解析六項內網安全威脅
企業網絡安全管理員十分注重對于外網對企業的危害,不論是部署安全網關還是其他防護產品,其最終目的都是使得企業不受到網絡安全危害。但提升外網防護的同時,管理員應當注重企業內網安全的防護。本篇文章通過內網設計中的一些弊病,解析六項內網安全威脅,希望廣大的安全管理員能夠更加注重內網安全。
內網安全威脅一:客戶端補丁升級依賴于員工的自覺
現在企業中大部分用戶采用的都是Windows客戶端。而這個客戶端的特點就是補丁特別的多,包括IE補丁、Offcie辦公軟件補丁等等。如果不及時打上補丁的話,則很容易病毒利用,成為其傳播的便捷渠道。不過可惜的是,有不少的IT 負責人不重視補丁方面的管理與控制。如有些管理員,純粹依靠用戶的自覺,來進行補丁的管理。如在客戶端上通過自動更新服務來對給系統打補丁。采取這個操作是,需要客戶端用戶的手工操作。如需要進行手工確認是否需要進行補丁升級、升級完成后可能還需要重新啟動等等。現實的情況是有些用戶認為這么操作比較麻煩,為此都不會自覺的去升級補丁。如此的話,就給內網的安全造成了比必要的安全隱患。
為此筆者建議,對于補丁的管理,最好采取統一的解決方案。如微軟有一個補丁管理的工具,可以在服務器上控制強制對客戶端系統打補丁。如在下次啟動之前給系統自動打補丁等等。這么設計即可以保障內部網絡的安全,也可以對用戶的不利影響降至到最低。總之筆者認為,最好不要將補丁更新的權利交給用戶。大部分用戶并不會正確行使這個權力。
內網安全威脅二:自簽名證書不兼容會惹禍
IE瀏覽器一直是微軟操作系統與服務器的安全重災區。其中用戶的不正確設置是其總要的一個原因。微軟為了改善這種情況,在微軟的一些產品中,如Exchange中加入了自簽名證書。簡單的說,就是當企業用戶沒有采取任何安全措施的話,那么系統就會自動啟用自簽名證書,以啟用一定的安全加密機制,如SSL加密等等。
這種默認的安全措施在一定程度上提高了系統應用的安全性。特別是對于那些沒有安全觀念的用戶來說,能夠啟動不少的幫助。但是到現在為止,這個自簽名證書的作用只限于微軟的產品。如企業現在使用的是Exchange的服務器,然后采用IE瀏覽器去訪問這個郵箱的話,沒有問題。但是如果采用其他的瀏覽器去訪問的話,就可能會出現不兼容的問題。如瀏覽器會提示用戶系統并不信任這一類的證書。有些管理員為了減少這種麻煩,就索性將自簽名證書的功能也禁用掉。這無疑減弱了企業內部網絡服務器的安全性。
內網安全威脅三:不注重后續的追蹤
有不少的企業,在網絡設計與組建時,非常關注企業內部網絡的安全。如禁用不必要的服務、禁止使用移動設備等等。但是在這方面他們也存在著一定的誤區。就是非常重視前期的設計與配置,但是卻缺少后續的追蹤機制。
如對于文件服務器來說,企業可能有比較安全的權限訪問機制等安全措施。但是卻缺少訪問審核機制。也就是說無法判斷這個安全措施是否到位,也無法分析用戶是否存在著越權的訪問。在這種情況下,可能只有在最后出現問題的時候,才能夠發現這方面的不足。筆者建議,在前期做好安全設計與相關的配置固然重要,但是在后續日常工作中也需要最好追蹤分析的工作。當發現原有的配置跟不上企業安全的需求時,需要進行及時的調整。如對于文件服務器來說,可以啟用審計功能。將用戶的未經授權的訪問都記錄在案。然后對這個數據進行分析,以判斷用戶可能的攻擊行為。
