1 弱口令扫描概述
一:存在场景
协议:RDP、SSH、Telnet、FTP等 应用:各种操作系统、数据库、Web应用系统等 设备:服务器主机、路由器、交换机、网络打印机等
二:常见扫描产品
Hscan John the ripper 其他各类工具
2 弱口令扫描工作流程
计划准备 (1)沟通及技术交流 (2)确认目标及口令策略 (3)工具及环境准备 (4)扫描方案确认及获取授权 扫描实施 (1)扫描方式,策略及字典库确认 (2)扫描换季及网络配置 (3)扫描目标的口令策略配置 (4)扫描任务下发 收尾确认 (1)异常任务排查 (2)导出报告 (3)收尾工作
3 扫描前计划准备
一:确认目标及口令策略
明确扫描范围,收集目标系统资产信息
如IP地址、承载的应用、开放的服务器端口等 收集安全防护产品配备情况
如当前已使用的防火墙、安全产品及使用情况、策略情况等,以方便确认是否存在阻断口令猜测的情况 确认口令配置策略
哪些协议或应用已配置多次猜测锁定策略 其他信息
业务系统的重要程度、业务繁忙时期等(重要资产夜间扫描),是否可以长时间挂扫
二:工具及环境准备
扫描设备准备
确认弱口令扫描工具
证书有效、设备/工具正常使用
导入使用本次扫描的字典库
目标网络接入环境准备 确定网络接入的方式和位置,以及电源的接入情况 提供弱口令扫描目标网段的空闲IP地址、网络掩码、网关等配置信息 收集接入网络安全防护产品部署情况、口令锁定策略配置情况
三:扫描方案确认及获取授权
确定扫描方案,护网期间建议与护网方案结合,提前完成沟通准备
在弱口令扫描实施之前,制定单项扫描计划,通过邮件与安全接口人及系统负责人确认扫描时间,并获取相关的授权或审批
四:常见问题及风险规避
资产收集
基础资产表:资产属性一般包括:所属于系统、IP地址、承载业务、映射前地址、映射后地址、浮动IP、所属部门、责任人、联系方式、已安装的应用、开放的服务端口、是否配置账号锁定策略等
信息资产,禁止未授权分发、外泄
扫描申请与授权
禁止对他人的资产或非授权的服务、应用、IP进行扫描操作 禁止在非计划时间内.不告知客户进行任何扫描操作
4 按计划实施扫描
一:扫描方式、策略及字典库确认
扫描方式及策略
本次扫描为使用字典库进行远程暴力猜解扫描,或为对密码文件进行破解扫描
本次扫描需设定的扫描超时时间(参考字典库前期测试遍历时间)
字典库
根据本次评估范围的资产 ,导入适当字典库作为本次扫描使用,可按系统或部门选用
字典库可包括通用弱口令字典库及针对评估环境的特定弱口令字典库
二:扫描环境及网络配置
扫描环境
扫描期间,维护人员全程配合观察业务系统运行状态
涉及机房操作的,针对网线插拔、开关机柜等操作,由配合人员完成
网络配置
扫描器接入前需确认扫描口IP地址配置 ,避免发生IP地址冲突问题
如网络不通,需要进行扫描设备故障排查、和网络环境故障排查(配合人员负责网络故障的排查)
三:扫描目标的口令策略配置
口令策略确认及配置
与管理员确认哪些应用或协议中 ,已开启了多次猜测失败则锁定的配置,在资产表中标记
确认标记中的目标资产是否可以进行弱口令扫描定
在扫描器将口令锁定策略临时关闭
四:扫描任务下发
每个扫描任务IP地址不宜太多,建议分批扫描(防止设备卡死、扫描中断等意外情况)
扫描的资产应以业务系统为单位 ,当无法确认业务系统时,应以部门单位进行扫描,方便历史数据统计分析;切勿一个扫描任务涵盖多个部门的资产
同一个扫描任务中,需确认是否所以资产可进行同类协议的弱口令扫描,如不同则需分开任务进行
扫描任务命名时明确部门、系统等关键信息,例如[部门名称+系统名称+任务类型+其他],能够有效的区分不同的扫描任务
扫描其间,配合人员需要全程关注业务运行情况,观察是否出现异常
在扫描其间一旦出现系统瘫痪、宕机等情况,根据提前准备的应急预案,立即配合进行处置和恢复。并根据现场情况决定业务恢复后是否还继续进行扫描任务
5 扫描后收尾确认
一:异常任务排查
二:导出报告实操
(1)报告导出
RSAS-口令猜测模块
Hscan
John the ripper
(2)结果验证
抽查结果报告中发现的弱口令,进行远程访问,登录验证
三:扫描收尾工作
配合人员对系统运行状态、业务运行状态进行确认,如有异常按照应急措施进行处置
扫描人员关闭扫描器,断开网线
恢复评估前取消的口令锁定策略,确认启用生效
经确认无误后扫描人员离场
·END·
▼
谨记责任,高歌向前
▼
文案 | Soap
排版 | Soap
审核 | Hard Target
指导老师| Hard Target
如有侵权请联系:admin#unsafe.sh