文章內(nèi)容

服務(wù)器安全（三） (4)

發(fā)布時(shí)間: 2012/9/9 15:57:44

置文件的構(gòu)造形式
　　urlscan配置文件必須遵從以下規(guī)則：
　　（1）此文件名必須為urlscan.ini；
　　（2）配置文件必須和urlscan.dll在同一目錄；
　　（3）配置文件必須是標(biāo)準(zhǔn)ini文件結(jié)構(gòu)，也就是由節(jié)，串和值組成；
　�。�4）配置文件修改以后，必須重新啟動(dòng)IIS，使配置生效；
　�。�5）配置文件由以下各節(jié)組成：
　　[Option]節(jié)，主要設(shè)置節(jié)；
　　[AllowVerbs]節(jié)，配置認(rèn)定為合法URL規(guī)則設(shè)定，此設(shè)定與Option節(jié)有關(guān)；
　　[DenyVerbs]節(jié)，配置認(rèn)定為非法URL規(guī)則設(shè)定，此設(shè)定與Option節(jié)有關(guān)；
　　[DenyHeaders]節(jié)，配置認(rèn)定為非法的header在設(shè)立設(shè)置；
　　[AllowExtensions]節(jié)，配置認(rèn)定為合法的文件擴(kuò)展名在這里設(shè)置，此設(shè)定與Option節(jié)有關(guān)；
　　[DenyExtensions]節(jié)，配置認(rèn)定為非法的文件擴(kuò)展名在這里設(shè)置，此設(shè)定與Option節(jié)有關(guān)；
　　２、具體配置
　�。�1）Option節(jié)的配置，因?yàn)镺ption節(jié)的設(shè)置直接影響到以后的配置，因此，這一節(jié)的設(shè)置特別重要。此節(jié)
主要進(jìn)行以下屬性的設(shè)置：
　　UseAllowVerbs：使用允許模式檢查URL請(qǐng)求，如果設(shè)置為1,所有沒(méi)有在[AllowVerbs]節(jié)設(shè)置的請(qǐng)求都被拒
絕；如果設(shè)置為0，所有沒(méi)有在[DenyVerbs]設(shè)置的URL請(qǐng)求都認(rèn)為合法；默認(rèn)為1;
　　UseAllowExtensions：使用允許模式檢測(cè)文件擴(kuò)展名；如果設(shè)置為 1,所有沒(méi)在[AllowExtensions]節(jié)設(shè)置
的文件擴(kuò)展名均認(rèn)為是非法請(qǐng)求；如果設(shè)置為0,所有沒(méi)在[DenyExtensions]節(jié)設(shè)置的擴(kuò)展名均被認(rèn)為是合法請(qǐng)
求；默認(rèn)為0;
　　EnableLogging：是否允許使用Log文件，如果為1,將在urlscan.dll的相同目錄設(shè)置名為urlscan.log的文
件記錄所有過(guò)濾；
　　AllowLateScanning：允許其他URL過(guò)濾在URLScan過(guò)濾之前進(jìn)行，系統(tǒng)默認(rèn)為不允許0;
　　AlternateServerName：使用服務(wù)名代替；如果此節(jié)存在而且[RemoveServerHeader]節(jié)設(shè)置為0,IIS將在這
里設(shè)置的服務(wù)器名代替默認(rèn)的“Server”；
　　NormalizeUrlBeforeScan：在檢測(cè)URL之前規(guī)格化URL；如果為1，URLScan將在IIS編碼URL之前URL進(jìn)行檢測(cè)
；需要提醒的是，只有管理員對(duì)URL解析非常熟悉的情況下才可以將其設(shè)置為0；默認(rèn)為1；
　　VerifyNormalization：如果設(shè)置為1，UrlScan將校驗(yàn)URL規(guī)則，默認(rèn)為1；此節(jié)設(shè)定與
NormalizeUrlBeforeScan有關(guān)；
　　AllowHighBitCharacters：如果設(shè)置為1,將允許URL中存在所有字節(jié)，如果為0，含有非ASCII字符的URL將
拒絕；默認(rèn)為1；
　　AllowDotInPath：如果設(shè)置為1，將拒絕所有含有多個(gè)“.”的URL請(qǐng)求，由于URL檢測(cè)在IIS解析URL之前，
所以，對(duì)這一檢測(cè)的準(zhǔn)確性不能保證，默認(rèn)為0；
　　RemoveServerHeader：如果設(shè)置為1，將把所有應(yīng)答的服務(wù)頭清除，默認(rèn)為0;
　�。�2）[AllowVerbs]節(jié)配置
