应用服务的安全课件

介绍信息安全技术专家岗位资格技能认证培训中华人民共和国劳动与社会保障部职业资格认证国家信息安全培训认证管理中心主任劳动与社会保障部国家督导、高级考评员信息产业部信息化与电子政务专家盛鸿宇副研究员e_gov@第六章应用服务的安全网络环境中多样化的应用多样化的应用需要什么？安全的通信、交易环境信息安全应用需要什么保护？物理（硬件安全）数据安全系统安全网络安全应用安全身份认证通信双方能互相验证对方的身份，确认对方确实是他所声明的身份。我是田景成，你是网上银行服务器吗？嗨，我是网上银行服务器。你真的是田景成吗？你真的是网上银行服务器吗？业务服务器田景成数据保密通信双方传送的信息需要保密，只有他们自己知道。他们需要说“悄悄话”。我需要转帐，这是我的帐号和密码。业务服务器田景成帐号：1234567890

密码：8888888成景田数据完整性通信双方应能检测出信息在传输途中是否被篡改。转帐200万到关晓阳的帐号。业务服务器田景成成景田转帐100万到关晓阳的帐号，转帐100万到成景田的帐号。篡改应用服务具体划分Web服务FTP服务Mail服务域名服务Data服务SMB服务远程登录服务终端服务其他服务Web服务静态脚本服务/动态脚本服务脚本很可能就成为获得信息的非正当的服务脚本WebService微软提出三层应用的关键技术，是三层结构中客户端和系统服务搭建桥梁的中间层应用服务控件（中间件）基本HTTP请求“”等价于HTTP命令“GET/HTTP/1.0”CGI调用“+var2”表示将var1和var2提交给cgi.exe(“+”是分隔符)ASP调用

表示将X、Y分别作为两个变量提交Web结构client/server结构，属于瘦客户类型Browser/Server,客户为浏览器，服务器为WebServer通常是多层(或三层)结构中的第一层在Web应用中，WebServer后面常常与数据库打交道Web结构B/S之间的通讯协议：HTTPHTTP位于TCP之上，默认的端口为80客户发出对页面的请求，服务器送回这些页面Web页面的表述和交互能力各种标记、超链接，…交互功能：表单、脚本交互能力的扩展：JavaApplet,ActiveX,…Web服务安全问题归纳服务器向公众提供了不应该提供的服务服务器把本应私有的数据放到了公开访问的区域服务器信赖了来自不可信赖数据源的数据主要漏洞提供了不应该提供的服务把私有数据放到了公开访问区域信赖了来自不可信数据源的数据物理路径泄露、CGI源代码泄露、目录遍历、执行任意命令、缓冲区溢出、拒绝服务、条件竞争和跨站脚本执行漏洞

Web服务器漏洞的解释目录遍历

执行任意命令

缓冲区溢出

拒绝服务

条件竞争

物理路径泄露

Web服务器处理用户请求出错导致的，或某些显示环境变量的程序错误输出

IIS二次解码漏洞和Unicode解码漏洞

通过解码漏洞或SSI指令解析来执行系统命令超长URL，超长HTTPHeader域，或者是其它超长的数据Web服务器在处理特殊请求时不知所措或处理方式不当，因此出错终止或挂起

没有临时文件的属性进行检查IIS安全漏洞Null.htw漏洞MDAC执行本地命令漏洞“.htr”问题IIS缓冲溢出ISM.DLL缓冲截断漏洞IIS存在的Unicode解析错误漏洞……Codebrws.asp

Showcode.asp

Null.htw

以上四个漏洞均可以察看文件源代码IIS服务泄露源代码webhits.dll&.htwASPDotBug在请求的URL结尾追加一个或者多个点导致泄露ASP源代码。.ISM.DLL允许攻击者查看任意文件内容和源代码.idc&.idaBugs

