综述
一般的安全级别被发现比较低。具备管理员身份的对系统的初始渗透在不到十分钟的时间里就可完成。主要的安全问题在于缺乏好的安全过滤器和关键系统账户脆弱的口令选择,这些弱点使得包探测器这样的工具相当容易放置,包探测器准许对所有信息传输, 包括对置于防火墙后面的网络中的信息传输进行检查。
边防安全
某传媒公司的网络没有一个防火墙,不论偏软还是偏硬。同时也没有设置额外的规则。现有的规则需要为阻止更新的攻击进行编辑。有关建议规则配置的详细内容可在一份名为“防火墙规则建议”的文档中找到。
内部安全
某传媒公司的网络主机没有安装入侵检测或探针软件。虽然需要增强某传媒公司雇员的培训策略,但是某传媒公司的主机安全性是最充分的。将在附加文件中发现关于这些“雇员培训建议”的讨论。
渗透风险摘要
临时攻击者
在当前的安全性设置中,一个临时的但是坚定的攻击者渗透一个系统的时间估计在不到两天的时间里。
富有经验的攻击者
在当前的安全性设置中,一个富有经验的攻击者渗透安全系统的时间估计在不到一个小时的时间里。
专业的攻击者
在当前的安全性设置中,一个专业的攻击者渗透安全系统的时间估计在不到15分钟的时间里。
为IT部门所做的细致的研究结果
安全评估过程
外部安全的评估包括多种措施确定有效的外部安全级别。为了从一个外部攻击者的角度获得一个真实的安全评估,我们使用的方法和工具与黑客所使用的相同。这个过程通常包括三个阶段。
发展阶段
在这个阶段评价,我们使用多种工具确定目标网络中系统可能发生的每个事件。这个信息是在逐一系统监测的基础上得出的。一旦系统被定位,为了确定系统组件,每个系统都会被单独扫描。这些系统组件包括:操作系统版本(某传媒公司里Windows操作系统就有win98,win2000,winXP不同的版本)和补丁软件(在某传媒公司里有很少的机器上打了补丁程序,个别的只打了SP1),并且运行在操作系统上的多数软件是网络下载,在下载是没有对软件进行MD5软件校验,多数是免费版本。下载时没有对下载的程序进行杀毒。对默认安装后的操作系统没有对有效的用户进行设置,对系统账户也没有进行相应的安全策略设置。致使黑客可以对默认安装的系统账户进行复制,替用。完整的系统参数(如系统名,操作参数,目标网段中系统的角色和安全设置)始终没有一个统一的设置,致使很多用户分不清每个用户的角色。打乱了网络拓扑结构。使公司职员无法分清应用程序服务器,数据库服务器等。
在确定应用程序服务器的同时也要测试其中的所有程序的完整性和可用性。
渗透阶段
通过检查发现阶段得到的信息,寻找某传媒公司网络的弱点,这表示开始进入了渗透阶段。所有操作系统和系统软件根据已知的缺陷库进行检查。这些缺陷在目标系统上被单独测试。这个阶段的目的是了解目标系统的安全性。
控制阶段
这个阶段在成功的了解了系统安全性之后开始。在目标系统中会发生多种操作。全部的目标系统都会被访问,并且所有相关的文件和信息都会被找出来。这些文件包括完整的安全设置和参数,日志文件和系统软件配置文件。其他的一些操作系统包括在目标系统中建立后门和删除渗透证据。一旦目标系统被全面破坏,它便被用做一个中间点,对其他子网中的系统安全进行渗透,在那里又会执行相同的过程,而作为中间点全然不知发生的过程。
最终,为了测试全体系统工作人员的注意程度,我发起了大量的攻击,从而确定员工的反应。但没有一个人知道究竟发生了什么。
结论
执行概览中的这份结论基于下列发现:
1.
有效的安全过滤器没有用在外部路由器上。
2.
强密码没有用在可访问的系统中。
3.
多余的服务没有被去除。
4.
Microsoft networking从外部可访问。
5.
使用默认“public”团体名的SNMP信息可以被访问。
6.
在可访问系统上的安全审核没有启动。
7.
在可访问系统上,文件系统安全保护没有完全实施。
8.
DNS没有受到保护。
9.
