避免遭受攻擊保證上傳FTP服務器的安全

發布日期:2011-07-24首頁 > 安全資(zī)訊

在網絡科技時代,SOHO(Small OfficeHome Office)或遠程辦公(Tele-office)作爲一(yī)種新的工(gōng)作和生(shēng)活方式,已經慢(màn)慢(màn)地被一(yī)些公司和個人所接受。

借助無所不在的網絡,很多人呆在自己的空間裏工(gōng)作,這是一(yī)種更加自由也更環保的生(shēng)活,SOHO一(yī)方面可以讓員(yuán)工(gōng)避免上下(xià)班擁擠的交通,另一(yī)方面也減少了公司昂貴的辦公室房租支出,同時也給員(yuán)工(gōng)更多的自由空間以激發他們的創意,所以許多大(dà)型的企業機構也開(kāi)始允許和和鼓勵職員(yuán)成爲"SOHO族". SOHO族們通過網絡在公司FTP服務器上傳或下(xià)載文件,通過QQ和Email與同事或領導、業務上的合作夥伴進行工(gōng)作交流,通過IE浏覽器在互聯網上查找各種資(zī)料等過程中(zhōng),應該注意哪些安全問題呢?作爲與員(yuán)工(gōng)進行交流的橋梁的公司FTP服務器,管理員(yuán)又(yòu)該如何保障其安全呢?

作爲員(yuán)工(gōng)上傳和下(xià)載文件的公司FTP服務器必須與Internet相連,而且必須有一(yī)個公共的IP地址,才能方便員(yuán)工(gōng)正常訪問。正是這固定的 IP地址,方便了成天遊蕩于網絡上不甘寂寞的黑客們,他們時時刻刻在尋找攻擊的目标,哪怕這種攻擊與破壞對他們沒有絲毫的好處,但這些人仍樂此不彼,把攻擊的機器多少作爲炫耀他們黑客本事高低的标準。那麽對于FTP服務器來說,可能面臨哪些種類的攻擊呢?

  一(yī)、FTP服務器可能受到的攻擊

雖然Windows操作系統類服務器,操作簡單,配置方便,但是微軟操作系統的漏洞層出不窮,如果服務器以Windows作爲操作系統,管理員(yuán)永遠沒有空閑的時候,要時刻關注微軟是否又(yòu)發布了什麽新補丁,公布了什麽新漏洞,然後在最快的時間内打上補丁,睹上漏洞,而且網上針對Windows的黑客工(gōng)具也很多,稍微懂點計算機知(zhī)識的人都可以操作,所以對于稍微重要的服務器,爲了保證服務器安全,管理員(yuán)都不再願意使用Windows系統了,而是采用Unix服務器。Unix操作系統的操作要比Windows操作系統要複雜(zá)得多,至少可以擋住那些隻會使用Windows系統的一(yī)類人,而且它的安全性也要高得多。對unix服務器的攻擊相對來說也就難些,但是這并不代表就沒有攻擊,對于這類服務器,可能受到下(xià)面兩大(dà)類型的攻擊。

  1.拒絕服務攻擊

DoS(Denial of Service,拒絕服務),是一(yī)種利用合理的服務請求占用過多的服務資(zī)源,從而使合法用戶無法得到服務響應的網絡攻擊行爲。由于典型的DoS攻擊就是資(zī)源耗盡和資(zī)源過載,因此當一(yī)個對資(zī)源的合理請求大(dà)大(dà)超過資(zī)源的支付能力時,合法的訪問者将無法享用合理的服務。

遭到DoS攻擊時,會有大(dà)量服務請求發向同一(yī)台服務器的服務守護進程,這時就會産生(shēng)服務過載。這些請求通過各種方式發出,而且許多都是故意的。在分(fēn)時機制中(zhōng),計算機需要處理這些潮水般湧來的請求,十分(fēn)忙碌,以至無法處理常規任務,就會丢棄許多新請求。如果攻擊的對象是一(yī)個基于TCP協議的服務,這些請求還會被重發,進一(yī)步加重網絡的負擔。

  2.弱口令漏洞攻擊

由于Unix操作系統本身的漏洞很少,不容易被利用,所以黑客們要想入侵,很多都是從帳号和密碼上打主意。而用戶的ID很容易通過一(yī)些現成的掃描器獲得,所以口令就成爲第一(yī)層和唯一(yī)的防禦線。可是有些管理員(yuán)爲了方便,将有些服務器的一(yī)些帳号采用易猜的口令,甚至有的帳号根本沒有口令,這無疑是虛掩房門等黑客進來。另外(wài),很多系統有内置的或缺省的帳号也沒有更改口令,這些都給黑客帶來很多可乘之機,攻擊者通常查找這些帳号。隻要攻擊者能夠确定一(yī)個帳号名和密碼,他(或她)就能夠進入目标計算機。

