6.5、对策

Mudge识别了一个默认的防火墙规则，这个规则允许任何源端口是53（端口53是留给DNS的）的报文通过高于1024的TCP或UDP端口进入。利用这个配置，他能与目标计算机上的服务器进行通信。目标计算机最终允许他访问mount驻留程序。Mount驻留程序能使用户远程安装一个文件系统。通过查找NFS（网络文件系统）的弱点，他就能访问系统从而获得敏感信息。

针对这种入侵的办法是回头检查所有的防火墙规则，保证它们与公司的安全措施一致。在这个过程中，要考虑到任何人都可以轻易地以欺骗的方式产生报文的源端口。这样，在基于源端口号的规则上，防火墙应设定成只允许特定服务的连接。

正如书中其他地方所提到的，保证目录和文件有恰当的权限，是很重要的。

Mudge和同事成功地入侵系统之后，他们安装了嗅探器以捕获用户名和口令。一个有效的对策是使用基于保密协议的程序，如SSH。

很多组织对进入系统的门令或其他认证措施制定了策略。但有关PBX或语音信箱系统方面，却做得不足。这个故事中，l0pht小组很容易地就破解目标公司执行官的语音信箱的口令，他们使用的是典型的默认口令，像1111，1234，或采用电话分机号码。很明显，有效的对策就是给语音信箱系统设置合理安全的口令（鼓励员工不要使用他们的ATM号码！）。

针对包含敏感信息的计算机，对策在本章前面就说过，使用数字锁定键、Alt键和数字小键盘来建立口令，这些键敲出来的特殊字符无法显现，这种方法是我极力推荐的。

Dustin能自由地走进Biotech的会议室，因为它处在公共领域。室内有与公司内部网络相连的活跃网络接口。公司在不需要使用这些网络插口的时候，应该进行屏蔽或隔离，这样从公共的领域就无法登录公司的内部网络。还有一种解决方案就是使用前端认证系统，在允许通信前，需要输入有效的用户名和口令。

对付“走后门”的办法是修正社会心理学家称之为“礼貌标准”的东西。通过合理的训练，公司职员要克服那种心态，对不熟悉的人进行盘问不要觉得不好意思，比如从安全入口进入办公楼或工作区时。经过训练的员工应该知道，当显然有人试图尾随自己穿越入口时，应该怎样礼貌地查问徽章。一个简单的规则应该是这样的：先礼貌询问，如果这个人没有徽章，应该带他们去保安处或者接待处，不允许陌生人跟随你进入安全通道。

伪造一枚公司的身份认证徽章，能让人轻易地逬入原本认为安全的公司大楼，并且不会受到盘问。即使是警卫，他们也不一定每次都会仔细查看徽章，辨认真假。如果公司立下条令，要求员工、合同合作者、临时工在走出公司时，都取下徽章，以防止被外面的人窥视仿造，这样的条令未免太苛刻了。

我们都知道，警卫不会一个个仔细检查每个员工的徽章（毕竟，那样做不太现实，即使是一个尽责的警卫把关，在早晨和傍晚人员大量进出的时候，也是没有办法的）。所以，阻止不受欢迎的黑客进入得另想办法。安装一个电子读卡机将会大大提高安全性。但除此之外，警卫还得接受训练，当某人的徽章不能被机器识别时，知道怎样彻底盘查。就比如出现故事中的情况时，要想到也许不是机器故障，而是某位非授权人员试图闯入。

当公司上下的安全观训练越来越普及时，但实际上这方面还存在很大的问题。即使拥有积极策略的的公司也常常会忽略让管理者接受专业的训练，让他们具备辨别“间谍”下属的能力。那些没有对员工进行培训的公司在安全方面是很脆弱的。