安全技巧：“防”在溢出之前

溢出是操作系統(tǒng)、應(yīng)用軟件永遠(yuǎn)的痛!在駭客頻頻攻擊、系統(tǒng)漏洞層出不窮的今天，任何人都不能保證自己的系統(tǒng)、程序不被溢出。既然溢出似乎是必然的，而且利用溢出攻擊的門檻比較低，利用工具有一定電腦基礎(chǔ)的人都可以完成一次溢出。這樣看來，我們的電腦系統(tǒng)，就處于隨時被溢出的危險中。我們總不能坐以待斃，做為IT安全人，都應(yīng)該未雨綢廖，做好防范工作，把溢出的可能性降到最低。
    一、如何防?防什么?
    1、必須打齊補丁
    盡的可能性將系統(tǒng)的漏洞補丁都打完;是比如Microsoft Windows Server系列的系統(tǒng)可以將自動更新服務(wù)打開，然后讓服務(wù)器在指定的某個時間段內(nèi)自動連接到Microsoft Update網(wǎng)站進(jìn)行補丁的更新。如果服務(wù)器為了安全起見禁止了對公網(wǎng)外部的連接的話，可以用Microsoft WSUS服務(wù)在內(nèi)網(wǎng)進(jìn)行升級。
    2、服務(wù)最小化
    最少的服務(wù)等于的安全，停掉一切不需要的系統(tǒng)服務(wù)以及應(yīng)用程序，限度地降底服務(wù)器的被攻擊系數(shù)。比如前陣子的NDS溢出，就導(dǎo)致很多服務(wù)器掛掉了。其實如果WEB類服務(wù)器根本沒有用到DNS服務(wù)時，大可以把DNS服務(wù)停掉，這樣DNS溢出就對你們的服務(wù)器不構(gòu)成任何威脅了。
    3、端口過濾
    啟動TCP/IP端口的過濾，僅打開常用的TCP如21、80、25、110、3389等端口;如果安全要求級別高一點可以將UDP端口關(guān)閉，當(dāng)然如果這樣之后缺陷就是如在服務(wù)器上連外部就不方便連接了，這里建議大家用IPSec來封UDP。在協(xié)議篩選中只允許TCP協(xié)議(協(xié)議號為：6)、UDP協(xié)議 (協(xié)議號為：17)以及RDP協(xié)議(協(xié)議號為：27)等必需用協(xié)議即可;其它無用均不開放。
    4、系統(tǒng)防火墻
    啟用IPSec策略，為服務(wù)器的連接進(jìn)行安全認(rèn)證，給服務(wù)器加上雙保險。封掉一些危險的端口，諸如：135 145 139 445 以及UDP對外連接之類、以及對通讀進(jìn)行加密與只與有信任關(guān)系的IP或者網(wǎng)絡(luò)進(jìn)行通訊等等。
    提示：通過IPSec禁止UDP或者不常用TCP端口的對外訪問就可以非常有效地防反彈類木馬。