最新网址:www.llskw.org
定期地做好用户账户和组的审计,同时文件许 可也可以作为一种找到可能的侵入或是非授权人员活动的方法。许 多商业和公共相关的工具都可以自动完成以上部分过程。既然黑客 也知道这一点,那么定期检查安全相关工具和脚本以及任何源文件 相关数据来保证其完整性是很重要的。
系统配置不当是导致大量入侵的直接原因,例如过多开放的接 口,脆弱的文件读写许可和Web服务器的不当配置。一旦一个黑 客在用户层侵占了系统,那么他的下一步就是通过搜寻没有公幵的 或尚未升级打补丁的漏洞,以及许可配置的不足来对系统进行攻 击,从而提高他的权限。不要忘了,许多黑客都是一步一步慢慢侵 蚀直到攻破整个系统的。
支持Micsoft SQL服务器的数据库管理员必须考虑禁止某些存 储过程,(如 xp-cmdshell, xp makewebtask 和 xp regread),因为 它们通常会被用来得到远程系统访问权限。
端口扫描当你在这本书的时候,你那台连上了 Internet的计算机可能正 在被一些讨厌的黑客扫描。他们想要找到“可轻而易举得到的果 实”.由于端口扫描在美国是合法的(以及大多数其他国家),因此 你能得到的反对黑客的帮助是很有限的。关键是要能够从成千上万 探测你的网络地址空间的脚本中,鉴别出其中最大的威胁。
这里有几个软件,包括防火墙和侵入检测系统,可以鉴别出各 种端口扫描类型,并且能够提醒相关人员这些扫描活动。你町以配 置大多数防火墙来鉴别各类端口扫描,并断掉相关连接。一些商用 防火墙产品拥有一些配置选项,可以避免快速的端口扫描。同时还入侵的艺术有一些“幵源”工具可以检测出端口扫描,并能到丢掉某个时间段 的数据包。
了解你的系统应该做好下列大量的系统管理工作: ?检查进程列表,找到所有异常或是未知的进程。 ?检查预定程序列表,找到所有非授权的添加或改动。 ?检查文件系统,找到最新或被改动的系统二进制文件、脚本或是应用程序。 ?搜查任何异常的空闲磁盘空间的减少。 ?核查所有当前活动的系统或用户账户,移除匿名或未知 账户。
核查被默认配置的特别账户,以拒绝相互式或网络上的登录。
检查任何陌生活动所产生的日志(例如从未知源的远程访问,或在晚上或者周末的非正常时间访问)。 ?审计Web服务器日志以鉴别任何访问非授权文件的要求。 如本章所提到的,黑客会把文件复制到Web服务器目录 下,同时通过Web(HTTP)把文件下载下来。 ?在配置了 FrontPage或WebDav的Web服务器环境下,要 确保设置恰当的许可,以避免来自访问文件的非授权用户。
事故应变和警告了解安全事故在何时发生将有助于损失控制。通过操作系统审 计,能鉴别出潜在的安全缺陷。配置一个自动系统,以便某些审计 事件发生的时候对系统管理员发出警告。然而,一定要注意:如果 一个黑客获取了足够的特权,并且对整个审计过程了如指掌的话, 他就可以通过欺诈避开这个自动警告系统。
检查应用程序中经过授权了的改动能够通过搜寻FrontPage授权的不当配置来替换掉第8草:知识产权并不安全程序。在他完成获取那家公司龙头产品的源代码后, 他把helpdesk程序那个“被攻破”的版本依然留在那里,以便曰后 他可以再回去。一个工作负荷很大的管理员可能从未意识到一个黑 客会偷偷摸摸地改变一个现有的程序,特别是如果没有任何完整性 的检测。对于手工检测来说的另一种检测方法就是注册一个类似于 Tripwire3的程序去实现非授权改动的自动检测。
许可通过浏览在/includes文件夹中的文件,Erik获取了相当机密的 数据库口令。如果设有初始口令的话,或许就可以阻碍他的步伐。 在一个任何人可读的源文件中,那些被暴露的敏感数据库口令都是 他需要得到的。其实,最好的安全措施就是尽量避免在批量文件、 源文件或是脚本文件里存储任何明文口令。除非迫不得已,否则我 们都应该釆用企业整体策略,禁止存储明文门令。最起码,那些包 含有未加密过的口令文件必须小心保护,以免意外泄露。
