弱密碼漏洞描述
弱密碼的漏洞的存在很大原因上是因為使用者的不良使用習慣導緻的,當然也有一些是因為系統或者應用啟用時未設定可用賬戶的密碼資訊而使用預設的配置;這就給攻擊者毫不費力攻進資訊系統的機會了。
一旦資訊系統存在弱密碼漏洞,并且該系統可以從公網上通路(不論是直接通路,還是在内網中需要跳闆機的連接配接),那麼攻擊者就可以使用自己收集整理來的密碼字典,暴力猜解可用賬戶的密碼資訊,進而該資訊系統被攻擊者控制、使用,造成敏感資訊的洩露、計算機資産被盜用等等嚴重危害。
是以,最簡單的且最有效的防禦措施:定、短期更換資訊系統的賬号密碼資訊,并且保證賬号為不常用的賬号(例如admin、manager、admin1、Admin、administrator、root)、密碼長度至少為8位、種類至少三種字元(例如:!234Qwer)。
為了萬無一失(盡可能做到),防止攻擊者使用密碼字典暴力猜解登入資訊,還可以使用白名單的方式限制可以遠端登入資訊系統的主機、設定可用賬戶的的錯誤登入次數、态勢感覺攻擊者的攻擊行為封堵ip等等方式。下面就從設定遠端管理登入的配置資訊的角度(以21、22、23、3306、3389為例)分享下怎麼減少弱密碼漏洞對資訊系統的影響。
遠端管理登入的配置方法
0 1
21 ftp服務的遠端登入配置
以windows系統為例:
在windows中打開internet information services(iis)管理界面,可以看到ftp的配置選項。
iis中ftp的配置界面
在左上角的第一個功能選項ftp ip位址和域限制可以設定遠端登入此ftp伺服器的白名單,如此一來可以杜絕不被允許的主機連接配接此ftp伺服器了,進而杜絕攻擊者從外部的暴力猜解攻擊。
ftp ip位址和域限制
如果攻擊者進到内網,控制了一台可以連接配接此ftp伺服器的主機,那麼可以配置ftp登入嘗試限制;此功能可以限制用戶端登入錯誤的次數,也可以防禦攻擊者的暴力猜解攻擊,這些登入行為都會被系統記錄到日志中,可以為管理者提供有迹可循。
ftp登入嘗試限制
如果需要在ftp伺服器前面放一台防火牆裝置,來隐藏真實的ftp伺服器的端口,那麼在ftp防火牆支援的配置中可以為ftp伺服器搭建一個端口資料通道(也就是端口鏡像)。(隻要防火牆的政策配置好,肯定是可以防攻擊者的暴力猜解弱密碼的)
ftp防火牆支援
02
ssh服務的遠端登入配置
ssh伺服器端的配置資訊在/etc/ssh/下的sshd_config檔案(ssh_config為用戶端配置檔案,一般用不到)
/etc/ssh
修改ssh的預設端口,可有效防範正常、機器的攻擊;端口值的範圍在0-65535。
修改端口
修改ssh的一些連接配接設定,比如最多連接配接主機的資料、最長嘗試登入時間、最大的嘗試登入次數(錯誤登入次數)
修改嘗試登入的配置項
設定登入時是否使用密碼、是否允許空密碼的使用者登入,可以解決未授權使用者登入的問題
解決未授權登入的問題
0 3
23 telnet的遠端登入配置
telnet服務一般應用在路由器(3層)、交換機(2層)等網絡裝置中,如果存在弱密碼漏洞則給攻擊者較容易的方式破壞資訊系統的網絡建設,造成内部網絡的崩潰。針對此漏洞可能對資訊系統的危害可以從設定簡單的acl(白名單)、更換密碼的複雜度和長度來防禦攻擊者的攻擊。
在進到路由器的配置中,首先要切換到system權限下,建立一個acl,并指定該acl僅限制哪些主機可以連接配接路由器。
telnet通路控制配置-設定acl
設定telnet的使用者的密碼
0 4
3306 mysql資料庫遠端登入管理
以windows下的mysql v8.0.12為例:
在mysql安裝路徑下找到my.ini檔案,該檔案記錄了mysql資料庫的配置資訊。
比如修改資料庫的預設端口,使其不運作在預設的3306端口上。
port=3306
修改mysql資料庫的一些使用者的密碼的配置,則可以在資料庫中直接更新user表中的使用者的密碼的配置的字段值。比如,使用者的密碼值(authentication string)、密碼過期時間(password_lifetime,password_expired)、最大的連接配接數(max_connections,max_user_connections)、禁用賬号(account_locked)。(或者是使用其他方式也是可以的)
修改表中字段值的方法是:
update user set authentication_string=password(‘123456’) where user=’root’;(更新表設定字段值當user為root)
對資料庫的使用者的權限做劃分,也可以有效的降低弱密碼漏洞對資料庫的影響。
GRANT ALL PRIVILEGES ON *.* TO ‘root’@‘%’ IDENTIFIED BY ‘password’ WITH GRANT OPTION;(*.*表示所有表的所有權限,%表示所有的主機都可以使用root連接配接)
設定資料庫的其他參數,比如在配置中修改密碼的一些參數。
05
389 RDP服務的遠端登入配置
以windows 7為例:
針對3389 windows平台的RDP服務,弱密碼漏洞存在一般跟windows中的系統使用者有關,那麼可以修改系統中的使用者的配置來避免此漏洞對計算機系統的影響。
使用gpedit.msc本地組政策編輯器來管理使用者的一些政策設定,在運作中打開此程式。
gpedit.msc
本地組政策編輯器運作界面
在密碼政策中修改政策可以強制使用者定期的管理自己密碼,并且符合日常使用的規範、防範攻擊者的暴力猜解。
賬戶鎖定政策
通過以上的配置密碼政策和無效登入的次數,那麼在終端防護弱密碼的攻擊,基本上可以做到七八成的防護了。如果根據實際需求還需保障合法主機的任意登入,那麼可以在鍊路上的硬體防火牆或者軟體版的防火牆中添加連接配接的白名單。
贈送:windows下修改使用者密碼的操作,在cmd中使用net user username password修改使用者的密碼
修改使用者密碼
總結
1
定期、短期的修改密碼為複雜且較長的字元是最高效的防範弱密碼漏洞的方式
2
配置好資訊系統中的使用賬戶的政策(如強制使用者定期更換密碼具有一定的複雜性和長度、對資訊系統中的賬戶做最小權限的劃分、限制連接配接的主機數量、綁定可連接配接主機的ip/mac位址(白名單政策)、限制錯誤登入次數),将會降低攻擊者暴力猜解的成功率和弱密碼漏洞對資訊系統的影響
3
配置好鍊路上的硬體防火牆、态勢感覺裝置、日志審計裝置以及終端防護軟體(如防毒軟體、防護軟體(edr))并将它們啟用,建立起關聯機制,某一防護節點發現攻擊行為,及時封堵ip位址,截斷攻擊流量,才能做好資訊系統的安全防護,不僅僅是針對弱密碼的漏洞。
點選上方“藍字”關注我們吧!