網絡安全之:十一國慶踏實過
轉眼十一長假快到了,忙碌了大半年的網管員終於可以放鬆緊繃的神經痛快地玩幾天了,而我們的網絡卻不會停下來運轉,它在這個時候往往是最薄弱的。在人們享受甜美假期的同時,網絡系統和應用系統更容易出現***和安全事件,在無人值守的環境下免受***,從容應對節後的可能出現的麻煩,這都需要我們在節前“囤糧練兵,有備無患!”。
安全事件爲何與節日過不去?
節假日本來是人們放鬆休閒的好機會,但是計算機病毒的製造者卻似乎對節假日情結情有獨鍾,這是爲什麼呢?最近幾次病毒大爆發的時間都選擇了節假日之後,而很多的垃圾郵件發送時段也集中在節前。我們可能還記得幾年前可怕的“五一”假期,第一天的時候,“震盪波”病毒“震盪”了整個互聯網,三天之內的4個變種橫掃600萬互聯網用戶,一個美好的“五一”就這樣被籠罩在病毒的陰雲中。同時,我們發現很多病毒也以節日名稱加以冠名,比如 “聖誕節病毒”、“情人節病毒”等。這似乎不能僅僅用巧合來解釋,病毒作者正是有意識的利用節假日期間,人們對計算機病毒警惕不高的情況,利用假期時間較長的時間條件,造成節後病毒的大規模集中發作。
另外,垃圾郵件和病毒從來就是不分家的一對,在春季期間垃圾郵件氾濫的情況也非常具有“中國特色”。這個時段,人們更容易打開郵件,消費者會在網上購買更多的物品,希望獲得有關送什麼禮物的建議,以及期待朋友的電子賀卡等等。垃圾郵件發送者會充分利用這一點,發送虛假的訂單確認電子郵件、電子賀卡,推薦購買它們的產品作爲送給親朋好友的禮物,當然病毒和***的捆綁也夾帶其中,這都讓管理員十分頭疼。作爲管理員,很多人的假期一直不是過得十分瀟灑,我周圍的許多朋友由於習慣了“緊急召回電話”的騷擾,也只能安排就近的度假景點,不敢對“境外遊”有所奢望。讓他們擔憂的不僅是******、病毒感染,UPS的突然掉電、空調系統的運行故障,這些皆有可能發生的安全事件都讓我們的網絡與網管無從休養生息。
保證防毒系統可用
病毒襲擊的一個特點是病毒製造時間越來越短,變種爆發的速度甚至可以在幾秒之內完成。在我曾經接觸的案例中,有家公司的網管員反映:“在‘十一’假期回來之後才發現自己的系統已經接近癱瘓狀態,幾個病毒的最新變種都寄生在服務器上。”根據實際排查,我們發現這些服務器上都安裝了病毒防護系統,但爲什麼失效呢?在日誌掃描以及針對防毒系統配置策略進行校驗時,我們發現出現這些問題的主要原因是由於防毒系統使用不當造成的,例如:
防毒軟件很久沒有進行過系統完全掃描,病毒載體文件並沒有在C盤(系統盤),這也是引發病毒感染和病毒變種無法清除的主要原因。
在假期前定製的升級策略可能由於網絡問題,曾經中斷過防毒代碼的升級通訊。
隔離區設置在C盤,但大量的病毒警報日誌造成C盤空間已滿,病毒防禦系統無法繼續記錄日誌,導致工作異常。
根據上面的事例,在假期當中的如何發揮防毒軟件的作用呢?最有效的方法就是保證你的病毒防禦系統能夠正確完成計劃任務,下面的三個步驟可參考實施:
1、 提前做到完全檢查
有一少部份網管員似乎對防毒系統的信賴的過高了,他們可能在第一次部署防毒系統後就很少去關注系統的工作狀況,全盤掃描可能一次都沒有做過。尤其是版本較早的防毒系統,如果你沒有進行過系統的全面掃描,系統也不會提示你可能存在這些漏洞(圖1爲新版防毒系統的安全狀態提示窗口)。假期前,對防毒系統的日誌進行存檔,檢查防毒系統安裝盤的磁盤配額,在全盤掃描後排除潛在問題,這都是保證系統正常運行的一項基礎工作。
2、 提前升級防毒代碼
