IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁系統(tǒng)集成網(wǎng)絡(luò)管理 → 網(wǎng)管員易犯的10大最愚蠢錯誤

網(wǎng)管員易犯的10大最愚蠢錯誤

時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)

在我們考察最糟糕的企業(yè)安全錯誤時,經(jīng)常會發(fā)現(xiàn)網(wǎng)管員們會一次又一次地重復(fù)一些相同的錯誤,而很多這類的錯誤原本是很容易避免的。

2008年。Verizon Business從2.85億次安全攻擊記錄中挑選出了90個安全泄露事件進(jìn)行分析。這些事件均上過媒體頭條,涉及有組織犯罪,一般情況下都是犯罪分子發(fā)現(xiàn)進(jìn)入某個網(wǎng)絡(luò)的未受到保護(hù)的入口,然后利用此入口盜走了信用卡數(shù)據(jù)、社會保險號或其他個人身份信息。

令人驚訝的是,這些安全事故往往都是網(wǎng)管員們沒有執(zhí)行保護(hù)系統(tǒng)安全、尤其是一些非關(guān)鍵性服務(wù)器安全的基本程序而引起的。

"之所以發(fā)生安全泄露事故,只是因為我們沒有執(zhí)行某些基本措施,"Verizon Business負(fù)責(zé)創(chuàng)新與技術(shù)的副總裁Peter Tippett說。他跟蹤安全泄露事件已長達(dá)18年。

Tippett幫我們列出了為了消除重大安全泄露網(wǎng)管員們必須采取的一些最簡單的步驟。如果沒有遵循本列表所列出的這些相當(dāng)簡單的步驟,結(jié)果將是非常愚蠢和糟糕的。

1. 沒有更改所有網(wǎng)絡(luò)設(shè)備的缺省密碼

Tippett說下列情況幾乎"令人難以置信"——企業(yè)的服務(wù)器、交換機(jī)、路由器或網(wǎng)絡(luò)設(shè)備一般都有缺省的密碼,通常就是"password"或者"admin",而這樣的缺省密碼在很多企業(yè)中居然一直在用。大多數(shù)CIO自認(rèn)為這樣的事情絕不可能發(fā)生,但Tippett卻看到此類事情無處不在。

Tippett稱,要避免這樣的問題,只需要對每臺設(shè)備執(zhí)行一次漏洞掃描即可發(fā)現(xiàn)。然后要做的就是變更缺省密碼。去年所發(fā)生的所有安全事件中,超不多一半以上的事件都是因為缺省密碼未改而發(fā)生的。

2. 多臺網(wǎng)絡(luò)設(shè)備共用一個密碼。

IT部門常常會對多臺服務(wù)器共用相同的密碼,結(jié)果是好幾個人都知道這個密碼。即便是再好的密碼——復(fù)雜的數(shù)字與字符串——一旦在好幾個系統(tǒng)上共用,那么這些系統(tǒng)都將處于危險之中。

舉例來說,知道此密碼的某人換了公司,他可能會在新的公司也設(shè)置這個密碼。或者處理某個非關(guān)鍵系統(tǒng)比如數(shù)據(jù)中心冷卻系統(tǒng)的外包人員,可能也會在他所有的客戶系統(tǒng)上使用同一個密碼。無論是哪種情況,一旦該密碼被黑客所發(fā)現(xiàn),那么黑客就能很輕松地進(jìn)入多家企業(yè)的多個系統(tǒng)和多臺服務(wù)器,實施更大規(guī)模的破壞。

Tippett說,IT部門需要制定一個流程——自動或手動——來保證各臺服務(wù)器的密碼沒有在多個系統(tǒng)間共用,并定期更改密碼以保障安全。他認(rèn)為,最簡單的辦法就是把現(xiàn)有各臺服務(wù)器的不同密碼記錄在卡片上,然后將卡片交由專人負(fù)責(zé),放入帶鎖的盒子里。

3. 未能發(fā)現(xiàn)SQL編碼錯誤。

最常見的黑客攻擊——約占所有攻擊記錄的79%——都是針對與某臺Web服務(wù)器相連接的SQL數(shù)據(jù)庫的。黑客們進(jìn)入這些系統(tǒng)的方法就是在一個Web窗口中輸入SQL指令。假如該窗口的編碼是正確的,那么它是不能接受SQL指令的。然而有時候,一些開發(fā)人員偶爾會犯所謂的SQL注入錯誤。

