萬盛學電腦網

 萬盛學電腦網 >> 健康知識 >> 怎樣消除十大網絡安全隱患

怎樣消除十大網絡安全隱患

  系統管理員常常抱怨他們無法消除系統存在的脆弱性,因為他們不知道在500多種安全問題中哪些是最不安全的,同時他們也沒有時間去處理全部的問題。為此,信息安全部門找出了系統管理員可以立即消除的十大安全隱患。   1、BIND漏洞   位於十大之首的是BIND漏洞,有些系統默認安裝運行了BIND,這種系統即使不提供DNS服務,也很容易受到攻擊。   防范措施   建議執行一個數據包過濾器和防火牆,仔細檢查BIND軟件;確保非特權用戶在chroot()環境下運行;禁止對外的分區傳送;查看分區映射情況,確認對此做了補丁,建立了日志;對BIND進行修改,,使得它不會對不可信任主機提供分區傳送。   2、有漏洞的通用網關接口程序   位於十大脆弱性中第二位的是有漏洞的CGI程序和Web服務器上的擴展程序。入侵者很容易利用CGI程序中的漏洞來修改網頁,竊取信用卡信息,甚至為下一次入侵建立後門。   防范措施   更新修改後的ht://dig軟件包可以防止受此攻擊。如果還會出現其他CGI漏洞,建議將口令保存在shadow文件中,並且通過對口令執行Crack,確保不會被入侵者輕松識破;建議將ssh或其他形式的遠程shell訪問設置在一台獨立的主機上,該主機不提供其他服務和功能。   3、遠程過程調用(RPC)漏洞   RPC允許一主機上的程序可執行另一主機上的程序。許多攻擊所利用的都是RPC漏洞所帶來的脆弱性。   防范措施   禁止相關服務;防火牆和邊界設備只允許通過網絡提供必要的服務,在防火牆上將日歷、時間等服務阻塞;系統和應用必須隨時更新和打補丁,確保版本最新;對NFS服務器進行充分掃描;修改NFS服務器的口令,讓口令經得起檢查。   4、Microsoft IIS中存在的遠程數據服務漏洞   運行IIS服務器的系統管理員要特別小心,注意安全通告以及補丁,因為IIS很容易成為攻擊目標。   防范措施   消除RDS漏洞,安裝補丁或升級,更正所有已知的其他的IIS安全漏洞。   5、Sendmail攻擊   Sendmail是運行在Unix和Linux平台上的發送、接收和轉發電子郵件的軟件,它很早就被人發現了漏洞,又因其廣泛應用而成為攻擊目標。   防范措施   升級到最新版本並打補丁;在非郵件服務器或非郵件中繼站的主機上不要以後台程序模式運行Sendmail;避免郵件客戶將大部分功能在根用戶空間中完成。
6、sadmind和mountd緩沖區溢出   sadmind支持Solaris系統的遠程管理訪問,並提供管理圖形接口;mountd可以控制和處理UNIX主機上NFS裝載的訪問。   防范措施   禁止相應服務,對系統打補丁;關閉服務,甚至將主機上能夠直接訪問網絡的服務刪除;如果系統沒有要求,就禁止為其提供相關服務。   7、配置不當的文件共享   配置不當的文件共享將影響多種操作系統,將重要的系統文件暴露,甚至為連接到網絡上的“敵人”提供完全的文件系統訪問權限。全局文件共享或不合適的共享信息一般會在以下情況出現:NetBIOS和Windows NT平台上、Windows 2000平台上、UNIX NFS、Macintosh Web共享或AppleShare/IP。   防范措施   對Windows系統,只在必要的情況下才共享;對Windows NT/2000系統,避免“空會話”連接對用戶、用戶組和注冊鍵等信息進行匿名訪問,在路由器或NT主機上將與NetBIOS會話服務的流入連接加以阻塞;對Machintosh系統,只有必要的情況下才進行文件共享;對UNIX系統,充分利用mount命令的noexec、nosuid和nodev選項,不要在UNIX Samba 服務器上使用未加密的口令,如果可能,考慮轉換為一個更安全的文件共享結構。   8、口令   口令設置不當,或沒有設置帳戶口令,這是最容易修正的,也是實施起來最難的。   防范措施   教育用戶和系統管理員,讓他們充分認識到好的口令的作用;建立合適的口令策略,定期檢查口令安全性,同時利用系統提供的一些工具和擴展包對策略進行完善。   9、IMAP和POP服務器緩沖區溢出   在目前已經知道的系統和應用脆弱性中大部分都源於緩沖區溢出。緩沖區溢出會引起很多問題,諸如系統崩潰、非授權的根訪問和數據破壞。   防范措施   在非郵件服務器的主機上禁止此類服務;使用最新版本,安裝最新補丁。   10、默認的SNMP共用串   網絡管理員利用SNMP對各種類型的網絡連接設備進行管理和監控。SNMP版本1把一種未經加密的“共用串”作為鑒別機制,同時大部分SNMP設備所用的默認共用串是public,只有很少人修改了,因此攻擊者利用此漏洞可以遠程配置設備,甚至關閉設備。另外監聽到的SNMP數據流中包括大量關於網絡結構的信息,還有與之相連的系統和設備的信息,因此危害很大。   防范措施   如果一定要用SNMP,就禁止使用SNMP共用串;如果使用,利用SNMPwalk驗證並檢查功用名;如可能,設置MIB為只讀;讓邊界設備阻塞外部的SNMP訪問;檢查SNMP次代理,保證其與相應主SNMP服務的最新設置同步;得到最新補丁,做兼容性測試後進行安裝。   如果系統管理員嚴格按照以上所提供的防范措施來做,那將大大減少相關安全問題,大家可以在一個相對安全的環境下安心工作。
copyright © 萬盛學電腦網 all rights reserved