IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當前所在位置: 首頁系統(tǒng)集成網(wǎng)絡管理 → 網(wǎng)管員易犯的10大最愚蠢錯誤

網(wǎng)管員易犯的10大最愚蠢錯誤

時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)

在我們考察最糟糕的企業(yè)安全錯誤時,經(jīng)常會發(fā)現(xiàn)網(wǎng)管員們會一次又一次地重復一些相同的錯誤,而很多這類的錯誤原本是很容易避免的。

2008年。Verizon Business從2.85億次安全攻擊記錄中挑選出了90個安全泄露事件進行分析。這些事件均上過媒體頭條,涉及有組織犯罪,一般情況下都是犯罪分子發(fā)現(xiàn)進入某個網(wǎng)絡的未受到保護的入口,然后利用此入口盜走了信用卡數(shù)據(jù)、社會保險號或其他個人身份信息。

令人驚訝的是,這些安全事故往往都是網(wǎng)管員們沒有執(zhí)行保護系統(tǒng)安全、尤其是一些非關(guān)鍵性服務器安全的基本程序而引起的。

"之所以發(fā)生安全泄露事故,只是因為我們沒有執(zhí)行某些基本措施,"Verizon Business負責創(chuàng)新與技術(shù)的副總裁Peter Tippett說。他跟蹤安全泄露事件已長達18年。

Tippett幫我們列出了為了消除重大安全泄露網(wǎng)管員們必須采取的一些最簡單的步驟。如果沒有遵循本列表所列出的這些相當簡單的步驟,結(jié)果將是非常愚蠢和糟糕的。

1. 沒有更改所有網(wǎng)絡設(shè)備的缺省密碼

Tippett說下列情況幾乎"令人難以置信"——企業(yè)的服務器、交換機、路由器或網(wǎng)絡設(shè)備一般都有缺省的密碼,通常就是"password"或者"admin",而這樣的缺省密碼在很多企業(yè)中居然一直在用。大多數(shù)CIO自認為這樣的事情絕不可能發(fā)生,但Tippett卻看到此類事情無處不在。

Tippett稱,要避免這樣的問題,只需要對每臺設(shè)備執(zhí)行一次漏洞掃描即可發(fā)現(xiàn)。然后要做的就是變更缺省密碼。去年所發(fā)生的所有安全事件中,超不多一半以上的事件都是因為缺省密碼未改而發(fā)生的。

2. 多臺網(wǎng)絡設(shè)備共用一個密碼。

IT部門常常會對多臺服務器共用相同的密碼,結(jié)果是好幾個人都知道這個密碼。即便是再好的密碼——復雜的數(shù)字與字符串——一旦在好幾個系統(tǒng)上共用,那么這些系統(tǒng)都將處于危險之中。

舉例來說,知道此密碼的某人換了公司,他可能會在新的公司也設(shè)置這個密碼。或者處理某個非關(guān)鍵系統(tǒng)比如數(shù)據(jù)中心冷卻系統(tǒng)的外包人員,可能也會在他所有的客戶系統(tǒng)上使用同一個密碼。無論是哪種情況,一旦該密碼被黑客所發(fā)現(xiàn),那么黑客就能很輕松地進入多家企業(yè)的多個系統(tǒng)和多臺服務器,實施更大規(guī)模的破壞。

Tippett說,IT部門需要制定一個流程——自動或手動——來保證各臺服務器的密碼沒有在多個系統(tǒng)間共用,并定期更改密碼以保障安全。他認為,最簡單的辦法就是把現(xiàn)有各臺服務器的不同密碼記錄在卡片上,然后將卡片交由專人負責,放入帶鎖的盒子里。

3. 未能發(fā)現(xiàn)SQL編碼錯誤。

最常見的黑客攻擊——約占所有攻擊記錄的79%——都是針對與某臺Web服務器相連接的SQL數(shù)據(jù)庫的。黑客們進入這些系統(tǒng)的方法就是在一個Web窗口中輸入SQL指令。假如該窗口的編碼是正確的,那么它是不能接受SQL指令的。然而有時候,一些開發(fā)人員偶爾會犯所謂的SQL注入錯誤。

