Web服務(wù)器的安全性.ppt

Web服務(wù)器的安全性,1 HTTP協(xié)議及Web服務(wù),HTTP協(xié)議是通用的，無狀態(tài)的，其系統(tǒng)建設(shè)與傳輸?shù)臄?shù)據(jù)無關(guān)。HTTP也是面向?qū)ο蟮膮f(xié)議，可用于各種任務(wù)，包括名字服務(wù)、分布式對象管理、請求方法的擴(kuò)展、命令等。 Web帳戶的快速訪問、開放及無狀態(tài)的特性，使得其控制和保護(hù)變的非常困難。,2 Web服務(wù)器的創(chuàng)建,安裝IIS 控制面板添加/刪除程序添加/刪除Windows組件IIS,2.1 IIS安全安裝,要構(gòu)建一個安全的IIS服務(wù)器，必須從安裝時就充分考慮安全問題。 1. 不要將IIS安裝在系統(tǒng)分區(qū)上。 2. 修改IIS的安裝默認(rèn)路徑 3. 打上Windows和IIS的最新補(bǔ)丁。,2.2 IIS的安全配置,1. 刪除不必要的虛擬目錄 IIS安裝完成后在wwwroot下默認(rèn)生成了一些目錄，包括IISHelp、IISAdmin、IISSamples、MSADC等，這些目錄都沒有什么實際的作用，可直接刪除。 2. 刪除危險的IIS組件 默認(rèn)安裝后的有些IIS組件可能會造成安全威脅，例如 Internet服務(wù)管理器(HTML)、SMTP Service和NNTP Service、樣本頁面和腳本，大家可以根據(jù)自己的需要決定是否刪除。 3. 為IIS中的文件分類設(shè)置權(quán)限 除了在操作系統(tǒng)里為IIS的文件設(shè)置必要的權(quán)限外，還要在IIS管理器中為它們設(shè)置權(quán)限。一個好的設(shè)置策略是：為Web 站點上不同類型的文件都建立目錄，然后給它們分配適當(dāng)權(quán)限。例如：靜態(tài)文件文件夾允許讀、拒絕寫，ASP腳本文件夾允許執(zhí)行、拒絕寫和讀取，EXE等可執(zhí)行程序允許執(zhí)行、拒絕讀寫。,2.2 IIS的安全配置,4. 刪除不必要的應(yīng)用程序映射 ISS中默認(rèn)存在很多種應(yīng)用程序映射，除了ASP的這個程序映射，其他的文件在網(wǎng)站上都很少用到。 在“Internet服務(wù)管理器”中，右擊網(wǎng)站目錄，選擇“屬性”，在網(wǎng)站目錄屬性對話框的“主目錄”頁面中，點擊配置按鈕，彈出“應(yīng)用程序配置”對話框，在“應(yīng)用程序映射”頁面，刪除無用的程序映射。如果需要這一類文件時，必須安裝最新的系統(tǒng)修補(bǔ)補(bǔ)丁，并且選中相應(yīng)的程序映射，再點擊編輯按鈕，在“添加/編輯應(yīng)用程序擴(kuò)展名映射”對話框中勾選“檢查文件是否存在”選項。這樣當(dāng)客戶請求這類文件時，IIS會先檢查文件是否存在，文件存在后才會去調(diào)用程序映射中定義的動態(tài)鏈接庫來解析。,2.2 IIS的安全配置,5. 保護(hù)日志安全 日志是系統(tǒng)安全策略的一個重要環(huán)節(jié)，確保日志的安全能有效提高系統(tǒng)整體安全性。 修改IIS日志的存放路徑 默認(rèn)情況下，IIS的日志存放在%WinDir%System32LogFiles，黑客當(dāng)然非常清楚，所以最好修改一下其存放路徑。在“Internet服務(wù)管理器”中，右擊網(wǎng)站目錄，選擇“屬性”，在網(wǎng)站目錄屬性對話框的“Web站點”頁面中，在選中“啟用日志記錄”的情況下，點擊旁邊的屬性按鈕，在“常規(guī)屬性”頁面，點擊瀏覽按鈕或者直接在輸入框中輸入日志存放路徑即可。 