丁梅
摘要:遠(yuǎn)程管理是管理人員維護(hù)服務(wù)器的基本方式。以常用的遠(yuǎn)程連接軟件為例,從遠(yuǎn)程連接原理出發(fā),分析遠(yuǎn)程連接給服務(wù)器帶來的安全問題,提出防護(hù)方法與建議,并介紹了更新與更安全的其它遠(yuǎn)程管理方式。
關(guān)鍵詞關(guān)鍵詞:遠(yuǎn)程連接;服務(wù)器安全;安全防護(hù)
DOIDOI:10.11907/rjdk.161424
中圖分類號(hào):TP309文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào)文章編號(hào):16727800(2016)007017803
為適應(yīng)機(jī)房的統(tǒng)一化管理,服務(wù)器往往采取遠(yuǎn)程連接的方式進(jìn)行管理和維護(hù)。服務(wù)器普遍開啟遠(yuǎn)程管理功能。除操作系統(tǒng)自帶的遠(yuǎn)程管理軟件如Windows遠(yuǎn)程桌面、Linux的SSH可以實(shí)現(xiàn)遠(yuǎn)程管理外,第三方軟件如XT800、TeamViewer也可實(shí)現(xiàn)相關(guān)功能。雖然遠(yuǎn)程軟件可以幫助服務(wù)器管理員在遠(yuǎn)程(不在機(jī)房)的情況下操控服務(wù)器,但使用過程中存在不少安全問題。1.1操作系統(tǒng)自帶的遠(yuǎn)程管理軟件
服務(wù)器開啟遠(yuǎn)程管理功能后,服務(wù)器管理人員無須安裝任何軟件,即可使用系統(tǒng)自帶的遠(yuǎn)程桌面軟件連接服務(wù)器。遠(yuǎn)程桌面采用“IP+端口號(hào)+用戶名+密碼”的方式定位要連接的服務(wù)器。根據(jù)服務(wù)器管理員所處位置不同,IP可以是內(nèi)網(wǎng)或公網(wǎng)地址。大多數(shù)情況下,服務(wù)器管理員與被管理的服務(wù)器不在同一局域網(wǎng)中,如果使用遠(yuǎn)程桌面進(jìn)行連接,則要求服務(wù)器具有公網(wǎng)IP。
同時(shí),其它想獲取服務(wù)器資源的非授權(quán)用戶也想通過類似方式連接服務(wù)器。以Windows 2008 R2 企業(yè)版的一臺(tái)服務(wù)器為例,它開啟了遠(yuǎn)程桌面功能,所以經(jīng)常接收到來自互聯(lián)網(wǎng)的遠(yuǎn)程桌面連接請(qǐng)求。在這些連接請(qǐng)求中,來訪者在嘗試用戶名和密碼。此情況可以通過系統(tǒng)日志看到,如圖1所示。
查看其中一條日志的詳細(xì)信息可以看到,在很短的時(shí)間間隔內(nèi),來自互聯(lián)網(wǎng)的IP地址使用Windows默認(rèn)的管理員帳戶administrator連接服務(wù)器的默認(rèn)服務(wù)端口3389,登錄失敗的原因是“用戶名或密碼不正確”或“密碼嘗試次數(shù)超過允許的最大值”。以上報(bào)錯(cuò)經(jīng)過一段時(shí)間的累積,或同時(shí)有很多個(gè)并發(fā)連接,將耗盡系統(tǒng)資源,導(dǎo)致服務(wù)器自動(dòng)重啟,影響服務(wù)器的服務(wù)能力。
1.2第三方遠(yuǎn)程管理軟件
XT800和TeamViewer作為第三方軟件,它們的工作方式類似,都可以使服務(wù)器在沒有公網(wǎng)IP、未開啟遠(yuǎn)程服務(wù)端口的情況下被連接,以下以XT800為例進(jìn)行分析。
