滲透測試環境是為安全專業人員測試自己的專業技能和工具提供合法的環境解決滲透測試人員滲透效率慢、技能提升慢、真實環境易報錯和復現難等多種問題而衍生的一種環境,其搭建步驟如下:
搭建虛擬機
下載安裝虛擬機并安裝Windows10,Server2003等系統。
配置漏洞靶機
尋找并配置有漏洞的靶機在虛擬機中,這里以dvwa這個靶機為例。
下載安裝Kali
下載安裝Kali,kali是一個基于Debian的功能強大的滲透測試平臺。
安裝滲透測試工具
可以在本機中安裝一些漏洞掃描軟件和一些滲透工具,這里以AWVS為例。
畸形報文攻擊有以下這些攻擊手段:
SMURF攻擊:SMURF攻擊方法事發ICMP請求,請求包的目標地址設置為受害網絡的廣播地址,這樣該網絡的所有主機都對此ICMP應答請求做出答復,導致網絡擁塞。
LAND 攻擊:把TCP的源地址和目標地址都設置成一個受害者IP地址,這將導致受害者向他自己的地址發送SYN-ACK消息,結果這個地址又發回ACK消息并創建一個空連接,占用系統資源或使目的主機崩潰。
Fraggle 攻擊:Fraggle類似smurf攻擊,使用UDP應答消息而非ICMP,udp端口7和端口19在收到UDP報文后,大量無用的應答報文,沾滿網絡帶寬。
IP Fragment攻擊:IP報文中有幾個字段跟分片有關DF位、MF位,Fragment Offset、Length。如果上述字段的值出現矛盾,而設備處理不當,會對設備造成一定的影響,設置癱瘓。
IP spoofing攻擊:為了獲得訪問權,或隱藏入侵者身份信息,入侵者生成帶有偽造源地址的報文。
Ping of death攻擊:ip報文的長度字段為16位,這表明IP報文的最大長度位65535,ping of death利用一些超大尺寸的ICMP報文對系統進行的一種攻擊。
預防畸形報文攻擊的方法有以下這些:
檢查ICMP應答請求包的目的地址是否為子網廣播地址或子網的網絡地址,若是,則直接拒絕,并將攻擊記錄到日志。
對每一個ip報文進行檢測,若其源地址與目的地址相同,或者源地址位環回地址(127.0.0.1),則直接拒絕,并將攻擊記錄到日志中。
檢查進入防火墻的UDP報文,如果目的端口號7或者19,則直接拒絕,并將攻擊記錄到日志,負責允許通過。
檢查IP報文中與分片有關的字段是否有矛盾,若發現有如下矛盾,則直接丟棄。將攻擊記錄。
檢測每個接口流入的ip報文的源地址和目的地址,并對報文的源地址反查路由表,入接口與以該IP地址為目的地址的最佳出接口不相同的ip報文視為IP spoofing攻擊,將被拒絕,并進行記錄。
檢測ICMP請求報文長度是否超過65535kb。
基于屏蔽子網的防火墻結構的特點如下:
應用代理位于被屏蔽子網中,內部網絡向外公開的服務器也放在被屏蔽子網中,外部網絡只能訪問被屏蔽子網,不能直接進入內部網絡。
兩個屏蔽路由器,位于堡壘主機的兩端,一端連接內網,一端連接外網。
安全級別最高。
成本高,配置復雜。
系統漏洞掃描工具主要是幫助系統管理員發現所維護的Web服務器的各種TCP端口的分配、提供的服務、Web服務軟件版本和這些服務及軟件呈現在Internet上的安全漏洞。從而在計算機網絡系統安全保衛戰中做到”有的放矢”,及時修補漏洞,構筑堅固的安全長城。
漏洞掃描功能如下:
定期的網絡安全自我檢測、評估;
安裝新軟件、啟動新服務后的檢查;
網絡建設和網絡改造前后的安全規劃評估和成效檢驗;
網絡承擔重要任務前的安全性測試;
網絡安全事故后的分析調查;
