《应用防护解决方案.docx》由会员分享,可在线阅读,更多相关《应用防护解决方案.docx(9页珍藏版)》请在三一办公上搜索。
1、互联网Web应用安全“套餐”在Web信息系统高速发展的今天,Web应用服务已经成为当前互联网最为流 行的业务。大量的在线应用业务都依托于Web服务进行的同时,Web信息系统也 面临着各种各样的安全问题。根据国家计算机网络应急技术处理协调中心(简称 CNCERT/CC)2011年8月8日-8月14日的统计报告,在此期间被篡改网站数量 为575个,较上周环比大幅增加约29.2%。网站被篡改数量最多的仍是.com 和域名类网站,其中域名类网站有88个(占境内约15%)。Web的开放性丰富了我们的信息资源、拓展了我们的工作方式,也让更多的 核心业务日渐暴露在各种危险中。面对越来频繁的Web安全威胁,信
2、息安全行业 领军企业网御星云通过对Web应用多种攻击方式的深入研究,以及对传统解决方 案的透彻分析,推出了网御星云Web应用安全“套餐”,全方位保障互联网安全。ISmait! .不图:Web应用的多种攻击方式攻击Web平台Web平台面临的安全问题是方方面面的,主要可概括为以下四个方面:1)操作系统、后台数据库的安全问题;这里指操作系统和后台数据库的漏洞,配置不 当,如弱口令等等,导致黑客、病毒可以利用这些缺陷对网站进行攻击。2)Web发布系统的漏洞;Web业务常用的发布系统,如IIS、Apache等,这些系统存在 的安全漏洞,给入侵者可乘之机。3)Web应用程序的漏洞;主要指Web应用程序的编
3、写人员,在编程的过程中没有考虑 到安全的问题,使得黑客能够利用这些漏洞发起对网站的攻击,比如SQL注入、跨站脚本攻 击等等。4)自身网络的安全状况;网站服务器所处的网络安全状况也影响着网站的安全,比如 网络中存在的DoS攻击等,也会影响到网站的正常运营。 攻击Web认证帐号口令攻击方式:主要是通过猜解、探索有用的组合,从而获取目标站点的部分或全 部的控制权。有手工猜解帐号口令和工具暴力破解两种方式。Cookies攻击方式:通过改变cookies中的数据,攻击者就可以访问用户的帐户;也可 以通过窃取用户的cookie访问用户的帐户 攻击Web数据存储这种攻击主要是通过web与数据库的交互漏洞,来
4、获取数据库的访问、操作、控制权限 的。通常可以达到:(1)水平权限提升:得到同级别用户的信息。(2)垂直权限提升:得到高 级别用户的信息。(3)任意文件存取:取得web站点目录以外的未被授权的文件或数据。 Web溢出攻击缓冲区溢出是恶意的用户向服务器发送大量数据以使系统瘫痪的典型攻击手段。该系 统包括存储这些数据的预置缓冲区。如果所收到的数据量大于缓冲区,则部分数据就会溢出 到堆栈中。如果这些数据是代码,系统随后就会执行溢出到堆栈上的任何代码。Web应用缓 冲区溢出攻击的典型例子也涉及到HTML文件。如果HTML文件上的一个字段中的数据足够 的大,它就能创造一个缓冲器溢出条件。 攻击Web应用
5、程序Web服务器提供大量的接口来支持内容管理、服务管理、配置等,这就造成大量的交互 接口,每个接口都存在被攻击的可能。如:telnet、ssh、ftp等连接管理私有管理端口。 安全隐患主要体现在:(1)telnet、ssh、ftp等连接管理(2)私有管理端口(3)缓冲区溢出, frontpage vsrad webdav等(4)基于web的管理产品:cisco网络设备、foundry网络交换 设备等 Web客户端攻击Web客户端攻击主要是通过浏览器、E-mail等攻击载体实现攻击的,可以分为如下三种 方式:(1)动态内容攻击:主要是通过构建浏览器可以解释的小规模可执行程序或脚本代码, 将其下载
