网络是脆弱的,对一般用户来说,他们对于网络安全还仅仅是停留在安装一个杀毒软件的层面上,还有的人天真的以为这样就万事大吉,连病毒库都不去更新,这样怎么能抵挡住黑客非法入侵和病毒的肆虐?
几乎所有的操作系统或应用程序的厂商都会提供用户快速安装的功能,虽然厂商的设计是为了方便用户,但是在绝大多数用户不知情的情况下,系统却同时间却安装了许多不必要功能。相比之下,这种所谓采默认值安装的操作系统或应用程序,往往是造成安全漏洞的祸首。主要原因是因为用户通常不会去注意那些从来不用的功能,而且有许许多多的用户,包含 IT 的管理人员,根本就不知道自己在使用中的操作系统或应用程序上到底安装了哪些东西。一旦这些不明的功能出现漏洞,而偏偏用户又一无所知,且未实时加以修补的话,那往往会成为黑客入侵的最佳通道。
就操作系统来说,采用预设的安装通常都会连带安装超出用户所需的功能与网络服务,碰巧黑客最喜欢通过这些网络服务与通讯端口来进行入侵的动作。因此,若你所安装或开放的功能、网络服务与通讯端口越少,黑客就越不得其门而入。同样地,以默认值安装的应用程序,通常内含不必要的范例程序或是 Scripts 。一些常见的网站服务器漏洞即是因这些范例程序或是 Scripts 所造成,黑客可以利用这些不为用户所知的范例程序或 Scripts 所造成的漏洞来进行入侵、或取得该系统上的信息。绝大多数被安装在应用程序上的范例程序或是 Scripts 不仅未经过严谨的安全控制与设计,也未落实错误检查的工作,相反地,却成了黑客进行 buffer overflow 缓冲区溢位攻击的最佳通道。
如果你曾经使用厂商提供的快速安装程序来安装操作系统与应用程序,而且尚未删除不必要的网络服务并安装所有的修补程序的话,你的系统极有可能漏洞一箩筐,且相当容易导致黑客入侵。即便你设定过相关的功能,你的操作系统或应用程序仍有可能有漏洞,所以你可以使用端口号扫描工具 (port scanner) 或是漏洞扫描工具 (vulnerability scanner) 来作一确认。切记删除或关闭操作系统或是应用程序上不必要的功能、网络服务与通讯端口。虽然在企业里要落实这些安全管理工作有时相当费时费力,但是企业可以事先订定标准的操作系统与应用程序的安装规范来说明一般用户或 IT 管理人员可以安装那些功能或服务,以有效解决此一问题。
一旦你对外开放网络服务而且允许网络联机进出你的网络,那遭到黑客入侵与渗透的机率将大增。现在几乎每天都会有新的安全漏洞被发现,而用户更是难以预防黑客去利用这些新的漏洞来入侵。这时你的网络上或系统上最好建立完善的记录机制,要不在遭受黑客攻击后,你不仅将无从得知黑客到底在你的系统上动了哪些手脚,相对的你的网络安全风险也就越高。良好的记录机制可以协助用户追踪已发生过的事件、时间、和掌握哪些主机被入侵及其经过。所以说,你必须以持续不断的方式在重要的系统上落实记录的工作,而且记录当应该予以备份保存,因为说不定哪天你的网络被入侵时,这些记录资料就是协助你了解案发经过的最佳证据。 在日常检查中,网管一定要逐一检查重点系统上是否具备或是已激活记录的功能,同时注意记录文件是否加以集中储存,以及定时备份。一般来说,需要加以记录的重要系统包含路由器、防火墙、网站服务器、 Email 邮件服务器、数据库系统等。
用户应该将所有的系统设定具备本机记录的功能,并且将所有记录文件传送至远程的集中记录系统作统一储存与深入的分析比对。这样一来不仅可提供更高一层的安全性,相对地亦提供资料遗失时的备援机制。举例来说,在某主机的记录文件上发现可疑的记录或许不足为奇,但是如果同时间在 50 部主机上都出现相同的记录,那即有可能代表已发生严重的问题了。我建议用户将记录文件传送至统一的中央记录服务器 (central log server) ,并将记录信息写入仅限单次写入的储存媒体,以防止黑客删除、破坏、修改记录文件,或甚至是想躲避侦测与记录。
