黑客兵器:選擇好你的漏洞掃描工具

對于一個復(fù)雜的多層結(jié)構(gòu)的系統(tǒng)和網(wǎng)絡(luò)安全規(guī)劃來說， 隱患掃描是一項重要的組成元素。 隱患掃描能夠模擬黑客的行為， 對系統(tǒng)設(shè)置進行攻擊測試， 以幫助管理員在黑客攻擊之前， 找出網(wǎng)絡(luò)中存在的漏洞。 這樣的工具可以遠程評估你的網(wǎng)絡(luò)的安全級別， 并生成評估報告， 提供相應(yīng)的整改措施。

　　目前， 市場上有很多隱患掃描工具， 按照不同的技術(shù)(基于網(wǎng)絡(luò)的、基于主機的、基于代理的、C/S的)、不同的特征、不同的報告方法， 以及不同的監(jiān)聽模式， 可以分成好幾類。 不同的產(chǎn)品之間， 漏洞檢測的準確性差別較大， 這就決定了生成的報告的有效性上也有很大區(qū)別。

　　選擇正確的隱患掃描工具， 對于提高你的系統(tǒng)的安全性， 非常重要。

　　1、漏洞掃描概述

　　在字典中， Vulnerability意思是漏洞或者缺乏足夠的防護。 在軍事術(shù)語中， 這個詞的意思更為明確， 也更為嚴重------有受攻擊的嫌疑。

　　每個系統(tǒng)都有漏洞， 不論你在系統(tǒng)安全性上投入多少財力， 攻擊者仍然可以發(fā)現(xiàn)一些可利用的特征和配置缺陷。 這對于安全管理員來說， 實在是個不利的消息。 但是， 多數(shù)的攻擊者， 通常做的是簡單的事情。 發(fā)現(xiàn)一個已知的漏洞， 遠比發(fā)現(xiàn)一個未知漏洞要容易的多， 這就意味著:多數(shù)攻擊者所利用的都是常見的漏洞， 這些漏洞， 均有書面資料記載。

　　這樣的話， 采用適當?shù)墓ぞ撸?就能在黑客利用這些常見漏洞之前， 查出網(wǎng)絡(luò)的薄弱之處。 如何快速簡便地發(fā)現(xiàn)這些漏洞， 這個非常重要。

　　漏洞， 大體上分為兩大類:

　�、� 軟件編寫錯誤造成的漏洞;

　�、� 軟件配置不當造成的漏洞。

　　漏洞掃描工具均能檢測以上兩種類型的漏洞。 漏洞掃描工具已經(jīng)出現(xiàn)好多年了， 安全管理員在使用這些工具的同時， 黑客們也在利用這些工具來發(fā)現(xiàn)各種類型的系統(tǒng)和網(wǎng)絡(luò)的漏洞。

　　2、隱患掃描工具的衡量因素

　　決定是否采用隱患掃描工具來防范系統(tǒng)入侵是重要的第一步。 當您邁出了這一步后， 接下來的是:如何選擇滿足您公司需要的合適的隱患掃描技術(shù)， 這同樣也很重要。 以下列出了一系列衡量因素:

　�、� 底層技術(shù)(比如， 是被動掃描還是主動掃描， 是基于主機掃描還是基于網(wǎng)絡(luò)掃描);

　　② 特性;

　�、� 漏洞庫中的漏洞數(shù)量;

　�、� 易用性;

　　⑤ 生成的報告的特性(內(nèi)容是否全面、是否可配置、是否可定制、報告的格式、輸出方式等);

　�、� 對于漏洞修復(fù)行為的分析和建議(是否只報告存在哪些問題、是否會告訴您應(yīng)該如何修補這些漏洞);

　　⑦ 安全性(由于有些掃描工具不僅僅只是發(fā)現(xiàn)漏洞， 而且還進一步自動利用這些漏洞， 掃描工具自身是否會帶來安全風險);

　�、� 性能;

　�、� 價格結(jié)構(gòu)

　　2.1 底層技術(shù)

　　比較漏洞掃描工具， 第一是比較其底層技術(shù)。 你需要的是主動掃描， 還是被動掃描;是基于主機的掃描， 還是基于網(wǎng)絡(luò)的掃描， 等等。 一些掃描工具是基于Internet的， 用來管理和集合的服務(wù)器程序， 是運行在軟件供應(yīng)商的服務(wù)器上， 而不是在客戶自己的機器上。 這種方式的優(yōu)點在于檢測方式能夠保證經(jīng)常更新， 缺點在于需要依賴軟件供應(yīng)商的服務(wù)器來完成掃描工作。

