【文章內(nèi)容簡介】 絕服務(wù)攻擊。路由器：cisco IOS Web 配置接口安全認(rèn)證可繞過，路由器交換機(jī)采用默認(rèn)密碼或弱密碼等。（三）應(yīng)用層安全該層的安全考慮網(wǎng)絡(luò)對用戶提供服務(wù)器所采用的應(yīng)用軟件和數(shù)據(jù)的安全性，包括：數(shù)據(jù)庫軟件、WEB 服務(wù)、電子郵件、域名系統(tǒng)、應(yīng)用系統(tǒng)、業(yè)務(wù)應(yīng)用軟件以及其它網(wǎng)絡(luò)服務(wù)系統(tǒng)等。數(shù)據(jù)庫軟件：Oracle Tnslsnr 沒有配置口令，MSSQL 2022 sa 帳號沒有設(shè)置密碼。WEB 服務(wù)：SQL 注入攻擊、跨站腳本攻擊、基于 WEB 的 DOS 攻擊。電子郵件系統(tǒng)：Sendmail 頭處理遠(yuǎn)程溢出漏洞，Microsoft Windows 2022 SMTP 服務(wù)認(rèn)證錯誤漏洞。為了確保掃描的可靠性和安全性，首先制定掃描計劃。計劃主要包括掃描開始時間、掃描對象、預(yù)計結(jié)束時間、掃描項目、預(yù)期影響、需要對方提供的支持等等。在實際開始評估掃描時，評估方會正式通知項目組成員。奧怡軒按照預(yù)定計劃，在規(guī)定時間內(nèi)進(jìn)行并完成評估工作。如遇到特殊情況（如設(shè)備問題、停電、網(wǎng)絡(luò)中斷等不可預(yù)知的狀況）不能按時完成掃描計劃或致使掃描無法正常進(jìn)行時，由雙方召開臨時協(xié)調(diào)會協(xié)商予以解決。 人工安全檢查安全掃描是使用風(fēng)險評估工具對絕大多數(shù)評估范圍內(nèi)主機(jī)、網(wǎng)絡(luò)設(shè)備等系統(tǒng)環(huán)境進(jìn)行的漏洞掃描。但是，評估范圍內(nèi)的網(wǎng)絡(luò)設(shè)備安全策略的弱點和部分主機(jī)的安全配置錯誤等并不能被掃描器全面發(fā)現(xiàn)，因此有必要對評估工具掃描范圍之外的系統(tǒng)和設(shè)備進(jìn)行手工檢查。路由器的安全檢查主要考慮以下幾個方面：? 帳號口令? 網(wǎng)絡(luò)與服務(wù).. . . ..學(xué)習(xí)參考? 訪問控制策略? 日志審核策略? 空閑端口控制交換機(jī)的安全檢查主要考慮以下幾個方面：? 帳號口令? 網(wǎng)絡(luò)與服務(wù)? VLAN 的劃分主機(jī)的安全檢查主要考慮以下幾個方面：? 補(bǔ)丁安裝情況? 帳號、口令策略? 網(wǎng)絡(luò)與服務(wù)檢查? 文件系統(tǒng)檢查? 日志審核檢查? 安全性檢查1） 安全掃描此階段通過技術(shù)手段評估系統(tǒng)中的漏洞。對撐握整個被評估系統(tǒng)的安全狀態(tài)提供重要數(shù)據(jù)。被掃描的系統(tǒng)有：? Windows 系統(tǒng)? Linux 系統(tǒng)? Unix 客服熱線系統(tǒng)在安全掃描階段使用的主要工具有：? Inter Scanner? NESSUS? Acuix Web Vulnerability Scanner掃描過程中可能會導(dǎo)致某些服務(wù)中斷，雙方應(yīng)該事先做好協(xié)調(diào)工作，并做好應(yīng)急處理方案，在發(fā)現(xiàn)問題后及時上報，并及時恢復(fù)系統(tǒng)的運(yùn)行。 安全策略評估安全策略是對整個網(wǎng)絡(luò)在安全控制、安全管理、安全使用等方面最全面、最詳細(xì)的策.. . . ..學(xué)習(xí)參考略性描述，它是整個網(wǎng)絡(luò)安全的依據(jù)。不同的網(wǎng)絡(luò)需要不同的策略，它必須能回答整個網(wǎng)絡(luò)中與安全相關(guān)的所有問題，例如，如何在網(wǎng)絡(luò)層實現(xiàn)安全性、如何控制遠(yuǎn)程用戶訪問的安全性、在廣域網(wǎng)上的數(shù)據(jù)傳輸如何實現(xiàn)安全加密傳輸和用戶的認(rèn)證等。