这个漏洞实际上类似ASPdot漏洞，其能在IIS4.0上显示其WEB目录信息，很奇怪的说有些还在IIS5.0上发现过此类漏洞，通过增加?idc?或者?ida?后缀到URL会导致IIS尝试允许通过数据库连接程序.DLL来运行.IDC，如果.idc不存在，它就返回一些信息给客户端。IIS服务泄露源代码IIS4.0中包含一个有趣的特征就是允许远程用户攻击WEB服务器上的用户帐号，就是你的WEB服务器是通过NAT来转换地址的，还可以被攻击。./iisadmpwd存在OFFICE2000和FRONTPAGE2000ServerExtensions中的WebDAV中，当有人请求一个ASP/ASA后者其他任意脚本的时候在HTTPGET加上Translate:f后缀，并在请求文件后面加/就会显示文件代码，当然在没有打WIN2KSP1补丁为前提。这个是W2K的漏洞，但由于FP2000也安装在IIS4.0上，所以在IIS4.0上也有这个漏洞。利用程序:trasn1.pl,trans2.plTranslate:fBug泄露asp文件源代码IIS的Unicode问题问题产生的要义“%c0%af”和“%c1%9c”分别是“/”“\”的unicode表示其它的非法表示法：“%c1%1c”、“%c1%9c”、“%c0%9v”、“%c0%af”、”%c1%8s”等对策安装MS00-086中的补丁由于没有实现分区跳转功能，可以在系统分区之外安装IIS设置严格的NTFS权限在服务器的Write和ExcuteACL中删除Everyone和User组更近一步双解码/二次解码同样由NSFocus发布对策：应用MS01-26给出的补丁(不包括在sp2中)注意和Unicode的区别，包括相关日志GET/scripts/..%255c..255c%winnt/system32/cmd.exeIIs4hack缓冲溢出主要存在于.htr,.idc和.stm文件中，其对关于这些文件的URL请求没有对名字进行充分的边界检查，导致运行攻击者插入一些后门程序在系统中下载和执行程序。IIS溢出问题IPP(InternetPrintingProtocol)缓冲区溢出(IPP是处理.printer文件的C:\winnt\system32\msw3prt.dll)当以下调用超过420字节时，问题就会发生对策：删除DLL和文件扩展之间的映射GET/NULL.printerHTTP/1.0Host:[buffer]删除DLL和文件扩展之间的映射IIS溢出问题索引服务ISAPI扩展溢出(通常被称为ida/idq溢出)由idq.dll引起，当buffer长度超过240字节时，问题就会发生Null.ida为文件名，无需真的存在直至现在上没有漏洞利用代码CodeRed的感染途径对策：删除idq.dll和文件扩展之间的映射GET/NULL.ida?HTTP/1.1Host:[buffer]IIS溢出问题Frontpage2000服务扩展溢出最早由NSFocus(中国安全研究小组)提出FPSE在Windows2000中的位置：C:\Programfiles\CommomFiles\MicrosoftShared\WebServerExtensions问题焦点是fp30reg.dll和fp4areg.dll(后者默认总是提供的)收到超过258字节的URL请求时，问题就会出现漏洞利用工具：fpse2000ex对策：删除fp30reg.dll和fp4areg.dll文件IIS的其它问题源代码泄漏的危险.htr风险.htw/webhits风险权限提升的问题远程调用RevertToself的ISAPIDLL向LSA本地注射代码CGI安全问题归纳暴露敏感或不敏感信息缺省提供的某些正常服务未关闭利用某些服务漏洞执行命令应用程序存在远程溢出非通用CGI程序的编程漏洞具体的CGI安全问题配置错误边界条件错误访问验证错误来源验证错误输入验证错误意外情况处理失败策略错误习惯问题使用错误CGI安全保证保持服务器安全正确安装CGI程序，删除不必要的安装文件和临时文件使用安全的函数使用安全有效的验证用户身份的方法验证用户来源，防止用户短时间内过多动作推荐过滤特殊字符处理好意外情况实现功能时制定安全合理的策略培养良好的编程习惯避免“想当然”的错误定期使用CGI漏洞检测工具ASP的安全性Code.asp文件会泄漏ASP代码组件篡改下载FAT分区上的任何文件的漏洞输入标准的HTML语句或者JavaScript语句会改变输出结果AccessMDB数据库有可能被下载的漏洞asp程序密码验证漏洞(1)为你的数据库文件名称起个复杂的非常规的名字，并把他放在非常规目录下。(2)不要把数据库名写在程序中。(3)使用ACCESS来为数据库文件编码及加密。防止Access数据库被下载防止Access数据库被下载常见措施：配置安全的IIS运行环境

作为运行在WindowsNT操作系统环境下的IIS，其安全性也应建立在WindowsNT安全性的基础之上。1.应用NTFS文件系统2.文件夹共享权限的修改3.为系统管理员账号更名4.取消TCP/IP上的NetBIOS绑定设置IIS的安全机制一1.安装时应注意的安全问题（1）避免安装在主域控制器上（2）避免安装在系统分区上2.用户控制的安全性（1）限制匿名用户的访问

（2）一般用户通过使用数字与字母（包括大小写）结合的口令，提高修改密码的频率，封锁失败的登录尝试以及账户的生存期等对一般用户账户进行管理。3.登录认证的安全性IIS服务器提供对用户三种形式的身份认证：匿名访问：不需要与用户之间进行交互，允许任何人匿名访问站点，在这三种身份认证中的安全性是最低的。

基本（Basic）验证：在此方式下用户输入的用户名和口令以明文方式在网络上传输，没有任何加密，非法用户可以通过网上监听来拦截数据包，并从中获取用户名及密码，安全性能一般。

WindowsNT请求/响应方式：浏览器通过加密方式与IIS服务器进行交流，有效地防止了窃听者，是安全性比较高的认证形式。设置IIS的安全机制二4.访问权限控制（1）文件夹和文件的访问权限：安放在NTFS文件系统上的文件夹和文件，一方面要对其权限加以控制，对不同的用户组和用户进行不同的权限设置；另外，还可利用NTFS的审核功能对某些特定用户组成员读文件的企图等方面进行审核，有效地通过监视如文件访问、用户对象的使用等发现非法用户进行非法活动的前兆，及时加以预防制止。（2）WWW目录的访问权限：已经设置成Web目录的文件夹，可以通过操作Web站点属性页实现对WWW目录访问权限的控制，而该目录下的所有文件和子文件夹都将继承这些安全性。WWW服务除了提供NTFS文件系统提供的权限外，还提供读取权限，允许用户读取或下载WWW目录中的文件；执行权限，允许用户运行WWW目录下的程序和脚本。设置IIS的安全机制三5.IP地址的控制IIS可以设置允许或拒绝从特定IP发来的服务请求，有选择地允许特定节点的用户访问服务，你可以通过设置来阻止除指定IP地址外的整个网络用户来访问你的Web服务器。6.端口安全性的实现可以通过修改端口号来提高IIS服务器的安全性，如果你修改了端口设置，只有知道端口号的用户才可以访问。7.禁止IP转发功能提高服务的安全性8.启用SSL安全机制加强Web服务的安全性

设置IIS的安全机制四提高IIS的安全性和稳定性一限制在web服务器开帐户，定期删除一些断进程的用户。对在web服务器上开的帐户，在口令长度及定期更改方面作出要求，防止被盗用。