　　掃描古城可以分為"被動"和"主動"兩大類。 被動掃描不會產(chǎn)生網(wǎng)絡(luò)流量包， 不會導致目標系統(tǒng)崩潰， 被動掃描工具對正常的網(wǎng)絡(luò)流量進行分析， 可以設(shè)計成"永遠在線"檢測的方式。 與主動掃描工具相比， 被動掃描工具的工作方式， 與網(wǎng)絡(luò)監(jiān)控器或IDS類似。

　　主動掃描工具更多地帶有"入侵"的意圖， 可能會影響網(wǎng)絡(luò)和目標系統(tǒng)的正常操作。 他們并不是持續(xù)不斷運行的， 通常是隔一段時間檢測一次。

　　基于主機的掃描工具需要在每臺主機上安裝代理(Agent)軟件;而基于網(wǎng)絡(luò)的掃描工具則不需要。 基于網(wǎng)絡(luò)的掃描工具因為要占用較多資源， 一般需要一臺專門的計算機。

　　如果網(wǎng)絡(luò)環(huán)境中含有多種操作系統(tǒng)， 您還需要看看掃描其是否兼容這些不同的操作系統(tǒng)(比如Microsoft、Unix以及Netware等)。

　　2.2 管理員所關(guān)心的一些特性

　　通常， 漏洞掃描工具完成一下以下?功能:掃描、生成報告、分析并提出建議， 以及數(shù)據(jù)管理。 在許多方面， 掃描是最常見的功能， 但是信息管理和掃描結(jié)果分析的準確性同樣很重要。 另外要考慮的一個方面是通知方式:當發(fā)現(xiàn)漏洞后， 掃描工具是否會向管理員報警?采用什么方式報警?

　　對于漏洞掃描軟件來說， 管理員通常關(guān)系以下幾個方面:

　�、� 報表性能好;

　　② 易安裝， 易使用;

　　③ 能夠檢測出缺少哪些補丁;

　�、� 掃描性能好， 具備快速修復(fù)漏洞的能力;

　�、� 對漏洞及漏洞等級檢測的可靠性;

　�、� 可擴展性;

　�、� 易升級性;

　�、� 性價比好;

　　2.3 漏洞庫

　　只有漏洞庫中存在相關(guān)信息， 掃描工具才能檢測到漏洞， 因此， 漏洞庫的數(shù)量決定了掃描工具能夠檢測的范圍。

　　然而， 數(shù)量并不意味著一切， 真正的檢驗標準在于掃描工具能否檢測出最常見的漏洞?最根本的在于， 掃描工具能否檢測出影響您的系統(tǒng)的那些漏洞?掃描工具中有用的總量取決于你的網(wǎng)絡(luò)設(shè)備和系統(tǒng)的類型。 你使用掃描工具的目的是利用它來檢測您的特定環(huán)境中的漏洞。 如果你有很多Netware服務(wù)器， 那么， 不含Netware漏洞庫的掃描工具就不是你的最佳選擇。

　　當然， 漏洞庫中的攻擊特性必須經(jīng)常升級， 這樣才能檢測到最近發(fā)現(xiàn)的安全漏洞。

　　2.4 易使用性

　　一個難以理解和使用的界面， 會阻礙管理員使用這些工具， 因此， 界面友好性尤為重要。 不同的掃描工具軟件， 界面也各式各樣， 從簡單的基于文本的， 到復(fù)雜的圖形界面， 以及Web界面。

　　2.5 掃描報告

　　對管理員來說， 掃描報告的功能越來越重要， 在一個面向文檔的商務(wù)環(huán)境中， 你不但要能夠完成你的工作， 而且還需要提供書面資料說明你是怎樣完成的。 事實上， 一個掃描可能會得到幾百甚至幾千個結(jié)果， 但是這些數(shù)據(jù)是沒用的， 除非經(jīng)過整理， 轉(zhuǎn)換成可以為人們理解的信息。 這就意味著理想情況下， 掃描工具應(yīng)該能夠?qū)�這些數(shù)據(jù)進行分類和交叉引用， 可以導到其他程序中， 或者轉(zhuǎn)換成其他格式(比如CSV， HTML， XML， MHT， MDB， EXCEL以及Lotus等等)， 采用不同方式來展現(xiàn)它， 并且能夠很容易的與以前的掃描結(jié)果做比較。