重大網絡安全事件前的準備;
公安、保密部門組織的安全性檢查。
按常規標準,傳統的漏洞掃描器可以分為兩種類型:主機漏洞掃描器(Host Scanner)和網絡漏洞掃描器(Network Scanner)。主機漏洞掃描器是用于在系統本地運行檢測系統漏洞程序的,如COPS、tripewire、tiger等自由軟件。網絡漏洞掃描器是指對企業網絡架構系統或者網站進行掃描的硬件設備。如Qualys等。
物聯網安全的復雜性將是另一個巨大的挑戰。物聯網中存在的復雜安全問題包括以下幾個方面。
終端節點的問題。終端節點有限的存儲、運行空間和計算能力,以及有限的能量,終端節點用來存儲、運行代碼的空間十分有限。因此節點中的軟件必須做得非常小,而節點的CPU運算能力也不能與一般的計算機相提并論。
能量問題。能量問題是終端節點性能的最大約束,一旦節點部署到網絡中,由于成本太高,是無法隨意更換和充電的,如果在節點上增加保密功能,則必須要考慮這些安全功能對能量的消耗。終端物理安全問題無法保證物聯網終端數量巨大,類型多樣,而且有些終端節點會分布在環境惡劣地區,節點的安全易受天氣影響,以及存在無人看守、缺乏完善的安全監控和維護等問題,容易導致節點的損壞和丟失。
不可靠問題。網絡的安全性在很大程度上依賴于一個界定的協議或算法,進而依賴于通信方式,但在物聯網中通信傳輸是不可靠的,無線傳輸信道的不穩定性和節點的并發通信沖突可能導致數據包的丟失或損壞,迫使開發者需要投入額外的資源進行錯誤處理。更重要的是,如果沒有合適的錯誤處理機制,則可能導致通信過程中丟失十分關鍵的安全數據包,如密鑰等。
數據真實性問題。節點的身份認證在物聯網系統的許多應用中是非常重要的,攻擊者可以通過竊聽底層節點在無線網絡中的通信數據獲取敏感信息,從而重構節點,達到偽造物聯網終端節點的目的,攻擊者可以利用偽造的節點假冒合法用戶,騙取系統的重要信息。因此,在通信過程中,只有通過身份認證才能確信消息是從正確的節點處發送過來的。
隱私泄露問題。隱私泄露常常發生在無線訪問過程中,泄露的信息通常包括位置信息、身份信息和交易信息等。這些數據關系到使用者的隱私和其他敏感數據,一旦被攻擊者獲取,使用者的隱私權將無法得到保障。因此,物聯網的安全機制應當能夠保護用戶的隱私和個人信息,同時也能夠維護經營者的商業利益,將節點導致的安全隱患擴散限制在最小范圍內。例如,在RFID(Radio Frequency Identification Devices)系統中,同物品商標可能泄露物品的信息一樣,個人攜帶的RFID標簽也會泄露個人的隱私信息,對于安全機制相對薄弱的RFID標簽,攻擊者可直接通過閱讀器提取標簽信息,并將信息進行綜合性分析,獲得個人位置和身份等重要信息。
數據完整性問題。在數據傳輸過程中,節點與信息管理平臺之間若使用無線網絡進行通信數據的交換,則面臨著被攻擊者篡改或攔截的危險,攻擊者可以通過監聽通信信道,破譯通信密鑰來獲取信息內容,從而達到自行處理數據的目的,嚴重影響通信質量,在物聯網系統中,通常會通過消息認證碼檢驗數據的完整性,消息認證碼的值會因數據的細微改變而產生較大變化,有助于確認數據的可靠性。
數據隱匿性問題。一個終端節點不應當向非法用戶泄露任何敏感信息,一個完備的安全方案必須能夠保證節點中所包含的信息僅能被合法組件識別,目前節點與組件之間的無線通信在多數情況下是不受保護的,因而未釆用安全機制的節點會泄露其中的內容和一些敏感信息。
