¿Cuáles son los métodos de ataque y medidas de protección comunes en las redes corporativas?
Con el rápido desarrollo y la aplicación generalizada de la tecnología de Internet/Intranet, los problemas de seguridad de la red se han vuelto cada vez más prominentes y se han convertido en un importante punto técnico. La apertura y organización de las técnicas de piratería, así como la apertura de la red, hacen que la amenaza de ataques a la red aumente. Sin embargo, la comprensión de las empresas sobre la gravedad de este problema y su capacidad para afrontarlo están lejos de ser suficientes. Sumado a una gestión inadecuada, niveles desiguales de personal de aplicaciones y la falta de una forma eficaz de controlar el estado de seguridad de la red, existe una enorme brecha entre la seguridad ideal de la empresa y el nivel de seguridad real.
1. Amenazas a la seguridad de la red
(1) Errores humanos involuntarios, como vulnerabilidades de seguridad causadas por una configuración de seguridad incorrecta del operador, la conciencia de seguridad del usuario no es sólida, selección de contraseña del usuario Usuarios descuidados Quienes presten sus cuentas a otros o compartan sus cuentas con otros representarán una amenaza para la seguridad de la red.
(2) Los ataques maliciosos provocados por el hombre desde dentro suelen representar la mayor amenaza para la seguridad de la red interna, porque ellos mismos son personal interno de la unidad y tienen un impacto negativo en el negocio de la unidad. procesos, sistemas de aplicaciones y redes Están muy familiarizados con la estructura e incluso la administración del sistema de red, y este personal puede tener la mayor tasa de éxito al lanzar ataques a la intranet y causar las mayores pérdidas, por lo que este grupo de atacantes debería convertirse en el. principales objetivos contra los que debemos protegernos.
(3) Lagunas y "puertas traseras" del software de red El software de red no puede ser 100% perfecto y libre de vulnerabilidades. Estas lagunas y fallas son precisamente los objetivos de primera elección para los ataques de los piratas informáticos. La mayoría de los incidentes en los que los piratas informáticos irrumpieron en la red fueron el resultado de medidas de seguridad imperfectas. Además, los diseñadores y programadores de la empresa de software instalan la "puerta trasera" del software para su propia conveniencia y, en general, los forasteros la desconocen. Sin embargo, una vez que se abre la "puerta trasera", las consecuencias serán desastrosas.
(4) Factores de inseguridad de Internet La Internet internacional abarca el tiempo y el espacio, por lo que los problemas de seguridad también abarcan el tiempo y el espacio. Aunque la red de nuestro país está subdesarrollada, los riesgos de seguridad que encontramos son los mismos que en el extranjero. Este es un problema muy grave. En diferentes industrias, los ataques experimentados varían según la industria y el servicio de red. En los mercados de telecomunicaciones o ICP, hay más ataques a los sistemas de servicios en la industria bancaria, los ataques a los sistemas de datos son relativamente más frecuentes en el lado gubernamental, los ataques a los servicios, especialmente a sus sistemas de divulgación de información, son frecuentes.
(5) Invasión de virus Actualmente, existen muchos tipos de virus de red. Los virus pueden ingresar fácilmente a la red a través de Internet u otros medios (como a través de puntos de acceso, operaciones de mantenimiento diario, discos y otros). redes externas). Cada servidor provoca congestión de la red, interrupción del negocio y caída del sistema. Los diversos tipos nuevos de virus de red que ahora son populares combinan gusanos de red, virus informáticos y programas troyanos en uno, y se han desarrollado para integrar múltiples tecnologías en una, usándose y cooperando entre sí. Ya no son un solo ataque. y explotación de vulnerabilidades. El sistema en sí está indefenso. Los ataques de virus tendrán un gran impacto en la destructividad de los datos del sistema y del propio sistema.
2. Métodos generales de ataques a la red
Desde la perspectiva de un pirata informático, hay muchas formas en que los piratas informáticos pueden utilizarlos, entre ellas:
(1) Utilizar software de detección. , adivinar y analizar tipos de sistemas operativos, servicios de red, estructura de red, etc.;
(2) Utilice software de ataque forzado para atacar la red, como adivinación forzada de contraseñas para POP, adivinación de contraseñas SQL, etc. ;
(3) Utilice herramientas de escaneo de vulnerabilidades para descubrir vulnerabilidades y luego utilice el desbordamiento del búfer y otros medios para obtener directa o indirectamente derechos de superusuario del sistema si los piratas informáticos explotan la plataforma del sistema en sí debido a vulnerabilidades; Esto conducirá directamente a la interrupción de los servicios comerciales en toda la planta.
