• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      滲透測試技術在氣象觀測設備網(wǎng)絡安全防護中的應用

      2020-12-19 04:39:17黃毅楊海龍聶恩旺
      電子技術與軟件工程 2020年8期
      關鍵詞:勒索漏洞防火墻

      黃毅 楊海龍 聶恩旺

      (1.邢臺市氣象局 河北省邢臺市 054000 2.河北省氣象局信息中心 河北省石家莊市 050021)

      1 引言

      近年來,網(wǎng)絡安全形勢嚴峻,網(wǎng)絡安全事件頻發(fā),涵蓋計算機、局域網(wǎng)、互聯(lián)網(wǎng)等傳統(tǒng)IT 領域和工業(yè)控制網(wǎng)絡,并向物聯(lián)網(wǎng)蔓延。

      (1)勒索病毒于2017年5月12日全球爆發(fā),到目前為止,不但發(fā)展出GlobeImposter、Phobos、Paradise 等多個勒索病毒家族,還出現(xiàn)多個升級版本和變種病毒;同時,除了利用釣魚郵件、病毒偽裝成應用軟件、U 盤傳播等這些傳播手段,還出現(xiàn)利用泛微漏洞、SNMP 漏洞等漏洞,攻擊互聯(lián)網(wǎng)計算機,在攻擊得手后,還會利用永恒之藍,RDP 遠程桌面漏洞,弱口令爆破等攻擊手段進行橫向傳播。

      (2)工業(yè)控制網(wǎng)絡往往應用在重點行業(yè),已成為黑客進行攻擊和數(shù)據(jù)竊取的重要目標,工業(yè)控制網(wǎng)絡如果遭受攻擊,會造成嚴重的經(jīng)濟安全、公共安全問題,例如:2010年針對伊朗核設施的震網(wǎng)病毒攻擊,2013年針對歐洲和北美能源公司的Havex 病毒攻擊。工業(yè)控制網(wǎng)絡病毒有Stuxnet 病毒(震網(wǎng)病毒)、Duqu 病毒、Flame病毒(火焰病毒)、Havex 病毒等;其中,Havex 病毒會掃描網(wǎng)絡中支持OPC 協(xié)議,對OPC 請求作出響應的設備,或開放默認端口的設備,以搜集聯(lián)網(wǎng)設備的設備信息,如果利用漏洞入侵成功,很可能造成控制數(shù)據(jù)遭竊取。

      (3)隨著“互聯(lián)網(wǎng)+”以及物聯(lián)網(wǎng)的快速發(fā)展,越來越多的智能設備出現(xiàn)在我們的生活中,以智能攝像頭為例,多款智能攝像頭產(chǎn)品,因設備漏洞、弱口令、未加密傳輸?shù)纫蛩?,造成視頻信息泄露,甚至設備被黑客操控,進行DDoS 攻擊。

      2 滲透測試

      滲透測試是通過模擬惡意黑客的攻擊方法,來評估計算機網(wǎng)絡系統(tǒng)安全的一種評估方法。滲透測試是從保護系統(tǒng)的目的出發(fā),收集測試對象的相關信息,分析開放端口及該端口可能存在的漏洞,以便更全面地找出安全隱患。

      滲透測試執(zhí)行標準(PTES: Penetration Testing Execution Standard)包含7 個階段:

      (1)前期交換;

      (2)情報收集;

      (3)威脅建模;

      (4)漏洞分析;

      (5)漏洞攻擊;

      (6)后滲透;

      (7)報告。

      3 《OWASP IoT Top 10 2018》

      《OWASP IoT Top 10 2018》即2018年物聯(lián)網(wǎng)10 大安全隱患,即在構(gòu)建、部署或管理物聯(lián)網(wǎng)系統(tǒng)時應該規(guī)避的十大問題,筆者參考《OWASP IoT Top 10 2018》,分析可能出現(xiàn)的安全隱患。

      (1)弱密碼、可猜測密碼或硬編碼密碼;

