常見(jiàn)漏洞的處理方案(2)

1、 2013 綠盟科技常見(jiàn)漏洞的處理方案綠盟科技安全顧問(wèn)：林天翔1 漏洞掃描原理6 數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備漏洞處理建議5 Linux發(fā)行版漏洞處理建議4 Windows系統(tǒng)漏洞處理建議3 漏洞修復(fù)整體方式2 黑客攻擊方式7 漏洞處理方案總結(jié)有關(guān)安全漏洞的幾個(gè)問(wèn)題什么是安全漏洞？ 在計(jì)算機(jī)安全學(xué)中，存在于一個(gè)系統(tǒng)內(nèi)的弱點(diǎn)或缺陷，系統(tǒng)對(duì)一個(gè)特定的威脅攻擊或危險(xiǎn)事件的敏感性，或進(jìn)行攻擊的威脅作用的可能性。為什么存在安全漏洞？ 客觀上技術(shù)實(shí)現(xiàn) 技術(shù)發(fā)展局限 永遠(yuǎn)存在的編碼失誤 環(huán)境變化帶來(lái)的動(dòng)態(tài)化 主觀上未能避免的原因 默認(rèn)配置 對(duì)漏洞的管理缺乏 人員意識(shí)如何解決安全漏洞？如何解決安全漏洞？一些基本原則 服務(wù)

2、最小化 嚴(yán)格訪問(wèn)權(quán)限控制 及時(shí)的安裝補(bǔ)丁 安全的應(yīng)用開(kāi)發(fā)可使用工具和技術(shù) 安全評(píng)估與掃描工具 補(bǔ)丁管理系統(tǒng) 代碼審計(jì)漏洞的可利用性 可利用性：80%的利用漏洞的攻擊發(fā)生在前兩個(gè)半衰期內(nèi)，85%的破壞來(lái)自于漏洞攻擊開(kāi)始的15天的自動(dòng)化攻擊，并且會(huì)不斷持續(xù)，直到該漏洞的影響消失。漏洞的流行性和持續(xù)性流行性：50%的最流行的高危漏洞的影響力會(huì)流行一年左右，一年后這些漏洞將被一些新的流行高危漏洞所替代。持續(xù)性：4%的高危漏洞的壽命很長(zhǎng)，其影響會(huì)持續(xù)很長(zhǎng)一段時(shí)間；尤其是對(duì)于企業(yè)的內(nèi)部網(wǎng)絡(luò)來(lái)說(shuō)，某些漏洞的影響甚至是無(wú)限期的。少數(shù)漏洞的壽命無(wú)限期絕大多數(shù)漏洞的壽命綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)依托專業(yè)的NSFOCUS

3、安全小組，綜合運(yùn)用信息重整化（NSIP）等多種領(lǐng)先技術(shù)，自動(dòng)、高效、及時(shí)準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)存在的安全漏洞；提供Open VM（Open Vulnerability Management開(kāi)放漏洞管理）工作流程平臺(tái)，將先進(jìn)的漏洞管理理念貫穿整個(gè)產(chǎn)品實(shí)現(xiàn)過(guò)程中；專業(yè)的Web應(yīng)用掃描模塊，可以自動(dòng)化進(jìn)行Web應(yīng)用、Web 服務(wù)及支撐系統(tǒng)等多層次全方位的安全漏洞掃描，簡(jiǎn)化安全管理員發(fā)現(xiàn)和修復(fù) Web 應(yīng)用安全隱患的過(guò)程。漏洞管理系統(tǒng)Vulnerability Management System漏洞評(píng)估系統(tǒng)Vulnerability Assessment System漏洞掃描產(chǎn)品Vulnerability

