常見(jiàn)的安全漏洞掃描器軟件,常見(jiàn)的有網(wǎng)絡(luò)型安全漏洞掃描器、主機(jī)型安全漏洞掃描器和數(shù)據(jù)庫(kù)安全漏洞掃描器三種類型。
1.網(wǎng)絡(luò)型安全漏洞掃描器
網(wǎng)絡(luò)型安全漏洞掃描器在工作時(shí),主要是仿真黑客從網(wǎng)絡(luò)端發(fā)出數(shù)據(jù)包,以網(wǎng)絡(luò)主機(jī)接收到數(shù)據(jù)包時(shí)的響應(yīng)作為判斷標(biāo)準(zhǔn),進(jìn)而測(cè)試基于主機(jī)的網(wǎng)絡(luò)操作系統(tǒng)、系統(tǒng)服務(wù)及各種應(yīng)用軟件系統(tǒng)的漏洞。
在使用網(wǎng)絡(luò)型安全漏洞掃描器時(shí),可以將它部署在直接連接Internet的客戶計(jì)算機(jī)上,掃描本機(jī)構(gòu)主機(jī)系統(tǒng)的漏洞。這樣相當(dāng)于仿真一個(gè)黑客從Internet直接攻擊企業(yè)的主機(jī)。
由于將掃描器部署在直接連接Internet的計(jì)算機(jī)上進(jìn)行掃描速度會(huì)較慢,還可以采用把掃描器放在防火墻前面進(jìn)行掃描的方法。這時(shí)的測(cè)試結(jié)果,可以幫助網(wǎng)絡(luò)管理員了解已經(jīng)部署的防火墻究竟幫助企業(yè)內(nèi)部網(wǎng)過(guò)濾了多少非法數(shù)據(jù)包,由此可知道防火墻配置得是否良好。通常,即使有防火墻把關(guān),還是可以掃描出漏洞。因?yàn)槌巳藶榕渲玫氖杪┩猓阑饓νǔ_€是會(huì)為支持HTTP或FTP等網(wǎng)絡(luò)服務(wù)打開(kāi)一些特定的端口允許數(shù)據(jù)包進(jìn)入。這些防火墻所開(kāi)放的端口,就只能依靠入侵檢測(cè)系統(tǒng)來(lái)把關(guān)了。
還可以將掃描器部署在防火區(qū)和企業(yè)內(nèi)部網(wǎng)中進(jìn)行安全漏洞掃描,以測(cè)試在沒(méi)有防火墻的把關(guān)下,主機(jī)系統(tǒng)存在多少安全漏洞。由于在企業(yè)內(nèi)部網(wǎng)中沒(méi)有防火墻把關(guān),因此除了使用掃描器來(lái)發(fā)現(xiàn)和消除企業(yè)內(nèi)部網(wǎng)主機(jī)系統(tǒng)的漏洞外,還需要在企業(yè)內(nèi)部網(wǎng)中部署入侵檢測(cè)系統(tǒng),這樣才能夠?qū)崿F(xiàn)企業(yè)內(nèi)部網(wǎng)的“全天候”安全監(jiān)控。安全漏洞掃描器和入侵檢測(cè)系統(tǒng)是相輔相成的。
網(wǎng)絡(luò)型安全漏洞掃描器的主要功能如下。
(1)端口掃描檢測(cè)。提供常用服務(wù)端口(Well-known port service)掃描檢測(cè)和常用服務(wù)端口以外的端口掃描檢測(cè)。
(2)后門程序掃描檢測(cè)。提供PC Anywhere,NetBus,Back Orifice,Back Orifice 2000等遠(yuǎn)程控制程序(也稱為后門程序)的掃描檢測(cè)。
(3)密碼破解掃描檢測(cè)。提供密碼破解的掃描功能,包括操作系統(tǒng)及FTP,POP3,Telnet等應(yīng)用服務(wù)的密碼破解掃描檢測(cè)。
(4)應(yīng)用程序掃描檢測(cè)。提供已知的破解程序執(zhí)行的掃描檢測(cè),包括CGI-BIN、Web服務(wù)器、FTP服務(wù)器等的漏洞掃描檢測(cè)。
(5)阻斷服務(wù)掃描檢測(cè)。提供拒絕服務(wù)(Denial Of Service)攻擊測(cè)試掃描。
(6)系統(tǒng)安全掃描測(cè)試。提供網(wǎng)絡(luò)操作系統(tǒng)安全漏洞掃描測(cè)試,如對(duì)Windows NT的注冊(cè)表(Registry)、用戶組(Groups)、網(wǎng)絡(luò)(Networking)、用戶(User)、用戶口令(Password)、分布式對(duì)象組件模型(DCOM,Distributed Component Object Model)等的安全掃描測(cè)試。
(7)提供分析報(bào)表。就檢測(cè)結(jié)果產(chǎn)生分析報(bào)表,指導(dǎo)網(wǎng)絡(luò)管理員如何修補(bǔ)安全漏洞。
