论坛: 黑客进阶 标题: 安全管理员有关安全管理的问题!! 复制本贴地址    
作者: chiruwn [chiruwn]    论坛用户   登录
各位安全管理员你们好!因为我在写一片有关安全管理员进行安全管理最常见最麻烦的问题的解决方法,但是本人没有做过安全管理员,所以还请各位提出一些安全管理员常见的安全问题,在下在这里先谢过了!!回贴的同志如果需要,请留言我写好之后就贴。另外,还请版主通融一下不要删!

地主 发表时间: 05/23 13:40

回复: sunshine [bysx]   论坛用户   登录
如何限制只用域名访问不允许用IP访问?

B1层 发表时间: 05/23 23:32

回复: magic [buaaytt]   论坛用户   登录
如何处理每天那么多的日志?

B2层 发表时间: 05/24 10:52

回复: sunshine [bysx]   论坛用户   登录
如何防止反向telnet?

B3层 发表时间: 05/24 22:12

回复: TomyChen [quest]   版主   登录
1。熟悉网络拓扑图。这是最重要的,没有这点,谁都甭谈管理网络。
2。对付常见,最常见的远程攻击~如~IPC$等等类似于这种或者基于这种的
3。网络出现问题后,被入侵后做出的响应。

大点上提出,细节的话,自己描写:)

B4层 发表时间: 05/25 09:49

回复: group [group]   论坛用户   登录
如何限制只用域名访问不允许用IP访问? 
在IIS里面设置多域名,就很容易的限制了,最简单的虚拟主机技术

如何处理每天那么多的日志? 
你去下载一个日志分析的工具,如果一行一行看,累死你

如何防止反向telnet? 
这个好像要考虑木马的问题吧,或者用防火墙
 


B5层 发表时间: 05/26 09:10

回复: chiruwn [chiruwn]   论坛用户   登录
555~~~~~~~~~~~~~看到各位仁兄这样支持,小弟深表感谢,各位让我感受到了人间的温暖,这世上还是好人多(狂吐中,以马屁的功力来说不当个部长实在可惜)。好!闲言碎语不要讲,表一表山东好汉五二郎(靠!这关五二郎鸟事)。这篇主要是利用网络安全产品能帮助管理员做哪些事情,如有不周还请提出!

B6层 发表时间: 05/26 10:16

回复: chiruwn [chiruwn]   论坛用户   登录
   随着计算机技术、Internet利用的发展,计算机安全问题渐渐成为一个焦点的问题,尤其是在现今的数字化时代,怎样保证计算机的安全呢?相信不少人会说使用防火墙、IDS等,这并不是不正确,但是这些网络安全设备并不是最主要的,一个好的网络安全管理员才是网络安全真正需要的,而网络安全设备使更好的帮助网络管理员进行网络安全规划的,下面我们就谈谈如何通过SafePro网络安全系列产品来帮助安全管理员进行安全工作。
   在一个企业网络中一个安全管理员可能同时管理着几十台甚至上百台计算机,而且计算机的用户水平又参差不齐,面对着如此之大的工作量管理员如何才能保障网络的安全呢?

    日志对于网络安全是相当重要的,通过它可以发现入侵者以及入侵者的行为,这就是为什么当黑客占领一台计算机后把抹掉痕迹(修改日志)看得十分重要。庞大的日志如果说每天人为的检查的话,将是一份又耗时又单调的工作,没有一个管理员可以这样日复一日年复一年的进行这样的工作,就算是不考虑工作效率,这样的工作也会使忍受不了。
    SafePro主机安全系统的日志分析项目可以有效的避免管理员进行这样重复单调的工作,系统自动的检测所有日志,并且不会出现人为的疏忽,更加的快速、准确、细致,使用SafePro主机安全系统不但可以很好的帮助管理员分析日志,而且还可以自定义自动检测,使管理员的工作量大大的减轻。SafePro主机安全系统会在检测后自动生成一份详细报告,并可以智能的分析风险的级别,帮助管理员以最快的速度看到自己项要看到的内容。

    安装程序的目的是尽快安装系统,在尽可能减少管理员工作的情况下,激活尽可能多的功能,为实现这个目的,脚本通常安装了大多数用户所不需要的组件,软件开发商的逻辑是最好先激活还不需要的功能,而不是让用户在需要时再去安装额外的组件。这种方法尽管对用户很方便,但却产生了很多危险的安全漏洞,因为用户不会主动的给他们不使用的软件组件打补丁。而管理员管理着很多的计算机,如果一台一台的去检查或者配置,将是一项庞大的工程,而且用户可能每天都有安装新的软件,这样就给管理员造成了很大的不便。这样的危险性在于,如果有一台计算机被入侵者控制,那么入侵者就会利用着台计算机在内网中可信任的身份对重要的服务器或者有重要数据的计算机发起攻击。
    SafePro主机安全系统中的系统检测项目可以帮助管理员快速的检查客户机的配置状况以及默认安装所带来的漏洞,并且可以根据漏洞的危害性定出风险的级别,这样就会提高管理员的工作效率,减轻管理员的重复无用的工作。同样,SafePro主机安全系统所生成的报告一目了然,可以直接选择重点察看,而不用一条一条的察看,帮助管理员抛弃这种枯燥的低效率工作。

