常見的安全漏洞掃描器軟件,常見的有網絡型安全漏洞掃描器、主機型安全漏洞掃描器和數據庫安全漏洞掃描器三種類型。
1.網絡型安全漏洞掃描器
網絡型安全漏洞掃描器在工作時,主要是仿真黑客從網絡端發出數據包,以網絡主機接收到數據包時的響應作為判斷標準,進而測試基于主機的網絡操作系統、系統服務及各種應用軟件系統的漏洞。
在使用網絡型安全漏洞掃描器時,可以將它部署在直接連接Internet的客戶計算機上,掃描本機構主機系統的漏洞。這樣相當于仿真一個黑客從Internet直接攻擊企業的主機。
由于將掃描器部署在直接連接Internet的計算機上進行掃描速度會較慢,還可以采用把掃描器放在防火墻前面進行掃描的方法。這時的測試結果,可以幫助網絡管理員了解已經部署的防火墻究竟幫助企業內部網過濾了多少非法數據包,由此可知道防火墻配置得是否良好。通常,即使有防火墻把關,還是可以掃描出漏洞。因為除了人為配置的疏漏外,防火墻通常還是會為支持HTTP或FTP等網絡服務打開一些特定的端口允許數據包進入。這些防火墻所開放的端口,就只能依靠入侵檢測系統來把關了。
還可以將掃描器部署在防火區和企業內部網中進行安全漏洞掃描,以測試在沒有防火墻的把關下,主機系統存在多少安全漏洞。由于在企業內部網中沒有防火墻把關,因此除了使用掃描器來發現和消除企業內部網主機系統的漏洞外,還需要在企業內部網中部署入侵檢測系統,這樣才能夠實現企業內部網的“全天候”安全監控。安全漏洞掃描器和入侵檢測系統是相輔相成的。
網絡型安全漏洞掃描器的主要功能如下。
(1)端口掃描檢測。提供常用服務端口(Well-known port service)掃描檢測和常用服務端口以外的端口掃描檢測。
(2)后門程序掃描檢測。提供PC Anywhere,NetBus,Back Orifice,Back Orifice 2000等遠程控制程序(也稱為后門程序)的掃描檢測。
(3)密碼破解掃描檢測。提供密碼破解的掃描功能,包括操作系統及FTP,POP3,Telnet等應用服務的密碼破解掃描檢測。
(4)應用程序掃描檢測。提供已知的破解程序執行的掃描檢測,包括CGI-BIN、Web服務器、FTP服務器等的漏洞掃描檢測。
(5)阻斷服務掃描檢測。提供拒絕服務(Denial Of Service)攻擊測試掃描。
(6)系統安全掃描測試。提供網絡操作系統安全漏洞掃描測試,如對Windows NT的注冊表(Registry)、用戶組(Groups)、網絡(Networking)、用戶(User)、用戶口令(Password)、分布式對象組件模型(DCOM,Distributed Component Object Model)等的安全掃描測試。
(7)提供分析報表。就檢測結果產生分析報表,指導網絡管理員如何修補安全漏洞。
(8)安全知識庫的更新。將黑客入侵手法導入知識庫的更新必須時常進行,才能保證掃描器能夠及時發現新的安全漏洞。
2.主機型安全漏洞掃描器
主機型安全漏洞掃描器,主要是針對如UNIX、Linux和Windows NT等操作系統內部的安全問題進行更深入的漏洞掃描。它可以彌補網絡型安全漏洞掃描器僅僅從外面通過網絡對系統進行安全測試的不足。
主機型安全漏洞掃描器常常采用客戶/服務器(Client/Server)應用軟件結構,有一個統一的控制臺(Console)程序,以及分別部署在各重要操作系統的代理程序(Agent)。安全漏洞掃描系統工作時,由控制臺給各個代理程序下達命令進行掃描,各代理程序將掃描測試結果回送到控制臺,最后由控制臺程序給出安全漏洞報表。
主機型安全漏洞掃描器的主要功能如下。
1)重要資料鎖定。利用安全檢查監控重要資料或程序的完整及真實性。
(2)密碼檢測。采用結合系統信息、字典和詞匯組合的規則,檢測易猜的密碼。
(3)系統日志文件和文字文件分析。能夠針對如UNIX系統的syslogs及Windows NT系統的Event Log等系統日志文件和其他文本文件的內容進行分析。
(4)實時報警。當發現安全漏洞時可以進行實時報警,利用電子郵件、SNMP自陷、呼叫等方式通知網絡管理員。
(5)產生分析報表。根據漏洞掃描測試結果產生分析報表,指導網絡管理員如何修補安全漏洞。
(6)加密通信。提供掃描器控制臺和代理程序之間的TCP/IP連接認證、確認和加密等功能。
(7)安全知識庫更新。主機型安全漏洞掃描器由控制臺集中控管并負責更新部署在各主機代理程序的安全知識庫。
3.數據庫安全漏洞掃描器
這是一種專門對數據庫服務器進行安全漏洞檢查的掃描器,與網絡型安全漏洞掃描類似,主要功能是要找出不安全的密碼設定、過期密碼設定,檢測登錄攻擊行為,關閉久未使用的賬戶,并且還能夠追蹤用戶登錄期間的活動等。
定期檢查每個登錄賬戶的密碼長度非常重要,因為密碼是數據庫系統的第1道防線。如果沒有定期檢查密碼的機制,用戶使用的密碼太短或太容易猜測,或是設定的密碼是字典上存在的詞匯,就很容易被黑客破解,導致數據泄露。許多關系型數據庫系統并不要求使用者設定密碼,更無嚴格的密碼安全檢查機制,所以問題更嚴重。由于在一些數據庫管理系統中,數據庫系統管理員的賬戶名稱(如在SQL Server數據庫和Sybase數據庫中是sa)不能更改,所以如果沒有密碼保護的功能,入侵者就能用字典攻擊程序進行密碼猜測攻擊。一旦數據庫管理員的密碼被攻破,數據庫就完全被攻占,無任何保密和安全可言。
