西南科技大学校园网安全评估方案109.docx
《西南科技大学校园网安全评估方案109.docx》由会员分享,可在线阅读,更多相关《西南科技大学校园网安全评估方案109.docx(9页珍藏版)》请在冰豆网上搜索。
西南科技大学校园网安全评估方案109
西南科技大学校园网安全评估方案
SNERT
2007-09-25
目录
一、评估对象2
二、评估模块2
1、网络拓扑扫描和端口扫描2
1.1、测试目标2
1.2、测试内容及注意事项2
1.3、测试软件3
1.4、测试流程3
1.5、测试报告要求3
2、漏洞渗透测试4
2.1、测试目标4
2.2、测试内容及注意事项4
2.3、测试软件4
2.4、测试流程5
2.5、测试报告要求5
3、性能分析6
3.1、测试目标6
3.2、测试内容及注意事项6
3.3、测试软件7
3.4、测试流程7
3.5、测试报告要求8
4、评估建议9
4.1、任务目标9
4.2、注意事项9
三、评估方法9
一、评估对象
学校主要相关信息部门,包括各学院主页和各行政职能部门主页所在服务器。
二、评估模块
1、网络拓扑扫描和端口扫描
1.1、测试目标
目前,西南科技大学信息系统以Web为核心,校园网中存在着大量的Web服务器,如:
图书管理系统、教务管理系统、新闻发布系统、软件下载平台等等。
为了获得测试目标的一些基本信息,我们需要对校园网的拓扑进行扫描并且对存活的服务器进行端口扫描,对扫描的结果进行一定的分析。
1.2、测试内容及注意事项
1.2.1、使用工具对网段进行结构扫描
根据查找的的资料对学校使用的网段进行拓扑扫描,获得在网段内存活的服务器。
由于各种不同的原因(比如防火墙的拦截等),需要采取对网段进行多方案的扫描,以确保扫描结果的正确性。
例如先用ICMP包扫描,然后进行常用端口扫描等多种方案结合扫描。
1.2.2对存活的服务器进行端口扫描
端口扫描是针对服务器提供的服务进行的测试。
通过对服务器进行端口扫描以确定服务器所扮演的角色。
并对在该端口上存在的现有漏洞进行测试。
通过扫描得到服务器的基本角色信息和安全系数。
1.2.3、测试中应注意的问题
本次性能测试,我们主要采用以上两种方式进行。
需要注意的是,测试应有针对性地满足用户需要,测试所得的数据应合理、有参考价值。
很多软件的扫描结果都不一致,很有可能出现错误的结果,所以在不确定扫描结果的情况下应该采取人工测试的方法,很多IP主机并不存活,但是很一些软件都能扫描出该IP的21端口是开放的。
1.3、测试软件
1.3.1、HostScan测试工具
针对网络拓扑结构的扫描需要采用多种扫描方法相结合,HostScan的扫描途径包括IP扫描,端口扫描和网络服务扫描。
IP扫描可以扫描任意范围的IP地址(0.0.0.0到255.255.255.255),找到正在使用中的网络主机;端口扫描可以扫描已发现网上主机的端口,范围可以从1到65535,获得已经打开的端口的信息,对端口分析可以知道是否有人在你的电脑上留下了后门;网络服务扫描可以扫描打开的端口,返回端口后台运行的网络服务信息,例如,通常情况下,端口80运行的是HTTP服务。
扫描完成后,会给出一份详细的网络扫描报告,以备查阅。
1.3.2、漏洞扫描工具
漏洞扫描工具目前有很多,X-Scan-v3.3采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测,支持插件功能。
扫描内容包括:
远程服务类型、操作系统类型及版本,各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二十几个大类。
对于多数已知漏洞,软件给出了相应的漏洞描述、解决方案及详细描述链接,其它漏洞资料正在进一步整理完善中,您也可以通过该软件网站主页的“安全文摘”和“安全漏洞”栏目查阅相关说明。
3.0及后续版本提供了简单的插件开发包,便于有编程基础的朋友自己编写或将其他调试通过的代码修改为X-Scan插件。
1.4、测试流程
为了统一测试数据,便于网络管理人员分析和发现问题,请大家都按照以下流程进行测试,并记录第五节中所指定的测试结果。
✧网络拓扑结构扫描
获得需要测试的网段,查找出网段上的存活主机。
根据扫描结果记录扫描信息。
✧单个主机漏洞扫描
根据前面扫描出来的结果对但单个IP先进行端口扫描;
根据扫描出的端口对扫描软件进行相应的设置,然后使用软件进行漏洞扫描;
根据扫描结果记录扫描信息;
1.5、测试报告要求
记录扫描结果,并填入如下表格中:
序号
服务器名称
IP地址
操作系统
