1、 2013 绿盟科技常见漏洞的处理方案绿盟 科技安全顾问:林天翔1 漏洞扫描原理6 数据库、网络设备漏洞处理建议5 Linux发行版漏洞处理建议4 Windows系统漏洞处理建议3 漏洞修复整体方式2 黑客攻击方式7 漏洞处理方案总结有关安全漏洞的几个问题 什么是安全漏洞? 在计算机安全学中,存在于一个系统内的弱点或缺陷,系统对一个特定的威胁攻击或危险事件的敏感性,或进行攻击的威胁作用的可能性。 为什么存在安全漏洞? 客观上技术实现 技术发展局限 永远存在的编码失误 环境变化带来的动态化 主观上未能避免的原因 默认配置 对漏洞的管理缺乏 人员意识如何解决安全漏洞? 一些基本原则 服务最小化 严
2、格访问权限控制 及时的安装补丁 安全的应用开发 可使用工具和技术 安全评估与扫描工具 补丁管理系统 代码审计漏洞的可利用性 可利用性: 80%的利用漏洞的攻击发生在前两个半衰期内,85%的破坏来自于漏洞攻击开始的 15天的自动化攻击,并且会不断持续,直到该漏洞的影响消失。漏洞的流行性和持续性 流行性: 50%的最流行的高危漏洞的影响力会流行一年左右,一年后这些漏洞将被一些新的流行高危漏洞所替代。 持续性: 4%的高危漏洞的寿命很长,其影响会持续很长一段时间;尤其是对于企业的内部网络来说,某些漏洞的影响甚至是无限期的。少数漏洞的寿命无限期绝大多数漏洞的寿命绿盟远程安全评估系统 依托专业的 NSF
3、OCUS安全小组,综合运用信息重整化( NSIP)等多种领先技术,自动、高效、及时准确地发现网络资产存在的安全漏洞; 提供 Open VM( Open Vulnerability Management开放漏洞管理)工作流程平台,将先进的漏洞管理理念贯穿整个产品实现过程中; 专业的 Web应用扫描模块,可以自动化进行 Web应用、 Web 服务及支撑系统等多层次全方位的安全漏洞扫描,简化安全管理员发现和修复 Web 应用安全隐患的过程。漏洞管理系统 Vulnerability Management System漏洞评估系统 Vulnerability Assessment System漏洞扫描产
4、品 Vulnerability Scanner RSAS内部模块系统架构RSAS Internet扫描结果库漏洞知识库扫描核心模块WEB界面模块升级服务器远程 RSAS汇总服务器Internet被扫描主机浏览器HTTPS访问InternetHTTP升级请求SSL加密通道SSL加密通道数据汇总Internet用户数据同步模块漏洞扫描技术原理名词解释Banner理解为系统标识,可表现出系统版本,业务类型等,可理解为 “ 身份证 ” ;漏洞插件基于对某个漏洞的有效攻击,除去攻击过程中可导致目标系统受损的单元,剩余的测试步骤就为一个漏洞插件;防火墙过滤防火墙可进行严格的出入栈过滤,但可通过 nmap等
5、攻击进行绕过探测;数据库版本默认情况下数据库无法进行版本更新等;并且针对数据库绝大部分为 DDOS、溢出等攻击,因此极少存在漏洞插件。大多数数据库漏洞通过数据库 banner进行判定;漏洞扫描误报常规情况下,由于目标设备适用环境的变化,漏洞扫描设备存在一定的误报率,因此部分漏洞可能误报甚至未被发现,因此要进行周期化的扫描,以降低误报率;1 漏洞扫描原理6 数据库、网络设备漏洞处理建议5 Linux发行版漏洞处理建议4 Windows系统漏洞处理建议3 漏洞修复整体方式2 黑客攻击方式7 漏洞处理方案总结黑客攻击方式之 1广撒网黑客攻击方式之 2重点捞鱼WEB服务器数据库服务器服务器终端 Win
6、dows Linux AIX HP Solaris NetWare BSD 路由器 交换机 防火墙网络系统 WWW FTP SSH SMTP DCE/RPC 数据库 木马和后门 IMAP LDAP ONC/RPC 远程管理 POP3 SMB Kernel SNMP NNTP CGI X Window XDMCP XFS Kerberos Finger RTSP应用系统全面渗透1 漏洞扫描原理6 数据库、网络设备漏洞处理建议5 Linux发行版漏洞处理建议4 Windows系统漏洞处理建议3 漏洞修复整体方式2 黑客攻击方式7 漏洞处理方案总结漏洞修复方式安全性与易用性始终是最大的矛盾1 漏洞扫
7、描原理6 数据库、网络设备漏洞处理建议5 Linux发行版漏洞处理建议4 Windows系统漏洞处理建议3 漏洞修复整体方式2 黑客攻击方式7 漏洞处理方案总结Windows漏洞综述查看系统版本 ver查看 SP版本 wmic os get ServicePackMajorVersion查看 Hotfix wmic qfe get hotfixid,InstalledOn查看主机名 hostname查看网络配置 ipconfig /all查看路由表 route print查看开放端口 netstat -ano配置型漏洞通过组策略、注册表等进行配置修改,多数情况下为禁用开放协议及默认协议;系统型
8、漏洞系统自身存在的溢出漏洞、 DDOS漏洞等;需通过补丁升级解决;Windows漏洞事例Windows漏洞修复 更新补丁http:/ 关闭不需要的服务,减小风险检查方法 开始 -运行 -services.msc加固方法 建议将以下服务停止,并将启动方式修改为手动:Automatic Updates(不使用自动更新可以关闭)Background Intelligent Transfer ServiceDHCP ClientMessengerRemote RegistryPrint SpoolerServer(不使用文件共享可以关闭)Simple TCP/IP ServiceSimple Mail
