保護 XML Web 服務(wù)免受黑客攻擊(3)

2024-09-05 20:55:52

字體：大中小

供稿：網(wǎng)友

matt powell
microsoft corporation
2001 年 9 月 19 日
在上一篇文章中，我們討論了不同種類的攻擊，以及如何進行配置以免受到攻擊。本文中，我們將集中討論如何進行設(shè)計和開發(fā)，以免受到攻擊。
首先，我想介紹兩個非常好的新工具，它們是 microsoft® 開發(fā)的，可使您的 web 服務(wù)器獲得最大的安全性。iis lockdown tool（英文）可以最大限度地防止可能的攻擊者對您的 microsoft® internet information server (iis) 進行訪問。鎖定工具還提供了“advanced”選項，您可以在其中選擇所需設(shè)置。此外還提供了“rollback changes”選項。當您對所做更改不滿意時可選擇該選項。請嘗試該工具。
另一個重要工具是用于 iis 5.0 的 hotfix checking tool（英文）。該工具會查詢由 microsoft 發(fā)布的所有可用安全性修補程序的 xml 文檔（該文檔是不斷更新的），然后將此文檔與本機安裝的文檔進行比較并報告其差異。使用該工具可以更輕松地管理單個 web 服務(wù)器或大型 web 領(lǐng)域的安全修補程序。

設(shè)計問題

設(shè)計 web 服務(wù)時必須認真考慮安全問題，以及如何能夠使遭受攻擊的危險性降到最低。許多在試圖防止攻擊時可能起作用的因素都可以在設(shè)計時予以考慮。例如考慮如何進行身份驗證，或希望返回哪類錯誤等問題。

確定安全需求

在 xml web 服務(wù)設(shè)計的早期，您需要確定所需的安全級別。某些 xml web 服務(wù)根本不需要身份驗證，而其他服務(wù)對于確定使用該服務(wù)的用戶有非常嚴格的要求。由 xml web 服務(wù)接收和發(fā)送的數(shù)據(jù)需要何種隱私級別？如果某個 xml web 服務(wù)用戶聲明他們未請求您記錄中所指明的服務(wù)，則在工時、處理能力或法律費用方面可能要花費哪些成本？
首先，讓我們來看一下身份驗證。某些種類的身份驗證會比其他身份驗證更容易遭受攻擊。在低端，如果您使用“http 基本身份驗證”，則可以看到網(wǎng)絡(luò)上的數(shù)據(jù)包的所有用戶都能看到您的用戶名和密碼。如果通過 internet 發(fā)送請求，則您無法控制能看到您的數(shù)據(jù)包的用戶。在身份驗證級別的高端，您可以考慮使用 ssl 客戶端證書進行身份驗證，該證書提供了一個編碼的通道，并使數(shù)據(jù)包的惡意攻擊者很難進行攻擊。有關(guān)身份驗證選項的詳細討論，請參閱 at your service 專欄中 mary kirtland 的 authentication and authorization（英文）。
我們已經(jīng)間接提到了身份驗證過程中的隱私問題，當涉及到電子欺騙時您應(yīng)考慮此問題。您還需要知道與所有從 xml web 服務(wù)發(fā)送和接收的數(shù)據(jù)有關(guān)的隱私問題，而不僅僅是用戶名和密碼。例如，您可能會為通過身份驗證的用戶生成一個會話密鑰，該用戶將此密鑰隨每個請求一起發(fā)送以標識自身。如果此密鑰未加密發(fā)送，則數(shù)據(jù)包的惡意攻擊者可以看到此密鑰，并用它向您的 web 服務(wù)發(fā)送自己的請求，這樣您的 web 服務(wù)會將其看作是原來那個合法用戶。
另一個隱私問題是由 web 服務(wù)發(fā)送和接收的簡單數(shù)據(jù)。該數(shù)據(jù)是否因其敏感性強而需要加密？ssl 加密的代價是 web 服務(wù)會發(fā)送和接收整個加密的通道，從而降低性能。您或許可以只加密請求中的敏感項，但您隨后可能需要在客戶端上安裝自定義編寫的軟件以啟用加密/解密。使用 ssl 加密整個通道的一個優(yōu)點是：目前大多數(shù)客戶端平臺都支持基本 ssl 通信，而不需要針對應(yīng)用程序編寫特定代碼。
就基本安全性設(shè)計而言，還必須考慮否認的概念，即一個用戶可以拒絕承認其通過 xml web 服務(wù)執(zhí)行的操作。例如，如果您提供股票交易服務(wù)，而某些人聲稱他們沒有要求您的系統(tǒng)為其出售股票，并且要否認此出售命令。很明顯，與其他服務(wù)相比，某些 xml web 服務(wù)對這種問題可能會更為關(guān)心，但是您應(yīng)該確定您的服務(wù)可能會遇到的危險，以及在方案中應(yīng)采取什么樣的有效措施。
使用安全的身份驗證系統(tǒng)肯定是避免出現(xiàn)這類危險的首要步驟。例如，使用 http 基本身份驗證可能是不安全的，但是通過使用 ssl 的加密通道來使用此身份驗證則是安全的。如果用戶使用空密碼或容易猜到的密碼，即使具有安全的身份驗證系統(tǒng)也是沒有用的。強制使用強加密密碼是防止出現(xiàn)此類問題的重要步驟?？傊?，用戶和服務(wù)執(zhí)行者都有責任防止密碼泄露。
最后，如果不審核通過服務(wù)發(fā)生的事件，當出現(xiàn)否認情況時，安全的身份驗證和強加密密碼都是毫無意義的。當事務(wù)中存在否認威脅時，應(yīng)記錄這些事務(wù)及其用戶、時間、日期等足夠多的信息以標識事務(wù)的詳細信息。否則，當出現(xiàn)爭論時，您可能缺少足夠的證據(jù)以證實您的觀點。

