网络安全实际也是网络管理的一部分,它关系到网络资源的保护、实体安全、信息安全和运行安全等方面的问题。
随着Internet的普及,网络攻击事件越来越多。对于网吧这个大众上网的场所,很多时候扮演着“练兵”的角色,不仅影响着被攻击一方,有时候出于个人私怨、兴趣、爱好等,网吧成了这些Cracker的最佳攻击对象。这些需要引起网吧经营者的高度注意。
拔号代理服务器的安全是最重要的,因为一旦它被人攻击或者控制,整个网吧就无法正常营业。其它的视频服务器也可参照。对于拔号代理服务器的安全,有以下几点需要注意的:
(1)帐号的安全性:特别是有管理员权限的帐号应该被少数网络管理员所拥有;并且该网管不在此网吧工作后,用户名和密码均要更换;用户名不要使用默认的,比如:administrator应更换成:admin_88800,ipuwirj等不规则不常用的,密码要设复杂并且位数要多;
(2)服务的安全性:拔号代理服务器尽量不要安装任何服务,如WWW、FTP等,即使出于工作需要,要安装某个服务,也要想办法降低风险,如,更改该服务的监听端口、对该服务提供审计措施、限制远程访问者的IP;
(3)禁止默认的服务:这个主要是针对W2K的。W2K下有许多默认服务是自启动或者手工启动的服务,有许多是作为拔号代理服务器而不需要的,不仅不需要,还有可能成为安全的隐患,比如:Remote Registry Service、Task Scheduler等;
(4)安装防火墙:安装一个最新的病毒防火墙是必要的,另个,装一个安全防火墙也是必要的;
(5)打补丁:作为网络管理员,经常及时地打补丁可以防止很多攻击,比如:打过sp3的W2K就没有输入法漏洞了;
(6)其它:其它安全措施有许多,如:关闭不必要的端口139、445(对于AD),关闭IPC$,利用W2K的IPSEC技术等,这些都有赖于学习与提高。
可能你会觉得作为网吧,工作站(特别是安装的WIN98系统)无须作安全设置,那你就错了。因为很多攻击往往是来自内部的。笔者亲历过这么一个攻击者:先到收银台交钱选择一个偏僻的地方上机,下载一个黑客软件,它会使WIN98蓝屏,在攻击范围内填写的是127.0.0.1,两秒钟内,网吧80%的机器蓝屏并且断网。他自己的机器也断了,因此你无法找到“真凶”,这是我经历过的事。另外,这个攻击者还可以有这样的选择,选择arp攻击,攻击是效果:被攻击的机器不断的提示“IP地址冲突”而无法上网,更加高明者,可以选择欺骗,原理是:原来正常的数据包是通过网关(即拔号代理服务器)出去的,而攻击者可以欺骗整个网络,并让数据包转向攻击机器,结果是:整个网吧不能上网!由此可见,工作站也要做好基本的安全措施:
(1)禁止下载:从上面那位攻击者过程得知,禁止下载是必要的,另外,工作站最好不要安装解压缩软件;
(2)给WIN98打补丁:刚才举的WIN98蓝屏事件,就是因为WIN98少打了一个补丁,利用WIN98开始菜单的“windows update”连入微软网站进行在线升级;
(3)有关注册表的:有很多网页通过脚本、ActiveX等入侵WIN98机器,比如:更改默认首页就是一例。有很多攻击者就是采取这种方式破第一道防护:网吧管理软件,比如获得网吧管理软件的退出密码。因此,如果对付这种破解方式,是很重要的。遗憾的是,目前为止,还没有十全十美的办法,一个比较可行的措施是:将WIN98本机的常见注册表选项保存成.reg文件,每次开机时利用regedit.exe导入一次。该举解决了一些常见的注册表被修改的情况,比如首页被改、IE标题被改等,但如何阻止攻击者获得密码、解除禁止下载呢?一个办法是将此网站加入到IE的受限站点中,另一种办法是干脆把IE里的有关脚本、ActiveX、JAVA小程序等全部禁止,前者需要人工添加并且肯定有遗漏,后者可百分之百防住,但给普通上网者带来不方便;
(4)有关网吧管理软件:网吧管理类软件有很多,网吧管理软件对于WIN98系统的保护虽然不到位,但也是必要的;
(5)其它:由于WIN98系统以及TCP/IP协议本身的脆弱性,有许多攻击在网吧现有条件基础上是无法预防的,由于网吧机器一般都没有软件、光驱,因此,如果完全禁止下载是至关重要的。
