服務器遠程連接安全防護研究

丁梅

摘要：遠程管理是管理人員維護服務器的基本方式。以常用的遠程連接軟件為例，從遠程連接原理出發，分析遠程連接給服務器帶來的安全問題，提出防護方法與建議，并介紹了更新與更安全的其它遠程管理方式。

關鍵詞關鍵詞：遠程連接；服務器安全；安全防護

DOIDOI：10.11907/rjdk.161424

中圖分類號：TP309文獻標識碼：A文章編號文章編號：16727800（2016）007017803

為適應機房的統一化管理，服務器往往采取遠程連接的方式進行管理和維護。服務器普遍開啟遠程管理功能。除操作系統自帶的遠程管理軟件如Windows遠程桌面、Linux的SSH可以實現遠程管理外，第三方軟件如XT800、TeamViewer也可實現相關功能。雖然遠程軟件可以幫助服務器管理員在遠程（不在機房）的情況下操控服務器，但使用過程中存在不少安全問題。1.1操作系統自帶的遠程管理軟件

服務器開啟遠程管理功能后，服務器管理人員無須安裝任何軟件，即可使用系統自帶的遠程桌面軟件連接服務器。遠程桌面采用“IP+端口號+用戶名+密碼”的方式定位要連接的服務器。根據服務器管理員所處位置不同，IP可以是內網或公網地址。大多數情況下，服務器管理員與被管理的服務器不在同一局域網中，如果使用遠程桌面進行連接，則要求服務器具有公網IP。

同時，其它想獲取服務器資源的非授權用戶也想通過類似方式連接服務器。以Windows 2008 R2 企業版的一臺服務器為例，它開啟了遠程桌面功能，所以經常接收到來自互聯網的遠程桌面連接請求。在這些連接請求中，來訪者在嘗試用戶名和密碼。此情況可以通過系統日志看到，如圖1所示。

查看其中一條日志的詳細信息可以看到，在很短的時間間隔內，來自互聯網的IP地址使用Windows默認的管理員帳戶administrator連接服務器的默認服務端口3389，登錄失敗的原因是“用戶名或密碼不正確”或“密碼嘗試次數超過允許的最大值”。以上報錯經過一段時間的累積，或同時有很多個并發連接，將耗盡系統資源，導致服務器自動重啟，影響服務器的服務能力。

1.2第三方遠程管理軟件

XT800和TeamViewer作為第三方軟件，它們的工作方式類似，都可以使服務器在沒有公網IP、未開啟遠程服務端口的情況下被連接，以下以XT800為例進行分析。

使用XT800軟件的前提是服務器和想連接服務器的個人電腦（也可以是另一臺服務器、移動設備等）上都已安裝該軟件。在IPv4地址緊缺的今天，XT800的優點是不需要服務器擁有公網IP，也不需要防火墻開放遠程端口（如3389），只要服務器可以聯網，服務器管理員即可從互聯網登錄到自己管轄的服務器。

XT800采用“識別碼+密碼”來定位服務器。識別碼和初始密碼均在安裝XT800軟件時自動生成。識別碼是一串字符串，不會重復，它唯一地標識了一臺安裝了XT800軟件的服務器。用戶可以修改密碼為更加復雜的字符串。而如果一個人的電腦上安裝了XT800軟件，則可以用窮舉的方式去嘗試連接其它裝有XT800軟件的服務器。如果遇到弱密碼，進入一臺服務器則非常容易。

2遠程連接原理

如果想從互聯網上連接某一臺服務器，需要如下前置條件：①一種定位機制。在互聯網里的眾多設備中找到要連接的服務器，需要唯一標志，可以是“IP地址+端口號、識別碼”等；②一種通信規則。服務器與要連接的電腦必須可以實現數據通信；③一種軟件。服務器上至少裝有提供被連接服務的程序，并一直在等待連接請求。而要連接服務器的電腦至少裝有遠程連接軟件的客戶端，可以發起連接請求。

OSI（Open System Interconnection，開放系統互聯）模型將互聯通信系統劃分為7層，分別為：物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層、應用層。以OSI模型為參照，自底向上分析各層在實現遠程連接中的作用。

2.1IP協議

IP協議工作于OSI模型中的網絡層。在這一層中，普遍使用IPv4完成對連接目標的定位。IPv4是4串數字，用3個小數點把它們隔開，每串數字取值范圍為0～255，例如10.10.10.8或192.168.1.8。IP協議使遠程連接得以定位連接的目標。2.2TCP協議