开放端口
检测漏洞
扫描工具
扫描结果
1
西南科技大学主页
111.222.333.444
LINUXRH5
80
X-Scan
无
2、漏洞渗透测试
2.1、测试目标
对西南科技大学下面的42个web站点进行WEB漏洞,本地漏洞测试。
对web服务器的操作系统进行漏洞的发现,并且对漏洞的严重性进行划分。
对各个web站点的web页面进行漏洞测试。
以便给于各个站点安全预警。
✧Web服务器操作系统
✧Web服务器漏洞,如iis的漏洞
✧Web服务器页面设计缺陷
2.2、测试内容及注意事项
2.2.1、Web服务器操作系统
针对Windows2000/2003Service做漏洞测试,特别注意某些弱口令。
比如administrator等等具有超级权限的用户没有加密码之类。
使用系统漏洞检测软件对Windows系统本生并且已公布的严重漏洞进行检测
✧Web服务器漏洞
通过测试软件对iis各个版本的漏洞进行检测,如Unicode漏洞,以及一些iis的脚本未删除干净的。
注意的是,某些站点有些很简单的设置问题,如目录访问权限是全开等等。
其他web服务器软件漏洞,因为学校用其他软件的不是很多,到时候因地制宜吧。
比如cgi漏洞,还有php,jsp。
主要用软件进行测试。
✧Web服务器页面设计缺陷
通过软件进行SQL注入分析,检查是否存在严重的url过滤缺陷。
并对有SQL注入漏洞的站点分析,分析漏洞在本站点的危害性。
测试各种上传文件漏洞,数据库下载漏洞等等,并分析其危害性
2.3、测试软件
基本软件:
Winpcap
Web服务器操作系统
流光5(Fluxay),X-Scan,Nmap
Web服务器页面设计缺陷
SQL注入工具,以及人工进行各种上传文件漏洞,某些常用文章发布系统的公开漏洞
2.4、测试流程
先进行Web服务器操作系统Web服务器漏洞的检测。
Web服务器页面设计缺陷分为每个站点单独讨论。
单独制定检测方案。
2.5、测试报告要求
测试完成以后,按照以下的表格提交测试报告
目标域名:
测试地点:
目标IP:
测试时间:
测试用计算机IP
参测人员:
操作系统
操作系统类别:
弱口令
无,管理员,guest,其他
存在弱口令,详细信息
漏洞信息
Web服务器
Web服务器类型:
设置问题
漏洞信息
页面设计缺陷
SQL注入攻击
提交过滤系统缺陷
其他
3、性能分析
3.1、测试目标
目前,西南科技大学信息系统以Web为核心,校园网中存在着大量的Web服务器,如:
图书管理系统、教务管理系统、新闻发布系统、软件下载平台等等。
为了测定校园网的负载能力,我们需要对校园网的Web服务器进行性能测试,并对可能遇到的如死机、内存泄漏等问题进行进一步分析。
3.2、测试内容及注意事项
3.2.1、使用WEB性能分析软件对目标站点进行测试
系统的负载和压力需要采用负载测试工具进行,虚拟一定数量的用户来测试系统的表现,看是否满足预期的设计指标要求。
负载测试的目标是测试当负载逐渐增加时,系统组成部分的相应输出项,例如通过量、响应时间、CPU负载、内存使用等如何决定系统的性能,例如稳定性和响应等。
3.2.2、进行站点抗DOS攻击测试
DOS攻击,即拒绝服务攻击(DenialofService)是目前比较有效而又非常难于防御的一种网络攻击方式,它的目的就是使服务器不能够为正常访问的用户提供服务。
本次测试中,我们将使用SYN攻击工具对被测对象进行攻击,测试供给过程中,服务器能否正常运行。
3.2.3、测试中应注意的问题
本次性能测试,我们主要采用以上两种方式进行。
需要注意的是,测试应有针对性地满足用户需要,测试所得的数据应合理、有参考价值。
具体来说,各测试小组应根据目标站点的实际情况制定测试条件,比如教务处是学校访问量最大的站点,可采用较高的并发在线量、较强的SYNFlood攻击进行测试,以考察其在极端环境下的性能变化。
而对于各学院网站或行政部门网站,日常访问量不是很大,我们不需要用过分极端的条件进行测试。
特别值得注意的是,对于没有任何防火墙的服务器来说,SYNFlood攻击很容易导致其Web服务软件无法正常工作,甚至服务器操作系统死机。
3.3、测试软件
3.3.1、MercuryLoadrunner测试工具
本次针对西南科技大学Web服务器的性能测试,我们选用MercuryLoadRunner测试工具进行。
LoadRunner是业界领先的负载测试工具。
它能够模拟成千上万名用户访问目标服务器,LoadRunner能够进行性能测试和问题查找。
