网络安全评估之边界测试-易企推网

对于任何注意网络安全评估的公司而言，定期执行边界漏洞测试是至关重要的。有一些攻击由内部发起，而有许多攻击是来自于公司外部。这意味着，公司必须能够验证边界设备，保证系统及时安装补丁，并且保持更新。边界测试一般包括网络扫描、检查入侵检测(IDS)与入侵防御系统(IPS)、防火墙测试和蜜罐技术部署与测试。

网络安全评估之边界测试

网络扫描是渗透测试应该执行的第一个活动。毕竟，您应该尽量从攻击者的角度去检查网络。您对于网络的看法是由内而外，但是攻击者的角度则不同。执行边界扫描可以帮助您确定边界设备的操作系统和补丁级别，从网络外部是否能够访问设备，以及SSL和T传输层安全(TLS)证书是否存在漏洞。此外，网络扫描有助于确定可访问的设备是否具有足够的保护措施，防止在设备部署之后不会被暴露漏洞。Nmap是一个免费的开源安全扫描工具，它可用于监控网络;这个工具支持各种不同的交换机，能够发现开放端口、服务和操作系统。

部署IDS和IPS是另一种检测恶意软件活动的方法。大多数公司都会在网络边界部署IDS或IPS，但是现在人们对于这些设备对抗攻击的效果仍然存在争议。有许多方法可以测试IDS和IPS，其中包括：

• 插入攻击。这些攻击形式是，攻击者向终端系统发送数据包被拒绝，但是IDS却认为它们是有效的。当出现这种攻击时，攻击者会在IDS中插入数据，却不会被其他系统发现。

• 躲避攻击。这个方法允许攻击者使IDS拒绝一个终端系统可以接受的数据包。

• 拒绝服务攻击。这种攻击的形式是，攻击者向IDS发送大量的数据，使IDS完全失去处理能力。这种淹没方式可能会让恶意流量悄悄绕过防御。

• 假警报。还记得那个谎报军情的小男孩吗?这种攻击会故意发送大量的警报数据。这些假警报会干扰分析，使防御设备无法分辨出真正的攻击。

• 混淆。IDS必须检查所有格式的恶意软件签名。为了混淆这种IDS，攻击者可能会对流量进行编码、加密或拆分，从而隐藏自己的身份。

• 去同步化。这种方法(如连接前同步和连接后同步)都可用于隐藏恶意流量。

防火墙是另一种常见的边界设备，它可用于控制入口流量和出口流量。防火墙可以是有状态或无状态的，可以通过各种方法进行测试。常见的测试方法包括：

• 防火墙识别。开放端口可能有利于确定所使用的特定防火墙技术。

• 确定防火墙是有状态还是无状态的。有一些简单技术(如ACK扫描)可以帮助确定防火墙的类型。

• 在防火墙上拦截广告。虽然这种方法并不一定有效，但是一些较老的防火墙可能真的会在广告中添加一些版本信息。

最后，还有蜜罐。这些设备可用于诱捕或“囚禁”攻击者，或者有可能更深入了解他们的活动。蜜罐分成两类：低交互和高交互。蜜罐可以通过观察它们的功能检测。一个很好的低交互蜜罐是Netcat，这个网络工具可以读写通过网络连接传输的数据。