物聯網中將獲取、傳輸、處理和存儲大量的信息,信息源和信息目的的相互關系將十分復雜;解決同樣的問題,已有的技術雖然能用,但可能不再高效,這種復雜性肯定會催生新的解決方法出現。例如,海量信息將導致現有包過濾防火墻的性能達不到要求,今后可能出現分布式防火墻或其他全新的防火墻技術。
WWW的欺騙技術是指黑客篡改訪問站點頁面內容或將用戶要瀏覽的網頁URL改寫為指向黑客自己的服務器。例如,黑客將用戶要瀏覽的網頁的URL改寫為指向黑客自己的服務器,當用戶瀏覽目標網頁時,實際上是向黑客服務器發出請求,那么黑客就可以達到欺騙的目的了。一般WWW欺騙使用兩種技術手段,一種是URL地址重寫技術,另一種是相關信息掩蓋技術。攻擊者往往在URL地址重寫的同時,利用相關信息掩蓋技術。
防范WWW欺騙攻擊的方法有以下這些:
加強網絡安全防范法律法規等方面的宣傳和教育,提高安全防范意識。
加固網絡系統,及時下載和安裝系統補丁程序。
盡量避免從互聯網上下載不知名的軟件和游戲程序。
不要隨意打開來歷不明的電子郵件及文件、運行不熟悉的人給予的程序。
不隨便運行黑客程序,很多這類程序在運行時會送出用戶的個人信息。
在支持HTML的BBS上,如發現提交警告,先看源代碼,預防騙取密碼。
設置安全密碼。使用字母數字混排,常用的密碼設置為不同的,重要密碼經常更換。
使用防病毒、防黑客等防火墻軟件,以阻擋外部網絡的侵入。
隱藏自己的IP地址。可采取的方法有:使用代理服務器進行中轉,或者直接使用工具軟件隱藏主機地址避免信息暴露而被欺騙。
切實做好端口防范。安裝端口監視程序,并將一些不用的端口關閉。
加強IE瀏覽器對網頁的安全防護。個人用戶應通過對IE屬性的設置來提高IE訪問網頁的安全性。
涉密信息系統適用范圍如下:
政府:不對外公開,需要限定部門或個人閱讀、編輯、復制、打印權限的公文、統計數據、市政規劃等。
軍隊:涉及國防安全的軍事情報、重要文件、技術前瞻性分析等保密性文檔。
知識型企業:調查報告、咨詢報告、招投標文件、研發代碼、專利等重要內容。
金融業:客戶的重要文檔,企業自身的重要文件。
制造/設計業:設計圖紙、商業計劃、財務預算等重要資料。
為了減少計算機病毒對計算機系統的破壞,應盡可能不運行來歷不明的軟件或者不進過安全軟件掃描就下載文檔。直接運行或者下載來歷不明的軟件或者文件很有可能在軟件或者文件中存在計算機病毒,而計算機病毒對系統的危害巨大且難以清除,要經常進行安全掃描,從互聯網下載軟件需先經過安全軟件的掃描后下載安裝使用。
防御計算機病毒的方法如下:
及時給系統打上補丁,設置一個安全的密碼。
安裝殺毒軟件。如果你的機器上沒有安裝病毒防護軟件,你最好還是安裝一個。如果你是一個家庭或者個人用戶,下載任何一個排名最佳的程序都相當容易,而且可以按照安裝向導進行操作。如果你在一個網絡中,首先咨詢你的網絡管理員。
定期掃描你的系統如果你剛好是第一次啟動防病毒軟件,最好讓它掃描一下你的整個系統。干凈并且無病毒問題地啟動你的電腦是很好的一件事情。通常,防病毒程都能夠設置成在計算機每次啟動時掃描系統或者在定期計劃的基礎上運行。一些程序還可以在你連接到互聯網上時在后臺掃描系統。定期掃描系統是否感染有病毒,最好成為你的習慣。
更新你的防病毒軟件 既然你安裝了病毒防護軟件,就應該確保它是最 新的。一些防病毒程序帶有自動連接到互聯網上,并且只要軟件廠商發現了一種新的威脅就會添加新的病毒探測代碼的功能。你還可以在此掃描系統查找最新的安全更新文件。
不要亂點擊鏈接和下載軟件,特別是那些網站的含有明顯錯誤的網頁.如需要下載軟件,請到正規官方網站上下載。
