摘 要: 針對Web網站點的入侵事件不斷發生,現有的防火墻、IDS等設備都不能有效防止入侵者篡改網站中的網頁、盜取重要信息等攻擊,提出了Web服務器安全較完備機制,從核心層保證Web站點中的網頁不會被黑客篡改,惡意代碼在系統中不會肆意發作。該機制重構了操作系統核心層權限訪問控制模型,對操作系統文件、注冊表、進程和網絡等資源采用白名單規則,并采用多機制相結合的方式提高Web服務器的抗攻擊能力。
關鍵詞: 服務器安全; 系統保護; 文件驅動; 網絡驅動
隨著互聯網技術的飛速發展,作為信息系統的核心設備,服務器的安全提升到了一個新的高度。服務器中存儲和處理的大量核心業務數據,其安全性愈顯重要,傳統防病毒系統、防火墻、IDS等設備無法保證服務器系統高度保密和信息完整性要求。多核服務器的安全保障難度再增高,采用新的安全機制來提供Web服務器抵抗黑客和惡意代碼攻擊尤為重要。Web應用必須有80和443端口,惡意用戶正是利用了這兩個端口執行各種惡意操作:偷竊、操控、破壞Web應用中重要信息。
為透明提升Web服務器操作系統安全等級,最大程度地保證系統兼容性,本文通過對文件系統和網絡底層架構的理解,結合對規則的成功運用,實現了操作系統安全和網絡安全的有效結合。
1 原理與架構
系統分為驅動層和應用層。驅動層包括一個文件過濾驅動程序和一個NDIS網絡防火墻驅動;應用層包括一個應用程序和與驅動交互的DLL。應用層采用了WTL做界面,在驅動程序啟動時,讀取相應的規則文件,包括文件規則(所有進程對文件讀寫的規則和特殊進程對文件讀寫的規則)。文件讀寫權限有禁用、只讀、正常讀寫等。
計算機病毒發作時的行為一般有寫注冊表項、生成文件、遠程線程注入等。安全防護驅動攔截系統服務調用,通過分析例程調用的參數得到文件、進程等相關信息。系統服務調度表(SSDT)保存著本地系統服務的地址,可以定位函數的內存地址。
文件系統過濾驅動對Native API做截獲,對IoCreateFile做INLINE HOOK,在文件讀寫時根據函數參數和例程上下文信息得到相關文件全路徑和進程相關信息。與加載到內存中的文件規則做判斷。規則加載方法是開啟一個系統線程,在系統線程循環中判斷規則文件是否被修改。如果被修改,則重新加載規則文件到內存。
對注冊表的防護,則是HOOK了ZwCreateKey、ZwDeleteKey、ZwEnumerateKey、ZwOpenKey等函數。在函數內部得到操作的進程全路徑和注冊路徑,與規則文件中的進程名和注冊表路徑比較,如果符合規則,則采取規則文件中的動作對注冊表操作控制,文件動作規則包括禁用、只讀結合進程名的對比,只有進程名和文件名與規則中的進程名和文件名完全相同時,執行規則內相應的禁用和只讀動作等。
進程和進程保護采用對ZwOpenProcess的HOOK方法實現。在截獲的ZwOpenProcess例程內,得到進程ID。把進程ID與內存規則鏈表中的保護進程的ID作對比。如果是需要保護進程的ID,則返回無效句柄。進程注入多數采用CreateRemoteThread方法,在應用層采用WriteProcessMemory函數。在核心層則是NtCreateThread例程和ZwWriteVirtualMemory例程。防止復制句柄則是在驅動層截獲ZwDuplicateObject例程。進程保護的最低層可采用KiInsertQueueApc方法的截獲來實現。目前較為高級的進程保護都采用KiInsertQueueApc方法實現,如XueTr等。圖1為服務器Web安全系統序列圖。
對64位操作系統(Windows Vista 和Windows 2008 Server)等,由于操作系統采取了對內核保護的措施(PatchGuard技術),其內核被鎖定了,任何第三方軟件都無法對其進行修改。SSDT HOOK在64位操作系統上失效。
采用微軟WDK開發包提供minifilter框架,對文件權限的修改在IRP_MJ_CREATE內進行截獲,對于只讀文件,如果規則比較發現其是需要進行權限修改的只讀文件,有WRITE的標記,則修改為GENERIC_READ標記。對需要禁用的文件,則在IRP_MJ_CREATE的后處理(PostCreate)例程內采用FltCancelFileOpen對相應的文件禁用。
