在網絡科技時代,SOHO(Small Office Home Office)或遠程辦公(Tele-office)作為一種新的工作和生活方式,已經慢慢地被一些公司和個人所接受。借助無所不在的網絡,很多人呆在自己的空間裡工作,這是一種更加自由也更環保的生活,SOHO一方面可以讓員工避免上下班擁擠的交通,另一方面也減少了公司昂貴的辦公室房租支出,同時也給員工更多的自由空間以激發他們的創意,所以許多大型的企業機構也開始允許和和鼓勵職員成為“SOHO族。SOHO族們通過網絡在公司FTP服務器上傳或下載文件,通過QQ和Email與同事或領導、業務上的合作伙伴進行工作交流,通過IE浏覽器在互聯網上查找各種資料等過程中,應該注意哪些安全問題呢?作為與員工進行交流的橋梁的公司FTP服務器,管理員又該如何保障其安全呢?
今天在這裡我們主要講如何保證上傳FTP的安全,下期的內容我們將講如何保障本機的安全。
作為員工上傳和下載文件的公司FTP服務器必須與Internet相連,而且必須有一個公共的IP地址,才能方便員工正常訪問。正是這固定的IP地址,方便了成天游蕩於網絡上不甘寂寞的黑客們,他們時時刻刻在尋找攻擊的目標,哪怕這種攻擊與破壞對他們沒有絲毫的好處,但這些人仍樂此不彼,把攻擊的機器多少作為炫耀他們黑客本事高低的標准。那麼對於FTP服務器來說,可能面臨哪些種類的攻擊呢?
一、FTP服務器可能受到的攻擊 雖然Windows 操作系統類服務器,操作簡單,配置方便,但是微軟操作系統的漏洞層出不窮,如果服務器以Windows作為操作系統,管理員永遠沒有空閒的時候,要時刻關注微軟是否又發布了什麼新補丁,公布了什麼新漏洞,然後在最快的時間內打上補丁,睹上漏洞,而且網上針對Windows的黑客工具也很多,稍微懂點計算機知識的人都可以操作,所以對於稍微重要的服務器,為了保證服務器的安全,管理員都不再願意使用Windows系統了,而是采用Unix服務器。Unix操作系統的操作要比Windows操作系統要復雜得多,至少可以擋住那些只會使用Windows系統的一類人,而且它的安全性也要高得多。對unix服務器的攻擊相對來說也就難些,但是這並不代表就沒有攻擊,對於這類服務器,可能受到下面兩大類型的攻擊。
1.拒絕服務攻擊
Dos(Denial of Service,拒絕服務),是一種利用合理的服務請求占用過多的服務資源,從而使合法用戶無法得到服務響應的網絡攻擊行為。由於典型的DoS攻擊就是資源耗盡和資源過載,因此當一個對資源的合理請求大大超過資源的支付能力時,合法的訪問者將無法享用合理的服務。
遭到DoS攻擊時,會有大量服務請求發向同一台服務器的服務守護進程,這時就會產生服務過載。這些請求通過各種方式發出,而且許多都是故意的。在分時機制中,計算機需要處理這些潮水般湧來的請求,十分忙碌,以至無法處理常規任務,就會丟棄許多新請求。如果攻擊的對象是一個基於TCP協議的服務,這些請求還會被重發,進一步加重網絡的負擔。
大致說來,有以下幾種類型的攻擊:
(1)消息流
消息流經常發生在用戶向網絡中的目標主機大量發送數據包之時,消息流會造成目標主機的處理速度緩慢,難以正常處理任務。這些請求以請求文件服務、要求登錄或者要求響應的形式,不斷湧向目標主機,加重了目標主機的處理器負載,使目標主機消耗大量資源來響應這些請求。在極端的情況下,消息流可以使目標主機因沒有內存空間做緩沖或發生其他錯誤而死機。
(2)“粘住攻擊
在Unix系統中,TCP連接通過三次握手來建立一個連接。如果攻擊者發出多個連接請求,初步建立了連接,但又沒有完成其後的連接步驟,接收者便會保留許多這種半連接,占用很多資源。通常,這些連接請求使用偽造的源地址,系統就沒有辦法去跟蹤這個連接,只有等待這個連接因為超時而釋放。
(3)SYN-Flooding攻擊
攻擊者使用偽裝地址向目標計算機盡可能多地發送請求,以達到多占用目標計算機資源的目的。當目標計算機收到這樣的請求後,就會使用系統資源來為新的連接提供服務,接著回復一個肯定答復SYN-ACK。由於SYN-ACK被返回到一個偽裝的地址,因此沒有任何響應,於是目標計算機將繼續設法發送SYN-ACK。一些系統都有缺省的回復次數和超時時間,只有回復一定的次數,或者超時時,占用的資源才會被釋放,而且每次重新發送後,等待時間翻番,最終耗盡系統資源,無法為新連接提供服務。實施這種攻擊的黑客雖然無法取得系統中的任何訪問權,但是卻可以讓服務器接受其他服務時速度變慢,甚至無法接受其他服務。
2.弱口令漏洞攻擊
