【51CTO.com快譯自7月9日外電頭條】仔細(xì)觀察一下那些最嚴(yán)重的企業(yè)安全漏洞，你會(huì)發(fā)現(xiàn)網(wǎng)絡(luò)主管們很明顯在一遍又一遍的犯著同樣的錯(cuò)誤，而且這些錯(cuò)誤都是很容易避免的。

2008年，Verizon Business對(duì)代表了2億8500萬(wàn)次入侵記錄的90種安全漏洞進(jìn)行了分析，其中大多數(shù)有組織的入侵事件都上了新聞?lì)^條。這些犯罪活動(dòng)遍布網(wǎng)絡(luò)，竊取信用卡數(shù)據(jù)、社會(huì)保險(xiǎn)號(hào)碼或其他私人的身份信息。

但令人驚訝的是，這些安全漏洞頻繁發(fā)作的原因竟然是網(wǎng)絡(luò)管理者們忘掉了使用一些簡(jiǎn)單的防護(hù)措施，尤其是對(duì)那些非關(guān)鍵的服務(wù)器。

“我們只是沒(méi)有做到最基礎(chǔ)的工作，”從事安全漏洞審計(jì)工作已有18年之久的Verizon Business創(chuàng)新與技術(shù)副總裁Peter Tippett這樣說(shuō)。他幫助我們整理了一份錯(cuò)誤操作的清單，列出了最容易出現(xiàn)的十項(xiàng)錯(cuò)誤，只要你能夠照著清單來(lái)改正錯(cuò)誤，那么絕大多數(shù)的安全漏洞將不會(huì)影響到你。

1. 沒(méi)有更改所有網(wǎng)絡(luò)設(shè)備的默認(rèn)密碼

Tippett說(shuō)，有些企業(yè)的服務(wù)器、交換機(jī)、路由或者網(wǎng)絡(luò)設(shè)備一直在使用默認(rèn)密碼，而且這種情況常見(jiàn)的“難以置信”，那些通常設(shè)置為“password”或者“admin”的默認(rèn)密碼仍然大量被使用。大多數(shù)CIO們都自以為這個(gè)問(wèn)題絕不會(huì)在他們的公司出現(xiàn)，但是Tippett說(shuō)他每天都會(huì)看到它發(fā)生。

為了避免這個(gè)問(wèn)題，你需要對(duì)每臺(tái)占用IP地址網(wǎng)絡(luò)設(shè)備都進(jìn)行漏洞掃描，而不僅僅對(duì)那些關(guān)鍵的設(shè)備或者上網(wǎng)的系統(tǒng)，Tippett說(shuō)，然后你需要更改它們的默認(rèn)密碼。Verizon Business的研究報(bào)告發(fā)現(xiàn)，去年的入侵統(tǒng)計(jì)中有超過(guò)一半是因?yàn)榫W(wǎng)絡(luò)設(shè)備使用默認(rèn)密碼造成的。51CTO編者注：想了解如何擺脫默認(rèn)密碼困擾，請(qǐng)看細(xì)節(jié)決定安全 杜絕網(wǎng)絡(luò)設(shè)備“默認(rèn)”設(shè)置。

2. 多個(gè)網(wǎng)絡(luò)設(shè)備共享同一個(gè)密碼

IT部門(mén)經(jīng)常在多臺(tái)服務(wù)器中使用相同的密碼，而且有不少人知道這個(gè)密碼。即使這個(gè)密碼的強(qiáng)度可能足夠，但是一旦在多個(gè)系統(tǒng)之間共享，這幾個(gè)系統(tǒng)就都處于危險(xiǎn)之中。

例如，一個(gè)人知道密碼的員工可能會(huì)離開(kāi)公司，在新公司他可能也會(huì)使用相同的密碼。或者比如你把一些非關(guān)鍵系統(tǒng)比如數(shù)據(jù)中心的制冷系統(tǒng)外包給了某公司，而他們就有可能使用他們經(jīng)常使用的密碼。在任何一種情況下，如果密碼被黑客破解，他們就能夠入侵更多臺(tái)服務(wù)器，造成更大的傷害。

3. 沒(méi)有發(fā)現(xiàn)SQL代碼錯(cuò)誤

最常見(jiàn)的一種黑客攻擊就是針對(duì)連接網(wǎng)絡(luò)服務(wù)器的SQL數(shù)據(jù)庫(kù)，據(jù)統(tǒng)計(jì)占到了入侵記錄的79%。黑客的攻擊方法是在Web表格中鍵入SQL命令行。而如果Web表格的編碼正確，它不應(yīng)該接受SQL命令行。但有時(shí)開(kāi)發(fā)者會(huì)犯錯(cuò)，讓SQL注入攻擊有機(jī)可乘。

