国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動安全 安全管理應(yīng)用案例 網(wǎng)絡(luò)威脅 系統(tǒng)安全 應(yīng)用安全 數(shù)據(jù)安全 云安全
當(dāng)前位置: 主頁 > 信息安全 > 應(yīng)用案例 >

網(wǎng)康下一代防火墻助力藍星集體消弭木馬威脅

時間:2013-06-18 12:26來源:TuZhiJiaMi企業(yè)信息安全專家 點擊:
2012年以來,信息安然在全球范圍內(nèi)都遭到嚴重挑戰(zhàn),對收集的依托使得收集信息安然已成為各部門、機構(gòu)、黌舍、企業(yè)等的甲等大年夜事。信息安然標題問題日趨嚴重,企業(yè)用戶隨時都將遭到
Tags網(wǎng)康(11)案例(164)下一代防火墻(15)木馬威脅(3)藍星集團(2)  

  2012年以來,信息安然在全球范圍內(nèi)都遭到嚴重挑戰(zhàn),對收集的依托使得收集信息安然已成為各部門、機構(gòu)、黌舍、企業(yè)等的甲等大年夜事。信息安然標題問題日趨嚴重,企業(yè)用戶隨時都將遭到病毒、木馬、僵尸收集等威脅。若何采納主動防御辦法,防備于未然?網(wǎng)康下一代防火墻的利用賜與了很好的謎底。

  客戶簡介:

  中國藍星(集體)總公司是中國化工集體公司治理的大年夜型國有企業(yè)。藍星以化工新材料和特種化學(xué)品為主業(yè),公司總部設(shè)在北京。藍星控股“藍星清洗”、“星新材料”、“沈陽化工”3家上市公司,在國內(nèi)具有25個工廠和4個科研機構(gòu)。在海外具有15個工廠,7個研發(fā)和手藝辦事機構(gòu),營銷收集遍及全球140多個國度。

  藍星集體在網(wǎng)康“普及風(fēng)暴”勾當(dāng)中免費上線測試了網(wǎng)康下一代防火墻。上線后當(dāng)即發(fā)現(xiàn)了SQL辦事器存在的巨大年夜安然風(fēng)險,并發(fā)現(xiàn)了辦事器暗碼被竄改,同時定位出了報復(fù)打擊者。

  診斷過程:

  1.登岸NGFW,治理員發(fā)現(xiàn)了sock4/5利用風(fēng)險很高,并且連接數(shù)較多

  2.進進利用闡發(fā)頁面可以看到該利用存在縫隙,等閑被黑客所操縱,并且還能等閑逃逸傳統(tǒng)防火墻的監(jiān)控

  3.進一步查看該利用觸及的目標地址,可以看到IP為192.168.100.13和10.16.169.4的設(shè)備被拜候的最為頻繁。

  4.查看源國度,有良多連接別離來自美國、韓國、越南、日本、菲律賓、俄羅斯等,很是不正常。

  5.遴選源國度為美國的IP,經(jīng)由過程集成聯(lián)系關(guān)系跳轉(zhuǎn)到流量日記中查看相干流量詳情。

  6.經(jīng)由過程查看某條連接的細節(jié),可以看到更多具體信息。

  7.可以看到,這些流量的目標端口都是1433。

  1433端口,是SQLServer默許的端口,SQLServer辦事利用兩個端口:TCP-1433、UDP-1434。此中1433用于供SQLServer對外供給辦事,1434用于向要求者返回SQLServer利用了哪個TCP/IP端口。

  1433端口不是很安然,常常很等閑被黑客攻下。是以,更改SQLServer默許的1433端口是很有需要的。此刻網(wǎng)上存在良多抓1433端口肉雞的動畫。而他們操縱的常常是sa弱口令,是以要寄望把sa暗碼設(shè)置得復(fù)雜一些,并且在conn等數(shù)據(jù)庫鏈接文件中不要利用sa用戶進行數(shù)據(jù)庫連接。

  別的1433端口,假定僅僅是本機web鏈接本機數(shù)據(jù)庫,那么沒需要開1433,它是長途鏈接利用的。

  8.經(jīng)由過程NGFW統(tǒng)計在一周的時候范圍表里網(wǎng)連接192.168.100.13數(shù)據(jù)庫辦事器的連接數(shù)量,以下圖所示:

  經(jīng)由過程以上一系列的闡發(fā)可以體味,今朝192.168.100.13這臺辦事器因為默許開放了1433端口,成為外網(wǎng)報復(fù)打擊的方針。黑客經(jīng)由過程socks和談測驗測驗連接1433端口,并經(jīng)由過程SQL利用測驗測驗暗碼或連接辦事器查詢數(shù)據(jù)。每周的累計流量已達幾百兆。既占用了巨大年夜的帶寬資本也增加了企業(yè)的風(fēng)險。

  因為192.168.100.13這臺辦事器存在風(fēng)險,可能已被進侵,是以我們查看這臺設(shè)備上產(chǎn)生的流量,可以看到此中有FTP節(jié)制連策利用。這個利用一樣存在巨大年夜的安然隱患。

  FTP辦事一般要打開兩個端口,一個是數(shù)據(jù)端口,一個是節(jié)制端口,節(jié)制端口通常是21,而數(shù)據(jù)端口不必然是20,這和FTP的利用模式有關(guān),假定是主動模式,應(yīng)當(dāng)為20,假定為被動模式,由辦事器端和客戶端協(xié)商而定。

  9.經(jīng)由過程聯(lián)系關(guān)系流量日記的闡發(fā),可以看到192.168.100.13經(jīng)由過程FTP連接拜候外部IP。

  10.經(jīng)由過程對目標IP的位置查詢可以知道是江西省南昌市。

  經(jīng)由過程對這臺SQL辦事器的查抄,發(fā)現(xiàn)數(shù)據(jù)庫暗碼已被黑客點竄。黑客節(jié)制SQL辦事器后經(jīng)由過程辦事器主動倡議FTP要求,拜候江西省南昌市的IP下載木馬或上傳企業(yè)內(nèi)部數(shù)據(jù),存在極大年夜風(fēng)險。

  經(jīng)由過程一段時候的測試,網(wǎng)康下一代防火墻解決方案在藍星集體的收集環(huán)境中闡揚了較大年夜的感化。經(jīng)由過程設(shè)定對辦事器和客戶端的收集安然防御辦法,節(jié)流了IT闡發(fā)成本,削減了安然風(fēng)險,進步了收集拜候安然性,保障了藍星集體營業(yè)的正常運轉(zhuǎn)。

------分隔線----------------------------

推薦內(nèi)容