對(duì)于任何注意網(wǎng)絡(luò)安全評(píng)估的公司而言�����,定期執(zhí)行邊界漏洞測(cè)試是至關(guān)重要的�。有一些攻擊由內(nèi)部發(fā)起,而有許多攻擊是來(lái)自于公司外部����。這意味著,公司必須能夠驗(yàn)證邊界設(shè)備��,保證系統(tǒng)及時(shí)安裝補(bǔ)丁���,并且保持更新����。邊界測(cè)試一般包括網(wǎng)絡(luò)掃描、檢查入侵檢測(cè)(IDS)與入侵防御系統(tǒng)(IPS)��、防火墻測(cè)試和蜜罐技術(shù)部署與測(cè)試����。
網(wǎng)絡(luò)掃描是滲透測(cè)試應(yīng)該執(zhí)行的第一個(gè)活動(dòng)。畢竟�,您應(yīng)該盡量從攻擊者的角度去檢查網(wǎng)絡(luò)。您對(duì)于網(wǎng)絡(luò)的看法是由內(nèi)而外�����,但是攻擊者的角度則不同���。執(zhí)行邊界掃描可以幫助您確定邊界設(shè)備的操作系統(tǒng)和補(bǔ)丁級(jí)別����,從網(wǎng)絡(luò)外部是否能夠訪問(wèn)設(shè)備�����,以及SSL和T傳輸層安全(TLS)證書是否存在漏洞�。此外,網(wǎng)絡(luò)掃描有助于確定可訪問(wèn)的設(shè)備是否具有足夠的保護(hù)措施�����,防止在設(shè)備部署之后不會(huì)被暴露漏洞��。Nmap是一個(gè)免費(fèi)的開源安全掃描工具��,它可用于監(jiān)控網(wǎng)絡(luò);這個(gè)工具支持各種不同的交換機(jī)���,能夠發(fā)現(xiàn)開放端口���、服務(wù)和操作系統(tǒng)。
部署IDS和IPS是另一種檢測(cè)惡意軟件活動(dòng)的方法����。大多數(shù)公司都會(huì)在網(wǎng)絡(luò)邊界部署IDS或IPS,但是現(xiàn)在人們對(duì)于這些設(shè)備對(duì)抗攻擊的效果仍然存在爭(zhēng)議�����。有許多方法可以測(cè)試IDS和IPS���,其中包括:
插入攻擊��。這些攻擊形式是��,攻擊者向終端系統(tǒng)發(fā)送數(shù)據(jù)包被拒絕�,但是IDS卻認(rèn)為它們是有效的。當(dāng)出現(xiàn)這種攻擊時(shí)�,攻擊者會(huì)在IDS中插入數(shù)據(jù),卻不會(huì)被其他系統(tǒng)發(fā)現(xiàn)���。
躲避攻擊��。這個(gè)方法允許攻擊者使IDS拒絕一個(gè)終端系統(tǒng)可以接受的數(shù)據(jù)包����。
拒絕服務(wù)攻擊��。這種攻擊的形式是��,攻擊者向IDS發(fā)送大量的數(shù)據(jù)���,使IDS完全失去處理能力����。這種淹沒(méi)方式可能會(huì)讓惡意流量悄悄繞過(guò)防御。
假警報(bào)����。還記得那個(gè)謊報(bào)軍情的小男孩嗎?這種攻擊會(huì)故意發(fā)送大量的警報(bào)數(shù)據(jù)����。這些假警報(bào)會(huì)干擾分析,使防御設(shè)備無(wú)法分辨出真正的攻擊�����。
混淆�。IDS必須檢查所有格式的惡意軟件簽名。為了混淆這種IDS����,攻擊者可能會(huì)對(duì)流量進(jìn)行編碼、加密或拆分�,從而隱藏自己的身份。
去同步化����。這種方法(如連接前同步和連接后同步)都可用于隱藏惡意流量。
防火墻是另一種常見的邊界設(shè)備�����,它可用于控制入口流量和出口流量。防火墻可以是有狀態(tài)或無(wú)狀態(tài)的�����,可以通過(guò)各種方法進(jìn)行測(cè)試��。常見的測(cè)試方法包括:
防火墻識(shí)別����。開放端口可能有利于確定所使用的特定防火墻技術(shù)。
確定防火墻是有狀態(tài)還是無(wú)狀態(tài)的�����。有一些簡(jiǎn)單技術(shù)(如ACK掃描)可以幫助確定防火墻的類型���。
在防火墻上攔截廣告����。雖然這種方法并不一定有效���,但是一些較老的防火墻可能真的會(huì)在廣告中添加一些版本信息��。
最后���,還有蜜罐����。這些設(shè)備可用于誘捕或“囚禁”攻擊者�,或者有可能更深入了解他們的活動(dòng)����。蜜罐分成兩類:低交互和高交互。蜜罐可以通過(guò)觀察它們的功能檢測(cè)��。一個(gè)很好的低交互蜜罐是Netcat�,這個(gè)網(wǎng)絡(luò)工具可以讀寫通過(guò)網(wǎng)絡(luò)連接傳輸?shù)臄?shù)據(jù)。
執(zhí)行nc-v-l-p80��,可以打開TCP80監(jiān)聽端口�����,但是如果進(jìn)一步檢測(cè)��,則不會(huì)返回廣告���。高交互誘捕則不僅會(huì)返回一個(gè)開放端口���,還會(huì)返回當(dāng)前廣告�����,這使得攻擊者更難確定它是一個(gè)真實(shí)系統(tǒng)或者誘捕系統(tǒng)�����。
雖然我介紹了幾種方法可以讓你知道攻擊者眼里的網(wǎng)絡(luò)邊界是什么樣�,但是一定要注意���,許多攻擊者能夠通過(guò)由內(nèi)而外的方式繞過(guò)邊界設(shè)備和控制���。如果攻擊者能夠讓一位終端用戶在網(wǎng)絡(luò)內(nèi)部安裝工具,如點(diǎn)擊一個(gè)鏈接或訪問(wèn)惡意網(wǎng)站�,那么攻擊者就可以由內(nèi)而外通過(guò)通道傳輸流量,這在本質(zhì)上比由外而內(nèi)的方式更簡(jiǎn)單
