警惕細節(jié) Web架構配置無小事

申請免費試用、咨詢電話：400-8352-114

不用默認密碼

企業(yè)有多少關鍵系統(tǒng)和應用擁有Web接口？據CyberDefenses公司的負責人Phil Dolbow聲稱，如今幾乎每個系統(tǒng)和應用都擁有Web接口。Web接口很普遍，但如果配置不正確就有可能遭到破壞，因為有許多企業(yè)在安裝好系統(tǒng)后沒有更改默認的登錄憑證（credential）。Dolbow所在的咨詢公司專門提供信息保障及IT安全的信息服務，所開展的工作絕大部分是與聯(lián)邦政府（主要是軍方）合作的。他概述了在許多客戶那里看到的不正確配置Web接口的常見問題，還建議該如何解決此類問題。

“這類問題見多了。總的來說，我發(fā)現(xiàn)的問題大家都能猜得出來，比如缺少用戶培訓、系統(tǒng)配置不當或安全項目缺少資金。常常見到的最大問題其實是很容易被發(fā)現(xiàn)、很容易解決的，但如果不能發(fā)現(xiàn)則會帶來嚴重隱患: 那就是Web接口。我們在進行評估時，總是掃描尋找沒有設置好的Web接口。如今，幾乎每個系統(tǒng)都有Web接口; 存儲區(qū)域網絡（SAN）、不間斷電源（UPS）系統(tǒng)、打印機、警報系統(tǒng)、電話、備份系統(tǒng)、服務器等等硬件設備。要是在默認憑證的情況下啟用這些Web接口，就有可能出現(xiàn)很嚴重的問題?！?/P>

Dolbow說，下面這幾個例子是多次發(fā)生的問題。某公司之前沒有用過存儲區(qū)域網絡，但業(yè)務對磁盤空間的需求不斷增長，他們最近也買了一個。公司內沒人知道該如何配置SAN，而供應商又堅持安裝了系統(tǒng)，并讓客戶自行設置所安裝系統(tǒng)上的用戶名和密碼。該公司在安裝好系統(tǒng)之后，再也很少關注配置問題，結果有一個關鍵任務設備始終使用默認的出廠登錄憑證。這是非常危險的，許多公司如此簡單地配置關鍵系統(tǒng)。不懷好意的人有可能破壞邏輯單元號（LUN）、刪除數(shù)據，這會引發(fā)各種問題。

同一種場景還出現(xiàn)在對待不間斷電源系統(tǒng)的問題上。不久前，CyberDefenses公司評估了一家在IT配置以及在安全上不惜下血本的大型政府機構，它們擁有最安全的系統(tǒng)。在CyberDefenses評估前的幾個月，該機構請IT承包商更換了所有UPS系統(tǒng)，包括為其主計算機機房的所有關鍵服務器提供電源保障的幾臺UPS。IT承包商把這些UPS系統(tǒng)連接到網絡上，以便可以遠程管理及監(jiān)測這些系統(tǒng)。Dolbow顯示了一份客戶報告的屏幕截圖，表明他們可以隨意登錄到Web接口（借助管理員權限，使用默認憑證）。當鼠標光標懸浮在關鍵業(yè)務的關閉按鈕上可隨時結束進程時，這才能足夠引起客戶的注意。

解決方案

針對此種情況，解決辦法如下:

1. 對Web服務器/接口定期執(zhí)行端口掃描;

2. 如果Web接口沒有必要，就關閉這項服務;

3. 更改憑證、盡量使用https訪問;

4. 只允許授權的管理員工作站可以訪問;

5. 加強防火墻限制;

6. 監(jiān)測日志。

分配不同權限

員工擁有的系統(tǒng)訪問權限是否會導致企業(yè)面臨安全風險？一家大型制造公司的高級IT經理詳細講述了他如何重新配置訪問生產系統(tǒng)的機制，以便限制性更強、更容易審計。

“我們IT員工大多可以使用‘用戶賬戶’全面訪問所有生產系統(tǒng)。測試人員在一次安全審計和滲透測試中抓住了這個漏洞，最后擁有了公司的Windows Domain以及大多數(shù)生產數(shù)據庫服務器的訪問權限?，F(xiàn)在，我們從域管理員、數(shù)據庫管理員賬戶及Application Root Account等賬戶中取消了每個人的‘用戶賬戶’。如果技術系統(tǒng)管理員讓敏感的系統(tǒng)和數(shù)據需要常規(guī)訪問，就要設置不同的賬戶來訪問，并使用安全性很強的密碼。我們使用一些審計工具和Cyber Ark公司的密碼保險箱工具，以便審計該賬戶的所有使用活動?！?/P>

該IT管理人員說，他們的許多應用/數(shù)據庫管理人員需要對生產系統(tǒng)進行大量不太常規(guī)的訪問。對這些系統(tǒng)而言，他們取消了所有常規(guī)的管理員訪問，而換成了選擇性的“應急賬戶”（firefighter accounts），這類賬戶比較普通。這些賬戶存儲在密碼保險箱中，由一個強密碼加以保護。還有這樣一個過程: 輸入票證（ticket），獲得審批，并記錄在他們的票證記錄系統(tǒng)中。對于高度敏感的項目，密碼保險箱還要求實施幾道審批環(huán)節(jié); 還需要輸入基本的票證編號、說明理由，從而在增強了票證記錄系統(tǒng)之后才可發(fā)放密碼。密碼發(fā)放后系統(tǒng)可進行設置，在一段時間后自動重置; 或在請求者“將密碼返回入庫”后重置。

