解析遠(yuǎn)程訪問(wèn)的三種入侵方式和保護(hù)之道
隨著信息化辦公的普及,遠(yuǎn)程訪問(wèn)的需求也水漲船高。越來(lái)越多的企業(yè),已經(jīng)不再只滿足于信息化系統(tǒng)只能夠在企業(yè)內(nèi)部使用。由于員工出差、客戶要求訪問(wèn)等原因,近幾年遠(yuǎn)程訪問(wèn)的熱度不斷升高。一些遠(yuǎn)程訪問(wèn)工具,也紛紛面世。如電子郵件、FTP、遠(yuǎn)程桌面等工具為流離在外的企業(yè)員工,提供了訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)資源的渠道。
但是,毋庸置疑的,對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)資源的遠(yuǎn)程訪問(wèn)增加了企業(yè)網(wǎng)絡(luò)的脆弱性,產(chǎn)生了許多安全隱患。因?yàn)榇蠖鄶?shù)提供遠(yuǎn)程訪問(wèn)的應(yīng)用程序本身并不具備內(nèi)在的安全策略,也沒(méi)有提供獨(dú)立的安全鑒別機(jī)制。
或者說(shuō),需要依靠其他的安全策略,如IPSec技術(shù)或者訪問(wèn)控制列表來(lái)保障其安全性。所以,遠(yuǎn)程訪問(wèn)增加了企業(yè)內(nèi)部網(wǎng)絡(luò)被攻擊的風(fēng)險(xiǎn)。筆者在這里試圖對(duì)常見(jiàn)的遠(yuǎn)程入侵方式進(jìn)行分析總結(jié),跟大家一起來(lái)提高遠(yuǎn)程訪問(wèn)的安全性。
一、針對(duì)特定服務(wù)的攻擊
企業(yè)往往會(huì)在內(nèi)部網(wǎng)絡(luò)中部署一些HTTP、FTP服務(wù)器。同時(shí),通過(guò)一定的技術(shù),讓員工也可以從外部訪問(wèn)這些服務(wù)器。而很多遠(yuǎn)程訪問(wèn)攻擊,就是針對(duì)這些服務(wù)所展開(kāi)的。諸如這些支持SMTP、POP等服務(wù)的應(yīng)用程序,都有其內(nèi)在的安全隱患。給入侵者開(kāi)了一道后門(mén)。
如WEB服務(wù)器是企業(yè)常用的服務(wù)。可惜的是,WEB服務(wù)器所采用的HTTP服務(wù)其安全性并不高。現(xiàn)在通過(guò)攻擊WEB服務(wù)器而進(jìn)行遠(yuǎn)程訪問(wèn)入侵的案例多如牛毛。
入侵者通過(guò)利用WEB服務(wù)器和操作系統(tǒng)存在的缺陷和安全漏洞,可以輕易的控制WEB服務(wù)器并得到WEB內(nèi)容的訪問(wèn)權(quán)限。如此,入侵者得手之后,就可以任意操作數(shù)據(jù)了。即可以在用戶不知情的情況下秘密竊取數(shù)據(jù),也可以對(duì)數(shù)據(jù)進(jìn)行惡意更改。
針對(duì)這些特定服務(wù)的攻擊,比較難于防范。但是,并不是一點(diǎn)對(duì)策都沒(méi)有。采取一些有效的防治措施,仍然可以在很大程度上避免遠(yuǎn)程訪問(wèn)的入侵。如采取如下措施,可以起到一些不錯(cuò)的效果。
一、是采用一些更加安全的服務(wù)。就拿WEB服務(wù)器來(lái)說(shuō)吧。現(xiàn)在支持WEB服務(wù)器的協(xié)議主要有兩種,分別為HTTP與HTTPS。其中HTTP協(xié)議的漏洞很多,很容易被入侵者利用,成為遠(yuǎn)程入侵企業(yè)內(nèi)部網(wǎng)絡(luò)的跳板。
而HTTPS則相對(duì)來(lái)說(shuō)安全的多。因?yàn)樵谶@個(gè)協(xié)議中,加入了一些安全措施,如數(shù)據(jù)加密技術(shù)等等。在一定程度上可以提高WEB服務(wù)器的安全性。所以,網(wǎng)絡(luò)安全人員在必要的時(shí)候,可以采用一些比較安全的協(xié)議。當(dāng)然,天下沒(méi)有免費(fèi)的午餐。服務(wù)器要為此付出比較多的系統(tǒng)資源開(kāi)銷(xiāo)。
二、是對(duì)應(yīng)用服務(wù)器進(jìn)行升級(jí)。其實(shí),很多遠(yuǎn)程服務(wù)攻擊,往往都是因?yàn)閼?yīng)用服務(wù)器的漏洞所造成的。如常見(jiàn)的WEB服務(wù)攻擊,就是HTTP協(xié)議與操作系統(tǒng)漏洞一起所產(chǎn)生的后果。