4、 Scanner RSAS內(nèi)部模塊系統(tǒng)架構(gòu)RSAS Internet掃描結(jié)果庫(kù)漏洞知識(shí)庫(kù)掃描核心模塊WEB界面模塊升級(jí)服務(wù)器遠(yuǎn)程RSAS匯總服務(wù)器Internet被掃描主機(jī)瀏覽器HTTPS訪問(wèn)InternetHTTP升級(jí)請(qǐng)求SSL加密通道SSL加密通道數(shù)據(jù)匯總Internet用戶數(shù)據(jù)同步模塊漏洞掃描技術(shù)原理名詞解釋Banner理解為系統(tǒng)標(biāo)識(shí)，可表現(xiàn)出系統(tǒng)版本，業(yè)務(wù)類型等，可理解為“身份證”；漏洞插件基于對(duì)某個(gè)漏洞的有效攻擊，除去攻擊過(guò)程中可導(dǎo)致目標(biāo)系統(tǒng)受損的單元，剩余的測(cè)試步驟就為一個(gè)漏洞插件；防火墻過(guò)濾防火墻可進(jìn)行嚴(yán)格的出入棧過(guò)濾，但可通過(guò)nmap等攻擊進(jìn)行繞過(guò)探測(cè)；數(shù)據(jù)庫(kù)版本默認(rèn)情況下數(shù)據(jù)

5、庫(kù)無(wú)法進(jìn)行版本更新等；并且針對(duì)數(shù)據(jù)庫(kù)絕大部分為DDOS、溢出等攻擊，因此極少存在漏洞插件。大多數(shù)數(shù)據(jù)庫(kù)漏洞通過(guò)數(shù)據(jù)庫(kù)banner進(jìn)行判定；漏洞掃描誤報(bào)常規(guī)情況下，由于目標(biāo)設(shè)備適用環(huán)境的變化，漏洞掃描設(shè)備存在一定的誤報(bào)率，因此部分漏洞可能誤報(bào)甚至未被發(fā)現(xiàn)，因此要進(jìn)行周期化的掃描，以降低誤報(bào)率；1 漏洞掃描原理6 數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備漏洞處理建議5 Linux發(fā)行版漏洞處理建議4 Windows系統(tǒng)漏洞處理建議3 漏洞修復(fù)整體方式2 黑客攻擊方式7 漏洞處理方案總結(jié)黑客攻擊方式之1廣撒網(wǎng)黑客攻擊方式之2重點(diǎn)撈魚(yú)WEB服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器服務(wù)器終端WindowsLinuxAIXHPSolarisNetWa

6、reBSD路由器交換機(jī)防火墻網(wǎng)絡(luò)系統(tǒng)WWWFTPSSHSMTP DCE/RPC數(shù)據(jù)庫(kù)木馬和后門IMAPLDAPONC/RPC 遠(yuǎn)程管理POP3SMB KernelSNMPNNTPCGI X WindowXDMCPXFSKerberosFingerRTSP應(yīng)用系統(tǒng)全面滲透1 漏洞掃描原理6 數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備漏洞處理建議5 Linux發(fā)行版漏洞處理建議4 Windows系統(tǒng)漏洞處理建議3 漏洞修復(fù)整體方式2 黑客攻擊方式7 漏洞處理方案總結(jié)漏洞修復(fù)方式安全性與易用性始終是最大的矛盾1 漏洞掃描原理6 數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備漏洞處理建議5 Linux發(fā)行版漏洞處理建議4 Windows系統(tǒng)漏洞處理建議3

7、漏洞修復(fù)整體方式2 黑客攻擊方式7 漏洞處理方案總結(jié)Windows漏洞綜述查看系統(tǒng)版本ver查看SP版本wmic os get ServicePackMajorVersion查看Hotfixwmic qfe get hotfixid,InstalledOn查看主機(jī)名hostname查看網(wǎng)絡(luò)配置ipconfig /all查看路由表route print查看開(kāi)放端口netstat -ano配置型漏洞通過(guò)組策略、注冊(cè)表等進(jìn)行配置修改，多數(shù)情況下為禁用開(kāi)放協(xié)議及默認(rèn)協(xié)議；系統(tǒng)型漏洞系統(tǒng)自身存在的溢出漏洞、DDOS漏洞等；需通過(guò)補(bǔ)丁升級(jí)解決；Windows漏洞事例Windows漏洞修復(fù)更新補(bǔ)丁http:

