- 1、本文档共5页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档免费下载、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
PAGE 5
深壁固垒-互联网暴露面收缩
一、背景与目标
互联网暴露面检查主要通过人工方式,在当前收集的资产信息基础上,进一步确认和挖掘组织单位暴露在互联网的已知、未知资产,发现可能存在的安全隐患,并进行结果梳理,整理分析,提出优化建议,是安全自查的一个重要技术手段之一。
通过互联网暴露面的检查,可以更加清楚组织单位信息系统在互联网的开放程度,发现未经授权而暴露在互联网的资产,并进一步通过技术手段降低或解决发现的问题,为今后信息系统规划、建设和调整提供参考依据、并能够增加攻击者的攻击难度。
二、整体收缩思路
分析材料主要来自以下:
资产识别表/梳理表;组织单位敏感信息关键字;各类工具扫描及人工检查的结果;网络负责人的访谈和沟通的结果。
暴露面检查主要从以下5个方面作为参考点进行分析:
互联网IP地址及域名
端口服务
应用
web应用
敏感信息
暴露面收缩具体实施方法与处置方法
域名、IP:
--参考资产梳理中互联网IP地址表;
--务必结合网络拓扑,【客户名称】团队访谈确认所有出口IP信息,不得遗漏
--搜索引擎查找:site:(概率较小)
--通过网站获取:微步、站长工具、DNSDUMPSTER(/)、censys.io
--工具爆破:fierce、dnsdict6、Layer子域名挖掘机
根据检查结果,确认无归属域名及其对应的服务器,应用等信息,补充至资产识别表的DMZ区资产表中。
根据检查结果,确认无归属IP及其相关信息,补充至资产识别表的互联网IP地址中。
使用CDN技术。
端口服务:
--参考资产识别表中的端口映射表
--使用TSS工具的资产识别功能
--使用nmap,masscan等工具进行交叉验证
--人工测试扫描结果的准确性
1、针对高危端口,和运维团队确认用途及对外开放的必要性。http,https,ftp,smtp,pop3,radius,rdp,telnet,ssh,各类数据库端口,ssh,各类应用端口(jboss,websphere,weblogic)。尽可能关闭非必要性对外开放端口,减少暴露面。
应用:
--堡结合资产收集表中的网络拓扑图、端口映射表和网络,安全产品清单进行初步收集
--与【客户名称】团队访谈进行确认
1、VPN、堡垒机、云桌面等应用管理控制台、后台不得对互联网开放。
2、VPN、堡垒机、云桌面检查用户认证是否采用双因素认证,是否启用密码复杂度,是否开启防爆破功能,是否对接入用户进行权限划分等。
Web应用:
--针对端口识别服务,检测指纹并梳理出web应用
--针对梳理出的web应用,结合TSS扫描工具,资产梳理表和运维团队访谈的结果,确认技术架构(脚本语言,数据库,web框架),内容管理系统(例如:wordpresss,joomla等)
--针对梳理出的web应用,和业务系统人员确认web后台管理页面,用户登录页面
1、非必要对外开放的web业务进行关闭。
2、关闭非必要对外开放的web应用端口,如weblogic的7001、5566,tomcat、jboss的8080,webshere的9080。
3、关闭所有对外开放的web管理后台页面;对外开放的web用户登录页面应检查是否具备防爆破能力,是否加入安全设备的防爆破保护模块部署Waf防止恶意爬虫,目录扫描等违规操作。
源代码:
--通过御剑等后台扫描工具,使用备份文件名字典进行扫描
--根据与【客户名称】提供的关键字在github等代码分享、托管平台进行搜索查寻
--通过各种云盘进行搜索查寻
对于扫描发现的网站后台备份文件,并进行清除。
对于在github等代码托管平台发现的源代码泄露事件,追究责任人并进行清除。
四、暴露面收缩成果
临战前,我方根据最新梳理的资产清单,共对虚拟化服务器资产xx台、物理服务器xx台进行存活扫描,经确认虚拟化服务器存活xx台,物理服务器存活xx台。
梳理负载均衡设备对外发布的IP、端口及其对应的业务共计xx条。与业务人员逐一核实对外发布业务,筛选出涉及高危端口的映射、非核心业务的映射共计xx条。
梳理互联网防火墙的域间策略xx条、ACL策略xx条,筛选出涉及高危端口的策略1xx条,批量放通的策略xx条。
梳理包含虚拟机、物理机的内网业务服务器xx台,筛选出非核心业务虚拟机xx台,非核心业务物理服务器xx台。
使用Nmap端口扫描工具、FOFA搜索引擎,分别对铁通xx个IP地址段、联通xx个地址段、电信xx个地址段、移动xx个地址段进行扫描,共发现xx个暴露互联网资产,经确认均为【客户名称】系统无误。
护网临战阶段,通过FOFA搜索引擎对股份公司暴露在互联网的资产再次进行搜索,共发现3个关于股份公司暴露互联网资产,经确认1个系统为公司资产,并对其进行暴露面收敛。
五、后续工作与补充
端口存活性探
文档评论(0)