一、TCP/IP方面要重點(diǎn)考慮的安全配置信息
Win2K提供了三種方式對(duì)進(jìn)站連接進(jìn)行訪問(wèn)控制,以下分別介紹。
1、TCP/IP安全配置
Win2K中的TCP/IP安全配置與Windows NT 4.0中的執(zhí)行方式完全相同,配置方法非常基本也非常簡(jiǎn)單,根本原則就是“全部允許或只允許”:
“全部允許”表示放行來(lái)自所有端口的通訊數(shù)據(jù),“只允許”表示除了特別列出端口外的通訊數(shù)據(jù)都拒絕。TCP/IP篩選雖然簡(jiǎn)單,但過(guò)濾總比沒(méi)有過(guò)濾好,建議管理員不要漏掉這個(gè)防線。
2、對(duì)路由和遠(yuǎn)程訪問(wèn)服務(wù)(Routing and Remote Access Service,RRAS)形式的進(jìn)站連接設(shè)置訪問(wèn)控制列表
路由和遠(yuǎn)程訪問(wèn)服務(wù)(RRAS)能夠配置出更加靈活復(fù)雜的信息包過(guò)濾器,盡管過(guò)濾方式是靜態(tài)的,但它的過(guò)濾細(xì)節(jié)卻很多,包括信息包方向、IP地址、各種協(xié)議類型。
3、IPSec Policy Filters(IP安全策略過(guò)濾器)
IPSec Policy Filters由IPSec Policy Agent(IP安全策略代理)強(qiáng)制執(zhí)行,是Win2K操作系統(tǒng)的新生功能。它彌補(bǔ)了傳統(tǒng)TCP/IP設(shè)計(jì)上的“隨意信任”重大安全漏洞,可以實(shí)現(xiàn)更仔細(xì)更精確的TCP/IP安全。可以說(shuō),IPSec是一個(gè)基于通訊分析的策略,它將通訊內(nèi)容與設(shè)定好的規(guī)則進(jìn)行比較以判斷通訊是否與預(yù)期相吻合,然后據(jù)此允許或拒絕通訊的傳輸。這些規(guī)則叫做過(guò)濾器列表,管理員可以圍繞各種不同的安全認(rèn)證協(xié)議來(lái)設(shè)計(jì)它們,協(xié)議包括:
● Internet密鑰交換協(xié)議(Internet Key Exchange Protocol,IKE): 一種使VPN節(jié)點(diǎn)之間達(dá)成安全通信的協(xié)議,其功能強(qiáng)大、設(shè)計(jì)靈活。
● 認(rèn)證IP數(shù)據(jù)包(Authentication Header,AH):也就是將數(shù)據(jù)包中的數(shù)據(jù)和一個(gè)變化的數(shù)字簽字結(jié)合起來(lái),使得接收者能夠確認(rèn)數(shù)據(jù)發(fā)送者的身份以及確認(rèn)數(shù)據(jù)在傳輸過(guò)程中沒(méi)有被纂改過(guò)。
● Encapsulation Security Payload (ESP):指使用硬件對(duì)數(shù)據(jù)包中的數(shù)據(jù)進(jìn)行加密,使象Sniffer類的網(wǎng)絡(luò)監(jiān)聽(tīng)軟件無(wú)法得到任何有用信息。
二、配置安全的IIS5
1、單獨(dú)設(shè)置IIS服務(wù)器
如果可能,IIS應(yīng)該安裝在一個(gè)單獨(dú)的服務(wù)器上。就是說(shuō),這個(gè)服務(wù)器不是任何域中的成員,不必與域控制器建立Netlogon信道,從而降低通過(guò)服務(wù)器之間連接而建立起來(lái)的空用戶連接所帶來(lái)的安全風(fēng)險(xiǎn)。而且,由于系統(tǒng)之間不傳遞認(rèn)證通訊信息,也就降低了登錄口令被截獲的可能。
2、禁止不需要的服務(wù)
另外,如果僅僅是單純的Web 服務(wù)器,那么最好禁止掉以下不需要的服務(wù):
3、合理設(shè)置Web根文件夾
同前面論述的將操作系統(tǒng)與應(yīng)用程序單獨(dú)存放在不同的分區(qū)或磁盤(pán)驅(qū)動(dòng)器一樣,現(xiàn)在又要使用到隔離技術(shù)了。建議將Web根文件夾wwwroot定位在操作系統(tǒng)分區(qū)以外的地方甚至是另外的物理磁盤(pán)驅(qū)動(dòng)器上。而且,當(dāng)設(shè)置Web站點(diǎn)的虛擬目錄或重定向文件夾時(shí),也要保證這些目錄不會(huì)被重定向到操作系統(tǒng)的啟動(dòng)分區(qū),因?yàn)橛行┕裟軌蛭<霸L問(wèn)文件夾所在分區(qū)上的其它文件夾。
