5.1.2物理脆弱性检测(完成)
物理脆弱性分析主要是通过对场所环境(计算机网络专用机房内部环境、外部环境和各网络终端工作间)、电磁环境(内部电磁信息泄露、外部电磁信号的干扰或冲击)、设备实体(网络设备、安全防护设备、办公设备)、线路进行检测,通过问卷调查和现场查看方式,分析出物理方面存在的脆弱性。
5.1.2.1检测对象
本部分对以下内容进行安全性分析:
XXXX主机房的物理环境
XXXX的主机、网络设备、网络安全设备及环境设备等
XXXX使用的磁盘阵列、磁带机、U盘、活动硬盘等
5.1.2.2检测用例
表1 检测用例
5.1.2.3检测结果
本次检测仅对物理环境、设备、移动存储介质进行了检测。
检查中发现大部分情况良好,但是在防电磁、设备管控等方面存在安全隐患。
(1)环境脆弱性检测
1)门禁:门禁系统由主机、门锁和读卡器等组成。机房主门、操作间、主机房关键部位都设有门禁系统,但门口无门卫看守,外来人员进入需要进行登记、刷卡,内部工作人员通过刷卡进行记录,且主机房只有管理人员及巡检人员有相
应的进入权限,其他人进入主机房需申请登记。
2)供电:XXXX主机房供电由市电,UPS,小型机电源三部分组成,其供电为两路供电,UPS电源在断电后理论上可持续供电8小时,实际供电为4小时左右,但无法带动精密空调等设备,同时XXXX配备有柴油发电机。对于电力设备的维护只有机房人员平时做检查,UPS电源为厂家定期巡检。
3)消防:机房内部署了自动气体灭火装置以及深圳中联通的声光报警装置,当有人员在机房时为手动控制,无人时为自动控制。同时在走廊、操作间、配电间都设有单独的干粉灭火器,但配电间的灭火设备较为陈旧。在配电间发现堆放有装设备的纸箱等外包。在与主机房相连的配电间设置了专门的安全出口。XXXX内部有巡检人员定期对消防设备进行检查,并有记录。
4)防鼠:主机房内无防鼠设施,在配电间的管线出口处放置有鼠夹。
5)防雷:机房达到三集防雷,在建筑物屋顶安置有避雷针,且市电、UPS 电源、小型机电源均配备有防雷设置。
6)防尘防静电:机房为全封闭环境,并架设有通风换气设备,基本防尘设施满足需要。机房全部铺设防静电地板,人工操作和检查设备时未发现静电感应,防静电措施总体来说较为理想。
7)温湿度:主机房内部的温湿度监控由2台艾默生牌精密空调确保机房环境温湿度的可控式调节。操作间安装的为大金牌空调。无工作人员巡检记录,但安装有环境检测设备,一般工作环境下,温度保持在24.5℃左右,湿度保持在35.6%左右,当超过一定的范围会自动报警。
8)防水防潮:机房为全封闭环境,并设置了通风和防潮设施,空调漏水与环境检测设备相关联,具备一定的防雨水、防潮能力。
9)应急制度:UPS电源、电池组、发电机、空调、应急照明灯等均无冗余备份措施;制定了相关的应急制度,针对重要系统的应急预案演练每年至少一次到两次。但在操作间及主机房内没有将机房管理制度及应急流程等制度上墙。
10)发电设备:配备有自己的柴油发电机,当断电并使用UPS电源1小时
后使用柴油机供电。
11)监控设施:XXXX机房的重要位置均安装了摄像头,共有11个监控点,监控录像为硬盘保存,录像可存储90天。但在监控室未发现与主机房相对的测试机房的监控录像。
12)监控室:可以监视机房内各个地方的安全情况、火警情况、温湿度情况,有工作人员7*24小时值班。
13)保安:大楼内部有保安人员24小时值班,机房内有工作人员7*24小时在位。
(2)设备脆弱性检测
1)线缆:线缆布设总体合理整齐,有些机柜临时性网线布置有些凌乱,存在多余的网线接头,同时发现机房内部强电线与网线有交错现象。
2)标签:机房中设备标签的标签整体明确,分类清楚,张贴明显,其编码方式统一,但是部分标签不统一。
(3)存储介质脆弱性检测
1)磁盘阵列、磁带机:磁盘阵列、磁带机等属于大型设备,由机房人员负责维护管理。针对磁盘/磁带设备还需制定更为严格的管理制度,尤其需要配备一些专门的存储介质监控系统或设备来进行辅助安全管理。
5.1.2.4脆弱性分析
(1)环境脆弱性检测
1)经调查发现,机房按照相关规章制度作了防火、防潮、防雷、防静电措施,总体来说较为理想,但是某些细节措施仍需进一步完善和改进,比如更换陈旧的消防设备。
2)经现场查看发现,在机房配电间存放有纸箱等杂物,不利于防火消防及人员疏散。
3)经调查发现,在主机房内部缺少必要的防鼠措施,不能有效的防止鼠害。
4)经调查发现,在机房内部未发现无防电磁干扰设备,未发现其他的无线保护措施,存在一定的安全隐患。
