|
網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。 | 分析一下最近幾個月信用卡號碼被盜和網站被黑所顯示的種種安全問題,可以很清楚地看出,許多Web應用都是湊合著運行,很少有人關注其安全問題或作出安全規劃。那么,造成服務器缺乏安全保障的常見原因有哪些?如何防范這些不安全因素?作為客戶或者最終用戶,如何才能信任某個服務器符合了基本的安全需求?
對于以往安全事故的分析表明,大多數安全問題都屬于下面三種類型之一:
- 服務器向公眾提供了不應該提供的服務。
- 服務器把本應私有的數據放到了可公開訪問的區域。
- 服務器信賴了來自不可信賴數據源的數據。
提供不應該提供的服務
顯然,許多服務器管理員從來沒有從另一個角度來看看他們的服務器,例如使用端口掃描程序。如果他們曾經這樣做了,就不會在自己的系統上運行那么多的服務,而這些服務原本無需在正式提供Web服務的機器上運行,或者這些服務原本無需面向公眾開放。
與這種錯誤經常相伴的是,為了進行維護而運行某些不安全的、可用于竊取信息的協議。例如,有些Web服務器常常為了收集訂單而提供POP3服務,或者為了上載新的頁面內容而提供FTP服務甚至數據庫服務。在某些地方這些協議可能提供安全認證(比如APOP)甚至安全傳輸(比如POP或者FTP的SSL版本),但更多的時候,人們使用的是這些協議的非安全版本。有些協議,比如msql數據庫服務,則幾乎沒有提供任何驗證機制。
從公司外面訪問自己的網絡,完整地檢測、模擬攻擊自己的網站看看會發生些什么,這對于Web管理者來說是一個很好的建議。有些服務在機器安裝之后的默認配置中已經啟動,或者由于安裝以及初始設置的需要而啟動了某些服務,這些服務可能還沒有正確地關閉。例如,有些系統提供的Web服務器會在非標準的端口上提供編程示范以及系統手冊,它們往往包含錯誤的程序代碼并成為安全隱患所在。正式運行的、可從Internet訪問的Web服務器不應該運行這些服務,請務必關閉這些服務。
另外一種攻擊者經常利用的資源是SNMP協議(簡單網絡管理協議,Simple Network Management Protocol)。它可能為攻擊者提供有關系統和網絡布局的極其詳細和寶貴的信息。由于SNMP是一種UDP服務,比較簡單的安全檢查不會發現它。
當然,需要保護的不僅僅是Web服務器,在防火墻外面的所有其他機器更必須遵從同樣的安全標準。
|
[page]用nmap掃描服務器
nmap可以從http://www.insecure.org/nmap/獲得。
# nmap -sS -T Agressive -p 1-10000 www.example.server | grep openPort State Protocol Service21 open tcp ftp22 open tcp ssh25 open tcp smtp80 open tcp http111 open tcp sunrpc119 open tcp nntp3306 open tcp mysql4333 open tcp msql
|
www.example.server作為WWW和FTP服務器使用。此外,該服務器還提供了ssh、smtp、sunrpc、nntp、mysql和msql服務。
在這些服務中,ssh是一種帶有完善加密和認證機制的協議,如果服務器上運行的ssh是最新版本,那么使用它應該是安全的。
http、ftp、smtp和nntp是www.example.server服務器實際提供的服務,這些服務是必須運行的。只要FTP只用于匿名服務,網絡上也不會因此出現以明文形式傳送的密碼。所有其他文件傳輸都應該用scp工具和ssh協議完成。
sunrpc、mysql和msql服務沒有必要從防火墻外面的機器訪問,而且也沒有必要被所有的IP地址訪問。這些端口應該用防火墻或者包過濾器阻隔。
對于所有向公眾開放的服務,你應該密切關注其程序的最新版本和安全信息,應該做好一旦發現與這些程序有關的安全問題就立即升級軟件的準備。例如,某些版本的ssh會出現問題,在一些特殊的情形下服務器可能被騙并以非加密方式運行。對于有些FTP服務器、早期的sendmail以及某些版本的INN,已知的安全問題包括緩存溢出等。
有些時候端口掃描程序找到了一個打開的端口,但我們卻不知道哪一個程序在操作這個端口,此時就要使用lsof之類的工具了。執行命令“lsof -P -n -i”即可顯示出所有本地打開的端口以及操作這些端口的程序。
# lsof -P -n -iCOMMAND PID USER FD TYPE DEVICE SIZE NODE NAMExfstt 46 root 4u IPv4 30 TCP *:7100 (LISTEN)httpd 199 root 19u IPv4 99 TCP 192.168.1.12:80 (LISTEN)...smbd 11741 root 5u IPv4 28694 UDP 127.0.0.1:1180smbd 11741 root 6u IPv4 28689 TCP 192.168.1.3:139-< 192.168.1.2:1044 (ESTABLISHED)
|
增加額外的參數就可以掃描指定的協議和端口:
# lsof -P -n -i tcp:139COMMAND PID USER FD TYPE DEVICE SIZE NODE NAMEsmbd 276 root 5u IPv4 175 TCP *:139 (LISTEN)smbd 11741 root 6u IPv4 28689 TCP 192.168.1.3:139-< 192.168.1.2:1044 (ESTABLISHED)
|
網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發展,這正是網絡迅速走向進步的催化劑。
| 
