【51CTO.com 獨家特稿】在你的組織中保證服務器、PC和筆記本電腦的安全是一件很重要的工作，一旦安全環境遭受破壞，存儲在這些設備上的重要數據就可能被破壞或被修改掉，可能會使客戶喪失信心，進而丟掉銷售訂單。試問現在你所管理的企業網絡真的安全嗎？你有信心做肯定回答嗎？如果你還不能確定回答，那何不來一次安全審計，用事實來說話吧。

做一次完全的安全審計對于一個企業而言，往往感覺力不從心，或許是安全公司開價過高，或許擔心最終的安全審計報告水份過多，本文想從幾個方面利用開源軟件來做一次比較徹底的安全審計，不能保證每一處都審計到，至少比問起問題時拍腦袋強。

現有保護措施

在開始審計前，還是先弄清楚自己網絡環境的安全保護措施，歸納起來，一般的中小型企業都會有：

（1）一個防火墻，將企業內部網絡與互聯網進行隔離。
（2）一套入侵防御系統（IPS）/入侵監測系統（IDS），發現攻擊行為時自動報警。
（3）一套惡意軟件掃描程序，掃描網絡中的惡意軟件。
（4）對網絡和計算機的訪問使用密碼進行驗證，預防無密碼直接訪問。
（5）一套殺毒軟件，或單機版防病毒軟件，保證查殺流行病毒。

說不定你的網絡中也許還沒有這么多的安全保護措施，那更應該做一下安全審計了。即使配有這些保護措施，也可能存在安全隱患，如：

（1）防火墻本身發現了漏洞，而你卻未及時打上補丁。
（2）IPS/IDS配置不當，沒有發揮作用或引起負面影響。
（3）保護網絡和計算機資源的密碼很弱智，如123456。
（4）殺毒軟件很久都沒有升級了，對最新的病毒無法感知。
（5）你的IT架構中可能存在你還沒有發現的其它漏洞。

滲透測試

首先從滲透測試說起吧，它可以發現現有的安全保護措施是否真的能夠保護整個網絡，實際上滲透測試就是把自己當作黑客，通過一些黑客攻擊手段向網絡發起模擬攻擊測試。

滲透測試通常包括幾個步驟：

（1）信息收集

使用搜索引擎和其它資源發現公司盡可能多的信息，如公司名稱，員工姓名等。

（2）端口掃描

使用自動的端口掃描程序找出網絡中活動的計算機及運行的服務，最好是發現有漏洞可利用的服務。

（3）偵查

從目標服務器上探測各種信息，如運行的程序，后臺服務。

（4）網絡嗅探

發現在網絡上傳輸的用戶名和密碼。

（5）密碼攻擊

破解密碼，或者猜測密碼。

由于保護網絡和攻擊網絡是兩個不同的領域，在進行滲透測試時一定要轉換到黑客的思維角度。最好的滲透測試是聘請安全專家進行，但這通常需要付費。當然，出于成本考慮，可以選擇滲透測試軟件，它在網絡中搜索漏洞，在某些時候還可以自動發起模擬攻擊。使用軟件進行滲透測試的好處時，你可以每個月甚至每周進行一次測試。

說了這么多，那如何執行滲透測試呢？首先需要準備一臺筆記本電腦，可以連接到無線網絡，也可以連接到有線網絡。然后就是測試軟件了，本文講述的軟件大部分都是開源的，都可以在Linux系統中運行，最簡單的方法就是下載一個LiveCD，本文使用的就是一個安全Linux發行版BackTrack，可以去www.remote-exploit.org下載。創建LiveCD的步驟就不敘述了。這個發行版包含了許多滲透測試工具，下面就舉幾個例子：

使用db_autopwn進行滲透測試

db_autopwn是一個自動滲透測試工具，它可以測試網絡中的Windows、Linux和Unix計算機漏洞，實際上它是Metaspoit Framework軟件的一部分。

使用db_autopwn前首先要掃描網絡中的計算機，掃描就可以使用大名鼎鼎的Nmap了，使用掃描獲得的信息，db_autopwn會使用Metaspoit攻擊庫特征匹配已知的漏洞，并自動使用對應的攻擊程序發起攻擊，如果成功就會顯示“pwn”，這個時候就獲得一個系統shell了。

db_autopwn這個工具好處多多，在黑客界，它是廣為使用的工具了，而且它是免費的，發現了漏洞后，你就可以對癥下藥，及時打好補丁，然后再進行測試。但在使用時也要注意，一是如果服務沒有運行在默認的端口上，那它是不能發現漏洞的，二是可能會引起意外，如將服務器整崩潰。

