论文部分内容阅读
本文可以学到
1 如何应急响应网站安全
2 安全工程师如何解决攻击隐患
3 SNMP协议的防护
本文涉及软件/硬件
1 WAF防护系统(硬)
2 Web网站防护系统
本文知识重点
1 如何保证网站的安全
2 SNMP的安全隐患
事件相关信息
● 负责工程师:
田达(信服科技信息安全工程师)
● 地点:
河北XX局中心机房(由于涉及政府机关,只能保密处理)
● 现场:
XX局Web服务器居然连续三天被黑客攻击,并进行了主页篡改。信服科技工程师马上赶到现场进行紧急处理,并对XX局的安全防御系统拆分性分析。
● 漏洞发现:
工程师与XX局网管工作人员沟通的过程中他坚持认为自己维护的Windows 2003 Server系统是不可能被入侵的。
“我已经把IPC$的连接共享都禁止,入侵者根本无法得到我系统上的账户信息了,保证没有问题。”而经过工程师的检查发现TCP 139和445端口确实被禁止了,但通过扫描器工程师却发现了一个重大漏洞—UDP 161D端口上的SNMP。
● 事件分析:
在询问管理员后得知是正在试用某公司的网络管理软件。由于Windows 2000操作系统可以通过“添加/删除程序→管理和监视工具”安装上SNMP(见图1)。但在Windows系统中选择默认安装是非常不安全的,默认安装SNMP的密码都是一样的。而入侵者从SNMP代理服务中会轻易地完成入侵前的准备工作。还有一点提醒各位网络管理员,SNMP的消息是以明文形式发送的,而这些消息很容易被Microsoft网络监视器或者Sniffer这样的网络分析程序截取并解码。入侵者可以轻易地捕获服务的密码,以获取有关网络资源的重要信息。
图1
● 基础环境:
Web服务器:WIN2003 SP1 +MS SQL数据库、IIS6.0、VNC远程管理程序
应急处理篇
信服科技工程师提出了SNMP漏洞分析与应急解决方案:(应急处理)
黑客获取SNMP服务信息
Snmputil命令
如果我们知道默认的SNMP服务密码,通过Resource Kit工具包里的Snmputil工具可以轻易地通过SNMP服务把Windows账户罗列出来,以便进行进一步的安全检测。
语法如下:
snmputil walk .1.3.6.1.4.1.77.1.2.25,
例如输入:
snmputil walk 192.168.0.1 ××××.1.3.6.1.4.1.77.1.2.25
命令后将得到所有的用户名。
网管加固
SNMP服务保安全
由于SNMP服务为管理员带来了很多方便,我们也不能为了相对的安全而停止使用该服务,所以对于它的安全防范至关重要,而最简单的方法就是更改服务的密码和针对IP地址提供有效服务。
图2
运行Services.msc命令(见图2),找到SNMP Service,右键选择“属性”,切换到“安全”选项卡。修改Community Strings,也就是 “团体名称”改写,然后添加授权访问的连接地址。
由于Windows 2000的操作系统比较麻烦,需要修改下面注册表的键值。
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet
/Services/SNMP/Parameters/ValidCommunities ]
中将public改名。
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet
/Services/SNMP/Parameters/PermittedManagers ]
添加字符串,名称为“1”,内容为授权访问地连接地址。
加密SNMP的通信保安全
为了不使用明文形式发送SNMP消息。可以利用IPSec策略保护SNMP服务的安全。
第一步,选择“管理工具→本地安全策略”,右键点击“IP安全策略”,选择“本地计算机→管理IP筛选器列表和筛选器操作”。
第二步,选择“管理IP筛选器列表”然后单击“添加”按钮。在“IP筛选器列表”中的名称栏输入“SNMP的管理”,去除“添加向导”复选框,然后点“添加”按钮,(一定要选择“镜像。需要选择匹配具有正好相反的源和目标地址的数据包”复选框。)生成策略。