Tippett說,防范此類錯誤的最簡單辦法就是以"學(xué)習(xí)"模式運行應(yīng)用防火墻,該防火墻便可觀察用戶是怎么在一個域里輸入數(shù)據(jù)的,然后再把應(yīng)用防火墻改成"operate"模式,這樣就不會出現(xiàn)在某個域里注入SQL指令的問題了。SQL編碼問題普遍存在,"某家企業(yè)如果測試100臺服務(wù)器的話,就有可能發(fā)現(xiàn)其中90臺都是有SQL注入問題的,"Tippett說。

通常情況下,企業(yè)只會修復(fù)關(guān)鍵服務(wù)器上的SQL注入錯誤,但卻忘記了大多數(shù)黑客都是通過非關(guān)鍵系統(tǒng)進(jìn)入網(wǎng)絡(luò)的。Tippett建議,網(wǎng)管員應(yīng)利用訪問控制名單對網(wǎng)絡(luò)實行分段管理,限制服務(wù)器與非關(guān)鍵設(shè)備進(jìn)行會話。這種辦法能夠有效地防范黑客通過無法避免的SQL編碼錯誤進(jìn)入系統(tǒng)。

4. 訪問控制名單配置不當(dāng)。

利用訪問控制名單將網(wǎng)絡(luò)分段管理是保障各個系統(tǒng)只和那些應(yīng)該通信的系統(tǒng)進(jìn)行通信的最簡單辦法。比如說,如果允許業(yè)務(wù)合作伙伴通過VPN訪問企業(yè)網(wǎng)絡(luò)中的兩臺服務(wù)器,那你就應(yīng)該用訪問控制名單確保這些合作伙伴就只能訪問這兩臺服務(wù)器。那么即便有黑客通過開放給業(yè)務(wù)合作伙伴的入口進(jìn)來,也只能竊取這兩臺服務(wù)器上的數(shù)據(jù)。

"但是通常的情況卻是,某個壞家伙通過VPN入口進(jìn)來就能夠訪問企業(yè)所有的數(shù)據(jù),"Tippett說。事實上,如果有適當(dāng)配置的訪問控制名單,那么去年有66%的攻擊都是可以避免的。而CIO們之所以沒有采取這一簡單的步驟,是因為和需要牽扯到路由器以及防火墻的重新設(shè)置,而很多網(wǎng)管員不愿意干這事。

5. 允許不安全的遠(yuǎn)程訪問和管理軟件

黑客們最流行的做法之一就是利用遠(yuǎn)程訪問和管理軟件包,如PCAnywhere、虛擬網(wǎng)絡(luò)計算(VNC)或Secure Shell(SSH)等進(jìn)入企業(yè)網(wǎng)絡(luò)。這些軟件應(yīng)用通常都缺乏最基本的安全措施,比如設(shè)計良好的密碼等。

查出這一問題的最簡單辦法就是在企業(yè)的全部IP地址范圍內(nèi)做一次外部掃描,看看是不是存在PCAnywhere、VNC或SSH流量。一旦發(fā)現(xiàn)有這些應(yīng)用存在,就得為它們設(shè)置額外的安全控制措施,例如令牌或密碼外加身份認(rèn)證。另一種辦法是掃描進(jìn)入路由器的Netflow數(shù)據(jù),看看是否有任何遠(yuǎn)程訪問管理流量通過你的網(wǎng)絡(luò)。

根據(jù)Verizon Business的報告,去年的攻擊記錄中有27%的事件是可以這樣避免的。

6. 沒有測出非關(guān)鍵應(yīng)用的基本漏洞。

根據(jù)Verizon Business的報告,有大約80%的黑客攻擊都是各類Web應(yīng)用的安全漏洞造成的。網(wǎng)管員們也知道最大的漏洞就是各類Web應(yīng)用,然而他們卻把功夫下在了測試其關(guān)鍵性的和面向互聯(lián)網(wǎng)的系統(tǒng)上了。

但問題在于,大多數(shù)黑客攻擊都針對的是網(wǎng)絡(luò)中的那些非關(guān)鍵系統(tǒng)。"主要的問題就在于我們迷戀于去測試關(guān)鍵的Web應(yīng)用,而忽視了很多非關(guān)鍵的Web應(yīng)用,"Tippett說。他建議,網(wǎng)管員們應(yīng)當(dāng)測試所有應(yīng)用的基本安全漏洞。

"人們總是認(rèn)為應(yīng)當(dāng)關(guān)注關(guān)鍵性應(yīng)用,但是黑客們并不知道什么關(guān)鍵,什么不關(guān)鍵。只要能進(jìn)來的就是關(guān)鍵,"Tippett說。

