Telnet的危险性

学院2013—2014学年第1学期《计算机网络安全》课程考试（A）卷一、单选题（共40分，每题1分）1．（）不属于网络安全的5大特征要求。

A．可控性B．可操作性 C．完整性D．机密性2．机房安全、建筑/防火/防雷/、通信线路安全性、电源/空调等属于网络安全的（）内容。

A．实体安全B．应用安全C．系统安全D．运行安全3．通过计算机及其网络或部件进行破坏，属于（）网络安全威胁类型。

A．资源耗尽B．篡改C．陷阱门D．物理破坏4．“熊猫烧香”病毒在几分钟之内就能感染近千万台机器，具有（）特点。

A．操作性和扩散性B．欺骗性和控制性C．扩散性和欺骗性D．操作性和控制性5．采用防火墙是网络安全技术的（）方式。

A．物理隔离B．身份认证C．逻辑隔离D．防御网络攻击6．SSL协议是（）间实现加密传输的协议。

A．物理层和网络层B．网络层和系统层C．传输层和应用层D．物理层和数据层7．以下（）不属于网络安全消息层面的要求特征。

A．完整性B．可操作性C．不可否认性D．保密性8．加密安全机制提供了数据的（）。

A．可靠性和安全性B．保密性和可控性C．完整性和安全性D．保密性和完整性9．抗抵赖性服务对证明信息的管理与具体服务项目和公证机制密切相关，通常建立在（）之上。

A．物理层B．网络层C．传输层D．应用层10．适用于企业业务处理和家庭使用浏览、收发、打印和共享文件等安全需求的无线网络安全技术是（）。

A．TKIP B．AES C．WPA D．IEEE 802．1x11．以下（）不属于对计算机网络系统管理的内容。

A．应用和可用管理B．性能和系统管理C．保密和可重复管理D．服务和存储/数据管理12．计算机网络安全管理的主要功能不包括（）。

A．性能和配置管理功能B．安全和计费管理功能C．故障管理功能D．网络规划和网络管理者的管理功能13．用来衡量网络的利用率，必须与性能管理相结合的网络安全管理功能是（）。

A．计费管理B．配置管理C．故障管理D．安全管理14．网络安全管理技术涉及网络安全技术和管理的很多方面，从广义上的范围来看，（）是安全网络的一种手段。

带外CONSOL端口登录及电源远程管理维护方案带外CONSOL端口登录及电源远程管理维护方案关键词：带外管理CONSOL端口远程管理故障诊断报警安全访问远程开关统一平台远程电源管理集中网桥远程维护等一带外管理概念从技术的角度，网络管理可分为带外管理（out-of-band）和带内管理（in-band）两种管理模式。

所谓带内管理，是指网络的管理控制信息与用户网络的承载业务信息通过同一个逻辑信道传送（通常是以太网）；而在带外管理模式中，网络的管理控制信息与用户网络的承载业务信息在不同的逻辑信道传送。

简单的来说,象Openview、CiscoWorks、Tivoli 这类的网管软件系统都是带内网管，网管系统必须通过网络来管理设备。

如果网络失败，则无法通过网络访问被管理对象，带内网管系统就失效了，这时候带外网管系统就排上用场了。

就象你家里的固定电话坏了，只能通过手机来报修一样，带外网管是网管系统中的紧急通道和“后门”。

与in-band管理不同的是，out-of-band管理不依赖网络或服务器的可用性来管理服务器或网络设备。

因此，只有out-of-band管理系统才能应付许多基础架构停机的情况。

目前更多的更适用的就是把设备的CONSOL口利用起来和远程电源管理，达到人在现场的效果。

二维护手段发展带外管理的提出也是我们对设备维护提供了新的管理维护手段和方法，运营商网络近几年发展迅速，但是基层技术人员的维护手段却没有发展。

随着网络建设的高速发展，运营商无人值守基站、模块局随着网络覆盖要求在不断增加，并随着业务的发展而基站中不同种类的通信设备也在不断增加；此外随着市场竞争的不断增强，客户对网络故障响应时间的要求也不断严格；因此运营商网络维护工作不但工作量增加，而且压力不断在增加。

