連線安全的四個誤解

[psac]

　　基本設定篇
　　一、在線安全的四個誤解
　Internet實際上是個有來有往的世界，你可以很輕鬆地連線到你喜愛的站點，而其他人，例如黑客也很方便地連線到你的機器。實際上，很多機器都因為自己很糟糕的在線安全性設定無意間在機器和系統中留下了「後門」，也就相當於給黑客開啟了大門。
　　你上網的時間越多，被別人通過網路侵入機器的可能性也就越大。如果黑客們在你的設定中發現了安全方面的漏洞，就會對你發起攻擊，可能是一般的騷擾，如降低你的速度或者讓你的機器崩潰；也可能更嚴重，例如開啟你的機密文件、偷竊密碼和信用卡密碼。
　　但是很多人並不以為然，因為他們在網路安全方面還存在四個誤區：
　　
　　誤區一：我沒有連接其他網路，所以我很安全。
　　對，連接INTERNET是要上網的，但是可以上網的獨立機器，與一台商業網路中心的機器相比，所使用的網路傳輸協定仍然有一些甚至全部相同，而一台商業網路中心的機器還可能安裝了公共防火牆或者有專門負責安全的人員。與此形成強烈對比的是一些用於家庭、辦公室、小公司的個人用機確是門戶大開，完全沒有防範黑客的能力。這種威脅是很現實的：如果你使用了cable modem或是DSL連接上網，而且在網上的時間很長，一天
裡也許就會有2-4個卑鄙的黑客企圖攻擊你。
　　誤區二：我是用撥號上網，所以我的機器是安全的。
　　每次當你開始撥號上網，你使用的IP位址都會不同，也就是動態IP，所以相比靜態IP的用戶而言。黑客是很難找到你，但是有一些黑客軟體已經發展到可以在1個小時以內逐個掃瞄上萬個IP位址的能力，所以只要黑客使用了這些工具，即使是撥號上網的用戶也可能受到攻擊。
　　誤區三：我使用了防病毒軟體，所以我很安全。
　　一個好的病毒軟體確實是在線安全不可或缺的部分，但是也是很小的一個部分。它能夠通過檢測病毒和類似的問題保護你，但是它們對防範黑客、對帶有惡意的「合法」程序卻無能為力。
　　誤區四：我使用了防火牆，所以我很安全。
　　防火牆是很有用處，但是如果你的機器總是採用一些不夠安全的方式接收和傳送資料，而你又僅僅依靠一些附加的程序提供安全，這就等於把所有的蛋放在一個籃子裡，一旦防火牆軟體出現bug或者有漏洞，那你很危險了。另外，防火牆對於病毒一類的軟體完全沒有防範能力，尤其是那些帶有惡意的悄悄地向你的機器傳送或提取資料的程序。
最後，一些防火牆軟體還可能幫倒忙，因為它們的廠商在廣告中把產品的特點介紹出去，可能招致一些專門針對它們弱點的攻擊。
　　但是解決方法是有的，你可以使用你已經有的工具，而且本文也會告訴你怎樣才是安全的設定和怎樣選項安全軟體。
　　二、一分鐘的網路基礎知識
　　看到這個內容，你可能想一眼掃過或者直接跳過去，但是這只需要一分鐘，而且對你理解下面的內容很有說明 。
　　簡單地說，你可以將你和網路的連接分為三層。
　　最深的一層是你和網路的物理連接方式，包括硬體。例如撥號上網，要使用「撥號橋接器」才能和你的MODEM「交談」；如果是區域網路，需要網路卡和驅動程式，以便你的PC和網路卡交換資料，而DSL、cable等也需要網路卡。一個PC可以同時使用多個硬體橋接器，
例如可以即用cable modem上網，也連接撥號上網的MODEM，還在區域網路中，這樣系統的網路設定中就有兩個網路橋接器和一個撥號橋接器。
　　中間的一層連接由你的機器所使用的和網路其他機器交流的通訊傳輸協定和語言組成，例如TCP/IP傳輸協定，其他還有NetBEUI和IPX/SPX，這些傳輸協定也可以並行工作，一個傳輸協定可以被同時元件服務到多個硬體設備上，而一個硬體設備也可以同時元件服務多個傳輸協定。最頂層的連接是網路設備，登入上網、文件與列印共享和以及位於最頂層的客戶程序，為你完成需要在網路上完成的工作，但不幸的是，它是雙向的，也可以讓黑客對你執行他們的操作。
　　所以，保證安全的竅門在於確保沒有那些危險的設定和設備，例如如果不需要從網上進行訪問，「文件與列印共享」就完全沒有必要，這也是黑客經常利用的地方。換句話說，仔細地設定哪些要進行元件服務，可以確保你的機器不那麼輕易被訪問，儘管存在一些本身安全性較差的設備和傳輸協定。
　　三、怎樣確保連接安全
　　在按照我下面提到的建議對系統設定進行修改以前，最好先將你系統中的關鍵資料制作備份，或者記下你原來的設定，以便在需要的時候恢復。如果你是在區域網路或是有特殊的網路要求，請先和管理員商量。
