利用Ossim系统进行主机漏洞扫描
企业中查找漏洞要付出很大的努力,不能简单的在服务器上安装一个漏洞扫描软件那么简单,那样起不了多大作用。这并不是因为企业中拥有大量服务器和主机设备,这些服务器和设备又通不同速率的网络互联,只是我们在期望的时间内无法获得所需的覆盖范围,目前许多欧美的国际安全组织都按照自己分类准则建立了各自的数据库其中主流是CVE和,XForce。他的好处是,当网络出现安全事故,入侵检测系统(IDS)产生警报时,像CVE这类标准的系统脆弱性数据库网络安全工作就显得极为重要!,目前在中国国家计算机网络应急处理协调中心(CNCERT/CC)领导下,国内也组建了自己的CVE 组织——CNCVE,CNCVE 的组建目的就是建设一个具有中国特色的,能为国内广大用户服务的CVE 组织。但是并不是说拥有了CVE就囊括了所有漏洞问题,除了这些开放的脆弱性数据库外,还应该存在大量的没有对公众开放的脆弱性数据库。有的可能大家根本就不知道这些脆弱性数据库的存在。
1.CVE
CVE (Common Vulnerabilities and Exposures)是由美国国土安全部门(US Department
Of Homeland Security,简称DHS)成立,由非盈利组织MITRE 公司管理和维护至今。
Vulnerability(漏洞,脆弱性)这个词汇可以有狭义和广义多种解释。比如说:finger
服务,可能为入侵者提供很多有用的资料,但是该服务本身有时是业务必须的,而且不能
说该服务本身有安全问题。
CVE标准命名
为方便独立的脆弱性数据库和不同安全工具彼此之间能够更好地共享数据,如下图脆弱性数据库所示。CVE 的标准命名方式是由“CVE”、时间和编号共同组成。例如,命名为“CVE-2008-6021”的条目表示2008 年第6021 号脆弱性。
CVE 的内容是CVE 编辑委员会的合作努力的成果。这个委员会的成员来自于许多安全相关的组织,如软件开发商、大学研究机构、政府组织和一些优秀的安全专家等,而且CVE 可以免费阅读和下载。
图 CVE 脆弱性数据库
2.OSVDB
OSVDB (Open Source Vulnerability Database) 是由一个社团组织创立并维护的独立开源的数据库。它最早是在2002 年的Black Hat 和Defcon 安全会议上提出的一项服务,它提供了一个独立于开发商的脆弱性数据库实现方案。和CVE一样OSVDB 数据库也是开源并且免费的。它由安全事业爱好者来维护,向个人和商业团体免费开放。两者的差异在于CVE提供标准名称,可以通俗理解为数据字典,而OSVDB 为每一条脆弱性提供了详尽的信息,OSVDB需要参考CVE的名称。
3.BugTraq
BugTraq [3]是由Security Focus 管理的Internet 邮件列表,现在已被赛门铁克公司收购。在电脑安全世界,BugTraq 相当于最权威的专业杂志。大多数安全技术人员订阅Bugtraq,因为这里可以抢先获得关于软件、系统漏洞和缺陷的信息,还可以学到修补漏洞和防御反击的招数。
接下来我们看看通过ossim系统中的Openvas来扫描系统漏洞的例子,工作界面截图所下图所示