第三步,根据需要在“协议”选项卡中配置,协议类型为UDP,端口输入161。单击“到此端口”,然后输入161,用同样的方法再次添加162的端口。
安全分析与整体安全解决方案篇
安全分析与解决方案:网站(Web)服务器的安全至关重要,为此,信服科技的安全工程师制定了一套结合软硬体系的安全防御分析报告, 如下:
安全防御体现:
信服WAF网站安全防护系统、Web网站防护系统、网页防篡改系统
FSO WScript.Shell权限分配管理体系
信服科技网络安全驻点工程师在测试XX局的服务器时提出可能存在的多种Web服务器安全威胁:
漏洞一:
缓冲区溢出受攻击
简单解释一下,缓冲区溢出主要因为提交的数据长度超出了服务器正常要求,导致服务器检查代码错误。而溢出的方法有可以分为:基于堆栈的溢出和基于堆的溢出。在IIS 6以前的版本,Web服务是运行在LocalSystem账户下,当某个黑客利用缓冲区溢出的漏洞入侵后,当然就可以执行大部分的管理员命令了。
解决方案:
大多安全工程师都知道此类漏洞的根源就是.htr文件与System32目录下的ism.dll存在着关联,如果将ism.dll和.htr文件之间存在的映射关系断开,或者删除了ism.dll,就可以避免受到这类攻击了。
漏洞二:
Unicode二次解码漏洞攻击
我们来打开IE,选择“查看→编码→Unicode(UTF-8)”,在没有创造Unicode之前,没有一个编码可以包含足够的字符来容纳数百种的数字编码。比如我们要看一个繁体中文(BIG5)的网页,在你的简体中文版的Windows系统上,没有Unicode的支持就不可能实现。黑客提交一些特殊的编码,将导致IIS错误地打开或者执行某些Web根目录以外的文件。那么,未经授权的攻击者可以利用IUSR_machinename账号访问用户目录的任何文件。
解决方案:
可以限制网络用户访问和调用CMD命令的权限;禁用IUSR_machinename类账号也是网站服务器的一种不错的方式。
小知识:
Unicode是通用字符编码
是一种在计算机上使用的字符编码。它为每种语言中的每个字符设定了统一并且唯一的二进制编码,以满足跨语言、跨平台进行文本转换、处理的要求。
漏洞三:
FrontPage服务器扩展漏洞被攻击
大多政府服务器都会默认安装很多MS(微软操作系统)的组件,由于安装FrontPage扩展服务的网站服务器,通常会在Web目录(缺省)下有若干个以字母“_vti”开头的目录,黑客可以利用从搜索引擎对关键词的搜索,发现默认的Frontpage目录,并利用这些默认内容进行攻击(见图3)。
图3
解决方案:
清理无用的服务进程,修改默认安装路径。如:IIS的默认路径、网站后台路径、数据库路径等。
针对以上漏洞威胁,工程师制定了整套防护策略,利用WAF系统从硬件环境对外网攻击手段进行过滤性防护,结合软防火墙与防篡改系统保证网站的正常运行;最后利用服务器权限分配解决意外情况的应急问题,(禁用FSO改名WScript.Shell等。)
小提示:
WAF提高网络安全防护
Web应用防火墙(Web Application Firewall, 简称:WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求将予以实时阻断,从而对各类网站站点进行有效防护。
小提示:
FSO如何保障服务器安全
FSO(FileSystemObject,文件系统工程)是微软ASP的一个对文件操作的控件,该控件可以对服务器进行读取、新建、修改、删除目录以及文件的操作。是 ASP编程中非常有用的一个控件。但是因为权限控制的问题,很多虚拟主机服务器的FSO反而成为这台服务器的一个公开的后门,因为客户可以在自己的ASP 网页里面直接就对该控件编程,从而控制该服务器甚至删除服务器上的文件。因此不少业界的虚拟主机提供商都干脆关掉了这个控件,让客户少了很多灵活性。快网的Windows虚拟主机服务器具有高安全性,所有支持ASP和.net的空间均支持FSO,可以让客户在自己的网站空间中任意使用,却没有办法危害系统或者妨碍其他客户网站的正常运行(见图4)。
