空的或預設的密碼 | 設定系統管理員的密碼為空白,或使用產品販售商所提供的預設密碼。 這種情況最常出現在如路由器與 BIOS 的硬體上,然而在 Linux 上執行的某些服務仍含有預設的系統管理員密碼 (不過 Red Hat Enterprise Linux 中不收錄這些服務) | 較常見於與網路連線的硬體,如路由器、防火牆、VPN 與網路附接儲存(NAS)設備。 | 也常見於許多舊式的作業系統,特別是已附加服務軟體的作業系統,如 UNIX 與 Windows。 | 系統管理員有時候會因為匆忙地建立含有特權的使用者,而將密碼設為空白,這等於替發現該特權使用者的惡意使用者開啟了一個入侵系統的大門 |
|
預設共享的金鑰 | 安全性的服務有時會包裝預設的安全金鑰以用作程式開發或評估測試的用途,假如都沒有更改這些金鑰,並將它們放置在可經由網際網路存取的生產環境中, 任何擁有同一預設金鑰的使用者都可以存取這個共享金鑰的資源以及其中任何的重要資訊 | 最常見於無線網路的應用程式以及預先設定好的安全性伺服器 裝置。 | CIPE (請參考 第6章) 內含一個範例的固定金鑰,必須在轉移到生產環境前更改它。 |
|
偽冒 IP 位址 | 一部遠端的機器充當您內部網路的一個節點,再尋找您伺服器的弱點,然後安裝一個 後門程式或木馬程式以獲取您網路資源的控制。 | 偽冒 IP 位址是相當困難的,因為它牽涉到攻擊者必須能夠預測 TCP/IP SYN-ACK 的封包數量以完成與目的系統的連線,不過有許多種工具可以使用來協助怪客們執行如此的攻擊。 | 取決於目的系統所執行的服務 (例如 rsh, telnet, FTP 等服務)它們使用『來源為主的』認證技術,通常我們不建議使用者使用,通常建議使用者採用 ssh 或 SSL/TLS 所使用的 PKI 或其他形式的 加密認證技術。 |
|
網路竊聽 | 藉由網路竊聽兩個節點間的連線來收集在兩個使用中節點間所傳輸的資料。 | 這種類型的網路攻擊最常發生在純文字的傳輸通訊協定,例如 telnet, FTP 與 HTTP 傳輸。 | 遠端的攻擊者必須能夠存取區網中的一部可入侵的系統,才可以執行如此的攻擊;通常怪客們已經使用主動的攻擊(譬如偽冒 IP 位址或攔截式攻擊)來入侵區網中的一部系統。 | 建議您使用加密金鑰交換的服務、單一密碼系統 (one-time passwords) 或加密的認證方式等預防方法來預防密碼被竊取,以及在傳輸過程中使用較安全的加密方式。 |
|
服務的弱點攻擊 | 攻擊者將會尋找在網際網路上運作之服務的缺陷或弱點處,透過這些地方,攻擊者將可以入侵整個系統並截取它所擁有的任何資料,還可能導致網路上的其他系統遭受入侵。 | 例如 CGI 等 HTTP 為基礎的服務都很容易受到遠端的指令執行 甚至命令殼 (shell) 的存取所攻擊,即使該 HTTP 服務是以一個如 "nobody" 的非特權使用者所執行,仍然可以讀取到如設定檔案與網路圖解等資訊,或者該攻擊者可以 啟動一個阻絕服務(denial of service)的攻擊,來耗盡整個系統的資源或使得其他使用者無法存取該系統。 | 在程式開發與測試階段,某些服務也許會在不知覺的情況下出現弱點,例如緩衝區溢位(buffer overflow) 的弱點,這是由攻擊者使用超過該服務所能接受的數量填滿可定址的記憶體、瓦解服務並給予攻擊者一個互動式的命令列提示符號,以使得他們能執行專斷的指令來獲取存取權。 | 系統管理員必須要確定不能以 root 使用者來執行服務,並且隨時注意來自應用程式廠商或如 CERT 與 CVE 等安全性機構的程式更新與程式錯誤修正。 |
|
應用程式的安全性弱點 | 攻擊者會搜尋一般工作站應用程式(如電子郵件用戶端)的缺陷,然後執行專斷的程式碼, 並植入木馬程式以便將來的入侵,甚至毀損整個系統。 假如該部遭入侵的工作站對網路中 的其他電腦擁有管理的權限,則將會對其他電腦造成更大的傷害。 | 因為一般使用者並沒有足夠的專業知識與經驗來預防或偵測系統的入侵,因此工作站與桌上型系統比起由系統管理員管理的伺服器較容易遭受入侵,所以必須強制性的使所有個人明白當他們安裝未經授權的軟體或開啟未經同意的郵件時他們將會面對的風險。 | 可以實作一些防範的措施,例如設定電子郵件用戶端軟體不自動開啟或執行附件,除此之外,透過 Red Hat Network 或其他的系統管理服務自動更新工作站的軟體,可以減輕佈署安全性措施的重擔。 |
|
阻絕服務(DoS)的攻擊 | 一個或一群的攻擊者藉由傳送未經授權的封包到目標機器(可以是伺服器、路由器或工作站)來攻擊一個組織的網路或伺服器的資源,這將導致正當的使用者無法存取這些資源。 | 最近經報導的阻絕服務攻擊(DoS)發生在公元 2000 年,有許多 點擊率相當高的商業與政府網站都被迫無法存取使用,他們使用許多擁有高頻寬連線的 受入侵系統當作zombies 或當作轉送的廣播機器來發送封包洪流 (Ping Flood)以癱瘓網路。 | 來源的封包通常都是偽造的(或者是轉播 的),使得調查攻擊真正源頭的工作相當困難。 | 輸入過濾(ingress filtering) 的最新科技(IETF rfc2267) 與網路 IDS 的技術將有助於系統管理員追蹤找出並且防範分散式 的阻斷攻擊(DDoS)。 |
|