网络安全Hacks

　　入侵者用于网络攻击的技术在发展，因此用于保护自己和网络的工具和方法也必须及时修改以跟上步伐。《网络安全Hacks （第2版）》更新了所有系统关键的工具，并为两年前不存在的问题提供了灵活的解决方案。
　　新版本展示了如何检测网络入侵者的存在，使用强加密保护网络和数据，甚至要为可能的系统破坏者设下埋伏。相比以前的版本，新版本更大、更广泛，并更具有实用性，它陈述了125个真实世界的工具和技巧，专家就是用这些手段来加强他们对攻击者的防护。
　　在《网络安全Hacks （第2版）》中，您将看到一些很有用的检测并处理入侵者的技术，学到以下内容：
　　·通过躲避网络流量分析和加密电子邮件来保护隐私。
　　·通过captive portal（强制网络门户）共享无线网络，使用良好粒度的鉴别来保护无线网络。
　　·建立看起来容易遭受攻击的虚拟网络（蜜罐），来转移攻击者注意力，或者迷惑攻击者。
　　·加强Linux、BSD和Windows主机安全，防范攻击。
　　·使用先进的入侵检测系统监视网络和服务。
　　·使用强VPN解决方案通过互联网安全地连接两个远程站点。
　　·检测系统漏洞，当系统遭受攻击时如何进行响应和恢复。
　　要获取更有效的安全工具，需要学习攻击者使用的最新技术。《网络安全Hacks （第2版）》提供了维持网络安全可靠所需的信息。

荣誉
前言
第1章 Unix系统主机安全
1 保障Mount点安全（初级难度）
2 扫描SUID及SGID程序（初级难度）
3 扫描具有全局可写和组可写权限的目录（初级难度）
4 使用POSIX的ACL（Access Control List．访问控制表）来创建灵活的权限层次（中级难度）
5 保护日志不被篡改（初级难度）
6 授权管理员角色（初级难度）
7 自动验证加密签名 （中级难度）
8 检查监听的服务（初级难度）
9 阻止服务绑定某个接口 （中级难度）
10 采用沙盒（sandbox）环境来限制服务（高级难度）
11 使用具有MySQL验证源的proftpd工具（中级难度）
12 防止堆栈粉碎攻击（高级难度）
13 使用grsecurity锁定内核（高级难度）
14 使用grsecurity工具限制应用程序（高级难度）
15 使用Systrace工具限制系统调用（高级难度）
16 自动创建systrace工具的策略（高级难度）
17 使用PAM控制登录访问（中级难度）
18 限制用户对SCP和SFTP的访问（高级难度）
19 为身份认证使用一次性使用的密码（高级难度）
20 限制Shell环境（中级难度）
21 加强对用户和组的资源的限制（中级难度）
22 自动更新系统（初级难度）

第2章 Windows系统主机安全
23 检查服务器所应用的补丁（中级难度）
24 使用组策略来配置自动更新（初级难度）
25 获得当前打开的文件及其进程的列表（初级难度）
26 列出正在运行的服务和开放的端口 （初级难度）
27 启用系统审核功能（初级难度）
28 枚举自动运行程序（中级难度）
29 保障事件日志的安全（初级难度）
30 修改日志文件大小的最大值（初级难度）
31 备份和清除事件日志（中级难度）
32 禁用默认共享（初级难度）
33 加密临时文件夹（初级难度）
34 备份EFS（中级难度）
35 在关机时清除页面文件（中级难度）
36 检查永不过期的密码（中级难度）

第3章 隐私与匿名
37 躲避流量分析（中级难度）
38 通过Tor挖掘隧道SSH（初级难度）
39 无缝加密文件系统（初级难度）
40 预防网络钓鱼（中级难度）
41 采用更少的密码来使用Web（初级难度）
42 使用Thunderbird加密电于邮件（初级难度）
43 在Mac OS X系统下加密电子邮件（初级难度）

