《服务器安全需要了解的123》由会员分享,可在线阅读,更多相关《服务器安全需要了解的123(15页珍藏版)》请在金锄头文库上搜索。
1、服务器安全需要了解的123,1.DNS 系统漏洞被泄露,小心被攻击 2.保护Win2003网络服务器安全 3.网络安全检测思路与技巧,1.DNS 系统漏洞被泄露,小心被攻击,尽管 Dan Kaminsky 努力掩盖他所发现的 DNS 严重漏洞的细节,Matasano 安全公司的一个员工还是在他的博客上泄露了这些资料,虽然文章被立即删除,但已经有人拿到了这些资料,并发表在别的地方。Kaminsky 在他的博客上发表了一个紧急消息,赶快打补丁,别睡觉,使用 OpenDNS. HD Moore,Metasploit 的作者说,黑客们正在加紧制作攻击工具,今天的晚些时候会有攻击出现。本月初,IOAct
2、ive 的 Kaminsky 公布了 DNS 系统的一个非常严重的漏洞,该漏洞会导致攻击者轻松地伪造任何网站,银行网站,Google,Gmail 以及其它 Web 邮件网站。,Kaminsky 是在同多个 DNS 系统商共同开发安全补丁的时候发现了这个漏洞。Kaminsky 在记者会宣布了这个由多家厂商共同开发的 DNS 补丁,并呼吁 DNS 服务器所有者立即更新他们的系统。 但 Kaminsky 在宣布这个漏洞的时候,没有透露相关技术细节,以便 DNS 系统管理员知道其严重性,Kaminsky 承诺会在下月的 Las Vegas 黑帽安全大会上透露漏洞细节,在这之前,他给 DNS 系统管理员
3、预留了一个月的时间升级系统。Kaminsky 同时恳求那些安全专家不要试图猜测漏洞的细节,但很多人将他的恳求当作一个挑战。,德国的安全专家 Halvar Flake 最先发表了漏洞细节,Kaminsky 曾被要求私下里公布细节,帮助那些系统管理员升级系统,同时,一些系统管理员以及安全专家指责 Kaminsky 是在拿那些过去的众所周知的 DNS 漏洞炒作。 Matasano 的创始人Thomas Ptacek 也曾置疑过 Kaminsky 的发现,然而当 Kaminsky 私下里向他透露过漏洞细节之后便不再出声。Ptacek 并没有参与漏洞细节的公布,但作为 Matasano 的创始人,他仍然
4、发表了一个声明为这件事道歉。,Kaminsky 发现的 DNS 漏洞会让黑客在 10 秒之内发起一个“缓存毒药攻击”,使 DNS 服务器将用户引导到恶意网站。Kaminsky 说,这是一个非常严重的 Bug,会影响到任何网站,Kaminsky 不打算向 Matasano 追究到底细节到底是如何泄露的,但呼吁人们立即升级 DNS 系统。,2.保护Win2003网络服务器安全,一、Windows Server2003的安装 1、安装系统最少两需要个分区,分区格式都采用NTFS格式2、在断开网络的情况安装好2003系统3、安装IIS,仅安装必要的 IIS 组件(禁用不需要的如FTP 和 SMTP 服
5、务)。默认情况下,IIS服务没有安装,在添加/删除Win组件中选择“应用程序服务器”,然后点击“详细信息”,双击Internet信息服务(iis),勾选以下选项:Internet 信息服务管理器;公用文件;后台智能传输服务 (BITS) 服务器扩展;万维网服务。如果你使用 FrontPage 扩展的 Web 站点再勾选:FrontPage 2002 Server Extensions4、安装MSSQL及其它所需要的软件然后进行Update。5、使用Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer) 工具分析计算机的安全配置,并标识缺
6、少的修补程序和更新。下载地址:见页末的链接,二、设置和管理账户,1、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。2、新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入组合的最好不低于20位的密码3、将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码,当然现在也有一个DelGuest的工具,也许你也可以利用它来删除Guest账户,但我没有试过。4、在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置
7、-账户策略-账户锁定策略,将账户设为“三次5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。如果你使用了A还要保留Aspnet账户。 7、创建一个User账户,运行系统,如果要运行特权命令使用Runas命令。,三、网络服务安全管理,1、禁止C$、D$、ADMIN$一类的缺省共享打开注册表,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters,在右边的窗口中新建Dword值
