▼
网络安全测评主要测评内容包括网络结构安全、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等方面。本文介绍网络结构、网络访问控制、网络安全审计、边界完整性、网络入侵防范、恶意代码防范、网络设备防护7个方面的测评实施过程。
网络安全测评需要综合采用访谈、检查和测试的测评方式。其中,访谈通常是首先开展的工作。应在测评方与被测评方充分沟通的基础上,确定访谈的计划安排,包括访谈部门、访谈对象、访谈时间及访谈配合人员等。在网络安全访谈过程中,测评方应确保所访谈的信息能满足网络安全测评的信息采集要求,如果有信息遗漏的情况,可以安排进行补充访谈,确保能获取到所需要的信息。测评方应填写资料接收单,并做好资料的安全保管。网络安全访谈中的网络情况调查至少应包括网络的拓扑结构、网络带宽、网络接入方式、主要网络设备信息(品牌、型号、物理位置、IP地址、系统版本/补丁等)、网络管理方式、网络管理员等信息,并根据具体的网络安全测评项进行扩充。
由于等级保护三级信息系统的重要性和广泛代表性,这里以等级保护三级信息系统中的网络安全要求为例,对测评实施过程进行描述。其他等级系统中的网络可根据对应级别的基本要求,参照此内容进行调整,以满足自身的安全测评需求。在具体实施测评工作时,应根据实际业务网络的涵盖范围进行调整,本文仅供参考。
如图1所示,该网络包含“办公区”“财务区”“DMZ区”“服务器区”4个区域,其中, DMZ区直接与边界防火墙相连,其他3个区域由三级交换机连接。服务器区域为被测网络的重要网段,通过防火墙与其他区域进行隔离。
图1 被测网络拓扑结构示意
针对网络结构安全方面的测评工作主要有以下12个方面。
1、访谈网络管理员,询问关键网络设备的业务处理能力是否满足基本业务需求。包括询问信息系统中的关键网络设备的性能,如防火墙吞吐量、分组丢失率、最大并发连接数等性能参数;询问目前信息系统的业务高峰网络情况,如用户访问量、网络上下行流量等参数;分析判断网络设备性能情况是否满足业务需求。
2、访谈网络管理员,询问接入网络及核心网络的带宽是否满足基本业务需要。包括询问接入网络的拓扑结构及关键网络设备的带宽分配情况;询问基本业务对带宽的需求情况;分析判断网络带宽是否满足基本业务需求。
3、检查网络设计或验收文档,查看是否有满足主要网络设备业务处理能力需要的设计或描述。包括查看网络设计或验收文档中是否有对网络系统需要的业务处理能力进行了描述、说明;查看网络设计或验收文档中是否记录了主要网络设备的性能参数,并判断该网络系统能否具备基本的业务能力。
4、检查网络设计或验收文档,查看是否有满足接入网络及核心网络的带宽业务高峰期的需要以及存不存在带宽瓶颈等方面的设计或描述。包括查看网络设计或验收文档中是否有对接入网络和核心网络的带宽设计,是否有对业务高峰期网络带宽的预估,并结合现场情况判断网络系统是否能够满足业务高峰期时的需要;检查文档中是否有应对带宽瓶颈等方面问题的设计、描述和解决方案。
5、检查边界和主要网络设备的路由控制策略,查看是否建立安全的访问路径。包括查看路由控制设备(边界网关、边界防火墙、交换设备和认证隔离设备);以管理员身份登录路由控制设备的管理界面查看路由控制策略,检查是否设置了静态路由;查看路由控制策略,是否把重要网段和不安全网段直接连接在一起,以及是否可以使重要网段之间连通。
6、检查网络拓扑结构图,查看其与当前运行的实际网络系统是否一致。包括使用网络拓扑扫描工具得到当前网络运行拓扑图;通过人工观察对该拓扑图进行核查和调整;将该拓扑结构与设计文档中原有的拓扑规划结构进行比较;核对网络拓扑结构设计中体现的信息系统安全思想,并与被测单位制定的安全策略相比较。
