警惕细节 Web架构配置无小事

日期: 2011-07-27 来源:TechTarget中国 英文

  不用默认密码

  企业有多少关键系统和应用拥有Web接口?据CyberDefenses公司的负责人Phil Dolbow声称,如今几乎每个系统和应用都拥有Web接口。Web接口很普遍,但如果配置不正确就有可能遭到破坏,因为有许多企业在安装好系统后没有更改默认的登录凭证(credential)。Dolbow所在的咨询公司专门提供信息保障及IT安全的信息服务,所开展的工作绝大部分是与联邦政府(主要是军方)合作的。他概述了在许多客户那里看到的不正确配置Web接口的常见问题,还建议该如何解决此类问题。

  “这类问题见多了。总的来说,我发现的问题大家都能猜得出来,比如缺少用户培训、系统配置不当或安全项目缺少资金。常常见到的最大问题其实是很容易被发现、很容易解决的,但如果不能发现则会带来严重隐患:那就是Web接口。我们在进行评估时,总是扫描寻找没有设置好的Web接口。如今,几乎每个系统都有Web接口;存储区域网络(SAN)、不间断电源(UPS)系统、打印机、警报系统、电话、备份系统、服务器等等硬件设备。要是在默认凭证的情况下启用这些Web接口,就有可能出现很严重的问题。”

  Dolbow说,下面这几个例子是多次发生的问题。某公司之前没有用过存储区域网络,但业务对磁盘空间的需求不断增长,他们最近也买了一个。公司内没人知道该如何配置SAN,而供应商又坚持安装了系统,并让客户自行设置所安装系统上的用户名和密码。该公司在安装好系统之后,再也很少关注配置问题,结果有一个关键任务设备始终使用默认的出厂登录凭证。这是非常危险的,许多公司如此简单地配置关键系统。不怀好意的人有可能破坏逻辑单元号(LUN)、删除数据,这会引发各种问题。

  同一种场景还出现在对待不间断电源系统的问题上。不久前,CyberDefenses公司评估了一家在IT配置以及在安全上不惜下血本的大型政府机构,它们拥有最安全的系统。在CyberDefenses评估前的几个月,该机构请IT承包商更换了所有UPS系统,包括为其主计算机机房的所有关键服务器提供电源保障的几台UPS。IT承包商把这些UPS系统连接到网络上,以便可以远程管理及监测这些系统。Dolbow显示了一份客户报告的屏幕截图,表明他们可以随意登录到Web接口(借助管理员权限,使用默认凭证)。当鼠标光标悬浮在关键业务的关闭按钮上可随时结束进程时,这才能足够引起客户的注意。

  解决方案

  针对此种情况,解决办法如下:

  1. 对Web服务器/接口定期执行端口扫描;

  2. 如果Web接口没有必要,就关闭这项服务;

  3. 更改凭证、尽量使用https访问;

  4. 只允许授权的管理员工作站可以访问;

  5. 加强防火墙限制;

  6. 监测日志。

  分配不同权限

  员工拥有的系统访问权限是否会导致企业面临安全风险?一家大型制造公司的高级IT经理详细讲述了他如何重新配置访问生产系统的机制,以便限制性更强、更容易审计。

  “我们IT员工大多可以使用‘用户账户’全面访问所有生产系统。测试人员在一次安全审计和渗透测试中抓住了这个漏洞,最后拥有了公司的Windows Domain以及大多数生产数据库服务器的访问权限。现在,我们从域管理员、数据库管理员账户及Application Root Account等账户中取消了每个人的‘用户账户’。如果技术系统管理员让敏感的系统和数据需要常规访问,就要设置不同的账户来访问,并使用安全性很强的密码。我们使用一些审计工具和Cyber Ark公司的密码保险箱工具,以便审计该账户的所有使用活动。”

  该IT管理人员说,他们的许多应用/数据库管理人员需要对生产系统进行大量不太常规的访问。对这些系统而言,他们取消了所有常规的管理员访问,而换成了选择性的“应急账户”(firefighter accounts),这类账户比较普通。这些账户存储在密码保险箱中,由一个强密码加以保护。还有这样一个过程:输入票证(ticket),获得审批,并记录在他们的票证记录系统中。对于高度敏感的项目,密码保险箱还要求实施几道审批环节;还需要输入基本的票证编号、说明理由,从而在增强了票证记录系统之后才可发放密码。密码发放后系统可进行设置,在一段时间后自动重置;或在请求者“将密码返回入库”后重置。

