HW蓝队/红军——安全评估

资产梳理

网络资产测绘

• 定义： 网络空间资产探测就是利用一定技术手段获取目标主机的设备属性信息和应用属性信息
• 目的：通过侦察和检索资产，发现存在的薄弱点和攻击面
• 核心思路：通过先将网络IT资产进行分析建立知识库，在发生安全事时能够在最短时间内完成安全应急
• 探测方式：根据探测方式主要分为主动探测、被动探测和基于搜索引擎的非入侵式探测
• 手段： fofa、shodan、zoomeye等空间资产测绘引擎
• 工具：smap、goby、ARL、Fscan、LingLong、Kscan
• 关键点：域名、IP/IP段、端口扫描和服务识别、Web站点指纹、Github关键字监控、域名/IP资产监控、站点变化监控、文件泄露风险监测

主动探测

包括：IP存活性探测、端口/服务探测、操作系统探测、应用类型探测、别名探测、DNS探测、流量探测

TCP探测技术

• TCP SYN SCAN通常被称作半开放扫描，首先发送SYN到目标端口，如果：
  • 收到SYN/ACK回复，判断端口开放
  • 收到RST，判断端口关闭
  • 没有收到回复，判断端口屏蔽
• TCP CONNECT SCAN 通常被称作全开放扫描，使用系统网络API connect 向目标主机的端口发起连接，如果
  • 收到 SYN/ACK 回复，返回ACK，判断端口开放
  • 收到RST包，判断端口关闭
  • 没有收到回复，判断端口被屏蔽
• TCP FIN /Xmas/NULL SCAN通常被称作秘密扫描，发送TCP FIN包或者Xmas tree包/NULL包，如果
  • 收到RST包，判断端口关闭
  • 没有收到RST包，判断端口开放/屏蔽

UDP探测技术

UDP SCAN通常用于判断UDP端口情况，向目标主机的UDP端口发送探测包，如果：

• 收到 ICMP port unreachable回复，判断端口关闭
• 没有收到回复，判断端口开放/屏蔽

主机软件识别

原理：通过TCP/IP协议栈的指纹信息来识别目标主机的操作系统信息，这主要是利用了RFC标准中，没有强制规范了TCP/IP的某些实现，于是不同的系统中TCP/IP的实现方案可能都有其特定的方式。

• FIN 识别
• DF位识别
• WINDOWS大小识别
• TTL大小识别
• ACK序号识别

子域名探测

工具：Layer子域名爆破机
证书透明度——证书授权机构会将每个SSL/TLS证书发布到公共日志中。-个SSL/TLS证书通常包含域名、子域名和邮件地址。查找某个域名所属证书的最简单的方法就是使用搜索引擎搜索一些公开的CT日志。

各类资产的指纹识别

原理：对于各类资产的指纹识别通常是基于指纹库对比实现的，实现重点在于指纹的收集。不同的资产拥有不同的指纹。常见的指纹识别方式如：

• HTTP响应中的特定Header头
• 特定URL
• 特定文件的MD5：一些网站的特定图片文件、is文件、CSS等静态文件，如favicon.ico、css、logo.ico、js等文件一般不会修改，通过爬虫对这些文件进行抓取并比对md5值

资产测绘的四个方向

• 端口服务探测
• 主机系统识别
• 子域名收集
• 资产指纹识别

Web服务器指纹

对Web服务器的指纹识别可分为如下几个方面：

• 应用服务器：比如Tomcat、Jboss、Weblogic、Websphere等；
• 前端技术框架：比如HTML5、jquery、bootstrap、vue等;
• 服务器语言：比如PHP、Java、Ruby、Python、C#等;
• 操作系统信息：比如Linux、Win2k8、Win7、Ubuntu、Centos等;
• CDN信息：是否使用CDN，如阿里CDN、Cloudflare等;
• WAF信息：是否使用waf，如阿里云waf、长亭雷池等

CMS应用系统指纹

如wordpress、织梦cms、phpcms、ecshop等，重点关注曾经公开过漏洞的cms系统和比较重要的OA系统、CRM系统、Wiki.邮箱等。

Nmap重要的服务探测参数 -sV

若不使用该参数的情况下对端口进行服务探测，很大概率上会出现误报或无法识别的情况。

子域名探测脚本编写思路及方式

• 字典枚举+DNS验证
• 在线接口查询

探测工具

NMAP

包括主机发现、端口扫描、版本侦测、操作系统侦测
NMAP服务探测顺序：

1. 首先进行端口扫描，默认情况下使用SYN扫描
2. 其次进行服务识别：发送探针报文，得到返回确认值，确认服务
3. 最后进行版本识别：发送探针报文，得到返回的报文信息，分析得出服务的版本