Tippett說,防范此類錯誤的最簡單辦法就是以"學習"模式運行應用防火墻,該防火墻便可觀察用戶是怎么在一個域里輸入數(shù)據(jù)的,然后再把應用防火墻改成"operate"模式,這樣就不會出現(xiàn)在某個域里注入SQL指令的問題了。SQL編碼問題普遍存在,"某家企業(yè)如果測試100臺服務器的話,就有可能發(fā)現(xiàn)其中90臺都是有SQL注入問題的,"Tippett說。

通常情況下,企業(yè)只會修復關(guān)鍵服務器上的SQL注入錯誤,但卻忘記了大多數(shù)黑客都是通過非關(guān)鍵系統(tǒng)進入網(wǎng)絡的。Tippett建議,網(wǎng)管員應利用訪問控制名單對網(wǎng)絡實行分段管理,限制服務器與非關(guān)鍵設(shè)備進行會話。這種辦法能夠有效地防范黑客通過無法避免的SQL編碼錯誤進入系統(tǒng)。

4. 訪問控制名單配置不當。

利用訪問控制名單將網(wǎng)絡分段管理是保障各個系統(tǒng)只和那些應該通信的系統(tǒng)進行通信的最簡單辦法。比如說,如果允許業(yè)務合作伙伴通過VPN訪問企業(yè)網(wǎng)絡中的兩臺服務器,那你就應該用訪問控制名單確保這些合作伙伴就只能訪問這兩臺服務器。那么即便有黑客通過開放給業(yè)務合作伙伴的入口進來,也只能竊取這兩臺服務器上的數(shù)據(jù)。

"但是通常的情況卻是,某個壞家伙通過VPN入口進來就能夠訪問企業(yè)所有的數(shù)據(jù),"Tippett說。事實上,如果有適當配置的訪問控制名單,那么去年有66%的攻擊都是可以避免的。而CIO們之所以沒有采取這一簡單的步驟,是因為和需要牽扯到路由器以及防火墻的重新設(shè)置,而很多網(wǎng)管員不愿意干這事。

5. 允許不安全的遠程訪問和管理軟件

黑客們最流行的做法之一就是利用遠程訪問和管理軟件包,如PCAnywhere、虛擬網(wǎng)絡計算(VNC)或Secure Shell(SSH)等進入企業(yè)網(wǎng)絡。這些軟件應用通常都缺乏最基本的安全措施,比如設(shè)計良好的密碼等。

查出這一問題的最簡單辦法就是在企業(yè)的全部IP地址范圍內(nèi)做一次外部掃描,看看是不是存在PCAnywhere、VNC或SSH流量。一旦發(fā)現(xiàn)有這些應用存在,就得為它們設(shè)置額外的安全控制措施,例如令牌或密碼外加身份認證。另一種辦法是掃描進入路由器的Netflow數(shù)據(jù),看看是否有任何遠程訪問管理流量通過你的網(wǎng)絡。

根據(jù)Verizon Business的報告,去年的攻擊記錄中有27%的事件是可以這樣避免的。

6. 沒有測出非關(guān)鍵應用的基本漏洞。

根據(jù)Verizon Business的報告,有大約80%的黑客攻擊都是各類Web應用的安全漏洞造成的。網(wǎng)管員們也知道最大的漏洞就是各類Web應用,然而他們卻把功夫下在了測試其關(guān)鍵性的和面向互聯(lián)網(wǎng)的系統(tǒng)上了。

但問題在于,大多數(shù)黑客攻擊都針對的是網(wǎng)絡中的那些非關(guān)鍵系統(tǒng)。"主要的問題就在于我們迷戀于去測試關(guān)鍵的Web應用,而忽視了很多非關(guān)鍵的Web應用,"Tippett說。他建議,網(wǎng)管員們應當測試所有應用的基本安全漏洞。

"人們總是認為應當關(guān)注關(guān)鍵性應用,但是黑客們并不知道什么關(guān)鍵,什么不關(guān)鍵。只要能進來的就是關(guān)鍵,"Tippett說。

