作者: Builder.com 网络将你的商务推向世界,但是当你使用网络的时候,你又是如何来防范来自外部的不良影响呢? 网络协会(Network Associates)高技术解决方案销售主管Wayne Weisse认为,网络服务器“非常容易成为攻击的目标,因为它是建立在网络上的”。然而,它们对一个公司的商务非常重要,这不单单是出于品牌效应的考虑。比如,由拒绝服务攻击(Denial of service attacks)可造成的网络资源利用效率急剧下降;利用普通的黑客工具就可将将网页涂改的面目全非;通过非法提升用户权限,攻击者将网络服务器作为其发动攻击的跳板,进而攻击内部网络系统,等等这些威胁,对一个公司将会造成巨大的影响。 “然而,尽管如此,利用网络有很多令我们满足的地方”,计算机协会数据保护组高级顾问Chris Thomas认为。一般的用户不会将网络作为攻击的目标,但是那些坏家伙一直在寻找机会:他们一旦得到你的IP,就可以找到你了,因为“在网络世界中,唯一代表你的就是你的IP地址。”这对进攻者来说是个好消息。通过这篇文章,我们主要研究怎样来确保你的网络服务器安全。 结构问题 Dimension Data澳大利亚安全事物所主管(head of Dimension Data Australia's security practice)Neil Campbel认为,“大部分的攻击与你如何设计WEB应用软件和安全管理有很大关系”。 通常,在那些路径管理薄弱的服务器上很容易引发蠕虫病毒,同时,安全管理疏忽和结构设计不合理的服务器会很容易地遭受黑客攻击,他说。“随着黑客手段的不断发展,也许你现在作的一点意义都没有,尽管在9-12个月之前,很有用”,因此我们需要不断的创新。 典型的three-tier结构设计是一个好的想法,倒置的代理服务器设计使WEB中的数据流向对外界变的模糊,重要数据不容易被探测到。Campbell鼓励创新的设计,来保护敏感数据。比如,保存像客户的信用卡这类信息(象这样重要的数据绝对不要保存在WEB服务器上)是非常必要的,我们可以考虑将信息分成不同的部分保存在不同的数据库中,同时,不同的数据库用不同的加密方法。“这样,一个单独的安全威胁,就不会导致整个系统的崩溃”,他说。 将不同的应用服务隔离,是一个很好的想法,Hostway(世界五大主机公司之一)系统经理Bill Mania这样认为。 他建议,WEB服务器就应该只作WEB服务器,而不在承担其他的功能。因为如果在其上加载其他的应用服务,将会造成一种“不对称交换(inappropriate exchange)”,这时如果某个应用程序出现问题,将会影响到其他的应用程序。 Andrew Gordon, Trend Micro结构管理者,将这个观点推广到脚本的应用上。他警告说,任何脚本不应该运行于WEB服务器的主机上,而应该运行于相应的后台数据库服务器上,同时他再次强调说,这些数据库服务器也不能与WEB服务器为同一台主机。 路由或者网络连接的类型越多,受到攻击的风险将越大。Gordon认为这样作“就相当于安装了一个前门同时又安装了后门”。 网络服务器可能有各种服务运行于其他的系统之上,因此作好路径信息备份很重要。美国RSA实验室安全部高级技术顾问(以研究加密算法而出名)认为,作好路径信息备份,对控制客户对不同服务器的访问将很方便。 说到如何给主机提供服务的问题时,Patrick Cusack( CTO of Hothouse Interactive)认为“当你从客户内部网络上给主机提供后端服务时,不要疏忽这里的安全问题”。对网络服务器来说,以连接到其他系统实现数据输入和事务处理的方式并不很常见。他说,这种方式很危险“不要设想他们的网络终端会安装防火墙”。他还举例说,蠕虫和其他病毒可能会侵入采用这种方式连接的网络。他告戒我们,“有时候会很碰巧发生这样的事,”因此最好不要采用这种方式。 选择什么类型的平台呢? 不同操作系统和网络服务系统孰优孰劣一直是争论焦点,这里我们将详细研这个问题。 “它们都有缺点,”Cusack说。因为微软操作系统最流行,因此我们听到的大多数批评是针对它的,但是“这不公平——仅仅因为它是最大的供应商,”他举例说,“同样Linux系统也有数以千记的漏洞”。而且,他还说,要确保一个Linux系统的安全所花的工作量也是十分巨大的。 假如从我们这些受到严格训练的客户之中选择一个来配置Linux系统,“那也将花费大量的工作。”因为要达到操作系统标准环境的要求,需要将六百多个补丁打上,因此,从原始的未经过升级的系统开始构建服务器,需要花费4天的时间,他说。Solaris系统也很相似,但是我们在处理其安全方面的问题时,将会更加高效,他确信,我们大多数负责Solaris操作系统的人员完全有这个能力,但对其他操作平台就不敢这么说。因此,他给我们的建议是“尽量用你熟悉擅长的操作系统,”而不要太多地计较它是那一种系统。 Ian Gillott,桑托斯(巴西港市Santos)改革创新组管理员,他承认大多数微软服务器并不是由微软专家安装的,但是只要企业愿意付费,他们的服务器就会得到很好的安装。他说,桑托斯(巴西港市Santos)的技术员对微软操作系统和Solaris系统有同样的技术水平。 Gordon认为,Unix和 Linux是最安全的操作平台。因为它们的漏洞最少且不为多数人所知,而且,系统能承载更高的负荷。但是,Windows系统的处境就不一样了,它不得不为频繁出现的漏洞打补丁,而且还要不断遭受由此漏洞而导致的攻击。因此,Gordon建议在Windows服务器上安装杀毒软件,同时强调要注重边界防护(Perimeter security)。 Symantec公司高级地区产品经理Robert Pregnell认为,IIS并不是内在固有的漏洞就比其他的Web服务软件多,而是由于它是和微软的操作系统一并发行的,因此很有可能用户是在不具备安装知识的情况下安装而没有合理配置。这样造成的结果是,用户的IIS配置一般趋于相同,再加上那些人所共知的系统漏洞,使得它很容易成为攻击的对象。 |
|小黑屋|最新主题|手机版|微赢网络技术论坛 ( 苏ICP备08020429号 )
GMT+8, 2024-11-6 03:04 , Processed in 0.632874 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.