下面來看一下具體的執行步驟：

# cd /pentest/exploits/framework3  （進入Metasploit Framework文件夾）
# ./msfconsole （啟動Metasploit）
# load db_sqlite3
#db_create Nmapresults  （創建數據庫存儲掃描結果）
# db_Nmap [target] （掃描目標主機，使用真實的目標主機ip地址替換這里的[target]）
# db_autopwn -t -p -e （嘗試攻擊默認端口上的服務）
# sessions –l （查看有漏洞的計算機）
# sessions –i 1 （控制有漏洞的計算機，這里的1表示只控制一臺）

然后就會返回一個命令行界面，如：
[*] Starting interaction with 1...
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\WINDOWS\system32>

使用Nmap掃描網絡

db_autopwn通常是那些沒什么技術的人使用，我們一般稱其為“腳本小子”，而真正的高手在嘗試了一種方法外，還會嘗試其它方法。

攻擊者常常是先掃描目標網絡，看哪些計算機連接到網絡上的，打開了什么端口，通常他們使用的工具就是Nmap，實際上前面講述db_autopwn時也使用到過，Nmap本身是個命令行工具，但在BackTrack3中已經集成了一個圖形化Nmap工具，即Zenmap。

在BackTrack3任務欄中的輸入框中輸入zenamp啟動Zenamp，然后在目標地址處輸入目標系統的IP地址或IP子網范圍，如192.168.1.*，然后再選擇一個預置掃描選項，保留默認的強度掃描也可，最后點擊掃描按鈕開始掃描，過幾分鐘就有結果了。

在界面的左側列表中顯示的是接入到網絡中的主機，并以不同圖標表示不同操作系統類型，右側列表中顯示了所選主機開放的端口及對應的服務，如果你看到3389端口開放，那多半是一臺Windows操作系統，開放了終端服務，針對這些開放的端口都有成套的攻擊程序。

使用Wireshark嗅探網絡

Nmap可以給你掃描出一個清晰的主機列表和開放的端口，但它不能提供在網絡上傳輸的數據包內容和敏感信息，這個時候就需要請出同樣是大名鼎鼎的Wireshark了，以前它的名字是Ethereal，它是一個開源的網絡協議分析器，說的通俗點就是網絡嗅探器。

在使用Wireshark開始嗅探之前，先要選好測試機位于網絡的位置，因為交換機只會將數據發送到目標主機連接的端口上，如果位置沒有找好，那可能嗅探半天也沒什么收獲。因此開始之前，先熟悉并分析一下你的網絡情況和硬件配置情況，注意有的Hub的工作機制也和交換機一樣了，所以不要認為隨便接入一臺Hub連上就可以開始嗅探了。

為了使測試變得順利可行，你最好在網絡部署一臺具有監視端口的交換機，因為監視端口會捕獲到所有通過交換機的數據包。黑客都喜歡使用Wireshark，因為它可以嗅探到用戶名和明文密碼，很多人都喜歡將密碼設置為和用戶名一致，或者在登陸多個系統時使用同一個用戶名，這樣就給了黑客以可乘之機。Wireshark可以嗅探大部分網絡應用，包括MSN通訊內容。

下面是我捕獲到的一個pop通訊內容，其中用戶名和密碼都是明文，呵呵，知道下一步該怎么辦了吧。

圖1

使用Hydra檢查密碼安全

黑客有許多手段獲取到電子郵件用戶名，比如搜索，從你企業的網站上獲得，或者直接打電話詢問你，時代發展到今天，已經很少有人直接使用用戶名作為密碼了，但就是有那么一些人還在這么干。

Hydra就是一款用于檢查密碼安全性的工具。

在BackTrack 3中的具體操作步驟如下：

（1）在BackTrack 3的啟動命令輸入框中輸入xhydra啟動圖形界面的Hydra。
（2）然后從協議列表中選擇一個協議，它支持很多種協議，如pop3、telnet、ftp、VNC、smtp、cisco auth等。
（3）選擇一個目標主機，或者輸入IP地址。
（4）切換到密碼標簽頁，在用戶名輸入框處輸入一個已知的用戶名，如果不知道，可以事先定義好的用戶名字典文件進行猜測，不過我不建議你這么做，除非你的時間多的是。然后在密碼輸入框中輸入你猜測的密碼，一般用于弱密碼監測，通常使用密碼字典進行檢查，那就在密碼列表輸入框中指定密碼字典文件的位置。
（5）切換到調整標簽頁，選擇登陸嘗試次數，注意這里通常不要設置超過5了，因為很多系統已經設置為超過5次登陸失敗就鎖定用戶。
（6）切換到開始標簽頁，點擊開始啟動攻擊。如果攻擊成功，會顯示一條成功的消息，密碼當然也就包括在消息內了。

