| 導購 | 订阅 | 在线投稿
分享
 
 
 

只需五招!保障遠程網絡連接安全

2008-12-22 11:03:59  編輯來源:互聯網  简体版  手機版  移動版  評論  字體: ||

【eNet矽谷動力專稿】木桶原理不僅在現實生活中有參考價值,在企業網絡安全管理中,也有非常大的實用價值。木桶最大容量不是由其最長的木板決定,而是其最短的木板決定。在企業網絡安全中,整個網絡的安全狀態也是由其最薄弱的一個環節所決定的。而根據最新的官方調研報告顯示,遠程連接的安全性是影響企業網絡安全的一個重要殺手。以至于不少對安全要求比較高的企業,都把一些重要的應用跟網絡獨立開來,以建立一個幹淨的網絡環境。

一般網絡管理員在組建企業內部網絡的時候,都是出于一個「信任」的原則組建網絡。平時把眼光都放在企業內部網絡跟外部網絡的交接點上,而忽視了來自于企業內部的安全威脅。有一個企業安全管理人員不樂意接受的數據,提示了他們的這一「愚蠢」的行爲。75%以上的安全事故都是由企業內部人員所引起的。

可見,保障內部員工遠程網絡連接的安全性,已經成爲了我們網絡安全管理的重頭戲。其實,這項工作也沒有大家想得那麽複雜。一般情況下,只需要短短的五招就可以提高其遠程連接的安全性。

招數一:安全審計

不少企業的IT制度中,可能有詳細的安全管理規定。如客戶主機必須設置密碼;每隔一段時間要更改密碼;密碼要保持一定的複雜性;員工之間不能夠調換使用電腦等等。但是,效果不怎麽明顯。爲什麽會如此呢?這主要是執行起來不利。

如筆者以前也定義過這麽一套安全制度,可惜的是,能夠嚴格貫徹執行的少之又少。這主要是員工沒有安全觀念。因爲通過其他的電腦來訪問他們電腦中的資源,這對于他們來說,是不可想象的。這就好像放在家來的錢,小偷可以不用進他們的門就拿到。由于沒有受過專業的教育,他們認爲這是不可能完成的任務。所以,就會放松警惕。認爲只要電腦在自己的旁邊,裏面的資料就是安全的。

在這種錯誤觀念的影響下,他們很少會關注密碼的重要性。有些時候,幾年下來都不會更改密碼。或者說,連密碼都懶得設。這就給遠程連接埋下了一個安全隱患。我們都知道,遠程連接侵入的一個必要條件就是知道管理員用戶的賬號與密碼。現在有不少的工具可以掃描企業網絡的主機,並進行密碼測試。若員工主機沒有設置管理員密碼或者設置的比較簡單,如123456,則經過掃描工具一掃,就會一覽無遺的顯示在不法攻擊者面前。

筆者現在學聰明了,采用利用一些安全審計工具,來保障這些措施落實。如筆者通過組策略,來強制實現密碼的安全性。通過微軟的組策略,可以強制實現密碼的複雜性驗證;可以拒絕使用空密碼;可以強制讓用戶每隔一段時間更改密碼等等。通過這些安全審計工具,就可以把一些紙面上的安全管理制度落實到實處。

所以,雖然說員工之間的相互信任是提升企業管理團隊的一個重要因素。但是,在企業網絡安全管理中,最好還是不要相信員工會自覺的去執行相關的安全制度。要通過一切可以通過的手段,去強制落實這些安全法則,這才是聰明之舉。招數二:禁用Schedule服務

當非法攻擊者進行遠程攻擊之時,首先要獲得主機的管理員用戶與密碼。然後,會往主機上上傳一段代碼或者非法程序。通過Schedule服務,在一個固定的時刻執行這個代碼,從而實現他不可告人的目的。

如以前出現過一個Backdoor病毒。這個病毒爲後門類的木馬病毒。這個病毒運行後,會複制到操作系統的目錄下,衍生病毒文件。他主要是修改注冊表中Schedule服務的值,實現隨機啓動的目的。當病毒啓動的時候,會自動連接一些惡意網站,下載其他的病毒與木馬。其他人就可以通過這個後門,控制這台主機,以獲取他們想要了解的內容。當其他員工獲知管理員密碼之後,就可以把這個病毒放到其他員工主機上。然後通過Schedule服務指定其啓動的時間。如此的話,他就可以在神不知鬼不覺的情況下,控制員工主機。