  二、防範拒絕服務攻擊

  1.加固操作系統

加固操作系統,即對操作系統參數進行配置以加強系統的穩固性,重新編譯或設置 BSD系統等操作系統内核中(zhōng)的某些參數,提高系統的抗攻擊能力。例如,DoS攻擊的典型種類——SYN Flood,利用TCP/IP協議漏洞發送大(dà)量僞造的TCP連接請求,以造成網絡無法連接用戶服務或使操作系統癱瘓。該攻擊過程涉及到系統的一(yī)些參數:可等待的數據包的鏈接數和超時等待數據包的時間長度。用戶可以将數據包的鏈接數從缺省值128或512修改爲2048或更大(dà),加長每次處理數據包隊列的長度,以緩解和消化更多數據包的攻擊;此外(wài),用戶還可将超時時間設置得較短,以保證正常數據包的連接,屏蔽非法攻擊包。但通常這些方法的防攻擊能力非常有限。

2.增設防火(huǒ)牆

我(wǒ)們可以在公司網絡服務器和外(wài)部網絡之間的增設一(yī)道屏障,以防止發生(shēng)不可預測的、潛在破壞性的侵入,那就是增設一(yī)個防火(huǒ)牆。防火(huǒ)牆利用一(yī)組形成防火(huǒ)牆"牆磚"的軟件或硬件将外(wài)部網絡與内部網絡隔開(kāi),它可以保護内部網絡不受外(wài)部網絡的非授權訪問,因此利用防火(huǒ)牆來阻止DoS攻擊能有效地保護内部的 服務器。我(wǒ)們可以把FTP服務器放(fàng)在防火(huǒ)牆的DMZ區,讓其既可以接受來自Internet的訪問,又(yòu)可以受到防火(huǒ)牆的安全保護。針對SYN Flood,防火(huǒ)牆通常有三種防護方式:SYN網關、被動式SYN網關和SYN中(zhōng)繼。

(1)SYN網關

防火(huǒ)牆收到客戶端的SYN包時,直接轉發給服務器;防火(huǒ)牆收到服務器的SYN/ACK包後,一(yī)方面将SYN/ACK包轉發給客戶端,另一(yī)方面以客戶端的名義給服務器回送一(yī)個ACK包,完成TCP的三次握手,讓服務器端由半連接狀态進入連接狀态。當客戶端真正的ACK包到達時,有數據則轉發給服務器,否則丢棄該包。由于服務器能承受連接狀态要比半連接狀态高得多,所以這種方法能有效地減輕對服務器的攻擊。

(2)被動式SYN網關

設置防火(huǒ)牆的SYN請求超時參數,讓它遠小(xiǎo)于服務器的超時期限。防火(huǒ)牆負責轉發客戶端發往服務器的SYN包,服務器發往客戶端的SYN/ACK 包、以及客戶端發往服務器的ACK包。這樣,如果客戶端在防火(huǒ)牆計時器到期時還沒發送ACK包,防火(huǒ)牆則往服務器發送RST包,以使服務器從隊列中(zhōng)删去(qù)該半連接。由于防火(huǒ)牆的超時參數遠小(xiǎo)于服務器的超時期限,因此這樣能有效防止SYN Flood攻擊。

(3)SYN中(zhōng)繼

防火(huǒ)牆在收到客戶端的SYN包後,并不向服務器轉發而是記錄該狀态信息然後主動給客戶端回送SYN/ACK包,如果收到客戶端的ACK包,表明是正常訪問,由防火(huǒ)牆向服務器發送SYN包并完成三次握手。

這樣由防火(huǒ)牆做爲代理來實現客戶端和服務器端的連接,可以完全過濾不可用連接發往服務器

各企業在選擇防火(huǒ)牆時,除了根據以上幾種保護方式進行選擇以外(wài),還需要根據企業本身的業務量來決定選擇的防火(huǒ)牆的性能。性能越好,當然價格也就越高,而且防火(huǒ)牆的性能和資(zī)源的占用是相關的,性能越高,占用資(zī)源也就越多,占用帶寬比例也就越高。另外(wài)一(yī)般企業如果不想在安全産品上投入過多,則會要求防火(huǒ)牆同時具有入侵檢測、VPN等功能,甚至防病毒功能。