某公司安全分析

內(nèi)部資料注意封存中國某運(yùn)營商某分公司計(jì)費(fèi)與客戶服務(wù)網(wǎng)絡(luò)安全分析報(bào)告Ver1.02網(wǎng)絡(luò)分析日期：2002-07-16報(bào)告生成日期：2002-07-17/2002-07-18最后生成日期：2002-07-1820:27:00網(wǎng)絡(luò)安全分析的目標(biāo)與方法概述分析背景以及網(wǎng)絡(luò)安全分析目的網(wǎng)絡(luò)安全分析能夠?qū)ζ髽I(yè)現(xiàn)有應(yīng)用、網(wǎng)絡(luò)、主機(jī)存在的安全風(fēng)險(xiǎn)作出客觀的評(píng)價(jià)，并且為進(jìn)一步的安全性完善化過程提供有效的決策依據(jù)和檢驗(yàn)標(biāo)準(zhǔn)。網(wǎng)絡(luò)安全分析通過平衡企業(yè)應(yīng)用需要和網(wǎng)絡(luò)安全整體架構(gòu)之間的關(guān)系，來達(dá)到最佳的網(wǎng)絡(luò)安全項(xiàng)目實(shí)施的結(jié)果。對于傳統(tǒng)的網(wǎng)絡(luò)安全項(xiàng)目而言，可能包括了防火墻、風(fēng)險(xiǎn)評(píng)估/漏洞掃描、入侵檢測系統(tǒng)、訪問控制、流量分析、防病毒系統(tǒng)、安全策略管理等部分，網(wǎng)絡(luò)安全分析將根據(jù)現(xiàn)有企業(yè)應(yīng)用環(huán)境的實(shí)際需求來決定各個(gè)網(wǎng)絡(luò)安全組成部件的重要性和部署比例。分析方法以及分析環(huán)境網(wǎng)絡(luò)安全分析方法論對于一次整體網(wǎng)絡(luò)安全分析與項(xiàng)目實(shí)施而言，有如下步驟組成：環(huán)境準(zhǔn)備(preparation)：在網(wǎng)絡(luò)安全分析之初，首先必須進(jìn)行整體分析的準(zhǔn)備，這些準(zhǔn)備工作包括計(jì)劃、分析與設(shè)計(jì)、需要進(jìn)行網(wǎng)絡(luò)安全分析的網(wǎng)絡(luò)環(huán)境的設(shè)置、網(wǎng)絡(luò)安全分析需要的硬件環(huán)境設(shè)置、參與分析人員的培訓(xùn)等步驟。計(jì)劃(Planning)：首先必須定義網(wǎng)絡(luò)安全分析的目的、目標(biāo)和項(xiàng)目進(jìn)展時(shí)間進(jìn)度安排。就網(wǎng)絡(luò)安全的目的而言,不同的企業(yè)也不盡相同,例如，面向Web應(yīng)用的企業(yè)可能對性能、吞吐量等十分關(guān)心，需要在保障安全的同時(shí)保障網(wǎng)絡(luò)的通訊效率。對于關(guān)注內(nèi)部應(yīng)用安全的企業(yè)，可能需要從主機(jī)、關(guān)鍵網(wǎng)段、權(quán)限控制等方面進(jìn)行深入安全的部署。數(shù)據(jù)獲取/基準(zhǔn)建立(Capturing/Baseline):數(shù)據(jù)獲取階段要盡力獲取現(xiàn)有網(wǎng)絡(luò)及應(yīng)用環(huán)境定義需要分析的進(jìn)展細(xì)節(jié)、需要獲取的信息的每一步驟的語義描述以及安全相關(guān)數(shù)據(jù)；所謂基準(zhǔn)建立是根據(jù)獲得的數(shù)據(jù)建立起現(xiàn)有網(wǎng)絡(luò)相關(guān)于安全以及在安全實(shí)施同時(shí)關(guān)注的企業(yè)特定的信息。