9、 Transport Protocol (SMTP)SNMP ServiceTask ScheduleTCP/IP NetBIOS Helper是否实施备注 其他不需要的服务也应该关闭默认共享操作目的 关闭默认共享检查方法 开始 -运行 -cmd.exe-net share,查看共享加固方法 关闭 C$, D$等默认共享开始 -运行 -regedit-找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters ,新建 AutoShareServer( REG_DWORD),键值为 0是否实施备注网络访问限制
10、操作目的 网络访问限制检查方法 开始 -运行 -secpol.msc -安全设置 -本地策略 -安全选项加固方法 网络访问 : 不允许 SAM 帐户的匿名枚举:启用网络访问 : 不允许 SAM 帐户和共享的匿名枚举:启用网络访问 : 将 “ 每个人 ” 权限应用于匿名用户:禁用帐户 : 使用空白密码的本地帐户只允许进行控制台登录:启用是否实施备注 gpupdate /force立即生效Windows漏洞修复 修改配置Windows漏洞修复 修改配置第一步,打开组策略编辑器: gpedit.msc第二步,找到 “ 计算机配置 windows设置 安全设置 安全选项 ”第三步,在安全选项中找到:
11、” 系统加密:将 FIPS兼容算法用于加密、哈希和签名 “ (个版本系统表述方法可能不同,但系统加密选项就几种,针对 FIPS就一种,因此不会选错)第四步,执行 gpupdate命令1 漏洞扫描原理6 数据库、网络设备漏洞处理建议5 Linux发行版漏洞处理建议4 Windows系统漏洞处理建议3 漏洞修复整体方式2 黑客攻击方式7 漏洞处理方案总结Linux漏洞综述查看内核信息 uname -a查看所有软件包 rpm -qa查看主机名 hostname查看网络配置 ifconfig -a查看路由表 netstat -rn查看开放端口 netstat -an查看当前进程 ps -auxLinu
12、x系统漏洞Apache应用漏洞PHP应用漏洞修改 Telnet banner信息Telnet Banner修改法:编辑文件 /etc/,找到类似这几行(不同版本的 Linux内容不太一样): Red Hat Linux release 8.0(Psyche) Kernel r on an m 改成: Microsoft Windows Version 5.00(Build 2195) Welcome to Microsoft Telnet Service Telnet Server Build 5.00.99206.1 由于 重启后会自动恢复,为了保护这些伪造的信息,还需要编辑文件/etc/r
13、c.local, 在这些行前加 “#”号,注释掉恢复的功能: #echo”/etc/issue #echo”$R”/etc/issue #echo “Kernel $(uname ?r) on $a $SMP$(umame ?m)”/etc/issue #cp-f/etc/issue/etc/ #echo/etc/issue通过上面的方法将 linux系统下的 telnet服务修改成 windows下的 telnet服务,从而达到迷惑黑客的目的。修改 Apache服务 banner信息自动化工具: Banner Edit Tool修改 httpd.conf文件 ,设置以下选项 :ServerT
14、okens ProductOnlyServerSignature Off关闭 trace-methodTraceEnable offServerSignature apache生成的一些页面底部 ,比如 404页面 ,文件列表页面等等。ServerTokens指向被用来设置 Server的 http头回响。设置为 Prod可以让 HTTP头回响显示成这样 .Server: Apacheapache禁止访问目录列表 - -编辑 httpd.conf把下面配置项改成Options Indexes FollowSymlinks MultiViewsOptions FollowSymlinks Mul
15、tiViews即拿掉 Indexes,重新启动 apache隐藏 http头信息中看到 php的版本信息在 php.ini中设置 expose_php = Off关闭不常用的服务操作目的 关闭不必要的服务(普通服务和 xinetd服务),降低风险检查方法 使用命令 “ who -r” 查看当前 init级别使用命令 “ chkconfig -list ” 查看所有服务的状态加固方法 使用命令 “ chkconfig -level on|off|reset” 设置服务在个 init级别下开机是否启动是否实施备注 新版本的 Linux中, xinetd已经将 inetd取代OpenSSH漏洞分析O
16、penSSH修复建议1:隐藏 OpenSSH版本。由于漏扫在针对 OpenSSH进行扫描时,先判断 SSH服务开启状况,在进行 banner信息的判断,确认系统版本后即报响应版本漏洞。因此,可通过修改 OpenSSH的 banner信息进行隐藏,进而避免漏扫对其漏洞的爆出。修改命令如下(建议联系系统开发商,并且在测试机上进行试验):修改 openssh-X.x/version.h找到 #define SSH_VERSION “OpenSSH_6.2“2:进行 OpenSSH版本升级,现有版本最高为 6.2。建议升级到 6.0以上即可。版本升级不复杂并且较为有效,但升级过程中会中断 SSH业务,因此需慎重考虑。3:采用 iptables,可进行在服务器端的端口访问限制。可限制为只允许小部分维护端及 SSH接收端即可。可有效避免 SSH端口对本次检查地址开放,并可对操作系统 TTL值进行修改,避免系统版本泄露。此方法最安全,但需要 linux支持 iptables。
