第8章漏洞评估产品

1、第第 8章章 漏洞评估产品漏洞评估产品 2u 本章概要本章概要本章针对漏洞评估产品进行讲解，内容包括：本章针对漏洞评估产品进行讲解，内容包括：p 漏洞评估的作用和意义；漏洞评估的作用和意义；p 漏洞评估产品的分类；漏洞评估产品的分类；p 漏洞评估产品的选型原则；漏洞评估产品的选型原则；p 常见的漏洞评估产品。常见的漏洞评估产品。u 课程目标课程目标通过本章的学习，读者应能够：通过本章的学习，读者应能够：p 了解漏洞评估的作用和意义；了解漏洞评估的作用和意义；p 了解进行漏洞评估的方法和作用。了解进行漏洞评估的方法和作用。38.1 漏洞评估的概念漏洞评估的概念对来自网络外部的攻击虽采用了防火墙进

2、行防范，内部网络的对来自网络外部的攻击虽采用了防火墙进行防范，内部网络的安全漏洞才是最大的安全隐患所在。如何在网络黑客动作之安全漏洞才是最大的安全隐患所在。如何在网络黑客动作之前及早采取措施发现网络上的安全漏洞，是网络管理员日常前及早采取措施发现网络上的安全漏洞，是网络管理员日常工作中很重要的任务。所以，才有了漏洞评估技术的出现。工作中很重要的任务。所以，才有了漏洞评估技术的出现。漏洞评估技术通过对系统进行动态的试探和扫描，找出系统中漏洞评估技术通过对系统进行动态的试探和扫描，找出系统中各类潜在的弱点，给出相应的报告，建议采取相应的补救措各类潜在的弱点，给出相应的报告，建议采取相应的补救措施或

3、自动填补某些漏洞。施或自动填补某些漏洞。该项技术主要优点如下：该项技术主要优点如下：4 a.预知性：预知性：网络安全扫描具备可以根据完整的安全漏洞网络安全扫描具备可以根据完整的安全漏洞集合，进行全盘检测的功能；而这些安全漏洞集合也正是导集合，进行全盘检测的功能；而这些安全漏洞集合也正是导致网络遭受破坏的主要因素。因此，网络安全扫描可以在网致网络遭受破坏的主要因素。因此，网络安全扫描可以在网络骇客动作之前，协助管理者及早发现网络上可能存在的安络骇客动作之前，协助管理者及早发现网络上可能存在的安全漏洞。通过漏洞评估，网络管理人员能提前发现网络系统全漏洞。通过漏洞评估，网络管理人员能提前发现网络系统

4、的弱点和漏洞，防患于未然。的弱点和漏洞，防患于未然。 b.重点防护：重点防护：漏洞和风险评估工具，用于发现、发掘和漏洞和风险评估工具，用于发现、发掘和报告网络安全漏洞。一个出色的风险管理系统不仅能够检测报告网络安全漏洞。一个出色的风险管理系统不仅能够检测和报告漏洞，而且还能证明漏洞发生在什么地方以及发生的和报告漏洞，而且还能证明漏洞发生在什么地方以及发生的原因。它就像一个老虎队一样质询网络和系统，在系统间分原因。它就像一个老虎队一样质询网络和系统，在系统间分享信息并继续探测各种漏洞直到发现所有的安全漏洞。还可享信息并继续探测各种漏洞直到发现所有的安全漏洞。还可以通过发掘漏洞以提供更高的可信度以

5、确保被检测出的漏洞以通过发掘漏洞以提供更高的可信度以确保被检测出的漏洞是真正的漏洞。这就使得风险分析更加精确，并确保管理员是真正的漏洞。这就使得风险分析更加精确，并确保管理员可以把风险程度最高的漏洞放在优先考虑的位置。可以把风险程度最高的漏洞放在优先考虑的位置。5 正是由于该技术可预知主体受攻击的可能性，以及能够正是由于该技术可预知主体受攻击的可能性，以及能够指证将要发生的行为和产生的后果，因而受到网络安全业界指证将要发生的行为和产生的后果，因而受到网络安全业界的重视。这一技术的应用可帮助识别检测对象的系统资源，的重视。这一技术的应用可帮助识别检测对象的系统资源，分析这一资源被攻击的可能指数，