審核、報告和監(jiān)視

審核對減少否認危險程度起著重要的作用；在識別其他種類的攻擊過程中，也起著關(guān)鍵作用。例如，如果不是您的審核記錄中的統(tǒng)計數(shù)據(jù)表明您的服務(wù)存在異常使用情況，您可能根本意識不到您的服務(wù)正在遭受攻擊。例如，您是否注意到某個人正在對登錄方式進行字典攻擊？所以，我們將講述在審核、報告和監(jiān)視時需要考慮的問題，以保護 xml web 服務(wù)免受攻擊。
審核的概念就是記錄所發(fā)生的每個事件的所有信息。但是，當通過 xml web 服務(wù)的數(shù)據(jù)量很大時，此想法可能是不切實際的。審核記錄至少應(yīng)包括所有請求的時間、日期和 ip 地址。如果 xml web 服務(wù)經(jīng)過身份驗證，您需要在每個審核記錄中包括用戶名。如果您的服務(wù)支持多種方法或消息格式，您需要標識調(diào)用的是哪一個。最后，您需要包括足夠的信息以滿足您標識調(diào)用詳細信息的需要。例如，如果 xml web 服務(wù)使用了一種方法，您可能希望記錄傳遞給該方法的所有參數(shù)。
您還需要考慮其他需要，例如當站點遭到攻擊時您可能需要回滾事務(wù)。而且，您的審核記錄往往是某些報告的最佳信息源。由于審核記錄可能相當大，您需要協(xié)調(diào)審核設(shè)計和備份策略。
審核處理的是通過您的服務(wù)同時發(fā)生的所有事件的記錄，報告則是向用戶、操作員和管理員匯報系統(tǒng)的使用信息。報告是保護 xml web 服務(wù)免受攻擊的一個重要部分，因為通過它可以觀察服務(wù)的使用情況。一種主要的報告類型是報告發(fā)生的錯誤。報告 xml web 服務(wù)所遇到的錯誤的能力是最重要的。同樣，您還需要報告那些可能指出惡意客戶端企圖的錯誤。例如，如果所接收請求中的某個參數(shù)是一個異常的長字符串，則您需要以一種容易引人注意的方式來報告該錯誤。對于這種類型的錯誤，您應(yīng)該在應(yīng)用程序事件日志中創(chuàng)建事件，這樣可以相應(yīng)地對它們進行監(jiān)視。有關(guān)如何將事件寫入事件日志的詳細信息，請參閱操作系統(tǒng)平臺 sdk 中的 event logging（英文）。
另一種對您的服務(wù)至關(guān)重要的報告類型是匯總服務(wù)使用情況的報告。它應(yīng)該有兩種形式：首先，創(chuàng)建供您個人進行分析的全局報告，您可以使用該報告檢測使用級別或異常模式。應(yīng)該對正常報告的外觀具有足夠的了解，這樣您才能夠發(fā)現(xiàn)異常使用的情況。其次，需要為您的用戶提供報告。您的用戶還應(yīng)能夠監(jiān)視他們對服務(wù)的使用情況。很有可能出現(xiàn)這樣的情況：在全局報告中未記錄攻擊行為，而個別用戶卻能立即在其各自的報告中發(fā)現(xiàn)問題。
