目前,許多中小用戶因業務發展,不斷更新或升級網絡,從而造成自身用戶環境差異較大,整個網絡系統平台參差不齊,在服務器端大多使用Linux和Unix的,PC端使用Windows 9X/2000/XP.所以在企業應用中往往是Linux/Unix和Windows操作系統共存形成異構網絡。
中小企業由於缺少經驗豐富的Linux網絡管理員和安全產品采購資金,所以對於網絡安全經常是頭痛醫頭、腳痛醫腳,缺乏缺乏全面的考慮。
這裡筆者把中小企業的安全分為四種來提出解決方案。服務器安全、網絡設備的安全、接入互聯網的安全和內部網絡的安全。
一、服務器安全:
1. 關閉無用的端口
任何網絡連接都是通過開放的應用端口來實現的。如果我們盡可能少地開放端口,就使網絡攻擊變成無源之水,從而大大減少了攻擊者成功的機會。
首先檢查你的inetd.conf文件。inetd在某些端口上守侯,准備為你提供必要的服務。如果某人開發出一個特殊的inetd守護程序,這裡就存在一個安全隱患。你應當在inetd.conf文件中注釋掉那些永不會用到的服務(如:echo、gopher、rsh、rlogin、rexec、ntalk、finger等)。注釋除非絕對需要,你一定要注釋掉rsh、rlogin和rexec,而telnet建議你使用更為安全的ssh來代替,然後殺掉lnetd進程。這樣inetd不再監控你機器上的守護程序,從而杜絕有人利用它來竊取你的應用端口。你最好是下載一個端口掃描程序掃描你的系統,如果發現有你不知道的開放端口,馬上找到正使用它的進程,從而判斷是否關閉它們。
2. 刪除不用的軟件包
在進行系統規劃時,總的原則是將不需要的服務一律去掉。默認的Linux就是一個強大的系統,運行了很多的服務。但有許多服務是不需要的,很容易引起安全風險。這個文件就是/etc/inetd.conf,它制定了/usr/sbin/inetd將要監聽的服務,你可能只需要其中的兩個:telnet和ftp,其它的類如shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth等,除非你真的想用它,否則統統關閉。
3. 不設置缺省路由
在主機中,應該嚴格禁止設置缺省路由,即default route.建議為每一個子網或網段設置一個路由,否則其它機器就可能通過一定方式訪問該主機
4. 口令管理
口令的長度一般不要少於8個字符,口令的組成應以無規則的大小寫字母、數字和符號相結合,嚴格避免用英語單詞或詞組等設置口令,而且各用戶的口令應該養成定期更換的習慣。另外,口令的保護還涉及到對/etc/passwd和/etc/shadow文件的保護,必須做到只有系統管理員才能訪問這2個文件。安裝一個口令過濾工具加npasswd,能幫你檢查你的口令是否耐得住攻擊。如果你以前沒有安裝此類的工具,建議你現在馬上安裝。如果你是系統管理員,你的系統中又沒有安裝口令過濾工具,請你馬上檢查所有用戶的口令是否能被窮盡搜索到,即對你的/ect/passwd文件實施窮盡搜索攻擊。
5. 分區管理
一個潛在的攻擊,它首先就會嘗試緩沖區溢出。在過去的幾年中,以緩沖區溢出為類型的安全漏洞是最為常見的一種形式了。更為嚴重的是,緩沖區溢出漏洞占了遠程網絡攻擊的絕大多數,這種攻擊可以輕易使得一個匿名的Internet用戶有機會獲得一台主機的部分或全部的控制權!
為了防止此類攻擊,我們從安裝系統時就應該注意。如果用root分區記錄數據,如log文件,就可能因為拒絕服務產生大量日志或垃圾郵件,從而導致系統崩潰。所以建議為/var開辟單獨的分區,用來存放日志和郵件,以避免root分區被溢出。最好為特殊的應用程序單獨開一個分區,特別是可以產生大量日志的程序,還建議為/home單獨分一個區,這樣他們就不能填滿/分區了,從而就避免了部分針對Linux分區溢出的惡意攻擊。
6. 防范網絡嗅探:
嗅探器技術被廣泛應用於網絡維護和管理方面,它工作的時候就像一部被動聲納,默默的接收看來自網絡的各種信息,通過對這些數據的分析,網絡管理員可以深入了解網絡當前的運行狀況,以便找出網絡中的漏洞。在網絡安全日益被注意的今天。我們不但要正確使用嗅探器。還要合理防范嗅探器的危害。嗅探器能夠造成很大的安全危害,主要是因為它們不容易被發現。對於一個安全性能要求很嚴格的企業,同時使用安全的拓撲結構、會話加密、使用靜態的ARP地址是有必要的。
7. 完整的日志管理
日志文件時刻為你記錄著你的系統的運行情況。當黑客光臨時,也不能逃脫日志的法眼。所以黑客往往在攻擊時修改日志文件,來隱藏蹤跡。因此我們要限制對/var/log文件的訪問,禁止一般權限的用戶去查看日志文件。