逐層分析(Drilldownloadanalysis)獲得完整的數(shù)據(jù)之后，可以進(jìn)一步進(jìn)行深層的數(shù)據(jù)分析，從網(wǎng)絡(luò)安全而言，首先要保障從物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層、應(yīng)用層的安全性，其次又要兼顧用戶、系統(tǒng)、鏈路、服務(wù)的安全因素，經(jīng)過逐層分析，可以獲得確切的結(jié)果確立實(shí)際的需求。根據(jù)實(shí)際需求實(shí)施項(xiàng)目之后，我們可以進(jìn)一步采用安全分析的方法檢驗(yàn)和加強(qiáng)項(xiàng)目實(shí)施的效果，使真正成功的建立起有效的網(wǎng)絡(luò)安全構(gòu)架和系統(tǒng)。網(wǎng)絡(luò)安全分析工具特點(diǎn)Sniffer介紹Sniffer?是業(yè)界最大的安全公司NetworkAssociates的產(chǎn)品，用于對于網(wǎng)絡(luò)通訊進(jìn)行有效的記錄和分析。它通過偵聽并且捕獲所有網(wǎng)絡(luò)通訊來對整個(gè)企業(yè)的基礎(chǔ)設(shè)施及相關(guān)的安全性隱患進(jìn)行分析，以發(fā)現(xiàn)問題，改善網(wǎng)絡(luò)安全和加速實(shí)施。Sniffer的基本用戶應(yīng)該具有MicrosoftWindows操作系統(tǒng)和客戶應(yīng)用程序和網(wǎng)絡(luò)管理的知識(shí)，高級(jí)用戶將可以利用編程語言(C++和VBScript)來修改、增強(qiáng)分析腳本和協(xié)議擴(kuò)展。Sniffer及其強(qiáng)大的引擎可以捕獲通訊并執(zhí)行下列功能：過濾Sniffer具備強(qiáng)大的過濾功能。過濾功能允許一個(gè)網(wǎng)絡(luò)管理員將精力集中于網(wǎng)絡(luò)直至比特層。通過定義過濾器，網(wǎng)絡(luò)管理員可以快速縮減特定問題的監(jiān)視范圍。捕獲Sniffer不僅可以檢查網(wǎng)絡(luò)中的每一個(gè)信息包，還可以存儲(chǔ)和捕獲追蹤文件。當(dāng)利用這些捕獲的追蹤文件時(shí)，法律技巧就可以提供足夠的證據(jù)來識(shí)別供給者或安全事件是否已經(jīng)發(fā)生。協(xié)議解碼Sniffer可以對范圍廣泛的協(xié)議進(jìn)行解碼。Sniffer能夠解碼OSI模型上所有七層的協(xié)議。例如，Sniffer可以對路由協(xié)議比如OSPF以及HTTP等應(yīng)用協(xié)議進(jìn)行解碼。廣泛的解碼覆蓋率允許Sniffer處理任何攻擊者試圖采用的協(xié)議類型。監(jiān)控Sniffer提供快速有效的界面以監(jiān)控網(wǎng)絡(luò)上通訊的主機(jī)、通訊協(xié)議的使用情況、通訊狀態(tài)和通訊會(huì)話的現(xiàn)狀等，并且集中了長稱日志紀(jì)錄、網(wǎng)絡(luò)資源信息管理、節(jié)點(diǎn)發(fā)現(xiàn)等功能。對于網(wǎng)絡(luò)安全分析中不可缺少的ping、whois、traceroute等基本操作工具，在Sniffer中也提供了相應(yīng)的圖形化版本。某運(yùn)營商網(wǎng)絡(luò)概況中國某運(yùn)營商有限公司某省分公司（簡稱某省某運(yùn)營商）是中國某運(yùn)營商有限公司（簡稱中國某運(yùn)營商）在某省市的分支機(jī)構(gòu)。主要承擔(dān)某省地區(qū)某運(yùn)營商電信網(wǎng)發(fā)展規(guī)劃、工程建設(shè)、網(wǎng)絡(luò)運(yùn)維、業(yè)務(wù)經(jīng)營等任務(wù)。