Windows Server 2003是微軟于2003年3月28日發(fā)布的基于Windows XP/NT5.1開發(fā)的服務(wù)器操作系統(tǒng)���,并在同年4月底上市。相對于Windows 2000 Server做了很多改進(jìn)。Windows Server 2003有多種版本,每種都適合不同的商業(yè)需求。
內(nèi)網(wǎng)應(yīng)用安全以及服務(wù)器的安全一直是眾多中小企業(yè)網(wǎng)絡(luò)管理員所關(guān)心的話題���,大多數(shù)企業(yè)服務(wù)器上都會運行企業(yè)網(wǎng)站���,不管是ASP類站點還是PHP類站點�����,不管是Windows 2000 server還是windows 2003��,也不管是基于MYSQL的數(shù)據(jù)庫還是access又或是SQL server數(shù)據(jù)庫�����,我們都可能遇到最為頭疼的利用數(shù)據(jù)庫及動態(tài)頁面語言漏洞而采取的注入攻擊。每當(dāng)出現(xiàn)注入攻擊后我們都無法快速定位到底是哪個語句哪條指令出現(xiàn)了問題,注入是不可避免的但是如何才能夠做到在第一時間發(fā)現(xiàn)漏洞彌補漏洞呢?下面筆者就從個人實際應(yīng)用出發(fā)為各位IT168安全頻道的讀者介紹如何在服務(wù)器上搭建一套防注入系統(tǒng)。
一 注入入侵采取的手段:
所謂注入入侵實際上就是通過動態(tài)頁面編程語言對數(shù)據(jù)庫的操作來實現(xiàn)入侵的目的,大多數(shù)入侵是建立在動態(tài)頁面編程語言不完善而在對數(shù)據(jù)庫執(zhí)行查詢��,寫入���,讀取等操作時存在問題的基礎(chǔ)上產(chǎn)生的��。要知道通過查詢數(shù)據(jù)庫返回的錯誤信息可以分析出目的站點對應(yīng)數(shù)據(jù)庫中表的具體信息來,通過窮舉法完成數(shù)據(jù)庫��,數(shù)據(jù)表以及字段等信息的暴力破解���。
二 防注入系統(tǒng)建立思路:
不管怎樣注入入侵都必須建立在對數(shù)據(jù)庫執(zhí)行查詢等操作的基礎(chǔ)上完成的��,所以我們可以通過分析和記錄數(shù)據(jù)庫操作來完成對注入入侵的監(jiān)控��,從而知道到底是什么時候什么操作造成的漏洞。
防注入系統(tǒng)正是基于上述思路完成的,我們通過建立一套監(jiān)控系統(tǒng)針對服務(wù)器上站點各個頁面的訪問�����,特別是修改操作進(jìn)行記錄;再針對數(shù)據(jù)庫關(guān)鍵數(shù)據(jù)表關(guān)鍵字段的讀取和訪問進(jìn)行記錄�����,從而快速定位出問題的頁面(被訪問和修改的頁面)和被攻擊的時間(數(shù)據(jù)庫字段讀取訪問時間)�����,從而最大限度的防范注入攻擊的入侵,而另一方面也大大減少了被攻擊站點存活的時間��,在第一時間恢復(fù)原有系統(tǒng)���。
三 用防注入系統(tǒng)統(tǒng)籌管理服務(wù)器群:
筆者使用的防注入系統(tǒng)正是通過上述思路建立起來的�����,通過一臺專門的WEBGUARD服務(wù)器對企業(yè)所有服務(wù)器進(jìn)行監(jiān)控,建立時由于這臺服務(wù)器只負(fù)責(zé)防注入以及監(jiān)控���,所以一定要把這臺WEBGUARD服務(wù)器放置到企業(yè)內(nèi)網(wǎng)中,不要裸露在外網(wǎng)�����,從而避免該服務(wù)器被惡意攻擊���。(如圖1)
圖1
通過WEBGUARD服務(wù)器上的監(jiān)控系統(tǒng)實現(xiàn)對多臺服務(wù)器上網(wǎng)頁文件�����,數(shù)據(jù)庫程序的讀寫與查詢進(jìn)行監(jiān)控和記錄��,從而對入侵者的攻擊一目了然。再針對漏洞進(jìn)行相應(yīng)的彌補操作即可���。
在系統(tǒng)應(yīng)用時我們可以根據(jù)服務(wù)器的安全級別選擇不同的監(jiān)控方式,每個站點可以分別設(shè)置安全級別��,并且結(jié)合網(wǎng)站監(jiān)測時間間隔達(dá)到“準(zhǔn)實時”監(jiān)控的目的��,同時可以指定上載文件時的用戶名和密碼��。另外我們還要指定要監(jiān)測的文件類型,例如ASP��,PHP���,DB等格式的文件都在被監(jiān)控范圍內(nèi)�����,當(dāng)然為了保證服務(wù)器上站點的快速恢復(fù)���,我們可以指定不同站點的頁面?zhèn)浞萋窂揭约白詣觽浞莸闹芷��,這樣可以實現(xiàn)出問題后的自動快速恢復(fù)。
由于這里涉及到相關(guān)產(chǎn)品的使用��,所以不適合在這里放過多的文字內(nèi)容��,感興趣的讀者可以自行搜索相關(guān)產(chǎn)品和相關(guān)防注入系統(tǒng)資料��。
四,總結(jié):
本文主要是從防注入系統(tǒng)的建立角度來討論如何有效的保護(hù)服務(wù)器上網(wǎng)站和數(shù)據(jù)庫的安全���,通過建立一套防注入監(jiān)控體系來保證頁面文件和數(shù)據(jù)庫文件的安全,確保我們企業(yè)網(wǎng)絡(luò)和注入漏洞�����,向注入攻擊說再見���。