尽量使ftp，mail等服务器与之分开，去掉ftp，mail，tftp，NIS，NFS，finger，netstat等一些无关的应用。

在web服务器上去掉一些绝对不用的shell等之类解释器，即当在你的cgi的程序中没用到perl时，就尽量把perl在系统解释器中删除掉。

有些WEB服务器把WEB的文档目录与FTP目录指在同一目录时，应该注意不要把FTP的目录与CGI-BIN指定在一个目录之下。设置好web服务器上系统文件的权限和属性，对可让人访问的文档分配一个公用的组如：www，并只分配它只读的权利。对于WEB的配置文件仅对WEB管理员有写的权利。

定期查看服务器中的日志logs文件，分析一切可疑事件。通过限制许可访问用户IP或DNS提高ISS的安全性和稳定性二IIS服务安全配置禁用或删除所有的示例应用程序

示例只是示例；在默认情况下，并不安装它们，且从不在生产服务器上安装。请注意一些示例安装，它们只可从

或访问；但是，它们仍应被删除。下面列出一些示例的默认位置。示例虚拟目录位置

IIS示例\IISSamplesc:\inetpub\iissamples

IIS文档\IISHelpc:\winnt\help\iishelp

数据访问\MSADCc:\programfiles\commonfiles\system\msadc

禁用或删除不需要的COM组件某些COM组件不是多数应用程序所必需的，应加以删除。特别是，应考虑禁用文件系统对象组件，但要注意这将也会删除Dictionary对象。切记某些程序可能需要您禁用的组件。如SiteServer3.0使用Object。以下命令将禁用Object：regsvr32scrrun.dll/u删除IISADMPWD虚拟目录该目录可用于重置WindowsNT和Windows2000密码。它主要用于Intranet情况下，并不作为IIS5的一部分安装，但是IIS4服务器升级到IIS5时，它并不删除。如果您不使用Intranet或如果将服务器连接到Web上，则应将其删除。IIS服务安全配置删除无用的脚本映射

IIS被预先配置为支持常用的文件名扩展如.asp和.shtm文件。IIS接收到这些类型的文件请求时，该调用由DLL处理。如果您不使用其中的某些扩展或功能，则应删除该映射，步骤如下：

打开Internet服务管理器。右键单击Web服务器，然后从上下文菜单中选择“属性”。主目录|配置|删除无用的.htr.ida.idq.printer.idc.stm.shtml等IIS服务安全配置禁用父路径

“父路径”选项允许在对诸如MapPath

函数调用中使用“..”。禁用该选项的步骤如下：

右键单击该Web站点的根，然后从上下文菜单中选择“属性”。单击“主目录”选项卡。单击“配置”。单击“应用程序选项”选项卡。取消选择“启用父路径”复选框。禁用-内容位置中的IP地址

IIS4里的“内容-位置”标头可暴露通常在网络地址转换(NAT)防火墙或代理服务器后面隐藏或屏蔽的内部IP地址。IIS服务安全配置IIS服务安全配置设置适当的IIS日志文件ACL

确保IIS日志文件(%systemroot%\system32\LogFiles)上的ACL是Administrators（完全控制）System（完全控制）Everyone(RWC)

这有助于防止恶意用户为隐藏他们的踪迹而删除文件。

设置适当的虚拟目录的权限

确保IIS虚拟目录如scripts等权限设置是否最小化，删除不需要目录。

将IIS目录重新定向

更改系统默认路径，自定义WEB主目录路径并作相应的权限设置。使用专门的安全工具

微软的IIS安全设置工具：IISLockTool；是针对IIS的漏洞设计的，可以有效设置IIS安全属性。Web服务的用户身份认证

Web服务器支持的验证方式基本验证的具体实现方法用IIS建立高安全性Web服务器WEB安全性的综合策略协议本身的安全性支持身份认证BasicAuthenticationDigestAccessAuthentication保密性TLS(TransportLayerSecurity)Web认证BasicAuthentication[RFC2617]DigestAccessAuthentication[RFC2617]TLS，基于PKI的认证一种双向认证模式：单向TLS认证+客户提供名字/口令MicrosoftpassportBasicAuthenticationWeb服务器用户名和密码用户名和密码口令直接明文传输隐患：sniffer、中间代理、假冒的服务器DigestAccesAuthenticationChallenge-Response,不传输口令重放攻击、中间人攻击服务器端的口令管理策略WEB安全性的综合策略有些应用使用SSL/TLS，为WebService申请一个证书WebServer往往是网络攻击的入口点为了提供WebService，必须要开放端口和一些目录，还要接受各种正常的连接请求防火墙对WebServer的保护是有限的WEB安全性的综合策略及时打上WebServer软件厂商提供的补丁程序特别是一些主流的服务软件，比如MS的IIS控制目录和文件的权限Web应用开发人员注意在服务端的运行代码中，对于来自客户端的输入一定要进行验证防止缓冲区溢出Web客户端的安全性客户端安全性涉及到Cookie的设置，保护用户的隐私PKI设置，确定哪些是可信任的CA对可执行代码的限制，包括JavaApplet，ActiveXcontrol客户浏览器的安全设置真的安全吗我们有必要了解这些安全性FTP服务文件传输协议(Protocol，FTP)FTP服务通常被攻击者上传后门程序文件到主机，然后通过种种方式转移成为激活的后门注意：资源共享和权限控制矛盾的存在FTP安全FTP的一些特性FTP的包过滤方式FTP服务形态FTP服务的安全性FTP服务器的安全配置FTP的特性与目标促进文件（程序或数据）的共享支持间接或隐式地使用远程计算机帮助用户避开主机上不同的可靠并有效地传输数据FTP的包过滤方式

