從網絡攻擊防御淺析內網信息安全防護方法

徐振華

1 國內信息化建設現狀

1.1 企業信息化建設現狀

隨著信息技術的飛速發展，特別是進入新世紀以來，我國信息化基礎設施普及已達到較高水平，但應用深度有待進一步建設。從《第35次中國互聯網絡發展狀況統計報告》的一組數據顯示出，截至2014年12月，全國使用計算機辦公的企業比例為90.4%，截至2014年12月，全國使用互聯網辦公的企業比例為78.7%。近些年，我國企業在辦公中使用計算機的比例基本保持在90%左右的水平上，互聯網的普及率也保持在80%左右，在使用互聯網辦公的企業中，固定寬帶的接入率也連續多年超過95% 。基礎設施普及工作已基本完成，但根據企業開展互聯網應用的實際情況來看，仍存在很大的提升空間。

一方面，是采取提升內部運營效率措施的企業比例較低，原因之一在于企業的互聯網應用意識不足，之二在于內部信息化改造與傳統業務流程的契合度較低，難以實現真正互聯網化，之三在于軟硬件和人力成本較高，多數小微企業難以承受；另一方面，營銷推廣、電子商務等外部運營方面開展互聯網活動的企業比例較低，且在實際應用容易受限于傳統的經營理念，照搬傳統方法。

1.2 企業網絡應用現狀

根據最新的《第35次中國互聯網絡發展狀況統計報告》中的數據顯示，企業開展的互聯網應用種類較為豐富，基本涵蓋了企業經營的各個環節。電子郵件作為最基本的互聯網溝通類應用，普及率最高，達83.0%；互聯網信息類應用也較為普遍，各項應用的普及率的都超過50%；而在商務服務類和內部支撐類應用中，除網上銀行、與政府機構互動、網絡招聘的普及率較高以外，其他應用均不及50%。我國大部分企業尚未開展全面深入的互聯網建設，仍停留在基礎應用水平上。由于目前我國網民數量已經突破6億，在人們的日常工作、學習中網絡已經扮演了不可替代的角色，因此網絡安全問題就凸顯出來，2014年，總體網民中有46.3%的網民遭遇過網絡安全問題，我國個人互聯網使用的安全狀況不容樂觀。在安全事件中，電腦或手機中病毒或木馬、賬號或密碼被盜情況最為嚴重，分別達到26.7%和25.9%，在網上遭遇到消費欺詐比例為12.6%。

1.3 網絡安全防護現狀

當前企業網絡中已部署的基本的網絡安全設備如防火墻等，但網絡使用安全意識不高且網絡安全是一個動態維護的過程，企業面臨的內外部安全威脅日益巨增，整體安全形勢不容樂觀。在網絡安全威脅中，對于來著企業內網的安全威脅特別難以防范，傳統的安全防護措施，只能面對外部威脅，對內不具備防護能力。

高校在校園網信息化過程中數字化校園就是一典型例子，數字化校園網可以方便學生使用各類網絡學習資源。但也有部分學生在好奇心的驅使下，往往會在網絡中進行試探性的病毒傳播、網絡攻擊等等。也有部分學生以獲得學院某臺服務器或者網站的控制權來顯示其在黑客技術水平。因此，在內網中維護網絡安全，保護信息安全，就顯得更加重要和緊迫了。

2 內網面臨的網絡威脅

筆者在高校內網信息化建設過程中，通過多年的研究調查發現，學生的攻擊往往是盲目地，且由于部分高校內網管理較混亂，學生可以繞過一些身份認證等安全檢測，進入校園核心網絡。學生的這些行為，一般不存在惡意性質，也不會進行蓄意破壞，但這就向我們提出了警示，一旦有不法分子輕松突破防線，其帶來的危害也是災難性的。

筆者以本單位學生通過校園網絡攻擊校園網服務器的例子，說明其網絡攻擊有時往往非常容易，其造成的危害卻非常之大。

2.1 突破內網，尋找突破口

學生通過學院內網IP地址管理漏洞，輕松接入校園內部辦公網絡，并獲得內網地址網段劃分情況。通過流行黑客軟件掃描學院內網獲得內網安全薄弱處，檢測出共青團委員會 http：//10.0.1.30：90/該網頁存在漏洞。進一步利用路徑檢測工具進行掃描，獲得了后臺地址http：//10.0.1.30：90/wtgy/login.php。

2.2 一擊得手

學生在獲得了正確的管理地址后，只是進行了簡單的嘗試就取得了戰果，通過弱口令掃描發現系統存在弱口令，于是嘗試了如admin admin admin admin888 admin 123456等，居然順利進入后臺。

然后利用后臺的附件管理里面的功能，添加了php格式，從而實現了上傳。得到了內網的webshell（如圖1）。

2.3 再接再厲，權限提升

學生不斷嘗試，測試了asp和aspx 的支持情況，答案是支持asp，不支持aspx的。自然就上傳了 asp webshell，可以實現跨目錄訪問。訪問權限進一步提升，如圖，目標主機D盤內容一覽無余，其中不乏一些關鍵目錄信息就展現在攻擊者眼前（如圖2）：

2.4 獲得系統管理員權限，完全掌控目標主機服務器

查看系統所支持的組件，獲取目標服務器系統關鍵信息。可以看到ws這個組件沒有被禁用，從而上傳cmd，以獲得終極權限系統管理員權限。首先想到的是利用webshell中的上傳進行，但是權限問題，webshell上傳均失敗，所以轉向ftp上傳（同樣存在弱口令），從而繞過了限制，上傳了cmd.exe。

