滲透測試技術在氣象觀測設備網絡安全防護中的應用

黃毅 楊海龍 聶恩旺

（1.邢臺市氣象局 河北省邢臺市 054000 2.河北省氣象局信息中心 河北省石家莊市 050021）

1 引言

近年來，網絡安全形勢嚴峻，網絡安全事件頻發，涵蓋計算機、局域網、互聯網等傳統IT 領域和工業控制網絡，并向物聯網蔓延。

（1）勒索病毒于2017年5月12日全球爆發，到目前為止，不但發展出GlobeImposter、Phobos、Paradise 等多個勒索病毒家族，還出現多個升級版本和變種病毒；同時，除了利用釣魚郵件、病毒偽裝成應用軟件、U 盤傳播等這些傳播手段，還出現利用泛微漏洞、SNMP 漏洞等漏洞，攻擊互聯網計算機，在攻擊得手后，還會利用永恒之藍，RDP 遠程桌面漏洞，弱口令爆破等攻擊手段進行橫向傳播。

（2）工業控制網絡往往應用在重點行業，已成為黑客進行攻擊和數據竊取的重要目標，工業控制網絡如果遭受攻擊，會造成嚴重的經濟安全、公共安全問題，例如：2010年針對伊朗核設施的震網病毒攻擊，2013年針對歐洲和北美能源公司的Havex 病毒攻擊。工業控制網絡病毒有Stuxnet 病毒(震網病毒)、Duqu 病毒、Flame病毒(火焰病毒)、Havex 病毒等；其中，Havex 病毒會掃描網絡中支持OPC 協議，對OPC 請求作出響應的設備，或開放默認端口的設備，以搜集聯網設備的設備信息，如果利用漏洞入侵成功，很可能造成控制數據遭竊取。

（3）隨著“互聯網+”以及物聯網的快速發展，越來越多的智能設備出現在我們的生活中，以智能攝像頭為例，多款智能攝像頭產品，因設備漏洞、弱口令、未加密傳輸等因素，造成視頻信息泄露，甚至設備被黑客操控，進行DDoS 攻擊。

2 滲透測試

滲透測試是通過模擬惡意黑客的攻擊方法，來評估計算機網絡系統安全的一種評估方法。滲透測試是從保護系統的目的出發，收集測試對象的相關信息，分析開放端口及該端口可能存在的漏洞，以便更全面地找出安全隱患。

滲透測試執行標準（PTES: Penetration Testing Execution Standard）包含7 個階段：

（1）前期交換；

（2）情報收集；

（3）威脅建模；

（4）漏洞分析；

（5）漏洞攻擊；

（6）后滲透；

（7）報告。

3 《OWASP IoT Top 10 2018》

《OWASP IoT Top 10 2018》即2018年物聯網10 大安全隱患，即在構建、部署或管理物聯網系統時應該規避的十大問題，筆者參考《OWASP IoT Top 10 2018》，分析可能出現的安全隱患。

（1）弱密碼、可猜測密碼或硬編碼密碼；

（2）不安全的網絡服務；

（3）不安全的生態接口；

（4）缺乏安全的更新機制；

（5）使用不安全或已遭啟用的組件；

（6）隱私保護不充分；

（7）不安全的數據傳輸和存儲；

（8）缺乏設備管理；

（9）不安全的默認設置；

（10）缺乏物理加固措施。

4 滲透測試數據分析及安全防護

筆者在網絡安全檢查中，使用滲透測試技術發現：部分氣象觀測設備存在打開21、23 端口，提供FTP、telnet 登錄；存在匿名FTP 登錄；WEB 登錄無用戶名密碼認證等網絡安全問題。

4.1 自建中心站

自建中心站配套部署區域站設備，區域站設備通信模塊安裝有SIM 卡，配置指定互聯網地址及UDP 5XXX 端口；中心站服務器部署在內網中，通過互聯網防火墻NAT 配置，中心站服務器對應端口將接收到區域站設備發送的觀測數據，實現數據采集、實時顯示和存儲功能。

通過對互聯網防火墻該條安全策略的日志記錄進行分析，發現以下特征：

（1）區域站設備通信模塊獲取到的互聯網地址，不固定，變化范圍為一個C 類地址。

（2）互聯網防火墻UDP 5XXX 端口，存在大量端口掃描，源地址中既有國內IP 地址，也有國外IP 地址；源端口中，一類為固定端口號的掃描，一類為遞增端口號的掃描。

在中心站服務器上對UDP 5XXX 端口進行抓包，通過對抓包數據分析發現，區域站設備數據上傳為明文，SIM 卡號和觀測日期時次一目了然；通過長時間抓包對比，不難判斷出其中的各項觀測數據。

網絡安全防護方法：

可以通過在互聯網防火墻上增加安全策略，只允許區域站設備通信模塊的C 類地址可以訪問中心站服務器端口，并阻止對應的ANY 地址連接，以確保中心站軟件不會接收到異常數據，影響正常數據接收。

參考《OWASP IoT Top 10 2018》第7 項不安全的數據傳輸和存儲，建議對區域站設備氣象數據傳輸和處理做加密處理。

在實際業務應用中，區域站設備通訊模塊配置為運營商專用APN 網絡，通過防火墻日志分析，可以判斷區域站數據是否發送到防火墻，從而判斷為區域站通信模塊故障，或中心站數據處理軟件故障；通過數據抓包可以判斷是否有異常數據。

