從網(wǎng)絡(luò)攻擊防御淺析內(nèi)網(wǎng)信息安全防護(hù)方法

徐振華

1 國(guó)內(nèi)信息化建設(shè)現(xiàn)狀

1.1 企業(yè)信息化建設(shè)現(xiàn)狀

隨著信息技術(shù)的飛速發(fā)展，特別是進(jìn)入新世紀(jì)以來(lái)，我國(guó)信息化基礎(chǔ)設(shè)施普及已達(dá)到較高水平，但應(yīng)用深度有待進(jìn)一步建設(shè)。從《第35次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》的一組數(shù)據(jù)顯示出，截至2014年12月，全國(guó)使用計(jì)算機(jī)辦公的企業(yè)比例為90.4%，截至2014年12月，全國(guó)使用互聯(lián)網(wǎng)辦公的企業(yè)比例為78.7%。近些年，我國(guó)企業(yè)在辦公中使用計(jì)算機(jī)的比例基本保持在90%左右的水平上，互聯(lián)網(wǎng)的普及率也保持在80%左右，在使用互聯(lián)網(wǎng)辦公的企業(yè)中，固定寬帶的接入率也連續(xù)多年超過(guò)95% ?；A(chǔ)設(shè)施普及工作已基本完成，但根據(jù)企業(yè)開展互聯(lián)網(wǎng)應(yīng)用的實(shí)際情況來(lái)看，仍存在很大的提升空間。

一方面，是采取提升內(nèi)部運(yùn)營(yíng)效率措施的企業(yè)比例較低，原因之一在于企業(yè)的互聯(lián)網(wǎng)應(yīng)用意識(shí)不足，之二在于內(nèi)部信息化改造與傳統(tǒng)業(yè)務(wù)流程的契合度較低，難以實(shí)現(xiàn)真正互聯(lián)網(wǎng)化，之三在于軟硬件和人力成本較高，多數(shù)小微企業(yè)難以承受；另一方面，營(yíng)銷推廣、電子商務(wù)等外部運(yùn)營(yíng)方面開展互聯(lián)網(wǎng)活動(dòng)的企業(yè)比例較低，且在實(shí)際應(yīng)用容易受限于傳統(tǒng)的經(jīng)營(yíng)理念，照搬傳統(tǒng)方法。

1.2 企業(yè)網(wǎng)絡(luò)應(yīng)用現(xiàn)狀

根據(jù)最新的《第35次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》中的數(shù)據(jù)顯示，企業(yè)開展的互聯(lián)網(wǎng)應(yīng)用種類較為豐富，基本涵蓋了企業(yè)經(jīng)營(yíng)的各個(gè)環(huán)節(jié)。電子郵件作為最基本的互聯(lián)網(wǎng)溝通類應(yīng)用，普及率最高，達(dá)83.0%；互聯(lián)網(wǎng)信息類應(yīng)用也較為普遍，各項(xiàng)應(yīng)用的普及率的都超過(guò)50%；而在商務(wù)服務(wù)類和內(nèi)部支撐類應(yīng)用中，除網(wǎng)上銀行、與政府機(jī)構(gòu)互動(dòng)、網(wǎng)絡(luò)招聘的普及率較高以外，其他應(yīng)用均不及50%。我國(guó)大部分企業(yè)尚未開展全面深入的互聯(lián)網(wǎng)建設(shè)，仍停留在基礎(chǔ)應(yīng)用水平上。由于目前我國(guó)網(wǎng)民數(shù)量已經(jīng)突破6億，在人們的日常工作、學(xué)習(xí)中網(wǎng)絡(luò)已經(jīng)扮演了不可替代的角色，因此網(wǎng)絡(luò)安全問(wèn)題就凸顯出來(lái)，2014年，總體網(wǎng)民中有46.3%的網(wǎng)民遭遇過(guò)網(wǎng)絡(luò)安全問(wèn)題，我國(guó)個(gè)人互聯(lián)網(wǎng)使用的安全狀況不容樂(lè)觀。在安全事件中，電腦或手機(jī)中病毒或木馬、賬號(hào)或密碼被盜情況最為嚴(yán)重，分別達(dá)到26.7%和25.9%，在網(wǎng)上遭遇到消費(fèi)欺詐比例為12.6%。

1.3 網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀

當(dāng)前企業(yè)網(wǎng)絡(luò)中已部署的基本的網(wǎng)絡(luò)安全設(shè)備如防火墻等，但網(wǎng)絡(luò)使用安全意識(shí)不高且網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)維護(hù)的過(guò)程，企業(yè)面臨的內(nèi)外部安全威脅日益巨增，整體安全形勢(shì)不容樂(lè)觀。在網(wǎng)絡(luò)安全威脅中，對(duì)于來(lái)著企業(yè)內(nèi)網(wǎng)的安全威脅特別難以防范，傳統(tǒng)的安全防護(hù)措施，只能面對(duì)外部威脅，對(duì)內(nèi)不具備防護(hù)能力。

