|
|
大概在一年前,SANS研究所和国家基础设施保护中心(NIPC)发布了一份文档,总结了10个最严重的网络安全漏洞。数以千计的组织利用这份文档来安排他们工作的先后次序,以便能够首先关掉最危险的漏洞。2001年10月1日发布的这份新的列表更新并扩展了以前的TOP10列表,增加为20个最危险的安全漏洞,并将其分为三大类,通用漏洞,Windows漏洞,UNIX漏洞。
这份SANS/FBI最危险的20个漏洞列表是非常有价值的,因为大多数通过Internet对计算机系统的入侵均可以追溯到这20个安全漏洞,例如对五角大楼Solar Sunrise系统的攻击,CodeRed和Nimda蠕虫的快速传播,均可以归结为没有对这20个漏洞打补丁。
就是这少数几个软件漏洞成就了大多数的成功攻击,是因为攻击者是机会主义者,他们使用最简单和常用的方法。他们使用最有效和广泛传播的攻击工具,去攻击众所周知的漏洞。他们寄希望于有关组织不解决这些漏洞。他们扫描网络上有任何漏洞的系统,不做区分地加以攻击。
过去,系统管理员报告说他们没有弥补很多漏洞,是因为他们不知道哪些漏洞是最危险的,他们太忙了,没有时间修补全部漏洞。一些扫描工具可以扫描300或500,甚至800个漏洞,这就分散了系统管理员的注意力。系统管理员应该保障所有系统免于最常见的攻击。这份列表集
合了大多数联邦安全机构,安全软件开发商,咨询公司,大学中的安全组织,CERT/CC和SANS研究所的首席安全专家的知识,以简化以上问题。这份文件末尾可以找到参与成员列表。
影响所有系统的漏洞(G)
G1—操作系统和应用软件的缺省安装
G1.1描述:
大多数软件,包括操作系统和应用程序,都包括安装脚本或安装程序。这些安装程序的目的是尽
快安装系统,在尽量减少管理员工作的情况下,激活尽可能多的功能。为实现这个目的,脚本通
常安装了大多数用户所不需要的组件。软件开发商的逻辑是最好先激活还不需要的功能,而不是
让用户在需要时再去安装额外的组件。这种方法尽管对用户很方便,但却产生了很多危险的安全
漏洞,因为用户不会主动的给他们不使用的软件组件打补丁。而且很多用户根本不知道实际安装
了什么,很多系统中留有安全漏洞就是因为用户根本不知道安装了这些程序。
那些没有打补丁的服务为攻击者接管计算机铺平了道路。
对操作系统来说,缺省安装几乎总是包括了额外的服务和相应的开放端口。攻击者通过这些端口
侵入计算机系统。一般说来,你打开的端口越少,攻击者用来侵入你计算机的途径就越少。对于
应用软件来说,缺省安装包括了不必要的脚本范例,尤其对于 Web服务器来说更是如此,攻击
者利用这些脚本侵入系统,并获取他们感兴趣的信息。绝大多数情况下,被侵入系统的管理员根
本不知道他们安装了这些脚本范例。这些脚本范例的安全问题是由于他们没有经历其他软件所必
须的质量控制过程。事实上,这些脚本的编写水平极为低劣,经常忘记出错检查,给缓冲区溢出
类型的攻击提供了肥沃的土壤。
G1.2 受影响的系统
大多数操作系统和应用程序。请注意几乎所有的第三方web服务器扩展都存在这样的样本文件,
它们中间的大多数是极度危险的。
G1.3 CVE 表项
(注意:以下列表并不完整,只是部分样本)
CVE-1999-0415, CVE-1999-0678, CVE-1999-0707, CVE-1999-0722, CVE-1999-0746,
CVE-1999-0954, CVE-2000-0112, CVE-2000-0192, CVE-2000-0193, CVE-2000-0217,
CVE-2000-0234, CVE-2000-0283, CVE-2000-0611, CVE-2000-0639, CVE-2000-0672,
CVE-2000-0762, CVE-2000-0868, CVE-2000-0869, CVE-2000-1059
G1.4 怎样判断你是易受攻击的:
如果你使用了安装程序去安装系统或服务软件,而且没有移走不需要的服务,或没有安装所有的
安全补丁,那么你的系统是易于被黑客攻击的。
即使你进行了附加的配置,你也仍然是易受攻击的。你应该对任何连到Internet上的系统进行端
口扫描和漏洞扫描。在分析结果时,请记住以下原则:你的系统应该提供尽可能少的服务,并安
装为提供这些服务所需的最少的软件包。每一个额外的软件或服务都为攻击者提供了一个攻击手