4.2 水汽觀測設備

該水汽觀測設備為嵌入式開發設備，開放21 和80 端口。21端口為vsftpd 服務，存在允許匿名登錄的問題；80 端口為WEB 服務，無用戶名密碼認證，可直接訪問設備，查看設備參數和配置。

網絡安全防護方法：參考《OWASP IoT Top 10 2018》第3 項不安全的生態接口，缺乏認證/授權，建議增加用戶名密碼認證機制，并配置復雜密碼；或者利用交換機ACL，限制僅指定的管理IP 地址可以訪問水汽觀測設備的21 和80 端口。

4.3 DPZ1型綜合集成硬件控制器

DPZ1 型綜合集成硬件控制器（簡稱DPZ1 控制器），為觀測站核心設備，可以將多個串口數據轉換為標準的TCP/IP 協議數據。DPZ1 控制器通過光纖轉換器與業務計算機相連，業務計算機安裝有SMOPORT 驅動程序，實現將氣象采集數據發送至業務計算機ISOS 軟件上。

DPZ1 控制器設置IP 地址為192.168.1.1，業務計算機安裝有雙網卡，與DPZ1 控制器連接的網卡（A 卡）設置IP 地址為192.168.1.2，不配置網關地址，與業務內網連接的網卡（B 卡）配置網關地址。

筆者在勒索病毒防護中，為了監測勒索病毒針對445 端口的攻擊，在互聯網防火墻和內網防火墻（廣域網防火墻）中配置了安全策略，對445 端口的訪問進行日志記錄，在互聯網防火墻日志中，出現源地址為業務計算機，目的地址為192.168.1.X 地址的445 端口訪問，該類日志引起了筆者的警惕。

以目的地址為192.168.1.3 的445 端口訪問為例，根據業務計算機兩塊網卡的路由信息，因為配置為192.168.1.2 的網卡沒有設置網關，目的地址為192.168.1.3 的數據包轉發到默認網關（B 卡）上；核心交換機上存在0.0.0.0 的指向互聯網防火墻的靜態路由，因此將數據包轉發到互聯網防火墻上。由此可以判斷出業務計算機已感染勒索病毒，且勒索病毒已對DPZ1 控制器進行了掃描，目前，已多次發現業務計算機感染勒索病毒，出現的故障多為業務計算機藍屏或死機，DPZ1控制器未出現故障。如果隨著勒索病毒版本升級，出現影響DPZ1 控制器，影響與DPZ1 控制器進行通信的惡意病毒，將嚴重影響數據采集。

正常情況下，在業務計算機上運行 netstat -ano 命令，會發現源地址為192.168.1.2， 源端口為4002 和4004，目的地址為192.168.1.1（DPZ1 控制器），目的端口為8000 的連接，如果業務計算機感染勒索病毒，運行 netstat -ano | findstr ":445" 命令，將發現大量445 端口連接。

筆者搭建了實驗環境，對DPZ1 控制器進行了端口掃描，除開放的8000 端口，掃描發現還開放了21 端口和23 端口，分別對應vsftpd服務和telnet服務，這兩個服務為進行設備檢查和版本升級用；盡管存在用戶名密碼認證和登錄失敗次數退出功能，但筆者認為這兩個端口易遭受用戶名密碼爆破攻擊。

實際上，黑客已經利用產品漏洞，對工業控制網絡的管理型交換機、高級以太網網關設備、串口通訊服務器等設備進行了攻擊，在國家信息安全漏洞共享平臺（CNVD）上，Moxa 多款設備存在漏洞，其中NPort 串口通訊服務器產品存在漏洞有：Moxa NPort W2x50A 操作系統命令注入漏洞、Moxa NPort W2x50A 操作系統命令注入漏洞、Moxa NPort W2150A and W2250A 未授權訪問漏洞等。因此，DPZ1 控制器同樣需要做好網絡安全防護。

網絡安全防護方法：參考《OWASP IoT Top 10 2018》第2 項不安全的網絡服務，業務計算機的445、3389 等端口會遭到勒索病毒攻擊，應盡量關閉這些端口；如果確為業務需要，可以利用交換機ACL，限定僅指定的IP 地址可以訪問，避免遭受勒索病毒攻擊；使用netstat -ano | findstr ":445" 命令和netstat -ano | findstr "192.168.1.1"命令對連接情況進行監控，及時發現勒索病毒攻擊和針對DPZ1 21、23 端口的攻擊；業務計算機及時更新漏洞補丁，如果發現感染勒索病毒，使用專殺工具，及時查殺；定時對重要數據進行異機備份，熟練掌握備份計算機更換。

5 總結

本文通過對三類觀測設備進行信息收集和漏洞探測，參考《OWASP IoT Top 10 2018》，分析了可能出現的安全隱患，根據發現的問題，提出了具有針對性的網絡安全防護方法。以遏制勒索病毒內網傳播為例，網絡安全防護需要省市縣聯防聯動，從最基礎的終端防護，到各種安全設備信息共享，智能識別，構建勒索病毒網絡安全防護體系，達到對勒索病毒攻擊進行監控和溯源的目的；同時，將勒索病毒攻擊限制在有限的區域內，避免全網攻擊，造成病毒擴散。

滲透測試是網絡安全防護行之有效的方法，針對不同的觀測設備，進行信息收集和漏洞探測，從而制定具體的網絡安全防護方法，可以有效的提高網絡安全防護能力，以保障觀測數據的正常采集和傳輸。