蓝盾漏洞扫描器技术白皮书
版权说明
本文件中出现的任何文字叙述、文档格式、插图、方法和过程的描述等内容,除特别说明外,版权属于广东天海威数码技术有限公司。任何个人或机构未经本公司的书面授权许可,不得以任何方式复制或影印本文件的部分或全部,也不得用于商业目的。
广东天海威数码技术有限公司
网站:https://www.360docs.net/doc/248240082.html,
地址:广州市天河区五山路248号金山大厦北塔二楼
邮编:510631
电话:020-********/76/77/79
传真:020-********
邮件:surpport@https://www.360docs.net/doc/248240082.html,.
目录
一、关于安全扫描 (4)
1.1.安全漏洞 (4)
1.1.1. 安全漏洞的成因 (4)
1.1.2. 安全漏洞的发现 (5)
1.1.3. 安全漏洞的级别 (6)
1.1.4. 安全漏洞造成的威胁 (6)
1.1.5. 安全漏洞的防患 (8)
1.1.6. 安全漏洞的趋势 (10)
1.2.网络攻击 (10)
1.2.1. 网络攻击的分类 (11)
1.2.2. 网络攻击的方法 (11)
1.2.3. 网络攻击的过程 (11)
1.2.4. 网络攻击的趋势 (12)
1.3.安全扫描技术 (15)
1.3.1. 安全扫描器的概念 (15)
1.3.2. 安全扫描的策略 (15)
1.3.3. 安全扫描的技术 (15)
1.3.4. 安全扫描的特点 (16)
1.3.5. 安全扫描器的分类 (17)
1.3.6. 安全扫描器的发展趋势 (18)
二、产品介绍 (21)
2.1.产品概述 (21)
2.2.系统组成 (21)
2.2.1. 安全扫描器硬件 (21)
2.2.2. 随机软件 (22)
2.2.3. 选配软件和策略库 (22)
2.3.系统结构 (23)
2.3.1. 总体结构 (23)
2.4.基本功能 (23)
2.4.1. 安全扫描 (23)
2.4.2. 安全管理 (25)
2.4.3. 策略管理 (25)
2.4.4. 统计分析 (26)
2.4.5. 快捷升级 (26)
2.5.公安网监部门专用功能 (26)
2.5.1. 邮件服务器安全管理功能 (26)
2.5.2. 垃圾邮件中转服务器检测功能 (27)
2.5.3. 对通过“无界”等软件非法出境主机的检测功能 (27)
2.6.系统性能 (27)
1
2.6.1. 性能概述 (27)
2.6.2. 扫描速度 (28)
2.6.3. 带宽占用 (29)
2.6.4. 插件数量 (29)
三、系统特点 (31)
3.1.功能特点 (31)
3.1.1. 丰富的漏洞库和完备的功能 (31)
3.1.2. 可扫描多种系统平台 (31)
3.1.3. 准确全面报告网络弱点 (31)
3.1.4. 提供解决方案和专家建议安全策略 (32)
3.1.5. 自动生成多种格式的分析报告 (32)
3.1.6. 可自定义安全策略 (32)
3.1.7. 支持全自动定时扫描 (32)
3.1.8. 支持远程管理检测 (33)
3.1.9. 支持远程在线升级 (33)
3.1.10. 扫描速度快 (33)
3.1.11. 简便易用 (33)
3.2.技术强项 (33)
3.2.1. 强大的渗透检测能力 (33)
3.2.2. 支持弱口令探测 (33)
3.2.3. 智能识别端口服务 (34)
3.2.4. 提供对防火墙的穿透能力 (34)
3.2.5. 支持多用户分组管理 (34)
3.2.6. 全面支持公安网监专业应用需求 (34)
四、检测漏洞类别 (35)
4.1.拒绝服务攻击 (35)
4.2.远程文件访问 (35)
4.3.普通测试 (35)
4.4.FTP测试 (35)
4.5.CGI攻击测试 (36)
4.6.远程获取ROOT (36)
4.7.毫无用处的服务 (36)
4.8.后门测试 (37)
4.9.NIS测试 (37)
4.10.W INDOWS测试 (37)
4.11.FINGER攻击测试 (37)