目前,企业级应用系统都必须支成千上万的用户,各类硬件平台和不同厂商的产品组成的复杂的系统环境。
难以预知的用户负载和愈来愈复杂的应用程序使公司时时担忧会发生系统性能问题,如用户等待过长的响应时间,系统失灵等。
其结果就是导致公司收益的损失。
通过使用LoadRunner,网络管理人员能最大限度地缩短测试时间,优化性能并加速应用系统的实施周期。
3.3.2、SYNFlood攻击工具
推荐使用一个简单方便的SYNFlood攻击工具:
Hgod,该软件基于windows命令行模式,操作简便,性能稳定,支持多种类型的SYN攻击,支持1-100线程同时运行。
使用方法非常简单,此处不做详解,软件和使用说明见附录。
3.4、测试流程
为了统一测试数据,便于网络管理人员分析和发现问题,请大家都按照以下流程进行测试,并记录第五节中所指定的测试结果。
3.4.1、服务器负载测试
✧根据网站实际情况使用MercuryLoadrunner录制虚拟用户测试脚本
测试脚本的复杂度、时间长度应该根据实际选取,应具有针对性,切忌过于冗长和复杂。
建议考虑“一个用户访问该网站的实际操作过程”,尽量逼真的设计测试脚本。
✧根据网站规模决定并记录测试参数
一般部门和学院网站建议虚拟用户数为30-70,教务处等网站可以尝试进行200-400虚拟用户的测试,由于实验室计算机性能有限,若进行大于500虚拟用户的大规模测试,可能需要多台计算机配合进行。
测试过程中密切注意服务器状态,一旦发生如服务器死机等异常情况,应记录在案。
3.4.2、服务器抗SYNFlood测试
(1)根据站点规模适当规划攻击强度和时间,对Hgod配置适当的参数。
(2)使用Hgod攻击工具按照预定的时间和强度,对目标服务器进行攻击测试。
(3)在攻击过程中,利用其他计算机对目标网站进行访问,根据访问情况,综合多人意见,按照以下表格对服务器抗SYNFlood攻击打分:
服务器状态
得分
完全正常
A
速度下降,但能够正常提供服务
B
速度相当缓慢,服务不不稳定
C
无法连接或服务器已死机
D
(4)测试过程中密切注意服务器状态,一旦发生如服务器死机等异常情况,应记录在案。
3.5、测试报告要求
3.5.1、服务器负载测试报告要求
使用MercuryLoadrunner对服务器进行性能测试,应提交如下数据:
(1)测试基本信息:
如主机IP、域名、测试用计算机IP、测试时间、测试地点、参测人员等
(2)基本测试条件:
测试操作列表、虚拟用户数量
(3)测试结果,主要包含以下几个数据:
特别提醒:
据手册上说,MercuryLoadrunner本身具有较为强大的报告生成能力,具体怎么用我也不知道,大家应该研究一下,并加以利用。
3.5.2、SYNFlood攻击测试报告要求
对服务器进行抗SYNFlood攻击测试之后,测试报告中需提交以下数据:
✧测试基本信息
如主机IP、域名、测试用计算机IP、测试时间、测试地点、参测人员等
✧基本测试条件
即使用hgod攻击工具的参数,如线程数量、测试持续时间、攻击方式等数据,最好附有相关描述
✧测试结果
按照第四节中的表格,综合多人意见,给出等级。
4、评估建议
4.1、任务目标
在完成以网络扫描、漏洞测试和负载测试为主的评估实践等工作的基础之上,针对扫描所获得的漏洞信息、web服务器的分析结果、服务器性能测试结果,对校园网的42个web服务器进行全面的量定。
制定一个有助于提高系统安全性的计划和建议。
建议包括两种:
速效建议和长远建议。
✧速效建议:
针对扫描和漏洞注入等技术手段获得的系统和应用级安全隐患,做出解决方案。
例如:
(针对Windows2000Web服务器)
安装最新的Win2k服务补丁和IIS5.0安全热点补丁
禁止不必要的ISAPI扩展,包括.ida、.idq以及.printer
安装MicrosoftURLScan以对请求进行过滤并组织危险的HTTP方法
✧长远建议:
提出常规安全解决方案,未雨绸缪。
制定管理策略建议方案,通常涉及整个网络,包括其拓扑结构等信息。
例如:
建立应急响应小组
获取最新病毒、漏洞资讯和补丁信息
实施严厉的外网流量过滤
简化网络拓扑、操作平台和服务
4.2、注意事项
对预先的几个评估结果进行全面的资料收集和整理,针对具体的IP提出建议。
列举出具体的每一个系统漏洞并做出简要安全说明,提供补丁下载链接。
对于风险隐患做出安全警示和具体解决措施。
对于服务器性能测试结果,提出性能提升建议。
结合整体安全水平,做出安全评估报告,评定安全风险级别。
提出整改建议。
三、评估方法
按照评估方法学进行,参考流程如下: