維護(hù)網(wǎng)絡(luò)服務(wù)器安全的七個(gè)小技巧

發(fā)布時(shí)間:2007/10/12 23:11:00


對(duì)于一個(gè)網(wǎng)絡(luò)而言,維護(hù)其服務(wù)器安全的重要性是不言而喻的,那么作為管理員的你如何來更好地保障服務(wù)器的安全呢?本文較系統(tǒng)地給您介紹一些實(shí)用的技巧。

技巧一:從基本做起

黑客開始對(duì)你的網(wǎng)絡(luò)發(fā)起攻擊的時(shí)候,他們首先會(huì)檢查是否存在一般的安全漏洞。因此,當(dāng)你服務(wù)器上的數(shù)據(jù)都存在一個(gè)FAT的磁盤分區(qū)的時(shí)候,即使安裝上世界上所有的安全軟件也不會(huì)對(duì)你有多大幫助的。

因此,你需要從基本做起。將服務(wù)器上所有包含了敏感數(shù)據(jù)的磁盤分區(qū)都轉(zhuǎn)換成NTFS格式的。同時(shí),可以為Exchange Server安裝反病毒軟件,將被感染的郵件在到達(dá)用戶以前隔離起來。

技巧二:保護(hù)你的備份

備份實(shí)際上是一個(gè)巨大的安全漏洞。應(yīng)該考慮通過密碼保護(hù)你的磁帶,并且如果你的備份程序支持加密功能,你還可以加密這些數(shù)據(jù),如果竊賊還是把磁帶彈出來帶走的話,磁帶上的數(shù)據(jù)也就毫無價(jià)值了。

技巧三:使用RAS回叫功能

Windows NT最酷的功能之一就是對(duì)服務(wù)器進(jìn)行遠(yuǎn)程訪問(RAS)的支持。不幸的是,一個(gè)RAS服務(wù)器對(duì)一個(gè)企圖進(jìn)入你的系統(tǒng)的黑客來說是一扇敞開的大門。黑客們所需要的一切只是一個(gè)電話號(hào)碼。

你所要使用的技術(shù)將在很大程度上取決于你的遠(yuǎn)程用戶如何使用RAS。如果遠(yuǎn)程用戶經(jīng)常是從家里或是類似的不太變動(dòng)的地方呼叫主機(jī),建議你使用回叫功能,它允許遠(yuǎn)程用戶登錄以后切斷連接。然后RAS服務(wù)器撥通一個(gè)預(yù)先定義的電話號(hào)碼再次接通用戶。黑客也就沒有機(jī)會(huì)設(shè)定服務(wù)器回叫的號(hào)碼了。

另一個(gè)可選的辦法是限定所有的遠(yuǎn)程用戶都訪問單一的服務(wù)器。這樣,即使黑客通過破壞手段來進(jìn)入主機(jī),那么他們也會(huì)被隔離在單一的一臺(tái)機(jī)器上。

最后還有一個(gè)技巧就是在你的RAS服務(wù)器上使用出人意料的協(xié)議,迷惑一些不加提防的黑客。

技巧四:考慮工作站的安全問題

工作站是通向服務(wù)器的一個(gè)端口,在所有的工作站上使用Windows 2000。Windows 2000是一個(gè)非常安全的操作系統(tǒng)。你也可以使用Windows NT。鎖定工作站,使得一些沒有安全訪問權(quán)的人想要獲得網(wǎng)絡(luò)配置信息變得困難或是不可能。

另一個(gè)技術(shù)是將工作站的功能限定一個(gè)聰明的啞終端,讓程序和數(shù)據(jù)駐留在服務(wù)器上但卻在工作站上運(yùn)行。所有安裝在工作站上的是一份Windows拷貝以及一些指向駐留在服務(wù)器上的應(yīng)用程序的圖標(biāo)。當(dāng)你點(diǎn)擊一個(gè)圖標(biāo)運(yùn)行程序時(shí),這個(gè)程序?qū)⑹褂帽镜氐馁Y源來運(yùn)行,而不是消耗服務(wù)器的資源。這比你運(yùn)行一個(gè)完全的啞終端程序?qū)Ψ⻊?wù)器造成的壓力要小得多。

技巧五:使用流行的補(bǔ)丁程序

微軟雇傭了一個(gè)程序員團(tuán)隊(duì)來檢查安全漏洞并修補(bǔ)它們。這些補(bǔ)丁被捆綁進(jìn)一個(gè)大的軟件包并做為服務(wù)包(service pack)發(fā)布。通常有兩種不同的補(bǔ)丁程序版本:一個(gè)40位的版本和一個(gè)128位的版本。128位的版本使用128位的加密算法,比40位的版本要安全得多。微軟定期將重要的補(bǔ)丁程序發(fā)布在它的FTP站點(diǎn)上。這些熱點(diǎn)補(bǔ)丁程序是自上一次服務(wù)包發(fā)布以后被公布的安全修補(bǔ)程序。要經(jīng)常查看熱點(diǎn)補(bǔ)丁。但要記住一定要按邏輯順序使用這些補(bǔ)丁。避免導(dǎo)致一些文件的版本錯(cuò)誤。

