Siteshell白皮书.doc

InfoCageInfoCage SiteShellSiteShell 技术白皮书技术白皮书 恩益禧数码应用产品贸易 上海 有限公司 技术白皮书及软件介绍 目 录 1 前言 1 2 产品介绍 2 3 产品部署 11 3 1 针对 IIS 的部署 11 3 2 针对 APACHE的部署 11 3 3 针对 TOMCAT的部署 11 3 4 针对 NGINX的部署 11 3 5 针对网络型的部署 12 4 典型应用 14 5 附加说明 15 技术白皮书及软件介绍 第 1 页 共 15 页 1 前言前言 Web 广泛普及 为了提供购物网站和各种服务 人们使用着各种 Web 应用 这些 Web 应用服 务给人们的工作和生活带来了巨大的便利 推动了社会的发展 然而 随着 Web 应用的高速发展 针对 Web 应用漏洞的攻击导致的信息泄漏和经济损失正在 增加 2005 年以后 Web 应用的漏洞问题呈现大幅度上升 同时攻击的手段正在日益进化 新的 攻击手段正在不断出现 即使是迄今为止安全的 Web 应用也不能保证将来一定安全 有组织的攻 击和 BOT 机器人 等自动攻击也在不断增加中 Web 应用持续暴露在危险中 需要切实有效的应 对方案 在这样的情况下 确保 Web 应用的安全性非常困难 但是 作为 Web 应用的所有者 企 业必须用适当的成本达到最佳的安全效果 作为 Web 应用漏洞的对策 可利用 WAF Web Application Firewall 应用防火墙 如下图所示 作为保护 Web 系统的产品 有防火墙 IDS IPS 但它们保护的范围和 WAF 不 同 WAF 监视 Web 应用的输入和输出 检测攻击 处理攻击 是专门为了保护 Web 应用的专用安 全工具 WAF 对 Web 服务器收到的访问数据流进行分析 并利用内部预先定义的规则进行检查 判断 为攻击行为时进行相应的处理 如拒绝本次访问显示出错页面或进行无害化处理等 简单的说 有了 WAF 后 向 Web 系统发出的正常请求将被接受 恶意的请求将被拒绝 技术白皮书及软件介绍 第 2 页 共 15 页 技术白皮书及软件介绍 第 3 页 共 15 页 2 产品介绍产品介绍 产品概要产品概要 SiteShell 是一款由 NEC 专门研发的用于防御 Web 应用漏洞攻击的安全软件产品 可应对市 场上所有通过 IIS APACHE 等构建的 Web 服务器的应用漏洞 可防护 SQL 注入 跨站脚本攻击等 OWASP 组织所公布的 Top 10 Web Application Security Risks 中所有 WAF 软件可以对应的部 分 通过其优质的 可信赖的黑名单技术以及相关策略 在保护用户的 Web 应用免受最新攻击的 同时 让 Web 防护更符合客户的实际需求 Siteshell 可以防御 OWASP 规定的 WAF 需要应对的所有种类的攻击 这在业界是极为少见的 高性能 通过 Apache 实现负载均衡 和传统的修改网站源代码实现网站安全的方式相比具有 巨大优越性 轻松应对 Https SSL 的应用 SiteShell 为软件性 WAF 和硬件性 WAF 相比导入更 为容易 设置更灵活 此外 SiteShell 具有完备的防御力 领先的黑名单技术 NEC 在全球 中 国 印度 日本 的安全专家组的不间断研究成果确保抵御攻击的核心 黑名单的完备性和更新的 及时性 使用户的网站免受最新的攻击 产品原理 产品原理 如下图所示 产品构成 产品构成 产品分 2 个部分 SiteShell 管理端 Console 和 SiteShell 软件防火墙 如下图所示 技术白皮书及软件介绍 第 4 页 共 15 页 产品安装环境 产品安装环境 SiteShell SiteShell IISIIS 版 版 OSOS Windows Server 2003 x86 x64 Windows Server 2008 x86 x64 Windows Server 2008 R2 x64 WebWeb 服务器服务器 Internet Information Services 6 0 Internet Information Services 7 0 Internet Information Services 7 5 SiteShell SiteShell ApacheApache 版版 OS 1 OS 1 Windows Server 2003 x86 x64 Windows Server 2008 x86 x64 Windows Server 2008 R2 x64 RedHat Enterprise Linux v 4 x86 x64 RedHat Enterprise Linux v 5 x86 x64 JavaJava 环境环境Java