“標本兼治”救趙明 將黑客“拒之門外”
原創【51CTO.com 獨家特稿】在“拯救網站運維經理趙明活動”開始后,李洋為我們投來了多層防御的一個解決方案。
越來越多的網站面臨著趙明所運維的Web網站系統的安全威脅和問題,當前許多的解決方案更多的依賴于單一的技術或者設備來機械式地進行疊加的防護。其實,針對該問題的解決方案從安全的本質來說,需要從安全原則及其實現的技術和網絡拓撲來進行“標本兼治”,方能從根本上救得了趙明,從此以后高枕無憂,將黑客“拒之門外”。因此,本方案首先對趙明運維的系統進行詳細的安全分析,給出安全風險,然后給出相應的解決方案的原則和技術,并根據原則來提供具體實施的網絡拓撲和部署要點,在最后給出了具體實施所采用的主要安全產品選型,希望給趙明和廣大的網絡管理員提供參考。
一、 Web系統風險分析
從風險發生的位置來看,趙明所運維的Web網站系統主要面臨如下兩類安全風險:
1、用戶側和傳輸網絡側
a) 惡意用戶采用黑客工具構造惡意報文對暴露在公網的網上系統進行拒絕服務攻擊
b) 惡意用戶通過Web瀏覽器的登陸界面對合法用戶的用戶名和密碼進行猜測,從而冒充合法用戶進行網頁訪問和系統使用
c) 惡意用戶通過構造非法的、可能被網上系統錯誤識別和執行的代碼嵌入在提交的表單中,引起不正常的信息泄露,甚至系統崩潰
d) 惡意用戶可能在傳輸網絡中通過非法竊取合法用戶的通信報文,從而獲得本不應該獲得的敏感信息
e) 用戶被引導進入其他的非法網站,如現在流行的釣魚網站(phishing)等等,從而在不知情的情況下泄露個人機密信息,造成經濟損失
2、系統服務器側
a) 面臨來自用戶側的拒絕服務攻擊、分布式拒絕服務攻擊
b) 面臨在遭受攻擊后,由于服務器側網絡架構劃分和隔離措施不嚴謹,可能造成“雪崩效應”,整個服務器機群的癱瘓,比如,由于Web服務器癱瘓,導致后臺數據庫服務器、管理服務器等的連鎖癱瘓
c) 面臨由于服務器側的軟件實現不合理,尤其是數據庫權限和視圖等的不合理,導致用戶的錯誤或者非法輸入引起機密信息泄露或者是遭受SQL injection攻擊等
d) 面臨在服務器遭受攻擊后,沒有相應的備服務器接管服務,造成服務終端,引起用戶業務體驗嚴重受損
e) 面臨在服務器遭受攻擊后,沒有健全的災難備份和恢復措施對關鍵的業務數據及其業務進行恢復
二、 方案的原則和思路
依據網絡安全領域最為流行的4A(認證Authentication、賬號Account、授權Authorization、審計Audit)、P2DR模型(策略Policy、保護Protection、監測Detection、反應Response)及ISO等主流標準的要求,并結合趙明Web系統的應用需求,切實保證趙明運維的網站能夠從根本上解決黑客攻擊防御和事后的審計和追蹤問題,并特別強調網站的安全設計和防護原則從天生上就有應對黑客攻擊的“免疫力”,所以從五大方面進行考慮:
1. 網絡拓撲結構:合理的拓撲結構能夠有效地抑制黑客攻擊,即便在黑客攻擊后也能使得攻擊的影響降低到最小程度;
2. 安全原則:用戶認證、帳號管理、加密傳輸等原則的綜合部署和使用,能從根本上多層面地增強網站的健壯性,數據的完整性和可靠性,從而保證網絡和信息安全;
3. 審計和追蹤:強大和適時的審計和追蹤,能夠使得網站的防御體系能夠盡快地從黑客攻擊中解脫出來,完成對黑客的追蹤,并通過相應手段來增強網站的抗攻擊性;
4. 備份和災難恢復:能夠保證在黑客攻擊以及自然災害下,網站系統運維的365*24*7(小時)不間斷地業務運行;
5. 自我漏洞挖掘及防護:能夠周期性、自發地對Web系統的漏洞進行自我挖掘,并根據挖掘的漏洞通過各種安全機制和補丁等方式進行防護,以有效地避免“零日攻擊”等。
根據上述原則,建議從如下10個方面進行方案制定:
1. Web系統用戶的身份認證和鑒權機制:
a) 采用用戶名+密碼驗證,確認用戶登錄身份,并根據數據庫中預設的權限,向用戶展示相應的視圖和表單
b) 對于重要的Web系統應用,需要根據PKI機制,驗證用戶提供的證書,從而對用戶身份認證(服務器對客戶端認證),并確保交易的不可抵賴性。證書的提供可以采用兩種方式:
i. 文件證書:保存在用戶磁盤和文件系統上,有一定的安全風險,但是可以免費
