運(yùn)維風(fēng)險(xiǎn)預(yù)估措施

2017-03-27

7140

運(yùn)維風(fēng)險(xiǎn)預(yù)估措施? 部門 ? 日期運(yùn)維部 2014-05-20? 版本編號 ?密級Ver_1.0 公司內(nèi)部使用日期2014-05-20版本號 Ver_1.0更新說明建立文檔、初始化一、服務(wù)器風(fēng)險(xiǎn)預(yù)估

? 部門 ? 日期

運(yùn)維部 2014-05-20

? 版本編號 ?

密級

Ver_1.0 公司內(nèi)部使用

日期

2014-05-20

版本號 Ver_1.0

更新說明

建立文檔、初始化

一、服務(wù)器風(fēng)險(xiǎn)預(yù)估

1. 服務(wù)器被攻擊

1.1. 拒絕服務(wù)攻擊

拒絕服務(wù)攻擊的方式很多，主要常用的攻擊手段有SYN Flood、UPD 洪水、IP 欺騙攻擊、CC 攻擊。防范DDOS 攻擊首先要能夠檢測到，并且及時(shí)做出響應(yīng)，才可以防范。

SYN Flood通過TCP 三次握手的原理，服務(wù)器如果出現(xiàn)第三次握手包遲遲收不到，將會(huì)占用服務(wù)器的內(nèi)存資源，攻擊者在較短時(shí)間內(nèi)偽造大量不存在的源IP 地址數(shù)據(jù)包進(jìn)行攻擊，將會(huì)耗盡服務(wù)器的內(nèi)存資源，最后無法提供正常服務(wù)。

根據(jù)SYN Flood的攻擊方式，可見動(dòng)態(tài)的根據(jù)攻擊流量進(jìn)行設(shè)置TCP 第三次握手的超時(shí)時(shí)間是降低攻擊效果的主要方法。

1.2. 入侵檢測

遭受黑客入侵不可怕，可怕的是被入侵還不知道，這就需要部署一臺入侵檢測設(shè)備，可以使用開源的Snort 進(jìn)行部署，但是IDS 的誤報(bào)率會(huì)很高，而使用OSSIM 的關(guān)聯(lián)分析功能就可以減少很多誤報(bào)。

1.3. 防火墻防護(hù)

將服務(wù)器放置在防火墻的DMZ 區(qū)域，通過對防火墻進(jìn)行配置可以避免外網(wǎng)對服務(wù)器進(jìn)行端口掃描，從而提高服務(wù)器的安全。放置在DMZ 區(qū)有另一個(gè)好處就是可以保護(hù)內(nèi)部網(wǎng)絡(luò)。

2. 內(nèi)部環(huán)境安全

2.1. 防止ARP 欺騙攻擊

通過在交換機(jī)的接口進(jìn)行MAC 綁定，實(shí)現(xiàn)終端設(shè)備的接入控制，這樣就可以防止惡意用戶的接入。終端電腦綁定網(wǎng)關(guān)的MAC 地址，以防攻擊者欺騙網(wǎng)關(guān)。對ARP 數(shù)據(jù)包進(jìn)行檢測，防止ARP 洪泛攻擊。

2.2. 可信任主機(jī)接入

在交換機(jī)端口下，對IP 地址與MAC 地址進(jìn)行綁定，可以限制特定用戶對網(wǎng)絡(luò)進(jìn)行訪問，其余的用戶無法接入網(wǎng)絡(luò)。

2.3. DHCP 欺騙攻擊

在接入層網(wǎng)絡(luò)偽造一臺DHCP 服務(wù)器，將所有的網(wǎng)絡(luò)流量指向黑客創(chuàng)建的偽造網(wǎng)關(guān)，所有到偽造網(wǎng)關(guān)的流量都會(huì)被分析，并且通過偽造DNS ，把國內(nèi)一些大站點(diǎn)的域名指向釣魚網(wǎng)站，或者放入最新的溢出漏洞夾雜在頁面中，造成的危害會(huì)很大。

通過在交換機(jī)上配置DHCP 可行端口進(jìn)行防范DHCP 的欺騙攻擊。

3. 安全配置

3.1. 帳戶密碼安全

root 進(jìn)程指的是只有root 用戶的權(quán)限才可以啟動(dòng)的服務(wù)，通過root 綁定1024以下的端口，這樣可以防止惡意用戶開啟低于1024的端口進(jìn)行欺詐攻擊。