高校在校園網(wǎng)信息化過(guò)程中數(shù)字化校園就是一典型例子，數(shù)字化校園網(wǎng)可以方便學(xué)生使用各類網(wǎng)絡(luò)學(xué)習(xí)資源。但也有部分學(xué)生在好奇心的驅(qū)使下，往往會(huì)在網(wǎng)絡(luò)中進(jìn)行試探性的病毒傳播、網(wǎng)絡(luò)攻擊等等。也有部分學(xué)生以獲得學(xué)院某臺(tái)服務(wù)器或者網(wǎng)站的控制權(quán)來(lái)顯示其在黑客技術(shù)水平。因此，在內(nèi)網(wǎng)中維護(hù)網(wǎng)絡(luò)安全，保護(hù)信息安全，就顯得更加重要和緊迫了。

2 內(nèi)網(wǎng)面臨的網(wǎng)絡(luò)威脅

筆者在高校內(nèi)網(wǎng)信息化建設(shè)過(guò)程中，通過(guò)多年的研究調(diào)查發(fā)現(xiàn)，學(xué)生的攻擊往往是盲目地，且由于部分高校內(nèi)網(wǎng)管理較混亂，學(xué)生可以繞過(guò)一些身份認(rèn)證等安全檢測(cè)，進(jìn)入校園核心網(wǎng)絡(luò)。學(xué)生的這些行為，一般不存在惡意性質(zhì)，也不會(huì)進(jìn)行蓄意破壞，但這就向我們提出了警示，一旦有不法分子輕松突破防線，其帶來(lái)的危害也是災(zāi)難性的。

筆者以本單位學(xué)生通過(guò)校園網(wǎng)絡(luò)攻擊校園網(wǎng)服務(wù)器的例子，說(shuō)明其網(wǎng)絡(luò)攻擊有時(shí)往往非常容易，其造成的危害卻非常之大。

2.1 突破內(nèi)網(wǎng)，尋找突破口

學(xué)生通過(guò)學(xué)院內(nèi)網(wǎng)IP地址管理漏洞，輕松接入校園內(nèi)部辦公網(wǎng)絡(luò)，并獲得內(nèi)網(wǎng)地址網(wǎng)段劃分情況。通過(guò)流行黑客軟件掃描學(xué)院內(nèi)網(wǎng)獲得內(nèi)網(wǎng)安全薄弱處，檢測(cè)出共青團(tuán)委員會(huì) http：//10.0.1.30：90/該網(wǎng)頁(yè)存在漏洞。進(jìn)一步利用路徑檢測(cè)工具進(jìn)行掃描，獲得了后臺(tái)地址http：//10.0.1.30：90/wtgy/login.php。

2.2 一擊得手

學(xué)生在獲得了正確的管理地址后，只是進(jìn)行了簡(jiǎn)單的嘗試就取得了戰(zhàn)果，通過(guò)弱口令掃描發(fā)現(xiàn)系統(tǒng)存在弱口令，于是嘗試了如admin admin admin admin888 admin 123456等，居然順利進(jìn)入后臺(tái)。

然后利用后臺(tái)的附件管理里面的功能，添加了php格式，從而實(shí)現(xiàn)了上傳。得到了內(nèi)網(wǎng)的webshell（如圖1）。

2.3 再接再厲，權(quán)限提升

學(xué)生不斷嘗試，測(cè)試了asp和aspx 的支持情況，答案是支持asp，不支持aspx的。自然就上傳了 asp webshell，可以實(shí)現(xiàn)跨目錄訪問(wèn)。訪問(wèn)權(quán)限進(jìn)一步提升，如圖，目標(biāo)主機(jī)D盤內(nèi)容一覽無(wú)余，其中不乏一些關(guān)鍵目錄信息就展現(xiàn)在攻擊者眼前（如圖2）：

2.4 獲得系統(tǒng)管理員權(quán)限，完全掌控目標(biāo)主機(jī)服務(wù)器

查看系統(tǒng)所支持的組件，獲取目標(biāo)服務(wù)器系統(tǒng)關(guān)鍵信息?？梢钥吹絯s這個(gè)組件沒(méi)有被禁用，從而上傳cmd，以獲得終極權(quán)限系統(tǒng)管理員權(quán)限。首先想到的是利用webshell中的上傳進(jìn)行，但是權(quán)限問(wèn)題，webshell上傳均失敗，所以轉(zhuǎn)向ftp上傳（同樣存在弱口令），從而繞過(guò)了限制，上傳了cmd.exe。

