以及禁止QQ发送文件、禁止微信发送文件等方式泄漏电脑文件,实现企业数据防泄密。
大势至网络准入系统下载 是一款有效禁止外来电脑接入局域网,实现局域网接入认证,禁止外来电脑访问局域网共享文件、禁止局域网电脑修改IP地址、绑定IP和MAC地址、禁止无线路由器接入局域网、隔离局域网电脑,实现局域网网络准入控制。
国内某网络游戏公司服务器被黑客入侵,并有玩家帐号等资料外泄,黑客事件被闹得沸沸扬扬。安全维护、入侵检测及相应的应急处理也将受到重视。目前国内网络存在严重安全问题,而造成这些问题的根本原因多在于企业、单位、组织对安全问题的认识程度和管理员的技术水平。
金山毒霸安全小组从目前国内的黑客事件统计并作严密分析后发现,绝大多数的入侵者只是使用一些常见的漏洞扫描工具然后配合入侵工具而进行的,这些工具都可以从网络上任意下载。从入侵技术上看,根本无高深技术可言,这些工具也多是利用已公布的常见漏洞,比如IIS的几大远程缓冲区溢出获取任意程序执行权限,通过UNICODE这样的编码解析漏洞直接从浏览器上执行程序等,而且这些漏洞也都出现很长时间,如果安全维护得力就可以根本不在乎这些“工具黑客”(Script Guy)了。
首先,对系统进行安全配置是必须做到的,因为操作系统和应用软件通常并不保证足够的安全性,这也是对网络管理员的基本要求。但是同系统安全配置一样,如何进行入侵检测,以及如何进行“有效的”应急处理,绝大多数网络管理员并没有这样的经验和能力,因此这也将成为摆在管理者面前的一大问题。
金山毒霸安全小组从对入侵事件的分析发现,通常的“黑客”入侵手段和过程,一般包括下面这些步骤:
1、黑客们首先确定目标并且收集相关信息(包括邮件地址、相关IP地址、漏洞等等),他们将使用各种漏洞扫描器进行操作;
2、根据得到的信息可能进行渗透,也就是“入侵”,总的说来入侵者就是要尽可能获得足够的权限,而从多数入侵事件分析看出,“工具黑客”仅仅对常见的而且操作简单的漏洞感兴趣;
3、接着就做他们愿意做的事情,获得机密、进行破坏等等;
4、“尽可能”地清除自己留下的痕迹,包括修改、删除系统日志等;
5、最后按照他们的期望(是否再来),安装后门(木马、添加帐号等等)方便以后进入,有更深度入侵打算的入侵者,还会安装网络嗅探器,以便捕获到更多可用的帐号密码等。
从入侵统计上看,现在多数的入侵者并没有专一的入侵目标,在收集信息阶段,基本是按照一个网段一个网段进行的大范围扫描,如果发现有漏洞的主机即开始实施后面的步骤。
对于重视度不够的企业和组织,和那些没有足够技术以及经验的系统管理员来说,所有的这些入侵事件都会显得静悄悄。也由于这些入侵事件的不确定性,因此在日常管理和维护中就应该时刻注意入侵问题,及时发现可疑事件,一个疏忽就可能带来不可估量的损失。这里需要提醒广大的管理员的是,不要过于信赖你们的高价防火墙或者入侵检测系统,能够绕过这些机械的程序的方法简直太多了。因此也要求管理员需要保持高度的警觉,入侵者是不会主动告诉你“狼来了”的。除了通常的安全配置之外,有两点是管理员还需要做到的:详细的事件记录和例行的系统维护,这将让我们能够及时地发现入侵并找到足够的线索。
如何发现是否被入侵呢?那些昂贵的入侵检测系统设备,让很多公司和组织却步。没有入侵检测系统,虽然不能即时性地发现可能发生的入侵事件,但是也同样可以做好检测工作。金山毒霸系统安全小组根据黑客采用的惯用手段分析,例行的检查可以从这些方面进行,以WINDOWS 2000系统为例,而其他操作系统或者设备的安全检查分析基本类似:
