(十)限制登录次数。Windows系统安全策略允许管理员当帐户在规定的次数内未登入的情况下将帐户锁定。
四、邮件服务器易受哪些攻击,如何保护邮件服务器
目前互连网上的邮件服务器所受攻击有两类:一类就是中继利用(Relay),即远程机器通过你的服务器来发信,这样任何人都可以利用你的服务器向任何地址发邮件,久而久之,你的机器不仅成为发送垃圾邮件的帮凶,也会使你的网络流量激增,同时将可能被网上的很多邮件服务器所拒绝;另一类攻击称为垃圾邮件(Spam),即人们常说的邮件炸弹,是指在很短时间内服务器可能接收大量无用的邮件,从而使邮件服务器不堪负载而出现瘫痪。这两种攻击都可能使邮件服务器无法正常工作。
防止邮件服务器被攻击的方法有三种:
第一种是升级高版本的服务器软件,利用软件自身的安全功能限制垃圾邮件的大量转发或订阅反垃圾邮件服务;
第二种就是采用第三方软件利用诸如动态中继验证控制功能来实现,从而确保接受邮件的正确性;
第三种是配置病毒网关、病毒过滤等功能,从网络的入口开始,阻止来自互联网的邮件病毒入侵,同时还要防止它们在进出公司内部网络时的传播。
五、DNS服务器易受哪些攻击,如何保护DNS服务器
由于DNS服务使用UDP协议,因此对于攻击者而言,更容易把攻击焦点集中在DNS服务上。DNS服务面临的威胁包括:
缓存区中毒:这种攻击是指黑客在主DNS服务器向辅DNS服务器进行区域传输时插入错误的DNS信息,一旦成功,攻击者便可使辅DNS服务器提供错误的名称到IP地址的解析信息;如果使用DNS缓存伪造信息的话,攻击者可以改变发向合法站点的传输流方向,使它传送到攻击者控制的站点上;
拒绝服务:对某些域名服务器的大规模拒绝服务攻击会造成互联网速度普遍下降或停止运行;
域劫持:通过利用客户升级自己的域注册信息所使用的不安全机制,攻击者可以接管域注册过程来控制合法的域;
泄漏网络拓朴结构:设置不当的DNS将泄漏过多的网络拓朴结构:如果你的DNS服务器允许对任何人都进行区域传输的话,那么你的整个网络架构中的主机名、主机IP列表、路由器名、路由器IP列表,甚至包括你的机器所在的位置等信息都会不知不觉的泄露出去。
为了保护DNS服务器不受攻击,首先应当保护DNS服务器所存储的信息,而且此信息应当由创建和设计者才能修改。部分注册信息的登录方式仍然采用一些比较过时的方法,如采用电子邮件的方式就可以升级DNS注册信息,这些过时的方法需要添加安全措施,例如采用加密的口令,或者采用安全的浏览器平台工具来提供管理域代码记录的方式;其次是正确配置区域传输,即只允许相互信任的DNS服务器之间才允许传输解析数据;还要应用防火墙配合使用,使得DNS服务器位于防火墙的保护之内,只开放相应的服务端口和协议;还有一点需要注意的是使用那些较新的DNS软件,因为他们中有些可以支持控制访问方式记录DNS信息,因此域名解析服务器只对那些合法的请求作出响应。内部的请求可以不受限制的访问区域信息,外部的请求仅能访问那些公开的信息;最后系统管理员也可以采用分离DNS的方式,内部的系统与外部系统分别访问不同的DNS系统,外部的计算机仅能访问公共的记录。
六、路由器面临有哪些威胁,如何保护路由器的安全
路由器作为互联网上重要的地址信息路由设备,直接暴露于网络之中。攻击路由器会浪费CPU周期,误导信息流量,使网络陷于瘫痪。路由器面临的威胁有:
将路由器作为攻击平台:入侵者利用不安全的路由器作为生成对其他站点扫描或侦察的平台;
拒绝服务:尽管路由器在设计上可以传送大量的数据流,但是它同样不能处理传送给大于它传输能力的流量。入侵者利用这种特性攻击连接到网络上的路由器,而不是直接攻击网络上的系统,从而造成对路由器的拒绝服务攻击;
明文传输配置信息:许多网络管理员未关闭或加密Telnet会话,因此若明文传输的口令被截取,黑客就可以任意配置路由器。
好的路由器本身会采取一个好的安全机制来保护自己,但是仅此一点是远远不够的。保护路由器安全还需要网管员在配置和管理路由器过程中采取相应的安全措施:
(一)限制系统物理访问:限制系统物理访问是确保路由器安全的最有效方法之一,即将控制台和终端会话配置成在较短闲置时间后自动退出系统;避免将调制解调器连接至路由器的辅助端口也很重要。一旦限制了路由器的物理访问,用户一定要确保路由器的安全补丁是最新的。因为漏洞常常是在供应商发行补丁之前被披露,这就使得黑客抢在供应商发行补丁之前利用受影响的系统,这需要引起用户的关注。
(二)加强口令安全:黑客常常利用弱口令或默认口令进行攻击。加长口令、选用30到60天的口令有效期等措施有助于防止这类漏洞。另外,一旦重要的网管员工辞职,用户应该立即更换口令。用户应该启用路由器上的口令加密功能,实施合理的验证控制以便路由器安全地传输数据。
(三)应用身份验证功能:在大多数路由器上,用户可以配置一些加密和认证协议,如远程验证拨入用户服务。验证控制可以将用户的验证请求转发给通常在后端网络上的验证服务器,验证服务器还可以要求用户使用双因素验证,以此加强验证系统。
(四)禁用不必要服务:拥有众多路由服务是件好事,但近来许多安全事件都凸显了禁用不需要本地服务的重要性,如禁止CDP服务;需要注意的是,禁用路由器上的CDP可能会影响路由器的性能。定时对有效操作网络是必不可少的,即使用户确保了部署期间时间同步,经过一段时间后,时钟仍有可能逐渐失去同步。由此,用户可以利用名为网络时间协议(NTP)的服务,对照有效准确的时间源以确保网络上的设备时针同步;不过,确保网络设备时钟同步的最佳方式不是通过路由器,而是在防火墙保护的网络区段放一台NTP服务器,将该服务器配置成仅允许向外面的可信公共时间源提出时间请求。另外,在路由器上,对于SNMP、DHCP以及WEB管理服务等,只有绝对必要的时候才可使用这些服务。