8、/ Updates（不使用自動(dòng)更新可以關(guān)閉）Background Intelligent Transfer ServiceDHCP ClientMessengerRemote RegistryPrint SpoolerServer（不使用文件共享可以關(guān)閉）Simple TCP/IP ServiceSimple Mail Transport Protocol (SMTP)SNMP ServiceTask ScheduleTCP/IP NetBIOS Helper是否實(shí)施備注其他不需要的服務(wù)也應(yīng)該關(guān)閉默認(rèn)共享操作目的關(guān)閉默認(rèn)共享檢查方法開(kāi)始-運(yùn)行-cmd.exe-net share，查看共享加固方

9、法關(guān)閉C$，D$等默認(rèn)共享開(kāi)始-運(yùn)行-regedit-找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters ，新建AutoShareServer（REG_DWORD），鍵值為0是否實(shí)施備注網(wǎng)絡(luò)訪問(wèn)限制操作目的網(wǎng)絡(luò)訪問(wèn)限制檢查方法開(kāi)始-運(yùn)行-secpol.msc -安全設(shè)置-本地策略-安全選項(xiàng)加固方法網(wǎng)絡(luò)訪問(wèn): 不允許 SAM 帳戶的匿名枚舉：?jiǎn)⒂镁W(wǎng)絡(luò)訪問(wèn): 不允許 SAM 帳戶和共享的匿名枚舉：?jiǎn)⒂镁W(wǎng)絡(luò)訪問(wèn): 將 “每個(gè)人”權(quán)限應(yīng)用于匿名用戶：禁用帳戶: 使用空白密碼的本地帳戶只允許進(jìn)行控制臺(tái)登錄：?jiǎn)?/p>

10、用是否實(shí)施備注gpupdate /force立即生效Windows漏洞修復(fù)修改配置Windows漏洞修復(fù)修改配置第一步，打開(kāi)組策略編輯器：gpedit.msc第二步，找到“計(jì)算機(jī)配置windows設(shè)置安全設(shè)置安全選項(xiàng)”第三步，在安全選項(xiàng)中找到：”系統(tǒng)加密：將FIPS兼容算法用于加密、哈希和簽名“（個(gè)版本系統(tǒng)表述方法可能不同，但系統(tǒng)加密選項(xiàng)就幾種，針對(duì)FIPS就一種，因此不會(huì)選錯(cuò)）第四步，執(zhí)行g(shù)pupdate命令1 漏洞掃描原理6 數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備漏洞處理建議5 Linux發(fā)行版漏洞處理建議4 Windows系統(tǒng)漏洞處理建議3 漏洞修復(fù)整體方式2 黑客攻擊方式7 漏洞處理方案總結(jié)Linux漏洞綜

11、述查看內(nèi)核信息uname -a查看所有軟件包rpm -qa查看主機(jī)名hostname查看網(wǎng)絡(luò)配置ifconfig -a查看路由表netstat -rn查看開(kāi)放端口netstat -an查看當(dāng)前進(jìn)程ps -auxLinux系統(tǒng)漏洞Apache應(yīng)用漏洞PHP應(yīng)用漏洞修改Telnet banner信息Telnet Banner修改法： 編輯文件/etc/,找到類似這幾行（不同版本的Linux內(nèi)容不太一樣）： Red Hat Linux release 8.0(Psyche) Kernel r on an m 改成： Microsoft Windows Version 5.00(Build 2195)

