豪密科技第 16 期密评实操能力验证培训 - 2025/02/21 下午

  有幸参加了公司安排的豪密科技第 16 期密评实操能力验证培训，本文是第八课《应用场景中的数据采集与分析 3：设备和计算安全层面》的培训内容。

2024 年实操能力验证最后一题

  某等保三级信息系统为远程办公用户和异地分支机构用户提供业务服务，远程办公用户和异地分支机构用户均通过互联网使用办公终端访问部署在数据中心机房的应用服务器。该系统通过在用户办公终端部署 SSL VPN 客户端软件及数据中心出口分别部署 IPSec VPN，实现异地分支机构……

第一问

  请对抓取的所有通信信道上的加密流量进行协议分析，……

第二问

  请对每条加密流量的加密有效性进行判定，给出简要分析过程和证据截图，并在下表填入分析结果。

第三问

  请指出存在安全风险的加密流量，进行风险分析，并填入下表。

出题分析——模拟题的两个出题方向 2020 和 2021

1. IPSEC VPN 数据筛选，造一个 100M 或 500M 的数据采集文件

   1. 考使用 wireshark 筛选所需数据的技巧
   2. 数据中出现多个 VPN 链路，会看 SPI 号和 MessageID 号
   3. 看日志数据确定 ESP 使用的算法套件

2. IPSEC VPN 数据分析，数据中出现的问题：

   1. 密钥交换主模式（24 小时），快速模式（1 小时）时间间隔不合规
   2. 快速模式完成后，ESP 数据没有重启（ESP 序列号重启，SPI 号换新）
   3. SKr 加密数据长度短了应该是 128 比特而实际数据是 64 比特
   4. ESP 数据露明（不随机）
   5. 日志数据显示使用 DES

3. 场景

   1. 给数据包
      1. 数据包小
      2. 数据包太大无法用 wireshark 打开
   2. 数据现场采集
      1. 数据量不是特别大
      2. 特别大，必须筛选存储
   3. 数据远程采集
      1. 数据可以取回
      2. 数据无法取回

4. 工具：wireshark，tshark，TCPDUMP（底层都是 libpcap）

身份鉴别-设备

1. 密码产品类设备

   1. 直接登录（插 ukey、动态口令）
   2. 直接登录（未插 ukey）
   3. 远程登录（插 ukey）
   4. 远程登录（未插 ukey）

2. 通用类设备（应用/数据库服务器）

   1. 直接登录：采用密码技术（插 ukey、动态口令）合规鉴别，成本高、少见
   2. 远程登陆（不通过堡垒机）：远程管理终端身份鉴别 + 远程管理通道（SSH、RDP），判定弥补
   3. 远程登陆（通过堡垒机）：堡垒机身份鉴别（ukey、动态口令、短信 + 口令）+ 远程管理通道（SSH、RDP），判定弥补。常见

3. 情况

   1. 管理终端 http 访问 CA 系统
   2. 管理终端安装了中间件才能与 Ukey 交互并登录
   3. 登录：口令 + UKey

4. 数据采集方案

   1. 终端数据采集：本地回环（127.0.0.1），获取终端主机（客户端脚本）与中间件之间的交互数据
   2. 管理通道数据采集：终端与 CA 系统间交互数据

重要可执行程序完整性、来源真实性

          可执行程序签名及完整性、真实性验证流程

  用数字签名工具对程序做签名的步骤：

1. CA 签发代码签名证书
2. 签名工具导入代码签名证书
3. 添加签名规则、选择模式
4. 签名

  重要可执行程序完整性、来源真实性保护的全流程：

1. CA 签发代码签名证书
2. 导入代码签名证书
3. 签名
4. 程序执行时，验证签名、验证发布者