用戶密碼放置在以下路徑中：

/etc/passwd

/etc/shadow

可以通過預(yù)定的安全策略對密碼進(jìn)行定期修改，并且強(qiáng)制設(shè)置高強(qiáng)度的密碼，以及使用目前加密強(qiáng)度最大的加密算法，防止被爆破以及APT 攻擊。

3.2. 遠(yuǎn)程訪問安全

禁用明文密碼傳輸?shù)膖elnet 遠(yuǎn)程訪問協(xié)議，使用安全shell （ssh ）保障數(shù)據(jù)的安全交換。

3.2.1. 修改ssh 服務(wù)root 登錄權(quán)限

修改ssh 服務(wù)配置文件，使的ssh 服務(wù)不允許直接使用root 用戶來登錄，這樣減少系統(tǒng)被惡意登錄攻擊的機(jī)會(huì)。

3.2.2. 修改ssh 服務(wù)的端口號

ssh 默認(rèn)會(huì)監(jiān)聽在22端口，通過修改至6022端口以避過常規(guī)的掃描。

注意：修改端口錯(cuò)誤可能會(huì)導(dǎo)致你下次連不到服務(wù)器，可以先同時(shí)開著22和6022兩個(gè)端口，然后再關(guān)掉22端口；重啟sshd 不會(huì)彈掉你當(dāng)前的連接，可以另外開一個(gè)客戶端來測試服務(wù);

3.2.3. 阻止任何人su 作為root

通過禁止普通用戶切換到root ，但可以設(shè)置一組特殊用戶切換，降低了服務(wù)器被提權(quán)的風(fēng)險(xiǎn)。

3.3. 審計(jì)系統(tǒng)日志

對系統(tǒng)日志、關(guān)鍵應(yīng)用日志進(jìn)行定期自動(dòng)異地備份，可用來做故障排錯(cuò)，故障提前報(bào)警，也可以防止被黑客為了抹掉登錄痕跡而刪除，目前對最前沿的日志審計(jì)系統(tǒng)是SOC ，全稱為安全運(yùn)維中心，可以對各種網(wǎng)絡(luò)設(shè)備、服務(wù)器、終端主機(jī)進(jìn)行日志審計(jì)，并且做出關(guān)聯(lián)分析。

3.3.1. 減小history 緩存命令條數(shù)

對于linux 系統(tǒng)來說，有一條history 命令，可以記錄用戶所輸入的命令，如果命令中涉及一些密碼或者敏感的操作，將會(huì)被黑客利用。通過設(shè)置bash 的環(huán)境變量可以設(shè)置history 緩存命令的數(shù)目。

3.3.2. 注銷時(shí)刪除命令記錄

注銷用戶的時(shí)候就自動(dòng)清除 $home/.bash_history，歷史命令只是對當(dāng)時(shí)用戶在調(diào)試服務(wù)器時(shí)會(huì)用到，當(dāng)用戶退出tty 線路自動(dòng)清除可以防止泄露服務(wù)器的歷史配置命令，如果有需要可以異地備份。

3.3.3. 對auth.log 進(jìn)行定期分析

在文件系統(tǒng)/var/log/auth.log的文件下，保存了登錄操作系統(tǒng)的時(shí)間、ip 地址、用戶名，對這些日志進(jìn)行定期分析，可以查出那些未授權(quán)的用戶登錄過。

3.4. DNS 安全

服務(wù)器系統(tǒng)的Dns 被篡改成用于欺詐與釣魚的dns ，將會(huì)導(dǎo)致下面連接代理上網(wǎng)的終端被釣魚網(wǎng)站欺騙，用戶信息竊取等情況出現(xiàn)。

4. 服務(wù)器環(huán)境

操作系統(tǒng)本身幾乎每天都在更新的，如未能及時(shí)打上補(bǔ)丁可能會(huì)被攻擊，網(wǎng)絡(luò)如果出現(xiàn)linux 的0day 漏洞，就必然會(huì)有相應(yīng)的批量拿站的工具出現(xiàn)，所以危害很大，那么就需要進(jìn)行定期更新，但是由于公司的服務(wù)器都是在生產(chǎn)環(huán)境下的，升級操作系統(tǒng)可能會(huì)帶來風(fēng)險(xiǎn)，

