目前��,許多中小用戶因業(yè)務發(fā)展�����,不斷更新或升級網(wǎng)絡,從而造成自身用戶環(huán)境差異較大����,整個網(wǎng)絡系統(tǒng)平臺參差不齊����,在服務器端大多使用Linux和Unix的���,PC端使用Windows 9X/2000/XP.所以在企業(yè)應用中往往是Linux/Unix和Windows操作系統(tǒng)共存形成異構(gòu)網(wǎng)絡�。
中小企業(yè)由于缺少經(jīng)驗豐富的Linux網(wǎng)絡管理員和安全產(chǎn)品采購資金,所以對于網(wǎng)絡安全經(jīng)常是頭痛醫(yī)頭�����、腳痛醫(yī)腳,缺乏缺乏全面的考慮。
這里筆者把中小企業(yè)的安全分為四種來提出解決方案��。服務器安全��、網(wǎng)絡設備的安全���、接入互聯(lián)網(wǎng)的安全和內(nèi)部網(wǎng)絡的安全��。
一、服務器安全:
1. 關閉無用的端口
任何網(wǎng)絡連接都是通過開放的應用端口來實現(xiàn)的。如果我們盡可能少地開放端口��,就使網(wǎng)絡攻擊變成無源之水���,從而大大減少了攻擊者成功的機會�。
首先檢查你的inetd.conf文件。inetd在某些端口上守侯,準備為你提供必要的服務��。如果某人開發(fā)出一個特殊的inetd守護程序���,這里就存在一個安全隱患�。你應當在inetd.conf文件中注釋掉那些永不會用到的服務(如:echo�����、gopher����、rsh��、rlogin�、rexec�、ntalk、finger等)�����。注釋除非絕對需要���,你一定要注釋掉rsh�、rlogin和rexec,而telnet建議你使用更為安全的ssh來代替�����,然后殺掉lnetd進程����。這樣inetd不再監(jiān)控你機器上的守護程序,從而杜絕有人利用它來竊取你的應用端口�����。你最好是下載一個端口掃描程序掃描你的系統(tǒng)��,如果發(fā)現(xiàn)有你不知道的開放端口,馬上找到正使用它的進程,從而判斷是否關閉它們��。
2. 刪除不用的軟件包
在進行系統(tǒng)規(guī)劃時�����,總的原則是將不需要的服務一律去掉�����。默認的Linux就是一個強大的系統(tǒng),運行了很多的服務�����。但有許多服務是不需要的���,很容易引起安全風險�。這個文件就是/etc/inetd.conf,它制定了/usr/sbin/inetd將要監(jiān)聽的服務��,你可能只需要其中的兩個:telnet和ftp���,其它的類如shell、login�����、exec���、talk�、ntalk、imap����、pop-2、pop-3、finger�����、auth等���,除非你真的想用它�,否則統(tǒng)統(tǒng)關閉。
3. 不設置缺省路由
在主機中���,應該嚴格禁止設置缺省路由,即default route.建議為每一個子網(wǎng)或網(wǎng)段設置一個路由,否則其它機器就可能通過一定方式訪問該主機
4. 口令管理
口令的長度一般不要少于8個字符���,口令的組成應以無規(guī)則的大小寫字母、數(shù)字和符號相結(jié)合,嚴格避免用英語單詞或詞組等設置口令,而且各用戶的口令應該養(yǎng)成定期更換的習慣����。另外��,口令的保護還涉及到對/etc/passwd和/etc/shadow文件的保護,必須做到只有系統(tǒng)管理員才能訪問這2個文件。安裝一個口令過濾工具加npasswd��,能幫你檢查你的口令是否耐得住攻擊��。如果你以前沒有安裝此類的工具�����,建議你現(xiàn)在馬上安裝。如果你是系統(tǒng)管理員,你的系統(tǒng)中又沒有安裝口令過濾工具��,請你馬上檢查所有用戶的口令是否能被窮盡搜索到�,即對你的/ect/passwd文件實施窮盡搜索攻擊。
5. 分區(qū)管理
一個潛在的攻擊,它首先就會嘗試緩沖區(qū)溢出�。在過去的幾年中�,以緩沖區(qū)溢出為類型的安全漏洞是最為常見的一種形式了�����。更為嚴重的是,緩沖區(qū)溢出漏洞占了遠程網(wǎng)絡攻擊的絕大多數(shù)�����,這種攻擊可以輕易使得一個匿名的Internet用戶有機會獲得一臺主機的部分或全部的控制權��!