接受某省市通信管理局和某省市人民政府信息化辦公室指導(dǎo)。某省某運(yùn)營商以國際上市公司和建設(shè)現(xiàn)代企業(yè)制度的要求致力于管理水平的提高，1999年10月某省某運(yùn)營商GSM移動(dòng)通信系統(tǒng)通過了ISO9002質(zhì)量體系認(rèn)證，2000年復(fù)審合格。2000年度被中國質(zhì)量管理協(xié)會(huì)用戶委員會(huì)授予全國60家"2000年度用戶滿意企業(yè)"之一。經(jīng)過五年分階段擴(kuò)容，某省某運(yùn)營商目前已建成三個(gè)交換中心，網(wǎng)絡(luò)容量達(dá)到83萬門，520個(gè)基站，光纖傳輸網(wǎng)近2000公里。2000年開始，規(guī)劃建設(shè)了先進(jìn)的混合式900M／1800M雙頻網(wǎng)絡(luò)，投入使用后使通話質(zhì)量有了較大提高，大部分指標(biāo)已優(yōu)于同類網(wǎng)的水平，現(xiàn)在的某運(yùn)營商更在進(jìn)一步推廣CDMA網(wǎng)絡(luò)，給廣大用戶帶來更加清晰的話質(zhì)和環(huán)保的通話環(huán)境。對于某運(yùn)營商整體發(fā)展而言，計(jì)費(fèi)系統(tǒng)與客戶服務(wù)部門是十分重要的，其直接關(guān)系到用戶對于某運(yùn)營商某省分公司的信賴與滿意度。在此，無論是網(wǎng)絡(luò)建設(shè)或者是網(wǎng)絡(luò)安全的建設(shè)都將圍繞更好的提供長久、快捷、穩(wěn)定的計(jì)費(fèi)與客戶服務(wù)為宗旨。某運(yùn)營商計(jì)費(fèi)網(wǎng)絡(luò)的特點(diǎn)是總體設(shè)計(jì)面向內(nèi)部、無顯著外部接口，專項(xiàng)應(yīng)用的安全性要求高，安全項(xiàng)目的實(shí)施應(yīng)當(dāng)首先保障以RS6000系列服務(wù)器組成的計(jì)費(fèi)計(jì)算環(huán)境以及Cisco6509為主的骨干交換網(wǎng)絡(luò)。其網(wǎng)絡(luò)環(huán)境中還包括了諸如HP服務(wù)器、Sun工作站以及諸多前置機(jī)等網(wǎng)絡(luò)與通訊部件。某運(yùn)營商計(jì)費(fèi)網(wǎng)絡(luò)的大致示意圖如下根據(jù)上述網(wǎng)絡(luò)結(jié)構(gòu)中，我們首先采用Sniffer進(jìn)行接入到主干交換機(jī)VLAN2上，進(jìn)行建立地址簿的操作，以獲得最詳盡的網(wǎng)絡(luò)拓?fù)湫畔?。然后通過Sniffer的監(jiān)控功能，獲得基本情況如下：交換機(jī)A():平均端口吞吐率為48%，每秒平均轉(zhuǎn)發(fā)數(shù)據(jù)包12300個(gè)左右。交換機(jī)B()：平均端口吞吐量<1%，每秒平均轉(zhuǎn)發(fā)數(shù)據(jù)包400個(gè)左右。在實(shí)際接入分析中，我們發(fā)現(xiàn)了基于UDP端口6178、6255、60999、58358、58359的不少通訊量。由于并非標(biāo)準(zhǔn)通訊協(xié)議，為了便于深入分析，暫定名基于UDP6178的通訊為Unicom_APP1，基于UDP6255端口的通訊為6255，60999UDP為Unicom_APP3，由于58358/58359的通訊緊密結(jié)合，因此分別暫定名為Unicom_APP4a/Unicom_APP4b由此，獲得通訊協(xié)議分布圖如下由此可以看到Oracle數(shù)據(jù)庫的通訊設(shè)計(jì)了85%以上的通訊量，在某運(yùn)營商的這個(gè)網(wǎng)絡(luò)當(dāng)中，Oracle的數(shù)據(jù)通訊安全保障將是重中之重。