主要观点总结
本文介绍了企业安全建设中的互联网应用安全防护内容,包括端口管控、Web应用安全、系统安全、网络安全、数据安全、业务安全等。同时提出了互联网DMZ区安全管控标准和相关技术的落地运营情况供参考。
关键观点总结
关键观点1: 端口管控
详细介绍了端口管控的重要性,包括防火墙的作用、常见误区、端口扫描工具的使用等。
关键观点2: Web应用安全
介绍了Web应用安全的风险和防护措施,包括WAF、IDS/IPS、漏洞扫描和渗透测试等。
关键观点3: 系统安全
探讨了系统安全的问题和解决方案,包括文件扫描、网络流量分析、HIDS和OSSEC等。
关键观点4: 网络安全
介绍了网络安全中的异常流量检测系统和蜜罐技术,以及网络拓扑结构等。
关键观点5: 数据安全
讨论了数据库审计和页面输出的敏感信息监测机制。
关键观点6: 业务安全
介绍了与业务逻辑相关的安全问题,包括验证码、找回密码功能等,以及如何通过风控手段进行对抗。
关键观点7: 互联网DMZ区安全管控标准
将上述各种安全管控技术进行抽象,形成互联网DMZ区安全管控标准,包括技术点和上线流程管控等内容。
关键观点8: 总结
总结了本文的主要观点,强调了金融行业和互联网公司在安全解决方案选择上的差异,并指出企业需要根据自身需求选择合适的方案。
正文
企业 · 安全建设指南
编者按:
《企业安全建设指南 金融行业安全架构与技术实践》——聂君 李燕 何扬军 编著,资深信安专家十余年实战经验的结晶,安全领域多位专家联袂推荐。
本书系统化介绍金融行业中企业信息安全的架构与技术实践,总结了作者在金融行业多年的信息安全实践经验,致力于解决金融企业信息安全“最后一公里”问题,内容丰富,实践性强。
Web2.0时代,企业会将越来越多的应用暴露在互联网上,带来的风险不容忽视。传统企业会用防火墙进行隔离,将应用部署在隔离区(Demilitarizedzone,DMZ),图11-1是一个简单的示意图。
图11-1传统企业互联网应用示意图
防火墙在这里的作用有两点:一是将内网、DMZ区、互联网进行隔离,二是将DMZ的私网地址映射到互联网上供外部访问。当然,实际企业可能做映射的不一定是防火墙,也有可能是负载均衡设备。当一个应用需要对互联网访问时,需要注意哪些事项,本章将从外到里逐一阐述。
首先要做的就是端口管控,即在防火墙上严格限制对外开放的端口。原则上DMZ服务器只允许对外开放80、443端口,而且DMZ服务器不允许主动访问外部,访问外部的业务需要一对一开通访问。
·有些企业管理员为了方便维护,在防火墙上直接对外开放Telnet、SSH、RDP的端口,这是非常不明智的,只要知道密码,黑客就可以通过这些端口获得交换机/服务器的权限,即使不知道密码,也可以通过暴力猜解密码获得登录凭证。有经验的管理员都知道,只要将SSH对外开放,系统日志就会出现大量的登录失败日志。
·还有一些FTP、MSSQL、MySQL、Redis、Rynsc、memcached、Elasticsearch、Mongodb等相关应用的端口,也不应该对互联网开放,否则各种自动化的攻击工具或蠕虫也会很快通过这些端口得到相应的权限,甚至直接加密你的数据进行勒索。有兴趣的读者可以上网搜索“FTP本地提权”“Redis未授权访
问
”“
MongoDB
勒索
”“
Elasticsearch
勒索
”
等等。
一般大型企业的互联网出口或者业务系统会比较多,在日常防火墙维护过程中,难免会出现遗漏,所以需要有相应的机制来保障高危端口不对外开放,开放了要及时发现,这就需要端口扫描。说到端口扫描工具,必谈Nmap,此外还有Zmap、Masscan也很受欢迎,下面简单介绍Nmap和Masscan。
Nmap功能非常强大,仔细看其帮助即可体会,如图11-2所示。Nmap支持列表改入、各种主机发现、端口扫描技术、操作系统探测、扫描时间控制、各种格式输出等,甚至还支持外部脚本针对性的检测漏洞。端口扫描技术常用的有:半开放扫描(TCPSYN)、全连接扫描(TCPConnect)、ACK扫描、FIN扫描等。另外,Nmap扫描输出的xml格式结果文件,用脚本解析起来很方便,和其他系统对接非常轻
松。
图11-2Namp的使用
Nmap功能虽然强大,但在大网段全端口扫描时会非常慢,这时候就需要Masscan了。Masscan号称是“最快的互联网端口扫描器”,最快可以在6分钟内扫遍互联网,每秒可以发送一百万个数据包,适合于对大量地址进行快速扫描。Masscan提供较为丰富的选项。例如,用户可以指定扫描的端口、路由器地