5)经现场查看发现,在机房内部没有将机房管理及应急流程等规章制度上墙。
(2)针对设备管控脆弱性检测的结果分析
1)经现场查看发现,有些机柜临时性网线布置凌乱,存在多余的网线接头,同时发现机房内部强电线与网线有交错现象。
(3)针对存储介质管控脆弱性检测的结果分析
1)经调查发现,缺少对磁盘/磁带设备的详细管理制度,建议配备一些专门的存储介质监控系统或设备来进行辅助安全管理。
5.1.2 网络脆弱性
网络脆弱性分析主要是通过对网络拓扑结构及基本安全策略和网络设备(网管服务器、交换机、负载均衡设备、路由器、防火墙等)进行安全漏洞扫描、配置文件查看、访问控制规则分析,分析出以上设备及网络安全策略中存在的脆弱性。
5.1.2.1 检测对象
5.1.2.2 检测用例
5.1.2.3 检测结果
本次检测主要是对XXXX的网络拓扑结构进行详细分析,并对网络结构中的部分交换机、路由器、防火墙的访问控制规则进行查看。
5.1.2.3.1 网络拓扑结构分析
XXXX核心网络主要由4台CISCO的6509交换核心,2台PIX 525防火墙,2台4507、2台7609构成。其中2台6509和2台4507主要负责各服务器及办公OA之间的数据交换和三层路由,是整个生产网络的骨干设备,互为备份;2台PIX 525防火墙都是采用failover的备份方式,其中一台负责外联机构访问我行内部网络的安全控制,另外一台负责Internet及对外提供公共服务的网银访问安全控制;7609主要是连接各分支行。
在安全性方面,2台核心6509采用双机热备份,之间通过port-channel 连接,且3层网管全部采用HSRP连接,任何一台机器的故障不会影响到网络的正常运作,PIX 防火墙全部采用Failover的连接方式,在正常的使用中,两台
防火墙就当作一台来使用,当任何一台出现故障的时候,另外一台会自动接管,从而保证稳定可靠的工作,另外为了保护XXXX重要业务主机,防止内部用户对核心设备的攻击,在核心区加装了入侵检测保护系统IDP,该系统可以监控核心区域的主机,当核心区域内的设备受到攻击时,会在第一时间内发出告警信息。
在日常的网络监控和维护中,主要采用了NETVIEW来监控网络的健康状态,发现网络问题时会有声音和图形界面同时告警,进而第一时间内通知网络管理员。
5.1.2.3.2 网络设备配置分析
核心路由器(XX0.3.3)
设备名称:XXXX
版本:12.2
基本信息
服务
带来一定安全风险。
未启用TCP连接存活验证,有可能使攻击者通过开启足够多的连接耗尽系统资源,使设备拒绝服务。
缺省情况下CISCO路由器并不去测试以前建立的TCP连接是否仍然可达,如果TCP连接的一端超时或者异常中断,那么另一端可能认为会话仍然可用,这种“孤儿”式的会话会占用路由器资源,也容易被攻击者利用。
Internet Operating System (IOS)版本及可能存在漏洞
击。建议及时升级IOS版本并对漏洞进行修复。
SNMP问题
V3版本,该设备使用了SNMP默认的public作为所有网络设备的只读名称(community),未在ACL定义IP地址范围,任何人均可以无需猜测即可直接访问到网络设备,查看到交换机的所有信息,存在网络配置信息密使的安全隐患。并且SNMP服务使用了RW权限,一旦攻击者知道该密码甚至就可以直接控制该设备。
连接超时
由于意外掉线或不良习惯,部分登录连接长时间悬挂在设备上,造成安全隐患。如果悬空的登录连接过多,会导致后续的登录无法实施,影响对系统管理。要求设定登录连接空闲时间限制,让系统自动检查当前连接是否长时间处于空闲状态,若是则自动将其拆除。检测发现部分连接端口没有启用连接超时。建议启用连接超时断开,并设置为10分钟内空闲断开,Timeout具体取值应视实际需要而定。
OSPF认证问题
OSPF动态路由协议未进行加密认证,未启用认证机制不能够保护路由信息的正确性,存在一定安全风险。
ARP 代理问题
欺骗等安全问题。Cisco默认都是开启了ARP代理功能,建议通过“no ip proxy-arp”这个命令关闭ARP代理;
网络的主机使用地址解析协议(ARP)将网络地址翻译成Media Address。在正常情况下, ARP协议的数据包只限于发件人的网段。CISCO路由器缺省在所
有接口上都启用了代理ARP,代理ARP可以让来自不同网段的主机看起来就像在同一网段上,攻击者可能会利用代理ARP的信任特性,伪装成一台可信主机,中途截获数据包,打破了周边安全。
