網(wǎng)絡(luò )安全知識大闖關(guān)答案(網(wǎng)絡(luò )安全知識)
1.網(wǎng)絡(luò )安全知識
網(wǎng)絡(luò )系統安全管理措施 網(wǎng)上大部分的攻擊是針對網(wǎng)絡(luò )上的服務(wù)器系統 , 其中包括電子郵件 , 匿名 FTP, WWW, DNS, News 等服務(wù)系統。
這些系統大都是運行在 UNIX 系統上的,其中有 SUN 的 Solaris, SCO UNIX, HPUX, SGI 的 IRIX, IBM 的 AIX, 和 Linux 等。系統之所以易受攻擊,有各方面的因素。
首先是這些系統知名度高,容易引起注意,其次,系統本身存在漏洞。我們一方面可采用一些防衛性措施; 另一方面, 網(wǎng)絡(luò )系統管理員可以應用一些工具,來(lái)查找系統安全漏洞,或從網(wǎng)上截獲報文進(jìn)行分析。
下面我們以 Sun 的 Solaris 為例 , 來(lái)具體介紹可采用哪些安全防衛措施。 (一)安裝系統補丁程序 (Patch) 任何操作系統都有漏洞,作為網(wǎng)絡(luò )系統管理員就有責任及時(shí)的將補丁( Patch )打上。
SUN 公司為了彌補他們的操作系統的安全漏洞 , 在他們的網(wǎng)站上及時(shí)的提供了大量的 Patch, 這些 Patch 程序可以從各地的 SUNSITE 站點(diǎn)獲取。這些 Patches 在北大 FTP 上的地址是 : ftp://ftp.pku.edu.cn/pub/Sun/sun-info/sun-patches (二)采用最新版本的服務(wù)方軟件 和操作系統一樣,在服務(wù)器上運行的服務(wù)方軟件也需要不斷的更新,而且新版本的軟件往往提供了更多更好的功能來(lái)保證服務(wù)器更有效更安全的運行。
為了將安全漏洞降低到最小 , 系統管理員必須及時(shí)更新服務(wù)方軟件。下面給出幾個(gè)目前最新版本的服務(wù)方軟件: * 域名服務(wù) DNS 軟件 : Bind-8.x * 匿名 FTP 軟件 : Wu-ftpd2.4.2-academ[BETA-18] 版 * 鏡像軟件 : Mirror-2.9 版 * Sendmail : Sendmail8.9.x 版 * News : INN2.1 版 * HTTPD : Apache_1.3. x 版 這些版本更新得非常快,大家可以跟蹤他們的正式家目錄來(lái)獲得最新軟件。
( 三 ) 口令安全 口令可以說(shuō)是系統的第一道防線(xiàn),目前網(wǎng)上的大部分對系統的攻擊都是從截獲或猜測口令開(kāi)始的,一旦黑客進(jìn)入了系統,那么前面的防衛措施幾乎就沒(méi)有作用。所以對口令進(jìn)行安全地管理可以說(shuō)是系統管理員的重要職責。
目前大多數的 Unix 系統都將用戶(hù)賬號信息和加密口令分開(kāi)存放,在 /etc/passwd 文件中不在包含加密口令,而加密口令是存放在 /etc/shadow 文件中,該文件只有超級用戶(hù) (root) 可讀。在這里特別須注意的是一些系統帳號,如 uucp, ftp,news 等,一定不要給它們設置 /bin/sh,/bin/csh 等 Shell 變量,可以在 /etc/passwd 中將它們的 Shell 變量置空,或設為 /bin/ftponly 等。
/bin/ftponly 可以是一個(gè)簡(jiǎn)單的 Shell 程序,如下: # ! /bin/sh echo “ Sorry, ftp only allowed.” exit 0 不要忘記在 /etc/shells 中加入 /bin/ftponly 。 (四)文件目錄權限 特別要注意系統中那些所有這為 root 的 SUID, SGID 的文件,因為一旦有黑客進(jìn)入你的系統,他可通過(guò)這些程序獲得超級用戶(hù)權限。
目前 Interenet 上有不少工具軟件可幫助你來(lái)檢查權限,在下面我們會(huì )介紹。 (五) 限制網(wǎng)絡(luò )用戶(hù)對系統的訪(fǎng)問(wèn) 這種限制分兩步 : 1) 通過(guò) IP 地址來(lái)限制 , 這是通過(guò)安裝 TCP_Wrappers 軟件來(lái)實(shí)現的。
該軟件可對系統進(jìn)行 telnet, ftp, rlogin, rsh, finger, talk 等訪(fǎng)問(wèn)的 IP 進(jìn)行了控制 , 比如你可以只允許網(wǎng)控中心內部的一些機器對服務(wù)器進(jìn)行這些操作。 2) 超級用戶(hù)口令 , 只允許系統管理員知道 , 并要求定期修改。
另外,不允許用戶(hù)遠程登陸來(lái)訪(fǎng)問(wèn) root, 這是在系統文件 /etc/default/login 中缺省設置好的。 (六)關(guān)閉不必要的服務(wù)端口 通過(guò)修改 /etc/services 和 /etc/inetd.conf 文件 , 將不需要的服務(wù)和服務(wù)端口關(guān)閉。
(七)定期對服務(wù)器進(jìn)行備份 為了防止不能預料的系統故障 , 或用戶(hù)不小心的非法操作 , 必須對系統進(jìn)行了安全備份。除了對全系統進(jìn)行每月一次的備份外 , 還應對修改過(guò)的數據進(jìn)行每周一次的備份。