FTP使用两个独立的TCP连接一个在服务器和客户程序之间传递命令和结果（通常称为命令通道）另一个用来传送真实的文件和目录列表（通常称为数据通道）多数FTP服务器和客户程序都支持“反向方式”或“PASV方式”FTP服务形态匿名服务（AnonymousService）FTP代理：允许第三方文件传输针对FTP的攻击FTP跳转攻击无访问控制密码截获端口盗用一、取消匿名访问功能二、启用日志记录FTP服务器日志记录着所有用户的访问信息，如访问时间、客户机IP地址、使用的登录账号等，这些信息对于FTP服务器的稳定运行具有很重要的意义，一旦服务器出现问题，就可以查看FTP日志，找到故障所在，及时排除。因此一定要启用FTP日志记录。

普通FTP服务器的安全配置一三、正确设置用户访问权限四、启用磁盘配额，限制FTP存储空间

五、TCP/IP访问限制，拒绝或只允许某些IP地址的访问。六、合理设置组策略

1.审核账户登录事件2.增强账号密码的复杂性

3.账号登录限制

普通FTP服务器的安全配置二一、对“本地服务器”进行设置1.选中“拦截ＦＴＰ＿ｂｏｕｎｃｅ攻击和ＦＸＰ”Ｓｅｒｖ－Ｕ的安全性设置当使用ＦＴＰ协议进行文件传输时，客户端首先向ＦＴＰ服务器发出一个“ＰＯＲＴ”命令，该命令中包含此用户的ＩＰ地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在ＰＯＲＴ命令中加入特定的地址信息，使ＦＴＰ服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果ＦＴＰ服务器有权访问该机器的话，那么恶意用户就可以通过ＦＴＰ服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是ＦＸＰ，也称跨服务器攻击。选中后就可以防止发生此种情况。在“高级”选项卡中，检查“加密密码”和“启用安全”是否被选中，如果没有，选择它们。“加密密码”使用单向ｈａｓｈ函数（ＭＤ５）加密用户口令，加密后的口令保存在ＳｅｒｖＵＤａｅｍｏｎ．ｉｎｉ或是注册表中。如果不选择此项，用户口令将以明文形式保存在文件中；“启用安全”将启动Ｓｅｒｖ－Ｕ服务器的安全成功。2.检查“加密密码”和“启用安全”是否被选中。二、对域中的服务器进行设置Ｓｅｒｖ－Ｕ对每个账户的密码都提供了以下三种安全类型：规则密码、ＯＴＰＳ／ＫＥＹＭＤ４和ＯＴＰＳ／ＫＥＹＭＤ５。不同的类型对传输的加密方式也不同，以规则密码安全性最低。进入拥有一定管理权限的账户的设置中，在“常规”选项卡的下方找到“密码类型”下拉列表框，选中第二或第三种类型，保存即可。注意，当用户凭此账户登录服务器时，需要ＦＴＰ客户端软件支持此密码类型，如ＣｕｔｅＦＴＰＰｒｏ等，输入密码时选择相应的密码类型方可通过服务器验证。1.选择合适的密码类型Ｓｅｒｖ－Ｕ的安全性设置二2.谨慎设置主目录及其权限凡是没必要赋予写入等能修改服务器文件或目录权限的，尽量不要赋予。

3.开启日志，并经常检查

在“日志”选项卡中将“启用记录到文件”选中，并设置好日志文件名及保存路径、记录参数等，以方便随时查询服务器异常原因。Solaris操作系统FTP漏洞该方法利用了Solaris操作系统中FTPD的一个BUG，使得用户可以获得该机的口令文件。具体过程如下：1.通过ftp正常登录到目的主机上2.输入如下命令序列：ftp>userrootwrongpasswdftp>quotepasv3.这时，ftpd会报错退出，同时会在当前目录下生成一个core，口令文件就包含在这个core中。4.再次进入FTP>getcoreMail服务SMTP和POP、IMAP都存在一定的问题从两方面理解：协议和服务端程序尤其以SMTP为讨论重点Mail服务是一种不安全的服务，因为它必须接受来自Internet的几乎所有数据走进MS客户端客户端风险评估恶意电子邮件MIME扩展Outlook缓冲区溢出MediaPlay缓冲区溢出VBS地址簿蠕虫恶意邮件实例HeloMailfroam:Rcptto:DataSublect:ReadmeImportance:highMIME-Version:1.0Content-type:text/html;charset=us-asciiContent-Transfer-Encoding:7bit<html>Hi!</html>.quit使用的开放SMTP邮件中继此处可以添加恶意客户端脚本通过下列命令执行：Typemail.txt|telnetIP25Outlook溢出起源于vCard(一种电子名片)Outlook直接打开并运行附件中的vCards而不提示用户vCards存储于.vcf文件中，也是没有提示而直接运行的当vCards的生日字段(BDAY)超过55字符时，就会出现溢出对策：应用IE5.5sp2媒体元文件<ASXVersion=“3.0”><Entry><refHREF=“path”/></Entry></ASX>问题所在带有超长path值的.asx文件试图自动浏览时，会导致资源管理器崩溃；另外，可以向path写入适当代码垃圾邮件泛滥成灾！2003年及2004年垃圾邮件异常猖狂垃圾邮件层出不穷形如用特殊字符分隔单词将文字保存在图片里html格式等反垃圾邮件软件依然不足人工智能算法/DNA算法实现依然复杂目前识别技术无法与人脑相比基于内容过滤的算法（如Bayes）对中文的处理能力依然薄弱。垃圾邮件大量充斥着邮件队列！通信中断！损失大量合作机会！耗费大量网络资源，年损失几百亿美元！我们需要便宜、有效的手段遏止Spam!NOSPAM！什么技术可以胜任？成本低部署易效能好APFcan!APF定义APF=AntispamPolicyFramework

