绿盟远程安全评估系统-客户培训.pptVIP

成都分公司于瑞阳 绿盟远程安全评估系统操作指南 扫描器基础知识 绿盟 远程安全评估系统漏洞管理系列 布署模式 独立部署网络较为集中部署一台绿盟远程安全评估系统设备分权管理和使用 多级分布式部署多级网络结构数据汇总 集中管理 绿盟扫描器调度 存活性判断 扫描器的存活判断扫描手段有 ICMPEcho扫描TCPping端口UDPping端口ARPping ICMP判断 1 TCPSYN判断 2 存活且端口开放 收到SYN ACK包 2 1 存活但端口不开放或被防火墙过滤 收到RST包 2 2 不存活或被防火墙DROP 直到超时都没有收到回应包 2 3 注意 强制扫描选项只在防火墙配置阻断时才有一定用途 但会导致整个扫描速度急剧下降 端口扫描 TCP端口扫描技术 TCPConnect 推荐 SYN 半连接扫描 FIN等 已经较老的技术 不通用 不推荐 UDP端口扫描技术 靠端口不可达来进行判断 UDP扫描非常慢 不建议使用 端口扫描范围 标准扫描 根据Service文件 缺省 快速扫描 只扫描1 1024端口自定义 端口扫描 TCPConnect扫描 全连接扫描 TCPconnect 如果端口是开放的 TCPconnect 如果端口是关闭的 端口扫描 SYN扫描 半连接扫描 SYN扫描 如果端口是开放的 SYN扫描 如果端口是关闭的 端口扫描 TCPFIN标记扫描 端口开放时TCPFIN的扫描结果 端口关闭时TCPFIN的扫描结果 常用的反转TCP标记扫描 探测数据包标记配置有如下三种类型 FIN探测数据包 设置了TCP的FIN标记XMAS探测数据包 设置了FIN URG以及PUSH等TCP标记NULL探测数据包 不设置任何TCP标记 服务识别 如何识别服务 Banner抓取 一般可用于确定服务版本信息TCP栈协议识别 也叫指纹识别 Fingerprint 弱口令扫描 哪些地方存在口令问题 Windows Unix Linux 系统口令 SMB TELNET Cisco NetScreen 管理口令 HTTP TELNET SSH SNMP SQL POP3 SMTPRSAS缺省扫描的弱口令TELNETFTPPOP3SNMPSMB 123456 abcdef Admin root test Guest123 test123 0 1 12 123 1234 12345 1234567 12345678 123456789 插件扫描 为什么要使用插件功能模块化可扩展化常见插件类别信息收集插件弱口令插件漏洞插件部分危险插件 信息收集类插件 1 用户 口令猜测类插件 漏洞扫描类插件 危险插件 2 3 4 Profile概念 Profile 经过整理分类并按照特定格式存放的信息称为Profile 证书系统 购买RSAS产品时都会发放一个证书文件 该证书包含了产品的使用授权信息 证书编号 证书在厂商数据库中的编号 用于客户服务跟踪 授权使用者 被授权的产品合法使用者名称 购买模块 包括网站扫描 数据分析 二次开发 分布式四个模块 用户需要购买才能使用 服务期限 厂商提供服务的起始日期和终止日期 证书类型 包括销售证书和试用证书 授权IP范围 用户购买扫描的IP地址范围 极光通过授权IP地址数量和授权IP地址记录 记录授权IP地址范围 WEB管理 绿盟 远程安全评估系统漏洞管理系列 一 扫描任务 1 这里输入需要扫描的ip地址 2 也可以导入地址簿 3 点击高级选项 点击端口扫描配置 1 新建评估任务 弱口令扫描深度 一 新建扫描任务 绿盟安全评估系统通过预设帐号扫描能够获得到目标主机更多的漏洞信息 预设帐号可以使用本地管理员帐号或域管理员帐号 在新建任务中的高级选项 选择预设登陆帐号 打开预设帐号配置界面 选中预设登陆帐号 2 预设登陆帐号 点击新增 一 新建扫描任务 1 非指定账户扫描结果 3 漏洞分布比较 2 指定账户扫描结果 二 网站扫描 1 网站扫描配置 网站扫描主要包括扫描跨站脚本漏洞和SQL注入漏洞扫描 跨站脚本攻击是指恶意攻击者往Web页面里插入恶意html代码 当用户浏览该页之时 嵌入其中Web里面的html代码会被执行 从而达到恶意用户的特殊目的 SQL注入检测模块通过构造特殊URL来探测远程WWW服务器脚本中可能存在的SQL注入漏洞 配置方法如下图所示 注 只有许可证中包含此模块的授权 才能使用WEB扫描任务 Web应用漏洞 全部 快速扫描高危漏洞扫描SQL注入扫描XSS跨站扫描远程挂马扫描 完整扫描扫描当前目录和子目录只扫描任务URL 二 网站扫描 2 高级选项 注 只有许可证中包含此模块的授权 才能使用WEB扫描任务 二 网站扫描 2 网站报表 注 只有许可证中包含此模块的授权 