企业级的审计工具
进行到这里你已经接触了一些审计人员使用的基本的工具。这些工具便于安装和使用。它们可以为你提供很多关于网络的信息,还可以帮助你对特定系统进行风险评估。前面讨论程序的缺点是它们只能单独进行简单的查询而不能同时对多个系统和服务实施侦查。一个好的审计人员需要综合使用这些方法使审计的侦查工作能够成功。企业级的审计程序用以其人之道还制其人之身的方式来对付黑客,通过对网络进行综合的攻击使你可以实时地检测到网络的漏洞,并加以改进。
绝大多数的网络探测器都支持TCP/IP,而且许多还支持其它协议包括IPX/SPX,NetBEUI和AppleTalk。你已经对侦查数据库有所了解,在这一部分,你将更多地接触如何配置和更新侦查数据库。你还将学习网络扫描器的一些特性。
通常,网络扫描器程序无法跨子网。当然你可以在每个子网中都安装一个。然而,有些扫描器(如WebTrends Security Analyzer Enterprise Edition和ISS Internet Scanner Enterprise Edition)是可以跨子网的。
在你用扫描器扫描网络之前,你必须先配置它使其能够识别网络上的主机。有时,扫描器可以自动识别,但其它时候你必须手动配置它。每个程序都有它自身的配置方法,但配置原则是相同的。所有的商业扫描器都支持TCP/IP。许多还支持象IPX/SPX,NetBEUI,AppleTalk,DECnet和其它协议。你应当根据你的网络中应用的协议情况来购买不同的版本。
许多版本的扫描器只支持特定的操作系统,因此你必须在购买前考虑到其使用的平台。以前,网络扫描器、探测器和入侵监测系统都是在UNIX系统下工作得更出色。但是随着Windows NT更加成熟,许多功能强大的产品也出现了。
扫描等级
大多数的企业级的扫描器允许你选择安全扫描的等级。一次轻级别的扫描通常会扫描众所周知的端口(从0到1023)和常见的安全漏洞,包括弱口令,低的补丁等级和额外的服务。如果你扫描一个小型的子网大概需要花费30分钟。中级和严格级别的扫描根据网络的速度和运行扫描程序的主机CPU的时钟速度快慢等因素通常会花费几天的时间。
定义严格级别的扫描策略会让扫描器对目标网络发起连续的攻击。如果你设置了规则让扫描器扫描所有的65,535个端口,还要检测口令强度以及细致地分析从管理账户到UNIX子系统的每项服务的话,工作量是相当大的。这种扫描不仅费时,而且会极大地加重网络的负担。个别主机将无法承受这种扫描。
配置文件和策略
在使用任何扫描器前,你必须首先定义配置文件,然后再实施策略。绝大多数的扫描程序事先都定义了一些配置和策略,但你可以根据实际需要对它们进行编辑和增加。需要注意的是要将策略和配置文件结合起来。
报告功能
企业级的扫描程序具有细致的报告功能。可以用很多种格式输出信息,包括:
? 简单的ASCII文本
? HTML字处理文本格式,如RTF,或一些专利格式,例如Microsoft Word(DOC)或Corel Word Perfect(WPD)。
? 电子表格形式,例如Microsoft Excel。
? 图形格式,包括幻灯片,例如Microsoft PowerPoint
报告风险等级
大多数的网络扫描器将风险分成低、中、高三个等级。你将接触到各种扫描器是如何汇报它们的扫描结果的。即使得出你的网络只有低的安全问题,你也不应该沾沾自喜。一名优秀的黑客可以从很小的缺陷入手给系统造成致命的破坏。
Axcet NetRecon
NetRecon是最先为Windows NT网络设计的网络扫描产品之一。NetRecon象其它扫描器一样可以发现网络中的各种元素,处理本课中讨论的各种问题,包括密码检查。NetRecon可以比较准确的模拟各种攻击。NetRecon的界面由三个窗格组成。对象窗口允许你查看每个扫描对象,通过单击可以展开目录结构。通过扫描网络,图形窗口显示低、中、高的风险等级。状态栏显示扫描的进程。你可以对网络进行深度扫描,当然这种扫描会耗费大量的时间。例如,广泛的扫描会花费两天的时间。
漏洞数据库和对象列表