12、 Welcome to Microsoft Telnet Service Telnet Server Build 5.00.99206.1 由于重啟后會(huì)自動(dòng)恢復(fù)，為了保護(hù)這些偽造的信息，還需要編輯文件/etc/rc.local， 在這些行前加“#”號(hào)，注釋掉恢復(fù)的功能： #echo”/etc/issue #echo”$R”/etc/issue #echo “Kernel $(uname ?r) on $a $SMP$(umame ?m)”/etc/issue #cp-f/etc/issue/etc/ #echo/etc/issue 通過(guò)上面的方法將linux系統(tǒng)下的telnet服務(wù)修改成win

13、dows下的telnet服務(wù)，從而達(dá)到迷惑黑客的目的。修改Apache服務(wù)banner信息自動(dòng)化工具：Banner Edit Tool修改httpd.conf文件,設(shè)置以下選項(xiàng):ServerTokens ProductOnlyServerSignature Off關(guān)閉trace-methodTraceEnable offServerSignature apache生成的一些頁(yè)面底部,比如404頁(yè)面,文件列表頁(yè)面等等。ServerTokens指向被用來(lái)設(shè)置Server的http頭回響。設(shè)置為Prod可以讓HTTP頭回響顯示成這樣.Server: Apacheapache禁止訪問(wèn)目錄列表- -編輯

14、httpd.conf把下面配置項(xiàng)改成Options Indexes FollowSymlinks MultiViewsOptions FollowSymlinks MultiViews即拿掉Indexes,重新啟動(dòng)apache隱藏http頭信息中看到php的版本信息在php.ini中設(shè)置 expose_php = Off關(guān)閉不常用的服務(wù)操作目的關(guān)閉不必要的服務(wù)（普通服務(wù)和xinetd服務(wù)），降低風(fēng)險(xiǎn)檢查方法使用命令“who -r”查看當(dāng)前init級(jí)別使用命令“chkconfig -list ”查看所有服務(wù)的狀態(tài)加固方法使用命令“chkconfig -level on|off|reset”設(shè)置服

15、務(wù)在個(gè)init級(jí)別下開(kāi)機(jī)是否啟動(dòng)是否實(shí)施備注新版本的Linux中，xinetd已經(jīng)將inetd取代OpenSSH漏洞分析OpenSSH修復(fù)建議1：隱藏OpenSSH版本。由于漏掃在針對(duì)OpenSSH進(jìn)行掃描時(shí)，先判斷SSH服務(wù)開(kāi)啟狀況，在進(jìn)行banner信息的判斷，確認(rèn)系統(tǒng)版本后即報(bào)響應(yīng)版本漏洞。因此，可通過(guò)修改OpenSSH的banner信息進(jìn)行隱藏，進(jìn)而避免漏掃對(duì)其漏洞的爆出。修改命令如下（建議聯(lián)系系統(tǒng)開(kāi)發(fā)商，并且在測(cè)試機(jī)上進(jìn)行試驗(yàn)）：修改openssh-X.x/version.h找到#define SSH_VERSION OpenSSH_6.22：進(jìn)行OpenSSH版本升級(jí)，現(xiàn)有版本最高

16、為6.2。建議升級(jí)到6.0以上即可。版本升級(jí)不復(fù)雜并且較為有效，但升級(jí)過(guò)程中會(huì)中斷SSH業(yè)務(wù)，因此需慎重考慮。3：采用iptables，可進(jìn)行在服務(wù)器端的端口訪問(wèn)限制?？上拗茷橹辉试S小部分維護(hù)端及SSH接收端即可?？捎行П苊釹SH端口對(duì)本次檢查地址開(kāi)放，并可對(duì)操作系統(tǒng)TTL值進(jìn)行修改，避免系統(tǒng)版本泄露。此方法最安全，但需要linux支持iptables。Iptables使用建議iptables 是與最新的 3.5 版本 Linux 內(nèi)核集成的 IP 信息包過(guò)濾系統(tǒng)。如果 Linux 系統(tǒng)連接到因特網(wǎng)或 LAN、服務(wù)器或連接 LAN 和因特網(wǎng)的代理服務(wù)器， 則該系統(tǒng)有利于在 Linux 系統(tǒng)上更

