做铝材哪些网站招聘,wordpress写博客插件,中文域名网站链接无法打开,wordpress走阿里云OSS内网#xff08;八#xff09;漏洞扫描方案
1.参与人员
乙方工程师#xff1a;谭 然、张 剑等。
范围经过双方确认#xff0c;此次评估的对象包括#xff1a;
2.网络设备 IP 地址 设备型号 备注 / / / / / /
以现场测评实际数据为准
3.应用系统 地址 …八漏洞扫描方案
1.参与人员
乙方工程师谭 然、张 剑等。
范围经过双方确认此次评估的对象包括
2.网络设备 IP 地址 设备型号 备注 / / / / / /
以现场测评实际数据为准
3.应用系统 地址 操作系统 / / / /
以现场测评实际数据为准
4.评估方法
利用网络扫描工具和安全评估工具检查路由器、Web服务器、Unix服务器、Windows NT服务器和防火墙的弱点从而识别能被入侵者用来非法进入网络的漏洞。生成网络扫描评估报告提交检测到的漏洞信息包括位置和详细描述。这样就允许管理员侦测和管理安全风险信息。
扫描内容包括
Ø是否能够获得目标系统的指纹信息
Ø系统开放的端口号
Ø系统中存在的安全漏洞
Ø是否存在弱口令
Ø……
5.工具选择
此次评估所使用的软件及程序主要分为三大类别
1. 漏洞扫描工具
2. 辅助软件
3. 系统自带的程序
l漏洞扫描工具
在这个大类我们主要选用以下几种漏洞扫描工具每一种工具各具特点我们将根据被测单位的实际情况挑选使用在本次扫描中将至少使用两种扫描软件对主机进行扫描工作。
Nessus
Nessus为业界部署最广泛的漏洞扫描、系统配置与合规性验证产品。全球已超过2万4千家企业正在使用在信息安全和合规审计产品中获得众多专业人士认可。Nessus®可以进行高速扫描、系统配置核查、资产发现、恶意软件发现、敏感性资料发现、补丁程序管理整合和漏洞分析。Tenable的漏洞研究团队准确的依据环境需求提供不断更新的特征数据库 (plugins)目前特征库已超过80,000个漏洞和系统配置检查。Nessus®能扩展并适用于最大型的企业 环境而且部署十分容易。可对网络、移动终端、系统、数据、Web应用以及数据库程序进行深入的扫描作业。
Acunetix
Acunetix作为一款全球领先的网络漏洞扫描工具通过网络爬虫测试你的网站安全检测流行的攻击如交叉站点脚本SOL注入等。在被黑客攻击前扫描购物车、表格、安全区域和其它Web应用程序。
Nikto
Nikto是一款能对web服务器多种安全项目进行测试的评估软件能在200多种服务器上评估出2000多种有潜在危险的文件、CGI及其他问题。它也使用LibWhiske库但通常比Whisker更新的更为频繁。
l辅助工具
Sniffer pro
Sniffer软件是NAI公司推出的功能强大的协议分析软件。使用Sniffer Pro网络分析器可以对网络进行分析。利用Sniffer Pro 网络分析器的强大功能和特征解决网络问题。Sniffer Pro的主要功能包括
Ø捕获网络流量进行详细分析
Ø利用专家分析系统诊断问题
Ø实时监控网络活动
Ø收集网络利用率和错误等
Ø在进行流量捕获之前首先选择网络适配器确定从计算机的哪个网络适配器上接收数据。
Nmap
nmap是一个网络探测和安全扫描程序系统管理者和个人可以使用这个软件扫描大型的网络获取那台主机正在运行以及提供什么服务等信息。nmap支持很多扫描技术例如UDP、TCP connect()、TCP SYN(半开扫描)、ftp代理(bounce攻击)、反向标志、ICMP、FIN、ACK扫描、圣诞树(Xmas Tree)、SYN扫描和null扫描。从扫描类型一节可以得到细节。nmap还提供了一些高级的特征例如通过TCP/IP协议栈特征探测操作系统类型秘密扫描动态延时和重传计算并行扫描通过并行ping扫描探测关闭的主机诱饵扫描避开端口过滤检测直接RPC扫描(无须端口影射)碎片扫描以及灵活的目标和端口设定。
Netcat
NetCat是一个非常简单的Unix工具可以读、写TCP或UDP网络连接(network connection)。它被设计成一个可靠的后端(back-end)工具能被其它的程序程序或脚本直接地或容易地驱动。同时它又是一个功能丰富的网络调试和开发工具因为它可以建立你可能用到的几乎任何类型的连接以及一些非常有意思的内建功能。
