解析網(wǎng)絡(luò)安全設(shè)計(jì)中的常見(jiàn)錯(cuò)誤(2)
網(wǎng)絡(luò)安全設(shè)計(jì)常見(jiàn)錯(cuò)誤—使用自簽名證書(shū)
由于一些企業(yè)完全忽視了SSL加密的重要性,因此微軟開(kāi)始在它的一些產(chǎn)品中加入了自簽名的證書(shū)。這樣用戶在瀏覽網(wǎng)頁(yè)時(shí),就算企業(yè)的網(wǎng)站沒(méi)有要求獲得證書(shū)情況下,也可以使用SSL加密。
雖然自簽名證書(shū)要比沒(méi)有證書(shū)強(qiáng),但它并不能作為一個(gè)來(lái)自受信的證書(shū)頒發(fā)機(jī)構(gòu)所頒發(fā)的證書(shū)的替代品。自簽名證書(shū)的主要作用其實(shí)只是用來(lái)激活軟件的安全功能,直到管理員采取了相應(yīng)的安全措施。雖然自簽名證書(shū)可以實(shí)現(xiàn)SSL加密,但是用戶會(huì)收到瀏覽器的警告信息,提示用戶系統(tǒng)并不信任此類證書(shū)。另外,一些基于SSL的web服務(wù)(比如ActiveSync),由于信任關(guān)系,并不完全兼容自簽名證書(shū)。
網(wǎng)絡(luò)安全設(shè)計(jì)常見(jiàn)錯(cuò)誤—過(guò)多的安全記錄
雖然記錄各種網(wǎng)絡(luò)事件很重要,但是避免記錄內(nèi)容過(guò)于冗長(zhǎng)也是很重要的。太長(zhǎng)的日志會(huì)讓管理員很難從中發(fā)現(xiàn)重要的安全事件。因此,與其將所有系統(tǒng)事件都記錄下來(lái),還不如將重點(diǎn)放在那些真正重要的事件上。
網(wǎng)絡(luò)安全設(shè)計(jì)常見(jiàn)錯(cuò)誤—隨機(jī)分組虛擬服務(wù)器
虛擬服務(wù)器一般會(huì)根據(jù)其性能在主機(jī)上進(jìn)行分組。比如在一臺(tái)服務(wù)器上搭建了一個(gè)對(duì)性能要求較高的虛擬服務(wù)器應(yīng)用后,與之搭配幾個(gè)對(duì)系統(tǒng)性能要求較低的虛擬服務(wù)器,可以實(shí)現(xiàn)資源的合理化應(yīng)用。從資源利用的角度上說(shuō),這么做非常正確,但是從安全性的角度看,就不見(jiàn)得了。
從安全的角度,我建議在一臺(tái)獨(dú)立的服務(wù)器上放置針對(duì)互聯(lián)網(wǎng)應(yīng)用的虛擬服務(wù)器。換句話說(shuō),如果你需要搭建三個(gè)針對(duì)互聯(lián)網(wǎng)用戶的虛擬服務(wù)器,你可以考慮將這三個(gè) 虛擬服務(wù)器分為一組,放置在同一臺(tái)主機(jī)上,但是不要將架構(gòu)類服務(wù)器(如域控制器)放在同一臺(tái)主機(jī)上。
之所以這樣建議,是針對(duì)虛擬服務(wù)器上的溢出攻擊。所謂溢出攻擊,是指黑客從一個(gè)虛擬服務(wù)器中溢出,進(jìn)而控制主機(jī)的攻擊。雖然就我所知,目前現(xiàn)實(shí)生活中還沒(méi)有真正出現(xiàn)過(guò)此類攻擊,但是我肯定這是遲早的事。一旦那一天到來(lái),同一臺(tái)主機(jī)上如果還安裝了其它重要的虛擬服務(wù)器,那么對(duì)整個(gè)企業(yè)網(wǎng)絡(luò)來(lái)說(shuō),將是一個(gè)災(zāi)難,對(duì)于網(wǎng)絡(luò)管理員來(lái)說(shuō),解除威脅也將變得更困難。
網(wǎng)絡(luò)安全設(shè)計(jì)常見(jiàn)錯(cuò)誤—將成員服務(wù)器置于DMZ
能避免的話,就盡量不要將任何成員服務(wù)器置于DMZ中。否則,一旦被入侵,這臺(tái)成員服務(wù)器將可能泄露出很多有關(guān)活動(dòng)目錄的信息。
網(wǎng)絡(luò)安全設(shè)計(jì)常見(jiàn)錯(cuò)誤—升級(jí)補(bǔ)丁需要用戶自己安裝
最近我見(jiàn)到很多公司網(wǎng)絡(luò)中的電腦都依賴于Windows的自動(dòng)更新服務(wù)進(jìn)行自動(dòng)打補(bǔ)丁。不幸的是,這類設(shè)計(jì)需要用戶自己點(diǎn)擊鼠標(biāo)來(lái)進(jìn)行補(bǔ)丁安裝確認(rèn),而很多用戶都知道,安裝完補(bǔ)丁后系統(tǒng)會(huì)重新啟動(dòng)。為了避免這種麻煩,很多用戶選擇了停止自動(dòng)更新。因此,與其將安裝補(bǔ)丁的權(quán)利交給用戶,不如通過(guò)某種補(bǔ)丁管理解決方案,自動(dòng)將系統(tǒng)補(bǔ)丁分發(fā)到每臺(tái)電腦上,繞過(guò)用戶的任何操作。
網(wǎng)絡(luò)安全設(shè)計(jì)中的常見(jiàn)錯(cuò)誤就為大家介紹完了,希望大家結(jié)合以前的文章一起來(lái)了解網(wǎng)絡(luò)安全的相關(guān)問(wèn)題。
【編輯推薦】
