对于安全漏洞管理艺术的新手来说,大量的扫描器和其它工具让人不知所措。哪些工具最有效?哪些工具价格最适中?
在上个月举行的“SANS波士顿2010”会议的培训会议中,SANS Institute(系统网络安全学会)总裁Stephen Northcutt介绍了一些基本工具以及这些工具的功能。
如何实施安全漏洞扫描
首先,Northcutt向听众介绍了这些扫描器的基本功能以及如何运行这些扫描器。在开始之前,他建议安全从业人员注意下列检查清单:
◆首先,在运行扫描之前要得到高层领导的批准。你要解释你将要做什么,在黑客攻击之前,扫描对于发现公司的安全漏洞是非常重要的。
◆提前发出通知,公布你的电话号码,并且记住人们讨厌这种突如其来的扫描。
◆点击你的目标选择,选择一个要跟踪的系统并且告诉它扩展子网。从那里开始,保持这个窗口不要扩大,每次仅扫描一个子网。采取这种做法,你就不会阻塞系统,而且同时发现多个安全漏洞会让你应接不暇。小批量地发现和修复安全漏洞避免心理压力过大。
◆在进行一次大量扫描的时候,不要从外部实施拒绝服务攻击扫描。
◆仅当你在办公室的时候或者在电话旁边的时候实施扫描。
◆首先修复红色优先级的问题。
Northcutt说,还要记住,你只能扫描允许你实施扫描的网络。超出允许的范围和扩大扫描的领域很可能会启动其他人的入侵检测系统和让你陷入麻烦之中。
Northcutt说,在选择扫描器的时候,你必须考虑如下事情:
◆产品是如何授权的?
◆产品是否有足够的灵活性承受公司计划中的增长?
◆产品的兼容性如何?它支持给安全漏洞编目的CVE(通用安全漏洞与披露)标准吗?
◆你能轻松地对比今天的扫描结果和四个星期前的扫描结果吗?这种对比是不是一个完全人工操作的过程?
◆你的经理喜欢这种报告输出吗?
欺骗端口扫描器Hping
Northcutt接下来向学生们介绍了Hping 3.0版的工作原理。他解释说,这个网络分析工具比更知名的网络工具Nmap更隐蔽。Hping能够制作一种特殊的数据包,里面包含定制的目的端口以及源端口、窗口尺寸、身份识别字段、TCP标识等等。
同Nmap一样,Hping最有价值的能力之一是假冒一个第三方的IP地址,让这个扫描的真正来源很难被检测到。但是,与Nmap不同, Hping首先寻找一个在互联网上闲置的沉默的主机。在任意指定的时间内,许多互联网主机是开机运行的,但是没有进行任何通讯。没有发送和接收任何数据包。Northcutt说,虽然无人看管,沉默的主机仍然在网络上倾听。如果客气地提问,它会回答。通过利用多个沉默的主机,攻击者能够执行一个很难发现的隐蔽的扫描。
p0f:被动操作系统检测
另一个值得了解的工具是p0f。这个工具被动地监视网络通讯,能够检查TCP/IP栈的具体部分。它能非常准确地预测发送这个通讯的网络的操作系统。这个工具对于观察不会改变其TCP/IP栈实施的实施工具是最有效的。这个工具还能识别那些为了隐藏另一个操作系统而改变其TCP/IP指纹的系统。
Nmap和Nessus
目前最常用的两个扫描器是Nmap和Nessus。对于不熟悉这两个工具的人,Northcutt介绍了如下情况:
◆Nmap是一个端口扫描器,具有快速、高水平、开放端口和操作系统指纹鉴定等特点。
◆Nessus是世界上最流行的安全漏洞扫描器,不过,美国国防部使用eEye。这两个扫描器都提供差不多的结果。
Northcutt警告称,安全漏洞扫描器工作的速度较慢并且能够引起一些误报。用户应该理解这个事情并且注意不要因为扫描器返回的报告指出有大量的安全漏洞而着急。管理员查看扫描结果的任务是要证实哪些安全漏洞是真正存在的以及这些安全漏洞的严重性如何,如果黑客利用这些安全漏洞会给软件造成什么影响以及可能造成什么破坏。这正是攻击代码工具要利用的地方。
【编辑推荐】
