服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 你做什么来validation你的networking是安全的?
Intereting Posts
如何通过无线共享以太网连接,在Windows 7上启用WPA2? 如何强制sudo使用现有的kerberos票? 设置MySQL复制 – 多台机器? 有没有办法让Postfix转发电子邮件*和*通过recipient_address_rejected拒绝它 在fstab中将NFS共享挂载为非root用户 传出数据包有NAT的src地址 服务器带宽问题由Stats无法解释..还有什么可能? 自动closures家庭GNU / Linux服务器30分钟的闲置后closures 在无线networking环境中运行Linux的瘦客户机 与多个NFS在同一台服务器上安装的木偶 在慢速连接中使用ssh时,请停止快速减速和详细操作 Windows 2012 Hyper-v备份 在Debian 6上使用tayga进行NAT64configuration IIS和Tomcat:混合内容 隧道层2 ssh

你做什么来validation你的networking是安全的?

保护networking可能是一项非常困难的任务。 有很多硬件和软件明智(用户旁边!)

你采取了哪些步骤来validation你的networking是安全的?
你使用什么工具来保护你的networking?
什么是一些定期不固定的大漏洞?

我们是一个相当小的办公室,不得不以小额预算进行pipe理。 我们的方法包括:

networking入侵检测:我们使用StillSecure提供的StrataGuard Free – 这是一个configuration了Snort的强化Linux,一个非常直观的Web界面,以及常规的规则更新。 在一个旧盒子上安装免费版本,根据生成的警报调整规则,中提琴! 虽然您需要能够将stream量镜像到单个端口的networking交换机,但是效果很好。 StrataGuard的非免费版本有更多的支持,更多的花里胡哨的function,可以处理更高的stream量。

基于主机的入侵检测:我们编写了一个小型.NET应用程序,作为Windows服务的一个服务运行,并且每隔几个小时就从事件日志中转发事件(根据我们select的types,ID和时间进行过滤)在其他地方,兰迪·弗兰克林·史密斯的网站http://www.ultimatewindowssecurity.com/Default.aspx在决定要审查什么事件时是非常宝贵的)到一个中央数据库,我们在那里审查和保留它们。

定期内部审核:定期对每个盒子进行一次性检查,确保所有不必要的服务都被禁用,并且端口被closures,并且使用rootkit和恶意软件检测软件进行深度扫描,这与每天运行的实时反事件不同。 我们还使用nmap来分析networking并扫描漏洞,并且wireshark根据需要分析特定stream量。

修补程序更新:WSUS确保并validation我们的所有Windows防火墙是最新的安全修复程序,并防止消耗带宽。 在Linux上的Cron-apt,还没有想出一个集中validationstream程的好方法。 此外,强烈build议对服务器和工作站反恶意软件进行集中pipe理,并可用于这些产品的大多数企业级版本。

政策:也许最重要的是,即使在一个小型组织中,您也需要从描述安全计划或组织程序的文档开始。 该文件将概述数据的风险以及您如何解决这些风险。 这是通常被忽略的大问题,但是如果你面对外部审计的任何风险,这是你需要参考的第一件事,希望你已经或者已经更新了。 http://www.sans.org/resources/policies/上有大量样本。

对于预算紧张的企业而言,好消息是,除了反恶意软件套件之外,所有这些东西都是免费的,除了内部审计之外,在初始时间之后每天都很容易查看投资build立。

这些答案我从这里回应

  • 使用IDS

    SNORT®是一个使用规则驱动语言的开源networking入侵防御与检测系统,结合了签名,协议和基于exception的检测方法的优点。 迄今为止,已经有数百万次的下载,Snort是世界范围内应用最广泛的入侵检测和防御技术,已经成为业界事实上的标准。

    Snort可以读取networkingstream量,并可以查找诸如“通过笔testing驱动”之类的东西,而某些人只是对您的服务器运行整个metasploit扫描。 很高兴认识这些事情,在我看来。

  • 监视你的服务器 – 图表可以给你一个提示,如果有什么不寻常的。 我使用Cacti来监视CPU,networkingstream量,磁盘空间,温度等。如果看起来很奇怪,那奇怪,你应该知道为什么它很奇怪。 如果stream量突然出现在应用层,我会想知道为什么。

严重的是,根据公司的规模,最好的办法可能是让第三方对您的系统进行定期的安全审计。 更高层的人喜欢你的安全是独立validation的,事实上,大多数IT人员很难保持工作,更不用说每一个新的安全漏洞。

可能不是你想要的答案,但值得说。

  • 禁用通用即插即用
  • 使用Wireshark从不属于networking的IP地址侦听LAN上的任何ARP请求

你必须明白你所问的问题。 这就像问“我的build筑是否安全?”。 build筑本身并不是真的“安全”,它只是坐在那里。 真正的意思是“我能永远信任大楼内的任何人吗?”,答案几乎总是“不”,因为你永远无法完全防御内部人士。 同样,对于networking,您真正要问的是:“我能相信我收到的每一个数据包都是真的,我发送的每一个数据包都不会被截取或取代?”。 这当然,你必须意识到,永远不可能是真实的,因为你永远不可能真实地certificatenetworking上每台计算机的安全性和可靠性。

这留下了一个缺乏安全性,必须通过提出稍微不同的问题, 可以肯定地回答,如“我可以以某种方式确保,当我认为我发送数据包到路由器网关,它真的是网关接收他们而不是其他主机? 或“我可以确保我的主机和我的login/文件/内部网服务器之间的数据包不被拦截和窃听?”。 这些问题的答案是“ ”,因为使用IPsec或其他技术,您可以确保您在networking上与谁通话的人确实是他们所说的人,并且他们之间的通信没有被听到。

(你必须想出IPsec是一种“VPN”技术的概念,而不是 – 它是一种encryption和authentication技术。)