1、借助网络分析系统测试网络的安全性1.1. 前言一般情况下,大多数公司或企业,都部署有 IDS 入侵检测系统,同时通过 IDS 对网络的安全状况进行监控。当网络中出现攻击行为时,IDS 会自动进行告警。虽然 IDS 目前在网络中应用非常广泛,但它存在两个非常大的不足。IDS 只能对网络中正在进行的攻击行为进行监控,对于潜伏在网络中的攻击行为,IDS 无能为力。IDS 只能匹配规则库中存在的攻击行为,对于规则库中不存在的新型攻击、变种攻击,IDS 不能对其进行识别和告警。由于网络中的攻击行为复杂多变,且 IDS 存在不足,为全面了解网络的安全状况,我们必须找到另一种更加合理的解决方案。这里,我们提
2、出一种通过网络分析系统对网络进行安全性测试的思路,仅供大家探讨。PS:1 、本文仅讨论使用网络分析系统对网络进行的安全测试。2、文中使用的网络分析系统是“科来网络分析系统 2010”。1.2. 安装部署及抓包1. 安装部署测试之前,我们需要先进行正确的安装部署。 将科来网络分析系统安装到分析用的机器上。 将安装科来的机器连接到交换机的镜像端口上。一般情况下对全网进行测试,则将分析用的机器连接到核心交换机的镜像端口;如果只需要对某个部门进行测试,则将分析用的机器连接到该部门交换机镜像端口。 在相应交换机上,配置好端口镜像或流镜像。配置好后,可登录交换机,使用 show int 或 dis int
3、 之类的命令,查看端口的流量情况,如果端口流量较大,说明配置成功,反之则可能配置有问题。2. 捕获数据包正确部署后,即开始捕获网络中的通讯内容,具体步骤如下: 启动科来网络分析系统 2010。 选择正确的网卡。如果机器上有多个网卡,请确保选择的是连接交换机镜像端口的网卡。 选择恰当的分析方案并对其进行编辑,根据实际情况调整数据包缓存的大小,建议设置不超过300M。由于我们这儿做的是安全测试,所以选择“安全分析” 方案。 网络档案使用默认即可,其它不进行设置,选择好后开始页面如下图。一切就绪后,点击开始页右下角的开始捕获。注意:系统支持的分析方式有实时分析和回放分析。如果是对网络进行实时抓包分析
4、,选择“实时分析”;如果是对已经保存好的数据包进行分析,选择“ 回放分析”。 (系统默认情况下选中的是实时分析。 )(图 1 科来网络分析系统开始页)1.3. 详细分析进行安全分析时,建议抓取数据的时间稍长,最好不要低于 10 分钟,这样可以得出的测试结果将会更有说服力。测试后的分析主要从攻击行为和安全隐患两个方面进行。1. 攻击行为分析从科来网络分析系统 2010 的多个与安全相关的视图,查看网络中是否存在攻击行为。 ARP 攻击如图 2 所示,如果网络中存在 ARP 攻击, “疑似 ARP 攻击分析“ 视图会自动分析出 ARP 攻击的源地址,同时下面有详细的物理会话信息,双击物理会话的下面
5、的条目,系统会继续分析具体的攻击数据包。同时,ARP 攻击分析,也可以直接在诊断视图中查看。(图 2 疑似 ARP 攻击分析) 蠕虫病毒当网络中存在蠕虫病毒泛滥的情况时,系统会自动对其进行分析,并准确定位已经被感染蠕虫病毒的主机。图 3 所示的疑似蠕虫病毒分析视图,会自动显示出感染的主机,并将感染主机的详细信息,如流量、数据包、发送数据包、接收数据包、IP 会话、TCP 会话、原始数据包等进行显示。(图 3 蠕虫病毒分析) DOS 攻击针对网络中的 DOS 攻击分析,系统可以检测出正在进行的主动 DOS 攻击行为,以及正在遭受 DOS攻击的情况,如图 4 所示。疑似 DOS 攻击分析视图列出了
