当我们当前部署新服务器时,我们会从防火墙内部对服务器进行 Nessus 扫描,并进行防火墙审核以验证防火墙上只打开了所需的端口(因为我们偶尔会回收 IP 地址)。
你在组织里做什么?你认为够了吗?如果可以的话你会做什么?
答案1
永远不要依赖单一的工具。Nessus 是一个很好的开始,但后续还需要附加扫描仪和审计工具——越多越好。
GFI Languard、eEye Retina、Lumension Scan(原名 Harris STAT)都是不错的选择,不过你需要花钱购买。它们会有一些重叠,但每一种都会进行独特的检查,因此它们只能在评估机器的脆弱性时相互补充。当然,你必须用常识交叉检查每一项发现,以排除误报——多种工具可以协助完成这一点。
除了操作系统扫描器之外,如果您计划托管任何数据库,您可能还需要考虑选择 AppDetectivePro。对于网站,请查看 HP WebInspect 或 Paros。对于网络密码检查,Cain & Abel 很棒——但请确保您有使用它的权限,特别是一些更高级的功能。
我建议查看一些开源工具产品——nmap 是检查机器上哪些端口打开的绝佳方法,而 netcat 可以发送任意数据。使用 Wireshark 嗅探来自主机的网络流量(通过 span 端口或网络分路器),并分析结果——这通常有助于识别不必要和不安全的网络协议(如 telnet、FTP 和 v3 以下的任何 SNMP 版本)。SNMP 读/写字符串基本上是密码——而 SNMP v1 和 v2(或 2c)是完全明文的。不要使用它们,如果要使用,请逐步淘汰它们。
最后,但可能也是最重要的,请查看 NSA 针对相关操作系统的配置指南(如果他们发布了)、国防部的 DISA 安全技术实施指南以及针对 Microsoft 操作系统的 Microsoft 安全指南。这些可以帮助您构建一些经过验证的强化机器,并且应该是任何安全系统构建的起点。了解您的原始配置对于确定系统是否受到攻击,甚至只是某个漏洞是否会影响您的环境大有裨益。
需要注意的是,在进行与安全相关的更改之前,请务必备份系统,特别是如果您使用 NSA 或 DISA 指南的话,他们关注的是安全,而不一定是操作,如果您明白我的意思的话。
答案2
Nessus 是一个很好的开始,因为它可以进行比端口扫描和横幅抓取更深入的漏洞评估。
我建议的一件事是不要将其保留为“我们进行了扫描,没有问题,没有其他事情可做”,并且也许安排重新扫描以检查配置更改。
虽然这是一个很好的开始,但没有什么能比手动列举漏洞/错误配置更好。但这显然需要时间、精力和金钱,而且可能不值得。
您是否觉得,您为保护这些服务器所投入的时间、金钱和精力,与数据丢失、因数据不受您控制而导致的法律诉讼等成本相抵消了?
答案3
您还可以使用 nessus 来运行审计,方法是登录到框并在 Windows 和 Unix 上运行审计脚本。Tenable 为 PCI DSS、CIS Benchmark 和 NSA Rhel5 指南提供了许多审计脚本。
我们有一个基准,所有机器都安装到该基准,并为安装的任何应用程序添加附加内容。这涵盖了需要检查的大量内容,从开放端口到 setuig/gid 可执行文件,再到严格的访问控制检查。所做的任何更改都需要记录并链接到我们的票务系统,所有更改均需经过变更管理部门的批准。我们会定期运行扫描,以确保一切正常。如果不正常,我们可以从我们在整个系统中设置的审计跟踪中找出是谁进行了更改。
因此,无论何时,我们都可以在配置数据库中准确了解机器应有的样子,无论是从外部使用 nessus 和其他工具检查,还是从内部使用 nessus 和合规插件检查。因此,当任何审计员进行突击访问并要求我们证明我们了解任何随机服务器的状态时,我们都可以这样做,并提供审计跟踪以满足合规性。
这一切都不容易,建立起来也并不有趣。但在我们所在的市场中,我们必须满足合规性要求,所以必须有人来建立并运行它。