對這些問題幫出詳細(xì)回答，并確定相應(yīng)的防護(hù)手段和實施方法，就是針對整個網(wǎng)絡(luò)的一份完整的安全策略。策略一旦制度，應(yīng)做為整個網(wǎng)絡(luò)行為的準(zhǔn)則。這一步工作，就是從整體網(wǎng)絡(luò)安全的角度對現(xiàn)有的網(wǎng)絡(luò)安全策略進(jìn)行全局的評估，它也包含了技術(shù)和管理方面的內(nèi)容，具體包括：（1）安全策略是否全面覆蓋了整體網(wǎng)絡(luò)在各方面的安全性描述；（2）在安全策略中描述的所有安全控制、管理和使用措施是否正確和有效；（3）安全策略中的每一項內(nèi)容是否都得到確認(rèn)和具體落實。 脆弱性識別 類型 識別對象 識別內(nèi)容物理環(huán)境從機(jī)房場地、防火、供配電、防靜電、接地與防雷、電磁防護(hù)、通信線路的保護(hù)、區(qū)域防護(hù)、設(shè)備管理等方面進(jìn)行識別網(wǎng)絡(luò)結(jié)構(gòu) 從網(wǎng)絡(luò)架構(gòu)設(shè)計、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識別系統(tǒng)軟件從補(bǔ)丁安裝、物理保護(hù)、用戶帳號、口令策略、資源共享、事件審計、訪問控制、新系統(tǒng)配置、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識別應(yīng)用中間件 從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進(jìn)行識別技術(shù)脆弱性應(yīng)用系統(tǒng) 從審計機(jī)制、審計存儲、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識別技術(shù)管理 從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性等方面進(jìn)行識別管理脆弱性組織管理 從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進(jìn)行識別脆弱性賦值賦值 標(biāo)識 定義5 很高 如果被威脅利用，將對資產(chǎn)造成完全損害4 高 如果被威脅利用，將對資產(chǎn)造成重大損害3 中等 如果被威脅利用，將對資產(chǎn)造成一般損害2 低 如果被威脅利用，將對資產(chǎn)造成較小損害1 很低 如果被威脅利用，將對資產(chǎn)造成的損害可以忽略.. . . ..學(xué)習(xí)參考五、網(wǎng)絡(luò)威脅響應(yīng)機(jī)制評估防火墻稱得上是安全防護(hù)的防線，防火墻對于企業(yè)網(wǎng)絡(luò)的安全，已經(jīng)無法實施 100%的控制，對于合法內(nèi)容中混入的可疑流量、DoS 攻擊、蠕蟲病毒、間諜軟件等威脅，幾乎沒有有效的反擊措施，入侵檢測與防御系統(tǒng)進(jìn)行檢測網(wǎng)絡(luò)攻擊，與防火墻進(jìn)行聯(lián)動。利用現(xiàn)有的入侵檢測防御系統(tǒng)對網(wǎng)絡(luò)攻擊進(jìn)行測試，來檢驗針對網(wǎng)絡(luò)威脅的能力。 遠(yuǎn)程滲透測試滲透測試是指在獲取用戶授權(quán)后，通過真實模擬黑客使用的工具、分析方法來進(jìn)行實際的漏洞發(fā)現(xiàn)和利用的安全測試方法。這種測試方法可以非常有效地發(fā)現(xiàn)最嚴(yán)重的安全漏洞，尤其是與全面的代碼審計相比，其使用的時間更短，也更有效率。在測試過程中，用戶可以選擇滲透測試的強(qiáng)度，例如不允許測試人員對某些服務(wù)器或者應(yīng)用進(jìn)行測試或影響其正常運(yùn)行。通過對某些重點服務(wù)器進(jìn)行準(zhǔn)確、全面的測試，可以發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)，以便對危害性嚴(yán)重的漏洞及時修補(bǔ)，以免后患。