现在存在的一个现状则是：①当出现一个网络故障后，技术人员首先看系统网管能否解决；②如果网管上看不到设备或者解决不了，然后远程telnet解决；③如果telnet无法登录或者收集的信息不够支撑排除故障，那只好申请现场解决，需要派车和司机把技术人员送到现场；④到现场后，通过配置口登陆到设备上进行故障排除，判断是硬件故障还是软件故障，然后采取相应的解决方案；⑤断电硬性重启设备，因为现在的嵌入式系统越来越复杂，难免有出错的时候或者漏洞的时候，重启往往在维护当中能有70％左右情况可以恢复。

基于Linux的网络安全策略和保护措施因为较之微软的Windows NT网络操作系统而言，Linux系统具有更好的稳定性、效率性和安全性。

操作系统需具备相当的实时性、可靠性和稳定性，因此整个系统广泛采用Linux操作系统作为应用的基础平台。

而Linux系统内核是开放的源代码，网络本身的安全也面临着重大的挑战，随之而来的信息安全问题也日益突出。

Linux网络操作系统是用于管理计算机网络中的各种软硬件资源，实现资源共享，并为整个网络中的用户提供服务，保证网络系统正常运行的一种系统软件。

如何确保网络操作系统的安全，是网络安全的根本所在。

只有网络操作系统安全可靠，才能保证整个网络的安全。

因此，详细分析Linux系统的安全机制，找出它可能存在的安全隐患，给出相应的安全策略和保护措施是十分必要的。

1. Linux网络操作系统的基本安全机制Linux网络操作系统提供了用户帐号、文件系统权限和系统日志文件等基本安全机制，如果这些安全机制配置不当，就会使系统存在一定的安全隐患。

因此，网络系统管理员必须谨慎地设置这些安全机制。

1.1 Linux系统的用户帐号在Linux系统中，用户帐号是用户的身份标志，它由用户名和用户口令组成。

在Linux系统中，系统将输入的用户名存放在/etc/passwd文件中，而将输入的口令以加密的形式存放在/etc/shadow文件中。

在正常情况下，这些口令和其他信息由操作系统保护，能够对其进行访问的只能是超级用户（root）和操作系统的一些应用程序。

但是如果配置不当或在一些系统运行出错的情况下，这些信息可以被普通用户得到。

进而，不怀好意的用户就可以使用一类被称为“口令破解”的工具去得到加密前的口令。

1.2 Linux的文件系统权限Linux文件系统的安全主要是通过设置文件的权限来实现的。

每一个Linux 的文件或目录，都有3组属性，分别定义文件或目录的所有者，用户组和其他人的使用权限（只读、可写、可执行、允许SUID、允许SGID等）。

windows系统的四大后门windows系统的四大后门后门是攻击者出入系统的通道，惟其如此它隐蔽而危险。

攻击者利用后门技术如入无人之境，这是用户的耻辱。

针对Windows系统的后门是比较多的，对于一般的后门也为大家所熟知。

下面笔者揭秘四个可能不为大家所了解但又非常危险的后门。

1、嗅探欺骗，最危险的后门这类后门是攻击者在控制了主机之后，并不创建新的帐户而是在主机上安装嗅探工具窃取管理员的密码。

由于此类后门，并不创建新的帐户而是通过嗅探获取的管理员密码登录系统，因此隐蔽性极高，如果管理员安全意识不高并缺少足够的安全技能的话是根本发现不了的。

(1).安装嗅探工具攻击者将相应的嗅探工具上传或者下载到服务器，然后安装即可。

需要说明的是这些嗅探工具一般体积很小并且功能单一，但是往往被做成驱动形式的，所以隐蔽性极高，很难发现也不宜清除。

(2).获取管理员密码嗅探工具对系统进行实施监控，当管理员登录服务器时其密码也就被窃取，然后嗅探工具会将管理员密码保存到一个txt文件中。

当攻击者下一次登录服务器后，就可以打开该txt文件获取管理员密码。

此后他登录服务器就再不用重新创建帐户而是直接用合法的管理员帐户登录服务器。

如果服务器是一个Web，攻击者就会将该txt文件放置到某个web目录下，然后在本地就可以浏览查看该文件了。

(3).防范措施嗅探后门攻击者以正常的管理员帐户登录系统，因此很难发现，不过任何入侵都会留下蛛丝马迹，我们可以启用组策略中的“审核策略”使其对用户的登录情况进行记录，然后通过事件查看器查看是否有可疑时间的非法登录。