      (2)不安全的網(wǎng)絡服務;

      (3)不安全的生態(tài)接口;

      (4)缺乏安全的更新機制;

      (5)使用不安全或已遭啟用的組件;

      (6)隱私保護不充分;

      (7)不安全的數(shù)據(jù)傳輸和存儲;

      (8)缺乏設備管理;

      (9)不安全的默認設置;

      (10)缺乏物理加固措施。

      4 滲透測試數(shù)據(jù)分析及安全防護

      筆者在網(wǎng)絡安全檢查中,使用滲透測試技術發(fā)現(xiàn):部分氣象觀測設備存在打開21、23 端口,提供FTP、telnet 登錄;存在匿名FTP 登錄;WEB 登錄無用戶名密碼認證等網(wǎng)絡安全問題。

      4.1 自建中心站

      自建中心站配套部署區(qū)域站設備,區(qū)域站設備通信模塊安裝有SIM 卡,配置指定互聯(lián)網(wǎng)地址及UDP 5XXX 端口;中心站服務器部署在內(nèi)網(wǎng)中,通過互聯(lián)網(wǎng)防火墻NAT 配置,中心站服務器對應端口將接收到區(qū)域站設備發(fā)送的觀測數(shù)據(jù),實現(xiàn)數(shù)據(jù)采集、實時顯示和存儲功能。

      通過對互聯(lián)網(wǎng)防火墻該條安全策略的日志記錄進行分析,發(fā)現(xiàn)以下特征:

      (1)區(qū)域站設備通信模塊獲取到的互聯(lián)網(wǎng)地址,不固定,變化范圍為一個C 類地址。

      (2)互聯(lián)網(wǎng)防火墻UDP 5XXX 端口,存在大量端口掃描,源地址中既有國內(nèi)IP 地址,也有國外IP 地址;源端口中,一類為固定端口號的掃描,一類為遞增端口號的掃描。

      在中心站服務器上對UDP 5XXX 端口進行抓包,通過對抓包數(shù)據(jù)分析發(fā)現(xiàn),區(qū)域站設備數(shù)據(jù)上傳為明文,SIM 卡號和觀測日期時次一目了然;通過長時間抓包對比,不難判斷出其中的各項觀測數(shù)據(jù)。

      網(wǎng)絡安全防護方法:

      可以通過在互聯(lián)網(wǎng)防火墻上增加安全策略,只允許區(qū)域站設備通信模塊的C 類地址可以訪問中心站服務器端口,并阻止對應的ANY 地址連接,以確保中心站軟件不會接收到異常數(shù)據(jù),影響正常數(shù)據(jù)接收。

      參考《OWASP IoT Top 10 2018》第7 項不安全的數(shù)據(jù)傳輸和存儲,建議對區(qū)域站設備氣象數(shù)據(jù)傳輸和處理做加密處理。

      在實際業(yè)務應用中,區(qū)域站設備通訊模塊配置為運營商專用APN 網(wǎng)絡,通過防火墻日志分析,可以判斷區(qū)域站數(shù)據(jù)是否發(fā)送到防火墻,從而判斷為區(qū)域站通信模塊故障,或中心站數(shù)據(jù)處理軟件故障;通過數(shù)據(jù)抓包可以判斷是否有異常數(shù)據(jù)。

      4.2 水汽觀測設備

      該水汽觀測設備為嵌入式開發(fā)設備,開放21 和80 端口。21端口為vsftpd 服務,存在允許匿名登錄的問題;80 端口為WEB 服務,無用戶名密碼認證,可直接訪問設備,查看設備參數(shù)和配置。

      網(wǎng)絡安全防護方法:參考《OWASP IoT Top 10 2018》第3 項不安全的生態(tài)接口,缺乏認證/授權(quán),建議增加用戶名密碼認證機制,并配置復雜密碼;或者利用交換機ACL,限制僅指定的管理IP 地址可以訪問水汽觀測設備的21 和80 端口。

