NetRecon是最先为Windows NT网络设计的网络扫描产品之一。NetRecon象其它扫描器一样可以发现网络中的各种元素,处理本课中讨论的各种问题,包括密码检查。NetRecon可以比较准确的模拟各种攻击。NetRecon的界面由三个窗格组成。对象窗口允许你查看每个扫描对象,通过单击可以展开目录结构。通过扫描网络,图形窗口显示低、中、高的风险等级。状态栏显示扫描的进程。你可以对网络进行深度扫描,当然这种扫描会耗费大量的时间。例如,广泛的扫描会花费两天的时间。
漏洞数据库和对象列表
在NetRecon中以一些漏洞列表作为侦查数据库,你可以将这个列表理解为攻击指纹,但是这个名词通常被用于入侵检测系统程序中。如果你持有NetRecon的授权,便可以从Axent的Web站点升级这个漏洞列表。通过 Reprots view Vulnerability Descriptions 菜单,可以查看相关漏洞的描述。
下面列出NetRecon可以扫描出的系统漏:
· Finger服务漏洞
· GameOver(远程管理访问攻击)
· 未授权注销禁止
· 服务漏洞,包括SMTP、DNS、FTP、HTTP、SOCKS代理和低的sendmail补丁等级。
大多数网络扫描器,如NetRecon,包含了事先定义好的对象列表。通过选择 Reprots View Objective Descriptions,你可以查看在NetRecon中已经配置好的当前对象列表。
Network Associates CyberCop Scanner
CyberCop Scanner是Network Associates的产品,该公司的产品还包括Sniffer Basic(前身是NetXRay)和其它网络管理软件。象NetRecon一样,CyberCop Scanner是一个主机级别的审计程序。与Axent的产品一样,CyberCop也把各种漏洞分类为低、中、高三个等级。附录B中是一份CyberCop Scanner生成的报告样例。
技术提示:CyberCop Monitor不是网络扫描器,它是入侵监测系统程序,能够对黑客活动进行监视,提供报警功能,还能惩罚黑客。你将在本教程中学习一些入侵检测系统程序。
WebTrends Security Analyzer
该软件以前叫Asmodeus Security Scanner,WebTrends的产品在UNIX和NT系统下都经过很好的测试。Security Analyzer的优点之一是与UNIX搭配使用多年,操作界面也简单易用。
在主界面上选择Policy,然后edit,这时Security Analyzer 的选项窗口将出现。你可以选择扫描的强度,或编辑已有的策略、建立新的策略。如果你点击Host Selection标签,便可以选择子网内主机的范围。
Internet Security Systems的扫描产品
Internet Security Systems是最早生产扫描程序的公司。在究沃心憬癐nternet扫描器和系统扫描器。它们都是ISS设计来提供跨操作平台的安全工具包。
ISS Internet Scanner
这款扫描器工作于UNIX和NT平台,象Axent NetRecon、WebTrends Security Analyzer和其它扫描器一样可以扫描远程主机。
Ineternet Scanner有三个模块:intranet,firewall和Web服务器。程序的策略是希望将网络活动分类,并针对每种活动提供一种扫描方案。这个特点由于你可以直接扫描更重要和经常遭受攻击的系统而变得十分有效。你也可以在三个模块中定义你自己的扫描参数。
下列是Internet Scanner中部分扫描的项目:
·PHP3 缓冲区溢出
·Teardrop和Teardrop2攻击
·跨网络的协议分析仪(包括tcpdump和Sniffer Basic)
·搜索一些FTP服务类型,包括War FTP
·SNMP和RMON检测
·Whois检测
·SAMBA溢出
·增强的SMS支持
·增强的NT功能,使它与UNIX一样有效
ISS Security Scanner
