對于一個複雜的多層結構的系統和網絡安全規劃來說,隐患掃描是一項重要的組成元素。隐患掃描能夠模拟黑客的行為,對系統設定進行攻擊測試,以幫助管 理員在黑客攻擊之前,找出網絡中存在的漏洞。這樣的工具可以遠端評估你的網絡的安全級别,并生成評估報告,提供相應的整改措施。
目前,市場上有很多隐患掃描工具,按照不同的技術(基于網絡的、基于主機的、基于代理的、C/S的)、不同的特征、不同的報告方法,以及不同的監聽模式,可以分成好幾類。不同的産品之間,漏洞檢測的準确性差别較大,這就決定了生成的報告的有效性上也有很大差別。
選擇正确的隐患掃描工具,對于提高你的系統的安全性,非常重要。
1、漏洞掃描概述
在字典中,Vulnerability意思是漏洞或者缺乏足夠的防護。在軍事術語中,這個詞的意思更為明确,也更為嚴重------有受攻擊的嫌疑。
每個系統都有漏洞,不論你在系統安全性上投入多少财力,攻擊者仍然可以發現一些可利用的特征和配置缺陷。這對于安全管理者來說,實在是個不利的消 息。但是,多數的攻擊者,通常做的是簡單的事情。發現一個已知的漏洞,遠比發現一個未知漏洞要容易的多,這就意味着:多數攻擊者所利用的都是常見的漏洞, 這些漏洞,均有書面資料記載。
這樣的話,采用适當的工具,就能在黑客利用這些常見漏洞之前,查出網絡的薄弱之處。如何快速簡便地發現這些漏洞,這個非常重要。
漏洞,大體上分為兩大類:
(1) 軟體編寫錯誤造成的漏洞;
(2)軟體配置不當造成的漏洞。
漏洞掃描工具均能檢測以上兩種類型的漏洞。漏洞掃描工具已經出現好多年了,安全管理者在使用這些工具的同時,黑客們也在利用這些工具來發現各種類型的系統和網絡的漏洞。
2、隐患掃描工具的衡量因素
決定是否采用隐患掃描工具來防範系統入侵是重要的第一步。當您邁出了這一步後,接下來的是:如何選擇滿足您公司需要的合适的隐患掃描技術,這同樣也很重要。以下列出了一系列衡量因素:
(1) 底層技術(比如,是被動掃描還是主動掃描,是基于主機掃描還是基于網絡掃描);
(2) 特性;
(3) 漏洞庫中的漏洞數量;
(4) 易用性;
(5) 生成的報告的特性(内容是否全面、是否可配置、是否可定制、報告的格式、輸出方式等);
(6) 對于漏洞修複行為的分析和建議(是否隻報告存在哪些問題、是否會告訴您應該如何修補這些漏洞);
(7) 安全性(由于有些掃描工具不僅僅隻是發現漏洞,而且還進一步自動利用這些漏洞,掃描工具自身是否會帶來安全風險);
(8) 性能;
(9) 價格結構
2.1 底層技術
比較漏洞掃描工具,第一是比較其底層技術。你需要的是主動掃描,還是被動掃描;是基于主機的掃描,還是基于網絡的掃描,等等。一些掃描工具是基于 Internet的,用來管理和集合的伺服器程式,是運作在軟體供應商的伺服器上,而不是在客戶自己的機器上。這種方式的優點在于檢測方式能夠保證經常更 新,缺點在于需要依賴軟體供應商的伺服器來完成掃描工作。
掃描古城可以分為"被動"和"主動"兩大類。被動掃描不會産生網絡流量包,不會導緻目标系統崩潰,被動掃描工具對正常的網絡流量進行分析,可以設計成"永遠線上"檢測的方式。與主動掃描工具相比,被動掃描工具的工作方式,與網絡監控器或IDS類似。
主動掃描工具更多地帶有"入侵"的意圖,可能會影響網絡和目标系統的正常操作。他們并不是持續不斷運作的,通常是隔一段時間檢測一次。
基于主機的掃描工具需要在每台主機上安裝代理(Agent)軟體;而基于網絡的掃描工具則不需要。基于網絡的掃描工具因為要占用較多資源,一般需要一台專門的計算機。
如果網絡環境中含有多種作業系統,您還需要看看掃描其是否相容這些不同的作業系統(比如Microsoft、Unix以及Netware等)。
2.2 管理者所關心的一些特性
通常,漏洞掃描工具完成一下以下?功能:掃描、生成報告、分析并提出建議,以及資料管理。在許多方面,掃描是最常見的功能,但是資訊管理和掃描結果分析的準确性同樣很重要。另外要考慮的一個方面是通知方式:當發現漏洞後,掃描工具是否會向管理者報警?采用什麼方式報警?