常用命令

NMAP docs

Namp主机识别实现

Nmap维护1个nmap-os-db数据库:存储了上千种操作系统信息，具体一点说，Nmap分别挑选一个close和open的端口，分别发送给一个经过精心设计的TCP/UDP数据包，然后根据收到返回报文，生成一份系统指纹。通过对比检测生成的指纹和nmap-os-db数据库中的指纹，来查找匹配的系统。最坏的情况下，没有办法匹配的时候,则用概率的形式枚举出所有可能的信息。

识别参数

• -O：启用操作系统检测
• --osscan-limit：针对指定的目标进行操作系统检测，这个选项仅在使用-O或-A进行操作系统检测时起作用
• --osscan-guess；--fuzzy：推测操作系统检测结果

MASSCAN

可以自定义任意地址范围和端口范围，相比NMAP，更快一点

Nessus

可同时在本机和远端做渗透扫描

国内指纹识别工具

• 御剑web指纹识别程序——Windows下可用
• Test404轻量WEB指纹识别——Windows下可用
• Ehole ——开源软件，可自己更新指纹,

国外指纹识别工具

• WhatWeb ——开源的网站指纹识别软件
• Wapplyzer——游览器插件，可识别Web框架、操作系统Web服务器、变成语言等指纹
• Whatruns——Chrome游览器插件，和Wapplyzer类似

指纹网站

• 云悉指纹识别——指纹库强大，但不开源，使用需积分

资产管理

CMDB

架构

• CMDB架构分基础设施资产层和应用资产层
• 应用层资产架构把相关的资产以应用为中心实现资产整合
• 资产及其资产的关系称之为拓扑(应用拓扑、物理拓扑)
• 资产管理方式有人工维护和自动发现两种方式

梳理方法

• 确定梳理工具：人为逐设备登记、资产测绘软件、流量监控设备、态势感知平台
• 确定规章制度（最难实施）：明确资产登记与更新流程，严格按照流程执行
• 摆正工作态度：先保证基础信息正确且完整，再完善其他细节上的信息，比如软件版本号、端口开放信息

资产重要性

• 本质上指：使用资产时的风险
• 综合ACR=影响 * （可能性 * 可检测性）
• 影响：我们可以简单地定义1到5之间的分数，对结果进行排序，例如:微小，较少，中等，重要和严重。
• 可监测性：可以评估检测到故障发生的可能性(按概率%)。得分为100%意味着您绝对可以确定您将检测到故障情况。0%意味着你根本就没有警告征兆，即使是现场设备操作人员也无法发现。

等保中的分级（常用是二三级）

• 第一级：等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益
• 第二级：等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全
• 第三级：等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害
• 第四级：等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害
• 第五级：等级保护对象受到破坏后，会对国家安全造成特别严重损害:

资产关联性

• 父子关系
• 物理依赖关系
• 业务依赖关系

资产变更

• 对于设备资产寿命期限的理解：对于不能容忍故障的关键资产，应当在故障要发生之前，就主动性丢弃/更换。在故障发生之前，一个关键物料必须从服务中移除(更换)的时间条件称为“安全寿命期限(safe-life limit)”。这是一个该资产近乎100%的概率无故障的寿命时长
• 按寿命进行实施资产变更：对于一些寿命周期较长的设备，特别是在运营维护过程中可能存在，随机性(因为故障或其它原因)对资产更换的行为。大多数资产管理平台中都会具有“预防性维护功能，并按照每周或每月进行设备更换，这种精细化的管理策略有助于减少损失和提升安全可靠性，尤其针对一些庞大的平台系统。

脆弱性分析

脆弱性也可称为弱点或漏洞，是资产或资产组中存在的可能被威胁利用造成损害的薄弱环节。脆弱性一旦被威胁成功利用就可能对资产造成损害。脆弱性可能存在于物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各个方面。

