滲透測試技術在氣象觀測設備網(wǎng)絡安全防護中的應用

黃毅 楊海龍 聶恩旺

（1.邢臺市氣象局 河北省邢臺市 054000 2.河北省氣象局信息中心 河北省石家莊市 050021）

1 引言

近年來，網(wǎng)絡安全形勢嚴峻，網(wǎng)絡安全事件頻發(fā)，涵蓋計算機、局域網(wǎng)、互聯(lián)網(wǎng)等傳統(tǒng)IT 領域和工業(yè)控制網(wǎng)絡，并向物聯(lián)網(wǎng)蔓延。

（1）勒索病毒于2017年5月12日全球爆發(fā)，到目前為止，不但發(fā)展出GlobeImposter、Phobos、Paradise 等多個勒索病毒家族，還出現(xiàn)多個升級版本和變種病毒；同時，除了利用釣魚郵件、病毒偽裝成應用軟件、U 盤傳播等這些傳播手段，還出現(xiàn)利用泛微漏洞、SNMP 漏洞等漏洞，攻擊互聯(lián)網(wǎng)計算機，在攻擊得手后，還會利用永恒之藍，RDP 遠程桌面漏洞，弱口令爆破等攻擊手段進行橫向傳播。

（2）工業(yè)控制網(wǎng)絡往往應用在重點行業(yè)，已成為黑客進行攻擊和數(shù)據(jù)竊取的重要目標，工業(yè)控制網(wǎng)絡如果遭受攻擊，會造成嚴重的經(jīng)濟安全、公共安全問題，例如：2010年針對伊朗核設施的震網(wǎng)病毒攻擊，2013年針對歐洲和北美能源公司的Havex 病毒攻擊。工業(yè)控制網(wǎng)絡病毒有Stuxnet 病毒(震網(wǎng)病毒)、Duqu 病毒、Flame病毒(火焰病毒)、Havex 病毒等；其中，Havex 病毒會掃描網(wǎng)絡中支持OPC 協(xié)議，對OPC 請求作出響應的設備，或開放默認端口的設備，以搜集聯(lián)網(wǎng)設備的設備信息，如果利用漏洞入侵成功，很可能造成控制數(shù)據(jù)遭竊取。

（3）隨著“互聯(lián)網(wǎng)+”以及物聯(lián)網(wǎng)的快速發(fā)展，越來越多的智能設備出現(xiàn)在我們的生活中，以智能攝像頭為例，多款智能攝像頭產(chǎn)品，因設備漏洞、弱口令、未加密傳輸?shù)纫蛩?，造成視頻信息泄露，甚至設備被黑客操控，進行DDoS 攻擊。

2 滲透測試

滲透測試是通過模擬惡意黑客的攻擊方法，來評估計算機網(wǎng)絡系統(tǒng)安全的一種評估方法。滲透測試是從保護系統(tǒng)的目的出發(fā)，收集測試對象的相關信息，分析開放端口及該端口可能存在的漏洞，以便更全面地找出安全隱患。

滲透測試執(zhí)行標準（PTES: Penetration Testing Execution Standard）包含7 個階段：

（1）前期交換；

（2）情報收集；

（3）威脅建模；

（4）漏洞分析；

（5）漏洞攻擊；

（6）后滲透；

（7）報告。

3 《OWASP IoT Top 10 2018》

《OWASP IoT Top 10 2018》即2018年物聯(lián)網(wǎng)10 大安全隱患，即在構(gòu)建、部署或管理物聯(lián)網(wǎng)系統(tǒng)時應該規(guī)避的十大問題，筆者參考《OWASP IoT Top 10 2018》，分析可能出現(xiàn)的安全隱患。

（1）弱密碼、可猜測密碼或硬編碼密碼；

（2）不安全的網(wǎng)絡服務；

（3）不安全的生態(tài)接口；

（4）缺乏安全的更新機制；

（5）使用不安全或已遭啟用的組件；

（6）隱私保護不充分；

（7）不安全的數(shù)據(jù)傳輸和存儲；

（8）缺乏設備管理；

（9）不安全的默認設置；

（10）缺乏物理加固措施。

4 滲透測試數(shù)據(jù)分析及安全防護

筆者在網(wǎng)絡安全檢查中，使用滲透測試技術發(fā)現(xiàn)：部分氣象觀測設備存在打開21、23 端口，提供FTP、telnet 登錄；存在匿名FTP 登錄；WEB 登錄無用戶名密碼認證等網(wǎng)絡安全問題。

