您使用什么工具或技术来检查您的服务器是否真的安全?
作为管理员,您花费了相当多的时间来保护您的服务器,但您如何知道它是否真的安全?假设您有一个 Web 服务器,因此端口 80 是开放的。还有一个 VPN 服务,以便您可以安全地连接到服务器。
那么除了简单的端口扫描之外,如何测试服务器的安全性?
答案1
运行漏洞扫描程序是一个好主意(涅索斯就是其中之一)。您需要接受一些培训才能获得可重复的结果,并允许您覆盖最多的安全设置。有些公司会为您进行扫描。前期费用较低,因为您只需支付一次费用即可获得所有结果,但让组织中的某个人接受此类检查的培训从长远来看会有所回报,因为您希望定期安排检查。如果您决定使用工具,我建议您使用 Nessus 及其专业饲料因为它包含可以检测缺少的更新等的审计插件。
除了漏洞扫描之外,您还需要采取措施来确保您的安全控制措施有效。如果您使用任何类型的变更检测(例如绊线) 来检测系统中未经授权的更改,您需要定期(比如说每月一次)更改二进制文件,以确保它被检测到。如果您安装了防火墙,您需要测试某些系统端口是否已关闭。根据我的经验,定期检查可以带来很大的不同。
您还需要审核系统更新日志。如果您运行的是 Windows 服务器,请运行Microsoft Baseline 安全分析器(目前为 2.1 版)定期更新也将有助于确保您的更新到位并且一些基本政策已得到应用。
答案2
运行类似 nessus 的程序
答案3
答案4
扫描只是其中的一部分。nmap 等产品会进行端口扫描,Nessus 和 Qualys 等产品会告诉您它们检测到了哪些表面积。但是,您应该首先从服务器基线开始。
顾名思义,它是您希望服务器具有的基线设置。这包括与事件相关的审计策略、本地安全策略为权限设置的内容等。一旦您有了这个基线,您就有了让所有服务器遵守的东西。并且根据角色拥有多个基线是有意义的。例如,在 Windows Server 2003 安全指南中,域控制器和成员服务器有不同的基线。
有了基准后,您要么使用自己的自定义工具(脚本和一些免费工具)来验证基准,要么使用专门为此设计的第三方工具,例如 Symantec(以前称为 BindView)的 Control Compliance Suite。定期进行扫描,检查结果。这很重要的原因是,有些东西漏洞扫描器不会报告(例如您如何配置审核),因为它旨在检测漏洞。但服务器安全也涉及配置。
有了基线扫描程序,您需要将其与漏洞扫描程序配对。使用其他工具(如补丁管理或库存管理工具)来确保您的服务器保持修补状态也是一个好主意。后者还可以确保不会在您不知情的情况下安装意外程序。