服务器远程连接安全防护的研究.docVIP

服务器远程连接安全防护的研究 　　摘要：远程管理是管理人员维护服务器的基本方式。以常用的远程连接软件为例，从远程连接原理出发，分析远程连接给服务器带来的安全问题，提出防护方法与建议，并介绍了更新与更安全的其它远程管理方式。 　　关键词关键词：远程连接；服务器安全；安全防护 　　DOIDOI：10.11907/rjdk.161424 　　中图分类号：TP309文献标识码：A文章编号文章编号2016）007017803 　　为适应机房的统一化管理，服务器往往采取远程连接的方式进行管理和维护。服务器普遍开启远程管理功能。除操作系统自带的远程管理软件如Windows远程桌面、Linux的SSH可以实现远程管理外，第三方软件如XT800、TeamViewer也可实现相关功能。虽然远程软件可以帮助服务器管理员在远程（不在机房）的情况下操控服务器，但使用过程中存在不少安全问题。1.1操作系统自带的远程管理软件 　　服务器开启远程管理功能后，服务器管理人员无须安装任何软件，即可使用系统自带的远程桌面软件连接服务器。远程桌面采用“IP+端口号+用户名+密码”的方式定位要连接的服务器。根据服务器管理员所处位置不同，IP可以是内网或公网地址。大多数情况下，服务器管理员与被管理的服务器不在同一局域网中，如果使用远程桌面进行连接，则要求服务器具有公网IP。 　　同时，其它想获取服务器资源的非授权用户也想通过类似方式连接服务器。以Windows 2008 R2 企业版的一台服务器为例，它开启了远程桌面功能，所以经常接收到来自互联网的远程桌面连接请求。在这些连接请求中，来访者在尝试用户名和密码。此情况可以通过系统日志看到，如图1所示。 　　查看其中一条日志的详细信息可以看到，在很短的时间间隔内，来自互联网的IP地址使用Windows默认的管理员帐户administrator连接服务器的默认服务端口3389，登录失败的原因是“用户名或密码不正确”或“密码尝试次数超过允许的最大值”。以上报错经过一段时间的累积，或同时有很多个并发连接，将耗尽系统资源，导致服务器自动重启，影响服务器的服务能力。 　　1.2第三方远程管理软件 　　XT800和TeamViewer作为第三方软件，它们的工作方式类似，都可以使服务器在没有公网IP、未开启远程服务端口的情况下被连接，以下以XT800为例进行分析。 　　使用XT800软件的前提是服务器和想连接服务器的个人电脑（也可以是另一台服务器、移动设备等）上都已安装该软件。在IPv4地址紧缺的今天，XT800的优点是不需要服务器拥有公网IP，也不需要防火墙开放远程端口（如3389），只要服务器可以联网，服务器管理员即可从互联网登录到自己管辖的服务器。 　　XT800采用“识别码+密码”来定位服务器。识别码和初始密码均在安装XT800软件时自动生成。识别码是一串字符串，不会重复，它唯一地标识了一台安装了XT800软件的服务器。用户可以修改密码为更加复杂的字符串。而如果一个人的电脑上安装了XT800软件，则可以用穷举的方式去尝试连接其它装有XT800软件的服务器。如果遇到弱密码，进入一台服务器则非常容易。 　　2远程连接原理 　　如果想从互联网上连接某一台服务器，需要如下前置条件：①一种定位机制。在互联网里的众多设备中找到要连接的服务器，需要唯一标志，可以是“IP地址+端口号、识别码”等；②一种通信规则。服务器与要连接的电脑必须可以实现数据通信；③一种软件。服务器上至少装有提供被连接服务的程序，并一直在等待连接请求。而要连接服务器的电脑至少装有远程连接软件的客户端，可以发起连接请求。 　　OSI（Open System Interconnection，开放系统互联）模型将互联通信系统划分为7层，分别为：物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。以OSI模型为参照，自底向上分析各层在实现远程连接中的作用。 　　2.1IP协议 　　IP协议工作于OSI模型中的网络层。在这一层中，普遍使用IPv4完成对连接目标的定位。IPv4是4串数字，用3个小数点把它们隔开，每串数字取值范围为0～255，例如10.10.10.8或192.168.1.8。IP协议使远程连接得以定位连接的目标。2.2TCP协议 　　TCP协议工作于OSI模型中的传输层。传输层可以选择连接的差错控制方式，并区别出TCP、UDP等连接方式。由于远程连接需要稳定且可靠性高的连接，必须进行差错控制，所以采用TCP连接方式来传输。TCP协议中的“三次握手”同样适用于远程连接的建立过程，通过SYN与ACK报文的相互传递确认连接的建立。连接建立之后，开始传输应用层的数据――远程连接请求的相关连接数据，包括本端信息（如