Windows 2000系统默认设置没有被重新配置。
10.
关键的windows 2000注册表树没有利用审核进行保护。
11.
系统审核日志可以被访问。
12.
系统容易受到DOS(拒绝服务攻击)和DDOS(分布式拒绝服务攻击)。
13.
局域网网关最好采用Window 2000,因为网络服务功能强大。
建议
首先是在外部路由器上过滤具体的易受攻击的服务。其次是正确地保护个人WIN2000/XP系统。这包括在各自的机器上正确地保护账户和服务。第三,需要在主机上安装基于网络的IDS(入侵检测系统)。基于主机的入侵检测应该在218.30.*. * , 218.30.*.* , 218.30.*. *, 219.145.*.* 系统上采用。
安全分析的下一个阶段是现场检查系统,软件和配置。另外,应该会见主要的系统人员,确定当前的业务过程,因为安全最重要的原则是在不能影响业务的基础上对现有的网络和系统做出调整和配置。
直接建议(中到高风险)
在外部路由器上执行信息包过滤:
1.
TCP/UDP 135 (RPC)
2.
UDP 137,138;TCP 139(Microsoft Networking)
3.
UDP 161,162(SNMP)
说明:过滤器执行前两项时,将会阻止超过80%的对windows 2000进行攻击的有效工具。
将所有的系统账户密码改变为强密码(所谓强密码是指大小写字母,数字,字符混合使用的密码,例:Hevvn83-=/\LiU )。
在所有的机器上启动Windows 的安全审核。如果可能,执行下面的操作:
1.
审核所有的失败。
2.
审核成功的登陆。
3.
审核成功的安全策略变化。
4.
审核系统的成功启动和关机。
5.
不准日志覆盖。
6.
定期地存储审核日志。
对windows 系统启动强密码需求。
限制匿名登陆。
控制对注册表的远程访问。
限制对调度程序(scheduler)服务的访问。
启动账户外壳程序来锁定账户,并且强迫刷新密码。
启动管理员账户锁定。
重命名Windows中的管理员账户(例如:超级管理员账户administrator 可重命名为fashion)
适当的用Authenticated Users 组替换Everyone组。
适当的关闭不必要地服务Disable unneeded services as appropriate:
1.
RAS
2.
多余的网络协议。
3.
Server
4.
Alerter
5.
Messenger
保护IIS ,包括将FTP文件放在一个单独的分区上。你在运行匿名FTP并配有全读访问权限。虽然这种安排比需要密码保护更好,但是你应该确保服务器不准许它自己成为一个可能危及root用户的拒绝服务攻击的一部分。
网络和主机级的安全
运行一个ACL报告工具。
加密SAM密码数据库。
需要管理员账户在本地登陆。
不要准许最终用户启动系统。
利用NTFS保护/WINNT/SYSTEM32 。
长期建议
实施一个有效的安全监控系统(如snort, Symantec intruder alert , ISS realsecure 或 eTrust Intrusion detection).一个基于网络的和基于主机的IDS 将会是理想的应用。
安装对付黑客的绊网。
建立一个傀儡管理员账户,并对其实大量的审核和可以激活警告的登陆外壳。如果可能,安装一个应用程序系统地分散,甚至惩罚黑客的行为。
执行BS 7799 反病毒管理的建议。网络里没有一个适于对全部系统调节和系统化病毒更新的系统。主机192.168.0.1 根本没有任何病毒保护。
没有一个WINDOWS服务器被 eEye IIS 5.0 缓冲区溢出攻击软件修补过。可以安装服务软件包的版本2(或一个发行的服务软件包的热修复)来解决这个问题。
配置某传媒公司的防火墙来处理IP 哄骗和Smurf攻击。同样,由于某传媒公司没有防火墙无意中成为一个Smurf攻击的一部分,而不知。
某传媒公司的WEB服务器易于受到中间人攻击和拒绝服务攻击的危害。可以将WEB服务器放入一个DMZ(非军事化区)中,进一步保护它。同样,你需要更彻底地监控它的执行处理,以确定它是否已成为发现和渗透攻击的受害者。
网络安全方案总体设计
安全方案设计原则
在对这个企业局域网网络系统安全方案设计、规划时,应遵循以下原则:
综合性、整体性原则:应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(