SE 6 x86 用 WebWeb 服务器服务器 Apache HTTP Server 1 3 x86 x64 1 3 24 以上 Apache HTTP Server 2 0 x86 x64 Apache HTTP Server 2 2 x86 x64 1 只支持 Windows Server 64 位 OS 上运行的 32 位 Apache HTTP Server 不支持 64 位 Apache HTTP Server NW NW 型型 SiteShellSiteShell 实体实体 OS 2 OS 2 RedHat Enterprise Linux v 4 x86 x64 RedHat Enterprise Linux v 5 x86 x64 2 使用 IPv6 时 只支持反向代理方式 不支持其它方式 运用管理控制台运用管理控制台 OSOS Windows Server 2003 x86 x64 Windows Server 2008 x86 x64 Windows Server 2008 R2 x64 技术白皮书及软件介绍 第 5 页 共 15 页 RedHat Enterprise Linux v 4 x86 x64 RedHat Enterprise Linux v 5 x86 x64 JavaJava 环境环境Java SE 6 x86 用 WebWeb 浏览器浏览器 Internet Explorer 6 Internet Explorer 7 Internet Explorer 8 Firefox 3 6 显示器 XGA 1024 768 以上 推荐 65536 色 16bit 以上 功能列表 功能列表 功功 能能说明说明 监查日志监查日志是 SiteShell 识别出了攻击时 记录攻击信息及 SiteShell 对攻击的处理动作的日志 通常 用户不需要直 接参照监查日志的内容 监查日志记录过程中会使用文件循 环机制 将信息输出到多个文件 统计信息用图表显示脆弱性攻击的状况的统计信息 报表统计以月为单位的图表显示脆弱性攻击的状况的月际报表 数据维护数据库中的监查日志可以删除或者导出到 CSV 文件 白名单可以编辑记述根据脆弱性对策定义产生的核对对象外规则的 对象外定义 黑名单可以编辑自定义规则 关键字过滤 定义 HTTP 协议头长度 等 控制台集中管理可以将多个管理节点在操作管理控制台集中管理 多据点策略 日志集中管理 可以将多个管理节点的策略和日志在操作管理控制台集中管 理 站点组别 局部站点独立策略管理 根据每个节点的不同设定独立策略管理 技术白皮书及软件介绍 第 6 页 共 15 页 信息通知功能可以将脆弱性攻击的检知状况和脆弱性对策定义的自动更新 状况通过邮件和 syslog 的形式通知操作管理控制台的用户 限定管理者 IP可以指定管理者 IP 保证策略设定的安全性 支持过滤 IP 协议 IPV4 IPV6 输入规则适用对象 HTTP 请求的 IP 地址 支持 IPv4 和 IPv6 关键字过滤可以过滤指定关键字 效率不受影响 在线自动更新功能采用在线更新服务 可以实时地更新脆弱性对策 应用层 DOS 攻击防止不断发送没有完成的 HTTP 头 直到服务器耗尽所有的 资源的攻击 网站隐身 OS webserver 避免这些敏感信息为攻击者利用 提升入侵的概率 Cookie 防护处理指定 Cookie 从而加大推测的难度 防网页篡改事前防御 防止黑客进行命令攻击修改网页 负载均衡通过 Apache 实现负载均衡 图形界面操作简单的管理界面 报表显示方式灵活 支持日志导出 web 应用日志 记录攻 击 能够记录所有来自 web 的攻击情况 分析日志 自定义 HTTP 响应方式阻止指定了的 HTTP 方法 Zero day 防护即安全补丁与瑕疵曝光的同一日内 即可防护漏洞 脆弱性可设定列表 脆弱性可设定列表 功能 可设定 备 考 缓冲区溢出对策 跨站脚本攻击对策 SQL 注入对策 跨站请求伪造对策 脆弱性 对策功 能 会话劫持对策 技术白皮书及软件介绍 第 7 页 共 15 页 参数篡改对策 强制浏览对策 路径跨越对策 OS 指令注入对策 错误代码对策 HTTP 协议方法对策 有关 Cookie 的脆弱性攻击对策 脆弱性防御的详细说明 脆弱性防御的详细说明 条目条目 脆弱性脆弱性 的名称的名称 内容内容处理概要处理概要检查对象检查对象处理处理备考备考 1 缓冲区 溢出 由于输入比预期 大的参数值而导 致用户应用行为 异常 如果超过了用户指定 URL 的 长度 作为错误处理 同时 如果请求头部包含非 ASCII 0 x00 0 x7F 以外 文字 也 作为错误处理 请求处理 1 请求头部和参 数名 处理 1 请求头部处理 1 请求的参数值处理 1 2 跨站脚 本攻击 向输入框中输入 