　　如果UseAllowVerbs設(shè)置為1,此節(jié)設(shè)置的所有請(qǐng)求將被允許，一般設(shè)置以下請(qǐng)求：
　　GET、HEAD、POST
　�。�3）[DenyVerbs]節(jié)配置
　　如果UseAllowVerbs設(shè)置為0，此節(jié)設(shè)置的所有請(qǐng)求將拒絕，一般設(shè)置以下請(qǐng)求：
　　PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK
　　（4）[AllowExtensions]節(jié)設(shè)置
　　在這一節(jié)設(shè)置的所有擴(kuò)展名文件將被允許請(qǐng)求，一般設(shè)置以下請(qǐng)求：
　　.asp、.htm、.html、.txt、.jpg、.jpeg、.gif，如果需要提供文件下載服務(wù)，需要增加.rar、.zip
　　（5）[DenyExtensions]節(jié)設(shè)置
　　在這一節(jié)設(shè)置的所有擴(kuò)展名文件請(qǐng)求將被拒絕，根據(jù)已經(jīng)發(fā)現(xiàn)的漏洞，我們可以在這一節(jié)增加內(nèi)容，一般
為以下設(shè)置：
.asa、可執(zhí)行文件、批處理文件、日志文件、罕見(jiàn)擴(kuò)展如：shtml、.printer等。
三、總結(jié)
　　以上兩個(gè)工具功能強(qiáng)大，可以真正實(shí)現(xiàn)對(duì)IIS的保護(hù)。IIS Lock Tool簡(jiǎn)單，相對(duì)而言，只是被動(dòng)的防衛(wèi)；
UrlScan設(shè)置比較難，建議對(duì)IIS非常熟悉的管理員使用，只要設(shè)置得當(dāng)，UrlScan的功能更加強(qiáng)大。在使用
UrlScan的時(shí)候，切記不要設(shè)置一次萬(wàn)事大吉，需要不停跟蹤新出現(xiàn)的漏洞，隨時(shí)修改URLScan的配置文件。
3。高級(jí)篇：NT/2000的高級(jí)安全設(shè)置
1.禁用空連接，禁止匿名獲得用戶名列表
Win2000的默認(rèn)安裝允許任何用戶通過(guò)空用戶得到系統(tǒng)所有賬號(hào)/共享列表，這個(gè)本來(lái)是為了方便局域網(wǎng)用
戶共享文件的，但是一個(gè)遠(yuǎn)程用戶也可以得到你的用戶列表并使用暴力法破解用戶密碼。很多朋友都知道可以
通過(guò)更改注冊(cè)表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1來(lái)禁止139空
連接，實(shí)際上win2000的本地安全策略（如果是域服務(wù)器就是在域服務(wù)器安全和域安全策略中）就有這樣的選項(xiàng)
RestrictAnonymous（匿名連接的額外限制），這個(gè)選項(xiàng)有三個(gè)值： 0：None. Rely on default permissions
（無(wú)，取決于默認(rèn)的權(quán)限 1 ：Do not allow enumeration of SAM accounts and shares（不允許枚舉SAM帳號(hào)
和共享） 2：No access without explicit anonymous permissions（沒(méi)有顯式匿名權(quán)限就不允許訪問(wèn)） 0這
個(gè)值是系統(tǒng)默認(rèn)的，什么限制都沒(méi)有，遠(yuǎn)程用戶可以知道你機(jī)器上所有的賬號(hào)、組信息、共享目錄、網(wǎng)絡(luò)傳輸列表(NetServerTransportEnum等等，對(duì)服務(wù)器來(lái)說(shuō)這樣的設(shè)置非常危險(xiǎn)。 1這個(gè)值是只允許非NULL用戶存取SAM賬號(hào)信息和共享信息。 2這個(gè)值是在win2000中才支持的，需要注意的是，如果你一旦使用了這個(gè)值，你的共享估計(jì)就全部完蛋了，所以我推薦你還是設(shè)為1比較好。好了，入侵者現(xiàn)在沒(méi)有辦法拿到我們的用戶列表，我們的賬戶安全了
2。禁止顯示上次登陸的用戶名
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionwinlogon項(xiàng)中的Don’t Display Last
User Name串?dāng)?shù)據(jù)改成1，這樣系統(tǒng)不會(huì)自動(dòng)顯示上次的登錄用戶名。將服務(wù)器注冊(cè)表HKEY_LOCAL_
MACHINESOFTWAREMicrosoft
