安全检测(网络安全检查工具软件包项目说明)
目前包括的软件有:
1、网络服务安全扫描工具
2、UNIX/Linux服务器信息分析工具
3、WindowsNT服务器信息分析工具
4、网络脆弱性测试工具(模拟拒绝服务攻击)
5、网络包分析器
6、中文WEB操作平台及数据自动处理和输出
(一)、具体内容:
网络服务器安全扫描工具搜集远程主机和网络的可能提供的服务的信息,如finger, NFS, NIS, ftp , tftp, rexd, statd等服务的信息。对这些服务信息的分析能找到可能包含的网络安全缺陷,这些缺陷通常是由不正确设置网络服务、已知的系统和软件的技术缺陷或在安全策略选择上的无知造成的。
通过对操作系统平台反馈的信息进行分析,调查系统的版本以及其提供的服务信息,提供网络缺陷和解决方法的建议。
通过模拟拒绝服务攻击预先测试网络的稳定性。
作为一个辅助性的软件包,网络包分析器将与网络安全检查工具包捆绑在一起工作,共用操作界面和数据库文件系统。通过包分析器对网络传输的数据包进行分析,有助于调查在安全层次教低的网络上敏感信息是否使用明文传送。
使用两个基准平台进行测试,一台是Linux系统,一台是WindowsNT系统,分别运行各种测试程序。测试程序由NT下的WEB浏览器进行统一调度,自动形成标准的报告输出。
对所有操作的要求是:
不破坏被检查的硬件平台
不破坏被检查的软件系统
不施放病毒
即使对系统的稳定运行造成影响,在很短的时间里也能恢复
(二)、关键技术:
网络服务器安全扫描工具系统基于一套规则库来调查网络的安全隐患。通过使用象Netscape或IE这样的浏览器界面,用户可以调查、查询和分析网络的安全问题。在程序的执行过程中将在网络中发生大量的数据包。
系统自动搜集某个子网段上活动的主机的信息,如果系统位于防火墙后面,那么只能测试防火墙允许的端口的信息。通过模拟与目标主机的端口进行探测式的对话,对返回的信息按照规则库分析并通过HTML构成的用户界面与用户交互信息,达到查找网络安全隐患的目的。
功能简单的包分析器能分析局域网上的数据包的属性和内容,截获分析者感兴趣的相应的服务如Email、WWW、FTP、Telnet等的数据包,进一步分析网络的脆弱性。考虑平台的成本,我们只提供定点分析某些指定的服务的有限的分析功能。
项目核心研究方案
(一)、技术原理:
突出的技术特点是采用工具包的方法来完成全系统的功能并使之容易扩展升级。对于一个组合多种功能的大程序来说,采用很多独立小工具来分别实现不同功能是现实必须采用的方法。
(二)、具体实施方案:
整个系统是可以扩展的。系统的核心只是一个很小的只知道很少的网络服务和系统缺陷的扫描器,但是系统的规模可以通过修改系统的配置文件和添加新的有关网络服务和安全隐患的规则得到不断的扩充。系统的配置管理可以通过超文本的界面来进行。
系统核心由以下几部分组成:
WEB服务器接口 扫描器启动后,HTML浏览器与WEB服务器之间的交互信息,构成一个浏览器下的既方便的交互系统。
策略引擎 特殊约定系统的 配置文件 限制系统那些网站可以扫描,哪种扫描级别约定将指明按什么合适的方式扫描主机。
目标获取 给出一个目标主机列表,系统就能对主机进行扫描并生成一系列的探测信息。探测信息都输入到数据获取 子系统。目标获取模块也能跟踪主机的"亲近程度",同时能启动子网扫描。
数据获取 给出一系列的探测信息后,系统运行相应的数据搜集工具并发动新的调查。这写调查服务输入到推论引擎中。
推论引擎 给出一系列的调查信息,这个子系统将生成新的目标主机、新的探测信息及新的调查。 新的目标主机数据输入到目标获取系统,新的探测信息输入到数据获取系统,新的调查进入推论引擎。
报告和分析 这个子系统将搜集到的数据建立一个虚拟的WEB系统,使用户能用浏览器查看。
(三)、技术指标
软件系统集成了现在已知的典型网络安全缺陷扫描技术,同时提供了TCP/IP的数据包分析器,其设计目标是:
1、在一个大型的网络系统中能发现网络安全存在的隐患,从而为解决问题找到依据
2、使用UNIX与WINNT双平台设计程序
3、使用非常开放的设计技术,软件的升级改进容易
4、设计的安全问题包既满足实用性有有教学性质
5、建立容易使用的工具
6、在寻找网络安全问题的同时对原有网络系统没有破坏性
速度的优化问题
对于执行速度的优化不是设计中考虑最多的问题。软件的核心技术并没有用速度最快的方法编译优化,而是做了最大兼容性和最佳扩充性的考虑。而实际的工具包中有很多工具实际上实在做一种周期性的网络请求,所以在一台速度很快的运行平台上,瓶颈即使出现也在网络上,而不在本身。
对于一个相当大的网络如有1000个结点,完成一个扫描约需要数小时,相当多的时间是消耗在等待网络返回请求结果上。在有些情况下,网络上的不确定的情况使优化变得极困难。幸运的是,一台性能教好的PC 在这种处理下有足够的速度。
系统能在两台高性能的PC上运行。
在实际工作中,为了方便,第一个试验的版本安装在两台联想昭阳(TM)6890DTF笔记本PC上,该系统有64M内存,PII333CPU,加装了一块D-Link DFE-650TX 快速以太网卡。操作系统是 Linux /WindowsNT系统。
|