了包含了标签的 脚本 从而获取 控制信息 Cookie 或者把 控制信息发送给 第三方 脚本的无害化 或者对包含 脚本的请求直接返回错误页 面 同时也包含了链接注入 脆弱性的处理 请求的参数值处理 2 请求头部处理 1 请求的参数值处理 1 3 SQL 注入由于向输入框 参 数 中输入不正当 的 SQL 文 使数 据库出现错误动 作 从而查看或 者更新数据库的 内容 对成为 SQL 注入攻击的 SQL 文进行无害化 或者直接返 回错误页面 请求的参数值处理 2 技术白皮书及软件介绍 第 8 页 共 15 页 4 跨站请 求伪造 用户在无意识的 情况下访问了别 的网站 根据 SiteShell 附加的特殊 的数据进行客户的确认 如 果附加数据不正确 则返回 错误页面 请求的参数值处理 1使本处理有效需 满足以下三个条 件 1 响应 body 中 使用 Form 表单 2 响应头部含有 效的 Content Length 3 响应头部的 Content Type 是 text html 5 会话劫 持 攻击者偷取用户 的 Session ID 并 加以利用 对可能操纵 cookie 的请求直 接返回错误页面 请求头部和参 数值 处理 1 6 参数篡 改 发送或者接受的 参数被篡改 处理响应的参数 如果收到 的下次请求的参数内容不正 确 则返回错误页面 请求的参数值处理 1使本处理有效需 满足以下三个条 件 1 INPUT hid den Tag 中定义了 参数 2 响应头部含 有效的 Content Length 3 响应 头部的 Content Type 是 text html 7 强制浏 览 从公开的 URL 推 测各种各样的 URL 并尝试访问 在 一些特定的情况 下 可能会访问 到一些原本并不 公开的信息 指定公开的 URL请求的 URL处理 1 8 路径跨 越 篡改指定路径的 参数 从而读取 并不公开的文件 指定公开的 URL请求的 URL 和 参数值 处理 1 技术白皮书及软件介绍 第 9 页 共 15 页 9 OS 指令 注入 通过输入点内被 输入 OS 指令 使 该指令在 Web 服 务器机器上执行 把成为 OS 指令注入的请求返 回错误页面 请求头部和参 数值 处理 1 10 错误代 码 根据服务器返回 的错误内容 SQL 的错误等 得到 攻击的提示 5xx 错误发生的时候 表示代 替的 HTML 画面 应答的 HTTP 状 态码 处理 3 11 HTTP 方 法 利用以下的 HTTP 的方法攻击 DELETE SEARCH COPY MOVE P ROPFIND PROPPA TCH MKCOL LOC K UNLOCK TRAC E PUT HEAD C ONNECT 阻止指定了的 HTTP 方法 请求中的 HTTP 方法 处理 4用户设定的阻止 访问的 HTTP 方法 1 DELETE 2 SEARCH 3 COPY 4 MOVE 5 PROPFIND 6 PROPPATCH 7 MKCOL 8 LOCK 9 UNLOCK 10 TRACE 11 PUT 12 HEAD 13 CONNECT Apache 版 中 TRACE 指定 无效 要阻止 TRACE 方法 需要在 Apache 的 设定中把 TraceEnable 属性 设为 off 技术白皮书及软件介绍 第 10 页 共 15 页 通过推测 Cookie 内包含的数据 可能能够得到不 正当访问的信息 处理指定 Cookie 从而加大 推测的难度 请求中的 Cookie 和 SiteShell 参数 处理 1处理 Cookie 和 SiteShell 参数 12 有关 Cookie 的脆弱 性 由于 Cookie 的有 效期限过长 变 得容易被冒充 将 Cookie 包含的有效期限改 写为指定值 Cookie 的有效 期限 处理 5Cookie 的有效期 限 表中用语说明 请求 HTTP HTTPS 数据包的 request 数据 应答 HTTP HTTPS 数据包的 response 数据 SiteShellSiteShell 攻击检知后的攻击检知后的处理 处理 SiteShell 如果识别出了脆弱性攻击 会进行以下 5 种类型的处理 技术白皮书及软件介绍 第 11 页 共 15 页 攻击检知后的处理类型 处理类型处理内容检知后动作处理逻辑 处理 1返回错误页 面 可自定 义 结束处理用脆弱性对策定义规则检查 HTTP 数据包 攻击的情况下返回错误页面 处理 2无害化数据 后继续执行 继续如果处理 1 中攻击未被查出 则用处理 2 中的脆弱性对策定义规则检查 HTTP 数据包 如 果检查出攻击 进行无害化处理 向用户应用 返回无害化后的 HTTP 数据包 处理 3返回代替页 面 可自定 义 结束处理在错误码对策中 返回 5xx 