信息安全技術(shù)-09漏洞檢測技術(shù)

信息安全技術(shù)第5講

安全檢測技術(shù)5.1入侵檢測技術(shù)與網(wǎng)絡(luò)入侵檢測系統(tǒng)產(chǎn)品5.2漏洞檢測技術(shù)和微軟系統(tǒng)漏洞檢測工具M(jìn)BSA第5講

安全檢測技術(shù)5.2漏洞檢測技術(shù)

和微軟系統(tǒng)漏洞檢測工具M(jìn)BSA第5講

安全檢測技術(shù)就網(wǎng)絡(luò)信息系統(tǒng)的安全而言，僅有事后追查或?qū)崟r報警功能是不夠的，還需要具備系統(tǒng)安全漏洞檢測能力的事先檢查型安全工具。系統(tǒng)漏洞檢測又稱漏洞掃描，就是對網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行檢查，主動發(fā)現(xiàn)其中可被攻擊者利用的漏洞。不管攻擊者是從外部還是從內(nèi)部攻擊某一網(wǎng)絡(luò)系統(tǒng)，一般都會利用該系統(tǒng)已知的漏洞。因此，漏洞掃描技術(shù)應(yīng)該用在攻擊者入侵和攻擊網(wǎng)絡(luò)系統(tǒng)之前。第5講

安全檢測技術(shù)1.入侵攻擊可利用的系統(tǒng)漏洞類型入侵者常常從收集、發(fā)現(xiàn)和利用信息系統(tǒng)的漏洞來發(fā)起對系統(tǒng)的攻擊。不同的應(yīng)用，甚至同一系統(tǒng)不同的版本，其系統(tǒng)漏洞都不盡相同，大致上可以分為3類網(wǎng)絡(luò)傳輸和協(xié)議的漏洞系統(tǒng)的漏洞管理的漏洞第5講

安全檢測技術(shù)(1)網(wǎng)絡(luò)傳輸和協(xié)議的漏洞攻擊者一般利用網(wǎng)絡(luò)傳輸時對協(xié)議的信任以及網(wǎng)絡(luò)傳輸過程本身所存在的漏洞進(jìn)入系統(tǒng)，例如，IP欺騙和信息腐蝕就是利用網(wǎng)絡(luò)傳輸時對IP和DNS協(xié)議的信任；而網(wǎng)絡(luò)嗅探器則利用了網(wǎng)絡(luò)信息明文傳送的弱點(diǎn)。第5講

安全檢測技術(shù)另外，攻擊者還可利用協(xié)議的特性進(jìn)行攻擊，例如，對TCP序列號的攻擊等。攻擊者還可以設(shè)法避開認(rèn)證過程，或通過假冒(如源地址)而混過認(rèn)證過程。例如，有的認(rèn)證功能是通過主機(jī)地址來做認(rèn)證的，一個用戶通過認(rèn)證，則這個機(jī)器上的所有用戶就都通過了認(rèn)證。此外，DNS、WHOIS、FINGER等服務(wù)也會泄露出許多對攻擊者有用的信息，例如，用戶地址、電話號碼等。第5講

安全檢測技術(shù)(2)系統(tǒng)的漏洞攻擊者可以利用服務(wù)進(jìn)程的BUG和配置錯誤進(jìn)行攻擊，任何提供服務(wù)的主機(jī)都有可能存在這樣的漏洞，它們常被攻擊者用來獲取對系統(tǒng)的訪問權(quán)。由于軟件的BUG不可避免，這就為攻擊者提供了各種機(jī)會。另外，軟件實(shí)現(xiàn)者為自己留下的后門(和陷門)，也為攻擊者提供了機(jī)會。第5講

安全檢測技術(shù)系統(tǒng)內(nèi)部的程序也存在許多BUG，因此，存在著入侵者利用程序中的BUG來獲取特權(quán)用戶權(quán)限的可能。竊取系統(tǒng)中的口令是最簡單和直截了當(dāng)?shù)墓舴椒?，因而對系統(tǒng)口令文件的保護(hù)方式也在不斷的改進(jìn)?？诹钗募拿魑?隱藏口令文件)改進(jìn)成密文，又改進(jìn)成使用陰影(Shadow)的方式。第5講

安全檢測技術(shù)攻擊者竊取口令的方法可以是：竊取口令文件并做字典攻擊。從信道截獲并做進(jìn)一步分析。利用特洛伊木馬竊取。采用其他方式進(jìn)行竊取。第5講

安全檢測技術(shù)(3)管理的漏洞攻擊者可以利用各種方式從系統(tǒng)管理員和用戶那里誘騙或套取可用于非法進(jìn)入系統(tǒng)的信息，包括口令、用戶名等。第5講