不过，一个高明的攻击者他们会删除或者修改系统日志，因此最彻底的措施是清除安装在系统中的嗅探工具，然后更改管理员密码。

2、放大镜程序，最狡猾的后门放大镜(magnify.exe)是Windows 2000/XP/2003系统集成的一个小工具，它是为方便视力障碍用户而设计的。

在用户登录系统前可以通过“Win+U”组合键调用该工具，因此攻击者就用精心构造的magnify.exe同名文件替换放大镜程序，从而达到控制服务器的目的。

Windows系统中必须禁止的十大服务Meeting Remote Desktop Sharing：允许受权的用户通过NetMeeting在网络上互相访问对方。

这项服务对大多数个人用户并没有多大用处，况且服务的开启还会带来安全问题，因为上网时该服务会把用户名以明文形式发送到连接它的客户端，黑客的嗅探程序很容易就能探测到这些账户信息。

2.Universal Plug and Play Device Host：此服务是为通用的即插即用设备提供支持。

这项服务存在一个安全漏洞，运行此服务的计算机很容易受到攻击。

攻击者只要向某个拥有多台Win XP系统的网络发送一个虚假的UDP包，就可能会造成这些Win XP主机对指定的主机进行攻击(DDoS)。

另外如果向该系统1900端口发送一个UDP包，令“Location”域的地址指向另一系统的chargen端口，就有可能使系统陷入一个死循环，消耗掉系统的所有资源(需要安装硬件时需手动开启)。

3.Messenger：俗称信使服务，电脑用户在局域网内可以利用它进行资料交换(传输客户端和服务器之间的Net Send和Alerter服务消息，此服务与Windows Messenger无关。

如果服务停止，Alerter消息不会被传输)。

这是一个危险而讨厌的服务，Messenger服务基本上是用在企业的网络管理上，但是垃圾邮件和垃圾广告厂商，也经常利用该服务发布弹出式广告，标题为“信使服务”。

而且这项服务有漏洞，MSBlast和Slammer病毒就是用它来进行快速传播的。

4.Performance Logs And Alerts：收集本地或远程计算机基于预先配置的日程参数的性能数据，然后将此数据写入日志或触发警报。

为了防止被远程计算机搜索数据，坚决禁止它。

5.Terminal ServiCES：允许多位用户连接并控制一台机器，并且在远程计算机上显示桌面和应用程序。

如果你不使用Win XP的远程控制功能，可以禁止它。

如何设置路由器防火墙路由器防火墙是保护网络安全的重要措施之一。

它能够过滤网络流量，阻止恶意攻击和非法访问，确保网络设备和数据的安全。

下面是设置路由器防火墙的步骤和要点。

一、了解路由器防火墙路由器防火墙是路由器设备的一个功能模块，通常使用网络地址转换（NAT）技术和访问控制列表（ACL）来实现网络流量的过滤和阻断。

具体而言，它可以进行端口过滤、协议过滤、IP地址过滤等操作，提供了对进出网络的数据包进行检验和控制的能力。

二、登录路由器设置界面1. 打开浏览器，输入路由器的默认网关IP地址（一般为192.168.1.1或192.168.0.1）。

2. 输入用户名和密码，登录路由器设置界面。

如果没有修改过，默认用户名为admin，密码为空或者admin。

三、启用路由器防火墙1. 在路由器设置界面中找到“防火墙”或“安全设置”等相关选项。

2. 找到“防火墙状态”或类似选项，将其状态由“关闭”改为“开启”或“启用”。

四、进行基本的防火墙设置1. 设置端口过滤：根据实际需要，选择需要开放或关闭的端口。

一般情况下，常用的端口（如80端口的HTTP）应该保持开放，而危险的端口（如23端口的Telnet）应该关闭。

2. 设置协议过滤：选择需要允许或屏蔽的协议，如ICMP、TCP、UDP等。

合理的协议过滤有助于减少网络威胁。

3. 设置IP地址过滤：可以选择允许或阻止某些特定的IP地址或IP地址段的访问。

例如，可以禁止来自特定地区的IP地址的访问。

4. 设置网站过滤：可以根据需要设置对某些网站或特定域名的访问控制，以限制用户对某些不良网站的访问。

五、高级防火墙设置1. 端口映射：当需要将外部访问转发到内部某台设备时，可以设置端口映射规则，将外部端口映射到内部端口，并指定内部IP地址。

2. DMZ主机：如果有一台设备需要对外提供服务，可以将其设置为DMZ主机，使其处于隔离的网络区域，以增加安全性。

3. VPN设置：如果需要建立安全的远程访问连接，可以设置虚拟专用网络（VPN），以实现加密通信和身份验证。