扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
最近互联网上出现了一系列网络安全事件,甚至造成世界范围内的网络堵塞,从中我们可以看出,大部分网络系统的安全性都是非常脆弱的。当然,计算机系统是做不到百分之百安全的,以此次网络蠕虫肆虐造成的网络堵塞事件来说,网络蠕虫会尝试入侵任何它们可以找到的系统,其中没有及时修补安全漏洞的系统就会被感染。因此,您一定要及时修补网络系统中的薄弱环节和安全漏洞,这样才能尽量避免遭到病毒和黑客的攻击。
自从网络安全问题开始受到重视,大部分人都已经认识到,对于网络安全问题来说,预防才是关键。在攻击行为发生前,要及时修补已知的安全漏洞,查找系统可能的安全隐患,做到防患于未然。因此,防火墙成了人们关注的重点。的确,防火墙系统是网站安全的第一道防线,它可以过滤并阻挡许多攻击行为。但有了防火墙,仅仅是防范措施的第一步,随着入侵手段的日益复杂和操作系统不时出现的安全缺陷,在现今错综复杂的网络环境中,即使制定了完备的防火墙政策,仍充斥着各式各样的系统漏洞。预先评估分析网络系统中存在的安全问题,已经成为预防安全问题的重要手段。本文将向您介绍的安全扫描技术能有效地预先评估分析网络系统中安全问题。
如何选择安全扫描工具
如何选择一种合适的软件?在系统安全扫描工具方面,CHIP《新电脑》在2002年第8期的网络安全栏目曾经介绍过“微软基准安全分析器”和GFI Software 公司的“LANguard Network Security Scanner”,这两款免费软件已经能够满足一般用户的需要。网络安全扫描工具方面,目前国内外最流行的莫过于Internet Security Scanner、CyberCop Scanner、NetRecon、WebTrends Security Analyzer、Shadow Security Scanner、Retina、nmap、X-Scanner,以及天镜和流光。这些安全扫描工具各有所长,要选择哪一个软件还得看用户具体的需要,但在挑选过程中也有一定的规则可循。
首先,安全扫描工具是通过已知的系统安全漏洞来测试网络系统的,当今应用软件功能日趋复杂化,网络软件漏洞层出不穷,这就要求优秀的安全扫描系统必须有良好的可扩充性和迅速升级的能力。因此,在选择产品时,首先要注意产品是否能直接从互联网升级、升级方法是否容易掌握,同时要注意产品制造者有没有足够的技术力量来保证对新出现的安全漏洞做出迅速的反应。
另外,安全扫描系统还要具有友好的用户界面,并能提供清晰的安全分析报告。对于大型网络的管理人员来说,安全扫描工具的功能和可扫描的对像必须足够多,分析结果显示得清楚、有条理。对于希望同时学习和增强网络知识的用户来说,安全扫描工具的分析必须有利于学习如何修正发现的安全漏洞,了解入侵者可以怎样利用这些安全漏洞。对于网络和计算机新手来说,如果从使用的角度考虑,要求软件简单有效即可,需要用户参与的部分则越少越好。
基于以上原则和笔者个人的经验,推荐网络管理员可以选择Internet Security Scanner这款著名的安全扫描软件,如果您使用Linux之类的操作系统可以试一下nmap(http://www.insecure.org/nmap/),该软件除了功能强、扫描的方式多,还有许多值得推荐的优点。而对网络和计算机技术不太熟悉的朋友可以选择X-Scanner(http://www.xfocus.org/)和流光(http://www.netxeyes.org)这两款软件。如果您使用安全扫描软件是为了保护自己系统安全的同时学习网络知识,由于X-Scanner和流光这两种软件的封装太严,虽然简单有效但不利于学习,您可以选择Retina或者Shadow Security Scanner(http://www.safety-lab.com/)这两款软件。下面将简单介绍一下Internet Security Scanner的功能,再详细为您介绍Retina的使用方法。Internet Security Scanner 是网络管理人员的首选,而Retina比较适合大部分个人用户的需要,而且与Shadow Security Scanner相比操作界面更为友好。
网络管理员的选择