6、到本地执行,产生攻击行为。(2)跨站脚本攻击:该攻击主要是不恰当的服务端输 入检查,从而允许客户端浏览器解释脚本命令(3)Cookies劫持:通过获取别人的cookies 资料来获取真正web访问者的web身份,从而收集相关敏感信息。拒绝服务攻击分布式拒绝服务(DDoS)攻击对获取任何联机应用程序和透过公共因特网提供的服务 构成严重的威胁。这些攻击主要针对web站点、DNS服务、电子商务应用程序、VoIP服务、 联机游戏和金融服务而发动,其阻止客户访问这些应用程序,给运行这些应用程序的企业和 公司造成严重的经济损失。一、传统的Web防护解决方案防火墙解决方案在传统的安全产品中,防火墙主要工作在
7、四层以下,主要是基于包检测技术,不能实现 对HTTP协议的精细控制。比如对应用层的SQL注入、XSS攻击这种基于应用层构建的攻击, 防火墙束手无策,甚至是基于特征匹配技术的检测产品,也由于这类攻击特征不唯一性,不 能精确阻断攻击。防病毒产品解决方案防病毒产品不仅对Web应用程序中的漏洞难以识别,而且对网页中存在的恶意代码(网 页木马)更是束手无策。 IPS解决方案IPS仅是对HTTP数据包有效负载的检测分析,并不能将所有的数据包还原组装成数据 流或具体的内容进行基于关键字或具体内容的检测分析与特征提取,并且IPS主要是静态的 特征匹配,针对Web应用交互中动态页面中的相关内容没有固定特征,因此
8、IPS很难防范此 类攻击,并且IPS也不保持会话信息,很多与会话有关的攻击,比如Cookie篡改、会话劫 持,IPS都不能较好的进行防护。总之,Web应用攻击之所以与其他攻击不同,是因为它们 很难被发现,而且可能来自任何在线用户,甚至是经过验证的用户。 单一 Web安全防护产品解决方案单一的Web安全防护工具不能对Web应用进行全方位的保护,因为来自Web的攻击是多 方面的,他们可利用系统及应用的漏洞攻击,破坏Web认证及会话,甚至可直接对数据存储 进行攻击。如Web防火墙在没有漏洞扫描、渗透测试的情况下,制定的防护策略就显得捉襟 见肘,也不具备数据库备份及审计功能,针对Web应用保护更不能提
9、前预警。所以,传统的 安全解决方案和单一的防护工具不能真正保障Web应用安全。二、网御互联网Web应用整体防护解决方案网御互联网Web应用防护解决方案根据事前评估、渗透、对抗演练,事中采用产品进行 加固、安全巡检,事后审计进行攻击变异分析来时时调整安全策略,整体来保障Web应用安 全。1. Web威胁扫描针对Web应用的风险评估服务过程中主要使用到的工具可分为三类:商业的工具软件商业的工具软件,安全性和稳定性好,有相关部门的认证,准确率高。免费的工具软件网上收集的免费的工具软件,针对性强,类型多。网御星云自制的工具软件在其它系统和项目中有很多成功实施的案例。工具类型工具说明信息收集工具Nslo
10、okup:用于使用DNS查询的手段对被测网段主机进行DNS查询, 并收集相应的主机名、DNS名。网络扫描工具 DUMPSec:枚举Windows系统信息,包括用户组、注册表、 打印和文件共享等信息。 Firewalk :该工具用于检测被测网络边界安全设备、包转 发设备的访问控制策略及网络路径等。漏洞检测工具 WebInspect:应用程序安全评估工具识别已知和未知的网 页层漏洞。检测Web服务器的配置属性,以及进行常见的网页攻击, 例如参数注入、跨网站脚本、目录浏览等等。 Acunetix Web Vulnerability Scanner: 网络漏洞扫 描工具,通过网络爬虫测试网站安全,检测
11、流行的攻击,如交叉站 点脚本,sql注入等。口令破解工具 John the Ripper:主要用于破解UNIX系统口令,但是该 工具也支持多种HASH加密的口令破解。 L0pht Crack:用于 Windows NT、2000 和 XP 的口令破解。 IMP:用于NetWare 口令破解。网络嗅探工具 Dsniff:可以收集网络中的机密信息,例如口令、电子邮 件等,在渗透测试中,该工具还可用于中间人攻击。 Ethereal :可以在网络中被动的收集网络中的传输数据, 并支持对数据进行细节分析,了解数据报文内容。工具类型工具说明无线网络测试 工具 Aerosol :无线网络嗅探工具,该工具在无
