一:序言
网络的高速发展推动了人类社会进入了数字时代,如今网络已经成为企业制胜的必由之路。越来越多的企业将自己的关键业务置于网络之上,并取得了卓越的成绩。然而,越来越多的网络黑客通过网络肆意侵入计算机,盗取重要资料,或者破坏网络,使其陷入瘫痪,给企业造成巨大的损失。每隔一段时间,国际权威组织CERT都公布大量的网络安全漏洞,这些漏洞涉及操作系统、网络设备、安全设备或应用软件的最新技术,对于国内网络系统,不可能也没有必要花费大量的人力物力来长期追踪这些新技术以及出现的新漏洞,更作不到及时地检测和发现这些新漏洞在本身网络系统中的存在。
"网络安全扫描系统"是近年出现的新型网络安全技术。它将国际权威组织公布的最新安全漏洞在最短的时间段内加入到系统中来,使用户能够得到及时的和最新的安全扫描服务,从而保障计算机和网络系统的安全和正常运行,这已经成为各个企业能否成功发展的关键性问题。
二:产品概述
其主要功能是用实践性的方法扫描分析网络系统,检查并报告系统存在的弱点和漏洞,为网络管理员建议补救措施和应实施的安全策略,从而最终达到增强网络安全性的目的。OLM Scan正是这样的一套能够帮助您实现网络系统安全,解除您后顾之忧的有效的安全工具。
三:基本功能
w a) 扫描分析网络系统
w b) 报告网络存在的弱点和漏洞
w c) 报告网络系统相关信息和对外提供的服务
w d) 建议补救措施和安全策略
w e) 生成分析报告
四:产品特点
作为网络安全分析工具,OLM Scan具有强大的系统分析功能,它的主要功能有:
w 具有强大的扫描分析能力
OLM SCAN针对国际互联网上网络系统中存在的主要弱点和漏洞,集成了二十九类600余种的方法,能全方位,多侧面的对网络安全隐患进行扫描分析,基本上覆盖了目前网络和操作系统存在的主要弱点和漏洞,具有强大的扫描分析能力。
w 具有安全策略的自定义能力
OLM提供安全策略配置功能,用户可根据不同的安全需求,选取或自定义不同的扫描策略,对相应的网络设备进行扫描分析。
OLM严格遵守国际惯例,对扫描强度和系统风险级别实行分级制。扫描强度可选定内置的标准模板,用户也可制定自己的安全扫描策略,能满足不同用户对不同网络安全的要求。
w 面向多操作系统,具有较强的适用性
OLM Scan扫描分析的网络操作系统比较广泛,基本覆盖Internet在用的主流操作系统:Sun Solaris , HP-UX ,IBM Aix,Digital UNIX,SGI IRIX,Linux,Windows 9X / NT等系统。
w 具有远程和本地两种工作模式
OLM Scan能够对基于TCP/IP的网络主机实施扫描分析,具有跨网关操作的能力,可通过专线或拨号接入任何基于TCP/IP的网络系统,支持本地和远程两种工作模式。
w 准确全面报告网络存在的弱点和漏洞
OLM SCAN能够准确详细的报告网络系统当前存在的弱点和漏洞。弱点和漏洞可能是系统的不完善或BUG,也可能是由于系统配置的不当而带来的。OLM会不遗余力地报告系统所能识别的弱点和漏洞。
w 报告扫描对象相关信息和对外提供的服务
OLM SCAN能够详细报告扫描对象的系统信息,这些信息对黑客来说是相当重要的。如操作系统的版本信息等。OLM SCAN还能报告当前扫描对象对外提供的服务信息,这有利于管理人员及时准确地了解自己的系统对外提供的端口服务,并及时关闭对外提供的不必要的端口服务。
w 能够提供解决方案和专家建议安全策略
OLM SCAN不仅能发现系统中存在的弱点和漏洞,还能给用户提出修补这些弱点和漏洞的建议和措施,能给用户建议保证系统安全的安全策略,最大限度地保护用户的利益。
w 具有生成分析报告的能力