1、首先要查看的就是系统正在使用的端口列表。在命令行中输入:netstat Ca 看看自己打开了些什么端口,是否有可疑的地方,你最好能够有一个类似fport这样的端口查看工具,能够同时查看使用端口的进程,大多数木马或者后门都会打开一个自己的端口单独使用,因此从端口上查看能够发现一些木马后门的踪迹。但是,这并不能对付所有的木马,而且一些打开系统后门的方法也不能这样来检查。正如那个网络游戏公司一样,服务器也被安装了后门一样。安装后门通常是入侵者的必做工作,同时后门也是入侵者宣告下次还要来的最明显的标志,也给捕获他们提供很多的途径。
2、打开任务管理器,查看进程列表,及时发现可疑进程,这是一个经验的较量,不要被一些kernel,internet这样的进程所迷惑,入侵者命名的进程往往很接近系统的进程名。一些入侵者使用可隐藏的进程,也可能通过系统进程来达到目的。
3、打开计算机管理,查看用户和用户组管理,是否有可疑用户出现,是否在各个用户组里面存在不该有的帐号,特别是administrators这样的管理员组,按照一些黑客教程的惯用手法,通常把Guest、TsInternetUser 这样的系统提供的帐户,同时也是不被注意的帐户,添加到管理员组里面去。查看共享文件夹,是否出现不该有的共享,正常的配置情况下应该取消所有的共享,但是黑客们为了传送文件等等的方便,会再次打开一些共享,当然,大多数被入侵者打开的共享往往被他们忘记关闭了。顺便再看看会话,说不定入侵者也正好在呢。还需要查看的是,服务,因为把程序启动成为服务能够给入侵者相当多的好处,国内“黑客爱好者”使用最广泛的是小榕的“RemoteNC”这样的后门,它就会在系统中启动一个自己的服务,当然,这个启动的服务名称一定具有相当的欺骗性。
4、对照文件列表。你需要一个类似Regsnap这样类似的工具,通常一些后门都是被安装到系统目录下的,而且“黑客”们也喜欢将自己的文件放置在系统目录里面,因为那里实在是很少人去检查,也更方便执行。比较你的备份文件列表和当前文件列表有什么不同,不要以为一些新增加的类似系统文件名的程序。通常这是最直接的检测方式,如果入侵者安装后门等等,肯定需要放置他们的程序,或者需要清除他们的脚印,“工具黑客”往往也会再上传一个工具用来完成这项任务,但是他们往往忘记删除它。
5、查看各种系统日志。除了系统的日志以外,还需要查看的是你所开服务的日志,比如FTP、IIS等等的日志。这个工作量比较大,而且需要非常有经验。可以从这些方面来查看,以减少工作量:是否出现日记记录断裂(入侵者通常消除他们的痕迹,而且一般都是删除整个日志或者删除部分日志);是否有可疑的帐号登录(使用帐号登录是最直接的入侵手段);是否在不该出现的时间段内发生了不该有的事件,比如晚上12点大家下班后仍有管理员登录。各种服务的日志记录也是发现入侵手段的最有效途径,比如IIS日志能够详细记录下来一个入侵者扫描80端口的全过程,以及他能够获得的有用信息,对于开启WEB服务的服务器来说,多数入侵都是通过这里进入的。这里需要提醒管理员的是,记录日志的时候不光是进行审记,还应该作到一定程度上的跟踪记录。
请你相信,不管入侵者怎么掩盖自己的行为,在系统中仍然能够找到各种各样的痕迹,让你能够发现是否被入侵过。比如大多数入侵者可能想尽办法对付系统日志,但是却往往“兴奋”得忘记删除一些他们临时使用的文件。
不要以为上面的检测内容非常复杂,如果每天都象上面这样作一次检查的话,也花不了多少时间。金山毒霸系统安全小组建议系统管理员至少每天都进行一定程度的安全检查。惯例性地进行入侵检查,在即使被入侵了的情况,这也能够尽量使损失减到最小,并及时发现问题。

