确保网络安全是一项非常艰巨的任务。硬件和软件方面有很多细节(用户除外!)
您采取了哪些步骤来验证您的网络安全?
您使用哪些工具来保护您的网络?
哪些大漏洞经常得不到修复?
答案1
我们的办公室规模很小,只能用很少的预算来管理。我们的方法包括:
网络入侵检测:我们使用 StillSecure 的免费 StrataGuard——它是一款配置了 Snort 的强化 Linux,具有非常直观的 Web 界面,并定期更新规则。在旧机器上安装了免费版本,根据生成的警报稍微调整了规则,然后就大功告成了!效果很好,不过您需要一个能够将流量镜像到单个端口的网络交换机。非免费版本的 StrataGuard 有支持,还有更多花哨的功能,并且可以处理更高的流量。
基于主机的入侵检测:我们编写了一个小型 .NET 应用程序,它作为服务在我们的 Windows 机器上运行,每隔几个小时从事件日志中转发事件(根据我们选择的类型、ID 和时间进行过滤 - 如其他地方所述,Randy Franklins Smith 的网站为http://www.ultimatewindowssecurity.com/Default.aspx在决定审查哪些事件时,这些数据具有无价的价值)被传输到一个中央数据库,供我们审查和保留。
定期内部审计:我们会定期检查每个设备,确保所有不必要的服务都已禁用,端口也已关闭,并使用 rootkit 和恶意软件检测软件进行深度扫描,这些软件与每天运行的实时反病毒软件不同。我们还使用 nmap 分析网络并扫描漏洞,并使用 wireshark 根据需要分析特定流量。
补丁更新:WSUS 确保并验证我们所有的 Windows 机器都已安装最新的安全补丁,并防止占用带宽。不过,Linux 机器上的 Cron-apt 尚未找到集中验证该过程的好方法。此外,强烈建议集中管理服务器和工作站反恶意软件,这些产品的大多数企业级版本都提供此功能。
政策:也许最重要的是,即使在小型组织中,您也需要从描述组织的安全计划或程序集的文档开始。该文档将概述数据面临的风险以及您如何应对这些风险。这是通常被忽略的最重要的部分,但如果您面临大多数外部审计,这是您需要参考的第一件事,并且希望您已经更新或已经更新。http://www.sans.org/resources/policies/。
对于预算紧张的组织来说,好消息是,除了反恶意软件套件之外,所有这些东西都是免费的,并且 - 除内部审计外 - 在最初投入时间进行设置后,每天非常容易进行审查。
答案2
这些答案都是我从中摘录的我的回复
使用 IDS
SNORT® 是一种开源网络入侵预防和检测系统,采用规则驱动语言,结合了基于签名、协议和异常的检查方法的优点。迄今为止,Snort 的下载量已达数百万次,是全球部署最广泛的入侵检测和预防技术,已成为业界事实上的标准。
Snort 读取网络流量,并可以查找“驱动渗透测试”之类的内容,即有人对您的服务器运行整个 metasploit 扫描。在我看来,了解这些事情是件好事。
监控你的服务器 - 图表可以提示你是否有异常。我使用仙人掌密切关注 CPU、网络流量、磁盘空间、温度等。如果出现问题看起来奇怪的是是很奇怪,你应该找出为什么奇怪。如果应用程序层的流量突然激增,我会想知道原因。
答案3
说真的,根据公司的规模,最好的办法可能是让第三方定期对您的系统进行安全审核。高层领导喜欢您的安全性经过独立验证的事实,而且说真的,对于大多数 IT 人员来说,让系统正常运行已经很困难了,更不用说掌握每一个新的安全漏洞了。
可能不是您想要的答案,但值得一说。
答案4
您必须了解自己所问的问题。这就像问“我的建筑是否安全?”。建筑本身并不是真正“安全”的 - 它只是坐落在那里。真正的意思是“我是否可以始终信任建筑内的任何人?”,答案几乎总是“不”,因为您永远无法完美地防御内部人员。同样,对于网络,您真正要问的是“我是否可以相信我收到的每个数据包都是真实的,并且我发送的每个数据包都不会被拦截或替换?”。当然,您必须意识到,这永远不可能是真的,因为您永远无法真正证明网络上每台计算机的安全性和可靠性。
这就导致了缺乏安全感,必须通过问一些略有不同的问题来弥补,这些问题能可以肯定地回答,例如“我能否以某种方式确保,当我认为我正在向路由器网关发送数据包时,实际上是网关在接收它们,而不是其他主机?”或“我能否确保我的主机和我的登录/文件/内联网服务器之间的数据包不会被拦截和窃听?”。这些问题是“是的。“,因为使用 IPsec 或其他技术,能确保网络上与您交谈的人确实是他们所说的那个人,并且他们之间的通信不会被监听。
(你必须忘记 IPsec 是一种“VPN”技术。它不是——它是一种加密和认证技术。)