警惕細節(jié) Web架構(gòu)配置無小事

申請免費試用、咨詢電話：400-8352-114

不用默認密碼

企業(yè)有多少關(guān)鍵系統(tǒng)和應(yīng)用擁有Web接口？據(jù)CyberDefenses公司的負責人Phil Dolbow聲稱，如今幾乎每個系統(tǒng)和應(yīng)用都擁有Web接口。Web接口很普遍，但如果配置不正確就有可能遭到破壞，因為有許多企業(yè)在安裝好系統(tǒng)后沒有更改默認的登錄憑證（credential）。Dolbow所在的咨詢公司專門提供信息保障及IT安全的信息服務(wù)，所開展的工作絕大部分是與聯(lián)邦政府（主要是軍方）合作的。他概述了在許多客戶那里看到的不正確配置Web接口的常見問題，還建議該如何解決此類問題。

“這類問題見多了。總的來說，我發(fā)現(xiàn)的問題大家都能猜得出來，比如缺少用戶培訓(xùn)、系統(tǒng)配置不當或安全項目缺少資金。常常見到的最大問題其實是很容易被發(fā)現(xiàn)、很容易解決的，但如果不能發(fā)現(xiàn)則會帶來嚴重隱患: 那就是Web接口。我們在進行評估時，總是掃描尋找沒有設(shè)置好的Web接口。如今，幾乎每個系統(tǒng)都有Web接口; 存儲區(qū)域網(wǎng)絡(luò)（SAN）、不間斷電源（UPS）系統(tǒng)、打印機、警報系統(tǒng)、電話、備份系統(tǒng)、服務(wù)器等等硬件設(shè)備。要是在默認憑證的情況下啟用這些Web接口，就有可能出現(xiàn)很嚴重的問題?！?/P>

Dolbow說，下面這幾個例子是多次發(fā)生的問題。某公司之前沒有用過存儲區(qū)域網(wǎng)絡(luò)，但業(yè)務(wù)對磁盤空間的需求不斷增長，他們最近也買了一個。公司內(nèi)沒人知道該如何配置SAN，而供應(yīng)商又堅持安裝了系統(tǒng)，并讓客戶自行設(shè)置所安裝系統(tǒng)上的用戶名和密碼。該公司在安裝好系統(tǒng)之后，再也很少關(guān)注配置問題，結(jié)果有一個關(guān)鍵任務(wù)設(shè)備始終使用默認的出廠登錄憑證。這是非常危險的，許多公司如此簡單地配置關(guān)鍵系統(tǒng)。不懷好意的人有可能破壞邏輯單元號（LUN）、刪除數(shù)據(jù)，這會引發(fā)各種問題。

同一種場景還出現(xiàn)在對待不間斷電源系統(tǒng)的問題上。不久前，CyberDefenses公司評估了一家在IT配置以及在安全上不惜下血本的大型政府機構(gòu)，它們擁有最安全的系統(tǒng)。在CyberDefenses評估前的幾個月，該機構(gòu)請IT承包商更換了所有UPS系統(tǒng)，包括為其主計算機機房的所有關(guān)鍵服務(wù)器提供電源保障的幾臺UPS。IT承包商把這些UPS系統(tǒng)連接到網(wǎng)絡(luò)上，以便可以遠程管理及監(jiān)測這些系統(tǒng)。Dolbow顯示了一份客戶報告的屏幕截圖，表明他們可以隨意登錄到Web接口（借助管理員權(quán)限，使用默認憑證）。當鼠標光標懸浮在關(guān)鍵業(yè)務(wù)的關(guān)閉按鈕上可隨時結(jié)束進程時，這才能足夠引起客戶的注意。

解決方案

針對此種情況，解決辦法如下:

1. 對Web服務(wù)器/接口定期執(zhí)行端口掃描;

2. 如果Web接口沒有必要，就關(guān)閉這項服務(wù);

3. 更改憑證、盡量使用https訪問;

4. 只允許授權(quán)的管理員工作站可以訪問;

5. 加強防火墻限制;

6. 監(jiān)測日志。

分配不同權(quán)限

員工擁有的系統(tǒng)訪問權(quán)限是否會導(dǎo)致企業(yè)面臨安全風險？一家大型制造公司的高級IT經(jīng)理詳細講述了他如何重新配置訪問生產(chǎn)系統(tǒng)的機制，以便限制性更強、更容易審計。