對于漏洞掃描軟體來說,管理者通常關系以下幾個方面:
(1) 報表性能好;
(2) 易安裝,易使用;
(3) 能夠檢測出缺少哪些更新檔;
(4) 掃描性能好,具備快速修複漏洞的能力;
(5) 對漏洞及漏洞等級檢測的可靠性;
(6) 可擴充性;
(7) 易更新性;
(8) 成本效益好;
2.3 漏洞庫
隻有漏洞庫中存在相關資訊,掃描工具才能檢測到漏洞,是以,漏洞庫的數量決定了掃描工具能夠檢測的範圍。
然而,數量并不意味着一切,真正的檢驗标準在于掃描工具能否檢測出最常見的漏洞?最根本的在于,掃描工具能否檢測出影響您的系統的那些漏洞?掃描工 具中有用的總量取決于你的網絡裝置和系統的類型。你使用掃描工具的目的是利用它來檢測您的特定環境中的漏洞。如果你有很多Netware伺服器,那麼,不 含Netware漏洞庫的掃描工具就不是你的最佳選擇。
當然,漏洞庫中的攻擊特性必須經常更新,這樣才能檢測到最近發現的安全漏洞。
2.4 易使用性
一個難以了解和使用的界面,會阻礙管理者使用這些工具,是以,界面友好性尤為重要。不同的掃描工具軟體,界面也各式各樣,從簡單的基于文本的,到複雜的圖形界面,以及Web界面。
2.5 掃描報告
對管理者來說,掃描報告的功能越來越重要,在一個面向文檔的商務環境中,你不但要能夠完成你的工作,而且還需要提供書面資料說明你是怎樣完成的。事 實上,一個掃描可能會得到幾百甚至幾千個結果,但是這些資料是沒用的,除非經過整理,轉換成可以為人們了解的資訊。這就意味着理想情況下,掃描工具應該能 夠對這些資料進行分類和交叉引用,可以導到其他程式中,或者轉換成其他格式(比如CSV,HTML,XML,MHT,MDB,EXCEL以及Lotus等 等),采用不同方式來展現它,并且能夠很容易的與以前的掃描結果做比較。
2.6 分析與建議
發現漏洞,才完成一半工作。一個完整的方案,同時将告訴你針對這些漏洞将采取哪些措施。一個好的漏洞掃描工具會對掃描結果進行分析,并提供修複建議。一些掃描工具将這些修複建議整合在報告中,另外一些則提供産品網站或其它線上資源的連結。
漏洞修複工具,它可以和流行的掃描工具結合在一起使用,對掃描結果進行彙總,并自動完成修複過程。
2.7 分析的準确性
隻有當報告的結果是精确的,提供的修複建議是有效的,一份包含了詳細漏洞修複建議的報告, 才算是一份優秀的報告。一個好的掃描工具必須具有很低的誤報率(報告出的漏洞實際上不存在)和漏報率(漏洞存在,但是沒有檢測到)。
2.8 安全問題
因掃描工具而造成的網絡癱瘓所引起的經濟損失,和真實攻擊造成的損失是一樣的,都非常巨大。一些掃描工具在發現漏洞後,會嘗試進一步利用這些漏洞, 這樣能夠確定這些漏洞是真實存在的,進而消除誤報的可能性。但是,這種方式容易出現難以預料的情況。在使用具備這種功能的掃描工具的時候,需要格外小心, 最好不要将其設定成自動運作狀态。
掃描工具可能造成網絡失效的另一種原因,是掃描過程中,超負荷的資料包流量造成拒絕服務(DOS,Denial Of Service)。為了防止這一點,需要選擇好适當的掃描設定。相關的設定項有:并發的線程數、資料包廂隔時間、掃描對象總數等,這些項應該能夠調整,以 便使網絡的影響降到最低。一些掃描工具還提供了"安全掃描"的模闆,以防止造成對目标系統的損耗。
2.9 性能
掃描工具運作的時候,将占用大量的網絡帶寬,是以,掃描過程應盡快完成。當然,漏洞庫中的漏洞數越多,選擇的掃描模式越複雜,掃描所耗時間就越長, 是以,這隻是個相對的數值。提高性能的一種方式,是在企業網中部署多個掃描工具,将掃描結果回報到一個系統中,對掃描結果進行彙總。
3、隐患掃描工具的價格政策
商業化的掃描工具通常按以下幾種方式來釋出器授權許可證:按IP位址授權,按伺服器授權,按管理者授權。不同的授權許可證方式有所差別。
3.1 按IP段授權
許多掃描其産品,比如eEye的Retina和ISS(Internet Security Scanner)要求企業使用者按照IP段或IP範圍來收費。換句話說,價格取決于所授權的可掃描的IP位址的數目。
3.2 按伺服器授權
一些掃描工具供應商,按照每個伺服器/每個工作站來電腦許可證的價格。伺服器的授權價格會比工作站高很多,如果有多台伺服器的話,掃描工具的價格會明顯上升。
3.3 按管理者授權
對于大多數企業而言,這種授權方式,比較簡單,成本效益也較好。
4、總結
在現在的網際網路環境中,威脅無處不在。在1-3季度,CERT協調中心就收到超過114,000個漏洞事件報告,這個數字超過2002年的總和,這表明,此類事件在不斷增長中。為了防範攻擊,第一件事就是在黑客發動攻擊之前,發現網絡和系統中的漏洞,并及時修複。
但是,漏洞掃描工具在特性、精确性、價格以及可用性上差别較大,如何選擇一個正确的隐患掃描工具,尤為重要。