址、发包速率和最大速率等。
同时,它还支持多种文件格式用于保存扫描结果。
对于大型企业,建议采用联合方式,例如先用Masscan快速扫描一遍,然后再针对性地用Nmap扫
描,以获取更多信息,包括操作系统版本、端口对应的
Banner
信息等。
当扫描程序发现高危端
口后,可
以实时输出日志给
SOC
,以便一线人员
实时跟进处理。
在实际工作中,扫描还需要注意避开业务高峰、
调整发包速率参数等,以免引起不必要的麻烦。
端口管控工作是基础,做好端口管控工作后,需要将重点放在Web安全上。OWASP组织(OpenWebApplicationSecurityProject,开放式Web应用程序安全项目)每年都会有个Top10的风险列表,包括各种注入(SQL、NoSQL、OS、LDAP等注入)、XSS攻击、CSRF,等等。在Web安全领域,吴翰清的《白帽子讲Web安全》值得推荐,客户端脚本安全、服务端应用安全都包括在内。作为企业安全从业人员,
除了要知道黑客怎么攻击外,还需要关注我们怎么防守,在哪些维度上进行防守。
Web应用防火墙
针对常规的Web扫描行为,Web应用防火墙(WebApplicationFirewall,WAF)基本上可以直接拦截或阻断。Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对
Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
WAF产品有基于硬件的,也有基于软件的,还有基于云的:
·硬件WAF一般支持透明桥接模式、旁路模式、反向代理模式等部署方式,而且性能好、支持ByPass等,所以是我们的首选。当然,有些防火墙的IPS模块也具备一定的WAF功能,例如CheckPoint;有些负载均衡设备本身也支持SSL卸载和应用防护,例如F5。在实际的部署过程中,需要考虑在哪一层部署,或者结合各产品自身特性综合性地部署。
·在一些不重要的区域或者基于成本考虑,也可以使用软件WAF,比较著名的有ModSecurity。
ModSecurity的规则包括基础规则集、SLR规则集、可选规则集、实验性规则集。基础规则集主要包括与HTTP协议规范相关的一些规则,一些SQL注入、XSS、目录遍历、Webshell等;SLR规则集则是针对特定应用(例如Joomla、PHPBB、WordPress等)的漏洞利用规则。考虑到ModSecurity性能有所不足,还可以使用基于nginx的方案,如Naxsi,或者其他开源方案,如GitHub上的FreeWAF。客观来讲,使用开源WAF对安全人员要求较高,也更灵活。
·有些企业考虑将业务上云,于是出现了基于云的WAF,其本质上也是软件WAF,结合了一些日志分析、机器学习的技术。
整体来讲,可以考虑在前端有硬件WAF的情况下,在服务器上启用软件WAF,结合业务场景对特定请求进行重点防护,以做补充。
虽然市面上某些WAF有利用机器学习的功能,可以对各种请求的参数进行学习并判定是否合法,但WAF更多是基于规则的,有规则就会有绕过的可能。针对这些可能绕过WAF的请求,我们还需要借助入侵检测系统/入侵防御系统(Intrusion Detection System/Intrusion Prevention System,IDS/IPS)类产品对
WAF
后端的流量进行分析,发现恶意行为。
IDS
开源的有
Snort
,网上有较多的资料,不再赘述。
商业的
IDS
产品相对来讲更有保障,有新漏洞也可以得到新的规则库,在发生告警后还可以保留一段时间的
数据
包供进一步分析。
针对暴露在互联网上的应用,我们自己也要开展定期扫描、内外部渗透测试等工作。漏洞扫描工具常见的有AWS、IBM Appscan、HP WebInspect、Nikto等商业或开源扫描器,针对一些漏洞逻辑可能还会使用BurpSuite、Fiddler等工具进行辅助。笔者建议有条件的企业,对一些企业应用经常出现的漏洞进行针对性的扫描,适当的时候可以结合开源代码定制自己的扫描器,这样的好处是便于内部IPS和WAF识别或加白处理。
