警惕細(xì)節(jié) Web架構(gòu)配置無小事

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

不用默認(rèn)密碼

企業(yè)有多少關(guān)鍵系統(tǒng)和應(yīng)用擁有Web接口？據(jù)CyberDefenses公司的負(fù)責(zé)人Phil Dolbow聲稱，如今幾乎每個(gè)系統(tǒng)和應(yīng)用都擁有Web接口。Web接口很普遍，但如果配置不正確就有可能遭到破壞，因?yàn)橛性S多企業(yè)在安裝好系統(tǒng)后沒有更改默認(rèn)的登錄憑證（credential）。Dolbow所在的咨詢公司專門提供信息保障及IT安全的信息服務(wù)，所開展的工作絕大部分是與聯(lián)邦政府（主要是軍方）合作的。他概述了在許多客戶那里看到的不正確配置Web接口的常見問題，還建議該如何解決此類問題。

“這類問題見多了?？偟膩碚f，我發(fā)現(xiàn)的問題大家都能猜得出來，比如缺少用戶培訓(xùn)、系統(tǒng)配置不當(dāng)或安全項(xiàng)目缺少資金。常常見到的最大問題其實(shí)是很容易被發(fā)現(xiàn)、很容易解決的，但如果不能發(fā)現(xiàn)則會(huì)帶來嚴(yán)重隱患: 那就是Web接口。我們?cè)谶M(jìn)行評(píng)估時(shí)，總是掃描尋找沒有設(shè)置好的Web接口。如今，幾乎每個(gè)系統(tǒng)都有Web接口; 存儲(chǔ)區(qū)域網(wǎng)絡(luò)（SAN）、不間斷電源（UPS）系統(tǒng)、打印機(jī)、警報(bào)系統(tǒng)、電話、備份系統(tǒng)、服務(wù)器等等硬件設(shè)備。要是在默認(rèn)憑證的情況下啟用這些Web接口，就有可能出現(xiàn)很嚴(yán)重的問題?！?/P>

Dolbow說，下面這幾個(gè)例子是多次發(fā)生的問題。某公司之前沒有用過存儲(chǔ)區(qū)域網(wǎng)絡(luò)，但業(yè)務(wù)對(duì)磁盤空間的需求不斷增長，他們最近也買了一個(gè)。公司內(nèi)沒人知道該如何配置SAN，而供應(yīng)商又堅(jiān)持安裝了系統(tǒng)，并讓客戶自行設(shè)置所安裝系統(tǒng)上的用戶名和密碼。該公司在安裝好系統(tǒng)之后，再也很少關(guān)注配置問題，結(jié)果有一個(gè)關(guān)鍵任務(wù)設(shè)備始終使用默認(rèn)的出廠登錄憑證。這是非常危險(xiǎn)的，許多公司如此簡單地配置關(guān)鍵系統(tǒng)。不懷好意的人有可能破壞邏輯單元號(hào)（LUN）、刪除數(shù)據(jù)，這會(huì)引發(fā)各種問題。

同一種場景還出現(xiàn)在對(duì)待不間斷電源系統(tǒng)的問題上。不久前，CyberDefenses公司評(píng)估了一家在IT配置以及在安全上不惜下血本的大型政府機(jī)構(gòu)，它們擁有最安全的系統(tǒng)。在CyberDefenses評(píng)估前的幾個(gè)月，該機(jī)構(gòu)請(qǐng)IT承包商更換了所有UPS系統(tǒng)，包括為其主計(jì)算機(jī)機(jī)房的所有關(guān)鍵服務(wù)器提供電源保障的幾臺(tái)UPS。IT承包商把這些UPS系統(tǒng)連接到網(wǎng)絡(luò)上，以便可以遠(yuǎn)程管理及監(jiān)測這些系統(tǒng)。Dolbow顯示了一份客戶報(bào)告的屏幕截圖，表明他們可以隨意登錄到Web接口（借助管理員權(quán)限，使用默認(rèn)憑證）。當(dāng)鼠標(biāo)光標(biāo)懸浮在關(guān)鍵業(yè)務(wù)的關(guān)閉按鈕上可隨時(shí)結(jié)束進(jìn)程時(shí)，這才能足夠引起客戶的注意。

解決方案

針對(duì)此種情況，解決辦法如下:

1. 對(duì)Web服務(wù)器/接口定期執(zhí)行端口掃描;

2. 如果Web接口沒有必要，就關(guān)閉這項(xiàng)服務(wù);

3. 更改憑證、盡量使用https訪問;

4. 只允許授權(quán)的管理員工作站可以訪問;

5. 加強(qiáng)防火墻限制;

6. 監(jiān)測日志。

分配不同權(quán)限

員工擁有的系統(tǒng)訪問權(quán)限是否會(huì)導(dǎo)致企業(yè)面臨安全風(fēng)險(xiǎn)？一家大型制造公司的高級(jí)IT經(jīng)理詳細(xì)講述了他如何重新配置訪問生產(chǎn)系統(tǒng)的機(jī)制，以便限制性更強(qiáng)、更容易審計(jì)。

