荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: hellsolaris (qq), 信区: Security
标 题: 如何构建和配置更加安全的Web站点(2)
发信站: 荔园晨风BBS站 (Wed Dec 3 17:42:40 2003), 站内信件
我们为 Web 内容目录设置了适当的权限,从而授予 ASP.NET 进程对内容文件的读
访问权限,授予匿名用户对所提供内容的适当只读访问权限。
只有系统帐户和系统管理员组的成员才对 IIS 和 URLScan 的日志目录具有访问权
限。限制对日志文件的访问通常很有必要,它使攻击者很难对其进行更改,以覆盖
其中的记录或隐藏有关所受攻击的有用信息。
Windows 2000 Advanced Server 操作系统
本次竞赛使用的服务器全部运行安装了 Service Pack 3(它是竞赛时最新的
Service Pack)的 Windows 2000 Advanced Server 操作系统。还安装了自
Service Pack 3 发行以来 TechNet Web 站点上发布的所有安全性修补程序。使用
最新的安全性修补程序对系统管理员同样是一个很重要的最佳安全方案。
安装这些更新会对某些配置进行更改,从而进一步增强操作系统级的完整性。首先
,禁用了所有不必要的操作系统服务,这通常也是一个最佳方案。通过关闭这些服
务,可以释放系统资源并减少暴露给攻击者的表面区域。可以禁用的特定服务将随
每个解决方案的需要而变化。Messenger、Alerter 和 ClipBook 只是已禁用服务
的几个示例。
强烈建议您阅读 Windows 2000 Server Resource Kit,以帮助确定不需要的服务
。然后进行相应的测试,以确保应用程序在没有这些服务的情况下也能正常工作。
最后,将这些服务的启动状态更改为 disabled 以关闭它们。
在应用程序中,我们还使用注册表编辑器 (Regedit.exe) 更改了四个注册表设置
,以便进一步增强安全性。我们将所有这些都作为最佳方案推荐给您,只要您不需
要已禁用的功能即可。
创建注册表项:nolmhash
(需要说明的是,在 Windows 2000 中,这是一个关键字,而在 Windows XP 和
Windows Server 2003 中,这是一个值。)
位置:HKLM\System\CurrentControlSet\Control\LSA
用途:防止操作系统以 LM 散列格式存储用户密码。此格式只用于不支持 NTLM 或
Kerberos 的 Windows 3.11 客户端。创建和保留此 LM 散列的风险在于,如果攻
击者设法将以此格式存储的密码解密,就可以在网络上的其他计算机上重复利用这
些密码。
创建注册表值:NoDefaultExempt
位置:HKLM\System\CurrentControlSet\Services\IPSEC
用途:默认情况下,IPSec 将允许源端口为 88 的传入通信查询 IPSec 服务,以
获取连接到计算机的信息,而不管使用的是哪种 IPSec 策略。通过设置此值,除
了我们设置的 IPSec 过滤器允许的通信(详见 IPSec 策略一节的介绍)以外,不
允许端口之间进行任何通信。
创建注册表值:DisableIPSourceRouting
位置:HKLM\System\CurrentControlSet\Services\Tcpip\Parameters
用途:防止 TCP 数据包显式确定到最终目标的路由,并防止它要求服务器确定最
佳路由。这是一个防止“人在中间”攻击(即攻击者通过自己的服务器对数据包进
行路由,并在数据包传递期间窃取其中的内容)的保护层。
创建注册表值:SynAttackProtect
位置:HKLM\System\CurrentControlSet\Services\Tcpip\Parameters
用途:此注册表项通过限制分配给传入请求的资源来防止操作系统受到某种
SYN-flood 的攻击。换句话说,这将帮助阻止在客户端和服务器之间试图使用
SYN(即同步)请求以拒绝服务的攻击。
另外,尽管与防止攻击没有直接关系,我们还启用了几个审核日志以覆盖登录和注
销事件、帐户管理、策略更改和系统事件。这有助于我们在竞赛中更好地监视服务
