如何选取扫描器
与决定购买其他商品一样,购买之前首先需要确定自己的需求。例如,如果需要实现漏洞修复过程的自动化,则选择的产品最好具有日志和多种扫描集的功能;如果所处的是一个大型Netware环境,选择的产品就要有特定的Netware检查功能;如果需要扫描50到100台主机,那么产品的效率可能要求不是很高,但如果每一次性地扫描几千台机器,那么就要考虑一下产品的效率如何了。再次指出,所有这些需求都会对欲选择的扫描器类型产生极大的影响。
当然,各种产品也都有其共有的特性。一般来说,在选择漏洞扫描器时我们一般需要考虑以下各因素:
·漏洞检测的完整性 在选择扫描器时我一般都不推荐玩数字游戏;但是,一个扫描器所能扫描的漏洞数目的确很重要。至少,一个扫描器应该能够查找出root/administrator级的具有危险的已知漏洞。
·漏洞检测的精确性 扫描器必须要有一个好的漏洞检测集,然而,能否精确地识别这些漏洞同样重要。错过真正的漏洞,与识别到很多不存在的漏洞一样都是不可容忍的。与入侵检测系统类似,有些扫描器产品仍然具有假阳性问题。
·漏洞检测的范围 应该指出,多数漏洞扫描器都是用于进行远端漏洞检测的,而不是用于本地漏洞(主机级)检测。不过,像ISS和Webtrends等产品也有一些能够进行本地漏洞扫描的代理,这些本地漏洞往往是远端扫描检测不到的。不过,这些代理通常会涉及到很大范围的漏洞,而且使用之前还需要安装,这会给大型网络的管理带来一定的困难。
·及时更新 尽管扫描器的更新都是在漏洞发现之后才进行,但这种更新必须要及时地有规律地进行(如一个月一次以上)。选择的扫描器最好能有及时提供产品更新支持的R&D小组。
·报告功能 查找漏洞很重要,但正确地描述这些漏洞以及如何修复它们也同样的重要。有些大型企业需要管理员修复已经发生的问题,这个因素对他们来说往往尤为重要。
·许可和定价问题 有些产品是针对单个节点发放许可证的,有些则是针对每台服务器发放许可证的,也有一些是免费的。有些产品的许可系统很容易(如NAI),而有些产品的许可过程则比较复杂(如ISS)。在本书中试图提供精确的价格和许可信息完全没有必要,因为各供应商一直在不断地改变这些内容。然而需要指出,由于这些产品的价格体系比较混乱,在决定购买之前一定要调查清楚相关的许可证问题;如果有任何疑问,推荐读者选择免费的Nessus。
据我所知,没有一种扫描器产品都能够很好地满足上述各个条件,但Nessus和ISS Internet Security Scanner与上述各要求已经很接近了。
2001年1月,Neohapsis实验室为《Network Computing》杂志对各种扫描器产品进行了一次深入的分析,根据给定的要求,Nessus和ISS Internet Security Scanner在分析结果中高居榜首。有关内容参见http://www.nwc.com/1201/1201f1b1.html.
