不可小看TCP/IP筛选
前几天接连遭遇客户的服务器被入侵,面对这一切我确实为他们感到惋惜。不重视技术,统统拿来主义怎么能行,从网上找个IPSec就套用根本无法解决问题。
说到IPSec,我承认他所带来的安全性还是值得承载的,但是微软为什么要将TCP/IP筛选和IPSec分开当然是有他的道理。在我个人认为IPSec是建立在TCP/IP筛选上的,没有合理的配置TCP/IP筛选而直接去做IPSec等同于虚设。而目前很多技术人员过多地只依赖于IPSec,认为只要将它设置好就可以保证服务器的安全,在我看来这点见解我不敢苟同。
就像之前提过的IPSec是建立在TCP/IP筛选上的这个说话,实际仔细揣摩还是能够理解它的意思!通常我的做法都是先对服务器当前运营程序作评估和统计,得出端口使用明细后会首先设置TCP/IP筛选,比如一台网站服务器,上面运行着IIS、FTP、MSSQL以及邮件系统,并允许RemoteDektop。他所涉及到的端口为:80、20、21、1433、25、110、3389,另外如果FTP要求被动模式,还应该添加被动端口段。为此,在TCP/IP筛选中添加以上这些端口。这样网站服务器就基本安全了。这时,可能要考虑到1433和3389的安全性,希望能够加固此端口,这时就可以利用IPSec来实现更加安全的配置。比如限制哪些IP可以访问3389和1433。
IPSec确实也可以实现以上的目标,但是现在我们来假设一个情景。单独使用IPSec实现了以上的目标,此时网站运营程序出现漏洞,导致黑客上传后门程序,在服务器上开放了一个后门端口5666,后果可想而知!而使用TCP/IP筛选就可以有效避免这个问题,因为之前已经配置了筛选,只允许特定端口开放,那么当后门程序开放了一个端口后,它也只是在回环IP上起作用,也就是127.0.0.1或者Localhost上!那么这个黑客后门程序实际上已经无法构成威胁!就像一个Public的主机,通常这类主机是虚拟主机,需要开放很多权限以满足客户的需要,主要的安全就涉及到FSO!所以面对这类主机,我通常会肯定的说明他不是绝对的安全。为什么会这样讲呢?因为我可以保障服务器的主要目录不受到威胁,但最终客户目录却无法保障。扯得有些远了!此篇备忘主要记录关于TCP/IP筛选的问题。
单台Exchange2003实现RPC over HTTP
Exchange2003的RPC over HTTP功能可以方便的实现用户在外网使用Outlook MAPI访问企业内部的Exchange服务器。不过RPC over HTTP在实际中发布的时候还是比较麻烦的,因为涉及到修改注册表!我查了一些资料结合这些资料实现了单台Exchange服务器发布RPC over HTTP的实验,下面就做一下总结。
首先要在Exchange服务器上安装RpcProxy,为此从添加删除程序-添加删除Windows组件-网络服务中选择HTTP代理上的RPC。
检查Exchange服务器的注册表,对照一下键值是否正确:
Value name: Rpc/HTTP Port
Value type: REG_DWORD
Value data: 0x1771 (Decimal 6001)
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeSA\Parameters
Value name: HTTP Port
Value type: REG_DWORD
Value data: 0x1772 (Decimal 6002)
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeSA\Parameters
Value name: Rpc/HTTP NSPI Port
Value type: REG_DWORD
Value data: 0x1774 (Decimal 6004)
之后,登录到GC(如果域中只有一台域控,那么GC就是DC)上编辑注册表:
键值: NSPI interface protocol sequences
键值类型: 多字符串值
键值数据: ncacn_http:6004
随后,修改Exchange服务器中的RpcProxy配置:
修改ValidPorts这个键值为:
ServerNETBIOSName:6001-6002;ServerFQDN:6001-6002;ServerNetBIOSName:6004;ServerFQDN:6004;GCNETBIOSName:6004;GCFQDN:6004
注:
利用Exchange服务器的机器名替换其中的ServerNETBIOSName
利用Exchange服务器的完全合格域名(FQDN)替换其中的ServerFQDN
利用GC服务器的机器名替换其中的GCNETBIOSName
利用GC服务器的完全合格域名替换其中的GCFQDN
如果组织中有多台GC,需要都添加到数据中;如果是群集环境,需要将EXCHANGE群集的NETBIOS和FQDN以及各个节点的NETBIOS和FQDN都添加进去。
重新启动Exchange服务器完成RpcProxy的配置。
接下来就要开始在ISA2004中发布Exchange的RPC服务,为此打开ISA2004的控制器,首先创建一个RPC的访问规则:操作允许,协议RPC(所有界面),从内部,到外部,所有用户。然后创建Exchange RPC服务器的发布:邮件服务器发布规则,客户端访问:RPC,IMAP,POP3,SMTP,选择客户端要访问的协议及端口类型,服务器IP为Exchange的所在IP,侦听请求为外部,至此就完成了Exchange的RPC over HTTP的发布!
最后,就可以在外部用客户端Outlook来测试访问了!客户端配置中的“安全性”中应该复选加密设置,在连接中配置连接属性为“使用Internet Explorer或第三方拨号程序连接”,并复选“Internet上的Exchange”中的选项“使用HTTP连接到我的Exchange邮箱”。
注意:连接属性中的配置是必须的,在实验过程中我首次并没有配置这个选项,但是发现Outlook中的Hotmail帐号访问会失败。
至此完成客户端的设置,接下来我们可以在运行中键入“outlook /rpcdiag”名来来测试连接是否正确。
总结,要多看资料,多看多个人的总结。之后要从自己当初错误的步骤开始一步一步实验最后才能总结出结果,明白其中的道理!
微软发布系统补丁集合集
微软终于自己出系统补丁整合集了!这倒是真的做了一件令人称快的事情,要知道随着补丁的增多,新部署的系统连接到微软线上更新下载补丁非常的不稳定,我曾经就遇到过完成WinSrv2003的补丁用了一天的时间!Faint~~~~~
此补丁整合集发布时间是2006年1月10日。官方下载地址是:http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=27EB2D43-5F8E-4C93-B2DC-7954D7624758
