第章漏洞评估产品PPT课件.ppt

第8章漏洞评估产品 2 本章概要 本章针对漏洞评估产品进行讲解 内容包括 漏洞评估的作用和意义 漏洞评估产品的分类 漏洞评估产品的选型原则 常见的漏洞评估产品 课程目标通过本章的学习 读者应能够 了解漏洞评估的作用和意义 了解进行漏洞评估的方法和作用 3 8 1漏洞评估的概念 对来自网络外部的攻击虽采用了防火墙进行防范 内部网络的安全漏洞才是最大的安全隐患所在 如何在网络黑客动作之前及早采取措施发现网络上的安全漏洞 是网络管理员日常工作中很重要的任务 所以 才有了漏洞评估技术的出现 漏洞评估技术通过对系统进行动态的试探和扫描 找出系统中各类潜在的弱点 给出相应的报告 建议采取相应的补救措施或自动填补某些漏洞 该项技术主要优点如下 4 a 预知性 网络安全扫描具备可以根据完整的安全漏洞集合 进行全盘检测的功能 而这些安全漏洞集合也正是导致网络遭受破坏的主要因素 因此 网络安全扫描可以在网络骇客动作之前 协助管理者及早发现网络上可能存在的安全漏洞 通过漏洞评估 网络管理人员能提前发现网络系统的弱点和漏洞 防患于未然 b 重点防护 漏洞和风险评估工具 用于发现 发掘和报告网络安全漏洞 一个出色的风险管理系统不仅能够检测和报告漏洞 而且还能证明漏洞发生在什么地方以及发生的原因 它就像一个老虎队一样质询网络和系统 在系统间分享信息并继续探测各种漏洞直到发现所有的安全漏洞 还可以通过发掘漏洞以提供更高的可信度以确保被检测出的漏洞是真正的漏洞 这就使得风险分析更加精确 并确保管理员可以把风险程度最高的漏洞放在优先考虑的位置 5 正是由于该技术可预知主体受攻击的可能性 以及能够指证将要发生的行为和产生的后果 因而受到网络安全业界的重视 这一技术的应用可帮助识别检测对象的系统资源 分析这一资源被攻击的可能指数 了解支撑系统本身的脆弱性 评估所有存在的安全风险 6 8 2漏洞评估产品的分类 网络型安全漏洞评估产品网络型安全漏洞评估产品可以模拟黑客行为 扫描网络上的漏洞并进行评估 网络型的漏洞扫描器主要是仿真黑客经由网络端发出封包 以主机接收到封包时的响应作为判断标准 进而了解主机的操作系统 服务 以及各种应用程序的漏洞 网络型扫描器可以放置于Internet端 也可以放在家里扫描自己企业主机的漏洞 这样等于是在仿真一个黑客从Internet去攻击企业的主机 7 从Internet端扫描速度较慢 所以可以把扫描器放在防火墙之前去做扫描 由得出的报告了解防火墙帮企业把关了多少非法封包 也可以由此知道防火墙设定的是否良好 通常 即使有防火墙把关 还是可以扫描出不少的漏洞 因为除了人为设定的疏失外 最重要的是防火墙还是会打开一些特定的端口 让封包流进来 HTTP FTP等 而这些都是防火墙所允许的应用与服务 所以还必须由入侵侦测系统来把关 8 还可以在DMZ区及企业内部去做扫描 以了解在没有防火墙把关下 主机的漏洞有多少 因为企业内部的人员也可能是黑客 而且更容易得逞 同样 除了用扫描去减少自己企业内部主机的漏洞外 还可以在企业内部装置入侵检测系统帮助企业对内部进行监控 因此可以知道安全漏洞扫描器和入侵检测系统是相辅相成的 网络型安全漏洞扫描器的功能 9 a 服务扫描监测 提供well knownportservice的扫描监测及well knownport以外的ports扫描监测 b 后门程序扫描监测 提供NetBus Backorifice BackOrifice2000 BackdoorBo2k 等远程控制程序 后门程序 的扫描监测 c 密码破解扫描监测 提供密码破解的扫描功能 包括操作系统及程序密码破解扫描 如FTP POP3 Telnet d 应用程序扫描监测 提供已知的破解程序执行扫描侦测 包括CGI BIN WebServer漏洞 FTPServer等的扫描监测 10 e 阻断服务扫描测试 提供阻断服务 DenialOfService 的扫描攻击测试 f 系统安全扫描监测 如NT的Registry NTGroups NTNetworking NTUser NTPasswords DCOM DistributedComponentObjectModel 安全扫描监测 g 分析报表 产生分析报表 并告诉管理者如何去修补漏洞 h 安全知识库的更新 所谓安全知识库就是黑客入侵手法的知识库 