漏洞扫描工作规范

TITLE漏洞扫描工作规范目录漏洞扫描作业指导书 1一.漏洞扫描介绍 11.1扫描的内容 11.1.1网络层漏洞识别 11.1.2操作系统层漏洞识别 11.1.3应用层漏洞识别 21.2扫描的原理 21.2.1探测主机存活 21.2.2判断端口及服务 31.2.3判断漏洞 31.2.4攻击风险 31.2.5为什么会存在误报？ 3二.漏洞扫描流程及实施规范 32.1准备阶段 42.1.1注意事项 42.1.2提交报告 42.2扫描过程 52.2.1注意事项 52.2.2提交报告 52.3报告与汇报 62.3.1注意事项 62.3.2提交报告 6三.漏洞扫描可能存在的风险汇总 63.1扫描HP-UNIX集群服务器，会造成服务器宕机 63.2扫描服务器后，影响终端用户登录服务器 83.3扫描Oracle9i服务器时，造成服务器拒绝服务 83.4扫描IBMAIX集群服务器，会造成服务器宕机 83.5扫描cisco3750交换机，交换机cpu升高到100%，极端情况交换机重启 93.6扫描安全设备时，可能会出现宕机 9四.某客户漏洞扫描问题汇总 104.1扫描结果未保存 104.2扫描财务公司SSG520防火墙宕机 104.3扫描导出结果不全 10附录A 某客户漏洞扫描工作要求 10A.1 漏洞扫描范围 10A.2 扫描口地址配置 10A.3 扫描任务选项与报告要求 11A.4 扫描前后的验证 11PAGE漏洞扫描介绍安全漏洞(securityhole)漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。是受限制的计算机、组件、应用程序或其他联机资源的无意中留下的不受保护的入口点。扫描的内容安全漏洞扫描会对信息系统内的网络设备、操作系统、应用软件、中间件和服务等进行安全漏洞识别，详细内容如下：网络层漏洞识别版本漏洞，包括但不限于IOS存在的漏洞，涉及包括所有在线网络设备及安全设备。开放服务，包括但不限于路由器开放的Web管理界面、其他管理方式等。空弱口令，例如空/弱telnet口令、snmp口令等。网络资源的访问控制：检测到无线访问点，……域名系统：ISCBINDSIG资源记录无效过期时间拒绝服务攻击漏洞，MicrosoftWindowsDNS拒绝服务攻击，……路由器：CiscoIOSWeb配置接口安全认证可被绕过，Nortel交换机/路由器缺省口令漏洞，华为网络设备没有设置口令，…………操作系统层漏洞识别操作系统（包括Windows、AIX和Linux、HPUX、Solaris、VMware等）的系统补丁、漏洞、病毒等各类异常缺陷，……空/弱口令系统帐户检测，例如：身份认证：通过telnet进行口令猜测，……访问控制：注册表HKEY_LOCAL_MACHINE普通用户可写，远程主机允许匿名FTP登录，ftp服务器存在匿名可写目录，……系统漏洞：SystemV系统Login远程缓冲区溢出漏洞，MicrosoftWindowsLocator服务远程缓冲区溢出漏洞，……安全配置问题：部分SMB用户存在薄弱口令，试图使用rsh登录进入远程系统，…………应用层漏洞识别应用程序（包括但不限于数据库Oracle、DB2、MSSQL，Web服务，如Apache、WebSphere、Tomcat、IIS等，其他SSH、FTP等）缺失补丁或版本漏洞检测，……空弱口令应用帐户检测。数据库软件：Oracletnslsnr没有设置口令，MicrosoftSQLServer2000Resolution服务多个安全漏洞，……Web服务器：ApacheMod_SSL/Apache-SSL远程缓冲区溢出漏洞，MicrosoftIIS5.0.printerISAPI远程缓冲区溢出，SunONE/iPlanetWeb服务程序分块编码传输漏洞，……电子邮件系统：Sendmail头处理远程溢出漏洞，MicrosoftWindows2000SMTP服务认证错误漏洞，……防火墙及应用网管系统：AxentRaptor防火墙拒绝服务漏洞，……其它网络服务系统：WingatePOP3USER命令远程溢出漏洞，Linux系统LPRng远程格式化串漏洞，…………扫描的原理探测主机存活扫描器主要有三项功能：1、发现主机；2、发现主机上的服务；3、发现服务的漏洞。