只需五招!保障远程网络连接安全

  • 来源: eNet硅谷动力 作者: xuqingzhong   2008-12-22/10:40
  •  

     

     

     

        木桶原理不仅在现实生活中有参考价值,在企业网络安全管理中,也有非常大的实用价值。木桶最大容量不是由其最长的木板决定,而是其最短的木板决定。在企业网络安全中,整个网络的安全状态也是由其最薄弱的一个环节所决定的。而根据最新的官方调研报告显示,远程连接的安全性是影响企业网络安全的一个重要杀手。以至于不少对安全要求比较高的企业,都把一些重要的应用跟网络独立开来,以建立一个干净的网络环境。

    一般网络管理员在组建企业内部网络的时候,都是出于一个“信任”的原则组建网络。平时把眼光都放在企业内部网络跟外部网络的交接点上,而忽视了来自于企业内部的安全威胁。有一个企业安全管理人员不乐意接受的数据,提示了他们的这一“愚蠢”的行为。75%以上的安全事故都是由企业内部人员所引起的。

    可见,保障内部员工远程网络连接的安全性,已经成为了我们网络安全管理的重头戏。其实,这项工作也没有大家想得那么复杂。一般情况下,只需要短短的五招就可以提高其远程连接的安全性。

    招数一:安全审计

    不少企业的IT制度中,可能有详细的安全管理规定。如客户主机必须设置密码;每隔一段时间要更改密码;密码要保持一定的复杂性;员工之间不能够调换使用电脑等等。但是,效果不怎么明显。为什么会如此呢?这主要是执行起来不利。

    如笔者以前也定义过这么一套安全制度,可惜的是,能够严格贯彻执行的少之又少。这主要是员工没有安全观念。因为通过其他的电脑来访问他们电脑中的资源,这对于他们来说,是不可想象的。这就好像放在家来的钱,小偷可以不用进他们的门就拿到。由于没有受过专业的教育,他们认为这是不可能完成的任务。所以,就会放松警惕。认为只要电脑在自己的旁边,里面的资料就是安全的。

    在这种错误观念的影响下,他们很少会关注密码的重要性。有些时候,几年下来都不会更改密码。或者说,连密码都懒得设。这就给远程连接埋下了一个安全隐患。我们都知道,远程连接侵入的一个必要条件就是知道管理员用户的账号与密码。现在有不少的工具可以扫描企业网络的主机,并进行密码测试。若员工主机没有设置管理员密码或者设置的比较简单,如123456,则经过扫描工具一扫,就会一览无遗的显示在不法攻击者面前。

    笔者现在学聪明了,采用利用一些安全审计工具,来保障这些措施落实。如笔者通过组策略,来强制实现密码的安全性。通过微软的组策略,可以强制实现密码的复杂性验证;可以拒绝使用空密码;可以强制让用户每隔一段时间更改密码等等。通过这些安全审计工具,就可以把一些纸面上的安全管理制度落实到实处。

    所以,虽然说员工之间的相互信任是提升企业管理团队的一个重要因素。但是,在企业网络安全管理中,最好还是不要相信员工会自觉的去执行相关的安全制度。要通过一切可以通过的手段,去强制落实这些安全法则,这才是聪明之举。

        招数二:禁用Schedule服务

    当非法攻击者进行远程攻击之时,首先要获得主机的管理员用户与密码。然后,会往主机上上传一段代码或者非法程序。通过Schedule服务,在一个固定的时刻执行这个代码,从而实现他不可告人的目的。

    如以前出现过一个Backdoor病毒。这个病毒为后门类的木马病毒。这个病毒运行后,会复制到操作系统的目录下,衍生病毒文件。他主要是修改注册表中Schedule服务的值,实现随机启动的目的。当病毒启动的时候,会自动连接一些恶意网站,下载其他的病毒与木马。其他人就可以通过这个后门,控制这台主机,以获取他们想要了解的内容。当其他员工获知管理员密码之后,就可以把这个病毒放到其他员工主机上。然后通过Schedule服务指定其启动的时间。如此的话,他就可以在神不知鬼不觉的情况下,控制员工主机。

