FissaDooz/makerhub-vulnerability-audit

GitHub: FissaDooz/makerhub-vulnerability-audit

该项目搭建了一个分段式企业网络 POC 并对其完成了结构化的技术漏洞审计,展示了从基础设施设计到漏洞发现与修复建议的完整流程。

Stars: 1 | Forks: 0

# MakerHub 漏洞审计 ![Nmap](https://img.shields.io/badge/Nmap-network%20discovery-blue) ![OpenVAS](https://img.shields.io/badge/OpenVAS-Greenbone-green) ![Active Directory](https://img.shields.io/badge/Active%20Directory-Windows%20Server%202022-lightgrey) ## 1. 背景与目标 MakerHub 是一个作为网络安全培训项目一部分而独立完成的结业 Proof of Concept (POC)。它包含两部分:一个代表现代企业环境的分段式基础设施,以及针对该基础设施进行的技术漏洞审计。 基础设施的目标是具体落实 defense-in-depth:一个连贯、分段的网络和系统架构,其逼真程度足以支持日志集中化、监控和检测工作,并且足够稳固,可以作为真实漏洞审计的基础。 审计的目标是在漏洞被利用之前,使用结合了自动化扫描工具和手动验证的结构化方法,识别、分析和确定该基础设施中技术弱点的优先级。 ## 2. 架构 该基础设施重现了一个分段式的企业网络:一个模拟的 ISP/CGN 上行链路、一个边界防火墙、核心路由和交换、托管 Windows 和审计区域的虚拟化数据中心(Proxmox),以及通过 site-to-site IPsec VPN 访问的运行 Splunk 的远程 SOC 网段。 ``` flowchart TB CGN(("Simulated ISP/CGN
100.64.0.0/10")) R1[R1 - Core Router] R2[R2 - SOC Core Router] FW1[Fortigate1 - Perimeter Firewall] MLS1[MLS1 - Multi-layer Switch] S1[S1 - Access Switch] HP[HP - Management PC] PFSENSE[pfSense - Internal Firewall] PVE9[PVE9 - Proxmox Hypervisor] SPLUNK[Splunk - SOC SIEM] subgraph DC["Datacenter (Proxmox)"] WINZONE["Windows zone
DC1, DC2, FS1, FS2"] LINUXZONE["Linux zone (reserved)"] AUDITZONE["Audit zone
OpenVAS"] end CGN --- R1 CGN -. IPsec site-to-site VPN .- R2 R1 --- FW1 FW1 --- MLS1 MLS1 --- S1 S1 --- HP MLS1 --- PVE9 PVE9 --- PFSENSE PFSENSE --- WINZONE PFSENSE --- LINUXZONE PFSENSE --- AUDITZONE R2 --- SPLUNK ``` 设计原则: - **分段**:用户流量和管理流量保持在独立的 VLAN 上,因此受感染的用户工作站无法直接访问管理界面 - **Defense in depth**:边界防火墙、内部虚拟防火墙和 VLAN 分段各自增加了一层独立的控制层 - **隔离的审计区**:漏洞扫描器在内部防火墙后方的专属区域内运行,限制了扫描活动的影响范围 - **远程隔离的 SOC**:监控被刻意与运营环境分开,仅通过加密的 site-to-site 隧道进行访问 完整的匿名化资产清单和数据中心区域图,请参阅 [docs/architecture.md](docs/architecture.md)。 ## 3. 