是一种利用综合策略分析SMTP信息，主要用于对付垃圾邮件的一套框架。

APS=APFService/System

主要以Client/Server模式对外提供APF完整支持的服务体系，模式类似于RBL/DNS。为什么设计APF?RBL命中率不足，误判，即时性不够SPF依然是Draft，国内推广困难现有技术/框架使用部署成本很高内容过滤技术仍不足，有待改进分析发现SMTP阶段就可识别UCERBL的不足RBL属于被动还击类技术99%的RBL都是国外组织维护中国IP被封杀严重准确率不够，易误杀面临IPV6问题SPF的不足SPF依然是草案(Draft)用户对SPF认知极其有限SPF涉及DNS修改，部署起来工程浩大国内绝大部分域名一定时期内都无法实施SPF域名注册/管理商不提供SPF支持反垃圾邮件部署成本高企业自力开发/实施技术人员AntiSpam经验丰富综合利用多种技术管控整个团队，耗时耗力购买软/硬件部署专用商业软/硬件非常昂贵!使用复杂且定制困难内容过滤技术仍需改进Bayes算法基于规则匹配加权类DNA遗传算法分析发现SMTP阶段就可识别UCE垃圾邮件样本分析

结果：基于SMTP特征的准确率较内容过滤（使用SpamAssassin及自定义的规则）要高。

特征例子伪造来信人(Sender)来自Open-relay主机正文变化多端，但都来自同一个ip地址某个时段发送大量邮件信头缺失或不符合RFC统计分析结果(3-10月)UCE的SMTP特征缺乏必需信头的信件(Header-lacking)不符合RFC中关于电子邮件规定的信件（RFC-ignorant）错误的信件标记信息（Header-forgery）同样内容发送频率（Abnormal-rate）过高的信件。APF设计宗旨APF在设计过程中遵循了如下原则:集中/半集中式C/S数据交换结构难度适中的实现技术+良好的构思使用20%的精力去对付80%的Spam尽量使用现成的优秀自由软件方案/技术降低使用难度，提供尽可能高的灵活性APF基本原理(1)三大部分构成

MTA

APF客户端

APF服务端

(浅兰色标记）

典型的Client/Server结构主要运算/处理负载交给APF服务端客户端非常简单APF基本原理(2)V1.0APF服务端软件流水线串行工作任一异常即跳出缺点：只获得某个模块的判决结果不能综合判断APF基本原理(2)V2.0APF服务端改进模块处理相互独立处理结果最后汇总相互结果不影响优点可进行加权用户高度定制结果便于综合分析APF基本原理(3)V1.0协议

标签名描述(绿色为目前支持)request目前只支持一个值：smtpd_access_policyprotocol_state可能的值：CONNECT,EHLO,HELO,MAIL,RCPT,DATA,VRFY,ETRNprotocol_name可能的值：ESMTP或SMTPhelo_nameSMTP客户端的主机名senderMAILFROM阶段的来信人地址recipientRCPTTO阶段的收件人地址client_addressSMTP客户端的ip地址client_nameSMTP客户端ip地址反解（PTR）APF基本原理(3)V2.0协议

增补了一些新的属性名及策略调整标签名描述Result_type有效值：USRDFTADVOLDAuth_userSMTP认证的用户名Auth_methodSMTP认证的方法（plain,cram-md5等）Auth_senderSMTP认证后的sendersize邮件大小其他变化

未来考虑增加诸如信件MD5，更细化的特征传递等module1=fail/ok,reasonstring<NL>

moduleN=fail/ok,reasonstring<NL>

<NL>(v2.0结果格式)APF基本原理(4)判决结果V1.0V2.0action={4xx/5xx}reasontextlinkstatusbadhelo=DUNNOwhitelist=OKdnsbl=fail,blockedbybl.domain.tld,reason:[ip4addr]string..mspf=fail,{domain.tld}wasnotdesignate[ip4addr]..fakehelo=fail,reason:[fqdn]maybeforgeryfor[ip4addr]……应用APF的典型例子S:logshow:client[]connected……

C:Helo

S:220ESMTP(NoSpam)C:mailfrom:<>S:250OkC:rcptto:<>

S:554Forgerysenderaddress!sendermxdoesnotmatchyouripaddress504<>Helocommandrejected:helonamedoesnotmatchyouripaddressclient_addresshelo_namesenderrecipient(APFv1.0)APF的优势综合成本低结构简单部署简便能灵活定制功能强大域名服务DNS服务是Internet上其它服务的基础DNS服务存在的主要安全问题名字欺骗信息隐藏可信主机列表主机BIPB主机CIPC主机XIPX名字欺骗DBA（提供rlogin服务）DNS服务器Internet主机BIPB对应记录被恶意修改，例如对应C的主机名请求连接验证通过，可以连接逆向DNS查询结果主机CIPC请求连接验证通过解决域名服务安全性的办法直接利用DNS软件本身具备的安全特性来实现以防火墙/NAT为基础，并运用私有地址和注册地址的概念DATA服务DATA服务器主要是存放数据库两个方面（以SQLServer为例）IDC的安全性使用NTFS分区给予用户执行日常任务所必需的最低等级的访问许可权强制执行口令和登录策略TCP/IP过滤防火墙及代理服务器SQL本身的安全性问题SQLServer安全规划验证方法选择SQLServer的验证是把一组帐户、密码与Master数据库Sysxlogins表中的一个清单进行匹配

