10.6邮件安全:SMTP、POP、IMAP和Exchange 安全顾问总是对破坏sendmail、Exchange和IMAP服务器等的可能性提出警告。在域中邮件的处理在很大程度上取决于域名服务器和防火墙的设置。一般地,POP和IMAP服务应该在防火墙以内,以保护用户的邮件、目录,特别是口令,防止外界使用这些信息来侵入节点。只要记住POP(除非是APOP)用明文发送口令,任何人都可以暗中破坏用户和服务器之间的一个路由器,从而监视传送路径的人都可得到用户名和口令。最好使用认证服务器进程,它不用明文发送口令。 在实际应用中最好使用防火墙以外的某个服务器作为中继,然后再将邮件发往主服务器。这样就必须在防火墙外有一个可输出的值得信任的服务器。你可能希望是外面的一个简单的服务器或交换服务器。如果确实希望更安全,可以安装一个监视程序以进一步证实在这个外部服务器上没有产生大的变动。一旦发生了改变,就应该从“sources/CD/someuncontaminatedsource”复制。 使用交换服务器时不需要特别小心,因为它就像任何邮件服务器一样。如果比较关心谁连接着你的服务器,可以监视25号端口的连接。 一般来说,应该使用域中的某台主机作为对内或对外邮件的中继。对内部邮件使用中继,可使实际的邮件系统置于防火墙以内,并可配置为只允许域内主机的邮件连接。与此类似,中继可用于对外邮件,以隐藏内部的机器,并可使用一种特殊的编址规则,使所有对外的邮件都以user@the.domain作为发送地址,即只用域名而不用主机名。这种做法使收信者对邮件响应的地址也简化为对一个域的响应,并有助于保护内部发送邮件的机器的标识。 当然,邮件头部的完全显示也会显示邮件传递的路径,但如果原来的主机是隐藏在防火墙以内,并且不能通过企业的DNS服务器来解析,则也不会有什么问题。如果确实有问题,也可用重发程序来克服。最好的重发程序是自己写的适用于你的特定环境的程序。如果希望隐藏最初的源,在重发信息前要把邮件头部全部去掉。 内部域名服务器的MX记录可以将任何非本地地址的邮件从内部主机指向中继器。中继器在收到邮件后,再通过外部域名服务器进行另一次查找以便将邮件发到其Internet上的目的地。中继器也可设置为将域的内部邮件转接到防火墙内的一台专用主机,再由这台主机将邮件通过邮寄的别名发送到内部的用户或子域。另外,MX记录也可用于将邮件传送到域的内部主机。 10.7WWW安全性 当谈到WWW时,在今天似乎是每个人都有一个Web站点。重要的是如何保证Web服务器的安全和保护其内容。问题在于有了一个Web站点存在,也就是有一台每个人都可看到的机器(如果此机器不可以被看到,为什么还要设置Web服务器?)。一个例外是目标为企业内部职工的企业网(Intranet)站点。 有许多产品和技术可用于保证计算机上信息的安全性,其中使用时间最长的是分组过滤。管理员可以在机器上安置一个过滤器来保护Web服务器,使得只有Web通信才能经过服务器,其他都不可以。从机器上阻塞了Telnet、FTP和电子邮件等服务,就可以限制可能附加在这些服务上的攻击。 对保护Web节点来说,代理服务器也是很有用的,因为远端的用户将决不会实际进入Web服务器。远端用户的请求被代理服务器截获,然后由代理服务器查询Web服务器。代理服务器再将信息返回给远端请求数据的用户。 还可使用各种重定向技术,此时Web服务器名通过DNS解析为一个虚拟的IP地址。当请求加载到这个虚拟的IP地址时,可以被重定向到相应的实际的服务器。在这种情况下,远端的用户的确从实际的Web服务器得到了信息,但Web服务器的实际IP地址对用户却是隐藏的。这些重定向技术还可以对负载平衡以及高可用性解决方案提供高度的灵活性。 通常称DNS可以负载平衡,或者至少可使到达一个目标的路径随机化,该目录可以是一个Web服务器也可以是它们的代理服务器。当有很多合法服务需传送时,将会遇到很多问题,并且需要对组件和数据服务更直接的访问。这些都渐渐偏离了纯粹的包过滤方案,但所有方案都需要DNS、Web、防火墙管理员之间的协调。 与以前提到的DNS攻击结合,可能会受到“中间人”的攻击,如果黑客可以把发向一个特定Web地址的请求重新指定到他自己的机器上,而且他的机器上有一个更改了的服务器,该黑客就可以用他的机器为你的Web客户发回请求服务,并监视此节点的一切反应。这就是为什么要有一个安全服务器,保证它不受DNS攻击很重要。 10.8FTP安全性 FTP服务器有它自己在安全方面的弱点,帮助提高FTP服务器安全性的方法之一是通过用户的反向查找。许多FTP服务器的登录连接是由已知其主机名和IP地址的远端主机接人的。反向查找可用来验证建立连接的主机的主机名和IP地址。虽然这看起来对提高安全性并没有多大的作用,但至少可以表明是否采用真实的IP地址和主机名来登录,即是否为合法的FTP服务器登入。顺便说一句,很多HTTP服务器查找信息的注册方式,也是使用反向查找。 反向查找的目的是要确认IP地址和主机名是否完全相符。如果主机名和IP地址不相符,FTP服务器就会拒绝下载的连接要求。在使用反向查找的同时也可使用过滤器,以防止其他类型的访问进人FTP主机。既使是友好的、同一房间内的服务器,也可以考虑使用这种安全方法,只要由DNS来支持反向解析和一个可胜任的FTP服务器。 管理员经常犯的错误之一是在设置匿名FTP节点时允许匿名用户在目录中进行写操作。这可能为黑客修改系统文件以致导致系统不稳定的企图留下缺口,或者黑客可以多次登入,占用大量CPU和存储器资源。这类攻击有可能造成服务器以及服务器所在的子网停止服务。 具有匿名FTP是很有用的,有时甚至是很必要的。对访问FTP服务器的数目加以限制,并且不允许匿名用户具有写的权限,可以为管理员减少许多麻烦。匿名FTP存在的另一个问题是其口令是以清晰的、可读的文本来传送的,任何具有网络流量窃听和跟踪工具的人都可以截取此口令。 需要考虑的一个主要问题是应在DMZ的一个完全隔离的盒子中运行FTP服务器,还要确保进入该盒子的口令与进入同一网络中其他机器上的口令要不同。这样,如果一个口令被窃取,不会影响FTP服务器和网络上的其他机器。这个盒子,与DMZ中的其他盒子一样,与网络的主机环境不应有或有尽量少的信任关系。 10.9小结 本章并不涉及设置连接到Internet的网络的全部安全性问题,而只是描述了和DNS服务最有关的问题。下面列出若干和安全性有关的好书,可以参考这些书来实现可提供DNS和其他服务的安全节点。 (本章完)
[1] [2]
(出处:http://www.sheup.com)
[1] [2]