6、了解支撑系统本身的脆弱分析这一资源被攻击的可能指数，了解支撑系统本身的脆弱性，评估所有存在的安全风险。性，评估所有存在的安全风险。68.2漏洞评估产品的分类漏洞评估产品的分类p 网络型安全漏洞评估产品网络型安全漏洞评估产品 网络型安全漏洞评估产品可以模拟黑客行为，扫描网络网络型安全漏洞评估产品可以模拟黑客行为，扫描网络上的漏洞并进行评估。上的漏洞并进行评估。 网络型的漏洞扫描器主要是仿真黑客经由网络端发出封网络型的漏洞扫描器主要是仿真黑客经由网络端发出封包，以主机接收到封包时的响应作为判断标准，进而了解主包，以主机接收到封包时的响应作为判断标准，进而了解主机的操作系统、服务，以及各种应用程序的

7、漏洞。网络型扫机的操作系统、服务，以及各种应用程序的漏洞。网络型扫描器可以放置于描器可以放置于Internet端，也可以放在家里扫描自己企业端，也可以放在家里扫描自己企业主机的漏洞，这样等于是在仿真一个黑客从主机的漏洞，这样等于是在仿真一个黑客从Internet去攻击去攻击企业的主机。企业的主机。7 从从Internet端扫描速度较慢，所以可以把扫描器放在防端扫描速度较慢，所以可以把扫描器放在防火墙之前去做扫描，由得出的报告了解防火墙帮企业把关了火墙之前去做扫描，由得出的报告了解防火墙帮企业把关了多少非法封包，也可以由此知道防火墙设定的是否良好。通多少非法封包，也可以由此知道防火墙设定的是否良

8、好。通常，即使有防火墙把关，还是可以扫描出不少的漏洞，因为常，即使有防火墙把关，还是可以扫描出不少的漏洞，因为除了人为设定的疏失外，最重要的是防火墙还是会打开一些除了人为设定的疏失外，最重要的是防火墙还是会打开一些特定的端口，让封包流进来特定的端口，让封包流进来HTTP、FTP等，而这些都是等，而这些都是防火墙所允许的应用与服务，所以还必须由入侵侦测系统来防火墙所允许的应用与服务，所以还必须由入侵侦测系统来把关。把关。8 还可以在还可以在DMZ区及企业内部去做扫描，以了解在没有防区及企业内部去做扫描，以了解在没有防火墙把关下，主机的漏洞有多少？因为企业内部的人员也可火墙把关下，主机的漏洞有多少

9、？因为企业内部的人员也可能是黑客，而且更容易得逞。同样，除了用扫描去减少自己能是黑客，而且更容易得逞。同样，除了用扫描去减少自己企业内部主机的漏洞外，还可以在企业内部装置入侵检测系企业内部主机的漏洞外，还可以在企业内部装置入侵检测系统帮助企业对内部进行监控，因此可以知道安全漏洞扫描器统帮助企业对内部进行监控，因此可以知道安全漏洞扫描器和入侵检测系统是相辅相成的。和入侵检测系统是相辅相成的。 网络型安全漏洞扫描器的功能：网络型安全漏洞扫描器的功能：9 a. 服务扫描监测：提供服务扫描监测：提供wellknownportservice的扫描监的扫描监测及测及wellknownport以外的以外的p

10、orts扫描监测。扫描监测。 b. 后门程序扫描监测：提供后门程序扫描监测：提供NetBus、Backorifice、BackOrifice2000(BackdoorBo2k)等远程控制程序等远程控制程序(后门程序后门程序)的扫描监测。的扫描监测。 c. 密码破解扫描监测：提供密码破解的扫描功能，包括密码破解扫描监测：提供密码破解的扫描功能，包括操作系统及程序密码破解扫描，如操作系统及程序密码破解扫描，如FTP、POP3、Telnet.。 d. 应用程序扫描监测：提供已知的破解程序执行扫描侦测，应用程序扫描监测：提供已知的破解程序执行扫描侦测，包括包括CGIBIN、WebServer漏洞、漏洞

