安全技术:系统安全脆弱性扫描技术分析
脆弱性扫描器不同于入侵检测系统,因为前者搜索的是静态配置,而后者搜索的是瞬时误用或异常情况。脆弱性扫描器可能会通过检查一个远程系统上的可用服务和配置,来搜索一个已知的NFS脆弱性。处理同样脆弱性的入侵检测系统只有在攻击者试图利用一项脆弱性时才会报告脆弱性的存在。脆弱性扫描器(不论是网络扫描器还是主机扫描器)使企业有机会在故障出现之前将其修复,而不是对一项已经进行的入侵或误用情况作出反应。入侵检测系统检查的是正在进行的入侵活动,而脆弱性扫描器可以让用户首先防止入侵。脆弱性扫描器也许对那些没有很好的事件响应能力的用户会有帮助。
网络脆弱性扫描器
网络脆弱性扫描器通过检查远程系统上的网络接口,以远程方式进行操作。它搜索在远程机器上运行的脆弱服务,并报告可能存在的脆弱性。例如,rexd是一项脆弱服务,网络脆弱性扫描器将试图与目标系统上的rexd服务相连。如果连接成功,扫描器将会报告rexd脆弱性。
由于网络脆弱性扫描器能够从网络上的单一机器中运行,所以安装它不会影响其他机器的配置管理。这些扫描器经常被审计员和安全部门使用,因为它们能够提供给“局外人”对计算机或网络中的安全漏洞的看法。
优点
网络脆弱性扫描能够报告各种目标体系结构。有些是利用路由器来工作,有些是利用Unix系统来工作,还有一些是利用NT或其他Windows平台工作。
网络脆弱性扫描器通常非常容易安装和使用。和通常需要软件安装或重新配置的基于主机的系统不一样,基于网络的系统可以放在网络上。只需将接口插入交换机并启动机器就行了。
网络系统中的GUI往往相当直观,这意味着初级人员就能监控系统,如果出现异常情况可以呼叫更多的高级分析人员。
缺点
网络脆弱性扫描器是几乎完全基于特征的系统。和基于特征的入侵检测系统一样,基于特征的脆弱性扫描器只能检测它能通过程序识别的那些脆弱性。如果出现新的脆弱性(这种事情经常发生),攻击者在厂商更新特征(以及用户下载并安装新的特征)之前就有攻击的机会。如果脆弱性仍被保留,那么系统就可能在很长的时间里容易受到攻击。
如果用户对脆弱性特征像过去对病毒特征一样粗心大意,那么许多企业就容易受到攻击,即使它们定期运行脆弱性扫描器。最近的分析显示,90%的运行IIS的Web服务器仍然容易出现非常严重的安全脆弱性,厂商为此已经提供了修补程序和安全顾问。脆弱性扫描器只能指出可能存在的问题;解决这些问题仍然要靠企业自己。
网络脆弱性扫描器的另一个潜在问题是,“脆弱性”概念包含其他一些松散定义的概念,如风险、威胁、可接受性和预计的攻击者技能。由于这些因素都因用户而异,所以某项配置代表一项“脆弱性”的程度也因用户而异。
当脆弱性扫描器报告某项脆弱性时,企业的网络或操作人员必须根据该企业的操作环境来对报告进行评估。那些脆弱性也许在该企业的环境里不会构成为一项不可接受的风险,或者说这项风险也许是被商业需求强加给该企业的。
我们知道一些脆弱性扫描器把目标系统给毁了。某些IP工具不够健壮,不能处理许多同时的连接或者拥有异常标记组合的IP包。例如,一次过分的端口扫描所生成的通信量有时可能使机器瘫痪。
最后,网络脆弱性扫描器往往包含大量脆弱性数据。如果任何人闯入了扫描器系统,那么破坏网络上的大部分其他的机器就如同儿童游戏一样容易。所以要保护扫描器,防止未经授权使用扫描数据。
页:
[1]