当我们部署一台新的服务器时,我们在防火墙内部对服务器进行Nessus扫描,并进行防火墙审计,以确认防火墙上只打开了所需的端口(因为我们偶尔会回收IP地址)。
你在你的组织中做什么? 你觉得这够了吗? 如果可以的话,你会怎么做?
永远不要依靠一个工具。 Nessus是一个很好的开始,但随着更多的扫描仪和审计工具 – 越多越好。
GFI Languard,eEye Retina,Lumension Scan(以前称为Harris STAT)都很好用,尽pipe您必须花钱购买它们。 它们会有一些重叠,但每个都会进行独特的检查,所以它们只能相互补充,以评估机器是多么脆弱。 当然,你必须交叉检查每一个常识的发现,以排除误报 – 多种工具协助这一点。
除了OS扫描仪之外,如果您计划托pipe任何数据库,则可能需要考虑采用AppDetectivePro。 有关网站,请查看HP WebInspect或Paros。 对于networking密码检查,该隐和Abel是伟大的 – 但要确保您有权使用它,特别是一些更高级的function。
我build议查看一些开源工具产品–nmap是检查计算机上打开的端口以及netcat发送任意数据的极好方法。 使用Wireshark通过跨接端口或networking抽头嗅探来自主机的networkingstream量,并分析结果 – 这通常有助于识别不必要的和不安全的(如telnet,FTP和v3以下的任何版本的SNMP)networking协议。 SNMP读/写string基本上是密码 – SNMP v1和v2(或2c)是完全明文的。 不要使用它们,如果是的话就逐步淘汰。
最后,但可能最重要的是,查看相关操作系统(如果发布的)的NSAconfiguration指南,DoD的DISA安全技术实现指南以及Microsoft操作系统的Microsoft安全指南。 这些可以帮助您构build一些经过validation的强化机器,并且应该成为任何安全系统构build的起点。 了解您的原始configuration在确定系统是否受到攻击,甚至是否特定漏洞影响您的环境方面有很长的路要走。
只是一个说明 – 总是在进行与安全相关的更改之前始终备份系统 – 特别是如果您使用NSA或DISA指南 – 他们只关注安全性,而不一定是操作,如果您有偏差。
Nessus是一个非常好的开始,因为它可以进行比端口扫描和横幅抓取更深入一点的漏洞评估。
我build议的一件事就是不要把它当作“我们扫描过的,没事的,没有别的事情要做”,或者安排重新扫描来检查configuration的改变。
虽然这是一个很好的开始,但没有任何东西可以胜过手动枚举漏洞/错误configuration。 但是,这显然需要时间,精力和金钱,但这可能并不值得。
如果您的数据是在您的控制之外进行的,那么您是否觉得自己花时间,金钱和精力去保护这些服务器,这是由操作失败,数据丢失和法律行为所造成的损失所平衡的?
您也可以使用nessus通过login到一个框并在Windows和Unix上运行审计脚本来运行审计。 Tenable为PCI DSS,CIS Benchmark和NSA Rhel5指南提供了其中的一些。
我们有一个基准,所有的机器都安装了,并且安装了任何应用程序。 这涵盖了从开放端口到setuig / gid可执行文件到严格访问控制检查的大量检查。 所做的任何更改都需要logging并链接到我们的票务系统,所有更改均由变更pipe理部门批准。 我们定期运行扫描,以确保一切正常。 如果不是的话,我们可以从系统中的审计跟踪中找出谁做出了改变。
所以在任何时候我们都可以在configuration数据库中看到机器的外观,从外部使用nessus和其他工具来检查它,从内部使用nessus和compliance插件。 因此,当任何审计师进行突击访问,并使我们certificate我们知道任何随机服务器的状态,我们可以这样做,并提供审计线索,以满足合规性。
这一切都不容易,或build立乐趣。 但是在市场上,我们必须满足合规性要求,所以有人必须把这个要求付诸实施。