建議可以使用影子服務(wù)器進(jìn)行測試，之后才讓生產(chǎn)環(huán)境的服務(wù)器進(jìn)行升級，這樣可以降低風(fēng)險(xiǎn)。更新操作系統(tǒng)的流程：

4.1. 篩選需要進(jìn)行更新的補(bǔ)丁，對嚴(yán)重影響服務(wù)器系統(tǒng)安全的補(bǔ)丁，以及影響服務(wù)器業(yè)務(wù)的補(bǔ)丁，列入更新

列表。

4.2. 驗(yàn)證測試環(huán)境下做更新測試，測試更新成功后進(jìn)行升級。

4.3. 獲得業(yè)務(wù)系統(tǒng)所有人的授權(quán)

4.4. 申請維護(hù)時(shí)間窗口，盡量選擇在網(wǎng)絡(luò)流量低峰時(shí)期。

4.5. 升級系統(tǒng)之前，需要對數(shù)據(jù)進(jìn)行備份，并且準(zhǔn)備回退方案。

5. 服務(wù)器負(fù)載問題

5.1. 數(shù)據(jù)超過硬盤讀寫負(fù)載能力導(dǎo)致應(yīng)用程序崩潰；

5.2. CPU 使用率跑滿導(dǎo)致服務(wù)器宕機(jī)；

5.3. 使用內(nèi)存cache 占用過多導(dǎo)致宕機(jī)；

5.4. 硬盤空間使用滿導(dǎo)致宕機(jī)；

5.5. 用戶量過多，服務(wù)器帶寬不足，導(dǎo)致卡頓，用戶訪問程序故障；

5.6. 系統(tǒng)連接數(shù)過多造成系統(tǒng)擁堵網(wǎng)絡(luò)帶寬使用不上；

5.7. 數(shù)據(jù)庫數(shù)據(jù)讀寫占用過多服務(wù)器連接數(shù)，達(dá)不到預(yù)期的服務(wù)器帶寬；

6. 服務(wù)器硬件故障

6.1. 電源線損環(huán)；

6.2. 服務(wù)器電源損壞；

6.3. 服務(wù)器非人為硬盤損壞；

6.4. 服務(wù)器受黑客入侵攻擊時(shí)導(dǎo)致硬盤損壞；

6.5. CPU 溫度過高燒毀；

6.6. 內(nèi)存使用中損壞；

6.7. 主板在電源損壞時(shí)容易燒毀；

二、運(yùn)營商風(fēng)險(xiǎn)預(yù)估

1. 機(jī)房網(wǎng)絡(luò)故障

1.1. 骨干網(wǎng)光纖切割；

1.2. 機(jī)房網(wǎng)絡(luò)升級；

1.3. 機(jī)房網(wǎng)絡(luò)設(shè)備調(diào)試；

1.4. 機(jī)房網(wǎng)絡(luò)設(shè)備損壞;

1.5. 骨干網(wǎng)網(wǎng)絡(luò)出口故障；

2. DNS 域名解析緩存

每一個(gè)域名，在服務(wù)商那邊都有一個(gè)DNS 服務(wù)器，作用是把利于用戶記憶的域名轉(zhuǎn)換成計(jì)算機(jī)方便理解的IP 地址，在域名管理中，其中一項(xiàng)就記錄著你的域名指向，術(shù)語叫A 記錄，用于指向一個(gè)IP 地址。

但是并不是每次訪問你的網(wǎng)站，都會(huì)去你的服務(wù)商DNS 服務(wù)器查詢IP 地址。通常你所在的城市ISP （網(wǎng)絡(luò)服務(wù)提供商）都會(huì)有一個(gè)DNS 服務(wù)器，他會(huì)在你第一次訪問時(shí)緩存你的域名指向。下次你再訪問時(shí)，他會(huì)從緩存里把你曾經(jīng)指向的IP 調(diào)出來。

3. 政治因素

3.1. 服務(wù)器沒有備案；

3.2. 域名備案存在問題；

3.3. 黑客入侵導(dǎo)致服務(wù)器違法行為；

3.4. 違規(guī)代理服務(wù)器；

3.5. 服務(wù)器轉(zhuǎn)發(fā)違禁網(wǎng)站；

3.6. 服務(wù)器放置的網(wǎng)站內(nèi)容不符合當(dāng)?shù)氐恼ɡㄒ?guī)；

三、故障處理

1. 劃分故障等級