網路安全之後門,隱藏通道及http(s)
作為乙個網路或是系統管理員,你常常需要限制進出你的網路的服務,實現的方法很多,目前為止最常見的就是使用防火牆,然而,無論如何通常大多數的防火牆和網路至少需要放開一種服務-比如開啟使用者網上衝浪的功能,http是一種十分簡單而常用的協議(如較ftp而言),幾乎任何網路中的任何一台普通工作站都是允許傳送http請求的,通常伺服器也同樣。 http行為是可以走**的實現的,然而,這僅僅指明文的http,通過ssl加密的http(https)通常不可能通過**實現,這些系統可以和網上的伺服器直接通訊而不用擔心被竊聽,http(s)在某種意義上還是一種互動的協議。你給伺服器傳送乙個請求,伺服器給你乙個回應,兩者之間的互動以及大量的資料傳送行為都很普遍,這就決定了通常會被防火牆或其他類似裝置遮蔽的資料傳輸可以輕鬆的通過http(s)通道到達目的地。
有很多合法的這一技術的使用者,比如,微軟,它現在使用http來處理系統之間的rpc請求,通常微軟的 rpc(埠135)進入資料報都會被大多數防火牆遮蔽。現在,通過把(這種服務)定向到http(s),你可以大搖大擺的使用rpc服務而無須任何擔心。這也就使使用rpc開發的人員工作起來非常容易,無需為了它去做大量的甚至對系統基礎的修改。
對微軟而言,它的擺脫防火牆的對策在大多數情況下都是非常方便的,無需開發者搞出一套自己的解決方案-這可是會花費開發者時間和金錢同時還會導致出錯和安全問題。這裡還只是列出一種增長的趨勢。由於人們開始更加關注安全問題而且越來越多的遮蔽各種服務的埠,利用http通道來傳輸資料也就日益增多了。
兩個非常典型的例子就是http-tunnel(window的乙個商用方案)和gnu的httptunnle(linux和其他平台所使用開放原始碼的解決方案)。http-tunnel使你很方便的通過任何防火牆。你可以利用它使用大多數的即時通訊軟體(atm,icq,yahoo等,同時,它支援tcp,socks5,napster等。gnu版本的http-tunnel同樣,下面提供網頁出處(
這些技術對在有限制的防火牆後面的使用者都是很有幫助。如果允許通過http proxy進行www訪問,那麼就有可能使用httptunnel,而且,通過telnet 或是ppp對防火牆以外的訪問也就同樣有可能了。
很明顯可以看出:
使用者可以連線那些假定被防火牆所應該遮蔽的外界服務 使用者可以使用那些通常被防火牆遮蔽的軟體(icq,napster)
攻擊者可以使用這種技術來實現遠端控制(比如,通過email傳送惡意**)
有一些後門程式同樣使用http(s)連線被攻擊者控制的外部機器,由攻擊者傳送指令,實現攻擊者與外部機器的互動,相當於使用telnet(通常防火牆會遮蔽這種服務)。
更加糟糕的是,當前使用ssl加密的http變得日益普遍,很多站點都使用這種技術,攻擊者(或是內部的人員)因此可以避免任何形式的監控,這是因為任何入侵檢測系統都不能解密或是檢查https的資料報。這可就等於任何依賴入侵檢測系統檢測出去的http-tunnel都形同虛設。
那麼為了阻止或是察覺這種行為你有什麼可以做的?
首先你可能需要做的是更改你的安全策略,使它達到如下效果,
禁止安裝通過http來信道的軟體如aim或是icq。如果你不能確定所使用的軟體是否符合這一規範,聯絡相關的網路管理員
你還可以列出一些(禁止使用)軟體(如windows下的http-tunnel)。一般而言,如果乙個合法使用者需要一些訪問外界的一些服務,他們應該聯絡相關的安全管理員而非試圖去繞過被保護的系統。
下面一步該做的工作是強化出去的www資料控制(如果你還沒有這麼做的話),實現的最好方法是安裝乙個**伺服器同時過濾出去的http訪問包,這樣使用者將被強迫使用**。如果對https這樣做的話要困難的多,同時會造成一些安全隱患。但是由於大多數的http tunnel軟體還不怎麼支援https,你目前還不用過於擔心這個。
一種可以提供這種服務的例子就是微軟的proxy server。你可以實現最基本的限制每個使用者或是每個組的使用協議。從機器的角度來進行限制也是乙個好的辦法,但是要注意使用者可能登入到乙個「可信」的系統然後利用它對外界進行訪問。
如果可能的話,你應該對出去的請求進行記錄。這使你可以檢視過長的http請求,或是「過」快的連續的系列http請求等等奇怪的行為。你還可以審核看起來奇怪的使用方式。除非有人在機器面前,大多數的工作站都不應該產生出去的http流量。http proxy產生的使用者進出使用日誌使你可以把注意力集中到可能被入侵的機器上。此外,要求使用者使用proxy的同時記錄那些直接向外的訪問,你就可以發現那些沒有使用proxy的裝置,快速的定位可疑的主機。
客戶端可以用post方式取代get方式,這樣的話也就意味著記錄出去的資料變得困難起來(我還沒有聽說過可以支援記錄post資料的東東,這是因為這種資料可能是可執行的,圖象,文字之類的)對真正勁頭十足的傢伙而言,記錄所有出去的http資料也是個可考慮的方案,雖然在乙個大的網路環境下這樣做可能需要充足的空間來儲存這些資訊。而且如果站點使用ssl,那麼就不可能記錄了。
總結
計算機安全就像乙個快速進化的野獸,新的威脅不斷出現老的威脅變得過時(但看起來永遠不會「死亡「)。在早期你可以依靠相應的埠遮蔽相應的服務。然而,由於這種方式被大量採用,需要用到這些東東的軟體提供商(如微軟)開始尋找其它的解決方案。不幸的是,把資料放到流行的協議如http,尤其是很容易採用加密的服務上,軟體商讓公司的企圖控制資料進出他所管理網路的網路管理員日子難過了許多。 作為乙個網路管理員(或是公司安全人士等),你需要維護乙個更新的安全策略從而對付這些新的威脅,同時維護乙個多層面的安全方案。要知道看起來軟體公司(或是個人)可是不象會停止那種想盡辦法繞過你的安全手段的呀。
網際網路安全內容安全及防護
網路安全防護是一種網路安全技術,指致力於解決諸如如何有效進行介入控制,以及如何保證資料傳輸的安全性的技術手段,主要包括物理安全分析技術,網路結構安全分析技術,系統安全分析技術,管理安全分析技術,及其它的安全服務和安全機制策略。防護措施 訪問控制 對使用者訪問網路資源的許可權進行嚴格的認證和控制。例如...
網路安全等級保護測評工作之後遇到的問題
關於在測評中遇到的問題 1 安全裝置的傳輸過程保密性及完整性 確認口令在傳輸前是否經過加密?在前端進行加密之後通過https進行傳輸 傳輸後的密文直接進行儲存 口令明文傳輸,儲存前通過加密演算法進行加密 明文傳輸,加密儲存 山石防火牆 口令前端進行md5進行加密,然後通過https協議進行傳輸,與裝...
網路安全基礎 二 IP位址詳解及相關命令
一 簡單區域網的構成 區域網 一般稱為內網 簡單區域網的構成 交換機 網線 pc 其他it終端 交換機 用來組建內網的區域網的裝置。二 子網掩碼 區域網通訊規則 在同乙個區域網中,所有的ip必須在同一網段中才可以互相通訊!ip位址構成 網路位 主機位 網路位相同的為同一網段 子網掩碼 用來確定ip位...