引言： 機(jī)房的IC卡是芯片卡相對(duì)來說是比較安全，但電腦本身就不一定有那么安全了。安全是一個(gè)整體，任何一部分設(shè)置不當(dāng)都有可能全盤皆輸。這個(gè)世上沒有絕對(duì)安全的系統(tǒng)，只有暫時(shí)沒有被攻破的系統(tǒng)。

說到網(wǎng)絡(luò)，大家一定不陌生，誰的大學(xué)生活不是在電腦的“陪伴下”度過的。今天主要介紹的是我們大學(xué)和企業(yè)的網(wǎng)絡(luò)安全問題，在筆記本還沒有普及的年代，那時(shí)機(jī)房的電腦是IC卡插卡上網(wǎng)的，網(wǎng)管在單獨(dú)的一個(gè)房間里面辦卡和辦理卡的充值業(yè)務(wù)，也許網(wǎng)管認(rèn)為這種管理方式很安全，有IC卡這種芯片卡做關(guān)卡（如圖1），他便可以高枕無憂。但是網(wǎng)管的這種思想是錯(cuò)誤的，這個(gè)世上沒有絕對(duì)安全的系統(tǒng)，只有暫時(shí)沒有被攻破的系統(tǒng)。

機(jī)房的IC卡是芯片卡相對(duì)來說是比較安全，但電腦本身就不一定有那么安全了。安全是一個(gè)整體，任何一部分設(shè)置不當(dāng)都有可能全盤皆輸。我曾經(jīng)就有繞過IC卡而直接登錄Windows的成功經(jīng)歷，說明這種通過IC卡來登錄系統(tǒng)的方法是存在嚴(yán)重漏洞的。當(dāng)時(shí)我在開機(jī)的時(shí)候注意到了一個(gè)易游的管理系統(tǒng)，我看到了磁盤分區(qū)工具、DOS管理系統(tǒng)、DOS下掛載NTFS分區(qū)、COMS密碼清除等一些常用的小工具。我先通過掛載NTFS分區(qū)的工具掛載了C盤，一般的網(wǎng)吧都是使用的易游管理系統(tǒng)和易游還原(當(dāng)然機(jī)房也不例外）。在這之前我瀏覽過機(jī)房電腦里面的文件，在瀏覽文件的時(shí)候注意到了一個(gè)腳本文件，其實(shí)只要稍微了解計(jì)算機(jī)的人就知道一般收費(fèi)系統(tǒng)的認(rèn)證界面基本都是在注冊(cè)表Winlogon項(xiàng)下面的字符串，這樣在登錄Windows時(shí)就是直接登錄Windows了。這個(gè)IC插卡系統(tǒng)就能被成功繞開了。

圖1 IC卡

還有一種漏洞，開機(jī)啟動(dòng)電腦后啟動(dòng)PE系統(tǒng)然后加載注冊(cè)表，能繞過IC卡認(rèn)證系統(tǒng)。從上面的介紹可以看出都有哪些做的還不夠安全吧。

防范方法：

1.安全模式一定要禁用。

2.易游管理系統(tǒng)設(shè)置密碼過于簡(jiǎn)單。建議加入特殊符號(hào)，以防暴力破解。

3.BIOS一定要設(shè)置密碼。盡管能用一些BIOS密碼清除工具清除密碼，但這并不保險(xiǎn)，還是有必要設(shè)置密碼的。

4.收費(fèi)和還原管理系統(tǒng)一定要經(jīng)常更新，以防有一些漏洞沒有及時(shí)更新而導(dǎo)致被利用。

5.BIOS設(shè)置把默認(rèn)的一些啟動(dòng)項(xiàng)去除，如：USB、CD-ROM等。

6.那些自動(dòng)配置還原系統(tǒng)的腳本用完之后記著要及時(shí)刪除。

7.最重要的一點(diǎn)，盡量不要嘗試用一些管理軟件來管住學(xué)生們上網(wǎng)。很多人都在犯這樣的一個(gè)錯(cuò)誤，那就是想利用死的軟件來管住靈活的人。