“我們IT員工大多可以使用‘用戶賬戶’全面訪問所有生產(chǎn)系統(tǒng)。測試人員在一次安全審計和滲透測試中抓住了這個漏洞，最后擁有了公司的Windows Domain以及大多數(shù)生產(chǎn)數(shù)據(jù)庫服務(wù)器的訪問權(quán)限?，F(xiàn)在，我們從域管理員、數(shù)據(jù)庫管理員賬戶及Application Root Account等賬戶中取消了每個人的‘用戶賬戶’。如果技術(shù)系統(tǒng)管理員讓敏感的系統(tǒng)和數(shù)據(jù)需要常規(guī)訪問，就要設(shè)置不同的賬戶來訪問，并使用安全性很強的密碼。我們使用一些審計工具和Cyber Ark公司的密碼保險箱工具，以便審計該賬戶的所有使用活動?！?/P>

該IT管理人員說，他們的許多應(yīng)用/數(shù)據(jù)庫管理人員需要對生產(chǎn)系統(tǒng)進行大量不太常規(guī)的訪問。對這些系統(tǒng)而言，他們?nèi)∠怂谐Ｒ?guī)的管理員訪問，而換成了選擇性的“應(yīng)急賬戶”（firefighter accounts），這類賬戶比較普通。這些賬戶存儲在密碼保險箱中，由一個強密碼加以保護。還有這樣一個過程: 輸入票證（ticket），獲得審批，并記錄在他們的票證記錄系統(tǒng)中。對于高度敏感的項目，密碼保險箱還要求實施幾道審批環(huán)節(jié); 還需要輸入基本的票證編號、說明理由，從而在增強了票證記錄系統(tǒng)之后才可發(fā)放密碼。密碼發(fā)放后系統(tǒng)可進行設(shè)置，在一段時間后自動重置; 或在請求者“將密碼返回入庫”后重置。

解決方案

一般來說，密碼保險箱控制著服務(wù)器和PC系統(tǒng)上嵌入式的本地管理員賬戶、服務(wù)賬戶以及嵌入到系統(tǒng)中的數(shù)據(jù)庫訪問賬戶和應(yīng)用賬戶。這些賬戶通常從來不會受到密切關(guān)注。在過去，不破壞許多系統(tǒng)就無法更改密碼。許多企業(yè)采用密碼保險箱工具對這些賬戶和密碼進行控制后，可以順利地定期輪換。

最后，當然是需要備份，有了這些賬戶和密碼的副本以便災(zāi)難恢復(fù)。如果采用這樣的策略，企業(yè)的災(zāi)難恢復(fù)以及業(yè)務(wù)連續(xù)性計劃也更嚴密了，可進一步配置系統(tǒng)。

處理好隱私難題

如果驗證機制和數(shù)據(jù)被設(shè)置成面向特定客戶的，用戶能把Web系統(tǒng)作為門戶來運行嗎？美國中西部一家商業(yè)管理咨詢公司的高級.Net架構(gòu)師James Ashbaugh當時就遇到了這個問題。這家公司有幾個客戶在運行相同的系統(tǒng)代碼，而數(shù)據(jù)存放在不同的物理設(shè)備中。由于他們的客戶都是同行業(yè)內(nèi)相互競爭的企業(yè)，所以數(shù)據(jù)完整性至關(guān)重要，Ashbaugh關(guān)注的是如何正確配置系統(tǒng)。

他們使用的系統(tǒng)環(huán)境如下。

●  約500至1000個外部用戶通過思杰產(chǎn)品來連接;

●  微軟網(wǎng)絡(luò);

●  面向域控制器、Web Servers和SQL Servers的Windows 2003 Server;

●  SQL Server 2008。

門戶網(wǎng)站基于客戶端、用戶角色和客戶數(shù)據(jù)庫數(shù)據(jù)運行。微軟為ASP .Net提供了一個豐富、基于角色的模型，但該模型不是為了在門戶架構(gòu)下運行而設(shè)計的。于是，Ashbaugh 結(jié)合了微軟在ASP.Net安全、活動目錄賬戶/群組和SQL Security中提供的功能。