還有一種安全處理方式就是把Web根文件夾設(shè)置到另一個(gè)服務(wù)器上,使IIS服務(wù)器成為一個(gè)只緩沖請(qǐng)求、應(yīng)答請(qǐng)求的系統(tǒng)。而且,經(jīng)過(guò)這樣處理后,整個(gè)服務(wù)器基本上是一個(gè)通用型的,其上沒(méi)有存儲(chǔ)任何內(nèi)容,即使站點(diǎn)遭到攻擊而癱瘓,也可以從磁帶或其它備份中快速簡(jiǎn)單地恢復(fù)服務(wù)器。
4、為重要系統(tǒng)文件改頭換面
操作系統(tǒng)中有許多非常重要的文件,它們就象“雙刃劍”,既可以讓管理員方便地執(zhí)行維護(hù)工作,又可能被攻擊者利用進(jìn)行破壞活動(dòng)。為此,建議對(duì)這些文件進(jìn)行刪除、重命名或者為其設(shè)置NTFS權(quán)限,目的就是使攻擊者再也找不到熟悉的面孔。這些文件包括:
5、刪除危險(xiǎn)的IIS組件
默認(rèn)安裝后的有些IIS組件可能會(huì)造成安全威脅,應(yīng)該從系統(tǒng)中去掉,所謂“多一個(gè)組件,不如少一個(gè)組件”。以下是一些“黑名單”參考,請(qǐng)管理員酌情考慮:
● Internet服務(wù)管理器(HTML):這是基于Web 的IIS服務(wù)器管理頁(yè)面,一般情況下不應(yīng)通過(guò)Web進(jìn)行管理,建議卸載它。
● 樣本頁(yè)面和腳本:這些樣本中有些是專門(mén)為顯示IIS的強(qiáng)大功能設(shè)計(jì)的,但同樣可被用來(lái)從Internet上執(zhí)行應(yīng)用程序和瀏覽服務(wù)器,這不是好事情,建議刪除.
● Win2K資源工具箱 或IIS資源工具箱:這些由專家編寫(xiě)的軟件大概是現(xiàn)在最好的黑客工具了,其中有許多項(xiàng)目可以被攻擊者利用從服務(wù)器上提取信息、進(jìn)行破壞.
● SMTP和NNTP:如果不打算使用服務(wù)器轉(zhuǎn)發(fā)郵件和提供新聞組服務(wù),就刪除這些項(xiàng)目吧。否則,別因?yàn)樗鼈兊穆┒磶?lái)新的不安全。
● Internet打印:Internet打印是Win2K中的一個(gè)新特性,它提供了通過(guò)Internet將打印作業(yè)題交給打印機(jī)的方式。但是由于網(wǎng)絡(luò)上的打印機(jī)是通過(guò)一個(gè)Web頁(yè)面進(jìn)行訪問(wèn)并管理的,所以也就使系統(tǒng)增加了許多受到利用的可能。
6、改寫(xiě)注冊(cè)表降低被攻擊風(fēng)險(xiǎn)
DDoS攻擊現(xiàn)在很流行,例如SYN使用巨量畸形TCP信息包向服務(wù)器發(fā)出請(qǐng)求,最終導(dǎo)致服務(wù)器不能正常工作。改寫(xiě)注冊(cè)表信息雖然不能完全制止這類攻擊,但是可以降低其風(fēng)險(xiǎn),所以,建議搜索并實(shí)施相關(guān)攻擊的注冊(cè)表改寫(xiě)對(duì)策。降低SYN攻擊的注冊(cè)表改寫(xiě)對(duì)策是:將HKLM\System\CurrentControlSet\Services\Tcpip\Parameters下的SynAttackProtect的值修改為2。
7、簡(jiǎn)化IIS5中的驗(yàn)證方法
Win2K和IIS5緊密結(jié)合的一點(diǎn)就體現(xiàn)在它們共享了驗(yàn)證的功能和方法,這包括:匿名訪問(wèn)、基本驗(yàn)證(密碼用明文送出)、Windows域服務(wù)器的簡(jiǎn)要驗(yàn)證、集成Windows驗(yàn)證等等。
對(duì)于大多數(shù)Web站點(diǎn)來(lái)說(shuō),有匿名訪問(wèn)或基本認(rèn)證就足夠了,或者干脆只保留匿名訪問(wèn)形式。在有些地方,最簡(jiǎn)單的往往是最有效的!