修改日志訪問權(quán)限，設(shè)置只有管理員才能訪問。,3 Web服務(wù)器與操作系統(tǒng),要創(chuàng)建一個安全可靠的Web服務(wù)器，必須要實現(xiàn)Windows 2000和IIS的雙重安全，因為IIS的用戶同時也是Windows 2000的用戶，并且IIS目錄的權(quán)限依賴Windows的NTFS文件系統(tǒng)的權(quán)限控制，所以保護(hù)IIS安全的第一步就是確保Windows 2000操作系統(tǒng)的安全,3 Web服務(wù)器與操作系統(tǒng),1. 使用NTFS文件系統(tǒng)，以便對文件和目錄進(jìn)行管理。 2. 關(guān)閉默認(rèn)共享 3. 修改共享權(quán)限 建立新的共享后立即修改Everyone的缺省權(quán)限，不讓W(xué)eb服務(wù)器訪問者得到不必要的權(quán)限。 4. 為系統(tǒng)管理員賬號更名，避免非法用戶攻擊。,3 Web服務(wù)器與操作系統(tǒng),5. 禁用TCP/IP 上的NetBIOS 6. TCP/IP上對進(jìn)站連接進(jìn)行控制 鼠標(biāo)右擊桌面上網(wǎng)絡(luò)鄰居 屬性 本地連接 屬性，打開“本地連接屬性”對話框。選擇Internet協(xié)議(TCP/IP)屬性高級選項，在列表中單擊選中“TCP/IP篩選”選項。單擊屬性按鈕，選擇“只允許”，再單擊添加按鈕，只填入80端口。 7. 修改注冊表，減小拒絕服務(wù)攻擊的風(fēng)險。 打開注冊表：將HKLMSystemCurrentControlSetServicesTcpipParameters下的SynAttackProtect的值修改為2，使連接對超時的響應(yīng)更快。,4 SSL安全機(jī)制,IIS的身份認(rèn)證除了匿名訪問、基本驗證和Windows NT請求/響應(yīng)方式外，還有一種安全性更高的認(rèn)證：通過SSL（Security Socket Layer）安全機(jī)制使用數(shù)字證書。,4.1 SSL的概念,SSL（加密套接字協(xié)議層）位于HTTP層和TCP層之間，建立用戶與服務(wù)器之間的加密通信，確保所傳遞信息的安全性。SSL是工作在公共密鑰和私人密鑰基礎(chǔ)上的，任何用戶都可以獲得公共密鑰來加密數(shù)據(jù)，但解密數(shù)據(jù)必須要通過相應(yīng)的私人密鑰。使用SSL安全機(jī)制時，首先客戶端與服務(wù)器建立連接，服務(wù)器把它的數(shù)字證書與公共密鑰一并發(fā)送給客戶端，客戶端隨機(jī)生成會話密鑰，用從服務(wù)器得到的公共密鑰對會話密鑰進(jìn)行加密，并把會話密鑰在網(wǎng)絡(luò)上傳遞給服務(wù)器，而會話密鑰只有在服務(wù)器端用私人密鑰才能解密，這樣，客戶端和服務(wù)器端就建立了一個惟一的安全通道。,4.2 SSL建立的步驟,啟動ISM并打開Web站點的屬性頁； 選擇“目錄安全性”選項卡； 單擊“密鑰管理器”按鈕； 通過密鑰管理器生成密鑰對文件和請求文件； 從身份認(rèn)證權(quán)限中申請一個證書； 通過密鑰管理器在服務(wù)器上安裝證書； 激活Web站點的SSL安全性。,4.3 SSL的安全性能評價,建立了SSL安全機(jī)制后，只有SSL允許的客戶才能與SSL允許的Web站點進(jìn)行通信，并且在使用URL資源定位器時，輸入https:/ ，而不是http:/ 。 