      4.3 DPZ1型綜合集成硬件控制器

      DPZ1 型綜合集成硬件控制器(簡稱DPZ1 控制器),為觀測站核心設備,可以將多個串口數(shù)據(jù)轉(zhuǎn)換為標準的TCP/IP 協(xié)議數(shù)據(jù)。DPZ1 控制器通過光纖轉(zhuǎn)換器與業(yè)務計算機相連,業(yè)務計算機安裝有SMOPORT 驅(qū)動程序,實現(xiàn)將氣象采集數(shù)據(jù)發(fā)送至業(yè)務計算機ISOS 軟件上。

      DPZ1 控制器設置IP 地址為192.168.1.1,業(yè)務計算機安裝有雙網(wǎng)卡,與DPZ1 控制器連接的網(wǎng)卡(A 卡)設置IP 地址為192.168.1.2,不配置網(wǎng)關地址,與業(yè)務內(nèi)網(wǎng)連接的網(wǎng)卡(B 卡)配置網(wǎng)關地址。

      筆者在勒索病毒防護中,為了監(jiān)測勒索病毒針對445 端口的攻擊,在互聯(lián)網(wǎng)防火墻和內(nèi)網(wǎng)防火墻(廣域網(wǎng)防火墻)中配置了安全策略,對445 端口的訪問進行日志記錄,在互聯(lián)網(wǎng)防火墻日志中,出現(xiàn)源地址為業(yè)務計算機,目的地址為192.168.1.X 地址的445 端口訪問,該類日志引起了筆者的警惕。

      以目的地址為192.168.1.3 的445 端口訪問為例,根據(jù)業(yè)務計算機兩塊網(wǎng)卡的路由信息,因為配置為192.168.1.2 的網(wǎng)卡沒有設置網(wǎng)關,目的地址為192.168.1.3 的數(shù)據(jù)包轉(zhuǎn)發(fā)到默認網(wǎng)關(B 卡)上;核心交換機上存在0.0.0.0 的指向互聯(lián)網(wǎng)防火墻的靜態(tài)路由,因此將數(shù)據(jù)包轉(zhuǎn)發(fā)到互聯(lián)網(wǎng)防火墻上。由此可以判斷出業(yè)務計算機已感染勒索病毒,且勒索病毒已對DPZ1 控制器進行了掃描,目前,已多次發(fā)現(xiàn)業(yè)務計算機感染勒索病毒,出現(xiàn)的故障多為業(yè)務計算機藍屏或死機,DPZ1控制器未出現(xiàn)故障。如果隨著勒索病毒版本升級,出現(xiàn)影響DPZ1 控制器,影響與DPZ1 控制器進行通信的惡意病毒,將嚴重影響數(shù)據(jù)采集。

      正常情況下,在業(yè)務計算機上運行 netstat -ano 命令,會發(fā)現(xiàn)源地址為192.168.1.2, 源端口為4002 和4004,目的地址為192.168.1.1(DPZ1 控制器),目的端口為8000 的連接,如果業(yè)務計算機感染勒索病毒,運行 netstat -ano | findstr ":445" 命令,將發(fā)現(xiàn)大量445 端口連接。

      筆者搭建了實驗環(huán)境,對DPZ1 控制器進行了端口掃描,除開放的8000 端口,掃描發(fā)現(xiàn)還開放了21 端口和23 端口,分別對應vsftpd服務和telnet服務,這兩個服務為進行設備檢查和版本升級用;盡管存在用戶名密碼認證和登錄失敗次數(shù)退出功能,但筆者認為這兩個端口易遭受用戶名密碼爆破攻擊。