段,这主要是由于系统管理员不会为他们不经常使用的软件打补丁。
G1.5 怎样防范:
卸载不必要的软件,关掉不需要的服务和额外的端口。这会是一个枯燥而且耗费时间的工作。正
是由于这个原因,许多大型组织都为他们使用的所有操作系统和应用软件开发了标准安装指南。
这些指南包括了为使系统有效运作所需的最少的系统特性的安装。
Internet安全中心(CIS) 根据多个国家的170个组织(http://www.cisecurity.org/)的知识和经验,
针对Solaris和Windows 2000开发了一套公认的最小安全配置基准,针对其他操作系统的配置
基准和测试工具还在开发中。CIS工具可以测试安全性能,分区比较系统安全状态。CIS指南可
用来提高大多数操作系统的安全性能。
G2 – 没有口令或使用弱口令的帐号
G2.1 描述:
大多数系统都把口令作为第一层和唯一的防御线。用户的ID是很容易获得的,而且大多数公司
都使用拨号的方法绕过防火墙。因此,如果攻击者能够确定一个帐号名和密码,他(或她)就能
够进入网络。易猜的口令或缺省口令是一个很严重的问题,但一个更严重的问题是有的帐号根本
没有口令。实际上,所有使用弱口令,缺省口令和没有口令的帐号都应从你的系统中清除。
另外,很多系统有内置的或缺省的帐号,这些帐号在软件的安装过程中通常口令是不变的。攻击
者通常查找这些帐号。因此,所有内置的或缺省的帐号都应从系统中移出。
G2.2受影响的系统
所有通过用户ID和口令进行认证的操作系统或应用程序。
G2.3 CVE entries:
(注意:以下列表并不完整,只是部分样本)
CVE-1999-0291, CAN-1999-0501, CAN-1999-0502, CAN-1999-0503,
CAN-1999-0505, CAN-1999-0506, CAN-1999-0507, CAN-1999-0508,
CAN-1999-0516, CAN-1999-0517, CAN-1999-0518, CAN-1999-0519
G2.4 怎样判断你是易受攻击的:
为判断你是否易受攻击,你需要了解你的系统上都有哪些帐号。应进行以下操作:
1. 审计你系统上的帐号,建立一个使用者列表,别忘了检查例如路由,连接Internet的打印机、
复印机和打印机控制器等系统的口令。
2. 制定管理制度,规范增加帐号的操作,及时移走不再使用的帐号。
3. 经常检查确认有没有增加新的帐号,不使用的帐号是否已被删除。
4. 对所有的帐号运行口令破解工具,以寻找弱口令或没有口令的帐号。(在你这么做之前,先
确定你有权利这么做)
a. LC3 – Microsoft Windows NT and Microsoft Windows 2000, http://www.atstake.com/
b. Microsoft Personal Security Advisor, – Microsoft Windows NT and Microsoft Windows
2000, www.microsoft.com/security/mpsa
c. John the Ripper – Unix, http://www.openwall.com/john
d. Pandora – Novell, http://www.nmrc.org/pandora
5.当雇员或承包人离开公司时,或当帐号不再需要时,应有严格的制度保证删除这些帐号。
G2.5 怎样防范:
应采取两个步骤以消除口令漏洞。第一步,所有没有口令的帐号应被删除或加上一个帐号,所有
弱口令应被加强。可悲的是,当用户被要求改变或加强他们的弱口令时,他们经常又选择一个容
易猜测的。这就导致了第二步,用户的口令在被修改后,应加以确认。可以用程序来拒绝任何不
符合你安全策略的口令,可在如下地址获得常用的程序:
1.For UNIX: Npasswd, http://www.utexas.edu/cc/unix/software/npasswd
2 .For Windows NT: Passfilt, http://support.microsoft.com/support/kb/articles/Q161/9/90.asp
这些程序保证了修改口令时,口令的长度和组成使得破解非常困难。应指出,很多UNIX系统有
保证口令强壮性的功能,另外还有很多其他软件包也可以达到这个目的。
