不断更新或升级网络从而造成自身用户环境差异较大整个网络系统平台参差不齐服务器端大多采用 Linux系统
而PC端使用Windows系统
所以在企业应用中往往是Linux/Unix和Windows操作系统共存形成异构网络中小企业由于缺少经验丰富Linux网络管理员和安全产品采购资金所以对于网络安全经常缺乏缺乏全面考虑笔者将从服务器安全和网络设备安全等来解决企业烦恼
、服务器安全:1. 关闭无用
端口任何网络连接都是通过开放
应用端口来实现如果我们尽可能少地开放端口就使网络攻击变成无源的水从而大大减少了攻击者成功机会首先检查你
inetd.conf文件inetd在某些端口上守侯准备为你提供必要服务如果某人开发出个特殊inetd守护
这里 就存在个安全隐患你应当在inetd.conf文件中注释掉那些永不会用到服务(如:echo、gopher、rsh、rlogin、rexec、 ntalk、finger等)注释除非绝对需要你定要注释掉rsh、rlogin和rexec而telnet建议你使用更为安全ssh来代替 然后杀掉lnetd进程这样inetd不再监控你机器上守护从而杜绝有人利用它来窃取你应用端口你最好是下载个端口扫描扫描你系 统如果发现有你不知道开放端口马上找到正使用它进程从而判断是否关闭它们2. 删除不用
软件Software包在进行系统规划时
总原则是将不需要服务律去掉默认Linux就是个强大系统运行了很多服务但有许多服务是不需要很容易引 起安全风险这个文件就是/etc/inetd.conf它制定了/usr/sbin/inetd将要监听服务你可能只需要其中两个:telnet和ftp其它类如shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth 等除非你真想用它否则统统关闭3. 不设置缺省路由
在主机中
应该严格禁止设置缺省路由即default route建议为每个子网或网段设置个路由否则其它机器就可能通过定方式访问该主机4. 口令管理
口令
长度般不要少于8个
口令组成应以无规则大小写字母、数字和符号相结合严格避免用英语单词或词组等设置口令而且各用户口令应 该养成定期更换习惯另外口令保护还涉及到对/etc/passwd和/etc/shadow文件保护必须做到只有系统管理员才能访问这2个文 件安装个口令过滤工具加npasswd能帮你检查你口令是否耐得住攻击如果你以前没有安装此类工具建议你现在马上安装如果你是系统管理 员你系统中又没有安装口令过滤工具请你马上检查所有用户口令是否能被穷尽搜索到即对你/ect/passwd文件实施穷尽搜索攻击5. 分区管理
个潜在攻击它首先就会尝试缓冲区溢出在过去几年中以缓冲区溢出为类型安全漏洞是最为常见种形式了更为严重是缓冲区溢出漏洞占了远程网络攻击绝大多数这种攻击可以轻易使得个匿名Internet用户有机会获得台主机部分或全部控制权!为了防止此类攻击
我们从安装系统时就应该注意如果用root分区记录数据如log文件就可能
拒绝服务产生大量日志或垃圾邮件从而导致系统崩溃所以建议为/var开辟单独分区用来存放日志和邮件以避免root分区被溢出最好为特殊应用单独开个分区特别是可以产生大量 日志还建议为/home单独分个区这样他们就不能填满/分区了从而就避免了部分针对Linux分区溢出恶意攻击6. 防范网络嗅探:
嗅探器技术被广泛应用于网络维护和管理方面
它工作时候就像部被动声纳默默接收看来自网络各种信息通过对这些数据分析网络管理员可 以深入了解网络当前运行状况以便找出网络中漏洞在网络安全日益被注意今天.我们不但要正确使用嗅探器.还要合理防范嗅探器危害.嗅探器能够造 成很大安全危害主要是它们不容易被发现对于个安全性能要求很严格企业同时使用安全拓扑结构、会话加密、使用静态ARP地址是有必要 7. 完整
日志管理日志文件时刻为你记录着你
系统运行情况当黑客光临时也不能逃脱日志法眼所以黑客往往在攻击时修改日志文件来隐藏踪迹因此我们要限制对/var/log文件访问禁止般权限用户去查看日志文件另外