如果能夠及時(shí)對(duì)應(yīng)用服務(wù)器操作系統(tǒng)進(jìn)行升級(jí),把操作系統(tǒng)的漏洞及時(shí)補(bǔ)上去,那么就可以提高這些服務(wù)的安全性,防治他們被不法之人所入侵。
三、是可以選擇一些有身份鑒別功能的服務(wù)。如TFTP、FTP都是用來(lái)進(jìn)行文件傳輸?shù)膮f(xié)議。可以讓企業(yè)內(nèi)部用戶與外部訪問(wèn)者之間建立一個(gè)文件共享的橋梁。可是這兩個(gè)服務(wù)雖然功能類(lèi)似,但是安全性上卻差很遠(yuǎn)。
TFTP是一個(gè)不安全的協(xié)議,他不提供身份鑒別貢呢功能。也就是說(shuō),任何人只要能夠連接到TFTP服務(wù)器上,就可以進(jìn)行訪問(wèn)。而FTP則提供了一定的身份驗(yàn)證功能。雖然其也允許用戶匿名訪問(wèn),但是只要網(wǎng)絡(luò)安全人員限制用戶匿名訪問(wèn),那么就可以提高文件共享的安全性。#p#
二、針對(duì)遠(yuǎn)程節(jié)點(diǎn)的攻擊
遠(yuǎn)程節(jié)點(diǎn)的訪問(wèn)模式是指一臺(tái)遠(yuǎn)程計(jì)算機(jī)連接到一個(gè)遠(yuǎn)程訪問(wèn)服務(wù)器上,并訪問(wèn)其上面的應(yīng)用程序。如我們可以通過(guò)Telent或者SSH技術(shù)遠(yuǎn)程登陸到路由器中,并執(zhí)行相關(guān)的維護(hù)命令,還可以遠(yuǎn)程啟動(dòng)某些程序。在遠(yuǎn)程節(jié)點(diǎn)的訪問(wèn)模式下,遠(yuǎn)程服務(wù)器可以為遠(yuǎn)程用戶提供應(yīng)用軟件和本地存儲(chǔ)空間。現(xiàn)在遠(yuǎn)程節(jié)點(diǎn)訪問(wèn)余越來(lái)越流行。不過(guò),其安全隱患也不小。
一是增強(qiáng)了網(wǎng)絡(luò)設(shè)備等管理風(fēng)險(xiǎn)。因?yàn)槁酚善鳌⑧]箱服務(wù)器等等都允許遠(yuǎn)程管理。若這些網(wǎng)絡(luò)設(shè)備的密碼泄露,則即使在千里之外的入侵者,仍然可以通過(guò)遠(yuǎn)程節(jié)點(diǎn)訪問(wèn)這些設(shè)備。
更可怕的是,可以對(duì)這些設(shè)備進(jìn)行遠(yuǎn)程維護(hù)。如入侵者可以登陸到路由器等關(guān)鍵網(wǎng)絡(luò)設(shè)備,并讓路由器上的安全策略失效。如此的話,就可以為他們進(jìn)一步攻擊企業(yè)內(nèi)部網(wǎng)絡(luò)掃清道路。而有一些人即使不攻擊企業(yè)網(wǎng)絡(luò),也會(huì)搞一些惡作劇。
如筆者以前就遇到過(guò),有人入侵路由器后,“燕過(guò)留聲,人過(guò)留名”。入侵者竟然把路由器的管理員密碼更改了。這讓我郁悶了好久。所以如果網(wǎng)絡(luò)安全管理人員允許管理員進(jìn)行遠(yuǎn)程節(jié)點(diǎn)訪問(wèn),那么就要特別注意密碼的安全性。要為此設(shè)立比較復(fù)雜的密碼,并經(jīng)常更換。
二是采取一些比較安全的遠(yuǎn)程節(jié)點(diǎn)訪問(wèn)方法。如對(duì)于路由器或者其他應(yīng)用服務(wù)器進(jìn)行遠(yuǎn)程訪問(wèn)的話,往往即可以通過(guò)HTTP協(xié)議,也可以通過(guò)SSH協(xié)議進(jìn)行遠(yuǎn)程節(jié)點(diǎn)訪問(wèn)。他們的功能大同小異。都可以遠(yuǎn)程執(zhí)行服務(wù)器或者路由器上的命令、應(yīng)用程序等等。
但是,他們的安全性上就有很大的差異。Telent服務(wù)其安全性比較差,因?yàn)槠錈o(wú)論是密碼還是執(zhí)行代碼在網(wǎng)絡(luò)中都是通過(guò)明文傳輸?shù)摹H绱说脑挘溆脩裘c密碼泄露的風(fēng)險(xiǎn)就比較大。
