全站文章 iT邦幫忙
訂閱電子報手機版RSS訂閱
iThome Online提供免費電子報,現在就訂,最新IT訊息每日寄達。
iThome 每日新聞報
iThome 產品技術報
加入iThome Online會員,立即使用討論區、Blog等服務。
免費加入會員
登入 / 登出
管理會員帳號
忘記帳號密碼
聯絡客服
訂閱周刊
讀者服務
10'e政府專刊No.3 (36)
09'e政府專刊No.2 (35)
09'e教育專刊(34)
09'e政府專刊(33)
08'企業資安專刊-端點安全防護(32)
08'企業採購情報誌(31)
07'資訊安全技術應用專刊(30)
07' 新世代資料中心專刊(29)
07'企業資安技術應用專刊(28)
企業採購情報誌'06冬季號(27)
企業軟體技術應用專刊(25)
企業資安技術應用專刊(24)
美FBI防禦網路攻擊的12項建議
文/黃彥棻 (記者) 2009-01-02
駭客利用微軟SQL Server各種漏洞,發動網路攻擊,其中又以SQL Injection(隱碼攻擊)最為常見。為了遏止相關網路攻擊再惡化,美國網路犯罪申訴中心提出12點網路攻擊預防措施。

美國FBI網路犯罪中心(IC3)日前指出,利用微軟SQL Server的漏洞,植入各種後門程式以取得有效使用者存取資料庫權限,是目前駭客最常使用的攻擊手法之一。對此,FBI IC3提出12種基本的預防之道。

首先,對於常見SQL Injection(隱碼攻擊)或微軟SQL Server漏洞,FBI IC3認為,資料庫管理人員應該關閉有傷害性的SQL Stored Procedure(預存程序)呼叫,例如最常見的xp_cmdshell可允許存取本地端的程式,就是一種安全性的隱憂。FBI IC3提醒,要關閉這類有害的Stored Procedure,除了關閉呼叫功能,更需移除相關dll檔。

其次,FBI IC3建議,網站伺服器(例如微軟的IIS)應該過濾掉過長的網址。IT人員可以找出網路服務所使用的最長網址長度,藉由限制過長網址,可避免駭客在網址中隱含惡意網址或參數字串。再者,對於目前許多動態網頁內容安全性的保護,FBI IC3認為,網路管理員應該要做到過濾字串和只傳參數,把程式的控制指令替代成字串,不會對SQL指令造成影響,但又能在瀏覽器正確顯示。

許多IT人員習慣以最高管理者權限執行安裝各種服務,這也意味著,一旦這個最高管理者權限被竊,整個伺服器和資料庫的安全性將岌岌可危。所以,FBI IC3建議,不要使用最高權限安裝微軟的SQL Server和IIS網站伺服器,只安裝所需的程式,例如AD伺服器就不需要安裝Microsoft Office,對網路和資料庫使用者,只提供最小權限。

提供密碼保護,是保護管理者帳號的基本作為。但FBI IC3發現,有很多企業IT管理人員經常採用SQL Server預設SA管理者帳號和預設空白密碼,這些都是安全上的一大隱憂。此外,對於主機登入密碼多次輸入錯誤,應暫時封鎖並做檢查,FBI IC3認為這是對駭客入侵的初次檢驗。

FBI IC3認為,所有企業內的伺服器都應該禁止直接連網,所有的連網都應該透過代理伺服器(Proxy)對外連線,才能夠檢查連線內容和連線埠。FBI IC3也提醒,對於一些會產生驗證金鑰(例如PIN碼)的HSM(硬體加密模組),應該限制其他指令不可以產生這種加密的PIN碼,避免讓駭客可以取得足夠的樣本,藉此反推加密演算法以保護加密演算法。

FBI IC3建議,企業IT人員對於資料庫的管理往往較為鬆散,不論是存取資料庫的黑白名單,或制定更謹慎的資安管理規則,都是讓資料庫更安全的手法之一。最後,FBI IC3也提醒,企業內IT人員應該要在防火牆定期更新已知的惡意網址或IP位址,檢驗企業內是否有連結這些惡意網路位址的記錄,即時掌握企業內資安動態。文☉黃彥棻



機房改造與管理實務研討會
高可靠資料保護商用IT平台研討會
EMC Forum 2010
Tech•Days Taiwan 2010
+更多研討會
▼ ADVERTISEMENT ▼
▲ ADVERTISEMENT ▲
電週文化事業版權所有、轉載必究 •Copyright © iThome | 刊登廣告授權服務服務信箱隱私權聲明與會員使用條款關於iThome