另外,我們還可以安裝一個icmp/tcp日志管理程序,如iplogger,來觀察那些可疑的多次的連接嘗試(加icmp flood3或一些類似的情況)。還要小心一些來自不明主機的登錄。
完整的日志管理要包括網絡數據的正確性、有效性、合法性。對日志文件的分析還可以預防入侵。例如、某一個用戶幾小時內的20次的注冊失敗記錄,很可能是入侵者正在嘗試該用戶的口令。
8. 終止正進行的攻擊
假如你在檢查日志文件時,發現了一個用戶從你未知的主機登錄,而且你確定此用戶在這台主機上沒有賬號,此時你可能正被攻擊。首先你要馬上鎖住此賬號(在口令文件或shadow文件中,此用戶的口令前加一個Ib或其他的字符)。若攻擊者已經連接到系統,你應馬上斷開主機與網絡的物理連接。如有可能,你還要進一步查看此用戶的歷史記錄,查看其他用戶是否也被假冒,攻擊音是否擁有根權限。殺掉此用戶的所有進程並把此主機的ip地址掩碼加到文件hosts.deny中。
9. 使用安全工具軟件:
Linux已經有一些工具可以保障服務器的安全。如bastille linux.對於不熟悉 linux 安全設定的使用者來說,是一套相當方便的軟件,bastille linux 目的是希望在已經存在的 linux 系統上,建構出一個安全性的環境。另外隨著Linux病毒的出現,現在已經有一些Linux服務器防病毒軟件,安裝Linux防病毒軟件已經是非常迫切了。
10. 使用保留IP地址 :
維護網絡安全性最簡單的方法是保證網絡中的主機不同外界接觸。最基本的方法是與公共網絡隔離。然而,這種通過隔離達到的安全性策略在許多情況下是不能接受的。這時,使用保留IP地址是一種簡單可行的方法,它可以讓用戶訪問Internet同時保證一定的安全性。- RFC 1918規定了能夠用於本地 TCP/IP網絡使用的IP地址范圍,這些IP地址不會在Internet上路由,因此不必注冊這些地址。通過在該范圍分配IP地址,可以有效地將網絡流量限制在本地網絡內。這是一種拒絕外部計算機訪問而允許內部計算機互聯的快速有效的方法。
保留IP地址范圍:
---- 10.0.0.0 - 10.255.255.255
---- 172.16.0.0 - 172.31.255.255
—— 192.168.0.0 - 192.168.255.255
來自保留IP地址的網絡交通不會經過Internet路由器,因此被賦予保留IP地址的任何計算機不能從外部網絡訪問。但是,這種方法同時也不允許用戶訪問外部網絡。IP偽裝可以解決這一問題。
11、選擇發行版本:
對於服務器使用的Linux版本,既不使用最新的發行版本,也不選擇太老的版本。應當使用比較成熟的版本:前一個產品的最後發行版本如Mandrake 8.2 Linux等。畢竟對於服務器來說安全穩定是第一的。
12、補丁問題
你應該經常到你所安裝的系統發行商的主頁上去找最新的補丁。
二、網絡設備的安全:
1. 交換機的安全
啟用VLAN技術:交換機的某個端口上定義VLAN ,所有連接到這個特定端口的終端都是虛擬網絡的一部分,並且整個網絡可以支持多個VLAN.VLAN通過建立網絡防火牆使不必要的數據流量減至最少,隔離各個VLAN間的傳輸和可能出現的問題,使網絡吞吐量大大增加,減少了網絡延遲。在虛擬網絡環境中,可以通過劃分不同的虛擬網絡來控制處於同一物理網段中的用戶之間的通信。這樣一來有效的實現了數據的保密工作,而且配置起來並不麻煩,網絡管理員可以邏輯上重新配置網絡,迅速、簡單、有效地平衡負載流量,輕松自如地增加、刪除和修改用戶,而不必從物理上調整網絡配置。
2.路由器的安全:
根據路由原理安全配置路由器路由器是整個網絡的核心和心髒, 保護路由器安全還需要網管員在配置和管理路由器過程中采取相應的安全措施。
(1)。 堵住安全漏洞
限制系統物理訪問是確保路由器安全的最有效方法之一。限制系統物理訪問的一種方法就是將控制台和終端會話配置成在較短閒置時間後自動退出系統。避免將調制解調器連接至路由器的輔助端口也很重要。一旦限制了路由器的物理訪問,用戶一定要確保路由器的安全補丁是最新的。
(2)。 避免身份危機
入侵者常常利用弱口令或默認口令進行攻擊。加長口令、選用30到60天的口令有效期等措施有助於防止這類漏洞。另外,一旦重要的IT員工辭職,用戶應該立即更換口令。用戶應該啟用路由器上的口令加密功能。
(3)。 禁用不必要服務
近來許多安全事件都凸顯了禁用不需要本地服務的重要性。需要注意的是,一個需要用戶考慮的因素是定時。定時對有效操作網絡是必不可少的。即使用戶確保了部署期間時間同步,經過一段時間後,時鐘仍有可能逐漸失去同步。用戶可以利用名為網絡時。