Web应用脆弱性分析

常见web应用安全问题的原理/危害

• SQL注入：拼接的SQL字符串改变了设计者原来的意图，执行了如泄露、改变数据等操作，甚至控制数据库服务器，SQL Iniection与Command injection等攻击包括在内，可能造成的危害是:篡改网页和数据，窃取核心数据，攻击数据库所在的服务器，并使之成为a主机。
• *跨站脚本攻击(XSS或CSS)*：跨站脚本(Cross-Site Scripting)是指远程WEB页面的htm!代码可以插入具有恶意目的的数据，当浏览器下载该页面，嵌入其中的恶意脚本将被解释执行，从而对客户端用户造成伤害。简称CSS或XSS。
• CSRF跨站伪造请求攻击：程序员开发的时候，未对相关页面进行toKen和REFERER判断，造成攻击者可构造自己的URL地址欺骗目标用户进行点击
• 越权访问：用户对系统的某个模块或功能没有权限，通过拼接URL或Cookie欺骗来访问该模块或功能，导致黑客利用其达到查看、修改、增加、删除不属于他权限范围内的数据。
• 任意文件上传：这种攻击方法是最直接，最有效的。上载的文件可以是病毒，特洛伊木马，恶意脚本或Webshell。
• URL跳转：URL跳转漏洞即未经验证的重定向漏洞，是指Web程序直接跳转到参数中的URL，或者在页面中引入了任意开发者的URL将程序引导到不安全的第三方区域，从而导致安全问题。
• 传输层保护不足：在身份验证过程中没有使用SSL/TLS，因此暴露传输数据和会话ID，被攻击者截听，或使用过期或者配置不正确的证书。
• 登录信息提示：用户登录提示信息会给攻击者一些有用的信息，作为程序的开发人员应该做到对登录提示信息的模糊化，以防攻击者利用登录得知用户是否存在。
• 重复提交请求：程序员在代码中没有对重复提交请求做限制，这样就会出现订单被多次下单，帖子被重复发布。恶意攻击者可能利用此漏洞对网站进行批量灌水，致使网站瘫痪。
• 不安全的加密存储：常见的问题是不安全的密钥生成和储存、不轮换密钥、和使用弱算法。使用弱的或者不带salt 的哈希算法来保护密码也很普遍。外部攻击者因访问的局限性很难探测这种漏洞。他们通常必须先破解其他东西以获得需要的访问。

服务器软件脆弱性分析

中间件

中间件在操作系统、网络和数据库之上，应用软件的下层，总的作用是为处于自己上层的应用软件提供运行与开发的环境，帮助用户灵活、高效地开发和集成复杂的应用软件。
常见的中间件有：tomcat、Weblogic、Jboss、Websphere、Apache、IIS、Nginx等

弱口令漏洞识别和分析

SNETCracker
ysoserial.net

Apache Tomcat

弱口令攻击策略、可造成风险

Tomcat管理页面默认端口8080，可通过端口扫描探测目标端口情况，找到tomcat页面并进行弱口令登录尝试。常见的弱口令有tomcat/tomcat，admin/admin，admin/123456，root/root等。Tomcat支持在后台部署war文件，通过弱口令登录可以直接将webshell部署到web目录下并获取服务器权限。

弱口令修复方法

• 编辑conf目录下的tomcat-users.xml文件，修改账号的密码为强度较高的强密码如同时包含数字大小写字母且位数大于8位，不得使用一串相同的数字或字母组成不能键盘连续序列集合。
• Tomcat设置访问白名单,编辑文件/webapps/manager/META-INF/context.xml,修改为你访问网段的地址或者具体的IP。

Weblogic

弱口令漏洞识别和分析

Weblogic管理页面默认端口7001，访问目标网站/console接口即可跳转到Weblogic后台登陆页面。通过弱口令可登录后台，Weblogic支持在后台部署war文件，可以直接将webshell部署到web目录下并获取服务器权限。

弱口令修复方法

• 修改账号的密码为强度较高的强密码，如同时包含数字大小写字母且位数大于8位，不得使用一串相同的数字或字母组成，不能键盘连续序列集合。
• 使用wellogic 自带的过滤器weblogic.security.net.ConnectionFilterlmpl。将weblogic.security.net.ConnectionFilterlmpl填入connection filter框中，并在下面的Connection Filter Rules:中配置过滤规则。

代理服务器

代理服务器的功能是代理网络用户去取得网络信息。作为连接Internet与Intranet的桥梁，在实际应用中发挥着极其重要的作用，它可用于多个目的，最基本的功能是连接，此外还包括安全性、缓存、内容过滤、访问控制管理等功能。更重要的是，代理服务器是Internet链路级网关所提供的一种重要的安全功能，它的工作主要在开放系统互联(OSI)模型的对话层。

运维漏洞

Zabbix

• Zabbix弱口令利用：Zabbix默认的口令为Admin:zabbix，以及存在guest密码为空，Zabbix Server可以远程在agent的机器上执行任意命令
• 建立监控项：zabbix_get命令调用（执行一些命令）；system.run[command]运行命令；这个模块是agent自带的，获取服务器shell，获取root权限。

