借助网络分析系统测试网络的安全性
1.1. 前言
一般情况下,大多数公司或企业,都部署有IDS入侵检测系统,同时通过IDS对网络的安全状况进行监控。当网络中出现攻击行为时,IDS会自动进行告警。虽然IDS目前在网络中应用非常广泛,但它存在两个非常大的不足。
IDS只能对网络中正在进行的攻击行为进行监控,对于潜伏在网络中的攻击行为,IDS无能为力。
IDS只能匹配规则库中存在的攻击行为,对于规则库中不存在的新型攻击、变种攻击,IDS不能对其进行识别和告警。
由于网络中的攻击行为复杂多变,且IDS存在不足,为全面了解网络的安全状况,我们必须到另一种更加合理的解决方案。这里,我们提出一种通过网络分析系统对网络进行安全性测试的思路,仅供大家探讨。
PS:1、本文仅讨论使用网络分析系统对网络进行的安全测试。2、文中使用的网络分析系统是“科来网络分析系统2019”。
1.2. 安装部署及抓包
1. 安装部署
测试之前,我们需要先进行正确的安装部署。
⏹将科来网络分析系统安装到分析用的机器上。
⏹将安装科来的机器连接到交换机的镜像端口上。一般情况下对全网进
行测试,则将分析用的机器连接到核心交换机的镜像端口;如果只需要对某个部门进行测试,则将分析用的机器连接到该部门交换机镜像端口。
⏹在相应交换机上,配置好端口镜像或流镜像。配置好后,可登录交换
机,使用show int …或dis int …之类的命令,查看端口的流量情况,如果端口流量较大,说明配置成功,反之则可能配置有问题。
2. 捕获数据包
正确部署后,即开始捕获网络中的通讯内容,具体步骤如下:
⏹启动科来网络分析系统2019。
⏹选择正确的网卡。如果机器上有多个网卡,请确保选择的是连接交换
机镜像端口的网卡。
⏹选择恰当的分析方案并对其进行编辑,根据实际情况调整数据包缓存
的大小,建议设置不超过300M。由于我们这儿做的是安全测试,所以选择“安全分析”方案。
⏹网络档案使用默认即可,其它不进行设置,选择好后开始页面如下图。
一切就绪后,点击开始页右下角的开始捕获。
注意:系统支持的分析方式有实时分析和回放分析。如果是对网络进行实时抓包分析,选择“实时分析”;如果是对已经保存好的数据包进行分析,选择“回放分析”。(系统默认情况下选中的是实时分析。)
(图1 科来网络分析系统开始页)
1.3. 详细分析
进行安全分析时,建议抓取数据的时间稍长,最好不要低于10分钟,这样可以得出的测试结果将会更有
说服力。测试后的分析主要从攻击行为和安全隐患两个方面进行。
1. 攻击行为分析
从科来网络分析系统2019的多个与安全相关的视图,查看网络中是否存在攻击行为。
⏹ARP攻击
如图2所示,如果网络中存在ARP攻击,“疑似ARP攻击分析“视图会自动分析出ARP攻击的源地址,同时下面有详细的物理会话信息,双击物理会话的下面的条目,系统会继续分析具体的攻击数据包。同时,ARP 攻击分析,也可以直接在诊断视图中查看。
(图2 疑似ARP攻击分析)
⏹蠕虫病毒
当网络中存在蠕虫病毒泛滥的情况时,系统会自动对其进行分析,并准确定位已经被感染蠕虫病毒的主机。图3所示的疑似蠕虫病毒分析视图,会自动显示出感染的主机,并将感染主机的详细信息,如流量、数据包、发送数据包、接收数据包、IP会话、TCP会话、原始数据包等进行显示。
(图3 蠕虫病毒分析)
⏹DOS攻击
针对网络中的DOS攻击分析,系统可以检测出正在进行的主动DOS攻击行为,以及正在遭受DOS攻击的情况,如图4所示。疑似DOS攻击分析视图列出了可能正在进行DOS攻击的主机,疑似受到DOS攻击分析视图列出了可能正在遭受DOS攻击的主机,两个视图对这些主机的流量、发包、收包、会话、原始数据包等详细信息进行详细统计。
