全面掃描校園網漏洞(4)
漏洞掃描進校園
校園網主干為 10G,百兆到桌面,有信息點近6.7萬個,平均同時在線計算機1.5萬臺,高峰時超過2萬臺。隨著系統和應用軟件的漏洞不斷被發現、利用,僵尸網絡、網頁掛馬等新型的網絡攻擊頻發,在綜合考慮漏洞檢測能力、掃描的準確性、底層技術、生成的報告的特性、對漏洞的分析和建議、性能、易用性、風險管理能力、安全性、服務、價格等因素后,我們在校園網上部署了一套企業級的主動式的、基于網絡的漏洞掃描系統,如圖2:
圖2 漏洞掃描系統
該漏洞掃描系統能夠檢測近2900種漏洞,最大并發掃描任務數可達10個,可以并發掃描90臺主機,每分鐘可以完成對10臺主機的掃描。我們每月1日對北京大學的B類網段162.105.0.0/16進行周期性的漏洞掃描。掃描所用時間與漏洞掃描的任務配置有極大的相關性,插件使用越多,掃描深度越深,主機存活測試越詳細,掃描時間越長。此外端口掃描策略、方式、速度,是否探測弱口令,口令字典的大小也對掃描時間有極大的影響。
對于北京大學這樣的大型校園網,進行一次B類網段掃描,根據任務參數配置的不同,最少需要4小時,最多需要7天才能完成。經過多次測試,我們總結出一個兼顧掃描精確度和掃描時間的較優配置:
最大并發掃描任務數設為8個,并發掃描主機數限制為70臺,掃描深度取中間值,主機存活測試采用ICMP PING和檢測21,22,23,25,80,443,445,139,3389,6000 這些TCP端口來判斷,端口掃描用普通速度,僅對約2200常用服務的端口用普通的連接方式來判斷是否開啟,然后再調用相應的插件去檢測是否存在漏洞。采用上述參數配置掃描任務,完成一次B類網段的掃描時間基本在7~9小時,掃描結果的精確度也較高,對整體掌握網絡的安全狀況可以接受。
漏洞掃描發現的問題
通過多次對北京大學的B類網段162.105.0.0/16進行全網掃描,可以總結下面幾條規律:
1. 每次能夠檢測到的存活主機數量在9000~13000臺左右,占該地址段IP數量的13.7%~19.8%。
2. 能夠準確判定的操作系統類型占總數的18.3%~22.4%,其余的因為防火墻、安全加固等原因不能判定其操作系統類型及版本。其中Windows平臺占12.2%~13.6%,Linux平臺占4.9%~5.3%。
3. 高危的主機占6.1%~7.4%,如果是對提供公共服務的服務器網段進行掃描,非常危險的主機一般就占到32.5%~34.6%,這是因為服務器網段上各種服務眾多,管理人員不會或沒有及時升級、打補丁。
4. 弱口令的問題比較嚴重。Windows系列的一般為Administrator沒有設置口令或是口令非常簡單,極易破解。應用服務中MYSQL的問題最為嚴重,有很多root口令為空,攻擊者不需要任何技術就能直接修改數據。
5. Web應用存在的漏洞一般為SQL 注入和XSS跨站攻擊,某些網站的注入點之多,讓人觸目驚心。
6. 系統級的漏洞掃描和Web應用漏洞掃描最好采用各自專用的系統。目前雖然已經有一些綜合的漏洞掃描系統,但是在測試過程中發現其側重點還是在傳統的系統級的漏洞掃描系統或Web應用漏洞掃描系統上增加另一種功能,不過新增的功能由于技術儲備和研發能力的欠缺,檢測效果并不理想。
值得注意的是,漏洞掃描是進行安全評估的必要手段,尤其在對大范圍IP進行漏洞檢查的時候,進行掃描評估能對被評估目標進行覆蓋面廣泛的安全漏洞查找,能較真實地反映主機系統、網絡設備所存在的網絡安全問題和面臨的網絡安全威脅。
對全面掌握校園網服務器、網絡設備、聯網計算機的安全狀況非常必要,可根據系統提供的掃描報告,在入侵事件發生之前對相關信息資產進行修補。我們在北京大學校園網上部署了漏洞掃描系統后,已經對整個校園網進行了多次漏洞掃描、安全評估,累計掃描計算機超過10萬次,發出整改建議824條,逐步建立起北京大學自己的安全監控、安全服務體系,從底層、從根基上增強校園網的總體安全性。
校園網掃描漏洞的內容就向大家介紹完了,希望打擊已經理解。
【編輯推薦】
- 全面掃描校園網漏洞(1)
- 全面掃描校園網漏洞(2)
- 全面掃描校園網漏洞(3)
- 漏洞掃描工具選擇技巧大揭秘
- 淺析Unix主機系統安全漏洞存在的必然性
- 從堵住系統漏洞開始 保護Linux系統安全
- 從堵住系統漏洞開始 保護Linux系統安全 續