    大势至软件官网,禁止USB接口,禁止电脑上网聊天,限制局域网下载速度,控制其他主机网速,网页监控软件

    大势至公司可以独家提供从局域网网络行为管理、电脑资料防止泄密管控和信息安全防护一站式解决方案
    聚生网管网络管理系统下载 是一款专门的办公室电脑监控软件、局域网网络控制软件,可以禁止网络游戏、禁止上班炒股、禁止P2P软件下载、禁止在线看视频、局域网限制别人网速等,以及绑定局域网IP和MAC地址,防止ARP攻击行为等。
    大势至文件共享管理软件下载 是一款专门的共享文件夹访问日志记录软件、服务器共享文件访问权限设置软件,可以实现只让读取共享文件而禁止复制共享文件、只让打开共享文件而禁止另存为本地和禁止拖拽共享文件以及只让修改共享文件而禁止删除共享文件,保护服务器共享文件安全,防止共享文件越权访问。
    大势至企业数据泄密防护系统下载 是一款专门保护电脑文件安全,防止U盘复制文件、禁用USB端口的软件,同时还可以屏蔽邮件附件、禁止登录网盘上传文件、禁止FTP软件发送文件、禁止微信发送文件、禁止QQ发送文件等,防止各种途径泄密。
    大势至局域网接入认证系统下载 是一款专业的局域网网络准入控制系统,有效阻止外来电脑接入局域网、禁止外来上网上网、禁止非单位电脑访问局域网共享文件、隔离局域网电脑、进行IP和MAC地址绑定、禁止修改IP地址等,保护局域网安全。
    大势至公司网络管理产品:
     
    1、聚生网管局域网流量管理工具软件(点击下载),是国内最早、最专业的局域网监控软件、上网行为控制系统,可以有效管理公司局域网电脑上网行为,有效屏蔽迅雷下载、禁止迅雷上传,禁止pps上传、禁止看qq直播、禁止局域网玩游戏、禁止登录QQ游戏大厅、禁止员工炒股、限制上班看电影、进行局域网带宽限制、控制打开网页、禁止局域网网购、监控邮件内容、监控邮件附件、记录论坛发帖留言、防ARP攻击、查找局域网手机、禁止手机接入公司局域网、禁止私自安装无线路由器上网、防止无线局域网蹭网等;

    2、网络特警上网行为管理设备(点击下载),专业的上网行为管理服务器、比上网行为管理路由器、上网管理路由器更强大,可以有效禁止电脑游戏、屏蔽网页游戏、限制局域网看视频、禁止别人看视频、限制P2P软件使用、禁止快车下载、局域网控制迅雷下载、限制股票软件、禁止上班炒股行为、进行局域网流量监控、限制带宽软件,禁止员工网络购物、屏蔽购物网站、屏蔽网页视频网站,并且独创了“创新直连”监控模式,国内最快捷、最简单、最安全控制多网段电脑上网行为,监控效率和综合性能最强的硬件网络管理系统、上网行为管理系统。

    3、大势至USB端口管理工具(点击下载),一款强大的USB端口控制系统,有效禁用USB端口使用、屏蔽U口、禁止电脑使用U盘、屏蔽优盘使用、禁用优盘,禁止移动硬盘使用、禁止手机存储卡使用,可以有效地屏蔽USB存储设备而不影响USB鼠标键盘和非USB设备的使用;同时,还可以禁止修改注册表、禁止修改组策略、禁止修改msconfig启动项、禁止修改计算机管理、禁止F8键进入安全模式、禁止U盘启动电脑、禁止光驱启动电脑;此外,还可以只允许电脑访问特定网站,只让打开特定程序、只让运行特定软件或者禁止运行某些程序、禁止访问某些网站等;

    4、大势至文件共享服务器监控软件(点击下载),是一款强大的共享文件服务器监控软件、服务器文件管理系统、服务器文件访问控制软件,最有效监控服务器共享文件的访问,详细记录修改服务器共享文件、删除服务器共享文件、复制服务器共享文件、剪切服务器共享文件或者打印服务器共享文件的行为,以及重命名共享文件等;同时,记录访问共享文件者的IP地址、MAC地址、主机名和域账号等信息,从而可以为网管员提供详细的服务器文件访问日志,便于加强服务器共享文件管理,保护单位无形资产和商业机密等;