ii. USB設備存儲的證書:保存在USB設備上,安全性很高,但是目前使用一般需要對用戶收費
2. Web系統數據的加密傳輸和用戶對Web系統服務器的驗證
a) 對于使用Web瀏覽器的網上系統應用,采用SSL+數字證書結合的方式(即HTTPS協議),保證通信數據的加密傳輸,同時也保證了用戶端對服務器端的認證,避免用戶被冒充合法網站的“釣魚網站”欺騙,從而泄露機密信息(用戶名和密碼等),造成不可挽回的經濟損失。
3. 基于用戶賬號的使用行為的日志記錄及其審計
a) 系統服務器側應根據賬號,對用戶的使用行為進行詳細的日志記錄和審計,通過上述因素的日志記錄,進行階段性的審計(時間間隔應該比較小),從而做到發現用戶賬號的盜用、惡意使用等問題,盡早進行處理
4. 惡意用戶流量的檢測、過濾及阻斷
a) 系統服務器側應部署IDS入侵檢測系統、IPS入侵防護系統、防火墻等設備,或者部署目前高效、流行的UTM(統一威脅管理)設備,對惡意用戶采用的各種攻擊手段進行檢測和防護,重點過濾惡意流量、突發流量等。
5. 對用戶的非正常應用請求的過濾和處理
a) 系統的服務器端,尤其是數據庫服務器端,應該通過配置和增加對用戶非常長應用請求的過濾和處理模塊,以避免由于數據庫的自身漏洞未及時打上補丁,而遭受目前流行的SQL 注入攻擊等。
6. Web系統服務器側的合理子網劃分及流量分割
a) 系統服務器側包括大量的服務器類型,包括數據庫服務器、Web服務器、FTP服務器、郵件服務器等,為了避免由于惡意流量造成的某種服務器崩潰,而引起的攻擊后果擴散,并最終導致其他服務器也發生“雪崩效應”,則需要通過子網隔離(比如VLAN劃分)、DMZ區域的設定等方式來將這些服務器放置在不同的安全域當中,做到流量和數據的安全隔離,從而將服務器端在遭受攻擊后對整個業務系統及其他內網資源和數據造成的影響盡量控制在最低的范圍內。
7. Web系統服務器側的負載均衡及負載保護機制
a) 系統面臨著巨大的服務量,服務器端的設備基本上都需要有多臺服務器進行業務分擔,這樣才能提高性能,避免處理瓶頸的出現,因此,需要采用合理的負載均衡和負載保護機制
b) 對各服務器的業務流量進行有效地分擔,可按照Round Robin、LRU等方式來進行負載均衡
c) 負載保護機制需要實時地對每臺服務器的CPU資源、內存資源等進行評估,如果一旦超過設定的閾值(80%或者以上),將馬上進行過載保護,從而保證服務器自身的安全
8. Web系統服務器側的災難備份及恢復策略
a) 任何系統都不能說100%的安全,都需要考慮在遭受攻擊或者是經受自然災害后的備份恢復工作,需要著重考慮如下幾點:
i. 選擇合適的備份策略,做好提前備份,包括全備份、差分備份、增量備份等等
ii. 選擇合適的備份介質,包括磁帶、光盤、RAID磁盤陣列等
iii. 選擇合適的備份地點,包括本地備份、遠程備份等等
iv. 選擇合適的備份技術,包括NAS、SAN、DAS等等
v. 作好備份的后期維護和安全審計跟蹤
9. Web系統服務器的安全管理
a) 系統功能復雜,業務數據敏感,保密級別比較高,并且對不同管理人員的權限、角色要求都不盡相同,為了保證安全管理,避免內部管理中出現安全問題,建議作如下要求:
i. 嚴格劃分管理人員的角色及其對應的權限,避免一權獨攬,引起安全隱患;
ii. 作好服務器機房的物理條件管理,避免電子泄露、避免由于靜電等引起的故障;
iii. 應作好服務器管理員的帳號/口令管理,要求使用強口令,避免內部人員盜用;
iv. 作好服務器的端口最小化管理,避免內部人員掃描得出服務器的不必要的開放端口及其漏洞,實行內部攻擊;
v. 作好服務器系統軟件、應用軟件的日志管理和補丁管理工作,便于審計和避免由于安全漏洞而遭受到內部人員的攻擊;
vi. 根據業務和數據的機密等級需求,嚴格劃分服務器的安全域,避免信息泄露。
10. 網站漏洞自我挖掘及防護:采用漏洞掃描和挖掘設備,對內網各服務器進行階段性的掃描,并根據掃描所得的風險和漏洞進行及時地修補,以實現該漏洞為黑客使用之前進行自行修復的目的。
三、 網絡拓撲及要點剖析
1、 網絡拓撲
方案的網絡拓撲如下所示:
2、部署要點解析
(1)防火墻的設置
圖中所示防火墻的設置原則如下:
采用外部和內外防火墻雙重設置,以切實保障外部流量進入HTTP反向代理服務器(DMZ區域)和內部網絡前均通過安全檢測;