Tippett說(shuō)，阻止錯(cuò)誤發(fā)生的最簡(jiǎn)單方法是在學(xué)習(xí)（learn）模式中運(yùn)行應(yīng)用防火墻，觀察用戶(hù)是怎樣在field中輸入數(shù)據(jù)，然后在運(yùn)行（operate）模式下設(shè)置防火墻，這樣SQL命令就不會(huì)被注入field中。SQL代碼問(wèn)題非常普遍。Tippett說(shuō)，“如果測(cè)試100臺(tái)服務(wù)器，可能有90臺(tái)服務(wù)器都會(huì)發(fā)現(xiàn)存在SQL注入問(wèn)題?！绷硗釺ippett提醒到，企業(yè)經(jīng)常只注意關(guān)鍵服務(wù)器，而忘記了大多數(shù)黑客是通過(guò)非關(guān)鍵系統(tǒng)入侵網(wǎng)絡(luò)的。

4. 沒(méi)有正確配置訪(fǎng)問(wèn)控制清單

使用訪(fǎng)問(wèn)控制清單來(lái)分割網(wǎng)絡(luò)，這是確保你的系統(tǒng)只和它們需要的對(duì)象相連接的最簡(jiǎn)單方法。例如，如果你允許合作伙伴通過(guò)你的VPN（Virtual Private Network，虛擬專(zhuān)用網(wǎng)絡(luò)）來(lái)訪(fǎng)問(wèn)兩臺(tái)服務(wù)器，你應(yīng)該使用訪(fǎng)問(wèn)控制清單來(lái)確保合作伙伴只能訪(fǎng)問(wèn)這兩臺(tái)服務(wù)器。這樣即使有黑客通過(guò)開(kāi)放的VPN入口入侵了你的網(wǎng)絡(luò)，他也只能得到這兩臺(tái)服務(wù)器上的數(shù)據(jù)。

“罪犯?jìng)兘?jīng)常會(huì)通過(guò)VPN入侵網(wǎng)絡(luò)，并且能夠得到所有權(quán)限，”Tippett說(shuō)。Verizon的報(bào)告顯示，如果正確配置了訪(fǎng)問(wèn)控制清單，那么去年的入侵事件中將有66%得到保護(hù)。CIO們不采取這種簡(jiǎn)單措施的原因是要將路由作為防火墻，許多網(wǎng)絡(luò)管理者也不想這樣做。

5. 允許不安全的遠(yuǎn)程訪(fǎng)問(wèn)和管理軟件

黑客入侵網(wǎng)絡(luò)的最常用手段之一是利用遠(yuǎn)程訪(fǎng)問(wèn)和管理軟件包，比如PCAnywhere、Virtual Network Computing（VNC）或者Secure Shell（SSH）。這些軟件通常都缺乏最基本的安全防護(hù)措施，比如密碼就不夠強(qiáng)大。

發(fā)現(xiàn)這種問(wèn)題的最簡(jiǎn)單方法是對(duì)整個(gè)IT地址空間進(jìn)行外部掃描，尋找PCAnywhere、VNC或者SSH的流量。一旦你發(fā)現(xiàn)了這些軟件，要對(duì)它們部署額外的安全措施，比如在密碼之外另加證書(shū)等方式。另一種方法是掃描外部路由器的Netflow數(shù)據(jù)，查找網(wǎng)絡(luò)內(nèi)是否存在遠(yuǎn)程訪(fǎng)問(wèn)管理操作的流量。

這個(gè)問(wèn)題非常普遍，在Verizon Business報(bào)告的入侵統(tǒng)計(jì)中占到了27%。

6. 沒(méi)有測(cè)試非關(guān)鍵應(yīng)用的基本漏洞

根據(jù)Verizon Business的報(bào)告，將近80%的黑客攻擊是因?yàn)閃eb應(yīng)用存在安全漏洞。網(wǎng)絡(luò)管理者們也知道最大的弱點(diǎn)就在于Web應(yīng)用，因此他們不遺余力的測(cè)試關(guān)鍵的應(yīng)用和面向互聯(lián)網(wǎng)的系統(tǒng)。

但問(wèn)題是黑客攻擊的卻是那些網(wǎng)絡(luò)內(nèi)部的非關(guān)鍵系統(tǒng)的安全漏洞。Tippett說(shuō)，“主要問(wèn)題是我們瘋狂的測(cè)試那些關(guān)鍵的Web應(yīng)用，卻忽視了那些非關(guān)鍵的應(yīng)用”。他建議網(wǎng)絡(luò)管理者應(yīng)該對(duì)所有應(yīng)用的基本漏洞都進(jìn)行測(cè)試。

“人們總是過(guò)于關(guān)注關(guān)鍵的應(yīng)用，但是罪犯?jìng)儾粫?huì)管什么關(guān)鍵什么不關(guān)鍵，他們只挑最容易的下手，”Tippett說(shuō)。

