认识系统安全卫士—安全漏洞扫描器

认识系统安全卫士—安全漏洞扫描器

前言

主机上的弱点必须靠所谓的安全漏洞扫描器--就是市面上所谓的Security Scanner来作侦测，其主要的功能是仿真黑客入侵的手法去测试系统上有没有安全上的漏洞，进而从扫描出来的安全漏洞报告里告诉使用者系统上的安全漏洞有多少？如何去修补及到那里下载Patches？

一、使用安全漏洞扫描器的原因

使用安全漏洞扫描器基本上有三个原因：

1.集中式的找出安全漏洞

使用安全漏洞扫描器，可以找出各系统的漏洞，并集中式的了解漏洞内容，不需要每天注意各操作系统的漏洞通报，因为各操作系统的漏洞通报不会定时的发布，并且即使发布了，使用者也不一定知道。

2.降低风险指数

由安全漏洞扫描器所检测出来的漏洞，会提供修正的步骤及Patches下载网址，进而减少系统漏洞，降低风险指数。

3.黑客也使用安全漏洞扫描器

当黑客要入侵一个网站或企业时，也会使用某些工具先去了解这个网站的操作系统、服务以及漏洞，接着再开始入侵，而这些工具便是安全漏洞扫描器。因此，系统管理者可以通过扫描器来仿真黑客的手法，了解自己主机上的漏洞。更重要的是，系统管理者必须了解自己网络或主机上的漏洞。

二、认识安全漏洞扫描器

漏洞扫描器一般分成网络型及主机型二大类的安全漏洞扫描器及数据库安全漏洞扫描器，分别详述如下：

1、网络型安全漏洞扫描器

网络型的漏洞扫描器主要是仿真黑客经由网络端发出封包，以主机接收到封包时的响应作为判断标准，进而了解主机的操作系统、服务、及各种应用程序的漏洞，其运作的架构如(图1)。我们可以由图一知道网络型扫描器可以放置于Internet端，也就是可以放在家里去扫描自己企业主机的漏洞，这样等于是在仿真一个黑客从Internet去攻击企业的主机。

当然，不一定要从Internet端去作扫描，因为那样速度会较慢，您也可以把扫描器放在防火墙之前去作扫描，由得出来的报告了解防火墙帮企业把关了多少非法封包，也可以由此知道

防火墙设定的是否良好。通常，即使有防火墙把关，还是可以扫描出漏洞，因为除了人为设定的疏失外，最重要的是防火墙还是会打开一些特定的Port，让封包流进来，如HTTP、FTP 等，而这些防火墙所允许的洞，便必须由入侵侦测系统来把关了。

最后，您可以在DMZ区及企业内部去作扫描，以了解在没有防火墙把关下，主机的弱点有多少？因为企业内部的人员也可能是黑客，而且更容易得逞，因为并没有防火墙在帮你把关，同样地除了由扫描去减少自己企业内部主机的漏洞外，还是得在企业内部装置所谓的入侵侦测系统才可二十四小时帮企业内部作监控，因此可以知道安全漏洞扫描器和入侵侦测系统是相辅相成的。

网络型安全漏洞扫描器主要的功能如下：

（1）服务扫描侦测：

提供well-known port service的扫描侦测及well-known port以外的ports扫描侦测。

（2）后门程序扫描侦测：

提供PC Anywhere、NetBus、Back Orifice、Back Orifice2000(BackdoorBo2k)等远程控制程序（后门程序）的扫描侦测。

（3）密码破解扫描侦测：

提供密码破解的扫描功能，包括操作系统及程序密码破解扫描，如FTP、POP3、Telnet...等。

（4）应用程序扫描侦测:

提供已知的破解程序执行扫描侦测，包括CGI-BIN、Web Server漏洞、FTP Server等的扫描侦测。

（5）阻断服务扫描测试：

提供阻断服务(Denial Of Service)的扫描攻击测试。

（6）系统安全扫描侦测：

如NT的Registry、NT Groups、NT Networking、NT User、NT Passwords、DCOM(Distributed Component Object Model)、安全扫描侦测。

（7）分析报表：

产生分析报表，并告诉管理者如何去修补漏洞。

（8）安全知识库的更新：

所谓安全知识库就是黑客入侵手法的知识库，必须时常更新，才能落实扫描。

2、主机型安全漏洞扫描器：

主机型的安全漏洞扫描器最主要是针对操作系统内部问题作更深入的扫描，如Unix、NT、Liunx，它可弥补网络型安全漏洞扫描器只从外面通过网络检查系统安全的不足。一般采用Client/Server的架构，如(图2二)，其会有一个统一控管的主控台(Console)和分布于各重要

操作系统的Agents，然后由Console端下达命令给Agents进行扫描，各Agents再回报给Console扫描的结果，最后由Console端呈现出安全漏洞报表。

主机型安全漏洞扫描器主要的功能如下：

（1）重要资料锁定：

利用安全的Checksum(SHA1)来监控重要资料或程序的完整及真实性，如Index.html档。

（2）密码检测：

采用结合系统信息、字典和词汇组合的规则来检测易猜的密码。

（3）系统日志文件和文字文件分析：

能够针对系统日志文件，如Unix的syslogs及NT的事件检视(event log)，及其它文字文件(Text files)的内容做分析。

（4）动态式的警讯：

当遇到违反扫描政策或安全弱点时提供实时警讯并利用email、SNMP traps、呼叫应用程序等方式回报给管理者。

（5）分析报表：

产生分析报表，并告诉管理者如何去修补漏洞。

（6）加密：

提供Console 和Agent 之间的TCP/IP连接认证、确认和加密等功能。

（7）安全知识库的更新：

主机型扫描器由中央控管并更新各主机的Agents 的安全知识库

3、数据库安全漏洞扫描器

除了二大类的扫描器外，还有一种专门针对数据库作安全漏洞检查的扫描器，像是ISS公司的Database Scanner。其架构和网络型扫描类似，主要功能为找出不良的密码设定、过期密码设定、侦测登入攻击行为、关闭久未使用的帐户，而且能追踪登入期间的限制活动等。定期检查每个登入帐号密码长度是一件非常重要的事，因为密码是数据库系统的第一道防线。如果没有定期检查密码，导致密码太短或太容易猜测，或是设定的密码是字典上有的单字，都很容易被破解，导致资料外泄。大部分的关系数据库系统都不会要求使用者设定密码，更别提上述的安全检查机制，所以问题更严重。由于系统管理员的帐号（在SQL Server和Sybase 中是sa）不能改名，所以如果没有密码锁定的功能，入侵者就能用字典攻击程序进行猜测密码攻击，到时数据库只能任人宰割，让人随便使用最高存取权限。

除了密码的管理，操作系统保护了数据库吗？一般关系数据库经常有「port addressable」的特性，也就是使用者可以利用客户端程序和系统管理工具直接从网络存取数据库，无须理会主机操作系统的安全机制。而且数据库有extended stored procedure和其它工具程序，可以让数据库和操作系统以及常见的电子商务设备（譬如网页服务器）互动。例如xp_cmdshell