內網安全威脅四:沒有使用逆向代理來減少端口的開銷
隨著企業信息化管理的普及,現在企業越來越不滿足于內部用戶使用企業的信息化系統。如有些企業可能會在外地開設辦事處。企業就希望這些辦事處的人員也能夠訪問企業內部的服務器。再如為了出差在外的員工工作的方便,也允許他們從公共網絡連接企業內部的服務器。
如果要允許企業內部的服務器被外部用戶通過互聯網進行訪問,那么就必須要在防火墻上開啟多個端口。而這種情形就會增加企業內部的安全隱患。道理很簡單,這就好像是開一幢房子開了多個門。管理員無法兼顧到多個門的安全。如企業部署了微軟的即時通信套件。如果需要允許外部用戶使用這個即時通信服務器的話,那么就需要在防火墻上開啟十幾個端口。這無疑大大降低了企業內部網絡的安全性。當遇到這種情況是,筆者建議使用逆向代理機制。逆向代理的服務器一般位于互聯網和本地需要開發多個端口的服務器之間,基本上跟防火墻服務器是并列的。采用逆向代理的話,可以讓服務器在進入外網前先隱藏起來,同時還可以保障外部的惡意請求不會到達服務器。在安全方面,跟NAT技術有異曲同工之妙。不過從管理成本與性能開銷上來說,要比NAT服務器低很多。
內網安全威脅五:在同一個服務器上部署過多的應用程序
在同一個服務器上部署多個應用程序,這種情況在企業中也是司空見慣的事情。這雖然可以在一定程度上降低企業信息化部署的成本,但是也增加了服務器的安全隱患。假設現在一家企業的一個服務器上部署了三種應用,此時包括操作系統在內的話,其實就有四種信息化系統。如果一種信息化系統存在2個安全漏洞的話,那么這臺服務器現在就有了8個漏洞。如果沒有采取嚴格安全措施的話,那么攻擊者只要利用其中的任何一個漏洞,就有可能竊取服務器上的內容,甚至控制服務器。
這就好像一條鏈條。如果鏈條上的一個個環越多,其安全性能相對來說就越差。因為任何一個環斷掉的話,整條鏈條就會報廢掉。而環越多的話,則出現斷掉的可能性就會越大。總的來說,企業如果需要在一臺服務器上部署多個應用程序并不是不行,但是在數量上需要有所限制。一般情況下不要超過三個。同時對于一些重要的應用,如數據庫等的功能,最好采取單獨的應用服務器,以保障其安全。而且還需要采取一些必要的措施,如虛擬CPU等技術,來給多個應用程序提供相對獨立的工作環境。
內網安全威脅六:對郵件等需要授權的訪問沒有采取SSL加密機制
企業中不少的信息化系統需要授權才能夠進行訪問。如對于郵件系統,用戶只能夠訪問自己的郵箱。對于文件服務器,也只能夠訪問授權允許訪問的文件。而這些控制,基本上都是通過用戶名與密碼來進行限制的。
在內部網絡中,先主要采用的是HTTP與HTTPS兩種訪問機制。前者HTTP其特點是對于傳輸中的數據沒有進行任何的加密措施。即用戶名與密碼在網絡中都是明文傳輸的。如此的話,通過網絡嗅探器等工具,就可以輕而易舉的竊取到用戶的用戶名與密碼。從而進行破壞活動。而如果用戶名與密碼信息泄露的話,最好的安全措施也無濟于事。筆者的建議是,對于一些重要的應用,如郵件、文件服務器等等,最好采用HTTPS協議。這個協議的特點是在數據傳輸過程中采用SSL加密機制對數據進行加密,以確保用戶名與密碼的安全。
上面筆者提到的六個弊病并不能夠包含內網安全管理中所有的內容。但是絕對是比較經典的一些問題。各位可以針對企業自己的實際情況,來進行自我檢查。對于內部網絡安全來說,要重在預防。
【編輯推薦】
