常见漏洞的处理方案(2)

1、 2013 绿盟科技常见漏洞的处理方案绿盟科技安全顾问：林天翔1 漏洞扫描原理6 数据库、网络设备漏洞处理建议5 Linux发行版漏洞处理建议4 Windows系统漏洞处理建议3 漏洞修复整体方式2 黑客攻击方式7 漏洞处理方案总结有关安全漏洞的几个问题什么是安全漏洞？ 在计算机安全学中，存在于一个系统内的弱点或缺陷，系统对一个特定的威胁攻击或危险事件的敏感性，或进行攻击的威胁作用的可能性。为什么存在安全漏洞？ 客观上技术实现 技术发展局限 永远存在的编码失误 环境变化带来的动态化 主观上未能避免的原因 默认配置 对漏洞的管理缺乏 人员意识如何解决安全漏洞？如何解决安全漏洞？一些基本原则 服务

2、最小化 严格访问权限控制 及时的安装补丁 安全的应用开发可使用工具和技术 安全评估与扫描工具 补丁管理系统 代码审计漏洞的可利用性 可利用性：80%的利用漏洞的攻击发生在前两个半衰期内，85%的破坏来自于漏洞攻击开始的15天的自动化攻击，并且会不断持续，直到该漏洞的影响消失。漏洞的流行性和持续性流行性：50%的最流行的高危漏洞的影响力会流行一年左右，一年后这些漏洞将被一些新的流行高危漏洞所替代。持续性：4%的高危漏洞的寿命很长，其影响会持续很长一段时间；尤其是对于企业的内部网络来说，某些漏洞的影响甚至是无限期的。少数漏洞的寿命无限期绝大多数漏洞的寿命绿盟远程安全评估系统依托专业的NSFOCUS

3、安全小组，综合运用信息重整化（NSIP）等多种领先技术，自动、高效、及时准确地发现网络资产存在的安全漏洞；提供Open VM（Open Vulnerability Management开放漏洞管理）工作流程平台，将先进的漏洞管理理念贯穿整个产品实现过程中；专业的Web应用扫描模块，可以自动化进行Web应用、Web 服务及支撑系统等多层次全方位的安全漏洞扫描，简化安全管理员发现和修复 Web 应用安全隐患的过程。漏洞管理系统Vulnerability Management System漏洞评估系统Vulnerability Assessment System漏洞扫描产品Vulnerability

4、 Scanner RSAS内部模块系统架构RSAS Internet扫描结果库漏洞知识库扫描核心模块WEB界面模块升级服务器远程RSAS汇总服务器Internet被扫描主机浏览器HTTPS访问InternetHTTP升级请求SSL加密通道SSL加密通道数据汇总Internet用户数据同步模块漏洞扫描技术原理名词解释Banner理解为系统标识，可表现出系统版本，业务类型等，可理解为“身份证”；漏洞插件基于对某个漏洞的有效攻击，除去攻击过程中可导致目标系统受损的单元，剩余的测试步骤就为一个漏洞插件；防火墙过滤防火墙可进行严格的出入栈过滤，但可通过nmap等攻击进行绕过探测；数据库版本默认情况下数据

5、库无法进行版本更新等；并且针对数据库绝大部分为DDOS、溢出等攻击，因此极少存在漏洞插件。大多数数据库漏洞通过数据库banner进行判定；漏洞扫描误报常规情况下，由于目标设备适用环境的变化，漏洞扫描设备存在一定的误报率，因此部分漏洞可能误报甚至未被发现，因此要进行周期化的扫描，以降低误报率；1 漏洞扫描原理6 数据库、网络设备漏洞处理建议5 Linux发行版漏洞处理建议4 Windows系统漏洞处理建议3 漏洞修复整体方式2 黑客攻击方式7 漏洞处理方案总结黑客攻击方式之1广撒网黑客攻击方式之2重点捞鱼WEB服务器数据库服务器服务器终端WindowsLinuxAIXHPSolarisNetWa

6、reBSD路由器交换机防火墙网络系统WWWFTPSSHSMTP DCE/RPC数据库木马和后门IMAPLDAPONC/RPC 远程管理POP3SMB KernelSNMPNNTPCGI X WindowXDMCPXFSKerberosFingerRTSP应用系统全面渗透1 漏洞扫描原理6 数据库、网络设备漏洞处理建议5 Linux发行版漏洞处理建议4 Windows系统漏洞处理建议3 漏洞修复整体方式2 黑客攻击方式7 漏洞处理方案总结漏洞修复方式安全性与易用性始终是最大的矛盾1 漏洞扫描原理6 数据库、网络设备漏洞处理建议5 Linux发行版漏洞处理建议4 Windows系统漏洞处理建议3

