作者:smtk 來源:賽迪網技術社區 發佈時間:2006.09.20 http://security.ccidnet.com/art/1099/20060918/903237_1.html
對於一個複雜的多層結構的系統和網絡安全規划來說,隱患掃瞄是一項重要的組成元素。隱患掃瞄能夠模擬黑客的行為,對系統設置進行攻擊測試,以幫助管理員在黑客攻擊之前,找出網絡中存在的漏洞。這樣的工具可以遠程評估你的網絡的安全級別,並生成評估報告,提供相應的整改措施。目前,市場上有很多隱患掃瞄工具,按照不同的技術(基於網絡的、基於主機的、基於代理的、C/S的)、不同的特徵、不同的報告方法,以及不同的監聽模式,可以分成好幾類。不同的產品之間,漏洞檢測的準確性差別較大,這就決定了生成的報告的有效性上也有很大區別。
選擇正確的隱患掃瞄工具,對於提高你的系統的安全性,非常重要。
1、漏洞掃瞄概述 在字典中,Vulnerability意思是漏洞或者缺乏足夠的防護。在軍事術語中, 這個詞的意思更為明確,也更為嚴重------有受攻擊的嫌疑。 每個系統都有漏洞,不論你在系 統安全性上投入多少財力,攻擊者仍然可以發現一些可利用的特徵和配置缺陷。這對於安全 管理員來說,實在是個不利的消息。但是,多數的攻擊者,通常做的是簡單的事情。發現一 個已知的漏洞,遠比發現一個未知漏洞要容易的多,這就意味著:多數攻擊者所利用的都是常 見的漏洞,這些漏洞,均有書面資料記載。
這樣的話,採用適當的工具,就能在黑客利用這些常見漏洞之前,查出網絡的薄弱之處。如何快速 簡便地發現這些漏洞,這個非常重要。 漏洞,大體上分為兩大類:
① 軟件編寫錯誤造成的漏洞;
② 軟件配置不當造成的漏洞。
漏洞掃瞄工具均能檢測以上兩種類型的漏洞。漏洞掃瞄工具已經出現好多年了,安全管理員在使用 這些工具的同時,黑客們也在利用這些工具來發現各種類型的系統和網絡的漏洞。
2、隱患掃瞄工具的衡量因素
決定是否採用隱患掃瞄工具來防範系統入侵是重要的第一步。當您 邁出了這一步後,接下來 的是:如何選擇滿足您公司需要的合適的隱患掃瞄技術,這同樣也很重要。以下列出了一系列衡 量因素:
① 底層技術(比如,是被動掃瞄還是主動掃瞄,是基於主機掃瞄還是基於網絡掃瞄);
② 特性;
③ 漏洞庫中的漏洞數量;
④ 易用性;
⑤ 生成的報告的特性(內容是否全面、是否可配置、是否可定製、報告的格式、輸出方式等);
⑥ 對於漏洞修復行為的分析和建議(是否只報告存在哪些問題、是否會告訴您應該如何修補這些 漏洞);
⑦ 安全性(由於有些掃瞄工具不僅僅只是發現漏洞,而且還進一步自動利用這些漏洞,掃瞄工具 自身是否會帶來安全風險);
⑧ 性能;
⑨ 價格結構
2.1 底層技術 比較漏洞掃瞄工具,第一是比較其底層技術。你需要的是主動掃瞄,還是被動掃 瞄;是基於主機的掃瞄,還是基於網絡的掃瞄,等等。一些掃瞄工具是基於Internet的,用來 管理和集合的服務器程序,是運行在軟件供應商的服務器上,而不是在客戶自己的機器上。 這種方式的優點在於檢測方式能夠保證經常更新,缺點在於需要依賴軟件供應商的服務器來 完成掃瞄工作。
掃瞄古城可以分為"被動"和"主動"兩大類。被動掃瞄不會產生網絡流量包,不會導致目標系 統崩潰,被動掃瞄工具對正常的網絡流量進行分析,可以設計成"永遠在線"檢測的方式。與 主動掃瞄工具相比,被動掃瞄工具的工作方式,與網絡監控器或IDS類似。 主動掃瞄工具更 多地帶有"入侵"的意圖,可能會影響網絡和目標系統的正常操作。他們並不是持續不斷運行 的, 通常是隔一段時間檢測一次。 基於主機的掃瞄工具需要在每台主機上安裝代理
(Agent) 軟件;而基於網絡的掃瞄工具則不需要。基於網絡的掃瞄工具因為要佔用較多資 源,一般需要一台專門的計算機。 如果網絡環境中含有多種操作系統,您還需要看看掃瞄 其是否兼容這些不同的操作系統(比如Microsoft、Unix以及Netware等)。
2.2 管理員所關心 的一些特性 通常,漏洞掃瞄工具完成一下以下?功能:掃瞄、生成報告、分析 並提出建議,以及數據管理。在許多方面,掃瞄是最常見的功能,但是信息管理和掃瞄結果 分析的準確性同樣很重要。另外要考慮的一個方面是通知方式:當發現漏洞後,掃瞄工具是 否會向管理員報警?採用什麼方式報警?