4.1 自建中心站

自建中心站配套部署區(qū)域站設備，區(qū)域站設備通信模塊安裝有SIM 卡，配置指定互聯(lián)網(wǎng)地址及UDP 5XXX 端口；中心站服務器部署在內(nèi)網(wǎng)中，通過互聯(lián)網(wǎng)防火墻NAT 配置，中心站服務器對應端口將接收到區(qū)域站設備發(fā)送的觀測數(shù)據(jù)，實現(xiàn)數(shù)據(jù)采集、實時顯示和存儲功能。

通過對互聯(lián)網(wǎng)防火墻該條安全策略的日志記錄進行分析，發(fā)現(xiàn)以下特征：

（1）區(qū)域站設備通信模塊獲取到的互聯(lián)網(wǎng)地址，不固定，變化范圍為一個C 類地址。

（2）互聯(lián)網(wǎng)防火墻UDP 5XXX 端口，存在大量端口掃描，源地址中既有國內(nèi)IP 地址，也有國外IP 地址；源端口中，一類為固定端口號的掃描，一類為遞增端口號的掃描。

在中心站服務器上對UDP 5XXX 端口進行抓包，通過對抓包數(shù)據(jù)分析發(fā)現(xiàn)，區(qū)域站設備數(shù)據(jù)上傳為明文，SIM 卡號和觀測日期時次一目了然；通過長時間抓包對比，不難判斷出其中的各項觀測數(shù)據(jù)。

網(wǎng)絡安全防護方法：

可以通過在互聯(lián)網(wǎng)防火墻上增加安全策略，只允許區(qū)域站設備通信模塊的C 類地址可以訪問中心站服務器端口，并阻止對應的ANY 地址連接，以確保中心站軟件不會接收到異常數(shù)據(jù)，影響正常數(shù)據(jù)接收。

參考《OWASP IoT Top 10 2018》第7 項不安全的數(shù)據(jù)傳輸和存儲，建議對區(qū)域站設備氣象數(shù)據(jù)傳輸和處理做加密處理。

在實際業(yè)務應用中，區(qū)域站設備通訊模塊配置為運營商專用APN 網(wǎng)絡，通過防火墻日志分析，可以判斷區(qū)域站數(shù)據(jù)是否發(fā)送到防火墻，從而判斷為區(qū)域站通信模塊故障，或中心站數(shù)據(jù)處理軟件故障；通過數(shù)據(jù)抓包可以判斷是否有異常數(shù)據(jù)。

4.2 水汽觀測設備

該水汽觀測設備為嵌入式開發(fā)設備，開放21 和80 端口。21端口為vsftpd 服務，存在允許匿名登錄的問題；80 端口為WEB 服務，無用戶名密碼認證，可直接訪問設備，查看設備參數(shù)和配置。

網(wǎng)絡安全防護方法：參考《OWASP IoT Top 10 2018》第3 項不安全的生態(tài)接口，缺乏認證/授權(quán)，建議增加用戶名密碼認證機制，并配置復雜密碼；或者利用交換機ACL，限制僅指定的管理IP 地址可以訪問水汽觀測設備的21 和80 端口。

4.3 DPZ1型綜合集成硬件控制器

DPZ1 型綜合集成硬件控制器（簡稱DPZ1 控制器），為觀測站核心設備，可以將多個串口數(shù)據(jù)轉(zhuǎn)換為標準的TCP/IP 協(xié)議數(shù)據(jù)。DPZ1 控制器通過光纖轉(zhuǎn)換器與業(yè)務計算機相連，業(yè)務計算機安裝有SMOPORT 驅(qū)動程序，實現(xiàn)將氣象采集數(shù)據(jù)發(fā)送至業(yè)務計算機ISOS 軟件上。

DPZ1 控制器設置IP 地址為192.168.1.1，業(yè)務計算機安裝有雙網(wǎng)卡，與DPZ1 控制器連接的網(wǎng)卡（A 卡）設置IP 地址為192.168.1.2，不配置網(wǎng)關地址，與業(yè)務內(nèi)網(wǎng)連接的網(wǎng)卡（B 卡）配置網(wǎng)關地址。

筆者在勒索病毒防護中，為了監(jiān)測勒索病毒針對445 端口的攻擊，在互聯(lián)網(wǎng)防火墻和內(nèi)網(wǎng)防火墻（廣域網(wǎng)防火墻）中配置了安全策略，對445 端口的訪問進行日志記錄，在互聯(lián)網(wǎng)防火墻日志中，出現(xiàn)源地址為業(yè)務計算機，目的地址為192.168.1.X 地址的445 端口訪問，該類日志引起了筆者的警惕。