內部和外部防火墻的使用應盡量采取不同廠家和不同型號的防火墻設備,以提高防火墻的防護性能。
(2)HTTP反向代理服務器的設置
通過設置反向代理服務器,可以起到如下安全防護作用:
隱藏內部Web服務器的IP地址,外部用戶根本感覺不到反向代理服務器的存在,極大地降低網絡內部Web服務器被攻擊的風險和概率;
反向代理服務器可以緩存內部Web服務器的部分數據,可以減輕內部服務器的負載壓力,提升服務質量;
作為一個堡壘主機,即算反向代理務器遭受攻擊,由于內外部防火墻的設置,也不會影響到內部的網絡服務器安全。
(3)IPS的設置
使用上述方法設置IPS,可以起到如下安全防護和異常阻斷作用:
對從反向代理服務器流向內部的流量和請求在內部的入口端進行過濾,成為防火墻后的第二層防護點,從源頭保證內部安全;
對內網的異常狀況可以進行實時的檢測,即算有威脅和異常源自內部而對服務器發生破壞作用,如篡改網頁、刪除文件等,也能進行有效地監控、審計和記錄,從而保證內網安全。
四、 主要安全產品選型
由于趙明目前主要需要解決的是入侵防護問題,因此下面主要給出與其相關的IPS和漏洞掃描的安全產品選型,其他的如存儲備份設備、防火墻設備的選型可以根據企業的實際情況進行選擇使用,本方案不作過多推薦和描述。
1、綠盟網絡入侵防護系統 IPS
綠盟網絡入侵防護系統 (NSFOCUS Network Intrusion Prevention System,簡稱:NSFOCUS NIPS) 是綠盟科技自主知識產權的新一代安全產品,作為一種在線部署的產品,其設計目標旨在準確監測網絡異常流量,自動對各類攻擊性的流量,尤其是應用層的威脅進行實時阻斷,而不是在監測到惡意流量的同時或之后才發出告警。這類產品彌補了防火墻、入侵檢測等產品的不足,提供動態的、深度的、主動的安全防御,為企業提供了一個全新的入侵保護解決方案。綠盟網絡入侵防護系統是網絡入侵防護系統同類產品中的精品典范,該產品高度融合高性能、高安全性、高可靠性和易操作性等特性,產品內置先進的Web信譽機制,同時具備深度入侵防護、精細流量控制,以及全面用戶上網行為監管等多項功能,能夠為用戶提供深度攻擊防御和應用帶寬保護的完美價值體驗。
入侵防護:實時、主動攔截黑客攻擊、蠕蟲、網絡病毒、后門木馬、D.o.S等惡意流量,保護企業信息系統和網絡架構免受侵害,防止操作系統和應用程序損壞或宕機。
Web威脅防護:基于互聯網Web站點的掛馬檢測結果,結合URL信譽評價技術,保護用戶在訪問被植入木馬等惡意代碼的網站時不受侵害,及時、有效地第一時間攔截Web威脅。
流量控制:阻斷一切非授權用戶流量,管理合法網絡資源的利用,有效保證關鍵應用全天候暢通無阻,通過保護關鍵應用帶寬來不斷提升企業IT產出率和收益率。
用戶上網行為監管:全面監測和管理IM即時通訊、P2P下載、網絡游戲、在線視頻,以及在線炒股等網絡行為,協助企業辨識和限制非授權網絡流量,更好地執行企業的安全策略。
2、綠盟遠程安全評估系統
每年都有數以千計的網絡安全漏洞被發現和公布,加上攻擊者手段的不斷變化,網絡安全狀況也在隨著安全漏洞的增加變得日益嚴峻。事實證明,99%的攻擊事件都利用了未修補的漏洞,使得許多已經部署了防火墻、入侵檢測系統和防病毒軟件的企業仍然飽受漏洞攻擊之苦,蒙受巨大的經濟損失。
尋根溯源,絕大多數用戶缺乏一套完整、有效的漏洞管理工作流程,未能落實定期評估與漏洞修補工作。只有比攻擊者更早掌握自己網絡安全漏洞并且做好預防工作,才能夠有效地避免由于攻擊所造成的損失。
綠盟遠程安全評估系統 (NSFOCUS Remote Security Assessment System, 簡稱:NSFOCUS RSAS)第一時間主動診斷安全漏洞并提供專業防護建議,讓攻擊者無機可乘,其主要特點為:
依托專業的NSFOCUS安全研究團隊,綜合運用信息重整化(NSIP)等多種領先技術,自動、高效、及時準確地發現網絡資產存在的安全漏洞;
針對網絡資產的安全漏洞進行詳細分析,采用權威的風險評估模型量化風險,提供專業的解決方案;
融合Open VM(Open Vulnerability Management)開放漏洞管理工作流程,提供真正有效的漏洞管理解決方案;為降低企業的安全風險提供強有力的保障。
【編輯推薦】
