常愚蠢企业网络管理员常犯的19大愚蠢错误

疯狂代码 http://CrazyCoder.cn/ ĵ:http:/CrazyCoder.cn/Security/Article68794.html

　　管理资讯保安服务领导供应商Verizon Business对过去几年里危害程度比较深90个安全漏洞进行了次系统分析发现和这90个安全漏洞相关“犯案”记录竟然高达2.85亿条惊人数字不是吗？其中大多数重头案件都涉及有组织犯罪比如非法登录个未加保护网络并窃取信用卡资料、社会安全号码或其他个人身份信息等等

　　而令人惊讶地是这些安全漏洞大多是由于网络管理员没有对自己负责网络系统尤其是非关键服务器采取明显防护措施造成而造成

　　“根本原因就在于网络管理员没有做好最基本工作就这么简单” Verizon Business技术创新部副总裁Peter Tippett说Tippett是安全领域权威人士从事安全漏洞审计工作长达18年的久

　　在Tippett帮助下我们整理总结了以下网络管理人员们最常见清单这些将直接导致网络片混乱并导致严重安全漏洞针对每个我们给出了最简单解决方案希望能众多网络管理员有所帮助

　　1.未更改网络设备缺省密码

　　“我们发现很多企业服务器、交换机、路由器以及其它网络设备都使用缺省密码——通常是

‘password’或‘admin’这是多么令人难以置信” Tippett说“大多数CIO们认为这个问题不可能发生在他们身上而事实则恰恰相反”

　　为了避免这个问题你需要对你网络中每台网络设备进行次彻底漏洞扫描而不仅仅是核心或关键设备

Tippett说然后修改每台设备缺省密码根据Verizon Business研究结果在过去年中所发生网络侵害案件中有半以上是由于某个网络设备使用缺省密码而给犯案人员留下了可乘的机

　　2. 多台网络设备“共享”同个密码

　　企业IT部门常常对多个服务器使用相同密码并且很多人都知道这个密码就密码本省而言它安全性可能非常高——个数字和字母复杂组合但是旦它被多个系统共享那么所有这些系统都处于危险的中

　　例如某个知道这“通用”密码人离职了而他很有可能在新公司还是使用同密码或者某个负责部署非关键系统比如数据中心冷却系统外包人员很有可能对其负责所有客户所有系统使用相同密码在这些情况下如果密码被某个黑客得到那么他就可以进入许多服务器并且造成很大破坏

　　Tippett说企业IT部门需要制定个流程——无论是自动还是手动——以确保服务器密码不会在多个系统的间共享并且还要定期更换这样才能保证密码安全最简单也最有效办法就是专门找个人负责保管企业目前服务器所有密码

　　3.未能有效找出Web服务器SQL编码

　　根据Verizon Business研究结果最常见黑客攻击是对连接到Web服务器SQL数据库攻击这大约占到了研究记录79%.而黑客侵入这些系统方式是利用Web表单提交个SQL命令如果表单编码是正确那么它是不会接受SQL命令但是有时开发人员编码食物就可能“创造”所谓SQL注入漏洞黑客可以用这些漏洞直接从数据库中查询他们所需要信息

　　Tippett说避免SQL注入攻击最简单思路方法就是运行个应用防火墙首先把它设置为“学习”模式以便能够观察用户如何把数据输入字段中然后将该应用防火墙设置为“操作”模式这样SQL命令就不能“注入”字段中了SQL编码问题十分普遍“如果个企业对自己100台服务器进行测试它们可能会发现其中90台有SQL注入问题” Tippett说

　　通常情况下企业仅仅解决了核心服务器SQL注入漏洞但是他们忽略了很重要点:黑客往往是通过非关键系统进入到他们网络Tippett建议网络管理员利用访问控制列表对网络进行划分限制服务器同非重要设备通讯这样就可以有些地防止黑客利用个小小SQL编码非法获取数据

　　4.未正确配置访问控制列表

　　使用访问控制列表分割网络是确保服务器不会越界最简单有效方式它能确保每台网络设备或系统只和它们需要服务器或系统进行通讯例如如果你允许业务合作伙伴可以通过你VPN访问你内网中两台服务器那么你应该在访问控制列表中进行设置确保这些业务合作伙伴只能访问这两台服务器而不能越界即便是某个黑客利用合作伙伴这个通道进入你企业内网那么他也仅仅能窃取这两台服务器上数据危害范围大大降低

　　“但是现实情况却是利用VPN进入企业网络黑客往往在内网中畅通无阻” Tippett说事实上如果所有企业都能正确配置访问控制列表那么过去年中所发生网络侵害事件就能减少66%.配置访问控制列表是件非常简单工作而CIO们不愿做这件事理由是它涉及到将路由器用作防火墙这是许多网络管理员并不希望

　　5.允许不安全远程访问和管理软件Software

　　黑客侵入企业内网最常用手段的就是使用远程访问和管理软件Software包比如PCAnywhere、VirtualNetwork Computing (VNC)或Secure Shell (SSH)通常这些应用软件Software都缺乏最基本保障措施比如安全密码

　　解决这问题最简单思路方法就是对你整个IP地址空间运行个外部扫描寻找PCAnywhere、Virtual NetworkComputing (VNC)或Secure Shell (SSH)旦检测到这些应用立刻对其增加额外保障措施比如令牌或证书除此以

外另种思路方法就是扫描外部路由器NetFlow数据看看有没有远程访问管理流量出现在你网络中

　　根据Verizon Business报告不安全远程访问和管理软件Software所占比例也是非常高达到了27%.

　　6.没有对非关键应用进行基本漏洞扫描或测试

　　根据Verizon Business研究结果近80%黑客攻击都是由于Web应用存在安全漏洞造成网络管理人员知道系统最大漏洞就在Web应用中所以他们用尽浑身解数对关键系统和Web系统进行测试

　　现在问题是大多数黑客攻击利用都是企业内网非关键系统安全漏洞“主要问题是我们疯狂测试核心网络应用而忽略了非Web应用测试” Tippett说因此他建议网络管理员在做漏洞扫描或测试时应该把网撒更大更广泛

　　“我们从小受教育就是定要根据轻重缓解安排工作但是不良分子却不管所谓轻重缓急哪个容易攻破他们就进入哪个”Tippett说“旦他们进入你网络他们就在里面为所欲为”

　　7.未能对服务器采取有效保护措施恶意软件Software泛滥

　　Verizon Business研究报告表明服务器恶意软件Software大约占到了所有安全漏洞38%.大多数恶意软件Software是由黑客远程安装用来窃取用户数据通常情况下恶意软件Software都是定制所以它们不能被防病毒软件Software发现网络管理员查找服务器恶意软件Software(比如键盘记录软件Software或间谍软件Software)个有效手段就是在自己每台服务器上运行个基于主机入侵检测系统软件Software而不仅仅是核心服务器

　　Tippett表示些非常简单思路方法就可以避免许多这类攻击比如服务器锁定这样新应用就无法在它上面运行“网络管理人员通常不愿意这样做他们认为这可能会使安装新软件Software变得有些复杂”Tippett说“而事实上如果你要安装新应用你可以先开锁安装 2009-9-5 0:59:02 疯狂代码 http://CrazyCoder.cn/