很多组织使用口令控制程序,以保证口令经常更改,而且旧口令不可重用。如果使用口令有效期,
请确认用户在口令过期之前收到警告并有足够的时间改变口令。当面对以下信息时,"your
password has expired and must be changed," 用户往往会选择一个坏口令。
Microsoft Windows 2000在Group Policy中包括口令限制选项。系统管理员可以配置网络,使
口令有最小长度,最小和最大有效期等限制。限制口令的最小有效期是很重要的,如果没有它,
用户在被要求修改口令后会很快又把口令改回去。限制口令的最小有效期使得用户不得不记住现
在的口令,而不太会把口令改回去。
另外一个很重要的手段是使用户了解,为什么以及怎样去选择强壮的口令。选择口令最常见的建
议是选取一首歌中的一个短语或一句话,将这些短语的非数字单词的第一或第二个字母,加上一
些数字来组成口令,在口令中加入一些标点符号将使口令更难破解。
另一个避免没有口令或弱口令的方法是采用其他认证手段,例如口令产生令牌
(password-generating tokens)或生物尺度(biometrics)。如果你没有办法解决弱口令的问题,
尝试一下其它认证手段。
G3 – 没有备份或者备份不完整
G3.1 描述:
当事故发生时(这在每一个组织均有可能发生),从事故中恢复要求及时的备份和可靠的数据存
储方式。一些组织的确每天做备份,但是不去确认备份是否有效。其他一些组织建立了备份的策
略和步骤,但却没有建立存储的策略和步骤。这些错误往往在黑客进入系统并已经破坏数据后才
被发现。
第二个问题是对备份介质的物理保护不够。备份保存了和服务器上同样敏感的信息,它们应以相
同的方式加以对待。
G3.2受影响的系统
任何运行紧要任务的系统
G3.3 CVE entries:
N/A
G3.4怎样判断你是易受攻击的:
应列出一份紧要系统的列表。然后对每一个系统可能遇到的风险和威胁进行分析。应根据这些重
要的服务器制定备份方式和策略。一旦确认了这些重要系统,应明确以下重要问题:
1. 系统是否有备份?
2. 备份间隔是可接受的吗?
3. 系统是按规定进行备份的吗?
4. 是否确认备份介质正确的保存了数据?
5. 备份介质是否在室内得到了正确的保护?
6. 是否在另一处还有操作系统和存储设施的备份?(包括必要的license key)
7. 存储过程是否被测试及确认?
G3.5怎样防范:
应当每天做备份。在大多数组织中,最低的要求是一周做一次完整的备份,之后每天再做增量备
份。至少一个月要对备份介质做一次测试,以保证数据确实被正确的保存了下来。这是最低要求。
很多公司每天都做完整的备份,并且一天就要做多次备份。备份的终极目的是一个完全冗余的网
络,并且具备自动防故障能力---实时金融和电子商务系统,重要设施的控制系统和一些国防部门
的系统都需要这样一个备份方案。
G4 – 大量打开的端口
G4.1 描述
合法的用户和攻击者都通过开放端口连接系统。端口开得越多,进入系统的途径就越多。因此,
为使系统正常运作,保持尽量少的端口是十分必要的。所有无用的端口都应被关闭。
G4.2受影响的系统:
大多数操作系统。
G4.3 CVE entries:
(注意:以下列表并不完整,只是部分样本)
CVE-1999-0189, CVE-1999-0288, CVE-1999-0351, CVE-1999-0416, CVE-1999-0675,
CVE-1999-0772, CVE-1999-0903, CVE-2000-0070, CVE-2000-0179, CVE-2000-0339,
CVE-2000-0453, CVE-2000-0532, CVE-2000-0558, CVE-2000-0783, CVE-2000-0983,
G4.4怎样判断你是易受攻击的:
netstat命令可以在本地运行以判断哪些端口是打开的,但更保险的方法是对你的系统进行外部
的端口扫描.这会给你列出所有实际在侦听的端口号.如果二者结果不同,你应该研究一下是什么
原因.如果两个列表一致,检查一下为什么这些端口是打开的,每一个端口都在运行什么.任何无
法确认的端口都应被关闭.应记录最终端口列表,以确定没有额外的端口出现。