Rsync漏洞（配置不当引发的问题）

Rsync(remote synchroniz)是一款实现远程同步功能的软件（873端口），它在同步文件的同时，可以报出原来文件的权限，时间，软硬链接等附加信息。rsync默认同步时是不加密的，可使用ssh隧道的方式来进行加密同步。

Mongodb漏洞（未授权访问）

在刚安装完毕的时候MongoDB都默认有一个admin数据库,此时admin数据库是空的,没有记录权限相关的信息！

安全加固

1. 确保对MongoDB数据库启用了身份验证
2. 不要开放公网0.0.0.0
3. 备份机制

服务漏洞

电子邮件服务（SMTP、POP3、IMAP）

由于邮件发件人服务器等相关内容均可伪造，域名邮箱服务会有相关的授信问题，补充参考：使用 Gmail 身份验证防范垃圾邮件、仿冒邮件和网上诱骗邮件

电子邮件的格式

• 信封（如[email protected]）
• 内容
  • 首都（to：xxx；Subject：xxx）
  • 主体

电子邮件系统组成结构

1. 和SMTP服务器建立连接，telnet smtp.163.com 25
2. EHLO 发件人用户名，告诉SMTP服务器发送者的用户名
3. 选择登录认证方式，一般选择的是login
4. 分别输入经过Base64编码后的用户名和密码
5. 指明邮件的发送人和收件人
6. 输入 data(数据)命令，然后编写要发送的邮件内容
7. 输入.表示邮件内容输入完毕
8. 输入quit命令断开与邮件服务器的连接

SMTP(Simple Mail Transfer Protocol)

SMTP协议的通信双方采用一问一答的命令/响应形式进行对话，SMTP协议分为标准SMTP协议和扩展SMTP协议，现在我们说的SMTP协议基本上都是扩展SMTP协议。

• SMTP使用TCP连接，默认端口：25、465(ssI)、587(ssI)
• SMTP存在两个端：客户端和服务器端
• SMTP客户端和服务端可以同时运行在每个邮件服务器上
• SMTP 协议中一共定义了14条命令和21种应答信息

SMTP通信三个阶段

POP3(Post Office Protocal 3)

它是因特网电子邮件的第一个离线协议标准,POP3允许用户从服务器上把邮件存储到本地主机(即自己的计算机)上，同时删除保存在邮件服务器上的邮件，而POP3服务器则是遵循POP3协议的接收邮件服务器，用来接收电子邮件的。

• 默认端口：110，995（ssl）

IMAP(Internet message access protocol)

开启了IMAP后，您在电子邮件客户端收取的邮件仍然保留在服务器上，同时在客户端上的操作都会反馈到服务器上，如:删除邮件，标记已读等，服务器上的邮件也会做相应的动作。所以无论从浏览器登录邮箱或者客户端软件登录邮箱，看到的邮件以及状态都是一致的。

• 默认端口：143，993（ssl）

POP3与IMAP区别

• POP3 协议在客户端的操作不会反馈到服务器上
• IMAP 提供双向通信，客户端的操作都会反馈到服务器上
• IMAP 提供的摘要浏览功能
• IMAP 更好地支持了从多个不同设备中随时访问新邮件

DNS劫持漏洞

DNS(域名系统)劫持又叫域名劫持，指攻击者利用其他攻击手段，篡改了某个域名的解析结果，使得指向该域名的IP变成了另一个IP，导致对相应网址的访问被劫持到另一个不可达的或者假冒的网址，从而实现非法窃取用户信息或者破坏正常网络服务的目的。

文件传输服务（FTP）

FTP漏洞主要有以下几个方面的原因：

1. FTP的数据传输未经加密，容易被中间人攻击窃取传输数据
2. FTP服务端存在溢出漏洞，攻击者可以利用该漏洞远程执行命令
3. FTP服务端存在目录遍历漏洞，攻击者可以通过该漏洞窃取FTP服务器上的敏感数据
4. FTP服务端存在拒绝服务漏洞，攻击者可以通过该漏洞造成服务器宕机，影响FTP服务的可用性

FTP漏洞的风险

1. FTP服务器上存储的数据可能存在泄露的风险，黑客可以利用FTP漏洞窃取FTP服务器上的敏感数据。
2. FTP服务可能被滥用，黑客可以利用FTP服务器进行恶意攻击，入侵其他主机。
3. FTP服务器可能会被攻击者作为跳板，远程执行恶意攻击，对其他主机造成影响。

