87【网络安全】【密码策略审计】

第三章入侵检测技术实验密码策略审计【实验名称】密码策略审计【实验目的】使用RG-IDS对网络服务的登录密码强度进行审计【背景描述】某企业网络中使用FTP服务器提供文件传输服务。用户在访问FTP服务器之前需要进行身份验证。由于FTP服务器中存放了很多重要的数据和文件，所以需要用户使用高强度安全性的密码进行认证。【需求分析】需求：密码是最为常见的一种认证形式，而且经常是外部和重要服务之间的唯一壁垒。攻击者可以使用一些程序来帮助猜测或“破解”密码，但是通过选择一个安全的密码并做好必要的保密工作，那么那些未经授权却想非法进入服务人就会觉得的非常困难。通常在组织内部对用户访问其重要服务器的密码安全均有强度等安全要求。分析：通过RG-IDS实时检测和告警，使管理员及时发现使用不安全密码登录的用户，及时进行必要的调整，降低不必要的风险。【实验拓扑】【实验设备】PC3台RG-IDS1台直连线4条127网络安全实验教程交换机1台（支持多对一的端口镜像）【预备知识】交换机端口镜像配置RG-IDS配置FTP服务器的配置【实验原理】密码攻击是骇客攻击时最常用到的方式之一，利用密码的猜测、暴力破解等方法来掌握关键帐号的密码，已达到控制远程机器的目的。防范此种攻击最常用的方法是保障密码的强度，即对帐号所使用的密码长度、复杂度（使用大小写、字母、数字、非标准字符等进行组合）进行强制性要求。本实验通过模拟某FTP服务器登录帐号密码使用简单密码，IDS将及时产生告警。【实验步骤】第一步：策略编辑点击主界面上的“策略”按钮，切换到策略编辑器界面，从现有的策略模板中生成一个新的策略。新的策略中选择“authentication:authentication”及“FTP”，根据策略要求调整“authentication:authentication”的检测参数，将“PASSWORD_MATCH”、“NUMPASS”的值置为“1”将，并将策略下发到引擎。第二步：使用弱密码进行登录在FTP服务器上建立帐户“test01”、“test02”，密码分别是“123456”和“test02”。在FTP客户端机器上分别使用帐户“test01”、“test02”进行登录。第三步：查看警报进入RG-IDS控制台，通过“安全事件”组件，查看IDS检测的安全事件信息，如下图所示。128第三章入侵检测技术实验RG-IDS准确检测出两次弱密码登录事件事件，事件详细信息如下图所示：129网络安全实验教程第四步：修改策略在RG-IDS控制台中修改策略参数，将“ALERTPASSWORDS”的值修改为“1”，保存并应用策略到IDS当中。第五步：重新登录FTP服务器重复第二、三步骤，观察报警详细信息的差异，告警信息中将显示出不安全的密码。130第三章入侵检测技术实验附：authentication:authentication主要参数功能说明131网络安全实验教程ALERT_PASSWORD告警密码显示。此值设置后用来判断是否需要在事件告警时显示用户口令信息。MIN_PASSWORD_LENGTH触发事件告警的最短口令长度。此策略值设置后，当告警的口令小于8位时，系统将进行告警。BAD_USER_LIST错误的用户名列表。触发事件告警的错误用户名称列表或不需要口令用户名。BAD_PASSWORD_LIST错误的口令列表。触发事件告警的错误的或不安全的用户口令。BAD_SRC_IP错误的源IP地址。触发事件告警的源IP地址。BAD_DST_IP错误的目的IP地址。触发事件告警的目的IP地址。PASSWORD_MATCH用户名和口令相同时是否触发事件告警。此参数值设置为1检测用户和口令匹配时触发告警，设置为0时不进行检测。NULLPASS空口令。参数值设置为1时当检测到口令为空时触发事件告警，设置为0时不告警。NUMPASS数字口令。参数值设置为1时当检测到口令仅为数字时触发事件告警，设置为0时不告警。ALPHAPASS字母口令。参数值设置为1时当检测到口令仅为字母时触发事件告警，设置为0时不告警。SPACEPASS口令中有空格。参数值设置为1时当检测到口令中有空格时触发事件告警，设置为0时不告警。132第三章入侵检测技术实验WHITESPACEPASS口令是空白（即没有输入任何键时）。参数值设置为1时当检测到口令是空白时触发事件告警，设置为0时不告警。ALPHANUMPASS字母和数字口令参数值设置为1时当检测到口令是字母和数字组成时触发事件告警，设置为0时不告警。ANONYMOUS_USERS匿名用户列表。表中的匿名用户可以不受密码长度的限制。默认添加了部分知名的匿名用户133