服务器防***加固的几种做法
Jack zhai
无论是对技术的喜好,还是金钱诱惑,或者是政治利益驱使,***们主打的***与***技术的发展速度都明显在加快。安全厂家好像也很努力,但总是在自己的销售利益上走来走去,从最初的老三样(防火墙FW、***检测IDS、防病毒AV),到现在的统一安全网关(UTM)、漏洞扫描、行为审计、身份认证、传输加密(×××)、Web应用防火墙(WAF)、虚拟浏览器…安全产品琳琅满目,却忽视了服务器本身的加固,因为要保护的数据、服务都在这里,也是***们***的终级目标。
搞信息安全人员都有句口头禅:没有绝对的安全,仅有安全防护的基本底线。
底线是什么?对于大多数的信息安全主管来说就是:我不能不让你***,但我可以不让你控制我。你可以让我的服务器中断服务,彻底瘫痪,但你不能让我的服务器变成你的工具,成为你***其他人的跳板,最低限度是我不做你的帮凶。
服务器的安全加固并不是刚出现的新想法,早期的***检测IDS就诞生在服务器上,只是后来才发展为现在流行的网络***检测。
1、
不一样的安全思路:
我们都知道,服务器的安全首先来自操作系统(OS)的安全,这是防护***的第一道防线,若操作系统的安全性非常好,就没有后续的问题了。但是,目前流行的各种操作系统,台式机的Windows、Linux,工作站的Unix、Aix,嵌入式的vxWorks,手机的安卓…每天都爆出很多的漏洞,关键是不公开的所谓“0Day”越来越多,国家拥有是因为网际战争的需要,安全公司拥有是因为竞争力的需要,***拥有是因为利益的需要…反正,公布的漏洞只是其中的小部分。
服务器加固就是为操作系统安全引入“第三方”机制,对***常用的***通道增加监控手段,***一般针对操作系统的漏洞,绕过操作系统自身的安全机制,但***们并不知晓该服务器上的“第三方”机制,***就不那么容易得手了。
举个例子:缓冲区溢出是常见的提权***手段,成功后通常立即建立后门,为自己提供以后的便利,此时常见的动作有:打开远程控制窗口,提升自己为管理员,上传***替代系统驱动文件…因为溢出后使用的是管理员的权限,绕过了操作系统的权限管理机制,所以***可以随意操作你的服务器;但此时第三方的加固可以阻止这些“非正常”的操作,即使你是管理员的权限。若***者不能完成上述动作,溢出***成功,但也不能进行后续的***手段,也只能为系统带来一次进程的异常退出罢了。
“第三方”机制还可以通过发现这些异常的退出,推断系统内的漏位置,从而确定这些漏洞已经被***者关注,可以被直接利用,产生不良后果。这是不是跟***性测试的效果一样啊。
2、
安全加固的几种思路:
服务器的安全加固(也称为服务器防***加固)思路是在对抗******的过程中逐步建立起来的,到目前为止,应该说经历了三个发展阶段:
Ø
配置加固阶段
Ø
合规性加固阶段
Ø
反控制加固阶段
配置加固阶段:
所谓配置加固就是对操作系统的安全配置进行安全加固升级,提升服务器的安全保护等级。常见的做法有下面几个方面:
1)
限制连续密码错误的登录次数,是对抗密码暴力破解的重要手段;
2)
拆分系统管理员的权限,取消超级管理员,从而限制***者获取管理员账户时的权限;
3)
删除不需要的各种账户,避免被***者利用;
4)
关闭不需要的服务端口,一是减少***者的***点,二是避免被***者当作后门利用;
5)
限制远程登录者的权限,尤其是系统管理权限;
6)
…
配置加固主要是静态安全策略的提升,***者***后可以再打开或修改这些配置。这种加固方式一般是人工的定期检查与加固,留给***者的“窗口”比较大,或者***者完成自己的潜伏后,还可以恢复你的配置,把管理者蒙在鼓里。
主机IDS可以动态监控上面的安全配置,发现异常进行报警,也可以主动检查“用户”的行为,发现异常及时报警,还可以根据自己的***特征库,发现恶意代码进入立即报警…这在一定程度上为***者带来了麻烦。
但是主机IDS的误报率很高,让管理者不胜其烦,虱子多了不痒,报警多了不理,目前用户选择的越来越少了。另外,很多正常的操作,也产生大量的***报警,就像我们安装了防病毒软件,进行其他安装软件时,提示多得让人不知道该怎么做。