由於Unix操作系統本身的漏洞很少,不容易被利用,所以黑客們要想入侵,很多都是從帳號和密碼上打主意。而用戶的ID很容易通過一些現成的掃描器獲得,所以口令就成為第一層和唯一的防御線。可是有些管理員為了方便,將有些服務器的一些帳號采用易猜的口令,甚至有的帳號根本沒有口令,這無疑是虛掩房門等黑客進來。另外,很多系統有內置的或缺省的帳號也沒有更改口令,這些都給黑客帶來很多可乘之機,攻擊者通常查找這些帳號。只要攻擊者能夠確定一個帳號名和密碼,他(或她)就能夠進入目標計算機。
二、防范拒絕服務攻擊 1.加固操作系統
加固操作系統,即對操作系統參數進行配置以加強系統的穩固性,重新編譯或設置 BSD系統等操作系統內核中的某些參數,提高系統的抗攻擊能力。例如,Dos攻擊的典型種類–SYN Flood,利用TCP/IP協議漏洞發送大量偽造的TCP連接請求,以造成網絡無法連接用戶服務或使操作系統癱瘓。該攻擊過程涉及到系統的一些參數:可等待的數據包的鏈接數和超時等待數據包的時間長度。用戶可以將數據包的鏈接數從缺省值128或512修改為2048或更大,加長每次處理數據包隊列的長度,以緩解和消化更多數據包的攻擊;此外,用戶還可將超時時間設置得較短,以保證正常數據包的連接,屏蔽非法攻擊包。但通常這些方法的防攻擊能力非常有限。
2.增設防火牆
我們可以在公司網絡服務器和外部網絡之間的增設一道屏障,以防止發生不可預測的、潛在破壞性的侵入,那就是增設一個防火牆。防火牆利用一組形成防火牆“牆磚的軟件或硬件將外部網絡與內部網絡隔開,它可以保護內部網絡不受外部網絡的非授權訪問,因此利用防火牆來阻止DoS攻擊能有效地保護內部的服務器。我們可以把FTP服務器放在防火牆的DMZ區,讓其既可以接受來自Internet的訪問,又可以受到防火牆的安全保護。針對SYN Flood,防火牆通常有三種防護方式:SYN網關、被動式SYN網關和SYN中繼。
(1)SYN網關
防火牆收到客戶端的SYN包時,直接轉發給服務器;防火牆收到服務器的SYN/ACK包後,一方面將SYN/ACK包轉發給客戶端,另一方面以客戶端的名義給服務器回送一個ACK包,完成TCP的三次握手,讓服務器端由半連接狀態進入連接狀態。當客戶端真正的ACK包到達時,有數據則轉發給服務器,否則丟棄該包。由於服務器能承受連接狀態要比半連接狀態高得多,所以這種方法能有效地減輕對服務器的攻擊。
(2)被動式SYN網關
設置防火牆的SYN請求超時參數,讓它遠小於服務器的超時期限。防火牆負責轉發客戶端發往服務器的SYN包,服務器發往客戶端的SYN/ACK包、以及客戶端發往服務器的ACK包。這樣,如果客戶端在防火牆計時器到期時還沒發送ACK包,防火牆則往服務器發送RST包,以使服務器從隊列中刪去該半連接。由於防火牆的超時參數遠小於服務器的超時期限,因此這樣能有效防止SYN Flood攻擊。
(3)SYN中繼
防火牆在收到客戶端的SYN包後,並不向服務器轉發而是記錄該狀態信息然後主動給客戶端回送SYN/ACK包,如果收到客戶端的ACK包,表明是正常訪問,由防火牆向服務器發送SYN包並完成三次握手。這樣由防火牆做為代理來實現客戶端和服務器端的連接,可以完全過濾不可用連接發往服務器。
各企業在選擇防火牆時,除了根據以上幾種保護方式進行選擇以外,還需要根據企業本身的業務量來決定選擇的防火牆的性能。性能越好,當然價格也就越高,而且防火牆的性能和資源的占用是相關的,性能越高,占用資源也就越多,占用帶寬比例也就越高。另外一般企業如果不想在安全產品上投入過多,則會要求防火牆同時具有入侵檢測、VPN等功能,甚至防病毒功能。現在國內外防火牆種類繁多,各企業可以根據自己單位的需求,選擇一款性價比高的產品。
還需要網絡管理員注意的是,防火牆設立後並非一勞永逸了,防火牆的默認設置適合於大多數企業的要求,但可能並不安全,因為各個企業的提供的服務不一樣,所以管理員需要根據自己企業提供的服務可能遭受的攻擊來設置其安全策略,另外新的漏洞攻擊在不斷出現,還需要管理員隨時更新防火牆的漏洞代碼,以阻止可能出現的新的漏洞攻擊。
3.增設專用的防范拒絕服務攻擊產品──黑洞
盡管防火牆可以阻擋很多種類的攻擊,但是對於DoS類的攻擊,卻只能阻擋有限的幾種。所以近幾年來,一種綜合多種算法、集多種網絡設備功能(如路由和防火牆技術)的防范大流量DoS攻擊或多類型DoS攻擊的新技術產品──中聯綠盟生產的“黑洞,逐漸應用於各大型門戶網站,國外雖然也有類似產品,但並未引入國內。
“黑洞采用了被稱為反向檢測和指紋識別的新算法,可高效抵擋SYN Flood、UDP Flood、ICMP Flood和Stream Flood等DoS攻擊。這種算法的獨特之處