同時(shí)應該將修改過(guò)的重要的系統文件存放在不同的服務(wù)器上 , 以便在系統萬(wàn)一崩潰時(shí) ( 通常是硬盤(pán)出錯 ), 可以及時(shí)地將系統恢復到最佳狀態(tài)。 目前各類(lèi) Unix 系統都有功能很強的備份工具,如 Solaris 中的 ufsdump 和 ufsrestore 。
(八)設置系統日志 通過(guò)運行系統日志程序, 系統會(huì )記錄下所有用戶(hù)使用系統的情形,包括最近登陸時(shí)間,輸入過(guò)的每一條命令,磁盤(pán)空間和 CPU 占用情況。日志程序會(huì )定期生成報表,通過(guò)對報表進(jìn)行分析,你可以知道是否有異常現象。
比如,如果你發(fā)現有某一帳號總是在半夜登陸,就要警惕了,也許該帳號已被盜用;如果某一系統帳號象 uucp 有人登陸或占用大量的 CPU 或磁盤(pán),也要引起注意。 Solaris2.x 中,通過(guò)運行 /etc/init.d/acct start|stop 來(lái)啟動(dòng)或停止系統日志的運行,所有的日志信息是放在 /var/adm/acct 目錄下。
運行系統日志的主要缺點(diǎn)是要占用大量的磁盤(pán)空間。 (九)定期檢查系統安全性 . 這種檢查是通過(guò)定期運行系統安全檢測工具來(lái)實(shí)現的。
通過(guò)這些工具 , 可以檢查 : ¨ 用戶(hù)口令的安全性 , 包括口令的內容 , 格式 , 存活期等。 ¨ 文件被訪(fǎng)問(wèn)權限的合法性 , 包括 SUID 文件存在與否 , 權限為 777 或 666 的文件或目錄 , 系統文件一致性檢查 , 用戶(hù)家目錄和啟動(dòng)文件的合法性檢查等。
¨ 匿名 FTP 設置安全性檢查。 ¨ 對 tftp, sendmail 中的 decode alias, inetd.conf 中的隱含 shells 等的檢查。
¨ 對 NFS 文件系。
2.計算機網(wǎng)絡(luò )安全技術(shù)試題
1. 最有效的保護E-mail的方法是使用加密簽字,如( B ),來(lái)驗證E-mail信息。通過(guò)驗證E-mail信息,可以保證信息確實(shí)來(lái)自發(fā)信人,并保證在傳輸過(guò)程沒(méi)有被修改。
A. Diffie-Hellman
B. Pretty Good Privacy(PGP)
C. Key Distribution Center(KDC)
D. IDEA
2. 黑客要想控制某些用戶(hù),需要把木馬程序安裝到用戶(hù)的機器中,實(shí)際上安裝的是(B)
A. 木馬的控制端程序
B. 木馬的服務(wù)器端程序
C. 不用安裝
D. 控制端、服務(wù)端程序都必需安裝
3. 下列不屬于包過(guò)濾檢查的是(D)
A. 源地址和目標地址
B. 源端口和目標端口
C. 協(xié)議
D. 數據包的內容
4. 代理服務(wù)作為防火墻技術(shù)主要在OSI的哪一層實(shí)現(A)
A. 數據鏈路層
B. 網(wǎng)絡(luò )層
C. 表示層
D. 應用層
5. 加密在網(wǎng)絡(luò )上的作用就是防止有價(jià)值的信息在網(wǎng)上被( D本題答案說(shuō)法不一個(gè)人認為是D)。
A. 攔截和破壞
B. 攔截和竊取
C. 篡改和損壞
D. 篡改和竊取
6. 按照可信計算機評估標準,安全等級滿(mǎn)足C2級要求的操作系統是(D)
A. DOS
B. Windows XP
C. Windows NT
D. Unix
7. 下面關(guān)于口令的安全描述中錯誤的是(B和D說(shuō)的都不是很正確。。)`
A. 口令要定期更換
B. 口令越長(cháng)越安全
C. 容易記憶的口令不安全
D. 口令中使用的字符越多越不容易被猜中
8. 不對稱(chēng)加密通信中的用戶(hù)認證是通過(guò)(B)確定的
A. 數字簽名
B. 數字證書(shū)
C. 消息文摘
D. 公私鑰關(guān)系
9. 對于IP欺騙攻擊,過(guò)濾路由器不能防范的是( D ) 。
A.偽裝成內部主機的外部IP欺騙
B.外部主機的IP欺騙
C.偽裝成外部可信任主機的IP欺騙
D.內部主機對外部網(wǎng)絡(luò )的IP地址欺騙
10.RSA加密算法不具有的優(yōu)點(diǎn)是(D)
A.可借助CA中心發(fā)放密鑰,確保密鑰發(fā)放的安全方便
B.可進(jìn)行用戶(hù)認證
C.可進(jìn)行信息認證
D.運行速度快,可用于大批量數據加密
11.PGP加密軟件采用的加密算法(C)
A.DES
B.RSA
C.背包算法
D.IDEA
12.以下說(shuō)法正確的是(D)
A.木馬不像病毒那樣有破壞性
B.木馬不像病毒那樣能夠自我復制
C.木馬不像病毒那樣是獨立運行的程序
D.木馬與病毒都是獨立運行的程序
13.使用防病毒軟件時(shí),一般要求用戶(hù)每隔2周進(jìn)行升級,這樣做的目的是(C)
A.對付最新的病毒,因此需要下載最新的程序
B.程序中有錯誤,所以要不斷升級,消除程序中的BUG
C.新的病毒在不斷出現,因此需要用及時(shí)更新病毒的特征碼資料庫
D.以上說(shuō)法的都不對
14.防火墻的安全性角度,最好的防火墻結構類(lèi)型是(D)
A.路由器型
B.服務(wù)器型
C.屏蔽主機結構
D.屏蔽子網(wǎng)結構
剩下的由高人來(lái)補。