實驗性的執行命令Systeminfo查看系統信息命令，結果可以正常運行，終極權限獲得（如圖3）：

可以看出，學生攻擊學院內網的手段并不高明，其用到的黑客攻擊工具，網絡上也都能隨意下載到，但其通過自己的仔細琢磨，充分利用了內網管理的漏洞，獲得了關鍵信息。好在這是實驗性，未造成實質性破壞。內網管理員也及時發現了問題，并對目標服務器進行了安全加固工作。但我們不難發現，其實網絡安全的程度存在著“木桶原理”的問題，也就是網絡最薄弱的環節，決定著內網的安全程度。在現實中往往由于管理者的疏忽或者使用者貪圖一時方便的原因，給網絡中潛在的攻擊者留下致命的后門。

3 建立信息防泄露的內網訪問控制模型

針對上述服務器網絡攻擊，最有效的方法就是對用戶訪問進行準入控制，隔離潛在威脅用戶。例如，在內網中對所有用戶進行身份認證，分配相應的網絡訪問權限。在內網安全架構中，訪問控制是非常重要的一環，其承擔著與后臺策略決策系統交互，決定終端對網絡訪問權限發分配。目前主要使用的訪問控制技術主要有：

3.1 802.1X 訪問控制技術

802.1X 是一個二層協議，需要接入層交換機支持。在終端接入時，端口缺省只打開802.1X的認證通道，終端通過802.1X認證之后，交換機端口才打開網絡通信通道。其優點是：在終端接入網絡時就進行準入控制，控制力度強，已經定義善的協議標準。其缺點是：對以網交換機技術要求高，必須支持802.1X認證，配置過程比較復雜，需要考慮多個設備之間的兼容性，交換機下可能串接HUB，交換機可能對一個端口上的多臺PC 當成一個狀態處理，存在訪問控制漏洞。

3.2 ARP spoofing訪問控制技術

在每個局域網上安裝一個ARP spoofing代理，對終端發起ARP 請求代替路由網關回ARP spoofing，從而使其他終端的網絡流量必須經過代理。在這個ARP spoofing代理上進行準入控制。其優點是：ARP適用于任何IP 網絡，并且不需要改動網絡和主機配置，易于安裝和配置。其缺點是：類似DHCP控制，終端可以通過配置靜態ARP表，來繞過準入控制體系。此外，終端安全軟件和網絡設備可能會將ARP spoofing當成惡意軟件處理。

3.3 DNS重定向訪問控制技術

在DNS重定向機制中，將終端的所有DNS解析請求全部指定到一個固定的服務器IP地址。其優點是：類似DHCP管理和ARP spoofing，適用于任何適用DNS協議的網絡，易于安裝和部署，支持WEB portal頁面，可以通過DNS 重定向，將終端的HTML 請求重定向到WEB認證和安全檢查頁面。其缺點是：類似DHCP控制和ARP spoofing，終端可以通過不使用DNS 協議來繞開準入控制限制（例如：使用靜態HOSTS文件）。

以上是內網安全設備主流使用的準入控制方式，每種方式都具有其特定的優缺點，一般來說每個設備都會支持兩種以上的準入控制方式。但是，網絡管控對于網絡使用的便捷性是一對矛盾體，如果既要使用的便捷性，又要對網絡進行有效管控，這對網絡安全設備的性能提出了相當高的要求。然而，高性能的安全設備價格非常昂貴，這也是很多企業寧可暴露威脅，也不防范的原因之一。

3.4 網關準入控制——UTM（統一威脅管理）

UTM產品的設計初衷是為了中小型企業提供網絡安全防護解決方案，其低廉的價格和強大的集成功能，在企業內網中扮演著重要的角色。UTM將安全網關、終端代理軟件、終端策略服務器、認證控制點四位一體化部署，可以在內網中進行多點部署，從而構建出內網用戶訪問控制模型，實現全面覆蓋用戶內網每一個區域和角落。

（1）合理部署網關位置

UTM的位置本身即位于安全域邊界，由于UTM的設備性能參數，一般不建議部署在互聯網出口、服務器出口及辦公網出口等網絡核心節點，在內網訪問控制模型中，可以部署在網絡拓撲中的匯聚節點。從安全理論的角度講，對某一區域網絡中的所有用戶進行控制（包括訪問控制、準入控制、業務控制等）；同時，UTM設備的入侵防御、防病毒、外連控制等模塊可以與準入控制功能相互配合，UTM一旦發現某用戶行為違規，就可以通過內網管理系統直接斷開該用戶的所有連接。

（2）UTM優勢分析

采用UTM網關配合內網管理系統實現訪問控制，用戶只需要購買少量UTM設備，采用透明方式部署至網絡關鍵節點處，即可以實現全面的準入控制。與基于DHCP控制，ARP spoofing，DNS 劫持等準入控制相比，UTM 準入控制能力更強、更全面，終端用戶在任何情況下均無法突破或繞過準入控制。

除此以外，UTM設備還可根據終端的安全情況自動配置合適的安全策略，如在終端未滿足某些安全要求的情況下開放其訪問修復服務器的權限。

網絡安全，不應只關注網絡出口安全，更應關注內網中的信息安全，信息的泄漏往往是從內部開始，因此，構建內網訪問控制模型就非常重要，采取UTM幫助內網進行安全管控是一個非常便捷、高效的手段。

[責任編輯：楊玉潔]