常见漏洞的处理方案(1)

1、常见漏洞的处理方案,绿盟科技安全顾问：林天翔,1 漏洞扫描原理,6 数据库、网络设备漏洞处理建议,5 Linux发行版漏洞处理建议,4 Windows系统漏洞处理建议,3 漏洞修复整体方式,2 黑客攻击方式,7 漏洞处理方案总结,有关安全漏洞的几个问题,什么是安全漏洞？ 在计算机安全学中，存在于一个系统内的弱点或缺陷，系统对一个特定的威胁攻击或危险事件的敏感性，或进行攻击的威胁作用的可能性。 为什么存在安全漏洞？ 客观上技术实现 技术发展局限 永远存在的编码失误 环境变化带来的动态化 主观上未能避免的原因 默认配置 对漏洞的管理缺乏 人员意识,如何解决安全漏洞？ 一些基本原则 服务最小化 严格

2、访问权限控制 及时的安装补丁 安全的应用开发 可使用工具和技术 安全评估与扫描工具 补丁管理系统 代码审计,漏洞的可利用性,可利用性：80%的利用漏洞的攻击发生在前两个半衰期内，85%的破坏来自于漏洞攻击开始的15天的自动化攻击，并且会不断持续，直到该漏洞的影响消失。,漏洞的流行性和持续性,流行性：50%的最流行的高危漏洞的影响力会流行一年左右，一年后这些漏洞将被一些新的流行高危漏洞所替代。 持续性：4%的高危漏洞的寿命很长，其影响会持续很长一段时间；尤其是对于企业的内部网络来说，某些漏洞的影响甚至是无限期的。,少数漏洞的寿命无限期,绝大多数漏洞的寿命,绿盟远程安全评估系统,依托专业的NSFO

3、CUS安全小组，综合运用信息重整化（NSIP）等多种领先技术，自动、高效、及时准确地发现网络资产存在的安全漏洞； 提供Open VM（Open Vulnerability Management开放漏洞管理）工作流程平台，将先进的漏洞管理理念贯穿整个产品实现过程中； 专业的Web应用扫描模块，可以自动化进行Web应用、Web服务及支撑系统等多层次全方位的安全漏洞扫描，简化安全管理员发现和修复Web应用安全隐患的过程。,漏洞管理系统Vulnerability Management System 漏洞评估系统Vulnerability Assessment System 漏洞扫描产品Vulnerab

4、ility Scanner,RSAS内部模块,系统架构,RSAS,Internet,扫描结果库,漏洞知识库,扫描核心模块,WEB界面模块,升级服务器,远程RSAS 汇总服务器,Internet,Internet,HTTP升级请求,SSL加密通道,SSL加密通道,数据汇总,Internet,用户,数据同步模块,漏洞扫描技术原理,名词解释,Banner 理解为系统标识，可表现出系统版本，业务类型等，可理解为“身份证”； 漏洞插件 基于对某个漏洞的有效攻击，除去攻击过程中可导致目标系统受损的单元，剩余的测试步骤就为一个漏洞插件； 防火墙过滤 防火墙可进行严格的出入栈过滤，但可通过nmap等攻击进行绕

5、过探测； 数据库版本 默认情况下数据库无法进行版本更新等；并且针对数据库绝大部分为DDOS、溢出等攻击，因此极少存在漏洞插件。大多数数据库漏洞通过数据库banner进行判定； 漏洞扫描误报 常规情况下，由于目标设备适用环境的变化，漏洞扫描设备存在一定的误报率，因此部分漏洞可能误报甚至未被发现，因此要进行周期化的扫描，以降低误报率；,1 漏洞扫描原理,6 数据库、网络设备漏洞处理建议,5 Linux发行版漏洞处理建议,4 Windows系统漏洞处理建议,3 漏洞修复整体方式,2 黑客攻击方式,7 漏洞处理方案总结,黑客攻击方式之1广撒网,黑客攻击方式之2重点捞鱼,WEB服务器,数据库服务器,服务

6、器,终端,全面渗透,1 漏洞扫描原理,6 数据库、网络设备漏洞处理建议,5 Linux发行版漏洞处理建议,4 Windows系统漏洞处理建议,3 漏洞修复整体方式,2 黑客攻击方式,7 漏洞处理方案总结,漏洞修复方式,安全性与易用性始终是最大的矛盾,1 漏洞扫描原理,6 数据库、网络设备漏洞处理建议,5 Linux发行版漏洞处理建议,4 Windows系统漏洞处理建议,3 漏洞修复整体方式,2 黑客攻击方式,7 漏洞处理方案总结,Windows漏洞综述,配置型漏洞 通过组策略、注册表等进行配置修改，多数情况下为禁用开放协议及默认协议； 系统型漏洞 系统自身存在的溢出漏洞、DDOS漏洞等；需通过

7、补丁升级解决；,Windows漏洞事例,Windows漏洞修复更新补丁,常见的网络服务关闭方法,默认共享,网络访问限制,Windows漏洞修复修改配置,Windows漏洞修复修改配置,第一步，打开组策略编辑器：gpedit.msc 第二步，找到“计算机配置windows设置安全设置安全选项” 第三步，在安全选项中找到：”系统加密：将FIPS兼容算法用于加密、哈希和签名“（个版本系统表述方法可能不同，但系统加密选项就几种，针对FIPS就一种，因此不会选错） 第四步，执行gpupdate命令,1 漏洞扫描原理,6 数据库、网络设备漏洞处理建议,5 Linux发行版漏洞处理建议,4 Windows系