器。
IP 安全标准 (IPSec) 策略
从 Windows 2000 开始,Microsoft 已经使用 IP 安全标准 (IPSec)(IPv4 协议
的扩展)为管理 Internet 协议 (IP) 通信的身份验证和加密提供支持。下面的图
1 显示了“服务器(请求安全设置)属性”对话框的默认策略。我们特地为竞赛创
建了一种策略。
图 1:“服务器(请求安全设置)属性”对话框
IPSec 规则是在 Microsoft 管理控制台 (MMC) 管理单元的“本地安全设置”中进
行配置的,如上所述。这些策略在增强和确保 OpenHack 服务器之间允许的通讯的
安全性方面起到了主要作用。这些规则使我们能够通过以下方法,增强最低特权的
最佳方案:
要求在每个系统的 IPSec 策略中,明确且唯一地指定运行和管理应用程序所需的
所有通信。
要求使用证书对系统之间的通信进行身份验证。
要求对用于管理的通信进行身份验证(使用证书)和加密。
拒绝应用程序或系统管理未明确允许的所有通信,包括 ICMP 和 IP 通信(“默认
拒绝”规则)。
IPSec 规则有三个主要部分:标识由 IPSec 处理的通信的过滤器,过滤器找到这
样的通信时要采取的操作,以及用于建立安全性关联的身份验证机制。如果要进行
通信的两个系统没有用于标识通信的规则,两者之间也没有公用的身份验证机制,
则它们将无法建立连接。
使用 IPSec 锁定解决方案的第一步是完全了解不同系统之间的通信路径,以便建
立适当的 IPSec 过滤器。应允许 Web 服务器与 SQL 服务器数据库进行通信;远
程访问服务器应允许系统管理员使用虚拟专用网络 (VPN) 访问网络的管理段;管
理服务器应授予 VPN 客户端创建 Windows 2000 终端服务客户端会话的权限(以
便访问运行于远程计算机桌面上的应用程序)以及访问和复制文件以便在管理服务
器上共享的权限;所有系统应允许管理服务器为其专用接口生成管理终端服务会话
;最后,所有系统应能够访问管理系统上共享的特定文件。当系统之间所需的连接
按每个端口进行映射时,我们便在每一个系统上创建了 IPSec 过滤器。
然后,必须确定处理通信的方法,因为通信是由系统上的过滤器识别的。对于
OpenHack 4,我们定义了四个可以采取的操作(称为“过滤器操作”):
阻止通信。
允许通信。
身份验证和签名 - 使用证书对通信来源进行身份验证,使用数据包签名建立安全
性关联。
身份验证、签名和加密 - 使用证书对通信来源进行身份验证,使用加密和数据包
签名建立安全性关联。
阻止规则就是丢弃数据包。此规则与“默认拒绝”规则的功能相同,它意味着“如
果我们未明确地允许通信,则禁止通信”。允许规则允许通信通过,而无需考虑通
信来源。此功能用于允许公开访问 Web 应用程序。
尽管使用证书对通信进行身份验证要求我们从公用的证书颁发机构 (CA) 生成并分
发 IPSec 证书,但它却显著增强了系统进行安全通信的能力。值得注意的是,我
们使用了一个独立的 CA。授予所有证书后,该 CA 将从网络中删除。如果生产时
不再需要此 CA,请务必遵循此方法,因为这是减少解决方案表面区域的另一个好
方法。
使用 IPSec 证书能够确保源系统和目标系统的标识,包括访问远程访问服务器的
远程系统管理员。通过配置策略以便使用 SHA1 散列对所有传输进行签名,可确保
数据包在后端系统之间传递时不会被攻击者成功修改。
我们使用 MD5 加密算法对管理服务器通信进行了加密。使用这种方法,即使攻击
者能够破坏一个面向 Internet 系统的安全性,也无法窃取专用网络的通信。这就
使得系统管理员能够安全地连接到实时的 Web 站点以进行应用程序更新。
IPSec 使用具有最高优先权的专用规则来处理规则。因此,每个系统最初具有以下
两个规则:
阻止所有 IP 通信。
阻止所有 ICMP 通信。
然后,针对每个系统构建规则。向 Web 服务器和数据库服务器之间的通信提供“
身份验证和签名”过滤器操作;向与管理服务器的通信赋予“身份验证、签名和加
密”过滤器操作;将对 Web 站点的公开访问设置为允许访问。
下面显示了使用 IPSec 建立的 OpenHack 4 应用程序的逻辑连接。
图 2:使用 IPSec 的应用程序逻辑连接
远程管理与监视
OpenHack 4 的部分要求是能够在竞赛过程中更新应用程序。这项功能是通过使用