扫描器首先探测目标系统的活动主机，探测方式默认采用ICMPping和TCPping，可以选用UDPping。其中，TCPping默认只探测常用端口，可自定义选择端口，通过向目标主机发送TCPSYN/ACK/FIN等数据报文，根据目标主机的反应以判断其是否存活。判断端口及服务通过TCP端口扫描方式，确定目标主机开放的端口，默认通过CONNECT方式（推荐选项，通过直接建立完整的TCP连接来判断端口开放情况，此方法快而准确），可选方式为SYN方式（向目标端口发送SYN包，依据对方是否回复ACK报文来判断端口开放情况），同时根据协议指纹技术识别出主机的操作系统类型。判断漏洞扫描器对开放的端口进行网络服务类型的识别，确定其提供的网络服务。漏洞扫描器根据目标系统的的操作系统平台和提供的网络服务，调用漏洞资料库中已知的各种漏洞进行逐一检测，通过对探测响应数据包的分析判断是否存在已知安全漏洞。攻击风险在漏洞的检测过程中，扫描器会基于自身数据库中的payload（漏洞利用程序，非攻击性的payload）向目标发送信息，基于返回的数据包来确定漏洞是否存在，虽然是非攻击性的payload的，但此过程仍存在一定的风险。为什么会存在误报？有些漏洞是没有payload，或者扫描器自身数据库中没有此漏洞的payload，这时，扫描器就会基于扫描出来的目标系统的服务版本来判断是否存在漏洞，如扫描出目标主机存在Oracle11g数据库，而此时扫描器没有此版本的payload，扫描器就会把数据库中所有低于此版本的漏洞全部呈现出来。同时，在判断目标系统的服务版本中，可能也会出现偏差，最终也会导致漏洞误报。漏洞扫描流程及实施规范整个安全漏洞扫描服务的流程分为三个阶段：准备阶段、扫描过程和报告汇报。通过这三个阶段结合安全漏洞扫描内容和实际客户系统情况，完成安全漏洞扫描服务。准备阶段前期技术交流包括相关安全扫描技术、扫描原理、扫描方式及扫描条件进行交流和说明；同时商谈安全漏洞扫描服务的范围，主要是哪些主机，网络设备，应用系统等；并结合实际业务情况需求，确定扫描范围，扫描实施的时间，设备接入点，IP地址的预留，配合人员及其他相关的整体漏扫方案。注意事项明确扫描的范围（什么业务系统）及目标（IP地址范围）；明确扫描时间；明确扫描实施人员，甲方配合人员及扫描业务系统的负责人；明确扫描接入点及扫描器IP地址（一个）；确认扫描器版本库为最新；提交漏洞扫描方案。提交报告《漏洞扫描方案》——扫描前提交，用户确认后进行漏洞扫描；扫描过程依据前期准备阶段的漏扫方案，进行漏洞扫描、漏洞分析和漏洞测试，扫描过程主要是进行范围内的漏洞信息数据收集，为下一步的报告撰写提供依据和数据来源。漏洞扫描，主要采用漏洞扫描设备进行范围内的安全扫描。漏洞分析，主要是对扫描结果进行分析，安全工程师会结合扫描结果和实际客户系统状况，进行安全分析。漏洞验证，对部分需要人工确定和安全分析的漏洞，进行手工测试，以确定其准确性和风险性。注意事项扫描前测试扫描网段是否可达，业务是否正常，如有问题，及时跟用户反馈，必要时，可中断扫描；明确是否要进行暴力破解（弱口令扫描）扫描选项，暴力破解可能会导致操作系统、数据库等登录帐号锁定；扫描前明确目标是否有“老设备”（使用期限在6年以上，主要为防火墙、上网行为管理等带Web登录的系统及服务器），“老设备”单独设置较低的扫描参数扫描；服务器与网络安全设备分开扫描，先扫描服务器，扫描完成后测试正常再扫描网络安全设备；扫描服务器时不扫描服务器网关IP地址，网关IP地址与网络安全设备一起扫描；除非客户同意，否则禁止在办公时间段内进行扫描；扫描完成后立即导出扫描原始结果（doc、html、excel三种格式均需导出），并删除扫描任务及扫描结果；每次扫描完成后测试扫描的所有业务系统是否正常，如有问题，立即跟用户反馈；当天或阶段扫描完成后，跟用户反馈扫描情况，业务连续性测试情况。