弱口令無損檢測設計

■

隨著企業(yè)業(yè)務IT化程度加大，信息系統(tǒng)的規(guī)模和復雜度大幅提高，信息安全已經(jīng)成為影響企業(yè)經(jīng)濟效益、企業(yè)形象的重要因素。單純依靠發(fā)生安全事件后通過告警與審計系統(tǒng)響應問題、查找發(fā)生原因的被動安全模式已經(jīng)不足以跟上業(yè)務IT化的步伐。迫切地需要在安全事件發(fā)生之前確認高價值信息的分布、檢查設備安全配置、更新安全補丁，從源頭上減少攻擊機會和漏洞。將被動安全主動化，改響應問題為預防問題，變被動響應為主動防御。安全問題里高風險問題之首，弱口令問題。所以急需檢查出弱口令是否存在、督促修改弱口令、復查弱口令、確認無弱口令檢測見過。

圖1 弱口令無損探傷檢測流程圖

當前大多數(shù)是采用“試探法”、“暴力法”，使用用戶的弱口令字典的賬號密碼不斷地嘗試登錄。這種方法能夠解決問題，但是效率很低，并且要由于多次嘗試登錄，會造成平臺系統(tǒng)業(yè)務中斷，影響平臺性能等負面效果。所以本文提出一種無損探傷的方法，通過從設備上把密文采集下來，線下在自己的系統(tǒng)中進行分析加密算法、加密弱口令字典庫、比對、出結果。不僅縮短時間，并且根本不影響平臺的正常使用下完成弱口令檢測。

弱口令無損探傷檢測功能方法

1.弱口令檢查流程如圖1所示

2.弱口令字典庫管理

字典包括用戶字典和密碼字典，字典組成：中國移動網(wǎng)內常見弱口令(539)、網(wǎng)絡安全領域公認常規(guī)弱口令(3546)、1到6位長度內的所有全數(shù)字組合(1111110)。

例 如 ：1 2 3 4 q w e r，1 2 3!@#，1 q 2 w 3 e 4 r，boco!12，cq1234_royasoft等

支持集中維護，集中增、刪、改、查弱口令字典項目，可以導入新的弱口令字典進行增量更新；可以實現(xiàn)各個破解分析引擎使用的弱口令字典的集中、統(tǒng)一更新，與集中管理模塊自動同步；可以分級管理弱口令字典，主要目的是根據(jù)破解資源配置情況，在可控的時長內分階段完成從缺省、空口令等極弱口令，到一般弱口令，再到兩種字符組合的輕微弱口令等不同程度弱口令的核查任務，逐步提高核查力度。

3.無損探傷檢測

首先從配置文件里獲取相應設備密文，部分可由檢查項的腳本內容完成，還有例如 Windows的SAM文件必須有相應的工具才能提取。Linuxunix 去掉shadow影子文件時候要注意root權限。

從密文中取出用戶的哈希值和密匙，分析密文的算法，根據(jù)相關加密函數(shù)。用弱口令里的字典與密匙通過相關算法組成一個哈希值表。分別與密文哈希值比較，如果相同則表示保存該哈希值并找出對應的口令。字典同試探法。顯示出IP地址，設備類型，相應的賬號和弱口令。支持在線、離線檢測。

4.任務管理

創(chuàng)建獨立的弱口令核查或者包括弱口令合規(guī)檢查項的檢查任務時，完全采用合規(guī)管理功能已經(jīng)實現(xiàn)的檢查對象選擇、合規(guī)檢查項選擇、任務屬性（一次還是周期性以及周期設置）設置等流程和操作模式。

在任務設定完成后，系統(tǒng)可以智能分析任務涉及網(wǎng)元范圍，將采集任務按照負載均衡原則、網(wǎng)元與探針是否有對應覆蓋關系，分解到對應的集中部署采集探針或者分布式部署的采集探針上：

