解析遠程訪問的三種***方式和攻與防

隨着信息化辦公的普及，遠程訪問的需求也水漲船高。愈來愈多的企業，已經再也不只知足於信息化系統只可以在企業內部使用。因爲員工出差、客戶要求訪問等緣由，近幾年遠程訪問的熱度不斷升高。一些遠程訪問工具，也紛紛面世。如電子郵件、FTP、遠程桌面等工具爲流離在外的企業員工，提供了訪問企業內部網絡資源的渠道。　　可是，毋庸置疑的，對企業內部網絡資源的遠程訪問增長了企業網絡的脆弱性，產生了許多安全隱患。由於大多數提供遠程訪問的應用程序自己並不具有內在的安全策略，也沒有提供獨立的安全鑑別機制。或者說，須要依靠其餘的安全策略，如IPSec技術或者訪問控制列表來保障其安全性。因此，遠程訪問增長了企業內部網絡被***的風險。筆者在這裏試圖對常見的遠程***方式進行分析總結，跟你們一塊兒來提升遠程訪問的安全性。 　　1、針對特定服務的*** 　　企業每每會在內部網絡中部署一些HTTP、FTP服務器。同時，經過必定的技術，讓員工也能夠從外部訪問這些服務器。而不少遠程訪問***，就是針對這些服務所展開的。諸如這些支持SMTP、POP等服務的應用程序，都有其內在的安全隱患。給***者開了一道後門。 　　如WEB服務器是企業經常使用的服務。惋惜的是，WEB服務器所採用的HTTP服務其安全性並不高。如今經過***WEB服務器而進行遠程訪問***的案例多如牛毛。***者經過利用WEB服務器和操做系統存在的缺陷和安全漏洞，能夠輕易的控制WEB服務器並獲得WEB內容的訪問權限。如此，***者得手以後，就能夠任意操做數據了。便可以在用戶不知情的狀況下祕密竊取數據，也能夠對數據進行惡意更改。 　　針對這些特定服務的***，比較難於防範。可是，並非一點對策都沒有。採起一些有效的防治措施，仍然能夠在很大程度上避免遠程訪問的***。如採起以下措施，能夠起到一些不錯的效果。 　　一、是採用一些更加安全的服務。就拿WEB服務器來講吧。如今支持WEB服務器的協議主要有兩種，分別爲HTTP與HTTPS。其中HTTP協議的漏洞不少，很容易被***者利用，成爲遠程***企業內部網絡的跳板。而HTTPS則相對來講安全的多。由於在這個協議中，加入了一些安全措施，如數據加密技術等等。在必定程度上能夠提升WEB服務器的安全性。因此，網絡安全人員在必要的時候，能夠採用一些比較安全的協議。固然，天下沒有免費的午飯。服務器要爲此付出比較多的系統資源開銷。 　　二、是對應用服務器進行升級。其實，不少遠程服務***，每每都是由於應用服務器的漏洞所形成的。如常見的WEB服務***，就是HTTP協議與操做系統漏洞一塊兒所產生的後果。若是可以及時對應用服務器操做系統進行升級，把操做系統的漏洞及時補上去，那麼就能夠提升這些服務的安全性，防治他們被不法之人所***。 　　三、是能夠選擇一些有身份鑑別功能的服務。如TFTP、FTP都是用來進行文件傳輸的協議。可讓企業內部用戶與外部訪問者之間創建一個文件共享的橋樑。但是這兩個服務雖然功能相似，可是安全性上卻差很遠。TFTP是一個不安全的協議，他不提供身份鑑別貢呢功能。也就是說，任何人只要可以鏈接到TFTP服務器上，就能夠進行訪問。而FTP則提供了必定的身份驗證功能。雖然其也容許用戶匿名訪問，可是隻要網絡安全人員限制用戶匿名訪問，那麼就能夠提升文件共享的安全性。 　　2、針對遠程節點的*** 　　遠程節點的訪問模式是指一臺遠程計算機鏈接到一個遠程訪問服務器上，並訪問其上面的應用程序。如咱們能夠經過Telent或者SSH技術遠程登錄到路由器中，並執行相關的維護命令，還能夠遠程啓動某些程序。在遠程節點的訪問模式下，遠程服務器能夠爲遠程用戶提供應用軟件和本地存儲空間。如今遠程節點訪問餘愈來愈流行。不過，其安全隱患也不小。 　　一是加強了網絡設備等管理風險。由於路由器、郵箱服務器等等都容許遠程管理。