網絡服務器安全配置策略研究

郭玉龍

（鐵道警察學院實驗和網絡信息中心 河南 450053）

Guo Yulong

0 引言

現(xiàn)在網絡攻擊的目的已不單純的為了展示攻擊者在計算機及網絡方面超人的技術，很多是為了通過攻擊目標服務器以獲取非法利益，所以攻擊的技術與手段越來越隱蔽，發(fā)現(xiàn)的難度越來越大，對服務器的安全性要求也越來越高。防火墻安全策略的設置、操作系統(tǒng)的漏洞、WEB應用程序本身設計的缺陷，都可能成為被攻擊的目標，并以此為切入點入侵整個系統(tǒng)，進而修改網頁內容，安裝病毒木馬程序，影響被攻擊服務器的正常運行，并有可能被黑客當作跳板，對其它計算機進行攻擊，影響更多計算機的正常運行，對被入侵單位的聲譽造成負面影響。本文主要研究服務器攻擊的基本原理與一般過程，并從操作系統(tǒng)本身的層面探討如何進行網絡服務器的安全策略設置，增強服務器的安全性。

1 服務器攻擊的基本原理

服務器攻擊的總體思路就是尋找系統(tǒng)存在的漏洞，以及人們在使用計算機的過程中容易忽略的安全設置，發(fā)現(xiàn)可用于登錄系統(tǒng)的途徑，進而在已成功登錄的服務器上安裝后門程序，以方便入侵者進行后續(xù)的遠程操作與控制。在整個入侵的過程中，最為關鍵的一步就是尋找登錄系統(tǒng)的突破口，成功登錄系統(tǒng)后安裝后門程序以及在此之后控制整個系統(tǒng)都是非常簡單的事情。在成功進入系統(tǒng)之后，入侵者可以在服務器上創(chuàng)建專為其服務的用戶賬戶，安裝滿足其要求的控制端后門服務程序。用戶賬戶相對比較容易發(fā)現(xiàn)，在系統(tǒng)的用戶管理界面中即可看到所有的賬戶，而且一般服務器上系統(tǒng)用戶也不會太多，這樣非法創(chuàng)建的用戶就很容易找到。后門程序就比較難以發(fā)現(xiàn)，因為后門程序可以存放在硬盤上成千上萬的文件之中，偽裝成常用的應有程序進行運行，并且可以只在必要的時間定時啟動，平時并不會執(zhí)行，這樣除非有比較完善的日志系統(tǒng)，并詳細分析才有可能發(fā)現(xiàn)存在的問題。

為了簡單快捷的設置而關閉系統(tǒng)防火墻，采用系統(tǒng)默認的用戶名，使用簡單的密碼，安裝數(shù)據(jù)庫系統(tǒng)采用默認的端口號，采用默認的數(shù)據(jù)庫登錄名以及簡單的密碼或空密碼，為方便服務器的遠程管理安裝一些遠程控制軟件時完全采用默認設置等這些習慣性的操作都是極易留下安全隱患的，很可能被入侵者所利用。

2 服務器攻擊的一般過程

入侵者攻擊服務器的目的通常是利用服務器的資源獲得非法利益，服務器的物理位置及網絡地址對其來說并不重要，因此攻擊者的目標并不明確，只要能為其利用即可，所以一般情況下成功的攻擊會經過主機探測、漏洞掃描、后門安裝、控制利用四個階段。

主機探測階段的主要工作是尋找處于開機狀態(tài)的服務器，通常的做法是借助于一些掃描工具對一定 IP地址范圍內的主機進行探測。探測的方法可采用向目標主機發(fā)送ICMP回顯請求，與特定的端口建立TCP連接等，因為通常情況下作為WEB服務器的80端口必然處于開放狀態(tài)，為了遠程管理的方便遠程桌面端口3389也會處于開放狀態(tài)。通過探測找到處于開機狀態(tài)的服務器之后即可進行下一步的漏洞掃描工作。