如果 xml web 服務(wù)正在 internet information server (iis) 上運行，那么我們就有必要提及一種能免費得到的非常有用的報告類型。即，為所有傳入的 http 請求（包括對您服務(wù)的請求）進行的 iis 日志記錄。您可以使用 iis 日志中提供的信息來改進自己的報告。 '
最后，實施了審核及適當?shù)膱蟾娣椒ê螅枰褂媚撤N機制以發(fā)現(xiàn)所報告的問題。這就是監(jiān)視。
可以以不同級別進行監(jiān)視。當然，定期手動查看報告是監(jiān)視 xml web 服務(wù)的使用情況的一種方式，但是還應(yīng)檢查事件日志中已報告的錯誤，使用性能監(jiān)視日志，并利用可以監(jiān)視 web 服務(wù)器停機時間的多種工具中的一種。性能監(jiān)視對于檢測攻擊可能是非常關(guān)鍵的。幸好，與 iis 關(guān)聯(lián)的大量性能計數(shù)器可以為檢測問題提供許多重要的統(tǒng)計數(shù)據(jù)。
您可能還希望為 xml web 服務(wù)創(chuàng)建自己的性能計數(shù)器。有關(guān)創(chuàng)建您自己的性能計數(shù)器的詳細信息，請參閱 performance monitoring（英文）。為了確保引起您對異常情況的特殊關(guān)注，應(yīng)以某種形式通知您正在發(fā)生的事件，這點是非常重要的?？梢栽诋惓Ｊ录l(fā)生時，利用性能監(jiān)視警報發(fā)送彈出式消息，或運行某個程序。圖 1 顯示的性能監(jiān)視警報會監(jiān)視未完成的 iis isapi 請求的數(shù)量，以及當前隊列中的 asp 請求的數(shù)量。

圖 1：創(chuàng)建性能監(jiān)視警報
如果不對可能發(fā)生的問題采取一些措施，則對濫用的操作進行審核、報告和監(jiān)視不會有任何用處。拒絕服務(wù)攻擊可能會被定義到特定的 ip 地址，這意味著您可能需要在路由器中過濾來自該地址的請求。但是，拒絕服務(wù)攻擊或電子欺騙攻擊可能與 xml web 服務(wù)的特定用戶相關(guān)。您必須能夠在這種問題發(fā)生時禁用帳戶。完成此操作可能僅需在 microsoft® active directory™ 中禁用 windows 用戶帳戶。或者，如果使用的是自己設(shè)計的身份驗證方式，則意味著必須在用戶記錄中添加一個可以表示禁用帳戶的狀態(tài)字段。您還應(yīng)確認 xml web 服務(wù)的用戶同意“服務(wù)條款”文檔，該文檔指明在何種情況下您可以刪除或禁用他們的帳戶。

上一篇：保護 XML Web 服務(wù)免受黑客攻擊(4/end)

下一篇：保護 XML Web 服務(wù)免受黑客攻擊(2)