7、检查网络设计或验收文档,查看是否有根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网和网段分配地址段的设计和描述。包括查看网络设计或验收文档中是否有对各子网和网段分配地址段的设计或描述;查看文档中记录的对网段进行划分的依据(各部门的工作职能、重要性和所涉及信息的重要程度等因素);核查对网络系统内各子网和网段的划分是否与划分依据相匹配,是否依照了方便管理和控制的原则进行网段划分。
8、检查边界和主要网络设备,查看重要网段是否采取了技术隔离手段与其他网段隔离。包括根据被测单位实际情况查看其使用的技术隔离设备(网闸、防火墙、应用网关、交换设备和认证隔离设备等);检查网络系统的重要网段和网络边界处是否部署技术隔离设备并启用,如图2所示,服务器区域作为重要网络,使用了防火墙进行区域隔离;检查技术隔离设备,查看是否设置了特别的过滤规则来保证重要网段与其他网段之间的通信得到严格过滤。
9、检查边界和主要网络设备,查看是否配置对带宽进行控制的策略,这些策略是否能够保证在网络发生拥堵的时候优先保护重要业务。包括根据被测单位实际情况查看其使用的带宽控制设备(边界网关、边界防火墙、交换设备和认证隔离设备等);以管理员身份连接带宽控制设备,查看是否配置了带宽控制功能(如路由、交换设备中的QoS功能,专用的带宽管理设备的配置策略等)。检查配置的带宽控制功能中是否设定了保护优先级和网络带宽限制;检查重要网段中的服务器、终端设备是否处在带宽控制设备的保护下;检查配置的保护优先级是否与承担业务的重要性相匹配。
10、测试业务终端与业务服务器之间的访问路径是否安全可控。包括任选若干不同网段的业务终端,使用命令行工具tracert追踪由该终端到相应业务服务器的路由,确认业务终端与业务服务器之间存在访问路径;通过多次运行tracert工具的结果对比,确认终端与服务器之间的访问路径是否遵循安全控制策略,是否为固定的可控路径。
11、测试重要网段的业务终端和服务器,验证相应的网络地址与数据链路地址绑定措施是否有效。包括选择若干重要网段的业务终端或服务器,在命令行中使用“ipconfig/all”命令(Windows操作系统)或“ifconfig”命令(Linux操作系统),查看其网络地址和数据链路地址,核查其是否与实现地址绑定的设备中记录的相一致;修改某台终端或服务器的网络配置参数,修改其IP地址,然后尝试连接网络系统,观察是否可以进行访问;暂时断开某台终端或服务器与网络的连接,使用一台新的设备连入网络,并配置为原设备的网络参数(IP地址),然后尝试连接网络系统,观察是否可以进行访问;测试结束后需将进行测试的设备恢复到测试前的状态。
12、测试网络带宽控制策略是否有效,测试在面对异常网络状况时系统的重要业务是否能够受到保护。包括选择不同网段的终端设备,使用带宽测试工具,得到当前设备所在网段的带宽,并与带宽控制设备中的带宽限制记录相比较,观察是否一致;在网络系统外部使用网络攻击测试工具进行拒绝服务攻击(如SYN Flood攻击),并逐步提高攻击强度,观察系统内的重要业务是否会被优先保护。
针对网络访问控制机制方面的测评工作主要有以下7个方面。
1、访谈网络管理员,询问网络访问控制的措施有哪些,询问网络访问控制设备具备哪些访问控制功能。包括询问目前网络访问控制策略及实施方案,比如静态路由配置、IP地址与MAC地址绑定等;询问目前网络中是否存在防火墙、应用网关等访问控制设备;询问现有访问控制设备中具备哪些访问控制功能,如远程连接限制功能、应用层协议控制功能等。
2.检查边界网络设备的访问控制策略,查看其是否根据会话状态信息对数据流进行控制,控制粒度是否为端口级。包括检查防火墙是否开启了数据流控制策略,检查防火墙是否根据会话信息中源地址、目的地址、源端口号、目的端口号、会话主机名、协议类型等设置了数据流控制策略;检查边界网络设备,查看其是否对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。
