Simone什么是WEB安全?是网络安全么?
的有关信息介绍如下:
网站安全§1、网站安全概述一、 常见的网站提供的服务:DNS SERVER,WEB SERVER,E-MAIL SERVER,FTP SERVER,此外网站还需要有个主服务器(最好不要把网站的操作系统服务器与上述的SERVER 放在一起)(不一定全对互联网开放)1、 这些常见的服务属于TCP/IP协议栈,如果低层安全性被攻击了,则高层安全成了空中楼阁。所以要进行安全分析(安全只是个动态的状态)2、 TCP/IP协议栈各层常见的攻击(回忆TCP/IP各层结构图)(1)物理层:数据通过线传输是特点 威胁:监听网线,sniffer软件进行抓包,拓朴结构被电磁扫描攻破 保护:加密,流量填充等(2)internet层:提供寻址功能是其特点-----路由,IP,ICMP,ARP,RARP威胁:IP欺骗(工具完成将数据包源地址IP改变) 保护:补丁、防火墙、边界路由器设定(3)传输层:控制主机间的信息流量-----TCP,UDP威胁:DOS(图),DDOS,会话劫持等 保护:补丁、防火墙、开启操作系统抗DDOS攻击特性(4)应用层:协议最多最难防①SMTP协议:威胁:邮件风暴(黑客给邮件服务器不断发木马或病毒),企业用户内网与外网采用同样的邮箱名,邮件的中继与转发(图) 保护:防病毒网关,邮件服务器软件及时打补丁②FTP协议:威胁:匿名用户如果具有写权限,会上传非法服务给FTP SERVER; 用户名、口令在FTP客户端与服务器端之间是明文传输 保护:FTP数据存放于独立分区,不允许匿名的FTP连接,上传与下载位于不同的NTFS分区,FTP客户端与服务器端的通讯进行加密SSH③HTTP协议:威胁:Java script,CGI,ASP,ActiveX 保护:禁止这些不安全的控件,杀毒软件④Telnet协议:威胁:明文传输敏感数据 保护:加密⑤SNMP协议:威胁:public默认社区名,明文传输敏感信息 保护:将默认社区名改名,防火墙⑥DNS协议:威胁:DNS欺骗 保护:防火墙阻止,在DNS zone中设定成只允许几个主机的zone传输3、 网站业务流(电子商务与普通企业网站业务流不同,重点是认证)、采用的拓朴、防火墙体系结构、操作系统等的不同,受到的威胁也不同二、 在网站业务流、采用的拓朴、防火墙体系结构、操作系统等体系结构确定的前提下,还存在的安全问题1、未授权存取(匿名用户具有写权限----IIS写权限扫描工具+桂林老兵可以完成)2、窃取系统信息:帐号,银行3、破坏系统:破坏数据(删除数据)4、非法使用:利用FTP服务器存放非法软件5、病毒木马:不小心执行病毒、木马三、web站点典型安全漏洞1、操作系统类:通用安全漏洞,各操作系统特有的安全漏洞2、路由器等网络系统漏洞:如路由器、防火墙等的缺省配置及配置错误(一部分边界路由器有自动配置的功能,但这种自动配置功能必须手工开启)(见校园网拓朴结构图)3、应用系统安全漏洞:协议漏洞4、网络安全防护系统不健全:缺乏安全意识,缺少定期的安全检测、安全监控5、其它漏洞:易被欺骗,弱认证,对电邮队服附件病毒及WEB浏览可能存在的恶意java/ActiveX小控件进行有效控制。正因为存在这些安全漏洞所以要制定安全策略。§2、WEB站点安全策略允许远程执行CGI脚本,脚本中的bug会成为保护操作系统的漏洞;但如果限制CGI限制得过头了,web使用起来不方便(安全是使用方便与安全配置之间的一个平衡点)一、 安全策略定制原则:1、风险分析:搞清站点属于低端安全、中端安全、还是高端安全?易受哪些威胁?(默认配置)?根据威胁进行安全评估(使用启明星辰的工具)2、服务器记录原则:web服务器会记录它们收到的每一次连接(如果web server采用认证的方式还会记录下用户名),该用户在此期间填写的表格会被记录下来,会对用户构成威胁。解决方案:web服务器管理者可以查阅用户资料,但无需打开(审计人员查管理员好些)二、 配置web server的安全特性1、用户与站点建立连接的过程中可能会造成因域名欺骗而使得用户得不到授权访问及要求的信息或者把黑客当作合法用户来允许其访问2、加强各服务器的措施①web server:主分区存放操作系统,web server放至另一分区;CGI脚本放至第三个NTFS分区;不以administrator身份运行web server(而以另一用户身份运行web server)其余见winnt站点解决方案②ftp server:与web server不同分区,允许只读访问,进行访问控制的设置(一般只对内网开放)③电子邮件服务器:安装网络级电子邮件扫描软件;禁掉中继任何未授权用户;设置垃圾邮件过滤及巨型邮件过滤条件三、 排除站点中的安全漏洞,尽量减少安全漏洞1、物理漏洞:未授权人员访问引起的2、软件漏洞:由软件应用程序的错误授权引起。首要规则----不轻易相信脚本、java applet3、不兼容问题4、缺乏安全策略四、 监视控制出入web站点的出入情况1、 Webtrends:查访问次数最多的站点、最频繁的用户。它可以完成监控请求(如:sever访问次数,用户来自何处,服务器上哪类信息被访问、访问的浏览器类型、用户提交方式等);它可以测算命中次数(可以确定出站点的命中次数----一个用户详细地读站点时一次简单的会话可以形成几次命中;还可以通过站点上某个文件的访问次数来确定站点访问者的数目)2、 入侵检测系统:免费的snort3、 传输更新:web三元素----HTTP协议,数据格式HTML,浏览器。三元素以HTML为中心,必须保持其更新