大多時候,防毒系統的更新工作都在後臺自動運行。所以,很多管理員在假期或日常的遠程管理中就不能確定是否正確完成病毒特徵庫更新。在離開單位前確保你的防毒系統已經更新到最新的防禦狀態,這是最有效的安全保護方法。
3、 假期預設掃描和連續性升級
有經驗的管理員都知道,天天升級病毒庫只是一個概念,用戶天天升級病毒特徵庫只是給自己增加了一些安全感。所以大多用戶會隔三四天升級一次,也正是因爲這個原因,在長假期中,病毒特徵庫升級計劃可能只能輪循一次,因爲我們不能預計網絡是否會出現問題(升級失敗),所以建議各位調整升級計劃,最好保證每天進行更新,而更新時段的設置也要一反常態,選擇早上7:00~9:00的時段,因爲這個時候大多數人都還在牀上做着美夢。另外,針對不同的防毒軟件,我們可以設置每天對系統的“禁區”,如c:\windows\system32等,部署掃描計劃。
病毒防禦系統的可用性與系統更新需要保持一致,缺一不可。如果不是在假期,管理員通常會利用Windows Update Website或者下載補丁後進行手工更新。但在無人值守的網絡中,這些手工更新就不可能完成了,Software Update Services 是一個用來創建本地安全性補丁分段和批准服務器的免費工具,如圖2的Windows Update Services分類選項),它與 Windows Automatic Updates client 聯合工作,將自動化和控制技術引入 Windows系統的安全性補丁、關鍵更新,安全性累積包的部署過程。另外,部署Systems Management Server 等綜合軟件管理系統都能夠在假期替你完成此項任務。如果你還是憂心忡忡,你可以訂閱Security Bulletin Notification Service(微軟電子郵件通知的免費服務),Microsoft 用它來給用戶發送有關 Microsoft 產品安全性的信息,然後利用遠程管理系統登錄到網絡,進行系統的彌補工作。
![]()
應對法寶之“最少服務+最小特權”
遵從最小服務原則,是保證假期免受***的有效手段之一。關閉最有可能遭受***的網絡服務,如FTP,TELNET、Messenger等,這可以切斷針對這些服務漏洞的病毒感染途徑,如MSBlast和Slammer病毒就是用Messenger服務進行快速傳播的。最少服務原則可以有效地減少遭受***掃描後的後續***,道理很簡單,這在於***對於提供單一服務系統的興趣要低於開放多個服務端口的系統。另外,管理員可以關閉企業網絡中與日常辦公有關服務,比如對內網普通用戶提供的網絡代理、文件共享傳輸等,因爲此時內網用戶的使用率幾乎爲“零”。
與內網訪問相反,網絡外部平臺的安全將作爲假期安全管理的重點。這些服務器和網絡設備及提供的服務仍在假期中需要保持運營,尤其是門戶網站、郵件系統都不可能關閉。事實上,哪些服務需要開啓,哪些服務可以關閉,這都需要根據網絡安全評估的內容來定。不同的網絡承載的服務也有很大區別,我們不可能在一篇文檔中完全說明。大家都知道,網絡安全措施的作用就是用來預防可能存在的網絡危險和彌補安全漏洞,突擊做出一份假期安全防禦報告的做法,對於一些入門時間較短的管理員來說是不可取的,除非能夠知道網絡安全正面臨什麼樣的危險和需要彌補什麼樣的漏洞,這也是我們一直強調網絡安全評估連續性的本質所在。因此,在關閉服務的過程中,一定要保證核心業務的可用性,要充分進行測試。一旦某個環節出現故障,都會影響網絡系統正常運行,回來加班、重新開啓這些服務,都會成爲假期中最讓管理員鬱悶的事情。