　　我們先檢查你的網路設定：右擊「網路鄰居」，選項「內容」，現在我們要刪除一些很容易就能夠讓別人通過INTERNET連線到你的INTERNET傳輸協定：TCP/IP。
　　如果你沒有使用撥號上網，可以直接跳到下一段。雙按「撥號橋接器」、「綁定」，把除TCP/IP以外的內容都選掉，回到主界面，雙按「TCP/IP ->撥號橋接器」，你可能看到一個警告，說明如果修改將有危險，不管它，不修改才會有危險呢！按下「綁定」，如果選項了「microsoft網路用戶」和「文件和列印共享」，把它們選掉，這樣就只剩下TCP/IP了，你會得到這樣一個警告：TCO/IP已經沒有綁定到任何驅動程式「，回答NO。
　　如果你使用了網路卡，按下每個卡對應的TCP/IP，例如我就用了一塊便宜的Realtek網路卡，則按下「TCP/IP -> Realtek RT8029(as) PCI Ethernet NIC.」，按下「綁定」，驗證沒有選項「micrcosoft網路用戶」和「文件和列印共享」。
　　但是如果你是在區域網路上，希望在本機共享文件和列印機，也有辦法呀，增加一個非INTERNET傳輸協定IPX/SPX或者NetBEUI都可以。增加適當的「micrcosoft網路用戶」，選項「文件和列印共享」，就可以共享文件和列印了！
　　現在倒回去檢查系統中的每個橋接器和傳輸協定，確保「micrcosoft網路用戶」和「文件列印共享」只在IPX/SPX and/或NetBEUI中被選項了。同時，也驗證在TCP/IP中沒有選項這兩項。然後對區域網路中的所有機器重複這個檢查程序。用這種方法，你的機器在
INTERNET上就只使用TCP/IP，而在區域網路上使用非INTERNET傳輸協定以便共享列印機和文件。因為黑客必須使用TCP/IP，這樣他們就需要花費更多的時間來訪問被共享的列印機和
文件。
　　需要注意的是你對網路設定的任何變動都可能重新設定綁定和其他設定，甚至包括你不曾接觸的內容，而當你或者是你所安裝的軟體修改了網路設定，都要執行上面介紹的步驟檢查TCP/IP連接以確保它保持「乾淨」，沒有與「micrcosoft網路用戶」和「文件和列印共享」綁定。
　　AOL（美國在線）有一點是令人厭惡的：它把它自己的（通常是沒有必要的）橋接器加入到你的網路設定中，而且可能會不正確地修改你的綁定設定，一些用戶在安裝AOL後報告，他們的「文件和列印共享」被綁定在TCP/IP上，意味著對任何想連接的人都提供
列印機和文件，上面的介紹的竅門對避免出現AOL的這個情況也很有效。
　　要改善你的網路安全性你可以作很多工作，我們將在下面討論，但是面的設定將消除WINDOWS PC的最一般和突出的網路安全問題，把最明顯的漏洞給你堵上，讓你擁有一個更安全的線上操作基礎。一旦你學會了上面的方法，只用幾分鐘進行檢查，基本就不需要其他的輔助軟體，這樣做的好處在於不用花錢喲！
　　工具篇
　　在上一部分，我們討論了怎樣調整網路設定以獲得更好的安全性，現在，我們來看看怎樣利用一些免費或者商業產品和服務做更多的事。
　　既然你已經有了很好的防範黑客的線上安全基礎，現在你可以學習使用決定性的一招，幫你的機器增強抵抗力，能夠防範一些一般的和不一般的攻擊，甚至一些更高水準的或者更迂迴曲折的攻擊。於是，你就有了兩級安全措施了，一個是前面介紹的網路安全性設定，一個是附加的安全產品，即使有其中一個出現了問題，你也仍然有另一個保護，總不能一棵樹上吊死人吧！
　　在你向系統中增加任何安全性產品之前，作一個額外的測試，檢查一下你的設定是否已經OK了。最好是定時（每月或者每週）檢查一下你的基本網路設定是否安全。
　　我推薦三個絕好的免費站點說明 你從外端檢測你的INTERNET連接，以便你檢測和糾正潛在的安全問題。
　　 http://grc.com/intro.htm
　　 http://www.dslreports.com/r3/dsl/secureme
　　 http://www.antionline.com/
　　我曾經連續使用過這第三個站點，他們測試的對象是一樣的，有些重複，但是採用了不同的方法，測試的重點也不同。通過一個一個地在這三個網站進行測試，你可以「嗅」到你的INTERNET連接中存在的最一般的漏洞，如果你通過了這三個測試，你就可以防範絕大多數的一般的黑客攻擊了。