SSL安全機(jī)制的實現(xiàn)，將增大系統(tǒng)開銷，增加了服務(wù)器CPU的額外負(fù)擔(dān)，從而降低了系統(tǒng)性能，在規(guī)劃時建議僅考慮為高敏感度的Web目錄使用。另外，SSL客戶端需要使用IE 3.0及以上版本才能使用。,5 使用IIS Lockdown,一、注意事項 IIS Lockdown會改變IIS的運(yùn)行方式，因此很可能與依賴IIS某些功能的應(yīng)用沖突。另外，在正式應(yīng)用IIS Lockdown或URLScan之前，務(wù)必搜索微軟的知識庫，收集可能出現(xiàn)問題的最新資料。掌握這些資料并了解其建議之后，再在測試服務(wù)器上安裝IISLockdown，全面測試Web應(yīng)用需要的IIS功能是否受到影響。最后，做一次全面的系統(tǒng)備份，以便在系統(tǒng)功能受到嚴(yán)重影響時迅速恢復(fù)。,5.2 安裝,將iislockd.exe下載到一個臨時目錄。 打開控制臺窗口，進(jìn)入臨時目錄，執(zhí)行命令“iislockd.exe /q /c /t:c:IISLockdown”解開壓縮，/q要求以“安靜”模式操作，/c要求IIS Lockdown只執(zhí)行提取文件的操作，和-t選項一起使用，-t選項指定了要把文件解壓縮到哪一個目錄,6 Web客戶安全,IE插件安全 Java與JavaScript安全 Cookies安全 ActiveX安全,7 網(wǎng)絡(luò)釣魚,發(fā)送電子郵件，以虛假信息引誘用戶中圈套。 二是建立假冒網(wǎng)上銀行、網(wǎng)上證券網(wǎng)站，騙取用戶賬號密碼實施盜竊。 利用虛假的電子商務(wù)進(jìn)行詐騙。 利用木馬和黑客技術(shù)等手段竊取用戶信息后實施盜竊活動。 跨站釣魚 Windows特性惹的禍：危險的HOSTS文件 系統(tǒng)升級補(bǔ)丁：騙子的魚餌,7.1 遠(yuǎn)離釣魚,一、針對電子郵件欺詐， 一是偽造發(fā)件人信息，如ABC； 二是問候語或開場白往往模仿被假冒單位的口吻和語氣，如“親愛的用戶”； 三是郵件內(nèi)容多為傳遞緊迫的信息，如以賬戶狀態(tài)將影響到正常使用或宣稱正在通過網(wǎng)站更新賬號資料信息等； 四是索取個人信息，要求用戶提供密碼、賬號等信息。 還有一類郵件是以超低價或海關(guān)查沒品等為誘餌誘騙消費(fèi)者。,7.1 遠(yuǎn)離釣魚,二、針對假冒網(wǎng)上銀行、網(wǎng)上證券網(wǎng)站的情況 一是核對網(wǎng)址，看是否與真正網(wǎng)址一致； 二是選妥和保管好密碼， 三是做好交易記錄， 四是管好數(shù)字證書， 五是對異常動態(tài)提高警惕，如不小心在陌生的網(wǎng)址上輸入了賬戶和密碼，并遇到類似“系統(tǒng)維護(hù)”之類提示時，應(yīng)立即撥打有關(guān)客服熱線進(jìn)行確認(rèn) 六是通過正確的程序登錄支付網(wǎng)關(guān)，通過正式公布的網(wǎng)站進(jìn)入，不要通過搜索引擎找到的網(wǎng)址或其他不明網(wǎng)站的鏈接進(jìn)入。,7.1 遠(yuǎn)離釣魚,針對虛假電子商務(wù)信息的情況， 一是虛假購物、拍賣網(wǎng)站看上去都比較“正規(guī)”， 二是交易方式單一，消費(fèi)者只能通過銀行匯款的方式購買，且收款人均為個人，而非公司，訂貨方法一律采用先付款后發(fā)貨的方式； 三是詐取消費(fèi)者款項的手法如出一轍，當(dāng)消費(fèi)者匯出第一筆款后，騙子會來電以各種理由要求匯款人再匯余款、風(fēng)險金、押金或稅款之類的費(fèi)用，否則不會發(fā)貨， 四是在進(jìn)行網(wǎng)絡(luò)交易前，要對交易網(wǎng)站和交易對方的資質(zhì)進(jìn)行全面了解,7.1 遠(yuǎn)離釣魚,其他網(wǎng)絡(luò)安全防范措施。 