第 2 层隧道协议 (L2TP) 创建 VPN、终端服务和受限文件共享实现的。
图 3:用于创建 VPN(终端服务)的 L2TP
首先,L2TP 需要 IPSec 证书以建立连接。我们用适当的证书配置了几个远程系统
管理员计算机。然后为远程系统管理员创建启用了远程访问的帐户。
为了建立 VPN 连接,系统管理员必须在系统上安装了 IPSec 证书以及远程访问帐
户凭据。简而言之,IPSec 证书以不可导出的格式将证书的专用部分嵌入到本地计
算机的证书存储区中。这意味着此证书将无法移植并在其他系统上使用。实际上,
我们能够确保系统管理员只能在允许的远程管理工作站中使用 VPN 客户端帐户,
从而将对解决方案的管理访问降低到最低程度。
对 L2TP 会话进行身份验证后,系统管理员工作站将获得管理网络上的 IP 地址。
建立到管理网络的 VPN 隧道后,系统管理员即可打开到管理服务器 OHTS 的终端
服务会话,并可使用管理服务器上的“收件箱”和“发件箱”文件共享,以丢弃更
改的站点内容或检索文件进行分析。所有系统都是独立的(即不属于某个域),因
此将共享访问和终端服务会话配置成通过增强的不明显的密码(详见密码一节的介
绍)使用系统上的本地帐户。所用的共享被限制为只允许对“发件箱”进行读操作
和对“收件箱”进行写操作。
大量的管理工作是在管理服务器“终端服务”会话中进行的。在此会话中,系统管
理员将连接到任何其他系统的远程管理终端服务会话,从根本上“嵌套”终端服务
会话。然后,可以连接到管理服务器上的“收件箱”和“发件箱”共享,并根据所
服务的系统的需要丢弃或检索文件。支持这些管理功能的所有通信都需要使用
IPSec,如上所述。
SQL Server 2000
OpenHack SQL Server 2000 数据库运行在专用计算机上,这是一种“层层设防”
措施。即使 Web 层崩溃,数据库及它所包含的所有信息仍会受到隔离和保护。
如上所述,我们的解决方案使用集成的 Windows 身份验证连接到数据库。这是一
种值得借鉴的方法,因为它不需要开发和安全存储用于访问数据库的密码。
为了确保向后兼容,Windows 2000 和 Windows XP 支持几种类型的身份验证协议
。由于只有实现 NTLMv2 身份验证的计算机才能访问我们的数据库服务器,因此强
烈建议将 LAN 管理器身份验证级别更改为“仅限于 NTLMv2”。注意,使用其他配
置,Windows 95、Windows 98 和带有 Service Pack 4 及更高版本的 Windows NT
Server 4.0 也可以支持 NTLMv2。通过限制所支持的身份验证协议的数量,系统
管理员最大限度地减少了暴露给攻击者的表面区域。
图 4:设置 LAN 管理器身份验证级别
使用 SQL Server 与使用 Windows 一样,我们需要小心地安装、配置和运行必要
的服务,以减少暴露给潜在攻击者的数据库表面区域。对于 OpenHack,我们未安
装升级工具、调试符号、复制支持、联机图书或 Dev 工具组件。
该安装是在 NTFS 分区上进行的,因为它可以为 SQL Server 使用的文件和文件夹
提供额外的基于 ACL 的安全保护。下一步,通常也是最关键的一步,是安装
SQL Server 2000 Service Pack 2 及所有最新的修补程序。
在服务帐户为 localSystem 的计算机中通常可以找到 SQL Server 安装程序。尽
管在锁定良好的专用网络中,这是可以接受的,但由于它是基础计算机上的管理帐
户,因此仍具有远远超过 SQL Server 服务真正所需的权限。如果要求服务帐户能
够访问网络资源(如备份到网络驱动器时、使用日志传送时或使用复制支持时),
则最好选择低权限的域帐户。但如果您的环境不需要这些功能,则完全可以选择低
权限的本地帐户。在本次竞赛中,由于不打算使用这些功能,而且为了坚持“最低
权限”原则,我们使用了本地用户帐户。
我们使用以下设置创建了一个新的 NT 本地用户帐户:
创建了一个非常强大的密码(详见密码一节的介绍)。
删除了使用户可更改其密码的功能。
删除了“终端服务”访问。
创建新用户帐户后,我们使用 SQL Server Enterprise Manager 更改了启动服务
帐户信息,强制数据库服务以此用户的身份运行。
