Actualmente existen dos tipos de escaneo de vulnerabilidades: escaneo basado en red y escaneo basado en host.
Se presentan y analizan respectivamente los principios de funcionamiento de las herramientas de escaneo de vulnerabilidades basadas en red y las herramientas de escaneo de vulnerabilidades basadas en host. Estas dos herramientas para escanear las vulnerabilidades del sistema de destino tienen principios similares, pero arquitecturas diferentes, cada una con sus propias características y deficiencias.
1 Escaneo de vulnerabilidades basado en red
1.1 Descripción general
Un escáner de vulnerabilidades basado en red escanea vulnerabilidades en computadoras remotas a través de la red. Por ejemplo, un atacante podría obtener privilegios de root, comprometer el sistema o ejecutar código malicioso en una computadora remota utilizando una versión anterior de la vulnerabilidad DNS Bind. Usando una herramienta de escaneo de vulnerabilidades basada en red, podemos monitorear si estas versiones inferiores de DNS Bind se están ejecutando.
En términos generales, las herramientas de escaneo de vulnerabilidades basadas en red pueden considerarse como una herramienta de recopilación de información sobre vulnerabilidades. Construye paquetes de datos de red en función de las características de diferentes vulnerabilidades y los envía a uno o más servidores de destino en la red para determinar si existe una vulnerabilidad específica.
Cómo funciona 1.2
El escáner de vulnerabilidades basado en red incluye funciones de mapeo de red y escaneo de puertos.
Analicemos los escáneres de vulnerabilidades basados en red utilizando como ejemplo los escáneres de vulnerabilidades basados en red. Los escáneres de vulnerabilidades basados en red generalmente se combinan con la función de escaneo de puertos de red Nmap, que a menudo se usa para detectar qué puertos están abiertos en el sistema de destino y mejorar la funcionalidad del escáner de vulnerabilidades a través de la información de puerto relevante proporcionada en el sistema específico.
Los escáneres de vulnerabilidades basados en red generalmente constan de los siguientes aspectos:
①Módulo de base de datos de vulnerabilidades: la base de datos de vulnerabilidades contiene diversa información sobre vulnerabilidades para varios sistemas operativos e ilustra cómo detectar vulnerabilidades. Dado que siguen surgiendo nuevas vulnerabilidades, la base de datos debe actualizarse con frecuencia para detectar vulnerabilidades recién descubiertas.
② Módulo de consola de configuración de usuario: la consola de configuración de usuario interactúa con el administrador de seguridad para configurar el sistema de destino que se analizará y qué vulnerabilidades se analizarán.
③Módulo del motor de escaneo: El motor de escaneo es la parte principal del escáner. Según la configuración relevante de la consola de configuración del usuario, el motor de escaneo ensambla los paquetes de datos correspondientes y los envía al sistema de destino. Compare el paquete de respuesta recibido del sistema de destino con las características de vulnerabilidad en la base de datos de vulnerabilidades para determinar si la vulnerabilidad seleccionada existe.
④Módulo de base de conocimientos del escaneo activo actual: al ver la información de configuración en la memoria, este módulo monitorea el escaneo activo actual, proporciona información relevante sobre las vulnerabilidades que se escanearán al motor de escaneo y recibe los resultados del escaneo. por el motor de escaneo.
⑤Herramienta de generación de informes y almacenamiento de resultados: la herramienta de generación de informes utiliza los resultados del análisis almacenados en la base de conocimientos del análisis activo actual para generar informes de análisis. El informe del análisis le indicará al usuario qué opciones están configuradas en la consola de configuración y, en función de esas configuraciones, qué vulnerabilidades se encontraron en qué sistemas de destino después del análisis.
2 Análisis de vulnerabilidades basado en host
2.1 Descripción general
El principio del análisis de vulnerabilidades basado en host que analiza las vulnerabilidades del sistema objetivo es similar al del análisis de vulnerabilidades basado en red. escáneres Pero la arquitectura de los dos es diferente. Los escáneres de vulnerabilidades basados en host generalmente instalan un agente o servicio en el sistema de destino, lo que permite el acceso a todos los archivos y procesos. Esto también permite que los escáneres de vulnerabilidades basados en host busquen más vulnerabilidades.
Los populares escáneres de vulnerabilidades basados en host de hoy en día tienen un agente en cada sistema de destino que envía información a un servidor central. El servidor central se gestiona a través de una consola remota.
2.2 Principio de funcionamiento
Un escáner de vulnerabilidades basado en host suele ser una herramienta de escaneo de vulnerabilidades basada en una arquitectura de tres niveles cliente/servidor. Estas tres capas son: consola de escaneo de vulnerabilidades, administrador de escaneo de vulnerabilidades y agente de escaneo de vulnerabilidades.
La consola del escáner de vulnerabilidades está instalada en la computadora; el administrador del escáner de vulnerabilidades está instalado en la red corporativa; todos los sistemas de destino requieren la instalación del agente de escaneo de vulnerabilidades. Después de instalar el agente de Vulnerability Scanner, debe registrarse en Vulnerability Scanner Manager.
Cuando el agente de escaneo de vulnerabilidades recibe el comando de escaneo enviado por el administrador de escaneo de vulnerabilidades, el agente de escaneo de vulnerabilidades completa de forma independiente la tarea de escaneo de vulnerabilidades del sistema de destino después del escaneo, el agente de escaneo de vulnerabilidades transmite los resultados al; administración del escáner de vulnerabilidades Escáner; los usuarios finales pueden explorar informes de escaneo a través de la consola de Vulnerability Scanner.