4.12.防火墙测试 (38)
4.13.SMTP测试 (38)
4.14.端口扫描 (38)
4.15.RPC测试 (39)
4.16.SNMP测试 (39)
2
4.17.默认U NIX帐号检测 (40)
4.18.对等网络文件共享 (40)
4.19.N ETW ARE攻击测试 (40)
4.20.CISCO攻击测试 (40)
4.21.远程获取SHELL (40)
4.22.WINDOWS用户管理测试 (40)
4.23.数据库攻击测试 (40)
4.24.DNS域名服务测试 (41)
五、系统应用 (42)
5.1.应用领域 (42)
5.1.1. 在政府、教育部门的应用 (42)
5.1.2. 在科研教育部门的应用 (42)
5.1.3. 在公安网络监察部门的应用 (42)
5.2.典型应用方案 (43)
3
一、关于安全扫描
随着计算机的广泛普及,INTERNET技术日益成熟,网络技术的发展在给我们带来便利的同时也带来巨大的安全隐患,尤其是Internet和Intranet的飞速发展对网络安全提出了前所未有的挑战。由于网络协议的开放性、系统软件和应用程序设计上的缺陷、系统管理员的人为疏忽以及信息安全制度的不健全,使得不法分子或者黑客潜入他人的网络系统成为可能。不管入侵者是从外部还是从内部攻击某一网络系统,攻击机会都是通过不断挖掘操作系统和应用程序的弱点来实现的。这种被不法分子或者黑客利用的操作系统和应用程序的弱点就是所谓的安全漏洞。
为了防止不法分子潜入网络内部,保护网络信息和数据安全,最有效的方法是确保网络系统没有或者尽量没有缺陷,因此需要对网络系统进行定期的安全检测,以便在非法分子入侵之前找到系统存在的缺陷,从而提前修补漏洞,做到有备无患。网络漏洞扫描器就是一种把极为烦琐的安全检测,通过程序来自动完成,从而可以快速、深入地对网络或目标主机进行安全评估的扫描工具。
1.1. 安全漏洞
1.1.1.安全漏洞的成因
安全漏洞产生的原因是非常复杂的,除了管理上的要素(如弱口令),主要有下面几个方面:
?系统基础设计错误导致漏洞
比如对于WIN2000/NT的认证协议,该认证协议本身存在漏洞,可以实施中间人劫持攻击(man-in-middle攻击,smbrelay),这类漏洞不是由于编程错误造成的,而是系统设计本身就存在问题,无论编程如何严格,都无法弥补系统设计漏洞。
?编码错误导致漏洞
4
更多的漏洞是由于编程错误导致的,比如缓冲区溢出、堆溢出、格式化串漏洞、脚本(ASP/PHP等)漏洞这些漏洞是由于编程人员没有严格实施编程时应注意的安全规则或系统的函数库存在漏洞导致的。这类问题往往可以通过提高编程质量和代码控制尽量控制漏洞的产生。
?安全策略实施错误
近几年由于安全策略的实施错误导致的安全漏洞很多,比如访问控制实施的错误,如最早的WEB服务器很多可以通过“..”访问上一层的目录。这类漏洞是因为在设计系统的时候没有充分设计或实现应遵循的安全策略导致的。
?实施安全策略对象歧义导致漏洞
在实施安全策略的时候处理的对象和最终操作处理的对象不一致也可能产生漏洞。近几年出现了大量因为目标对象歧义导致的漏洞。具体的说,比如最早的IIS的漏洞,比如“a.asp.”、“a.asp.+htr”、“a.asp::mode”等方式都可以得到asp脚本的原码,这是由于对于IIS 在实施安全策略(判断安全性)的时候处理的对象是“a.asp.”、“a.asp.+htr”、“a.asp::mode”,而在实施具体操作的时候时候处理的对象是“a.asp”。再比如Unicode漏洞或二次解码漏洞,实施安全策略的对象是“..%c1%9c../winnt/system32/cmd.exe”,而最终处理的对象是解码后的“../../winnt/system32/cmd.exe”。这类漏洞根本原因在于安全策略实施的对象不是系统最终处理的对象,同一个对象有多个表述方式,近几年来出现的很多漏洞可以归结为这一原因。应该说一个严格的安全体系,必须明确一个安全策略实施的对象和最终处理的对象是不允许存在歧义的(IE的MIME解码漏洞也是这种类型)。
1.1.
