[转载]建立全面的防护体系
文章作者:mirnshi (bobo)我们都看过由cracker发表有关各个操作系统某些漏洞的文章。Solaris有,Linux有,BSD大部分版本也有,当然,Windows也不例外。但是对于我们整个网络安全来说,仅考虑操作系统的安全是不够的。如果不知晓有关安全的各个层次,将导致你被攻击或给你一个安全错觉。
安全,并不是安装一个单个的buffer overflow的补丁或安装一个防火墙就可以保障的。安全是个包含多方面的大难题。其目标是划分我们的防御层,当每个入侵者入侵我们的系统时,会被多个的安全防御层防止住入侵。在我们的防御体系中,我们为入侵者设置了层层屏障。
[路由器
[防火墙
[入侵监测
[ 操作系统安全
[用户]
]
]
]
]
一个入侵者必须通过的屏障如图例所示。这将增加入侵者被防住的机率,同时也增加了审核信息的数量,利用这些审核信息可以跟踪入侵者。
1、我们的第一层防护是路由器。路由器滤掉被屏蔽的的IP地址和服务。例如,我们首先屏蔽所有的IP地址,然后有选择的放行一些地址进入我们的网络。一般来说,总是首先屏蔽所有的再放行。对于首先放行所有的,再屏蔽一些地址是不可取的,除非你提供一个公共服务,如http。
路由器也可以过滤一些服务协议。例如,假设我们有一台web服务器,我们只想提供web服务,只需允许http协议通过,屏蔽象ftp、telnet、sendmail等一些的协议,
2、防火墙是第二层防护。防火墙可以过滤对IP和服务。也可以利用不同防火墙产品的各种安全机制建立VPN(Virtual PrivateNetworks)。通过VPN,你在异地可以更安全的联入你的网络。大多数防火墙都有认证机制,但是你必须知道除非你使用了加密,否则用户名和口令是以明码传送的。
不同的防火墙各有个的优缺点。用一篇文章函盖所有是不可能的。一些产品可以远程管理,乍听起来很方便,但是不可否认其他人也可以远程管理你的防火墙。一些产品可以自动更新路由器,屏蔽危险的连接,但值得考虑的是产品的识别能力。防火墙的特点就是它只能检测它能看到的。也就是对于一个应用级的防火墙会丢掉所有的实际上网络动作,并且不记录任何动作。还有一点就是你自己要选好你的防火墙并且正确的配置好。
3、入侵监测系统(IDS)是被动的,它监测你的网络上所有的包(packets)。其目的就是扑捉危险或有恶意的动作。IDS是按你指定的规则运行的,而且记录是庞大的。而且我们发现如果IDS没有正确的配置,其效果如同没有一样。它可以监测端口扫描、syn floods等等,但前提是你必须知道如何使用这个系统。
4、正确的配置每台主机系统也是非常重要的。不能很好的利用服务的限制和每个用户的权限,将导致一个可怕的后果。限制诸如chargen、echo、日期等这些简单的TCP协议。网络测试工具可以利用这些特定的协议,对你的网络实施DOS攻击。
如果你不想提供诸如FTP、HTTP等公共服务,可以关闭它们。一些人在安装Windows NT时就会错误的安装了Internet服务,其中就包括IIS―Web Server。IIS有缺省的用户名和口令,这是路人皆知的。这就打开了一个大漏洞。所以一定要知道你正在安装什么。请记住使用任何安全软件包的缺省都是一个巨大的错误。
每周发布的修补程序修补操作系统的使用上的漏洞和安全上的漏洞。由于它们修补的是广为所知的漏洞,你要跟住最新的修补程序。维持文件系统的的许可和用户的权限也是必须的。
5、最大的安全弱点来自用户。用户会由于缺乏良好的安全经验而纯粹无知的将你出卖给入侵者。有时,甚至非常好的安全习惯也会给人性让路。口令是最大的天敌。一个很容易被猜到的口令如同没有口令一样。甚至用户知道要选择一个好口令的规则,也会用笔记录下口令,这个口令太难记了。
网络用户也可能由于他们建立了自己的个人用户而导致一些问题。一个用户可以共享给其他人C:\和他的家目录。他们也可能将.rhost和.netrc文件放在家目录以便方便地传文件。许多用户不会知道这
会有潜在的危险。看住你的用户并帮助他们保持良好的习惯。
6、你的网络或许需要或许不需要比这罗列的更多的安全。不要迫于压力匆忙选择安全产品。这些产品太多了。网络扫描器可以帮你发现你的网络的弱点,系统扫描器可以帮你确定系统级的弱点,还
有些工具可以记录机器上发生的一切。仔细的选择你的防护产品,但要记住要划分安全层。就像一个城堡,有护城河、城墙和哨兵,你的网络也同样需要这些类似的防护抵制入侵。
页:
[1]