使用XT800軟件的前提是服務(wù)器和想連接服務(wù)器的個(gè)人電腦(也可以是另一臺(tái)服務(wù)器、移動(dòng)設(shè)備等)上都已安裝該軟件。在IPv4地址緊缺的今天,XT800的優(yōu)點(diǎn)是不需要服務(wù)器擁有公網(wǎng)IP,也不需要防火墻開放遠(yuǎn)程端口(如3389),只要服務(wù)器可以聯(lián)網(wǎng),服務(wù)器管理員即可從互聯(lián)網(wǎng)登錄到自己管轄的服務(wù)器。
XT800采用“識(shí)別碼+密碼”來定位服務(wù)器。識(shí)別碼和初始密碼均在安裝XT800軟件時(shí)自動(dòng)生成。識(shí)別碼是一串字符串,不會(huì)重復(fù),它唯一地標(biāo)識(shí)了一臺(tái)安裝了XT800軟件的服務(wù)器。用戶可以修改密碼為更加復(fù)雜的字符串。而如果一個(gè)人的電腦上安裝了XT800軟件,則可以用窮舉的方式去嘗試連接其它裝有XT800軟件的服務(wù)器。如果遇到弱密碼,進(jìn)入一臺(tái)服務(wù)器則非常容易。
2遠(yuǎn)程連接原理
如果想從互聯(lián)網(wǎng)上連接某一臺(tái)服務(wù)器,需要如下前置條件:①一種定位機(jī)制。在互聯(lián)網(wǎng)里的眾多設(shè)備中找到要連接的服務(wù)器,需要唯一標(biāo)志,可以是“IP地址+端口號(hào)、識(shí)別碼”等;②一種通信規(guī)則。服務(wù)器與要連接的電腦必須可以實(shí)現(xiàn)數(shù)據(jù)通信;③一種軟件。服務(wù)器上至少裝有提供被連接服務(wù)的程序,并一直在等待連接請(qǐng)求。而要連接服務(wù)器的電腦至少裝有遠(yuǎn)程連接軟件的客戶端,可以發(fā)起連接請(qǐng)求。
OSI(Open System Interconnection,開放系統(tǒng)互聯(lián))模型將互聯(lián)通信系統(tǒng)劃分為7層,分別為:物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層、應(yīng)用層。以O(shè)SI模型為參照,自底向上分析各層在實(shí)現(xiàn)遠(yuǎn)程連接中的作用。
2.1IP協(xié)議
IP協(xié)議工作于OSI模型中的網(wǎng)絡(luò)層。在這一層中,普遍使用IPv4完成對(duì)連接目標(biāo)的定位。IPv4是4串?dāng)?shù)字,用3個(gè)小數(shù)點(diǎn)把它們隔開,每串?dāng)?shù)字取值范圍為0~255,例如10.10.10.8或192.168.1.8。IP協(xié)議使遠(yuǎn)程連接得以定位連接的目標(biāo)。2.2TCP協(xié)議
TCP協(xié)議工作于OSI模型中的傳輸層。傳輸層可以選擇連接的差錯(cuò)控制方式,并區(qū)別出TCP、UDP等連接方式。由于遠(yuǎn)程連接需要穩(wěn)定且可靠性高的連接,必須進(jìn)行差錯(cuò)控制,所以采用TCP連接方式來傳輸。TCP協(xié)議中的“三次握手”同樣適用于遠(yuǎn)程連接的建立過程,通過SYN與ACK報(bào)文的相互傳遞確認(rèn)連接的建立。連接建立之后,開始傳輸應(yīng)用層的數(shù)據(jù)——遠(yuǎn)程連接請(qǐng)求的相關(guān)連接數(shù)據(jù),包括本端信息(如IP、端口號(hào)、進(jìn)程ID等)、對(duì)端信息(如IP、端口號(hào)、服務(wù)程序、用戶名、密碼等)。TCP協(xié)議完成遠(yuǎn)程連接中的數(shù)據(jù)傳輸和通信。2.3遠(yuǎn)程連接軟件
