因特网服务安全防范策略

1 常见的因特网安全威胁

目前在因特网上所发上的攻击主要分为以下两大类。

1.1 网络入侵

网络入侵是黑客获得了对计算机信息系统未经授权的访问时发生的, 这可以通过多种方式实现。Unauthorized access和eavesdropping是两种主要网络入侵类型。

1.2 拒绝服务攻击

拒绝服务攻击和分布式拒绝服务攻击是指不断地对网络服务系统进行干扰, 影响其正常的作业流程, 甚至使信息网络系统超负荷运转直至瘫痪, 使合法用户不能正常使用信息网络系统。

2 web服务安全策略

WWW是一种促成因特网飞跃发展的技术。Web服务器运行超文本传输协议服务。HTTP是一种使用TCP作为传输协议的应用层协议。除了HTTP之外, 还有一种安全超文本传输协议HTTPS, 它使用客户机到服务器的加密方式, 对通常以明文形式在HTTP客户机和HTTP服务器之间传输的数据进行加密。

2.1 web服务器的安全漏洞

web服务器的安全漏洞一般有如下几种:操作系统本身的漏洞、明文或弱口令漏洞、CGI安全方面的漏洞。

2.2 Web服务器受到的安全威胁

W EB服务器上拥有H T T P服务, 并将HTML页面提交给浏览他们的因特网客户, 这种客户机或服务器关系的本质使WEB服务器成为一个被滥用的攻击目标。该服务器可以通过一个特定的IP地址和易个特定的端口来寻址。

DOS攻击都是针对WEB服务器而进行的, 这种攻击影响到这个因特网的服务。

2.3 web服务器安全策略

正是Web服务器控制系统本身导致了安全性问题, 任何在服务器上运行的HTTP服务之外的服务都增加了与服务器有关的安全风险。保护Web服务器的最佳方法是在公共网络和Web服务器之间实施防火墙, 这样Web服务器可以位于一个未用网段上, 并且防火墙上运行的NAT可以将Web服务器的其他IP地址隐藏起来, 由此提供了附加的安全性。另外, 防火墙应当被进一步配置为只有在所需要的端口上允许对WEB服务器的访问, 通常, 对于普通的HTTP数据流而言, 这些端口为80, 如果WEB站点使用HTTPS和HTTP, 这些端口为443。

3 FTP服务器安全策略

文件传输协议FTP时一个提供主机之间文件共享功能的应用层服务。

3.1 FTP服务器受到的安全威胁

FTP内置的认证系统使用一个用户名和密码, 这些身份的信息是以明文形式传输到FTP服务器。当跨越一个公共的、不被信任的网络访问一个远程FTP服务器时, 导致显而意见的安全威胁:如果FTP用户和密码被截获, 则攻击者将利用该用户的密码访问服务器的文件目录, 这样会引发灾难性的后果。

3.2 FTP服务器安全策略

根据FTP规范定义的“代理FTP”机制, 即服务器间交互模型。支持客户建议一个FTP控制连接, 然后在两个服务器间传送文件。虽然FTP规范中对使用TCP的端口号没有任何限制, 但从0～1023的TCP端口保留用于众所周知的网络服务, 所以, 通过“代理FTP”, 客户可以命令FTP服务器攻击任何一台机器上的服务。另外, 当客户发送一个包含被攻击的机器和服务的网址及端口的FTP“PORT”命令时。客户要求FTP服务器向被攻击的服务发送一个文件, 文件中应包含于被攻击的服务相关的命令 (如SMTP.NNTP) 。由于不是直接连接, 而是命令第三方去连接, 这样不仅使跟踪攻击者变得困难, 还能避开基于网络地址的访问限制。

在FTP标准中, FTP服务器允许无限次输入密码, 而且PASS命令又以明文传送密码, 这对密码的保护是一个很大的漏洞, 给攻击者提供了千载难逢的机会。

密码明文传输的问题可以用FTP扩展中防止切丁的认证机制解决。

在FTP标准中, 所有在网上被传输的数据和信息都未被加密。为了保障FTP传输数据的保密性, 应尽可能地使用强壮的加密系统。

FTP规范中对FTP端口号的分配虽然没有任何限制, 但当使用操作系统相关的方法分配端口时, 通常都是按增序分配的。这显然为攻击者对端口的盗用创造了有利的条件。攻击者利用其端口号分配的规律, 根据当前端口的分配情况, 确定要分配的端口。这样, 攻击者就能预先占领端口, 让合法用户无法分配、窃听信息、伪造信息。防范的策略是:由操作系统无关的方法随即分配端口号, 让攻击者无法预测。

4 电子邮件服务器安全

4.1 电子邮件服务器受到的安全威胁

常见的一种对电子邮件系统滥用方式是垃圾邮件。垃圾邮件是一种未被主动请求而提供的邮件, 其危害颇大, 他占用网络宽带, 造成邮件服务器拥塞, 进而降低整个网络运行效率, 他侵犯收件人的隐私权, 侵占收件人的信箱空间;它被黑客利用成助纣为虐的工具;他进行反动宣传、传播色情等内容, 已经给现实社会造成了危害。因特网电子邮件服务器和其他服务器一样, 也易遭受DOS攻击和DDOS攻击, 这种攻击将使电子邮件服务器对于邮件用户不可再用。

4.2 电子邮件服务器安全措施

在因特网电子邮件服务器和公共网络之间设置防火墙是减少电子邮件服务器受威胁的最容易的方式, 防火墙应当被配置为限制对特定端口的访问, 这些端口用于电子信箱通信。操作系统和在服务器上所运行的电子邮件应用程序应该安装最新的服务补丁和安全性补丁程序, 这样可确保在操作系统和应用程序中已有的安全性弱点能够得到保护。

5 后端服务器安全

5.1 后端服务器受到的安全威胁

祸端服务器除非特别需要, 一般不能从因特网上访问。如果某个后端服务器被连接到公众网上, 则它将会把服务器上操作系统和所运行的应用程序的安全性弱点暴露给公众。

5.2 后端服务器安全措施

消除后端服务器所受威胁的最简单的方法是将他们放置在防火墙之后的未用网络中, 并且不为他们提供魏永地址到公共地址的静态转换条件。

如果后端服务器确实需要被访问则将他们放置在防火墙之后, 并且应当将访问限制设置为之允许访问所需要的特定端口。这样可以减少由于允许从因特网访问后端服务器所带来的风险。另外, 在后端服务器上应当安装最新的服务补丁和安全性补丁, 以确保没有可被黑客利用的安全性特点。

摘要：本文将对因特网上的安全服务, 包括Web服务、文件传输协议服务、E-mail服务和DNS服务等, 以及针对每一种服务的安全威胁和防范策略加以讨论。

关键词：因特网,安全威胁,策略

参考文献

[1] 彭澎.信息安全团队构建于管理[M].北京:机械工业出版社, 2004.

[2] 徐超汉.计算机网络安全实用技术[M].北京:电子工业出版社, 2005.