不要訪問無名和不熟悉的網站,防止受到惡意代碼攻擊或是惡意篡改注冊表和IE主頁。
不要陌生人和不熟悉的網友聊天,特別是那些QQ病毒攜帶者,因為他們不時自動發送消息,這也是其中毒的明顯特征。
關閉無用的應用程序,因為那些程序對系統往往會構成威脅,同時還會占用內存,降低系統運行速度。
安裝軟件時,切記莫要安裝其攜帶軟件,特別流氓軟件,一旦安裝了,想刪都刪除不了,一般都需要重裝系統才能清除。
不要輕易執行附件中的EXE和COM等可執行程序 這些附件極有可能帶有計算機病毒或是黑客程序,輕易運行,很可能帶來不可預測的結果。對于認識的朋友和陌生人發過來的電子函件中的可執行程序附件都必須檢查,確定無異后才可使用。
由于漏洞掃描會對目標站點的應用輸入點進行各類測試,發送各類有可能導致應用異常的請求,如果目標站點的設備性能不佳,難以承載約十幾人同時訪問的流量壓力,則最好與網站管理員協商在非業務時段進行掃描,或通知掃描人員降低掃描線程。
如果被掃描網站有Web 應用防火墻等防護措施,監測平臺則只能掃描評估目標站點的防護能力,如果需要檢測目標站點代碼層根源應用漏洞,則還是需要Web 應用防火墻或抗DDOS 等設備中開放平臺的掃描IP,允許其所有請求訪問網站。
等級保護對象是指網絡安全等級保護工作中的對象,通常是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統,主要包括:
基礎信息網絡
云計算平臺/系統
大數據應用/平臺/資源
物聯網
工業控制系統
采用移動互聯技術的系統等
等級保護對象根據其在國家安全、經濟建設、社會生活中的重要程度,遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等,由低到高被劃分為五個安全保護等級。
涉密信息系統分級保護方案設計的前提條件包括以下幾方面:
系統建設使用情況:要從單位業務職責、組織結構、地域分布和人員情況四方面對涉密信息系統建設使用單位的情況進行分析。分析系統建設使用單位情況可從一定程度上反映該系統屬性,如系統的涉密程度。
系統物理環境分析:需要考慮涉密信息系統所處的周邊環境,尤其要注意周邊是否存在涉外場所、商業、娛樂、旅游、餐飲、賓館等公共場所和居民區等,明確單位保衛部門能夠有效控制的邊界范圍和能夠采取的控制措施。還要掌握重要涉密部門、部位的情況。對已經備案的保密要害部門部位,應逐一落實所處位置。對于確保系統正常運行的重要部位,如機房、配線間等,要加以詳細說明。
網絡平臺分析:需要描述網絡覆蓋范圍、網絡拓撲結構、系統邊界與安全域現狀和線纜、設備隔離情況等。
軟硬件分析:系統內使用的硬件資源包括服務器、用戶終端、傳輸介質、網絡設備、安全保密設備以及其他用于系統支撐保障、辦公自動化業務、特殊業務用途的硬件設備。應重點關注設備的安全保密性能,對設備的生產廠商、產品型號、資質證明、選用數量、主要用途、存儲信息的密級、安全責任人、使用對象等情況必須完全掌握。
信息資源與應用系統分析:對信息資源分析時,需將所有信息類別加以列舉,明確信息在系統內產生、存儲、處理、傳輸、歸檔和銷毀等生命周期內的變化情況。通過對信息資源種類、信息密級、數量、增長趨勢、信息來源、存儲策略、用戶范圍、訪問權限、傳輸策略、消除或銷毀策略的描述,明確涉密信息的保護重點。