使用Offline Attacks發現弱密碼

用戶登錄服務器輸入密碼后，密碼被傳遞給一個散列函數，散列函數將其轉換成一個特殊的字符串（這個轉換過程是不可逆的），與存儲密碼散列字符串的文件中對應的字符串進行對比，發現完全匹配則允許登陸，不匹配在返回錯誤提示。

從這個過程可以看出，要想暴力破解一個強密碼還是很困難的，但弱密碼就不一樣了。黑客在得手存儲密碼散列字符串的文件后，開始著手進行離線破解，即進行弱密碼檢測，離線破解比在線破解的速度就要快出許多，而且服務器還不知道有人已經正在視圖破解它的登錄密碼，離線破解工具有很多，本文以常用的John the Ripper為例，它也包含在BackTrack 3中了，不過它還沒有圖形界面，只是一個命令行工具，但可別小瞧它哦。

下面來看一個例子：

（1）將操作系統的密碼文件（如passwd，shadow）拷貝到/usr/local/john-1.7.2/文件夾下。
（2）進入john-1.7.2目錄，輸入：
unshadow /etc/passwd /etc/shadow > Password.txt
（3）然后
john --show Password.txt
這里使用了--show參數，目的是直接顯示出破解的密碼，如果不加參數只有打開存儲密碼的文件john.pot查看了。

使用aircrack-ng檢查無線安全

最近幾年無線網絡的發展趨勢非常驚人，許多小型企業靠一臺無線路由器加幾塊無線網卡就實現了整個辦公環境的無線網絡改造，無線網絡的成本也越來越低，相信未來幾年無線網絡會占據企業網絡的半壁江山，但無線網絡的安全卻沒有引起大家足夠的重視，目前來看主要有兩大威脅：

（1）無線訪問點未設置訪問密碼，只要在無線覆蓋區域內的任何人都可以直接接入該無線網絡。
（2）黑客可以模仿企業無線訪問點制造一個假的無線訪問點（姑且稱其為流氓訪問點），誘使毫無經驗的用戶連接到該訪問點，進行騙取訪問密碼。

還有一種可能是黑客架設的流氓訪問點不設置訪問密碼，有的人還以為撿了個便宜，可以免費上網，但殊不知，你上網的同時也被監聽了，所有通過該流氓訪問點的信息都有可能被黑客截取。

無線網絡的安全保護現在看起來似乎就只有一個訪問密碼，那做好這個訪問密碼的保護工作就顯得至關重要了，目前市面上的許多無線路由器都支持多種加密方式，如WPA，WPA2和WEP，WPA是非常安全的，WEP并不安全，但很多人卻就是喜歡使用WEP，現在只要在搜索引擎中簡單搜索一下就可以找到大量的破解WEP的方法。本文以BackTrack 3中的無線網絡安全檢查工具包aircrack-ng為例進行解說。

首先使用aircrack-ng工具包中的airodump-ng掃描無線訪問點，開始之前要將無線網卡置為監視模式：
#airmon-ng stop ath0 
#airmon-ng start wifi0
#airodump-ng ath0

Airodump-ng會顯示它掃描到的無線訪問點，即使在配置無線路由器時禁用了廣播，它也能夠掃到。掃描結果包括了BSSID（無線路由器的MAC地址）、CH（無線信道）、ESSID（網絡名，如果為空，表示設備禁用了廣播功能）、STATION（連接設備的MAC地址）。

如果你的無線網絡很大，部署了多個無線訪問點，那你應該將測試電腦多移動幾個位置試試。下面來看看如何破解WPA密碼：
#airodump-ng -c 2 --bssid 00:14:6C:61:71:8A -w wpacapture ath0
這里的-C 2指的是信道2，--bssid 00:14:6C:61:71:8A指的是無線訪問點的MAC地址，使用它來確定具體破解哪臺無線路由器，-w指定捕獲wpa握手數據包，捕獲到數據包后就要使用字典來進行暴力破解了。

#aircrack-ng -w wordlist.txt -b 00:14:6C:61:71:8A wpacapture*.cap
如果成功就是顯示一條破解成功的消息，并顯示出密碼。如果你發現了你的網絡密碼，那就該重新設置一個新的訪問密碼了。

小結

本文通過借助第三方開源軟件實現了部分安全審計工作，但這僅僅是安全審計的小部分內容，不過如果你是一名負責網絡安全的技術人員，那本文或許可以給你一些啟發。

【51CTO.COM 獨家特稿，轉載請注明出處及作者！】

【編輯推薦】

1. Adobe Reader練劍半月 0day夢魘終于完結 
2. 白帽黑客友情提示：CCTV華軍軟件均含跨站漏洞
3. 安全專家詳談：對付惡意軟件的策略及方法
4. MSN中國官網昨日被掛馬 2009或成駭客盛年
5. 安全公司稱俄羅斯已成為垃圾郵件超級大國
6. 諾頓再次誤升級 廠商可無視用戶許可?