在漏洞掃描階段也是借助于一些工具，對探測階段已經發(fā)現(xiàn)的處于開機狀態(tài)的主機進行各項已知漏洞的掃描。通常首先掃描常用的遠程管理軟件服務端監(jiān)聽的端口，如3389（遠程桌面）、5900（VNC）、4899（Remote Administrator）等，如果這些端口處于開放狀態(tài)，基本可以斷定服務器上已經安裝有這些遠程管理工具，因為不可能有其它軟件剛好和這些軟件的默認端口相同，用這些遠程管理客戶端進行連接即可明確判斷是否真正安裝了這些遠程管理工具。在掃描到已經安裝有這些遠程管理工具后即進行下一步工作，破解用戶名和密碼，通常采用暴力破解或者密碼字典方法，密碼字典的方法更為普遍，因為操作系統(tǒng)、遠程管理軟件通常都有默認的用戶名或者密碼，如 windows默認的用戶名 administrator、linux默認的用戶名root，VNC甚至可以不設置用戶名只設置密碼，為了安裝調試的方便，有時候管理員可能會將密碼留空或者設置為簡單的1234、abcd，或者將密碼設置成與用戶名相同，這些弱口令很容易被破解，從而控制整個系統(tǒng)。在破解密碼取得系統(tǒng)控制權的過程中，也可以通過數(shù)據(jù)庫管理系統(tǒng)的漏洞來實現(xiàn)，如安裝有SQL Server數(shù)據(jù)庫管理系統(tǒng)的服務器會開放1433端口，而數(shù)據(jù)庫的默認用戶名是sa，管理員為了配置的方便常常會將密碼也設置為sa或者留空，這樣入侵者就可以非常容易的連接到主機的數(shù)據(jù)庫管理系統(tǒng)，然后執(zhí)行一些特殊的系統(tǒng)存儲過程創(chuàng)建系統(tǒng)用戶名和密碼，再借助遠程桌面或者其它遠程管理工具登陸到服務器上進行各種操作。

在成功掃描到系統(tǒng)漏洞取得系統(tǒng)控制權后安裝后門的操作就非常簡單了，入侵者可以根據(jù)自己的需要在服務器上安裝各種遠程管理工具，并添加新的操作系統(tǒng)用戶名和密碼，以便在管理員修改密碼后仍能控制整個系統(tǒng)。

當在服務器上安裝遠程管理工具，取得系統(tǒng)的控制權后，入侵者就可以利用服務器的計算資源與網絡資源，獲取非法利益，如最常見的在服務器上運行的網頁程序中植入廣告或者鏈接，增加特定網站的點擊率，進而提高其在搜索引擎上的排名。修改原有的網頁內容，盜取注冊用戶的個人資料信息等。

在攻擊服務器的過程中，也有針對特定主機進行的，在這種情況下服務器的IP地址是非常明確的，不需要進行主機的探測，而且也可能不容易探測出來，如屏蔽ICMP數(shù)據(jù)包。在這種情況下入侵者通常會對該主機的所有端口進行掃描，以發(fā)現(xiàn)可利用的漏洞。

3 服務器安全策略配置

主機探測和漏洞掃描是攻擊過程中的關鍵步驟，在服務器的安全策略中應特別注意防范，后門安裝和控制利用基本沒有什么辦法可以防范，可做的是配置日志系統(tǒng)并定期查看，及時發(fā)現(xiàn)正在進行的入侵活動并及時處理。

為隱藏主機、防止被探測到可以在操作系統(tǒng)防火墻上屏蔽ICMP回顯請求，防止通過發(fā)送回顯請求的方式對主機進行探測。對于非必需的或者不用的端口也要通過系統(tǒng)防火墻進行關閉，防止通過特定端口的掃描來判斷對應IP地址的主機是否在線。有些端口必須要打開，如為了遠程管理的方便通常會開啟遠程桌面功能，需要打開遠程桌面對應的服務器端監(jiān)聽端口3389，在這種情況下最好修改遠程管理應用程序監(jiān)聽的默認端口，并且不要修改為簡單的端口如8888、1234等，修改為較為復雜沒有什么規(guī)律的端口如23568等等，因為有些軟件通過端口來對主機進行掃描，掃描工具也會利用密碼字典的原理對一些比較容易被使用的端口進行探測。同時由于修改后的端口通常都沒有什么規(guī)律，所以即使掃描到該端口處于開放狀態(tài)，也難以通過端口來猜測該端口上所綁定的應用。修改應用程序默認端口的方法雖然簡單，但卻能在很大程度上提高系統(tǒng)的安全性。具體修改應用程序端口的方法可以查閱相關應用程序的說明文檔，一般都比較容易實現(xiàn)。