图4
1 如何应急响应网站安全
2 安全工程师如何解决攻击隐患
3 SNMP协议的防护
本文涉及软件/硬件
1 WAF防护系统(硬)
2 Web网站防护系统
本文知识重点
1 如何保证网站的安全
2 SNMP的安全隐患
事件相关信息
● 负责工程师:
田达(信服科技信息安全工程师)
● 地点:
河北XX局中心机房(由于涉及政府机关,只能保密处理)
● 现场:
XX局Web服务器居然连续三天被黑客攻击,并进行了主页篡改。信服科技工程师马上赶到现场进行紧急处理,并对XX局的安全防御系统拆分性分析。
● 漏洞发现:
工程师与XX局网管工作人员沟通的过程中他坚持认为自己维护的Windows 2003 Server系统是不可能被入侵的。
“我已经把IPC$的连接共享都禁止,入侵者根本无法得到我系统上的账户信息了,保证没有问题。”而经过工程师的检查发现TCP 139和445端口确实被禁止了,但通过扫描器工程师却发现了一个重大漏洞—UDP 161D端口上的SNMP。
● 事件分析:
在询问管理员后得知是正在试用某公司的网络管理软件。由于Windows 2000操作系统可以通过“添加/删除程序→管理和监视工具”安装上SNMP(见图1)。但在Windows系统中选择默认安装是非常不安全的,默认安装SNMP的密码都是一样的。而入侵者从SNMP代理服务中会轻易地完成入侵前的准备工作。还有一点提醒各位网络管理员,SNMP的消息是以明文形式发送的,而这些消息很容易被Microsoft网络监视器或者Sniffer这样的网络分析程序截取并解码。入侵者可以轻易地捕获服务的密码,以获取有关网络资源的重要信息。
图1
● 基础环境:
Web服务器:WIN2003 SP1 +MS SQL数据库、IIS6.0、VNC远程管理程序
应急处理篇
信服科技工程师提出了SNMP漏洞分析与应急解决方案:(应急处理)
黑客获取SNMP服务信息
Snmputil命令
如果我们知道默认的SNMP服务密码,通过Resource Kit工具包里的Snmputil工具可以轻易地通过SNMP服务把Windows账户罗列出来,以便进行进一步的安全检测。
语法如下:
snmputil walk .1.3.6.1.4.1.77.1.2.25,
例如输入:
snmputil walk 192.168.0.1 ××××.1.3.6.1.4.1.77.1.2.25
命令后将得到所有的用户名。
网管加固
SNMP服务保安全
由于SNMP服务为管理员带来了很多方便,我们也不能为了相对的安全而停止使用该服务,所以对于它的安全防范至关重要,而最简单的方法就是更改服务的密码和针对IP地址提供有效服务。
图2
运行Services.msc命令(见图2),找到SNMP Service,右键选择“属性”,切换到“安全”选项卡。修改Community Strings,也就是 “团体名称”改写,然后添加授权访问的连接地址。
由于Windows 2000的操作系统比较麻烦,需要修改下面注册表的键值。
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet
/Services/SNMP/Parameters/ValidCommunities ]
中将public改名。
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet
/Services/SNMP/Parameters/PermittedManagers ]
添加字符串,名称为“1”,内容为授权访问地连接地址。
加密SNMP的通信保安全
为了不使用明文形式发送SNMP消息。可以利用IPSec策略保护SNMP服务的安全。
第一步,选择“管理工具→本地安全策略”,右键点击“IP安全策略”,选择“本地计算机→管理IP筛选器列表和筛选器操作”。
第二步,选择“管理IP筛选器列表”然后单击“添加”按钮。在“IP筛选器列表”中的名称栏输入“SNMP的管理”,去除“添加向导”复选框,然后点“添加”按钮,(一定要选择“镜像。需要选择匹配具有正好相反的源和目标地址的数据包”复选框。)生成策略。
