首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件网络安全

系统安全 | 邮件软件漏洞 | 攻防技术 | 安全基础 | 病毒公告 | 病毒查杀 | Forefront/TMG/ISA | 防火墙 | 数字签名 |
首页 > 邮件网络安全 > 安全基础知识 > 网络服务器安全问题初探 > 正文

网络服务器安全问题初探

出处:本站收集 作者:请作者联系 时间:2005-10-21 1:02:00
 

  很多网管都碰到过这样一些难堪的事,因为服务器的安全漏洞问题,导致其中数据的丢失、权限被非法取得、或者被那些刚刚懂得一点点网络安全知识的菜鸟们指出服务器有这样那样的缺点,被搞得很没面子。其实我也遇到过这样的问题。后来,随着工作中的研究和探讨,逐渐发现这些安全隐患的存在原因以及解决办法。在这里拿出来跟大家探讨一二。

  网络服务器主要是指那些存放网站数据的WEB服务器、DATA服务器、DNS服务器和MAIL服务器而言。WEB服务器的问题已经说过不少了,在这里就主要谈谈DATA服务器、DNS服务器和MAIL服务器的问题。

  A、DATA服务器

  先来看看DATA服务器。它主要是存放数据库的服务器。以SQL数据库为例,从安全角度考虑,SQL服务器与BACKOFFICE组件中的所有程序一样,都是以Windows NT Server为基础,利用了Windows NT Server 自身拥有的安全性能。而且,当你将SQL服务器与Internet 相连时,为保证你数据的安全性和完整性,有些事情你需要特别考虑。

  1. 支持SQL服务器的Internet Database Connector(简称IDC)的安全性在通常情况下,数据库的开发者在使用IDC来处理SQL服务器数据时,就应该考虑对你的数据库实施必要的保护措施。有哪些是必须要做到的呢!根据我的一些经验,以下几点是需要考虑的:

  1) 使用NTFS分区。

  2) 给予用户执行日常任务所必需的最低等级的访问许可权。

  3) 强制执行口令和登录策略。

  4) TCP/IP过滤。

  5) 防火墙及代理服务器。

  通过以上几步措施,你的SQL服务器已经具备初级的安全防范的功能。但是这些是远远不够的,因为高级的网络入侵者往往能够绕过这些防御。那么我们就需要进一步提高服务器的安全性能。用户必须得到访问.IDC和.HTX文件的许可权才能处理数据,如果你赋予匿名访问权,那么IUSR_计算机为匿名访问设定的账户必须拥有访问这些文件的许可权。

  这里必须提出的是,Windows NT用户名必须严格符合SQL服务器综合性安全命名原则。下划线、美元符号和英镑符号都不允许使用(这意味着不能使用缺省的账户IUSR_计算机名进行SQL服务器访问 )。另外IDC文件对于SQL数据库有效用户口令的保护等措施也是很必要的。

  2. IIS本身的安全性问题这个话题相信很多朋友看了都会感到很熟悉。在这里,我只想讨论一下IIS的SQL Web Assistant的问题。通过使用 SQL Web Assistant 也可以多少地保证你的 Microsoft Exchange 服务器、Internet信息服务器和SQL的安全。一般来讲,只要您正确使用配置好SQL Web Assistant,都能够比较理想地达到SQL数据库的安全保障。

  B、DNS服务器

  DNS服务器是Internet上其它服务的基础,它处理DNS客户机的请求:将名字与IP地址进行互换,并提供特定主机的其它已公布信息(如MX记录等)。一般而言,网管们碰到的大多会有以下几种情况。

  1.名字欺骗。

  当主机B访问主机A(同时也作为DNS服务器)如执行rlogin时,A接收到这个连接并获得发起本次连接主机B的IP地址。为验证本次连接的合法性,主机A就向本地DNS服务器逆向查询对应于这个IP地址的主机名字。当返回查询结果——主机名B为本机所信任的主机时,就允许来自B的远程命令rlogin。

  下面我们再来看看主机D是如何利用验证漏洞来欺骗主机A的。当主机D也执行rlogin时,主机A同样要验证本次连接的合法性。如果A不能根据D的IP在本地DNS服务器中查询到对应的主机名时,就会向其它DNS服务器发出请求,最后终会找到DNS服务器C。

  如果入侵者修改DNS服务器C中对应于自己IP地址的主机名为主机B时,主机A就会获得对应于D的IP地址的主机名是B的逆向查询结果,因此主机A认可本次连接。于是欺骗A成功。

  2.信息隐藏。

  当某个企业由于保密等原因的需要,给某些特定主机以特定的内部主机名,而这些主机密码又被入侵者获取时,存放保密数据的服务器主机就会完全暴露。

  解决以上两个问题的办法主要有两种:

  1)直接利用DNS软件本身具备的安全特性来实现;

  2)以防火墙/NAT为基础,并运用私有地址和注册地址的概念。简而言之就是将内部DNS服务器和外部DNS服务器进行物理分开,内部DNS服务器解析私有的IP,而外部DNS则解析公开的IP。内部主机使用私有地址;对Internet服务的主机用NAT完成注册地址到其私有地址的静态映射;访问Internet的主机用NAT完成其私有地址到注册地址的动态映射。

  C、MAIL服务器

  MAIL服务器一直因其安全性而成为广大网友抱怨的对象。的确,从理论上讲,MAIL服务是一种不安全的服务,因为它必须接受来自INTERNET的几乎所有数据。Internet上,服务器间的邮件交换是通过SMTP协议来完成的。主机的SMTP服务器接收邮件(该邮件可能来自外部主机上的SMTP服务器,也可能来自本机上的用户代理),然后检查邮件地址,以便决定在本机发送还是转发到其它一些主机。Unix系统上的SMTP程序通常是Sendmail。有关Sendmail的安全问题重要的原因在于它是一个异常复杂的程序,而另一个原因是它需root用户特权运行。

  解决的方法大致有三种:

  1. 使用Unix系统自带的安全特性;

  2. 使用代理;

  3. 直接修改源码。

  以上是对网络服务器安全问题及其解决办法的一些初步探讨。其实,关键的问题还是在于网络管理员对网络安全意识的建立和实施。因为多数网络安全事件的发生,都是因为网络管理员安全意识的缺乏和防范措施实施的不到位。

,
相关文章 热门文章
  • 微软推出新功能 提高Hotmail密码安全性
  • 增强OWA 2003附件安全性
  • 收集安全日志
  • Microsoft Exchange Server 邮件安全
  • 恼人的安全问题
  • 捍卫邮箱安全,反垃圾技术不可松懈
  • IBM Lotus Notes Traveler多个安全漏洞
  • OfflineIMAP SSL凭证验证安全绕过漏洞
  • 稳捷网络助力安邦保险构建大型邮件安全防护体系
  • 更安全、更便捷 Winzip酷邮使用体验
  • Exchange 2003对象上显示“安全”选项卡的方法
  • 利用Forefront保护Exchange与分支机构连接安全
  • 巧妙隐藏IP地址做网上“隐身”人
  • SYMANTEC NAV 9.0中文企业版的安装
  • Rapid Restore PC安装及使用步骤
  • DoS 拒绝服务攻击
  • 如何实现VPN使用脱离内部网络的IP地址
  • 关于卡巴斯基使用的个人经验综合
  • 常用端口对照详解
  • 免费端口监控软件Port Reporter
  • 宽带拨号连接密码恢复原理
  • 网络端口及其详解
  • 图解McAfee的使用方法
  • 网络安全技巧大全
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号