網(wǎng)絡(luò)安全評估之邊界測試

　　對于任何注意網(wǎng)絡(luò)安全評估的公司而言，定期執(zhí)行邊界漏洞測試是至關(guān)重要的。有一些攻擊由內(nèi)部發(fā)起，而有許多攻擊是來自于公司外部。這意味著，公司必須能夠驗證邊界設(shè)備，保證系統(tǒng)及時安裝補丁，并且保持更新。邊界測試一般包括網(wǎng)絡(luò)掃描、檢查入侵檢測(IDS)與入侵防御系統(tǒng)(IPS)、防火墻測試和蜜罐技術(shù)部署與測試。

　　網(wǎng)絡(luò)掃描是滲透測試應(yīng)該執(zhí)行的第一個活動。畢竟，您應(yīng)該盡量從攻擊者的角度去檢查網(wǎng)絡(luò)。您對于網(wǎng)絡(luò)的看法是由內(nèi)而外，但是攻擊者的角度則不同。執(zhí)行邊界掃描可以幫助您確定邊界設(shè)備的操作系統(tǒng)和補丁級別，從網(wǎng)絡(luò)外部是否能夠訪問設(shè)備，以及SSL和T傳輸層安全(TLS)證書是否存在漏洞。此外，網(wǎng)絡(luò)掃描有助于確定可訪問的設(shè)備是否具有足夠的保護措施，防止在設(shè)備部署之后不會被暴露漏洞。Nmap是一個免費的開源安全掃描工具，它可用于監(jiān)控網(wǎng)絡(luò);這個工具支持各種不同的交換機，能夠發(fā)現(xiàn)開放端口、服務(wù)和操作系統(tǒng)。

　　部署IDS和IPS是另一種檢測惡意軟件活動的方法。大多數(shù)公司都會在網(wǎng)絡(luò)邊界部署IDS或IPS，但是現(xiàn)在人們對于這些設(shè)備對抗攻擊的效果仍然存在爭議。有許多方法可以測試IDS和IPS，其中包括：

　　• 插入攻擊。這些攻擊形式是，攻擊者向終端系統(tǒng)發(fā)送數(shù)據(jù)包被拒絕，但是IDS卻認為它們是有效的。當出現(xiàn)這種攻擊時，攻擊者會在IDS中插入數(shù)據(jù)，卻不會被其他系統(tǒng)發(fā)現(xiàn)。

　　• 躲避攻擊。這個方法允許攻擊者使IDS拒絕一個終端系統(tǒng)可以接受的數(shù)據(jù)包。

　　• 拒絕服務(wù)攻擊。這種攻擊的形式是，攻擊者向IDS發(fā)送大量的數(shù)據(jù)，使IDS完全失去處理能力。這種淹沒方式可能會讓惡意流量悄悄繞過防御。

　　• 假警報。還記得那個謊報軍情的小男孩嗎?這種攻擊會故意發(fā)送大量的警報數(shù)據(jù)。這些假警報會干擾分析，使防御設(shè)備無法分辨出真正的攻擊。

　　• 混淆。IDS必須檢查所有格式的惡意軟件簽名。為了混淆這種IDS，攻擊者可能會對流量進行編碼、加密或拆分，從而隱藏自己的身份。

　　• 去同步化。這種方法(如連接前同步和連接后同步)都可用于隱藏惡意流量。

　　防火墻是另一種常見的邊界設(shè)備，它可用于控制入口流量和出口流量。防火墻可以是有狀態(tài)或無狀態(tài)的，可以通過各種方法進行測試。常見的測試方法包括：

　　• 防火墻識別。開放端口可能有利于確定所使用的特定防火墻技術(shù)。

　　• 確定防火墻是有狀態(tài)還是無狀態(tài)的。有一些簡單技術(shù)(如ACK掃描)可以幫助確定防火墻的類型。

　　• 在防火墻上攔截廣告。雖然這種方法并不一定有效，但是一些較老的防火墻可能真的會在廣告中添加一些版本信息。

　　最后，還有蜜罐。這些設(shè)備可用于誘捕或“囚禁”攻擊者，或者有可能更深入了解他們的活動。蜜罐分成兩類：低交互和高交互。蜜罐可以通過觀察它們的功能檢測。一個很好的低交互蜜罐是Netcat，這個網(wǎng)絡(luò)工具可以讀寫通過網(wǎng)絡(luò)連接傳輸?shù)臄?shù)據(jù)。

　　執(zhí)行nc -v -l -p 80，可以打開TCP 80監(jiān)聽端口，但是如果進一步檢測，則不會返回廣告。高交互誘捕則不僅會返回一個開放端口，還會返回當前廣告，這使得攻擊者更難確定它是一個真實系統(tǒng)或者誘捕系統(tǒng)。

　　雖然我介紹了幾種方法可以讓你知道攻擊者眼里的網(wǎng)絡(luò)邊界是什么樣，但是一定要注意，許多攻擊者能夠通過由內(nèi)而外的方式繞過邊界設(shè)備和控制。如果攻擊者能夠讓一位終端用戶在網(wǎng)絡(luò)內(nèi)部安裝工具，如點擊一個鏈接或訪問惡意網(wǎng)站，那么攻擊者就可以由內(nèi)而外通過通道傳輸流量，這在本質(zhì)上比由外而內(nèi)的方式更簡單。