我们还可以安装个icmp/tcp日志管理如iplogger来观察那些可疑多次连接尝试(加icmp flood3或些类似情况)还要小心些来自不明主机登录完整
日志管理要包括网络数据正确性、有效性、合法性对日志文件分析还可以预防入侵例如、某个用户几小时内20次注册失败记录很可能是入侵者正在尝试该用户口令8. 终止正进行
攻击假如你在检查日志文件时
发现了个用户从你未知主机登录而且你确定此用户在这台主机上没有账号此时你可能正被攻击首先你要马上锁住此账号(在口令文件或shadow文件中此用户口令前加个Ib或其他)若攻击者已经连接到系统你应马上断开主机和网络物理连接如有可能你 还要进步查看此用户历史记录查看其他用户是否也被假冒攻击音是否拥有根权限杀掉此用户所有进程并把此主机ip地址掩码加到文件 hosts.deny中9. 使用安全工具软件Software:
随着Linux病毒
出现现在已经有些Linux服务器防病毒软件Software安装Linux防病毒软件Software已经是非常迫切了Linux也已经有些工具可以保障服务器安全如iplogger10. 使用保留IP地址:
---- 维护网络安全性最简单
思路方法是保证网络中主机区别外界接触最基本思路方法是和公共网络隔离然而这种通过隔离达到安全性策略在许多情况下是不能接受 这时使用保留IP地址是种简单可行思路方法它可以让用户访问Internet同时保证定安全性- RFC 1918规定了能够用于本地 TCP/IP网络使用IP地址范围这些IP地址不会在Internet上路由因此不必注册这些地址通过在该范围分配IP地址可以有效地将网络流 量限制在本地网络内这是种拒绝外部计算机访问而允许内部计算机互联快速有效思路方法保留IP地址范围:
-- 10.0.0.0 - 10.255.255.255
---- 172.16.0.0 - 172.31.255.255
-- 192.168.0.0 - 192.168.255.255
来自保留IP地址
网络交通不会经过Internet路由器因此被赋予保留IP地址任何计算机不能从外部网络访问但是这种思路方法同时也不允许用户访问外部网络IP伪装可以解决这问题11、选择发行版本:
对于服务器使用
Linux版本既不使用最新发行版本也不选择太老版本应当使用比较成熟版本:前个产品最后发行版本如Mandrake 8.2 Linux等毕竟对于服务器来说安全稳定是第12、补丁问题
你应该经常到你所安装
系统发行商主页上去找最新补丁2、网络设备
安全:1. 交换机
安全启用VLAN技术:交换机
某个端口上定义VLAN 所有连接到这个特定端口终端都是虚拟网络部分并且整个网络可以支持多个VLANVLAN通过建立网络防火墙使不必要数据流量减至最少隔离 各个VLAN间传输和可能出现问题使网络吞吐量大大增加减少了网络延迟在虚拟网络环境中可以通过划分区别虚拟网络来控制处于同物理网段中 用户的间通信这样来有效实现了数据保密工作而且配置起来并不麻烦网络管理员可以逻辑上重新配置网络迅速、简单、有效地平衡负载流量轻 松自如地增加、删除和修改用户而不必从物理上调整网络配置2.路由器
安全:根据路由原理安全配置路由器路由器是整个网络
核心和心脏, 保护路由器安全还需要网管员在配置和管理路由器过程中采取相应安全措施1. 堵住安全漏洞
限制系统物理访问是确保路由器安全
最有效思路方法的限制系统物理访问种思路方法就是将控制台和终端会话配置成在较短闲置时间后自动退出系统避免将调制解调器连接至路由器辅助端口也很重要旦限制了路由器物理访问用户定要确保路由器安全补丁是最新2. 避免身份危机
入侵者常常利用弱口令或默认口令进行攻击
加长口令、选用30到60天口令有效期等措施有助于防止这类漏洞另外旦重要IT员工辞职用户应该立即更换口令用户应该启用路由器上口令加密功能3. 禁用不必要服务
近来许多安全事件都凸显了禁用不需要本地服务
重要性需要注意是个需要用户考虑原因是定时定时对有效操作网络是必不可少即使用户确保了部署期间时间同步经过段时间后时钟仍有可能逐渐失去同步用户可以利用名为网络时
最新评论