绝大多数的网站服务器,如微软的 IIS 与 Apache 均支持 CommonGateway Interface 共通网关接口程序 (CGI) ,以便在网页上提供如资料查询等交互式的功能。事实上,有许多的网站服务器在安装时即内含范例 CGI 程序。但由于有许多的 CGI 程序设计者往往忽略 CGI 程序提供互联网上的用户直接与操作系统连接的通道,而成为黑客的最佳切入点。从许多的案例表明,黑客可利用服务器上现成的 CGI 程序来窜改网页内容、窃取客户信用卡资料、甚至是植入后门程序以力更进一步的入侵。最主要的原因是有许多网站服务器应用程序是由经验不足或是粗心的程序设计者所撰写。因此,切记你一定要将服务器上范例的程序删除。
如果你的网站服务器上有任何的范例程序,那相对风险越高。如果你欲使用 CGI 程序,则请确定你使用的是最新的版本,同时你也应使用漏洞扫描工具来对你的服务器作一完整的检查。针对 CGI 相关的漏洞,可以利用 "Whisker" ( http://www.wiretrip.net/rfp)CGI 漏洞扫描工具来做检查。此外你最好时常通过以下方法来确保 CGI 程序的安全性:
( 1 ) 切记删除网站服务器上的范例 CGI 程序 ;
( 2 ) 稽核留存在服务器上的 CGI 程序,并且将有问题或不安全的 CGI 程序删除 ;
( 3 ) 确定 CGI 程序设计者按照 CGI 程序的缓冲区输入长度检查 (input buffer length checking) 的原则撰写 CGI 程序 ;
( 4 ) 针对无法删除的漏洞,安装最新的修补程序 ;
( 5 ) 确认你的 cgi-bin 目录内 (cgi-bin directory) 没有包含任何编译器 (compilers) 与翻译器 (interpreters) ;
( 6 ) 将原始码检视功能自 cgi-bin 目录中删除 ;
( 7 ) 切记勿以管理者的权限来执行服务器功能。你应该以权限较小的 "nobody" 帐号来执行服务器;
( 8 ) 请勿在不需要使用 CGI 的服务器上设定 CGI 支持功能。
结语:
网络安全一直无法落实的主因就在于,不知道漏洞的存在,甚至不去实时修补漏洞,那黑客铁定比你清楚如何利用它。正确的网络安全观念并不是一昧的购置网络安全产品,更重要的是主动正视安全漏洞的问题,落实所谓「 Intrusion Prevention 入侵预防」,并且实时做好漏洞修补的工作,让黑客根本就不得其门而入 !
关于我们:
河北镌远网络科技有限公司(Hebei JYCYBER TechnologyCo.,Ltd.)是一家集人才、技术和经验于一体的,提供全面网络安全解决方案的专业服务商。镌远科技致力于为各行业的网络安全需求提供软件研发和通用解决方案,业务领域主要包括基础服务、咨询业务、产品研发和安全培训四大版块,各版块相互独立又相辅相成,完美阐释了“专业服务、全程服务、延伸服务”的服务体系和“单一业务与长远目标相融合”的服务理念。
关注镌远科技,关注网络安全!
河北地址:河北镌远网络科技有限公司
河北省邯郸市丛台区中华北大街193号慧谷大厦14层
总部地址:北京冠程科技有限公司
北京市昌平区科技园区东区产业基地企业墅上区一号楼九单元四层
实训基地:河北省石家庄市电子信息学校冠程科技研究与实训中心
欢迎扫描关注我们,及时了解更多关于网络安全相关知识