必须时常更新 才能落实扫描 11 主机型安全漏洞评估产品 主机型安全漏洞扫描器最主要是针对操作系统的漏洞做更深入的扫描 比如Unix NT Linux等系统 它可弥补网络型安全漏洞扫描器只从外面通过网络检查系统安全的不足 一般采用Client Server的架构 具体可归结为以下几个方面 a 重要资料锁定 利用安全的Checksum SHA I 来监控重要资料或程序的完整性及真实性 如Index html档 b 密码检测 采用结合系统信息 字典和词汇组合的规则来检测易猜的密码 12 c 系统日志文件和文字文件分析 能够针对系统日志文件 如Unix的syslogs NT的事件检视 eventlog 及其他文字文件 Textfiles 的内容做分析 d 动态式的警讯 当遇到违反扫描政策或安全弱点时提供实时警讯并利用email SNMPtraps 呼叫应用程序等方式报告给管理者 e 分析报表 产生分析报表 并告诉管理者如何去修补漏洞 f 加密 提供Console和Agent之间的TCP IP连接认证 确认和加密等功能 13 g 安全知识库的更新 主机型扫描器由中央控管并更新各主机的Agents的安全知识库 数据库安全漏洞评估产品数据库安全漏洞评估产品主要有以下功能 a 专门针对数据库的漏洞进行扫描 b 除了两大类的扫描器外 还有一种专门针对数据库作安全漏洞检查的扫描器 如ISS公司的DatabaseScanner 其架构和网络型扫描类似 主要功能为找出不良的密码设定 过期密码设定 侦测登入攻击行为 关闭久未使用的账号 而且能追踪登入期间的限制活动等 14 定期检查每个登入账号的密码长度是一件非常重要的事 因为密码是数据库系统的第一道防线 如果没有定期检查密码 导致密码太短或太容易猜测 或是设定的密码是字典上有的单字 都很容易被破解 导致资料外泄 大部分的关系数据库系统都不会要求使用者设定密码 更别提上述的安全检查机制 所以问题更严重 由于系统管理员的账号 在SQLServer和Sybase中是sa 不能改名 所以如果没有密码锁定的功能 入侵者就能用字典攻击程序进行猜测密码攻击 到时数据库只能任人宰割 让人随便使用最高存取权限 15 c 除了密码的管理 操作系统保护了数据库吗 一般关系数据库经常有 portaddressable 的特性 也就是使用者可以利用客户端程序和系统管理工具直接从网络存取数据库 无须理会主机操作系统的安全机制 而且数据库有extendedstoredprocedure和其他工具程序 可以让数据库和操作系统以及常见的电子商务设备 如同页服务器 互动 例如xp cmdshell是SQLServer的extendedstoredprocedure 就可用来和NT系统互动 执行NT命令列的动作 如果数据库的管理员账号曝光 或服务器设定错误 恶意的使用者就可能利用这个storedProcedure 自行设定一个没有密码保护的NT使用者账号 然后让这个账号有操作系统的系统管理员权限 因此 数据库的安全扫描也是信息安全内很重要的一环 16 8 3漏洞评估产品的选择原则 脆弱性扫描产品作为与入侵检测产品紧密配合的部分 用户在选择时需要考虑以下问题 是否具有针对网络和系统的扫描系统全面的网络系统的漏洞评估应该包括对网络的漏洞评估 对系统主机的漏洞评估以及对数据库系统的漏洞评估三个方面 相应地 一个完整的脆弱性扫描产品应该具有针对网络和系统的扫描系统 特别地 针对企业核心数据库 还应该有数据库扫描系统 这是一个基本的产品覆盖面的问题 17 产品的扫描能力产品的扫描能力是脆弱性扫描产品的基础能力 包括扫描的速度 可扫描设备的范围 支持的网络协议等基本参数 这是一个脆弱性扫描产品的基本性能指标 产品的评估能力一个好的脆弱性扫描产品不应该仅仅具有扫描能力 更应该作为一个风险评估工具使用 这就有两方面的要求 首先是扫描的漏洞是否符合国际标准 只有符合国际标准 产品才可以作为风险评估的标准使用 其次是扫描漏洞的数量 符合国际标准的漏洞的数量是决定一个脆弱性扫描产品性能的最重要的参数之一 18 产品的漏洞修复能力及报告格式 作为安全产品 目的是实现最大的安全保障 所以 仅仅发现漏洞是远远不够的 重要的是发现漏洞后如何去修复 也就是扫描报告的详细程度 好的脆弱性扫描系统的报告首先应该是本地化