如別有用心的入侵者可以通過(guò)網(wǎng)絡(luò)偵聽(tīng)等手段竊取網(wǎng)絡(luò)中明文傳輸?shù)挠脩裘c密碼。這會(huì)給這些網(wǎng)絡(luò)設(shè)備帶來(lái)致命的打擊。而SSH協(xié)議則相對(duì)來(lái)說(shuō)比較安全,因?yàn)檫@個(gè)服務(wù)在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)都是加密處理過(guò)的。它可以提高遠(yuǎn)程節(jié)點(diǎn)訪問(wèn)的安全性。像Cisco公司提供的網(wǎng)絡(luò)設(shè)備,如路由器等等,還有Linux基礎(chǔ)上的服務(wù)器系統(tǒng),默認(rèn)情況下,都支持SSH服務(wù)。
而往往會(huì)拒絕啟用Telent服務(wù)等等。這也主要是出于安全性的考慮。不過(guò)基于微軟的服務(wù)器系統(tǒng),其默認(rèn)情況下,支持Telent服務(wù)。不過(guò),筆者建議,大家還是采用SSH服務(wù)為好。其安全性更高。
三、針對(duì)遠(yuǎn)程控制的攻擊
遠(yuǎn)程控制是指一個(gè)遠(yuǎn)程用戶控制一臺(tái)位于其他地方的計(jì)算機(jī)。這臺(tái)計(jì)算機(jī)可能是有專(zhuān)門(mén)用途的服務(wù)器系統(tǒng),也可能是用戶自己的計(jì)算機(jī)。他跟遠(yuǎn)程節(jié)點(diǎn)訪問(wèn)類(lèi)似,但又有所不同。當(dāng)用戶通過(guò)遠(yuǎn)程節(jié)點(diǎn)訪問(wèn)服務(wù)器,則用戶自己并不知道有人在訪問(wèn)自己。而通過(guò)遠(yuǎn)程控制訪問(wèn)的話,則在窗口中可以直接顯現(xiàn)出來(lái)。
因?yàn)檫h(yuǎn)程用戶使用的計(jì)算機(jī)只是作為鍵盤(pán)操作和現(xiàn)實(shí)之用,遠(yuǎn)程控制限制遠(yuǎn)程用戶只能夠使用駐留在企 控制的計(jì)算機(jī)上的軟件程序。如像QQ遠(yuǎn)程協(xié)助,就是遠(yuǎn)程控制的一種。
相對(duì)來(lái)說(shuō),遠(yuǎn)程控制要比節(jié)點(diǎn)訪問(wèn)安全性高一點(diǎn)。如一些遠(yuǎn)程控制軟件往往會(huì)提供加強(qiáng)的審計(jì)和日志功能。有些遠(yuǎn)程控制軟件,如QQ遠(yuǎn)程協(xié)助等,他們還需要用戶提出請(qǐng)求,對(duì)方才能夠進(jìn)行遠(yuǎn)程控制。但是,其仍然存在一些脆弱性。
一是只需要知道用戶名與口令,就可以開(kāi)始一個(gè)遠(yuǎn)程控制會(huì)話。也就是說(shuō),遠(yuǎn)程控制軟件只會(huì)根據(jù)用戶名與密碼來(lái)進(jìn)行身份驗(yàn)證。所以,如果在一些關(guān)鍵服務(wù)器上裝有遠(yuǎn)程控制軟件,最好能夠采取一些額外的安全措施。
如Windows服務(wù)器平臺(tái)上有一個(gè)安全策略,可以設(shè)置只允許一些特定的MAC地址的主機(jī)可以遠(yuǎn)程連接到服務(wù)器上。通過(guò)這種策略,可以讓只有網(wǎng)絡(luò)管理人員的主機(jī)才能夠進(jìn)行遠(yuǎn)程控制。無(wú)疑這個(gè)策略可以大大提高遠(yuǎn)程控制的安全性。
二是采用一些安全性比較高的遠(yuǎn)程控制軟件。一些比較成熟的遠(yuǎn)程控制軟件,如PCAnyWhere,其除了遠(yuǎn)程控制的基本功能之外,還提供了一些身份驗(yàn)證方式以供管理員選擇。管理員可以根據(jù)安全性需求的不同,選擇合適的身份驗(yàn)證方式。
另外,其還具有加強(qiáng)的審計(jì)與日志功能,可以翔實(shí)的紀(jì)錄遠(yuǎn)程控制所做的一些更改與訪問(wèn)的一些數(shù)據(jù)。當(dāng)我們安全管理人員懷疑遠(yuǎn)程控制被入侵者利用時(shí),則可以通過(guò)這些日志來(lái)查詢是否有入侵者侵入。
三是除非有特殊的必要,否則不要裝或者開(kāi)啟遠(yuǎn)程控制軟件。即使采取了一些安全措施,其安全隱患仍然存在。為此,除非特別需要,才開(kāi)啟遠(yuǎn)程控制軟件。
如筆者平時(shí)的時(shí)候,都會(huì)把一些應(yīng)用服務(wù)器的遠(yuǎn)程控制軟件關(guān)掉。而只有在筆者出差或者休假的時(shí)候,才會(huì)把他們開(kāi)起來(lái),以備不時(shí)之需。這么處理雖然有點(diǎn)麻煩,但是可以提高關(guān)鍵應(yīng)用服務(wù)器的安全。這點(diǎn)麻煩還是值得的。
【相關(guān)推薦】
