網(wǎng)絡(luò)服務(wù)器安全配置策略研究

郭玉龍

（鐵道警察學(xué)院實驗和網(wǎng)絡(luò)信息中心 河南 450053）

Guo Yulong

0 引言

現(xiàn)在網(wǎng)絡(luò)攻擊的目的已不單純的為了展示攻擊者在計算機及網(wǎng)絡(luò)方面超人的技術(shù)，很多是為了通過攻擊目標(biāo)服務(wù)器以獲取非法利益，所以攻擊的技術(shù)與手段越來越隱蔽，發(fā)現(xiàn)的難度越來越大，對服務(wù)器的安全性要求也越來越高。防火墻安全策略的設(shè)置、操作系統(tǒng)的漏洞、WEB應(yīng)用程序本身設(shè)計的缺陷，都可能成為被攻擊的目標(biāo)，并以此為切入點入侵整個系統(tǒng)，進而修改網(wǎng)頁內(nèi)容，安裝病毒木馬程序，影響被攻擊服務(wù)器的正常運行，并有可能被黑客當(dāng)作跳板，對其它計算機進行攻擊，影響更多計算機的正常運行，對被入侵單位的聲譽造成負(fù)面影響。本文主要研究服務(wù)器攻擊的基本原理與一般過程，并從操作系統(tǒng)本身的層面探討如何進行網(wǎng)絡(luò)服務(wù)器的安全策略設(shè)置，增強服務(wù)器的安全性。

1 服務(wù)器攻擊的基本原理

服務(wù)器攻擊的總體思路就是尋找系統(tǒng)存在的漏洞，以及人們在使用計算機的過程中容易忽略的安全設(shè)置，發(fā)現(xiàn)可用于登錄系統(tǒng)的途徑，進而在已成功登錄的服務(wù)器上安裝后門程序，以方便入侵者進行后續(xù)的遠(yuǎn)程操作與控制。在整個入侵的過程中，最為關(guān)鍵的一步就是尋找登錄系統(tǒng)的突破口，成功登錄系統(tǒng)后安裝后門程序以及在此之后控制整個系統(tǒng)都是非常簡單的事情。在成功進入系統(tǒng)之后，入侵者可以在服務(wù)器上創(chuàng)建專為其服務(wù)的用戶賬戶，安裝滿足其要求的控制端后門服務(wù)程序。用戶賬戶相對比較容易發(fā)現(xiàn)，在系統(tǒng)的用戶管理界面中即可看到所有的賬戶，而且一般服務(wù)器上系統(tǒng)用戶也不會太多，這樣非法創(chuàng)建的用戶就很容易找到。后門程序就比較難以發(fā)現(xiàn)，因為后門程序可以存放在硬盤上成千上萬的文件之中，偽裝成常用的應(yīng)有程序進行運行，并且可以只在必要的時間定時啟動，平時并不會執(zhí)行，這樣除非有比較完善的日志系統(tǒng)，并詳細(xì)分析才有可能發(fā)現(xiàn)存在的問題。

為了簡單快捷的設(shè)置而關(guān)閉系統(tǒng)防火墻，采用系統(tǒng)默認(rèn)的用戶名，使用簡單的密碼，安裝數(shù)據(jù)庫系統(tǒng)采用默認(rèn)的端口號，采用默認(rèn)的數(shù)據(jù)庫登錄名以及簡單的密碼或空密碼，為方便服務(wù)器的遠(yuǎn)程管理安裝一些遠(yuǎn)程控制軟件時完全采用默認(rèn)設(shè)置等這些習(xí)慣性的操作都是極易留下安全隱患的，很可能被入侵者所利用。

2 服務(wù)器攻擊的一般過程

入侵者攻擊服務(wù)器的目的通常是利用服務(wù)器的資源獲得非法利益，服務(wù)器的物理位置及網(wǎng)絡(luò)地址對其來說并不重要，因此攻擊者的目標(biāo)并不明確，只要能為其利用即可，所以一般情況下成功的攻擊會經(jīng)過主機探測、漏洞掃描、后門安裝、控制利用四個階段。

主機探測階段的主要工作是尋找處于開機狀態(tài)的服務(wù)器，通常的做法是借助于一些掃描工具對一定 IP地址范圍內(nèi)的主機進行探測。探測的方法可采用向目標(biāo)主機發(fā)送ICMP回顯請求，與特定的端口建立TCP連接等，因為通常情況下作為WEB服務(wù)器的80端口必然處于開放狀態(tài)，為了遠(yuǎn)程管理的方便遠(yuǎn)程桌面端口3389也會處于開放狀態(tài)。通過探測找到處于開機狀態(tài)的服務(wù)器之后即可進行下一步的漏洞掃描工作。