(1)混合部署模式，可以根據(jù)所選擇檢查對象屬于CMNet、沒有部署分布式探針的系統(tǒng)，還是部署了分布式采集探針的網(wǎng)管網(wǎng)、數(shù)據(jù)業(yè)務系統(tǒng)等等。純網(wǎng)絡設備構成或者沒有部署分布式探針的系統(tǒng)，如 CMNet，根據(jù)包含的設備數(shù)量，均衡地分布到集中部署的采集探針上面；其它屬于已經(jīng)部署了遠端分布式采集探針的網(wǎng)元，將采集任務下發(fā)到對應的分布式采集探針上面；

(2)集中部署模式，按照任務涉及的網(wǎng)元數(shù)量以及當前采集探針負荷（是否正在執(zhí)行采集任務情況等）、均衡地分布到所部署的所有采集探針上面。

5.在線檢查和離線檢查

(1)在線檢查方法

在線檢查利用原有統(tǒng)一的合規(guī)管理功能的網(wǎng)絡架構和訪問各資源的帳號權限，集中或者分布式采集各設備上的密碼密文文件，然后在后臺破解分析服務器上基于負載均衡機制進行分布式弱口令破解分析，最后將結果返回集中服務器進行統(tǒng)一的數(shù)據(jù)分析挖掘。

(2)離線檢查方法

支持用人工方式或者利用離線檢查生成的采集腳本獲取被檢查設備的密碼密文（shadow）文件，然后利用利用離線檢查功能提供的導入能力，將結果上傳或者導入集中弱口令核查子功能，由系統(tǒng)觸發(fā)破解分析服務器集群以負載均衡模式集中破解，最后將結果返回集中服務器進行統(tǒng)一的數(shù)據(jù)分析挖掘。

6.設備與加密類型管理

(1)支持設備類型

弱口令核查子功能應支持對各類主流主機、網(wǎng)絡設備、數(shù)據(jù)庫的核查：

(2)加密算法管理

弱口令核查應支持以下加密模式，NT MD4、MD5、SHA-1、SHA-256、SHA-5 1 2、D E S、B l o w f i s h、MySQL特有算 法、Cisco特有算法、華為特有算法、中興特有算法等當前流行的加密算法。實際不僅僅支持以上加密算法，只是列舉當前比較流行的加密算法。

實驗對比分析

目前大多數(shù)弱口令檢測方法試探法，首先，獲取目標機的IP地址和端口通過IP和端口號嘗試登錄連接。通過程序使用用戶字典和弱口令字典里的賬號密碼不斷地嘗試登錄。若連接成功，保存連接成功的則表示此賬號為弱口令。

此方法的缺點是檢測過程中會極大影響業(yè)務平臺的正常使用，如有的設備嘗試多次登錄密碼不正確將會掛起禁止訪問、系統(tǒng)登錄連續(xù)幾次密碼錯誤將此賬號鎖死，并且當你多次登錄會給業(yè)務平臺帶來額外負載，大大增加了并發(fā)。

圖2 傳統(tǒng)的試探法測試情況

圖3 無損探傷測試情況

本文提出的方法與當前比較常用的試探法進行了實驗對比，大致情況如圖2、圖3所示。

通過不同環(huán)境（設備數(shù)量、賬號數(shù)量不同）的情況下，與試探檢測方法進行了對比分析。

由于本文提出的無損探傷方法是先采集、解密算法、加密匹配，是在線下完成的，所以對業(yè)務平臺是沒有任何負擔，不會造成設備重啟，賬號鎖死情況。但是在時間上由于需要分析加密算法、加密弱口令測試，在不同環(huán)境下有的用時要多余試探法、有的小于試探法。主要原因是試探法直接用弱口令字典庫密碼口令去嘗試登錄，沒有解密、加密過程所以需要時間少，主要時間花費在設備重啟和賬號鎖死。在花費了一些時間，但是換來平臺的正常使用（無損探傷），所以本文提出的無損探傷方是進一步優(yōu)化了試探法。

總結

本文對弱口令無損探傷檢測進行研究，通過常采集設備口令、分析密文、弱口令字典庫、匹配。進行了大量測試，較比目前暴力破解無論是效率，還是效果上都有著明顯提高。由于本人水平有限目前只是研究到這里，存在很多缺點與不足，請指正缺點和提出寶貴意見。爭取在以后的工作繼續(xù)加深研究、完善弱口令檢查。