3、检查边界网络设备,查看是否能设置会话处于非活跃的时间或会话结束后自动终止网络连接;查看是否能设置网络最大流量数及网络连接数。包括检查被测网络防火墙是否对会话处于非活跃的时间或会话结束后自动终止网络连接的功能进行启用,如没有启动则不符合检查要求;登录被测网络防火墙,在修改带宽通道中查看用户带宽、连接数限制配置等,如果被测网络仅对用户带宽做了限制,并未对整体带宽及网络连接数进行限制,则不符合检查要求。
4、检查边界和主要网络设备地址绑定配置,查看重要网段是否采取了地址绑定的措施。包括根据被测单位实际情况查看其使用的实现地址绑定的设备(防火墙、路由设备、应用网关、交换设备和认证隔离设备等);以管理员身份登录相关设备,查看是否配置了对IP地址和MAC地址的绑定;查看已绑定的地址中是否将重要网段中的服务器、终端全部包含在内。
5、检查边界网络设备的拨号用户列表,查看其是否对具有拨号访问权限的用户数量进行限制。主要包括防火墙、网络认证隔离设备、网闸和交换机等类型的设备。以管理员身份登录边界网络设备,查看是否配置了正确的拨号访问控制列表,查看是否配置了拨号访问权限的用户数量限制。
6、测试边界网络设备,可通过试图访问未授权的资源,验证访问控制措施对未授权的访问行为的控制是否有效,控制粒度是否为单个用户。包括使用外网未授权的用户对系统内网终端进行通信,以未授权的用户身份向内网发送ICMP请求,查看防火墙是否对其进行阻止。
7、对网络访问控制措施进行渗透测试,可通过采用多种渗透测试技术验证网络访问控制措施是否不存在漏洞。如使用http隧道测试工具,从外网对内网进行测试,查看防火墙是否能够发现、阻止该渗透行为。
针对网络安全审计机制方面的测评工作主要有以下4个方面。
1、检查边界和主要网络设备的安全审计策略,查看是否包含网络系统中的网络设备运行状况、网络流量、用户行为等。包括以管理员身份登录被测网络防火墙,查看防火墙的运行状况(包括CPU使用率、内存使用率、当前会话数、最大连接数和接口速率等信息);以管理员身份登录被测网络防火墙,查看防火墙的网络流量记录情况(接口速率、收发分组数等),确认防火墙记录了各个接口网络流量相关信息;以管理员身份登录被测网络防火墙,查看操作防火墙时的各种行为及这些操作发生的时间,确认可以从防火墙日志中查询相关操作记录。
2、检查边界和网络设备,查看事件审计记录是否包含事件的日期、时间、用户、事件类型和事件成功情况,以及其他与审计相关的信息。包括以管理员身份进入审计系统管理界面,查看审计记录。如果审计记录含有记录时间、用户、事件类型和事件结果等信息,则符合检查要求。
3、检查边界和主要网络设备,查看是否为授权用户浏览和分析审计数据提供专门的审计工具,并能根据需要生成审计报表。包括以管理员身份进入审计系统管理界面,查看是否为管理员提供了浏览和查询工具(如对审计记录进行分类、排序、查询、统计、分析和组合查询等功能),用以查看该防火墙审计系统记录的各种事件,如“入侵攻击事件”和“邮件过滤事件”等;以管理员身份进入审计系统管理界面,查看是否具有对审计数据进行综合统计分析并生成审计报表的功能。
4、测试边界和网络设备,可通过以某个非审计用户试图删除、修改或覆盖审计记录,验证安全审计的保护情况与要求是否一致。包括以非审计用户身份登录网络设备;尝试删除系统的审计日志记录,查看系统是否对其进行阻止;尝试修改系统的审计日志记录,查看系统是否对其进行阻止;尝试覆盖系统的审计日志记录,查看系统是否对其进行阻止。
针对边界完整性机制方面的测评工作主要有以下3个方面。
1、检查边界完整性检查设备,查看是否设置了对非法连接到内网和非法连接到外网的行为进行监控并有效阻断的配置。以微软Forefront TMG2010为例,使用授权用户登录防火墙后,检查设备的网络行为是否被监控,如图2所示,“WIN-EL00JP64T87”正处于监视之中,该服务器已创建了安全网络地址转换Security NAT和网页代理Web Proxy 2个会话,后者是访问互联网的会话记录,符合检查要求。
