我们生活在一个不断变革的网络时代。在这个时代中,如果说有什么不变的东西,那就是包括病毒和恶意软件在内的各种威胁与日俱增,并通过互联网疯狂传播。更别说网络上的黑客们更是使尽了浑身解数试图控制更多的计算机,组成僵尸网络。对网络安全管理员来说,对付各种威胁的重担更重了,不但要精通各种安全技术和理论、还要把握最新的安全动向和安全防护能力,还要熟悉一些安全工具的使用。比方说,今天所讨论的Nsauditoror Network Security Auditor就是一款功能强大的软件。
其强大就在于它是一个网络安全扫描器,它准许管理员审核和监视远程网络计算机,查找漏洞,并用黑客们所用的攻击方法检查网络。它又是一个完整的网络实用程序包,包括大量的工具,可以执行网络审计、网络扫描、网络监视等。通过它,管理员可以发现一些网络服务,并检查其漏洞,还可以审计SQL服务器,扫描一些广告软件等。这个程序还包括实时的网络包过滤和分析、远程网络性能监视、网络状态监视、Web代理服务器扫描、口令审计、基于安全事件日志分析器的入侵检测系统和阻止非法的网络连接等功能。此软件包括一个内置的数据库,其中记录着已知的网络安全漏洞,准许管理员选择某个项目实施扫描。此程序可以嗅探,并且使用强力攻击和字典攻击。
如果一个局域网中有一台、两台电脑被恶意代码损害,那么整个局域网被控制或攻击的可能性也就大大增加。事实证明,大多数的安全损害来自于网络的内部。计算机安全并非仅仅是防守大门那样简单。一个真正安全的网络环境是一个不断变革的实体,它要求我们不断地呵护、监视、审核。今天只看看如何用Nsauditor审计安全问题。
利用Auditor审核计算机和局域网的安全性
首先,启动Nsauditor程序,然后单击Auditor。如下图1
审计器Auditor位于Sessions下的第二项,它可以发现网络服务并能够检查和发现许多已知的漏洞,而且这个工具可以为我们创建一个审计报告。
如上图2,审计器窗口有三部分组成,TCP部分、UDP部分和目标主机部分。要启用相关功能选项,只需选择恰当的复选框。这里,我们看到,它可以扫描的漏洞种类还是较多的,如ftp漏洞、SMTP漏洞、Telnet漏洞、PoP3漏洞、HTTP漏洞,还可以扫描监视一些网络服务,如WhoIs 、MS SQL、MsSQL monitor、Netbios名称等。此处,我们要扫描本地局域网,单击Target文本框后的按钮,出现下图3:
在Select Host Range下选择IP Range,在其后的start和end文本框中分别添上要扫描漏洞的起始和结束IP地址,并选择相应的证书(credential),然后单击ok。回到上级窗口,单击start audit按钮开始审计。
这时候我们需要的就是等待。随设置的IP地址范围不同,等待的时间也有变化。下图4是笔者在本单位的局域网内扫描的部分结果。
就本例而言,主机192.168.1.12开放了一些危险端口,如木马netspy使用的1025端口,所以此端口应当关闭。另外,25号端口也应当关闭,因为25号端口是SMTP服务器所开放的端口,用于发送邮件。而攻击者寻找SMTP服务器是为了传递其垃圾信息。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都使用这个端口。由于本局域网不需要提供这种服务,所以应当关闭此端口。此外,用于RPC服务的135端口也应当关闭。也就是说我们可以查看远程系统开放了哪些端口,局域网管理员可以用它来审计本网内的电脑。