一是安裝防火墻和防病毒軟件，并經(jīng)常升級； 二是注意經(jīng)常給系統(tǒng)打補(bǔ)丁，堵塞軟件漏洞； 三是禁止瀏覽器運(yùn)行JavaScript和ActiveX代碼； 四是不要上一些不太了解的網(wǎng)站，不要執(zhí)行從網(wǎng)上下載后未經(jīng)殺毒處理的軟件，不要打開msn或者QQ上傳送過來的不明文件等； 五是提高自我保護(hù)意識，注意妥善保管自己的私人信息，如本人證件號碼、賬號、密碼等，不向他人透露；盡量避免在網(wǎng)吧等公共場所使用網(wǎng)上電子商務(wù)服務(wù),8 間諜軟件,當(dāng)瀏覽器關(guān)閉時(有時候甚至都沒有連接到互聯(lián)網(wǎng))，會出現(xiàn)彈出廣告。當(dāng)打開瀏覽器時，一個像HotO的網(wǎng)站出現(xiàn)了，而不是我們內(nèi)部網(wǎng)的主頁。 有最新的殺毒軟件，并且沒有發(fā)現(xiàn)病毒。使用查殺間諜軟件的工具“SpyBot Search & Destroy ”進(jìn)行掃描之后，發(fā)現(xiàn)一些不熟悉的文件，刪除這些文件。但是，這樣并沒有解決這些問題。,8.1 如何防范間諜軟件,Windows補(bǔ)丁一發(fā)布就要立即使用。 企業(yè)防火墻和基于本地軟件的防火墻必須能夠保護(hù)每一臺計算機(jī)。 IE瀏覽器的設(shè)置必須是非常安全的。 每臺計算機(jī)至少安裝兩種間諜軟件清除工具，如Spybot - Search & Destroy和Ad-Aware。,8.1 如何防范間諜軟件,應(yīng)該安裝Javacool軟件公司的SpywareBlaster軟件，以阻止已知的惡意ActiveX控件在每一臺計算機(jī)上運(yùn)行。 每一臺計算機(jī)應(yīng)該安裝一個好的殺毒軟件。 殺毒軟件、SpywareBlaster和間諜軟件清除程序必須不斷更新新的惡意軟件的定義。 創(chuàng)建一個互聯(lián)網(wǎng)安全使用行為規(guī)范的指南。例如，用戶永遠(yuǎn)不要點擊彈出式廣告，永遠(yuǎn)不要打開來源不明的電子郵件的附件，一定要閱讀要安裝的軟件中的細(xì)則。,FTP服務(wù)的安全性能,1 IIS中的FTP服務(wù),Windows 2000系統(tǒng)的IIS5.0提供 了FTP服務(wù)功能，由于它的簡單易用，與Windows系統(tǒng)本身結(jié)合緊密，深受廣大用戶的喜愛。但使用IIS5.0架設(shè)的FTP服務(wù)器真的安全嗎？它的默認(rèn)設(shè)置其實存在很多安全隱患，很容易成為黑客們的攻擊目標(biāo)。,FTP安全性能的一些簡單控制,一 取消匿名訪問功能 二 啟用日志記錄 三 正確設(shè)置用戶訪問權(quán)限 四 啟用磁盤配額 五 TCP/IP訪問限制 六 合理設(shè)置組策略 1. 審核賬戶登錄事件 在本地安全設(shè)置窗口中，依次展開“安全設(shè)置本地策略審核策略”，然后在右側(cè)的框體中找到“審核賬戶登錄事件”項目 2. 增強(qiáng)賬號密碼的復(fù)雜性 賬戶鎖定,創(chuàng)建SSL證書 要想使用Serv-U的SSL功能，當(dāng)然需要SSL證書的支持才行。雖然Serv-U 在安裝之時就已經(jīng)自動生成了一個SSL證書，但