2.安全漏洞的发现
目前发现漏洞有如下几种方法:
?人工分析代码
近几年发现的漏洞多数是人工对程序的目标代码进行调试跟踪或对源代码进行分析发现的。这些发现方法效率低,偶然性较高。
5
?利用脚本自动分析代码
比如有人提出用IDA脚本自动分析目标代码,IDA是一款高效的反汇编工具,可以编写脚本对反汇编得到的代码进行分析,但是这种分析方法往往对漏洞的目标代码可能存在的模式进行总结,并判断目标代码是否存在这些模式。当前一个更主要的研究方向是使用语义分析脚本对源代码进行分析,查看是否存在漏洞。这些方法仍然处在起步阶段,根本原因在于漏洞很难用简单的模式来描述,很多漏洞是由于多种前提条件综合才能形成,当前这些分析方法对于多个要素条件造成的漏洞无能为力,只能分析一些简单的明显的安全漏洞。
?蛮力测试
这种方法是针对不同的网络协议,反复注入可能发现漏洞的数据包(如过长的输入串,类似于错误注入技术)。由于对于一套协议,可供测试的数据包的类型是无穷大,在有限的计算时间内无法对协议的所有状态进行测试,因此这种测试方法就好比拿个篮子到海里捞鱼,很有可能能够捞到一点,但多数鱼是捞不到的。
总而言之,当前自动发现漏洞的方法仍然不尽人意,根本原因在于系统状态的无穷大和漏洞形成的复杂性(如多条件综合漏洞)。
1.1.3.安全漏洞的级别
一般来说漏洞的威胁类型基本上决定了它的严重性,我们可以把严重性分成高,中,低三个级别。远程和本地管理员权限大致对应为高,普通用户权限,权限提升,读取受限文件,远程和本地拒绝服务大致对应中级,远程非授权文件存取,口令恢复,欺骗,服务器信息泄露大致对应低级别。但这只是最一般的情况,很多时候需要具体情况具体分析,如一个涉及到针对流行系统本身的远程拒绝服务漏洞,就应该是高级别。同样一个被广泛使用的软件如果存在弱口令问题,有口令恢复漏洞,也应该归为中高级别。
1.1.4.安全漏洞造成的威胁
?远程管理员权限被非法获取
6
攻击者无须一个账号登录到本地直接获得远程系统的管理员权限,通常通过攻击以root身份执行的有缺陷的系统守护进程来完成。漏洞的绝大部分来源于缓冲区溢出,少部分来自守护进程本身的逻辑缺陷。
?本地管理员权限被非法获取
攻击者在已有一个本地账号能够登录到系统的情况下,通过攻击本地某些有缺陷的suid程序,竞争条件等手段,得到系统的管理员权限。
?普通用户访问权限被非法获取
攻击者利用服务器的漏洞,取得系统的普通用户存取权限,对UNIX类系统通常是shell访问权限,对Windows系统通常是cmd.exe的访问权限,能够以一般用户的身份执行程序,存取文件。攻击者通常攻击以非root身份运行的守护进程,有缺陷的cgi程序等手段获得这种访问权限。
?权限被非法提升
攻击者在本地通过攻击某些有缺陷的sgid程序,把自己的权限提升到某个非root用户的水平。获得管理员权限可以看做是一种特殊的权限提升,只是因为威胁的大小不同而把它独立出来。
?受限文件被读取
攻击者通过利用某些漏洞,读取系统中他应该没有权限的文件,这些文件通常是安全相关的。这些漏洞的存在可能是文件设置权限不正确,或者是特权进程对文件的不正确处理和意外dump core使受限文件的一部份dump到了core文件中。
?造成远程拒绝服务
攻击者利用这类漏洞,无须登录即可对系统发起拒绝服务攻击,使系统或相关的应用程序崩溃或失去响应能力。这类漏洞通常是系统本身或其守护进程有缺陷或设置不正确造成的。
?造成本地拒绝服务
7
在攻击者登录到系统后,利用这类漏洞,可以使系统本身或应用程序崩溃。这种漏洞主要因为是程序对意外情况的处理失误,如写临时文件之前不检查文件是否存在,盲目跟随链接等。
?远程非授权文件被非法存取
利用这类漏洞,攻击可以不经授权地从远程存取系统的某些文件。这类漏洞主要是由一些有缺陷的cgi程序引起的,它们对用户输入没有做适当的合法性检查,使攻击者通过构造特别的输入获得对文件存取。
?加密口令被非法恢复读取