若這些網絡設備的密碼泄露，則即便在千里以外的***者，仍然能夠經過遠程節點訪問這些設備。更可怕的是，能夠對這些設備進行遠程維護。如***者能夠登錄到路由器等關鍵網絡設備，並讓路由器上的安全策略失效。如此的話，就能夠爲他們進一步***企業內部網絡掃清道路。而有一些人即便不***企業網絡，也會搞一些惡做劇。如筆者之前就遇到過，有人***路由器後，"燕過留聲，人過留名"。***者居然把路由器的管理員密碼更改了。這讓我鬱悶了很久。因此若是網絡安全管理人員容許管理員進行遠程節點訪問，那麼就要特別注意密碼的安全性。要爲此設立比較複雜的密碼，並常常更換。 　　二是採起一些比較安全的遠程節點訪問方法。如對於路由器或者其餘應用服務器進行遠程訪問的話，每每便可以經過HTTP協議，也能夠經過SSH協議進行遠程節點訪問。他們的功能大同小異。均可以遠程執行服務器或者路由器上的命令、應用程序等等。可是，他們的安全性上就有很大的差別。Telent服務其安全性比較差，由於其不管是密碼仍是執行代碼在網絡中都是經過明文傳輸的。如此的話，其用戶名與密碼泄露的風險就比較大。如別有用心的***者能夠經過網絡偵聽等手段竊取網絡中明文傳輸的用戶名與密碼。這會給這些網絡設備帶來致命的打擊。而SSH協議則相對來講比較安全，由於這個服務在網絡上傳輸的數據都是加密處理過的。它能夠提升遠程節點訪問的安全性。像Cisco公司提供的網絡設備，如路由器等等，還有Linux基礎上的服務器系統，默認狀況下，都支持SSH服務。而每每會拒絕啓用Telent服務等等。這也主要是出於安全性的考慮。不過基於微軟的服務器系統，其默認狀況下，支持Telent服務。不過，筆者建議，你們仍是採用SSH服務爲好。其安全性更高。 　　3、針對遠程控制的*** 　　遠程控制是指一個遠程用戶控制一臺位於其餘地方的計算機。這臺計算機多是有專門用途的服務器系統，也多是用戶本身的計算機。他跟遠程節點訪問相似，但又有所不一樣。當用戶經過遠程節點訪問服務器，則用戶本身並不知道有人在訪問本身。而經過遠程控制訪問的話，則在窗口中能夠直接顯現出來。由於遠程用戶使用的計算機只是做爲鍵盤操做和現實之用，遠程控制限制遠程用戶只可以使用駐留在企 控制的計算機上的軟件程序。如像QQ遠程協助，就是遠程控制的一種。 　　相對來講，遠程控制要比節點訪問安全性高一點。如一些遠程控制軟件每每會提供增強的審計和日誌功能。有些遠程控制軟件，如QQ遠程協助等，他們還須要用戶提出請求，對方纔可以進行遠程控制。可是，其仍然存在一些脆弱性。 　　一是隻須要知道用戶名與口令，就能夠開始一個遠程控制會話。也就是說，遠程控制軟件只會根據用戶名與密碼來進行身份驗證。因此，若是在一些關鍵服務器上裝有遠程控制軟件，最好可以採起一些額外的安全措施。如Windows服務器平臺上有一個安全策略，能夠設置只容許一些特定的MAC地址的主機能夠遠程鏈接到服務器上。經過這種策略，可讓只有網絡管理人員的主機纔可以進行遠程控制。無疑這個策略能夠大大提升遠程控制的安全性。 　　二是採用一些安全性比較高的遠程控制軟件。一些比較成熟的遠程控制軟件，如PCAnyWhere，其除了遠程控制的基本功能以外，還提供了一些身份驗證方式以供管理員選擇。管理員能夠根據安全性需求的不一樣，選擇合適的身份驗證方式。另外，其還具備增強的審計與日誌功能，能夠翔實的紀錄遠程控制所作的一些更改與訪問的一些數據。當咱們安全管理人員懷疑遠程控制被***者利用時，則能夠經過這些日誌來查詢是否有***者侵入。 　　三是除非有特殊的必要，不然不要裝或者開啓遠程控制軟件。即便採起了一些安全措施，其安全隱患仍然存在。爲此，除非特別須要，纔開啓遠程控制軟件。如筆者平時的時候，都會把一些應用服務器的遠程控制軟件關掉。而只有在筆者出差或者休假的時候，纔會把他們開起來，以備不時之需。這麼處理雖然有點麻煩，可是能夠提升關鍵應用服務器的安全。這點麻煩仍是值得的。