最新消息

2024/03/19 【網路監控軟體】PRTG不同層級的5種安全保護功能(Different layers of security in Paessler PRTG)

【網路監控軟體】PRTG不同層級的5種安全保護功能(Different layers of security in Paessler PRTG)

原文由 Alexandros Toptsoglou 於 2024 年 1 月 29 日發表
最後更新時間:2024 年 1 月 29 日

繼我的第一篇部落格文章 Secure communication within Paessler PRTG(其中介紹如何在 PRTG 中設定安全措施)之後,本文我將解釋 PRTG 實現的各個安全層。 這些層降低了未經授權存取 PRTG 的風險,這種存取可能會危及底層作業系統 (OS)。 在本文中,我還將分享如何安全處理 PRTG 設定檔的建議。

PRTG資安保護功能一:過載保護

PRTG 嵌入的第一個功能是所謂的過載保護。 此功能是對抗蠻力攻擊的內建機制。 更具體地說,在經歷多次錯誤登入嘗試後,PRTG 會大大增加下一次登入嘗試所需的時間。 您可以在知識庫中閱讀有關此功能的更多資訊:What is overload 

PRTG資安保護功能二:設定自動登出

PRTG 也允許使用者設定自動登出選項(設定 | 系統管理 | 使用者介面 | PRTG Web 介面)。 啟用此功能需要使用者或管理員在一段時間不活動後重新登入。因此,即使忘記解鎖的會話也會被鎖定,從而減少意外或惡意內部威脅攻擊的可能性。 有關如何設定此功能的更多信息,請參閱 PRTG 手冊:User Interface

PRTG資安保護功能三:防止惡意程式碼執行

雖然上述功能有助於降低成功滲透到 PRTG 的風險,但對於惡意行為者已經獲得對 PRTG 實例的存取權的情況,還存在另一層安全性。 為了最大限度地減少潛在的損害,PRTG 的設定方式限制了被用來執行惡意程式碼的可能性。 這是有可能的,因為對某些感測器(例如:自訂感測器)所做的更改並不會發生在 PRTG 內。

因此,即使惡意者在一些情況下可能有權存取 Paessler PRTG,他們也無法利用 UI 使用惡意腳本創建新的自訂感測器或更改現有感測器並執行它。 相反,作業系統系統管理員需要直接編輯或建立腳本並將其放置在 PRTG 可以讀取的特定位置。

PRTG資安保護功能四:伺服器高特權

您可以在知識庫中閱讀有關此功能的更多資訊:為什麼我必須將 SQL 感測器查詢和自訂腳本儲存在探針電腦上的檔案中? 

PRTG資安保護功能五:安全設定檔

最後,PRTG 設定檔還有一個額外的安全層。 Paessler PRTG 將整個 PRTG 配置(感測器、裝置、憑證等)儲存在設定檔中。 此設定檔不僅預設儲存在只有具有管理員權限的使用者才能存取的位置,而且 PRTG 還使用 AES-256 加密所有機密或密碼; 在設定檔中並無法找到純文字檔案。
 
PRTG 在運行時根據需要解密這些檔案。 透過這樣做,我們可以降低意外洩漏機密資訊的風險。 此外,PRTG 的設計方式是,如果客戶透過支援包共享此文件,機密資訊將自動刪除。 我們的支援團隊只能看到配置; 我們看不到任何相關的秘密。 設定檔的每次自動備份都採用相同的安全措施。
 
當然,作為所有文件的一般建議,尤其是設定檔和任何自動備份,管理員不應僅依賴 PRTG 及其作業系統來確保安全。 相反,管理員應採取必要的步驟來確保設定檔在傳輸、部署和儲存(例如備份)過程中保持安全性和存取控制。
 
我們強烈建議您閱讀 PRTG 手冊中的部分:read the section in the PRTG Manual,其中我們提供了有關配置文件的存在、其自動創建的備份的具體詳細信息,以及有關如何在不同情況下正確處理該文件的建議。 

PRTG網路監控軟體聯繫管道

從上述安全特性可以看出,PRTG將安全特性分層實現,實現了深度安全。 因此,即使一項安全措施失敗,其他安全功能也可以幫助降低旨在洩漏資料、執行不需要的程式碼甚至進一步損壞底層作業系統的成功攻擊的風險。
 
然而,安全是一個永無止境的故事,因此我們鼓勵每個人透過信箱(security@paessler.com)與我們聯繫,並報告潛在的安全問題或疑慮。
 
原文網址:https://blog.paessler.com/different-layers-of-security-in-paessler-prtg