网络安全评估的边界测试
对于任何公司,关注网络安全评估,这是定期进行边界漏洞测试必不可少。一些攻击发起的内部,和许多攻击来自外部的公司。这意味着公司必须能够验证边界设备,确保系统安装补丁的时间,并保持更新。边界测试通常包括网络扫描、入侵检测(IDS)和入侵防御系统(IPS),防火墙测试,和蜜罐技术的部署和测试。网络扫描,渗透测试应该执行的第一个活动。毕竟,你应该试着从攻击者的角度检查网络。您的网络视图是从内到外,但攻击者的角度不同,执行边界扫描可以帮助您确定边界的装置操作系统和补丁级别,你是否能从外部网络访问设备,以及是否有在SSL和传输层安全脆弱性(TLS)证书。此外,网络扫描有助于确定是否访问设备有足够的保护措施,防止暴露后设备部署暴露。nmap是一个免费的开放源代码安全扫描G工具,它可以用来监控网络,这个工具支持各种交换机,可以找到开放的端口、服务和操作系统。
部署IDS和IPS是检测恶意软件活动的另一种方法。大多数公司在网络边界部署IDS或IPS,但对这些设备对攻击的影响仍存在争议:
插入攻击。这些攻击的形式是攻击者向终端系统发送数据包被拒绝,但IDS认为它们是有效的。当发生这种攻击时,攻击者将在IDS中插入数据,但其他系统将无法找到它。
避免攻击。这种方法允许攻击者允许IDS拒绝一个终端系统可以接受的包。
拒绝服务攻击。以这种攻击的形式,攻击者向IDS发送大量数据,使IDS完全丧失处理能力。这种淹没可能允许恶意流量悄悄地绕过防御。
虚惊一场。还记得那个谎报军事形势的小男孩吗这种攻击会故意发送大量的警报数据,这些误报会干扰分析,使防御装置无法识别真正的攻击。
confuse.ids必须检查所有格式的恶意软件签名。为了迷惑这个ID,攻击者可以编码,加密,或分割交通隐藏自己的身份。
为了同步,这样的方法,例如预连接和连接后同步,可以用来隐藏恶意流量。
防火墙是另一种常用的边界设备,可以用来控制入口和出口流。防火墙可以是有状态的或无状态的,可以用多种方式进行测试:
防火墙识别。开放端口可能有助于确定所使用的特定防火墙技术。
确定防火墙是有状态的还是无状态的,有一些简单的技术,比如ACK扫描,可以帮助确定防火墙的类型。
在防火墙上拦截广告,虽然这个方法不一定有效,但是一些老的防火墙可能会给广告添加一些版本信息。
最后,有蜜罐。这些设备可以用来捕获或囚禁的攻击,或可能了解他们的活动更加深入。蜜罐主要分为两大类:低交互和高交互蜜罐,可以通过观察他们的功能检测。一个好的低交互蜜罐是netcat,一网络工具,读取和写入通过网络连接传输数据。
执行NC - L - P 80,您可以打开TCP 80来监听端口,但如果进一步检测,它将不会返回到广告。高交互陷阱不仅将返回到一个开放的端口,而且还返回到当前的广告,这使得攻击者更难确保它是一个真正的系统或陷阱系统。
虽然我有了让你知道攻击者眼中的网络边界是什么的几种方法,我们必须注意,许多攻击者可以通过内部和外部循环边界设备和控制。如果攻击者可以使终端用户安装工具的内部网络,如点击一个链接或访问一个恶意网站,攻击者可以发送交通从内到外的通道,这比从外到内的方式更简单。