要防范攻擊 先消除十大網絡安全隱患

    系統管理員常常抱怨他們無法消除系統存在的脆弱性，因為他們不知道在500多種安全問題中哪些是最不安全的，同時他們也沒有時間去處理全部的問題。為此，信息安全部門找出了系統管理員可以立即消除的十大安全隱患。

　　1、BIND漏洞

　　位于十大之首的是BIND漏洞，有些系統默認安裝運行了BIND，這種系統即使不提供DNS服務，也很容易受到攻擊。

　　防范措施

　　建議執行一個數據包過濾器和防火墻，仔細檢查BIND軟件;確保非特權用戶在chroot()環境下運行;禁止對外的分區傳送;查看分區映射情況，確認對此做了補丁，建立了日志;對BIND進行修改，使得它不會對不可信任主機提供分區傳送。

　　2、有漏洞的通用網關接口程序

　　位于十大脆弱性中第二位的是有漏洞的CGI程序和Web服務器上的擴展程序。入侵者很容易利用CGI程序中的漏洞來修改網頁，竊取信用卡信息，甚至為下一次入侵建立后門。

　　防范措施

　　更新修改后的ht://dig軟件包可以防止受此攻擊。如果還會出現其他CGI漏洞，建議將口令保存在shadow文件中，并且通過對口令執行Crack，確保不會被入侵者輕松識破;建議將ssh或其他形式的遠程shell訪問設置在一臺獨立的主機上，該主機不提供其他服務和功能。

　　3、遠程過程調用(RPC)漏洞

　　RPC允許一主機上的程序可執行另一主機上的程序。許多攻擊所利用的都是RPC漏洞所帶來的脆弱性。

　　防范措施

　　禁止相關服務;防火墻和邊界設備只允許通過網絡提供必要的服務，在防火墻上將日歷、時間等服務阻塞;系統和應用必須隨時更新和打補丁，確保版本最新;對NFS服務器進行充分掃描;修改NFS服務器的口令，讓口令經得起檢查。

　　4、Microsoft IIS中存在的遠程數據服務漏洞

　　運行IIS服務器的系統管理員要特別小心，注意安全通告以及補丁，因為IIS很容易成為攻擊目標。

　　防范措施

　　消除RDS漏洞，安裝補丁或升級，更正所有已知的其他的IIS安全漏洞。

　　5、Sendmail攻擊

　　Sendmail是運行在Unix和Linux平臺上的發送、接收和轉發電子郵件的軟件，它很早就被人發現了漏洞，又因其廣泛應用而成為攻擊目標。

　　防范措施

　　升級到最新版本并打補丁;在非郵件服務器或非郵件中繼站的主機上不要以后臺程序模式運行Sendmail;避免郵件客戶將大部分功能在根用戶空間中完成。

　　6、sadmind和mountd緩沖區溢出

　　sadmind支持Solaris系統的遠程管理訪問，并提供管理圖形接口;mountd可以控制和處理UNIX主機上NFS裝載的訪問。

　　防范措施

　　禁止相應服務，對系統打補丁;關閉服務，甚至將主機上能夠直接訪問網絡的服務刪除;如果系統沒有要求，就禁止為其提供相關服務。

　　7、配置不當的文件共享

　　配置不當的文件共享將影響多種操作系統，將重要的系統文件暴露，甚至為連接到網絡上的“敵人”提供完全的文件系統訪問權限。全局文件共享或不合適的共享信息一般會在以下情況出現:NetBIOS和Windows NT平臺上、Windows 2000平臺上、UNIX NFS、Macintosh Web共享或AppleShare/IP。

　　防范措施

　　對Windows系統，只在必要的情況下才共享;對Windows NT/2000系統，避免“空會話”連接對用戶、用戶組和注冊鍵等信息進行匿名訪問，在路由器或NT主機上將與NetBIOS會話服務的流入連接加以阻塞;對Machintosh系統，只有必要的情況下才進行文件共享;對UNIX系統，充分利用mount命令的noexec、nosuid和nodev選項，不要在UNIX Samba 服務器上使用未加密的口令，如果可能，考慮轉換為一個更安全的文件共享結構。

　　8、口令

　　口令設置不當，或沒有設置帳戶口令，這是最容易修正的，也是實施起來最難的。

　　防范措施

　　教育用戶和系統管理員，讓他們充分認識到好的口令的作用;建立合適的口令策略，定期檢查口令安全性，同時利用系統提供的一些工具和擴展包對策略進行完善。

　　9、IMAP和POP服務器緩沖區溢出

　　在目前已經知道的系統和應用脆弱性中大部分都源于緩沖區溢出。緩沖區溢出會引起很多問題，諸如系統崩潰、非授權的根訪問和數據破壞。

　　防范措施

　　在非郵件服務器的主機上禁止此類服務;使用最新版本，安裝最新補丁。

　　10、默認的SNMP共用串

　　網絡管理員利用SNMP對各種類型的網絡連接設備進行管理和監控。SNMP版本1把一種未經加密的“共用串”作為鑒別機制，同時大部分SNMP設備所用的默認共用串是public，只有很少人修改了，因此攻擊者利用此漏洞可以遠程配置設備，甚至關閉設備。另外監聽到的SNMP數據流中包括大量關于網絡結構的信息，還有與之相連的系統和設備的信息，因此危害很大。

　　防范措施

　　如果一定要用SNMP，就禁止使用SNMP共用串;如果使用，利用SNMPwalk驗證并檢查功用名;如可能，設置MIB為只讀;讓邊界設備阻塞外部的SNMP訪問;檢查SNMP次代理，保證其與相應主SNMP服務的最新設置同步;得到最新補丁，做兼容性測試后進行安裝。

　　如果系統管理員嚴格按照以上所提供的防范措施來做，那將大大減少相關安全問題，大家可以在一個相對安全的環境下安心工作。

原文轉自：http://www.kjueaiud.com