您所在位置:主题:网络服务器安全问题初探
百隆科技
[专家分:0] 发布于 2009-02-17 09:59:00
网络服务器安全问题初探
很多网管都碰到过这样一些难堪的事,因为服务器的安全漏洞问题,导致其中数据的丢失、
B、DNS服务器
DNS服务器是Internet上其它服务的基础,它处理DNS客户机的请求:将名字与IP地址进行互换,并提
供特定主机的其它已公布信息(如MX记录等)。一般而言,网管们碰到的大多会有以下几种情况。
1.名字欺骗。
当主机B访问主机A(同时也作为DNS服务器)如执行rlogin时,A接收到这个连接并获得发起本次连接主
机B的IP地址。为验证本次连接的合法性,主机A就向本地DNS服务器逆向查询对应于这个IP地址的主机名
字。当返回查询结果——主机名B为本机所信任的主机时,就允许来自B的远程命令rlogin。
下面我们再来看看主机D是如何利用验证漏洞来欺骗主机A的。当主机D也执行rlogin时,主机A同样要
验证本次连接的合法性。如果A不能根据D的IP在本地DNS服务器中查询到对应的主机名时,就会向其它
DNS服务器发出请求,最后终会找到DNS服务器C。
如果入侵者修改DNS服务器C中对应于自己IP地址的主机名为主机B时,主机A就会获得对应于D的IP地
址的主机名是B的逆向查询结果,因此主机A认可本次连接。于是欺骗A成功。
①域洺炷册,②虚抳炷僟,③租鼡仛涫,④佱鄴邮挶, ⑤软件开潑,⑥蛧跕淛作,⑦俬棴泇蔎,⑧
蛧跕蓷广。
QQ③②●●⑨②⑧⑦④ ωωω.ъι-κj.cǒм TEL●③⑦①-⑥③③②⑨③⑥⑦
2.信息隐藏。
当某个企业由于保密等原因的需要,给某些特定主机以特定的内部主机名,而这些主机密码又被入侵
者获取时,存放保密数据的服务器主机就会完全暴露。
解决以上两个问题的办法主要有两种:
1)直接利用DNS软件本身具备的安全特性来实现;
2)以防火墙/NAT为基础,并运用私有地址和注册地址的概念。简而言之就是将内部DNS服务器和外部
DNS服务器进行物理分开,内部DNS服务器解析私有的IP,而外部DNS则解析公开的IP。内部主机使用私有
地址;对Internet服务的主机用NAT完成注册地址到其私有地址的静态映射;访问Internet的主机用NAT完成
其私有地址到注册地址的动态映射。
C、MAIL服务器
MAIL服务器一直因其安全性而成为广大网友抱怨的对象。的确,从理论上讲,MAIL服务是一种不安全
的服务,因为它必须接受来自INTERNET的几乎所有数据。Internet上,服务器间的邮件交换是通过SMTP
协议来完成的。主机的SMTP服务器接收邮件(该邮件可能来自外部主机上的SMTP服务器,也可能来自本机
上的用户代理),然后检查邮件地址,以便决定在本机发送还是转发到其它一些主机。Unix系统上的SMTP
程序通常是Sendmail。有关Sendmail的安全问题重要的原因在于它是一个异常复杂的程序,而另一个原因
是它需root用户特权运行。
解决的方法大致有三种:
1. 使用Unix系统自带的安全特性;
2. 使用代理;
3. 直接修改源码。
以上是对网络服务器安全问题及其解决办法的一些初步探讨。其实,关键的问题还是在于网络管理员
对网络安全意识的建立和实施。因为多数网络安全事件的发生,都是因为网络管理员安全意识的缺乏和防
范措施实施的不到位。
①域洺炷册,②虚抳炷僟,③租鼡仛涫,④佱鄴邮挶, ⑤软件开潑,⑥蛧跕淛作,⑦俬棴泇蔎,⑧
蛧跕蓷广。