WindowsNTCurrentVersionWinlogon項(xiàng)中的Don't Display Last User Name串?dāng)?shù)據(jù)修改為1，隱藏上次登陸控
制臺(tái)的用戶名。其實(shí)，在2000的本地安全策略中也存在該選項(xiàng)
Winnt4.0修改注冊(cè)表：
　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogon 中增加
DontDisplayLastUserName，將其值設(shè)為1。
2.預(yù)防DoS：
在注冊(cè)表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以幫助你防御一定強(qiáng)度
的DoS攻擊 SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0
在Win2000中如何關(guān)閉ICMP(Ping)
　　3.針對(duì)ICMP攻擊
ICMP的全名是Internet Control and Message Protocal即因特網(wǎng)控制消息/錯(cuò)誤報(bào)文協(xié)議，這個(gè)協(xié)議主要
是用來(lái)進(jìn)行錯(cuò)誤信息和控制信息的傳遞，例如著名的Ping和Tracert工具都是利用ICMP協(xié)議中的ECHO request報(bào)
文進(jìn)行的（請(qǐng)求報(bào)文ICMP ECHO類型8代碼0，應(yīng)答報(bào)文ICMP ECHOREPLY類型0代碼0）。
　　ICMP協(xié)議有一個(gè)特點(diǎn)---它是無(wú)連結(jié)的，也就是說(shuō)只要發(fā)送端完成ICMP報(bào)文的封裝并傳遞給路由器，這個(gè)報(bào)
文將會(huì)象郵包一樣自己去尋找目的地址，這個(gè)特點(diǎn)使得ICMP協(xié)議非常靈活快捷，但是同時(shí)也帶來(lái)一個(gè)致命的缺
陷---易偽造（郵包上的寄信人地址是可以隨便寫(xiě)的），任何人都可以偽造一個(gè)ICMP報(bào)文并發(fā)送出去，偽造者可
以利用SOCK_RAW編程直接改寫(xiě)報(bào)文的ICMP首部和IP首部，這樣的報(bào)文攜帶的源地址是偽造的，在目的端根本無(wú)
法追查，（攻擊者不怕被抓那還不有恃無(wú)恐？）根據(jù)這個(gè)原理，外面出現(xiàn)了不少基于ICMP的攻擊軟件，有通過(guò)
網(wǎng)絡(luò)架構(gòu)缺陷制造ICMP風(fēng)暴的，有使用非常大的報(bào)文堵塞網(wǎng)絡(luò)的，有利用ICMP碎片攻擊消耗服務(wù)器CPU的，甚至
如果將ICMP協(xié)議用來(lái)進(jìn)行通訊，可以制作出不需要任何TCP/UDP端口的木馬（參見(jiàn)揭開(kāi)木馬的神秘面紗三）
......既然ICMP協(xié)議這么危險(xiǎn)，我們?yōu)槭裁床魂P(guān)掉它呢？
　　我們都知道，Win2000在網(wǎng)絡(luò)屬性中自帶了一個(gè)TCP/IP過(guò)濾器，我們來(lái)看看能不能通過(guò)這里關(guān)掉ICMP協(xié)議，
桌面上右擊網(wǎng)上鄰居->屬性->右擊你要配置的網(wǎng)卡->屬性->TCP/IP->高級(jí)->選項(xiàng)->TCP/IP過(guò)濾，這里有三個(gè)過(guò)
濾器，分別為：TCP端口、UDP端口和IP協(xié)議，我們先允許TCP/IP過(guò)濾，然后一個(gè)一個(gè)來(lái)配置，先是TCP端口，點(diǎn)
擊"只允許"，然后在下面加上你需要開(kāi)的端口，一般來(lái)說(shuō)WEB服務(wù)器只需要開(kāi)80(www)，F(xiàn)TP服務(wù)器需要開(kāi)20(FTP
Data)，21(FTP Control)，郵件服務(wù)器可能需要打開(kāi)25(SMTP),110(POP3)，以此類推......接著是UDP，UDP協(xié)
議和ICMP協(xié)議一樣是基于無(wú)連結(jié)的，一樣容易偽造，所以如果不是必要（例如要從UDP提供DNS服務(wù)之類）應(yīng)該
選擇全部不允許，避免受到洪水（Flood）或碎片（Fragment）攻擊。最右邊的一個(gè)編輯框是定義IP協(xié)議過(guò)濾的
，我們選擇只允許TCP協(xié)議通過(guò)，添加一個(gè)6（6是TCP在IP協(xié)議中的代碼，IPPROTO_TCP=6）,從道理上來(lái)說(shuō)，只
允許TCP協(xié)議通過(guò)時(shí)無(wú)論UDP還是ICMP都不應(yīng)該能通過(guò)，可惜的是這里的IP協(xié)議過(guò)濾指的是狹義的IP協(xié)議，從架