對於漏洞掃瞄軟件來說,管理員通常關係以下幾個方面:
① 報表性能好;
② 易安裝,易使用;
③ 能夠檢測出缺少哪些補丁;
④ 掃瞄性能好,具備快速修復漏洞的能力;
⑤ 對漏洞及漏洞等級檢測的可靠性;
⑥ 可擴展性;
⑦ 易升級性;
⑧ 性價比好;
2.3 漏洞庫 只有漏洞庫中存在相關信息,掃瞄工具才能檢測到漏洞,因此,漏洞庫的數量決定 了掃瞄工具能夠檢測的範圍。
然而,數量並不意味著一切,真正的檢驗標準在於掃瞄工具能否檢測出最常見的漏洞?最根 本的在於,掃瞄工具能否檢測出影響您的系統的那些漏洞?掃瞄工具中有用的總量取決於你 的網絡設備和系統的類型。你使用掃瞄工具的目的是利用它來檢測您的特定環境中的漏
洞。如果你有很多Netware服務器,那麼,不含Netware漏洞庫的掃瞄工具就不是你的最 佳選擇。 當然,漏洞庫中的攻擊特性必須經常升級,這樣才能檢測到最近發現的安全漏 洞。
2.4 易使用性 一個難以理解和使用的界面,會阻礙管理員使用這些工具,因此,界面友好性 尤為重要。不同的掃瞄工具軟件,界面也各式各樣,從簡單的基於文本的,到複雜的圖形 界面,以及Web界面。
2.5 掃瞄報告 對管理員來說,掃瞄報告的功能越來越重要,在一個面向文檔的商務環境中, 你不但要能夠完成你的工作,而且還需要提供書面資料說明你是怎樣完成的。事實上, 一個掃瞄可能會得到幾百甚至幾千個結果,但是這些數據是沒用的,除非經過整理,轉 換成可以為人們理解的信息。這就意味著理想情況下,掃瞄工具應該能夠對這些數據進 行分類和交換引用,可以導到其他程序中,或者轉換成其他格式(比如CSV,HTML, XML,MHT,MDB,EXCEL以及Lotus等等),採用不同方式來展現它,並且能夠很容 易的與以前的掃瞄結果做比較。
2.6 分析與建議 發現漏洞,才完成一半工作。一個完整的方案,同時將告訴你針對這些漏洞 將採取哪些措施。一個好的漏洞掃瞄工具會對掃瞄結果進行分析,並提供修復建議。一 些掃瞄工具將這些修復建議整合在報告中,另外一些則提供產品網站或其它在線資源的 鏈接。 漏洞修復工具,它可以和流行的掃瞄工具結合在一起使用,對掃瞄結果進行彙 總,並自動完成修復過程。
2.7 分析的準確性 只有當報告的結果是精確的,提供的修復建議是有效的,一份包含了詳細 漏洞修復建議的報告, 才算是一份優秀的報告。一個好的掃瞄工具必須具有很低的誤報 率(報告出的漏洞實際上不存在)和漏報率(漏洞存在,但是沒有檢測到)。
2.8 安全問題 因掃瞄工具而造成的網絡癱瘓所引起的經濟損失,和真實攻擊造成的損失是一 樣的,都非常巨大。一些掃瞄工具在發現漏洞後,會嘗試進一步利用這些漏洞,這樣能 夠確保這些漏洞是真實存在的,進而消除誤報的可能性。但是,這種方式容易出現難以 預料的情況。在使用具備這種功能的掃瞄工具的時候,需要格外小心,最好不要將其設 置成自動運行狀態 。 掃瞄工具可能造成網絡失效的另一種原因,是掃瞄過程中,超負荷 的數據包流量造成拒絕服務(DOS,Denial Of Service)。為了防止這一點,需要選擇好 適當的掃瞄設置。相關的設置項有:併發的線程數、數據包間隔時間、掃瞄對象總數等, 這些項應該能夠調整,以便使網絡的影響降到最低。一些掃瞄工具還提供了"安全掃瞄 " 的模板,以防止造成對目標系統的損耗。
2.9 性能 掃瞄工具運行的時候,將佔用大量的網絡帶寬,因此,掃瞄過程應盡快完成。當 然,漏洞庫中的漏洞數越多,選擇的掃瞄模式越複雜,掃瞄所耗時間就越長,因此, 這只是個相對的數值。提高性能的一種方式,是在企業網中部署多個掃瞄工具,將掃 瞄結果反饋到一個系統中,對掃瞄結果進行彙總。
3、隱患掃瞄工具的價格策略 商業化的掃瞄工具通常按以下幾種方式來發佈器授權許可證:按 IP地址授權,按服務器授權,按管理員授權。不同的授權許可證方式有所區別。
3.1 按IP段授權 許多掃瞄其產品,比如eEye的Retina和ISS(Internet Security
Scanner) 要求企業用戶按照IP段或IP範圍來收費。換句話說,價格取決於所授權的可 掃瞄的IP地址的數目。
3.2 按服務器授權 一些掃瞄工具供應商,按照每個服務器/每個工作站來計算器許可證的 價格。服務器的授權價格會比工作站高很多,如果有多台服務器的話,掃瞄工具的價 格會明顯上升。
3.3 按管理員授權 對於大多數企業而言,這種授權方式,比較簡單,性價比也較好。
4、總結 在現在的互聯網環境中,威脅無處不在。在1-3季度,CERT協調中心就收到超過 114,000個漏洞事件報告,這個數字超過2002年的總和,這表明,此類事件在不斷增 長中。為了防範攻擊,第一件事就是在黑客發動攻擊之前,發現網絡和系統中的漏洞, 並及時修復。 但是,漏洞掃瞄工具在特性、精確性、價格以及可用性上差別較大,如何 選擇一個正確的隱患掃瞄工具,尤為重要。
留言列表