(4) Usar troyanos para conexiones ilegales;
(5) Usar una configuración de base de datos simple y descuidada, como que la contraseña del superadministrador es simple o incluso vacía o la contraseña del usuario es la misma. como el nombre de usuario, etc. Vulnerabilidad, obtenga ciertos permisos de la base de datos y luego obtenga permisos del sistema.
(6) Utilice relaciones de confianza para llevar a cabo ataques, como las direcciones de acceso establecidas por algunas bases de datos en el sitio web de Shenzhen Telecom. De esta manera, los piratas informáticos pueden atacar primero estas direcciones en las que confía la base de datos para llevar a cabo ". ataques "salto a salto".
(7) Ataques DDOS, que utilizan diversas herramientas para llevar a cabo ataques de inundación; ataques de denegación de servicio que explotan vulnerabilidades.
3. Medidas de protección de seguridad de la red empresarial
Según las necesidades reales de protección del sistema de red empresarial, el contenido que debe protegerse incluye: Hosts web (sitios web de portales, sistemas OA y otros hosts basados en acceso web), host de base de datos, servidor de correo, etc., entrada de red, detección de red interna. Lo que es importante para las empresas es proteger eficazmente el servidor web contra accesos ilegales y las páginas web contra modificaciones ilegales, y proteger los datos del servidor de bases de datos para que no accedan ilegalmente usuarios no autorizados o sean manipulados o eliminados por piratas informáticos. Una vez que se descubre que el servidor ha sido invadido o la página web ha sido manipulada, se puede realizar un procesamiento oportuno de alarma y recuperación.
(1) Firewall, se debe configurar un equipo de firewall entre la red externa y la red interna. Como filtrar datos dentro y fuera de la red a través del firewall; controlar y bloquear comportamientos de acceso dentro y fuera de la red; bloquear ciertos servicios prohibidos; registrar contenido de información y actividades que pasan a través del firewall; Prohibir a los usuarios externos ingresar a la red interna y acceder a las máquinas internas; garantizar que los usuarios externos puedan y solo puedan acceder a cierta información pública designada; restringir el acceso de los usuarios internos solo a ciertos recursos de Internet, como servicios WWW, servicios FTP y servicios TELNET, etc. el producto firewall en sí tiene fuertes capacidades antiataques. El uso de firewalls de hardware hace que la administración y el mantenimiento sean más convenientes y efectivos.
(2) Sistema de detección de intrusiones. Generalmente existen más de dos tipos de sistemas operativos host dentro de las empresas. Sin embargo, la mayoría de los métodos de ataque de vulnerabilidades actuales se basan en las vulnerabilidades de seguridad existentes del sistema operativo. el uso de equipos de firewall puede prevenir la mayoría de los ataques de piratas informáticos, pero algunos métodos de ataque se implementan a través de servicios normales abiertos en el firewall, y el firewall no puede evitar comportamientos maliciosos y operaciones incorrectas por parte de los usuarios internos. Al utilizar el sistema de detección de intrusiones, puede monitorear el estado de ejecución de los usuarios y sistemas, buscar operaciones no autorizadas por parte de usuarios ilegales y legales; detectar la corrección de la configuración del sistema y las vulnerabilidades de seguridad, y solicitar a los administradores que corrijan las vulnerabilidades; actividades ilegales del usuario, descubrir los patrones de comportamientos de ataque; verificar la coherencia y corrección de los programas y datos del sistema; poder responder a los comportamientos de ataque detectados en tiempo real;
(3) Escaneo de vulnerabilidades de la red Los intrusos generalmente buscan puntos de intrusión buscando vulnerabilidades de seguridad en la red. El objetivo principal de realizar comprobaciones de vulnerabilidades en el sistema en sí es descubrir vulnerabilidades antes de que lo hagan los intrusos y remediarlas de manera oportuna para brindar protección de seguridad. Dado que la red cambia dinámicamente: la estructura de la red cambia constantemente y el software del host se actualiza y agrega constantemente, por lo tanto, a menudo debemos usar escáneres de vulnerabilidades de red para detectar y analizar automáticamente las vulnerabilidades de seguridad en los dispositivos de la red, incluidos: servidores de aplicaciones, WWW; servidores, equipos de red como servidores de correo, servidores DNS, servidores de bases de datos, servidores de archivos importantes y conmutadores pueden detectar debilidades y vulnerabilidades en los equipos de red simulando técnicas de ataque de piratas informáticos, recordar a los administradores de seguridad y mejorar las políticas de seguridad de manera oportuna para reducir la seguridad. riesgos.