      實際上,黑客已經(jīng)利用產(chǎn)品漏洞,對工業(yè)控制網(wǎng)絡的管理型交換機、高級以太網(wǎng)網(wǎng)關設備、串口通訊服務器等設備進行了攻擊,在國家信息安全漏洞共享平臺(CNVD)上,Moxa 多款設備存在漏洞,其中NPort 串口通訊服務器產(chǎn)品存在漏洞有:Moxa NPort W2x50A 操作系統(tǒng)命令注入漏洞、Moxa NPort W2x50A 操作系統(tǒng)命令注入漏洞、Moxa NPort W2150A and W2250A 未授權(quán)訪問漏洞等。因此,DPZ1 控制器同樣需要做好網(wǎng)絡安全防護。

      網(wǎng)絡安全防護方法:參考《OWASP IoT Top 10 2018》第2 項不安全的網(wǎng)絡服務,業(yè)務計算機的445、3389 等端口會遭到勒索病毒攻擊,應盡量關閉這些端口;如果確為業(yè)務需要,可以利用交換機ACL,限定僅指定的IP 地址可以訪問,避免遭受勒索病毒攻擊;使用netstat -ano | findstr ":445" 命令和netstat -ano | findstr "192.168.1.1"命令對連接情況進行監(jiān)控,及時發(fā)現(xiàn)勒索病毒攻擊和針對DPZ1 21、23 端口的攻擊;業(yè)務計算機及時更新漏洞補丁,如果發(fā)現(xiàn)感染勒索病毒,使用專殺工具,及時查殺;定時對重要數(shù)據(jù)進行異機備份,熟練掌握備份計算機更換。

      5 總結(jié)

      本文通過對三類觀測設備進行信息收集和漏洞探測,參考《OWASP IoT Top 10 2018》,分析了可能出現(xiàn)的安全隱患,根據(jù)發(fā)現(xiàn)的問題,提出了具有針對性的網(wǎng)絡安全防護方法。以遏制勒索病毒內(nèi)網(wǎng)傳播為例,網(wǎng)絡安全防護需要省市縣聯(lián)防聯(lián)動,從最基礎的終端防護,到各種安全設備信息共享,智能識別,構(gòu)建勒索病毒網(wǎng)絡安全防護體系,達到對勒索病毒攻擊進行監(jiān)控和溯源的目的;同時,將勒索病毒攻擊限制在有限的區(qū)域內(nèi),避免全網(wǎng)攻擊,造成病毒擴散。

      滲透測試是網(wǎng)絡安全防護行之有效的方法,針對不同的觀測設備,進行信息收集和漏洞探測,從而制定具體的網(wǎng)絡安全防護方法,可以有效的提高網(wǎng)絡安全防護能力,以保障觀測數(shù)據(jù)的正常采集和傳輸。

      猜你喜歡
      勒索漏洞防火墻
      漏洞
      情緒勒索:警惕以愛之名的傷害
      看世界(2021年11期)2021-06-08 11:29:44
      遭遇勒索
      勒索
      西藏文學(2019年4期)2019-09-17 08:31:36
      構(gòu)建防控金融風險“防火墻”
      當代陜西(2019年15期)2019-09-02 01:52:08
      獲獎產(chǎn)品介紹:對勒索病毒說不
      ——美創(chuàng)科技“諾亞”防勒索系統(tǒng)向勒索病毒“宣戰(zhàn)”
      三明:“兩票制”堵住加價漏洞
      漏洞在哪兒
      兒童時代(2016年6期)2016-09-14 04:54:43
      高鐵急救應補齊三漏洞
      下一代防火墻要做的十件事
      自動化博覽(2014年6期)2014-02-28 22:32:13
      桐城市| 那曲县| 崇礼县| 桂阳县| 株洲县| 贡嘎县| 朝阳区| 乌兰察布市| 西充县| 江川县| 得荣县| 应城市| 汝州市| 泸州市| 益阳市| 古丈县| 孝昌县| 湖南省| 永胜县| 大足县| 民县| 大丰市| 津南区| 定西市| 新津县| 界首市| 大邑县| 海兴县| 疏勒县| 商城县| 弥渡县| 菏泽市| 横山县| 嘉兴市| 和龙市| 武威市| 南昌市| 博客| 三门峡市| 杭锦旗| 湖北省|