Internet Security Scanner(ISS)是ISS公司(http://www.iss.net/)1992年开发的软件,该软件的初衷是作为帮助管理人员探测、记录与TCP/IP主机服务相关的网络安全弱点,并保护网络资源的共享工具。但由于该软件是同类产品中第一个以共享软件方式提供的产品,而且ISS公司还与美国国家计算机安全协会、美国网络紧急事务响应小组,以及以色列的RSA公司等系统安全公司有着密切合作,同时也与美国社会上的“黑客”有着广泛联系,很快该软件就声名大噪,并发展成为一个功能全面的网络安全套件,成为一个网络安全基础测试工具,在世界范围内广为使用。
ISS软件主要分为扫描和监测两大部分,其中扫描功能可以审核Web服务器内部的系统安全设置、评估文件系统底层的安全特性、寻找有问题的CGI程序,以及试图解决这些问题的Web Security Scanner。它通过审核基于防火墙底层的操作系统的安全特性,来测试防火墙和网络协议是否有安全漏洞,同时其自身具有过滤功能的Firewall scanner,还可以从广泛的角度来检测网络系统上的安全漏洞,并且提出一种可行的方法来评定TCP/IP互连系统的安全设置。它可以系统地探测每一种网络设备的安全漏洞,提出适当的Intranet Scanner,以及扫描数据库安全漏洞的Database Scanner,和能够测试系统的文件存取权限、文件属性、网络协议配置、账号设置、程序可靠性,以及一些用户权限所涉及到的安全问题,同时还可以寻找到一些黑客曾经潜入系统内部的痕迹的系统安全扫描。
实时监测方面,ISS通过一种自动识别和实时响应的智能安全系统监视网络中的活动,寻找有攻击企图和未经授权的行为。该实时安全监视系统采用分布式体系,网络系统管理员可以通过一个中心控制器实时监控并响应整个网络。一旦安全系统检测到一个攻击对象,或有超越网络授权的操作行为时,它将提供包括运行用户预先指定程序、监视并记录非法操作过程、自动切断信号并发送email给网络管理员,和负责人通知系统管理员等几种响应方式。
简单实用的选择
上面已经说过,eEye(http://www.eeye.com/)的Retina因为发现了微软IIS服务器上的缓冲区溢出漏洞而声名大燥。该软件可以运行于Windows NT 4.0 SP6a/2000/XP等Windows操作系统,可以对Windows、Linux、UNIX等系统进行扫描,功能强大,而且对新出现的安全漏洞反应迅速。该软件遵循CVE规则命名安全漏洞,通过其安全分析报告的安全漏洞说明,您可以基本了解问题的严重性及处理方法。另外,该软件还具有一定的系统安全扫描能力,能够为用户修正系统内的安全设置缺陷。
Retina修正系统安全设置缺陷。
安装和更新
要使用Retina,您首先需要从eEye的网站(http://www.eeye.com/)上下载该软件的安装包,软件属于共享软件,用户可以试用15天。下载后安装软件时需要用户选择的项目不多,按照默认的设置就可以完成软件的安装。安装完毕后安装程序将自动启动Retina,启动时软件将弹出一个更新对话框,等待30秒以通过互联自动网进行更新,您可以单击取消按钮直接启动软件,或者单击开始按钮马上开始更新。更新时需要您选择更新的连接方式,可以选择的有加密认证的https连接和普通的http方式,一般来说此处的选择对更新的影响不大,您可以随便选择一个。紧接着软件将检查需要更新的组件,并列出详细的更新文件清单。建议您除非是有特殊的原因再对更新文件进行选择,否则应该更新所有文件。决定了更新文件后,软件将自动下载和更新软件,完成后打开Retina的主界面。
主界面和菜单
Retina的主界面分为三部分,上部是菜单和工具栏,下部的左边是一动态导航菜单,右边是与左边菜单相对应的内容显示窗口。导航菜单的第一项是“Retina”,其中又有“Browser、Miner、Scanner、Tracer”四个链接,其中“Browser”的功能与浏览器一般无异,调用该功能您可以在Retina软件中浏览网页,并且在浏览的同时,Retina还将在网页窗口的下半部分显示网页大小、创建日期、修改日期等资料。当用户选择第2、3个导航菜单“Support”和“Links”时,软件也将把技术支持网页和链接的网站以“Browser”功能打开,让用户浏览软件的技术支持信息和eEye推荐的网络安全技术网站。“Miner、Scanner、Tracer”3项都与安全扫描相关,各自负责扫描网站的文件漏洞、全面扫描本地计算机或者网络主机、测试并显示当前计算机与目标计算机之间的网络连接,当中最重要的就是全面扫描本地计算机或者网络主机的“Scanner”功能。
选项设置