FTP漏洞攻击

1. FTP暴力破解攻击：通过利用暴力破解工具，对FTP服务器的用户名和密码进行猜测，入侵FTP服务器。
2. FTP漏洞利用攻击：利用FTP服务端存在的漏洞，执行攻击代码，窃取服务器上的敏感数据。
3. FTP中间人攻击：通过窃取FTP服务器的传输数据，对数据进行篡改或者劫持，以达到控制敏感信息的目的。

FTP漏洞修复

1. 升级FTP软件：及时更新FTP软件补丁，修复漏洞，提高FTP软件的安全性。
2. 加强FTP服务器的安全管理：定期备份FTP数据，建立安全审计机制，及时发现故障和风险。
3. 限制FTP服务的访问权限：严格限制FTP服务的访问权限，避免未授权的访问。

RPC

RPC漏洞入侵现象 RCP漏洞被攻击后的主要表现如下：

1. 系统资源占用率较大，CPU一直处在98%以上，并且系统中也没有运行什么较大的程序。
2. 系统弹出【系统关机】对话框，并且系统反复重启，有时也会出现在IE中不能打开新窗口、不能进行复制、粘贴等现象。

SNMP

SNMP 被设计为工作在TCP/IP协议族上。SNMP基于TCP/IP协议工作，对网络中支持SNMP协议的设备进行管理。所有支持SNMP协议的设备都提供SNMP这个统一界面，使得管理员可以使用统一的操作进行管理，而不必理会设备是什么类型、是哪个厂家生产的。

常见漏洞

• 默认或弱SNMP团体字符串
  • 许多网络设备在出厂时设置了默认的团体字符串，如public和private
• SNMP版本漏洞
  • SNMPv1和SNMPv2c使用明文传输团体字符串，容易被网络探器截获

防范措施

1. 更改默认团体字符串
2. 限制SNMP访问权限
3. 升级到SNMPv3

常见网络设备和安全设备专项分析

基本上是数通基础

防火墙

防火墙是内部和外部信息交互的唯一途径，防火墙对内部网络和公共网络之间的一切信息进行严格的检查。

过滤型防火墙

过滤型防火墙通常在网络层和传输层之中，检查通过的信息是否达到防火墙的要求标准，之后对于符合标准的信息可以准许通过，对于不符合要求的信息视为不安全因素，防火墙对其进行阻止，这类信息就不能正常进行传递。

简单包过滤技术

简单包过滤技术是在网络层进行信息过滤，在进行信息过滤时根据之前制定的标准规则检测IP包头的有关信息，比如IP源、TCP协议、TCP/UDP目标端口、ICMP消息类型等将检测到的这些信息和标准规则进行对比，对于符合标准可以通过的信息进行正常传递不符合标准的数据进行阻拦。使用简单包过滤技术的防火墙在众多防火墙类型中的安全性是最低的。

状态检测技术

状态检测技术是2002年左右发展起来的技术通过网络通信状态和信息的分析使用，采用状态监测机制进行工作，主要使用的网络通信状态和信息以及其中包含的信息。

应用代理型防火墙

应用代理型防火墙是在应用层之上进行工作，应用代理型防火墙的核心技术就是代理方面的内容。所谓的代理技术就是将需要传入传出的数据载代理防火墙处可以隐藏来源，经过代理防火墙的数据只能知道是从防火墙处发出的，无法追踪到它的来源处的网络内部结构，从而可以提高网络的安全性，达到保护的目的。

代理技术工作流程

代理服务器在接收并核实用户的提出的申请之后，将申请转送到Proxy应用程序上Proxy将申请进行处理并将其传给真实服务器，真实服务器接收到申请后给予反应Proxy再接收服务器的反应并进行处理，将处理后的反应传递给最初发出申请的用户。

复合型防火墙

复合型防火墙是过滤型和应用代理型两种防火墙共同结合的结晶，可以根据不同的安全策略选用不同的对应策略，如果接收到的安全策略是代理策略，就选择代理型防火墙的应对方式，主要检查报文内容，如果接收到的是包过滤策略，就选用过滤型的应对方法，判断报头部分。这样一来，复合型防火墙就相当于吸收了过滤型和代理型二者的长处，同时也抛弃了两者的一些缺点，使得防火墙使用效率更高、效果更好也更方便和灵活。