才能使用WEB扫描任务 三 口令猜测 1 口令猜测配置 选择需要口令猜测的服务类型 字典模式有 1 标准模式 用户名和密码使用同一个字典 2 组合模式 用户名字典和密码字典组合使用 三 口令猜测 2 口令猜测结果 四 任务查询 绿盟安全评估系统的数据搜索功能 可以从已经扫描的结果中查找需要的信息 点击搜索 根据任务类型进行筛选 可以通过IP地址或任务名称对任务搜索 搜索的结果如下图所示 注 只有许可证中包含数据分析模块的授权 才能使用IP速查功能 五 在线报表 1 查看在线报表内容 点击主机列表 点击漏洞列表 点击漏洞名称可以查看漏洞的详细信息 点击脆弱帐号 点击参考标准 六 风险趋势分析 1 通过对比分析 管理员可以了解不同时间段主机的风险的变化趋势 注 只有许可证中包含数据分析模块的授权 才能使用对比分析功能 六 风险趋势分析 2 趋势分析结果 从下图中可以看出任务二的风险值明显低于任务一的风险值 说明该主机以及进行了系统加固 风险值已经下降到一个可以接受的水平 查看漏洞变化的情况 六 风险趋势分析 3 漏洞的变化 管理员可以点击漏洞变化 查看哪些漏洞已经被修复了 如下图所示 减少的漏洞 七 报表输出 1 报表输出范围的方式 1 按任务输出 可以输出想要查看的扫描任务 同时支持主机筛选 只输出想要查看的主机2 按IP范围输出 可以输出想要查看的ip地址范围 按任务输出报表 从任务中筛选主机 点击报表输出 七 报表输出 2 报表输出的结构 V5报表增加了网络风险和主机统计 八 定制策略 1 定制插件模板 2 选择协议类型 3 选择该类型下的漏洞插件 1 点击增加模板 4 点击保存 自定义扫描模板完成 八 定制策略 2 定制报表模板 1 点击增加模板 2 选择报表内容 3 点击保存 八 定制策略 3 定制密码字典 1 点击增加字典 2 输入新的用户名 密码 3 点击另存为 八 定制策略 4 定制标准扫描端口 2 定制服务名 3 定制端口号 4 选择协议类型 1 选择增加 5 保存 九 风险管理 1 绿盟安全评估系统通过风险管理模块实现漏洞管理 点击符号编辑节点 点击符号删除子节点 下达扫描任务 九 风险管理 2 设备风险提示 点击设备列出这台设备扫描情况 1 已登记设备 完成设备管理员名称和邮箱登记的设备 2 未登记设备 未完成设备管理员名称和邮箱登记的设备 一般是自动发现的设备 十 用户管理 绿盟安全评估系统缺省用户包括系统管理员 报表管理员 审计管理员 系统管理员可以添加普通管理员 点击添加用户添加普通管理员 十一 日志审计 绿盟远程安全评估系统系统对用户登录和操作进行了严格的审计 目前支持的审计内容有 登录日志 操作日志 异常日志 点击任务名称即可查看在线报表 十二 系统管理 查看系统状态 1 系统状态和授权注册信息 接口连接状态 CUP MEM DISK使用情况 系统版本 查看授权注册信息 点击已经使用IP 十二 系统管理 2 在配置菜单中包括网络配置 并发数配置 邮件配置 升级配置等内容 点击任务名称即可查看在线报表 修改扫描接口IP 配置扫描主机数和任务数 如果需要发送邮件报表 需要配置邮件服务器 手工升级 配置自动升级站点 同步时间服务器 与WSUS服务器联动 十二 系统管理 3 配置系统服务和备份还原点 系统会自动保存一个还原点 在每周一的上午6 00自动创建 用户也可以自己创建一个还原点 还原点可以下载到本的保存 十三 常用工具 绿盟远程安全评估系统自带了四个诊断工具 主要用于设备的诊断和排错 绿盟远程安全评估系统控制台管理 绿盟 远程安全评估系统漏洞管理系列 登陆控制台的准备 管理员登录控制台之前 需要做好以下准备工作 工作计算机1台随机附带的串口线1根能够连接串口的终端软件 比如Windows自带的超级终端软件 用串口线将绿盟远程安全评估系统设备和工作计算机连接 下面以Windows自带的超级终端软件为例 介绍实际连接过程 控制台登录 控制台管理员初始账号 二 配置扫描网络参数 操作时注意以下几点 配置完毕选择确定后立刻生效 如果需要设备在线升级网关和DNS服务器需要正确配置 配置网络参数时 请注意格式 比如 网络掩码255 255 255 0 三 配置管理网络参数 操作时注意以下几点 缺省地址为1 1 1 1 24 不能配置网关地址管理机需要和设备管理接口配置在同一个网段 四 网络诊断 在网络诊断菜单中提供给管理员一些诊断网络故障的工具 包括PING命令 路由追踪 网络状态 路由信息 DNS解析查询等 五 系统管理 在系统管理菜单中 主要提供了关闭系统 重启系统 修改控制台管理员口令 设置系统时钟 关闭 开启SSH服务 关闭 开启远程协助 重置WEB界面管理员口令 关闭 开启调试模式等工具 六 系统状态 在系统状态菜单中