遠(yuǎn)程連接軟件工作于OSI模型的會(huì)話層、表示層、應(yīng)用層。服務(wù)器管理員選擇不同的遠(yuǎn)程連接軟件,即使用不同軟件來監(jiān)聽、發(fā)送和接收遠(yuǎn)程連接數(shù)據(jù),并提供盡量友好的用戶界面和操作方式。
從以上分析可知,通信是公開、不可控的;服務(wù)器的唯一標(biāo)識(shí)可以是保密、少數(shù)人知曉的;遠(yuǎn)程連接軟件任何人都可以下載安裝,因而不可控。因此,從遠(yuǎn)程連接原理出發(fā),可以找到安全防護(hù)的方法。3防護(hù)方法實(shí)例
服務(wù)器只要向外提供服務(wù),即可以被追溯,所以想隱藏服務(wù)器的公網(wǎng)IP是不容易的。根據(jù)遠(yuǎn)程連接原理,可以隱藏遠(yuǎn)程連接的端口、區(qū)別可接受的連接來源區(qū)域、設(shè)置特別用戶及復(fù)雜密碼來保障服務(wù)器在遠(yuǎn)程連接中的安全。3.1端口映射
通過端口映射隱藏遠(yuǎn)程服務(wù)的端口,避免來自互聯(lián)網(wǎng)對(duì)默認(rèn)端口的掃描,以及多用戶名和密碼的嘗試。以系統(tǒng)自帶的遠(yuǎn)程桌面為例,其默認(rèn)服務(wù)端口3389經(jīng)常受到掃描。一臺(tái)服務(wù)器或IP可用的端口號(hào)為1-65536,除去系統(tǒng)占用的不可修改的端口外,其它應(yīng)用端口大部分可以修改。遠(yuǎn)程桌面的端口可以從3389改為與其它應(yīng)用或服務(wù)不沖突的任何一個(gè)端口。從非授權(quán)連接程序的掃描策略角度看,如果它掃描默認(rèn)端口,一個(gè)IP只需掃描1次;如果服務(wù)器并沒有使用默認(rèn)端口,排除系統(tǒng)占用和其它應(yīng)用常用的端口,需要掃描大約60 000個(gè)端口。工作量的數(shù)量級(jí)增加,而命中率大幅度下降,投入與回報(bào)不成正比。所以,不使用默認(rèn)端口可以很大程度上減少被掃描的次數(shù)和強(qiáng)度。
端口映射是網(wǎng)絡(luò)安全設(shè)備(如防火墻、負(fù)載均衡等)中的一條規(guī)則,功能是將連接請(qǐng)求中的目的端口號(hào)從一個(gè)數(shù)字改為另一個(gè)數(shù)字,傳送給要連接的目的服務(wù)器。目的服務(wù)器只接受更改過的端口號(hào),而不接受未更改的端口號(hào)。因此,利用網(wǎng)絡(luò)安全設(shè)備阻隔不知道遠(yuǎn)程連接正確端口號(hào)的請(qǐng)求,以保障服務(wù)器安全。3.2訪問控制列表
訪問控制列表(Access Control Lists,ACL)語句可約束一條網(wǎng)絡(luò)連接的源IP、源端口號(hào)、目的IP、目的端口號(hào)、處理方式。在遠(yuǎn)程連接請(qǐng)求語句中,目的IP與端口是明確的(即要連接服務(wù)器的IP地址和遠(yuǎn)程服務(wù)的端口號(hào)),而源IP和源端口號(hào)可以利用ACL規(guī)則篩選。
訪問控制列表作用于網(wǎng)絡(luò)安全設(shè)備(如防火墻、負(fù)載均衡等),網(wǎng)絡(luò)安全設(shè)備在收到連接請(qǐng)求時(shí),從上至下遍歷訪問控制列表中的每一條語句。如果遇到條件匹配的語句,則按照語句中的方式處理,遍歷終止。