渗透测试往往包含内部测试和外部测试,内部安全人员对业务理解更深,更容易发现问题。考虑到内部人手、技能、经验等原因,企业一般会采购外部渗透服务,有一些是国家测评中心等国家单位,有些是绿盟、安恒、长亭科技这样的企业。笔者建议是多找几家,最好实现按漏洞付费,每个公司的渗透人员都有不同的经验和思路,多找几家往往能更加全面地覆盖。
关于漏洞扫描和渗透测试的内容,在第19章中有更详细的描述。
未拦截的请求到了DMZ服务器,对应用或者系统有什么样的影响,我们放到这一节来探讨。常规的系统加固、WebServer加固、目录权限设置等就不说了,恶意请求的目的可能是:想利用上传功能直接上传一个WebShell,利用文件包含功能直接引用一个远程的WebShell,利用文件解析漏洞上传恶意图片或视频,触发特定漏洞执行命令,或者是已经拿到WebShell直接请求执行命令。如何有效发现WebShell,
是一个很大的话题,这里不详细展开。
一般来讲,有以下几个思路:
·文件内容扫描,看是否有一些高危函数、黑客版权信息等,改进一点的是结合机器学习对网络上的各种样本进行收集提取。
·结合文件变化及属性来判断。·结合网络流量特征来判断。
在系统上,有没有较好的方式发现异常呢?打个比方,有些黑客喜欢拿到WebShell后上来就执行
whoami之类的指令,我们是否可以利用基于主机型入侵检测系统(Host-based Intrusion Detection
System
,
HIDS
)中的检测模型发现其中的异常呢?
操作系统本
身就有一些审计日志功能,针对一些特定
的攻防场景,需要针对性的研究,定制规则以发现异常。
开源的HIDS产品中,OSSEC比较出名。OSSEC是一款开源的基于主机的入侵检测系统,包括日志分析、文件/注册表完整性检测、安全策略监控、Rootkit检测、实时报警、动态响应等功能。它的最大优势在于支持很多操作系统,包括Linux、MacOS、Solaris、HP-UX、AIX和Windows。OSSEC默认带有一些规则,包括SSH破解、Windows登录失败、账号添加修改等,安装上简单测试就可以看到效果,但要实际投产使用,还需要针对性地写一些插件规则以满足特定场景下的攻防策略需求。另外,OSSEC有些功能的实现方式不是非常完美,例如,Rookit检测中的代码居然是直接利用netstat命令的结果进行对比,如图11-3所示。
图11-
3Rookit检测中的代码直接利用netstat命令的结果
进行
对比
在负载高的机器上,netstat的执行会非常慢,还会因为时间原因产生误报。
对于Windows系统,建议使用Sysmon。Sysmon是由WindowsSysinternals出品的Sysinternals系列中的工具,它以系统服务和设备驱动程序的方式安装在系统上,并保持常驻性。Sysmon用来监视和记录系统活动,并记录到Windows事件日志,可以提供有关进程创建、网络连接和文件创建时间更改的详细信息。Sysmon由微软出品,兼容性有保障,功能强大,对Windows审计日志是一个非常棒的补充。在大量机器部署的情况下,结合Sysmon+Evtsys收集日志汇总到SOC,定制CASE,也是一个不错的方案。
11.4 网络安全
假设某台服务器因为有漏洞已经被攻陷,黑客一般会在机器上进行各种翻找,甚至进一步探测其他网络。
WebShell通常为了方便都提供反弹shell的功能,即主动外连到特定端口,如果前面我们的防火墙在外连这块控制得不好,就容易出问题。针对这个隐患,我们建议在网络上针对主动出站的连接进行记录,
与学习到的基线或者自行维护的黑白名单进行对比,以发现
问题,我们把它称之为
“
异常流量检测系
统
”
,在
DMZ
环境下只需关注主动外连的情况,相对简单。
在DMZ内网活动的时候,流量不一定会被镜像到,这时候我们需要借助蜜罐来发现异常。在每个
DMZ
网段内部署一到两个蜜罐,可以有效发现针对内网的扫描和探测行为。
提到蜜罐,大家都熟知
honeyd
,是一个非常优秀的开源蜜罐框架,支持模拟多
个
IP
主机
和任意的网络
拓扑结构,还支持服务模拟脚本来模拟后端应用,如
IIS
、
Telnet
、
POP
3
等。
在实际环境中需要关注其可能带来的运行风险,例如,
其
arpd
的组件使用类似
ARP
欺骗的方式牵引流量到密灌,在错误的运行方式下,如果同一网段任意存活主机在某时刻短暂掉线后,可能会被蜜罐程序的