因为采用了很弱的口令加密方式,使攻击者可以很容易的分析出口令的加密方法,从而使攻击者通过某种方法得到密码后还原出明文来。
?欺骗
利用一些漏洞,攻击者可以对目标系统实施某种形式的欺骗。这通常是由于系统的实现上存在某些缺陷。
?服务器信息被泄露
利用这类漏洞,攻击者可以收集到对于进一步攻击系统有用的信息。这类漏洞的产生主要是因为系统程序有缺陷,一般是对错误的不正确处理。
?其它
虽然以上的几种分类包括了绝大多数的漏洞情况,可还是有可能存在一些上面几种类型无法描述的的漏洞,把它们归到这里。
1.1.5.安全漏洞的防患
漏洞的防患包括两个方面,从系统开发者而言是防止漏洞产生,从系统应用者而言是防止漏洞的利用。
8
?系统开发者的责任
对于开发者要防止系统漏洞的产生必须做到:
●安全策略的严格设计
如前所述,有些漏洞的产生是由于系统设计本身造成的。必须在设计任意系统之前严格的设计安全策略。比如设计严格的认证协议,设计编程中必须严格遵循的安全规范(如各种内存处理函数的调用方法,ASP脚本的编码原则等)。
●安全策略的严格实施
很多安全漏洞的产生是由于安全策略实施错误造成的。比如安全策略实施的对象和最后处理的对象不一致,这可能使得安全策略的实施结果和期望的结果不一致。因此在设计一个系统时必须严格保证最终实现的安全策略和最初设计的安全策略是一致的,无歧义的。
●严格分析安全策略达到目标的前提条件,并测试其是否成立
比如一个软件系统安全策略的实施是基于对操作系统某些特征的假设,也就是说该安全策略成功与否依赖操作系统是否满足某个特性,但是有时候操作系统本身并不能满足应用系统设计者的要求。因此在设计一个安全策略的时候应该严格分析该安全策略达到设计目标的前提条件,并测试这些前提条件是否成立。举个具体的例子,很多应用系统制定对文件访问的安全策略的时候,假设不同的文件名代表不同的文件,并基于文件名字进行访问控制。但是事实上操作系统本身并不具备这一特性,比如在windows系统中“a.txt.”和“a.txt”是同个文件,如果有一条规则是不允许用户访问“a.txt”但允许访问其他文件,那么攻击者可以通过访问“a.txt.”来实现对“a.txt”的访问,也就是说操作系统本身并不能够满足安全策略实施的前提条件。
?系统使用者的责任
对于系统使用者来说对漏洞的防患,一方面是防患已经发现的漏洞(打补丁),而更需要解决的问题是如何防患未知的安全漏洞,而对于入侵防患的研究人员来说,最重要的问题也就是如何防患攻击者利用未知漏洞入侵。
9
目前就防患利用未知漏洞攻击这一问题已经有了一定的进展,比如对于利用缓冲区溢出等内存处理漏洞入侵系统,可以通过对输入数据包进行识别过滤进行防御,比如对于安装了urlscan的IIS系统,即使不打补丁,也能防患多数IIS的缓冲区溢出攻击,因为urlscan 能够对输入的数据进行预先过滤,这一研究课题很值得进行深入研究。
1.1.6.安全漏洞的趋势
?发现新漏洞的速度明显加快
中等严重程度漏洞数从2002年每月增长98个提升到2003年每月增长115个。
?漏洞的严重性和危险程度明显提高
在发现的新漏洞中,中高级危险度的漏洞明显增多。中度威胁的新漏洞数量增加了21%,高度威胁的漏洞增加了6%。造成此趋势的主要原因是新发现的漏洞中有80%可以被远程利用并发动攻击。
?被用于网络攻击的难易程度降低
报告显示,由于存在无需攻击代码或已有可用的攻击代码,因而新发现的漏洞更容易被轻松利用进行网络攻击。2003年发现的新漏洞有70%都很容易被利用,而2002年发现的漏洞只有60%可以利用。
?防范和堵漏变得更困难
从漏洞被公布到漏洞被利用引发攻击的时间周期急剧缩短。这种趋势预示着“零反应时间”将要到来。在漏洞未被公布、补丁程序还不可能得到之前漏洞就被利用了,这使防范和堵漏变得更困难。
1.2. 网络攻击
所谓网络攻击,是以计算机和计算机网络为目标,以信息技术为手段,利用信息系统存在的安全漏洞和安全缺陷,通过使用网络命令和专用软件进入网络系统,并对系统和资源进行破坏的行为。
10
