■
隨著企業(yè)業(yè)務(wù)IT化程度加大,信息系統(tǒng)的規(guī)模和復(fù)雜度大幅提高,信息安全已經(jīng)成為影響企業(yè)經(jīng)濟效益、企業(yè)形象的重要因素。單純依靠發(fā)生安全事件后通過告警與審計系統(tǒng)響應(yīng)問題、查找發(fā)生原因的被動安全模式已經(jīng)不足以跟上業(yè)務(wù)IT化的步伐。迫切地需要在安全事件發(fā)生之前確認高價值信息的分布、檢查設(shè)備安全配置、更新安全補丁,從源頭上減少攻擊機會和漏洞。將被動安全主動化,改響應(yīng)問題為預(yù)防問題,變被動響應(yīng)為主動防御。安全問題里高風險問題之首,弱口令問題。所以急需檢查出弱口令是否存在、督促修改弱口令、復(fù)查弱口令、確認無弱口令檢測見過。
圖1 弱口令無損探傷檢測流程圖
當前大多數(shù)是采用“試探法”、“暴力法”,使用用戶的弱口令字典的賬號密碼不斷地嘗試登錄。這種方法能夠解決問題,但是效率很低,并且要由于多次嘗試登錄,會造成平臺系統(tǒng)業(yè)務(wù)中斷,影響平臺性能等負面效果。所以本文提出一種無損探傷的方法,通過從設(shè)備上把密文采集下來,線下在自己的系統(tǒng)中進行分析加密算法、加密弱口令字典庫、比對、出結(jié)果。不僅縮短時間,并且根本不影響平臺的正常使用下完成弱口令檢測。
1.弱口令檢查流程如圖1所示
2.弱口令字典庫管理
字典包括用戶字典和密碼字典,字典組成:中國移動網(wǎng)內(nèi)常見弱口令(539)、網(wǎng)絡(luò)安全領(lǐng)域公認常規(guī)弱口令(3546)、1到6位長度內(nèi)的所有全數(shù)字組合(1111110)。
例 如 :1 2 3 4 q w e r,1 2 3!@#,1 q 2 w 3 e 4 r,boco!12,cq1234_royasoft等
支持集中維護,集中增、刪、改、查弱口令字典項目,可以導(dǎo)入新的弱口令字典進行增量更新;可以實現(xiàn)各個破解分析引擎使用的弱口令字典的集中、統(tǒng)一更新,與集中管理模塊自動同步;可以分級管理弱口令字典,主要目的是根據(jù)破解資源配置情況,在可控的時長內(nèi)分階段完成從缺省、空口令等極弱口令,到一般弱口令,再到兩種字符組合的輕微弱口令等不同程度弱口令的核查任務(wù),逐步提高核查力度。
3.無損探傷檢測
首先從配置文件里獲取相應(yīng)設(shè)備密文,部分可由檢查項的腳本內(nèi)容完成,還有例如 Windows的SAM文件必須有相應(yīng)的工具才能提取。Linuxunix 去掉shadow影子文件時候要注意root權(quán)限。
從密文中取出用戶的哈希值和密匙,分析密文的算法,根據(jù)相關(guān)加密函數(shù)。用弱口令里的字典與密匙通過相關(guān)算法組成一個哈希值表。分別與密文哈希值比較,如果相同則表示保存該哈希值并找出對應(yīng)的口令。字典同試探法。顯示出IP地址,設(shè)備類型,相應(yīng)的賬號和弱口令。支持在線、離線檢測。
4.任務(wù)管理
創(chuàng)建獨立的弱口令核查或者包括弱口令合規(guī)檢查項的檢查任務(wù)時,完全采用合規(guī)管理功能已經(jīng)實現(xiàn)的檢查對象選擇、合規(guī)檢查項選擇、任務(wù)屬性(一次還是周期性以及周期設(shè)置)設(shè)置等流程和操作模式。
在任務(wù)設(shè)定完成后,系統(tǒng)可以智能分析任務(wù)涉及網(wǎng)元范圍,將采集任務(wù)按照負載均衡原則、網(wǎng)元與探針是否有對應(yīng)覆蓋關(guān)系,分解到對應(yīng)的集中部署采集探針或者分布式部署的采集探針上:
(1)混合部署模式,可以根據(jù)所選擇檢查對象屬于CMNet、沒有部署分布式探針的系統(tǒng),還是部署了分布式采集探針的網(wǎng)管網(wǎng)、數(shù)據(jù)業(yè)務(wù)系統(tǒng)等等。純網(wǎng)絡(luò)設(shè)備構(gòu)成或者沒有部署分布式探針的系統(tǒng),如 CMNet,根據(jù)包含的設(shè)備數(shù)量,均衡地分布到集中部署的采集探針上面;其它屬于已經(jīng)部署了遠端分布式采集探針的網(wǎng)元,將采集任務(wù)下發(fā)到對應(yīng)的分布式采集探針上面;
(2)集中部署模式,按照任務(wù)涉及的網(wǎng)元數(shù)量以及當前采集探針負荷(是否正在執(zhí)行采集任務(wù)情況等)、均衡地分布到所部署的所有采集探針上面。
5.在線檢查和離線檢查
(1)在線檢查方法
在線檢查利用原有統(tǒng)一的合規(guī)管理功能的網(wǎng)絡(luò)架構(gòu)和訪問各資源的帳號權(quán)限,集中或者分布式采集各設(shè)備上的密碼密文文件,然后在后臺破解分析服務(wù)器上基于負載均衡機制進行分布式弱口令破解分析,最后將結(jié)果返回集中服務(wù)器進行統(tǒng)一的數(shù)據(jù)分析挖掘。
(2)離線檢查方法
支持用人工方式或者利用離線檢查生成的采集腳本獲取被檢查設(shè)備的密碼密文(shadow)文件,然后利用利用離線檢查功能提供的導(dǎo)入能力,將結(jié)果上傳或者導(dǎo)入集中弱口令核查子功能,由系統(tǒng)觸發(fā)破解分析服務(wù)器集群以負載均衡模式集中破解,最后將結(jié)果返回集中服務(wù)器進行統(tǒng)一的數(shù)據(jù)分析挖掘。
6.設(shè)備與加密類型管理
(1)支持設(shè)備類型
弱口令核查子功能應(yīng)支持對各類主流主機、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫的核查:
(2)加密算法管理
弱口令核查應(yīng)支持以下加密模式,NT MD4、MD5、SHA-1、SHA-256、SHA-5 1 2、D E S、B l o w f i s h、MySQL特有算 法、Cisco特有算法、華為特有算法、中興特有算法等當前流行的加密算法。實際不僅僅支持以上加密算法,只是列舉當前比較流行的加密算法。
目前大多數(shù)弱口令檢測方法試探法,首先,獲取目標機的IP地址和端口通過IP和端口號嘗試登錄連接。通過程序使用用戶字典和弱口令字典里的賬號密碼不斷地嘗試登錄。若連接成功,保存連接成功的則表示此賬號為弱口令。
此方法的缺點是檢測過程中會極大影響業(yè)務(wù)平臺的正常使用,如有的設(shè)備嘗試多次登錄密碼不正確將會掛起禁止訪問、系統(tǒng)登錄連續(xù)幾次密碼錯誤將此賬號鎖死,并且當你多次登錄會給業(yè)務(wù)平臺帶來額外負載,大大增加了并發(fā)。
圖2 傳統(tǒng)的試探法測試情況
圖3 無損探傷測試情況
本文提出的方法與當前比較常用的試探法進行了實驗對比,大致情況如圖2、圖3所示。
通過不同環(huán)境(設(shè)備數(shù)量、賬號數(shù)量不同)的情況下,與試探檢測方法進行了對比分析。
由于本文提出的無損探傷方法是先采集、解密算法、加密匹配,是在線下完成的,所以對業(yè)務(wù)平臺是沒有任何負擔,不會造成設(shè)備重啟,賬號鎖死情況。但是在時間上由于需要分析加密算法、加密弱口令測試,在不同環(huán)境下有的用時要多余試探法、有的小于試探法。主要原因是試探法直接用弱口令字典庫密碼口令去嘗試登錄,沒有解密、加密過程所以需要時間少,主要時間花費在設(shè)備重啟和賬號鎖死。在花費了一些時間,但是換來平臺的正常使用(無損探傷),所以本文提出的無損探傷方是進一步優(yōu)化了試探法。
本文對弱口令無損探傷檢測進行研究,通過常采集設(shè)備口令、分析密文、弱口令字典庫、匹配。進行了大量測試,較比目前暴力破解無論是效率,還是效果上都有著明顯提高。由于本人水平有限目前只是研究到這里,存在很多缺點與不足,請指正缺點和提出寶貴意見。爭取在以后的工作繼續(xù)加深研究、完善弱口令檢查。