3 Escaneo de vulnerabilidades basado en red y escaneo de vulnerabilidades basado en host
Ahora, analicemos las características y deficiencias de las herramientas de escaneo de vulnerabilidades basadas en red y las herramientas de escaneo de vulnerabilidades basadas en host.
3.1 Escaneo de vulnerabilidades basado en red
Desventajas de 3.1.1
En primer lugar, los escáneres de vulnerabilidades basados en red no pueden acceder directamente al sistema de archivos del sistema de destino. Algunas vulnerabilidades relacionadas no se pueden detectar. Por ejemplo, al conectarse a la base de datos de algunos programas de usuario, debe proporcionar la contraseña del sistema operativo Windows 2000. En este caso, los escáneres de vulnerabilidades basados en la red no pueden realizar la detección de contraseñas débiles.
Además, algunos programas en sistemas Unix tienen funciones SetUID y SetGID. En este caso, no se pueden detectar los permisos de los archivos del sistema Unix.
En segundo lugar, los escáneres de vulnerabilidades basados en la red no pueden penetrar los cortafuegos. Como se muestra en la Figura 3, el firewall del puerto relacionado con el escáner de puertos no se abre y el escaneo de puertos finaliza.
En tercer lugar, el mecanismo de cifrado utilizado cuando el servidor de escaneo se comunica con el host de destino. Como puede verse en la Figura 3, los paquetes de datos de comunicación entre la consola y el servidor de escaneo están cifrados, pero los datos de comunicación entre el servidor de escaneo y el host de destino no están cifrados. De esta manera, los atacantes pueden utilizar la herramienta rastreadora para monitorear paquetes de datos en la red y obtener información de vulnerabilidad concentrada en cada nodo objetivo.
3.1.2 Ventajas
En primer lugar, el número de vulnerabilidades analizadas es grande. Debido a que el agente o servicio generalmente se instala en el sistema de destino, tiene acceso a todos los archivos y procesos, lo que también permite que los escáneres de vulnerabilidades basados en host busquen más vulnerabilidades. Este punto ya se ha mencionado antes.
En segundo lugar, gestión centralizada. Los escáneres de vulnerabilidades basados en host suelen tener un servidor central que actúa como servidor de escaneo. Todas las instrucciones de escaneo están controladas por el servidor, similar a los escáneres basados en red. Después de descargar el agente más reciente del servidor, el servidor lo distribuye a todos los agentes. Este modelo de gestión centralizada permite una rápida implementación de escáneres de vulnerabilidades basados en host.
En tercer lugar, la carga de tráfico de la red es pequeña. Dado que solo hay paquetes de comunicación entre el administrador de escaneo de vulnerabilidades y el agente de escaneo de vulnerabilidades, la parte del escaneo de vulnerabilidades la completa solo el agente de escaneo de vulnerabilidades, lo que reduce en gran medida la carga de tráfico de la red. Una vez completado el análisis, Vulnerability Scanner Agent se comunica nuevamente con Vulnerability Scanner Manager y envía los resultados del análisis a Vulnerability Scanner Manager.
En cuarto lugar, el mecanismo de cifrado durante el proceso de comunicación. Como puede verse en la Figura 4, todos los paquetes de datos durante el proceso de comunicación están cifrados. Debido a que el escaneo de vulnerabilidades se realiza localmente, el agente del escáner de vulnerabilidades y el administrador del escáner de vulnerabilidades solo necesitan establecer los enlaces de comunicación necesarios antes y después del escaneo. Por lo tanto, para una red con un firewall, el escáner de vulnerabilidades solo necesita abrir los puertos 5600 y 5601 requeridos por el escáner de vulnerabilidades en el firewall para completar el escaneo de vulnerabilidades.
Desventajas
Las herramientas de escaneo de vulnerabilidades basadas en host también tienen desventajas.
El primero es el precio. El precio de una herramienta de escaneo de vulnerabilidades basada en host generalmente está determinado por el precio de la licencia del administrador más la cantidad de sistemas de destino. Las herramientas de escaneo son muy costosas cuando hay muchos hosts de destino en una red corporativa. Por lo general, sólo las empresas poderosas y los departamentos gubernamentales pueden permitirse esta herramienta de escaneo de vulnerabilidades.
En segundo lugar, las herramientas de escaneo de vulnerabilidades basadas en host requieren que se instale un agente o servicio en el host de destino, pero desde la perspectiva de un administrador, no quieren instalar su propio software incierto en máquinas importantes.
En tercer lugar, a medida que se expande la red que se va a escanear, al implementar el software del agente de herramienta de escaneo de vulnerabilidades basado en host, es necesario procesar a los usuarios de cada sistema de destino, lo que inevitablemente extenderá el ciclo de trabajo de la primera implementación.
4 Resumen
Las herramientas de escaneo de vulnerabilidades basadas en red y las herramientas de escaneo de vulnerabilidades basadas en host son muy útiles para detectar si el sistema de destino tiene vulnerabilidades.
Una cosa que se debe enfatizar es que la base de datos de vulnerabilidades debe actualizarse para garantizar que la herramienta de escaneo de vulnerabilidades realmente pueda funcionar. Además, las herramientas de escaneo de vulnerabilidades solo detectan si existen vulnerabilidades en el sistema de destino en ese momento.
Se requiere una reevaluación cuando se realizan cambios en la configuración del sistema de destino y en el software en ejecución.
Las herramientas de escaneo de vulnerabilidades basadas en red y las herramientas de escaneo de vulnerabilidades basadas en host tienen cada una sus propias características, pero también tienen desventajas. Cuando los administradores de seguridad eligen herramientas de escaneo, pueden elegir el producto más adecuado según sus necesidades.