关于铁路办公网网络安全的思考与实践
2019-01-13任燕春
任燕春
(呼铁局包头电务段,内蒙古 包头 014040)
一、预防感染病毒的端口设置
2017年国内多所院校和企业出现ONION勒索软件感染情况,磁盘文件会被病毒加密为.onion后缀,只有支付高额赎金才能解密恢复文件,对学习资料和个人数据造成严重损失。勒索病毒利用Windows操作系统445端口存在的漏洞进行传播,并具有自我复制、主动传播的特性。为了防止感染病毒,应该对这些存在潜在感染病毒风险的135/137/138/139/445/端口进行关闭。
端口简介:
135端口:135端口就是RPC通信中的桥梁,该端口被攻击者采用了一种DCOM技术,可以直接对其他工作站的DCOM程序进行远程控制。DCOM技术与对方计算机进行通信时,会自动调用目标主机中的RPC服务,而RPC服务将自动询问目标主机中的135端口,并且获取当前有哪些端口可以被用来通信。
137端口:137端口的主要作用是在局域网中提供计算机的名字或IP地址查询服务,一般安装了NetBIOS协议后,该端口会自动处于开放状态。要是非法入侵者知道目标主机的IP地址,并向该地址的137端口发送一个连接请求时,就可能获得目标主机的相关名称信息。例如目标主机的计算机名称,注册该目标主机的用户信息,目标主机本次开机、关机时间等。
138端口:138端口都属于UDP端口,主要作用就是提供NetBIOS环境下的计算机名浏览功能。非法入侵者要是与目标主机的138端口建立连接请求的话,就能轻松获得目标主机所处的局域网网络名称以及目标主机的计算机名称。有了计算机名称,其对应的IP地址也就能轻松获得。如此一来,就为黑客进一步攻击系统带来了便利。
139端口:139端口是一种TCP端口,主要作用是通过网上邻居访问局域网中的共享文件或共享打印机。黑客要是与目标主机的139端口建立连接的话,就很有可能浏览到指定网段内所有工作站中的全部共享信息,甚至可以对目标主机中的共享文件夹进行各种编辑、删除等操作,倘若攻击者还知道目标主机的IP地址和登录帐号的话,还能轻而易举地查看到目标主机中的隐藏共享信息。
445端口:是一种TCP端口,功能与139端口几乎一致,也是提供局域网中文件或打印机共享服务。区别就是该端口是基于CIFS协议(通用因特网文件系统协议)工作的,而139端口是基于SMB协议(服务器协议族)对外提供共享服务,所以要关闭文件共享,那么需要同时关闭139和445端口。
二、严禁一机双网的IP安全策略
铁路单位明令规定办公电脑严禁一机双网,但是如果对计算机本地不进行IP安全策略系统设置的话,办公电脑在理论上仍然存在上互联网的风险。上互联网主要有两种方式,一种是改接宽带网线上网,另一种是外接USB无线网卡上网。
接宽带上网行为,可通过设置本地IP安全策略,仅容许通过本机唯一分配的IP地址访问单位局域网,除此之外的上网行为一律禁止。IP安全策略是一个给予通讯分析的策略,它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合,然后决定是允许还是拒绝通讯的传输,它弥补了传统TCP/IP设计上的"随意信任"重大安全漏洞,可以实现更仔细更精确的TCP/IP安全,也就是说,当我们配置好IP安全策略后,就相当于拥有了一个免费但功能完善的个人防火墙。
外接USB无线网卡上网行为,无线上网相关的WLANSVC和WWAN AutoConfig服务默认是开启的,可通过关闭上述服务来禁止无线网卡上网行为。WLANSVC 服务提供配置、发现、连接、断开与 IEEE 802.11 标准定义的无线局域网(WLAN)的连接所需的逻辑。它还包含将计算机变成软件访问点的逻辑,以便其他设备或计算机可以使用支持它的 WLAN 适配器无线连接到计算机。停止或禁用 WLANSVC 服务将使得计算机上的所有 WLAN 适配器无法访问 Windows 网络连接 UI。WWAN AutoConfig该服务管理移动宽带(GSM 和 CDMA)数据卡/嵌入式模块适配器和自动配置网络的连接。单位办公电脑如果不容许外接USB无线网卡上互联网,强烈建议关闭上述两项服务,进一步防止单位办公电脑接通互联网。
三、确保网络安全策略稳定运行
为了防止这些安全设置被用户误操作而发生改动,可将计算机管理员用户加密禁止使用,日常办公使用标准用户即可,可防确保当前办公网络安全策略稳定运行。
管理员账户是具有最大权限的账户,管理员可以更改安全设置,安装软件和硬件,访问计算机上的所有文件。管理员还可以对其他用户帐户进行更改。标准用户帐户允许用户使用计算机的大多数功能,当您使用标准帐户登录到系统时,您可以执行管理员帐户下的几乎所有的操作,但是如果要执行影响该计算机其他用户的操作(如更改安全设置),则系统可能要求您提供管理员帐户的密码。建议为每个计算机创建一个标准帐户供日常办公使用。使用标准用户帐户比使用管理员帐户更安全。
结语:
综上所述,端口封闭、IP安全策略、在一定程度上增强了网络抵抗外来攻击的能力,但若想更加安全地确保当前办公网络安全策略稳定运行,禁用管理员账号改用标准账号是防之有效的方法,也在很大程度上提高了计算机上网的的可靠性、安全性。