(图4 DOS攻击分析)
⏹TCP端口扫描
TCP端口扫描一般情况是后续攻击的前奏,系统的TCP端口扫描视图,可以对网络中的TCP端口扫描行为,进行准确检测和定位,如图5所示。
(图5 TCP端口扫描)
2. 安全隐患分析
此处的安全隐患,包括设备管理安全隐患、安全隐患、FTP 文件传输安全隐患。
⏹设备管理安全隐患
通常情况下,管理人员对已经投入使用的网络设备(交换机、路由器等)、安全设备(防火墙、UTM、IDS/IPS等)的管理,一般使用的方式有Web(HTTP,HTTPS)和命令行(Telnet,SSH)。这其中,HTTPS和SSH是加密协议,通过这两种方式的管理相对安全,但HTTP和Telnet则是明文传输协议,如果使用这两种方式进行设备管理,则存在巨大的安全隐患。
tcp ip协议的安全隐患
备注:大部分的设备都还支持一种Console调试,使用这种方式时,管理人员必须到达设备的物理位置,使用Console线连接进行操作,一般仅在初步调试设备时使用。正常投入网络使用的设备,很少采用这种方式。
HTTP明文传输隐患查:节点浏览器中选择HTTP协议,右边选择TCP 会话视图,查看与网络中设备进行通讯的TCP会话信息。如网络中设备地址是192.168.8.1,则查看与192.168.8.1通讯的会话,并查看下面的数据流信息,如图6,到用户名和密码均是admin的明文传输。
(图6 HTTP明文传输)
Telnet明文传输隐患查:节点浏览器中选择Telnet协议,右边选择TCP会话视图,查看与网络中设备进行通讯的TCP会话信息。与HTTP 明文传输方法一致,即可到网络中使用Telnet的明文传输。
3. 安全隐患
现在,使用Outlook和Foxmail进行收发的用户较多,默认情况下,这两种协议都是明文传输,存在安全隐患。
查明文邮件密码:节点浏览器中选择SMTP和POP3协议(一次只能选择一个),右边选择TCP会话视图,查看下面的会话信息以及数据流,可以查明文传输的用户名和密码,如图7。
(图7 明文密码)
查明文邮件内容:节点浏览器中选择SMTP和POP3协议(一次只能选择一个),右边选择日志->Email信息,查看邮件的通讯情况,可以查明文传输的邮件通讯情况,如图8。
(图8 明文传输)
4. FTP文件传输安全隐患
默认情况下,通过CMD窗口、浏览器窗口、部分FTP客户端等方式的FTP访问,都是明文传输,存在巨大的安全隐患。
查FTP明文密码:节点浏览器中选择FTP协议,右边选择TCP会话视图,查看下面的FTP会话信息以及数据流,可以查明文传输的FTP用户名和密码,如图9。
(图9 FTP明文密码)
查FTP明文内容:节点浏览器中选择根节点,右边选择日志->FTP 传输,可以查看到网络中使用明文进行的FTP文件传输情况,如图10。
(图10 FTP明文传输)
1.4. 分析结论
通过上述的抓包和测试分析,可以对网络的安全情况进行全面体验,让管理人员知道网络的当前安全状况,以及网络中是否存在潜在的安全隐患,从而有效确保网络的安全。所以,使用网络分析系统,从宏观上对网络的安全性进行测试,是网络安全整体防御体系中必不可少的一部分,是当前网络安全防护状态的必要补充。
希望以上资料对你有所帮助,附励志名言3条:
1、上帝说:你要什么便取什么,但是要付出相当的代价。
2、目标的坚定是性格中最必要的力量源泉之一,也是成功的利器之一。没有它,天才会在矛盾无定的迷径中徒劳无功。
3、当你无法从一楼蹦到三楼时,不要忘记走楼梯。要记住伟大的成功往往不是一蹴而就的,必须学会分解你的目标,逐步实施。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。