7. 沒(méi)有充分保護(hù)服務(wù)器遠(yuǎn)離惡意軟件

Verizon Business的報(bào)告說(shuō)服務(wù)器上的惡意軟件占到了所有安全漏洞的38%。大多數(shù)惡意軟件是被遠(yuǎn)程攻擊者安裝的，用來(lái)捕獲數(shù)據(jù)。某些惡意軟件可以自定義，因此防病毒軟件無(wú)法識(shí)別。對(duì)于網(wǎng)絡(luò)管理者來(lái)說(shuō)，一種在服務(wù)器上查找惡意軟件比如木馬或間諜軟件的方法是在每臺(tái)服務(wù)器上本地運(yùn)行入侵檢測(cè)系統(tǒng)軟件，當(dāng)然不僅僅是針對(duì)關(guān)鍵服務(wù)器。

Tippett推薦了一種可以阻止這類(lèi)攻擊的簡(jiǎn)單方法：鎖定服務(wù)器，讓新的應(yīng)用軟件無(wú)法在這些服務(wù)器上運(yùn)行。“很多網(wǎng)絡(luò)管理者們不喜歡這么做，因?yàn)樗麄兛傁胫院罂赡軙?huì)安裝新的軟件。但我要告訴他們的是，到時(shí)候再解鎖，然后安裝新軟件，然后再重新鎖定。”

8. 沒(méi)有讓路由禁止不必要的外部流量

惡意軟件的一種常用做法是在服務(wù)器上安裝后門(mén)或命令外殼。有一種阻止它們的方法是使用訪(fǎng)問(wèn)控制清單分割網(wǎng)絡(luò)。這種方法可以阻止服務(wù)器發(fā)送不該發(fā)送的流量。例如，電子郵件服務(wù)器應(yīng)該只發(fā)送郵件流量，而不是SSH流量。另一種辦法是讓路由默認(rèn)拒絕出口過(guò)濾，阻止所有出站流量，除了那些你安排離開(kāi)的。
“只有2%的企業(yè)這樣做。令我困惑的是另外的98%為什么不這么做。”Tippett說(shuō)，“默認(rèn)拒絕出口過(guò)濾是非常簡(jiǎn)單的?！?/P>

9. 不知道信用卡或其他關(guān)鍵用戶(hù)數(shù)據(jù)存儲(chǔ)在哪里

大多數(shù)企業(yè)自認(rèn)為他們知道關(guān)鍵數(shù)據(jù)比如信用卡信息、社會(huì)保險(xiǎn)號(hào)碼或者其他私人身份信息等等的存儲(chǔ)位置，他們對(duì)這些服務(wù)器設(shè)置最高級(jí)別的安全防御措施。但是往往這些數(shù)據(jù)還會(huì)存儲(chǔ)在網(wǎng)絡(luò)的其它地方，比如備份站點(diǎn)或者軟件開(kāi)發(fā)部門(mén)。

這些第二等級(jí)的非關(guān)鍵服務(wù)器經(jīng)常遭到攻擊，導(dǎo)致絕大多數(shù)的數(shù)據(jù)泄露。查找關(guān)鍵數(shù)據(jù)存儲(chǔ)位置的一種簡(jiǎn)單方法是進(jìn)行網(wǎng)絡(luò)探測(cè)?！拔覀兺ǔ?huì)在網(wǎng)絡(luò)上設(shè)置嗅探器，查找關(guān)鍵數(shù)據(jù)可能存在的位置，還要觀察它們可能流向哪里。”Tippett說(shuō)。

10. 沒(méi)有遵守支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)

支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）為保護(hù)持卡人信息設(shè)置了12條控制條款，Tippett說(shuō)，“然而大多數(shù)用戶(hù)甚至沒(méi)有試著去達(dá)到PCI標(biāo)準(zhǔn)?！庇袝r(shí)，企業(yè)會(huì)遵循這些標(biāo)準(zhǔn)來(lái)管理他們已知的存儲(chǔ)信用卡數(shù)據(jù)的服務(wù)器，但對(duì)其他未知的服務(wù)器卻無(wú)法控制。

Verizon Business的報(bào)告顯示，盡管入侵記錄中有98%涉及到盜取支付卡數(shù)據(jù)，但是這些遭受入侵的企業(yè)中僅有19%遵守了PCI標(biāo)準(zhǔn)?！昂茱@然，遵循PCI規(guī)定，它們絕對(duì)可以保護(hù)你?！盩ippett最后說(shuō)。

【網(wǎng)管必讀】

1. 讓你不差錢(qián)的9款開(kāi)源網(wǎng)管工具(組圖）
2. 網(wǎng)管必備局域網(wǎng)常見(jiàn)十大錯(cuò)誤及解決
3. 管理員福音：十大必備網(wǎng)站服務(wù)器工具軟件
4. 十大被忽視的優(yōu)秀免費(fèi)網(wǎng)管軟件
5. 網(wǎng)管秘籍 審核網(wǎng)絡(luò)安全的十大必備工具
6. 10種常見(jiàn)網(wǎng)管錯(cuò)誤

【51CTO.com譯稿，非經(jīng)授權(quán)請(qǐng)勿轉(zhuǎn)載。合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com，且不得修改原文內(nèi)容?！?

原文：The 10 dumbest mistakes network managers make             作者：Carolyn Duffy Marsan