第三步,根据需要在“协议”选项卡中配置,协议类型为UDP,端口输入161。单击“到此端口”,然后输入161,用同样的方法再次添加162的端口。
安全分析与整体安全解决方案篇
安全分析与解决方案:网站(Web)服务器的安全至关重要,为此,信服科技的安全工程师制定了一套结合软硬体系的安全防御分析报告, 如下:
安全防御体现:
信服WAF网站安全防护系统、Web网站防护系统、网页防篡改系统
FSO WScript.Shell权限分配管理体系
信服科技网络安全驻点工程师在测试XX局的服务器时提出可能存在的多种Web服务器安全威胁:
漏洞一:
缓冲区溢出受攻击
简单解释一下,缓冲区溢出主要因为提交的数据长度超出了服务器正常要求,导致服务器检查代码错误。而溢出的方法有可以分为:基于堆栈的溢出和基于堆的溢出。在IIS 6以前的版本,Web服务是运行在LocalSystem账户下,当某个黑客利用缓冲区溢出的漏洞入侵后,当然就可以执行大部分的管理员命令了。
解决方案:
大多安全工程师都知道此类漏洞的根源就是.htr文件与System32目录下的ism.dll存在着关联,如果将ism.dll和.htr文件之间存在的映射关系断开,或者删除了ism.dll,就可以避免受到这类攻击了。
漏洞二:
Unicode二次解码漏洞攻击
我们来打开IE,选择“查看→编码→Unicode(UTF-8)”,在没有创造Unicode之前,没有一个编码可以包含足够的字符来容纳数百种的数字编码。比如我们要看一个繁体中文(BIG5)的网页,在你的简体中文版的Windows系统上,没有Unicode的支持就不可能实现。黑客提交一些特殊的编码,将导致IIS错误地打开或者执行某些Web根目录以外的文件。那么,未经授权的攻击者可以利用IUSR_machinename账号访问用户目录的任何文件。
解决方案:
可以限制网络用户访问和调用CMD命令的权限;禁用IUSR_machinename类账号也是网站服务器的一种不错的方式。
小知识:
Unicode是通用字符编码
是一种在计算机上使用的字符编码。它为每种语言中的每个字符设定了统一并且唯一的二进制编码,以满足跨语言、跨平台进行文本转换、处理的要求。
漏洞三:
FrontPage服务器扩展漏洞被攻击
大多政府服务器都会默认安装很多MS(微软操作系统)的组件,由于安装FrontPage扩展服务的网站服务器,通常会在Web目录(缺省)下有若干个以字母“_vti”开头的目录,黑客可以利用从搜索引擎对关键词的搜索,发现默认的Frontpage目录,并利用这些默认内容进行攻击(见图3)。
图3
解决方案:
清理无用的服务进程,修改默认安装路径。如:IIS的默认路径、网站后台路径、数据库路径等。
针对以上漏洞威胁,工程师制定了整套防护策略,利用WAF系统从硬件环境对外网攻击手段进行过滤性防护,结合软防火墙与防篡改系统保证网站的正常运行;最后利用服务器权限分配解决意外情况的应急问题,(禁用FSO改名WScript.Shell等。)
小提示:
WAF提高网络安全防护
Web应用防火墙(Web Application Firewall, 简称:WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求将予以实时阻断,从而对各类网站站点进行有效防护。
小提示:
FSO如何保障服务器安全
FSO(FileSystemObject,文件系统工程)是微软ASP的一个对文件操作的控件,该控件可以对服务器进行读取、新建、修改、删除目录以及文件的操作。是 ASP编程中非常有用的一个控件。但是因为权限控制的问题,很多虚拟主机服务器的FSO反而成为这台服务器的一个公开的后门,因为客户可以在自己的ASP 网页里面直接就对该控件编程,从而控制该服务器甚至删除服务器上的文件。因此不少业界的虚拟主机提供商都干脆关掉了这个控件,让客户少了很多灵活性。快网的Windows虚拟主机服务器具有高安全性,所有支持ASP和.net的空间均支持FSO,可以让客户在自己的网站空间中任意使用,却没有办法危害系统或者妨碍其他客户网站的正常运行(见图4)。
图4