访问标记是在验证过程中构造出来的一个特殊列表，其中包含了用户的SID（安全标识号）以及一系列用户所在组的SID1Web环境中的验证

第一种方法是为每一个网站和每一个虚拟目录创建一个匿名用户的NT帐户

第二种方法是让所有网站使用Basic验证第三种验证方法是在客户端只使用IE5.0、IE4.0、IE3.0浏览器的情况下，在Web网站上和虚拟目录上都启用NT验证

第四种验证方法是如果用户都有个人数字证书，你可以把那些证书映射到本地域的NT帐户上

2设置全局组

控制数据访问权限最简单的方法是，对于每一组用户，分别地为它创建一个满足该组用户权限要求的、域内全局有效的组。除了面向特定应用程序的组之外，我们还需要几个基本组。基本组的成员负责管理服务器。创建了全局组之后，接下来我们可以授予它们访问SQLServer的权限3数据库访问控制在数据库内部，与迄今为止我们对登录验证的处理方式不同，我们可以把权限分配给角色而不是直接把它们分配给全局组。这种能力使得我们能够轻松地在安全策略中使用SQLServer验证的登录。

4分配权限

实施安全策略的最后一个步骤是创建用户定义的数据库角色，然后分配权限。完成这个步骤最简单的方法是创建一些名字与全局组名字配套的角色

创建好角色之后就可以分配权限。在这个过程中，我们只需用到标准的GRANT、REVOKE和DENY命令

5简化安全管理

首选的方法应该是使用NT验证的登录，然后通过一些精心选择的全局组和数据库角色管理数据库访问简化安全策略的经验规则：用户通过SQLServerUsers组获得服务器访问，通过DB_NameUsers组获得数据库访问用户通过加入全局组获得权限，而全局组通过加入角色获得权限，角色直接拥有数据库里的权限需要多种权限的用户通过加入多个全局组的方式获得权限。

首先你必须对操作系统进行安全配置，保证你的操作系统处于安全状态然后对你要使用的操作数据库软件（程序）进行必要的安全审核，比如对ASP、PHP等脚本最后安装SQLServer2000后请打上补丁SP以及最新的SP26SQL安全配置7SQL安全配置续（1）使用安全的密码策略

使用安全的帐号策略加强数据库日志的记录管理扩展存储过程使用协议加密7SQL安全配置续（2）不要让人随便探测到你的TCP/IP端口

修改TCP/IP使用的端口

拒绝来自1434端口的探测

对网络连接进行IP限制

Oracle数据库安全策略数据库备份所使用的结构Oracle数据库使用几种结构来保护数据：书库后备、日志、回滚段和控制文件在线日志一个Oracle数据库的每一实例有一个相关联的在线日志。一个在线日志有多个在线日志文件组成归档日志Oracle要将填满的在线日志文件组归档时，则要建立归档日志。Oracle数据库安全策略续（1）Oracle的数据安全

逻辑备份

数据库的逻辑备份包含读一个数据库记录集和将记录集写入文件

物理备份

物理备份包含拷贝构成数据库的文件而不管其逻辑内容.它分为脱机备份（offlinebackup）和联机备份（onlinebackup）Oracle数据库安全策略续（2）Oracle数据库的角色管理通过验证用户名称和口令，防止非Oracle用户注册到Oracle数据库，对数据库进行非法存取操作授予用户一定的权限，限制用户操纵数据库的权力授予用户对数据库实体的存取执行权限，阻止用户访问非授权数据提供数据库实体存取审计机制，使数据库管理员可以监视数据库中数据的存取情况和系统资源的使用情况采用视图机制，限制存取基表的行和列集合Oracle数据库安全策略续（3）用户角色管理对所有客户端按工作性质分类，分别授予不同的用户角色对不同的用户角色，根据其使用的数据源，分别授予不同的数据库对象存取权限

远程登录服务远程登录服务是指通过某种端口协议为远程客户端提供执行系统命令的服务常见的远程登陆服务包括Telnet终端服务PcAnywhererloginSSH协议漏洞、服务程序漏洞等问题Windows2000终端服务TS(TerminalService)工作于3389端口TS基于RDP(RemoteDesktopProtocol)实现终端服务不是使用HTTP或HTTPS的，而是通过RDP通道实现TS监听端口可以自己指定\HKLM\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp值PortNumberREG_WORD3389(默认)终端服务安全输入法漏洞造成的威胁netuserabc123/addnetlocalgroupadministratorsabc/add注册表DontDisplayLastUserName1针对TS的攻击密码猜测攻击风险(TSGrinder)权限提升风险(PipeUpAdmin、GetAdmin)IME攻击风险RDPDoS攻击风险SMB服务--连接与验证过程ClientServer1.建立TCP连接2.客户端类型、支持的服务方式列表等3.服务器认证方式、加密用的key等4.用户名、加密后密码5.认证结果随机生成一把加密密钥key(8或16字节)采用DES的变形算法，使用key对密码散列进行加密SMB提供的服务SMB会话服务TCP139和TCP443端口SMB数据报支持服务UDP138和UDP445端口SMB名称支持服务UDP137端口SMB通用命令支持服务开放SMB服务的危险SMB名称类型列表(1)

00UWorkstationService

01UMessengerService

01GMasterBrowser

03UMessengerService

06URASServerService

1FUNetDDEService

20UService

21URASClientService

22UExchangeInterchange

23UExchangeStore

24UExchangeDirectory

30UModemSharingServerService

31UModemSharingClientService

43USMSClientRemoteControl

44USMSAdminRemoteControlTool名称列表1SMB名称类型列表(2)

45USMSClientRemoteChat

46USMSClientRemoteTransfer

4CUDECPathworksTCPIPService

52UDECPathworksTCPIPService

87UExchangeMTA

6AUExchangeIMC

BEUNetworkMonitorAgent

BFUNetworkMonitorApps

03UMessengerService

00GDomainName

1BUDomainMasterBrowser

1CGDomainControllers

1DUMasterBrowser

1EGBrowserServiceElections

1CGInternetInformationServer

00UInternetInformationServer名称列表2强化SMB会话安全强制的显式权限许可：限制匿名访问控制LANManager验证使用SMB的签名服务端和客户端都需要配置注册表Netbios的安全设置

