對於壹個復雜的多層結構的系統和網絡安全規劃來說,隱患掃描是壹項重要的組成元素。隱患掃描能
夠模擬黑客的行為,對系統設置進行攻擊測試,以幫助管理員在黑客攻擊之前,找出網絡中存在的漏
洞。這樣的工具可以遠程評估妳的網絡的安全級別,並生成評估報告,提供相應的整改措施。
目前,市場上有很多隱患掃描工具,按照不同的技術(基於網絡的、基於主機的、基於代理的、
C/S的)、不同的特征、不同的報告方法,以及不同的監聽模式,可以分成好幾類。不同的產品之間,
漏洞檢測的準確性差別較大,這就決定了生成的報告的有效性上也有很大區別。
選擇正確的隱患掃描工具,對於提高妳的系統的安全性,非常重要。
1、漏洞掃描概述
在字典中,Vulnerability意思是漏洞或者缺乏足夠的防護。在軍事術語中,這個詞的意思更為明
確,也更為嚴重------有受攻擊的嫌疑。
每個系統都有漏洞,不論妳在系統安全性上投入多少財力,攻擊者仍然可以發現壹些可利用的特
征和配置缺陷。這對於安全管理員來說,實在是個不利的消息。但是,多數的攻擊者,通常做的是簡
單的事情。發現壹個已知的漏洞,遠比發現壹個未知漏洞要容易的多,這就意味著:多數攻擊者所利
用的都是常見的漏洞,這些漏洞,均有書面資料記載。
① 生成的報告的特性(內容是否全面、是否可配置、是否可定制、報告的格式、輸出方式等);
② 對於漏洞修復行為的分析和建議(是否只報告存在哪些問題、是否會告訴您應該如何修補這些
漏洞);
③ 安全性(由於有些掃描工具不僅僅只是發現漏洞,而且還進壹步自動利用這些漏洞,掃描工具
自身是否會帶來安全風險);
④ 性能;
⑤ 價格結構
這樣的話,采用適當的工具,就能在黑客利用這些常見漏洞之前,查出網絡的薄弱之處。如何快
速簡便地發現這些漏洞,這個非常重要。
漏洞,大體上分為兩大類:
① 軟件編寫錯誤造成的漏洞;
② 軟件配置不當造成的漏洞。
漏洞掃描工具均能檢測以上兩種類型的漏洞。漏洞掃描工具已經出現好多年了,安全管理員在使
用這些工具的同時,黑客們也在利用這些工具來發現各種類型的系統和網絡的漏洞。
2、隱患掃描工具的衡量因素
決定是否采用隱患掃描工具來防範系統入侵是重要的第壹步。當您邁出了這壹步後,接下來的是
:如何選擇滿足您公司需要的合適的隱患掃描技術,這同樣也很重要。以下列出了壹系列衡量因素:
① 底層技術(比如,是被動掃描還是主動掃描,是基於主機掃描還是基於網絡掃描);
② 特性;
③ 漏洞庫中的漏洞數量;
④ 易用性;
2.1 底層技術
比較漏洞掃描工具,第壹是比較其底層技術。妳需要的是主動掃描,還是被動掃描;是基於主機
的掃描,還是基於網絡的掃描,等等。壹些掃描工具是基於Internet的,用來管理和集合的服務器程
序,是運行在軟件供應商的服務器上,而不是在客戶自己的機器上。這種方式的優點在於檢測方式能
夠保證經常更新,缺點在於需要依賴軟件供應商的服務器來完成掃描工作。
掃描古城可以分為被動和主動兩大類。被動掃描不會產生網絡流量包,不會導致目標系統崩
潰,被動掃描工具對正常的網絡流量進行分析,可以設計成永遠在線檢測的方式。與主動掃描工具
相比,被動掃描工具的工作方式,與網絡監控器或IDS類似。
主動掃描工具更多地帶有入侵的意圖,可能會影響網絡和目標系統的正常操作。他們並不是持
續不斷運行的,通常是隔壹段時間檢測壹次。
基於主機的掃描工具需要在每臺主機上安裝代理(Agent)軟件;而基於網絡的掃描工具則不需要
。基於網絡的掃描工具因為要占用較多資源,壹般需要壹臺專門的計算機。
如果網絡環境中含有多種操作系統,您還需要看看掃描其是否兼容這些不同的操作系統(比如
Microsoft、Unix以及Netware等)。
2.2 管理員所關心的壹些特性
通常,漏洞掃描工具完成壹下功能:掃描、生成報告、分析並提出建議,以及數據管理。在許多
方面,掃描是最常見的功能,但是信息管理和掃描結果分析的準確性同樣很重要。另外要考慮的壹個
方面是通知方式:當發現漏洞後,掃描工具是否會向管理員報警?采用什麽方式報警?