  解决方案

  一般来说,密码保险箱控制着服务器和PC系统上嵌入式的本地管理员账户、服务账户以及嵌入到系统中的数据库访问账户和应用账户。这些账户通常从来不会受到密切关注。在过去,不破坏许多系统就无法更改密码。许多企业采用密码保险箱工具对这些账户和密码进行控制后,可以顺利地定期轮换。

  最后,当然是需要备份,有了这些账户和密码的副本以便灾难恢复。如果采用这样的策略,企业的灾难恢复以及业务连续性计划也更严密了,可进一步配置系统。

  处理好隐私难题

  如果验证机制和数据被设置成面向特定客户的,用户能把Web系统作为门户来运行吗?美国中西部一家商业管理咨询公司的高级.Net架构师James Ashbaugh当时就遇到了这个问题。这家公司有几个客户在运行相同的系统代码,而数据存放在不同的物理设备中。由于他们的客户都是同行业内相互竞争的企业,所以数据完整性至关重要,Ashbaugh关注的是如何正确配置系统。

  他们使用的系统环境如下。

  • 约500至1000个外部用户通过思杰产品来连接;
  • 微软网络;
  • 面向域控制器、Web Servers和SQL Servers的Windows 2003 Server;
  • SQL Server 2008。

  门户网站基于客户端、用户角色和客户数据库数据运行。微软为ASP .Net提供了一个丰富、基于角色的模型,但该模型不是为了在门户架构下运行而设计的。于是,Ashbaugh 结合了微软在ASP.Net安全、活动目录账户/群组和SQL Security中提供的功能。

  现在面临的难题是:公司有多个相互竞争的客户在运行相同的系统代码,但数据存放在不同的物理SQL设备中(使用客户特定的数据库名称)。所以,虽然大家都运行相同的Web应用和中间层,但在数据库层面却具有客户特定性(大家使用相同的数据库模型)。切记:客户通过思杰产品来连接至公司网络,所以就需要使用单次登录(即使思杰产品负责处理DMZ验证,但它并不处理Web应用的表单验证)。明白那些客户在同一个行业很重要,所以必须确保数据的完整性,因为这涉及到竞争优势。

  难题在于,如果验证机制和数据被设置成特定客户的,如何把Web系统作为门户来验证、装载及执行?

  Ashbaugh的应对方法如下:在思杰产品中,他们把IE浏览器作为一个应用来共享(但通过IE安全设置和登录脚本,限制客户对外部Web的浏览)。他们不想让使用服务器的客户可以上网冲浪,或者对竞争对手发动攻击。IE的主页被设成了他们公司的门户网站,并使用委托和模拟功能。得到了思杰验证的用户,把凭证传送到门户的装载器代码类。该代码类启动验证过程,以便“验证”SQL数据库。在该数据库中,他们对所有的客户端数据库、客户用户以及角色都进行了映射。一旦装载器验证后发现这是系统中的活动用户,装载器会获得相应的数据库连接信息,然后通过用户的Web会话进行传输。

  注意,在装载的过程中,应该对传输的信息加密,这样可发现利用跨站脚本攻击来获取其他用户的会话信息。对会话中的连接信息进行加密意味着,黑客必须实际访问物理Web服务器,还要在执行任何解密算法的时间点来访问页面文件或内存块。由于这种可能性非常小,可以在数据库连接层面支持客户的数据安全需求。在数据库中,所有连接字符串和设置都采用加密形式来存储,使用客户特定的私有密钥(经过加密的数据来自“验证”数据库)。

  所以,鉴于该验证用户总是可以访问数据库连接信息,需要安排建立什么样的数据库连接方法。应该把用户的角色及其他安全设置也存储在会话中。一旦所有这些前端装载的逻辑完成,装载器会连接门户主页,并使用来自用户的数据库配置数据,装载器就会扩展用户特定的主页及内容。

  现在,当用户开始通过请求及更新数据与系统进行互动时,请求会先调用“控制器”代码。该代码被服务调用,以便安排所有的系统事件。它定义了通过配置文件调用的特定存储过程。然后,使用该名字值就会调用数据库层,并请求存储过程执行。

  解决方案

  通过设置SQL Server用户,让存储过程适合角色,从而便于执行存储过程。所以,如果某用户不在“项目用户组”中,该用户不可以执行“GetActiveInventoryItems”存储过程。

  在SQL Server 2008中,用户可以结合存储过程中的#C代码,所以企业可排列基于映射用户角色而返回的特定数据字段。网页上的控件可自动创建,以支持返回的用户特定内容。这意味着:要是有一批项目,但只有两列允许该用户访问,就要针对这个角色特定的数据来调整控件。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国