解析远程访问的三种***方式和攻与防

随着信息化办公的普及，远程访问的需求也水涨船高。愈来愈多的企业，已经再也不只知足于信息化系统只可以在企业内部使用。因为员工出差、客户要求访问等缘由，近几年远程访问的热度不断升高。一些远程访问工具，也纷纷面世。如电子邮件、FTP、远程桌面等工具为流离在外的企业员工，提供了访问企业内部网络资源的渠道。　　可是，毋庸置疑的，对企业内部网络资源的远程访问增长了企业网络的脆弱性，产生了许多安全隐患。由于大多数提供远程访问的应用程序自己并不具有内在的安全策略，也没有提供独立的安全鉴别机制。或者说，须要依靠其余的安全策略，如IPSec技术或者访问控制列表来保障其安全性。因此，远程访问增长了企业内部网络被***的风险。笔者在这里试图对常见的远程***方式进行分析总结，跟你们一块儿来提升远程访问的安全性。 　　1、针对特定服务的*** 　　企业每每会在内部网络中部署一些HTTP、FTP服务器。同时，经过必定的技术，让员工也能够从外部访问这些服务器。而不少远程访问***，就是针对这些服务所展开的。诸如这些支持SMTP、POP等服务的应用程序，都有其内在的安全隐患。给***者开了一道后门。 　　如WEB服务器是企业经常使用的服务。惋惜的是，WEB服务器所采用的HTTP服务其安全性并不高。如今经过***WEB服务器而进行远程访问***的案例多如牛毛。***者经过利用WEB服务器和操做系统存在的缺陷和安全漏洞，能够轻易的控制WEB服务器并获得WEB内容的访问权限。如此，***者得手以后，就能够任意操做数据了。便可以在用户不知情的状况下秘密窃取数据，也能够对数据进行恶意更改。 　　针对这些特定服务的***，比较难于防范。可是，并非一点对策都没有。采起一些有效的防治措施，仍然能够在很大程度上避免远程访问的***。如采起以下措施，能够起到一些不错的效果。 　　一、是采用一些更加安全的服务。就拿WEB服务器来讲吧。如今支持WEB服务器的协议主要有两种，分别为HTTP与HTTPS。其中HTTP协议的漏洞不少，很容易被***者利用，成为远程***企业内部网络的跳板。而HTTPS则相对来讲安全的多。由于在这个协议中，加入了一些安全措施，如数据加密技术等等。在必定程度上能够提升WEB服务器的安全性。因此，网络安全人员在必要的时候，能够采用一些比较安全的协议。固然，天下没有免费的午饭。服务器要为此付出比较多的系统资源开销。 　　二、是对应用服务器进行升级。其实，不少远程服务***，每每都是由于应用服务器的漏洞所形成的。如常见的WEB服务***，就是HTTP协议与操做系统漏洞一块儿所产生的后果。若是可以及时对应用服务器操做系统进行升级，把操做系统的漏洞及时补上去，那么就能够提升这些服务的安全性，防治他们被不法之人所***。 　　三、是能够选择一些有身份鉴别功能的服务。如TFTP、FTP都是用来进行文件传输的协议。可让企业内部用户与外部访问者之间创建一个文件共享的桥梁。但是这两个服务虽然功能相似，可是安全性上却差很远。TFTP是一个不安全的协议，他不提供身份鉴别贡呢功能。也就是说，任何人只要可以链接到TFTP服务器上，就能够进行访问。而FTP则提供了必定的身份验证功能。虽然其也容许用户匿名访问，可是只要网络安全人员限制用户匿名访问，那么就能够提升文件共享的安全性。 　　2、针对远程节点的*** 　　远程节点的访问模式是指一台远程计算机链接到一个远程访问服务器上，并访问其上面的应用程序。如咱们能够经过Telent或者SSH技术远程登录到路由器中，并执行相关的维护命令，还能够远程启动某些程序。在远程节点的访问模式下，远程服务器能够为远程用户提供应用软件和本地存储空间。如今远程节点访问余愈来愈流行。不过，其安全隐患也不小。 　　一是加强了网络设备等管理风险。由于路由器、邮箱服务器等等都容许远程管理。