安全檢測技術(shù)通過對入侵攻擊過程進(jìn)行分析，可以將系統(tǒng)的安全漏洞劃分為以下5類：可使遠(yuǎn)程攻擊者獲得系統(tǒng)一般訪問權(quán)限?？墒惯h(yuǎn)程攻擊者獲得系統(tǒng)管理權(quán)限。遠(yuǎn)程攻擊者可使系統(tǒng)拒絕合法用戶的服務(wù)請求。可使一般用戶獲得系統(tǒng)管理權(quán)限。一般用戶可使系統(tǒng)拒絕其他合法用戶的服務(wù)請求。第5講

安全檢測技術(shù)根據(jù)安全漏洞所在程序的類型，以上5類安全漏洞又可以劃分為兩類：前3種安全漏洞主要存在于系統(tǒng)的網(wǎng)絡(luò)服務(wù)程序中，包括TELNET，F(xiàn)TP等用戶服務(wù)，也包括HTTP，Sendmail等共用網(wǎng)絡(luò)服務(wù)；后兩種安全漏洞主要存在于一些系統(tǒng)服務(wù)程序及其配置文件中，尤其是以Root身份運(yùn)行的服務(wù)程序。第5講

安全檢測技術(shù)從系統(tǒng)本身的層次結(jié)構(gòu)看，系統(tǒng)的安全漏洞可以分為以下4類：安全機(jī)制本身存在的安全漏洞。系統(tǒng)服務(wù)協(xié)議中存在的安全漏洞，按層次可細(xì)分為物理層、數(shù)據(jù)鏈路層、IP與ICMP層、TCP層、應(yīng)用服務(wù)層。系統(tǒng)、服務(wù)管理與配置的安全漏洞。安全算法、系統(tǒng)協(xié)議與服務(wù)實(shí)現(xiàn)中存在的安全問題等第5講

安全檢測技術(shù)針對攻擊者利用網(wǎng)絡(luò)各個層次上的安全漏洞破壞網(wǎng)絡(luò)的安全性，系統(tǒng)安全必須進(jìn)行全方位多層次的安全防衛(wèi)，才能使系統(tǒng)安全的風(fēng)險最小。第5講

安全檢測技術(shù)2.漏洞檢測技術(shù)分類通常采用兩種策略，即被動式和主動式策略。被動式策略是基于主機(jī)的檢測，對系統(tǒng)中不合適的設(shè)置、脆弱的口令以及其他同安全策略相抵觸的對象進(jìn)行檢查；主動式策略是基于網(wǎng)絡(luò)的檢測，通過執(zhí)行一些腳本文件對系統(tǒng)進(jìn)行攻擊，并記錄它的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。漏洞檢測的結(jié)果實(shí)際上是對系統(tǒng)安全性能的一個評估，因此成為安全方案的一個重要組成部分。第5講

安全檢測技術(shù)根據(jù)所采用的技術(shù)特點(diǎn)，漏洞檢測技術(shù)可分為以下5類：1)基于應(yīng)用的檢測技術(shù)。采用被動、非破壞性的辦法來檢查應(yīng)用軟件包的設(shè)置，發(fā)現(xiàn)安全漏洞。2)基于主機(jī)的檢測技術(shù)。采用被動、非破壞性的辦法對系統(tǒng)進(jìn)行檢測，常涉及系統(tǒng)內(nèi)核、文件的屬性、操作系統(tǒng)的補(bǔ)丁等問題。這種技術(shù)還包括口令解密，因此，這種技術(shù)可以非常準(zhǔn)確地定位系統(tǒng)存在的問題，發(fā)現(xiàn)系統(tǒng)漏洞。其缺點(diǎn)是與平臺相關(guān)，升級復(fù)雜。第5講

安全檢測技術(shù)3)基于目標(biāo)的檢測技術(shù)。采用被動、非破壞性的辦法檢查系統(tǒng)屬性和文件屬性，如數(shù)據(jù)庫、注冊號等。通過消息摘要算法，對系統(tǒng)屬性和文件屬性進(jìn)行雜湊(Hash)函數(shù)運(yùn)算。如果函數(shù)的輸入有一點(diǎn)變化，其輸出就會發(fā)生大的變化，這樣文件和數(shù)據(jù)流的細(xì)微變化都會被感知。這些算法實(shí)現(xiàn)是運(yùn)行在一個閉環(huán)上，不斷地處理文件和系統(tǒng)目標(biāo)屬性，然后產(chǎn)生校驗(yàn)數(shù)，把這些校驗(yàn)數(shù)同原來的校驗(yàn)數(shù)相比較，一旦發(fā)現(xiàn)改變就通知管理員。第5講