實(shí)驗(yàn)性的執(zhí)行命令Systeminfo查看系統(tǒng)信息命令，結(jié)果可以正常運(yùn)行，終極權(quán)限獲得（如圖3）：

可以看出，學(xué)生攻擊學(xué)院內(nèi)網(wǎng)的手段并不高明，其用到的黑客攻擊工具，網(wǎng)絡(luò)上也都能隨意下載到，但其通過(guò)自己的仔細(xì)琢磨，充分利用了內(nèi)網(wǎng)管理的漏洞，獲得了關(guān)鍵信息。好在這是實(shí)驗(yàn)性，未造成實(shí)質(zhì)性破壞。內(nèi)網(wǎng)管理員也及時(shí)發(fā)現(xiàn)了問(wèn)題，并對(duì)目標(biāo)服務(wù)器進(jìn)行了安全加固工作。但我們不難發(fā)現(xiàn)，其實(shí)網(wǎng)絡(luò)安全的程度存在著“木桶原理”的問(wèn)題，也就是網(wǎng)絡(luò)最薄弱的環(huán)節(jié)，決定著內(nèi)網(wǎng)的安全程度。在現(xiàn)實(shí)中往往由于管理者的疏忽或者使用者貪圖一時(shí)方便的原因，給網(wǎng)絡(luò)中潛在的攻擊者留下致命的后門。

3 建立信息防泄露的內(nèi)網(wǎng)訪問(wèn)控制模型

針對(duì)上述服務(wù)器網(wǎng)絡(luò)攻擊，最有效的方法就是對(duì)用戶訪問(wèn)進(jìn)行準(zhǔn)入控制，隔離潛在威脅用戶。例如，在內(nèi)網(wǎng)中對(duì)所有用戶進(jìn)行身份認(rèn)證，分配相應(yīng)的網(wǎng)絡(luò)訪問(wèn)權(quán)限。在內(nèi)網(wǎng)安全架構(gòu)中，訪問(wèn)控制是非常重要的一環(huán)，其承擔(dān)著與后臺(tái)策略決策系統(tǒng)交互，決定終端對(duì)網(wǎng)絡(luò)訪問(wèn)權(quán)限發(fā)分配。目前主要使用的訪問(wèn)控制技術(shù)主要有：

3.1 802.1X 訪問(wèn)控制技術(shù)

802.1X 是一個(gè)二層協(xié)議，需要接入層交換機(jī)支持。在終端接入時(shí)，端口缺省只打開802.1X的認(rèn)證通道，終端通過(guò)802.1X認(rèn)證之后，交換機(jī)端口才打開網(wǎng)絡(luò)通信通道。其優(yōu)點(diǎn)是：在終端接入網(wǎng)絡(luò)時(shí)就進(jìn)行準(zhǔn)入控制，控制力度強(qiáng)，已經(jīng)定義善的協(xié)議標(biāo)準(zhǔn)。其缺點(diǎn)是：對(duì)以網(wǎng)交換機(jī)技術(shù)要求高，必須支持802.1X認(rèn)證，配置過(guò)程比較復(fù)雜，需要考慮多個(gè)設(shè)備之間的兼容性，交換機(jī)下可能串接HUB，交換機(jī)可能對(duì)一個(gè)端口上的多臺(tái)PC 當(dāng)成一個(gè)狀態(tài)處理，存在訪問(wèn)控制漏洞。

3.2 ARP spoofing訪問(wèn)控制技術(shù)

在每個(gè)局域網(wǎng)上安裝一個(gè)ARP spoofing代理，對(duì)終端發(fā)起ARP 請(qǐng)求代替路由網(wǎng)關(guān)回ARP spoofing，從而使其他終端的網(wǎng)絡(luò)流量必須經(jīng)過(guò)代理。在這個(gè)ARP spoofing代理上進(jìn)行準(zhǔn)入控制。其優(yōu)點(diǎn)是：ARP適用于任何IP 網(wǎng)絡(luò)，并且不需要改動(dòng)網(wǎng)絡(luò)和主機(jī)配置，易于安裝和配置。其缺點(diǎn)是：類似DHCP控制，終端可以通過(guò)配置靜態(tài)ARP表，來(lái)繞過(guò)準(zhǔn)入控制體系。此外，終端安全軟件和網(wǎng)絡(luò)設(shè)備可能會(huì)將ARP spoofing當(dāng)成惡意軟件處理。