技巧六:使用強(qiáng)有力的安全政策

要提高安全性,另一個(gè)可以做的工作就是制定一個(gè)好的,強(qiáng)有力的安全策略。確保每一個(gè)人都知道它并知道它是強(qiáng)制執(zhí)行的。如果你使用Windows 2000 Server,你就有可能指定用戶特殊的使用權(quán)限來使用你的服務(wù)器而不需要交出管理員的控制權(quán),可以授予這種刪除和禁用賬號(hào)權(quán)限并限制創(chuàng)建用戶或是更改許可等這些活動(dòng)的權(quán)限了。

技巧七:反復(fù)檢查防火墻

防火墻是網(wǎng)絡(luò)的一個(gè)重要部分,因?yàn)樗鼘⒛愎镜挠?jì)算機(jī)同互聯(lián)網(wǎng)上那些可能對(duì)它們?cè)斐蓳p壞的蠱惑仔們隔離開來。

你首先要做的事情是確保防火墻不會(huì)向外界開放超過必要的任何IP地址。你總是至少要讓一個(gè)IP地址對(duì)外界可見。這個(gè)IP地址被使用來進(jìn)行所有的互聯(lián)網(wǎng)通訊。如果你還有DNS注冊(cè)的Web服務(wù)器或是電子郵件服務(wù)器,它們的IP地址也許也要通過防火墻對(duì)外界可見。但是,工作站和其他服務(wù)器的IP地址必須被隱藏起來。

你還可以查看端口列表驗(yàn)證你已經(jīng)關(guān)閉了所有并不常用的端口地址。例如,TCP/IP 端口80用于HTTP通訊,因此你可能并不想堵掉這個(gè)端口。但是,你也許永遠(yuǎn)都不會(huì)用端口81,因此它應(yīng)該被關(guān)掉。你可以在Internet上找到每個(gè)端口使用用途的列表。

如果你不希望緊要的數(shù)據(jù)被病毒或是黑客破壞或是被一個(gè)可能用這些數(shù)據(jù)來對(duì)付你的人竊取。就必須掌握一些維護(hù)服務(wù)器安全的技巧來保障它的安全。

堵住路由器的漏洞

對(duì)于黑客來說,利用路由器的漏洞發(fā)起攻擊通常是一件比較容易的事情。保護(hù)路由器安全需要網(wǎng)管員在配置和管理路由器過程中采取相應(yīng)的安全措施。

堵住安全漏洞

限制系統(tǒng)物理訪問是確保路由器安全的最有效方法之一。限制系統(tǒng)物理訪問的方法就是將控制臺(tái)和終端會(huì)話配置成在較短閑置時(shí)間后自動(dòng)退出系統(tǒng)。避免將調(diào)制解調(diào)器連接至路由器的輔助端口也很重要。

避免身份危機(jī)

黑客常常利用弱口令或默認(rèn)口令進(jìn)行攻擊。加長(zhǎng)口令、選用30到60天的口令有效期等措施有助于防止這類漏洞。用戶應(yīng)該啟用路由器上的口令加密功能,這樣即使黑客能夠?yàn)g覽系統(tǒng)的配置文件,他仍然需要破譯密文口令。

禁用不必要服務(wù)

擁有眾多路由服務(wù)是件好事,但近來許多安全事件都突顯了禁用不需要本地服務(wù)的重要性。另一個(gè)需要用戶考慮的因素是定時(shí),即使用戶確保了部署期間時(shí)間同步,經(jīng)過一段時(shí)間后,時(shí)鐘仍有可能逐漸失去同步。用戶可以利用名為網(wǎng)絡(luò)時(shí)間協(xié)議(NTP)的服務(wù),對(duì)照有效準(zhǔn)確的時(shí)間源以確保網(wǎng)絡(luò)上的設(shè)備時(shí)針同步。

限制邏輯訪問

限制邏輯訪問主要是借助于合理處置訪問控制列表,使用入站訪問控制將特定服務(wù)引導(dǎo)至對(duì)應(yīng)的服務(wù)器。為了避免路由器成為DoS攻擊目標(biāo),用戶應(yīng)該拒絕以下流量進(jìn)入:沒有IP地址的包、采用本地主機(jī)地址、廣播地址、多播地址以及任何假冒的內(nèi)部地址的包。用戶還可以采取增加SYN ACK隊(duì)列長(zhǎng)度、縮短ACK超時(shí)等措施來保護(hù)路由器免受TCP SYN攻擊。

監(jiān)控配置更改

用戶在對(duì)路由器配置進(jìn)行改動(dòng)之后,需要對(duì)其進(jìn)行監(jiān)控。如果用戶使用SNMP,那么一定要選擇功能強(qiáng)大,提供消息加密功能的SNMP。為進(jìn)一步確保安全管理,用戶可以利用SSH與路由器建立加密的遠(yuǎn)程會(huì)話。配置管理的一個(gè)重要部分就是確保網(wǎng)絡(luò)使用合理的路由協(xié)議。

實(shí)施配置管理

用戶應(yīng)該實(shí)施控制存放、檢索及更新路由器配置的配置管理策略,并將配置備份文檔妥善保存在安全服務(wù)器上,以防新配置遇到問題時(shí)用戶需要更換、重裝或回復(fù)到原先的配置。
 
 
 
                                                    海騰數(shù)據(jù)中心(技術(shù)部整理)
                                                    2007-10-12
 


Copyright© 2004-2020 河南海騰電子技術(shù)有限公司 版權(quán)所有   經(jīng)營(yíng)性ICP/ISP證 備案號(hào):B1-20180452   豫公網(wǎng)安備 41019702002018號(hào)    電子營(yíng)業(yè)執(zhí)照