一:网站的通用保护方法
针对黑客威胁, 网络安全管理员采取各种手段增强服务器的安全, 确保WWW服务的正常运行。 象在Internet上的Email、ftp等服务器一样, 可以用如下的方法来对WWW服务器进行保护:
安全配置
关闭不必要的服务, 最好是只提供WWW服务, 安装操作系统的最新补丁, 将WWW服务升级到最 新版本并安装所有补丁, 对根据WWW服务提供者的安全建议进行配置等, 这些措施将极大提供WWW服务器本身的安全。
防火墙
安装必要的防火墙, 阻止各种扫描工具的试探和信息收集, 甚至可以根据一些安全报告来阻止来自某些特定IP地址范围的机器连接, 给WWW服务器增加一个防护层, 同时需要对防火墙内的网络环境进行调整, 消除内部网络的安全隐患。
漏洞扫描
使用商用或免费的漏洞扫描和风险评估工具定期对服务器进行扫描, 来发现潜在的安全问题, 并确保由于升级或修改配置等正常的维护工作不会带来安全问题。
入侵检测系统
利用入侵检测系统(IDS)的实时监控能力, 发现正在进行的攻击行为及攻击前的试探行为, 记录黑客的来源及攻击步骤和方法。
这些安全措施都将极大提供WWW服务器的安全, 减少被攻击的可能性。
二:网站的专用保护方法
尽管采用的各种安全措施能防止很多黑客的攻击, 然而由于各种操作系统和服务器软件漏洞的不断发现, 攻击方法层出不穷, 技术高明的黑客还是能突破层层保护, 获得系统的控制权限, 从而达到破坏主页的目的。 这种情况下, 一些网络安全公司推出了专门针对网站的保护软件, 只保护网站最重要的内容——网页。 一旦检测到被保护的文件发生了{非正常的}改变, 就进行恢复。 一般情况下, 系统首先需要对正常的页面文件进行备份, 然后启动检测机制, 检查文件是否被修改, 如果被修改就需要进行恢复。 我们对以下几个方面的技术进行分析比较:
监测方式
本地和远程:检测可以是在本地运行一个监测端, 也可以在网络上的另一台主机。 如果是本地的话, 监测端进程需要足够的权限读取被保护目录或文件。 监测端如果在远端的话, WWW服务器需要开放一些服务并给监测端相应的权限, 较常见的方式是直接利用服务器的开放的WWW服务, 使用HTTP协议来监测被保护的文件和目录。 也可利用其它常用协议来检测保护文件和目录, 如FTP等。 采用本地方式检测的优点是效率高, 而远程方式则具有平台无关性, 但会增加网络流量等负担。
定时和触发:绝大部分保护软件是使用的定时检测的方式, 不论在本地还是远程检测都是根据系统设定的时间定时检测, 还可将被保护的网页分为不同等级, 等级高的检测时间间隔可以设得较短, 以获得较好的实时性, 而将保护等级较低的网页文件检测时间间隔设得较长, 以减轻系统的负担。 触发方式则是利用操作系统提供的一些功能, 在文件被创建、修改或删除时得到通知, 这种方法的优点是效率高, 但无法实现远程检测。
比较方法
在判断文件是否被修改时, 往往采用被保护目录和备份库中的文件进行比较, 比较最常见的方式全文比较。 使用全文比较能直接、准确地判断出该文件是否被修改。 然而全文比较在文件较大较多时效率十分低下, 一些保护软件就采用文件的属性如文件大小、创建修改时间等进行比较, 这种方法虽然简单高效, 但也有严重的缺陷:{恶意入侵者}可以通过精心构造, 把替换文件的属性设置得和原文件完全相同, {从而使被恶意更改的文件无法被检测出来}.另一种方案就是比较文件的数字签名, 最常见的是MD5签名算法, 由于数字签名的不可伪造性, 数字签名能确保文件的相同。
恢复方式
恢复方式与备份库存放的位置直接相关。 如果备份库存放在本地的话, 恢复进程必须有写被保护目录或文件的权限。 如果在远程则需要通过文件共享或FTP的方式来进行, 那么需要文件共享或FTP的帐号, 并且该帐号拥有对被保护目录或文件的写权限。
备份库的安全
当黑客发现其更换的主页很快被恢复时, 往往会激发起进一步破坏的欲望, 此时备份库的安全尤为重要。 网页文件的安全就转变为备份库的安全。 对备份库的保护一种是通过文件隐藏来实现, 让黑客无法找到备份目录。 另一种方法是对备份库进行数字签名, 如果黑客修改了备份库的内容, 保护软件可以通过签名发现, 就可停止WWW服务或使用一个默认的页面。
通过以上分析比较我们发现各种技术都有其优缺点, 需要结合实际的网络环境来选择最适合的技术方案。
三:网站保护的缺陷
尽管网站保护软件能进一步提高系统的安全, 仍然存在一些缺陷。 首先这些保护软件都是针对静态页面而设计, 而现在动态页面占据的范围越来越大, 尽管本地监测方式可以检测脚本文件, 但对脚本文件使用的数据库却无能为力。
另外, 有些攻击并不是针对页面文件进行的, 前不久泛滥成灾的"Red Code"就是使用修改IIS服务的一个动态库来达到攻击页面的目的。 另一个方面, 网站保护软件本身会增加WWW服务器的负载, 在WWW服务器负载本身已经很重的情况下, 一定好仔细规划好使用方案。
