保護 XML Web 服務免受黑客攻擊(2)

2024-09-05 20:55:53

字體：大中小

來源：轉載

供稿：網友

中國最大的web開發資源網站及技術社區，

部署問題

到目前為止，我們已介紹了幾種不同的攻擊類型，那么我們能對這些可惡的攻擊采取什么措施呢？有一個好消息可以告訴您，您可以采取很多種方法來保護自己的服務，而且，這些保護大都十分簡單。讓我們首先來看一看只需控制 web 服務器和后端服務器的配置方法就可以實現的保護類型。
應采取許多重要的保護措施確保您的 web 服務器不會受到攻擊的破壞，包括一些眾所周知的措施，如確保具有最新的安全性更新。下面列出了自我保護措施中最重要的步驟。其中的許多步驟并不特別針對托管 web 服務，而是適用于所有的 web 服務器托管內容。

安裝安全性更新

首先，確保您具有最新的更新，以避免受到紅色代碼蠕蟲病毒的攻擊?？梢栽?installing the patch that stops the code red worm（英文）中找到有關安裝更新的說明和下載修補程序的鏈接。
對紅色代碼蠕蟲病毒的修復以及其他修復最終會包含在 microsoft® windows® 2000 的下一個服務包中，并已在 microsoft® windows® xp 中得到解決。
當然，更大的問題是如何避免其他潛在的弱點，并保護自己免受將來可能出現的問題的侵害。有關 microsoft 產品安全問題的信息，可以訂閱“microsoft 安全性通知列表”。對于出現的任何新問題，都將以電子郵件的形式通知訂閱者。有關如何訂閱的說明，請查看 product security notification（英文）網頁。

限制 web 服務器的訪問者

如果您對攻擊的問題很關注，尤其是如果您的 xml web 服務上包含私有信息，那么您應限定僅合法的用戶可以訪問您的站點。這可以用多種方法來實現，但下面講述的幾種方法可以防止黑客訪問您的 xml web 服務。

通過使用 http 身份驗證來對用戶進行驗證，然后限定他們可以訪問哪些資源。身份驗證的配置方法：用鼠標右鍵單擊 internet 服務管理器中的 web 站點、虛擬目錄或單個文件；從彈出菜單中選擇“屬性”；進入“目錄安全性”選項卡，單擊“匿名訪問和身份驗證控制”下面的“編輯”按鈕。
限定可以訪問您的 web 服務器的 ip 地址。如果有一些可以使用您站點的合法用戶，那么可以只允許這些用戶的特定 ip 地址訪問您的 web 站點。您還可以限定某些 ip 地址范圍具有訪問權限，或拒絕某個 ip 地址或某個 ip 地址范圍的訪問權限。甚至可以根據域名進行限定，但在與您計算機連接的 ip 地址上，可能需要花費很長的時間來進行域名查找。修改 ip 地址限制的方法：轉至步驟 1 中提到的“目錄安全性”選項卡，單擊“ip 地址及域名限制”下面的“編輯”按鈕。圖 1 顯示了“ip 地址及域名限制”對話框，其中將訪問權限限制為三個特定的 ip 地址。

圖 1：設置 web 站點的 ip 地址限制

要求與客戶端證書具有安全套接字層 (ssl) 連接。這可能是對訪問您站點的用戶進行身份驗證的最安全的方法。ssl 限制也是在“目錄安全性”選項卡的“安全通信”下進行設置。

將路由器配置為僅允許符合要求的訪問

路由器就是您的防火墻。它可以阻斷發送到您計算機的大量不合法的請求。流行的路由器大多都可以將訪問限制在特定的 tcp 端口上，因此您可以只允許從端口 80（默認的 http 端口）傳入請求。這可以防止防火墻外的任何人試圖連接到您計算機上的其他任何服務。打開其他服務的端口時請務必小心。您可以很方便地從終端服務客戶端打開一個端口，連接到您的 web 服務器，以便進行遠程管理。但隨后，任何人都可以通過終端服務器連接嘗試連接到您的計算機。即便黑客不知道有效的用戶名和密碼，也仍然可以通過同時建立只顯示登錄屏幕的多個會話，來用完您計算機上的大量資源。
在篩選掉可能用完您計算機資源的非法數據包時，也需要用到路由器這一重要工具。對于明顯存在問題的數據包，只需將它丟棄即可（大多數路由器都會自動執行這一功能）。但是，目前已有許多路由器具有檢測諸如 tcp syn 包的能力，這些數據包慌稱它們是從某個 ip 地址發送過來的，但實際并非如此。通過啟用這種保護措施，可以避免前面在拒絕服務攻擊中提到的那些 syn 攻擊。
而且，請記住，防火墻限制只會影響到防火墻處的流量。這似乎是顯而易見的事情，但假定您從 internet 服務提供商 (isp) 處購買了一根 t1 線，并在您所在的 t1 線的那一端放置了一個具有安全配置的路由器。如果 isp 無法在他們的路由器上啟用非法 syn 請求檢測功能，那么他們的路由器就有可能受到 syn 攻擊，從而潛在地拒絕對您的 t1 線另一端的服務，最后結果是有效地切斷了對您站點的訪問。
考慮更復雜的環境，如某個特定連接的兩端都放置有多個路由器，由于每個路由器都有可能遭受攻擊，因此可能會影響到為您站點的合法用戶提供服務。要列出數據包到達您的服務器途中所要經過的路由器，請使用 tracert.exe 實用工具。