Retina软件整体的功能设置在“Tools”菜单中的“Options”选项里,选择“Options”命令打开设置对话框,您可以选择软件扫描时连接目标计算机的超时时间,和测试时读取数据的超时时间,也可以设置软件在每次启动时自动更新,或者让软件在预定的时间内自动启动进行扫描。如果您准备在扫描后将安全报告通过电子邮件发送或者通过网络信息传递,也需要在选项对话框中定义相关的信息,例如使用的电子邮件服务器和电子邮件地址等。
Retina设置选项
Retina进行安全扫描的策略和方法由“Tools”中的“Policies”决定,选择该命令打开策略对话框,您可以看到“Policies、Ports、Audits”三项设置:“Policies”定义扫描的大概方法,是完全扫描还是只检查端口,如果您使用的是已注册的版本,还可以通过“Common Hacking Attack Methods”部分的设置选择是否对目标计算机进行FTP、HTTP等协议的攻击测试;“Ports”设置定义各端口的性质,您可以选择在扫描时需要测试的端口;“Audits”是定义扫描时需要进行的测试项目,您可以定义是否在检查系统安全时检查注册表,或者是在扫描网络时是否检查数据库。另外,在“Tools”菜单中,您还可以通过“Reports”命令定义Retina显示扫描结果的分析。
Retina安全策略
扫描和解读报告
Retina的使用方法非常简单,如果您准备扫描一台计算机,只要在工具栏上的“Address”输入框中输入目标计算机的IP地址或者域名即可,如果您准备扫描一个网络段,那么可以选择“Edit”下的“IP Range”,在主界面显示内容的窗口中将出现一个新的窗口,在窗口中有可以输入两个IP地址的输入框,您只需要输入起止的IP地址,就可以定义要扫描的网络段。定义好要扫描的计算机或者网络后,直接回车或者单击“Action”,选择“Start”可以进行扫描。
单机扫描结果
Retina显示扫描结果的窗口分为左右两部分,左边显示此次扫描的计算机IP地址,右边显示扫描的结果,如果您一次扫描多台计算机,单击各计算机的IP地址将显示对应的结果,如在扫描的过程中发现计算机上有高风险的安全漏洞,IP地址前的图示将转为红色。Retina的安全扫描报告通常包括“General、Audits、Machine、Ports、Services、Shares、Users”几个部分:“General”一栏显示目标计算机的IP地址、扫描时间、连接的速度、建立连接所经过的网络地址等等普通资料;“Machine、Ports、Services、Shares、Users”各自显示目标计算机上的操作系统等计算机信息、端口的情况、打开的服务、共享的资源和查获的用户名;“Audits”一栏是最需要关注的地方,此处将显示目标计算机内可能存在问题的项目,特别是带有红色箭头的项目将是高风险的安全漏洞。
多台计算机的扫描结果
在“Audits”一栏查获的安全问题中,单击每一条信息将在扫描结果的窗口下方显示其详细资料,如果问题属于当前系统上可修正的安全设置缺陷,Retina将弹出“FIX IT”对话框,单击其上的“FIX IT”按钮即可修正。如果没有弹出修正对话框,您需要仔细阅读软件提供的信息。信息一般包括“Description、Risk Level、How To Fix、CVE”四部分,有的还有软件另外提供的链接。您可以通过“Description”阅读安全问题的详细说明;再通过“Risk Level”了解问题的严重性,也就是危险级别;然后按照“How To Fix”中的方法下载补丁、更新软件的版本,或者是在系统上进行某项设置;如果对问题还不太明白或者希望了解更多的信息,可以通过“CVE”上的CVE编号进行查询。
学习与提高
解读任何安全扫描工具的分析报告都需要有一定的英文基础,但如果您对报告的内容不太了解,也可以通过互联网上的搜索引擎来查找相关的资料,其中不乏中文信息。另外,虽然已经为您介绍了笔者个人比较喜欢的安全扫描软件,但对于本文曾经介绍过的其他安全扫描工具您也不妨加以测试,安全扫描工具不同于其他网络应用软件,它们各有特色,有的重于攻有的重于防,每一个软件都能够给您带来一点收获。
网络安全是一个复杂的问题,要做好有效的防御工作也是一项复杂的工作,复杂的工作难免出错,当您能够熟练地使用安全扫描工具之后,您会发现,许多原以为已经很安全的系统其实是不堪一击的。更会明白为什么互联网站点那么容易被侵入,在安全扫描工具的帮助下,您将发现许多主机存在安全问题。但在此不得不提醒您,您应该将安全扫描工具用于改善个人计算机或者自己管理的网络系统的安全,而不是入侵其他计算机。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。