7. 防范惡意軟件的方法不適當(dāng)。

Verizon Business的報告稱,有38%的安全泄密事件是因為服務(wù)器上有惡意軟件。大多數(shù)惡意軟件都是由遠(yuǎn)程攻擊者安裝的,用于捕捉數(shù)據(jù)。典型情況下,惡意軟件都是定制的,所以不容易被防病毒軟件所發(fā)現(xiàn)。要想在服務(wù)器上找出類似keylogger(鍵盤跟蹤器)或間諜件等惡意軟件,網(wǎng)管員們可在每臺服務(wù)器上運行IDS軟件,而不是只限于關(guān)鍵服務(wù)器。

Tippett提出了一種簡單地防止此類攻擊的方法:給服務(wù)器加鎖,就不會有新的應(yīng)用可以在上面運行了。"網(wǎng)管員之所以不愿意這么做,就是因為他們常常要增加新的軟件,"Tippett說。"我告訴他們,安裝新的軟件時,只需解鎖便可,安裝完了再加鎖就是了。"

8. 路由器配置不當(dāng),未能阻止不必要的外向流量。

在服務(wù)器上開后門或者安裝指令外殼,是惡意軟件比較流行的做法。要防范此類黑客,一種辦法還是利用訪問控制名單。這樣可以防止服務(wù)器向外發(fā)送它們本不該發(fā)送的流量。舉例來說,郵件服務(wù)器只能發(fā)送郵件流量,不能發(fā)送SSH流量。另一個辦法是將路由器設(shè)定為缺省拒絕外向過濾,這就能禁止所有的外向流量,除非你選擇某種流量流出。

"但是只有2%的企業(yè)會這么做。我搞不明白,為什么98%的企業(yè)就不這么做呢?"Tippett說。"設(shè)置缺省拒絕外向過濾真的是小事一樁啊。"

9. 不清楚信用卡數(shù)據(jù)或其他關(guān)鍵客戶的數(shù)據(jù)存放在何處。

大多數(shù)企業(yè)自認(rèn)為知道諸如信用卡信息、社會保險號或其他個人身份信息存儲在什么地方關(guān)鍵數(shù)據(jù),然后它們便會對存放這些數(shù)據(jù)的服務(wù)器施以最高級別的安全措施。但是通常情況下,這些數(shù)據(jù)卻很有可能也存放到了別的什么地方,比如備份網(wǎng)站,或者軟件開發(fā)部門。

這些次級的、非關(guān)鍵的服務(wù)器常常會遭到攻擊,導(dǎo)致重要數(shù)據(jù)泄漏。要找出關(guān)鍵數(shù)據(jù)都存放在什么地方也很簡單,只要執(zhí)行網(wǎng)絡(luò)發(fā)現(xiàn)程序就可以了。"我們一般都是在網(wǎng)上進(jìn)行嗅探,便可找出哪里存放著關(guān)鍵數(shù)據(jù),然后再看看哪里可能還會找到它們,"Tippett說。

10. 沒有遵循支付卡行業(yè)(PCI)的數(shù)據(jù)安全標(biāo)準(zhǔn)(DSS)。

Tippett說,保護(hù)持卡人信息的PCI DSS共有12種控制手段。"而大多數(shù)人根本不想嘗試去滿足PCI標(biāo)準(zhǔn),"Tippett說。有時候一家企業(yè)如果其服務(wù)器上存放著信用卡數(shù)據(jù),那他們可能會會遵循這些控制手段,但他們并不知道還有一些服務(wù)器上也存放著此類關(guān)鍵數(shù)據(jù)。

在去年的所有攻擊案件中,高達(dá)98%的攻擊涉及到了支付卡數(shù)據(jù),但卻只有19%的機(jī)構(gòu)遵從PCI標(biāo)準(zhǔn)。"事情很明顯,必須遵循PCI標(biāo)準(zhǔn),它們是最基本的工作之一,"Tippett說。

關(guān)鍵詞標(biāo)簽:網(wǎng)管員

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 路由器地址大全-各品牌路由設(shè)置地址 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 Nslookup命令詳解-域名DNS診斷 Nslookup命令詳解-域名DNS診斷 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件

相關(guān)下載

    人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達(dá)路由器怎么設(shè)置?騰達(dá)路由器設(shè)置教程 ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程 路由表說明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實際工作的一天 網(wǎng)管必會!了解交換機(jī)控制端口流量