“拯救网站运维赵明”——网站防篡改系统的部署与应用

原创
安全 应用安全
目前,利用网上随处可见的攻击软件,赵明所遇到的攻击者很可能就是那些“脚本小子”(清除服务器日志的工具也很常见),这些人不需要的深厚技术基础,即可完成诸如更换Web网站主页,盗取管理员密码,数据库注入等,但这些人最恐怖的事情就是破坏整个网站数据等攻击。

【51CTO.com独家特稿】目前,利用网上随处可见的攻击软件,赵明所遇到的攻击者很可能就是那些“脚本小子”(清除服务器日志的工具也很常见),这些人不需要的深厚技术基础,即可完成诸如更换Web网站主页,盗取管理员密码,数据库注入等,但这些人最恐怖的事情就是破坏整个网站数据等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。

网页防篡改技术的优势

很多用户认为,在网络中部署入侵检测系统(IDS),入侵防御系统(IPS)等设备,就可以保障网络的安全性,就能全面立体的防护WEB应用了,但是为何基于WEB服务器页面访问的应用攻击事件仍然不断发生?其根本的原因在于传统的网络安全设备对于应用层的攻击防范,作用十分有限。也就是说如果攻击者不是通过网络层,而是Web应用层和数据库注入过来的话,那么数据过滤(基于TCP/IP报文头部的ACL)实现访问控制的功能就如同虚设了。  

◆针对本案例中网页篡改的攻击行为,具有以下特点:篡改网站页面传播速度快、阅读人群多;复制容易,事后消除影响难;预先检查和实时防范较难;网络环境复杂难以追查责任,攻击工具简单且向智能化趋势发展。以上这些特点,赵明和运营总监黄晓明两人对于网站“被黑”事件考虑,很可能影响到公司对外的整体形象,因此我绝对在现有结构中增加一套网页防篡改保护系统非常重要。  

网页防篡改技术的发展  

◆最早,针对网页篡改的攻击,作为运维人员只能通过手工(人工)对比检测,专门指派网络管理人员,人工监控需要保护的网站,一旦发现被篡改,然后以人力对其修改还原的手段。严格的说来,人工对比检测不能算是一种网页防篡改系统采用的技术,而只能算安全管理中针对网页被篡改的制度管理。这种手段非常原始且效果不佳,且不说人力成本较高,其最致命的缺陷在于人力监控不能达到即时性,也就是不能在第一时间发现网页被篡改也不能在第一时间做出还原,当管理人员发现网页被篡改再做还原时,被篡改的网页已在互联网存在了一段时间,可能已经被一定数量的网民浏览。    

◆随着网络防护技术的发展,后来的出现的网页防篡技术中的“时间轮巡技术”被广泛应用于政府和教育网站。时间轮询技术是利用一个网页检测程序,以轮询方式读出要监控的网页,与真实网页相比较,来判断网页内容的完整性,对于被篡改的网页进行报警和恢复。但后来随着商业性网站在国内的快速发展,采用时间轮询式的网页防篡改系统存在着网络安全工程师无法接受的“时间间隔”,这种技术也逐渐被淘汰。

随着“水印”和“非对称加密”技术的广泛应用,这些最新的技术也被推广到网页防篡产品领域,这包括了“事件触发”和“核心内迁嵌”技术的组合应用。核心内嵌技术(密码水印)的实现,是先将网页内容采取非对称加密存放,在外来访问请求时将经过加密验证过的,进行解密对外发布;若未经过验证,则拒绝对外发布,调用备份网站文件进行验证解密后对外发布。此种技术通常要结合事件触发机制对文件的部分属性进行对比,如大小,页面生成时间等做判断。核心内嵌技术避免了时间轮巡技术的轮巡间隔这个缺点,但是由于这种技术是对每个流出网页都进行完整检查,占用巨大的系统资源,给服务器造成较大负载。并且对网页正常发布流程作了更改,针对本案例的拓扑,整个网站需要重新架构。     

网页防篡在企业中的具体应用

随着技术发展以及网上各类应用的增多,对服务器的负载资源简直可以用“苛刻”来形容,任何占用服务器资源的部分都要淘汰,来确保网站的高访问效率,如此一来,内嵌技术(即密码技术)最终将被淘汰。