8、统漏洞处理建议,3 漏洞修复整体方式,2 黑客攻击方式,7 漏洞处理方案总结,Linux漏洞综述,Linux系统漏洞 Apache应用漏洞 PHP应用漏洞 ,修改Telnet banner信息,Telnet Banner修改法： 编辑文件/etc/,找到类似这几行（不同版本的Linux内容不太一样）： Red Hat Linux release 8.0(Psyche) Kernel r on an m 改成： Microsoft Windows Version 5.00(Build 2195) Welcome to Microsoft Telnet Service Telnet Server

9、Build 5.00.99206.1 由于重启后会自动恢复，为了保护这些伪造的信息，还需要编辑文件/etc/rc.local， 在这些行前加“#”号，注释掉恢复的功能： #echo”/etc/issue #echo”$R”/etc/issue #echo “Kernel $(uname ?r) on $a $SMP$(umame ?m)”/etc/issue #cp-f/etc/issue/etc/ #echo/etc/issue 通过上面的方法将linux系统下的telnet服务修改成windows下的telnet服务，从而达到迷惑黑客的目的。,修改Apache服务banner信息,自动化工

10、具：Banner Edit Tool,修改httpd.conf文件,设置以下选项:ServerTokens ProductOnlyServerSignature Off 关闭trace-method TraceEnable off ServerSignature apache生成的一些页面底部,比如404页面,文件列表页面等等。ServerTokens指向被用来设置Server的http头回响。设置为Prod可以让HTTP头回响显示成这样.Server: Apacheapache禁止访问目录列表- -编辑httpd.conf把下面配置项改成Options Indexes FollowSymli

11、nks MultiViewsOptions FollowSymlinks MultiViews即拿掉Indexes,重新启动apache隐藏http头信息中看到php的版本信息在php.ini中设置 expose_php = Off,关闭不常用的服务,OpenSSH漏洞分析,OpenSSH修复建议,1：隐藏OpenSSH版本。由于漏扫在针对OpenSSH进行扫描时，先判断SSH服务开启状况，在进行banner信息的判断，确认系统版本后即报响应版本漏洞。因此，可通过修改OpenSSH的banner信息进行隐藏，进而避免漏扫对其漏洞的爆出。修改命令如下 （建议联系系统开发商，并且在测试机上进行试验

12、）： 修改openssh-X.x/version.h 找到#define SSH_VERSION OpenSSH_6.2 2：进行OpenSSH版本升级，现有版本最高为6.2。建议升级到6.0以上即可。版本升级不复杂并且较为有效，但升级过程中会中断SSH业务，因此需慎重考虑。 3：采用iptables，可进行在服务器端的端口访问限制。可限制为只允许小部分维护端及SSH接收端即可。可有效避免SSH端口对本次检查地址开放，并可对操作系统TTL值进行修改，避免系统版本泄露。此方法最安全，但需要linux支持iptables。,Iptables使用建议,iptables 是与最新的 3.5 版本 Li

13、nux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器， 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。,#允许本地回环接口(即运行本机访问本机) iptables -A INPUT -s -d -j ACCEPT # 允许已建立的或相关连的通行 iptables -A INPUT -m state -state ESTABLISHED,RELATED -j ACCEPT #允许所有本机向外的访问 iptables -A OUTPUT -j ACC

14、EPT # 允许访问22端口 iptables -A INPUT -p tcp -dport 22 -j ACCEPT #允许访问80端口 iptables -A INPUT -p tcp -dport 80 -j ACCEPT #允许FTP服务的21和20端口 iptables -A INPUT -p tcp -dport 21 -j ACCEPT iptables -A INPUT -p tcp -dport 20 -j ACCEPT,Iptables使用建议,#屏蔽单个IPiptables -I INPUT -s -j DROP#封整个段即从到12

15、54iptables -I INPUT -s /8 -j DROP#封IP段即从到54iptables -I INPUT -s /16 -j DROP#封IP段即从到54iptables -I INPUT -s /24 -j DROP #查看以添加的规则 iptables -L n #删除规则 iptables -D INPUT XX,1 漏洞扫描原理,6 数据库、网络设备漏洞处理建议,5 Linux发行版漏洞处理建议,4 Wind

16、ows系统漏洞处理建议,3 漏洞修复整体方式,2 黑客攻击方式,7 漏洞处理方案总结,网络设备漏洞处理,数据库加固口令,密码复杂性策略通过增加可能密码的数量来阻止强力攻击。实施密码复杂性策略时，新密码必须符合以下原则。 密码不得包含全部或“部分”用户帐户名。部分帐户名是指三个或三个以上两端用“空白”（空格、制表符、回车符等）或任何以下字符分隔的连续字母数字字符： - _ # 密码长度至少为六个字符。 密码包含以下四类字符中的三类： 英文大写字母 (A - Z) 英文小写字母 (a - z) 十个基本数字 (0 - 9) 非字母数字（例如：!、$、# 或 %）,询问管理员sa是否空口令或为弱口令

17、并实际登录测试，检查有无不必要帐户 如果要修改弱密码和删除不必要帐户，可以登录企业管理器 1)展开“安全性”“登录名”条目，双击弱密码帐号 2)修改帐号弱密码为包含英文大小写、数字、特殊字符的复杂密码 3)删除不必要的帐户,数据库加固访问控制,Oracle数据库访问限制,SQL server数据库访问限制,1 漏洞扫描原理,6 数据库、网络设备漏洞处理建议,5 Linux发行版漏洞处理建议,4 Windows系统漏洞处理建议,3 漏洞修复整体方式,2 黑客攻击方式,7 漏洞处理方案总结,总结,1、漏洞补丁为最根本方案，但风险最大。需要在测试环境中进行。确认业务正常后在全网更新； 2、对于大部分无补丁的漏洞，可通过修改配置的方式进行修复； 3、如有必要，事前对服务器进行加固为最有效解决方案，可有效避免漏洞被发