1.2.1.网络攻击的分类
?主动攻击
主动攻击包含攻击者访问他所需信息的故意行为。比如远程登录到指定机器的端口25找出公司运行的邮件服务器的信息;伪造无效IP地址去连接服务器,使接受到错误IP 地址的系统浪费时间去连接哪个非法地址。攻击者是在主动地做一些不利于你或你的公司系统的事情。正因为如此,如果要寻找他们是很容易发现的。主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。
?被动攻击
被动攻击主要是收集信息而不是进行访问,数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。
1.2.2.网络攻击的方法
目前,黑客采用的攻击方法主要有:
●入侵系统类攻击;
●缓冲区溢出攻击;
●欺骗类攻击;
●拒绝服务攻击;
●对防火墙的攻击;
●利用病毒攻击;
●木马程序攻击;
●后门攻击;
●信息战。
1.2.3.网络攻击的过程
●搜集信息
●实施入侵
●上传数据、下载文件
●留下后门
●清楚痕迹
●退出
11
1.2.4.网络攻击的趋势
在最近几年里,网络攻击技术和攻击工具有了新的发展趋势,使借助Internet运行业务的机构面临着前所未有的风险,本文将对网络攻击的新动向进行分析,使读者能够认识、评估,并减小这些风险。
?自动化程度和攻击速度提高
攻击工具的自动化水平不断提高。自动攻击一般涉及四个阶段,在每个阶段都出现了新变化。
扫描可能的受害者。自1997年起,广泛的扫描变得司空见惯。目前,扫描工具利用更先进的扫描模式来改善扫描效果和提高扫描速度。
损害脆弱的系统。以前,安全漏洞只在广泛的扫描完成后才被加以利用。而现在攻击工具利用这些安全漏洞作为扫描活动的一部分,从而加快了攻击的传播速度。
传播攻击。在2000年之前,攻击工具需要人来发动新一轮攻击。目前,攻击工具可以自己发动新一轮攻击。像红色代码和尼姆达这类工具能够自我传播,在不到18个小时内就达到全球饱和点。
攻击工具的协调管理。随着分布式攻击工具的出现,攻击者可以管理和协调分布在许多Internet系统上的大量已部署的攻击工具。目前,分布式攻击工具能够更有效地发动拒绝服务攻击,扫描潜在的受害者,危害存在安全隐患的系统。
?攻击工具越来越复杂
攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比,攻击工具的特征更难发现,更难利用特征进行检测。攻击工具具有三个特点:反侦破,攻击者采用隐蔽攻击工具特性的技术,这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多;
动态行为,早期的攻击工具是以单一确定的顺序执行攻击步骤,今天的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理,来变化它们的模式和行为;
12
攻击工具的成熟性,与早期的攻击工具不同,目前攻击工具可以通过升级或更换工具的一部分迅速变化,发动迅速变化的攻击,且在每一次攻击中会出现多种不同形态的攻击工具。
此外,攻击工具越来越普遍地被开发为可在多种操作系统平台上执行。许多常见攻击工具使用IRC或HTTP(超文本传输协议)等协议,从入侵者那里向受攻击的计算机发送数据或命令,使得人们将攻击特性与正常、合法的网络传输流区别开变得越来越困难。
?发现安全漏洞越来越快
新发现的安全漏洞每年都要增加一倍,管理人员不断用最新的补丁修补这些漏洞,而且每年都会发现安全漏洞的新类型。入侵者经常能够在厂商修补这些漏洞前发现攻击目标。
?越来越高的防火墙渗透率
防火墙是人们用来防范入侵者的主要保护措施。但是越来越多的攻击技术可以绕过防火墙,例如,IPP(Internet打印协议)和WebDAV(基于Web的分布式创作与翻译)都可以被攻击者利用来绕过防火墙。
?越来越不对称的威胁
