Lockdown2000 professional是一款针对专业用户的防火墙,它不同于Lockdown2000普通版,后者只有寥寥几个设置选项,而专业版的设置则多如牛毛,时常令新手们眼花缭乱,无从下手。在反复研究后,我个人觉得如果个人用户装它简直是大材小用,中小型企业用户完全可以用它来保护局域网,尤其适合于用一台服务器做网关,服务器有两块网卡,其中一块连接到Internet,另一块连接到内网的HUB或交换机的此类公司。
一启动Lockdown,首先看到它的Menu界面(图01),
[IMG]http://www.yesky.com/SoftChannel/72356695560421376/20011224/cl011224001.gif[/IM
G]
除去Menu,总共有13个功能模块,涉及到网络安全的方方面面。下面我们就一一给大家介绍:
更多相关文章请见《黑客世界》
首先是Trojan Scanner(木马扫描器),在Manua Scanner & Options中可以详细进行设置(图02)。
[IMG]http://www.yesky.com/SoftChannel/72356695560421376/20011224/cl011224002.gif[/IM
G]
先要将Monitor and auto-scan in background选中,这样就可以时刻监视系统进程了(默认的监视路径是%Windows%和%System%,你也可以自己添加更多的目录)。你还可以手动扫描本地磁盘来确认你的机器里是否驻有木马。建议将下面的Scan Sesitivity(扫描敏感度)调到高,因为我们“宁愿错杀一千,不愿漏过一马”。在下面的Extensions to scan中,你可以手动添加新发现的可疑后缀名。如果发现木马,Lockdown会弹出来提示你发现木马,同时通过声卡发出报警声,并将此事件写入日志文件。
网管下载dl.bitscn.com
我用BO2000,Subseven1.1,Subseven2.1和冰河3.3做了一下测试。前面三个都顺利地报警了,只有冰河没有报警。究其缘由,估计是Lockdown主要针对欧美市场,对中国的土木马没有过多的关注吧。不过你可以通过在线升级来获取最新的木马数据库(它的数据库已经收集有1073个木马的特征信息);如果你发现了新木马,也可以给他们发个样本邮件来得到最快的更新。
Vbs Interceptor(VBS拦截机)是用分析和查杀Vbscript脚本的。我们首先可以扫描磁盘查找所有的VBS脚本,找到后在左边的列表框中选中可疑的脚本,双击就可以自动分析之。(图03)
Lockdown会详细分析目标脚本的源代码,如告诉你此脚本会读写磁盘上的文件,会写注册表,会利用Outlook发邮件等等。并且总结性地得出此脚本的风险度:如果显示的是红色的Severe(高度风险),那你就要当心了(图04);
网管网www.bitscn.com 如果是黄色的Moderate(中度风险),你也不可掉以轻心,而应点击View Contents按钮查看它的源代码(图04)——因为我自己编写的一个杀硬盘的脚本也被Lockdown不痛不痒地判为中度风险。如果证实目标脚本有毒,或删除或改名悉听尊便。
Lockdown的Vbs Interceptor是第一个通过分析源码来查杀VBS的安全软件,因为以往的软件都是简单地查找病毒的特征码,如果造毒者将特征码改个名,那么杀毒软件就只有干瞪眼的份了,这就是为什么VBS病毒变种成千上万的缘故。不过Vbs Interceptor离理想中的智能查杀还相去甚远,因为我用它分析了一个加过密的VBS病毒,得出来的结果竟然是没有风险,而这种加密伎俩只是最简单的字符串单表代换编码而已啊!看来Lockdown要达到广告上吹嘘的Best firewall of the world的境界,还要走很长一段路啊!
Generics(普通设置)是一些简单的对注册表,敏感的系统文件的监视功能。你可以自己添加你认为需要监视的文件和注册表键值,如果它们被改写就会用声音和对话框同时报警。(图05)
更多相关文章请见《黑客世界》
中国网管联盟bitsCN.com Share Monitor(共享监视器)是一个Lockdown值得骄傲的模块。它可以详细列出本机上的共享资源,共享名和共享属性(图06)。
绿色表示该共享资源是有口令保护的;红色表示此资源没有口令,完全共享;更可怕的是黄色,它表示此资源完全共享且不可见!要知道,许多黑客工具都提供C盘共享并且让受害者根本毫无知觉的功能,大家应当对黄色的共享资源保持高度警惕。另外,Share Monitor还可以方便地删除共享资源,使资源在可见和不可见中相互转换,以方便系统管理员。
你可以详细设置IP Filter(IP过滤器)来设定允许访问本地共享资源的IP(比如本公司局域网的用户)和禁止访问共享资源的IP(比如来自Internet的非法SMB访问,这是目前针对Nt的主要攻击方式),如果有新的不明SMB连接就会报警(图07)。
中国网管联盟bitsCN.com 还可以查看目前本机被访问的共享资源和正在访问别人共享资源的详细报告(如对方IP、对方机器名、连接时间等),并可以随时断开共享连接,这对系统管理员来说可是个方便的好工具哟!