所以,要實現遠程攻擊的話,還必須有Schedule服務的支持。Schedule服務主要是讓用戶能夠在主機上配置和制定自動任務的日程。如在某個時候自動執行某個程序等等。如果禁止這個服務的話,某些任務將無法在日程時間裏運行;任何依賴它的服務都將無法啓動。

通常情況下,若員工主機上沒有安裝一些特殊應用,如SQL Server服務器等等,這個服務用戶也不大。故筆者建議,普通員工的主機可以把這個服務禁用掉,以降低被遠程攻擊的危險。

招數三:確保IPC$連接的安全

IPC$是共享命名管道的簡稱。它是爲了讓進程間通信而開發的命名管道,可以通過驗證用戶名和密碼而獲得相應的權限,實現遠程管理計算機和查看計算機的資源。如在2000的主機上,默認是開啓了這個共享。用戶只需要知道管理員與密碼,就可以查看這台主機的所有資源。所有IPC$共享也是一種很危險的遠程連接方式。

其實,雖然說關掉IPC$默認共享是保障其安全性的一個最徹底的方法。但是,有不少管理員仍然希望開通整個服務。如此,他們直接可以對員工主機進行遠程管理。那我們該如何提高整個服務的安全性呢?

要利用這個漏洞進行攻擊的話,必須同時滿足四個條件。一是操作系統的條件。IPC$服務只有在NT以上的操作系統中存在,其他的操作系統中沒有這個服務。二是防火牆過濾掉了139或者445端口。若要利用IPC$連接的話,則必須開通這兩個端口,否則的話,連接就會被拒絕。三是關閉這個IPC$默認共享服務。當禁用掉這個服務後,當然也就無法使用這個漏洞了。四是知道管理員用戶與密碼。如用戶名密碼不對的話,員工也是連不上其他主機的電腦。從這裏也可以看出,用戶名密碼安全的重要性。

需要注意的是,以上四個條件必須同時滿足。若有一個沒有滿足的話,則就不能夠使用IPC$服務連接到其他員工的主機上。若你想提高IPC$服務的安全性,則只需要把上面的某個條件取消掉即可。如可以提高密碼的安全性,或者通過防火牆禁用掉特定端口等等,就可以提高IPC$連接的安全性。招數四:防火牆,給主機配置一個安全大門

防火牆對于企業網絡的安全具有非常大的作用。無論是硬件防火牆,還是軟件防火牆,其主要有兩個重要的功能。一是允許或者禁止哪些程序訪問網絡,二是允許或者禁止通過哪些端口訪問。通常情況下,利用防火牆的默認配置即可以保障企業網絡安全的需要。如有特殊的安全考慮的話,則可以通過手工調整以實現企業的特殊需求。

如筆者基本上是通過遠程對各個員工主機進行維護。所以,提高遠程連接的安全性就是筆者所關注的問題。筆者的做法就是通過防火牆,指定只有筆者主機的MAC地址才可以連接到其他員工主機進行遠程管理。其他任何一台主機都不行。通過這種方式,就限制了遠程連接的身份,從而提高了遠程連接的安全性。

招數五:基于策略建立遠程連接

在沒有充分理由的情況下,最好關閉遠程連接的功能。若有必要使用的話,則最好爲此建立一套安全機制與安全策略。而不能夠簡單的憑著對員工的信任,認爲他們不會對網絡進行惡意攻擊。或者說,認爲他們沒有這個能力進行攻擊等等。

其實,現在針對遠程攻擊,如IPC$攻擊,網上一找,可以找到很多的攻擊案例。最可怕的是,很多都實現了傻瓜式的攻擊。就像安裝操作系統一樣,只要按照其提示,一步步的做下去,就可以完成連接、上傳代碼、遠程執行等功能。這就讓一些沒有計算機背景的普通員工,也可以當一回黑客。

