《不花钱解决网络安全问题》摘记
这一系列文章是阅读《Secure Your Network for Free: Using NMAP, WIRESHARK, SNORT, NESSUS, and MRTG》时的摘要记录,并非原文翻译,仅供学习者参考。如果对部分技术内容的细节感兴趣,可以查阅原书或其他相关技术讨论文章。
第六章 系统测试和审计
日常管理中不难遇到有些系统违规上线和使用的情况。当接触新的网络或对网络当前的情况不了解是,进行全面的网络探索是十分必要的。
维护设备/系统台账
理想情况下,所有接入被管理网络的设备和系统都应被记录在案。但实际情况中往往难以完全做到。因此规律的进行网络探索并更新设备和系统台账将会很有必要。
-
定位并识别系统:记录台账的第一步是发现系统。如果系统的配置允许其回应 ping 请求信息,则对其所使用的 ip 地址执行 ping 操作可以发现系统。大多数情况下,即使不回应 ping 请求,系统总会对某些端口进行监听并有所回应,因此通过比较全面的 tcp / upd 端口扫描可以发现绝大部分在线系统。同时,通过深入分析不同端口的回应,可以了解系统中运行的软件和服务信息。
-
未登记系统定位:获得未授权接入网络系统的 ip 地址后,可以通过 traceroute 配合系统拓扑图,定位系统所处的物理位置。通用目的的扫描器有:
软件名称 说明 Nmap 被广泛使用的通用目的网络扫描工具。在 Windows 系统下,需要安装 WinPcap。 Super Scanner Windows 系统下的一款绿色软件,提供类似 Nmap 功能。 Angry IP Scanner 功能介于 Super Scanner 3 和 4 之间。 Scanline 轻量级的命令行 TCP 扫描工具。 除通用扫描器外,还有一些针对特殊情况或系统的专用扫描器,例如:
软件名称 说明 Back Orifice Trojan 扫描被感染的设备。 SNScan 扫描器用了 SNMP 的设备。 建议仅使用主流研究人员和企业提供的工具,避免引入更严重的隐患。
-
定位无线接入的系统:无线接入的系统,其物理位置的定位相对困难一些。NetStumbler 是一款可以协助发现无线网络的工具。
-
编制文档:编写文档对网络管理十分重要,必要的文档包括网络拓扑图、接入申请表、运行连续性保障方案和故障恢复方案、IT 安全策略/标准/流程/规范。
- 网络拓扑图:通过绘图表现出网络的物理结构。
- 接入请求表:记录用户接入网络的正式申请和处理结论。
- 运营连续性保障方案和故障恢复方案:需要对有关运营连续性保障的相关文档进行说明并妥善保存。对于可能出现的意外事件的处理流程和运营恢复方案也需要以文档形式明确。
- IT 安全策略/标准/流程/规范:针对 IT 安全工作的必要文档。其中“策略”是相对稳定的工作指导方针;“标准”是工作中各项指标合格的参考依据;“流程”是相关信息安全工作执行的步骤和环节;“规范”是工作执行过程中应当遵守的形式。
脆弱性扫描
自动化的脆弱性扫描是评估系统整体安全状态的有效手段。通常需要定期对主机和网络上的系统进行脆弱性扫描。另外,当网络中的系统有较大变动时,进行脆弱性扫描也是十分必须的。
Nessus
Nessus 是一款使用广泛的脆弱性扫描免费工具,支持 Linux,FreeBSD, Solaris,Mac OS X 和 Windows 系统。从 Nessus 3 开始,该软件的源码不再开放,但仍然是免费的。
- Nessus 采取服务器-客户端模式,其中服务器执行扫描,而客户端用于查看扫描结果。
- 通过下载安装插件,该软件可以支持 10000 种以上的检测。
- 在授权方面,Nessus 可以免费用于个人电脑的扫描,但用于对第三方网络进行扫描时,需要获得另外的授权。
- 在 Windows 下运行 Nessus:如果扫描的主机都是 Windows 系统,可以在扫描时不选择诸如 Fedora Local Security Checks 这类针对其它系统的插件。
- 在 Linux 下运行 Nessus:Linux 系统下 Nessus 的界面与 Windows 系统下的版本差距较大。通常情况下,Nessus 在 Linux 下运行速度比在 Windows 下快一些。
X-Scan
X-Scan 同样是一款免费的脆弱性扫描工具,但仅支持 Windows 系统。使用 X-Scan 不需要安装。
Microsoft Baseline Security Analyzer
是一款用于检查标准安全事项的分析工具,只用于检测弱安全设置。
OSSTMM (Open Source Security Testing Methodology Manual)
免费的安全评估指导手册,可以通过该地址下载,包含以下章节:
- 信息安全
- 过程安全
- 物联网技术安全
- 通信安全
- 无线安全
- 物理安全
手册后附有可用于执行测试的多个模版。虽然 OSSTMM 免费开放,但对于其通过“同行评审”进行的修正和更新将在公布前几个月,首先提供给订阅会员。