在網絡安全方面采用NDIS低層技術構建網絡防火墻,提供網絡層訪問控制和攻擊保護服務。統一部署在Web應用的前端。網絡防火墻是整個Web應用安全體系結構的一個組件,防御網絡層黑客攻擊(網絡掃描、telnet等),阻止蠕蟲的傳播。
2 文件和注冊表訪問權限研究與實現
文件訪問控制采用Inline Hook方法,對IoCreateFile做截獲。文件規則包括文件全路徑名、打開文件的進程名、訪問權限(只讀、禁用、正常使用等)等多元參數組。在截獲函數內,首先根據參數和上下文得到文件全路徑名。然后得到進程名。與內存規則內的文件和進程名對比,如果符合則根據規則中的動作對文件只讀、禁用等操作。如果不符合,則采取默認動作。驅動內部需要得到保護進程的列表和進程ID等。進程加載通知(PsSetCreateProcessNotifyRoutine);DLL或驅動加載通知(PsSetLoadImageNotifyRoutine);低層驅動維護著活動進程鏈表和文件、進程、注冊表規則鏈表等。圖2為文件網絡驅動與應用層關系序列圖。
Web服務器的安全需要考慮到Web服務應用程序的安全,包括遠程線程的防止注入、復制句柄、遠程內存讀寫、子進程創建的預防和判斷等。遠程線程注入通過CreateRemoteThread實現,需要調用WriteVirtualMemory等函數,在內核層則是調用ZwWriteVirtualMemory。ZwWriteVirtualMemory是在NTDLL.DLL中導出的,在驅動內得到NTDLL.DLL的地址,然后得到相應導出函數ZwWriteVirtualMemory地址。截獲地址后,在截獲函數內判斷進程ID號是否是在進程保護列表中的進程,如是則返回STATUS_ACCESS_DENIED。
驅動底層的難點主要有文件只讀、禁用規則,結合進程規則的對比,以及規則文件的設計和在內存中與進程和文件名的對比。驅動層原來對文件對比采用SSDT HOOK方法,攔截ZwOpenfile和ZwCreateFile函數,后來改用了一個函數,采用了Inline Hook加匯編的方式,簡化了對函數的比較,收到了比較好的效果。對注冊表的規則和禁用,采用了Regmon中的方法,在注冊表相應的函數內得到注冊表的訪問全名,與注冊表規則進行比較,采取相應的禁用等方法。
規則文件加上只讀等控制后,對規則的判斷首先需要對進程名進行判斷,是否符合規則中的進程名。判斷符合后,再對文件名進行規則判斷,如果文件名相同,則按規則文件中數據結構對文件做只讀和禁用等對復制句柄的禁止。
在64位服務器系統上,需要對驅動進行簽名。Minifilter架構可在32位和64位操作系統上運行。可運行的系統包括WindowsXP、Windows 2003、Windows2008 Server 64位等。在64位多核系統中需要調整一些不兼容的函數。
驅動難點還有在多核服務器上的驅動例程,如自旋鎖(SPIN LOCK)的獲取等,遇到了數次BSOD.都是多核鎖造成的,多核下要用KeAcquireInStackQueuedSpinLock.如果不想改動IRQL,只能用資源鎖(ERESOURCE)了。
3 服務器Web安全數據結構和接口方案
用戶接口主要是應用層的程序與驅動進行DeviceIoControl 交互,應用程序啟動時,需要與驅動程序會話,調用相應的函數。還有應用層需要定時與驅動層查詢得到相關的日志。
//驅動層與應用層應答IoControl
#define IOCTL_REPLY_USERLAND_REQUEST
CTL_CODE(FILE_DEVICE_UNKNOWN, 0x802, METHOD_
BUFFERED,FILE_ANY_ACCESS)
//對規則文件加密和解密IoControl
#define IOCTL_RULEFILE_ENCRYPT
CTL_CODE(FILE_DEVICE_UNKNOWN, 0x805, METHOD_
BUFFERED, FILE_ANY_ACCESS)
//得到系統運行日志IoControl
#define IOCTL_DPROTECT_GETLOG
CTL_CODE(FILE_DEVICE_UNKNOWN, 0x809, METHOD_
BUFFERED, FILE_ANY_ACCESS)
//應用層與驅動層通信EVENT
#define IOCTL_REG_EVENT
CTL_CODE(FILE_DEVICE_UNKNOWN, 0x800, METHOD_