在众多的端口扫描器中,最流行的是nmap。在http://www.insecure.org/nmap/ 可以找到UNIX
下的nmap。这个版本在NT下也可以编译。在 http://www.eeye.com/html/Research/Tools/nmapnt.html
可以找到NT版的nmap。无论你使用那种扫描器,都应扫描从1-65,535的所有TCP和UDP
端口。
在进行扫描之前,你应对系统拥有写入权限。一些操作系统,特别是一些有内置的TCP/IP协议
栈的器件,在被扫描时,会出现难以预计的后果。扫描同时会触发入侵检测系统和防火墙,而被
认为是一种入侵。
G4.5怎样防范:
一旦你确定了哪些端口是打开的,接下来的任务是确定所必须打开的端口的最小集合—关闭其他
端口,找到这些端口对应的服务,并关闭/移走它们。
在UNIX系统下,很多服务是由inted和它的配置文件inetd.conf控制的。inetd.conf列出了侦听
端口的服务,可用来关闭端口:将一种服务从inetd.conf中移出,重启inted,以避免端口被再
次打开。其他一些服务是通过启动时的一些脚本来运行的(例如/etc/rc, /etc/rc.local,或在/etc/rc*
目录下的。由于在不同UNIX系统下关闭这些脚本的方式不同,请查询你的系统文档。
在Windows NT 和 Windows 2000下,可使用一种fport(http://www.foundstone.com/)的程
序来确定在某个特定端口上侦听的服务或程序。在Windows XP下,你可以netstat命令加-o来
完成相同的功能。
G5 – 没有过滤地址不正确的包
G5.1描述
IP地址欺诈是黑客经常用来隐藏自己踪迹的一种手段。例如常见的smurf攻击就利用了路由的
特性向数以千记的机器发出了一串数据包。每一个数据包都假冒了一个受害主机的IP地址作为
源地址,于是上千台主机会同时向这个受害的主机返回数据包,导致该主机或网络崩溃。
对流进和流出你网络的数据进行过滤可以提供一种高层的保护。过滤规则如下:
1. 任何进入你网络的数据包不能把你网络内部的地址作为源地址。
2. 任何进入你网络的数据包必须把你网络内部的地址作为目的地址。
3. 任何离开你网络的数据包必须把你网络内部的地址作为源地址。
4. 任何离开你网络的数据包不能把你网络内部的地址作为目的地址。
5. 任何进入或离开你网络的数据包不能把一个私有地址(private address)或在RFC1918中
列出的属于保留空间(包括10.x.x.x/8, 172.16.x.x/12 或192.168.x.x/16 和网络回送地址
127.0.0.0/8.)的地址作为源或目的地址。
6. 阻塞任意源路由包或任何设置了IP选项的包。
G5.2受影响的系统:
大多数操作系统和网络设备。
G5.3 CVE entries:
(注意:以下列表并不完整,只是部分样本)
CAN-1999-0528, CAN-1999-0529, CAN-1999-0240, CAN-1999-0588
G5.4怎样判断你是易受攻击的:
试图发送一个假冒IP地址的包,看你的防火墙或路由器是否阻隔了它。你的设备不仅应该阻隔
它的传输,而且应该在日志文件中记录下假冒IP包已被丢弃。注意,这又为一种新的攻击敞开
了大门:日志文件泛滥。应确认你的日志系统可以处理很强的负载,否则就易受DOS攻击。nmap
程序可以发出假冒IP包以测试这类过滤。一旦设置了过滤规则,不要认为它总能正常工作,经
常测试。
G5.5怎样防范:
应在你的外部路由或防火墙上设置过滤规则。以下是CISCO路由器的简单规则:
1. 进入过滤:
interface Serial 0
ip address 10.80.71.1 255.255.255.0
ip access-group 11 in
access-list 11 deny 192.168.0.0 0.0.255.255
access-list 11 deny 172.16.0.0 0.15.255.255
access-list 11 deny 10.0.0.0 0.255.255.255
access-list 11 deny
access-list 11 permit any
2. 离开过滤:
interface Ethernet 0
ip address 10.80.71.1 255.255.255.0
