10.6郵件安全:SMTP、POP、IMAP和Exchange 安全顧問總是對破壞sendmail、Exchange和IMAP服務器等的可能性提出警告。在域中郵件的處理在很大程度上取決於域名服務器和防火牆的設置。一般地,POP和IMAP服務應該在防火牆以內,以保護用戶的郵件、目錄,特別是口令,防止外界使用這些信息來侵入節點。只要記住POP(除非是APOP)用明文發送口令,任何人都可以暗中破壞用戶和服務器之間的一個路由器,從而監視傳送路徑的人都可得到用戶名和口令。最好使用認證服務器進程,它不用明文發送口令。 在實際應用中最好使用防火牆以外的某個服務器作為中繼,然後再將郵件發往主服務器。這樣就必須在防火牆外有一個可輸出的值得信任的服務器。你可能希望是外面的一個簡單的服務器或交換服務器。如果確實希望更安全,可以安裝一個監視程序以進一步證實在這個外部服務器上沒有產生大的變動。一旦發生了改變,就應該從“sources/CD/someuncontaminatedsource”復制。 使用交換服務器時不需要特別小心,因為它就像任何郵件服務器一樣。如果比較關心誰連接著你的服務器,可以監視25號端口的連接。 一般來說,應該使用域中的某台主機作為對內或對外郵件的中繼。對內部郵件使用中繼,可使實際的郵件系統置於防火牆以內,並可配置為只允許域內主機的郵件連接。與此類似,中繼可用於對外郵件,以隱藏內部的機器,並可使用一種特殊的編址規則,使所有對外的郵件都以user@the.domain作為發送地址,即只用域名而不用主機名。這種做法使收信者對郵件響應的地址也簡化為對一個域的響應,並有助於保護內部發送郵件的機器的標識。 當然,郵件頭部的完全顯示也會顯示郵件傳遞的路徑,但如果原來的主機是隱藏在防火牆以內,並且不能通過企業的DNS服務器來解析,則也不會有什麼問題。如果確實有問題,也可用重發程序來克服。最好的重發程序是自己寫的適用於你的特定環境的程序。如果希望隱藏最初的源,在重發信息前要把郵件頭部全部去掉。 內部域名服務器的MX記錄可以將任何非本地地址的郵件從內部主機指向中繼器。中繼器在收到郵件後,再通過外部域名服務器進行另一次查找以便將郵件發到其Internet上的目的地。中繼器也可設置為將域的內部郵件轉接到防火牆內的一台專用主機,再由這台主機將郵件通過郵寄的別名發送到內部的用戶或子域。另外,MX記錄也可用於將郵件傳送到域的內部主機。 10.7WWW安全性 當談到WWW時,在今天似乎是每個人都有一個Web站點。重要的是如何保證Web服務器的安全和保護其內容。問題在於有了一個Web站點存在,也就是有一台每個人都可看到的機器(如果此機器不可以被看到,為什麼還要設置Web服務器?)。一個例外是目標為企業內部職工的企業網(Intranet)站點。 有許多產品和技術可用於保證計算機上信息的安全性,其中使用時間最長的是分組過濾。管理員可以在機器上安置一個過濾器來保護Web服務器,使得只有Web通信才能經過服務器,其他都不可以。從機器上阻塞了Telnet、FTP和電子郵件等服務,就可以限制可能附加在這些服務上的攻擊。 對保護Web節點來說,代理服務器也是很有用的,因為遠端的用戶將決不會實際進入Web服務器。遠端用戶的請求被代理服務器截獲,然後由代理服務器查詢Web服務器。代理服務器再將信息返回給遠端請求數據的用戶。 還可使用各種重定向技術,此時Web服務器名通過DNS解析為一個虛擬的IP地址。當請求加載到這個虛擬的IP地址時,可以被重定向到相應的實際的服務器。在這種情況下,遠端的用戶的確從實際的Web服務器得到了信息,但Web服務器的實際IP地址對用戶卻是隱藏的。這些重定向技術還可以對負載平衡以及高可用性解決方案提供高度的靈活性。 通常稱DNS可以負載平衡,或者至少可使到達一個目標的路徑隨機化,該目錄可以是一個Web服務器也可以是它們的代理服務器。當有很多合法服務需傳送時,將會遇到很多問題,並且需要對組件和數據服務更直接的訪問。這些都漸漸偏離了純粹的包過濾方案,但所有方案都需要DNS、Web、防火牆管理員之間的協調。 與以前提到的DNS攻擊結合,可能會受到“中間人”的攻擊,如果黑客可以把發向一個特定Web地址的請求重新指定到他自己的機器上,而且他的機器上有一個更改了的服務器,,該黑客就可以用他的機器為你的Web客戶發回請求服務,並監視此節點的一切反應。這就是為什麼要有一個安全服務器,保證它不受DNS攻擊很重要。 10.8FTP安全性 FTP服務器有它自己在安全方面的弱點,幫助提高FTP服務器安全性的方法之一是通過用戶的反向查找。許多FTP服務器的登錄連接是由已知其主機名和IP地址的遠端主機接人的。反向查找可用來驗證建立連接的主機的主機名和IP地址。雖然這看起來對提高安全性並沒有多大的作用,但至少可以表明是否采用真實的IP地址和主機名來登錄,即是否為合法的FTP服務器登入。順便說一句,很多HTTP服務器查找信息的注冊方式,也是使用反向查找。 反向查找的目的是要確認IP地址和主機名是否完全相符。如果主機名和IP地址不相符,FTP服務器就會拒絕下載的連接要求。在使用反向查找的同時也可使用過濾器,以防止其他類型的訪問進人FTP主機。既使是友好的、同一房間內的服務器,也可以考慮使用這種安全方法,只要由DNS來支持反向解析和一個可勝任的FTP服務器。 管理員經常犯的錯誤之一是在設置匿名FTP節點時允許匿名用戶在目錄中進行寫操作。這可能為黑客修改系統文件以致導致系統不穩定的企圖留下缺口,或者黑客可以多次登入,占用大量CPU和存儲器資源。這類攻擊有可能造成服務器以及服務器所在的子網停止服務。 具有匿名FTP是很有用的,有時甚至是很必要的。對訪問FTP服務器的數目加以限制,並且不允許匿名用戶具有寫的權限,可以為管理員減少許多麻煩。匿名FTP存在的另一個問題是其口令是以清晰的、可讀的文本來傳送的,任何具有網絡流量竊聽和跟蹤工具的人都可以截取此口令。 需要考慮的一個主要問題是應在DMZ的一個完全隔離的盒子中運行FTP服務器,還要確保進入該盒子的口令與進入同一網絡中其他機器上的口令要不同。這樣,如果一個口令被竊取,不會影響FTP服務器和網絡上的其他機器。這個盒子,與DMZ中的其他盒子一樣,與網絡的主機環境不應有或有盡量少的信任關系。
10.9小結 本章並不涉及設置連接到Internet的網絡的全部安全性問題,而只是描述了和DNS服務最有關的問題。下面列出若干和安全性有關的好書,可以參考這些書來實現可提供DNS和其他服務的安全節點。 (本章完)