采取四阶段方法进行网络风险评估

在最近的一篇文章中，我讨论了对组织的安全实践进行定期缺口分析的重要性。虽然组织定期进行安全策略和程序审查非常重要，但在这个过程中进行网络风险评估同样不容忽视。

要确定你们组织系统上可被互联网普通公众利用的潜在网络安全漏洞，进行外部网络风险评估为第一阶段。内部评估使用类似的方法，但一般从访问内部网络的用户角度来进行。

组合使用各种免费软件和商业工具以及技巧来评估网络，可以清楚了解公司面临的危险。最起码，一个有效的网络评估测试方法应能够解决以下问题：

• 配置不当防火墙的外部网络拓扑结构
• 路由器过滤规则和配置
• 不可靠的验证机制（可能造成基于字典的验证攻击）
• 电子邮件和DNS服务器配置不正确或易受攻击
• 对网络层Web服务器潜在利用
• 配置不当的数据库服务器
• SNMP检查
• 易受攻击的FTP服务器

重点强调向公共互联网提供内容或服务的系统。根据我的经验，通过常用传送机制提供信息的服务正成为潜在入侵者和自动恶意软件的攻击对象（由于可访问性和暴露程度的增强，蠕虫攻击也包括在内），因而面临更大的安全风险。这种类别的网络服务包括向远程用户提供内容的HTTP和HTTPS Web服务器。

网络风险评估应包括四个阶段：发现、设备评测、扫描和确认。下面我们详细了解每一个阶段：

发现

发现阶段包括为目标网络段建立一个指纹，它包括所有活动设备的地址和它们相关的TCP、UDP和其它可由内部网络访问的网络服务。

在这个阶段，应同时使用主动和被动嗅探器收集网络流量进行解析和分析。通过这种方法获得的信息包括活动主机鉴定信息、验证证书（如用户名和密码组合）、潜在计算机蠕虫和/或木马攻击迹象、以及其它脆弱性。

下面列出一些进行网络发现的最流行工具：

• Nmap（http://www.nmap.org/）：这个网络服务端口扫描器应用各种技术逃避网络入侵检测系统（IDS）传感器。
• Ethereal（http://www.ethereal.com/）：这个被动网络嗅探器能够截获和解释大多数链路层和网络与应用协议。当与Ettercap（http://ettercap.sourceforge.net/）和ngrep（http://ngrep.sourceforge.net/）组合使用时，你可以从截获的网络流通量中提取有用信息，如Web应用程序事务、各种协议的用户验证、电子邮件消息和其它数据。
• Firewalk（http://www.packetfactory.net/projects/firewalk/）：这个工具应用一些方法精确确定远程进入网络路由设备的网络和协议过滤规则。
• Hping（http://www.hping.org/）：这个工具提供制作独特数据包的方法，它使用许多协议（如ICMP、TCP和UDP）来确定主机可用性、路由信息和其它几个标准。