8、為IIS5中的文件分類設(shè)置權(quán)限
除了在操作系統(tǒng)級(jí)別為IIS5的文件設(shè)置必要的權(quán)限外,還要在IIS管理器中為它們?cè)O(shè)置權(quán)限,以期做到雙保險(xiǎn)。一般而言,對(duì)一個(gè)文件夾永遠(yuǎn)也不應(yīng)同時(shí)設(shè)置寫(xiě)和執(zhí)行權(quán)限,以防止攻擊者向站點(diǎn)上傳并執(zhí)行惡意代碼。還有目錄瀏覽功能也應(yīng)禁止,預(yù)防攻擊者把站點(diǎn)上的文件夾瀏覽個(gè)遍最后找到“不忠的壞分子”。一個(gè)好的設(shè)置策略是:為Web 站點(diǎn)上不同類型的文件都建立目錄,然后給它們分配適當(dāng)權(quán)限。例如:
● Scripts目錄:包含站點(diǎn)的所有腳本文件,如cgi、vbs、asp等等,為這個(gè)文件夾設(shè)置“純腳本”執(zhí)行許可權(quán)限。
● BIN目錄:包含站點(diǎn)上的二禁止執(zhí)行文件,應(yīng)該為這個(gè)文件夾設(shè)置“腳本和可執(zhí)行程序” 執(zhí)行許可權(quán)限。
● Static目錄:包括所有靜態(tài)文件,如HTM 或HTML,為這個(gè)文件夾設(shè)置“讀權(quán)限”
9、全力保護(hù)IIS metabase
IIS Metabase保存著包括口令在內(nèi)的幾乎IIS配置各個(gè)方面的內(nèi)容,而且這些信息都以明文形式存儲(chǔ),因此保護(hù)它至關(guān)重要。建議采取如下措施:
● 把HTTP和FTP根文件夾從%systemroot%下移走
● 慎重考慮重新命名Metabase和移動(dòng)Metabase位置
● 安全設(shè)置確定Metabase位置的注冊(cè)表關(guān)鍵字
● 審核所有試圖訪問(wèn)并編輯Metabase的失敗日志
● 刪除文件%systemroot%\system32\inetserv\Iissync.exe
● 為Metabase文件設(shè)置以下權(quán)限:Administrators/完全控制,System/完全控制
完成IIS配置后對(duì)Metabase 進(jìn)行備份,這時(shí)會(huì)創(chuàng)建文件夾%systemroot%\system32\inetserv\MetaBack,備份文件就存儲(chǔ)在其中。對(duì)于這個(gè)地方,要采取如下措施進(jìn)行保護(hù):
● 審核對(duì)\MetaBack文件夾的所有失敗訪問(wèn)嘗試
● 為\MetaBack文件夾設(shè)置如下權(quán)限:Administrators/完全控制,System/完全控制
最后,要保護(hù)能夠編輯Metabase的工具,步驟是:
● 移走文件夾\Inetpub\Adminscripts,這里包含著IIS的所有管理腳本
● 將"\program file"文件下的Metaedit.exe 和Metautil.dll移到%systemroot%\system32\Inetserv文件夾下,并調(diào)整相應(yīng)的開(kāi)始菜單快捷方式。
● 審核對(duì)\Adminscripts文件夾的所有失敗訪問(wèn)嘗試
● 對(duì)執(zhí)行.VBS文件的%systemroot%\system32\csript.exe設(shè)置權(quán)限為“Administrators/完全控制”。