12、线网络中被动的 收集传输的数据报文,并且支持对WEP加密信息进行破解。 WEPCrack:可以支持对WEP加密进行破解。漏洞利用工具包括各种攻防实验室在多年的安全研究中收集以及自行研究开发的 操作系统和应用系统的攻击代码。日志审计工具 网御综合性设备集中监管软件安全审计系统(Leadsec-SA) 网御日志分析与审计管理软件终端管理系统(Leadsec-TM)威胁分析工具 网御入侵检测系统(Leadsec-IDS)综合工具 网御风险管理系统(Leadsec-RMS)其他WEB及数据库测试工具包括部分公开及私有的WEB及数据库测试工具。2. 源代码评估及渗透测试在渗透测试与加固服务过程中,采用专
13、业的渗透工具(如边界区域安全超级漏扫设备、IIS溢出分析利用工具、数据库漏洞扫描工具、DDOS模拟攻击工具、恶意代码分析工具等) 获取信息,并采取相应的技术措施。图:服务流程3. 安全加固方案安全加固是根据专业安全检测结果,制定相应的系统加固方案,针对不同目标系统,通过打补丁、修改安全配置、增加安全机制等方法,合理进行安全性加强。宏些配置去全机制洗料文档安摭安全朴丁图:加固的流程和范围4. Web安全加固(WAF、IDS、网页防篡改)WAF:网御WAF通过对进出Web服务器的http流量相关内容的实时分析检测、过滤,来 精确判定并阻止各种Web应用攻击行为,阻断对Web服务器的恶意访问与非法操
14、作,如SQL 注入、XSS、Cookie篡改以及应用层DoS攻击等,有效应对网页篡改、网页挂马、敏感信息 泄露等安全问题。系统使用主动实时监测过滤技术,将恶意代码、非授权篡改、应用攻击等 众多威胁进行综合防范,从而做到对Web服务器的多重保护,确保Web应用安全的最大化, 充分保障Web应用的高可用性和可靠性。IDS:网御IDS基于分布式入侵检测系统构架,采用网御USE(Uniform Secure Engine) 安全引擎,综合使用会话状态检测、应用层协议完全解析、误用检测、异常检测、内容恢复、 网络审计等入侵分析与检测技术,全面监视和分析网络的通信状况。网页防篡改:网页防篡改系统可保护网站
15、不发送被篡改的页面内容又保证网站内无被篡 改。网页防篡改可实时监控用户的Web站点,洞察黑客、病毒等对网站的网页、电子文档、 图片等文件进行破坏或非法修改。一旦文件遭到破坏,系统会立即恢复被破坏的文件,并向 管理人员报警。5. 数据安全(网闸)网闸是WEB安全防护的最后一道防线,不但能够保护Web数据的安全,而且能够起到 Web数据防篡改的目的。网闸在Web安全保护方案中部署于Web站点数据库(前置数据库) 与Web发布系统数据库(后台数据库,与前置数据库结构相同)之间,用于将发布系统更新 的数据同步至Web站点,或者将审核后用户提交数据更新后WEB发布系统数据库。网闸特殊 的“2+1”架构及
16、应用数据白名单策略,能够将非法入侵阻止于外部,保护后数据库数据的 安全。另外,网闸Web安全防护专用模块还能起到数据防篡改的作用。根据网站业务的特点,一个网站供于用户提交的表单是预知的,表单内容往往也是需要审核后才能公布到站点,故是可控的。所以从Web站点到发布系统的数据同步,除表单数据外,均设置为逆 向同步。当非法用户成功AUWeb站点数据库数据被篡改后,网御网闸数据库监控程序 能够第一时间发现数据的变化,网闸立即启动逆向同步,将后台数据库对应表中的数据 覆盖篡改的数据,从而起到Web数据防篡改的目的。6. 应用安全(APM)网御应用监控管理系统(APM)通过Web浏览器对各种操作系统和应用