2、测试边界完整性检查设备,测试是否能够及时发现非法外联的设备,是否能确定出非法外联设备的位置,并对其进行有效阻断。
3、测试边界完整性检查设备,测试是否能够对非授权设备私自接入内部网络的行为进行检查,并准确定出位置,对其进行有效阻断。
针对网络入侵防范机制方面的测评工作主要有以下4个方面。
1、检查网络入侵防范设备,查看是否能检测以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等。目前,很多防火墙都具备了成熟的入侵检测功能,所以只需通过防火墙的入侵检测配置页面检查即可。以管理员身份登录被测网络防火墙,进入防火墙攻击防范配置界面,查看防火墙能够防范的网络攻击类型,与上述要求进行比对。
2、检查网络入侵防范设备,查看入侵事件记录中是否包括入侵的源 IP、攻击的类型、攻击的目的、攻击的时间等。
3、检查网络入侵防范设备的规则库版本,查看其规则库是否及时更新。
4、测试网络入侵防范设备,验证其检测策略和报警策略是否有效。通过模拟常见的扫描类攻击,探测目标设备端口的工作状态,检查网络入侵防范设备的响应情况。
针对恶意代码防范机制方面的测评工作主要有以下4个方面。
1、检查设计/验收文档,查看在网络边界及核心业务网段处是否部署了恶意代码防范措施(如防病毒网关),恶意代码防范产品是否有实时更新的功能描述。
2、检查恶意代码防范产品,查看是否为正规厂商生产,运行是否正常,恶意代码库是否为最新版本。
3、检查恶意代码防范产品的运行日志,查看是否持续运行。
4、检查恶意代码防范产品的配置策略,查看是否支持恶意代码防范的统一管理。
针对网络设备防护机制方面的测评工作主要有以下10个方面。
1、检查边界和主要网络设备的防护策略,查看是否配置了登录用户身份鉴别功能。打开网络设备管理员登录界面,如果设置了登录用户身份鉴别功能,则会提示要求输入用户名密码或其他认证凭据,分别用错误和正确的方式进行登录,确认设备能否正确判别。
2、检查边界和主要网络设备的防护策略,查看是否对网络设备的登录地址进行了限制。如以管理员身份登录防火墙管理界面,在登录地址限制中检查是否有设置允许登录的 MAC地址(或IP地址)。
3、检查边界和主要网络设备的账户列表,查看用户标识是否唯一。
4、检查边界和主要网络设备,查看是否对同一用户选择2种或2种以上组合的鉴别技术来进行身份鉴别。
5、检查边界和主要网络设备的防护策略,查看其口令设置是否有复杂度和定期修改要求。
6、检查边界和主要网络设备,查看是否配置了鉴别失败处理功能,包括结束会话、限制非法登录次数、登录连接超时自动退出等。
7、检查边界和主要网络设备,查看是否配置了对设备远程管理所产生的鉴别信息进行保护的功能。可通过远程管理登录是否采用加密通信进行验证,如果使用了加密通信(如https协议),则为其实施了信息保护。
8、检查边界和主要网络设备的管理设置,查看是否实现了设备特权用户的权限分离。
9、测试边界和主要网络设备的安全设置,验证鉴别失败处理措施是否有效。包括尝试用错误的用户名和密码进行登录,检查验证鉴别失败处理措施的有效性;尝试多次非法的登录行为,查看设备的动作,以验证是否对非法登录次数进行了限制;尝试使用任意地址登录,观察设备的动作,以验证是否对管理员登录地址进行了限制;尝试长时间连接无任何操作,观察设备的动作,以验证是否设置了网络登录连接超时的自动退出策略;对边界和主要网络设备进行渗透测试,通过使用各种渗透测试技术(如口令猜解等),验证设备防护能力是否符合要求。
10、测试网络设备是否存在安全漏洞和隐患。可使用Nmap等扫描工具对网络设备进行信息采集;使用Nessus漏洞扫描器对网络设备进行扫描,探测设备的漏洞情况;对网络设备进行口令猜解,如采用Medusa对网络设备telnet密码进行暴力破解;针对不同网络设备漏洞进行漏洞利用测试,验证设备是否存在已知的严重安全漏洞。
▲
- The end -
原文始发于微信公众号(计算机与网络安全):HW:网络安全测评
评论