| 空的或預設的密碼 | 將系統管理員的密碼設為空白,或使用硬體廠商提供的預設密碼:這些情況最常出現在諸如路由器或防火牆等硬體上。雖然某些 Linux 上的服務使用了預設的管理者密碼;但 Red Hat Enterprise Linux 並不提供這類密碼。 | | 較常見於網路硬體,如路由器、防火牆、VPN 與網路附接儲存(NAS)設備。 | | 也常見於許多舊式的作業系統,特別是內建服務軟體的作業系統,如 UNIX 與 Windows。 | | 系統管理員有時候急急忙忙地建立擁有特權的使用者帳號,卻將密碼設為空白:這無異是為發現這漏洞的駭客,開啟一道入侵系統的大門 |
|
| 預設共享的金鑰 | 因為發展或評估測試等用途,安全性服務有時會含有預設的安全金鑰。如果這些金鑰未經修改,就伴隨著軟體在網際網路上公佈,那麼所有擁有這些金鑰的使用者,就可以存取這金鑰所分享出來的資源,以及所有的機密資訊。 | | 最常見於無線網路的應用程式以及預先設定好的安全性伺服器裝置。 | | CIPE(請參考 第6章)內含一個範例的固定金鑰,必須在轉移到生產環境前更改它。 |
|
| 偽冒 IP 位址 | 一部偽裝成您內部網路中某電腦的遠端機器,它會尋找所有伺服器的漏洞,再安裝後門程式或木馬程式,以獲取您網路資源的控制權。 | | 偽冒 IP 位址是相當困難的,因為它牽涉到攻擊者必須能夠預測 TCP/IP SYN-ACK 的封包數量以完成與目的系統的連線,不過有許多種工具可以使用來協助怪客們執行如此的攻擊。 | | 取決於目的系統所執行的服務(例如 rsh、telnet、FTP 等服務)它們使用『來源為主的』認證技術,通常我們不建議使用者使用,通常建議使用者採用 ssh 或 SSL/TLS 所使用的 PKI 或其他形式的加密認證技術。 |
|
| 網路竊聽 | 藉由網路竊聽兩個節點間的連線來收集在兩個使用中節點間所傳輸的資料。 | | 這種類型的網路攻擊最常發生在純文字的傳輸通訊協定,例如 Telnet、FTP 與 HTTP 傳輸。 | | 遠端攻擊者必須先擁有區網中某電腦的控制權,才可以執行這類攻擊;通常怪客會先使用主動式攻擊(譬如偽冒 IP 位址或攔截式攻擊)來入侵這部電腦。 | | 建議您使用加密金鑰交換、單一密碼系統(one-time passwords)、或加密的認證方式等預防方法,來預防密碼被竊取。我們也建議您在傳輸過程中,使用更高等級的加密方式。 |
|
| 服務的弱點攻擊 | 攻擊者將會尋找在網際網路上運作之服務的缺陷或弱點處,透過這些地方,攻擊者將可以入侵整個系統並截取它所擁有的任何資料,還可能導致網路上的其他系統遭受入侵。 | | 例如 CGI 等以 HTTP 協定為基礎的服務,都很容易受到遠端的指令執行、甚至命令殼 (shell) 的存取所攻擊。即使該 HTTP 服務是以諸如 "nobody" 等非特權使用者所執行,攻擊者還是可以獲取一些資訊(例如設定檔或網站架構),或利用阻絕服務(denial of service)的攻擊方式,耗盡系統資源、或讓其他使用者無法連線。 | | 在程式開發與測試階段,某些服務可能藏有不易察覺的漏洞。這些漏洞(例如緩衝區溢位,攻擊者可以利用互動式的命令列提示符號,恣意選用指令,再使用隨機的數值,填滿應用程式所使用的記憶體緩衝區)可以讓攻擊者取得完整的系統管理者權限。 | | 系統管理員必須注意,不要以 root 身份來執行服務,同時隨時留意來自廠商或安全性機構所提供的程式更新與程式錯誤修正。 |
|
| 應用程式的安全性弱點 | 攻擊者會搜尋一般個人電腦與工作站應用程式(如電子郵件用戶端)的缺陷,然後恣意執行程式碼,植入木馬程式方便將來的入侵,甚至毀損整個系統。假如遭入侵的工作站擁有其他電腦的管理權限,那將會對整個網路造成極大的傷害。 | | 因為一般使用者並沒有足夠的專業知識與經驗來預防或偵測系統的入侵,因此工作站與桌上型系統比起由系統管理員管理的伺服器較容易遭受入侵,所以必須強制性的使所有個人明白當他們安裝未經授權的軟體或開啟未經同意的郵件時他們將會面對的風險。 | | 可以實作一些防範的措施,例如設定電子郵件用戶端軟體不自動開啟或執行附件,除此之外,透過 Red Hat Network 或其他的系統管理服務自動更新工作站的軟體,可以減輕佈署安全性措施的重擔。 |
|
| 阻絕服務(DoS)的攻擊 | 一個或一群的攻擊者藉由傳送未經授權的封包到目標機器(可以是伺服器、路由器或工作站)來攻擊一個組織的網路或伺服器的資源,這將導致正當的使用者無法存取這些資源。 | | 阻絕服務攻擊(DoS)的高峰發生在公元 2000 年,地點多半在美國。幾個受歡迎的政府與商業網站突然因為潮水般的 ping 封包湧入,而暫時停止服務。駭客先攻陷多個擁有高網路頻寬的電腦(稱為「zombie」電腦),或將廣播節點的封包轉送出去,再以此癱瘓其他伺服器。 | | 通常來源封包都是偽造的(或是重新廣播送出的),所以很難查出攻擊的來源為何。 | | 管理者可以使用 iptables 與網路 IDS 功能(例如 snort 指令)的輸入過濾技術(ingress filtering,IETF rfc2267),追蹤並防範分散式的 DoS 攻擊。 |
|