17、程序进行监控, 监控对象包括应用服务器、Web服务器、数据库管理系统、操作系统、网络服务等。当被监 控的应用出现故障或超过监测的阈值时,APM会产生相应的告警,并提供故障原因的分析, 帮助管理员快速进行问题定位。7. 网站挂马监控网御星云可进行网站挂马的监控。主要采用云防御技术,基于动态行为识别,对互联 网网站进行定期、大范围检测,实时维护挂马网站库,并可指定网站进行挂马监控,提供挂 马监控报告,第一时间发出挂马警告。8. 异常流量管理(Guard)网御异常流量管理系统由括异常流量分析(Detector)和异常流量过滤(Guard)两个模 块组成:Detector模块负责对不同网络节点的流量进
18、行实时关联分析,在定位异常流量发 源地后通知Guard模块对异常流量完成牵引和过滤,系统通过两个模块的协同工作,完成全 网的流量分析、异常流量牵引、DDoS攻击过滤、P2P识别与控制、异常流量带宽限制等处理, 帮助用户实时了解网络运行状况,及时发现网络中出现的问题并自动对异常行为做出响应, 从而快速消除异常流量造成的危害。9. 数据库审计网御数据库审计系统是针对业务环境下的网络操作行为进行细粒度审计的合规性管理 系统。它通过对被授权人员和系统的网络行为进行解析、分析、记录、汇报,以帮助用户事 前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,加强内外部网 络行为监管、促进核心
19、资产(数据库、服务器、网络设备等)的正常运营。10. 统一安全管理网御安全管理系统从满足资产的统一配置、监控、预警、评估、响应,策略、检测、 防护、响应一体化和网络、应用、业务三维安全信息审计的需求角度出发,面向业务,以资 产为中心,通过策略配置、设备监控、审计预警、态势评估、安全响应的全流程管理,实现 从业务的角度进行安全资产和安全信息的归一化处理、监控、分析、审计、报警、响应、存 储和报告等功能。三、网御互联网Web应用整体防护套餐以上防护产品可根据自身情况任意选择,任意组合外,也可选择网御推荐的基本防护、 增强防护、专业防护3种套餐。1. 基本级防护基本级防护套餐:针对Web应用威胁进行
20、风险综合评估分析,根据扫描及评估的结果 有选择的部署WAF、IDS、网页防篡改安全产品,同时进行实时的网站挂马的监控。防护工具包括:1、Web威胁扫描2、WAF、IDS、网页防篡改3、网站挂马监控2. 增强级防护增强及防护套餐:具备基本防护套餐功能,同时针对数据安全进行防护,并对相关日 志进行审计。防护工具包括:1、Web威胁扫描2、WAF、IDS、网页防篡改3、网站挂马监控4、数据 安全(网闸)5、数据库审计6、统一安全管理3. 专业级防护专业级防护套餐:可进行事先的扫描、源代码评估及渗透测试,并制定安全加固方案, 部署WAF、IDS、网页防篡改产品防护Web应用安全,同时针对Web的数据安
21、全、应用安全、 异常流量等方面进行全面保护与管理,并具备实时的网站挂马监控、审计及全网设备的统一 管理。防护工具包括:1、Web威胁扫描2、源代码评估及渗透测试3、安全加固、4、WAF、IDS、网页防篡改5、数据安全(网闸)6、应用安全(APM) 7、网站挂马监控、8、Guard9、审计10、统一安全管理图:网御互联网Web应用整体防护四、总结针对Web应用安全威胁,我们需要整体防御解决方案。传统的安全产品及单一的防护 工具不能全面的防护安全威胁,应该从事先的扫描、源代码评估及渗透测试中制定安全加固 方案,根据需要进行WAF、IDS、网页防篡改、网闸(数据安全)、APM (应用监控)、Guard (异常流量管理)等产品的防御部署,结合实时的网站挂马监控、审计及全网设备统一管理 来整体提高Web应用防护威胁的能力。网御推荐的套餐根据防护级别分为基本级、增强级、 专业级,实际用户可直接套用,并且还可根据自己的安全威胁情况进行重新组合,不管采用 哪种防范策略,整体的防护解决方案会使Web应用威胁防御能力成倍提高。
