對於任何注意網絡安全評估的公司而言,定期執行邊界漏洞測試是至關重要的。有一些攻擊由內部發起,而有許多攻擊是來自於公司外部。這意味著,公司必須能夠驗證邊界設備,保證系統及時安裝補丁,並且保持更新。邊界測試一般包括網絡掃描、檢查入侵檢測(IDS)與入侵防御系統(IPS)、防火牆測試和蜜罐技術部署與測試。
網絡掃描是滲透測試應該執行的第一個活動。畢竟,您應該盡量從攻擊者的角度去檢查網絡。您對於網絡的看法是由內而外,但是攻擊者的角度則不同。執行邊界掃描可以幫助您確定邊界設備的操作系統和補丁級別,從網絡外部是否能夠訪問設備,以及SSL和T傳輸層安全(TLS)證書是否存在漏洞。此外,網絡掃描有助於確定可訪問的設備是否具有足夠的保護措施,防止在設備部署之後不會被暴露漏洞。Nmap是一個免費的開源安全掃描工具,它可用於監控網絡;這個工具支持各種不同的交換機,能夠發現開放端口、服務和操作系統。
部署IDS和IPS是另一種檢測惡意軟件活動的方法。大多數公司都會在網絡邊界部署IDS或IPS,但是現在人們對於這些設備對抗攻擊的效果仍然存在爭議。有許多方法可以測試IDS和IPS,其中包括:
• 插入攻擊。這些攻擊形式是,攻擊者向終端系統發送數據包被拒絕,但是IDS卻認為它們是有效的。當出現這種攻擊時,攻擊者會在IDS中插入數據,卻不會被其他系統發現。
• 躲避攻擊。這個方法允許攻擊者使IDS拒絕一個終端系統可以接受的數據包。
• 拒絕服務攻擊。這種攻擊的形式是,攻擊者向IDS發送大量的數據,使IDS完全失去處理能力。這種淹沒方式可能會讓惡意流量悄悄繞過防御。
• 假警報。還記得那個謊報軍情的小男孩嗎?這種攻擊會故意發送大量的警報數據。這些假警報會干擾分析,使防御設備無法分辨出真正的攻擊。
• 混淆。IDS必須檢查所有格式的惡意軟件簽名。為了混淆這種IDS,攻擊者可能會對流量進行編碼、加密或拆分,從而隱藏自己的身份。
• 去同步化。這種方法(如連接前同步和連接後同步)都可用於隱藏惡意流量。
防火牆是另一種常見的邊界設備,它可用於控制入口流量和出口流量。防火牆可以是有狀態或無狀態的,可以通過各種方法進行測試。常見的測試方法包括:
• 防火牆識別。開放端口可能有利於確定所使用的特定防火牆技術。
• 確定防火牆是有狀態還是無狀態的。有一些簡單技術(如ACK掃描)可以幫助確定防火牆的類型。
• 在防火牆上攔截廣告。雖然這種方法並不一定有效,但是一些較老的防火牆可能真的會在廣告中添加一些版本信息。
最後,還有蜜罐。這些設備可用於誘捕或“囚禁”攻擊者,或者有可能更深入了解他們的活動。蜜罐分成兩類:低交互和高交互。蜜罐可以通過觀察它們的功能檢測。一個很好的低交互蜜罐是Netcat,這個網絡工具可以讀寫通過網絡連接傳輸的數據。
執行nc -v -l -p 80,可以打開TCP 80監聽端口,但是如果進一步檢測,則不會返回廣告。高交互誘捕則不僅會返回一個開放端口,還會返回當前廣告,這使得攻擊者更難確定它是一個真實系統或者誘捕系統。
雖然我介紹了幾種方法可以讓你知道攻擊者眼裡的網絡邊界是什麼樣,但是一定要注意,許多攻擊者能夠通過由內而外的方式繞過邊界設備和控制。如果攻擊者能夠讓一位終端用戶在網絡內部安裝工具,如點擊一個鏈接或訪問惡意網站,那麼攻擊者就可以由內而外通過通道傳輸流量,這在本質上比由外而內的方式更簡單。