ip access-group 11 in
access-list 11 permit
G6 – 不存在或不完整的日志:
G6.1 描述:
安全领域的一句名言是:“预防是理想的,但检测是必须的”。只要你允许你的网络与Internet
相连,黑客入侵的危险就是存在的。每周都会发现新的漏洞,而保护你不被黑客攻击的方法很少。
一旦被攻击,没有日志,你会很难发现攻击者都作了什么。不了解这一点的话,你只能在两者之
间做出选择:要么从原始状态重装系统,寄希望于数据备份是正确的,要么冒险使用一个黑客可
能仍然控制的系统。
如果你不知道在你的系统上都发生了什么,你是不可能发现入侵的。日志提供了当前系统的细节,
哪些系统被攻击了,那些系统被攻破了。
在所有重要的系统上应定期做日志,而且日志应被定期保存和备份,因为你不知何时会需要它。
许多专家建议定期向一个中央日志服务器上发送所有日志,而这个服务器使用一次性写入的介质
来保存数据,这样就避免了黑客篡改日志。
G6.2受影响的系统:
所有的操作系统和网络设备。
G6.3 CVE entries:
CAN-1999-0575, CAN-1999-0576, CAN-1999-0578
G6.4怎样判断你是易受攻击的:
查看每一个主要系统的日志,如果你没有日志或它们不能确定被保存了下来,你是易被攻击的。
G6.5怎样防范:
所有系统都应在本地记录日志,并把日志发到一个远端系统保存。这提供了冗余和一个额外的安
全保护层。现在两个日志可以互相比较。任何的不同显示了系统的异常。另外,这提供了日志文
件的交叉检测。一个服务器中的一行日志可能并不可疑,但如果在一分钟内出现在一个组织的
50个服务器的同一出口,可能标志着一个严重问题。
不论何时,用一次性写入的媒质记录日志。
G7 – 易被攻击的CGI程序
大多数的web服务器,包括Microsoft的IIS和Apache,都支持CGI程序,以实现一些页面的
交互功能,例如数据采集和确认。事实上,大多数web服务器都安装了简单的CGI程序。不幸的
是,大多数CGI程序员没有认识到他们的程序为Internet上的任一个人提供了一个连向web服
务器操作系统的直接的链接。易被攻击的CGI程序格外吸引攻击者,是因为他们很容易确定和使
用web服务器上软件的权限。攻击者们可以利用CGI程序来修改web页面,窃取信用卡帐号,为
未来的攻击设置后门。当司法部的页面被篡改后,深入调查得出的结论是可能性最大的攻击手段
是CGI程序中的漏洞。由没有受过良好教育或很粗心的程序员编写的web服务器应用程序也很容
易受到攻击。作为一个基本的规则,所有系统都应删除示范(sample)程序。
G7.2受影响的系统:
所有的web服务器。
G7.3 CVE entries:
(注意:以下列表并不完整,只是部分样本)
CVE-1999-0067, CVE-1999-0346, CVE-2000-0207, CVE-1999-0467, CAN-1999-0509,
CVE-1999-0021, CVE-1999-0039, CVE-1999-0058, CVE-2000-0012, CVE-2000-0039,
CVE-2000-0208, CAN-1999-0455, CAN-1999-0477
G7.4 怎样判断你是易受攻击的:
如果你的web服务器上有任何示范程序,你是易被攻击的。如果你有合法的CGI程序,请保证你
是在运行最新版,然后对你的站点运行漏洞扫描工具。通过模仿攻击者的行为,你可以保护你的
系统。你可以使用一个叫whisker(http://www.wiretrip.net/rfp/)的CGI扫描工具来发现CGI程
序的漏洞。
G7.5怎样防范:
以下是为保护易受攻击的CGI程序所需做的首要工作:
1. 从你的web服务器上移走所有CGI示范程序。
2. 审核剩余的CGI脚本,移走不安全的部分。
3. 保证所有的CGI程序员在编写程序时,都进行输入缓冲区长度检查。
4. 为所有不能除去的漏洞打上补丁。
5. 保证你的CGI bin目录下不包括任何的编译器或解释器。
6. 从CGI bin目录下删除"view-source"脚本。
7. 不要以administrator或root权限运行你的web服务器。大多数的web服务器可以配置成较
低的权限,例如"nobody."