11、、FTPServer等的扫描监测。等的扫描监测。10 e. 阻断服务扫描测试：提供阻断服务阻断服务扫描测试：提供阻断服务(DenialOfService)的扫描攻击测试。的扫描攻击测试。 f. 系统安全扫描监测：如系统安全扫描监测：如NT的的Registry、NTGroups、N T N e t w o r k i n g 、 N T U s e r 、 N T P a s s w o r d s 、DCOM(DistributedComponentObjectModel)、安全扫描监测。、安全扫描监测。 g. 分析报表：产生分析报表，并告诉管理者如何去修补分析报表：产生分析报表，并告诉管理者

12、如何去修补漏洞。漏洞。 h. 安全知识库的更新：所谓安全知识库就是黑客入侵手安全知识库的更新：所谓安全知识库就是黑客入侵手法的知识库，必须时常更新，才能落实扫描。法的知识库，必须时常更新，才能落实扫描。11p 主机型安全漏洞评估产品主机型安全漏洞评估产品 主机型安全漏洞扫描器最主要是针对操作系统的漏洞做主机型安全漏洞扫描器最主要是针对操作系统的漏洞做更深入的扫描，比如更深入的扫描，比如Unix、NT、Linux等系统，它可弥补网等系统，它可弥补网络型安全漏洞扫描器只从外面通过网络检查系统安全的不足。络型安全漏洞扫描器只从外面通过网络检查系统安全的不足。一般采用一般采用Client/Server

13、的架构。具体可归结为以下几个方面：的架构。具体可归结为以下几个方面： a. 重要资料锁定：重要资料锁定：利用安全的利用安全的Checksum(SHAI)来监来监控重要资料或程序的完整性及真实性，如控重要资料或程序的完整性及真实性，如Index.html档。档。 b. 密码检测：密码检测：采用结合系统信息、字典和词汇组合的规采用结合系统信息、字典和词汇组合的规则来检测易猜的密码。则来检测易猜的密码。12 c. 系统日志文件和文字文件分析：系统日志文件和文字文件分析：能够针对系统日志文能够针对系统日志文件，如件，如Unix的的syslogs，NT的事件检视的事件检视(eventlog)，及其他文，

14、及其他文字文件字文件(Textfiles)的内容做分析。的内容做分析。 d. 动态式的警讯：动态式的警讯：当遇到违反扫描政策或安全弱点时提当遇到违反扫描政策或安全弱点时提供实时警讯并利用供实时警讯并利用email、SNMPtraps、呼叫应用程序等方式、呼叫应用程序等方式报告给管理者。报告给管理者。 e. 分析报表：分析报表：产生分析报表，并告诉管理者如何去修补产生分析报表，并告诉管理者如何去修补漏洞。漏洞。 f. 加密：加密：提供提供Console和和Agent之间的之间的TCP/IP连接认证、连接认证、确认和加密等功能。确认和加密等功能。13 g. 安全知识库的更新：安全知识库的更新：主机

15、型扫描器由中央控管并更新主机型扫描器由中央控管并更新各主机的各主机的Agents的安全知识库。的安全知识库。 数据库安全漏洞评估产品数据库安全漏洞评估产品 数据库安全漏洞评估产品主要有以下功能：数据库安全漏洞评估产品主要有以下功能： a. 专门针对数据库的漏洞进行扫描。专门针对数据库的漏洞进行扫描。 b. 除了两大类的扫描器外，还有一种专门针对数据库作安除了两大类的扫描器外，还有一种专门针对数据库作安全漏洞检查的扫描器，如全漏洞检查的扫描器，如ISS公司的公司的DatabaseScanner，其架，其架构和网络型扫描类似，主要功能为找出不良的密码设定、过构和网络型扫描类似，主要功能为找出不良的

16、密码设定、过期密码设定、侦测登入攻击行为、关闭久未使用的账号，而期密码设定、侦测登入攻击行为、关闭久未使用的账号，而且能追踪登入期间的限制活动等。且能追踪登入期间的限制活动等。14 定期检查每个登入账号的密码长度是一件非常重要的事，因定期检查每个登入账号的密码长度是一件非常重要的事，因为密码是数据库系统的第一道防线。如果没有定期检查密码，为密码是数据库系统的第一道防线。如果没有定期检查密码，导致密码太短或太容易猜测，或是设定的密码是字典上有的导致密码太短或太容易猜测，或是设定的密码是字典上有的单字，都很容易被破解，导致资料外泄。大部分的关系数据单字，都很容易被破解，导致资料外泄。大部分的关系数