通訊量占第二位的是Unicom_APP4a/b，也就是基于UDP端口53858/53859的數(shù)據(jù)通訊，同樣，這一應(yīng)用的安全性和穩(wěn)定性同樣將是網(wǎng)絡(luò)安全部署的重點(diǎn)之一。進(jìn)一步分析以上數(shù)據(jù)可以發(fā)現(xiàn)，該網(wǎng)絡(luò)中還包括了IBMCICS的通訊數(shù)據(jù)、FTP的文件傳輸控制、SNMP的簡單網(wǎng)管請求、Telnet的遠(yuǎn)程終端訪問以及少量的NetBIOS文件共享訪問流量。我們再進(jìn)一步的關(guān)聯(lián)相應(yīng)協(xié)議通訊和主機(jī)之間的關(guān)系可以非常明確地發(fā)現(xiàn)，網(wǎng)絡(luò)中84.77%的通訊量存在于50與6這兩臺(tái)主機(jī)之間。而95%的網(wǎng)絡(luò)通訊發(fā)生在50/6/48這三臺(tái)主機(jī)之間。我們需要進(jìn)行重點(diǎn)安全防護(hù)的主機(jī)昭然若現(xiàn)。初步分析了主機(jī)防護(hù)的策略之后，我們進(jìn)一步通過Sniffer查看網(wǎng)絡(luò)，在這個(gè)網(wǎng)絡(luò)中，存在以下子網(wǎng)的通訊：毋庸置疑，主要的通訊發(fā)生在內(nèi)部，而整個(gè)網(wǎng)絡(luò)中除了130.31.x.0的網(wǎng)絡(luò)通訊之外，還存在網(wǎng)段、網(wǎng)段、網(wǎng)段、網(wǎng)段、網(wǎng)段和等網(wǎng)段。需要鑒別其中的可能存在隱患的網(wǎng)段，以便確認(rèn)進(jìn)一步進(jìn)行安全部署需要設(shè)計(jì)的方面。甄別網(wǎng)絡(luò)隱患：威脅#1.OracleOracle數(shù)據(jù)庫在網(wǎng)絡(luò)上傳輸使用到了TCP1521端口的通訊，在其網(wǎng)絡(luò)傳輸之上，封裝了Oracle的TNS會(huì)話協(xié)議，該協(xié)議能夠用于傳輸、控制Oracle的數(shù)據(jù)通訊。Sniffer能夠完整的解析OracleTNS協(xié)議。對于Oracle而言，由于今年初被聯(lián)系發(fā)現(xiàn)9個(gè)漏洞在Oracle服務(wù)中，造成Oracle的數(shù)據(jù)安全成為至關(guān)緊要的一部分。同時(shí)，根據(jù)NewGroup統(tǒng)計(jì)，對數(shù)據(jù)庫的直接攻擊也已經(jīng)成為諸多攻擊、人為失誤中主要的一部分，專門供給數(shù)據(jù)庫的蠕蟲SQLsnake也已經(jīng)出現(xiàn)。Oracle數(shù)據(jù)庫的安危直接影響了某運(yùn)營商整體計(jì)費(fèi)系統(tǒng)的運(yùn)行，我們可以采用防火墻等諸多手段來加強(qiáng)數(shù)據(jù)庫的保護(hù)，在Sniffer中，我們也可以開啟相應(yīng)的數(shù)據(jù)庫安全專家系統(tǒng)的選項(xiàng)，加強(qiáng)對數(shù)據(jù)庫安全的保護(hù)。威脅#2.口令威脅與FTP通訊FTP通訊是廣泛使用的協(xié)議之一，其采用TCP21+20/隨機(jī)端口實(shí)現(xiàn)其通訊機(jī)制。