Internet上的安全是相互依赖的。每个Internet系统遭受攻击的可能性取决于连接到全球Internet上其他系统的安全状态。由于攻击技术的进步,一个攻击者可以比较容易地利用分布式系统,对一个受害者发动破坏性的攻击。随着部署自动化程度和攻击工具管理技巧的提高,威胁的不对称性将继续增加。
?对基础设施将形成越来越大的威胁
基础设施攻击是大面积影响Internet关键组成部分的攻击。由于用户越来越多地依赖Internet完成日常业务,基础设施攻击引起人们越来越大的担心。基础设施面临分布式拒绝服务攻击、蠕虫病毒、对Internet域名系统(DNS)的攻击和对路由器攻击或利用路由器的攻击。
13
拒绝服务攻击利用多个系统攻击一个或多个受害系统,使受攻击系统拒绝向其合法用户提供服务。攻击工具的自动化程度使得一个攻击者可以安装他们的工具并控制几万个受损害的系统发动攻击。入侵者经常搜索已知包含大量具有高速连接的易受攻击系统的地址块,电缆调制解调器、DSL和大学地址块越来越成为计划安装攻击工具的入侵者的目标。由于Internet是由有限而可消耗的资源组成,并且Internet的安全性是高度相互依赖的,因此拒绝服务攻击十分有效。
蠕虫病毒是一种自我繁殖的恶意代码。与需要用户做某种事才能继续繁殖的病毒不同,蠕虫病毒可以自我繁殖。再加上它们可以利用大量安全漏洞,会使大量的系统在几个小时内受到攻击。一些蠕虫病毒包括内置的拒绝服务攻击载荷或Web站点损毁载荷,另一些蠕虫病毒则具有动态配置功能。但是,这些蠕虫病毒的最大影响力是,由于它们传播时生成海量的扫描传输流,它们的传播实际上在Internet上生成了拒绝攻击,造成大量间接的破坏(这样的例子包括:DSL路由器瘫痪;并非扫描本身造成的而是扫描引发的基础网络管理(ARP)传输流激增造成的电缆调制解制器ISP网络全面超载)。
DNS是一种将名字翻译为数字IP地址的分布式分级全球目录。这种目录结构最上面的两层对于Internet运行至关重要。在顶层中有13个“根”名服务器。下一层为顶级域名(TLD)服务器,这些服务器负责管理“.com”、“.net”等域名以及国家代码顶级域名。DNS 面临的威胁包括:缓存区中毒,如果使DNS缓存伪造信息的话,攻击者可以改变发向合法站点的传输流方向,使它传送到攻击者控制的站点上;破坏数据,攻击者攻击脆弱的DNS服务器,获得修改提供给用户的数据的能力;拒绝服务,对某些TLD域名服务器的大规模拒绝服务攻击会造成Internet速度普遍下降或停止运行;域劫持,通过利用客户升级自己的域注册信息所使用的不安全机制,攻击者可以接管域注册过程来控制合法的域。
路由器是一种指挥Internet上传输流方向的专用计算机。路由器面临的威胁有:将路由器作为攻击平台,入侵者利用不安全的路由器作为生成对其他站点的扫描或侦察的平台;拒绝服务,尽管路由器在设计上可以传送大量的传输流,但是它常常不能处理传送给它的同样数量的传输流,入侵者利用这种特性攻击连接到网络上的路由器,而不是直接攻击网络上的系统;利用路由器之间的信赖关系,路由器若要完成任务,就必须知道向哪里发送接收到的传输流,路由器通过共享它们之间的路由信息来做到这点,而这要求路由器
14
信赖其收到的来自其他路由器的信息,因此攻击者可以比较容易地修改、删除全球Internet 路由表或将路由输入到全球Internet路由表中,将发送到一个网络的传输流改向传送到另一个网络,从而造成对两个网络的拒绝服务攻击。尽管路由器保护技术早已可供广泛使用,但是许多用户没有利用路由器提供的加密和认证特性来保护自己的安全。
1.3. 安全扫描技术
1.3.1.安全扫描器的概念
安全扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用安全扫描器,系统管理员能够发现所维护的网络系统的各种TCP端口的分配、提供的服务、软件版本和这些服务及软件呈现在Internet上的安全漏洞。从而在计算机网络系统安全保卫战中做到"有的放矢",及时修补漏洞,构筑坚固的安全长城。
1.3.