Port Monitor(端口监视器)是Lockdown中最复杂的模块。你可以详细设置打开的端口号,包括信息包出去(Outgoing)和进来(Incoming)的端口(图08)。
[IMG]http://www.yesky.com/SoftChannel/72356695560421376/20011224/cl011224008.gif[/IM
G]
Port Monitor会告诉你此端口的功能,并且给你打开和关闭任意端口的权力,建议你关掉Netebui在TCP/IP上的137-139口,这可以使你以后免去不少麻烦;如果第三方程序打开了已知或未知的端口,它都会用不同的声音报警(不过有时候也搞得人心惶惶——自从装了Lockdown后,每天,各种各样的警报声在房间内此起彼伏,使大家都有一种好像置身于炮火纷飞的喀布尔的感觉。)。Port Monitor会对每个连接进行日志记录,并且还有自定义IP过滤器,以防止其他恶意用户访问(图07)。
默认情况下,Port Monitor如果发现连续5秒钟内收到10个以上的消息框,它就会报警并拒绝接受;同样,5秒钟内发现10个以上的连接,它就会关闭此端口,这对防止ICMP和UDP洪水淹没式的攻击和针对登陆口令的穷举都是很有效的。
网管u家u.bitsCN.com
Connection Monitor(连接监视器)。通过它,你可以查看目前在你机器上存在的所有连接,包括连接的机器名、IP、端口号和所用的协议,请特别注意通过IP看看有没有来自局域网外部不请自来的客人(图09)。
Process Monitor(进程监视器)也不必我多费口舌了,有点类似于Win2000中的任务管理器(图10)。
不过它多了一个查看当前进程所调用的动态链接库的功能——因为目前不倌韭硪芽冀约阂爻蒁LL而偷偷加载了。
Net Utilities(网络工具包)其实只是一些Windows中实用工具的Win32版本而已,如Ping、Tracert、Finger和Whois,许多黑客工具包都提供类似的工具,而且有的比它更强大。只不过大家以后可以不用进Dos窗口去输入命令了。
网管网www_bitscn_com
Cookie Monitor(Cookie监视器)是用来监视和分析Cookie的模块(图11)。
首先它会找到你机器上的所有Cookie,你可以看到每个Cookie的名字,数据和源代码。如果你讨厌网站给你强加Cookie,那你只要将它列入“黑名单”,下次Cookie Monitor就会自动删除该站点的Cookie。
Net Monitor(网络监视器)可以实时监视同你的机器连接的其他机器是否关机的工具(图12)。
[IMG]http://www.yesky.com/SoftChannel/72356695560421376/20011224/cl011224012.gif[/IM
G]
这样你可以知道你的网络中还有几台机器开着,它们的IP地址和上次登陆的时间。你还可以通过查看日志来确认是否有来自Internet和LAN上的不怀好意的用户在穷举你的Administrator账户口令。
Web Monitor(互联网监视器)。这是一款用来查看你经常光顾的网站是否更新的工具(图13)
网管u家u.bitsCN.com
实际市面上有很多工具都有类似的功能,一点也不稀罕,我这儿也不再浪费版面了。
Backup Utility(备份工具)。你可以自定义要备份的注册表键值或者全部备份。除了系统文件外,Backup Utility还可以搜索磁盘上所有的Ini和Bat文件(图14)
而且它完全可以当做一个注册表编辑器来使用,这可以在你Windows中的Regedit意外被黑客锁住后用得着。(可惜Backup Utility不能备份MBR、FAT和HDPT,真是一个不小的缺憾啊!)
听起来怪怪的,其实它就是给你机器上安装的所有程序进行Snapshot(快照),生成程序列表,“以便于管理”。这可能只是Lockdown公司用来吹嘘自己的产品又好又全的摆设吧(纯属个人观点)。
中国网管论坛bbs.bitsCN.com
好了,同志们,我的话完了……。其实这13个工具中,最有用的是Port Monitor,Share Monitor、Connection Monitor和Trojan Scanner,如果能和Netxray、Iptools,Ws_Ping这些工具合用,完全可以把自己的服务器收拾像铁桶一样固若金汤(当然Administrator的水平得跟得上啰!)。
总之,瑕不掩瑜,Lockdown2000 professinal毕竟还是比一些国产的中小企业级防火墙要强大,它的使用环境包括Win9x、WinNt、WinMe和Win2000。
我顺便用FS和Procdump分析了一下,发现这款相当不错的软件竟然是用老掉牙的Delphi 3编写的(用Aspack1.08加的壳),可真是佩服LockDown Corp.——用这么老的开发环境写出这么好的软件,自己是自愧不如啊……(又跑题了^_^) Lockdown2000 professinal是共享软件,30天全功能试用,注册费要99美元!(啊?!太贵了!)而且最后告诉大家一个不幸的消息:只有注册版本才能在线升级病毒库。试用版本大家可以到http://lockdown2000.com/download.html去下载,需要技术支持可以写信到support@lockdown2000.com。
评论加载中…