BUFFERED, FILE_ANY_ACCESS)
//日志記錄數據結構
typedef struct _LOG_RECORD {
ULONG Length;
ULONG SequenceNumber;
RULE_TYPE LogType;
ULONG uWhat;
LARGE_INTEGER origTime;
CHAR Name[0];
} LOG_RECORD, *PLOG_RECORD;
//規則類型
typedef enum _RuleType
{
RULE_FILE = 0, //文件規則類型
RULE_DIRECTORY, //文件路徑類型
RULE_REGISTRY, //注冊表規則
RULE_SECTION,
RULE_PROTECT, //需要保護的進程
RULE_REGPROCESS, //與注冊表規則對應的進程
RULE_FILEPROCESS, //與文件規則對應的進程
RULE_NETWORK,
}RULE_TYPE;
//進程規則結構
typedef struct _PROCRULE
{
ULONG nId;
CHAR procName[PROCNAMELEN];
short nRuleType;
DWORD Reserved;
} PROCRULE, *PPROCRULE;
//注冊表規則
typedef struct _REGRULE
{
ULONG nId;
CHAR procName[PROCNAMELEN];
short nRuleType;
} REGRULE, *PREGRULE;
//注冊表進程規則
typedef struct _REGPROCRULE
{
ULONG nId;
CHAR procName[PROCNAMELEN];
short nRuleType;
} REGPROCRULE, *PREGPROCRULE;
//文件規則數據結構
typedef struct _FILERULE
{
ULONG nId;
ULONG nReadWrite;
CHAR procName[PROCNAMELEN];
short nRuleType;
BOOLEAN bDirectory;
} FILERULE, PFILERULE;
//過濾規則結構
typedef struct _FLTRULE
{
struct FLTRULE *next;
int ruleLine;
int nAction;
BOOLEAN bLog;
enum RULE_TYPE ruleType;
union {
struct _PROCRULE procRule;
struct _REGRULE regRule;
struct _FILERULE fileRule; //文件規則
struct _PROCRULE protectRule;
//禁止用任務管理器結束進程
struct _REGPROCRULE regProcrule;
}Rule;
} FLTRULE, *PFLTRULE;
Minifilter應用層和驅動層的通信方案是在應用層采用FilterConnectCommunicationPort建立通信端口的連接。然后初始化相關參數數據,創建日志查詢線程。用FilterSendMessage例程查詢驅動內日志信息。
經過測試人員詳細測試和客戶現場應用,本系統達到了良好的應用效果,從驅動層到應用層都運行良好。目前系統支持32位和64位服務器系統,對服務器安全要求較高的企事業單位有比較好的保障作用。
參考文獻
[1] 耿玉波,夏魯寧,杜皎,等.一種Web服務器安全機制的 研究與實現[J],計算機工程,2006(11):189-191.
[2] NAGAR R. Windows NT file system internals[EB/OL].[2007-04-01].http://download.csdn.net/source/168266.
[3] RUSSINOVICH M E, SOLOMON D A. Microsoft windows Internals. Fourth Edition[M]. Microsoft Press, 2007.
[4] 湯方澄,楊小虎,董金祥.基于智能Agent的網絡安全監控系統的研究[J].計算機工程,2002,28(12):63-65.