因此,现阶段企业当中主要是使用了“文件过滤驱动技术+事件触发技术”的第三代产品。文件过滤驱动技术的最初应用于军方和保密系统,作为文件保护技术和各类审计技术。其原理是:将篡改监测的核心程序通过文件底层驱动技术应用到Web服务器中,通过事件触发方式进行自动监测,对文件夹的所有文件内容,对照其底层文件属性,经过内置散列快速算法,实时进行监测,若发现属性变更,通过非协议方式,纯文件安全拷贝方式将备份路径文件夹内容拷贝到监测文件夹相应文件位置,通过底层文件驱动技术,整个文件复制过程毫秒级。这样的要求非常适合赵明负责的这家公司,也解决了公众无法看到被篡改页面,入侵者整个过程被记录的最高水准,如果黑客攻击之后,可能连黑客自己都无法看到网页是否被篡改的结果显示。

网页防篡系统的部署  

◆网页防篡改保护系统的品牌相当多,这里列举一个企业中常见的品牌:WebGurad ,此系统采用的就是目前系统驱动级文件保护技术,并且基于事件触发式监测机制,高效实现了网页监测与防护功能,彻底杜绝了网站被非法篡改的可能。  

◆第一种部署方案(图1):无需增加任何服务器,这类部署主要突出了该系统部署的灵活性,将Center Server部分也同时部署在Web站点上,在没有额外可用服务器的情况下,节省了服务器资源,保护了用户投资。  

网页防篡改保护系统典型部署示意图1  

第二种部署方案(图2),可分为三步:

第1步:在DMZ区任意一台服务器安装管理中心服务器(Center Server),并设定外部管理连接端口(默认为5366);

第2步:将监控端(Moniter Client)安装于多个Web服务器上,并在Web服务器商指定管理中心服务器地址,并设定管理端口(默认为5367);

第3步:在内部管理区域,任意PC安装管理客户端(Console)部分。

网页防篡改保护系统典型部署示意图2

采用此产品部署的方案优点有很多,针对具体应用该方案支持如下一些特殊功能: 

◆断线状态下篡改检测和大规模连续篡改攻击防护;  

◆支持进程黑白名单管理,杜绝非法程序非法执行; 

◆实时监测,完全杜绝被篡改内容被外界浏览;  

◆支持服务器性能监测与阀值告警功能; 

◆支持单独文件篡改保护;  

◆支持文件夹篡改保护;  

◆支持多级目录文件夹内容篡改保护;  

◆支持异地文件同步功能,异地目录保护恢复功能; 

◆支持文件多种自动方式上传与人工同步方式;

而针对Web网站最新和最流行的攻击可以提供如下防范: 

◆支持SQL注入攻击防护;  

◆支持跨站脚本攻击防护;  

◆支持对系统文件的访问防护;  

◆支持特殊字符构成的URL利用防护; 

◆支持对危险系统路径的访问防护; 

◆支持构造危险的Cookie攻击防护; 

◆各类攻击的变种防护;

【51CTO.COM 独家特稿,转载请注明出处及作者!】  

【编辑推荐】

  1. Barracuda-NC双臂代理模式搞定网站安全(拯救赵明)
  2. 防火墙加web应用防火墙解决赵明问题
责任编辑:许凤丽 来源: 51CTO.com
相关推荐

2010-06-12 11:49:03

2010-04-21 11:26:55

2010-05-31 11:38:00

2010-06-12 09:27:40

2010-06-12 15:24:33

2010-04-13 14:20:32

2010-06-12 15:58:17

2010-04-20 21:55:36

2010-04-13 00:13:24

2010-05-31 12:13:23

2010-04-21 11:00:41

2010-06-22 16:34:31

2010-05-31 14:31:51

2010-03-19 17:43:31

2010-04-20 21:06:15

2010-04-22 14:39:27

2010-05-26 09:52:58

2010-04-22 01:19:32

2010-04-21 10:20:48

2010-04-21 10:32:30

点赞
收藏

51CTO技术栈公众号