陈嘉玲
摘要:国内网络环境日益成熟,几乎所有的学校已构建校园网络,并设置网站以提供师生许多的便利服务。校园内各个部门的网站服务众多,却不见得设置有类似于企业的防火墙的机制,管理者也欠缺网络安全的警觉,使校园网络经常是黑客喜爱的攻击对象。因此,为了构建安全的校园网络,使用扫描技术对校园网络进行全面测试,找出其中的脆弱点,对于校园网安全防护具有重要的意义。在这种背景下,本文重点介绍了Nessus技术的应用。
关键词:Nessus;网络扫描;校园网1校园网络安全技术概述
网络上的软硬件难免因设计上的不良或操作上的疏忽,使其含有安全方面的弱点,这些弱点会造成系统或网络的安全漏洞,成为系统被入侵的渠道。为了提高被入侵的困难度,必须有其它更积极的预防措施,若能利用安全检测工具自行检查校园网络系统是否存有安全弱点,修补弱点或加强安全监控,那么系统的入侵难度自然可大为提升。当然想要确认网络上软硬件的弱点,并不一定要使用安全检测工具,只是就管理者而言,要知道每一个软硬件的弱点是有其困难性,因为网络管理者必须在阅读冗长的咨询报告后,自行判断系统或检测所用程序版本的信息,再借助网络搜寻相关检查程序,以及找出适合此系统弱点的修补程序。因此,合理应用安全检测工具,可有效减少弱点的维护成本。Nessus是极优秀的安全检测工具,功能强大且检测速度快,可检测的范围涵盖了所有网络服务,适用于各种平台与网络设备,是当今最好的网络安全检测工具,并且费用低廉,所以本文将介绍Nessus来进行校园网络安全的检测。
2Nessus功能与实际运用
当网管人员大量检测电脑系统的安全性时,无法依据各大网络安全机构所发布的安全通告来一一检查系统是否存在弱点与漏洞,此时便需依赖安全检测工具来检查。当设定了只扫描特定检测程序时,由于Plugins之间可能有相依性,所以最好勾选Enable plugin dependencies功能,若没勾选,有可能因欠缺另一检测程序的检测结果,导致网管人员选定的检测程序无法扫描出真正结果。很多网络病毒作用于Windows系统上,而学校多数电脑使用Windows环境,一台一台重复同样步骤来检测是件繁琐的事,此时适合以Nessus安全检测工具来针对这些网络病毒进行大量检测。
Nessus所开发的每个NASL检测程序均是依据各大网络安全机构所发布的安全通告发展而成。检测结果主要是描述漏洞发生于何种系统、服务中,并且告知如何进行修正与核对措施。因为新的弱点与漏洞持续被发现,Nessus组织也持续发布新的NASL检测程序,所以Nessus须勤加更新plugin,如果希望系统能自动更新,可使用crontab来做plugin的周期性更新。此外,Nessus也允许Nessus使用者自行依据各大网络安全机构所发布的安全通告撰写NASL语言。若想自行编写新的检测程序,熟知入侵行为模式是必备的。撰写完的检测程序必需上传至Nessus Server才能使用,而Nessus Server预设不允许使用者上传plugin,需将Nessus Server的组态档nessusd.conf设定成Nessus使用者可上传plugin,再重新启动Server服务,使用者才能上传使用。上传的plugin存放在Nessus使用者个人路径内,所以只有上传该plugin的使用者可使用该检测程序。
在Linux上,Nessus Client端有图形界面与文字界面,文字界面所使用的扫描指令可利用系统的crontab,在plugin周期性更新后,再做安全扫描,以实现自动化。然而,网络管理者仍须经常查看检测结果,勤加更新修正系统。当安全检测完成后,可根据检测结果的建议进行修正漏洞,修正漏洞的方法通常是更新版本、执行PATCH档或修正设定,但即使都按照建议进行修正后,也无法保证系统有百分百的安全性。因为系统本身仍潜藏着尚未被发现的漏洞,或是已发布的漏洞尚未撰写成NASL檢测程序,所以管理者应该注意各大网络安全机构所发布的安全通告,并且核对Nessus组织是否有发布新的Plugin,勤加更新Plugin,或者自行撰写Plugin。这样一来,才能确保有最新的Plugin,使可检测的安全弱点也越齐全,也才能有较安全的校园网络。
3小结
为了使校务运作正常、确保资料安全,对校园网络进行全面的安全检测是必不可少的。使用Nessus不仅减少已公布弱点的维护,相对提高了校园网络被入侵的困难度,并可免于重复检测的动作,尤其当有大量电脑需作检测,更可减轻网络管理的负担。检测后可能有大量电脑需进行更新修正,但对于更新版本、执行PATCH档或修正设定,仍无法免于重复同样的动作,目前并无大量电脑同时更新修正的机制。操作系统若是RedHat,那么可通过crontab使用APT来自动升级系统,只不过升级并不一定是最好的解决方法,因为新的版本毕竟可能潜藏着尚未被发的安全问题。此外,APT套件本身仍在发展阶段,所以使用了这个套件并无任何保证。至于Windows环境,只要微软有继续支援,可使用Windows Update来更新修正。
[参考文献]
[1]龚静.高校校园网的安全与防护[J].教育信息化.2005(04).
[2]胡勇.入侵检测系统分析研究[J].中国电力教育.2008(11).