為了防止此類攻擊����,我們從安裝系統(tǒng)時就應該注意�。如果用root分區(qū)記錄數(shù)據(jù),如log文件�,就可能因為拒絕服務產(chǎn)生大量日志或垃圾郵件�����,從而導致系統(tǒng)崩潰。所以建議為/var開辟單獨的分區(qū)����,用來存放日志和郵件�����,以避免root分區(qū)被溢出。最好為特殊的應用程序單獨開一個分區(qū)��,特別是可以產(chǎn)生大量日志的程序����,還建議為/home單獨分一個區(qū)��,這樣他們就不能填滿/分區(qū)了����,從而就避免了部分針對Linux分區(qū)溢出的惡意攻擊。
6. 防范網(wǎng)絡嗅探:
嗅探器技術被廣泛應用于網(wǎng)絡維護和管理方面����,它工作的時候就像一部被動聲納���,默默的接收看來自網(wǎng)絡的各種信息��,通過對這些數(shù)據(jù)的分析,網(wǎng)絡管理員可以深入了解網(wǎng)絡當前的運行狀況�,以便找出網(wǎng)絡中的漏洞����。在網(wǎng)絡安全日益被注意的今天�����。我們不但要正確使用嗅探器���。還要合理防范嗅探器的危害����。嗅探器能夠造成很大的安全危害�����,主要是因為它們不容易被發(fā)現(xiàn)�����。對于一個安全性能要求很嚴格的企業(yè)�����,同時使用安全的拓撲結(jié)構(gòu)����、會話加密�、使用靜態(tài)的ARP地址是有必要的。
7. 完整的日志管理
日志文件時刻為你記錄著你的系統(tǒng)的運行情況���。當黑客光臨時,也不能逃脫日志的法眼。所以黑客往往在攻擊時修改日志文件�,來隱藏蹤跡����。因此我們要限制對/var/log文件的訪問��,禁止一般權限的用戶去查看日志文件�����。
另外,我們還可以安裝一個icmp/tcp日志管理程序,如iplogger��,來觀察那些可疑的多次的連接嘗試(加icmp flood3或一些類似的情況)����。還要小心一些來自不明主機的登錄。
完整的日志管理要包括網(wǎng)絡數(shù)據(jù)的正確性、有效性����、合法性��。對日志文件的分析還可以預防入侵。例如�、某一個用戶幾小時內(nèi)的20次的注冊失敗記錄����,很可能是入侵者正在嘗試該用戶的口令����。
8. 終止正進行的攻擊
假如你在檢查日志文件時,發(fā)現(xiàn)了一個用戶從你未知的主機登錄,而且你確定此用戶在這臺主機上沒有賬號�,此時你可能正被攻擊��。首先你要馬上鎖住此賬號(在口令文件或shadow文件中,此用戶的口令前加一個Ib或其他的字符)。若攻擊者已經(jīng)連接到系統(tǒng),你應馬上斷開主機與網(wǎng)絡的物理連接����。如有可能���,你還要進一步查看此用戶的歷史記錄�,查看其他用戶是否也被假冒���,攻擊音是否擁有根權限�����。殺掉此用戶的所有進程并把此主機的ip地址掩碼加到文件hosts.deny中�����。
9. 使用安全工具軟件:
Linux已經(jīng)有一些工具可以保障服務器的安全。如bastille linux.對于不熟悉 linux 安全設定的使用者來說,是一套相當方便的軟件�����,bastille linux 目的是希望在已經(jīng)存在的 linux 系統(tǒng)上�,建構(gòu)出一個安全性的環(huán)境。另外隨著Linux病毒的出現(xiàn),現(xiàn)在已經(jīng)有一些Linux服務器防病毒軟件���,安裝Linux防病毒軟件已經(jīng)是非常迫切了��。
10. 使用保留IP地址 :