在漏洞掃描階段也是借助于一些工具，對探測階段已經(jīng)發(fā)現(xiàn)的處于開機狀態(tài)的主機進行各項已知漏洞的掃描。通常首先掃描常用的遠(yuǎn)程管理軟件服務(wù)端監(jiān)聽的端口，如3389（遠(yuǎn)程桌面）、5900（VNC）、4899（Remote Administrator）等，如果這些端口處于開放狀態(tài)，基本可以斷定服務(wù)器上已經(jīng)安裝有這些遠(yuǎn)程管理工具，因為不可能有其它軟件剛好和這些軟件的默認(rèn)端口相同，用這些遠(yuǎn)程管理客戶端進行連接即可明確判斷是否真正安裝了這些遠(yuǎn)程管理工具。在掃描到已經(jīng)安裝有這些遠(yuǎn)程管理工具后即進行下一步工作，破解用戶名和密碼，通常采用暴力破解或者密碼字典方法，密碼字典的方法更為普遍，因為操作系統(tǒng)、遠(yuǎn)程管理軟件通常都有默認(rèn)的用戶名或者密碼，如 windows默認(rèn)的用戶名 administrator、linux默認(rèn)的用戶名root，VNC甚至可以不設(shè)置用戶名只設(shè)置密碼，為了安裝調(diào)試的方便，有時候管理員可能會將密碼留空或者設(shè)置為簡單的1234、abcd，或者將密碼設(shè)置成與用戶名相同，這些弱口令很容易被破解，從而控制整個系統(tǒng)。在破解密碼取得系統(tǒng)控制權(quán)的過程中，也可以通過數(shù)據(jù)庫管理系統(tǒng)的漏洞來實現(xiàn)，如安裝有SQL Server數(shù)據(jù)庫管理系統(tǒng)的服務(wù)器會開放1433端口，而數(shù)據(jù)庫的默認(rèn)用戶名是sa，管理員為了配置的方便常常會將密碼也設(shè)置為sa或者留空，這樣入侵者就可以非常容易的連接到主機的數(shù)據(jù)庫管理系統(tǒng)，然后執(zhí)行一些特殊的系統(tǒng)存儲過程創(chuàng)建系統(tǒng)用戶名和密碼，再借助遠(yuǎn)程桌面或者其它遠(yuǎn)程管理工具登陸到服務(wù)器上進行各種操作。

在成功掃描到系統(tǒng)漏洞取得系統(tǒng)控制權(quán)后安裝后門的操作就非常簡單了，入侵者可以根據(jù)自己的需要在服務(wù)器上安裝各種遠(yuǎn)程管理工具，并添加新的操作系統(tǒng)用戶名和密碼，以便在管理員修改密碼后仍能控制整個系統(tǒng)。

當(dāng)在服務(wù)器上安裝遠(yuǎn)程管理工具，取得系統(tǒng)的控制權(quán)后，入侵者就可以利用服務(wù)器的計算資源與網(wǎng)絡(luò)資源，獲取非法利益，如最常見的在服務(wù)器上運行的網(wǎng)頁程序中植入廣告或者鏈接，增加特定網(wǎng)站的點擊率，進而提高其在搜索引擎上的排名。修改原有的網(wǎng)頁內(nèi)容，盜取注冊用戶的個人資料信息等。

在攻擊服務(wù)器的過程中，也有針對特定主機進行的，在這種情況下服務(wù)器的IP地址是非常明確的，不需要進行主機的探測，而且也可能不容易探測出來，如屏蔽ICMP數(shù)據(jù)包。在這種情況下入侵者通常會對該主機的所有端口進行掃描，以發(fā)現(xiàn)可利用的漏洞。

3 服務(wù)器安全策略配置

主機探測和漏洞掃描是攻擊過程中的關(guān)鍵步驟，在服務(wù)器的安全策略中應(yīng)特別注意防范，后門安裝和控制利用基本沒有什么辦法可以防范，可做的是配置日志系統(tǒng)并定期查看，及時發(fā)現(xiàn)正在進行的入侵活動并及時處理。

為隱藏主機、防止被探測到可以在操作系統(tǒng)防火墻上屏蔽ICMP回顯請求，防止通過發(fā)送回顯請求的方式對主機進行探測。對于非必需的或者不用的端口也要通過系統(tǒng)防火墻進行關(guān)閉，防止通過特定端口的掃描來判斷對應(yīng)IP地址的主機是否在線。有些端口必須要打開，如為了遠(yuǎn)程管理的方便通常會開啟遠(yuǎn)程桌面功能，需要打開遠(yuǎn)程桌面對應(yīng)的服務(wù)器端監(jiān)聽端口3389，在這種情況下最好修改遠(yuǎn)程管理應(yīng)用程序監(jiān)聽的默認(rèn)端口，并且不要修改為簡單的端口如8888、1234等，修改為較為復(fù)雜沒有什么規(guī)律的端口如23568等等，因為有些軟件通過端口來對主機進行掃描，掃描工具也會利用密碼字典的原理對一些比較容易被使用的端口進行探測。同時由于修改后的端口通常都沒有什么規(guī)律，所以即使掃描到該端口處于開放狀態(tài)，也難以通過端口來猜測該端口上所綁定的應(yīng)用。修改應(yīng)用程序默認(rèn)端口的方法雖然簡單，但卻能在很大程度上提高系統(tǒng)的安全性。具體修改應(yīng)用程序端口的方法可以查閱相關(guān)應(yīng)用程序的說明文檔，一般都比較容易實現(xiàn)。