Security Scanner是基于主机的扫描程序。它可以深入挖掘系统的情况。由于是基于主机的扫描程序,所以能更深入地扫描系统内部。这一功能在检查象数据库、FTP和Web服务等特定的系统时显得十分有用。这种程序应该只运行在考虑到有黑客活动的高风险的系统上。
其它扫描程序厂商
其它提供扫描和检测漏洞的产品包括:
·Security Dynamics Kane Security Analyst
·Netect HackerShield
社会工程
我们已经接触了一些侦查程序,其中有的工具非常灵活和全面。但是,通过人为你侦查网络情况更方便。一名优秀的审计人员会从人力资源角度来获取网络信息。虽然你可以用社会工程对网络进行渗透和控制,但用这种方法来侦查网络也同样有效。作为安全管理人员,你不应低估社会工程的威胁。作为安全审计人员,你也不应在侦查工具和技巧中漏掉社会工程。
电话访问
审计人员试图以人为突破口。在从Nslookup获得有关信息后利用电话骗取更多的有用信息。通过这种方法,你可以获得更多的信息,甚至骗取他人给你访问网络主机的权限。
E-mail诈骗
虽然欺骗性的邮件本身是无效的,但你可以伪装成工程技术人员骗取别人回复你的信件,泄漏有价值的信息。
教育
作为安全管理人员,避免员工成为侦查工具的最好方法是对他们进行教育。通过提高员工对设备的认识和增强他们的责任感,可以使他们变得更难于被黑客控制。
获得信息
作为安全审计人员,你可以把信息分成网络级别和主机级别的信息。
网络级别的信息
下表中列出了你需要获得的有价值的网络级别的信息。
网络拓扑
安全审计人员首先应当搞清楚网络的类型(以太网,令牌环等等),IP地址范围,子网和其它网络信息。配线架的位置也很重要。作为安全管理人员,你的目标是利用防火墙、代理服务器等设备保护这些信息。
路由器和交换机
掌握路由器和交换机的种类对分析网络安全十分重要,你可以是路由器泄漏信息。
防火墙种类
大多数的网络都有防火墙。如果你能够访问防火墙,便可以侦查它并寻找相应的漏洞。
IP服务
最基本的服务包括DHCP,BOOTP,WINS,SAMBA,和DNS。DNS服务特别容易遭受缓冲区溢出的攻击。
Modem池
也许最流行的绕过防火墙是做法是通过modem连接再附以Man-in-the-middle攻击和包捕获。War dialer是在Internet上寻找网络连接的重要的审计工具。
主机级别的信息
下表列举了一些更有价值的主机级别的信息
|
信息 |
描述 |
| 活动端口 | 你应该了解服务器上有那些端口是活动的。HTTP和FTP服务是最容易遭受端口扫描的服务,而且黑客会进一步实施缓冲区溢出攻击。 |
| 数据库 | 数据库类型(例如Oracle,Microsoft SQL Server和IBM DB2),物理位置和应用协议都很有价值。 |
| 服务器 | 服务器类型是非常有价值的信息。一旦你确定了服务器的种类是Microsoft或UNIX,便可以有针对性的利用系统的缺省设置和补丁侦查登录账户名称,弱口令和低的补丁等级。 |
近年来,许多成功的黑客都利用了大量的业余时间。他们阅读了大量的文献,研究系统的缺省设置和内置的漏洞。无论你是安全管理人员还是安全审计人员,都应该尽可能地多掌握产品的情况。
例如,通过研究TCP/IP的RFC文件,你可以获知各个厂商如何应用TCP/IP协议。在Student CD中的RFC目录中有RFC1700文章,其中描述了TCP和UDP端口的划分情况。这种文献是你和黑客都可以免费得到的关于协议、操作系统和硬件信息的资料。
合法和非法的网络工具
黑客会尝试使用任何工具,不论它有多复杂。而且,黑客工具和审计工具并没有本质上的区别。在本课中讨论的一些工具,如Axent NetRecon,通过广播主机名进行查询。这些信息可以帮助系统管理员和安全管理人员明确需要扫描那些资源。无论如何,这些程序并不仅限于系统管理员的正当使用。
黑客可以使用本课中讨论的任何工具。使用企业级的扫描工具通常会占用大量的带宽,并不是隐蔽的侦查工具。因此,任何系统管理员,安全审计人员或黑客都乐于使用网络级的扫描程序,即使冒不是引起注意就是使整个网络瘫痪的风险。