從正向看,服務(wù)器管理員可以向網(wǎng)絡(luò)安全設(shè)備的訪問控制列表中增加自己工作網(wǎng)絡(luò)區(qū)域的IP段,使來源于此區(qū)域的連接通過網(wǎng)絡(luò)安全設(shè)備,被傳送給被管理的服務(wù)器;從反向看,凡是來自訪問控制列表網(wǎng)絡(luò)區(qū)域以外的連接都被網(wǎng)絡(luò)安全設(shè)備拋棄。雖然此方法不適合工作環(huán)境不穩(wěn)定(如使用鏈路負(fù)載均衡)或頻繁變更(如出差)的服務(wù)器管理員,但即使只能隔絕一個(gè)運(yùn)營商,也能極大地提高服務(wù)器安全性。
3.3用戶名及密碼控制
遠(yuǎn)程連接中需要使用的用戶名、ID、識(shí)別碼、密碼等建議設(shè)置得較為復(fù)雜。有的服務(wù)器管理員為圖方便使用默認(rèn)設(shè)置,對(duì)安裝了同一種遠(yuǎn)程連接軟件的其他用戶而言,也有了嘗試連接某臺(tái)服務(wù)器的通道。默認(rèn)的用戶名和密碼等往往比較簡單,以Teamviewer為例,默認(rèn)連接密碼為6位數(shù)字,在時(shí)間充足的情況下嘗試100萬次即可進(jìn)入服務(wù)器。Teamviewer的連接密碼可以被修改為字母、數(shù)字、符號(hào)構(gòu)成的更長組合。定期修改用戶名和密碼也十分有效,因?yàn)樵撔袨闀?huì)迫使窮舉嘗試的結(jié)果集失效。4分析與展望
4.1防護(hù)效果分析
經(jīng)過近2年的嘗試,以服務(wù)器日志數(shù)據(jù)作為防護(hù)效果參考,以上防護(hù)方法能減少被攻擊總數(shù)的百分比,如表1所示。由此可見,端口映射是最推薦采取的防護(hù)方式。
表1防護(hù)效果比較
防護(hù)方式端口映射訪問控制用戶名與密碼控制減少率(%)5010104.2其它遠(yuǎn)程管理方式
使用遠(yuǎn)程連接管理服務(wù)器,雖然是最簡單、普遍的方式,但它并不是服務(wù)器管理員的唯一選擇。它產(chǎn)生的問題雖然本文中已分析到并提出解決方法,但沒有一種方法可以百分之百地避免非授權(quán)連接請(qǐng)求。以下是筆者使用過的其它可以實(shí)現(xiàn)遠(yuǎn)程管理的軟件或設(shè)備,某些方面比遠(yuǎn)程連接更有優(yōu)勢。4.2.1VPN
VPN(Virtual Private Network,虛擬專用網(wǎng)絡(luò))是一款有代理功能的軟件或一臺(tái)網(wǎng)絡(luò)安全設(shè)備。以深信服VPN設(shè)備為例,它采取B/S架構(gòu)工作于互聯(lián)網(wǎng),需以公網(wǎng)IP發(fā)布其登錄頁面。服務(wù)器管理員在VPN登錄頁面輸入自己的用戶名和密碼,認(rèn)證成功則可進(jìn)入內(nèi)網(wǎng)。服務(wù)器管理員所使用的VPN用戶名與可訪問的內(nèi)網(wǎng)資源一一對(duì)應(yīng),當(dāng)服務(wù)器管理員成功登錄VPN后,其管轄的服務(wù)器即在資源列表中;反之,資源列表中沒有的資源,此VPN用戶不可訪問。