解決方案

一般來說，密碼保險箱控制著服務器和PC系統(tǒng)上嵌入式的本地管理員賬戶、服務賬戶以及嵌入到系統(tǒng)中的數(shù)據庫訪問賬戶和應用賬戶。這些賬戶通常從來不會受到密切關注。在過去，不破壞許多系統(tǒng)就無法更改密碼。許多企業(yè)采用密碼保險箱工具對這些賬戶和密碼進行控制后，可以順利地定期輪換。

最后，當然是需要備份，有了這些賬戶和密碼的副本以便災難恢復。如果采用這樣的策略，企業(yè)的災難恢復以及業(yè)務連續(xù)性計劃也更嚴密了，可進一步配置系統(tǒng)。

處理好隱私難題

如果驗證機制和數(shù)據被設置成面向特定客戶的，用戶能把Web系統(tǒng)作為門戶來運行嗎？美國中西部一家商業(yè)管理咨詢公司的高級.Net架構師James Ashbaugh當時就遇到了這個問題。這家公司有幾個客戶在運行相同的系統(tǒng)代碼，而數(shù)據存放在不同的物理設備中。由于他們的客戶都是同行業(yè)內相互競爭的企業(yè)，所以數(shù)據完整性至關重要，Ashbaugh關注的是如何正確配置系統(tǒng)。

他們使用的系統(tǒng)環(huán)境如下。

●  約500至1000個外部用戶通過思杰產品來連接;

●  微軟網絡;

●  面向域控制器、Web Servers和SQL Servers的Windows 2003 Server;

●  SQL Server 2008。

門戶網站基于客戶端、用戶角色和客戶數(shù)據庫數(shù)據運行。微軟為ASP .Net提供了一個豐富、基于角色的模型，但該模型不是為了在門戶架構下運行而設計的。于是，Ashbaugh 結合了微軟在ASP.Net安全、活動目錄賬戶/群組和SQL Security中提供的功能。

現(xiàn)在面臨的難題是: 公司有多個相互競爭的客戶在運行相同的系統(tǒng)代碼，但數(shù)據存放在不同的物理SQL設備中（使用客戶特定的數(shù)據庫名稱）。所以，雖然大家都運行相同的Web應用和中間層，但在數(shù)據庫層面卻具有客戶特定性（大家使用相同的數(shù)據庫模型）。切記: 客戶通過思杰產品來連接至公司網絡，所以就需要使用單次登錄（即使思杰產品負責處理DMZ驗證，但它并不處理Web應用的表單驗證）。明白那些客戶在同一個行業(yè)很重要，所以必須確保數(shù)據的完整性，因為這涉及到競爭優(yōu)勢。

難題在于，如果驗證機制和數(shù)據被設置成特定客戶的，如何把Web系統(tǒng)作為門戶來驗證、裝載及執(zhí)行？

Ashbaugh的應對方法如下: 在思杰產品中，他們把IE瀏覽器作為一個應用來共享（但通過IE安全設置和登錄腳本，限制客戶對外部Web的瀏覽）。他們不想讓使用服務器的客戶可以上網沖浪，或者對競爭對手發(fā)動攻擊。IE的主頁被設成了他們公司的門戶網站，并使用委托和模擬功能。得到了思杰驗證的用戶，把憑證傳送到門戶的裝載器代碼類。該代碼類啟動驗證過程，以便“驗證”SQL數(shù)據庫。在該數(shù)據庫中，他們對所有的客戶端數(shù)據庫、客戶用戶以及角色都進行了映射。一旦裝載器驗證后發(fā)現(xiàn)這是系統(tǒng)中的活動用戶，裝載器會獲得相應的數(shù)據庫連接信息，然后通過用戶的Web會話進行傳輸。

注意，在裝載的過程中，應該對傳輸?shù)男畔⒓用?，這樣可發(fā)現(xiàn)利用跨站腳本攻擊來獲取其他用戶的會話信息。對會話中的連接信息進行加密意味著，黑客必須實際訪問物理Web服務器，還要在執(zhí)行任何解密算法的時間點來訪問頁面文件或內存塊。由于這種可能性非常小，可以在數(shù)據庫連接層面支持客戶的數(shù)據安全需求。在數(shù)據庫中，所有連接字符串和設置都采用加密形式來存儲，使用客戶特定的私有密鑰（經過加密的數(shù)據來自“驗證”數(shù)據庫）。

所以，鑒于該驗證用戶總是可以訪問數(shù)據庫連接信息，需要安排建立什么樣的數(shù)據庫連接方法。應該把用戶的角色及其他安全設置也存儲在會話中。一旦所有這些前端裝載的邏輯完成，裝載器會連接門戶主頁，并使用來自用戶的數(shù)據庫配置數(shù)據，裝載器就會擴展用戶特定的主頁及內容。

現(xiàn)在，當用戶開始通過請求及更新數(shù)據與系統(tǒng)進行互動時，請求會先調用“控制器”代碼。該代碼被服務調用，以便安排所有的系統(tǒng)事件。它定義了通過配置文件調用的特定存儲過程。然后，使用該名字值就會調用數(shù)據庫層，并請求存儲過程執(zhí)行。

解決方案

通過設置SQL Server用戶，讓存儲過程適合角色，從而便于執(zhí)行存儲過程。所以，如果某用戶不在“項目用戶組”中，該用戶不可以執(zhí)行“GetActiveInventoryItems”存儲過程。

在SQL Server 2008中，用戶可以結合存儲過程中的#C代碼，所以企業(yè)可排列基于映射用戶角色而返回的特定數(shù)據字段。網頁上的控件可自動創(chuàng)建，以支持返回的用戶特定內容。這意味著: 要是有一批項目，但只有兩列允許該用戶訪問，就要針對這個角色特定的數(shù)據來調整控件。