6、可能正在进行 DOS 攻击的主机,疑似受到DOS 攻击分析视图列出了可能正在遭受 DOS 攻击的主机,两个视图对这些主机的流量、发包、收包、会话、原始数据包等详细信息进行详细统计。(图 4 DOS 攻击分析) TCP 端口扫描TCP 端口扫描一般情况是后续攻击的前奏,系统的 TCP 端口扫描视图,可以对网络中的 TCP 端口扫描行为,进行准确检测 和定位,如图 5 所示。(图 5 TCP 端口扫描)2. 安全隐患分析此处的安全隐患,包括设备管理安全隐患、电子邮件安全隐患、FTP 文件传输安全隐患。 设备管理安全隐患通常情况下,管理人员对已经投入使用的网络设备(交换机、路由器等) 、安全设备(防
7、火墙、UTM、IDS/IPS 等)的管理,一般使用的方式有 Web(HTTP,HTTPS )和命令行(Telnet,SSH) 。这其中,HTTPS 和 SSH 是加密协议,通过这两种方式的管理相对安全,但 HTTP 和 Telnet 则是明文传输协议,如果使用这两种方式进行设备管理,则存在巨大的安全隐患。备注:大部分的设备都还支持一种 Console 调试,使用这种方式时,管理人员必须到达设备的物理位置,使用 Console 线连接进行操作,一般仅在初步调试设备时使用。正常投入网络使用的设备,很少采用这种方式。HTTP 明文传输隐患查找:节点浏览器中选择 HTTP 协议,右边选择 TCP 会话
8、视图,查看与网络中设备进行通讯的 TCP 会话信息。如网络中设备地址是 192.168.8.1,则查看与 192.168.8.1 通讯的会话,并查看下面的数据流信息,如图 6,找到用户名和密码均是 admin 的明文传输。(图 6 HTTP 明文传输)Telnet 明文传输隐患查找:节点浏览器中选择 Telnet 协议,右边选择 TCP 会话视图,查看与网络中设备进行通讯的 TCP 会话信息。与 HTTP 明文传输方法一致,即可找到网络中使用 Telnet 的明文传输。3. 电子邮件安全隐患现在,使用 Outlook 和 Foxmail 进行电子邮件收发的用户较多,默认情况下,这两种协议都是明
9、文传输,存在电子邮件安全隐患。查找明文邮件密码:节点浏览器中选择 SMTP 和 POP3 协议(一次只能选择一个) ,右边选择 TCP会话视图,查看下面的电子邮件会话信息以及数据流,可以查找明文传输的用户名和密码,如图 7。(图 7 电子邮件明文密码)查找明文邮件内容:节点浏览器中选择 SMTP 和 POP3 协议(一次只能选择一个) ,右边选择日志-Email 信息,查看邮件的通讯情况,可以查找明文传输的邮件通讯情况,如图 8。(图 8 电子邮件明文传输)4. FTP 文件传输安全隐患默认情况下,通过 CMD 窗口、浏览器窗口、部分 FTP 客户端等方式的 FTP 访问,都是明文传输,存在巨
10、大的安全隐患。查找 FTP 明文密码:节点浏览器中选择 FTP 协议,右边选择 TCP 会话视图,查看下面的 FTP 会话信息以及数据流,可以查找明文传输的 FTP 用户名和密码,如图 9。(图 9 FTP 明文密码)查找 FTP 明文内容:节点浏览器中选择根节点,右边选择日志-FTP 传输,可以查看到网络中使用明文进行的 FTP 文件传输情况,如图 10。(图 10 FTP 明文传输)1.4. 分析结论通过上述的抓包和测试分析,可以对网络的安全情况进行全面体验,让管理人员知道网络的当前安全状况,以及网络中是否存在潜在的安全隐患,从而有效确保网络的安全。所以,使用网络分析系统,从宏观上对网络的安全性进行测试,是网络安全整体防御体系中必不可少的一部分,是当前网络安全防护状态的必要补充。