“我們IT員工大多可以使用‘用戶賬戶’全面訪問所有生產(chǎn)系統(tǒng)。測試人員在一次安全審計(jì)和滲透測試中抓住了這個(gè)漏洞，最后擁有了公司的Windows Domain以及大多數(shù)生產(chǎn)數(shù)據(jù)庫服務(wù)器的訪問權(quán)限?，F(xiàn)在，我們從域管理員、數(shù)據(jù)庫管理員賬戶及Application Root Account等賬戶中取消了每個(gè)人的‘用戶賬戶’。如果技術(shù)系統(tǒng)管理員讓敏感的系統(tǒng)和數(shù)據(jù)需要常規(guī)訪問，就要設(shè)置不同的賬戶來訪問，并使用安全性很強(qiáng)的密碼。我們使用一些審計(jì)工具和Cyber Ark公司的密碼保險(xiǎn)箱工具，以便審計(jì)該賬戶的所有使用活動(dòng)?！?/P>

該IT管理人員說，他們的許多應(yīng)用/數(shù)據(jù)庫管理人員需要對(duì)生產(chǎn)系統(tǒng)進(jìn)行大量不太常規(guī)的訪問。對(duì)這些系統(tǒng)而言，他們?nèi)∠怂谐Ｒ?guī)的管理員訪問，而換成了選擇性的“應(yīng)急賬戶”（firefighter accounts），這類賬戶比較普通。這些賬戶存儲(chǔ)在密碼保險(xiǎn)箱中，由一個(gè)強(qiáng)密碼加以保護(hù)。還有這樣一個(gè)過程: 輸入票證（ticket），獲得審批，并記錄在他們的票證記錄系統(tǒng)中。對(duì)于高度敏感的項(xiàng)目，密碼保險(xiǎn)箱還要求實(shí)施幾道審批環(huán)節(jié); 還需要輸入基本的票證編號(hào)、說明理由，從而在增強(qiáng)了票證記錄系統(tǒng)之后才可發(fā)放密碼。密碼發(fā)放后系統(tǒng)可進(jìn)行設(shè)置，在一段時(shí)間后自動(dòng)重置; 或在請(qǐng)求者“將密碼返回入庫”后重置。

解決方案

一般來說，密碼保險(xiǎn)箱控制著服務(wù)器和PC系統(tǒng)上嵌入式的本地管理員賬戶、服務(wù)賬戶以及嵌入到系統(tǒng)中的數(shù)據(jù)庫訪問賬戶和應(yīng)用賬戶。這些賬戶通常從來不會(huì)受到密切關(guān)注。在過去，不破壞許多系統(tǒng)就無法更改密碼。許多企業(yè)采用密碼保險(xiǎn)箱工具對(duì)這些賬戶和密碼進(jìn)行控制后，可以順利地定期輪換。

最后，當(dāng)然是需要備份，有了這些賬戶和密碼的副本以便災(zāi)難恢復(fù)。如果采用這樣的策略，企業(yè)的災(zāi)難恢復(fù)以及業(yè)務(wù)連續(xù)性計(jì)劃也更嚴(yán)密了，可進(jìn)一步配置系統(tǒng)。

處理好隱私難題

如果驗(yàn)證機(jī)制和數(shù)據(jù)被設(shè)置成面向特定客戶的，用戶能把Web系統(tǒng)作為門戶來運(yùn)行嗎？美國中西部一家商業(yè)管理咨詢公司的高級(jí).Net架構(gòu)師James Ashbaugh當(dāng)時(shí)就遇到了這個(gè)問題。這家公司有幾個(gè)客戶在運(yùn)行相同的系統(tǒng)代碼，而數(shù)據(jù)存放在不同的物理設(shè)備中。由于他們的客戶都是同行業(yè)內(nèi)相互競爭的企業(yè)，所以數(shù)據(jù)完整性至關(guān)重要，Ashbaugh關(guān)注的是如何正確配置系統(tǒng)。

他們使用的系統(tǒng)環(huán)境如下。

●  約500至1000個(gè)外部用戶通過思杰產(chǎn)品來連接;

●  微軟網(wǎng)絡(luò);

●  面向域控制器、Web Servers和SQL Servers的Windows 2003 Server;

●  SQL Server 2008。

門戶網(wǎng)站基于客戶端、用戶角色和客戶數(shù)據(jù)庫數(shù)據(jù)運(yùn)行。微軟為ASP .Net提供了一個(gè)豐富、基于角色的模型，但該模型不是為了在門戶架構(gòu)下運(yùn)行而設(shè)計(jì)的。于是，Ashbaugh 結(jié)合了微軟在ASP.Net安全、活動(dòng)目錄賬戶/群組和SQL Security中提供的功能。