前面提到了最少服務原則的注意事項,其實大多數與安全性相關的培訓課程和文檔都討論了“最少服務+最小特權”的益處,我們在這裏也沒必要再重複了。可是在假期中,最小權限原則的使用可以發揮的作用更大,防護效果也最強。比如限定管理員組帳戶的登錄方式,只允許在限定主機系統上登錄(如圖3)。舉個例子來說,企業有多臺服務器,在每臺服務器上的Administrator帳戶的密碼絕對不能相同。可以馬上和你身邊的同事做一個實驗,將他計算機上建立一個和自己本機當前登錄相同的帳戶(密碼相同),你現在就可以直接訪問他的計算機,絕對是不需要任何驗證的。從這個例子中我們看到,將管理員密碼設置相同的後果十分嚴重,因爲假期中任意一臺Server一旦被“黑”,都可能被***或病毒所控制,即所謂的“肉雞”,將對網絡上其他的主機構成再次的安全威脅,也有可能根據管理員留下的足跡迅速掌握防火牆和日誌保護系統。網絡經過了一個假期,就會掌握到別人手裏,多麼可怕的事情!奉勸您要馬上行動起來。
關注遠程管理
在假期當中,爲了避免“重返工作崗位”的痛苦,就需要提供遠程管理服務器資源、遠程修復應用故障,從而避免因爲路途原因,耽擱處理安全事件的最佳時間。可能有的管理員只會在假期的時候部署遠程管理系統(平時是關閉的),在享受輕鬆管理的同時,這些遠程管理應用也帶來了一定的安全隱患,可能一個節日過後,原本安全的防禦體系卻是因爲遠程管理漏洞招惹了***的***,這些漏洞中有系統本身設計的問題,但大多數是重視程度不夠造成的。遠程管理其實只要做到三個方面的防範,就可以有效的避免***事件的發生:
1、 變更默認端口
前面我們已經說了最小服務原則的益處,但因爲我們要實現遠程管理,服務器和網絡設備就避免不了針對遠程管理終端開放一些端口。由於一些遠程管理服務的端口是固定的,所以當在Internet上開啓這些服務的時候,通常會遭受到“端口掃描”軟件的***。利用註冊表或配置文件(Linux下通常是conf文件)的重新配置,完成默認端口的變更,同時再將遠程登錄窗口的Banner重新修改,這些都能有效地減少***的關注程度,避免管理軟件的版本泄漏。
2、 加密訪問通道
很多管理員都知道Telnet本身沒有很好的保護機制,缺陷主要表現在口令保護,遠程用戶的登陸傳送的帳號和密碼都是明文,但依然有人出於方便的想法,將類似服務直接暴露在Internet上,這些做法是非常荒唐的。因爲明文驗證的管理軟件,通常也不提供完整性檢查,傳送數據無法保證是否被篡改過,這些系統本身的劣勢都需要我們在假期遠程管理中得到重視,部署可加密的管理系統是極爲客觀的。而在通用的WEB管理中,如網站後臺管理程序的訪問,完全可以利用證書服務(SSL)來提供保護。
3、 部署AAA服務
我們諮詢了幾個層級掌管多個企業分支網絡的管理員,這些網絡的管理必須、也只能夠通過遠程管理來實現。根據他們的管理方法和建議,採用AAA服務(AAA包括:認證、授權、審計三項功能),不但在假期中可以起到事半功倍的效果,即便在日常管理中也會大大提高網絡的防護等級。
關注物理安全
