網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機整體�,實現(xiàn)資源的全面共享和有機協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息���。資源包括高性能計算機��、存儲資源����、數(shù)據(jù)資源�、信息資源���、知識資源�、專家資源�����、大型數(shù)據(jù)庫�����、網(wǎng)絡(luò)���、傳感器等���。 當前的互聯(lián)網(wǎng)只限于信息共享�����,網(wǎng)絡(luò)則被認為是互聯(lián)網(wǎng)發(fā)展的第三階段。
使用SNMP 簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)允許你從網(wǎng)絡(luò)主機上查詢相關(guān)的數(shù)據(jù)���。例如,你可以收集TCP/IP方面的信息��,還有在路由器���、工作站和其它網(wǎng)絡(luò)組件上運行的服務(wù)情況�����。SNMP由網(wǎng)絡(luò)管理系統(tǒng)(NMS)和代理Agent組成�����。NMS通常安裝在一臺工作站上,再將代理安裝在任何需要接受管理和配置的主機上��。
當前存在三個版本的SNMP。SNMPv1最普通但也最不安全����。原因有兩個����,首先,它使用弱的校驗機制�。只是靠community name作驗證�����,而community name只是很短的字符串���。其次,SNMP用明文發(fā)送community name�����,易于被sniffer捕獲��。而且���,許多網(wǎng)絡(luò)管理員使用缺省的“public”作community name��。任何黑客都會首先嘗試用“public”來訪問SNMP。
SetRequest命令
你還可以利用SNMP重新配置接口或服務(wù)��。這包括設(shè)置路由跳計數(shù)�����,停止和啟動服務(wù)�,停止和啟用接口等等。如果你使用SNMPv1而且黑客又得到community name的話�����,他就可以偵查和控制你的系統(tǒng)�。SNMPv3包含了更復(fù)雜的加密和驗證的機制。然而����,許多網(wǎng)絡(luò)管理員由于使用缺省的密碼和設(shè)置�,給黑客以可乘之機。當然�����,經(jīng)過加密的SNMP密碼仍然可以被捕獲和暴力攻擊。
SNMP軟件
許多廠商出售SNMP管理軟件���,常見的SNMP軟件有:
·HP的OpenView
·Windows NT Resource Kit中的SNMPUTIL
·各種各樣的網(wǎng)絡(luò)附加工具包���,如Ping ProPack等
雖然象HP的OpenView程序是工業(yè)的標準,你還可以使用功能稍差的程序象Ping Pro來獲取網(wǎng)絡(luò)的情況���。
TCP/IP 服務(wù)
大多數(shù)的SMTP和POP3服務(wù)仍然以明文方式發(fā)送密碼�����,這增大了Man-in-the-middle攻擊成功的可能性。而且�,LDAP、FTP�、SMTP,尤其是HTTP服務(wù)非常容易遭受緩沖區(qū)溢出的攻擊�����。
附加的TCP/IP服務(wù)
LDAP服務(wù)容易引起問題��,不僅因為該服務(wù)所泄漏的信息而且經(jīng)常遭受緩沖區(qū)溢出的攻擊���。E-mail程序如Microsoft Outlook��,Eudora和Netscape Communicator也包含LDAP客戶端的軟件。而且�,象Ping Pro和NetScan等管理工具運行你進行更復(fù)雜的查詢。TFTP的問題是沒有驗證機制��。黑客喜歡對其進行拒絕服務(wù)攻擊�,對系統(tǒng)提出了嚴峻的考驗。
像Finger和TFTP等簡單TCP/IP服務(wù)所泄漏的信息容易被黑客利用進行社會工程和其它類型的攻擊�。LDAP,F(xiàn)TP和SMTP服務(wù)經(jīng)常出現(xiàn)安全問題有很多原因����。首先這些服務(wù)容易泄漏太多自己配置的信息。
Finger
Finger服務(wù)使你考驗獲取遠程服務(wù)器上的用戶信息���。使用Finger���,你可以得到:
·用戶名
·服務(wù)器名
·E-mail賬號
·用戶當前是否在線
·用戶登錄時間
·用戶的crond任務(wù)
企業(yè)級的審計工具
進行到這里你已經(jīng)接觸了一些審計人員使用的基本的工具�。這些工具便于安裝和使用��。它們可以為你提供很多關(guān)于網(wǎng)絡(luò)的信息�����,還可以幫助你對特定系統(tǒng)進行風(fēng)險評估�。前面討論程序的缺點是它們只能單獨進行簡單的查詢而不能同時對多個系統(tǒng)和服務(wù)實施偵查�。一個好的審計人員需要綜合使用這些方法使審計的偵查工作能夠成功。企業(yè)級的審計程序用以其人之道還制其人之身的方式來對付黑客��,通過對網(wǎng)絡(luò)進行綜合的攻擊使你可以實時地檢測到網(wǎng)絡(luò)的漏洞��,并加以改進����。
絕大多數(shù)的網(wǎng)絡(luò)探測器都支持TCP/IP,而且許多還支持其它協(xié)議包括IPX/SPX��,NetBEUI和AppleTalk�����。你已經(jīng)對偵查數(shù)據(jù)庫有所了解�����,在這一部分�,你將更多地接觸如何配置和更新偵查數(shù)據(jù)庫��。你還將學(xué)習(xí)網(wǎng)絡(luò)掃描器的一些特性���。
通常���,網(wǎng)絡(luò)掃描器程序無法跨子網(wǎng)。當然你可以在每個子網(wǎng)中都安裝一個���。然而���,有些掃描器(如WebTrends Security Analyzer Enterprise Edition和ISS Internet Scanner Enterprise Edition)是可以跨子網(wǎng)的。
在你用掃描器掃描網(wǎng)絡(luò)之前���,你必須先配置它使其能夠識別網(wǎng)絡(luò)上的主機����。有時��,掃描器可以自動識別�,但其它時候你必須手動配置它��。每個程序都有它自身的配置方法����,但配置原則是相同的����。所有的商業(yè)掃描器都支持TCP/IP。許多還支持象IPX/SPX�,NetBEUI�����,AppleTalk�,DECnet和其它協(xié)議。你應(yīng)當根據(jù)你的網(wǎng)絡(luò)中應(yīng)用的協(xié)議情況來購買不同的版本�。
許多版本的掃描器只支持特定的操作系統(tǒng)�,因此你必須在購買前考慮到其使用的平臺。以前�,網(wǎng)絡(luò)掃描器、探測器和入侵監(jiān)測系統(tǒng)都是在UNIX系統(tǒng)下工作得更出色�����。但是隨著Windows NT更加成熟�,許多功能強大的產(chǎn)品也出現(xiàn)了。
網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中�����,正因如此��,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴峻的考驗―從硬件上����、軟件上���、所用標準上......����,各項技術(shù)都需要適時應(yīng)勢�����,對應(yīng)發(fā)展���,這正是網(wǎng)絡(luò)迅速走向進步的催化劑����。