　　另外，Gibson Research網站（ [url]http://grc.com/intro.htm︴/url]^所提供的額外的求助文件值得一讀，特別是當你對關閉一個連接阜有疑惑（例如NetBIOS的Port 39）的時候，Gi
bson提供了一步一步的指導可以確保你將連接阜關閉，具體參看 http://grc.com/su-bond
age.htm。
　　一旦你的PC經過了上面的測試，你就可以再增加一個加強安全的程序了，這種程序有很多，但是目前最熱門的是「個人用防火牆」，下面我們討論的重點也就是如何選項這一類產品。
　　不管你是否已經使用了公用的防火牆、代理伺服器、域名伺服器，這些本機的防火牆在你的機器內部監視你的INTERNET資料交換，防止來自黑客的不正常的訪問，其中一些還可以監視非正常的資料輸出，也就是那種特洛伊木馬程序式偷偷摸摸留下的「後門」，在你不知道的情況下，向你的機器傳送信息或者獲取信息。
　　我現在使用的個人防火牆是免費而絕妙的ZoneAlarm，雖然它還有一些粗糙，但是它更新很快，最新的版本已經是2.0.26了，而且解決了很多早期版本存在的問題，而且它免費，卻比很多售價50美圓的商業產品更有效，例如它是少數能夠檢測到特洛伊程序的防火牆之一。
　　Aladdin的eSafe Protect Desktop也加入了類似於防病毒程序的功能，相當於防火牆加沙箱的功能，能夠防範決大多數帶有惡意的訪問，並將它們隔離起來。另外，它們讓人滿意的是佔用很少的系統資源，只有2%而已。它是一個值得注意的產品，售價為30美圓。但是為了與流行的ZoneAlarm抗衡，Aladdin的Protect Desktop現在對個人使用完
全免費，因此很值得試試看，我正在試用，可能它會變成我的新歡喲！
　　FWProxy是一個簡單免費的程序，能夠在設定的連接阜監聽進入的TCP連接，檢查用戶對設備的授權，在遠端RAS用戶和設定的內部TCP設備之間建立連接，你如果你只需要這個功能，那你可以試試它。
　　Sybergen Secure Desktop（以前叫SyShield）非常靈活，可以從多方面進行設定，售價為30美圓，它的長處在於安裝簡單，雖然為數不多的我的文件讓那些迷失在它過多的設定選項中的初學者有些困惑，但是它馬上就會出新版本了，以後我們還要介紹。
　　BlackIce Defender是一個享有盛譽、非常流行的防火牆，花費40美圓就可以獲得BlackIce Defender和一年的安全昇級。和ZoneAlarm一樣，BlackIce也有其顯得粗糙的地方，例如它的錯誤檢測警告，幾乎讓你發生一種錯覺，好像你受到外界的攻擊是基本不變的，另外我的文件也不夠完善，除非你對防火牆技術和連接阜分配都非常精通，還有一些用
戶對它支持的級別和對錯誤反應的時間也不滿意。看來Networkice這位始作俑者已經被他們的勝利淹沒了，很難繼續保持原來的狀態。這種說法分的另一個佐證是關於Windows 2000，Windows 2000已經推出一段時間了，而BlackIce的站點還在說：「Win2k目前仍然是beta版本，我們目前還不能支持它，檢測侵入的部分執行良好，而防火牆部分現在
還不行，我們計劃在WIN 2000正式推出時再支持它。」這種情況讓人聯想到它的安全產品，因為人們總是希望它的內容能夠盡量保持最新狀態。
　　如果你到過各種黑客站點和黑客的BBS，你可以看到一個讓黑客們又愛又怕的軟體，售價為49美圓的ConSeal Private Desktop，他們喜歡在自己的電腦上安裝這個軟體，但又痛恨在所攻擊的用戶電腦上也安裝了這個軟體。出品它的加拿大公司Signal9剛被McA
fee收購，我們還不清楚McAfee的計劃是什麼，你可以到 http://www.signal9.com/上去看看相關資訊。
　　McAfee還剛剛收購了Cybermedia，它的售價為30美圓的防護狗軟體是一個很有趣的產品，多種功能兼而有之，病毒檢測、隱私保護和在線安全，還包括對惡意ActiveX和Java applets的防護。
　　而ConSeal的AtGuard，是另一個讓黑客愛恨交織的防火牆，剛剛被Symantec收購，現在變成了售價為60美圓的Norton Internet Security 2000的一部分。和它的其他產品相比，AtGuard略顯單薄，但是Norton Internet Security 2000是一個安全「巨人」，
雖然它的設定也很麻煩。但是無論如何，AtGuard安全部分的功能仍然使非常出色的，儘管它現在已經被其他產品的光芒掩蓋了。