17、好地控制 IP 信息包過(guò)濾和防火墻配置。#允許本地回環(huán)接口(即運(yùn)行本機(jī)訪問(wèn)本機(jī)) iptables -A INPUT -s -d -j ACCEPT # 允許已建立的或相關(guān)連的通行 iptables -A INPUT -m state -state ESTABLISHED,RELATED -j ACCEPT #允許所有本機(jī)向外的訪問(wèn) iptables -A OUTPUT -j ACCEPT # 允許訪問(wèn)22端口 iptables -A INPUT -p tcp -dport 22 -j ACCEPT #允許訪問(wèn)80端口 iptables -A INPUT

18、 -p tcp -dport 80 -j ACCEPT #允許FTP服務(wù)的21和20端口 iptables -A INPUT -p tcp -dport 21 -j ACCEPT iptables -A INPUT -p tcp -dport 20 -j ACCEPTIptables使用建議#屏蔽單個(gè)IPiptables -I INPUT -s -j DROP#封整個(gè)段即從到54iptables -I INPUT -s /8 -j DROP#封IP段即從到54ipta

19、bles -I INPUT -s /16 -j DROP#封IP段即從到54iptables -I INPUT -s /24 -j DROP#查看以添加的規(guī)則iptables -L n#刪除規(guī)則iptables -D INPUT XX1 漏洞掃描原理6 數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備漏洞處理建議5 Linux發(fā)行版漏洞處理建議4 Windows系統(tǒng)漏洞處理建議3 漏洞修復(fù)整體方式2 黑客攻擊方式7 漏洞處理方案總結(jié)網(wǎng)絡(luò)設(shè)備漏洞處理數(shù)據(jù)庫(kù)加固口令密碼復(fù)雜性策略通過(guò)增加可能密碼的數(shù)量來(lái)阻止強(qiáng)力攻擊。實(shí)施密碼復(fù)雜性策略時(shí)，新密碼必須符

20、合以下原則。 密碼不得包含全部或“部分”用戶帳戶名。部分帳戶名是指三個(gè)或三個(gè)以上兩端用“空白”（空格、制表符、回車符等）或任何以下字符分隔的連續(xù)字母數(shù)字字符： - _ #密碼長(zhǎng)度至少為六個(gè)字符。 密碼包含以下四類字符中的三類： 英文大寫(xiě)字母 (A - Z) 英文小寫(xiě)字母 (a - z) 十個(gè)基本數(shù)字 (0 - 9) 非字母數(shù)字（例如：!、$、# 或 %）詢問(wèn)管理員sa是否空口令或?yàn)槿蹩诹畈?shí)際登錄測(cè)試，檢查有無(wú)不必要帳戶如果要修改弱密碼和刪除不必要帳戶，可以登錄企業(yè)管理器1)展開(kāi)“安全性”“登錄名”條目，雙擊弱密碼帳號(hào)2)修改帳號(hào)弱密碼為包含英文大小寫(xiě)、數(shù)字、特殊字符的復(fù)雜密碼3)刪除不必要的帳戶數(shù)據(jù)庫(kù)加固訪問(wèn)控制操作名稱：檢查操作系統(tǒng)是否進(jìn)行數(shù)據(jù)庫(kù)訪問(wèn)ip和端口限制實(shí)施方案：檢查主機(jī)防火墻設(shè)置，詢問(wèn)管理員是否有網(wǎng)絡(luò)防火墻對(duì)數(shù)據(jù)庫(kù)進(jìn)行保護(hù)，建議開(kāi)啟主機(jī)防火墻對(duì)數(shù)據(jù)庫(kù)進(jìn)行保護(hù)實(shí)施目的：限制對(duì)數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)訪問(wèn)實(shí)施風(fēng)險(xiǎn)：可能影響應(yīng)用備注：檢查名稱：檢查tns 登錄IP限制實(shí)施方案：檢查sqlnet.ora中是否有相關(guān)限制安全建議：編輯%or