7. 防范惡意軟件的方法不適當。

Verizon Business的報告稱,有38%的安全泄密事件是因為服務器上有惡意軟件。大多數(shù)惡意軟件都是由遠程攻擊者安裝的,用于捕捉數(shù)據(jù)。典型情況下,惡意軟件都是定制的,所以不容易被防病毒軟件所發(fā)現(xiàn)。要想在服務器上找出類似keylogger(鍵盤跟蹤器)或間諜件等惡意軟件,網(wǎng)管員們可在每臺服務器上運行IDS軟件,而不是只限于關(guān)鍵服務器。

Tippett提出了一種簡單地防止此類攻擊的方法:給服務器加鎖,就不會有新的應用可以在上面運行了。"網(wǎng)管員之所以不愿意這么做,就是因為他們常常要增加新的軟件,"Tippett說。"我告訴他們,安裝新的軟件時,只需解鎖便可,安裝完了再加鎖就是了。"

8. 路由器配置不當,未能阻止不必要的外向流量。

在服務器上開后門或者安裝指令外殼,是惡意軟件比較流行的做法。要防范此類黑客,一種辦法還是利用訪問控制名單。這樣可以防止服務器向外發(fā)送它們本不該發(fā)送的流量。舉例來說,郵件服務器只能發(fā)送郵件流量,不能發(fā)送SSH流量。另一個辦法是將路由器設(shè)定為缺省拒絕外向過濾,這就能禁止所有的外向流量,除非你選擇某種流量流出。

"但是只有2%的企業(yè)會這么做。我搞不明白,為什么98%的企業(yè)就不這么做呢?"Tippett說。"設(shè)置缺省拒絕外向過濾真的是小事一樁啊。"

9. 不清楚信用卡數(shù)據(jù)或其他關(guān)鍵客戶的數(shù)據(jù)存放在何處。

大多數(shù)企業(yè)自認為知道諸如信用卡信息、社會保險號或其他個人身份信息存儲在什么地方關(guān)鍵數(shù)據(jù),然后它們便會對存放這些數(shù)據(jù)的服務器施以最高級別的安全措施。但是通常情況下,這些數(shù)據(jù)卻很有可能也存放到了別的什么地方,比如備份網(wǎng)站,或者軟件開發(fā)部門。

這些次級的、非關(guān)鍵的服務器常常會遭到攻擊,導致重要數(shù)據(jù)泄漏。要找出關(guān)鍵數(shù)據(jù)都存放在什么地方也很簡單,只要執(zhí)行網(wǎng)絡發(fā)現(xiàn)程序就可以了。"我們一般都是在網(wǎng)上進行嗅探,便可找出哪里存放著關(guān)鍵數(shù)據(jù),然后再看看哪里可能還會找到它們,"Tippett說。

10. 沒有遵循支付卡行業(yè)(PCI)的數(shù)據(jù)安全標準(DSS)。

Tippett說,保護持卡人信息的PCI DSS共有12種控制手段。"而大多數(shù)人根本不想嘗試去滿足PCI標準,"Tippett說。有時候一家企業(yè)如果其服務器上存放著信用卡數(shù)據(jù),那他們可能會會遵循這些控制手段,但他們并不知道還有一些服務器上也存放著此類關(guān)鍵數(shù)據(jù)。

在去年的所有攻擊案件中,高達98%的攻擊涉及到了支付卡數(shù)據(jù),但卻只有19%的機構(gòu)遵從PCI標準。"事情很明顯,必須遵循PCI標準,它們是最基本的工作之一,"Tippett說。

關(guān)鍵詞標簽:網(wǎng)管員

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 路由器地址大全-各品牌路由設(shè)置地址 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 Nslookup命令詳解-域名DNS診斷 Nslookup命令詳解-域名DNS診斷 站長裝備:十大網(wǎng)站管理員服務器工具軟件 站長裝備:十大網(wǎng)站管理員服務器工具軟件

相關(guān)下載

    人氣排行 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達路由器怎么設(shè)置?騰達路由器設(shè)置教程 ADSL雙線負載均衡設(shè)置詳細圖文教程 路由表說明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實際工作的一天 網(wǎng)管必會!了解交換機控制端口流量