第4章 防火墙
44 使用Netfilter防火墙（初级难度）
45 使用OpenBSD的防火墙PacketFilter（初级难度）
46 使用Windows防火墙保护计算机（初级难度）
47 关闭开放的端口和阻止协议（初级难度）
48 替换Windows防火墙（高级难度）
49 建立身份认证网关（中级难度）
50 使得网络自治化{中级难度）
51 测试防火墙（中级难度）
52 使用Netfilter过滤物理地址（中级难度）
53 阻止Tor（高级难度）

第5章 加密与安全服务
54 使用SSL加密IMAP和POP（高级难度）
55 采用Sendmail使用支持TLS的SMTP（高级难度）
56 采用Qmail使用支持TLS的SMTP（高级难度）
57 使用SSL和suEXEC来安装Apache服务器（高级难度）
58 保障BIND服务器的安全（高级难度）
59 安装小巧并安全的DNS服务器（高级难度）
60 保障MySQL服务器的安全（高级难度）
61 在Unix系统下安全地共享文件（高级难度）

第6章 网络安全
62 检测ARP欺骗攻击（初级难度）
63 建立静态ARP表（中级难度）
64 保护SSH不受暴力攻击（高级难度）
65 欺骗远程操作系统检测软件（高级难度）
66 维持网络的产品清单（初级难度）
67 扫描网络漏洞（中级难度）
68 保持服务器时钟同步（初级难度）
69 创建自己的CA（初级难度）
70 向客户端发布您的CA证书（中级难度）
71 使用证书服务备份与恢复CA（中级难度）
72 远程检测以太网嗅探器（高级难度）
73 帮助追踪攻击者（初级难度）
74 在Unix服务器上扫描病毒（中级难度）
75 追踪漏洞（初级难度）

第7章 无线安全
76 使您的便利无线路由器变成一个智能安全平台（高级难度）
77 为无线网络使用良好粒度的身份认证（高级难度）
78 配置Captive Portal（高级难度）

第8章 日志
79 运行集中式Syslog服务器（中级难度）
80 操纵syslog工具（初级难度）
81 将Windows系统整合到syslog基础设置中（中级难度）
82 自动归纳总结日志（中级难度）
83 自动监视日志（中级难度）
84 聚合来自远程站点的日志（高级难度）
85 使用进程记账技术来记录用户活动（中级难度）
86 集中监控服务器的安全形势（高级难度）

第9章 监视和趋势
87 监视可用性（中级难度）
88 趋势图（高级难度）
89 实时监控网络状况（初级难度）
90 使用防火墙规则收集统计信息（高级难度）
91 远程嗅探以太网（中级难度）

第10章 安全隧道
92 在Linux系统下配置IPsec（中级难度）
93 在FreeBSD系统下配置IPsec（中级难度）
94 在OpenBSD系统下配置IPsec（中级难度）
95 使用Openswan进行随机加密（高级难度）
96 通过SSH转发并加密流量（初级难度）
97 使用SSH客户密钥自动登录（初级难度）
98 通过SSH使用Squid代理（中级难度）
99 将SSH用作SOCKS代理（初级难度）
100 使用SSL加密流量，并为流量建立隧道（初级难度）
101 使用HTTP内部的隧道连接{初级难度）
102 使用VTun和SSH建立隧道（中级难度）
103 自动生成Vtun配置（中级难度）
104 创建跨平台的VPN（高级难度）
105 使用PPP隧道（中级难度）

第11章 网络入侵检测
106 使用Snort进行入侵检测（中级难度）
107 持续关注报警（中级难度）
108 实时监视IDS（高级难度）
109 管理探测器网络（高级难度）
110 编写您自己的Snort规则（中级难度）
111 使用Snort_inline来防御入侵和容侵（高级难度）
112 使用SnortSam实现自动化的动态防火墙（高级难度）
113 检测异常行为（中级难度）
114 自动升级Snort的规则库（中级难度）
115 创建一个分布式Stealth探测代理网络{高级难度）
116 利用Barnyard在高性能环境中使用Snort（高级难度）
117 检测和阻止对Web应用程序的入侵（中级难度）
118 扫描网络流量，发现病毒（高级难度）
119 模拟一个包含多个有漏洞主机的网络（高级难度）
120 记录Honeypot活动（高级难度）