系統管理分析:對于每個應用系統,都應列出負責管理的機構及其管理職責;對于每個參與涉密信息系統管理的人員,特別是管理機構負責人、系統管理員、安全保密管理員、安全審計員、密鑰管理員等,需結合建設使用單位的安全保密管理制度,落實管理職責、管理權限。
網絡物理層的主要作用如下:
構建數據通路:數據通路就是完整的數據傳輸通道,可以是一段物理介質,也可以是由多段物理介質連接而成的。一次完整的數據傳輸,包括激活物理連接、傳送數據、終止物理連接三個主要階段。所謂激活物理連接,就是不管有多少段物理介質參與,在通信的兩個數據終端設備間都要在電氣上連接起來,形成一條可以在上面連續傳輸數據的通路。
透明傳輸:物理層中可用的傳輸介質類型(如不同類型的同軸電纜、雙絞線和光纖等)非常多,各自又有相應的通信協議和標準來支持,這就決定了不同的計算機網絡可能有不同的路。物理層除了要把這些不同的路修好外,還要確保這些不同的路能連通起來,形成通路,最終實現把比特流傳輸到對端物理層,然后向數據鏈路層提交的目的。
傳輸數據:無論是從網絡體系結構中哪層發起的通信,最終的數據都得通過最低的物理層傳輸出去,因為這是網絡通信的唯一物理通道。但物理層的傳輸單位是比特(bit,也就是位,數據中的一個二進制的0或1就代表1位)。物理層的基本作用是在發送端通過物理層接口和傳輸介質將數據按比特流的順序傳送到接收端的物理層。
數據編碼:要使數據能在物理層上有效、可靠地傳輸,最關鍵的是要確保數據比特流能在對應的信道中正常通過。這就涉及物理層的數據編碼功能,因為不同傳輸介質所支持的數據編碼類型不一樣(如歸零碼、非歸零碼、曼徹斯特碼、差分曼徹斯特碼等)。
數據傳輸管理:物理層還具有一定的數據傳輸管理功能,如基于比特流的數據傳輸流量控制、差錯控制、物理線路的激活和釋放等。
云服務中的角色有以下安全職責:
用戶:用戶需要由安全云服務協同和安全云服務管理兩方面支持云計算安全。安全云服務協同是系統組件的一種組合,支持云服務提供商對計算資源進行部署、協調與管理,為用戶提供安全的云服務。安全云服務協同是一個過程,需要所有的云參與者通力合作,基于云服務類型與部署模型不同程度地實現各自的安全職責。
云服務提供商:根據云服務提供商的服務范圍與實施的活動,云服務提供商的架構組件為安全云服務管理、安全云服務協同。由于安全與隱私保護、數據內容管理、服務級別協議(SLA)等是跨組件的,因此云計算安全參考架構模型將云服務提供商的安全活動交錯分布到所有的組件,覆蓋了云服務提供商負責的全部領域,并且將安全性嵌入與云服務提供商有關的全部架構組件中。另外,云部署方式作為云服務的一部分,直接與云服務提供商提供的服務相關。
云代理者:云代理者是管理云服務的使用、性能與交付,并協調云服務提供商與用戶之間關系的實體。云計算安全參考架構模型中強調了兩種類型的云代理者:技術代理者與業務代理者。在實踐中,技術代理者用于保護用戶的數據遷移到云的安全組件集(與提供類似服務的中介服務商所使用的安全組件集相同);業務代理者提供業務與關系支持服務(如安全服務仲裁與安全服務中介)。與技術代理者相反,業務代理者不接觸任何用戶在云中的數據、操作過程與其他組件。
云審計者:云審計者是對云服務、信息系統運維、性能、隱私影響、安全等進行獨立審計的云參與者。云審計者可為任何其他云參與者執行各類審計。云審計者中的安全審計環境可確保以安全與可信的方式從責任方收集目標證據。通常,云審計者可用的安全組件與相關的控制措施獨立于云服務模式與/或被審計的云參與者。