現(xiàn)在面臨的難題是: 公司有多個(gè)相互競爭的客戶在運(yùn)行相同的系統(tǒng)代碼，但數(shù)據(jù)存放在不同的物理SQL設(shè)備中（使用客戶特定的數(shù)據(jù)庫名稱）。所以，雖然大家都運(yùn)行相同的Web應(yīng)用和中間層，但在數(shù)據(jù)庫層面卻具有客戶特定性（大家使用相同的數(shù)據(jù)庫模型）。切記: 客戶通過思杰產(chǎn)品來連接至公司網(wǎng)絡(luò)，所以就需要使用單次登錄（即使思杰產(chǎn)品負(fù)責(zé)處理DMZ驗(yàn)證，但它并不處理Web應(yīng)用的表單驗(yàn)證）。明白那些客戶在同一個(gè)行業(yè)很重要，所以必須確保數(shù)據(jù)的完整性，因?yàn)檫@涉及到競爭優(yōu)勢。

難題在于，如果驗(yàn)證機(jī)制和數(shù)據(jù)被設(shè)置成特定客戶的，如何把Web系統(tǒng)作為門戶來驗(yàn)證、裝載及執(zhí)行？

Ashbaugh的應(yīng)對(duì)方法如下: 在思杰產(chǎn)品中，他們把IE瀏覽器作為一個(gè)應(yīng)用來共享（但通過IE安全設(shè)置和登錄腳本，限制客戶對(duì)外部Web的瀏覽）。他們不想讓使用服務(wù)器的客戶可以上網(wǎng)沖浪，或者對(duì)競爭對(duì)手發(fā)動(dòng)攻擊。IE的主頁被設(shè)成了他們公司的門戶網(wǎng)站，并使用委托和模擬功能。得到了思杰驗(yàn)證的用戶，把憑證傳送到門戶的裝載器代碼類。該代碼類啟動(dòng)驗(yàn)證過程，以便“驗(yàn)證”SQL數(shù)據(jù)庫。在該數(shù)據(jù)庫中，他們對(duì)所有的客戶端數(shù)據(jù)庫、客戶用戶以及角色都進(jìn)行了映射。一旦裝載器驗(yàn)證后發(fā)現(xiàn)這是系統(tǒng)中的活動(dòng)用戶，裝載器會(huì)獲得相應(yīng)的數(shù)據(jù)庫連接信息，然后通過用戶的Web會(huì)話進(jìn)行傳輸。

注意，在裝載的過程中，應(yīng)該對(duì)傳輸?shù)男畔⒓用埽@樣可發(fā)現(xiàn)利用跨站腳本攻擊來獲取其他用戶的會(huì)話信息。對(duì)會(huì)話中的連接信息進(jìn)行加密意味著，黑客必須實(shí)際訪問物理Web服務(wù)器，還要在執(zhí)行任何解密算法的時(shí)間點(diǎn)來訪問頁面文件或內(nèi)存塊。由于這種可能性非常小，可以在數(shù)據(jù)庫連接層面支持客戶的數(shù)據(jù)安全需求。在數(shù)據(jù)庫中，所有連接字符串和設(shè)置都采用加密形式來存儲(chǔ)，使用客戶特定的私有密鑰（經(jīng)過加密的數(shù)據(jù)來自“驗(yàn)證”數(shù)據(jù)庫）。

所以，鑒于該驗(yàn)證用戶總是可以訪問數(shù)據(jù)庫連接信息，需要安排建立什么樣的數(shù)據(jù)庫連接方法。應(yīng)該把用戶的角色及其他安全設(shè)置也存儲(chǔ)在會(huì)話中。一旦所有這些前端裝載的邏輯完成，裝載器會(huì)連接門戶主頁，并使用來自用戶的數(shù)據(jù)庫配置數(shù)據(jù)，裝載器就會(huì)擴(kuò)展用戶特定的主頁及內(nèi)容。

現(xiàn)在，當(dāng)用戶開始通過請(qǐng)求及更新數(shù)據(jù)與系統(tǒng)進(jìn)行互動(dòng)時(shí)，請(qǐng)求會(huì)先調(diào)用“控制器”代碼。該代碼被服務(wù)調(diào)用，以便安排所有的系統(tǒng)事件。它定義了通過配置文件調(diào)用的特定存儲(chǔ)過程。然后，使用該名字值就會(huì)調(diào)用數(shù)據(jù)庫層，并請(qǐng)求存儲(chǔ)過程執(zhí)行。

解決方案

通過設(shè)置SQL Server用戶，讓存儲(chǔ)過程適合角色，從而便于執(zhí)行存儲(chǔ)過程。所以，如果某用戶不在“項(xiàng)目用戶組”中，該用戶不可以執(zhí)行“GetActiveInventoryItems”存儲(chǔ)過程。

在SQL Server 2008中，用戶可以結(jié)合存儲(chǔ)過程中的#C代碼，所以企業(yè)可排列基于映射用戶角色而返回的特定數(shù)據(jù)字段。網(wǎng)頁上的控件可自動(dòng)創(chuàng)建，以支持返回的用戶特定內(nèi)容。這意味著: 要是有一批項(xiàng)目，但只有兩列允許該用戶訪問，就要針對(duì)這個(gè)角色特定的數(shù)據(jù)來調(diào)整控件。