在这个专栏里面,我们将指出大部分网络较鲜为人知的弱点:网页服务器(Web server)的安全性。我们将提供工具程序以及相关技术,以便帮助网络安全管理者改善他们审查以及监控这个在电子商务里头不容忽视的安全技术。
有多少次我们看过的网页会用 SSL 来向我们保证他们网站的安全性?我们常常看到诸如此类的话,「你的交易受到 SSL 的保护。」这句话到底代表着什么意思?用 SSL 防护的网站真的能够防堵骇客吗? 现在就让我们来探讨到底 SSL 在保护的是什么,骇客们的攻击有时候是怎样穿透 SSL 的,以及,为了反制起见,系统管理者要如何审查及监控 SSL 防护的网站。
Secure Sockets Layer (SSL) 通讯协议把在网页以及服务器之间的数据传输加密起来。这个加密(encryption)的措施能够防止资料窃取者直接看到传输中的资料,像是密码或者信用卡号码等等。几乎所有处理具有敏感度的资料,财务资料或者要求身分认证的网站都会使用 SSL 加密技术。(当你看到 https在你的网页浏览器上的 URL 出现时,你就是正在使用具有 SSL 保护的网页服务器。)
迷思:SSL 保护主机或者是应用程序
SSL 不是设计用来保护操作系统的;它是被设计用来保护传输中的资料。你可以把 SSL 想象成是一种在浏览器跟网络服务器之间「受密码保护的导管」(cryptographic pipe)。这个导管把使用者以及网站之间往返的资料加密起来。但是 SSL 并不会消除或者减弱网站所将受到的威胁性。在 SSL 导管的背后,一般没有受到 SSL 防护的网站一样具备了相同的网页服务器程序,同样的网页应用程序,CGI 的 script 以及后端数据库。不幸的是,很多系统管理者却认为,受到 SSL 防护的网页服务器自动就变得安全了。事实上,正如同我们即将看到的,受到 SSL 防护的网页服务器同样还是会受到与一般其它网站服务器遭受攻击的威胁。
有着 SSL 防护的网站服务器很少接受审查以及监测
促使 SSL 成为网络商务安全的全球通用选择的这项独特特质却同时也造成了网络安全管理员的困扰。因为系统管理员没办法使用现有的安全漏洞扫描(vulnerability scanners)或网络入侵侦测系统(intrusion detection systems,IDS),来审查或监控网络上的 SSL 交易。网络入侵侦测系统是透过监测网络传输来找寻没有经过认证的活动。任何符合已知的攻击模式或者并未经过政策上授权的网络活动都被标起来以供系统管理者检视。而要让 IDS 能够发生作用,IDS 必须能够检视所有的网络流量信息,但是 SSL 的加密技术却使得透过 http 传输的信息无法让 IDS 辨认。
再者,虽然我们可以用热门的安全扫描软件审查一般的网页服务器来寻找已知的安全盲点,这种扫描软件并不会检查经过 SSL 保护的服务器。受到 SSL 保护的网页服务器的确拥有与一般服务器同样的安全盲点,可是也许是因为建立 SSL 连结所需要的时间以及困难度,安全漏洞扫描软件并不会审查受到 SSL 保护的网页服务器。没有网络监测系统再加上没有安全漏洞审查,使得最重要的服务器反而成为受到最少防护的服务器。