所以,企業在有遠程管理需要的情況下,要爲此設置一些安全策略。而不是簡單的憑著對員工的一種信任,就放任不管了。

  【eNet矽谷動力專稿】木桶原理不僅在現實生活中有參考價值,在企業網絡安全管理中,也有非常大的實用價值。木桶最大容量不是由其最長的木板決定,而是其最短的木板決定。在企業網絡安全中,整個網絡的安全狀態也是由其最薄弱的一個環節所決定的。而根據最新的官方調研報告顯示,遠程連接的安全性是影響企業網絡安全的一個重要殺手。以至于不少對安全要求比較高的企業,都把一些重要的應用跟網絡獨立開來,以建立一個幹淨的網絡環境。   一般網絡管理員在組建企業內部網絡的時候,都是出于一個「信任」的原則組建網絡。平時把眼光都放在企業內部網絡跟外部網絡的交接點上,而忽視了來自于企業內部的安全威脅。有一個企業安全管理人員不樂意接受的數據,提示了他們的這一「愚蠢」的行爲。75%以上的安全事故都是由企業內部人員所引起的。   可見,保障內部員工遠程網絡連接的安全性,已經成爲了我們網絡安全管理的重頭戲。其實,這項工作也沒有大家想得那麽複雜。一般情況下,只需要短短的五招就可以提高其遠程連接的安全性。   招數一:安全審計   不少企業的IT制度中,可能有詳細的安全管理規定。如客戶主機必須設置密碼;每隔一段時間要更改密碼;密碼要保持一定的複雜性;員工之間不能夠調換使用電腦等等。但是,效果不怎麽明顯。爲什麽會如此呢?這主要是執行起來不利。   如筆者以前也定義過這麽一套安全制度,可惜的是,能夠嚴格貫徹執行的少之又少。這主要是員工沒有安全觀念。因爲通過其他的電腦來訪問他們電腦中的資源,這對于他們來說,是不可想象的。這就好像放在家來的錢,小偷可以不用進他們的門就拿到。由于沒有受過專業的教育,他們認爲這是不可能完成的任務。所以,就會放松警惕。認爲只要電腦在自己的旁邊,裏面的資料就是安全的。   在這種錯誤觀念的影響下,他們很少會關注密碼的重要性。有些時候,幾年下來都不會更改密碼。或者說,連密碼都懶得設。這就給遠程連接埋下了一個安全隱患。我們都知道,遠程連接侵入的一個必要條件就是知道管理員用戶的賬號與密碼。現在有不少的工具可以掃描企業網絡的主機,並進行密碼測試。若員工主機沒有設置管理員密碼或者設置的比較簡單,如123456,則經過掃描工具一掃,就會一覽無遺的顯示在不法攻擊者面前。   筆者現在學聰明了,采用利用一些安全審計工具,來保障這些措施落實。如筆者通過組策略,來強制實現密碼的安全性。通過微軟的組策略,可以強制實現密碼的複雜性驗證;可以拒絕使用空密碼;可以強制讓用戶每隔一段時間更改密碼等等。通過這些安全審計工具,就可以把一些紙面上的安全管理制度落實到實處。   所以,雖然說員工之間的相互信任是提升企業管理團隊的一個重要因素。但是,在企業網絡安全管理中,最好還是不要相信員工會自覺的去執行相關的安全制度。要通過一切可以通過的手段,去強制落實這些安全法則,這才是聰明之舉。  招數二:禁用Schedule服務   當非法攻擊者進行遠程攻擊之時,首先要獲得主機的管理員用戶與密碼。然後,會往主機上上傳一段代碼或者非法程序。通過Schedule服務,在一個固定的時刻執行這個代碼,從而實現他不可告人的目的。   如以前出現過一個Backdoor病毒。這個病毒爲後門類的木馬病毒。這個病毒運行後,會複制到操作系統的目錄下,衍生病毒文件。他主要是修改注冊表中Schedule服務的值,實現隨機啓動的目的。當病毒啓動的時候,會自動連接一些惡意網站,下載其他的病毒與木馬。其他人就可以通過這個後門,控制這台主機,以獲取他們想要了解的內容。當其他員工獲知管理員密碼之後,就可以把這個病毒放到其他員工主機上。然後通過Schedule服務指定其啓動的時間。如此的話,他就可以在神不知鬼不覺的情況下,控制員工主機。   