NetCat的一些主要功能
Ø支持连出和连入(outbound and inbound connection)TCP和UDP任意源和目的端口
Ø全部DNS正向/反向检查给出恰当的警告
Ø使用任何源端口
Ø使用任何本地设置的网络资源地址
Ø内建端口扫描功能带有随机数发生器
Ø内建loose source-routing功能
Ø可能标准输入读取命令行参数
Ø慢发送模式每N秒发送一行
Ø以16进制显示传送或接收的数据
Ø允许其它程序服务建立连接
Ø对Telnet投标
Burp Suite
Burp Suite 是用于攻击web 应用程序的集成平台包含了许多工具。Burp Suite为这些工具设计了许多接口以加快攻击应用程序的过程。所有工具都共享一个请求并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。
系统自带程序
netstat
netstat程序有助于我们了解网络的整体使用情况。它可以显示当前正在活动的网络连接的详细信息例如显示网络连接、路由表和网络接口信息可以让用户得知目前总共有哪些网络连接正在运行。利用该程序提供的参数功能我们可以了解该命令的其他功能信息例如显示以太网的统计信息、显示所有协议的使用状态这些协议包括TCP协议、UDP协议以及IP协议等另外还可以选择特定的协议并查看其具体使用信息还能显示所有主机的端口号以及当前主机的详细路由信息。
netsh
Netsh是Windows 2000/XP/2003操作系统自身提供的命令行脚本实用工具它允许用户在本地或远程显示或修改当前正在运行的计算机的网络配置。为了存档、备份或配置其他服务器Netsh也可以将配置脚本保存在文本文件中。
类unix系统程序
Øvmstat - 这是可以快速察看内存、CPU和磁盘子系统的命令。vmstat 通常执行一个短时间以便可以察看子系统利用的趋势。vmstat 经常可以在系统性能有一些问题的时候帮助我们知道哪些地方应该去深究。
Ømpstat - 这个命令在Linux和Solaris上都有可以用它察看处理器利用的统计。mpstat 提供一个选项允许在多处理器系统中察看指定CPU的统计。vmstat 没有这个功能。
Øiostat - 显示比vmstat更详细的跟子系统相关的统计信息。
Øsar,sa,lastcomm,last - 这些是检查历史数据和一些近来的系统事件。sar是一个Solaris和Linux的系统性能分析工具。这些可以用于检查的性能数据类似于vmstat, mpstat和 iostat的显示。 sar的数据是一段时间保存的内容因此可以察看过去的信息。 lastcomm可以现在系统最近被执行的命令。这些可以用在系统审计中。sa 可以在*BSD和Linux中找到它给用户在系统审计中更多的选项来收集信息。
Øps - 立足于进程状态用于显示系统执行的进程和他们的信息。
Øtop - 显示的信息同ps接近但是top可以了解到CPU消耗可以根据用户指定的时间来更新显示。
Ølsof - 列举打开的文件显示系统当前打开的所有文件。Unix系统的所有东西几乎都可以看作是文件因此lsof也显示了系统的状态中有重要意义的内容。
Øfile - 判断文件是什么不同的文件格式可以16进制的形式现实文件的内容
Øreadelf - 显示二进制文件的ELF可执行链接和格式头的细节。这些内容可以判断可执行提供的函数。
Øod - 以用户指定的格式输出文件内容。od对于在文件内容中有一些解释的情况下察看原始内容是有帮助的。
Øldd - 读取ELF头的内容并显示可执行文件依赖的对象库。
Østring - 现实文件中的ASCII字符串。对于在二进制文件中查找其中可读的字符串是非常有用处的。
Øfind - 用于在文件系统中查找指定的对象。
Østrace - 这个工具开始或者附加到一个当前运行的进程中显示这个进程所作的所有系统调用。这可以用来判断程序运行的行为并且来决定是否是合适的程序。strace 存在于Linux上。在 Solaris上是truss *BSD提供的ktrace可以达到相似的功能。
Øsudo - 可以让管理员给用户以其他用户的权限执行命令的能力而不用给该用户密码。
