短消息中心系統(tǒng)安全防護(hù)方案探討

劉曉鳴　王玉玲

[摘要]本文介紹72消息中心系統(tǒng)的安全防護(hù)經(jīng)驗(yàn)，通過(guò)在主機(jī)系統(tǒng)開(kāi)啟SSH的白名單、限制防問(wèn)ORACLE主機(jī)的IP地址、啟用主機(jī)防火墻iptables進(jìn)行端口防問(wèn)控制方式增加短消息中心系統(tǒng)的安全性。

[關(guān)鍵詞]短消息中心 安全 防護(hù)

一、背景

隨著信息安全工作的重視，某通信運(yùn)營(yíng)商的短消息中心系統(tǒng)是上級(jí)公司和工信部信息安全檢查的重點(diǎn)系統(tǒng)，其網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

在公司組織的安全自查中，共發(fā)現(xiàn)系統(tǒng)安全漏洞544個(gè)，經(jīng)過(guò)升級(jí)操作系統(tǒng)，打軟件補(bǔ)丁等方式解決512個(gè)，但有32個(gè)漏洞由于系統(tǒng)沖突，操作系統(tǒng)廠商停止服務(wù)和業(yè)務(wù)限制等原因無(wú)法進(jìn)行根本性修復(fù)，給系統(tǒng)運(yùn)行帶來(lái)一定的安全風(fēng)險(xiǎn)。對(duì)于此類安全問(wèn)題，可采取的其它方式進(jìn)行規(guī)避。

通常的規(guī)避方法為采用防火墻的方式在邊界進(jìn)行控制，即EDM300防火墻上做防問(wèn)策略，只允許其它網(wǎng)段特定的主機(jī)防問(wèn)短消息中心特定的服務(wù)器。通過(guò)防火墻的限制，可以消除絕大部分的安全威脅，但當(dāng)安全威脅來(lái)自短消息中心系統(tǒng)內(nèi)部時(shí)，防火墻就無(wú)能為力，特別上級(jí)部門檢查，要求避開(kāi)防火墻接入內(nèi)網(wǎng)進(jìn)行漏洞掃描，因此，防火墻對(duì)系統(tǒng)的保護(hù)對(duì)于安全檢查時(shí)無(wú)法發(fā)揮作用。因此需要從其它的途徑尋找方法，消除漏洞給信息安全帶來(lái)的風(fēng)險(xiǎn)。

經(jīng)過(guò)對(duì)殘存的系統(tǒng)漏洞進(jìn)行統(tǒng)計(jì)，可以歸納為三類：

1.SSH遠(yuǎn)程登錄

2.ORACLE數(shù)據(jù)庫(kù)系統(tǒng)方面

3.Apache Tomcat JSP應(yīng)用服務(wù)器程序

二、解決方案

2.1SSH遠(yuǎn)程登錄方面解決方案

SSH是目前較可靠，專為遠(yuǎn)程登錄會(huì)話的協(xié)議工具，以加密方式傳送數(shù)據(jù)，在短消息中心系統(tǒng)中，用于遠(yuǎn)程登錄維護(hù)服務(wù)器使用，短消息的業(yè)務(wù)實(shí)現(xiàn)本身不使用SSH協(xié)議。因此，短消息中心的SSH服務(wù)使用者僅限于系統(tǒng)維護(hù)人員。因?yàn)镾SH為本身的服務(wù)，可以通過(guò)系統(tǒng)服務(wù)白名單的方式將允許登錄的主機(jī)限定于系統(tǒng)維護(hù)人員的主機(jī)，拒絕其它主機(jī)的連接請(qǐng)求。

具體做法如下：

1、修改/etc/hosts.allow文件，添加如下內(nèi)容：

sshd：192.168.1.2：allow

表示允許192.168.1.2地址連接系統(tǒng)的SSH服務(wù)。

2、修改/etc/hosts.deny文件，添加如下內(nèi)容：

sshd：all：deny

此文件是拒絕服務(wù)列表，修改后文件內(nèi)容表示拒絕了所有sshd遠(yuǎn)程連接。當(dāng)hosts.allow和host.deny相沖突時(shí)，以hosts.allow設(shè)置為準(zhǔn)，這樣就通過(guò)IP地址精確的指定了可以防問(wèn)短消息系統(tǒng)的主機(jī)。

3、重啟系統(tǒng)的SSH服務(wù)

/etc/init.d/sshd restart

以此步驟，將系統(tǒng)維護(hù)人員機(jī)器的IP加入到短消息系統(tǒng)的各個(gè)主機(jī)，使之只允許維護(hù)人員遠(yuǎn)程登錄，拒絕其它任何主機(jī)的SSH連接。

2.2ORACLE數(shù)據(jù)庫(kù)系統(tǒng)方面漏洞的解決方案

經(jīng)過(guò)向短消息中心廠商了解，短消息中心的Oracle數(shù)據(jù)主要在業(yè)務(wù)實(shí)現(xiàn)時(shí)各個(gè)服務(wù)器之間的相互調(diào)用，并不需要對(duì)其它外界的主機(jī)提供的服務(wù)。因此對(duì)Oracle的連接僅限于短消息中心各個(gè)服務(wù)器之間，對(duì)于其它的IP址，完全可以禁止連接。