   基于访问控制的防火墙,对于正常端口的攻击防御能力是很低的,比如说25端口来的邮件攻击,防火墙就很难防御,对于防火墙不能防御的攻击,管理员十分敏感既要随时监视网络不正常状态,同时还要忙于其它的工作,这样对管理员又费心、又费力。
   状态检测和异常发现技术相结合的SafePro入侵检测系统采用协议分析,使之能快速准确的检测出各种类型的攻击。管理员可以自定义检测范围、检测种类、报警和阻断等等,在方便管理员的同时并有何防火墙出色的联动能力,使整个网络的安全设备变成相互联系的,从而提高了网络的安全性。入侵检测采用旁听监测技术,并把数据包的内容与自身的漏洞库进行一一的匹配,如果发现有攻击行为就进行报警或阻断。

   网络安全设备是多种多样的,一个网络中可能有好几家的网络安全设备,每个安全设备又都有自己的管理界面,令管理员十分痛疼的是来回在管理界面中切换不但影响工作效率合思路,还容易发生错误。
   SafePro网络安全系列产品入侵检测、主机安全、网络扫描等,采用三层架构,同一个管理界面,不但使用起来方便简单还能确实有效的使几个不同功能的安全设备产生良好的互动性。大大的减轻了管理员负担的同时也提高了工作效率。

   一个大型的网络不可能只有一种操作系统,多种操作系统并存也就意味着一个管理员必须同时熟悉好几种操作系统,没有统一平台的管理界面,对于管理员来说将是十分麻烦的。如何能避免这种麻烦呢?我们可以采用代理端-控制端模式。
   SafePro网络安全系列产品,支持代理端-控制端模式,代理端支持的操作系统有Windows、UNIX、Linux、SCO OpenServer、HP UX、IBM AIX等多种操作系统,管理端则用Windows NT/2000操作系统进行统一的管理。而且SafePro网络安全产品支持三层驾构使多级网络的大型企业管理员总体安全管理更加容易。

   对于IP碎片攻击也使管理员十分头痛,很多网络安全设备都不能有效的防止这种攻击,这使管理员安全管理上出现了很大的漏洞。如防火墙根本不能防御,而大部分的入侵检测的IP碎片重组连带出现了几大问题:1.分组乱序到达的碎片。2.IP碎片的第一片有总长度,多数入侵检测系统会根据此长度预先分配缓冲等待后续碎片。这样带来新问题,攻击者可以仅发送第一片碎片,使入侵检测系统分配大量缓冲区从而宕机。3.多数入侵检测系统没有IP校验和机制,使攻击者得以用垃圾数据淹没入侵检测系统,使之无法区分信息。4.错误的IP头选项也会使攻击者得以用垃圾数据淹没入侵检测系统。
   下面我们来看一下SafePro入侵检测系统对IP碎片的处理方法:在入侵检测中,分析单个的数据包会导致更多的误报和漏报。当系统发现有分片出现时,首先级对各个分片作预重装/预封装,从而可以清楚的知道该数据包的真正用意。IP分片的重组可以提高检测的精确度,还可以检测利用IP碎片进行的攻击。如果网络入侵检测系统没有重组IP分片的能力,将无法检测通过IP分片进入的攻击数据。SafePro入侵检测系统针对以上第一种攻击,实现了IP碎片重组,可以检测此类攻击;针对第二种攻击,不采用预分配缓冲机制,用捎带查找机制检测此类攻击;针对第三种攻击,实现了IP校验和算法,可以检测此类攻击;针对第四种攻击,用完善的IP选项检查机制检测此类攻击。SafePro入侵检测系统大大帮助了网络管理进行网络安全管理,使管理员可以不用对于琐碎的事而分心。

   对于没有见过的攻击,不管是网络安全设备还是网络安全管理员都感觉无能为力,甚至于没有办法发现新的攻击,在茫然不知的情况下依旧使用该网络系统,所带来的危害是很大的,这就等于在使用着一个会随时爆炸的定时炸弹,这我们就需要网络安全设备有一定的“智能”。
   异常检测(Anomaly Detection)的假设是入侵者活动异常与正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反器统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动文档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。SafePro入侵检测系统结合入侵检测的统计模型可以较好的建立“活动简档”,从而较好的完成对未知入侵或“不正常”的网络行为的检测。




B7层 发表时间: 05/26 10:18

回复: sunshine [bysx]   论坛用户   登录
我想请大家看好我的问题,你们那些似是而非的回答你们不觉得丢脸吗?如果你们不知道答案,我可以告诉你们,但那些决非三言两语所能说清,有时间我写个教材给你们看看,你们就知道什么叫入侵了.

B8层 发表时间: 05/26 21:00

回复: chiruwn [chiruwn]   论坛用户   登录
楼上的老兄!请你看清楚标题,你能把你遇到的问题说出来我很感谢,但是我所写的是如何通过网络安全产品帮助管理员,你技术再好,也不可能说只要自己一个人就可以保证网络的安全,一个真正的安全人员是要会实用网络安全工具的,你要是又什么技术,可以发一篇贴子啊!要不就少说点这样的话!

B9层 发表时间: 05/27 11:38

回复: intrusive [intrusive]   论坛用户   登录
我考过计算机安全员证书,是关于计算机信息安全,这所谓的安全不单是要阻挡黑客的intrusive(中文不会打)。反证就很多,你可以看看网络公安网站!

B10层 发表时间: 10/25 05:05

论坛: 黑客进阶

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号