安全的數(shù)據(jù)中心可以幫助企業(yè)降低業(yè)務(wù)宕機(jī)和安全問(wèn)題造成的損失。傳輸在網(wǎng)絡(luò)中的數(shù)據(jù)包一般都存在風(fēng)險(xiǎn),IT安全專家們需要對(duì)此加以重視。
每時(shí)每刻,以百萬(wàn)計(jì)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)入企業(yè)網(wǎng)絡(luò),安全專家有責(zé)任對(duì)這龐大的網(wǎng)絡(luò)流量進(jìn)行分析并阻止和減少惡意數(shù)據(jù)包對(duì)網(wǎng)絡(luò)的危害。為了更有效率的履行上述職責(zé),人們已經(jīng)開(kāi)發(fā)了不少方法和工具,如入侵檢測(cè)系統(tǒng),入侵防御系統(tǒng),WEB應(yīng)用防火墻等。若這些方法運(yùn)用得當(dāng),可以非常有效的過(guò)濾惡意流量,保障網(wǎng)絡(luò)安全。
然而,很多時(shí)候網(wǎng)絡(luò)攻擊者可以成功突破這些防御機(jī)制壁壘,人們往往更多在事后才發(fā)現(xiàn)入侵痕跡。這是攻擊者與防守者之間的對(duì)弈,防守者則需要十分熟悉Wireshark網(wǎng)絡(luò)分析技巧。
步驟一:設(shè)置捕獲點(diǎn)
企業(yè)安全專家可能嘗試的方法是,通過(guò)啟用Wireshark捕獲網(wǎng)絡(luò)中兩個(gè)不同點(diǎn),來(lái)驗(yàn)證防火墻性能效率。首先,在直通模式設(shè)備的非軍事區(qū)中,開(kāi)啟混合模式,并啟動(dòng)Wireshark進(jìn)行抓包。這樣能獲取到所有試圖通過(guò)網(wǎng)絡(luò)的未過(guò)濾數(shù)據(jù)包。接著,立即在在防火墻后的某臺(tái)設(shè)備上開(kāi)啟Wireshark。根據(jù)實(shí)際網(wǎng)絡(luò)拓?fù)洌赡苄枰渲靡粋(gè)監(jiān)控點(diǎn)。在數(shù)據(jù)獲取到一定量后,保存數(shù)據(jù)并開(kāi)始分析。
步驟二:檢查是否有入侵
對(duì)比步驟一中收集的兩個(gè)數(shù)據(jù)包,對(duì)比依據(jù)為防火墻上設(shè)置的過(guò)濾規(guī)則,檢查數(shù)據(jù)是否存在差異。例如,許多防火墻默認(rèn)屏蔽所有TCP 23端口的Telnet流量?梢試L試從外部網(wǎng)絡(luò)發(fā)起針對(duì)內(nèi)部網(wǎng)絡(luò)設(shè)備的telnet登錄。檢查Wireshark獲取的數(shù)據(jù)內(nèi)容,驗(yàn)證數(shù)據(jù)包是否有發(fā)往防火墻。接下來(lái),需要見(jiàn)證防火墻后的Wireshark數(shù)據(jù),通過(guò)過(guò)濾器塞選Telent流量,如果發(fā)現(xiàn)有任何Telnet記錄,則說(shuō)明防火墻配置存在嚴(yán)重問(wèn)題了。
警覺(jué)的安全專家需要時(shí)刻意識(shí)到上述Telnet測(cè)試是最最基本的,對(duì)生產(chǎn)環(huán)境并不會(huì)有任何影響,因?yàn)楫?dāng)今最復(fù)雜的防火墻已經(jīng)可以輕松拒絕傳統(tǒng)非安全協(xié)議,如Telnet和FTP。盡管如此,既然已經(jīng)著手測(cè)試,上述內(nèi)容是一個(gè)不錯(cuò)的開(kāi)始。所以,在我們通過(guò)Wireshark捕捉兩臺(tái)網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包后,現(xiàn)在可以開(kāi)始著手更深入的包檢測(cè)方法。
步驟三:限制網(wǎng)絡(luò)端口
在開(kāi)啟Wireshark一段時(shí)間后,停止捕捉并將文件保存為PCAP文件格式。如果兩個(gè)捕捉點(diǎn)之間有任何互聯(lián)網(wǎng)信息數(shù)據(jù)傳輸,那么數(shù)據(jù)包的數(shù)量將很快達(dá)到上千個(gè)。
大多數(shù)企業(yè)需要某種類型的網(wǎng)站展示,主要有兩種可能性:業(yè)務(wù)需要Web服務(wù)器,而且服務(wù)器通常要開(kāi)放TCP 80端口。由于通過(guò)80端口的HTTP流量無(wú)須任何驗(yàn)證,許多攻擊者操作HTTP報(bào)文作為通過(guò)防火墻的方法,并以此竊取重要數(shù)據(jù)。簡(jiǎn)單來(lái)說(shuō)。HTTP是大多數(shù)防火墻允許通過(guò)并直接放行的報(bào)文,所以攻擊者會(huì)將攻擊信息捎帶在正常的數(shù)據(jù)報(bào)文中,作為獲得某些授權(quán)的方式。
例如,惡意用戶可通過(guò)操縱HTTP報(bào)文的方式,讓W(xué)EB響應(yīng)大量的敏感信息,而這些信息可能是不允許未經(jīng)授權(quán)查看的。更具體來(lái)說(shuō),惡意用戶可以使用通配符路徑插入結(jié)束語(yǔ)句,指示接收結(jié)點(diǎn)返回攻擊者想要的指定目錄所有文件。例如,一個(gè)惡意的HTTP GET方法可能看來(lái)如下所示:
GET /complete_table/*.html HTTP/1.1\r\n
如果防火墻沒(méi)有配置為針對(duì)所有Web流量的深度包檢測(cè)模式,那么上述命令可能允許終端用戶獲取/complete_table/目錄下的所有HTML文件。Wireshark捕獲功能一直開(kāi)啟的話,可以通過(guò)如下命令進(jìn)行過(guò)濾分析:
http.request.method==GET && http.request.uri=="/complete_table/*"
在語(yǔ)句中將/complete_table/*替換成可通過(guò)HTTP訪問(wèn)的文件具體路徑。如果WEB服務(wù)器是Linux系統(tǒng),那么路徑可能看起來(lái)像這樣:
/var/www/your_files*
在http.request.uri字段會(huì)因網(wǎng)絡(luò)而異,但可以通過(guò)通配符來(lái)尋找問(wèn)題,我們需要確定通配符*在哪里出現(xiàn)。如果發(fā)現(xiàn)這方面的線索,深入分析后將可能找到更合乎邏輯的解釋。
防火墻與其他網(wǎng)絡(luò)防御設(shè)備解決方案差異很大。某些設(shè)備高品質(zhì),高可配置和高性能。其他設(shè)備則更傾向與在可行性與預(yù)算允許情況下的權(quán)宜之計(jì)。無(wú)論組織選擇何種針對(duì)互聯(lián)網(wǎng)的防御機(jī)制,都需要人工和一些直覺(jué)來(lái)分析網(wǎng)絡(luò)數(shù)據(jù)包并預(yù)測(cè)未來(lái)可能的數(shù)值趨勢(shì)。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:三步修補(bǔ)網(wǎng)絡(luò)漏洞 確保數(shù)據(jù)中心安全
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112188926.html