合规性加固阶段:
做信息安全的人都熟悉一个词汇:强制性访问控制。也就是在用户访问数据时,不仅查看访问者的身份,确认他的访问权限,同时还要查看被访问的数据的安全等级,是否与访问者的安全等级相匹配,若不符合安全策略规定,同样决绝访问。举一个例子:每个用户都可以修改自己账户的密码,所以他应该可以读写系统存储用户口令的文件,但是系统中这个文件里还有其他用户的密码,所以你只能读取这个文件的一个记录而已,而不是文件的全部。此时就需要对查看密码文件用户的安全等级进行比对,区别对待。
目前的操作系统大多实现了自主性访问控制(Windows的新版具有强制性访问控制能力,但好像没提供中国市场),因此从符合国家等级保护要的角度,都需要对操作系统进行加固。
合规性加固是要为用户提供一个账户与数据文件安全等级管理的平台,以及访问时的控制机制,广义上的强制性访问不仅包括文件、数据,还包括进程、内存、网络连接等。
合规性加固不只是强制性访问控制,还有很多安全策略的贯彻,比如:三权分立。现在的操作系统都有一个超级管理员,权限最大,这也是******的主要目标,从安全管理角度来讲,分权是必须的:
²
系统管理员:负责系统的维护工作,如账户开通、数据备份、应用安装等;
²
系统安全员:负责系统安全操作,如权限分配,口令修复,日志管理等;
²
安全审计员:负责对系统管理员、安全员的行为进行审计。
三员的身份需要分开,尤其是安全员与审计员不能兼任。
合规性加固不仅是符合国家标准的要求,而且提升了操作系统的安全级别,对敏感数据加强了访问控制,一些系统命令的执行就相对严谨了。对于***来讲,突破操作系统只是初步,即使获得系统管理员权限,也还不是不能完全占领你的服务器。
反控制加固阶段:
反控制(anti-control)是明确对服务器的管理权提出了要求,也就是安全底线的保障。
反控制有几方面的含义:
1)
掌握控制权:对服务器的控制就是可以随意支配服务的资源满足自己的需求,如安装扫描器,扫描本网络内其他计算机的漏洞;如安装***工具,直接***其他目标。对服务器的控制一般有几个重要的环节:
a)
管理员账户登录:可以直接部署各种服务;
b)
远程桌面进程:远程直接操纵管理服务器;
c)
上传工具软件:没有这些工具,***就如同没有爪牙的老虎,能在服务器上安装各种工具软件是把服务器变成***工具的必经阶段。
2)
发现隐藏者:***要控制服务器,就必须设法隐藏自己,一旦被发现,管理者就可以立即清除它,***的所有努力就付之东流。隐藏自己技术很多,常见的有:
a)
进程注入:隐藏在系统进程内,用户很难识别;
b)
不启动:服务器内文件多达几十万,隐藏起来很容易,它不启动,你就不容易抓住它。当然,通过定时或远程召唤等方式,在需要的时候启动就可以完成***者的意图;
c)
Rootkit:就是替换系统驱动,当然是隐藏了激活自己的代码,或监控代码。
3)
切断回家者:***不同于病毒,***者为了控制你的服务器,就需要与他的“老板”联系,接收命令,回送信息,控制住它的“回家连接”,切断***者的控制通道,就可以让隐藏者成为无人控制的“傻子”。回家有很多种技术,常见的有:
a)
在你上网时,偷偷访问它的“老家”网站;
b)
伪装为各种软件(如防病毒等)的升级连接,当然先检测是否安装了该软件;
c)
发送邮件;
d)
移动介质摆渡;
e)
后门服务;
4)
监控操作者:无论***者如何狡猾,总要运行它的“恶意代码”,否则就一事无成。因此监控系统内的各种关键进程与重要操作,是确保自己控制权的关键。如下面重要的操作:
a)
账户操作;
b)
安装软件与打补丁;
c)
打开控制台进程,如桌面窗口、shell、webshell等;
d)
开通或停止服务;
3、小结
建立一个清洁的网络环境,让***无处容身。我们一直渴求能有一个“安全”的操作系统,但现实中总是离我们那么遥远。
网络是信息社会的神经传到系统,已经是我们生活与工作所不能离开的了,我们总不能因噎废食,因为安全而放弃互通;在没有安全操作系统保护的情况下,服务器的安全加固是一个很不错的选择。