TCP協議工作于OSI模型中的傳輸層。傳輸層可以選擇連接的差錯控制方式，并區別出TCP、UDP等連接方式。由于遠程連接需要穩定且可靠性高的連接，必須進行差錯控制，所以采用TCP連接方式來傳輸。TCP協議中的“三次握手”同樣適用于遠程連接的建立過程，通過SYN與ACK報文的相互傳遞確認連接的建立。連接建立之后，開始傳輸應用層的數據——遠程連接請求的相關連接數據，包括本端信息（如IP、端口號、進程ID等）、對端信息（如IP、端口號、服務程序、用戶名、密碼等）。TCP協議完成遠程連接中的數據傳輸和通信。2.3遠程連接軟件

遠程連接軟件工作于OSI模型的會話層、表示層、應用層。服務器管理員選擇不同的遠程連接軟件，即使用不同軟件來監聽、發送和接收遠程連接數據，并提供盡量友好的用戶界面和操作方式。

從以上分析可知，通信是公開、不可控的；服務器的唯一標識可以是保密、少數人知曉的；遠程連接軟件任何人都可以下載安裝，因而不可控。因此，從遠程連接原理出發，可以找到安全防護的方法。3防護方法實例

服務器只要向外提供服務，即可以被追溯，所以想隱藏服務器的公網IP是不容易的。根據遠程連接原理，可以隱藏遠程連接的端口、區別可接受的連接來源區域、設置特別用戶及復雜密碼來保障服務器在遠程連接中的安全。3.1端口映射

通過端口映射隱藏遠程服務的端口，避免來自互聯網對默認端口的掃描，以及多用戶名和密碼的嘗試。以系統自帶的遠程桌面為例，其默認服務端口3389經常受到掃描。一臺服務器或IP可用的端口號為1-65536，除去系統占用的不可修改的端口外，其它應用端口大部分可以修改。遠程桌面的端口可以從3389改為與其它應用或服務不沖突的任何一個端口。從非授權連接程序的掃描策略角度看，如果它掃描默認端口，一個IP只需掃描1次；如果服務器并沒有使用默認端口，排除系統占用和其它應用常用的端口，需要掃描大約60 000個端口。工作量的數量級增加，而命中率大幅度下降，投入與回報不成正比。所以，不使用默認端口可以很大程度上減少被掃描的次數和強度。

端口映射是網絡安全設備（如防火墻、負載均衡等）中的一條規則，功能是將連接請求中的目的端口號從一個數字改為另一個數字，傳送給要連接的目的服務器。目的服務器只接受更改過的端口號，而不接受未更改的端口號。因此，利用網絡安全設備阻隔不知道遠程連接正確端口號的請求，以保障服務器安全。3.2訪問控制列表

訪問控制列表（Access Control Lists，ACL）語句可約束一條網絡連接的源IP、源端口號、目的IP、目的端口號、處理方式。在遠程連接請求語句中，目的IP與端口是明確的（即要連接服務器的IP地址和遠程服務的端口號），而源IP和源端口號可以利用ACL規則篩選。

訪問控制列表作用于網絡安全設備（如防火墻、負載均衡等），網絡安全設備在收到連接請求時，從上至下遍歷訪問控制列表中的每一條語句。如果遇到條件匹配的語句，則按照語句中的方式處理，遍歷終止。

從正向看，服務器管理員可以向網絡安全設備的訪問控制列表中增加自己工作網絡區域的IP段，使來源于此區域的連接通過網絡安全設備，被傳送給被管理的服務器；從反向看，凡是來自訪問控制列表網絡區域以外的連接都被網絡安全設備拋棄。雖然此方法不適合工作環境不穩定（如使用鏈路負載均衡）或頻繁變更（如出差）的服務器管理員，但即使只能隔絕一個運營商，也能極大地提高服務器安全性。

3.3用戶名及密碼控制

遠程連接中需要使用的用戶名、ID、識別碼、密碼等建議設置得較為復雜。有的服務器管理員為圖方便使用默認設置，對安裝了同一種遠程連接軟件的其他用戶而言，也有了嘗試連接某臺服務器的通道。默認的用戶名和密碼等往往比較簡單，以Teamviewer為例，默認連接密碼為6位數字，在時間充足的情況下嘗試100萬次即可進入服務器。Teamviewer的連接密碼可以被修改為字母、數字、符號構成的更長組合。定期修改用戶名和密碼也十分有效，因為該行為會迫使窮舉嘗試的結果集失效。4分析與展望