奧怡軒評估小組人員進(jìn)行滲透測試都是在業(yè)務(wù)應(yīng)用空閑的時候，或者在搭建的系統(tǒng)測試環(huán)境下進(jìn)行。另外，評估方采用的測試工具和攻擊手段都在可控范圍內(nèi)，并同時充分準(zhǔn)備完善的系統(tǒng)恢復(fù)方案。網(wǎng)絡(luò)攻擊 利用工具或技術(shù)通過網(wǎng)絡(luò)對信息系統(tǒng)進(jìn)行攻擊和入侵網(wǎng)絡(luò)探測和信息采集、漏洞探測、嗅探、用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞，系統(tǒng)運(yùn)行的控制和破壞等物理攻擊 通過物理的接觸造成對軟件、硬件和數(shù)據(jù)的破壞等 物理接觸、物力破壞、盜竊等泄密 信息泄露給不應(yīng)該了解的他人 內(nèi)部信息泄露、外部信息泄露等篡改 非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降低或信息不可用 篡改網(wǎng)絡(luò)、系統(tǒng)、安全配置信息，篡改用戶身份信息和業(yè)務(wù)數(shù)據(jù)信息等抵賴 不承認(rèn)收到的信息和所作的操作、交易 原發(fā)抵賴、接受抵賴、第三方抵賴等威脅賦值賦值 標(biāo)識 定義5 很高 出現(xiàn)的頻率很高（或不少于 1 次/周） ，或在大多數(shù)情況下幾乎不可避免，或可以證實經(jīng)常發(fā)生過4 高 出現(xiàn)的頻率較高（或不少于 1 次/月） ，或在大多數(shù)情況下很有可能會發(fā)生，或可以證實多次發(fā)生過3 中等 出現(xiàn)的頻率中等（或大于 1 次/半年） ，或在某種情況下可能會發(fā)生，或被證實曾經(jīng)發(fā)生過.. . . ..學(xué)習(xí)參考2 低 出現(xiàn)的頻率較小，或一般不太可能發(fā)生，或沒有被證實發(fā)生過1 很低 威脅幾乎不可能發(fā)生，或僅可能在非常罕見或例外的情況下發(fā)生六、網(wǎng)絡(luò)安全配置均衡性風(fēng)險評估 設(shè)備配置收集核心層交換機(jī)目前的網(wǎng)絡(luò)狀態(tài)正常，在配置上也針對某些安全方面的問題進(jìn)行布置，具體情況都做了詳細(xì)的說明，以下是核心層交換機(jī)配置上的一些安全防護(hù)措施：（1）核心交換機(jī)進(jìn)入特權(quán)模式需要密碼，對它進(jìn)行了密文的設(shè)置。（2）對核心交換機(jī)的虛擬線路進(jìn)行密碼的設(shè)置，遠(yuǎn)程登錄需要輸入密碼。（3）使用 UDLD 對某些端口進(jìn)行鏈路的檢測，以減少丟包的概率。（4）在核心交換機(jī)上全局下關(guān)閉禁用 Http Server，防止非法入侵（5）全局下開啟 BpduGuard，因為核心交換機(jī)在全局下開啟 Portfast 特性.核心層交換機(jī)的穩(wěn)定性直接關(guān)系到整個網(wǎng)絡(luò)數(shù)據(jù)流量能否正常通過，核心層交換機(jī)的安全性問題自然會影響到能否一直保持穩(wěn)定的狀態(tài)，起到至關(guān)的作用，保護(hù)好核心交換機(jī)的安全問題很大原因其實是在保護(hù)核心交換機(jī)的穩(wěn)定性，做好安全防護(hù)工作，保護(hù)好核心交換機(jī)的穩(wěn)定性成為我們規(guī)則的焦點，下面是對本核心層交換機(jī)的安全防護(hù)問題進(jìn)行完善，從而提高核心層交換機(jī)的安全性。使用 SSH 來作為遠(yuǎn)程的登錄，使用 TELNET 進(jìn)行遠(yuǎn)程登錄， Tel 會話中輸入的每個字符都將會被明文發(fā)送，這將被像 Sniffer 這樣的抓包軟件獲取它的用戶名、密碼等敏感信息。因此，使用安全性更高的 SSH 加密無疑比使用 Tel 更加安全。