3.3 DNS重定向訪問(wèn)控制技術(shù)

在DNS重定向機(jī)制中，將終端的所有DNS解析請(qǐng)求全部指定到一個(gè)固定的服務(wù)器IP地址。其優(yōu)點(diǎn)是：類似DHCP管理和ARP spoofing，適用于任何適用DNS協(xié)議的網(wǎng)絡(luò)，易于安裝和部署，支持WEB portal頁(yè)面，可以通過(guò)DNS 重定向，將終端的HTML 請(qǐng)求重定向到WEB認(rèn)證和安全檢查頁(yè)面。其缺點(diǎn)是：類似DHCP控制和ARP spoofing，終端可以通過(guò)不使用DNS 協(xié)議來(lái)繞開準(zhǔn)入控制限制（例如：使用靜態(tài)HOSTS文件）。

以上是內(nèi)網(wǎng)安全設(shè)備主流使用的準(zhǔn)入控制方式，每種方式都具有其特定的優(yōu)缺點(diǎn)，一般來(lái)說(shuō)每個(gè)設(shè)備都會(huì)支持兩種以上的準(zhǔn)入控制方式。但是，網(wǎng)絡(luò)管控對(duì)于網(wǎng)絡(luò)使用的便捷性是一對(duì)矛盾體，如果既要使用的便捷性，又要對(duì)網(wǎng)絡(luò)進(jìn)行有效管控，這對(duì)網(wǎng)絡(luò)安全設(shè)備的性能提出了相當(dāng)高的要求。然而，高性能的安全設(shè)備價(jià)格非常昂貴，這也是很多企業(yè)寧可暴露威脅，也不防范的原因之一。

3.4 網(wǎng)關(guān)準(zhǔn)入控制——UTM（統(tǒng)一威脅管理）

UTM產(chǎn)品的設(shè)計(jì)初衷是為了中小型企業(yè)提供網(wǎng)絡(luò)安全防護(hù)解決方案，其低廉的價(jià)格和強(qiáng)大的集成功能，在企業(yè)內(nèi)網(wǎng)中扮演著重要的角色。UTM將安全網(wǎng)關(guān)、終端代理軟件、終端策略服務(wù)器、認(rèn)證控制點(diǎn)四位一體化部署，可以在內(nèi)網(wǎng)中進(jìn)行多點(diǎn)部署，從而構(gòu)建出內(nèi)網(wǎng)用戶訪問(wèn)控制模型，實(shí)現(xiàn)全面覆蓋用戶內(nèi)網(wǎng)每一個(gè)區(qū)域和角落。

（1）合理部署網(wǎng)關(guān)位置

UTM的位置本身即位于安全域邊界，由于UTM的設(shè)備性能參數(shù)，一般不建議部署在互聯(lián)網(wǎng)出口、服務(wù)器出口及辦公網(wǎng)出口等網(wǎng)絡(luò)核心節(jié)點(diǎn)，在內(nèi)網(wǎng)訪問(wèn)控制模型中，可以部署在網(wǎng)絡(luò)拓?fù)渲械膮R聚節(jié)點(diǎn)。從安全理論的角度講，對(duì)某一區(qū)域網(wǎng)絡(luò)中的所有用戶進(jìn)行控制（包括訪問(wèn)控制、準(zhǔn)入控制、業(yè)務(wù)控制等）；同時(shí)，UTM設(shè)備的入侵防御、防病毒、外連控制等模塊可以與準(zhǔn)入控制功能相互配合，UTM一旦發(fā)現(xiàn)某用戶行為違規(guī)，就可以通過(guò)內(nèi)網(wǎng)管理系統(tǒng)直接斷開該用戶的所有連接。

（2）UTM優(yōu)勢(shì)分析

采用UTM網(wǎng)關(guān)配合內(nèi)網(wǎng)管理系統(tǒng)實(shí)現(xiàn)訪問(wèn)控制，用戶只需要購(gòu)買少量UTM設(shè)備，采用透明方式部署至網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)處，即可以實(shí)現(xiàn)全面的準(zhǔn)入控制。與基于DHCP控制，ARP spoofing，DNS 劫持等準(zhǔn)入控制相比，UTM 準(zhǔn)入控制能力更強(qiáng)、更全面，終端用戶在任何情況下均無(wú)法突破或繞過(guò)準(zhǔn)入控制。

除此以外，UTM設(shè)備還可根據(jù)終端的安全情況自動(dòng)配置合適的安全策略，如在終端未滿足某些安全要求的情況下開放其訪問(wèn)修復(fù)服務(wù)器的權(quán)限。

網(wǎng)絡(luò)安全，不應(yīng)只關(guān)注網(wǎng)絡(luò)出口安全，更應(yīng)關(guān)注內(nèi)網(wǎng)中的信息安全，信息的泄漏往往是從內(nèi)部開始，因此，構(gòu)建內(nèi)網(wǎng)訪問(wèn)控制模型就非常重要，采取UTM幫助內(nèi)網(wǎng)進(jìn)行安全管控是一個(gè)非常便捷、高效的手段。

[責(zé)任編輯：楊玉潔]