弱口令的漏洞的存在很大原因上是因为使用者的不良使用习惯导致的,当然也有一些是因为系统或者应用启用时未设置可用账户的密码信息而使用默认的配置;这就给攻击者毫不费力攻进信息系统的机会了。
一旦信息系统存在弱口令漏洞,并且该系统可以从公网上访问(不论是直接访问,还是在内网中需要跳板机的连接),那么攻击者就可以使用自己收集整理来的密码字典,暴力猜解可用账户的密码信息,进而该信息系统被攻击者控制、使用,造成敏感信息的泄露、计算机资产被盗用等等严重危害。
因此,最简单的且最有效的防御措施:定、短期更换信息系统的账号密码信息,并且保证账号为不常用的账号(例如admin、manager、admin1、Admin、administrator、root)、密码长度至少为8位、种类至少三种字符(例如:!234Qwer)。
为了万无一失(尽可能做到),防止攻击者使用密码字典暴力猜解登录信息,还可以使用白名单的方式限制可以远程登录信息系统的主机、设置可用账户的的错误登录次数、态势感知攻击者的攻击行为封堵ip等等方式。下面就从设置远程管理登录的配置信息的角度(以21、22、23、3306、3389为例)分享下怎么减少弱口令漏洞对信息系统的影响。
远程管理登录的配置方法
0 121 ftp服务的远程登录配置
以windows系统为例:
在windows中打开internet information services(iis)管理界面,可以看到ftp的配置选项。
iis中ftp的配置界面
在左上角的第一个功能选项ftp ip地址和域限制可以设置远程登录此ftp服务器的白名单,如此一来可以杜绝不被允许的主机连接此ftp服务器了,从而杜绝攻击者从外部的暴力猜解攻击。
ftp ip地址和域限制
如果攻击者进到内网,控制了一台可以连接此ftp服务器的主机,那么可以配置ftp登录尝试限制;此功能可以限制客户端登录错误的次数,也可以防御攻击者的暴力猜解攻击,这些登录行为都会被系统记录到日志中,可以为管理员提供有迹可循。
ftp登录尝试限制
如果需要在ftp服务器前面放一台防火墙设备,来隐藏真实的ftp服务器的端口,那么在ftp防火墙支持的配置中可以为ftp服务器搭建一个端口数据通道(也就是端口镜像)。(只要防火墙的策略配置好,肯定是可以防攻击者的暴力猜解弱口令的)
ftp防火墙支持
02
ssh服务的远程登录配置
ssh服务器端的配置信息在/etc/ssh/下的sshd_config文件(ssh_config为客户端配置文件,一般用不到)
/etc/ssh
修改ssh的默认端口,可有效防范常规、机器的攻击;端口值的范围在0-65535。
修改端口
修改ssh的一些连接设置,比如最多连接主机的数据、最长尝试登录时间、最大的尝试登录次数(错误登录次数)
修改尝试登录的配置项
设置登录时是否使用密码、是否允许空密码的用户登录,可以解决未授权用户登录的问题
解决未授权登录的问题
0 323 telnet的远程登录配置
telnet服务一般应用在路由器(3层)、交换机(2层)等网络设备中,如果存在弱口令漏洞则给攻击者较容易的方式破坏信息系统的网络建设,造成内部网络的崩溃。针对此漏洞可能对信息系统的危害可以从设置简单的acl(白名单)、更换密码的复杂度和长度来防御攻击者的攻击。
在进到路由器的配置中,首先要切换到system权限下,新建一个acl,并指定该acl仅限制哪些主机可以连接路由器。
telnet访问控制配置-设置acl
设置telnet的用户的密码
0 43306 mysql数据库远程登录管理
以windows下的mysql v8.0.12为例:
在mysql安装路径下找到my.ini文件,该文件记录了mysql数据库的配置信息。
比如修改数据库的默认端口,使其不运行在默认的3306端口上。
port=3306
修改mysql数据库的一些用户的密码的配置,则可以在数据库中直接更新user表中的用户的密码的配置的字段值。比如,用户的密码值(authentication string)、密码过期时间(password_lifetime,password_expired)、最大的连接数(max_connections,max_user_connections)、禁用账号(account_locked)。(或者是使用其他方式也是可以的)
修改表中字段值的方法是:
update user set authentication_string=password(‘123456’) where user=’root’;(更新表设置字段值当user为root)
对数据库的用户的权限做划分,也可以有效的降低弱口令漏洞对数据库的影响。
GRANT ALL PRIVILEGES ON *.* TO ‘root’@‘%’ IDENTIFIED BY ‘password’ WITH GRANT OPTION;(*.*表示所有表的所有权限,%表示所有的主机都可以使用root连接)
设置数据库的其他参数,比如在配置中修改密码的一些参数。
389 RDP服务的远程登录配置
以windows 7为例:
针对3389 windows平台的RDP服务,弱口令漏洞存在一般跟windows中的系统用户有关,那么可以修改系统中的用户的配置来避免此漏洞对计算机系统的影响。
使用gpedit.msc本地组策略编辑器来管理用户的一些策略设置,在运行中打开此程序。
gpedit.msc
本地组策略编辑器运行界面
在密码策略中修改策略可以强制用户定期的管理自己密码,并且符合日常使用的规范、防范攻击者的暴力猜解。
账户锁定策略
通过以上的配置密码策略和无效登录的次数,那么在终端防护弱口令的攻击,基本上可以做到七八成的防护了。如果根据实际需求还需保障合法主机的任意登录,那么可以在链路上的硬件防火墙或者软件版的防火墙中添加连接的白名单。
赠送:windows下修改用户密码的操作,在cmd中使用net user username password修改用户的密码
修改用户密码
总结
1定期、短期的修改密码为复杂且较长的字符是最高效的防范弱口令漏洞的方式
2配置好信息系统中的使用账户的策略(如强制用户定期更换密码具有一定的复杂性和长度、对信息系统中的账户做最小权限的划分、限制连接的主机数量、绑定可连接主机的ip/mac地址(白名单策略)、限制错误登录次数),将会降低攻击者暴力猜解的成功率和弱口令漏洞对信息系统的影响
3配置好链路上的硬件防火墙、态势感知设备、日志审计设备以及终端防护软件(如杀毒软件、防护软件(edr))并将它们启用,建立起联动机制,某一防护节点发现攻击行为,及时封堵ip地址,截断攻击流量,才能做好信息系统的安全防护,不仅仅是针对弱口令的漏洞。
点击上方“蓝字”关注我们吧!
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