服務器通常必須對外開放一些端口，如 WEB應用服務器需要開放80端口，完全避免對服務器的探測是不可能的，在服務器被探測到的情況下加強安全防范策略，盡可能的減少服務器詳細配置信息的暴露顯得尤為重要。服務器上應該避免安裝不必要的應用軟件和遠程管理工具，有些應用軟件相互之間可能存在沖突，同時安裝會影響到系統(tǒng)的穩(wěn)定性，安裝的遠程管理工具太多，配置的難度將增加，考慮不夠全面容易造成漏洞。對于必須安裝的遠程管理工具，應注意采用必要的安全策略，防止被掃描和猜測到。系統(tǒng)和遠程管理用戶名盡量不要采用默認設置，密碼要設置的足夠復雜，并注意設置合適的密碼鎖定策略，防止暴力破解。設置復雜的用戶名和密碼在遠程管理工具被掃描到的情況下也可有效防止系統(tǒng)入侵。服務器上應注意關閉不必要的調試信息輸出，防止通過調試信息探測系統(tǒng)配置信息并進一步找到入侵系統(tǒng)的突破口。如IIS（Interne信息服務）默認情況下向客戶端輸出詳細的錯誤信息，而為了程序員調試方便，錯誤信息中通常會包含有敏感的服務器配置信息，如所使用的 IIS版本、采用的數(shù)據(jù)庫類型以及數(shù)據(jù)庫文件名等，這些信息很可能為下一步入侵提供重要參考信息，如通過數(shù)據(jù)庫文件名路徑下載數(shù)據(jù)庫文件，猜測服務器上應用程序的目錄結構。通過在 IIS的配置中禁用向客戶端發(fā)送詳細的調試信息或者設置自定義的錯誤信息可有效防止向客戶端暴露服務器敏感信息，提高系統(tǒng)的安全性。

發(fā)現(xiàn)系統(tǒng)中已經存在的后門或者入侵的有效辦法就是通過查看系統(tǒng)或應用程序的日志信息，所以配置并經常查看系統(tǒng)的日志信息非常重要。尤其需要特別關注防火墻的日志信息，發(fā)現(xiàn)有可疑的連接及時進行分析，找到建立該連接的應用程序，判斷是正常的連接還是被遠程控制的連接。對于 WEB服務器應經常查看頁面訪問日志，查看其中是否有可疑的頁面訪問，及時發(fā)現(xiàn)網站是否被掛馬，以及是否有特殊的查詢串，找出網站應用程序被注入的漏洞。日志系統(tǒng)是發(fā)現(xiàn)正在進行的入侵活動的重要方法，應注意將日志系統(tǒng)配置的完善全面。

4 小結

本文簡要分析總結了網絡服務器入侵的基本原理以及一般過程，并在此基礎上針對入侵的不同階段總結了具體可行的應對策略，希望對從事計算機網絡服務器管理的人員能有一定幫助。由于網絡病毒及攻擊手段繁多，操作系統(tǒng)和應用程序存在很多已知或未知的漏洞，需要在平時的管理維護過程中不斷研究分析各種入侵手段，進而找到防范措施，以保證服務器的安全性。

[1]喬素艷.Web服務器安全策略探討[J].無線互聯(lián)科技，2012（3）：72.

[2]叢佩麗.高校網站服務器安全防范策略[J].網絡安全技術與應用，2013（2）：37-39+44.

[3]陳正權.物聯(lián)網時代校園網服務器的安全配置策略研究[J].凱里學院學報，2012（6）：99-102.

[4]魏鵬.校園網絡服務器的安全維護淺析[J].中國科技信息，2011（12）：93.

[5]文靜，譚政.服務器安全管理探析[J].廣西輕工業(yè)，2008（11）：66-67.

[6]巫廣彥.WIN2003服務器安全加固方案[J].計算機安全，2007（11）：97-98.