對於漏洞掃描軟件來說,管理員通常關系以下幾個方面:
① 報表性能好;
② 易安裝,易使用;
③ 能夠檢測出缺少哪些補丁;
④ 掃描性能好,具備快速修復漏洞的能力;
⑤ 對漏洞及漏洞等級檢測的可靠性;
⑥ 可擴展性;
⑦ 易升級性;
⑧ 性價比好;
2.3 漏洞庫
只有漏洞庫中存在相關信息,掃描工具才能檢測到漏洞,因此,漏洞庫的數量決定了掃描工具能
夠檢測的範圍。
然而,數量並不意味著壹切,真正的檢驗標準在於掃描工具能否檢測出最常見的漏洞?最根本的
在於,掃描工具能否檢測出影響您的系統的那些漏洞?掃描工具中有用的總量取決於妳的網絡設備和
系統的類型。妳使用掃描工具的目的是利用它來檢測您的特定環境中的漏洞。如果妳有很多Netware服
務器,那麽,不含Netware漏洞庫的掃描工具就不是妳的最佳選擇。
當然,漏洞庫中的攻擊特性必須經常升級,這樣才能檢測到最近發現的安全漏洞。
2.4 易使用性
壹個難以理解和使用的界面,會阻礙管理員使用這些工具,因此,界面友好性尤為重要。不同的
掃描工具軟件,界面也各式各樣,從簡單的基於文本的,到復雜的圖形界面,以及Web界面。
2.5 掃描報告
對管理員來說,掃描報告的功能越來越重要,在壹個面向文檔的商務環境中,妳不但要能夠完成
妳的工作,而且還需要提供書面資料說明妳是怎樣完成的。事實上,壹個掃描可能會得到幾百甚至幾
千個結果,但是這些數據是沒用的,除非經過整理,轉換成可以為人們理解的信息。這就意味著理想
情況下,掃描工具應該能夠對這些數據進行分類和交叉引用,可以導到其他程序中,或者轉換成其他
格式(比如CSV,HTML,XML,MHT,MDB,EXCEL以及Lotus等等),采用不同方式來展現它,並且能夠
很容易的與以前的掃描結果做比較。
2.6 分析與建議
發現漏洞,才完成壹半工作。壹個完整的方案,同時將告訴妳針對這些漏洞將采取哪些措施。壹
個好的漏洞掃描工具會對掃描結果進行分析,並提供修復建議。壹些掃描工具將這些修復建議整合在
報告中,另外壹些則提供產品網站或其它在線資源的鏈接。
漏洞修復工具,它可以和流行的掃描工具結合在壹起使用,對掃描結果進行匯總,並自動完成修
復過程。
2.7 分析的準確性
只有當報告的結果是精確的,提供的修復建議是有效的,壹份包含了詳細漏洞修復建議的報告,
才算是壹份優秀的報告。壹個好的掃描工具必須具有很低的誤報率(報告出的漏洞實際上不存在)和
漏報率(漏洞存在,但是沒有檢測到)。
2.8 安全問題
因掃描工具而造成的網絡癱瘓所引起的經濟損失,和真實攻擊造成的損失是壹樣的,都非常巨大
。壹些掃描工具在發現漏洞後,會嘗試進壹步利用這些漏洞,這樣能夠確保這些漏洞是真實存在的,
進而消除誤報的可能性。但是,這種方式容易出現難以預料的情況。在使用具備這種功能的掃描工具
的時候,需要格外小心,最好不要將其設置成自動運行狀態。
掃描工具可能造成網絡失效的另壹種原因,是掃描過程中,超負荷的數據包流量造成拒絕服務
(DOS,Denial Of Service)。為了防止這壹點,需要選擇好適當的掃描設置。相關的設置項有:並
發的線程數、數據包間隔時間、掃描對象總數等,這些項應該能夠調整,以便使網絡的影響降到最低
。壹些掃描工具還提供了安全掃描的模板,以防止造成對目標系統的損耗。
2.9 性能
掃描工具運行的時候,將占用大量的網絡帶寬,因此,掃描過程應盡快完成。當然,漏洞庫中的
漏洞數越多,選擇的掃描模式越復雜,掃描所耗時間就越長,因此,這只是個相對的數值。提高性能
的壹種方式,是在企業網中部署多個掃描工具,將掃描結果反饋到壹個系統中,對掃描結果進行匯總
3、隱患掃描工具的價格策略
商業化的掃描工具通常按以下幾種方式來發布器授權許可證:按IP地址授權,按服務器授權,按
管理員授權。不同的授權許可證方式有所區別。
3.1 按IP段授權
許多掃描其產品,比如eEye的Retina和ISS(Internet Security Scanner)要求企業用戶按照IP
段或IP範圍來收費。換句話說,價格取決於所授權的可掃描的IP地址的數目。
3.2 按服務器授權
壹些掃描工具供應商,按照每個服務器/每個工作站來計算器許可證的價格。服務器的授權價格會
比工作站高很多,如果有多臺服務器的話,掃描工具的價格會明顯上升。
3.3 按管理員授權
對於大多數企業而言,這種授權方式,比較簡單,性價比也較好。
4、總結
在現在的互聯網環境中,威脅無處不在。2003年1-3季度,CERT協調中心就收到超過114,000個漏
洞事件報告,這個數字超過2002年的總和,這表明,此類事件在不斷增長中。為了防範攻擊,第壹件
事就是在黑客發動攻擊之前,發現網絡和系統中的漏洞,並及時修復。
但是,漏洞掃描工具在特性、精確性、價格以及可用性上差別較大,如何選擇壹個正確的隱患掃
描工具,尤為重要。