IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當前所在位置: 首頁系統(tǒng)集成網(wǎng)絡管理 → 網(wǎng)絡主管常犯的十個愚蠢安全錯誤

網(wǎng)絡主管常犯的十個愚蠢安全錯誤

時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)

?? 仔細觀察一下那些最嚴重的企業(yè)安全漏洞,你會發(fā)現(xiàn)網(wǎng)絡主管們很明顯在一遍又一遍的犯著同樣的錯誤,而且這些錯誤都是很容易避免的。

?? 2008年,Verizon Business對代表了2億8500萬次入侵記錄的90種安全漏洞進行了分析,其中大多數(shù)有組織的入侵事件都上了新聞頭條。這些犯罪活動遍布網(wǎng)絡,竊取信用卡數(shù)據(jù)、社會保險號碼或其他私人的身份信息。

?? 但令人驚訝的是,這些安全漏洞頻繁發(fā)作的原因竟然是網(wǎng)絡管理者們忘掉了使用一些簡單的防護措施,尤其是對那些非關(guān)鍵的服務器。

?? "我們只是沒有做到最基礎(chǔ)的工作,"從事安全漏洞審計工作已有18年之久的Verizon Business創(chuàng)新與技術(shù)副總裁Peter Tippett這樣說。他幫助我們整理了一份錯誤操作的清單,列出了最容易出現(xiàn)的十項錯誤,只要你能夠照著清單來改正錯誤,那么絕大多數(shù)的安全漏洞將不會影響到你。

?? 1. 沒有更改所有網(wǎng)絡設(shè)備的默認密碼

?? Tippett說,有些企業(yè)的服務器、交換機、路由或者網(wǎng)絡設(shè)備一直在使用默認密碼,而且這種情況常見的"難以置信",那些通常設(shè)置為"password"或者"admin"的默認密碼仍然大量被使用。大多數(shù)CIO們都自以為這個問題絕不會在他們的公司出現(xiàn),但是Tippett說他每天都會看到它發(fā)生。

?? 為了避免這個問題,你需要對每臺占用IP地址網(wǎng)絡設(shè)備都進行漏洞掃描,而不僅僅對那些關(guān)鍵的設(shè)備或者上網(wǎng)的系統(tǒng),Tippett說,然后你需要更改它們的默認密碼。Verizon Business的研究報告發(fā)現(xiàn),去年的入侵統(tǒng)計中有超過一半是因為網(wǎng)絡設(shè)備使用默認密碼造成的。51CTO編者注:想了解如何擺脫默認密碼困擾,請看細節(jié)決定安全 杜絕網(wǎng)絡設(shè)備"默認"設(shè)置。

?? 2. 多個網(wǎng)絡設(shè)備共享同一個密碼

?? IT部門經(jīng)常在多臺服務器中使用相同的密碼,而且有不少人知道這個密碼。即使這個密碼的強度可能足夠,但是一旦在多個系統(tǒng)之間共享,這幾個系統(tǒng)就都處于危險之中。

?? 例如,一個人知道密碼的員工可能會離開公司,在新公司他可能也會使用相同的密碼。或者比如你把一些非關(guān)鍵系統(tǒng)比如數(shù)據(jù)中心的制冷系統(tǒng)外包給了某公司,而他們就有可能使用他們經(jīng)常使用的密碼。在任何一種情況下,如果密碼被黑客破解,他們就能夠入侵更多臺服務器,造成更大的傷害。

?? 3. 沒有發(fā)現(xiàn)SQL代碼錯誤

?? 最常見的一種黑客攻擊就是針對連接網(wǎng)絡服務器的SQL數(shù)據(jù)庫,據(jù)統(tǒng)計占到了入侵記錄的79%。黑客的攻擊方法是在Web表格中鍵入SQL命令行。而如果Web表格的編碼正確,它不應該接受SQL命令行。但有時開發(fā)者會犯錯,讓SQL注入攻擊有機可乘。

?? Tippett說,阻止錯誤發(fā)生的最簡單方法是在學習(learn)模式中運行應用防火墻,觀察用戶是怎樣在field中輸入數(shù)據(jù),然后在運行(operate)模式下設(shè)置防火墻,這樣SQL命令就不會被注入field中。SQL代碼問題非常普遍。Tippett說,"如果測試100臺服務器,可能有90臺服務器都會發(fā)現(xiàn)存在SQL注入問題。"另外Tippett提醒到,企業(yè)經(jīng)常只注意關(guān)鍵服務器,而忘記了大多數(shù)黑客是通過非關(guān)鍵系統(tǒng)入侵網(wǎng)絡的。

?? 4. 沒有正確配置訪問控制清單

?? 使用訪問控制清單來分割網(wǎng)絡,這是確保你的系統(tǒng)只和它們需要的對象相連接的最簡單方法。例如,如果你允許合作伙伴通過你的VPN(Virtual Private Network,虛擬專用網(wǎng)絡)來訪問兩臺服務器,你應該使用訪問控制清單來確保合作伙伴只能訪問這兩臺服務器。這樣即使有黑客通過開放的VPN入口入侵了你的網(wǎng)絡,他也只能得到這兩臺服務器上的數(shù)據(jù)。

?? "罪犯們經(jīng)常會通過VPN入侵網(wǎng)絡,并且能夠得到所有權(quán)限,"Tippett說。Verizon的報告顯示,如果正確配置了訪問控制清單,那么去年的入侵事件中將有66%得到保護。CIO們不采取這種簡單措施的原因是要將路由作為防火墻,許多網(wǎng)絡管理者也不想這樣做。

?? 5. 允許不安全的遠程訪問和管理軟件

?? 黑客入侵網(wǎng)絡的最常用手段之一是利用遠程訪問和管理軟件包,比如PCAnywhere、Virtual Network Computing(VNC)或者Secure Shell(SSH)。這些軟件通常都缺乏最基本的安全防護措施,比如密碼就不夠強大。