在虛擬線路中對遠(yuǎn)程登錄的最大連接數(shù)進(jìn)行限制，默認(rèn)，一般情況下網(wǎng)絡(luò)設(shè)備會開放 515 個虛擬的連接線路，不過，不同廠商，不同型號，所開放的虛擬線路連接數(shù)也都不一樣，可以通過登錄到此設(shè)備，可以用遠(yuǎn)程登陸或本地登陸，在該設(shè)備上對配置進(jìn)行查看，再根據(jù)實際情況進(jìn)行修改；一般情況下，很多人都沒有對遠(yuǎn)程登陸范圍進(jìn)行限制，這樣使得每個人都有機(jī)會去 TELNET，這多少給了惡意用戶提供攻擊的機(jī)會，比如可以使用 SYN Flood 攻擊；它偽造一個 SYN 報文，偽造一個源地址或者不存在的地址，通過向服務(wù)器發(fā)起連接，服務(wù)器在收到報文后用 SYNACK 應(yīng)答，而此應(yīng)答發(fā)出去后，服務(wù)器就等待源發(fā)個 ACK 的確認(rèn)包過來后以完成三次握手，建立起連接，但是，攻擊者使用的源是一個不存在或是偽造.. . . ..學(xué)習(xí)參考的地址，服務(wù)器將永遠(yuǎn)不會收到攻擊者發(fā)送過來的 ACK 報文，這樣將造成一個半連接。如果攻擊者發(fā)送大量這樣的報文，會在被攻擊主機(jī)上出現(xiàn)大量的半連接，消耗所有的資源，使得正常的用戶無法對其訪問。直到半連接超時，才會慢慢釋放所有的資源，簡單一點的說，SYN Flood 利用 TCP 的三次握手來讓服務(wù)器保持 N 個半個連接數(shù)，以消耗掉服務(wù)器系統(tǒng)的內(nèi)存等資源；對遠(yuǎn)程登錄的范圍用訪問列表進(jìn)行控制，起到一定的安全性。為了防范交換機(jī)上一些惡意攻擊行為，禁用所有未用的端口，以免因為一些無知行為或誤操作，導(dǎo)致一切都無法預(yù)料的后果；比如將交換機(jī)兩個端口用網(wǎng)線直接連接，這樣將導(dǎo)致整個交換機(jī)的配置數(shù)據(jù)被清除，交換機(jī)的配置一瞬間全清空，這樣將導(dǎo)致業(yè)務(wù)中斷，如果之前有對交換機(jī)的相關(guān)配置信息進(jìn)行備份，還可以在短時間內(nèi)還原，要是沒有，只能使得網(wǎng)絡(luò)中斷的時間加長，而且，關(guān)閉端口也能在一定程度上防范惡意用戶連接此端口并協(xié)商中繼模式，當(dāng)惡意用戶連接端口，冒充成另外一臺交換機(jī)發(fā)送虛假的 DTP 協(xié)商消息，真實的交換機(jī)收到這個 DTP 消息后，比較下參數(shù)，一旦協(xié)商成中斷模式后，惡意用戶通過探測信息流，當(dāng)有流量經(jīng)過時，所有通過此交換機(jī)上所有 VLAN 信息都會被發(fā)送到惡意用戶的電腦里。為提高安全，最好把暫時不需要用到的服務(wù)都關(guān)閉掉，因為它們都很有可能成為安全漏洞，惡意用戶利用這些安全漏洞進(jìn)整個網(wǎng)絡(luò)實行攻擊等非法行為，以達(dá)到一定的目的；核心交換機(jī)的配置中已經(jīng)對 Http Server 這個服務(wù)進(jìn)行禁用，下面是一些經(jīng)常被攻擊者利用的服務(wù)，以對其進(jìn)行攻擊。建議把下面的服務(wù)也都一一禁用掉：禁用 IP 源路由no ip source route禁用小的 UDP 服務(wù)no service udpsmalls禁用小的 TCP 服務(wù)no service tcpsmalls核心交換機(jī)的作用至關(guān)重要，因為它影響到整個網(wǎng)絡(luò)的正常運(yùn)行，這里有兩種情況：第一種情況當(dāng)一臺新的交換機(jī)接入到這個網(wǎng)絡(luò)，因?qū)W(wǎng)絡(luò)拓?fù)洳皇煜ぃ渲缅e誤，使得新交換機(jī)成為根網(wǎng)橋，新交換通過宣告 VLAN 信息讓整個域的其他交換機(jī)都能學(xué)習(xí)到，這將使得整網(wǎng)流量全導(dǎo)向新交換機(jī)。第二種情況：交換機(jī)默認(rèn)都是 SERVER 模式，在這里以域中只有一臺 SERVER 模式，新交換機(jī)模式為 CLIENT，當(dāng)新的交換機(jī)加入網(wǎng)絡(luò)中，因為它的修訂版本號比較高，這里的修訂版本號用來標(biāo)識交換機(jī)的更新信息，修改版本號越高，它的