調制解調器的不安全

但就象任何其它新生事物一樣，互聯網的發展也不是一帆風順的，關心互聯網發展的人一定知道，最最讓人們擔心的就是互聯網上的安全問題，也是互聯網發展的最大阻力互聯網上的安全性問題最突出的體現在網絡信息的竊聽和劫持。也許你還記憶猶新，曾幾何時，網絡的安全問題給認為互聯網已經或必將完全勝任商務活動的人們潑了一盆冷水，也給把重寶全押在互聯網上的商家留下一個個永遠無法愈合的傷痕，就因這樣互聯網曾一度幾乎要被其安全性問題扼殺于搖籃之中。

其實早在1994年，在IAB（因特網體系結構理事會）的一次研討會上，擴充與安全就被當作關系互聯網生死存亡的兩個最重要的議題了，但互聯網發展至今天在安全問題上還沒有得到一個完善的解決方案，甚至有越來越恐怖、越來越復雜的趨勢。

下面我就互聯網上安全性問題產生的原因方面談談我個人的一些看法。

調制解調器是人們常用的一種通訊設備，通過調制解調器和電話線上網還是目前普通網民上網的最主要的選擇，通過MORDEM和一條電話線用戶就可以訪問互聯網，也可以用它們在家里訪問辦公室里的主機或公司的局域網。雖然MORDEM給我們上網帶來了極大的方便，但同時也帶來了危險。

調制解調器的危險就在于它提供了進入用戶網絡的另一個入口點，也就是我們平時所說的端口，一般來說打開網絡端口點越多，被入侵的可能性就越大。一般一個標準的Intranet結構會包括內、外網段，內網段和外段網之間有防火墻，在內外網段都可能提供撥號服務器，外網段撥號服務器供普通用戶使用，內網段撥號服務器供公司的高級職員使用，這兩種撥號服務保護方式是不同的。

外網段撥號服務器被置于防火墻外部，它的安全是安全通過防火墻和身份驗證服務器來保證。對于內網段的內部網來說，這種服務應該是保密的，而且要嚴格控制，并應有強大的身份驗證系統來保證安全。如果一個黑客通過撥號服務器登錄到用戶的網絡中，那么他就像在用戶的公司里使用一臺機器一樣，他會竊聽到用戶的內部網絡通信。如何才能提高撥號網絡的安全性呢？

提高撥號調制解調器安全的方法很多，至少可以通過以下方法來實現：

1、不要把號碼廣泛流傳。

只把號碼告訴需要使用該服務的人，同時要對公司員工加強安全意識教育，要求他們也不要把公司內部撥號號碼告訴其他人。

2、使用用戶名和口令來保護撥號服務器。

口令可以是靜態，但最好是一次性口令。我們知道在電話線上可以用Sniffer來竊聽口令，但它始終不像在局域網上那么容易，如果入侵者不知道用戶名和口令要入侵時需要把探尖插入電話線來竊聽電話，這一般是較難做到的。所以用戶口令要妥善保存，不要寫在任何地方，最好是用腦來記��！

3、使用安全性好的調制調解器。

如回撥調制解調器、安靜調制解調器�；負苷{制解調器是在連接時要求用戶輸入用戶名和口令，它不會馬上為你連接，它會先斷開連接，查找該用戶的合法電話號碼，然后，回撥調制解調器會回撥到該電話號碼，并建立起連接。最后，用戶就可以輸入用戶名和口令而進入該系統。這樣做雖然比較麻煩，但確實比用一般調制解調器上網安全許多，至少可以杜絕一個賬號可以在不同電話機上使用的危險。安靜調制解調器在登錄完成之前不會發出特殊的“Connection established ”信號，這樣可以防止有人按順序搜索計算機撥號系統的電話號碼。

4、在網絡上加一個用于核實用戶身份的服務器。

只有用戶身份被該服務驗證后才允許進入該系統，并且服務器可以對登錄情況進行審計。這雖然或許會增加公司一些成本開支，但它所帶來的安全性效益是難以用錢來衡量的。

5、防范通過調制調解器對Windows NT的RAS訪問帶來的安全隱患。

我們知道Windows NT的遠程訪問服務（RAS）給用戶提供了一種遠程用調制解調器訪問遠程網絡的功能 ，當用戶通過遠程訪問服務連接到遠程網絡當中，電話線就變得透明了，用戶可以訪問所有資源，就像他們坐在辦公室進而訪問這資源一樣，RAS調制解調器起著像網卡一樣的作用。

但這種RAS在實施過程中存在許多重大的安全隱患。因為RAS服務器和Windows NT服務器使用相同的用戶數據庫，這使得用戶使用起來變得容易，因為用戶要用在辦公室中使用的同一個用戶進行登錄，這樣可以保證

用戶將具有相同的訪問權限。但這給網絡安全的管理帶來了新的難題，為了進行連接，用戶必須有一個有效的Windws NT用戶帳戶和RAS撥入許可，這在用戶嘗試登錄到Windows NT之前，必須被驗證。但要用戶不在公司，其身份的真實性就很難驗證，如果某個系統管理員的賬號被一些別有用心的人知道后進行RAS訪問，那后果想念大家也一定可以想象得到！