取消绑定文件和共享绑定打开控制面板－网络－高级－高级设置选择网卡并将Microsoft网络的文件和打印共享的复选框取消，禁止了139端口。注册表修改HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\ParametersName:SMBDeviceEnabledType:REG_DWORDValue:0禁止445端口。禁止匿名连接列举帐户名需要对注册表做以下修改。

注：不正确地修改注册表会导致严重的系统错误，请慎重行事！

1．运行注册表编辑器（Regedt32.exe）。

2．定位在注册表中的下列键上：

HKEY_LOCAL_MACHINE\Systemt\CurrentControl\LSA

3．在编辑菜单栏中选取加一个键值：

ValueName:RestrictAnonymous

DataType:REG_DWORD

Value:1（Windows2000下为2）

4．退出注册表编辑器并重启计算机，使改动生效。Netbios的安全设置Win2000的本地安全策略（或域安全策略中）中有RestrictAnonymous（匿名连接的额外限制）选项，提供三个值可选0：None.Relyondefaultpermissions（无，取决于默认的权限）1：DonotallowenumerationofSAMaccountsandshares（不允许枚举SAM帐号和共享）2：Noaccesswithoutexplicitanonymouspermissions（没有显式匿名权限就不允许访问）

Netbios的安全设置其他服务--Windows2000打印驱动以fullcontrol权限运行在OS级别面临的主要威胁默认情况下任何人都可以安装打印驱动通过配置组策略或直接修改注册表攻击者可能会使用木马替换打印驱动禁止和删除服务通过services.msc禁止服务使用ResourceKit彻底删除服务Sc命令行工具Instsrv工具举例OS/2和Posix系统仅仅为了向后兼容Server服务仅仅为了接受netbios请求服务和端口限制限制对外开放的端口:在TCP/IP的高级设置中选择只允许开放特定端口，或者可以考虑使用路由或防火墙来设置。禁用snmp服务或者更改默认的社区名称和权限禁用terminalserver服务将不必要的服务设置为手动

Alerter

ClipBook

ComputerBrowser……Linux服务Internet网络服务的安全性FTP、WWW、MAIL等系统本身的安全性TCPWrapper、inetd、Xinetd等Intranet服务的安全性NFS、NIS等Linux网络配置(1)Linux用daemon程序来提供网络服务有些服务直接由daemon程序一直运行有些服务通过inetd提供Inetd它的职责是监听大范围内的网络端口，根据进来的请求动态启动相应的服务daemon——节约资源在Linux上，其实大多数inetd服务并不是必需的，虽然，这些服务本身有一定的安全认证能力，但是为了安全起见，应该关闭这些服务Linux网络配置(2)配置xinetd编辑xinetd.conf

每行格式：<service_name><sock_type><proto><flags><user><server_path><args>通过/etc/services文件，可以查到每个service的端口和协议类型停止inetd进程，并重新启动inetd.conf配置文件解读inetd.conf文件tftpdgramudpwaitroot/usr/sbin/tcpdin.tftpd服务名称SOCK类型使用的传输层协议标志位，wait表示一次可处理多个请求服务以什么用户身份运行服务守护进程位置参数TCPwrappersTCPwrapper使得系统可以在请求登录或者输入口令之前拒绝进来的连接TCPwrapper的两个配置文件/etc/hosts.deny——满足条件则拒绝/etc/hosts.allow——满足条件则允许配置规则：service:host(s)[::action]两个工具tcpdchk,检查配置文件有没有错误，是否与其他文件冲突tcpdmatch,模拟规则是否如期起作用Hosts.deny和Hosts.allow文件实现TCPWrapper的关键具有“server:client”的规则形式如果两个文件都丢失，则相应的访问总是被允许的如果没有匹配项，则缺省总是被允许Hosts.deny/allow文件语法Service-list:Hosts-listALLUNKNOWNTelnetdFtpd……ALLUNKNOWNLOCALIPIP/maskXinetd(eXtendInterNETDaemon)作为inetd的高级替换版本，但和inetd完全不兼容语法完全不兼容本质上是hosts.deny和hosts.allow、inetd.conf的组合，可以使用itox工具转换常见与高版本Linux中拥有为数不少的优点支持TCP、UDP、RPC等有效防止DoS，对堆栈作优化限制同一类型的服务器数目可作代理Xinetd.conf文件语法serviceservice-name{Property1=…Property2+=…Property3-=…Property4=………}必须的关键字相关属性必须包含在花括号中为属性分配一个或多个值为属性增加一个值为属性取消一个值Xinetd.conf的defaults项提供了创建属性默认值的方法无需使用service关键字作前导举例defaults

{Log_type=SYSLOGLog_on_success=PIDHOSTEXITDURATIONLog_on_failure=HOSTInstances=8Disabled=in.tftpdinrexecd}Xinetd.conf的servers项主要功能：查阅进程的确切信息列表service

servers{type=INTERNALUNLISTEDSocket_type=streamProtocol=tcpPort=9997Wait=noOnly_from=11Wait=no}在9997端口监听来自11的列表请求，但不允许并发多个请求Xinetd.conf的Services项service

services{type=INTERNALUNLISTEDSocket_type=streamProtocol=tcpPort=8099Wait=noOnly_from=topcat}在8099端口监听来自topcat的列表请求，但不允许并发多个请求，给出信息就退出ApacheApache服务器它是Internet网上应用最为广泛的Web服务器软件之一。Apache服务器源自美国国家超级技术计算应用中心（NCSA）的Web服务器项目中。目前已在互联网中占据了领导地位Apache服务器的主要安全缺陷使用HTTP协议进行的拒绝服务攻击(denialofservice)缓冲区溢出攻击被攻击者获得root权限的安全缺陷恶意的攻击者进行“拒绝服务”(DoS)攻击正确维护和配置Apache服务器