离开用户现场前，售后项目需跟项目经理反馈，售前项目需跟销售反馈；提交报告《漏洞扫描后业务连续性测试报告》——需用户确认无误后离场《漏洞扫描原始结果》报告与汇报报告与汇报：这个阶段主要对现场进行扫描后的数据进行安全分析，安全工程师对漏洞扫描系统输出的报告进行结果分析及漏洞测试具体情况进行综合梳理，分析，总结。最后给出符合客户信息系统实际情况的安全需求的安全建议。注意事项出报告前需跟用户沟通报告的形式（word、excel、html等），以用户的办公习惯出具报告；工作完成后，于1个工作日内提供《漏洞扫描报告及加固建议》，如多个系统或扫描内容较多，可分批次提供（与用户协商，每天发送一次还是汇总发送），如有特殊情况，不能如期提供报告，及时跟项目经理或销售反馈，调派其它人员参与编写（原则上，谁扫描谁出报告），并在约定时间前跟用户解释说明；所有扫描任务结束，请在漏扫设备中导出报告后删除任务，避免造成客户漏洞信息泄露。漏洞扫描工具及漏洞库设备版本提交报告《漏洞扫描报告及加固建议》——于扫描后1个工作日完成。漏洞扫描可能存在的风险汇总扫描HP-UNIX集群服务器，会造成服务器宕机原因：由于HP-unix集群服务存在拒绝服务漏洞引起的。漏洞描述（HP-UXcmcldServicePortScanRemoteDoS）详细信息见：/show/osvdb/59821受影响的版本：ServiceguardA.11.19onHP-UX11.23ServiceguardA.11.19onHP-UX11.31原理：群集守护程序：cmcld（clustermanagement）通过向Serviceguard群集内其他节点上的cmcld守护程序发送心跳线消息，该守护程序可确定群集成员。它按照实时优先级运行且锁定在内存中。cmcld守护程序在内核中设置了一个安全定时器，用于检测内核挂起。如果此定时器未由cmcld定期复位，则内核将产生系统TOC（即控制转移），也就是立即暂停系统而不是进行正常关闭。发生这种情况的原因可能是cmcld无法与大多数群集成员通信；或者是因为cmcld异常退出、中止以及无法运行足够长的时间并无法更新内核计时器（内核挂起）。在因安全定时器过期而导致TOC之前，消息将会写入/var/adm/syslog/syslog.log和内核消息的缓冲区中，并执行系统转储。现象说明：系统A和系统B在一个群集组当中，它们之间通过该进程互相进行通信，但是由于扫描器对系统A的扫描，导致可能在短暂的瞬间系统A只忙于和扫描器的交互，而无法和系统B进行通信，于是会立即暂停系统。上述链接报告的就是该服务很容易导致DOS攻击，只要发起大流量的报文，就可以使得整个集群系统崩溃。如何规避：如果不确认HP服务器是否安装了补丁，扫描时需要避开HP-UNIX集群服务器解决方案：解决方案1安装补丁：经过分析受影响系统以及补丁如下。使用补丁后，扫描过程中，HP-UNIX不再出现宕机现象。