|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機整體,實現(xiàn)資源的全面共享和有機協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數(shù)據(jù)資源、信息資源、知識資源、專家資源、大型數(shù)據(jù)庫、網(wǎng)絡(luò)、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。 | 分析一下最近幾個月信用卡號碼被盜和網(wǎng)站被黑所顯示的種種安全問題,可以很清楚地看出,許多Web應(yīng)用都是湊合著運行,很少有人關(guān)注其安全問題或作出安全規(guī)劃。那么,造成服務(wù)器缺乏安全保障的常見原因有哪些?如何防范這些不安全因素?作為客戶或者最終用戶,如何才能信任某個服務(wù)器符合了基本的安全需求?
對于以往安全事故的分析表明,大多數(shù)安全問題都屬于下面三種類型之一:
- 服務(wù)器向公眾提供了不應(yīng)該提供的服務(wù)。
- 服務(wù)器把本應(yīng)私有的數(shù)據(jù)放到了可公開訪問的區(qū)域。
- 服務(wù)器信賴了來自不可信賴數(shù)據(jù)源的數(shù)據(jù)。
提供不應(yīng)該提供的服務(wù)
顯然,許多服務(wù)器管理員從來沒有從另一個角度來看看他們的服務(wù)器,例如使用端口掃描程序。如果他們曾經(jīng)這樣做了,就不會在自己的系統(tǒng)上運行那么多的服務(wù),而這些服務(wù)原本無需在正式提供Web服務(wù)的機器上運行,或者這些服務(wù)原本無需面向公眾開放。
與這種錯誤經(jīng)常相伴的是,為了進行維護而運行某些不安全的、可用于竊取信息的協(xié)議。例如,有些Web服務(wù)器常常為了收集訂單而提供POP3服務(wù),或者為了上載新的頁面內(nèi)容而提供FTP服務(wù)甚至數(shù)據(jù)庫服務(wù)。在某些地方這些協(xié)議可能提供安全認(rèn)證(比如APOP)甚至安全傳輸(比如POP或者FTP的SSL版本),但更多的時候,人們使用的是這些協(xié)議的非安全版本。有些協(xié)議,比如msql數(shù)據(jù)庫服務(wù),則幾乎沒有提供任何驗證機制。
從公司外面訪問自己的網(wǎng)絡(luò),完整地檢測、模擬攻擊自己的網(wǎng)站看看會發(fā)生些什么,這對于Web管理者來說是一個很好的建議。有些服務(wù)在機器安裝之后的默認(rèn)配置中已經(jīng)啟動,或者由于安裝以及初始設(shè)置的需要而啟動了某些服務(wù),這些服務(wù)可能還沒有正確地關(guān)閉。例如,有些系統(tǒng)提供的Web服務(wù)器會在非標(biāo)準(zhǔn)的端口上提供編程示范以及系統(tǒng)手冊,它們往往包含錯誤的程序代碼并成為安全隱患所在。正式運行的、可從Internet訪問的Web服務(wù)器不應(yīng)該運行這些服務(wù),請務(wù)必關(guān)閉這些服務(wù)。
另外一種攻擊者經(jīng)常利用的資源是SNMP協(xié)議(簡單網(wǎng)絡(luò)管理協(xié)議,Simple Network Management Protocol)。它可能為攻擊者提供有關(guān)系統(tǒng)和網(wǎng)絡(luò)布局的極其詳細(xì)和寶貴的信息。由于SNMP是一種UDP服務(wù),比較簡單的安全檢查不會發(fā)現(xiàn)它。
當(dāng)然,需要保護的不僅僅是Web服務(wù)器,在防火墻外面的所有其他機器更必須遵從同樣的安全標(biāo)準(zhǔn)。
|
[page]用nmap掃描服務(wù)器
nmap可以從http://www.insecure.org/nmap/獲得。
# nmap -sS -T Agressive -p 1-10000 www.example.server | grep openPort State Protocol Service21 open tcp ftp22 open tcp ssh25 open tcp smtp80 open tcp http111 open tcp sunrpc119 open tcp nntp3306 open tcp mysql4333 open tcp msql
|
www.example.server作為WWW和FTP服務(wù)器使用。此外,該服務(wù)器還提供了ssh、smtp、sunrpc、nntp、mysql和msql服務(wù)。
在這些服務(wù)中,ssh是一種帶有完善加密和認(rèn)證機制的協(xié)議,如果服務(wù)器上運行的ssh是最新版本,那么使用它應(yīng)該是安全的。
http、ftp、smtp和nntp是www.example.server服務(wù)器實際提供的服務(wù),這些服務(wù)是必須運行的。只要FTP只用于匿名服務(wù),網(wǎng)絡(luò)上也不會因此出現(xiàn)以明文形式傳送的密碼。所有其他文件傳輸都應(yīng)該用scp工具和ssh協(xié)議完成。
sunrpc、mysql和msql服務(wù)沒有必要從防火墻外面的機器訪問,而且也沒有必要被所有的IP地址訪問。這些端口應(yīng)該用防火墻或者包過濾器阻隔。
對于所有向公眾開放的服務(wù),你應(yīng)該密切關(guān)注其程序的最新版本和安全信息,應(yīng)該做好一旦發(fā)現(xiàn)與這些程序有關(guān)的安全問題就立即升級軟件的準(zhǔn)備。例如,某些版本的ssh會出現(xiàn)問題,在一些特殊的情形下服務(wù)器可能被騙并以非加密方式運行。對于有些FTP服務(wù)器、早期的sendmail以及某些版本的INN,已知的安全問題包括緩存溢出等。
有些時候端口掃描程序找到了一個打開的端口,但我們卻不知道哪一個程序在操作這個端口,此時就要使用lsof之類的工具了。執(zhí)行命令“l(fā)sof -P -n -i”即可顯示出所有本地打開的端口以及操作這些端口的程序。
# lsof -P -n -iCOMMAND PID USER FD TYPE DEVICE SIZE NODE NAMExfstt 46 root 4u IPv4 30 TCP *:7100 (LISTEN)httpd 199 root 19u IPv4 99 TCP 192.168.1.12:80 (LISTEN)...smbd 11741 root 5u IPv4 28694 UDP 127.0.0.1:1180smbd 11741 root 6u IPv4 28689 TCP 192.168.1.3:139-< 192.168.1.2:1044 (ESTABLISHED)
|
增加額外的參數(shù)就可以掃描指定的協(xié)議和端口:
# lsof -P -n -i tcp:139COMMAND PID USER FD TYPE DEVICE SIZE NODE NAMEsmbd 276 root 5u IPv4 175 TCP *:139 (LISTEN)smbd 11741 root 6u IPv4 28689 TCP 192.168.1.3:139-< 192.168.1.2:1044 (ESTABLISHED)
|
網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中,正因如此,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴(yán)峻的考驗―從硬件上、軟件上、所用標(biāo)準(zhǔn)上......,各項技術(shù)都需要適時應(yīng)勢,對應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進步的催化劑。
| 
