針對空管分局、站操作系統的安全防護

宋來賀

摘要：本文結合實際，以強化網絡安全在空管分局、站的防護為目的，重點探討如何針對LINUX服務器和Windows服務器的檢查防護方式。

關鍵詞：漏洞掃描;端口掃描;日志查詢

1系統漏洞嗅探

毋庸置疑系統漏洞是黑客最常用的密碼探測和系統入侵手段。黑客對系統漏洞的利用能夠實現對目標主機的數據篡改、竊取、刪除一系列非法行為。本段會將系統分為基于Linux的漏洞嗅探和基于Windows的漏洞嗅探兩個部分進行闡述。

1.1基于Linux系統的漏洞嗅探

Linux是空管分局、站常用的主要系統，例如主用自動化系統、備用自動化系統、場監自動化系統、ADS-B系統等一系列A類設備均以Linux架構為運行。但當前Linux版本過久，加之廠家和運維人員也沒有重視系統漏洞的問題，這就導致很多人認為只要當前系統能夠安全穩定運行就可以。其實，我們應勇于去發掘系統存在的風險隱患，只有這樣才能做好相應的防控，才能遇事臨危而不懼。

1）漏洞嗅探軟件：

Linux漏洞嗅探軟件推薦Nmap，Nmap是開源掃描工具，通常是以隱秘的手法避開檢測系統的監視，并能夠降低嗅探過程中對目標主機的運行負擔。

2）Nmap漏洞嗅探：

在Linux終端上輸入命令namp--script=vulners-sV“探測IP地址”后就可以進行漏洞嗅探，如圖一所示：在測試機上進行的漏洞嗅探截圖，紅色標注地方即為當前測試機存在的漏洞。

CVE-2020-15778漏洞是2020年6月9日研究人員在Openssh中發現的一個漏洞，其可以利于OpenSSH的8.3p1中的scp允許在scp.c遠程功能中注入命令，攻擊者可利用該漏洞執行任意命令，并且絕大多數linux系統會受到影響。

下圖為該漏洞詳細情況：

漏洞名稱：OpenSSH命令注入漏洞（CVE-2020-15778）

威脅等級：高危

影響范圍：OpenSSH<=8.3p1

漏洞類型：代碼執行

利用難度：簡單

CVE-2020-14145漏洞是2020年6月29日發布的Openssh信息泄露漏洞，該漏洞產生的原因是OpenSHH客戶端中的可觀察到的差異會導致算法協商過程中的信息泄露。中間人攻擊者可以利于該漏洞攻擊初始連接嘗試。

漏洞名稱：OpenSSH信息泄露漏洞（CVE-2020-15778）

威脅等級：中危

影響范圍：OpenSSH<=8.3p1

漏洞類型：代碼執行

利用難度：簡單

4）報告收集：

對于已經嗅探后的漏洞進行相關文檔收集，并統一向廠家反饋，等待廠家更新漏洞補丁包。

1.2基于Windows的漏洞嗅探

當前空管分局、站使用的Windows系統主要應用于少數的生產網系統，例如管制綜合信息系，和常用的辦公網與研發網內的Windows系統。

對于有財政余額的空管分局、站建議在Windows系統安裝相應的漏洞嗅探軟件，例如瑞星、邁卡非、卡巴斯基等可以幫助用戶自動嗅探并修補系統漏洞，除此之外也能提供病毒查殺能力。對于不想采購殺毒軟件的空管分局、站可以使用Windows版本的Nmap和Nessus，下載安裝后進行漏洞嗅探即可。

2系統端口掃描

針對不同系統進行端口掃描，可以得到許多有用的信息，從而發現系統的安全漏洞。并且針對已開放的端口，可以根據安全策略進行關閉和更改，以來更好的保護我們的系統安全。

2.1基于Linux系統的端口掃描

端口掃描可以了解到服務器上開了哪些服務或者有哪些端口正在進行通信。每個開放的端口同樣可以成為黑客的入侵通道。運維人員進行端口掃描，可以將不必要的端口進行更改或者封閉，例如SSH默認端口號為22，可以修改為一個不常用的端口號，例如3645，能有效避免黑客嗅探行為的發生。本段會介紹Nmap如何進行端口掃描。

1）Nmap端口掃描：

在終端界面輸入命令nmap“目標主機IP地址”即可知道當前開放了哪些端口。測試機進行的端口掃描數據如圖二所示：

2）Nmap操作系統版本掃描：

Nmap能夠對操作系統版本等情況進行掃描，輸入命令nmap-O“目標主機IP地址”即可獲得當前操作系統的版本。測試機進行的版本掃描數據如圖三所示：

2.2基于Windows系統的端口掃描

Windows進行端口掃描除了可以下載使用Nmap的Windows版本外，也可以使用dos控制臺（命令提示符）行進行查詢。

在打開的Dos界面輸入netstat-ano按下回車即可看到本機所有通信的端口，測試機進行的端口掃描數據如圖四所示：

另外，在打開Dos界面也能看到本機的版本信息，以下就不再詳細敘述。

3系統日志查詢

系統日志是涵蓋系統中硬件、軟件和系統問題信息的文件，能夠記錄系統中事件發生的時間、原因和操作痕跡，對于事件查詢具有非常重要的作用。

3.1基于Linux系統日志查詢

Linux系統日志默認保存路徑位于var/log目錄下，如圖五所示：

Message日志即為系統日志，可以通過使用命令cat message對日志內容的查看。

3.2基于Windows系統日志查詢

在Windows界面右鍵點擊[我的電腦]/[此電腦]→[管理]→[事件查看器]可以查看所需要查詢的Windows日志記錄，日志記錄摘要如圖六所示：

結論

本文分別對Linux和Windows操作系統單獨闡述漏洞掃描、端口掃描、系統版本掃描和系統日志查詢操作，這可以幫助空管系統一線人員通過前文闡述內容自行查詢本空管分局、站的操作系統安全，并為構建四強空管和保障飛行安全起到了積極的作用。