ApacheWeb服务器主要有三个配置文件，位于/usr/local/apache/conf目录httpd.conf>主配置文件srm.conf>填加资源文件access.conf>设置文件的访问权限Apache服务器的日志文件

使用日志格式指令来控制日志文件的信息。使用LogFormat“%a%l”指令，可以把发出HTTP请求浏览器的IP地址和主机名记录到日志文件出于安全的考虑，在日志中至少应该知道那些验证失败的WEB用户在http.conf文件中加入LogFormat"%401u"指令可以实现这个目的

Apache服务器的目录安全认证

在ApacheServer中是允许使用.htaccess做目录安全保护的，欲读取这保护的目录需要先键入正确用户帐号与密码。这样可做为专门管理网页存放的目录或做为会员区等

？？？Apache服务器访问控制

access.conf文件，它包含一些指令控制允许什么用户访问Apache目录。应该把denyfromall设为初始化指令，再使用allowfrom指令打开访问权限Web服务的用户身份认证

Web服务器支持的验证方式基本验证的具体实现方法在Linux下用SSL构建一个安全的Web用IIS建立高安全性Web服务器WEB安全性的综合策略协议本身的安全性支持身份认证BasicAuthenticationDigestAccessAuthentication保密性TLS(TransportLayerSecurity)Web认证BasicAuthentication[RFC2617]DigestAccessAuthentication[RFC2617]TLS，基于PKI的认证一种双向认证模式：单向TLS认证+客户提供名字/口令MicrosoftpassportBasicAuthenticationWeb服务器用户名和密码用户名和密码口令直接明文传输隐患：sniffer、中间代理、假冒的服务器DigestAccesAuthenticationChallenge-Response,不传输口令重放攻击、中间人攻击服务器端的口令管理策略WEB安全性的综合策略(1)有些应用使用SSL/TLS，为WebService申请一个证书WebServer往往是网络攻击的入口点为了提供WebService，必须要开放端口和一些目录，还要接受各种正常的连接请求防火墙对WebServer的保护是有限的WEB安全性的综合策略(2)及时打上WebServer软件厂商提供的补丁程序特别是一些主流的服务软件，比如MS的IIS控制目录和文件的权限Web应用开发人员注意在服务端的运行代码中，对于来自客户端的输入一定要进行验证防止缓冲区溢出Web客户端的安全性客户端安全性涉及到Cookie的设置，保护用户的隐私PKI设置，确定哪些是可信任的CA对可执行代码的限制，包括JavaApplet，ActiveXcontrol客户浏览器的安全设置真的安全吗我们有必要了解这些安全性FTP安全FTP的一些特性FTP的包过滤方式FTP服务形态FTP服务的安全性FTP服务器的安全配置FTP的特性与目标促进文件（程序或数据）的共享支持间接或隐式地使用远程计算机帮助用户避开主机上不同的可靠并有效地传输数据FTP的包过滤方式

FTP使用两个独立的TCP连接一个在服务器和客户程序之间传递命令和结果（通常称为命令通道）另一个用来传送真实的文件和目录列表（通常称为数据通道）多数FTP服务器和客户程序都支持“反向方式”或“PASV方式”FTP服务形态匿名服务（AnonymousService）FTP代理：允许第三方文件传输针对FTP的攻击FTP跳转攻击无访问控制密码截获端口盗用Wu-ftp的配置文件

/etc//etc//etc//etc//etc//etc/#catroothenrytestJacky-zhuroot、henry、test、Jacky-zhu用户不能ftp登陆该文件夹中包含的用户不能通过FTP登录服务器，有时将需要禁止的用户账号写入文件/etc/中，这样就可以禁止一些用户使用FTP服务/etc/

:.Z:::/bin/compress-d-c%s:T_REG|T_ASCII:O_UNCOMPRESS:UNCOMPRESS:::.Z:/bin/compress-c%s:T_REG:O_COMPRESS:COMPRESS:.gz:::/bin/gzip-cd%s:T_REG|T_ASCII:O_UNCOMPRESS:GUNZIP:::.gz:/bin/gzip-9-c%s:T_REG:O_COMPRESS:GZIP:::.tar:/bin/tar-c-f-%s:T_REG|T_DIR:O_TAR:TAR:::.tar.Z:/bin/tar-c-Z-f-%s:T_REG|T_DIR:O_COMPRESS|O_TAR:TAR+COMPRESS:::.tar.gz:/bin/tar-c-z-f-%s:T_REG|T_DIR:O_COMPRESS|O_TAR:TAR+GZIP:::.crc:/bin/cksum%s:T_REG::CKSUM:::.md5:/bin/md5sum%s:T_REG::MD5SUM用来配置压缩/解压缩程序/etc/文件(1)classallreal,guest,anonymous*limitall10Any/etc/msgs/msg.deadreadmeREADME*loginreadmeREADME*cwd=*message/welcome.msgloginmessage.messagecwd=*compressyesalltaryesalllogcommandsreallogtransfersanonymous,realinbound,outboundshutdown/etc/shutmsgemailuser@hostnameWu-ftpd的三种ftp登录方式包括的主要内容：1.class[…]类定义与控制2.limit[…]限制控制3.deny[…]否决控制4.byte-limi