現(xiàn)在面臨的難題是: 公司有多個相互競爭的客戶在運行相同的系統(tǒng)代碼，但數(shù)據(jù)存放在不同的物理SQL設(shè)備中（使用客戶特定的數(shù)據(jù)庫名稱）。所以，雖然大家都運行相同的Web應(yīng)用和中間層，但在數(shù)據(jù)庫層面卻具有客戶特定性（大家使用相同的數(shù)據(jù)庫模型）。切記: 客戶通過思杰產(chǎn)品來連接至公司網(wǎng)絡(luò)，所以就需要使用單次登錄（即使思杰產(chǎn)品負責處理DMZ驗證，但它并不處理Web應(yīng)用的表單驗證）。明白那些客戶在同一個行業(yè)很重要，所以必須確保數(shù)據(jù)的完整性，因為這涉及到競爭優(yōu)勢。

難題在于，如果驗證機制和數(shù)據(jù)被設(shè)置成特定客戶的，如何把Web系統(tǒng)作為門戶來驗證、裝載及執(zhí)行？

Ashbaugh的應(yīng)對方法如下: 在思杰產(chǎn)品中，他們把IE瀏覽器作為一個應(yīng)用來共享（但通過IE安全設(shè)置和登錄腳本，限制客戶對外部Web的瀏覽）。他們不想讓使用服務(wù)器的客戶可以上網(wǎng)沖浪，或者對競爭對手發(fā)動攻擊。IE的主頁被設(shè)成了他們公司的門戶網(wǎng)站，并使用委托和模擬功能。得到了思杰驗證的用戶，把憑證傳送到門戶的裝載器代碼類。該代碼類啟動驗證過程，以便“驗證”SQL數(shù)據(jù)庫。在該數(shù)據(jù)庫中，他們對所有的客戶端數(shù)據(jù)庫、客戶用戶以及角色都進行了映射。一旦裝載器驗證后發(fā)現(xiàn)這是系統(tǒng)中的活動用戶，裝載器會獲得相應(yīng)的數(shù)據(jù)庫連接信息，然后通過用戶的Web會話進行傳輸。

注意，在裝載的過程中，應(yīng)該對傳輸?shù)男畔⒓用?，這樣可發(fā)現(xiàn)利用跨站腳本攻擊來獲取其他用戶的會話信息。對會話中的連接信息進行加密意味著，黑客必須實際訪問物理Web服務(wù)器，還要在執(zhí)行任何解密算法的時間點來訪問頁面文件或內(nèi)存塊。由于這種可能性非常小，可以在數(shù)據(jù)庫連接層面支持客戶的數(shù)據(jù)安全需求。在數(shù)據(jù)庫中，所有連接字符串和設(shè)置都采用加密形式來存儲，使用客戶特定的私有密鑰（經(jīng)過加密的數(shù)據(jù)來自“驗證”數(shù)據(jù)庫）。

所以，鑒于該驗證用戶總是可以訪問數(shù)據(jù)庫連接信息，需要安排建立什么樣的數(shù)據(jù)庫連接方法。應(yīng)該把用戶的角色及其他安全設(shè)置也存儲在會話中。一旦所有這些前端裝載的邏輯完成，裝載器會連接門戶主頁，并使用來自用戶的數(shù)據(jù)庫配置數(shù)據(jù)，裝載器就會擴展用戶特定的主頁及內(nèi)容。

現(xiàn)在，當用戶開始通過請求及更新數(shù)據(jù)與系統(tǒng)進行互動時，請求會先調(diào)用“控制器”代碼。該代碼被服務(wù)調(diào)用，以便安排所有的系統(tǒng)事件。它定義了通過配置文件調(diào)用的特定存儲過程。然后，使用該名字值就會調(diào)用數(shù)據(jù)庫層，并請求存儲過程執(zhí)行。

解決方案

通過設(shè)置SQL Server用戶，讓存儲過程適合角色，從而便于執(zhí)行存儲過程。所以，如果某用戶不在“項目用戶組”中，該用戶不可以執(zhí)行“GetActiveInventoryItems”存儲過程。

在SQL Server 2008中，用戶可以結(jié)合存儲過程中的#C代碼，所以企業(yè)可排列基于映射用戶角色而返回的特定數(shù)據(jù)字段。網(wǎng)頁上的控件可自動創(chuàng)建，以支持返回的用戶特定內(nèi)容。這意味著: 要是有一批項目，但只有兩列允許該用戶訪問，就要針對這個角色特定的數(shù)據(jù)來調(diào)整控件。