2.安全扫描的策略
安全扫描通常采用两种策略,第一种是被动式策略,第二种是主动式策略。所谓被动式策略就是基于主机之上,对系统中不合适的设置,脆弱的口令以及其他同安全规则抵触的对象进行检查;而主动式策略是基于网络的,它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。利用被动式策略扫描称为系统安全扫描,利用主动式策略扫描称为网络安全扫描。
1.3.3.安全扫描的技术
①基于应用的检测技术,它采用被动的,非破坏性的办法检查应用软件包的设置,发
现安全漏洞。
②基于主机的检测技术,它采用被动的,非破坏性的办法对系统进行检测。通常,它
涉及到系统的内核,文件的属性,操作系统的补丁等问题。这种技术还包括口令解密,把一些简单的口令剔除。因此,这种技术可以非常准确的定位系统的问题,发
现系统的漏洞。它的缺点是与平台相关,升级复杂。
15
③基于目标的漏洞检测技术,它采用被动的,非破坏性的办法检查系统属性和文件属
性,如数据库,注册号等。通过消息文摘算法,对文件的加密数进行检验。这种技术的实现是运行在一个闭环上,不断地处理文件,系统目标,系统目标属性,然后
产生检验数,把这些检验数同原来的检验数相比较。一旦发现改变就通知管理员。
④基于网络的检测技术,它采用积极的,非破坏性的办法来检验系统是否有可能被攻
击崩溃。它利用了一系列的脚本模拟对系统进行攻击的行为,然后对结果进行分析。
它还针对已知的网络漏洞进行检验。网络检测技术常被用来进行穿透实验和安全审记。这种技术可以发现一系列平台的漏洞,也容易安装。但是,它可能会影响网络的性能。
1.3.4.安全扫描的特点
安全扫描的定位是发现系统是否存在已知漏洞,对系统的安全性进行评估,对安全性的改造提出建议(比如提示用户打补丁)。与入侵检测等其他技术相比,安全扫描技术具有如下的特点。
?能够有效防止攻击者利用已知漏洞实施入侵
通过漏洞扫描,一般能够发现利用现有的漏洞入侵是否成功,如果成功则提交分析报告提醒用户打上相应的布丁。
?无法防御攻击者利用脚本漏洞和未知漏洞入侵
如前所述,利用脚本漏洞攻击将会成为黑客入侵方法的重要组成部分,而不同的网站的设计其脚本漏洞是不同的,漏洞扫描技术无法解决这些问题。而对于未知漏洞,扫描工具也无能为力。
?误报率较低
当然漏洞扫描还存在一定的错误报告率,比如利用检测RPC服务溢出漏洞的时候,往往只能做到检测RPC服务是否存在,并告知用户该RPC服务可能有漏洞,而不能确定该RPC服务是否就是有漏洞的版本。但总体上讲,漏洞扫描的正确率还是比较高的。
16
?对拒绝服务漏洞的测试自动化程度较低
由于拒绝服务测试本身可能导致系统崩溃或停止服务,因此一般情况下需要用户介入操作,较难实现自动化。
?缺乏对客户端漏洞的扫描技术
目前为了对客户端(用户个人计算机)实施保护,除了引入实时监控技术(页面自动监控技术、文件自动监控技术)外,更重要的一点是必须测试出客户端软件存在的漏洞(如IE的漏洞),而当前的漏洞扫描工具多数是针对服务器实施扫描,而缺乏对客户端计算机实施扫描的功能。如何对客户端系统的漏洞进行扫描并形成安全分析报告将是一个很有意义的研究课题。
1.3.5.安全扫描器的分类
根据工作模式,安全扫描器基本上分为主机型漏洞扫描器、网络型漏洞扫描器和数据库漏洞扫描器三种类型。
?主机型安全扫描器
主机型漏洞扫描器一般采用C/S的架构,通过在主机系统本地运行代理程序,针对操作系统内部问题进行深入的系统漏洞扫描。
?网络型漏洞扫描器
网络型漏洞扫描器是通过模拟黑客经由网络端发出数据包,以主机接受到数据包时的回应作为判断标准,进而了解网络上各种网络设备、主机系统等开放的端口、服务以及各种应用程序的漏洞的安全扫描工具。
?数据库漏洞扫描器