#p#副標題#e#

?? 發(fā)現(xiàn)這種問題的最簡單方法是對整個IT地址空間進行外部掃描,尋找PCAnywhere、VNC或者SSH的流量。一旦你發(fā)現(xiàn)了這些軟件,要對它們部署額外的安全措施,比如在密碼之外另加證書等方式。另一種方法是掃描外部路由器的Netflow數(shù)據(jù),查找網(wǎng)絡內(nèi)是否存在遠程訪問管理操作的流量。

?? 這個問題非常普遍,在Verizon Business報告的入侵統(tǒng)計中占到了27%。

?? 6. 沒有測試非關(guān)鍵應用的基本漏洞

?? 根據(jù)Verizon Business的報告,將近80%的黑客攻擊是因為Web應用存在安全漏洞。網(wǎng)絡管理者們也知道最大的弱點就在于Web應用,因此他們不遺余力的測試關(guān)鍵的應用和面向互聯(lián)網(wǎng)的系統(tǒng)。

?? 但問題是黑客攻擊的卻是那些網(wǎng)絡內(nèi)部的非關(guān)鍵系統(tǒng)的安全漏洞。Tippett說,"主要問題是我們瘋狂的測試那些關(guān)鍵的Web應用,卻忽視了那些非關(guān)鍵的應用"。他建議網(wǎng)絡管理者應該對所有應用的基本漏洞都進行測試。

?? "人們總是過于關(guān)注關(guān)鍵的應用,但是罪犯們不會管什么關(guān)鍵什么不關(guān)鍵,他們只挑最容易的下手,"Tippett說。

?? 7. 沒有充分保護服務器遠離惡意軟件

?? Verizon Business的報告說服務器上的惡意軟件占到了所有安全漏洞的38%。大多數(shù)惡意軟件是被遠程攻擊者安裝的,用來捕獲數(shù)據(jù)。某些惡意軟件可以自定義,因此防病毒軟件無法識別。對于網(wǎng)絡管理者來說,一種在服務器上查找惡意軟件比如木馬或間諜軟件的方法是在每臺服務器上本地運行入侵檢測系統(tǒng)軟件,當然不僅僅是針對關(guān)鍵服務器。

?? Tippett推薦了一種可以阻止這類攻擊的簡單方法:鎖定服務器,讓新的應用軟件無法在這些服務器上運行。"很多網(wǎng)絡管理者們不喜歡這么做,因為他們總想著以后可能會安裝新的軟件。但我要告訴他們的是,到時候再解鎖,然后安裝新軟件,然后再重新鎖定。"

?? 8. 沒有讓路由禁止不必要的外部流量

?? 惡意軟件的一種常用做法是在服務器上安裝后門或命令外殼。有一種阻止它們的方法是使用訪問控制清單分割網(wǎng)絡。這種方法可以阻止服務器發(fā)送不該發(fā)送的流量。例如,電子郵件服務器應該只發(fā)送郵件流量,而不是SSH流量。另一種辦法是讓路由默認拒絕出口過濾,阻止所有出站流量,除了那些你安排離開的。

?? "只有2%的企業(yè)這樣做。令我困惑的是另外的98%為什么不這么做。"Tippett說,"默認拒絕出口過濾是非常簡單的。"

?? 9. 不知道信用卡或其他關(guān)鍵用戶數(shù)據(jù)存儲在哪里

?? 大多數(shù)企業(yè)自認為他們知道關(guān)鍵數(shù)據(jù)比如信用卡信息、社會保險號碼或者其他私人身份信息等等的存儲位置,他們對這些服務器設(shè)置最高級別的安全防御措施。但是往往這些數(shù)據(jù)還會存儲在網(wǎng)絡的其它地方,比如備份站點或者軟件開發(fā)部門。

?? 這些第二等級的非關(guān)鍵服務器經(jīng)常遭到攻擊,導致絕大多數(shù)的數(shù)據(jù)泄露。查找關(guān)鍵數(shù)據(jù)存儲位置的一種簡單方法是進行網(wǎng)絡探測。"我們通常會在網(wǎng)絡上設(shè)置嗅探器,查找關(guān)鍵數(shù)據(jù)可能存在的位置,還要觀察它們可能流向哪里。"Tippett說。

?? 10. 沒有遵守支付卡行業(yè)數(shù)據(jù)安全標準

?? 支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)為保護持卡人信息設(shè)置了12條控制條款,Tippett說,"然而大多數(shù)用戶甚至沒有試著去達到PCI標準。"有時,企業(yè)會遵循這些標準來管理他們已知的存儲信用卡數(shù)據(jù)的服務器,但對其他未知的服務器卻無法控制。

?? Verizon Business的報告顯示,盡管入侵記錄中有98%涉及到盜取支付卡數(shù)據(jù),但是這些遭受入侵的企業(yè)中僅有19%遵守了PCI標準。"很顯然,遵循PCI規(guī)定,它們絕對可以保護你。"Tippett最后說。

關(guān)鍵詞標簽:網(wǎng)絡管理

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 路由器地址大全-各品牌路由設(shè)置地址 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 Nslookup命令詳解-域名DNS診斷 Nslookup命令詳解-域名DNS診斷 站長裝備:十大網(wǎng)站管理員服務器工具軟件 站長裝備:十大網(wǎng)站管理員服務器工具軟件

相關(guān)下載

    人氣排行 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達路由器怎么設(shè)置?騰達路由器設(shè)置教程 ADSL雙線負載均衡設(shè)置詳細圖文教程 路由表說明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實際工作的一天 網(wǎng)管必會!了解交換機控制端口流量