错误画面的代 替画面 处理 4返回 403 Forbidden 结束处理在 HTTP 方法对策中 对于禁止访问的方法 返回 403 Forbidden 错误 处理 5更新 Cookie 的有效期限 继续执行 继续用指定的 cookie 有效期替代响应内包含的 cookie 有效期 说明 脆弱性对策是根据默认的 SiteShell 脆弱性对策规则定义的内容和用户自定义的脆弱性对 策文件来进行的 用户自定义的脆弱性对策 优先于默认的脆弱性对策 处理 1 的错误页面在默认情况下是含有红色文字 error 的页面 处理 3 代替页面在默认情况下是含有蓝色文字 error 的页面 如果把 SiteShell 设置成了测试模式 那么虽然在监查日志中会留下攻击的记录 但不实 行 1 4 处理 控制台集中管理如下所示 控制台集中管理如下所示 技术白皮书及软件介绍 第 12 页 共 15 页 操作管理控制台机器 服务器机器服务器机器 管理服务器管理服务器 IISIIS 版版 SiteShellSiteShell 浏览器 ApacheApache 版版 SiteShellSiteShell NWNW 型型 SiteShellSiteShell WebSite1WebSite1 WebSite2WebSite2 服服务务器机器器机器 管理服管理服务务器器 服服务务器机器器机器 管理服管理服务务器器 以节点为单 位 集中管理所 有的动作状况 技术白皮书及软件介绍 第 13 页 共 15 页 3 产品部署产品部署 SiteShell 的部署分为针对 IIS 的部署 针对 Apache 的部署和针对网络型的部署三类 Apache 的部署根据操作系统的不同分为 Windows 对应和 Linux 对应 支持 Tomcat 和 Nginx 网络型的部署分为 反向代理方式 路由器方式 桥方式 三种类型 3 1 针对 IIS 型的部署 SiteShell ISAPI过滤 器 用户应用 asp aspx 等 IIS 浏览器浏览器 3 2 针对 Apache 型的部署 3 3 针对 Tomcat 的部署 SiteShell Apache模 块 用户应用 cgi php 等 ApacheHT TPServe 1 3 2 0 2 2 浏览器浏览器 SiteShell Apache模 块 用户应用 cgi php 等 Tomcat 浏览器浏览器 技术白皮书及软件介绍 第 14 页 共 15 页 3 4 针对 Nginx 的部署 3 5 针对网络型部署 反向代理方式的构成反向代理方式的构成 WebSite1 IP 10 1 1 1 Internet WebSite2 IP 10 1 1 2 WebSite1 10 1 1 101 WebSite2 10 1 1 102 DNS服务服务 器器 现有站点 http WebSite1 虚拟WebSite2 虚拟IP 10 1 1 102 向10 1 1 2的转送 虚拟WebSite1 虚拟IP 10 1 1 101 向10 1 1 2的转送 管理节点IP 10 1 1 100 SiteShell Apache模 块 用户应用 cgi php 等 Nginx 浏览器浏览器 SiteShell服务器 技术白皮书及软件介绍 第 15 页 共 15 页 路由器方式的构成路由器方式的构成 WebSite1 IP 10 1 1 1 Internet WebSite2 IP 10 1 1 2 路由器 现有网站现有网站 http WebSite1 管理节点IP 10 1 1 100 HUB 10 1 1 1 10 1 1 101 10 1 1 2 10 1 1 102 虚拟WebSite2 虚拟IP 10 1 1 102 10 1 1 2 转送 虚拟WebSite1 虚拟IP 10 1 1 101 向10 1 1 1中转送 桥方式的构成桥方式的构成 WebSite1 IP 10 1 1 1 Internet WebSite2 IP 10 1 1 2 现有网站现有网站 http WebSite1 HUB 管理节点IP 10 1 1 100 NIC1 NIC2 虚拟WebSite2 虚拟IP 10 1 1 102 向10 1 1 2中转送 虚拟WebSite1 虚拟IP 10 1 1 101 向10 1 1 1中转换 SiteShell服务器 SiteShell服务器 技术白皮书及软件介绍 第 16 页 共 15 页 4 典型应用典型应用 1 电子商务行业 百货 化妆品 数码 食品 日用品 服务业 服装 百货行业的电子商务网站 化妆品行业的电子商务网站 数码产品的电子商务网站 日用 品 电子商务网站 服务业电子商务网站 服装行业的电子商务网站等一切 B2C B2B 的电子商 务网站 2 500 强企业的门户网站 3 制造业 B S 架构销