在某運(yùn)營商網(wǎng)絡(luò)當(dāng)中存在一定量的FTP通訊，主要是48、、54等提供ftp服務(wù)，由于FTP采用明文傳輸用戶名與密碼，其在內(nèi)部網(wǎng)絡(luò)上通信傳輸?shù)陌踩档藐P(guān)注：顯而易見，相應(yīng)的用戶名和密碼以明文方式傳輸，客戶端及網(wǎng)絡(luò)通訊的口令安全將直接威脅到相應(yīng)主機(jī)的安全保障。并且在很多通訊中可以通過Sniffer發(fā)現(xiàn)非常多的FTP通訊中使用到了相同的用戶名及密碼，從方便性而言，使用人員可以非常容易記憶，然而這是從長期角度會(huì)持續(xù)影響安全的重要隱患。通過Sniffer還可以發(fā)現(xiàn)在某運(yùn)營商網(wǎng)絡(luò)中還存在有SNMP/POP3/NFS/NETBios/RPC等通訊。與FTP相同，POP3、SNMP等同樣有明文密碼的威脅。進(jìn)一步對比SANS協(xié)會(huì)和FBI共同公布的報(bào)告，可以發(fā)現(xiàn)存在的第三個(gè)主要隱患：威脅#3.常見高風(fēng)險(xiǎn)漏洞下表中包括了SANS協(xié)會(huì)和FBI合作，在2001年10月共同發(fā)布了威脅最大的前二十個(gè)計(jì)算機(jī)漏洞。并且在之后幾列當(dāng)中指出了可以針對這二十種威脅最大的常見漏洞采取的措施。網(wǎng)絡(luò)IDS主機(jī)IDS漏洞評(píng)估攻擊類型防火墻Sniffer操作系統(tǒng)和應(yīng)用的默認(rèn)安裝無口令或口令保密性差的帳戶不存在或不完整的日志XXX開放端口過多不存在或不完整的記錄存在缺陷的CGI程序Unicode漏洞(Web服務(wù)器文件夾遍歷)ISAPI擴(kuò)充緩沖器溢出使用IISRDS(Microsoft遠(yuǎn)程數(shù)據(jù)服務(wù))NETBIOS–無保護(hù)的Windows網(wǎng)絡(luò)共享空會(huì)話連接導(dǎo)致的信息泄漏XXXXXXXXXXXXXXXXSAM中的弱散列法(LM序列)RPC服務(wù)中的緩沖器溢出Sendmail服務(wù)中的漏洞Bind服務(wù)的缺陷R命令(Rlogon,rsh,rcp)LPD(遠(yuǎn)程打印協(xié)議程序)Sadmind與mountdXXXXXXXXXXXXXXXXXXXX默認(rèn)SNMP串無過濾包被用來更正進(jìn)出的地址X插圖：利用Sniffer分析和發(fā)現(xiàn)R系列服務(wù)的問題在此，我們必須指出這些最高威脅的常見漏洞為每一個(gè)熟悉網(wǎng)絡(luò)及安全的人士所了解，采取必要手段對這些相關(guān)的漏洞進(jìn)行安全加強(qiáng)和防護(hù)將是進(jìn)一步安全措施的基本。我們可以在Sniffer里加強(qiáng)對于相關(guān)漏洞威脅的安全控制，這一點(diǎn)也被IDC在2002年的報(bào)告中強(qiáng)調(diào)，Sniffer是網(wǎng)絡(luò)控制與網(wǎng)絡(luò)流量管理方面市場份額占有量最高的產(chǎn)品。我們同樣建議配合風(fēng)險(xiǎn)評(píng)估工具與防火墻產(chǎn)品增加整體網(wǎng)絡(luò)的安全系數(shù)。在某運(yùn)營商網(wǎng)絡(luò)中簡短的分析還發(fā)現(xiàn)有第四個(gè)威脅直接影響到整個(gè)網(wǎng)絡(luò)。威脅#4拒絕服務(wù)(DenialOfService)對于某運(yùn)營商計(jì)費(fèi)網(wǎng)段，由于本身是一個(gè)完整的內(nèi)部網(wǎng)絡(luò)，不存在明顯的外部接口,因此對于整個(gè)網(wǎng)絡(luò)的主機(jī)本身保護(hù)不強(qiáng)。