　　上面介紹的產品都是一些用途廣泛功能全面的防護軟體，但是還有一些功能比較精細集中的產品：
　　Jammer，售價為20美圓，專門設計用來防範NetBus和BackOrifice的攻擊，如果你的其他安全產品只有一般的防護能力，它倒還是挺有用的；
　　ProtectX，售價為25美圓，可以同時監視最多20個連接阜，還可以幫你追蹤攻擊你的黑客的來源，也是一個享有盛譽的產品，儘管它所能監視的連接阜數量受到限制，和同類產品相比顯得有些不足。
　　Rainbow Diamond Intrusion Detector，售價為40美圓，在你可能受到侵犯的時候會發出警報，Intrusion Detector直接在機器中監視可疑的網路活動，一旦發現對象，就發出報警。Intrusion Detector還會試突確定攻擊你的用戶的身份。
　　TDS-2，售價33美圓，來自澳大利亞的Trojan特洛伊防範系統，對特洛伊有比其他軟體更強的檢測能力。
　　哦，你的選項真是太多了，有了這些產品，你的機器的安全級別一定可以到很高的級別。
　　但是，即使有了上面的這些產品，我們的安全工作還是沒有完成，下一步或者是對上述產品的補充，或是對上述產品的替代，另外，還有一個特的措施你可以使用，將你的安全效能提高到一個很高的程度。
　　竅門篇
　　前面我們分別從PC的網路安全性設定和優秀的網路安全產品出發，介紹了如何提高機器的安全效能，對大多數人而言，如果僅僅是一般的上網衝浪和日常的網路操作，這些措施已經相當足夠了。
　　但是也許你的要求和他們不同，因此我們還繼續討論第三步，如何讓你的安全效能變得更高。實際上，這一步是針對我的個人而定的，因為我有下面幾個特殊的地方：
　　我每週7天、每天24小時在INTERNET上；
　　我通過INETRNET做生意，並經營網站；
　　我比一般人要顯眼，更容易成為黑客的目標；
　　我將INTERNET連接共享給其他的幾台機器。
　　如果你也具備上述的幾個或全部特徵，你可能也希望採用我的方法來讓你的機器「固若金湯」，那麼我們就交流一下。
　　首先，我使用了在第一部分和第二部分介紹的所有技術，例如我的任何一台機器都沒有綁定「網路用戶」、「文件和列印共享」到TCP/IP，所有一般的攻擊對我不起作用；第二，在每台機器裡我都用了個人防火牆，ZoneAlarm，可以說明 我阻塞黑客的侵入。

　　上面只是兩個安全的級別，但是我還有第三個更簡單和更便宜的方法，那就是：我所有的機器都沒有直接連接INTERNET。相反地，我用了一台爛機器（古老的486，記憶體很
少）作為與INTERNET連接的伺服器，在它上面執行Windows和Sygate，有了Sygate，幾台機器可以通過一個電腦上網，而Sygate的防火牆功能非常出色。從外界能夠看到的只有這台爛機器，而其餘幾台共享連接的機器從外面看不到，所以黑客也無法檢測和攻擊。

　　Sygate的防火牆功能幫了大忙，它把它自己藏了起來，準確地說，是把執行它的機器藏起來了，面對黑客的探測「屏聲禁氣」，所有的現象都說明這裡根本就沒有一台機器，所以Sygate的防火牆算是第四層保護了。
　　下面的設定應該說是第五層的防護了：如果黑客打算侵入，他會發現他到了一台又空又爛的機器，不管怎麼看都毫無興趣和吸引力。我的其他幾台位於區域網路上的機器都有密碼保護，而我從來不在爛機器中WINDOWS儲存任何密碼，所以即使黑客進入到這台機器，也很難進入到區域網路中其他機器的系統，要通過防火牆、密碼和內部的安全性設定這
幾關可不是容易的事呢！
　　最後，我還有第六關：我的cable modem ISP使用動態IP位址，和絕大多數撥號上網ISP使用相同的技術，有了動態網址，每次你上網的時候都用的是新位址，對黑客來講，很難預見下次的IP將是什麼。利用動態IP位址的優勢，我每擱一天或者是通過modem發現有異常活動的時候，就會拔去cable modem的插頭。每當我將插頭重新插回去、重新上線
，就會獲得一個和上次不同的位址，即使有黑客發現過我，他也要一切重新開始了。　　話雖這麼說，你也應該知道沒有任何線上的系統是完全保險的，除非你完全不和INTERNET連接，理論上任何系統都可能被攻擊，但是如果你的機器加上了6層安全保護，給黑客們增加了太多的障礙，那麼你的安全係數就很高了，也許因為他不能忍受如此多的麻煩就放棄了你呢！
來源:網路安全論壇