核心交换机(XX0.3.1)
设备名称:XXXX1
版本:12.2
基本信息
服务
络设备带来一定安全风险。
未启用TCP连接存活验证,有可能使攻击者通过开启足够多的连接耗尽系统资源,使设备拒绝服务。
缺省情况下CISCO路由器并不去测试以前建立的TCP连接是否仍然可达,如果TCP连接的一端超时或者异常中断,那么另一端可能认为会话仍然可用,这种“孤儿”式的会话会占用路由器资源,也容易被攻击者利用。
Internet Operating System (IOS)版本及可能存在漏洞
击。建议及时升级IOS 版本并对漏洞进行修复。 连接超时
患。如果悬空的登录连接过多,会导致后续的登录无法实施,影响对系统管理。要求设定登录连接空闲时间限制,让系统自动检查当前连接是否长时间处于空闲状态,若是则自动将其拆除。检测发现部分连接端口没有启用连接超时。建议启用连接超时断开,并设置为10分钟内空闲断开,Timeout 具体取值应视实际需要而定。 SNMP 问题
V3版本,该设备使用了SNMP 默认的public 作为所有网络设备的只读名称(community ),未在
ACL 定义IP 地址范围,任何人均可以无需猜测即可直接访问到网络设备,查看到交换机的所有信息,存在网络配置信息密使的安全隐患。并使用了RW 权限,一旦攻击者知道该密码甚至就可以直接控制该设备。 OSPF 认证问题
的正确性,存在一定安全风险。
ARP 代理问题
欺骗等安全问题。Cisco默认都是开启了ARP代理功能,建议通过“no ip proxy-arp”这个命令关闭ARP代理;
网络的主机使用地址解析协议(ARP)将网络地址翻译成Media Address。在正常情况下, ARP协议的数据包只限于发件人的网段。CISCO路由器缺省在所有接口上都启用了代理ARP,代理ARP可以让来自不同网段的主机看起来就像在同一网段上,攻击者可能会利用代理ARP的信任特性,伪装成一台可信主机,中途截获数据包,打破了周边安全。
生产6509A(XX0.3.5)
设备名称:XXXX
版本:12.2
基本信息
服务
定安全风险。
Internet Operating System (IOS)版本及可能存在漏洞
击。建议及时升级IOS版本并对漏洞进行修复。
弱口令问题
路由器访问权限,建议使用MD5加密,口令应具有一定长度和复杂度。远程登录口令为默认口令,有一定安全风险应及时更改。
连接超时
患。如果悬空的登录连接过多,会导致后续的登录无法实施,影响对系统管理。要求设定登录连接空闲时间限制,让系统自动检查当前连接是否长时间处于空闲状态,若是则自动将其拆除。检测发现部分连接端口没有启用连接超时。建议启用连接超时断开,并设置为10分钟内空闲断开,Timeout具体取值应视实际需要而定。
SNMP问题
V3版本,该设备使用了SNMP默认的public作为所有网络设备的只读名称(community),未在ACL定义IP地址范围,任何人均可以无需猜测即可直接访问到网络设备,查看到交换机的所有信息,存在网络配置信息密使的安全隐患。如果不需要SNMP服务,建议关闭该服务。
ARP 代理问题
欺骗等安全问题。Cisco默认都是开启了ARP代理功能,建议通过“no ip proxy-arp”这个命令关闭ARP代理;
网络的主机使用地址解析协议(ARP)将网络地址翻译成Media Address。在正常情况下, ARP协议的数据包只限于发件人的网段。CISCO路由器缺省在所有接口上都启用了代理ARP,代理ARP可以让来自不同网段的主机看起来就像在同一网段上,攻击者可能会利用代理ARP的信任特性,伪装成一台可信主机,中途截获数据包,打破了周边安全。
楼层4507A(XX0.3.7)
设备名称:XXXX
版本:12.2
基本信息
服务
定安全风险。
未启用TCP连接存活验证,有可能使攻击者通过开启足够多的连接耗尽系统资源,使设备拒绝服务。
缺省情况下CISCO路由器并不去测试以前建立的TCP连接是否仍然可达,如果TCP连接的一端超时或者异常中断,那么另一端可能认为会话仍然可用,这种“孤儿”式的会话会占用路由器资源,也容易被攻击者利用。
Internet Operating System (IOS)版本及可能存在漏洞
击。建议及时升级IOS版本并对漏洞进行修复。
弱口令问题
路由器访问权限,建议使用MD5加密,口令应具有一定长度和复杂度。远程登录口令为默认口令,有一定安全风险应及时更改。