    5、大势至局域网网络准入管理系统(点击下载),是一款专业的公司局域网接入管理软件、内网接入控制系统,可以有效防止非公司电脑访问公司局域网、禁止外部电脑访问公司局域网、限制外来电脑接入公司局域网、禁止手机接入公司局域网、禁止手机无线上网、限制平板电脑无线上网,检测局域网处于混杂模式的网卡,防止局域网抓包、防止局域网嗅探;同时,还可以查找局域网无线路由器,禁止无线路由器接入公司局域网,禁止无线路由器上网,禁止局域网启用代理,限制员工代理上网,禁止电脑安装代理软件为其他电脑提供代理上网服务等;

    6、大势至共享文件夹权限设置软件(点击下载),是一款专门由于管理共享文件访问、进行共享文件访问权限设置的软件,通过在开启共享文件的电脑或服务器安装以后就可以为本地账号分配共享文件的不同访问权限,这样局域网用户访问共享文件的时候就只能“读取”共享文件而禁止拷贝共享文件的内容、禁止将共享文件另存为本地磁盘、禁止打印共享文件;同时,对共享文件加密后用户访问共享文件的时候将被限定在一个特定的共享文件列表框内访问操作,可以禁止拖拽共享文件、禁止拷贝共享文件、禁止剪切共享文件到访问者自己的电脑,从而也可以防止U盘复制共享文件、防止通过网盘上传共享文件、防止通过FTP上传共享文件以及防止通过QQ将共享文件发送到外面去,从而全面保护了共享文件的安全。

    7、大势至FTP服务器文件操作记录软件(点击下载) ,是一款专门监控FTP服务器文件访问操作日志的软件,可以详细记录局域网用户对FTP服务器文件的上传、下载、修改、删除、重命名等操作日志,可以记录访问者的FTP账户、IP地址、MAC地址和主机名等信息,并可以将FTP服务器文件操作日志导出为Excel格式,从而便于网管员实时审计局域网用户对FTP服务器文件上传和FTP服务器下载文件的情况,便于更好地保护FTP服务器的文件安全,保护单位无形资产和商业机密。

点击量:1000
公司简介:大势至公司是国内最早的企业网管软件提供商,可以为企事业单位提供整体的企业网络管理方案和企业网络管理平台,通过全系列的公司监控员工电脑软件教你如何控制员工上网、如何控制局域网内电脑上网以及如何保护电脑文件安全等。公司核心产品“聚生网管系统”是一款专门的公司网管必备软件、查看网络流量软件、网络流量监控软件和办公室电脑监控软件;“网络特警”则是一款专门的网络流量监控设备、上网行为管理服务器、网络行为管理设备,可以实现更为强大的局域网网络行为管理;大势至USB接口禁用软件则是一款专门的数据防泄密产品、屏蔽U盘软件、电脑USB端口禁用软件,可以严防通过一切途径泄露电脑文件,保护单位无形资产和商业机密安全;大势至共享文件夹管理软件则是一款专门的共享文件权限设置软件和共享文件设置密码软件,全面保护共享文件安全;大势至共享文件审计系统则是一款专门的服务器共享文件夹设置软件、服务器共享文件访问日志记录软件,可以详细记录局域网用户访问共享文件的行为,更好地管理共享文件的安全;大势至局域网网络准入控制系统则是一款专门防止未经授权的电脑接入公司局域网的行为,防止外来电脑访问局域网共享文件、防止蹭网以及绑定IP和MAC地址,保护网络安全;大势至FTP服务器日志记录软件则是一款专门记录局域网用户访问FTP服务器日志的软件,可以有效保护FTP服务器文件安全。
收缩

售前咨询

  • 电话:010-82825512
  • 电话:010-82825051
  • 电话:010-82825052
  • 电话:010-62656060

技术支持

  • 电话:010-82825062