利用Auditor实现局域网信息安全审计.doc

利用Auditor实现局域网信息安全审计来源：服安资讯 时间:2009-06-15作者：fuancn点击： 67次责任编辑：Flyfox TAG: 局域网 信息安全 审计 Auditor 服务器安全应急处理中心:让您的服务器更安全!进入安全讨论社区 摘要: 我们生活在一个不断变革的网络时代。在这个时代中，如果说有什么不变的东西，那就是包括病毒和恶意软件在 内的我们生活在一个不断变革的网络时代。在这个时代中，如果说有什么不变的东西，那就是包括病毒和恶意软件在 内的各种威胁与日俱增，并通过互联网疯狂传播。更别说网络上的黑客们更是使尽了浑身解数试图控制更多的计算机，组成僵尸网络。对网络安全管理员来说，对付 各种威胁的重担更重了，不但要精通各种安全技术和理论、还要把握最新的安全动向和安全防护能力，还要熟悉一些安全工具的使用。比方说，今天所讨论的 Nsauditoror Network Security Auditor就是一款功能强大的软件。其强大就在于它是一个网络安全扫描器，它准许管理员审核和监视远程网络计算机，查找漏洞，并用黑客们所用的攻击方法检查网络。它又是一个完整的 网络实用程序包，包括大量的工具，可以执行网络审计、网络扫描、网络监视等。通过它，管理员可以发现一些网络服务，并检查其漏洞，还可以审计SQL服务器，扫描一些广告软件等。这个程序还包括实时的网络包过滤和分析、远程网络性能监视、网络状态监视、Web代理服务器扫描、口令审计、基于安全事件日志分析器的入侵检测系统和阻止非法的网络连接等功能。此软件包括一个内置的数据库，其中记录着已知的网络安全漏洞,准许管理员选择某个项目实施扫描。此程序可以嗅探，并且使用强力攻击和字典攻击。如果一个局域网中有一台、两台电脑被 恶意代码损害，那么整个局域网被控制或攻击的可能性也就大大增加。事实证明，大多数的安全损害来自于网络的内部。计算机安全并非仅仅是防守大门那样简单。 一个真正安全的网络环境是一个不断变革的实体，它要求我们不断地呵护、监视、审核。今天只看看如何用Nsauditor审计安全问题。利用Auditor审核计算机和局域网的安全性首先，启动Nsauditor程序，然后单击Auditor。如下图1,审计器Auditor位于Sessions下的第二项,它可以发现网络服务并能够检查和发现许多已知的漏洞，而且这个工具可以为我们创建一个审计报告。如上图2，审计器窗口有三部分组成，TCP部分、UDP部分和目标主机部分。要启用相关功能选项，只需选择恰当的复选框。这里，我们看到，它可 以扫描的漏洞种类还是较多的，如ftp漏洞、SMTP漏洞、Telnet漏洞、PoP3漏洞、HTTP漏洞，还可以扫描监视一些网络服务，如WhoIs 、MS SQL、MsSQL monitor、Netbios名称等。此处，我们要扫描本地局域网，单击Target文本框后的按钮，出现下图3：在Select Host Range下选择IP Range，在其后的start和end文本框中分别添上要扫描漏洞的起始和结束IP地址，并选择相应的证书(credential),然后单击ok。回到上级窗口，单击start audit按钮开始审计。这时候我们需要的就是等待。随设置的IP地址范围不同，等待的时间也有变化。下图4是笔者在本单位的局域网内扫描的部分结果。就本例而言，主机2开放了一些危险端口，如木马netspy使用的1025端口，所以此端口应当关闭。另外，25号端口 也应当关闭，因为25号端口是SMTP服务器所开放的端口，用于发送邮件。而攻击者寻找SMTP服务器是为了传递其垃圾信息。木马Antigen、 Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都使用这个端口。由于本局域网不需要提供这种服务，所以应当关闭此端口。此外，用于RPC服务的135端口也应 当关闭。也就是说我们可以查看远程系统开放了哪些端口，局域网管理员可以用它来审计本网内的电脑。察看审计报告这是一个很实用的功能。单击utils下的Report,可以打开审计报告对话框，其中有系统为我们自动保存的一份系统审计报告。选中 “nsreport”，然后单击view。(用户还可以将其导出为access数据库或excel电子表，可分别单击export to access database和export to excel两个按钮。)如下图5所示：然后就会打开下图6：其中，我们发现系统为我们记载了00计算机的风险情况。可以看出，它包含了两个高风险(risk high)漏洞，四个低风险(risk low)漏洞，这些漏洞都有哪其中，我们发现系统为我们记载了00计算机的风险情况。可以看出，它包含了两个高风险(risk high)漏洞，四个低风险(risk low)漏洞，这些漏洞都有哪些呢?要想查看其信息，需要将窗口最大化后，拖动滚动条往下看后面的内容：如图7：这里还显示了MAC地址、防火墙规则、操作系统等信息。下面还有三张表，先看下图8中的前两张表，这里展示的是TCP和UDP协议打开的端口和服务，还有由此产生的安全问题：此处显示了远程计算机打开的端口和服务，还有与之有关的安全问题，如在打开的1434端口，存在着一个UDPmssqlaudit安全问题。我们在其中一个端口链接上单击一下，就会展示下一张表。下一张表太大，我们分图9和图10分别展示:此处展示的是安全问题和漏洞问题，是这次审计的重点。我们看到，1433端口存在着严重的安全问题，可以说是漏洞百出，