当前位置:首页 > 网管 > 正文

网络主管常犯的十个愚蠢安全错误

2009-07-10 51cto

仔细观察一下那些最严重的企业安全漏洞,你会发现网络主管们很明显在一遍又一遍的犯着同样的错误,而且这些错误都是很容易避免的。

2008年,Verizon Business对代表了2亿8500万次入侵记录的90种安全漏洞进行了分析,其中大多数有组织的入侵事件都上了新闻头条。这些犯罪活动遍布网络,窃取信用卡数据、社会保险号码或其他私人的身份信息。

但令人惊讶的是,这些安全漏洞频繁发作的原因竟然是网络管理者们忘掉了使用一些简单的防护措施,尤其是对那些非关键的服务器。

“我们只是没有做到最基础的工作,”从事安全漏洞审计工作已有18年之久的Verizon Business创新与技术副总裁Peter Tippett这样说。他帮助我们整理了一份错误操作的清单,列出了最容易出现的十项错误,只要你能够照着清单来改正错误,那么绝大多数的安全漏洞将不会影响到你。

1. 没有更改所有网络设备的默认密码

Tippett说,有些企业的服务器、交换机、路由或者网络设备一直在使用默认密码,而且这种情况常见的“难以置信”,那些通常设置为“password”或者“admin”的默认密码仍然大量被使用。大多数CIO们都自以为这个问题绝不会在他们的公司出现,但是Tippett说他每天都会看到它发生。

为了避免这个问题,你需要对每台占用IP地址网络设备都进行漏洞扫描,而不仅仅对那些关键的设备或者上网的系统,Tippett说,然后你需要更改它们的默认密码。Verizon Business的研究报告发现,去年的入侵统计中有超过一半是因为网络设备使用默认密码造成的。51CTO编者注:想了解如何摆脱默认密码困扰,请看细节决定安全 杜绝网络设备“默认”设置。

2. 多个网络设备共享同一个密码

IT部门经常在多台服务器中使用相同的密码,而且有不少人知道这个密码。即使这个密码的强度可能足够,但是一旦在多个系统之间共享,这几个系统就都处于危险之中。

例如,一个人知道密码的员工可能会离开公司,在新公司他可能也会使用相同的密码。或者比如你把一些非关键系统比如数据中心的制冷系统外包给了某公司,而他们就有可能使用他们经常使用的密码。在任何一种情况下,如果密码被黑客破解,他们就能够入侵更多台服务器,造成更大的伤害。

3. 没有发现SQL代码错误

最常见的一种黑客攻击就是针对连接网络服务器的SQL数据库,据统计占到了入侵记录的79%。黑客的攻击方法是在Web表格中键入SQL命令行。而如果Web表格的编码正确,它不应该接受SQL命令行。但有时开发者会犯错,让SQL注入攻击有机可乘。

Tippett说,阻止错误发生的最简单方法是在学习(learn)模式中运行应用防火墙,观察用户是怎样在field中输入数据,然后在运行(operate)模式下设置防火墙,这样SQL命令就不会被注入field中。SQL代码问题非常普遍。Tippett说,“如果测试100台服务器,可能有90台服务器都会发现存在SQL注入问题。”另外Tippett提醒到,企业经常只注意关键服务器,而忘记了大多数黑客是通过非关键系统入侵网络的。

4. 没有正确配置访问控制清单

使用访问控制清单来分割网络,这是确保你的系统只和它们需要的对象相连接的最简单方法。例如,如果你允许合作伙伴通过你的VPN(Virtual Private Network,虚拟专用网络)来访问两台服务器,你应该使用访问控制清单来确保合作伙伴只能访问这两台服务器。这样即使有黑客通过开放的VPN入口入侵了你的网络,他也只能得到这两台服务器上的数据。

“罪犯们经常会通过VPN入侵网络,并且能够得到所有权限,”Tippett说。Verizon的报告显示,如果正确配置了访问控制清单,那么去年的入侵事件中将有66%得到保护。CIO们不采取这种简单措施的原因是要将路由作为防火墙,许多网络管理者也不想这样做。