QQ③②●●⑨②⑧⑦④ ωωω.ъι-κj.cǒм TEL●③⑦①-⑥③③②⑨③⑥⑦
很多网管都碰到过这样一些难堪的事,因为服务器的安全漏洞问题,导致其中数据的丢失、
B、DNS服务器
DNS服务器是Internet上其它服务的基础,它处理DNS客户机的请求:将名字与IP地址进行互换,并提
供特定主机的其它已公布信息(如MX记录等)。一般而言,网管们碰到的大多会有以下几种情况。
1.名字欺骗。
当主机B访问主机A(同时也作为DNS服务器)如执行rlogin时,A接收到这个连接并获得发起本次连接主
机B的IP地址。为验证本次连接的合法性,主机A就向本地DNS服务器逆向查询对应于这个IP地址的主机名
字。当返回查询结果——主机名B为本机所信任的主机时,就允许来自B的远程命令rlogin。
下面我们再来看看主机D是如何利用验证漏洞来欺骗主机A的。当主机D也执行rlogin时,主机A同样要
验证本次连接的合法性。如果A不能根据D的IP在本地DNS服务器中查询到对应的主机名时,就会向其它
DNS服务器发出请求,最后终会找到DNS服务器C。
如果入侵者修改DNS服务器C中对应于自己IP地址的主机名为主机B时,主机A就会获得对应于D的IP地
址的主机名是B的逆向查询结果,因此主机A认可本次连接。于是欺骗A成功。
①域洺炷册,②虚抳炷僟,③租鼡仛涫,④佱鄴邮挶, ⑤软件开潑,⑥蛧跕淛作,⑦俬棴泇蔎,⑧
蛧跕蓷广。
QQ③②●●⑨②⑧⑦④ ωωω.ъι-κj.cǒм TEL●③⑦①-⑥③③②⑨③⑥⑦
2.信息隐藏。
当某个企业由于保密等原因的需要,给某些特定主机以特定的内部主机名,而这些主机密码又被入侵
者获取时,存放保密数据的服务器主机就会完全暴露。
解决以上两个问题的办法主要有两种:
1)直接利用DNS软件本身具备的安全特性来实现;
2)以防火墙/NAT为基础,并运用私有地址和注册地址的概念。简而言之就是将内部DNS服务器和外部
DNS服务器进行物理分开,内部DNS服务器解析私有的IP,而外部DNS则解析公开的IP。内部主机使用私有
地址;对Internet服务的主机用NAT完成注册地址到其私有地址的静态映射;访问Internet的主机用NAT完成
其私有地址到注册地址的动态映射。
C、MAIL服务器
MAIL服务器一直因其安全性而成为广大网友抱怨的对象。的确,从理论上讲,MAIL服务是一种不安全
的服务,因为它必须接受来自INTERNET的几乎所有数据。Internet上,服务器间的邮件交换是通过SMTP
协议来完成的。主机的SMTP服务器接收邮件(该邮件可能来自外部主机上的SMTP服务器,也可能来自本机
上的用户代理),然后检查邮件地址,以便决定在本机发送还是转发到其它一些主机。Unix系统上的SMTP
程序通常是Sendmail。有关Sendmail的安全问题重要的原因在于它是一个异常复杂的程序,而另一个原因
是它需root用户特权运行。
解决的方法大致有三种:
1. 使用Unix系统自带的安全特性;
2. 使用代理;
3. 直接修改源码。
以上是对网络服务器安全问题及其解决办法的一些初步探讨。其实,关键的问题还是在于网络管理员
对网络安全意识的建立和实施。因为多数网络安全事件的发生,都是因为网络管理员安全意识的缺乏和防
范措施实施的不到位。
①域洺炷册,②虚抳炷僟,③租鼡仛涫,④佱鄴邮挶, ⑤软件开潑,⑥蛧跕淛作,⑦俬棴泇蔎,⑧
蛧跕蓷广。
QQ③②●●⑨②⑧⑦④ ωωω.ъι-κj.cǒм TEL●③⑦①-⑥③③②⑨③⑥⑦