(8)安全知識(shí)庫(kù)的更新。將黑客入侵手法導(dǎo)入知識(shí)庫(kù)的更新必須時(shí)常進(jìn)行,才能保證掃描器能夠及時(shí)發(fā)現(xiàn)新的安全漏洞。
2.主機(jī)型安全漏洞掃描器
主機(jī)型安全漏洞掃描器,主要是針對(duì)如UNIX、Linux和Windows NT等操作系統(tǒng)內(nèi)部的安全問(wèn)題進(jìn)行更深入的漏洞掃描。它可以彌補(bǔ)網(wǎng)絡(luò)型安全漏洞掃描器僅僅從外面通過(guò)網(wǎng)絡(luò)對(duì)系統(tǒng)進(jìn)行安全測(cè)試的不足。
主機(jī)型安全漏洞掃描器常常采用客戶/服務(wù)器(Client/Server)應(yīng)用軟件結(jié)構(gòu),有一個(gè)統(tǒng)一的控制臺(tái)(Console)程序,以及分別部署在各重要操作系統(tǒng)的代理程序(Agent)。安全漏洞掃描系統(tǒng)工作時(shí),由控制臺(tái)給各個(gè)代理程序下達(dá)命令進(jìn)行掃描,各代理程序?qū)呙铚y(cè)試結(jié)果回送到控制臺(tái),最后由控制臺(tái)程序給出安全漏洞報(bào)表。
主機(jī)型安全漏洞掃描器的主要功能如下。
1)重要資料鎖定。利用安全檢查監(jiān)控重要資料或程序的完整及真實(shí)性。
(2)密碼檢測(cè)。采用結(jié)合系統(tǒng)信息、字典和詞匯組合的規(guī)則,檢測(cè)易猜的密碼。
(3)系統(tǒng)日志文件和文字文件分析。能夠針對(duì)如UNIX系統(tǒng)的syslogs及Windows NT系統(tǒng)的Event Log等系統(tǒng)日志文件和其他文本文件的內(nèi)容進(jìn)行分析。
(4)實(shí)時(shí)報(bào)警。當(dāng)發(fā)現(xiàn)安全漏洞時(shí)可以進(jìn)行實(shí)時(shí)報(bào)警,利用電子郵件、SNMP自陷、呼叫等方式通知網(wǎng)絡(luò)管理員。
(5)產(chǎn)生分析報(bào)表。根據(jù)漏洞掃描測(cè)試結(jié)果產(chǎn)生分析報(bào)表,指導(dǎo)網(wǎng)絡(luò)管理員如何修補(bǔ)安全漏洞。
(6)加密通信。提供掃描器控制臺(tái)和代理程序之間的TCP/IP連接認(rèn)證、確認(rèn)和加密等功能。
(7)安全知識(shí)庫(kù)更新。主機(jī)型安全漏洞掃描器由控制臺(tái)集中控管并負(fù)責(zé)更新部署在各主機(jī)代理程序的安全知識(shí)庫(kù)。
3.數(shù)據(jù)庫(kù)安全漏洞掃描器
這是一種專門對(duì)數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行安全漏洞檢查的掃描器,與網(wǎng)絡(luò)型安全漏洞掃描類似,主要功能是要找出不安全的密碼設(shè)定、過(guò)期密碼設(shè)定,檢測(cè)登錄攻擊行為,關(guān)閉久未使用的賬戶,并且還能夠追蹤用戶登錄期間的活動(dòng)等。
定期檢查每個(gè)登錄賬戶的密碼長(zhǎng)度非常重要,因?yàn)槊艽a是數(shù)據(jù)庫(kù)系統(tǒng)的第1道防線。如果沒(méi)有定期檢查密碼的機(jī)制,用戶使用的密碼太短或太容易猜測(cè),或是設(shè)定的密碼是字典上存在的詞匯,就很容易被黑客破解,導(dǎo)致數(shù)據(jù)泄露。許多關(guān)系型數(shù)據(jù)庫(kù)系統(tǒng)并不要求使用者設(shè)定密碼,更無(wú)嚴(yán)格的密碼安全檢查機(jī)制,所以問(wèn)題更嚴(yán)重。由于在一些數(shù)據(jù)庫(kù)管理系統(tǒng)中,數(shù)據(jù)庫(kù)系統(tǒng)管理員的賬戶名稱(如在SQL Server數(shù)據(jù)庫(kù)和Sybase數(shù)據(jù)庫(kù)中是sa)不能更改,所以如果沒(méi)有密碼保護(hù)的功能,入侵者就能用字典攻擊程序進(jìn)行密碼猜測(cè)攻擊。一旦數(shù)據(jù)庫(kù)管理員的密碼被攻破,數(shù)據(jù)庫(kù)就完全被攻占,無(wú)任何保密和安全可言。