由于Oracle數(shù)據(jù)庫(kù)系統(tǒng)服務(wù)并非linux系統(tǒng)本身自帶服務(wù)，因此不能通過(guò)操作系統(tǒng)黑白名單方式進(jìn)行解決。Oracle提供限制與允許特定的IP或主機(jī)名通過(guò)Oracle Net來(lái)訪問(wèn)數(shù)據(jù)庫(kù)。這個(gè)功能由sqlnet.ora配置文件來(lái)實(shí)現(xiàn)。該文件通常$ORACLE_HOME/network/admin/目錄下，與tnsnames.ora以及l(fā)istener.ora位于同一路徑。通過(guò)監(jiān)聽(tīng)器的限制，實(shí)現(xiàn)輕量級(jí)訪問(wèn)限制，比在數(shù)據(jù)庫(kù)內(nèi)部通過(guò)觸發(fā)器進(jìn)行限制效率要高。

根據(jù)安全服務(wù)廠商綠盟的提供的其它運(yùn)營(yíng)商的經(jīng)驗(yàn)，并經(jīng)過(guò)短消息中心廠商研發(fā)確認(rèn)，決定采用配置sqlnet.ora的方法限制IP訪問(wèn)數(shù)據(jù)庫(kù)。具體做法如下：

1、統(tǒng)計(jì)短消息中心服務(wù)的所有地址，包括服務(wù)地址、私網(wǎng)地址及雙機(jī)浮動(dòng)地址，并制成列表，避免遺漏以免造成系統(tǒng)之間的數(shù)據(jù)庫(kù)訪問(wèn)失敗從而影響短消息業(yè)務(wù)。

2、在數(shù)據(jù)庫(kù)的主機(jī)上修改tnsnames.ora文件，將統(tǒng)計(jì)到地址全部加入到tnsnames.ora文件：

tcp.validnode_cheching=yes

tcp.invited_nodes=（172.50.XXX.1，172.50.XXX.2，172.50.XXX.3，ip4，ip5）

通過(guò)設(shè)置tnsnames.ora文件invited_nodes值，所有沒(méi)有包含在invited_nodes值中的IP或主機(jī)將無(wú)法通過(guò)Oracel Net連接到數(shù)據(jù)庫(kù)，不能使用數(shù)據(jù)庫(kù)的服務(wù)。

3、重啟監(jiān)聽(tīng)器使之生效。

Isnrctl reload listener SMC11

2.3 Apache Tomcat應(yīng)用服務(wù)器程序程序漏洞的解方案

Apache Tomcat提供一個(gè)動(dòng)態(tài)網(wǎng)頁(yè)服務(wù)和程序，在短消息中心中主要提供報(bào)表服務(wù)器的查詢與瀏覽，給維護(hù)人員提供一個(gè)簡(jiǎn)單、友好的使用界面。此類程序因不是服務(wù)器系統(tǒng)的自身服務(wù)，無(wú)法通過(guò)系統(tǒng)黑名單進(jìn)行訪問(wèn)控制。一般采用在邊界防火墻進(jìn)行限制，但如此不能解決在內(nèi)網(wǎng)掃描出現(xiàn)漏洞的問(wèn)題。經(jīng)過(guò)查詢資料，與安全廠商與短消息中心廠商溝通，通過(guò)啟用主機(jī)防火墻iptables進(jìn)行端口防問(wèn)限制的方式進(jìn)行解決。

iptables是與最新的3.5版本Linux內(nèi)核集成的IP信息包過(guò)濾系統(tǒng)。netfiher/iptables IP信息包過(guò)濾系統(tǒng)是一種功能強(qiáng)大的工具，可用于添加、編輯和除去規(guī)則，這些規(guī)則是在做信息包過(guò)濾決定時(shí)，防火墻所遵循和組成的規(guī)則。這些規(guī)則存儲(chǔ)在專用的信息包過(guò)濾表中，而這些表集成在Linux內(nèi)核中。在信息包過(guò)濾表中，規(guī)則被分組放在我們所謂的鏈（chain）中。根據(jù)主機(jī)在網(wǎng)絡(luò)所起的作用不同，有三種包過(guò)濾包方式分別是INPUT，OUTPUT及FORWARD，對(duì)應(yīng)下圖A，C，B三個(gè)路徑。

具體到我們的要求，需要的INPUT路徑的過(guò)濾器添加規(guī)則，限制訪問(wèn)HTYP服務(wù)的地址。具體操作步驟如下：

1.清除原有規(guī)則.

#iptables-F

#iptables-X

2.在INPUT鏈中添加規(guī)則

iptables-A INPUT-s 1 92.168.1.2-p tcp-dport 8080-jACCEPT

iptables-A INPUT-s 192.168.1.3-p tcp-dport 8080-jACCEPT

iptables-A INPUT-P tcp-dport 8080-j DROP

通過(guò)設(shè)置規(guī)則，允許特定的IP地址的主機(jī)訪問(wèn)短消息中心8080端口，未設(shè)置的IP則不能訪問(wèn)。

3.保存規(guī)則

/etc/rc.d/init.d/iptables save

三、實(shí)施效果

方案實(shí)施后，再用綠盟掃描工具對(duì)短消息中心的主機(jī)進(jìn)行漏洞掃描，原來(lái)的漏洞已經(jīng)不再顯示。經(jīng)過(guò)對(duì)SSH、ORACLE、Apache進(jìn)行了白名黑控制后，杜絕了非相關(guān)人員登錄系統(tǒng)，連接數(shù)據(jù)庫(kù)，提高了系統(tǒng)的安全性。在工信部組織的信息安全檢查中，短消息中心也沒(méi)有被檢測(cè)出有信息安全問(wèn)題。