8、,名称设为AutoShareServer值设为02、 解除NetBios与TCP/IP协议的绑定右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS3、关闭不需要的服务,以下为建议选项Computer Browser:维护网络计算机更新,禁用Distributed File System: 局域网管理共享文件,不需要禁用Distributed linktracking client:用于局域网更新连接信息,不需要禁用Error reporting service:禁止发送错误报告Microsoft Serch:提供快速的单词搜索,
9、不需要可禁用NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用 PrintSpooler:如果没有打印机可禁用Remote Registry:禁止远程修改注册表Remote Desktop Help Session Manager:禁止远程协助,四、打开相应的审核策略,在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情
10、况在这二者之间做出选择。推荐的要审核的项目是:登录事件 成功 失败账户登录事件 成功 失败系统事件 成功 失败策略更改 成功 失败对象访问 失败目录服务访问 失败特权使用 失败next,五、其它安全相关设置,1、隐藏重要文件/目录可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFolderHi-ddenSHOWALL”,鼠标右击“CheckedValue”,选择修改,把数值由1改为0 2、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。 3
11、、防止SYN洪水攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值,名为SynAttackProtect,值为2 4. 禁止响应ICMP路由通告报文 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters Interfacesinterface 新建DWORD值,名为PerformRouterDiscovery 值为0 5. 防止ICMP重定向报文的攻击,3.网络安全检测思路与技巧,对于主机的安全检测,我们通常直接采用n
12、map或者类似软件进行扫描,然后针对主机操作系统及其开放端口判断主机的安全程度,这当然是一种方法,但这种方法往往失之粗糙,我仔细考虑了一下,觉得按下面的流程进行判别是比较完整的。 1、通过DNS查询得到目标的网络拓扑基本情况,比如有几台主机,各自起的服务是什么等等。这是必要的步骤因为我们检测应该针对网络,而不是单一主机。,2、用nmap进行端口扫描,判断操作系统,结合自己的一些经验,必要的时候抓banner,判断出目标主机的操作系统类型。 3、用nessus进行普通漏洞的扫描,得到一个大致的报告。对报告进行分析。nessus的报告有些地方并不准确,而且有漏扫或误报的情况,比如严重的unicod
13、e漏洞机器明明有,它却会扫不到,对这种情况我们必须有人工的判断。,4、cgi漏洞也必须有专门的扫描器进行,可以结合whisker或者twwwscan或者xscan,自己判断需要增加哪些危险cgi的检测。 上面只是最简单的,任何一个初学电脑的人可能都能够较好完成的工作流程,但是如果在上面的各种扫描方式得到的信息无法分析出目标操作系统的情况甚至系统类型的时候,应该怎么办呢?这种事情现在经常遇到,因为大多数防火墙或者入侵检测系统现在都具备了动态地将tcp/ip协议栈如TTL、TOS、DF、滑动窗口大小等修改或者屏蔽,使扫描工具无法得出正确结果的功能。互联网上也有许多免费工具可以达到这一效果。,因此下
14、面要谈到其它检查方式,1、在有防火墙的情况下:建议可以使用如hping、firewalk之类的工具,更加灵活地探测目标主机的情况,根据数据包的返回做更进一步的判断。这需要操作者掌握TCP/IP基本知识,并能灵活运用判断。 2、对主页程序的检测,虽然我们只能在外面做些基本的输入验证检测。但按照现在常见的web错误,我们可以从下面几个方面着手分析: a、特殊字符的过滤: &;“ *?()$nr 这些字符由于在不同的系统或运行环境中会具有特殊意义,如变量定义/赋值/取值、非显示字符、运行外部程序等,而被列为危险字符但在许多编程语言、开发软件工具、数据库甚至操作系统中遗漏其中某些特殊字符的情况时常出现
15、,从而导致出现带有普遍性的安全问题。当有需要web用户输入的时候,根据不同的数据库系统、编程语言提交带不同参数变量的url,很可能造成服务器端资料泄露甚至可执行系统命令。,b、WEB服务器的错误编码或解码可能会导致服务器信息的泄露、可执行命令、源代码泄露等错误。比较典型的应该是unicode漏洞以及各种iis服务器、apache服务器的源代码泄露漏洞。 台湾服务器 http:/ server本身的问题;但网站应用程序的编写者也可能犯下同样的错误,就是对户输入不加验证。但这方面的错误比较不容易试出来。 通过这样一个过程,应该说在远程扫描,没有本地帐号或者权限的情况下,能够搜集到尽量多的信息了。当然,主机面临的并非是远程风险,还需要具体分析。,
