主动入侵防御-思.ppt

WEB应用主动入侵防御思路分析 安洽科技 2009.06.01 现在的用户网络中存在各种各样的网络安全设备和入侵防御措施。例如最基本的防火墙、杀毒软件等，有的甚至部署了IDS、IPS、桌面安全管理软件等。WEB应用服务及服务器的安全得到了很高的保障。 即便如此，大量的入侵事件依然在发生，为什么呢？ 各种各样的病毒、木马充斥网络，网页病毒、捆绑者、欺骗的下载、U盘病毒、蠕虫等等，稍不留意，就成为了黑客的傀儡机，从而导致了各类管理帐号口令的泄漏，甚至于用户在WEB应用服务器上直接下载安装未经验证的程序或破解补丁，导致服务器直接被植入各种后门。 上述的入侵事件属于被动入侵，对于此类入侵我们仅能做的是协助用户建立良好的管理制度和善后。 对于被动的入侵通过技术手段目前尚无法有效的防御。但是对 于主动的入侵，我们可以采取各种措施进行拦截。 传统意义的防火墙通过端口屏蔽和访问限制拦截了大量的攻击行为。 IPS识别入侵行为拦截了大量的攻击行为。 杀毒软件拦截了大量的病毒木马。 但是因为WEB应用的开放性，WEB通道必须开放，而且WEB入侵的特征可以通过编码混淆，和正常访问的通讯数据相似。 这就导致WEB入侵成为了目前主流的入侵手段。WEB入侵成为整个入侵过程的前奏。 黑客在防火墙的拦截下仅能通过WEB入侵获取首个通信通道（WEBSHELL）。然后进一步对服务器进行提权操作，在获取了服务器操作权限后，黑客会对局域网或者内网发起大面积的渗透行为。其中，各种反弹式连接的后门和口令窃取工具成为黑客的首选。 而当我们发现危害的时候，黑客早已经通过获取到的各种资源将自己的通信通道扩展为各种方式，在网络的各台主机中植入了大量的各种通信方式的后门。此时，WEB通信通道已经失去保护的意义。 传统意义的防火墙和ips无法对WEB入侵进行有效的识别和拦截。 而脚本后门木马的变形能力极强，杀毒软件面对脚本后门的变形以及与正常代码的混淆，要不是误杀导致WEB系统不能正常运行，要不就是视而不见。 分析目前主流的入侵手段，我们可以发现，只要掐断入侵环节中的一环，就能阻止黑客大面积的入侵和破坏。 其中最佳的方式是在入侵访问的环节进行识别和拦截，但是目前的防火墙和ips尚不足以应对WEB入侵的变化多样。 其次的方式，是对WEB系统进行有效的防护，比如：杀毒软件能够有效的识别脚本木马文件。这样，黑客通过各种方式上传的脚本后门都将被隔离，黑客建立不了WEB入侵通道，也就无法进行下一步的入侵。 但是杀毒软件对脚本木马的查杀能力有目睹。 最后也是最无奈的方式，设定好主机的安全环节，即便黑客成功的获取了WEB入侵通道，也无法提升自己的权限，无法获取服务器的操作权限。在丢失了WEB权限后，我们唯一能做的就是保护好服务器本身的安全了，这样做，至少在善后的时候恢复起来还是相对容易的，如果服务器权限也沦陷的话，善后将变的极其的繁琐和复杂。 鉴于防火墙、ips、杀毒软件无法针对WEB系统进行有效的防护，我们的工程师在部署WEB应用的时候就应该采取适当的措施： 1.加强WEB服务器的安全审计。 2.对WEB应用程序进行审计。 3.即便如此，我们也不敢打包票说：绝对安全了，因为我们的疏忽和漏洞可能在某一个微小的想不到的地方。 脚本防篡改软件就是在这样的一种情况下应运而生的。 AQPreventionTamper提供了实时的WEB应用程序脚本文件监控功能。真正实现了报警与恢复的实时性，针对WEB应用程序脚本入侵事件，能迅速（毫秒级）的恢复被篡改的文件。同时系统支持用户灵活地自定义排除策略，将缓存脚本文件或文件夹排除在监控以外。 AQPreventionTamper监控的对象包括各类脚本文件: .asp .php .aspx .jsp .asa .cer等，而对于无危害的图片文件和静态页面，防篡改并不进行防篡改保护，这样对于静态生成页面的WEB应用程序，防篡改也能在不拦截正常文件的情况下对其进行有效的保护。 * *