VPN

IPsec

IPsec互联网安全协议(Internet Protocol Security)是IETF(即国际互联网工程技术小组)提出的使用密码学保护IP层通信的安全保密架构，是一个协议簇，通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议簇（一些相互关联的协议的集合）

• 数据机密性：IPsec发送方将包加密后再通过网络发送
• 数据完整性：IPsec可以验证IPsec发送方发送的包，以确保数据传输时没有被改变
• 不可否认性：IPsec接受方能够鉴别IPsec包的发送起源，此服务依赖数据的完整性。
• 防重放：IPsec接受方能检查并拒绝重放包。

工作模式

传输模式

• 是IPsec的默认模式,又称端到端(End-to-End)模式，运行在两个端主机上，保护上层协议报文。
• 传输模式是两个主机之间建立IPsec虚拟安全通道，传输模式没有改变原IP，只是在原IP和数据之间插入了一个IPsec头部，对IP数据包的有效数据负载进行加密和认证。
• 主要应用场景:主要用于主机和主机、主机和网关之间端到端通信的数据保护。

隧道模式

• 协议用来封装IP数据报文，对整个IP数据包加密和认证，运行在网关或者主机上。
• 隧道模式是对整个数据包封装加密保护，添加一个新的IP头部，隐藏内部主机和服务器的IP地址，IP信息也没有暴露，这样使数据传输更加安全。
• 主要应用场景：一般用在站点和站点之间建立连接安全通道，两个站点下面的私有IP可以利用安全隧道通信。

中间人攻击防范措施

1. 首先要防止中间人的存在，可采用一定措施比如设置静态ARP、绑定IP和MAC地址或如果不是很有必要，停用ARP等来避免ARP欺骗。对于代理服务器，如无必要尽量不要使用。如果一定要用也要确定此服务器绝对可信，否则尽量不要在使用代理服务器时进行保密操作。
2. 对于服务器证书的认证，需要保护好通信双方的身份信息。当在安全网关与安全网关之间建立一个IPsec隧道，主机可以得到安全网关的身份保护，会泄漏的只是安全网关的身份信息，而不是真正通信双方的身份信息。
3. 安全性要求较高的通信双方为保证证书私钥的安全性可采用将证书和私钥存放在USBkey上的形式。USB key可保证私钥不出key,且证书具有唯一性的特征。使黑客无法替换证书或获得证书私钥。
4. 相对于USBkey的不便性，可以采用带外认证的方式确认用户身份。带外认证可以提供多种不同的认证方式及渠道，比如短信发送二次PIN码，电话确认等。带外认证不通过互联网，中间人无法获得任何信息，可以保证使用方便性的同时获得较高的安全性。

针对TLS协议漏洞

1. 禁用RC4算法，禁用DES、3DES算法
2. 使用TLS协议的高版本

针对IPsec协议漏洞

1. 通过设置静态ARP、绑定IP和MAC地址或停用ARP等来避免ARP欺骗
2. 安全性要求较高的通信双方为保证证书私钥的安全性可采用将证书和私钥存放在USB key上的形式
3. 相对于USBkey的不便性，可以采用带外认证的方式确认用户身份，比如短信发送二次PIN码，电话确认等

交换机

交换机在企业网中占有重要的地位，通常是整个网络的核心所在，这一地位使它成为黑客入侵和病毒肆虐的重点对象。为保障自身网络安全，企业有必要对局域网上的交换机漏洞进行全面了解，以下是总结可利用交换机漏洞的五种攻击手段

VLAN跳跃攻击

虚拟局域网(VLAN)是对广播域进行分段的方法。VLAN还经常用于为网络提供额外的安全，因为一个VLAN上的计算机无法与没有明确访问权的另一个VLAN上的用户进行对话。

生成树攻击

• 生成树协议(STP)可以防止冗余的交换环境出现回路。若网络有回路，就会变得拥塞不堪，从而出现广播风暴，引起MAC表不一致，最终使网络崩溃。
• 使用STP的所有交换机都通过网桥协议数据单元(BPDU)来共享信息，BPDU每两秒就发送一次。交换机发送BPDU时，里面含有名为网桥ID的标号，这个网桥ID结合了可配置的优先数(默认值是32768)和交换机的基本MAC地址。交换机可以发送并接收这些BPDU，以确定哪个交换机拥有最低的网桥ID，拥有最低网桥ID的那个交换机成为根网桥。

