设备的安全始终是信息网络安全的一个重要方面,攻击者往往通过控制网络中设备来破坏系统和信息,或扩大已有的破坏。网络设备包括主机(服务器、工作站、PC)和网络设施(交换机、路由器等)。
一般说来,一次网络攻击的成功与否取决于三个因素:攻击者的能力(capability);攻击者的动机(motivation);攻击者的机会(opportunity)。正常情况下,普通用户是无法削弱攻击者的能力和动机这两个因素的,但是有一点我们可以做到:那就是尽量减少他们的攻击机会。
对网络设备进行安全加固的目的就是减少攻击者的攻击机会。
用户按照其信息保护策略(Information Protection Policy,IPP)购入(或采用其它方式获得)并部署好设备后,设备中的主要组成系统,包括操作系统、软件配置等,往往在一定时间段内是保持相对稳定的。在这段时间内,如果设备本身存在安全上的脆弱性,则它们往往会成为攻击者攻击的目标。这些设备的安全脆弱性包括:
1.提供不必要的网络服务,提高了攻击者的攻击机会
2.存在不安全的配置,带来不必要的安全隐患
3.不适当的访问控制
4.存在系统软件上的安全漏洞
5.物理上没有得到安全存放,容易遭受临近攻击(close-in attack)
1.提供不必要的网络服务,提高了攻击者的攻击机会
2.存在不安全的配置,带来不必要的安全隐患
3.不适当的访问控制
4.存在系统软件上的安全漏洞
5.物理上没有得到安全存放,容易遭受临近攻击(close-in attack)
针对这些安全弱点,我们提出如下几点设备的安全加固技术建议:
◆ 禁用不必要的网络服务◆ 修改不安全的配置◆ 利用最小特权(Least-Privilege)原则严格对设备的访问控制◆ 及时对系统进行软件升级◆ 提供符合IPP要求的物理保护环境
◆ 禁用不必要的网络服务◆ 修改不安全的配置◆ 利用最小特权(Least-Privilege)原则严格对设备的访问控制◆ 及时对系统进行软件升级◆ 提供符合IPP要求的物理保护环境
一. 禁用不必要的网络服务
在系统的详细设计阶段,对网络中每个设备的功能就应该有了明确的定义。在方案实现阶段中的设备部署过程中,应该根据设计阶段的定义确定设备应提供的网络服务,对于设计定义之外的网络服务应该禁用。不必要的网络服务只会为攻击者提供更多的攻击途径和门户。
在系统的详细设计阶段,对网络中每个设备的功能就应该有了明确的定义。在方案实现阶段中的设备部署过程中,应该根据设计阶段的定义确定设备应提供的网络服务,对于设计定义之外的网络服务应该禁用。不必要的网络服务只会为攻击者提供更多的攻击途径和门户。
除此之外,有两点应该着重注意:设备缺省配置和已知的不安全服务。 很多设备(或其中软件系统)为了方便用户应用,都会有一个出厂缺省配置。一定要根据系统的详细设计文档仔细核对设备提供的网络服务,禁用不该有的缺省服务。
其次,要经常查询访问一些安全资源,了解其中发布的软件安全漏洞,如果真的涉及到设备上必须提供的网络服务,就应该:
- 及时打上补丁(钉);
- 或禁用该服务;
- 或更换设备;
- 或利用深层防御(Defense-in-Depth)机制补救。
二.修改不安全的配置
如果对系统配置不加以审查,也可能引发安全问题。比如有些数据库系统的出厂配置有很多个用户帐号,这些帐号对用户实际的应用也许并无实际意义,但却可能为攻击者提供一个入口;再比如,设备出厂时一般都会有一个管理员帐户,并配有一个口令字,有些用户甚至不改变这些缺省口令字。还有些配置可能因为安全强度不够,比如管理员采用了一个很简单的口令字,也容易被暴力(brute force)攻破。
以详细设计文档为基础,仔细核对设备的配置参数。对可能引起系统安全问题的配置参数一定要修改,无论是系统缺省配置还是用户的新配置。
以详细设计文档为基础,仔细核对设备的配置参数。对可能引起系统安全问题的配置参数一定要修改,无论是系统缺省配置还是用户的新配置。
这部分工作在实践中可能有很大的技术难度,因为影响系统安全的参数并不都局限在系统的安全参数类别中,它们可能分布在系统的各个应用之中,这就要求管理人员有非常好的协议、系统及安全知识背景。比如如何修改设备配置以防范一个ARP欺骗攻击;如何配置一个路由器以使它不接受一个恶意的路由欺骗信息;如何在系统负载过重时有选择性的丢包等等。
一个好的系统配置可以避免很多可能的安全威胁,比如在网络中避免使用文件夹的完全共享,就可以减少如Nimda这类恶性病毒的攻击机会。
三.利用最小权限(Least-Privilege)原则严格对设备的访问控制
"最小权限"是一个与安全相关的概念,即使在不考虑针对信息的具体威胁时,这一概念也有现实意义。一个一般意义上的威胁可以被描述成"有越多的人能访问信息,信息被滥用的几率就越高"。当只有那些需要访问设备的人被允许进行设备访问时,安全保护才做得更好。在最小权限下,对角色要细加检查,并删除不必要的权限。
四.及时对系统进行软件升级
任何厂商的设备都难免会有各种各样的Bug存在,这些Bug的存在可能会为攻击者创造入侵机会。比如UNIX系统中常见的"缓冲区溢出攻击"(Buffer Overflow)都是针对系统编码中的缺陷发起的;同样有很多计算机病毒,比如SQL Slammer病毒就是针对SQL Server中的一个缺陷而大规模泛滥的。
要及时访问各种安全资源,主动寻找这方面的知识和软件更新,获取像原设备厂商、CCERT、FIRST这类机构的帮助,及时对存在已知安全问题的系统进行升级。
这里要强调的是管理人员的安全意识问题。一个经典的例子就是在SQL Slammer病毒及其建议解决方案被公布后很长一段时间后,还是有很多用户,甚至是行业大用户,仍然不断中招,因为他们没有重视这些安全问题,不及时升级自己的系统。
五. 提供符合IPP要求的物理保护环境
理论上讲,只要从物理上能接近设备,设备的安全性就无从谈起,因为此时我们常提到的安全服务,如访问控制、鉴别服务等就不能起到保护作用。比如,通过物理的改变设备上的一些硬件开关就可以重置管理员口令字或恢复出厂设置.
从业务的连续性和系统可靠性上讲,物理安全是用户关键业务的重要保证。
