保護(hù) XML Web 服務(wù)免受黑客攻擊(2)

2024-09-05 20:55:53

字體：大中小

供稿：網(wǎng)友

中國最大的web開發(fā)資源網(wǎng)站及技術(shù)社區(qū)，

部署問題

到目前為止，我們已介紹了幾種不同的攻擊類型，那么我們能對這些可惡的攻擊采取什么措施呢？有一個好消息可以告訴您，您可以采取很多種方法來保護(hù)自己的服務(wù)，而且，這些保護(hù)大都十分簡單。讓我們首先來看一看只需控制 web 服務(wù)器和后端服務(wù)器的配置方法就可以實(shí)現(xiàn)的保護(hù)類型。
應(yīng)采取許多重要的保護(hù)措施確保您的 web 服務(wù)器不會受到攻擊的破壞，包括一些眾所周知的措施，如確保具有最新的安全性更新。下面列出了自我保護(hù)措施中最重要的步驟。其中的許多步驟并不特別針對托管 web 服務(wù)，而是適用于所有的 web 服務(wù)器托管內(nèi)容。

安裝安全性更新

首先，確保您具有最新的更新，以避免受到紅色代碼蠕蟲病毒的攻擊。可以在 installing the patch that stops the code red worm（英文）中找到有關(guān)安裝更新的說明和下載修補(bǔ)程序的鏈接。
對紅色代碼蠕蟲病毒的修復(fù)以及其他修復(fù)最終會包含在 microsoft® windows® 2000 的下一個服務(wù)包中，并已在 microsoft® windows® xp 中得到解決。
當(dāng)然，更大的問題是如何避免其他潛在的弱點(diǎn)，并保護(hù)自己免受將來可能出現(xiàn)的問題的侵害。有關(guān) microsoft 產(chǎn)品安全問題的信息，可以訂閱“microsoft 安全性通知列表”。對于出現(xiàn)的任何新問題，都將以電子郵件的形式通知訂閱者。有關(guān)如何訂閱的說明，請查看 product security notification（英文）網(wǎng)頁。

限制 web 服務(wù)器的訪問者

如果您對攻擊的問題很關(guān)注，尤其是如果您的 xml web 服務(wù)上包含私有信息，那么您應(yīng)限定僅合法的用戶可以訪問您的站點(diǎn)。這可以用多種方法來實(shí)現(xiàn)，但下面講述的幾種方法可以防止黑客訪問您的 xml web 服務(wù)。

通過使用 http 身份驗(yàn)證來對用戶進(jìn)行驗(yàn)證，然后限定他們可以訪問哪些資源。身份驗(yàn)證的配置方法：用鼠標(biāo)右鍵單擊 internet 服務(wù)管理器中的 web 站點(diǎn)、虛擬目錄或單個文件；從彈出菜單中選擇“屬性”；進(jìn)入“目錄安全性”選項(xiàng)卡，單擊“匿名訪問和身份驗(yàn)證控制”下面的“編輯”按鈕。
限定可以訪問您的 web 服務(wù)器的 ip 地址。如果有一些可以使用您站點(diǎn)的合法用戶，那么可以只允許這些用戶的特定 ip 地址訪問您的 web 站點(diǎn)。您還可以限定某些 ip 地址范圍具有訪問權(quán)限，或拒絕某個 ip 地址或某個 ip 地址范圍的訪問權(quán)限。甚至可以根據(jù)域名進(jìn)行限定，但在與您計算機(jī)連接的 ip 地址上，可能需要花費(fèi)很長的時間來進(jìn)行域名查找。修改 ip 地址限制的方法：轉(zhuǎn)至步驟 1 中提到的“目錄安全性”選項(xiàng)卡，單擊“ip 地址及域名限制”下面的“編輯”按鈕。圖 1 顯示了“ip 地址及域名限制”對話框，其中將訪問權(quán)限限制為三個特定的 ip 地址。