MAC表洪水攻击

交换机的工作方式是，帧在进入交换机时记录下MAC源地址，这个MAC地址与帧进入的那个端口相关，因此以后通往该MAC地址的信息流将只通过该端口发送出去。这可以提高带宽利用率，因为信息流用不着从所有端口发送出去，而只从需要接收的那些端口发送出去。MAC地址存储在内容可寻址存储器(CAM)里面，CAM是一个128K大小的保留内存，专门用来存储MAC地址，以便快速查询。如果恶意黑客向CAM发送大批数据包，就会导致交换机开始向各个地方发送大批信息流，从而会埋下了隐患，甚至会导致交换机在拒绝服务攻击中崩溃。

ARP攻击

ARP欺骗是一种用于会话劫持攻击中的常见手法。地址解析协议(ARP)利用第2层物理MAC地址来映射第3层逻辑IP地址，如果设备知道了IP地址，但不知道被请求主机的MAC地址，它就会发送ARP请求。ARP请求通常以广播形式发送，以便所有主机都能收到。恶意黑客可以发送被欺骗的ARP回复获取发往另一个主机的信息流。

VTP攻击

VLAN中继协议是一种管理协议，它可以减少交换环境中的配置数量。就VTP而言交换机可以是VTP服务器、VTP客户端或者VTP透明交换机，这里着重讨论VTP服务器和VTP客户端。用户每次对工作于VTP服务器模式下的交换机进行配置改动时无论是添加、修改还是移除VLAN，VTP配置版本号都会增加1，VTP客户端看到配置版本号大于目前的版本号后，就知道与VTP服务器进行同步。恶意黑客可以让VTP为已所用，移除网络上的所有VLAN(除了默认的VLAN外)，这样他就可以进入其他每个用户所在的同一个VLAN上。恶意黑客只要连接到交换机，并在自己的计算机和交换机之间建立一条中继，就可以充分利用VTP。黑客可以发送VTP消息到配置版本号高于当前的VTP服务器，这会导致所有交换机都与恶意黑客的计算机进行同步，从而把所有非默认的VLAN从VLAN数据库中移除出去。

路由器

• 路由器由于业界标准、管理便利性、历史继承性等原因，存在大量安全性不足的访问通道，例如:SNMP v1/v2，TeInet等，这些协议早期对安全性考虑不足，而新的协议(SNMP v3，SSH)并没有强制性替换老的协议。因此，如果用户不恰当的使用了这些安全不足的访问通道，容易造成信息泄密，被恶意用户利用时，容易产生非授权的访问行为。
• 同时，由于这些安全性不足的协议，没有进行任何完整性校验，容易引起中间人攻击，恶意攻击者可以通过篡改协议消息，达成攻击的目的。

MAC欺骗

当攻击者能够监听网络流量并识别具有网络特权的计算机的网络接口物理地址(MediaAccess Control，MAC)时，会发生 MAC 欺骗。大多数无线系统通过 MAC过滤，仅允许具有特定 MAC 地址的授权计算机来访问网络。攻击者可以利用网络探工具破解 MAC地址，并伪装成授权的主机访问无线网络。

中间人攻击

中间人攻击者通过无线网卡，:在用户和真实网络中间搭建一个真正的接入点，当用户通过这个接入点进行网络访问时，攻击者可以进行流量嗅探。此种方法依赖于握手协议中的安全性错误来执行“认证攻击”，强制与热点连接的计算机断开连接，并重新连接搭建的热点LANiack和AirJack等软件都可以做到。

拒绝服务攻击

攻击者通过发送虚假请求，过早地成功连接信息、故障信息或其他命令，不断攻击目标接入点或网络，导致合法用户无法连接网络，甚至可能导致网络崩溃。这些攻击依赖于协议的滥用，如可扩展身份验证协议(Extensible Authentication Protocol,EAP)。

WIFI

无线网络有4个基本组成部分:数据传输媒介、接入点、客户端设备和用户。对其中的一个组成部分进行攻击，都会影响其他3个部分的保密性、完整性和可用性。

意外关联

如果一台办公计算机有两块以上的网卡，其中有线网卡连接到公司网络，它也可以通过无线网卡连接到相邻公司的无线网络，这样就造成了主机处于重叠网络中。这是一个涉及公司信息泄露的安全漏洞，在现在社会中普遍存在。

虚拟热点

攻击者通过软件破解合法接入点的密码，并搭建一个完全一样的虚拟接入点引诱用户主动登录，用户无法辨识网络的真假。一旦攻击者获得访问权限，就可以窃取密码，在有线网络上发动攻击或植入木马。