(4) Para evitar que los virus informáticos se propaguen en la red, el sistema antivirus debe aislar las fuentes de virus de cuatro aspectos: Internet, correo, servidores de archivos y terminales de usuario para garantizar que toda la red esté libre de virus informáticos y evite la generación y difusión a gran escala de información dañina y spam en Internet. El software antivirus puro es una versión única del sistema y solo se puede utilizar en una única computadora. Solo puede garantizar que los virus se eliminen después de que aparecen, pero no puede prevenir la propagación de virus ni la infección de virus desconocidos. El usuario no tiene este software antivirus, se convertirá en una fuente de infección de virus que afectará a otros usuarios y el impacto de los virus transmitidos por la red será aún mayor. Sólo integrando antivirus y antivirus en uno podemos lograr mejor el objetivo de prevenir y eliminar completamente los virus.
Por lo tanto, utilizar una solución antivirus y antivirus de red integral es la mejor manera de eliminar el impacto de los virus.
Puede eliminar eficazmente virus y virus de correo electrónico que entran y salen de la red corporativa y proporciona capacidades antivirus independientes basadas en la red. El sistema de protección antivirus de la red puede garantizar actualizaciones oportunas de las bases de datos de virus y la inspección de virus desconocidos. Además, es necesario mejorar el nivel de gestión de las operaciones de la red y garantizar la seguridad de la red de forma eficaz e integral.
4. Soluciones de seguridad de redes empresariales
En un sentido amplio, la seguridad del sistema informático tiene un amplio alcance que incluye no solo el sistema informático en sí, sino también los desastres naturales (como los rayos). , terremotos, incendios, etc.), daños físicos (como daños al disco duro, vencimiento de la vida útil del equipo, etc.), fallas del equipo (como cortes de energía, interferencias electromagnéticas, etc.), accidentes, etc.
La seguridad del sistema en un sentido estricto incluye los problemas de seguridad de los hosts, equipos de red y ciertos equipos terminales en sistemas host de computadoras y sistemas de red, principalmente dirigidos a la protección de medios ilegales como ataques, intercepciones y engaños en estos sistemas. Todas las siguientes seguridades de sistemas informáticos son categorías de seguridad de sistemas limitadas. La planificación de los planes de seguridad de la red empresarial debe basarse en el estado de la red de la empresa y las necesidades de seguridad de la red, combinado con el análisis de la seguridad de la red, en primer lugar, es necesario fortalecer el control y la gestión de la seguridad de exportación de la red para evitar la aparición de incidentes de seguridad; es necesario fortalecer el control de acceso a la red interna, planificar la red según la división comercial y limitar el alcance del acceso de los usuarios de la red, al mismo tiempo, agregar equipos de detección de seguridad de la red para monitorear el acceso ilegal de los usuarios; Recomendamos que las soluciones de seguridad empresarial generalmente tengan las siguientes prácticas:
(1) Coloque un firewall de hardware de alto rendimiento (incluido firewall, administración de ancho de banda, detección de flujo, IDS interactivo, etc.) en el acceso a Internet. punto. El firewall debe admitir tecnologías de filtrado de paquetes y proxy a nivel de aplicación, tener tres métodos de administración, poder configurar fácilmente varias políticas de seguridad para el firewall y poder interactuar con el sistema de detección de intrusiones en la red y cooperar entre sí para bloquear ataques de piratas informáticos. .
(2) Conecte rápidamente un sistema de detección de intrusiones en la red al conmutador de red grande en la intranet para verificar los paquetes de datos que ingresan a la intranet y garantizar que no ingresen paquetes de datos maliciosos, lo que afectará el servidor de datos de la intranet normal. operación.
(3) Utilice el sistema de detección de intrusiones de Internet para escanear servidores en la zona DMZ y la intranet (incluidos servidores web/servidores de aplicaciones, servidores de datos, servidores DNS, servidores de correo y servidores de administración, etc.), como así como computadoras de escritorio y evaluación, realizar análisis de seguridad manuales para identificar diversos riesgos y vulnerabilidades de seguridad y hacer recomendaciones de refuerzo basadas en los resultados del escaneo para proteger el funcionamiento normal del sistema de red empresarial.
(4) Instale productos antivirus de servidor en cada servidor principal para protegerlo de virus y garantizar que los virus no entren en cada servidor y no se propaguen a través del servidor.
(5) Utilice un servidor de PC dedicado para instalar el sistema antivirus del servidor, instale productos antivirus de estaciones de trabajo en la intranet y administre y actualice estas estaciones de trabajo a través del sistema antivirus del servidor.