圖 1：設(shè)置 web 站點(diǎn)的 ip 地址限制

要求與客戶端證書具有安全套接字層 (ssl) 連接。這可能是對訪問您站點(diǎn)的用戶進(jìn)行身份驗(yàn)證的最安全的方法。ssl 限制也是在“目錄安全性”選項(xiàng)卡的“安全通信”下進(jìn)行設(shè)置。

將路由器配置為僅允許符合要求的訪問

路由器就是您的防火墻。它可以阻斷發(fā)送到您計算機(jī)的大量不合法的請求。流行的路由器大多都可以將訪問限制在特定的 tcp 端口上，因此您可以只允許從端口 80（默認(rèn)的 http 端口）傳入請求。這可以防止防火墻外的任何人試圖連接到您計算機(jī)上的其他任何服務(wù)。打開其他服務(wù)的端口時請務(wù)必小心。您可以很方便地從終端服務(wù)客戶端打開一個端口，連接到您的 web 服務(wù)器，以便進(jìn)行遠(yuǎn)程管理。但隨后，任何人都可以通過終端服務(wù)器連接嘗試連接到您的計算機(jī)。即便黑客不知道有效的用戶名和密碼，也仍然可以通過同時建立只顯示登錄屏幕的多個會話，來用完您計算機(jī)上的大量資源。
在篩選掉可能用完您計算機(jī)資源的非法數(shù)據(jù)包時，也需要用到路由器這一重要工具。對于明顯存在問題的數(shù)據(jù)包，只需將它丟棄即可（大多數(shù)路由器都會自動執(zhí)行這一功能）。但是，目前已有許多路由器具有檢測諸如 tcp syn 包的能力，這些數(shù)據(jù)包慌稱它們是從某個 ip 地址發(fā)送過來的，但實(shí)際并非如此。通過啟用這種保護(hù)措施，可以避免前面在拒絕服務(wù)攻擊中提到的那些 syn 攻擊。
而且，請記住，防火墻限制只會影響到防火墻處的流量。這似乎是顯而易見的事情，但假定您從 internet 服務(wù)提供商 (isp) 處購買了一根 t1 線，并在您所在的 t1 線的那一端放置了一個具有安全配置的路由器。如果 isp 無法在他們的路由器上啟用非法 syn 請求檢測功能，那么他們的路由器就有可能受到 syn 攻擊，從而潛在地拒絕對您的 t1 線另一端的服務(wù)，最后結(jié)果是有效地切斷了對您站點(diǎn)的訪問。
考慮更復(fù)雜的環(huán)境，如某個特定連接的兩端都放置有多個路由器，由于每個路由器都有可能遭受攻擊，因此可能會影響到為您站點(diǎn)的合法用戶提供服務(wù)。要列出數(shù)據(jù)包到達(dá)您的服務(wù)器途中所要經(jīng)過的路由器，請使用 tracert.exe 實(shí)用工具。

配置 tcp/ip 篩選以限制接受連接的端口

如果您沒有路由器作為防火墻，或者，如果您由于任何原因無法管理自己的路由器，都可以通過限制您計算機(jī)將接收的傳入連接種類，有效地使您自己的計算機(jī)成為防火墻。在 windows 2000 中，單擊“開始”按鈕，選擇“設(shè)置”，選擇“網(wǎng)絡(luò)和撥號連接”，用鼠標(biāo)右鍵單擊連接到 internet 上的網(wǎng)卡，然后選擇“屬性”。選擇“internet 協(xié)議 (tcp/ip)”，單擊“屬性”按鈕，單擊“高級”按鈕，進(jìn)入“選項(xiàng)”選項(xiàng)卡。選擇“tcp/ip 篩選”，然后單擊“屬性”按鈕。將出現(xiàn)如圖 2 所示的一個對話框。您可以在該對話框中限制將接受連接的端口。在如圖 2 所示的示例中，限制了只允許在端口 80 和 443 上分別進(jìn)行 http 和 https 連接。