第12章 恢复与响应
121 镜像挂载的文件系统（中级难度）
122 检验文件完整性，寻找遭受破坏的文件（中级难度）
123 使用RPM寻找遭受破坏的程序包（初级难度）
124 查找系统中的Rootkit（中级难度）
125 寻找网络的所有者（初级难度）

　　因为联网就是将计算机连在一起，所以计算机网络的安全性不会大于连接在该网络中计算机的安全性。单个不安全的主机会给整个网络带来许多不安全因素，因为在敌方控制下，可以利用其作为一个侦察工具或一个强大的攻击堡垒。如果服务器提供容易危及服务器安全的服务，那么即使采用防火墙、入侵检测系统和其他高级安全措施也是没有用的。因此在深入研究网络部分的安全前，应该首先确保自己所负责区域中的计算机是尽可能安全的。本章提供很多方法来减少在基于unix系统上提供服务所带来的风险。尽管每个小节各自独立，还是很值得通读本章内容的。因为如果仅仅实现一种类型的安全措施，将面临着一旦攻击者发现如何绕过所应用的安全措施，所有的准备工作将被完全否定的风险。正如不会只使用一个普通的门和插销来保护诺克斯堡（译者注）一样，没有哪种单一的安全方法能从根本上保护您的服务器。并且，需要采用的安全措施是与被保护对象的自身价值成正比的。俗话讲：“安全不是名词，安全是动词”。这就是说，安全是一个活动的过程，它必须得到不断的跟踪和更新。除了断开计算机的网络连接外，没有哪种单一的方法能彻底保证计算机安全。基于这种观点，我们可以将这里所要介绍的技术看做是构建满足特定需求的安全服务器的基础。

　　在网络安全领域，人们常常会误解黑客这个词的意思。这是可以理解的，因为网络安全专家会使用工具来探测自身网络的稳健性，然而攻击者也可以用这些工具实施对因特网上主机的攻击。系统管理员合法地测试自己的机器，而系统破坏者则试图获得未授权的访问权限。他们在技术上和使用工具方面并没有什么不同，但是他们的意图却完全不同。毕竟，和任何强大的技术一样，没有一个安全工具天生是正义的或恶意的——这完全取决于如何使用该工具。同一个锤头可以用来建造城墙，也可以用来推倒城墙。“白帽子”黑客和“黑帽子”黑客的区别并不在于他们所使用的工具或技术（甚至是他们帽子的颜色），而是在于他们的意图。这样的区别很微妙，但是却十分重要。白帽子黑客将构建安全的系统作为一项有趣的挑战，并且希望构建的系统的安全性可以彻底通过真实环境下的测试（假定该环境下攻击者拥有所有破坏系统的技术和工具）。黑帽子黑客（更合适的称呼是骇客）学习和白帽子黑客相同的技术，但是对构建系统的人员及他们攻击的服务器并不关心。黑帽子黑客使用自己的技术来破坏这些系统，从而获得自己个人的收益，他们经常破坏被他们渗透的系统。当然，国际上有一些大胆的依靠技术“抢劫”的人以及一袭黑衣、叼着香烟、挥舞着笔记本的邪恶的计算机天才，他们的故事往往比单纯构建一个健壮网络的工程师的故事受人们欢迎，因此，“hacking”这个词在媒体中享有的声誉比较差。媒体通常将黑客看做是那些闯入系统或用计算机作为武器来发起破坏行为的人。然而那些解决计算机实际问题的人们通常将“hack”这个词看做是快速解决某个问题，或者是一个完成某件事情的巧妙的方法。