漏洞掃描進(jìn)校園

校園網(wǎng)主干為 10G，百兆到桌面，有信息點(diǎn)近6.7萬個(gè)，平均同時(shí)在線計(jì)算機(jī)1.5萬臺(tái)，高峰時(shí)超過2萬臺(tái)。隨著系統(tǒng)和應(yīng)用軟件的漏洞不斷被發(fā)現(xiàn)、利用，僵尸網(wǎng)絡(luò)、網(wǎng)頁掛馬等新型的網(wǎng)絡(luò)攻擊頻發(fā)，在綜合考慮漏洞檢測能力、掃描的準(zhǔn)確性、底層技術(shù)、生成的報(bào)告的特性、對(duì)漏洞的分析和建議、性能、易用性、風(fēng)險(xiǎn)管理能力、安全性、服務(wù)、價(jià)格等因素后，我們在校園網(wǎng)上部署了一套企業(yè)級(jí)的主動(dòng)式的、基于網(wǎng)絡(luò)的漏洞掃描系統(tǒng)，如圖2：

[[20677]]

圖2 漏洞掃描系統(tǒng)

該漏洞掃描系統(tǒng)能夠檢測近2900種漏洞，最大并發(fā)掃描任務(wù)數(shù)可達(dá)10個(gè)，可以并發(fā)掃描90臺(tái)主機(jī)，每分鐘可以完成對(duì)10臺(tái)主機(jī)的掃描。我們每月1日對(duì)北京大學(xué)的B類網(wǎng)段162.105.0.0/16進(jìn)行周期性的漏洞掃描。掃描所用時(shí)間與漏洞掃描的任務(wù)配置有極大的相關(guān)性，插件使用越多，掃描深度越深，主機(jī)存活測試越詳細(xì)，掃描時(shí)間越長。此外端口掃描策略、方式、速度，是否探測弱口令，口令字典的大小也對(duì)掃描時(shí)間有極大的影響。

對(duì)于北京大學(xué)這樣的大型校園網(wǎng)，進(jìn)行一次B類網(wǎng)段掃描，根據(jù)任務(wù)參數(shù)配置的不同，最少需要4小時(shí)，最多需要7天才能完成。經(jīng)過多次測試，我們總結(jié)出一個(gè)兼顧掃描精確度和掃描時(shí)間的較優(yōu)配置：

最大并發(fā)掃描任務(wù)數(shù)設(shè)為8個(gè)，并發(fā)掃描主機(jī)數(shù)限制為70臺(tái)，掃描深度取中間值，主機(jī)存活測試采用ICMP PING和檢測21,22,23,25,80,443,445,139,3389,6000 這些TCP端口來判斷，端口掃描用普通速度，僅對(duì)約2200常用服務(wù)的端口用普通的連接方式來判斷是否開啟，然后再調(diào)用相應(yīng)的插件去檢測是否存在漏洞。采用上述參數(shù)配置掃描任務(wù)，完成一次B類網(wǎng)段的掃描時(shí)間基本在7～9小時(shí)，掃描結(jié)果的精確度也較高，對(duì)整體掌握網(wǎng)絡(luò)的安全狀況可以接受。

漏洞掃描發(fā)現(xiàn)的問題

通過多次對(duì)北京大學(xué)的B類網(wǎng)段162.105.0.0/16進(jìn)行全網(wǎng)掃描，可以總結(jié)下面幾條規(guī)律：

1. 每次能夠檢測到的存活主機(jī)數(shù)量在9000～13000臺(tái)左右，占該地址段IP數(shù)量的13.7％～19.8％。

2. 能夠準(zhǔn)確判定的操作系統(tǒng)類型占總數(shù)的18.3％～22.4％，其余的因?yàn)榉阑饓?、安全加固等原因不能判定其操作系統(tǒng)類型及版本。其中Windows平臺(tái)占12.2％～13.6％，Linux平臺(tái)占4.9％～5.3％。

3. 高危的主機(jī)占6.1％～7.4％，如果是對(duì)提供公共服務(wù)的服務(wù)器網(wǎng)段進(jìn)行掃描，非常危險(xiǎn)的主機(jī)一般就占到32.5％～34.6％，這是因?yàn)榉?wù)器網(wǎng)段上各種服務(wù)眾多，管理人員不會(huì)或沒有及時(shí)升級(jí)、打補(bǔ)丁。

4. 弱口令的問題比較嚴(yán)重。Windows系列的一般為Administrator沒有設(shè)置口令或是口令非常簡單，極易破解。應(yīng)用服務(wù)中MYSQL的問題最為嚴(yán)重，有很多root口令為空，攻擊者不需要任何技術(shù)就能直接修改數(shù)據(jù)。

5. Web應(yīng)用存在的漏洞一般為SQL 注入和XSS跨站攻擊，某些網(wǎng)站的注入點(diǎn)之多，讓人觸目驚心。

6. 系統(tǒng)級(jí)的漏洞掃描和Web應(yīng)用漏洞掃描最好采用各自專用的系統(tǒng)。目前雖然已經(jīng)有一些綜合的漏洞掃描系統(tǒng)，但是在測試過程中發(fā)現(xiàn)其側(cè)重點(diǎn)還是在傳統(tǒng)的系統(tǒng)級(jí)的漏洞掃描系統(tǒng)或Web應(yīng)用漏洞掃描系統(tǒng)上增加另一種功能，不過新增的功能由于技術(shù)儲(chǔ)備和研發(fā)能力的欠缺，檢測效果并不理想。

值得注意的是，漏洞掃描是進(jìn)行安全評(píng)估的必要手段，尤其在對(duì)大范圍IP進(jìn)行漏洞檢查的時(shí)候，進(jìn)行掃描評(píng)估能對(duì)被評(píng)估目標(biāo)進(jìn)行覆蓋面廣泛的安全漏洞查找，能較真實(shí)地反映主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備所存在的網(wǎng)絡(luò)安全問題和面臨的網(wǎng)絡(luò)安全威脅。

對(duì)全面掌握校園網(wǎng)服務(wù)器、網(wǎng)絡(luò)設(shè)備、聯(lián)網(wǎng)計(jì)算機(jī)的安全狀況非常必要，可根據(jù)系統(tǒng)提供的掃描報(bào)告，在入侵事件發(fā)生之前對(duì)相關(guān)信息資產(chǎn)進(jìn)行修補(bǔ)。我們在北京大學(xué)校園網(wǎng)上部署了漏洞掃描系統(tǒng)后，已經(jīng)對(duì)整個(gè)校園網(wǎng)進(jìn)行了多次漏洞掃描、安全評(píng)估，累計(jì)掃描計(jì)算機(jī)超過10萬次，發(fā)出整改建議824條，逐步建立起北京大學(xué)自己的安全監(jiān)控、安全服務(wù)體系，從底層、從根基上增強(qiáng)校園網(wǎng)的總體安全性。

校園網(wǎng)掃描漏洞的內(nèi)容就向大家介紹完了，希望打擊已經(jīng)理解。

【編輯推薦】

1. 全面掃描校園網(wǎng)漏洞（1）
2. 全面掃描校園網(wǎng)漏洞（2）
3. 全面掃描校園網(wǎng)漏洞（3）
4. 漏洞掃描工具選擇技巧大揭秘
5. 淺析Unix主機(jī)系統(tǒng)安全漏洞存在的必然性
6. 從堵住系統(tǒng)漏洞開始 保護(hù)Linux系統(tǒng)安全
7. 從堵住系統(tǒng)漏洞開始 保護(hù)Linux系統(tǒng)安全 續(xù)