UNIX的安全問題:
例子:Linux中的imapd coredump 可以泄露隱蔽口令。
Http://underground.simplenet.com/central/linux-ex/imapd_core.txt
各大UNIX廠商的補丁站點:
AIX(IBM) http://www.ers.ibm.com/tech-info/index.html
FreeBSD/OpenBSD ftp://ftp.openbsd.org/pub/OpenBSD/patches
HP-UNIX http://us-support.external.hp.com/
SCO ftp://ftp.sco.com/SLS/
SunOS/Solaris http://sunsolve.sun.com/sunsolve/pubpatches/
IRIX www.sgi.com/Support/security/patches.html
◎ 謹慎開放缺乏安全保障的應用和端口:很多黑客攻擊程序是針對特定服務和特定服務端口的,所以關閉 不必要的服務和服務端口,能大大降低遭受黑客攻擊的風險。
NT SERVER:將缺省的NWLink IPX/SPX傳輸協議去掉;在TCP/IP協議屬性里,啟用安全機制。如果沒有特別需求(如ICQ,Real數據流傳輸等)可將所有UDP端口關閉。(具體方法:控制面板/協議/TCP/IP協議屬性/高級/啟用安全機制/配置)
UNIX:最好關閉UNIX的rServices,如rlogin,rfingerd等。用戶不提供r Services,最好將/etc/hosts.equiv和rhosts文件刪除,修改/etc/services和/etc/inetd.conf文件,將不必要的服務去除。
◎ 定期分析系統日志:日志文件不僅在調查網絡入侵時十分重要的,它們也是用少的代價來阻止攻擊的辦法之一。這里提供給大家一些比較有用的日志文件分析工具:
NestWatch能從所有主web服務器和許多防火墻中導入日志文件。它運行在Windows NT 機器上,能夠以HTML格式輸出報告,并將它們分發到選定的服務器上。(URL:http://www.sscnet.com/nestwatch.html)
LogSurfer是一個綜合日志分析工具。根據它發現的內容,它能執行各種動作,包括告警、執行外部程序,甚至將日志文件數據分塊并將它們送給外部命令或進程處理。
(ftp://ftp.cert.dfn.de/pub/tols/audit/logsurfer-1.41.tar.gz)要求 有C編譯器。
◎ 不斷完善服務器系統的安全性能:無論是UNIX還是NT的*作系統都存在安全漏洞,他們的站點會不定期發布系統補丁,系統管理員應定期下載補丁,及時堵住系統漏洞。(微軟公司:http://www.microsoft.com/ntserver/).
◎ 排除人為因素:再完善的安全體制,沒有足夠的安全意識和技術人員經常維護,安全性將大打折扣。要制定一整套完整的網絡安全管理*作規范。
◎ 進行動態站點監控:利用網絡管理軟件對整個局域網進行監控,發現問題及時防范。
◎ 掃描、攻擊自己的站點:網絡上有許多掃描軟件(例如satan),適用于各種平臺,它們是把雙刃劍。在網絡管理員手里可以成為簡化安審計工作的利器,在cracker手里卻可成為網絡攻擊工具。
◎ 請第三方評估機構或專家來完成網絡安全的評估:一般能較系統地檢查局域網的各項安全指標,但花費較貴.
◎ 謹慎利用共享軟件:不應隨意下載使用共享軟件,有些程序員為了調測軟件的方便都設有后門,這往往成為最好的攻擊后門。
◎ 做好數據的備份工作:這是非常關鍵的一個步驟,有了完整的數據備份,我們在遭到攻擊或系統出現故障時才可能迅速恢復我們的系統.
◎ 使用防火墻
防火墻是防止從網絡外部訪問本地網絡的所有設備,它們防止外部攻擊提供了重要的安全保障。但防火墻只是所有安全體系結構中的一個部件,故不能完全依耐防火墻。
防火墻分為網絡級防火墻和應用網關防火墻。
網絡級防火墻一般是具有很強報文過濾能力的路由器,可以改變參數來允許或拒絕外部環境對站點的訪問,但對欺騙性攻擊的防護很脆弱。
應用代理防火墻(應用網關)的優勢是它們能阻止IP報文無限制地進入網絡,缺點是它們的開銷比較大且影響內部網絡的工作。代理必須為一個網絡應用進行配置,包括HTTP、FTP、TELNET、電子郵件、新聞組等。(相關信息:http://www.telstra.com.au/pub/docs/security/800-10/node52.html)
防火墻的安全問題:
Cisco PIX DES漏洞:Cisco Private Link使用一個48位DES(Date Encryption Standard)密碼,被認為較容易被解密。(補丁:http://www.cisco.com/warp/public/770/pixkey-pub.shtml)
FireWall-1保留關鍵字漏洞:FireWall-1有許多保留關鍵字,當用它們描述網絡對象時會打開一個安全漏洞,使得已命名的對象成為“未定義”,可被任何地址訪問。
- 推薦給朋友
- 收藏此頁
·網絡工程師資料:網絡體系結構-軟考網絡類題解 (2008-4-25 14:33:38)
·計算機網絡基礎網絡拓撲結構及優缺點分析 (2008-2-22 14:04:32)
·網絡工程師必知:靜態路由協議配置方法 (2008-2-22 14:03:39)
·計算機網絡尼奎斯特 香農公式例題解析 (2008-2-22 14:02:35)
·軟考復習:因特網IP的分類、尋址規則及子網掩碼 (2008-2-22 13:57:21)
網友評論
,我們將會及時處理。如轉載本