扫描器存在缺点
正如本书所讨论的各种安全工具都有缺点一样,扫描器也不例外。了解这些工具的缺点与了解其优点一样重要。
扫描工具的主要缺点可以归纳为三类:完整性、时间性与准确性。首先,这些产品多数都能扫描出很多己知的漏洞,但没有一种能够识别出所有的漏洞。根据SANS在2000年第四季度发布的报告,仍然有很多漏洞这些产品识别不到。
参考 读者可以通过以下网址查看SANS常见漏洞Top Ten列表:http://www.sans.org/topten.htm。由于经常发生变化,该列表并没有列举所有常见的漏洞。
其次,这些产品多数都是每个季度更新一次,如果某个漏洞于一月份公布,扫描器可能要到三月份才能检测到这种漏洞,期间两个月的时间得由用户自己检查有关的安全问题。因此,用户在进行远程扫描时,不能完全依赖于这些扫描器的扫描结果。
此外,多数现代的扫描器都简单地采用“banner-grabbing”(标志提取)技术来识别各种服务版本。这种技术在多数环境下是可行的,但有时也会产生错误的结果。例如,通过对端口25(SMTP邮件)和端口21(FTP)进行telnet,我们就可以识别出这两种服务的版本:假如识别结果是Microsoft 5.5和Microsoft FTP 4.0服务器;然而,有些诸如Bind、sendmail和wu-ftpd服务允许管理员在其配置文件中修改这些版本标志。尽管这不是一种安全隐患,但如果将默认的wu-ftpd标志改为“Fabio’s favorite FTP Server version 1.0”就会给大部分安全扫描工具造成混淆。这也说明,如果要想让扫描器工作得更有效,一般不要更改默认的版本标志。
最后,扫描器产品仍然面临着假阳性的缺陷。特别是在大型网络中,扫描器往往会报告一些根本不存在的安全漏洞;尽管这种“宁可信其有,不可信其无”的做法是非常安全的,但由于安全人员要处理这些根本不存在的安全漏洞,因而也增加了开销
常见扫描器简介
在理想情况下,在进行技术性采购时一般要考虑正确的需求、合理的测试以及现实的预算等因素。然而,我们逐渐意识到人们一般都不会这样按部就班地去做。正是基于这个原因,这里挑选了市场上我们认为比较好的扫描器在本节罗列出来;当然,这并不是说其他的产品不好,这只是根据我们的经验和使用情况来挑选的。我们鼓励读者在选择产品之前要做一些相关调查,希望下面列出的各种产品会给你一些指导。
axent netrecon
axent的netrecon丰富了其现有的防火墙和入侵检测工具集等安全产品。该工具界面美观,报告功能完善,漏洞数据库容量适中,而且具有所谓的“二次攻击”(secondary exploitation)能力——即使用从一台服务器上获得的知识来评估别的服务器。尽管我没有使用该产品的最后一个功能,但这个功能却是许多同类产品所有具备的。
netrecon以前并没有Nessus、Cybercop Scanner或ISS那样功能丰富,但现在也是一款非常实用的扫描工具。该产品也可以集成到Axent的Enterprise Security Manager(ESM)中,做一些通用的安全风险评估工作。
供应商:Axent/Symantec
总部:Rockville,MA(美国)
平台:Windows
产品名称:NetRecon
URL:http:www.axent.com
ISS internet scanner
ISS最初成立时只有Internet scanner一种软件产品,该产品一直是安全扫描界的事实上的界业标准。Internet scanner后端报告功能强大,漏洞检查集完备,GUI可用性非常好。ISS也下大气力推荐该产品作为后端扫描引擎,例如,该扫描器针对每种安全检查都提供了大量的背景数据。
Internet scanner基于Microsoft ODBC来存储其后端扫描数据,这些数据以后可以用来进行分析预测。与netrecon集成到ESM中一样,Internet scanner也与ISS Decisions集成到了一起。ISS Decisions利用扫描数据可以与其他安全产品(如防火墙、入侵检测系统等等)协同工作。
尽管Internet scanner一般没有其他产品所面临的假阳性问题,但其更新速度相对慢一些。另一个需要提及的缺点是,根据我对Internet scanner的使用经验,其发布的6.x系列版本有些不稳定。而且在进行大范围的扫描时经常出问题,有时必须要将其内部数据库清空两次才能运行,但其中的数据却无法恢复。
需要注意,ISS还提供其他两种扫描产品:System Scanner和Database Scanner,不过这两种产品都是基于代理的本地扫描工具,无法扫描远端系统。
供应商:Internet Security Systems,Inc.
总部:Atlanta, GA(美国)
平台:Windows
产品名称:Internet Scanner
URL:http://www.iss.net
Network associates cybercop scanner
cybercop scanner来源于NAI(Network associates,Inc.)收购的SNI(Secure Networks,Inc.)的Ballista产品。cybercop scanner能检测出很多漏洞,报告功能也比较强大,还附带有很多实用工具。其中两个很特别的工具是CASL和SMB grinder,CASL可以以基于GUI的方式构建IP数据包,而SMB grinder具有与LophtCrack类似的口令破解功能。