17、据库系统都不会要求使用者设定密码，更别提上述的安全检查库系统都不会要求使用者设定密码，更别提上述的安全检查机制，所以问题更严重。由于系统管理员的账号（在机制，所以问题更严重。由于系统管理员的账号（在SQLServer和和Sybase中是中是sa）不能改名，所以如果没有密码）不能改名，所以如果没有密码锁定的功能，入侵者就能用字典攻击程序进行猜测密码攻击，锁定的功能，入侵者就能用字典攻击程序进行猜测密码攻击，到时数据库只能任人宰割，让人随便使用最高存取权限。到时数据库只能任人宰割，让人随便使用最高存取权限。15 c. 除了密码的管理，操作系统保护了数据库吗？一般关除了密码的管理，操作系统保护了数据

18、库吗？一般关系数据库经常有系数据库经常有“port addressable”的特性，也就是使用者的特性，也就是使用者可以利用客户端程序和系统管理工具直接从网络存取数据库，可以利用客户端程序和系统管理工具直接从网络存取数据库，无须理会主机操作系统的安全机制。而且数据库有无须理会主机操作系统的安全机制。而且数据库有extended stored procedure和其他工具程序，可以让数据库和操作系统和其他工具程序，可以让数据库和操作系统以及常见的电子商务设备以及常见的电子商务设备(如同页服务器如同页服务器)互动。例如互动。例如xp_cmdshell是是SQL Server的的extended s

19、tored procedure，就，就可用来和可用来和NT系统互动，执行系统互动，执行NT命令列的动作。如果数据库命令列的动作。如果数据库的管理员账号曝光，或服务器设定错误，恶意的使用者就可的管理员账号曝光，或服务器设定错误，恶意的使用者就可能利用这个能利用这个stored Procedure，自行设定一个没有密码保护的，自行设定一个没有密码保护的NT使用者账号，然后让这个账号有操作系统的系统管理员权使用者账号，然后让这个账号有操作系统的系统管理员权限。因此，数据库的安全扫描也是信息安全内很重要的一环。限。因此，数据库的安全扫描也是信息安全内很重要的一环。168.3漏洞评估产品的选择原则漏洞评

20、估产品的选择原则 脆弱性扫描产品作为与入侵检测产品紧密配合的部分，脆弱性扫描产品作为与入侵检测产品紧密配合的部分，用户在选择时需要考虑以下问题。用户在选择时需要考虑以下问题。p 是否具有针对网络和系统的扫描系统是否具有针对网络和系统的扫描系统 全面的网络系统的漏洞评估应该包括对网络的漏洞评估、全面的网络系统的漏洞评估应该包括对网络的漏洞评估、对系统主机的漏洞评估以及对数据库系统的漏洞评估三个方对系统主机的漏洞评估以及对数据库系统的漏洞评估三个方面。相应地，一个完整的脆弱性扫描产品应该具有针对网络面。相应地，一个完整的脆弱性扫描产品应该具有针对网络和系统的扫描系统，特别地，针对企业核心数据库，还

21、应该和系统的扫描系统，特别地，针对企业核心数据库，还应该有数据库扫描系统。这是一个基本的产品覆盖面的问题。有数据库扫描系统。这是一个基本的产品覆盖面的问题。17 产品的扫描能力产品的扫描能力 产品的扫描能力是脆弱性扫描产品的基础能力，包括扫产品的扫描能力是脆弱性扫描产品的基础能力，包括扫描的速度、可扫描设备的范围、支持的网络协议等基本参数。描的速度、可扫描设备的范围、支持的网络协议等基本参数。这是一个脆弱性扫描产品的基本性能指标。这是一个脆弱性扫描产品的基本性能指标。 产品的评估能力产品的评估能力 一个好的脆弱性扫描产品不应该仅仅具有扫描能力，更一个好的脆弱性扫描产品不应该仅仅具有扫描能力，更应该作为一个风险评估