发信人: mirnshi()
整理人: williamlong(1999-12-21 18:41:06), 站内信件
|
我们都看过由cracker发表有关各个操作系统某些漏洞的文章。
Solaris有,Linux有,BSD大部分版本也有,当然,Windows
也不例外。但是对于我们整个网络安全来说,仅考虑操作系统
的安全是不够的。如果不知晓有关安全的各个层次,将导致你
被攻击或给你一个安全错觉。
安全,并不是安装一个单个的buffer overflow的补丁或安装
一个防火墙就可以保障的。安全是个包含多方面的大难题。其
目标是划分我们的防御层,当每个入侵者入侵我们的系统时,
会被多个的安全防御层防止住入侵。在我们的防御体系中,我
们为入侵者设置了层层屏障。
[路由器
[防火墙
[入侵监测
[ 操作系统安全
[用户]
]
]
]
]
一个入侵者必须通过的屏障如图例所示。这将增加入侵者被防
住的机率,同时也增加了审核信息的数量,利用这些审核信息
可以跟踪入侵者。
1、我们的第一层防护是路由器。路由器滤掉被屏蔽的的IP地址
和服务。例如,我们首先屏蔽所有的IP地址,然后有选择的放
行一些地址进入我们的网络。一般来说,总是首先屏蔽所有的再
放行。对于首先放行所有的,再屏蔽一些地址是不可取的,除非
你提供一个公共服务,如http。
路由器也可以过滤一些服务协议。例如,假设我们有一台web服
务器,我们只想提供web服务,只需允许http协议通过,屏蔽象
ftp、telnet、sendmail等一些的协议,
2、防火墙是第二层防护。防火墙可以过滤对IP和服务。也可以
利用不同防火墙产品的各种安全机制建立VPN(Virtual Private
Networks)。通过VPN,你在异地可以更安全的联入你的网络。
大多数防火墙都有认证机制,但是你必须知道除非你使用了加密,
否则用户名和口令是以明码传送的。
不同的防火墙各有个的优缺点。用一篇文章函盖所有是不可能的。
一些产品可以远程管理,乍听起来很方便,但是不可否认其他人
也可以远程管理你的防火墙。一些产品可以自动更新路由器,屏
蔽危险的连接,但值得考虑的是产品的识别能力。防火墙的特点
就是它只能检测它能看到的。也就是对于一个应用级的防火墙会
丢掉所有的实际上网络动作,并且不记录任何动作。还有一点
就是你自己要选好你的防火墙并且正确的配置好。
3、入侵监测系统(IDS)是被动的,它监测你的网络上所有的包
(packets)。其目的就是扑捉危险或有恶意的动作。IDS是按你
指定的规则运行的,而且记录是庞大的。而且我们发现如果IDS
没有正确的配置,其效果如同没有一样。它可以监测端口扫描、
syn floods等等,但前提是你必须知道如何使用这个系统。
4、正确的配置每台主机系统也是非常重要的。不能很好的利用
服务的限制和每个用户的权限,将导致一个可怕的后果。限制
诸如chargen、echo、日期等这些简单的TCP协议。网络测试工
具可以利用这些特定的协议,对你的网络实施DOS攻击。
如果你不想提供诸如FTP、HTTP等公共服务,可以关闭它们。一
些人在安装Windows NT时就会错误的安装了Internet服务,
其中就包括IIS―Web Server。IIS有缺省的用户名和口令,
这是路人皆知的。这就打开了一个大漏洞。所以一定要知道你
正在安装什么。请记住使用任何安全软件包的缺省都是一个巨
大的错误。
每周发布的修补程序修补操作系统的使用上的漏洞和安全上的漏
洞。由于它们修补的是广为所知的漏洞,你要跟住最新的修补程
序。维持文件系统的的许可和用户的权限也是必须的。
5、最大的安全弱点来自用户。用户会由于缺乏良好的安全经验
而纯粹无知的将你出卖给入侵者。有时,甚至非常好的安全习惯
也会给人性让路。口令是最大的天敌。一个很容易被猜到的口令
如同没有口令一样。甚至用户知道要选择一个好口令的规则,也
会用笔记录下口令,这个口令太难记了。
网络用户也可能由于他们建立了自己的个人用户而导致一些问题。
一个用户可以共享给其他人C:\和他的家目录。他们也可能将.rhost
和.netrc文件放在家目录以便方便地传文件。许多用户不会知道这
会有潜在的危险。看住你的用户并帮助他们保持良好的习惯。
6、你的网络或许需要或许不需要比这罗列的更多的安全。不要迫
于压力匆忙选择安全产品。这些产品太多了。网络扫描器可以帮你
发现你的网络的弱点,系统扫描器可以帮你确定系统级的弱点,还
有些工具可以记录机器上发生的一切。仔细的选择你的防护产品,
但要记住要划分安全层。就像一个城堡,有护城河、城墙和哨兵,
你的网络也同样需要这些类似的防护抵制入侵。
--
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.94.1.125]
|
|