8.2. 测定和测试
弱点测定可以被分化成两类:“由外向里看”(Outside looking in)和“由里向外看”(inside looking around)。
在进行“由外向里看”的弱点测定时,你是在试图从外部打入你的系统。站在系统之外会给你提供怪客的视角。你会看到怪客所见 — 可公开选路的 IP 地址、位于 DMZ 上的系统、整个防火墙的外在界面等等。DMZ 代表“停火区域”。它是指位于可信任的内部网络(如公司专用网)和不可信任的外部网络(如公共互联网)之间的计算机或小型子网。典型的 DMZ 包括可被互联网交通进入的设备,如万维网(HTTP)服务器、FTP 服务器、电子邮件(SMTP)服务器和 DNS 服务器。
在进行“由里向外看”的弱点测定时,你占据一定的优势,因为你是局内人,你的状态被提升为可信任级别。这是你和你的同事在系统上登录后的视角。你会看到打印服务器、文件服务器、数据库、以及其它资源。
这两类弱点测定截然不同。站在局内人的角度给你更多特权 — 比局外人要多得多。可是,现在的多数机构中,保安配置的目的仍是旨在把入侵者拒之门外。在保持机构内部安全方面(如部门间的防火墙、用户级别的安全控制、内部资源的验证手续、等等)做的却相当少。典型情况下,如果从内部看,可用资源要比从外部看多得多,因为多数系统都是公司内部使用的。一旦你步出公司之外,你就会被立即给予不信任级别。你可以使用的系统资源就会大受限制。
考虑一下弱点测定和侵入测试(penetration tests)的区别。弱点测定应该是侵入测试的第一步。测定中所积累的信息将会用于测试。弱点测定是检查漏洞及潜在缺陷的过程,而侵入测试是试图利用这些漏洞缺陷的实践行为。
测定网络体系是一个动态过程。信息安全和物理安全都是动态的。执行测定只会显示一个大概,它有可能会造成一些假象,让你白担心或者空欢喜一场。
安全管理员只能尽其工具和知识经验之能。使用任何当前可用的测定工具,在系统上运行它们,你几乎可以肯定会出现一些假警报。不管这是程序错误还是使用错误,其结果都是一样的。工具可能会发现实际上不存在的弱点(false positive);甚至更糟糕的是,它可能会漏掉实际上存在的弱点(false negative)。
现在,弱点测定和侵入测试之间的区别已经被表明了,在进行侵入测试前仔细评审弱点测定中的发现通常是一个良好的习惯。
 | 警告 |
|---|---|
试图寻找生产资源上的漏洞弱点会给你的系统和网络的生成力和效率带来不利影响。 |
以下列表讨论了执行弱点测定会给你带来的优势。
积极地将注意力集中到信息安全上
在怪客找到潜在漏洞前发现它们
通常导致系统的时刻更新和补丁的及时应用
鼓励成长,并有助于职员深化其专业知识
减少财政损失和消极宣传
8.2.1. 建立一套方法
为了帮助弱点测定中的工具选择,建立一套弱点测定方法是明智之举。不幸的是,目前还没有预先定义的或被行业批准的方法论;然而,常识和经验通常足以充当向导。
目标是什么?我们在看一个服务器还是整个网络,抑或是网络内的一切?我们是在公司之内还是公司之外?这些问题的答案是很重要的,因为它们不但能够帮助你判定应该选择哪些工具,还能够帮助你判定该如何使用这些工具。
关于建立方法论的更多信息,请参考以下网站:
http://www.isecom.org/projects/osstmm.htm — The Open Source Security Testing Methodology Manual (OSSTMM),《开源安全测试方法指南》
http://www.owasp.org/ — The Open Web Application Security Project,开放万维网应用安全计划