在Robert攻击的那家公司,Microsoft IIS4服务器没有恰当配 置,不能避免匿名或guest用户读写文件到Web服务器目录上去。 任何用户只要登录系统,就可以阅读被用来协调Microsoft Visual SourceSafe的外部口令文件。由于这些不当配置,黑客可以获取对 目标的Windows域的完全控制。针对应用程序和数据,配置一个 有组织的目录结构系统可以增加访问控制的效率。
□令除了本书已提到过的其他普通的口令管理建议外,本章中黑客 还有以下突出的成功要点。Erik说到基于他已经破解的口令,他可 以预测公司的其他口令是如何构造的。如果你的公司的雇员们正在 使用一些标准且可预测的方式来构造门令的话,显然你正在敞幵门 对黑客们发出邀请。
一旦?-个黑客获取了进入系统的访问权限后,他就会紧接着获 取其他用户或数据库的口令。通过搜索电子邮件或是整个文件系入侵的艺术统,寻找在电子邮件、脚本、批量文件、源文件和公告栏中的明文 口令,这种策略相当地普遍。
使用Windows操作系统的机构应该注意操作系统的配置,禁 止LAN Manager 口令的散列在注册表里储存。如果一个黑客获取 了管理员权限的话,他可以析取口令的散列并破解他们。IT人员 可以简单地配置系统使得旧类型的散列不被保留,这样就能充分提 高破解口令的难度。然而,一旦一个黑客“拥有” 了你的机器,他 /她就能够找到网络流,或者安装一个第三方的口令附加软件来获 取账户口令。
避开LAN Manager 口令散列的另一种方法就是建立一个带有 键盘上无法敲上去的口令,比如说,如第6章中所说,使用 键和数字标志符。广泛使用的口令破解软件是不可以破解使用 Greek, Hebrew, Latin和Arabic字符集中的字符口令的。
第三方软件利用定制的Web探测工具,Erik发现了一个未被保护的商用 FTP产品生成日志文件。这个日志中包含传入和传出系统的文件的 完整路径信息。所以,在安装第三方软件的时候,请不要依赖简单 的默认设置。设置的实现最可能泄露有价值的信息,例如可被用来 攻击网络的H志数据。
保护共享空间配置网络空间是公司网络中实现共享文件和文件夹的普遍做 法。IT员工们也许没有设置口令或访问的权限,因为共享空间仅 仅只是内部网络可见。本书中己提到,许多机构把他们的努力都放 在维持一个优良的四围安全,却忽视了来自于网络内部的安全问 题。然而像Robert这样想要进入你系统的黑客,会搜寻那些带有 预示着有价值的和敏感信息的名字的共享空间。如“research”或 “backup”等类似描述的名字会使黑客的工作轻松许多。最好的做 法就是充分保护所有包含敏感信息的网络共享空间。
第8草:知识产权并不安全避免DNS猜测在域中可公共访问的存储区的文件内,Robert利用了 一个DNS 猜测的程序来鉴别可能的主机名。你可以使用水平分割的DNS来 避免泄露内部主机名,这个水平分割的DNS拥有内部和外部两个 名字服务器。只有可以公共访问的主机才会在内部名字服务器的存 储区文件上提到,而保护得更好的内部名字服务器将被用来解决公 司网络的内部DNS请求。
保护 Microsoft SQL 服务器找到了一个备份mail以及正在运行Microsoft SQL服务 器的Web服务器,而且那上面的用户名以及口令与在源代码 “inckide”文件中发现的口令一致。在没有合法的业务需求时,SQL 服务器不应该暴露在Internet中。即使“SA”账户被重新命名,黑 客仍然可以在未保护的源文件中找出新的账户名以及口令。除非万 不得已,否则最好的做法就是过滤掉1433端口(Microsoft SQL服 务器)。
保护敏感文件本章故事中的黑客攻击最后都成功了,都是因为存储在服务器 上的源代码没有被充分保护起来。在特别敏感的环境下,例如公司 的R&D或者发展小组,应该通过U令技术来提供另一层安全。
请记住本书首发域名:www.llskw.org。来奇网电子书手机版阅读网址:m.llskw.org