● 對(duì)\Adminscripts文件夾設(shè)置權(quán)限“Administrators/完全控制”。
三、建立審核例行程序和備份策略
完成了以上這些任務(wù)后,可以說(shuō)服務(wù)器就是一個(gè)“準(zhǔn)Internet 服務(wù)器”了。之所以說(shuō)“準(zhǔn)”,是因?yàn)檫€需要以下兩個(gè)重要的補(bǔ)充方案:
1、建立審核例行程序
在站點(diǎn)對(duì)外開(kāi)放前,我們必須為這個(gè)服務(wù)器配置一個(gè)審核程序,以及時(shí)全面地確定服務(wù)器是否正受到攻擊或威脅。日志文件就象一個(gè)站點(diǎn)的耳朵,千萬(wàn)不要讓它成為擺設(shè),每天都要安排一定的時(shí)間來(lái)查看日志、檢查是否有異常活動(dòng)發(fā)生。而且,可以使用一些商業(yè)工具方便地、及時(shí)地或定時(shí)地收集和整理相關(guān)日志信息,以期更有效地檢查它們。
以下是必須重點(diǎn)關(guān)注的事件:
● 失敗的登錄
● 失敗的文件和對(duì)象訪問(wèn)
● 失敗的用戶權(quán)力使用
● 失敗的安全策略修改
● 失敗的用戶和組策略修改
以下是需要關(guān)注的事件:
● 所有對(duì)腳本和Bin文件夾的訪問(wèn)
● 所有包含Web發(fā)布文件的文件夾
2、數(shù)據(jù)保護(hù)
對(duì)存儲(chǔ)在服務(wù)器上暴露于Internet的數(shù)據(jù)進(jìn)行保護(hù)也很重要。除了設(shè)置相應(yīng)權(quán)限外,建立一個(gè)正式的備份策略,定期進(jìn)行磁帶備份非常必要的。備份策略應(yīng)該確定以下內(nèi)容:
● 誰(shuí)負(fù)責(zé)進(jìn)行數(shù)據(jù)和服務(wù)器配置的備份?
● 多長(zhǎng)時(shí)間進(jìn)行一次備份?
● 備份存儲(chǔ)介質(zhì)的默認(rèn)放置位置是哪里?
● 誰(shuí)有權(quán)恢復(fù)系統(tǒng)數(shù)據(jù)?
● 是否在站點(diǎn)外有備份數(shù)據(jù)的副本?
● 誰(shuí)負(fù)責(zé)維護(hù)站點(diǎn)外的備份數(shù)據(jù)副本?
明確了這些,進(jìn)一步需要確定備份位置及備份方法:
● 大多數(shù)情況下,本地備份比網(wǎng)絡(luò)備份要好,因?yàn)閳?zhí)行備份時(shí)不需要建立網(wǎng)絡(luò)連接。
● 完成系統(tǒng)安裝后,第一件事就是對(duì)服務(wù)器進(jìn)行完整備份。
● 確定備份的頻率和類型。是每天都做備份嗎?每天的備份是完整備份、增量備份還是差異備份?
四、結(jié)語(yǔ)
以上詳細(xì)論述了使用Win2K和IIS5構(gòu)建安全I(xiàn)nternet網(wǎng)站的IIS安全配置指南部分,如果是嚴(yán)格按照這些步驟審視了IIS,就可以說(shuō)基本上做到了從"空中部分"全力堵截入侵者的攻擊。再結(jié)合"Win2K Internet服務(wù)器安全構(gòu)建指南(Win2K篇)",我們現(xiàn)在可以說(shuō)一聲:"無(wú)論敵人來(lái)自地面或者空中,你都將處于我們的監(jiān)視之中"!
但是,我仍要提醒您:想要使一個(gè)存在于公共基礎(chǔ)上的系統(tǒng)完全免受攻擊是不可能的,所能做到的就是盡可能使系統(tǒng)堅(jiān)固,而迫使攻擊者去搜尋其他比較容易攻擊的系統(tǒng)。呵呵,避重就輕、棄難從易嗎!