保护无线传输的对策

1. 让无线信号难以定位和拦截
2. 使用加密技术以保持保密性，即使无线信号被截获，也无法轻易破解信息

信号隐藏技术

为了拦截无线传输，攻击者首先需要识别和定位无线网络，可以采取让攻击者难以找到无线接入点的方法来保护无线网络。简单的方法有:关闭服务集标识(ServiceSetldentifierSSID)名称广播、降低信号强度、热点远离窗户和外墙等,专业的手段有:使用定向天线限制信号的辐射范围，使用屏蔽技术屏蔽信号辐射等。

减少拒绝服务攻击的对策

无线通信也容易受到拒绝服务攻击，可以采取几个步骤来减少这种攻击风险。首先，仔细辨别是否存在来自其他设备的信号;其次，要定期对无线网络活动审核，采取移除违规设备或其他措施以提高信号强度和覆盖范围。

保护无线接入点

1. 消除恶意接入点。应对恶意接入点的威胁，最好的方法是使用 802.1X 身份验证禁止未经授权的设备连接到网络。
2. 正确配置所有授权接入点。改变无线网络的默认设置，确保接入点配置安全，防止被攻击者利用。

保护无线客户端设备

无线客户端受到的一个威胁是设备丢失，一旦落入他人手中，设备上存储的私密信息(如个人识别信息等)就会被曝光并被第三方收集;另一方面，客户端可以被破解，使攻击者可以直接访问存储在设备上的敏感信息，或使用设备在未经授权的前提下获得其他资源的访问权。

WAF

可分为硬件Web防火墙、Web防护软件、云Waf

重要系统专项分析

评估方法

• 集中管控平台掌握了企业大量的服务器信息、防护信息，一旦被攻击者攻破，将导致大量敏感信息泄露
• 集中管控平台安全防护被攻破容易成为攻击者跳板，作为攻击者“利器”，危害远大于普通主机

评估内容

1. 检测安全设备应用层漏洞
2. 检测安全设备本体安全机制是否存在缺陷
3. 靶标系统
   1. 系统架构：系统架构、网络架构
   2. 数据传输：数据传输方式、加密有效性、传输接口
   3. 运维管理：运维管理、管理平台漏洞
   4. 安全设备覆盖情况：系统所在域及存在访问关系的区域覆盖安全检测设备情况及有效性

常见数据库脆弱性分析

网络架构和攻击面分析

基线评估

安全基线概念

• 安全基线是指为了满足安全规范要求，安全配置必须要达到的标准，服务器，操作系统，应用软件都有自己对应的安全基线标准。
• 从软件的角度来讲，安全基线也称为“最佳安全实践”
• 从合规的角度来讲，我国的安全基线检查标准主要对标“网络安全等级保护”，即等保，而“等保”，通常情况下主要是指“二级”和“三级”的网络等级保护。

外网安全基线

外网安全基线，是指针对开放到外网的服务所进行的安全基线检查，如web服务。
如果我们将web服务看作是一个整体，那么他有多个组成部分，前端，后端，中间件，负载均衡，与内网通信等部分，那么外网安全基线则需要对这些部分进行安全基线检查。

内网安全基线

内网安全基线，涉及部分会多于外网安全基线检查，内网组成部分相较于外网更复杂，因为服务等类型增加了，除web服务外，可能还有数据库，存储，操作系统，网络划分等部分。
因此内网安全基线检查，除了对服务进行检查，还需要整体性的针对网络和访问等内容进行安全检查。

安全计算环境（等保）

对象

终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟网络设备)安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管 理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档

身份鉴别

1. 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换
2. 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
3. 当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听
4. 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现

访问控制（二级）

1. 应对登录的用户分配账户和权限
2. 应重命名或删除默认账户，修改默认账户的默认口令
3. 应及时删除或停用多余的、过期的账户，避免共享账户的存在
4. 应授予管理用户所需的最小权限，实现管理用户的权限分离

访问控制（三级）

在二级基础上增加以下3点

1. 应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则
2. 访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级
3. 应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问

安全审计

1. 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。
2. 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
3. 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。
4. 应对审计进程进行保护，防止未经授权的中断。

入侵防范

1. 应遵循最小安装的原则，仅安装需要的组件和应用程序
2. 应关闭不需要的系统服务、默认共享和高危端口
3. 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
4. 应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求
5. 应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞
6. 应能够检测到对重要节点进行人侵的行为，并在发生严重入侵事件时提供报警

恶意代码防范

应安装防恶意代码软件或配置具有相应功能的软件，并定期进行升级和更新防恶意代码库

可信验证

可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

数据完整性

应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等

数据保密性

应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

数据个人信息保护