Øgrep - 用于按照用户指定的模式查询。 grep用匹配规则。
Øless - 页面调度程序用来按页显示文本。
6.评估的代价
Security Auditing采用的各种评估方法都或多或少地会对系统造成一定的影响。因为采用模拟攻击方法进行评估所以有时可能象攻击一样造成比较严惩的结果如系统停机、停止服务等。这是不可避免的包括某些著名的评估工具都曾经在实际使用的时引起被评估系统不能正常工作带来了不必要的麻烦。
7.流量的代价
经过测试在扫描过程中随着主机数量、漏洞的测试情况、网络划分、网络设备的构架等情况的不同选用三种扫描软件 NESSUS、SHADOW SECURITY SCAN、RETINA进行模拟测试具体数据如下表所示 测试软件 网络占用带宽(Kb/s) / / / /
以现场测评实际数据为准
注所有测试都是在十台机子同时进行扫描的情况下完成
l通过分析和比较这几款扫描软件在扫描过程中对网络的占用率在10Kb/s-40Kb/s左右波动根据被测单位公司的网络情况分析应该对其网络的正常运行不会出现很大的影响。
l主机的代价
扫描过程对于主机的影响同上的实验环境选用用3种扫描软件NESSUS、SHADOW SECURITY SCAN、RETINA进行测试
ØNessus 7.0.0 扫描前CPU占用率均值 扫描时CPU占用率峰值 / / / / / / / / / / / /
以现场测评实际数据为准
ØAcunetix 11.0.0 扫描前CPU占用率均值 扫描时CPU占用率峰值 / / / / / / / / / / / /
以现场测评实际数据为准
通过这些图表显示有三种扫描软件进行的扫描过程中被扫描主机的CPU占用率在峰值的时候将增加10%左右对所扫描的主机不会造成什么影响。
同时观察被测主机的内存变化发现扫描对于主机内存的占用率几乎没有影响。
l主机的潜在威胁
扫描过程中如果选择DOS选项进行扫描时网络流量会增加在本公司的实际环境中使用扫描软件针对DOS攻击漏洞进行扫描时如果被测试的主机存在某些被测试到的DOS漏洞有可能造成被测主机出现死机、宕机、应用服务不响应等多种问题。因此在此次评估过程中为了被测单位的网络能够顺利的运行不再扫描评估过程中出现对被测单位应用不可预知的问题在此次评估中不进行DOS方面的测试。
8.实施步骤
(1)网络扫描
安全评估实施参照不同方位、多种工具、采用不具有攻击的方法进行评估
Ø防火墙内部首先在内网进行扫描对网络中各种服务器对象进行总体评估对网络主机的安全状况进行细致深化的了解同时对服务器的重要漏洞进行评估测试。
Ø防火墙外部其次在防火墙的外部进行扫描这种状态是模拟外网攻击者对网络进行评估测试。这种环境是在通过客户的网络安全设备的保护后外部攻击者还能获取的网络安全漏洞的罗列。
为了使得测试内容更加具体详尽这次测试将在防火墙内部进行选用nessus和Acunetix两个软件进行多次扫描以期能对被测单位的环境得到一个客观准确的了解为了使被测单位网络能够正常运行此次测试采用去除DOS测试选项的方法进行安全扫描。
(2)扫描策略
1.WINDOWS主机
扫描策略选择SANS 20中标准的WINDOWS子列并去掉DOS大类的选项 2.网络设备
扫描策略选择以下子列 (3)扫描操作
1.扫描准备
Ø首先要保证所有设备已经完成了备份工作。
Ø机房网管人员要提供两个IP地址给新疆天行健信息安全测评技术有限公司风险评估工程师。
Ø网管人员提供的两个接入点都必须保证能够到达所有的评估对象并且链路之间不存在网络安全设备。
Ø新疆天行健信息安全测评技术有限公司风险评估工程师使用自己的笔记本进行扫描。
Ø新疆天行健信息安全测评技术有限公司风险评估工程师使用商业漏洞扫描工具RETINA进行扫描。 Ø新疆天行健信息安全测评技术有限公司风险评估工程师使用商业漏洞扫描工具Shadow Security Scanner进行扫描。
2.扫描过程
在这次文档中将选用Nessus对扫描实施过程进行演示假设评估对象为一台Windows系统的主机IP为192.168.1.1
1.首先启动Nessus
2.填入评估对象地址192.168.1.1
3.设置扫描端口类型为常见端口common ports
4.设置扫描策略为WINDOWS子类 5.点击scan按钮开始扫描 6.扫描结束后点击Generate Report生成报表