以目的地址為192.168.1.3 的445 端口訪問為例，根據(jù)業(yè)務計算機兩塊網(wǎng)卡的路由信息，因為配置為192.168.1.2 的網(wǎng)卡沒有設置網(wǎng)關，目的地址為192.168.1.3 的數(shù)據(jù)包轉(zhuǎn)發(fā)到默認網(wǎng)關（B 卡）上；核心交換機上存在0.0.0.0 的指向互聯(lián)網(wǎng)防火墻的靜態(tài)路由，因此將數(shù)據(jù)包轉(zhuǎn)發(fā)到互聯(lián)網(wǎng)防火墻上。由此可以判斷出業(yè)務計算機已感染勒索病毒，且勒索病毒已對DPZ1 控制器進行了掃描，目前，已多次發(fā)現(xiàn)業(yè)務計算機感染勒索病毒，出現(xiàn)的故障多為業(yè)務計算機藍屏或死機，DPZ1控制器未出現(xiàn)故障。如果隨著勒索病毒版本升級，出現(xiàn)影響DPZ1 控制器，影響與DPZ1 控制器進行通信的惡意病毒，將嚴重影響數(shù)據(jù)采集。

正常情況下，在業(yè)務計算機上運行 netstat -ano 命令，會發(fā)現(xiàn)源地址為192.168.1.2， 源端口為4002 和4004，目的地址為192.168.1.1（DPZ1 控制器），目的端口為8000 的連接，如果業(yè)務計算機感染勒索病毒，運行 netstat -ano | findstr ":445" 命令，將發(fā)現(xiàn)大量445 端口連接。

筆者搭建了實驗環(huán)境，對DPZ1 控制器進行了端口掃描，除開放的8000 端口，掃描發(fā)現(xiàn)還開放了21 端口和23 端口，分別對應vsftpd服務和telnet服務，這兩個服務為進行設備檢查和版本升級用；盡管存在用戶名密碼認證和登錄失敗次數(shù)退出功能，但筆者認為這兩個端口易遭受用戶名密碼爆破攻擊。

實際上，黑客已經(jīng)利用產(chǎn)品漏洞，對工業(yè)控制網(wǎng)絡的管理型交換機、高級以太網(wǎng)網(wǎng)關設備、串口通訊服務器等設備進行了攻擊，在國家信息安全漏洞共享平臺（CNVD）上，Moxa 多款設備存在漏洞，其中NPort 串口通訊服務器產(chǎn)品存在漏洞有：Moxa NPort W2x50A 操作系統(tǒng)命令注入漏洞、Moxa NPort W2x50A 操作系統(tǒng)命令注入漏洞、Moxa NPort W2150A and W2250A 未授權(quán)訪問漏洞等。因此，DPZ1 控制器同樣需要做好網(wǎng)絡安全防護。

網(wǎng)絡安全防護方法：參考《OWASP IoT Top 10 2018》第2 項不安全的網(wǎng)絡服務，業(yè)務計算機的445、3389 等端口會遭到勒索病毒攻擊，應盡量關閉這些端口；如果確為業(yè)務需要，可以利用交換機ACL，限定僅指定的IP 地址可以訪問，避免遭受勒索病毒攻擊；使用netstat -ano | findstr ":445" 命令和netstat -ano | findstr "192.168.1.1"命令對連接情況進行監(jiān)控，及時發(fā)現(xiàn)勒索病毒攻擊和針對DPZ1 21、23 端口的攻擊；業(yè)務計算機及時更新漏洞補丁，如果發(fā)現(xiàn)感染勒索病毒，使用專殺工具，及時查殺；定時對重要數(shù)據(jù)進行異機備份，熟練掌握備份計算機更換。

5 總結(jié)

本文通過對三類觀測設備進行信息收集和漏洞探測，參考《OWASP IoT Top 10 2018》，分析了可能出現(xiàn)的安全隱患，根據(jù)發(fā)現(xiàn)的問題，提出了具有針對性的網(wǎng)絡安全防護方法。以遏制勒索病毒內(nèi)網(wǎng)傳播為例，網(wǎng)絡安全防護需要省市縣聯(lián)防聯(lián)動，從最基礎的終端防護，到各種安全設備信息共享，智能識別，構(gòu)建勒索病毒網(wǎng)絡安全防護體系，達到對勒索病毒攻擊進行監(jiān)控和溯源的目的；同時，將勒索病毒攻擊限制在有限的區(qū)域內(nèi)，避免全網(wǎng)攻擊，造成病毒擴散。

滲透測試是網(wǎng)絡安全防護行之有效的方法，針對不同的觀測設備，進行信息收集和漏洞探測，從而制定具體的網(wǎng)絡安全防護方法，可以有效的提高網(wǎng)絡安全防護能力，以保障觀測數(shù)據(jù)的正常采集和傳輸。