OLM SCAN为方便用户的使用,在扫描分析目的网络后,给用户提供一份完整的安全性分析报告。报告将系统地对目的网络系统的安全性进行详细描述,为用户确保网络安全提供依据。
w 具有较强的自我防护能力
OLM 为自己设计了一套周全的防护方案,能有效地防止系统被滥用和盗用。
五:关键技术
1. 全面收集已经发现的可能被利用的网络系统的安全性弱点和漏洞的技术途径。
全面收集网络系统存在弱点和漏洞,跟踪网络系统脆弱性的现状和发展趋势,跟踪黑客技术是开发网络安全扫描系统的很重要的一部分工作。我们建立了和某些Hackers组织的联系,对一些黑客站点进行定期跟踪和信息收集。定期访问跟踪CERT,ISS,SecurNet等等具有漏洞发布信息的站点,定期更新弱点漏洞信息,我们建立了较全面的漏洞数据库。
收集到的信息我们对它们进行分类整理,建立数据库将它们管理起来,同时生成我们的知识库(方法库检索库,帮助系统库,报告生成备用库),为下一步还原方法,实现分析弱点漏洞方法打下基础。
2. 探索网络系统中潜在的其他漏洞
为了探索系统潜在的弱点和漏洞,我们建立了自己的网络实验环境,开展了对操作系统源代码的分析工作,开展了对防火墙和路由器的研究分析工作,开展了对WWW服务器的原理和配置方法的研究工作。我们通过跟踪互联网上Hacker的分析思路,对操作系统进行剖析,尽可能找出系统可能存在的弱点和漏洞。
3. 合理有效的实现检测分析已知弱点和漏洞存在与否的方法技术
对于互联网上公布的已知弱点和漏洞,我们除需要详细了解其情况外,还要模拟一个实际情况证明它的存在,然后想方设法从远程对此弱点和漏洞进行检测的方法,实现这一方法就是关键技术所在。我们需要详细了解它存在的原理,详细了解操作系统为什么可能存在这个弱点,是什么原因造成的等等问题,然后通过协议分析,通过网络系统的原理,尽可能找到存在和不存在此弱点和漏洞的不同应答和反应。这些返回值是我们判断分析此弱点和漏洞的主要依据。当然很多情况是没有回应的,如:很多适合于拒绝服务攻击的弱点和漏洞大多没有回应,这些方法分析的结果可能直接导致系统的瘫痪和复位,但对系统本身没有任何结果返回,对远程的扫描节点,还没有很好的方法去判断扫描分析的结果。
4. 有效的远程账户信息收集技术
我们分析了网络提供的各种服务,并且还分析了大量网上存在的用于收集账号信息的工具。目前最主要的分析方法是:账号猜测法。其实现原理是:首先简历一个账号字典,然后利用网络的Finger输出服务,队字典中的账号逐个进行认证,用于获取服务器的真实账号。在分析过程中,我们发现其他服务也可能被用于账号猜测,如SMTP 服务的VRFY和EXPN命令。还有Idenf服务等。如果网络服务器提供了这些服务中的任何一个,都有可能被获取该系统中的一些账号。OLM通过特定的方法,来获取该服务器的一些账号。
我们开发的OLM的目的是检测服务器是否提供了被用于猜测账号的服务,而不是收集账号信息的工具。
5. 强力攻击技术
强力攻击主要包括两个方面的内容:一是利用系统可能存在的如FTP、POP3、Telnet、REXEC、RSH、rlogin等服务对系统可能存在的账号进行口令猜测,从而取得账号的使用权;二是利用TFTP、匿名FTP、NFS访问文件、SMTP远程执行等服务以及猜测出的账号口令来获取系统的敏感文件。
6. 拒绝服务技术
拒绝服务的主要技术难点在于OLM Scan系统利用WindowsNT作为开发平台,应用Winsock,而Winsock的目前版本尚不支持IPPROTO_RAW,因此不能通过修改TCP报头和IP报头来发送特殊的数据包,来达到拒绝服务的目的,而必须通过特殊的技术手段来实现。