維護網(wǎng)絡安全性最簡單的方法是保證網(wǎng)絡中的主機不同外界接觸��。最基本的方法是與公共網(wǎng)絡隔離。然而��,這種通過隔離達到的安全性策略在許多情況下是不能接受的����。這時,使用保留IP地址是一種簡單可行的方法��,它可以讓用戶訪問Internet同時保證一定的安全性���。- RFC 1918規(guī)定了能夠用于本地 TCP/IP網(wǎng)絡使用的IP地址范圍��,這些IP地址不會在Internet上路由��,因此不必注冊這些地址。通過在該范圍分配IP地址�,可以有效地將網(wǎng)絡流量限制在本地網(wǎng)絡內(nèi)�。這是一種拒絕外部計算機訪問而允許內(nèi)部計算機互聯(lián)的快速有效的方法��。
保留IP地址范圍:
---- 10.0.0.0 - 10.255.255.255
---- 172.16.0.0 - 172.31.255.255
—— 192.168.0.0 - 192.168.255.255
來自保留IP地址的網(wǎng)絡交通不會經(jīng)過Internet路由器�����,因此被賦予保留IP地址的任何計算機不能從外部網(wǎng)絡訪問。但是��,這種方法同時也不允許用戶訪問外部網(wǎng)絡�����。IP偽裝可以解決這一問題���。
11、選擇發(fā)行版本:
對于服務器使用的Linux版本����,既不使用最新的發(fā)行版本�����,也不選擇太老的版本。應當使用比較成熟的版本:前一個產(chǎn)品的最后發(fā)行版本如Mandrake 8.2 Linux等。畢竟對于服務器來說安全穩(wěn)定是第一的。
12��、補丁問題
你應該經(jīng)常到你所安裝的系統(tǒng)發(fā)行商的主頁上去找最新的補丁。
二����、網(wǎng)絡設備的安全:
1. 交換機的安全
啟用VLAN技術:交換機的某個端口上定義VLAN �,所有連接到這個特定端口的終端都是虛擬網(wǎng)絡的一部分���,并且整個網(wǎng)絡可以支持多個VLAN.VLAN通過建立網(wǎng)絡防火墻使不必要的數(shù)據(jù)流量減至最少���,隔離各個VLAN間的傳輸和可能出現(xiàn)的問題�,使網(wǎng)絡吞吐量大大增加,減少了網(wǎng)絡延遲�。在虛擬網(wǎng)絡環(huán)境中���,可以通過劃分不同的虛擬網(wǎng)絡來控制處于同一物理網(wǎng)段中的用戶之間的通信����。這樣一來有效的實現(xiàn)了數(shù)據(jù)的保密工作���,而且配置起來并不麻煩�����,網(wǎng)絡管理員可以邏輯上重新配置網(wǎng)絡,迅速、簡單��、有效地平衡負載流量����,輕松自如地增加、刪除和修改用戶,而不必從物理上調(diào)整網(wǎng)絡配置���。
2.路由器的安全:
根據(jù)路由原理安全配置路由器路由器是整個網(wǎng)絡的核心和心臟, 保護路由器安全還需要網(wǎng)管員在配置和管理路由器過程中采取相應的安全措施。
(1)。 堵住安全漏洞
限制系統(tǒng)物理訪問是確保路由器安全的最有效方法之一�����。限制系統(tǒng)物理訪問的一種方法就是將控制臺和終端會話配置成在較短閑置時間后自動退出系統(tǒng)�。避免將調(diào)制解調(diào)器連接至路由器的輔助端口也很重要。一旦限制了路由器的物理訪問,用戶一定要確保路由器的安全補丁是最新的����。
(2)�。 避免身份危機
入侵者常常利用弱口令或默認口令進行攻擊����。加長口令、選用30到60天的口令有效期等措施有助于防止這類漏洞��。另外���,一旦重要的IT員工辭職��,用戶應該立即更換口令�����。用戶應該啟用路由器上的口令加密功能。
(3)。 禁用不必要服務
近來許多安全事件都凸顯了禁用不需要本地服務的重要性。需要注意的是����,一個需要用戶考慮的因素是定時。定時對有效操作網(wǎng)絡是必不可少的���。即使用戶確保了部署期間時間同步,經(jīng)過一段時間后��,時鐘仍有可能逐漸失去同步���。用戶可以利用名為網(wǎng)絡時����。