構(gòu)上來(lái)說(shuō)雖然ICMP協(xié)議和IGMP協(xié)議都是IP協(xié)議的附屬協(xié)議，但是從網(wǎng)絡(luò)7層結(jié)構(gòu)上ICMP/IGMP協(xié)議與IP協(xié)議同屬
一層，所以微軟在這里的IP協(xié)議過(guò)濾是不包括ICMP協(xié)議的，也就是說(shuō)即使你設(shè)置了“只允許TCP協(xié)議通過(guò)”，
ICMP報(bào)文仍然可以正常通過(guò)，所以如果我們要過(guò)濾ICMP協(xié)議還需要另想辦法。
　　剛剛在我們進(jìn)行TCP/IP過(guò)濾時(shí)，還有另外一個(gè)選項(xiàng)：IP安全機(jī)制（IP Security)，我們過(guò)濾ICMP的想法就
要著落在它身上。
打開(kāi)本地安全策略，選擇IP安全策略，在這里我們可以定義自己的IP安全策略。一個(gè)IP安全過(guò)濾器由兩個(gè)部分
組成：過(guò)濾策略和過(guò)濾操作，過(guò)濾策略決定哪些報(bào)文應(yīng)當(dāng)引起過(guò)濾器的關(guān)注，過(guò)濾操作決定過(guò)濾器是“允許”
還是“拒絕”報(bào)文的通過(guò)。要新建IP安全過(guò)濾器，必須新建自己的過(guò)濾策略和過(guò)濾操作：右擊本機(jī)的IP安全策
略，選擇管理IP過(guò)濾器，在IP過(guò)濾器管理列表中建立一個(gè)新的過(guò)濾規(guī)則：ICMP_ANY_IN，源地址選任意IP，目標(biāo)
地址選本機(jī)，協(xié)議類型是ICMP，切換到管理過(guò)濾器操作，增加一個(gè)名為Deny的操作，操作類型為"阻止"（Block
）。這樣我們就有了一個(gè)關(guān)注所有進(jìn)入ICMP報(bào)文的過(guò)濾策略和丟棄所有報(bào)文的過(guò)濾操作了。需要注意的是，在地址選項(xiàng)中有一個(gè)鏡像選擇，如果選中鏡像，那么將會(huì)建立一個(gè)對(duì)稱的過(guò)濾策略，也就是說(shuō)當(dāng)你關(guān)注any
IP->my IP的時(shí)候，由于鏡像的作用，實(shí)際上你也同時(shí)關(guān)注了my IP->any IP，你可以根據(jù)自己的需要選擇或者
放棄鏡像。再次右擊本機(jī)的IP安全策略，選擇新建IP過(guò)濾策略，建立一個(gè)名稱為ICMP Filter的過(guò)濾器，通過(guò)增
加過(guò)濾規(guī)則向?qū)�，我們把剛剛定義的ICMP_ANY_IN過(guò)濾策略指定給ICMP Filter，然后在操作選框中選擇我們剛
剛定義的Deny操作，退出向?qū)Т翱�，右擊ICMP Filter并啟用它，現(xiàn)在任何地址進(jìn)入的ICMP報(bào)文都會(huì)被丟棄了。
　　雖然用IP sec能夠?qū)CMP報(bào)文進(jìn)行過(guò)濾，不過(guò)操作起來(lái)太麻煩，而且如果你只需要過(guò)濾特定的ICMP報(bào)文，
還要保留一些常用報(bào)文（如主機(jī)不可達(dá)、網(wǎng)絡(luò)不可達(dá)等），IP sec策略就力不從心了，我們可以利用Win2000的
另一個(gè)強(qiáng)大工具路由與遠(yuǎn)程訪問(wèn)控制（Routing & Remote Access）來(lái)完成這些復(fù)雜的過(guò)濾操作。
　　路由與遠(yuǎn)程訪問(wèn)控制是Win2000用來(lái)管理路由表、配置VPN、控制遠(yuǎn)程訪問(wèn)、進(jìn)行IP報(bào)文過(guò)濾的工具，默認(rèn)
情況下并沒(méi)有安裝，所以首先你需要啟用它，打開(kāi)"管理工具"->"路由與遠(yuǎn)程訪問(wèn)"，右擊服務(wù)器（如果沒(méi)有則
需要添加本機(jī)）選擇"配置并啟用路由及遠(yuǎn)程訪問(wèn)"，這時(shí)配置向?qū)?huì)讓你選擇是什么樣的服務(wù)器，一般來(lái)說(shuō)，
如果你不需要配置VPN服務(wù)器，那么選擇"手動(dòng)配置"就可以了，配置完成后，主機(jī)下將出現(xiàn)一個(gè)IP路由的選項(xiàng)，
在"常規(guī)"中選擇你想配置的網(wǎng)卡（如果你有多塊網(wǎng)卡，你可以選擇關(guān)閉某一塊的ICMP），在網(wǎng)卡屬性中點(diǎn)擊"輸
入篩選器"，添加一條過(guò)濾策略"from:ANY　to:ANY　協(xié)議:ICMP　類型:8 :編碼:0　丟棄"就可以了（類型8編碼
0就是Ping使用的ICMP_ECHO報(bào)文，如果