【LAS】【软件漏洞】NGALS系列软件漏洞处理步骤

郑河川发表于:2021年05月31日 19:17:55更新于:2021年05月31日 19:21:23

1     问题描述

软件版本日志审计安装后可能由于未做安全加固导致存在漏洞。

 

2     适用场景

•      软件版NGLAS

3     原因分析

•      日志审计软件以及Linux系统自身组件(Mysql、SSH、ES、Tomcat等)存在安全漏洞。

4     解决办法

开放端口策略

网神SecFox日志收集与分析系统LAS-V5.0_7.2.x软件版需在Linux操作系统和网络访问控制策略,以保证系统正常工作:

端口号

协议

描述

80

TCP-http

管理控制台访问端口

443

TCP-https

管理控制台访问端口(开启https时,使用此端口)

162

UDP

用于接收   SNMP Trap 告警的端口

514

TCP、UDP

用于接收   syslog 日志

2055

UDP

用于接收   NetFlow v5数据

9514

TCP、UDP

接收转发的日志

根据客户具体的日志采集和分析服务需要,若客户网络中部署了日志采集代理、分布式日志采集器、分布式计算存储节点,或需要进行短信通知服务,则客户的网络环境需开放相应的网络访问控制策略。具体的网络访问控制策略参考下表:

 

源端口

目的

目的端口

协议

描述

LAS

Any

Agent

16000

https

管理中启动、停止、配置和升级日志代理

Agent

Any

LAS

443

https

管理中心监听心跳日志代理

Agent

Any

LAS

514

TCP、UDP

管理中心通过514端口接收日至代理采集上来的日志信息

LAS

443

短信网关

Any

https

LAS系统访问短信网关时需要https://www.yuntongxun.com

LAS

Any

LAS-PBL

443

https

管理中心注册日志采集器

LAS-PBL

Any

LAS

9514

TCP、UDP

管理中心通过9514端口接收日志采集器采集上来的日志信息

LAS-PBL

Any

LAS-DCS

9514

TCP、UDP

分布式计算存储节点通过9514端口接收日志采集器采集上来的日志信息

LAS

Any

LAS-DCS

443

https

管理中心注册分布式计算存储节点

LAS-DCS

Any

LAS

3308

TCP

分布式计算存储节点连接日志审计系统管理中心(部署DCS时需要)

LAS/

LAS-PBL/

LAS-DCS

Any

时间服务器

123

UDP

连接时间服务器,同步时间

被采集设备

Any

LAS-PBL/

LAS

162

UDP

用于接收 SNMP   Trap 告警的端口

被采集设备

Any

LAS-PBL/

LAS

514

TCP、UDP

用于接收 syslog 日志

被采集设备

Any

LAS-PBL/

LAS

2055

UDP

用于接收 NetFlow   v5数据

LAS-PBL/

LAS

Any

被采集设备

页面配置的端口

TCP

用于JDBC采集任务采集数据

LAS-PBL/

LAS

Any

被采集设备

页面配置的端口

TCP

用于kafka采集任务采集数据

防火墙加固

1)     执行以下命令查看防火墙是否开启,如果开启则执行第三步添加相关防火墙规则

systemctl status firewalld.service

2)     如果未开启防火墙则需先启动防火墙,并设置开机自启

systemctl start firewalld.service

systemctl enable firewalld.service

3)     添加防火墙规则

firewall-cmd --permanent --zone=public --add-port=80/tcp

firewall-cmd --permanent --zone=public --add-port=443/tcp

firewall-cmd --permanent --zone=public --add-port=22/tcp

firewall-cmd --permanent --zone=public --add-port=16920/tcp

firewall-cmd --permanent --zone=public --add-port=162/udp

firewall-cmd --permanent --zone=public --add-port=514/udp

firewall-cmd --permanent --zone=public --add-port=2055/udp

firewall-cmd --permanent --zone=public --add-port=514/tcp

firewall-cmd --permanent --zone=public --add-port=9514/udp

firewall-cmd --permanent --zone=public --add-port=9514/tcp

firewall-cmd –reload

访问白名单加固

此步骤为可选步骤,限制仅允许白名单IP访问LAS服务器的443(https)端口或22(ssh)端口,需要在配置通用端口加固后,在对443端口或22端口进行限制,以下使用https端口加白举例:

1)           去除LAS443端口防火墙开放规则

firewall-cmd --permanent --zone=public --remove-port=443/tcp

2)           配置访问LAS443端口的白名单,address可以添加网段或者单IP

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.0/24" port protocol="tcp" port="443" accept"

firewall-cmd –reload

22端口加白请谨慎操作,避免加固后无法连接!

 

软件更新

请将网神SecFox日志收集与分析系统V5.0_7.x.x升级至最新版本!

日志收集与分析系统V5.0_7.1.x和V5.0_7.2.x系列版本自发布后修复了若干Bug和安全漏洞。强烈推荐将目前安装的LAS软件版本更新到最新版本LAS V5.0_7.2.4,避免不必要的系统攻击和软件问题。

补丁包获取地址以及升级步骤说明(内网平台登录wiki系统):

https://wiki.qianxin-inc.cn/pages/viewpage.action?pageId=248649070