例如，相關(guān)的操作系統(tǒng)AIX,Solaris等都沒有更新最新的安全修補(bǔ)，這本身不會(huì)有太大隱患，因?yàn)椴⒉粫?huì)有太多機(jī)會(huì)從外部發(fā)生利用漏洞的攻擊。然而，對于安裝Windows的主機(jī)就會(huì)遇到另外一種威脅：病毒。病毒技術(shù)的發(fā)展從上個(gè)世紀(jì)80年代末期至今已經(jīng)發(fā)展了四代，現(xiàn)在的主流病毒技術(shù)被稱為混合型病毒，其傳播的速度、攻擊目標(biāo)的廣泛令人嘆為觀止。因此一旦因?yàn)槿魏卧蚰骋慌_(tái)客戶端主機(jī)感染了混合型蠕蟲病毒之后，將會(huì)迅速蔓延之全網(wǎng)。最新發(fā)現(xiàn)的混合型蠕蟲病毒能夠攻擊默認(rèn)安裝的MicrosoftWindows95/98/ME/NT/2000/XP等操作系統(tǒng)，有些甚至能夠利用數(shù)據(jù)庫/ICQ/IE等漏洞進(jìn)行傳播。在一些病毒案例中，例如CodeRed，在小規(guī)模內(nèi)部網(wǎng)絡(luò)中傳播時(shí)，可以造成路由器癱瘓等現(xiàn)象。這些攻擊由于在內(nèi)部網(wǎng)絡(luò)中產(chǎn)生和擴(kuò)展，并不會(huì)顯式造成信息泄漏等其他企業(yè)容易遇到的威脅，而真正的威脅在于對網(wǎng)絡(luò)正常運(yùn)營，以及主機(jī)正常通訊的破壞，造成網(wǎng)絡(luò)癱瘓、主機(jī)宕機(jī)的災(zāi)難性后果，這種現(xiàn)象被稱為拒絕服務(wù)。加強(qiáng)網(wǎng)絡(luò)、主機(jī)抵抗拒絕服務(wù)威脅的能力，并且建立一個(gè)行之有效的緊急修復(fù)的方法，是針對這一類問題的主要對策。綜合NetworkAssociates另一部門McAfee的豐富經(jīng)驗(yàn)和先進(jìn)技術(shù)，Sniffer可以非常有效的早期定位、預(yù)警絕大多數(shù)拒絕服務(wù)的產(chǎn)生。當(dāng)然，在關(guān)注所有直接威脅網(wǎng)絡(luò)的安全問題的同時(shí)，我們也必須帶有一定的前瞻性進(jìn)行網(wǎng)絡(luò)安全的建設(shè)。威脅5:未知問題和新技術(shù)帶來的衍生問題對于某運(yùn)營商計(jì)費(fèi)網(wǎng)絡(luò)而言，其本身已經(jīng)考慮到了關(guān)于網(wǎng)絡(luò)安全建設(shè)的一些重點(diǎn)，然而網(wǎng)絡(luò)安全的防范本身就帶有很大的偶然性和可變化性，因此在網(wǎng)絡(luò)安全項(xiàng)目建設(shè)中，我們必須具備足夠的前瞻性，這也是所謂防患未然、未雨綢繆?，F(xiàn)代的位置問題主要會(huì)發(fā)生在幾個(gè)方面，第一是新的操作系統(tǒng)及應(yīng)用系統(tǒng)漏洞的發(fā)現(xiàn)；其二是新技術(shù)衍生之后產(chǎn)生原先網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全的死角。針對于前者，我們可以采取有效的新聞追蹤，漏洞修補(bǔ)等策略，也可以通過外包服務(wù)等手段完成。而對于后者，我們很難預(yù)料，諸如WirelessLAN802.11b，甚或藍(lán)牙技術(shù)、GPRS、CDMA20001x等網(wǎng)絡(luò)連接都可能隨時(shí)把現(xiàn)有網(wǎng)絡(luò)與其他網(wǎng)絡(luò)連接起來，包括