网康NGFW助力蓝星集团免除木马要挟环球 - 千亿集团

网康NGFW助力蓝星集团免除木马要挟环球

2019-02-10 08:44:37 | 作者: 涵亮 | 标签: 集团,端口,运用 | 浏览: 4024

千亿集团事例】2012年以来,信息安全在全球范围内都遭到严峻应战,关于网络的依靠使得网络信息安全现已成为各部门、组织、校园、企业等的头等大事。信息安全问题日益严峻,企业用户随时都将遭到病毒、木马、僵尸网络等要挟。怎么采纳自动防护办法,防备于未然?网康下一代防火墙的运用给予了很好的答案。

  我国蓝星(集团)总公司是我国化工集团公司办理的大型国有企业。蓝星以化工新材料和特种化学品为主业,公司总部设在北京。蓝星控股“蓝星清洗”、“星新材料”、“沈阳化工”3家上市公司,在国内具有25个工厂和4个科研组织。在海外具有15个工厂,7个研制和技能效劳组织,营销网络广泛全球140多个国家。

  蓝星集团在网康“遍及风暴”活动中免费上线测验了网康下一代防火墙。上线后当即发现了SQL效劳器存在的巨大安全危险,并发现了效劳器暗码被篡改,一起定位出了进犯者。

  确诊进程:

  1. 登陆NGFW,办理员发现了sock4/5运用危险很高,并且衔接数较多


  2. 进入运用剖析页面能够看到该运用存在缝隙,简单被黑客所运用,并且还能简单逃逸传统防火墙的监控


  3. 进一步查看该运用触及的意图地址,能够看到IP为192.168.100.13和10.16.169.4的设备被拜访的最为频频。


  4. 查看源国家,有许多衔接别离来自美国、韩国、越南、日本、菲律宾、俄罗斯等,十分不正常。


  5. 挑选源国家为美国的IP,经过集成相关跳转到流量日志中查看相关流量概况。


  6. 经过查看某条衔接的细节,能够看到更多详细信息。


  7. 能够看到,这些流量的意图端口都是1433。

  1433端口,是SQL Server默许的端口,SQL Server效劳运用两个端口:TCP-1433、UDP-1434。其间1433用于供SQL Server对外供给效劳,1434用于向恳求者回来SQL Server运用了哪个TCP/IP端口。

  1433端口不是很安全,往往很简单被黑客攻陷。因而,更改SQL Server 默许的1433端口是很有必要的。现在网上存在许多抓1433端口肉鸡的动画。而他们运用的往往是sa弱口令,因而要注意把sa暗码设置得杂乱一些,并且在conn等数据库链接文件中不要运用sa用户进行数据库衔接。

  别的1433端口,假如仅仅是本机web链接本机数据库,那么没必要开1433,它是长途链接运用的。

  8. 经过NGFW计算在一周的时刻范围内外网衔接192.168.100.13数据库效劳器的衔接数量,如下图所示:

  经过以上一系列的剖析能够了解,现在192.168.100.13这台效劳器因为默许开放了1433端口,成为外网进犯的方针。黑客经过socks协议测验衔接1433端口,并经过SQL运用测验暗码或衔接效劳器查询数据。每周的累计流量已达几百兆。既占用了巨大的带宽资源也增加了企业的危险。

  因为192.168.100.13这台效劳器存在危险,或许已被侵略,因而咱们查看这台设备上发生的流量,能够看到其间有FTP操控衔接运用。这个运用相同存在巨大的安全隐患。


  FTP效劳一般要翻开两个端口,一个是数据端口,一个是操控端口,操控端口一般为21,而数据端口纷歧定是20,这和FTP的运用形式有关,假如是自动形式,应该为20,假如为被动形式,由效劳器端和客户端洽谈而定。

  9. 经过相关流量日志的剖析,能够看到192.168.100.13经过FTP衔接拜访外部IP。


  10. 经过对意图IP的方位查询能够知道是江西省南昌市。


  经过对这台SQL效劳器的查看,发现数据库暗码现已被黑客修正。黑客操控SQL效劳器后经过效劳器自动建议FTP恳求,拜访江西省南昌市的IP下载木马或上传企业内部数据,存在极大危险。

  经过一段时刻的测验,网康下一代防火墙解决方案在蓝星集团的网络环境中发挥了较大的效果。经过设定对效劳器和客户端的网络安全防护办法,节省了IT剖析本钱,减少了安全危险,提高了网络拜访安全性,保证了蓝星集团事务的正常工作。

  更多材料点击:https://www.netentsec.com/productseries/ngfw.html

版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表千亿集团立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章