在NetRecon中以一些漏洞列表作为侦查数据库,你可以将这个列表理解为攻击指纹,但是这个名词通常被用于入侵检测系统程序中。如果你持有NetRecon的授权,便可以从Axent的Web站点(http://www.axent.com)升级这个漏洞列表。通过 Reprots|view Vulnerability Descriptions 菜单,可以查看相关漏洞的描述。
下面列出NetRecon可以扫描出的系统漏:
? Finger服务漏洞
? GameOver(远程管理访问攻击)
? 未授权注销禁止
? 服务漏洞,包括SMTP、DNS、FTP、HTTP、SOCKS代理和低的sendmail补丁等级。
大多数网络扫描器,如NetRecon,包含了事先定义好的对象列表。通过选择 Reprots|View Objective Descriptions,你可以查看在NetRecon中已经配置好的当前对象列表。
Network Associates CyberCop Scanner
CyberCop Scanner是Network Associates的产品,该公司的产品还包括Sniffer Basic(前身是NetXRay)和其它网络管理软件。象NetRecon一样,CyberCop Scanner是一个主机级别的审计程序。与Axent的产品一样,CyberCop也把各种漏洞分类为低、中、高三个等级。附录B中是一份CyberCop Scanner生成的报告样例。
技术提示:CyberCop Monitor不是网络扫描器,它是入侵监测系统程序,能够对黑客活动进行监视,提供报警功能,还能惩罚黑客。你将在本教程中学习一些入侵检测系统程序。
WebTrends Security Analyzer
该软件以前叫Asmodeus Security Scanner,WebTrends的产品在UNIX和NT系统下都经过很好的测试。Security Analyzer的优点之一是与UNIX搭配使用多年,操作界面也简单易用。
在主界面上选择Policy,然后edit,这时Security Analyzer 的选项窗口将出现。你可以选择扫描的强度,或编辑已有的策略、建立新的策略。如果你点击Host Selection标签,便可以选择子网内主机的范围。
Internet Security Systems的扫描产品
Internet Security Systems是最早生产扫描程序的公司。在本课中你将学习Internet扫描器和系统扫描器。它们都是ISS设计来提供跨操作平台的安全工具包。
ISS Internet Scanner
这款扫描器工作于UNIX和NT平台,象Axent NetRecon、WebTrends Security Analyzer和其它扫描器一样可以扫描远程主机。
Ineternet Scanner有三个模块:intranet,firewall和Web服务器。程序的策略是希望将网络活动分类,并针对每种活动提供一种扫描方案。这个特点由于你可以直接扫描更重要和经常遭受攻击的系统而变得十分有效。你也可以在三个模块中定义你自己的扫描参数。
下列是Internet Scanner中部分扫描的项目:
? PHP3 缓冲区溢出
? Teardrop和Teardrop2攻击
? 跨网络的协议分析仪(包括tcpdump和Sniffer Basic)
? 搜索一些FTP服务类型,包括War FTP
? SNMP和RMON检测
? Whois检测
? SAMBA溢出
? 增强的SMS支持
? 增强的NT功能,使它与UNIX一样有效
ISS Security Scanner
Security Scanner是基于主机的扫描程序。它可以深入挖掘系统的情况。由于是基于主机的扫描程序,所以能更深入地扫描系统内部。这一功能在检查象数据库、FTP和Web服务等特定的系统时显得十分有用。这种程序应该只运行在考虑到有黑客活动的高风险的系统上。
其它扫描程序厂商
其它提供扫描和检测漏洞的产品包括:
? Security Dynamics Kane Security Analyst(http://www.securitydynamics.com)
? Netect HackerShield(http://www.netect.com)
