怎样消除１０大网络安全隐患.docVIP

怎样消除１０大网络安全隐患 　　系统管理员常常抱怨他们无法消除系统存在的脆弱性，因为他们不知道在500多种安全问题中哪些是最不安全的，同时他们也没有时间去处理全部的问题。为此，信息安全部门找出了系统管理员可以立即消除的十大安全隐患。 　　 　　1.BIND漏洞 　　 　　位于十大之首的是BIND漏洞，有些系统默认安装运行了BIND，这种系统即使不提供DNS服务，也很容易受到攻击。 　　防范措施： 　　建议执行一个数据包过滤器和防火墙，仔细检查BIND软件；确保非特权用户在chroot()环境下运行；禁止对外的分区传送；查看分区映射情况，确认对此做了补丁，建立了日志；对BIND进行修改，使得它不会对不可信任主机提供分区传送； 　　 　　2．有漏洞的通用网关接口程序 　　 　　位于十大脆弱性中第二位的是有漏洞的CGI程序和Web服务器上的扩展程序。入侵者很容易利用CGI程序中的漏洞来修改网页，窃取信用卡信息，甚至为下一次入侵建立后门。 　　防范措施： 　　更新修改后的软件包可以防止受此攻击。如果还会出现其他CGI漏洞，建议将口令保存在shadow文件中，并且通过对口令执行Crack，确保不会被入侵者轻松识破；建议将ssh或其他形式的远程shell访问设置在一台独立的主机上，该主机不提供其他服务和功能。 　　 　　3．远程过程调用(EPC)漏洞 　　 　　RPC允许一主机上的程序可执行另一主机上的程序。许多攻击所利用的都是RPC漏洞所带来的脆弱性。 　　防范措施： 　　禁止相关服务；防火墙和边界设备只允许通过网络提供必要的服务，在防火墙上将日历、时间等服务阻塞；系统和应用必须随时更新和打补丁，确保版本最新；对NFS服务器进行充分扫描；修改NFS服务器的口令，让口令经得起检查。 　　 　　4．Microsoft IIS中存在的远程数据服务漏洞 　　 　　运行IIS服务器的系统管理员要特别小心，注意安全通告以及补丁，因为IIS很容易成为攻击目标。 　　防范措施： 　　消除RDS漏洞，安装补丁或升级，更正所有已知的其他的IIS安全漏洞。 　　　5．Sendmail攻击 　　 　　Sendmail是运行在Unix和Linux平台上的发送、接收和转发电子邮件的软件，它很早就被人发现了漏洞，又因其广泛应用而成为攻击目标。 　　防范措施： 　　升级到最新版本并打补丁；在非邮件服务器或非邮件中继站的主机上不要以后台程序模式运行Sendmail；避免邮件客户将大部分功能在根用户空间中完成。 　　 　　6．sadmind和mountd缓冲区溢出 　　 　　sadmind支持Solaris系统的远程管理访问，并提供管理图形接口；mountd可以控制和处理UNIX主机上NFS装载的访问。 　　防范措施： 　　禁止相应服务，对系统打补丁；关闭服务，甚至将主机上能够直接访问网络的服务删除；如果系统没有要求，就禁止为其提供相关服务。 　　 　　7．配置不当的文件共享 　　 　　配置不当的文件共享将影响多种操作系统，将重要的系统文件暴露，甚至为连接到网络上的“敌人”提供完全的文件系统访问权限。全局文件共享或不合适的共享信息一般会在以下情况出现：NetBIOS和WindowsNT平台上、Windows 2000平台上、UNIXNFS、MacintoshWeb共享或AppleShare／IP。 　　防范措施： 　　对Windows系统，只在必要的情况下才共享；对WindowsN耐2000系统，避免“空会话”连接对用户、用户组和注册键等信息进行匿名访问，在路由器或NT主机上将与NetBIOS会话服务的流入连接加以阻塞；对Machintosh系统，只有必要的情况下才进行文件共享；对UNIX系统，充分利用mount命令的noexec、nosuid和noaev选项，不要在UNIXSamba服务器上使用未加密的口令，如果可能，考虑转换为一个更安全的文件共享结构。 　　 　　8.口令 　　 　　口令设置不当，或没有设置账户口令，这是最容易修正的，也是实施起来最难的。 　　防范措施： 　　教育用户和系统管理员，让他们充分认识到好的口令的作用；建立合适的口令策略，定期检查口令安全性，同时利用系统提供的一些工具和扩展包对策略进行完善。 　　 　　9．IMAP和POP服务器缓冲区溢出 　　 　　在目前已经知道的系统和应用脆弱性中大部分都源于缓冲区溢出。缓冲区溢出会引起很多问题，诸如系统崩溃、非授权的根访问和数据破坏。 　　防范措施： 　　在非邮件服务器的主机上禁止此类服务；使用最新版本，安装最新补丁。 　　 　　10．默认的SNMP共用串 　　 　　网络管理员利用SNMP对