连接超时
患。如果悬空的登录连接过多,会导致后续的登录无法实施,影响对系统管理。要求设定登录连接空闲时间限制,让系统自动检查当前连接是否长时间处于空闲状态,若是则自动将其拆除。检测发现部分连接端口没有启用连接超时。建议启用连接超时断开,并设置为10分钟内空闲断开,Timeout具体取值应视实际需要而定。
SNMP问题
议使用V3版本,该设备使用了SNMP默认的public作为所有网络设备的只读名称(community),未在ACL定义IP地址范围,任何人均可以无需猜测即可直接访问到网络设备,查看到交换机的所有信息,存在网络配置信息密使的安全隐患。如果不需要SNMP服务,建议关闭该服务。
操作4948A(XX0.3.11)
设备名称:XXXX
版本:12.2
基本信息
服务
定安全风险。
Internet Operating System (IOS)版本及可能存在漏洞
击。建议及时升级IOS版本并对漏洞进行修复。
弱口令问题
路由器访问权限,建议使用MD5加密,口令应具有一定长度和复杂度。远程登录口令为默认口令,有一定安全风险应及时更改。
连接超时
患。如果悬空的登录连接过多,会导致后续的登录无法实施,影响对系统管理。要求设定登录连接空闲时间限制,让系统自动检查当前连接是否长时间处于空闲状态,若是则自动将其拆除。检测发现部分连接端口没有启用连接超时。建议启用连接超时断开,并设置为10分钟内空闲断开,Timeout具体取值应视实际需要而定。
SNMP问题
V3版本,该设备使用了SNMP默认的public作为所有网络设备的只读名称(community),未在ACL定义IP地址范围,任何人均可以无需猜测即可直接访问到网络设备,查看到交换机的所有信息,存在网络配置信息密使的安全隐患。如果不需要SNMP服务,建议关闭该服务。
ARP 代理问题
欺骗等安全问题。Cisco默认都是开启了ARP代理功能,建议通过“no ip proxy-arp”这个命令关闭ARP代理;
网络的主机使用地址解析协议(ARP)将网络地址翻译成Media Address。在正常情况下, ARP协议的数据包只限于发件人的网段。CISCO路由器缺省在所有接口上都启用了代理ARP,代理ARP可以让来自不同网段的主机看起来就像在同一网段上,攻击者可能会利用代理ARP的信任特性,伪装成一台可信主机,中途截获数据包,打破了周边安全。
测试核心3560(XX0.3.13)
设备名称:XXXX
版本:12.2
基本信息
服务
带来一定安全风险。
未启用TCP连接存活验证,有可能使攻击者通过开启足够多的连接耗尽系统资源,使设备拒绝服务。
缺省情况下CISCO路由器并不去测试以前建立的TCP连接是否仍然可达,如果TCP连接的一端超时或者异常中断,那么另一端可能认为会话仍然可用,这种“孤儿”式的会话会占用路由器资源,也容易被攻击者利用。
Internet Operating System (IOS)版本及可能存在漏洞
击。建议及时升级IOS版本并对漏洞进行修复。
连接超时
患。如果悬空的登录连接过多,会导致后续的登录无法实施,影响对系统管理。要求设定登录连接空闲时间限制,让系统自动检查当前连接是否长时间处于空闲状态,若是则自动将其拆除。检测发现部分连接端口没有启用连接超时。建议启用连接超时断开,并设置为10分钟内空闲断开,Timeout具体取值应视实际需要而定。
SNMP问题
V3版本,该设备使用了SNMP默认的public作为所有网络设备的只读名称(community),未在ACL定义IP地址范围,任何人均可以无需猜测即可直接访问到网络设备,查看到交换机的所有信息,存在网络配置信息密使的安全隐患。如果不需要SNMP服务,建议关闭该服务。
ARP 代理问题
欺骗等安全问题。Cisco默认都是开启了ARP代理功能,建议通过“no ip proxy-arp”这个命令关闭ARP代理;
网络的主机使用地址解析协议(ARP)将网络地址翻译成Media Address。在正常情况下, ARP协议的数据包只限于发件人的网段。CISCO路由器缺省在所有接口上都启用了代理ARP,代理ARP可以让来自不同网段的主机看起来就像在同一网段上,攻击者可能会利用代理ARP的信任特性,伪装成一台可信主机,中途截获数据包,打破了周边安全。
5.1.2.3.3 网络安全设备配置分析
INTERNET防火墙(XX0.4.162)
设备名称:XXX
版本:PIX Version 7.0(6)
基本信息
服务