图 5:更改启动服务帐户信息
为了坚持只运行所需服务的思想和最佳安全方案,我们使用 Services MMC 管理单
元停止 Distributed Transaction Coordinator (MSDTC) 服务,并将其设置为手
动启动,这样 OpenHack 数据库就不会运行事务,服务器本身也不会运行 COM+ 应
用程序。这里我们看到在专用计算机上运行数据库服务器的另一个优势:比与其他
服务器和服务并行运行的服务器具有更强的减少周围表面区域的能力。
还可以通过禁用 SQL Server 代理和 Microsoft 搜索服务进一步减少表面区域,
因为我们的数据库解决方案不需要此功能。
下一步,由于更多考虑的是可靠性而非安全性问题,我们设置了 Microsoft SQL
Server 服务本身的属性,并将恢复操作更改为出现故障后重新启动服务。这样做
是为了在出现故障时尽量减少停机时间。
图 6:将恢复操作更改为出现故障后重新启动服务
然后我们设置了 Server Network 实用程序,并将网络属性从“直接客户端广播”
更改为“隐藏 SQL Server”。还删除了“命名管道”协议,因为我们只需要
TCP/IP。
作为此配置的一部分,我们返回到前面的配置,为 SA 帐户设置了非常强大的密码
。即使在 Windows 身份验证模式下运行,也建议采用这种做法。如果以后通过企
业管理器工具或直接通过注册表从身份验证模式切换到混合模式,您希望确保系统
是安全的(即使系统管理员当时忘记设置 SA 密码),也可以使用这种方法。在这
种方法中,最好做最坏的打算。
我们将默认的登录审核设置更改为 Failure。此操作将登录 SQL Server 数据库的
所有失败尝试都写到错误日志和事件日志,该信息对识别攻击数据库的尝试非常有
用。
然后,我们删除了默认的 Northwind 和 Pubs 数据库,以减少暴露给潜在攻击的
表面区域。
完成所有步骤后,我们创建了最终解决方案中使用的 Awards 数据库。然后仔细检
查表和存储过程,并确保与应用程序关联的帐户对存储过程只有执行权限,而对实
际表没有任何权限。这使我们能够控制对存储过程的访问并限制对它的操作,而不
必担心针对表直接运行的特殊 SQL 查询。此外,我们还确保了此帐户在 SQL
Server 中没有任何其他的特权和权限。
密码
确保任何服务器安全性的关键一步是选择不会被轻易猜出的长而复杂的密码。理想
情况下,一个出色的密码应至少包括以下四组字符中的三组:小写 a 至 z、大写
A 至 Z、数字 0 至 9,以及非字母数字符号(如“>”、“*”、“&”等)。为
了尽可能保证安全,密码应由以上四组中的每一组字符以及使用 ALT 键生成的字
符组成。利用这些字符集创建长度至少为八个字符的密码,可最大限度地降低攻击
者推测出登录凭据的机会。这是 OpenHack 解决方案中的每个服务器都使用的方法
,也是我们极力向您推荐的方法。
小结
确保 OpenHack 解决方案安全性所采取的所有步骤并非适用于每个 Web 解决方案
。这些步骤也并不能代表开发人员和系统管理员在确保解决方案的安全性时应采取
的所有方法。每个项目都具有独特性,需要开发人员和管理员一起找出潜在的攻击
因素及预防措施。也就是说,OpenHack 4 表明上述建议非常有价值。即使它们不
能全部直接应用到您的解决方案中,也应从中提取一些关键的好方案,以便在构建
安全解决方案时以一种形式或另一种形式加以应用:
1.在原始设计中考虑安全问题。这包括开发进程以采用最新的 Service Pack 和修
补程序。
2.总是安装最新的 Service Pack 和修补程序。
3.总是使用复杂且不明显的密码。
4.关闭所有不必要的功能以减少暴露给攻击者的表面区域。
5.坚持“最低权限”原则。决不授予并非绝对必需的权限。
6.预测可能发生的故障并总是采用“层层设防”以减少负面影响。
7.使用 IIS 时,运行 IIS 锁定工具和 URLScan。
8.验证所有输入数据。
9.使用参数化的存储过程,而不是在数据库上生成动态查询
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.44.223]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店