服務(wù)器通常必須對外開放一些端口，如 WEB應(yīng)用服務(wù)器需要開放80端口，完全避免對服務(wù)器的探測是不可能的，在服務(wù)器被探測到的情況下加強安全防范策略，盡可能的減少服務(wù)器詳細(xì)配置信息的暴露顯得尤為重要。服務(wù)器上應(yīng)該避免安裝不必要的應(yīng)用軟件和遠(yuǎn)程管理工具，有些應(yīng)用軟件相互之間可能存在沖突，同時安裝會影響到系統(tǒng)的穩(wěn)定性，安裝的遠(yuǎn)程管理工具太多，配置的難度將增加，考慮不夠全面容易造成漏洞。對于必須安裝的遠(yuǎn)程管理工具，應(yīng)注意采用必要的安全策略，防止被掃描和猜測到。系統(tǒng)和遠(yuǎn)程管理用戶名盡量不要采用默認(rèn)設(shè)置，密碼要設(shè)置的足夠復(fù)雜，并注意設(shè)置合適的密碼鎖定策略，防止暴力破解。設(shè)置復(fù)雜的用戶名和密碼在遠(yuǎn)程管理工具被掃描到的情況下也可有效防止系統(tǒng)入侵。服務(wù)器上應(yīng)注意關(guān)閉不必要的調(diào)試信息輸出，防止通過調(diào)試信息探測系統(tǒng)配置信息并進一步找到入侵系統(tǒng)的突破口。如IIS（Interne信息服務(wù)）默認(rèn)情況下向客戶端輸出詳細(xì)的錯誤信息，而為了程序員調(diào)試方便，錯誤信息中通常會包含有敏感的服務(wù)器配置信息，如所使用的 IIS版本、采用的數(shù)據(jù)庫類型以及數(shù)據(jù)庫文件名等，這些信息很可能為下一步入侵提供重要參考信息，如通過數(shù)據(jù)庫文件名路徑下載數(shù)據(jù)庫文件，猜測服務(wù)器上應(yīng)用程序的目錄結(jié)構(gòu)。通過在 IIS的配置中禁用向客戶端發(fā)送詳細(xì)的調(diào)試信息或者設(shè)置自定義的錯誤信息可有效防止向客戶端暴露服務(wù)器敏感信息，提高系統(tǒng)的安全性。

發(fā)現(xiàn)系統(tǒng)中已經(jīng)存在的后門或者入侵的有效辦法就是通過查看系統(tǒng)或應(yīng)用程序的日志信息，所以配置并經(jīng)常查看系統(tǒng)的日志信息非常重要。尤其需要特別關(guān)注防火墻的日志信息，發(fā)現(xiàn)有可疑的連接及時進行分析，找到建立該連接的應(yīng)用程序，判斷是正常的連接還是被遠(yuǎn)程控制的連接。對于 WEB服務(wù)器應(yīng)經(jīng)常查看頁面訪問日志，查看其中是否有可疑的頁面訪問，及時發(fā)現(xiàn)網(wǎng)站是否被掛馬，以及是否有特殊的查詢串，找出網(wǎng)站應(yīng)用程序被注入的漏洞。日志系統(tǒng)是發(fā)現(xiàn)正在進行的入侵活動的重要方法，應(yīng)注意將日志系統(tǒng)配置的完善全面。

4 小結(jié)

本文簡要分析總結(jié)了網(wǎng)絡(luò)服務(wù)器入侵的基本原理以及一般過程，并在此基礎(chǔ)上針對入侵的不同階段總結(jié)了具體可行的應(yīng)對策略，希望對從事計算機網(wǎng)絡(luò)服務(wù)器管理的人員能有一定幫助。由于網(wǎng)絡(luò)病毒及攻擊手段繁多，操作系統(tǒng)和應(yīng)用程序存在很多已知或未知的漏洞，需要在平時的管理維護過程中不斷研究分析各種入侵手段，進而找到防范措施，以保證服務(wù)器的安全性。

[1]喬素艷.Web服務(wù)器安全策略探討[J].無線互聯(lián)科技，2012（3）：72.

[2]叢佩麗.高校網(wǎng)站服務(wù)器安全防范策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013（2）：37-39+44.

[3]陳正權(quán).物聯(lián)網(wǎng)時代校園網(wǎng)服務(wù)器的安全配置策略研究[J].凱里學(xué)院學(xué)報，2012（6）：99-102.

[4]魏鵬.校園網(wǎng)絡(luò)服務(wù)器的安全維護淺析[J].中國科技信息，2011（12）：93.

[5]文靜，譚政.服務(wù)器安全管理探析[J].廣西輕工業(yè)，2008（11）：66-67.

[6]巫廣彥.WIN2003服務(wù)器安全加固方案[J].計算機安全，2007（11）：97-98.