所以,要實現遠程攻擊的話,還必須有Schedule服務的支持。Schedule服務主要是讓用戶能夠在主機上配置和制定自動任務的日程。如在某個時候自動執行某個程序等等。如果禁止這個服務的話,某些任務將無法在日程時間裏運行;任何依賴它的服務都將無法啓動。   通常情況下,若員工主機上沒有安裝一些特殊應用,如SQL Server服務器等等,這個服務用戶也不大。故筆者建議,普通員工的主機可以把這個服務禁用掉,以降低被遠程攻擊的危險。   招數三:確保IPC$連接的安全   IPC$是共享命名管道的簡稱。它是爲了讓進程間通信而開發的命名管道,可以通過驗證用戶名和密碼而獲得相應的權限,實現遠程管理計算機和查看計算機的資源。如在2000的主機上,默認是開啓了這個共享。用戶只需要知道管理員與密碼,就可以查看這台主機的所有資源。所有IPC$共享也是一種很危險的遠程連接方式。   其實,雖然說關掉IPC$默認共享是保障其安全性的一個最徹底的方法。但是,有不少管理員仍然希望開通整個服務。如此,他們直接可以對員工主機進行遠程管理。那我們該如何提高整個服務的安全性呢?   要利用這個漏洞進行攻擊的話,必須同時滿足四個條件。一是操作系統的條件。IPC$服務只有在NT以上的操作系統中存在,其他的操作系統中沒有這個服務。二是防火牆過濾掉了139或者445端口。若要利用IPC$連接的話,則必須開通這兩個端口,否則的話,連接就會被拒絕。三是關閉這個IPC$默認共享服務。當禁用掉這個服務後,當然也就無法使用這個漏洞了。四是知道管理員用戶與密碼。如用戶名密碼不對的話,員工也是連不上其他主機的電腦。從這裏也可以看出,用戶名密碼安全的重要性。   需要注意的是,以上四個條件必須同時滿足。若有一個沒有滿足的話,則就不能夠使用IPC$服務連接到其他員工的主機上。若你想提高IPC$服務的安全性,則只需要把上面的某個條件取消掉即可。如可以提高密碼的安全性,或者通過防火牆禁用掉特定端口等等,就可以提高IPC$連接的安全性。  招數四:防火牆,給主機配置一個安全大門   防火牆對于企業網絡的安全具有非常大的作用。無論是硬件防火牆,還是軟件防火牆,其主要有兩個重要的功能。一是允許或者禁止哪些程序訪問網絡,二是允許或者禁止通過哪些端口訪問。通常情況下,利用防火牆的默認配置即可以保障企業網絡安全的需要。如有特殊的安全考慮的話,則可以通過手工調整以實現企業的特殊需求。   如筆者基本上是通過遠程對各個員工主機進行維護。所以,提高遠程連接的安全性就是筆者所關注的問題。筆者的做法就是通過防火牆,指定只有筆者主機的MAC地址才可以連接到其他員工主機進行遠程管理。其他任何一台主機都不行。通過這種方式,就限制了遠程連接的身份,從而提高了遠程連接的安全性。   招數五:基于策略建立遠程連接   在沒有充分理由的情況下,最好關閉遠程連接的功能。若有必要使用的話,則最好爲此建立一套安全機制與安全策略。而不能夠簡單的憑著對員工的信任,認爲他們不會對網絡進行惡意攻擊。或者說,認爲他們沒有這個能力進行攻擊等等。   其實,現在針對遠程攻擊,如IPC$攻擊,網上一找,可以找到很多的攻擊案例。最可怕的是,很多都實現了傻瓜式的攻擊。就像安裝操作系統一樣,只要按照其提示,一步步的做下去,就可以完成連接、上傳代碼、遠程執行等功能。這就讓一些沒有計算機背景的普通員工,也可以當一回黑客。   所以,企業在有遠程管理需要的情況下,要爲此設置一些安全策略。而不是簡單的憑著對員工的一種信任,就放任不管了。
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
王朝網路微信公眾號
微信掃碼關註本站公眾號 wangchaonetcn
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有