Cómo realizar un escaneo de vulnerabilidades de redEl escaneo de vulnerabilidades de red generalmente utiliza dos estrategias, la primera es una estrategia pasiva y la segunda es una estrategia activa. La llamada estrategia pasiva se basa en el host del sistema, verificando configuraciones inapropiadas, contraseñas vulnerables y otros objetos que violan las reglas de seguridad, mientras que la estrategia activa se basa en la red y simula el comportamiento de atacar el sistema ejecutando algún script; archivos., registra la respuesta del sistema para descubrir vulnerabilidades. El análisis mediante una estrategia pasiva se denomina análisis de seguridad del sistema, y el análisis mediante una estrategia activa se denomina análisis de seguridad de la red. El escaneo de vulnerabilidades de red tiene las siguientes cuatro tecnologías de detección: 1. Tecnología de detección basada en aplicaciones. Utiliza un enfoque pasivo y no destructivo para inspeccionar la configuración de los paquetes de aplicaciones para descubrir vulnerabilidades de seguridad. 2. Tecnología de detección basada en host. Utiliza un método pasivo y no destructivo para inspeccionar el sistema. Generalmente involucra el kernel del sistema, atributos de archivos, parches del sistema operativo, etc. Esta técnica también incluye el descifrado de contraseñas, eliminando algunas contraseñas simples. Por lo tanto, esta tecnología es muy precisa a la hora de localizar problemas del sistema y descubrir vulnerabilidades del sistema. La desventaja es que depende de la plataforma y es difícil de actualizar. Utiliza un método pasivo y no destructivo para verificar las propiedades del sistema y las propiedades de los archivos, como bases de datos, números de registro, etc. Verifique el número de cifrado del archivo mediante un algoritmo de resumen de mensajes. La implementación de esta tecnología opera en un circuito cerrado, procesando continuamente archivos, objetivos del sistema y atributos de objetivos del sistema, luego genera números de cheque y los compara con los números de cheque originales. Una vez que se detecta un cambio, los administradores reciben una notificación inmediata. 4. Tecnología de detección basada en red. Se necesita un enfoque proactivo y no destructivo para comprobar si es probable que un sistema falle debido a un ataque. Utiliza una serie de scripts para simular el comportamiento de un sistema bajo ataque y luego analiza los resultados. También comprueba las vulnerabilidades de red conocidas. La tecnología de detección de redes se utiliza a menudo para experimentos de penetración y auditorías de seguridad. Esta tecnología puede encontrar vulnerabilidades en una variedad de plataformas y es fácil de instalar. Sin embargo, puede afectar el rendimiento de la red. Después de que el escaneo de vulnerabilidades web de la red obtiene información relevante sobre el puerto TCP/IP del host de destino y su correspondiente servicio de acceso a la red, la compara con la biblioteca de vulnerabilidades proporcionada por el sistema de escaneo de vulnerabilidades de la red. Si se cumplen las condiciones de coincidencia, se considera que la vulnerabilidad. existir. Además, escanear el sistema host de destino en busca de vulnerabilidades de seguridad ofensivas mediante la simulación de métodos de ataque de piratas informáticos (como probar contraseñas vulnerables) también es uno de los métodos de implementación del módulo de escaneo. Si el ataque simulado tiene éxito, se considera que existe una vulnerabilidad. En términos del principio de coincidencia, el escáner de vulnerabilidades de red adopta una tecnología de coincidencia basada en reglas, que forma un conjunto de estándares basados en el análisis de las vulnerabilidades de seguridad del sistema de red por parte de expertos en seguridad, casos de ataques de piratas informáticos y la experiencia real de los administradores del sistema en el sistema de red. configuración de seguridad. Biblioteca de vulnerabilidades del sistema, y luego forma las reglas de coincidencia correspondientes sobre esta base, y el programa analiza y escanea automáticamente las vulnerabilidades del sistema. El llamado basado en reglas se refiere a la coincidencia basada en un conjunto de reglas definidas de antemano en base a la experiencia de los expertos. Por ejemplo, al escanear el puerto TCP 80, si se encuentra /cgi-bin/phf/cgi-bin/Count.cgi, según la experiencia de los expertos y el intercambio y las especificaciones del programa CGI, se puede inferir que hay dos CGI en las lagunas del servicio WWW. También debe tenerse en cuenta que los sistemas de coincidencia basados en reglas también tienen sus limitaciones, porque las reglas de inferencia de dichos sistemas generalmente se organizan y planifican en función de vulnerabilidades de seguridad conocidas, y muchas amenazas peligrosas a los sistemas de red provienen de vulnerabilidades de seguridad desconocidas. similar al software antivirus para PC. Este escáner de vulnerabilidad de red se basa en una estructura de navegador/servidor (B/S). Su principio de funcionamiento es: cuando el usuario emite un comando de escaneo a través de la plataforma de control, la plataforma de control emite una solicitud de escaneo correspondiente al módulo de escaneo. Después de recibir la solicitud, el módulo de escaneo inicia inmediatamente el módulo de subfunción correspondiente para escanear el host. . El módulo de escaneo analiza y determina la información devuelta por el host escaneado y devuelve los resultados del escaneo a la plataforma de control, que luego la plataforma de control presenta al usuario. Otra forma de estructurar un escáner es utilizar una estructura de complemento. Para vulnerabilidades específicas, se pueden escribir los scripts de prueba externos correspondientes.
Al llamar al complemento de detección de servicios, se detectan los servicios de diferentes puertos TCP/IP del host de destino y los resultados de la detección se guardan en la base de datos de información. Luego se llama al programa de complemento correspondiente para enviar los datos construidos. el host remoto y los resultados de la detección también se guardan en la base de información, para proporcionar la información necesaria para la ejecución de otros scripts, mejorando así la eficiencia de la detección. Por ejemplo, en un ataque contra el servicio FTP, primero puede verificar los resultados de retorno del complemento de detección de servicio. Solo después de confirmar que el servidor host de destino ha habilitado el servicio FTP se puede ejecutar el script de ataque correspondiente contra el servicio FTP. . Aprovechando esta estructura de complemento del escáner, cualquiera puede crear sus propios scripts de prueba de ataque sin saber mucho sobre los principios del escáner. El escáner también se puede utilizar como plataforma para ataques de piratería simulados. Los escáneres que adoptan esta estructura tienen una gran vitalidad, como el famoso Nessus, que adopta esta estructura. Este escáner de vulnerabilidad web de red se basa en una estructura cliente/servidor (C/S), en la que el cliente establece principalmente parámetros de escaneo del lado del servidor y recopila información de escaneo.