假期中的安全防護可以不單單是應用安全這一點內容,更多地安全事故都會出現在人們最意想不到的地方,最常見的就是電力系統故障。保證機房的物理安全也十分鐘腰,基本模塊包括:內部環境、供電系統、接地系統、防雷系統、防火系統、防盜防毀、電磁屏蔽、靜電防護、溫度調節、介質存放、其他措施等。通常,專業的IDC機房供電系統都是配備了來自不同電網的雙路高壓供電,在供電電網出現故障時,很短時間內自動轉換到備用電網,有些重要部門也都備有後備柴油發電機,在兩路電網都出現故障時,啓動後備柴油發電機供電,切換全過程可達到無需人爲管理的實現。一個完整的系統中除了UPS系統外,還可能有變壓器、瞬態電壓浪涌抑制器、電網進線開關櫃、負載配電櫃、柴油發電機、交流穩壓器、變壓器、電池系統、各種開關、斷路器、保險、轉插,上百乃至幾百個級連接點和相應的傳輸線。提前與電力工程師一起檢測電力隱患,絕對是一個網管人員盡心盡力的工作表現。
可是我們這些中小網絡的管理員卻不敢有這樣的奢望,如果你想安心度假的話,最好先諮詢電力部門是否會在假期中可能進行線路檢修,另外,提前檢測UPS的可用性恐怕是最直接了當的做法了。例如:提前對UPS放電後重新充電,檢查系統中UPS控制軟件的運行情況等等。還有一種電力故障十分讓我們頭疼,這就是空調在斷電後如何重新啓動的問題。我的機房也曾飽受空調問題的困擾,有一次假期回來,打開房門後一股熱浪撲面而來,由於當時我沒有考慮爲空調單獨設計UPS,瞬時斷電後空調不會自動啓動,也就造成了機房內室溫驟升的後果。根據自己掌握的經驗,我建議有條件的用戶可以爲空調單獨配置UPS,並保證空調可以在UPS控制下自動重啓,對一些高檔的空調(可編程),我們可以設置每天在固定時段重啓,這些笨拙的防範雖然簡陋,但也可解決一時之需。
日誌保護的重要作用
從事網絡安全工作的人都知道,***在***之後都會想方設法抹去自己在受害系統上的活動記錄,如果是帶有商業目的的***只有一個,就是逃脫法律的制裁。如果假期中,你的網絡遭到了毀滅性的***,快速的爲公安部門提供計算機取證(Computer Forensics)資料也就成爲了抓獲***者的最快途徑。計算機取證也可以稱爲計算機法醫學,它是指把計算機看作是犯罪現場,運用先進的辨析技術,對電腦犯罪行爲進行法醫式的解剖,搜尋確認罪犯及其犯罪證據,並據此提起訴訟。這就好比飛機失事後,事故現場和當時發生的任何事都需要從飛機的“黑匣子”中獲取。說到這裏您可能就猜到了,計算機的黑匣子就是自身的日誌記錄系統。現在比較流行的日誌清除工具,大多以命令行方式刪除默認的W3C日誌記錄,所以可以將網站或應用系統的路徑改寫,達到簡單保護的功能。進一步來講,如果距離你的度假時間還比較遠,馬上搭建一臺日誌服務器(如下圖中的log host),將應用系統和網絡設備(防火牆)的日誌重新定位,將我們的網絡也安裝上“黑匣子”,以便不時之需。
備份可擋“萬一”發生
備份恢復階段是指在出現破壞事件後處理事務和數據恢復的全面狀態,是在發生“萬一”之後。它包括在事前,事中,及安全事件對信息系統資源造成重大損失後所採取的行動。實施災難備份方案可不是在假期前的短短几天能夠完成的,實施過程中,要嚴格按照災難備份方案的要求和內容進行,要落實相應的規章制度,要對備份恢復方案進行災難模擬。我看到過很多單位制定的假期網絡安全事件預案,可大部分的內容都如同擺設,在沒有前期備份數據的情況下,這些參與預案制定的人們也就是自己騙自己吧。這是因爲,備份工作量與企業的數據量與類型有着密切的關係,在不影響正常業務的情況下,完全備份系統資源可能要經歷一個較長的時間週期。同時,還必須進行預演,以確認系統恢復能夠應對“萬一”的出現。最後提示各位,在整個測試過程中,應該監視到整個災難恢復的細節進程,從而找到問題所在,只有把問題一一排除,我們的假期才能過得痛痛快快!