监测SSL服务器
现在的网络 IDS 只能够监视纯文字资料内容。这个事实让我们只能够有两项选择:监视服务器上的 SSL 连结或者将整个连结资料转为纯文字格式。
大部分的网页服务器都有一些基本的日志纪录功能。例如,Microsoft 的 IIS Web server 有内建的日志制作功能,使用的是 W3svc1 格式,它可以侦测到很多一般的网络攻击状况。我们透过前述的 SSL proxy 针对 Windows NT 4.0 上具备有 SSL 防护的 IIS 服务器,来作示范性的攻击。我们用的是由 Rain Forest Puppy 发现的一般性常见的 msadc 安全穿透技术。我们的 IIS 服务器在 C:WINNTsystem32LogFiles 的目录下,记载了以下的日志:
12:25:45 10.0.0.1 GET /msadc/msadcs.dll 200
12:25:48 10.0.0.1 POST / msadc/msadcs.dll 200
然而,因为这些日志文件通常是存在网页服务器上面,因此,一个成功的攻击事件表示骇客很可能已经对日志文件下了手脚了。此外,安全管理员必须每天检查服务器上的日志文件(另外还有 IDS,防火墙等等),这实在不是个最佳的解决方案。
除了使用主机日志文件的以外,另一个方式是将 SSL 连结转换成纯文字格式。如此一来网络的 IDS 就能够监视资料往来。有几种产品提供这项功能,不过他们主要是为了要提升数据处理效能,而不是为了网络安全的理由。建立以及维护 SSL 连结,必须耗用相当的 CPU 时间,如此一来会减损网页服务器的效能。市面上有几家厂商提供「电子商务加速器」,用来将与 SSL 交涉的工作移到不同的装置或处理器。你可以将 IDS 置放于加速器跟网页服务器之间,以监控纯文字格式的网络交通。用这种方式监控的话,有一个问题。那就是你必须有至少一个网络区隔(network segment)。这个网络区隔必须是安全的,而且与其它的网络装置分开来。
结论
有两件重要的事情是你必须牢记在心的。首先,SSL 并不能够防护你的网站安全。它仅仅防护使用者的网页服务器以及目标网站之间的点对点数据链路。网页服务器跟后端的网页应用软件,仍旧会受到跟一般没有 SSL 防护的网站同样的攻击威胁。第二点,虽然 SSL 会使网络攻击者很难用目前已知的攻击模式直接攻击 SSL 防护网站,不过,这些防卫仍旧是有可能用诸如 SSL proxy 等工具来加以突破。然而,相同的技术却也可以被用来监视以及审查系统的安全漏洞。
