SSL的安全漏洞及解决方案
·
cool007·
上一页 1 2 3 4 5 6 7 8 下一页 三、解决方法
至于如何保护证书的安全,你可以采用IDS(Intrusion Detection System),它是一种用于监测攻击服务器企图的技术和方法。典型的IDS监视网络通讯,并将其与保存在数据库中的已知攻击“特征”或方法比较。如果发现攻击,IDS可以提醒系统管理员、截断连接或甚至实施反攻击等。问题在于如果网络通讯是加密的,IDS将无法监视。这反而可能会使攻击更为轻松。假设在一个典型的被防火墙和IDS防护的DMZ环境中,黑客能轻松地探测被SSL保护的网站,因为SSL对数据的加密使得IDS无法正常监测攻击。通常一台单一的网站服务器会同时使用SSL和普通的TCP协议。由于黑客攻击的服务器而不是网络连接,他们可以选择任意一种途径。通过SSL途径,黑客知道SSL加密为他们带来的好处,这样更容易避开IDS系统的监测。在这里我主要介绍的是如何解决系统管理员没办法使用现有的安全漏洞扫描或网络入侵侦测系统而存在的网页服务器安全盲点的情况,目前解决这个困扰的常用方法大致有以下三种:
1、通过Proxy代理服务器的SSL
我们可以在一个SSL Proxy代理程序上使用这项资料审查技术。SSL Proxy是一个在连接埠80上接收纯文字的 HTTP通讯请求的软件,它会将这些请求通过经由SSL加密过的连结,转寄到目标网站。我们在连接埠80开一个听取的socket,通过上述的OpenSSL指令,将所有进入这个proxy的数据传送出去。这在Unix上,只是个小技巧:你只须将以下的指令加到你们的/etc/inetd.conf档案里面,这个inetd.conf包含所有inetd所提供的网络服务的设定:
www stream tcp nowait root /usr/sbin/tcpd /usr/local/bin/ssl_proxy.sh
而/usr/local/bin/ssl_proxy.sh的内容则如下所述:
#!/bin/sh
/usr/local/ssl/bin/openssl s_client -no_tls1 -quiet -connect 168.172.100.10:443 2>/dev/null
168.172.100.10是SSL防护下的网站的地址所在。其中“-no_tls1”以及“-quiet”选项将SSL交谈(handshake)的标题显示关掉,并且也删除了SSL对于尚未经过授权的网站认证所发出的警告。
如果你要想测试你的proxy连结,那么你只要以纯文字的方式,在执行SSL proxy的系统的连接端口80建立联机。这个proxy会使用SSL来转寄接收的请求到目标网站。
$ telnet 182.197.110.180 GET / HTTP/1.0
在这里,服务器正在182.197.110.1的地址执行SSL proxy机制,而真正受到SSL保护的地址则是在 168.172.100.10。通过这个SSL proxy机制,我们只要将安全扫描软件指向proxy的IP地址,就可以使用它来审查一个SSL服务器。
在这里,你可以使用whisker程序(网址:http://www.wiretrip.net/rfp/p/doc.asp?id=21&iface=2)来审查 SSL防护的网站服务器。Whisker是一个由Rain Forest Puppy写出来的script,可以用来检查已知的比较容易受到入侵的网站应用程序以及CGI script。 上一页 1 2 3 4 5 6 7 8 下一页 |