使用的技术 - **网络**:Cisco 2911 路由器、Cisco Catalyst 2960 Plus 接入交换机、Cisco C3850 多层交换机、Fortigate 60F 边界防火墙、pfSense 内部虚拟防火墙 - **虚拟化**:Proxmox VE - **身份**:Windows Server 2022 Active Directory、DNS、DHCP、文件服务器、AGDLP 权限模型(Accounts、Global groups、Domain Local groups、Permissions) - **漏洞扫描**:Nmap、OpenVAS (Greenbone)(基于 Rocky Linux 9) - **SIEM**:Splunk Enterprise(远程 SOC 网段) - **连接**:IPsec site-to-site VPN、模拟的 CGN/ISP 上行链路(100.64.0.0/10,根据 RFC 6598) ## 4. 实施过程 ### 4.1 审计范围 审计涵盖了网络基础设施(防火墙、VLAN 分段、路由)、Windows 服务器(Active Directory、DNS、DHCP、文件服务器)、Linux 主机以及 Proxmox 虚拟化平台。主动入侵测试、已识别漏洞的利用以及应用层审计被明确排除在范围之外。 ### 4.2 方法论 审计结合了自动化工具和手动审查,以降低误报率并兼顾基础设施的特殊性:使用 Nmap 进行主机发现、开放端口和暴露的服务识别,并使用 OpenVAS 自动识别已知的漏洞、过时的版本和有风险的配置。两款工具的结果不仅进行了交叉比对,也与基础设施自身的资产清单进行了核对。完整的审计方法和前置假设请参阅 [docs/methodology.md](docs/methodology.md)。 ### 4.3 风险优先级排序 每项发现的优先级排序综合考虑了 CVSS 严重程度、受影响资产的关键性、其网络暴露程度以及周围已有的安全控制措施,而不是仅仅依据 CVSS 分数。 ## 5. 可衡量结果 - 网络发现确认了 15 台活跃主机,全部与记录在案的资产清单相符:在受审计的网络边界内未发现 shadow IT。 - 经过交叉验证和优先级排序后,保留了三项发现:文件服务器上未强制执行 SMB signing(CVSS 6.8,鉴于该资产的关键性,优先级提升);边界防火墙上的 ICMP timestamp reply 信息泄露(CVSS 4.3,低优先级);以及暴露的使用标准身份验证的 SSH 服务(CVSS 3.1,鉴于现有的访问控制,为低优先级)。 - OpenVAS 还额外标记了多台主机上已弃用且脆弱的 TLS 配置(SSLv2/SSLv3、弱密码套件、TLS 1.0/1.1),严重程度从 2.1 到 7.5 不等。 - 针对边界防火墙 Web 界面的手动 Nmap NSE 深度扫描发现了另外两项问题:Slowloris 拒绝服务暴露(CVE-2007-6750)以及一个可利用的 HTTP verb-tampering 弱点,该弱点允许在受保护的路径上绕过身份验证。 - 出于演示目的,规划了四项具体的修复措施:通过 GPO 强制执行 SMB signing、在防火墙处阻止 ICMP 类型 13/14,以及将防火墙的 Web 界面限制为其严格需要的 HTTP 方法和连接限制。HTTP 方法限制已通过后续扫描进行了验证,确认暴露的方法集已减少。 完整的表格和 CVE 引用请参阅 [docs/results.md](docs/results.md)。 ## 6. 经验总结 - **优先级排序胜过原始 CVSS**:一项 6.8 分的 CVSS 发现(SMB signing)在运营优先级上被评定为高于技术上得分相近的项目,因为它存在于关键的 Active Directory / 文件服务器资产上。而一项在暴露程度极低的防火墙上的 4.3 分发现则因相反的原因被评定为低优先级。背景环境对排名的改变程度远大于分数本身。 - **交叉验证至关重要**:同时运行 Nmap 和 OpenVAS 并将它们的输出与现有资产清单进行核对,使我们能够确认每一个暴露的服务都是预期内且有文档记录的,这本身就是一项安全发现(没有 shadow IT),而不仅仅是一个验证步骤。 - **范围纪律**:刻意排除主动利用和应用层测试,使得审计保持了非破坏性和可重复性,代价是无法完全确认每项发现的真实可利用性。这种权衡是明确说明的,而非暗示的。 - **POC 具有实际的局限性**:这是对特意缩减规模的环境进行的即时点评估。它端到端地演示了审计过程,但它不能替代全方位的、持续的漏洞管理计划。
标签:CTI, Docker部署, Nmap, OpenVAS, PHP, Terraform 安全, Windows Server, 漏洞审计, 网络安全, 网络架构, 虚拟驱动器, 隐私保护