圖 2：配置 tcp/ip 篩選

刪除不必要的服務(wù)和軟件

計算機(jī)上運(yùn)行的軟件越多，就越有可能受到攻擊，尤其是在您作為某種具有較高權(quán)限的用戶運(yùn)行服務(wù)的時候更是如此。如果您的計算機(jī)專門運(yùn)行 web 服務(wù)，且 web 服務(wù)獨(dú)立于其他服務(wù)，那么應(yīng)在您的計算機(jī)上禁用其他某些服務(wù)，包括 ftp 服務(wù)、smtp 服務(wù)以及諸如終端服務(wù)客戶端等的 windows 服務(wù)。
也應(yīng)限制可通過 internet information server 運(yùn)行或訪問的軟件數(shù)量。確保僅配置了您需要的虛擬站點(diǎn)和目錄。首先，應(yīng)該刪除管理 web 站點(diǎn)。其次，還應(yīng)該刪除 iissamples 虛擬目錄。同樣，如果您的計算機(jī)專門運(yùn)行 web 服務(wù)，應(yīng)刪除其他任何虛擬目錄。
即便對于已經(jīng)安裝某些軟件的虛擬目錄，也必須弄清楚哪種軟件是訪問您的 web 站點(diǎn)時可以使用的。在 internet 服務(wù)管理器中，用鼠標(biāo)右鍵單擊某個站點(diǎn)或虛擬目錄，從所出現(xiàn)的菜單中選擇“屬性”，選擇“虛擬目錄”選項(xiàng)卡，然后單擊“配置”按鈕，將出現(xiàn)“應(yīng)用程序映射”選項(xiàng)卡，其中列出了與不同的 isapi 擴(kuò)展或 cgi 應(yīng)用程序相關(guān)聯(lián)的所有擴(kuò)展。如果您沒有使用這些擴(kuò)展，請將它們從列表中刪除。.idq 文件的索引服務(wù)器擴(kuò)展自身存在錯誤，紅色代碼蠕蟲病毒就利用了這個錯誤。如果您是在虛擬站點(diǎn)級進(jìn)行此項(xiàng)更改，那么您不需要為所創(chuàng)建的每個虛擬目錄都進(jìn)行此項(xiàng)工作。

使用 microsoft internet information server 安全性核對表

microsoft 為 internet information server 4.0 創(chuàng)建了一個安全性核對表，其中除了我在本文中提到的所有安全事項(xiàng)以外，還提到了其他更多的安全事項(xiàng)。使用此核對表來確保您至少已經(jīng)考慮了所有的安全性選項(xiàng)。雖然您運(yùn)行的可能不是 internet information server 4.0（5.0 版是隨 windows 2000 一起發(fā)布的版本），但本文中的大多數(shù)步驟仍然適用，而且，對于將來 internet information server 版本，也仍然適用?？梢詮?microsoft internet information server 4.0 security checklist（英文）中找到此核對表。

總結(jié)

根據(jù)您計算機(jī)和網(wǎng)絡(luò)配置的不同，會有多種保護(hù)措施，您應(yīng)采取相應(yīng)的措施保護(hù)您的 web 服務(wù)器免受黑客攻擊。在下一篇專欄文章中，我們將研究開發(fā)人員和設(shè)計人員在創(chuàng)建其 xml web service 時需注意的問題，并繼續(xù)探討保護(hù)您的 xml web service 免受黑客攻擊的方法。

at your service
matt powell 是 msdn architectural samples team 的成員，他幫助開發(fā)了最新的 soap toolkit 1.0。matt 的其他成就包括與他人合著了由微軟出版社出版的《running microsoft internet information server》一書以及為各種雜志撰寫了大量的文章。他有一個幸福美滿的家庭，是他每天眷戀的地方。

上一篇：保護(hù) XML Web 服務(wù)免受黑客攻擊(3)

下一篇：安全的建議：對投入使用的 XML Web Services 禁用 HTTP-GET 和 HTTP-P