4.1防護效果分析

經過近2年的嘗試，以服務器日志數據作為防護效果參考，以上防護方法能減少被攻擊總數的百分比，如表1所示。由此可見，端口映射是最推薦采取的防護方式。

表1防護效果比較

防護方式端口映射訪問控制用戶名與密碼控制減少率（%）5010104.2其它遠程管理方式

使用遠程連接管理服務器，雖然是最簡單、普遍的方式，但它并不是服務器管理員的唯一選擇。它產生的問題雖然本文中已分析到并提出解決方法，但沒有一種方法可以百分之百地避免非授權連接請求。以下是筆者使用過的其它可以實現遠程管理的軟件或設備，某些方面比遠程連接更有優勢。4.2.1VPN

VPN（Virtual Private Network，虛擬專用網絡）是一款有代理功能的軟件或一臺網絡安全設備。以深信服VPN設備為例，它采取B/S架構工作于互聯網，需以公網IP發布其登錄頁面。服務器管理員在VPN登錄頁面輸入自己的用戶名和密碼，認證成功則可進入內網。服務器管理員所使用的VPN用戶名與可訪問的內網資源一一對應，當服務器管理員成功登錄VPN后，其管轄的服務器即在資源列表中；反之，資源列表中沒有的資源，此VPN用戶不可訪問。

如果采取VPN管理服務器，與遠程連接相比，具有以下優點：①不再需要向互聯網開放服務器的遠程連接服務或安裝第三方軟件，從而百分之百避免了非授權的連接請求；②若有人想嘗試連接服務器，首先需要嘗試連接并通過VPN設備，掃描、攻擊、壓力則將由VPN設備承擔，不會影響到服務器；③VPN設備作為一種網絡安全設備，可以設置復雜的審計策略，例如限制來訪者的網絡區域、計算密碼錯誤次數、記錄用戶進入內網后的每一個操作等。4.2.2虛擬桌面

虛擬桌面（Desktop Virtualization）是基于虛擬化的上層應用。本文中提到的服務器其實也可以是一臺虛擬機，或一臺虛擬化的物理服務器，都可以使用虛擬桌面對其進行管理。虛擬化技術使應用擺脫了物理局限，模糊了應用存在的物理位置。作為用戶或服務器管理員，并不介意應用程序、存儲資料的物理位置是否轉移，只要滿足邏輯期望即可，如：操作系統功能正常、應用程序運行正常、存儲資料完整無缺等。

以VMware Horizon View為例，通過虛擬桌面可以獲得在機房直接操作服務器的體驗。其優勢更多地來自于虛擬化技術，例如在不丟失數據的前提下擴展硬件（如CPU、內存、數據存儲空間等）、更便捷的系統恢復功能等。VMware Horizon View使服務器管理員可以在任何設備上完成服務器或虛擬機的遠程管理工作，例如手機、平板電腦、個人電腦等，從而突破了之前遠程連接軟件大部分僅支持個人電腦（尤其是Windows操作系統）的局限。5結語

遠程桌面最方便使用，但安全風險也最高，采用VPN需要投入資金并培訓用戶，虛擬桌面僅適用于虛擬化服務器。以上方式各有優缺點，可根據機房狀況選取合適的遠程管理方式。引入滿足需求的網絡安全設備，進一步提高機房的虛擬化程度，都有利于遠程管理水平的提高。但只要機房存在，就必須有人為的管理，再智能化的硬件或軟件都不可能代替管理員操作。

參考文獻：

任紹坤.被忽視的遠程管理模塊[J].網絡運維與管理，2016（1）：135137.

李太鳳，朱艷.Radmin在服務器遠程管理中的應用[J].西昌學院學報：自然科學版，2015，29（4）：4145.

曹俊捷.成人高校遠程實驗平臺的研究與實踐[J].信息與電腦：理論版，2014（3）：6465.

張陶.計算機防火墻技術研究[J].信息與電腦：理論版，2014（4）：107108.

王祿華.基于4G網絡的機房遠程監控云平臺[J].電信快報：網絡與通信，2015（12）：3942.