国内某著名媒体公司安全审核报告
2008-04-09 04:11:11来源:互联网 阅读 ()
执行报告 综述 一般的安全级别被发现比较低。具备管理员身份的对系统的初始渗透在不到十分钟的时间里就可完成。主要的安全问题在于缺乏好的安全过滤器和关键系统账户脆弱的口令选择,这些弱点使得包探测器这样的工具相当容易放置,包探测器准许对所有信息传输, 包括对置于防火墙后面的网络中的信息传输进行检查。 边防安全 某传媒公司的网络没有一个防火墙,不论偏软还是偏硬。同时也没有设置额外的规则。现有的规则需要为阻止更新的攻击进行编辑。有关建议规则配置的详细内容可在一份名为“防火墙规则建议”的文档中找到。 内部安全 某传媒公司的网络主机没有安装入侵检测或探针软件。虽然需要增强某传媒公司雇员的培训策略,但是某传媒公司的主机安全性是最充分的。将在附加文件中发现关于这些“雇员培训建议”的讨论。
渗透风险摘要 临时攻击者
在当前的安全性设置中,一个临时的但是坚定的攻击者渗透一个系统的时间估计在不到两天的时间里。 富有经验的攻击者
在当前的安全性设置中,一个富有经验的攻击者渗透安全系统的时间估计在不到一个小时的时间里。 专业的攻击者
在当前的安全性设置中,一个专业的攻击者渗透安全系统的时间估计在不到15分钟的时间里。
为IT部门所做的细致的研究结果 安全评估过程 外部安全的评估包括多种措施确定有效的外部安全级别。为了从一个外部攻击者的角度获得一个真实的安全评估,我们使用的方法和工具与黑客所使用的相同。这个过程通常包括三个阶段。 发展阶段 在这个阶段评价,我们使用多种工具确定目标网络中系统可能发生的每个事件。这个信息是在逐一系统监测的基础上得出的。一旦系统被定位,为了确定系统组件,每个系统都会被单独扫描。这些系统组件包括:操作系统版本(某传媒公司里Windows操作系统就有win98,win2000,winXP不同的版本)和补丁软件(在某传媒公司里有很少的机器上打了补丁程序,个别的只打了SP1),并且运行在操作系统上的多数软件是网络下载,在下载是没有对软件进行MD5软件校验,多数是免费版本。下载时没有对下载的程序进行杀毒。对默认安装后的操作系统没有对有效的用户进行设置,对系统账户也没有进行相应的安全策略设置。致使黑客可以对默认安装的系统账户进行复制,替用。完整的系统参数(如系统名,操作参数,目标网段中系统的角色和安全设置)始终没有一个统一的设置,致使很多用户分不清每个用户的角色。打乱了网络拓扑结构。使公司职员无法分清应用程序服务器,数据库服务器等。 在确定应用程序服务器的同时也要测试其中的所有程序的完整性和可用性。 渗透阶段 通过检查发现阶段得到的信息,寻找某传媒公司网络的弱点,这表示开始进入了渗透阶段。所有操作系统和系统软件根据已知的缺陷库进行检查。这些缺陷在目标系统上被单独测试。这个阶段的目的是了解目标系统的安全性。 控制阶段 这个阶段在成功的了解了系统安全性之后开始。在目标系统中会发生多种操作。全部的目标系统都会被访问,并且所有相关的文件和信息都会被找出来。这些文件包括完整的安全设置和参数,日志文件和系统软件配置文件。其他的一些操作系统包括在目标系统中建立后门和删除渗透证据。一旦目标系统被全面破坏,它便被用做一个中间点,对其他子网中的系统安全进行渗透,在那里又会执行相同的过程,而作为中间点全然不知发生的过程。
最终,为了测试全体系统工作人员的注意程度,我发起了大量的攻击,从而确定员工的反应。但没有一个人知道究竟发生了什么。
结论
执行概览中的这份结论基于下列发现: 1. 有效的安全过滤器没有用在外部路由器上。
2. 强密码没有用在可访问的系统中。
3. 多余的服务没有被去除。
4. Microsoft networking从外部可访问。
5. 使用默认“public”团体名的SNMP信息可以被访问。
6. 在可访问系统上的安全审核没有启动。
7. 在可访问系统上,文件系统安全保护没有完全实施。
8. DNS没有受到保护。
9. Windows 2000系统默认设置没有被重新配置。
10. 关键的windows 2000注册表树没有利用审核进行保护。
11. 系统审核日志可以被访问。
12. 系统容易受到DOS(拒绝服务攻击)和DDOS(分布式拒绝服务攻击)。
13. 局域网网关最好采用Window 2000,因为网络服务功能强大。
建议 首先是在外部路由器上过滤具体的易受攻击的服务。其次是正确地保护个人WIN2000/XP系统。这包括在各自的机器上正确地保护账户和服务。第三,需要在主机上安装基于网络的IDS(入侵检测系统)。基于主机的入侵检测应该在218.30.*. * , 218.30.*.* , 218.30.*. *, 219.145.*.* 系统上采用。 安全分析的下一个阶段是现场检查系统,软件和配置。另外,应该会见主要的系统人员,确定当前的业务过程,因为安全最重要的原则是在不能影响业务的基础上对现有的网络和系统做出调整和配置。 直接建议(中到高风险) 在外部路由器上执行信息包过滤:
1. TCP/UDP 135 (RPC)
2. UDP 137,138;TCP 139(Microsoft Networking)
3. UDP 161,162(SNMP)
说明:过滤器执行前两项时,将会阻止超过80%的对windows 2000进行攻击的有效工具。 将所有的系统账户密码改变为强密码(所谓强密码是指大小写字母,数字,字符混合使用的密码,例:Hevvn83-=/\LiU )。 在所有的机器上启动Windows 的安全审核。如果可能,执行下面的操作:
1. 审核所有的失败。
2. 审核成功的登陆。
3. 审核成功的安全策略变化。
4. 审核系统的成功启动和关机。
5. 不准日志覆盖。
6. 定期地存储审核日志。 对windows 系统启动强密码需求。 限制匿名登陆。 控制对注册表的远程访问。 限制对调度程序(scheduler)服务的访问。 启动账户外壳程序来锁定账户,并且强迫刷新密码。 启动管理员账户锁定。 重命名Windows中的管理员账户(例如:超级管理员账户administrator 可重命名为fashion) 适当的用Authenticated Users 组替换Everyone组。 适当的关闭不必要地服务Disable unneeded services as appropriate:
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:一个外挂的修改实例
下一篇:避锋乘虚--入侵LINUX实例
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