測(cè)試完機(jī)房的IC卡認(rèn)證系統(tǒng)和還原系統(tǒng)那接下來看看這個(gè)機(jī)房的網(wǎng)絡(luò)設(shè)備和操作系統(tǒng)安全性能如何。我先用掃描軟件掃描了一下這個(gè)機(jī)房的網(wǎng)段，發(fā)現(xiàn)了幾臺(tái)交換機(jī)和路由器設(shè)備試用默認(rèn)口令登錄結(jié)果居然能成功登錄，看來弱口令無處不在?。〗酉聛砹瞬榭戳艘幌虏僮飨到y(tǒng)打補(bǔ)丁的時(shí)間，最后打的一次補(bǔ)丁竟然是2009年的，可能自從裝完系統(tǒng)都沒有打過補(bǔ)丁。我通過測(cè)試一下2010年的一個(gè)快捷方式漏洞，結(jié)果能夠成功獲取一臺(tái)電腦的控制權(quán)限。還測(cè)試了一個(gè)JAVA的漏洞也能成功獲取了對(duì)方電腦的控制權(quán)限。

防范方法：

1.修改網(wǎng)絡(luò)設(shè)備的弱口令和默認(rèn)密碼。

2.要及時(shí)更新系統(tǒng)補(bǔ)丁和升級(jí)相關(guān)軟件，以防沒有及時(shí)更新補(bǔ)丁而導(dǎo)致系統(tǒng)被入侵。

圖2 IC卡充值終端機(jī)

3.在條件允許的情況下最好不要使用Telnet管理網(wǎng)絡(luò)設(shè)備。Telnet是明文傳輸?shù)暮懿话踩?，建議使用SSH登錄。

機(jī)房簡(jiǎn)單的測(cè)試完了，那現(xiàn)在再去單位辦公地點(diǎn)去看看吧，來到單位看見一臺(tái)多媒體電腦連接著墻上的一個(gè)網(wǎng)口，我把網(wǎng)線拔下來插到我的電腦上面發(fā)現(xiàn)能正常上網(wǎng)。并且還能夠成功獲取旁邊辦公室老師登錄的網(wǎng)站信息。

防范方法：

1.交換機(jī)要開啟端口綁定IP+MAC+端口，這樣能從一定程度上防范非法接入。

2.電腦終端要及時(shí)更新漏洞補(bǔ)丁并裝一個(gè)ARP防火墻用以防范ARP欺騙攻擊。

單位測(cè)試完了那就再去測(cè)試終端機(jī)，這些設(shè)備在圖書館和食堂。

終端機(jī)可以簡(jiǎn)單分為兩類：

1.鍵鼠操作型終端機(jī)

2.觸控操作型終端機(jī)

圖書館的終端機(jī)是鍵鼠操作型終端機(jī)。我直接試了試Ctrl+Alt+Del快捷鍵發(fā)現(xiàn)能成功彈出任務(wù)管理器，這時(shí)我結(jié)束了圖書管理程序直接就返回到了電腦的桌面。

再去食堂的飯卡充值的終端機(jī)上面看看，食堂的終端機(jī)是觸控操作型終端機(jī)，我找了個(gè)網(wǎng)頁(yè)的界面，然后長(zhǎng)時(shí)間按屏幕直接就彈出來右鍵菜單了，其實(shí)長(zhǎng)按屏幕就相當(dāng)于鼠標(biāo)右鍵了。我點(diǎn)了一下菜單上面的另存為然后直接就彈出另存為的對(duì)話框，這個(gè)時(shí)候桌面的任務(wù)欄也顯示出來了。我直接點(diǎn)任務(wù)欄上面的返回到桌面的那個(gè)程序，直接就把那個(gè)充值系統(tǒng)最小化了，熟悉的Windows桌面的圖片就顯示在我面前了。飯卡充值終端肯定和數(shù)據(jù)庫(kù)相連，我可以接下來嘗試連接數(shù)據(jù)庫(kù)，此時(shí)若嘗試一下基本的弱口令或采取一些其他設(shè)備，學(xué)生飯卡的密碼便面臨很大風(fēng)險(xiǎn)。