5. 允许不安全的远程访问和管理软件

黑客入侵网络的最常用手段之一是利用远程访问和管理软件包,比如PCAnywhere、Virtual Network Computing(VNC)或者Secure Shell(SSH)。这些软件通常都缺乏最基本的安全防护措施,比如密码就不够强大。

发现这种问题的最简单方法是对整个IT地址空间进行外部扫描,寻找PCAnywhere、VNC或者SSH的流量。一旦你发现了这些软件,要对它们部署额外的安全措施,比如在密码之外另加证书等方式。另一种方法是扫描外部路由器的Netflow数据,查找网络内是否存在远程访问管理操作的流量。

这个问题非常普遍,在Verizon Business报告的入侵统计中占到了27%。

6. 没有测试非关键应用的基本漏洞

根据Verizon Business的报告,将近80%的黑客攻击是因为Web应用存在安全漏洞。网络管理者们也知道最大的弱点就在于Web应用,因此他们不遗余力的测试关键的应用和面向互联网的系统。

但问题是黑客攻击的却是那些网络内部的非关键系统的安全漏洞。Tippett说,“主要问题是我们疯狂的测试那些关键的Web应用,却忽视了那些非关键的应用”。他建议网络管理者应该对所有应用的基本漏洞都进行测试。

“人们总是过于关注关键的应用,但是罪犯们不会管什么关键什么不关键,他们只挑最容易的下手,”Tippett说。

7. 没有充分保护服务器远离恶意软件

Verizon Business的报告说服务器上的恶意软件占到了所有安全漏洞的38%。大多数恶意软件是被远程攻击者安装的,用来捕获数据。某些恶意软件可以自定义,因此防病毒软件无法识别。对于网络管理者来说,一种在服务器上查找恶意软件比如木马或间谍软件的方法是在每台服务器上本地运行入侵检测系统软件,当然不仅仅是针对关键服务器。

Tippett推荐了一种可以阻止这类攻击的简单方法:锁定服务器,让新的应用软件无法在这些服务器上运行。“很多网络管理者们不喜欢这么做,因为他们总想着以后可能会安装新的软件。但我要告诉他们的是,到时候再解锁,然后安装新软件,然后再重新锁定。”

8. 没有让路由禁止不必要的外部流量

恶意软件的一种常用做法是在服务器上安装后门或命令外壳。有一种阻止它们的方法是使用访问控制清单分割网络。这种方法可以阻止服务器发送不该发送的流量。例如,电子邮件服务器应该只发送邮件流量,而不是SSH流量。另一种办法是让路由默认拒绝出口过滤,阻止所有出站流量,除了那些你安排离开的。
“只有2%的企业这样做。令我困惑的是另外的98%为什么不这么做。”Tippett说,“默认拒绝出口过滤是非常简单的。”

9. 不知道信用卡或其他关键用户数据存储在哪里

大多数企业自认为他们知道关键数据比如信用卡信息、社会保险号码或者其他私人身份信息等等的存储位置,他们对这些服务器设置最高级别的安全防御措施。但是往往这些数据还会存储在网络的其它地方,比如备份站点或者软件开发部门。

这些第二等级的非关键服务器经常遭到攻击,导致绝大多数的数据泄露。查找关键数据存储位置的一种简单方法是进行网络探测。“我们通常会在网络上设置嗅探器,查找关键数据可能存在的位置,还要观察它们可能流向哪里。”Tippett说。

10. 没有遵守支付卡行业数据安全标准

支付卡行业数据安全标准(PCI DSS)为保护持卡人信息设置了12条控制条款,Tippett说,“然而大多数用户甚至没有试着去达到PCI标准。”有时,企业会遵循这些标准来管理他们已知的存储信用卡数据的服务器,但对其他未知的服务器却无法控制。

Verizon Business的报告显示,尽管入侵记录中有98%涉及到盗取支付卡数据,但是这些遭受入侵的企业中仅有19%遵守了PCI标准。“很显然,遵循PCI规定,它们绝对可以保护你。”Tippett最后说。

大家都爱看
查看更多热点新闻