云基礎網絡運營者:云基礎網絡運營者是提供云服務連接與傳輸的云參與者。從用戶角度來看,用戶與云服務提供商或云代理者有更為直接的關系。除非云服務提供商或云代理者同時充當云基礎網絡運營者的角色,否則云基礎網絡運營者的角色將不會被用戶注意到。因此,為履行合同義務并滿足指定的服務要求,云基礎網絡運營者應對云服務提供商與云代理者的云服務提供安全傳輸支持。雖然云基礎網絡運營者具有安全服務管理功能,如保證安全的服務交付以及滿足用戶的安全需求,但這些功能并不直接提供給用戶。
DREAD威脅模型中將威脅分為以下這些:
潛在損害威脅(Damage):威脅轉化為安全攻擊時可能造成的損害。就網絡物理系統來說,損害可能是數據泄露、環境破壞、人身傷害等。
再現性威脅(Reproducibility):衡量特定威脅成功變為攻擊的頻率,易再現的威脅更可能被利用。
可利用性威脅(Exploitability):評估啟動漏洞利用所需的工作量、經濟投入和專業知識,僅需低水平技能和經驗的威脅比那些需要高級技能人員和高昂費用的威脅更容易被利用。就IIoT而言,攻擊通常涉及高度的復雜性和專業知識。如果工業威脅被遠程利用,那么它比本地的、物理訪問和特殊憑據的漏洞利用更具可利用性。
受影響的用戶威脅(Affected user):可能受攻擊影響的用戶數量是威脅優先級的衡量因素,其可以擴展為包括受攻擊影響的設備和資產的數量。
可發現性威脅(Discoverability):漏洞可以被利用的可能性,指系統或者服務器原有的漏洞被發現從而被攻擊者所利用。
滲透測試有以下這些類型:
黑盒測試:黑盒測試(Black-box Testing)也稱為外部測試(External Testing)。采用這種方式時,滲透測試團隊將從一個遠程網絡位置來評估目標網絡基礎設施,并沒有任何目標網絡內部拓撲等相關信息,他們完全模擬真實網絡環境中的外部攻擊者,采用流行的攻擊技術與工具,有組織有步驟地對目標組織進行逐步的滲透與入侵,揭示目標網絡中一些已知或未知的安全漏洞,并評估這些漏洞能否被利用獲取控制權或造成業務資產的損失。
白盒測試:白盒測試(White-box Testing)也稱為內部測試(Internal Testing)。進行白盒測試的團隊將可以了解到關于目標環境的所有內部與底層知識,因此這可以讓滲透測試者以最小的代價發現和驗證系統中最嚴重的安全漏洞。如果實施到位,白盒測試能夠比黑盒測試消除更多的目標基礎設施環境中的安全漏洞與弱點,從而給客戶組織帶來更大的價值。
灰盒測試:以上兩種滲透測試基本類型的組合可以提供對目標系統更加深入和全面的安全審查,這就是灰盒測試(Grey-box Testing),組合之后的好處就是能夠同時發揮兩種基本類型滲透測試方法的各自優勢。灰盒測試需要滲透測試者能夠根據對目標系統所掌握的有限知識與信息,來選擇評估整體安全性的最佳途徑。在采用灰盒測試方法的外部滲透場景中,滲透測試者也類似地需要從外部逐步滲透進入目標網絡,但他所擁有的目標網絡底層拓撲與架構將有助于更好地決策攻擊途徑與方法,從而達到更好的滲透測試效果。
主機操作系統滲透測試:對Windows、Solaris、AIX、Linux、SCO、SGI等操作系統本身進行滲透測試。
數據庫系統滲透測試:對MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等數據庫應用系統進行滲透測試。
應用系統滲透測試:對滲透目標提供的各種應用,如ASP、CGI、JSP、PHP等組成的WWW應用進行滲透測試。
網絡設備滲透測試:對各種防火墻、入侵檢測系統、網絡設備進行滲透測試。
