居安思危 网络风险评估安全防线

    [晴 February 13, 2008 09:45 | by ]
来源: IT168
在以前的文章中我曾经说过,定期的对企业的安全工作进行缺口分析是非常重要的。不过,固然定期的审查安全策略和过程非常重要,同样不可轻视的还包括在这个过程中进行网络风险评估。

首先要进行对来自企业外部的网络风险的评估,对于你的企业中可以被网络公众看到的系统来说,这是识别其潜在网络安全缺陷的第一阶段。企业内部的网络风险评估与外部评估使用相同的方法,不过你要从访问内网的用户的角度来指导进行。

          Highslide JS

        
               图1、发现影响企业网络安全的“暗礁”

目前市场上有很多不同的免费软件和商用工具和技术,通过使用它们可以帮助你对企业所面临的安全危险有一个清晰的认识。一般来说,一个有效的网络评估测试方法应该可以解决以下方面的问题:

·防火墙配置不合适的外部网络拓扑结构

·路由器过滤规则和配置

·弱认证机制(它有可能导致基于字典的认证攻击)

·配置不合适或易受攻击的电子邮件和DNS服务器

·潜在的网络层Web服务器漏洞

·配置不合适的数据库服务器

·SNMP核查

·易受攻击的FTP服务器

我们在这儿单独把那些向公共互联网提供内容或服务的系统进行强调是非常有必要的。根据我的经验,通过普通传输机制向用户提供信息的服务是具有非常大的安全风险的,它们可能会变成潜在的入侵者和自动的恶意软件的攻击目标,其中也包括最近越来越多的蠕虫病毒攻击。这种类别的网络服务包括向远端用户提供内容的HTTP和HTTPS Web服务器。

根据我的经验,你可以分四个阶段来进行你的网络风险评估:发现(discovery),设备分析(device profiling)、扫描(scanning)和确认(validation)。下面让我们详细的分析每一个阶段。

发现

这个阶段要完成的任务是为你要进行评估的网络建立一个档案。这个档案中将包括所有活动设备的地址和它们相关的TCP、UDP和其它可以内部网络访问的服务。

在这个阶段,你可以同时使用主动式和被动式嗅探器来收集网络流量,以备进行分解和分析。通过这种方法获得的信息应当包括活动主机的身份证明、认证证书(诸如用户名和密码组合)、潜在计算机蠕虫病毒或木马发作的迹象和其它漏洞。

下面让我们一起看一下在这个阶段比较有用的几个常见工具。

1、Nmap

   Highslide JS

      
            图2、Nmap

这是一个网络服务端口扫描器,它使用了不同的技术来躲避网络入侵检测系统IDS的侦测。

官网地址:http://www.nmap.org/

2、Ethereal

   Highslide JS


       图3、Ethereal

这个被动式网络嗅探器支持捕获和解释数链接层、网络层和应用层的协议数据。如果你搭配Ettercap和ngrep使用这个工具的时候,你可以从捕获的网络流通量中提取出更有意义的信息,诸如Web应用程序事务、众多协议的用户验证、电子邮件信息和其它数据。

官网地址:http://www.ethereal.com/

3、Firewalk

高级路由跟踪工具 Firewalk使用类似路由跟踪的技术来分析IP数据包反馈,以确定网关ACL过滤器类型和网络结构。这款经典的工具在2002年十月由scratch重写。这款工具的大部分功能Hping2的路由跟踪部分也都能实现。

官网地址:http://www.packetfactory.net/projects/firewalk/

4、hping

hping是一个基于命令行的TCP/IP工具,它在UNIX上得到很好的应用,不过它并非仅仅一个ICMP请求/响应工具,它还支持TCP.UDP.ICMP,RAW-IP协议,以及一个路由模型 HPING一直被用作安全工具,可以用来测试网络及主机的安全,它有以下功能:1、防火墙探测;2、高级端口扫描;3、网络测试;(可以用不同的协议、TOS、数据包碎片来实现此功能);4、手工MTU发掘;5、高级路由(在任何协议下都可以实现);6、OS指纹判断;7、细微UPTIME猜测。

官网地址:http://www.hping.org/

设备分析

在这一个阶段中,通过使用上一阶段所收集的数据信息,你能够分析出一个列表,其中包括可访问的网络服务、互联网协议(IP)堆栈特征,还有已知的网络体系架构,通过这些信息,你可以确定在你的网络架构中的每一台设备所扮演的角色和相互信任关系。

扫描

针对在发现和设备分析阶段中发现的每一个网络服务进行已知安全漏洞的测试。通常来说,这些安全漏洞可以归为一类或几类,其中包括:

·系统漏洞

·未经授权的数据访问

·信息泄露

·执行命令

·拒绝服务(DoS)

在某些情况下,针对一个特定的网络服务,我们可以通过使用下面的软件来检测和利用与其相关的安全风险。

1、Nessus

   Highslide JS


      图4、Nessus

Nessus是一个功能强大而又易于使用的远程安全扫描器,它不仅免费而且更新极快。安全扫描器的功能是对指定网络进行安全检查,找出该网络是否存在有导致对手攻击的安全漏洞。该系统被设计为client/sever模式,服务器端负责进行安全检查,客户端用来配置管理服务器端。在服务端还采用了plug-in的体系,允许用户加入执行特定功能的插件,这插件可以进行更快速和更复杂的安全检查。在Nessus中还采用了一个共享的信息接口,称之知识库,其中保存了前面进行检查的结果。检查的结果可以HTML、纯文本、LaTeX(一种文本文件格式)等几种格式保存。

官网地址:http://nessus.org/

2、onesixtyone

这是一个SNMP服务扫描器和基于单词列表的社区字符串测试实用程序。

官网地址:http://www.phreedom.org/solar/onesixtyone/

3、nikto

Nikto 是一个优秀的 CGI(公用网关接口)扫描器。Nikto 不仅具备检查 CGI 弱点的能力,它还能够用一种比较难以捉摸的方法来进行,这样就能躲过入侵检查系统。该程序还附带了优异的文档。你在运行程序前应该仔细阅读文档。如果你的万维网服务器提供 CGI 脚本,Nikto 是检查这些服务器安全性的杰出资源。

官网地址:http://www.cirt.net/nikto/

确认

在你完成了上述三个阶段的网络风险评估工作后,你最后的一步是,尝试利用和确认在扫描阶段所发现的所有结果。

在网络风险评估的这个阶段中运用的测试和技术通常专门针对所检测到的潜在安全漏洞的。通过这最后一个阶段,将得到本次网络风险评估的最后结果。

总结:风险评估是一种责任

当前对互联网行为的法律约束机制还不完善,因此对你的网络进行潜在安全风险的评估是非常有必要的,这是为你的企业用户和客户提供服务的责任的一部分。如果你不能发现你的网络中的问题并解决掉,很难保证别人不会发现这个问题并利用它发起攻击。
InfoSecurity | Comments(0) | Trackbacks(0) | Reads(8829)
Add a comment
Emots
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
Enable HTML
Enable UBB
Enable Emots
Hidden
Nickname   Password   Optional
Site URI   Email   [Register]
               

Security code Case insensitive