防范方法：

1.屏蔽掉Ctrl+Alt+Del等一些快捷鍵操作。

2.禁用長(zhǎng)按屏幕出現(xiàn)右鍵菜單的功能。

宿舍主要測(cè)試兩項(xiàng)，一項(xiàng)是刷卡打水的飲水機(jī),另一項(xiàng)就是宿舍的無線網(wǎng)。

2008年2月荷蘭政府發(fā)布了一項(xiàng)警告，指出目前廣泛應(yīng)用的Mifare RFID產(chǎn)品賴以保證安全的密鑰存在很高的風(fēng)險(xiǎn)。Mifare卡其實(shí)就是現(xiàn)在市面上使用的大多數(shù)的水卡、門禁、公交卡等。若通過一些專業(yè)設(shè)備可能會(huì)使卡面臨極大風(fēng)險(xiǎn)。

防范方法：

盡量避免使用Mifare卡，而換成高級(jí)點(diǎn)的CPU卡，至少現(xiàn)在還沒有公布過對(duì)CPU卡的破解。

至于宿舍的網(wǎng)絡(luò)，同樣存在VPN繞過限制等的漏洞。

1.偽造MAC就是隨意偽造一個(gè)認(rèn)證成功的MAC地址便可上網(wǎng)。

2.通過VPN繞過限制來免費(fèi)上網(wǎng)?，F(xiàn)在校園網(wǎng)為了實(shí)現(xiàn)瀏覽器輸入任何地址都要跳轉(zhuǎn)到下載客戶端的頁(yè)面，必須開放DNS UDP 53端口及Web TCP 80 端口。校園網(wǎng)的管理人員大都沒有限制客戶端訪問DNS的IP，從而導(dǎo)致未經(jīng)過認(rèn)證的客戶端也可以訪問UDP 53端口。這樣就可以繞過驗(yàn)證免費(fèi)上網(wǎng)了。我當(dāng)時(shí)是測(cè)試了某個(gè)軟件，發(fā)現(xiàn)能利用這一漏洞并能成功繞過限制來達(dá)到免費(fèi)上網(wǎng)。

3、如宿舍的寬帶賬號(hào)一般就是宿舍號(hào)+床鋪號(hào)或其他與人員信息相關(guān)的號(hào)碼，密碼一般默認(rèn)是該人員相關(guān)的一些信息。通過單位網(wǎng)站上的人員管理系統(tǒng)可以獲取身份證號(hào)、宿舍號(hào)、床鋪號(hào)等。因?yàn)榫W(wǎng)站的管理系統(tǒng)默認(rèn)的賬號(hào)和密碼都一樣，賬號(hào)就是學(xué)生或員工的編號(hào)，這個(gè)號(hào)碼有一定的規(guī)律性。了解了這些信息很容易就能獲取別人的寬帶賬號(hào)密碼，這樣測(cè)試大部分能登錄成功，因?yàn)榇蟛糠秩硕紱]有修改密碼的意識(shí)。

防范方法：

1.限制客戶端訪問DNS的IP地址。

2.目前沒有很好的辦法來防范偽造MAC地址的攻擊，只有保護(hù)好自己的MAC地址不要輕易泄露給他人。

3、默認(rèn)密碼一定要改，有很多企業(yè)吃過這個(gè)虧。我以前測(cè)試過攝像頭安全，發(fā)現(xiàn)國(guó)內(nèi)大多在線攝像頭都使用著默認(rèn)密碼。在國(guó)外有個(gè)全球攝像頭在線查看的網(wǎng)站，其中里面中國(guó)的有三四千個(gè)家用或公共區(qū)域的在線攝像頭，全都是使用的默認(rèn)密碼。

通過以上分析就會(huì)知道在使用IC卡時(shí)如果不注意防范，可能就會(huì)留下隱患。最后希望大家能知道稍稍的了解一下這方面的問題，不要指望你的策略做得到位、安全軟件用的好就能防住黑客的攻擊，當(dāng)你用一個(gè)不變的策略和軟件來防范一個(gè)靈活的人的時(shí)候你就大錯(cuò)特錯(cuò)了！平時(shí)留意自己的習(xí)慣，只有不斷的加強(qiáng)網(wǎng)絡(luò)安全管理才能更好的防范網(wǎng)絡(luò)攻擊，才能使網(wǎng)絡(luò)更加的安全、可靠。