7、漏洞修复整体方式2 黑客攻击方式7 漏洞处理方案总结Windows漏洞综述查看系统版本ver查看SP版本wmic os get ServicePackMajorVersion查看Hotfixwmic qfe get hotfixid,InstalledOn查看主机名hostname查看网络配置ipconfig /all查看路由表route print查看开放端口netstat -ano配置型漏洞通过组策略、注册表等进行配置修改，多数情况下为禁用开放协议及默认协议；系统型漏洞系统自身存在的溢出漏洞、DDOS漏洞等；需通过补丁升级解决；Windows漏洞事例Windows漏洞修复更新补丁http:

8、/ Updates（不使用自动更新可以关闭）Background Intelligent Transfer ServiceDHCP ClientMessengerRemote RegistryPrint SpoolerServer（不使用文件共享可以关闭）Simple TCP/IP ServiceSimple Mail Transport Protocol (SMTP)SNMP ServiceTask ScheduleTCP/IP NetBIOS Helper是否实施备注其他不需要的服务也应该关闭默认共享操作目的关闭默认共享检查方法开始-运行-cmd.exe-net share，查看共享加固方

9、法关闭C$，D$等默认共享开始-运行-regedit-找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters ，新建AutoShareServer（REG_DWORD），键值为0是否实施备注网络访问限制操作目的网络访问限制检查方法开始-运行-secpol.msc -安全设置-本地策略-安全选项加固方法网络访问: 不允许 SAM 帐户的匿名枚举：启用网络访问: 不允许 SAM 帐户和共享的匿名枚举：启用网络访问: 将 “每个人”权限应用于匿名用户：禁用帐户: 使用空白密码的本地帐户只允许进行控制台登录：启

10、用是否实施备注gpupdate /force立即生效Windows漏洞修复修改配置Windows漏洞修复修改配置第一步，打开组策略编辑器：gpedit.msc第二步，找到“计算机配置windows设置安全设置安全选项”第三步，在安全选项中找到：”系统加密：将FIPS兼容算法用于加密、哈希和签名“（个版本系统表述方法可能不同，但系统加密选项就几种，针对FIPS就一种，因此不会选错）第四步，执行gpupdate命令1 漏洞扫描原理6 数据库、网络设备漏洞处理建议5 Linux发行版漏洞处理建议4 Windows系统漏洞处理建议3 漏洞修复整体方式2 黑客攻击方式7 漏洞处理方案总结Linux漏洞综

11、述查看内核信息uname -a查看所有软件包rpm -qa查看主机名hostname查看网络配置ifconfig -a查看路由表netstat -rn查看开放端口netstat -an查看当前进程ps -auxLinux系统漏洞Apache应用漏洞PHP应用漏洞修改Telnet banner信息Telnet Banner修改法： 编辑文件/etc/,找到类似这几行（不同版本的Linux内容不太一样）： Red Hat Linux release 8.0(Psyche) Kernel r on an m 改成： Microsoft Windows Version 5.00(Build 2195)

12、 Welcome to Microsoft Telnet Service Telnet Server Build 5.00.99206.1 由于重启后会自动恢复，为了保护这些伪造的信息，还需要编辑文件/etc/rc.local， 在这些行前加“#”号，注释掉恢复的功能： #echo”/etc/issue #echo”$R”/etc/issue #echo “Kernel $(uname ?r) on $a $SMP$(umame ?m)”/etc/issue #cp-f/etc/issue/etc/ #echo/etc/issue 通过上面的方法将linux系统下的telnet服务修改成win

13、dows下的telnet服务，从而达到迷惑黑客的目的。修改Apache服务banner信息自动化工具：Banner Edit Tool修改httpd.conf文件,设置以下选项:ServerTokens ProductOnlyServerSignature Off关闭trace-methodTraceEnable offServerSignature apache生成的一些页面底部,比如404页面,文件列表页面等等。ServerTokens指向被用来设置Server的http头回响。设置为Prod可以让HTTP头回响显示成这样.Server: Apacheapache禁止访问目录列表- -编辑

