从网络攻击防御浅析内网信息安全防护方法

　　1 国内信息化建设现状

　　1.1 企业信息化建设现状

　　随着信息技术的飞速发展，特别是进入新世纪以来，我国信息化基础设施普及已达到较高水平，但应用深度有待进一步建设。从《第35次中国互联网络发展状况统计报告》的一组数据显示出，截至2014年12月，全国使用计算机办公的企业比例为90.4%，截至2014年12月，全国使用互联网办公的企业比例为78.7%。近些年，我国企业在办公中使用计算机的比例基本保持在90%左右的水平上，互联网的普及率也保持在80%左右，在使用互联网办公的企业中，固定宽带的接入率也连续多年超过95% 。基础设施普及工作已基本完成，但根据企业开展互联网应用的实际情况来看，仍存在很大的提升空间。

　　一方面，是采取提升内部运营效率措施的企业比例较低，原因之一在于企业的互联网应用意识不足，之二在于内部信息化改造与传统业务流程的契合度较低，难以实现真正互联网化，之三在于软硬件和人力成本较高，多数小微企业难以承受;另一方面，营销推广、电子商务等外部运营方面开展互联网活动的企业比例较低，且在实际应用容易受限于传统的经营理念，照搬传统方法。

　　1.2 企业网络应用现状

根据最新的《第35次中国互联网络发展状况统计报告》中的数据显示，企业开展的互联网应用种类较为丰富，基本涵盖了企业经营的各个环节。电子邮件作为最基本的互联网沟通类应用，普及率最高，达83.0%;互联网信息类应用也较为普遍，各项应用的普及率的都超过50%;而在商务服务类和内部支撑类应用中，除网上银行、与政府机构互动、网络招聘的普及率较高以外，其他应用均不及50%。我国大部分企业尚未开展全面深入的互联网建设，仍停留在基础应用水平上。

由于目前我国网民数量已经突破6亿，在人们的日常工作、学习中网络已经扮演了不可替代的角色，因此网络安全问题就凸显出来，2014年，总体网民中有46.3%的网民遭遇过网络安全问题，我国个人互联网使用的安全状况不容乐观。在安全事件中，电脑或手机中病毒或木马、账号或密码被盗情况最为严重，分别达到26.7%和25.9%，在网上遭遇到消费欺诈比例为12.6%。

　　1.3 网络安全防护现状

　　当前企业网络中已部署的基本的网络安全设备如防火墙等，但网络使用安全意识不高且网络安全是一个动态维护的过程，企业面临的内外部安全威胁日益巨增，整体安全形势不容乐观。在网络安全威胁中，对于来着企业内网的安全威胁特别难以防范，传统的安全防护措施，只能面对外部威胁，对内不具备防护能力。

　　高校在校园网信息化过程中数字化校园就是一典型例子，数字化校园网可以方便学生使用各类网络学习资源。但也有部分学生在好奇心的驱使下，往往会在网络中进行试探性的病毒传播、网络攻击等等。也有部分学生以获得学院某台服务器或者网站的控制权来显示其在黑客技术水平。因此，在内网中维护网络安全，保护信息安全，就显得更加重要和紧迫了。

　　2 内网面临的网络威胁

　　笔者在高校内网信息化建设过程中，通过多年的研究调查发现，学生的攻击往往是盲目地，且由于部分高校内网管理较混乱，学生可以绕过一些身份认证等安全检测，进入校园核心网络。学生的这些行为，一般不存在恶意性质，也不会进行蓄意破坏，但这就向我们提出了警示，一旦有不法分子轻松突破防线，其带来的危害也是灾难性的。

　　笔者以本单位学生通过校园网络攻击校园网服务器的例子，说明其网络攻击有时往往非常容易，其造成的危害却非常之大。

　　2.1 突破内网，寻找突破口

　　学生通过学院内网IP地址管理漏洞，轻松接入校园内部办公网络，并获得内网地址网段划分情况。通过流行黑客软件扫描学院内网获得内网安全薄弱处，检测出共青团委员会 http：//10.0.1.30：90/该网页存在漏洞。进一步利用路径检测工具进行扫描，获得了后台地址http：//10.0.1.30：。

　　2.2 一击得手

　　学生在获得了正确的管理地址后，只是进行了简单的尝试就取得了战果，通过弱口令扫描发现系统存在弱口令，于是尝试了如admin admin admin admin888 admin 123456等，居然顺利进入后台。

　　然后利用后台的附件管理里面的功能，添加了php格式，从而实现了上传。得到了内网的webshell(如图1)。

　　2.3 再接再厉，权限提升

　　学生不断尝试，测试了asp和aspx 的支持情况，答案是支持asp，不支持aspx的。自然就上传了 asp webshell，可以实现跨目录访问。访问权限进一步提升，如图，目标主机D盘内容一览无余，其中不乏一些关键目录信息就展现在攻击者眼前(如图2)：

　　2.4 获得系统管理员权限，完全掌控目标主机服务器

　　查看系统所支持的组件，获取目标服务器系统关键信息。可以看到ws这个组件没有被禁用，从而上传cmd，以获得终极权限系统管理员权限。首先想到的是利用webshell中的上传进行，但是权限问题，webshell上传均失败，所以转向ftp上传(同样存在弱口令)，从而绕过了限制，上传了。