　　2.6 分析與建議

　　發(fā)現(xiàn)漏洞， 才完成一半工作。 一個完整的方案， 同時將告訴你針對這些漏洞將采取哪些措施。 一個好的漏洞掃描工具會對掃描結(jié)果進行分析， 并提供修復(fù)建議。 一些掃描工具將這些修復(fù)建議整合在報告中， 另外一些則提供產(chǎn)品網(wǎng)站或其它在線資源的鏈接。

　　漏洞修復(fù)工具， 它可以和流行的掃描工具結(jié)合在一起使用， 對掃描結(jié)果進行匯總， 并自動完成修復(fù)過程。

　　2.7 分析的準確性

　　只有當報告的結(jié)果是精確的， 提供的修復(fù)建議是有效的， 一份包含了詳細漏洞修復(fù)建議的報告， 才算是一份優(yōu)秀的報告。 一個好的掃描工具必須具有很低的誤報率(報告出的漏洞實際上不存在)和漏報率(漏洞存在， 但是沒有檢測到)。

　　2.8 安全問題

　　因掃描工具而造成的網(wǎng)絡(luò)癱瘓所引起的經(jīng)濟損失， 和真實攻擊造成的損失是一樣的， 都非常巨大。 一些掃描工具在發(fā)現(xiàn)漏洞后， 會嘗試進一步利用這些漏洞， 這樣能夠確保這些漏洞是真實存在的， 進而消除誤報的可能性。 但是， 這種方式容易出現(xiàn)難以預(yù)料的情況。 在使用具備這種功能的掃描工具的時候， 需要格外小心， 最好不要將其設(shè)置成自動運行狀態(tài)。

　　掃描工具可能造成網(wǎng)絡(luò)失效的另一種原因， 是掃描過程中， 超負荷的數(shù)據(jù)包流量造成拒絕服務(wù)(DOS， Denial Of Service)。 為了防止這一點， 需要選擇好適當?shù)膾呙柙O(shè)置。 相關(guān)的設(shè)置項有:并發(fā)的線程數(shù)、數(shù)據(jù)包間隔時間、掃描對象總數(shù)等， 這些項應(yīng)該能夠調(diào)整， 以便使網(wǎng)絡(luò)的影響降到最低。 一些掃描工具還提供了"安全掃描"的模板， 以防止造成對目標系統(tǒng)的損耗。

　　2.9 性能

　　掃描工具運行的時候， 將占用大量的網(wǎng)絡(luò)帶寬， 因此， 掃描過程應(yīng)盡快完成。 當然， 漏洞庫中的漏洞數(shù)越多， 選擇的掃描模式越復(fù)雜， 掃描所耗時間就越長， 因此， 這只是個相對的數(shù)值。 提高性能的一種方式， 是在企業(yè)網(wǎng)中部署多個掃描工具， 將掃描結(jié)果反饋到一個系統(tǒng)中， 對掃描結(jié)果進行匯總。

　　3、隱患掃描工具的價格策略

　　商業(yè)化的掃描工具通常按以下幾種方式來發(fā)布器授權(quán)許可證:按IP地址授權(quán)， 按服務(wù)器授權(quán)， 按管理員授權(quán)。 不同的授權(quán)許可證方式有所區(qū)別。

　　3.1 按IP段授權(quán)

　　許多掃描其產(chǎn)品， 比如eEye的Retina和ISS(Internet Security Scanner)要求企業(yè)用戶按照IP段或IP范圍來收費。 換句話說， 價格取決于所授權(quán)的可掃描的IP地址的數(shù)目。

　　3.2 按服務(wù)器授權(quán)

　　一些掃描工具供應(yīng)商， 按照每個服務(wù)器/每個工作站來計算器許可證的價格。 服務(wù)器的授權(quán)價格會比工作站高很多， 如果有多臺服務(wù)器的話， 掃描工具的價格會明顯上升。

　　3.3 按管理員授權(quán)

　　對于大多數(shù)企業(yè)而言， 這種授權(quán)方式， 比較簡單， 性價比也較好。

　　4、總結(jié)

　　在現(xiàn)在的互聯(lián)網(wǎng)環(huán)境中， 威脅無處不在。 在1-3季度， CERT協(xié)調(diào)中心就收到超過114， 000個漏洞事件報告， 這個數(shù)字超過2002年的總和， 這表明， 此類事件在不斷增長中。 為了防范攻擊， 第一件事就是在黑客發(fā)動攻擊之前， 發(fā)現(xiàn)網(wǎng)絡(luò)和系統(tǒng)中的漏洞， 并及時修復(fù)。

　　但是， 漏洞掃描工具在特性、精確性、價格以及可用性上差別較大， 如何選擇一個正確的隱患掃描工具， 尤為重要。