（请对应好版本，不同版本有不同补丁）Fixisavailableviabelowpatches受影响版本：ServiceguardA.11.19onHP-UX11.23补丁：PHSS_40793受影响版本：ServiceguardA.11.19onHP-UX11.31补丁：PHSS_40794解决方案2使用防火墙屏蔽以下端口端口：hacl-gs5301/tcp#HAClusterGeneralServiceshacl-cfg5302/tcp#HAClusterTCPconfigurationhacl-cfg5302/udp#HAClusterUDPconfigurationhacl-probe5303/tcp#HAClusterTCPprobehacl-probe5303/udp#HAClusterUDPprobehacl-local5304/tcp#HAClusterCommandshacl-test5305/tcp#HAClusterTesthacl-dlm5408/tcp#HAClusterdistributedlockmanager扫描服务器后，影响终端用户登录服务器原因：扫描器缺省会进行弱口令猜测，而服务器配置了登录3次失败，自动锁定账号的功能，扫描器在猜测口令时，服务器锁定了帐号。受影响的版本：系统配置了帐号锁定策略，如登录失败3次自动锁定账号。受影响的系统：windows登录帐号、UNIX系统TELNET帐号。规避方法：在新建扫描任务时，在附加选项中去掉口令猜测。注意：如果去掉了口令猜测，扫描器将不能扫描出弱口令。扫描Oracle9i服务器时，造成服务器拒绝服务原因：因为Oracle9iTNSListener存在远程拒绝服务漏洞，攻击者可以构造一个调试请求数据发送给Oracle9iSQL*NETlistener使其崩溃。受影响的版本：Oracle9i9.0.1Oracle9i9.2原理：Oracle9i有一个调试功能，允许数据库管理员收集服务器运行的一些额外信息。这个调试功能缺省是打开的。Oracle9iSQL*NETlistener没有正确处理某些特定类型的调试请求，如果攻击者通过网络发送这种请求，Oracle9i会崩溃，不能再继续响应正常的SQL请求。只有手工重启listener才能回复正常工作。如何规避：如果不确认Oracle9i服务器是否安装了补丁，扫描时需要避开Oracle9i服务器解决办法：将Oracle9i9.0.1安装patchset4升级到以上将Oracle9i9.2安装patchset2升级到以上版本，或采用更新版本的Oracle。扫描IBMAIX集群服务器，会造成服务器宕机原因：AIX上的集群服务HAES/HACMP存在脆弱性，当端口扫描到HAES/HACMP服务相关端口，导致服务器宕机。影响版本：IBMAIX操作系统HACMP:4.4.XHACMP:4.5,HACMP:5.1,HACMP:5.2原理：当集群服务器的某个节点clstrmgr服务接收到非法数据包（端口扫描数据包）时，会引起clstrmgr服务退出，这时其他服务器尝试接管服务停止的服务。如果所有节点都接收到非法数据包（端口扫描数据包）时，整个集群将宕机。临时解决方法：1、在AIX服务器上使用ipfilter过滤掉除应用以外所有端口。2、扫描时避开AIX集群服务器。IBM官方在2008年已公布了该宕机风险的说明：/support/docview.wss?uid=isg3T1000505扫描cisco3750交换机，交换机cpu升高到100%，极端情况交换机重启原因：cisco3750交换机webserver存在拒绝服务漏洞。影响版本：12.2SEA等（见详细说明）cisco推荐版本：12.2(44)SE6解决方法：关闭交换机webserver命令：configtnoiphttpservernoiphttpsecure-server详细说明：/en/US/products/products_security_advisory09186a0080a96478.shtml/en/US/products/products_security_advisory09186a0080a9648d.shtml扫描安全设备时，可能会出现宕机原因：大部分安全设备采用Web页面登录管理，如采用的中间件为Apache，可能存在THCSSLDOS漏