数据库漏洞扫描器,是专门针对数据库进行安全漏洞扫描的扫描工具,以发现数据库在系统软件、应用程序、系统管理以及安全配置等方面的存在的安全漏洞测。
17
1.3.6.安全扫描器的发展趋势
从最初的专门为UNIX系统编写的具有简单功能的小程序发展到现在,安全扫描系统已经成为能够运行在各种操作系统平台上、具有复杂功能的商业程序。安全扫描器的发展正呈现出以下趋势。
?系统评估越发重要
目前多数安全扫描器只能够简单地把各个扫描器测试项的执行结果(目标主机信息、安全漏洞信息和补救建议等)罗列出来提供给测试者,而不对信息进行任何分析处理。少数漏洞扫描器能够将扫描结果整理形成报表,依据一些关键词(如IP地址和风险等级等)对扫描结果进行归纳总结,但是仍然没有分析扫描结果,缺乏对网络安全状况的整体评估,也不会提出解决方案。
在系统评估方面,我国的国标已明确提出系统评估分析应包括目标的风险等级评估、同一目标多次扫描形式的趋势分析、多个目标扫描后结果的总体分析、关键漏洞扫描信息的摘要和主机间的比较分析等等,而不能仅仅将扫描结果进行简单罗列。应该说,漏洞扫描技术已经对扫描后的评估越来越重视。下一代的漏洞扫描系统不但能够扫描安全漏洞,还能够智能化地协助管理人员评估网络的安全状况,并给出安全建议。为达这一目的,开发厂商需要在漏洞扫描器中集成安全评估专家系统。专家系统应能够从网络安全策略、风险评估、漏洞评估、漏洞修补、网络结构和安全体系等多个方面综合对网络系统进行安全评估。
?插件技术和专用脚本语言
插件就是信息收集或模拟攻击的脚本,每个插件都封装一个或者多个漏洞的测试手段。通常,漏洞扫描器是借助于主扫描程序通过用插件的方法来执行扫描,通过添加新的插件就可以使扫描器增加新的功能,扫描更多的漏洞。如果能够格式化插件的编写规范并予以公布,用户或者第三方就可以自己编写插件来扩展扫描器的功能。插件技术可使扫描器的结构清晰,升级维护变的相对简单,并具有非常强的扩展性。目前,大多数扫描器产
18
品其实已采用了基于插件的技术,但各开发商自行规定接口规范,还没有达到严格的规范水平。
专用脚本语言是一种更高级的插件技术,用户使用专用脚本语言可以大大扩展扫描器的功能。这些脚本语言语法通常比较简单直观,十几行代码就可以定制一个安全漏洞的检测,为扫描器添加新的检测项目。专用脚本语言的使用,简化了编写新插件的编程工作,使扩展扫描器功能的工作变的更加方便,能够更快跟上安全漏洞出现的速度。
?网络拓扑扫描
网络拓扑扫描目前还被大多数扫描器所忽略。随着系统评估的愈发重要,网络拓扑结构正成为安全体系中的一个重要因素。拓扑扫描能够识别网络上的各种设备以及设备的连接关系,能够识别子网或VLAN的划分,能够发现网络的不合理连接,并以图形方式将这种结构展现在用户面前。
拓扑扫描能够在非法的网络接入,失效的网络隔离和网络异常中断等方面发挥关键作用,网络拓扑扫描正成为安全评估的重要手段。
?安全设备有效性检测
防火墙、入侵检测系统等安全设备已经取得了广泛的使用,这些安全设备的效果如何却很少引起人们的关注和测试。以防火墙配置为例,如果它在交换(透明)模式(无IP 地址)下工作,漏洞扫描器将无法对它进行有效检测,防火墙工作有效与否就无从得知。
未来的漏洞扫描器将会采用闭环式结构,能够接入防火墙的两端进行有效性测试,检测其访问控制措施、抗攻击措施是否与安全策略一致。
?支持CVE国际标准
在设计扫描程序或制定应对策略时,不同的厂商对漏洞的称胃完全不同。CVE是一个有关安全漏洞和信息泄露标准名称的列表,CVE(Common Vulnerabilities and Exposures)的目标是将众所周知的安全漏洞和信息泄露的名称标准化。CVE的编委包括多个安全信息相关组织,由商业安全工具供应商、学术界成员、研究机构、政府机构和安
19