弱口令無損檢測設(shè)計

■

隨著企業(yè)業(yè)務(wù)IT化程度加大，信息系統(tǒng)的規(guī)模和復(fù)雜度大幅提高，信息安全已經(jīng)成為影響企業(yè)經(jīng)濟效益、企業(yè)形象的重要因素。單純依靠發(fā)生安全事件后通過告警與審計系統(tǒng)響應(yīng)問題、查找發(fā)生原因的被動安全模式已經(jīng)不足以跟上業(yè)務(wù)IT化的步伐。迫切地需要在安全事件發(fā)生之前確認高價值信息的分布、檢查設(shè)備安全配置、更新安全補丁，從源頭上減少攻擊機會和漏洞。將被動安全主動化，改響應(yīng)問題為預(yù)防問題，變被動響應(yīng)為主動防御。安全問題里高風(fēng)險問題之首，弱口令問題。所以急需檢查出弱口令是否存在、督促修改弱口令、復(fù)查弱口令、確認無弱口令檢測見過。

圖1 弱口令無損探傷檢測流程圖

當前大多數(shù)是采用“試探法”、“暴力法”，使用用戶的弱口令字典的賬號密碼不斷地嘗試登錄。這種方法能夠解決問題，但是效率很低，并且要由于多次嘗試登錄，會造成平臺系統(tǒng)業(yè)務(wù)中斷，影響平臺性能等負面效果。所以本文提出一種無損探傷的方法，通過從設(shè)備上把密文采集下來，線下在自己的系統(tǒng)中進行分析加密算法、加密弱口令字典庫、比對、出結(jié)果。不僅縮短時間，并且根本不影響平臺的正常使用下完成弱口令檢測。

弱口令無損探傷檢測功能方法

1.弱口令檢查流程如圖1所示

2.弱口令字典庫管理

字典包括用戶字典和密碼字典，字典組成：中國移動網(wǎng)內(nèi)常見弱口令(539)、網(wǎng)絡(luò)安全領(lǐng)域公認常規(guī)弱口令(3546)、1到6位長度內(nèi)的所有全數(shù)字組合(1111110)。

例 如 ：1 2 3 4 q w e r，1 2 3!@#，1 q 2 w 3 e 4 r，boco!12，cq1234_royasoft等

支持集中維護，集中增、刪、改、查弱口令字典項目，可以導(dǎo)入新的弱口令字典進行增量更新；可以實現(xiàn)各個破解分析引擎使用的弱口令字典的集中、統(tǒng)一更新，與集中管理模塊自動同步；可以分級管理弱口令字典，主要目的是根據(jù)破解資源配置情況，在可控的時長內(nèi)分階段完成從缺省、空口令等極弱口令，到一般弱口令，再到兩種字符組合的輕微弱口令等不同程度弱口令的核查任務(wù)，逐步提高核查力度。

3.無損探傷檢測

首先從配置文件里獲取相應(yīng)設(shè)備密文，部分可由檢查項的腳本內(nèi)容完成，還有例如 Windows的SAM文件必須有相應(yīng)的工具才能提取。Linuxunix 去掉shadow影子文件時候要注意root權(quán)限。

從密文中取出用戶的哈希值和密匙，分析密文的算法，根據(jù)相關(guān)加密函數(shù)。用弱口令里的字典與密匙通過相關(guān)算法組成一個哈希值表。分別與密文哈希值比較，如果相同則表示保存該哈希值并找出對應(yīng)的口令。字典同試探法。顯示出IP地址，設(shè)備類型，相應(yīng)的賬號和弱口令。支持在線、離線檢測。

4.任務(wù)管理

創(chuàng)建獨立的弱口令核查或者包括弱口令合規(guī)檢查項的檢查任務(wù)時，完全采用合規(guī)管理功能已經(jīng)實現(xiàn)的檢查對象選擇、合規(guī)檢查項選擇、任務(wù)屬性（一次還是周期性以及周期設(shè)置）設(shè)置等流程和操作模式。

在任務(wù)設(shè)定完成后，系統(tǒng)可以智能分析任務(wù)涉及網(wǎng)元范圍，將采集任務(wù)按照負載均衡原則、網(wǎng)元與探針是否有對應(yīng)覆蓋關(guān)系，分解到對應(yīng)的集中部署采集探針或者分布式部署的采集探針上：