如果采取VPN管理服務(wù)器,與遠(yuǎn)程連接相比,具有以下優(yōu)點(diǎn):①不再需要向互聯(lián)網(wǎng)開放服務(wù)器的遠(yuǎn)程連接服務(wù)或安裝第三方軟件,從而百分之百避免了非授權(quán)的連接請(qǐng)求;②若有人想嘗試連接服務(wù)器,首先需要嘗試連接并通過VPN設(shè)備,掃描、攻擊、壓力則將由VPN設(shè)備承擔(dān),不會(huì)影響到服務(wù)器;③VPN設(shè)備作為一種網(wǎng)絡(luò)安全設(shè)備,可以設(shè)置復(fù)雜的審計(jì)策略,例如限制來訪者的網(wǎng)絡(luò)區(qū)域、計(jì)算密碼錯(cuò)誤次數(shù)、記錄用戶進(jìn)入內(nèi)網(wǎng)后的每一個(gè)操作等。4.2.2虛擬桌面
虛擬桌面(Desktop Virtualization)是基于虛擬化的上層應(yīng)用。本文中提到的服務(wù)器其實(shí)也可以是一臺(tái)虛擬機(jī),或一臺(tái)虛擬化的物理服務(wù)器,都可以使用虛擬桌面對(duì)其進(jìn)行管理。虛擬化技術(shù)使應(yīng)用擺脫了物理局限,模糊了應(yīng)用存在的物理位置。作為用戶或服務(wù)器管理員,并不介意應(yīng)用程序、存儲(chǔ)資料的物理位置是否轉(zhuǎn)移,只要滿足邏輯期望即可,如:操作系統(tǒng)功能正常、應(yīng)用程序運(yùn)行正常、存儲(chǔ)資料完整無缺等。
以VMware Horizon View為例,通過虛擬桌面可以獲得在機(jī)房直接操作服務(wù)器的體驗(yàn)。其優(yōu)勢更多地來自于虛擬化技術(shù),例如在不丟失數(shù)據(jù)的前提下擴(kuò)展硬件(如CPU、內(nèi)存、數(shù)據(jù)存儲(chǔ)空間等)、更便捷的系統(tǒng)恢復(fù)功能等。VMware Horizon View使服務(wù)器管理員可以在任何設(shè)備上完成服務(wù)器或虛擬機(jī)的遠(yuǎn)程管理工作,例如手機(jī)、平板電腦、個(gè)人電腦等,從而突破了之前遠(yuǎn)程連接軟件大部分僅支持個(gè)人電腦(尤其是Windows操作系統(tǒng))的局限。5結(jié)語
遠(yuǎn)程桌面最方便使用,但安全風(fēng)險(xiǎn)也最高,采用VPN需要投入資金并培訓(xùn)用戶,虛擬桌面僅適用于虛擬化服務(wù)器。以上方式各有優(yōu)缺點(diǎn),可根據(jù)機(jī)房狀況選取合適的遠(yuǎn)程管理方式。引入滿足需求的網(wǎng)絡(luò)安全設(shè)備,進(jìn)一步提高機(jī)房的虛擬化程度,都有利于遠(yuǎn)程管理水平的提高。但只要機(jī)房存在,就必須有人為的管理,再智能化的硬件或軟件都不可能代替管理員操作。
參考文獻(xiàn):
任紹坤.被忽視的遠(yuǎn)程管理模塊[J].網(wǎng)絡(luò)運(yùn)維與管理,2016(1):135137.
李太鳳,朱艷.Radmin在服務(wù)器遠(yuǎn)程管理中的應(yīng)用[J].西昌學(xué)院學(xué)報(bào):自然科學(xué)版,2015,29(4):4145.
曹俊捷.成人高校遠(yuǎn)程實(shí)驗(yàn)平臺(tái)的研究與實(shí)踐[J].信息與電腦:理論版,2014(3):6465.
張?zhí)?計(jì)算機(jī)防火墻技術(shù)研究[J].信息與電腦:理論版,2014(4):107108.
王祿華.基于4G網(wǎng)絡(luò)的機(jī)房遠(yuǎn)程監(jiān)控云平臺(tái)[J].電信快報(bào):網(wǎng)絡(luò)與通信,2015(12):3942.