安全檢測技術(shù)4)基于網(wǎng)絡(luò)的檢測技術(shù)。采用積極、非破壞性的辦法來檢驗(yàn)系統(tǒng)是否有可能被攻擊而崩潰。它利用了一系列腳本對系統(tǒng)進(jìn)行攻擊，然后對結(jié)果進(jìn)行分析。網(wǎng)絡(luò)檢測技術(shù)常被用來進(jìn)行穿透實(shí)驗(yàn)和安全審計。這種技術(shù)可以發(fā)現(xiàn)系統(tǒng)平臺的一系列漏洞，也容易安裝。但是，它容易影響網(wǎng)絡(luò)的性能。5)綜合技術(shù)。它集中了以上4種技術(shù)的優(yōu)點(diǎn)，極大地增強(qiáng)了漏洞識別的精度。第5講

安全檢測技術(shù)3.漏洞檢測的基本要點(diǎn)1)檢測分析的位置。在漏洞檢測中，第一步是數(shù)據(jù)采集，第二步是數(shù)據(jù)分析。在大型網(wǎng)絡(luò)中，通常采用控制臺和代理相結(jié)合的結(jié)構(gòu)，這種結(jié)構(gòu)特別適用于異構(gòu)型網(wǎng)絡(luò)，檢測不同的平臺較容易。在不同威脅程度的環(huán)境下，可以有不同的檢測標(biāo)準(zhǔn)。第5講

安全檢測技術(shù)2)報告與安裝。漏洞檢測系統(tǒng)生成的報告是理解系統(tǒng)安全狀況的關(guān)鍵，它記錄了系統(tǒng)的安全特征，針對發(fā)現(xiàn)的漏洞提出需要采取的措施。整個漏洞檢測系統(tǒng)還應(yīng)該提供友好的界面及靈活的配置特性。安全漏洞數(shù)據(jù)庫可以不斷更新補(bǔ)充。第5講

安全檢測技術(shù)3)檢測后的解決方案。如果發(fā)現(xiàn)了漏洞，一旦檢測完畢，那么系統(tǒng)應(yīng)有多種反應(yīng)機(jī)制。預(yù)警機(jī)制可以讓系統(tǒng)發(fā)送消息、電子郵件、傳呼、短信等來報告發(fā)現(xiàn)了漏洞。報表機(jī)制生成綜合的報表，列出所有的漏洞，管理員根據(jù)這些報告可以采取有針對性的補(bǔ)救措施。同入侵檢測系統(tǒng)一樣，漏洞檢測有許多管理功能，通過一系列的報表可讓系統(tǒng)管理員對這些結(jié)果做進(jìn)一步的分析。第5講

安全檢測技術(shù)4)檢測系統(tǒng)本身的完整性。這里同樣有許多在設(shè)計、安裝、維護(hù)檢測系統(tǒng)時要考慮的安全問題。安全數(shù)據(jù)庫必須安全，否則就會成為黑客的工具，因此，加密就顯得特別重要。由于新的攻擊方法不斷出現(xiàn)，所以要給用戶提供一個更新系統(tǒng)的方法。更新的過程也必須進(jìn)行加密，否則將產(chǎn)生新的危險。實(shí)際上，漏洞檢測系統(tǒng)本身就是一種攻擊，如果被黑客利用，那就會產(chǎn)生難以預(yù)料的后果，因此，必須采用保密措施。第5講

安全檢測技術(shù)4.微軟系統(tǒng)漏洞檢測工具M(jìn)BSA為確保計算機(jī)系統(tǒng)的安全，除了安裝安全防護(hù)軟件(如：殺毒軟件、防火墻等)外，及時安裝漏洞補(bǔ)丁程序也是非常重要的。第5講

安全檢測技術(shù)例如對于Windows系統(tǒng)來說，幾乎每個星期都有新的漏洞被發(fā)現(xiàn)。這些漏洞常被計算機(jī)病毒和黑客們用來非法入侵計算機(jī)和進(jìn)行破壞。雖然微軟會及時發(fā)布修補(bǔ)程序，但是發(fā)布時間是隨機(jī)的，而且這些漏洞會因Windows軟件版本的不同而發(fā)生變化；另一方面，盡管Windows的“附件”帶了一個自動更新程序，但它只是機(jī)械地把一大堆補(bǔ)丁程序統(tǒng)統(tǒng)安裝到系統(tǒng)中，安裝完成后你仍然不知道系統(tǒng)還存在著哪些漏洞。因此，完全修補(bǔ)所有漏洞成為每個Windows用戶的難題。第5講

安全檢測技術(shù)解決這個難題的簡單方法，就是利用特定的軟件，例如微軟的系統(tǒng)漏洞檢測工具M(jìn)BSA(微軟基準(zhǔn)安全分析器)對Windows系統(tǒng)進(jìn)行掃描，檢查是否存在漏洞？哪些方面存在漏洞？以便及時修補(bǔ)第5講

安全檢測技術(shù)MBSA是一個免費(fèi)軟件，它具有其他同類軟件無法比擬的優(yōu)點(diǎn)：除了能檢查Windows的漏洞，還能檢測Office、IIS、