14、httpd.conf把下面配置项改成Options Indexes FollowSymlinks MultiViewsOptions FollowSymlinks MultiViews即拿掉Indexes,重新启动apache隐藏http头信息中看到php的版本信息在php.ini中设置 expose_php = Off关闭不常用的服务操作目的关闭不必要的服务（普通服务和xinetd服务），降低风险检查方法使用命令“who -r”查看当前init级别使用命令“chkconfig -list ”查看所有服务的状态加固方法使用命令“chkconfig -level on|off|reset”设置服

15、务在个init级别下开机是否启动是否实施备注新版本的Linux中，xinetd已经将inetd取代OpenSSH漏洞分析OpenSSH修复建议1：隐藏OpenSSH版本。由于漏扫在针对OpenSSH进行扫描时，先判断SSH服务开启状况，在进行banner信息的判断，确认系统版本后即报响应版本漏洞。因此，可通过修改OpenSSH的banner信息进行隐藏，进而避免漏扫对其漏洞的爆出。修改命令如下（建议联系系统开发商，并且在测试机上进行试验）：修改openssh-X.x/version.h找到#define SSH_VERSION OpenSSH_6.22：进行OpenSSH版本升级，现有版本最高

16、为6.2。建议升级到6.0以上即可。版本升级不复杂并且较为有效，但升级过程中会中断SSH业务，因此需慎重考虑。3：采用iptables，可进行在服务器端的端口访问限制。可限制为只允许小部分维护端及SSH接收端即可。可有效避免SSH端口对本次检查地址开放，并可对操作系统TTL值进行修改，避免系统版本泄露。此方法最安全，但需要linux支持iptables。Iptables使用建议iptables 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器， 则该系统有利于在 Linux 系统上更

17、好地控制 IP 信息包过滤和防火墙配置。#允许本地回环接口(即运行本机访问本机) iptables -A INPUT -s -d -j ACCEPT # 允许已建立的或相关连的通行 iptables -A INPUT -m state -state ESTABLISHED,RELATED -j ACCEPT #允许所有本机向外的访问 iptables -A OUTPUT -j ACCEPT # 允许访问22端口 iptables -A INPUT -p tcp -dport 22 -j ACCEPT #允许访问80端口 iptables -A INPUT

18、 -p tcp -dport 80 -j ACCEPT #允许FTP服务的21和20端口 iptables -A INPUT -p tcp -dport 21 -j ACCEPT iptables -A INPUT -p tcp -dport 20 -j ACCEPTIptables使用建议#屏蔽单个IPiptables -I INPUT -s -j DROP#封整个段即从到54iptables -I INPUT -s /8 -j DROP#封IP段即从到54ipta

19、bles -I INPUT -s /16 -j DROP#封IP段即从到54iptables -I INPUT -s /24 -j DROP#查看以添加的规则iptables -L n#删除规则iptables -D INPUT XX1 漏洞扫描原理6 数据库、网络设备漏洞处理建议5 Linux发行版漏洞处理建议4 Windows系统漏洞处理建议3 漏洞修复整体方式2 黑客攻击方式7 漏洞处理方案总结网络设备漏洞处理数据库加固口令密码复杂性策略通过增加可能密码的数量来阻止强力攻击。实施密码复杂性策略时，新密码必须符

20、合以下原则。 密码不得包含全部或“部分”用户帐户名。部分帐户名是指三个或三个以上两端用“空白”（空格、制表符、回车符等）或任何以下字符分隔的连续字母数字字符： - _ #密码长度至少为六个字符。 密码包含以下四类字符中的三类： 英文大写字母 (A - Z) 英文小写字母 (a - z) 十个基本数字 (0 - 9) 非字母数字（例如：!、$、# 或 %）询问管理员sa是否空口令或为弱口令并实际登录测试，检查有无不必要帐户如果要修改弱密码和删除不必要帐户，可以登录企业管理器1)展开“安全性”“登录名”条目，双击弱密码帐号2)修改帐号弱密码为包含英文大小写、数字、特殊字符的复杂密码3)删除不必要的帐户数据库加固访问控制操作名称：检查操作系统是否进行数据库访问ip和端口限制实施方案：检查主机防火墙设置，询问管理员是否有网络防火墙对数据库进行保护，建议开启主机防火墙对数据库进行保护实施目的：限制对数据库的网络访问实施风险：可能影响应用备注：检查名称：检查tns 登录IP限制实施方案：检查sqlnet.ora中是否有相关限制安全建议：编辑%or