8. 不要在不需要CGI的web服务器上配置CGI支持。
最危险的Windows系统漏洞(W)
W1 - Unicode漏洞
W1.1 描述:
不论何种平台,何种程序,何种语言,Unicode为每一个字符提供了一个独一无二的序号。Unicode
标准被包括Microsoft在内的很多软件开发商所采用。通过向IIS服务器发出一个包括非法
Unicode UTF-8序列的URL,攻击者可以迫使服务器逐字“进入或退出”目录并执行任意(程
序)(script—脚本),这种攻击被称为目录转换攻击。
Unicode用%2f和%5c分别代表/和\。但你也可以用所谓的“超长”序列来代表这些字符。“超
长”序列是非法的Unicode表示符,它们比实际代表这些字符的序列要长。/和\均可以用一个字
节来表示。超长的表示法,例如用%c0%af代表/用了两个字节。IIS不对超长序列进行检查。这
样在URL中加入一个超长的Unicode序列,就可以绕过Microsoft的安全检查。如果是在一个
标记为可执行的文件夹中发出的请求,攻击者可以在服务器上运行可执行文件。更多的有关
Unicode的威胁信息可在这里找到:
http://www.wiretrip.net/rfp/p/doc.asp?id=57&face=2
W1.2 受影响的系统:
安装了IIS 4.0的Microsoft Windows NT 4.0和安装了IIS 5.0,而没有安装Service Pack 2的
Windows 2000 server。
W1.3 CVE entries:
CVE-2000-0884
W1.4 怎样判断你是易受攻击的:
如果你在运行一个未打补丁的IIS,那么你是易受到攻击的。最好的判断方法是运行hfnetchk。
Hfnetchk是用来帮助管理员来判断系统所打补丁情况的工具。Unicode目录转换漏洞可通过打
以下补丁进行修补:
? Q269862 - MS00-057
? Q269862 - MS00-078
? Q277873 - MS00-086
? Q293826 - MS01-026
? Q301625 - MS01-044
? Windows 2000 Service Pack 2
如果一个补丁都没有安装,那么系统是易受到攻击的:
为进行进一步确认,你可以键入以下命令:
http://victim/scripts/..À;¯../winnt/system32/cmd.exe?/c+dir+c:\
这个地址需要被修改以准确测试每一个特定系统。如果你已移走了scripts目录(建议这
么做),这个命令就失效了。你可以暂时建立一个有执行权限的目录,或使用一个已有的有
执行权限的目录,来替代scripts目录。例如,你可能已经删除了scripts目录,但另外有一
个cgi-bin目录,使用cgi-bin目录替代scripts目录测试你的系统。
如果你是易受攻击的,这个URL会送回一个目录,列出驱动器C下的所有内容。你只是运
行DIR命令,如果是一个攻击者的话,他就有可能大肆破坏或在你的系统上安装一个后门。
W1.5 怎样防范:
为避免这一类攻击,你应下载Microsoft的最新补丁,在Microsoft Security Bulletin:
http://www.microsoft.com/technet/security/bulletin/MS00-078.asp 你可以找到这些补丁的
信息。
IIS Lockdown和URL Scan均可以避免这类攻击。IIS Lockdown可以帮助管理员锁住IIS
server,可在以下地址获得:
http://www.microsoft.com/technet/security/tools/locktool.asp
URLScan是一个可以过滤很多HTTP请求的过滤器。例如,它可以过滤包含UTF8编码字
符的请求。URLScan可在以下地址获得:
http://www.microsoft.com/technet/security/URLScan.asp
|
|
IP卡
狗仔卡
发表于 2002-10-16 14:16:33
收藏
支持
反对
提升卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