    所以,要实现远程攻击的话,还必须有Schedule服务的支持。Schedule服务主要是让用户能够在主机上配置和制定自动任务的日程。如在某个时候自动执行某个程序等等。如果禁止这个服务的话,某些任务将无法在日程时间里运行;任何依赖它的服务都将无法启动。

    通常情况下,若员工主机上没有安装一些特殊应用,如SQL Server服务器等等,这个服务用户也不大。故笔者建议,普通员工的主机可以把这个服务禁用掉,以降低被远程攻击的危险。

    招数三:确保IPC$连接的安全

    IPC$是共享命名管道的简称。它是为了让进程间通信而开发的命名管道,可以通过验证用户名和密码而获得相应的权限,实现远程管理计算机和查看计算机的资源。如在2000的主机上,默认是开启了这个共享。用户只需要知道管理员与密码,就可以查看这台主机的所有资源。所有IPC$共享也是一种很危险的远程连接方式。

    其实,虽然说关掉IPC$默认共享是保障其安全性的一个最彻底的方法。但是,有不少管理员仍然希望开通整个服务。如此,他们直接可以对员工主机进行远程管理。那我们该如何提高整个服务的安全性呢?

    要利用这个漏洞进行攻击的话,必须同时满足四个条件。一是操作系统的条件。IPC$服务只有在NT以上的操作系统中存在,其他的操作系统中没有这个服务。二是防火墙过滤掉了139或者445端口。若要利用IPC$连接的话,则必须开通这两个端口,否则的话,连接就会被拒绝。三是关闭这个IPC$默认共享服务。当禁用掉这个服务后,当然也就无法使用这个漏洞了。四是知道管理员用户与密码。如用户名密码不对的话,员工也是连不上其他主机的电脑。从这里也可以看出,用户名密码安全的重要性。

    需要注意的是,以上四个条件必须同时满足。若有一个没有满足的话,则就不能够使用IPC$服务连接到其他员工的主机上。若你想提高IPC$服务的安全性,则只需要把上面的某个条件取消掉即可。如可以提高密码的安全性,或者通过防火墙禁用掉特定端口等等,就可以提高IPC$连接的安全性。

        招数四:防火墙,给主机配置一个安全大门

    防火墙对于企业网络的安全具有非常大的作用。无论是硬件防火墙,还是软件防火墙,其主要有两个重要的功能。一是允许或者禁止哪些程序访问网络,二是允许或者禁止通过哪些端口访问。通常情况下,利用防火墙的默认配置即可以保障企业网络安全的需要。如有特殊的安全考虑的话,则可以通过手工调整以实现企业的特殊需求。

    如笔者基本上是通过远程对各个员工主机进行维护。所以,提高远程连接的安全性就是笔者所关注的问题。笔者的做法就是通过防火墙,指定只有笔者主机的MAC地址才可以连接到其他员工主机进行远程管理。其他任何一台主机都不行。通过这种方式,就限制了远程连接的身份,从而提高了远程连接的安全性。

    招数五:基于策略建立远程连接

    在没有充分理由的情况下,最好关闭远程连接的功能。若有必要使用的话,则最好为此建立一套安全机制与安全策略。而不能够简单的凭着对员工的信任,认为他们不会对网络进行恶意攻击。或者说,认为他们没有这个能力进行攻击等等。

    其实,现在针对远程攻击,如IPC$攻击,网上一找,可以找到很多的攻击案例。最可怕的是,很多都实现了傻瓜式的攻击。就像安装操作系统一样,只要按照其提示,一步步的做下去,就可以完成连接、上传代码、远程执行等功能。这就让一些没有计算机背景的普通员工,也可以当一回黑客。

    所以,企业在有远程管理需要的情况下,要为此设置一些安全策略。而不是简单的凭着对员工的一种信任,就放任不管了。


    评论 {{userinfo.comments}}

    {{money}}

    {{question.question}}

    A {{question.A}}
    B {{question.B}}
    C {{question.C}}
    D {{question.D}}
    提交

    驱动号 更多