　　实验性的执行命令Systeminfo查看系统信息命令，结果可以正常运行，终极权限获得(如图3)：

可以看出，学生攻击学院内网的手段并不高明，其用到的黑客攻击工具，网络上也都能随意下载到，但其通过自己的仔细琢磨，充分利用了内网管理的漏洞，获得了关键信息。好在这是实验性，未造成实质性破坏。内网管理员也及时发现了问题，并对目标服务器进行了安全加固工作。

但我们不难发现，其实网络安全的程度存在着“木桶原理”的问题，也就是网络最薄弱的环节，决定着内网的安全程度。在现实中往往由于管理者的疏忽或者使用者贪图一时方便的原因，给网络中潜在的攻击者留下致命的后门。3 建立信息防泄露的内网访问控制模型

　　针对上述服务器网络攻击，最有效的方法就是对用户访问进行准入控制，隔离潜在威胁用户。例如，在内网中对所有用户进行身份认证，分配相应的网络访问权限。在内网安全架构中，访问控制是非常重要的一环，其承担着与后台策略决策系统交互，决定终端对网络访问权限发分配。目前主要使用的访问控制技术主要有：

　　3.1 802.1X 访问控制技术

802.1X 是一个二层协议，需要接入层交换机支持。在终端接入时，端口缺省只打开802.1X的认证通道，终端通过802.1X认证之后，交换机端口才打开网络通信通道。其优点是：在终端接入网络时就进行准入控制，控制力度强，已经定义善的协议标准。

其缺点是：对以网交换机技术要求高，必须支持802.1X认证，配置过程比较复杂，需要考虑多个设备之间的兼容性，交换机下可能串接HUB，交换机可能对一个端口上的多台PC 当成一个状态处理，存在访问控制漏洞。

　　3.2 ARP spoofing访问控制技术

　　在每个局域网上安装一个ARP spoofing代理，对终端发起ARP 请求代替路由网关回ARP spoofing，从而使其他终端的网络流量必须经过代理。在这个ARP spoofing代理上进行准入控制。其优点是：ARP适用于任何IP 网络，并且不需要改动网络和主机配置，易于安装和配置。其缺点是：类似DHCP控制，终端可以通过配置静态ARP表，来绕过准入控制体系。此外，终端安全软件和网络设备可能会将ARP spoofing当成恶意软件处理。

　　3.3 DNS重定向访问控制技术

　　在DNS重定向机制中，将终端的所有DNS解析请求全部指定到一个固定的服务器IP地址。其优点是：类似DHCP管理和ARP spoofing，适用于任何适用DNS协议的网络，易于安装和部署，支持WEB portal页面，可以通过DNS 重定向，将终端的HTML 请求重定向到WEB认证和安全检查页面。其缺点是：类似DHCP控制和ARP spoofing，终端可以通过不使用DNS 协议来绕开准入控制限制(例如：使用静态HOSTS文件)。

以上是内网安全设备主流使用的准入控制方式，每种方式都具有其特定的优缺点，一般来说每个设备都会支持两种以上的准入控制方式。

但是，网络管控对于网络使用的便捷性是一对矛盾体，如果既要使用的便捷性，又要对网络进行有效管控，这对网络安全设备的性能提出了相当高的要求。然而，高性能的安全设备价格非常昂贵，这也是很多企业宁可暴露威胁，也不防范的原因之一。

　　3.4 网关准入控制——UTM(统一威胁管理)

　　UTM产品的设计初衷是为了中小型企业提供网络安全防护解决方案，其低廉的价格和强大的集成功能，在企业内网中扮演着重要的角色。UTM将安全网关、终端代理软件、终端策略服务器、认证控制点四位一体化部署，可以在内网中进行多点部署，从而构建出内网用户访问控制模型，实现全面覆盖用户内网每一个区域和角落。

　　(1)合理部署网关位置

UTM的位置本身即位于安全域边界，由于UTM的设备性能参数，一般不建议部署在互联网出口、服务器出口及办公网出口等网络核心节点，在内网访问控制模型中，可以部署在网络拓扑中的汇聚节点。

从安全理论的角度讲，对某一区域网络中的所有用户进行控制(包括访问控制、准入控制、业务控制等);同时，UTM设备的入侵防御、防病毒、外连控制等模块可以与准入控制功能相互配合，UTM一旦发现某用户行为违规，就可以通过内网管理系统直接断开该用户的所有连接。

　　(2)UTM优势分析

　　采用UTM网关配合内网管理系统实现访问控制，用户只需要购买少量UTM设备，采用透明方式部署至网络关键节点处，即可以实现全面的准入控制。与基于DHCP控制，ARP spoofing，DNS 劫持等准入控制相比，UTM 准入控制能力更强、更全面，终端用户在任何情况下均无法突破或绕过准入控制。

　　除此以外，UTM设备还可根据终端的安全情况自动配置合适的安全策略，如在终端未满足某些安全要求的情况下开放其访问修复服务器的权限。

　　网络安全，不应只关注网络出口安全，更应关注内网中的信息安全，信息的泄漏往往是从内部开始，因此，构建内网访问控制模型就非常重要，采取UTM帮助内网进行安全管控是一个非常便捷、高效的手段。

　　作者：徐振华 来源：科技视界 2016年8期