(1)混合部署模式，可以根據(jù)所選擇檢查對象屬于CMNet、沒有部署分布式探針的系統(tǒng)，還是部署了分布式采集探針的網(wǎng)管網(wǎng)、數(shù)據(jù)業(yè)務(wù)系統(tǒng)等等。純網(wǎng)絡(luò)設(shè)備構(gòu)成或者沒有部署分布式探針的系統(tǒng)，如 CMNet，根據(jù)包含的設(shè)備數(shù)量，均衡地分布到集中部署的采集探針上面；其它屬于已經(jīng)部署了遠端分布式采集探針的網(wǎng)元，將采集任務(wù)下發(fā)到對應(yīng)的分布式采集探針上面；

(2)集中部署模式，按照任務(wù)涉及的網(wǎng)元數(shù)量以及當前采集探針負荷（是否正在執(zhí)行采集任務(wù)情況等）、均衡地分布到所部署的所有采集探針上面。

5.在線檢查和離線檢查

(1)在線檢查方法

在線檢查利用原有統(tǒng)一的合規(guī)管理功能的網(wǎng)絡(luò)架構(gòu)和訪問各資源的帳號權(quán)限，集中或者分布式采集各設(shè)備上的密碼密文文件，然后在后臺破解分析服務(wù)器上基于負載均衡機制進行分布式弱口令破解分析，最后將結(jié)果返回集中服務(wù)器進行統(tǒng)一的數(shù)據(jù)分析挖掘。

(2)離線檢查方法

支持用人工方式或者利用離線檢查生成的采集腳本獲取被檢查設(shè)備的密碼密文（shadow）文件，然后利用利用離線檢查功能提供的導(dǎo)入能力，將結(jié)果上傳或者導(dǎo)入集中弱口令核查子功能，由系統(tǒng)觸發(fā)破解分析服務(wù)器集群以負載均衡模式集中破解，最后將結(jié)果返回集中服務(wù)器進行統(tǒng)一的數(shù)據(jù)分析挖掘。

6.設(shè)備與加密類型管理

(1)支持設(shè)備類型

弱口令核查子功能應(yīng)支持對各類主流主機、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫的核查：

(2)加密算法管理

弱口令核查應(yīng)支持以下加密模式，NT MD4、MD5、SHA-1、SHA-256、SHA-5 1 2、D E S、B l o w f i s h、MySQL特有算 法、Cisco特有算法、華為特有算法、中興特有算法等當前流行的加密算法。實際不僅僅支持以上加密算法，只是列舉當前比較流行的加密算法。

實驗對比分析

目前大多數(shù)弱口令檢測方法試探法，首先，獲取目標機的IP地址和端口通過IP和端口號嘗試登錄連接。通過程序使用用戶字典和弱口令字典里的賬號密碼不斷地嘗試登錄。若連接成功，保存連接成功的則表示此賬號為弱口令。

此方法的缺點是檢測過程中會極大影響業(yè)務(wù)平臺的正常使用，如有的設(shè)備嘗試多次登錄密碼不正確將會掛起禁止訪問、系統(tǒng)登錄連續(xù)幾次密碼錯誤將此賬號鎖死，并且當你多次登錄會給業(yè)務(wù)平臺帶來額外負載，大大增加了并發(fā)。

圖2 傳統(tǒng)的試探法測試情況

圖3 無損探傷測試情況

本文提出的方法與當前比較常用的試探法進行了實驗對比，大致情況如圖2、圖3所示。

通過不同環(huán)境（設(shè)備數(shù)量、賬號數(shù)量不同）的情況下，與試探檢測方法進行了對比分析。

由于本文提出的無損探傷方法是先采集、解密算法、加密匹配，是在線下完成的，所以對業(yè)務(wù)平臺是沒有任何負擔，不會造成設(shè)備重啟，賬號鎖死情況。但是在時間上由于需要分析加密算法、加密弱口令測試，在不同環(huán)境下有的用時要多余試探法、有的小于試探法。主要原因是試探法直接用弱口令字典庫密碼口令去嘗試登錄，沒有解密、加密過程所以需要時間少，主要時間花費在設(shè)備重啟和賬號鎖死。在花費了一些時間，但是換來平臺的正常使用（無損探傷），所以本文提出的無損探傷方是進一步優(yōu)化了試探法。

總結(jié)

本文對弱口令無損探傷檢測進行研究，通過常采集設(shè)備口令、分析密文、弱口令字典庫、匹配。進行了大量測試，較比目前暴力破解無論是效率，還是效果上都有著明顯提高。由于本人水平有限目前只是研究到這里，存在很多缺點與不足，請指正缺點和提出寶貴意見。爭取在以后的工作繼續(xù)加深研究、完善弱口令檢查。