若这些网络设备的密码泄露，则即便在千里以外的***者，仍然能够经过远程节点访问这些设备。更可怕的是，能够对这些设备进行远程维护。如***者能够登录到路由器等关键网络设备，并让路由器上的安全策略失效。如此的话，就能够为他们进一步***企业内部网络扫清道路。而有一些人即便不***企业网络，也会搞一些恶做剧。如笔者之前就遇到过，有人***路由器后，"燕过留声，人过留名"。***者居然把路由器的管理员密码更改了。这让我郁闷了很久。因此若是网络安全管理人员容许管理员进行远程节点访问，那么就要特别注意密码的安全性。要为此设立比较复杂的密码，并常常更换。 　　二是采起一些比较安全的远程节点访问方法。如对于路由器或者其余应用服务器进行远程访问的话，每每便可以经过HTTP协议，也能够经过SSH协议进行远程节点访问。他们的功能大同小异。均可以远程执行服务器或者路由器上的命令、应用程序等等。可是，他们的安全性上就有很大的差别。Telent服务其安全性比较差，由于其不管是密码仍是执行代码在网络中都是经过明文传输的。如此的话，其用户名与密码泄露的风险就比较大。如别有用心的***者能够经过网络侦听等手段窃取网络中明文传输的用户名与密码。这会给这些网络设备带来致命的打击。而SSH协议则相对来讲比较安全，由于这个服务在网络上传输的数据都是加密处理过的。它能够提升远程节点访问的安全性。像Cisco公司提供的网络设备，如路由器等等，还有Linux基础上的服务器系统，默认状况下，都支持SSH服务。而每每会拒绝启用Telent服务等等。这也主要是出于安全性的考虑。不过基于微软的服务器系统，其默认状况下，支持Telent服务。不过，笔者建议，你们仍是采用SSH服务为好。其安全性更高。 　　3、针对远程控制的*** 　　远程控制是指一个远程用户控制一台位于其余地方的计算机。这台计算机多是有专门用途的服务器系统，也多是用户本身的计算机。他跟远程节点访问相似，但又有所不一样。当用户经过远程节点访问服务器，则用户本身并不知道有人在访问本身。而经过远程控制访问的话，则在窗口中能够直接显现出来。由于远程用户使用的计算机只是做为键盘操做和现实之用，远程控制限制远程用户只可以使用驻留在企 控制的计算机上的软件程序。如像QQ远程协助，就是远程控制的一种。 　　相对来讲，远程控制要比节点访问安全性高一点。如一些远程控制软件每每会提供增强的审计和日志功能。有些远程控制软件，如QQ远程协助等，他们还须要用户提出请求，对方才可以进行远程控制。可是，其仍然存在一些脆弱性。 　　一是只须要知道用户名与口令，就能够开始一个远程控制会话。也就是说，远程控制软件只会根据用户名与密码来进行身份验证。因此，若是在一些关键服务器上装有远程控制软件，最好可以采起一些额外的安全措施。如Windows服务器平台上有一个安全策略，能够设置只容许一些特定的MAC地址的主机能够远程链接到服务器上。经过这种策略，可让只有网络管理人员的主机才可以进行远程控制。无疑这个策略能够大大提升远程控制的安全性。 　　二是采用一些安全性比较高的远程控制软件。一些比较成熟的远程控制软件，如PCAnyWhere，其除了远程控制的基本功能以外，还提供了一些身份验证方式以供管理员选择。管理员能够根据安全性需求的不一样，选择合适的身份验证方式。另外，其还具备增强的审计与日志功能，能够翔实的纪录远程控制所作的一些更改与访问的一些数据。当咱们安全管理人员怀疑远程控制被***者利用时，则能够经过这些日志来查询是否有***者侵入。 　　三是除非有特殊的必要，不然不要装或者开启远程控制软件。即便采起了一些安全措施，其安全隐患仍然存在。为此，除非特别须要，才开启远程控制软件。如笔者平时的时候，都会把一些应用服务器的远程控制软件关掉。而只有在笔者出差或者休假的时候，才会把他们开起来，以备不时之需。这么处理虽然有点麻烦，可是能够提升关键应用服务器的安全。这点麻烦仍是值得的。