配置 tcp/ip 篩選以限制接受連接的端口

如果您沒有路由器作為防火墻，或者，如果您由于任何原因無法管理自己的路由器，都可以通過限制您計算機將接收的傳入連接種類，有效地使您自己的計算機成為防火墻。在 windows 2000 中，單擊“開始”按鈕，選擇“設置”，選擇“網絡和撥號連接”，用鼠標右鍵單擊連接到 internet 上的網卡，然后選擇“屬性”。選擇“internet 協議 (tcp/ip)”，單擊“屬性”按鈕，單擊“高級”按鈕，進入“選項”選項卡。選擇“tcp/ip 篩選”，然后單擊“屬性”按鈕。將出現如圖 2 所示的一個對話框。您可以在該對話框中限制將接受連接的端口。在如圖 2 所示的示例中，限制了只允許在端口 80 和 443 上分別進行 http 和 https 連接。

圖 2：配置 tcp/ip 篩選

刪除不必要的服務和軟件

計算機上運行的軟件越多，就越有可能受到攻擊，尤其是在您作為某種具有較高權限的用戶運行服務的時候更是如此。如果您的計算機專門運行 web 服務，且 web 服務獨立于其他服務，那么應在您的計算機上禁用其他某些服務，包括 ftp 服務、smtp 服務以及諸如終端服務客戶端等的 windows 服務。
也應限制可通過 internet information server 運行或訪問的軟件數量。確保僅配置了您需要的虛擬站點和目錄。首先，應該刪除管理 web 站點。其次，還應該刪除 iissamples 虛擬目錄。同樣，如果您的計算機專門運行 web 服務，應刪除其他任何虛擬目錄。
即便對于已經安裝某些軟件的虛擬目錄，也必須弄清楚哪種軟件是訪問您的 web 站點時可以使用的。在 internet 服務管理器中，用鼠標右鍵單擊某個站點或虛擬目錄，從所出現的菜單中選擇“屬性”，選擇“虛擬目錄”選項卡，然后單擊“配置”按鈕，將出現“應用程序映射”選項卡，其中列出了與不同的 isapi 擴展或 cgi 應用程序相關聯的所有擴展。如果您沒有使用這些擴展，請將它們從列表中刪除。.idq 文件的索引服務器擴展自身存在錯誤，紅色代碼蠕蟲病毒就利用了這個錯誤。如果您是在虛擬站點級進行此項更改，那么您不需要為所創建的每個虛擬目錄都進行此項工作。

使用 microsoft internet information server 安全性核對表

microsoft 為 internet information server 4.0 創建了一個安全性核對表，其中除了我在本文中提到的所有安全事項以外，還提到了其他更多的安全事項。使用此核對表來確保您至少已經考慮了所有的安全性選項。雖然您運行的可能不是 internet information server 4.0（5.0 版是隨 windows 2000 一起發布的版本），但本文中的大多數步驟仍然適用，而且，對于將來 internet information server 版本，也仍然適用?？梢詮?microsoft internet information server 4.0 security checklist（英文）中找到此核對表。

總結

根據您計算機和網絡配置的不同，會有多種保護措施，您應采取相應的措施保護您的 web 服務器免受黑客攻擊。在下一篇專欄文章中，我們將研究開發人員和設計人員在創建其 xml web service 時需注意的問題，并繼續探討保護您的 xml web service 免受黑客攻擊的方法。

at your service
matt powell 是 msdn architectural samples team 的成員，他幫助開發了最新的 soap toolkit 1.0。matt 的其他成就包括與他人合著了由微軟出版社出版的《running microsoft internet information server》一書以及為各種雜志撰寫了大量的文章。他有一個幸福美滿的家庭，是他每天眷戀的地方。

上一篇：保護 XML Web 服務免受黑客攻擊(3)

下一篇：安全的建議：對投入使用的 XML Web Services 禁用 HTTP-GET 和 HTTP-P