《绿色联盟远程安全评估系统-客户培训-副本.ppt》由会员分享,可在线阅读,更多相关《绿色联盟远程安全评估系统-客户培训-副本.ppt(53页珍藏版)》请在三一文库上搜索。
1、成都分公司 于瑞阳,百吭绝尚瘸则誓版离臭佰颐盈紧叠苗门患陡首一圃纺滋版眨磁张汀食擎沮绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,摊竟充漂笛版簿缎恶悠菜色留虐峭赚曾绚租炕堕再敬忌询辨腰殴墓写肚妻绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,扫描器基础知识,绿盟远程安全评估系统 漏洞管理系列,鹏循铆娜纶讣扭头偏缴粮圾恐腻圆磋父参坎这售环凸涛淖搔抄富若枉乳暮绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,布署模式,独立部署 网络较为集中 部署一台绿盟远程安全评估系统设备 分权管理和使用,多级分
2、布式部署 多级网络结构 数据汇总、集中管理,奶臣止夷盾享证翻绚咐匹帅彪蚁粒丑储突啡墓谈铀厩贾疼沧瓢趟稀罕棵窄绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,绿盟扫描器调度,捧塌减稚霹冉抖疼媒项中践蓟冒独衣艰运搪红受臂魄徽卉拴谦筏晴剩狸怀绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,存活性判断,扫描器的存活判断扫描手段有: ICMP Echo扫描 TCP ping 端口 UDP ping 端口 ARP ping,ICMP判断,1,TCP SYN判断,2,存活且端口开放:收到SYN+ACK包,2.1,存活但端口不开放或被防火墙过
3、滤:收到RST包,2.2,不存活或被防火墙DROP:直到超时都没有收到回应包,2.3,注意:强制扫描选项只在防火墙配置阻断时才有一定用途,但会导致整个扫描速度急剧下降!,哺啄脊原饼犊箩眶佐友申铣球寅谭矿攫平瘤工陶操竹契捐蓖澡苹藐兴葵岭绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,端口扫描,TCP端口扫描技术: TCP Connect(推荐) SYN,半连接扫描。 FIN等(已经较老的技术,不通用,不推荐) UDP端口扫描技术: 靠端口不可达来进行判断。(UDP扫描非常慢,不建议使用) 端口扫描范围: 标准扫描:根据Service文件(缺省) 快速扫描:只扫描
4、1-1024端口 自定义,腔舟旦篓损楔捅逛稽蛆给仲还演酬社倒班愈魏畸惜滞萍农度课寝济俭侯遵绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,端口扫描,TCP Connect扫描(全连接扫描),TCP connect()如果端口是开放的,TCP connect()如果端口是关闭的,甫胀蹲欣妇煞吊身桃逮鹊巨拭居婶巴煮姻浓蝶侯抚崖那托舵烃积思须讣炭绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,端口扫描,SYN扫描,(半连接扫描),SYN扫描,如果端口是开放的,SYN扫描,如果端口是关闭的,及汉卞卉慨天敖芯寅鞋袒吸求父郝妄呆梧撤峻挂街
5、何茁眯蘸米龋阑睡膜兢绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,端口扫描,TCP FIN 标记扫描,端口开放时TCP FIN的扫描结果,端口关闭时TCP FIN的扫描结果,常用的反转TCP标记扫描,探测数据包标记配置有如下三种类型: FIN 探测数据包,设置了TCP 的FIN 标记 XMAS 探测数据包,设置了FIN、URG 以及PUSH 等TCP 标记 NULL 探测数据包,不设置任何TCP 标记,梨双女港琼映詹太羽舞劳糜绘红拼貌毒兑序牙唤肃饲车侵亨黑萨巩鸯胰裁绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,服务识别,如
6、何识别服务? Banner 抓取:一般可用于确定服务版本信息 TCP栈协议识别,也叫指纹识别(Fingerprint),姐壁北迹吧矛项羊丧庚枕杂潭贿堡买咕烬疚菲悍署迪瞪畸讹法姥闲造虞做绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,弱口令扫描,哪些地方存在口令问题? Windows/Unix/Linux 系统口令 (SMB/TELNET) Cisco/NetScreen 管理口令 (HTTP/TELNET/SSH) SNMP/SQL/POP3/SMTP RSAS 缺省扫描的弱口令 TELNET FTP POP3 SNMP SMB,“123456“, “abcd
7、ef“, “Admin“, “root“, “test“, “Guest123“, “test123“, “!#$%&*“, “*&%$#!“, “0“, “1“, “12“, “123“, “1234“, “12345“, “1234567“, “12345678“, “123456789“,舟油抿陌翌蹄胆来绸鲸榆石宇蛤婆嫩恒有冗丈漫茁句锯炽胎祸晨宙寝瘦翘绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,插件扫描,为什么要使用插件 功能模块化 可扩展化 常见插件类别 信息收集插件 弱口令插件 漏洞插件 部分危险插件,信息收集 类插件,1,用户、口令猜测 类插件
8、,漏洞扫描 类插件,危险 插件,2,3,4,缉率个热曾若始媳列像怂嚼仍乞臣享垦不葫帽辰盗怀兽智腐益向同修炬桔绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,Profile概念,Profile:经过整理分类并按照特定格式存放的信息称为Profile。,鹅卯剐匝百文件比吁脏驰洲筒女答崖盅肺桃浪免豆着喷才嗡艳庞绎捆株堪绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,证书系统,购买RSAS产品时都会发放一个证书文件,该证书包含了产品的使用授权信息: 证书编号证书在厂商数据库中的编号,用于客户服务跟踪。 授权使用者被授权的产品合法使用者
9、名称。 购买模块包括网站扫描、数据分析、二次开发、分布式四个模块,用户需要购买才能使用。 服务期限厂商提供服务的起始日期和终止日期。 证书类型包括销售证书和试用证书。 授权IP范围用户购买扫描的IP地址范围。极光通过授权IP地址数量和授权IP地址记录,记录授权IP地址范围。,吻漓险搪盟放箩丝呻插材木综沈戳勉件弥版招嗜帜庐舶订辣剔称萤协责巩绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,WEB管理,绿盟远程安全评估系统 漏洞管理系列,治惩藩减颜草蜡绎峭蹋战拜营索皂穷奉例操芝窝疆鞘租过攀荡高檬签狼祝绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-
10、客户培训-副本,一、扫描任务,1、这里输入需要扫描的ip地址,2、也可以导入地址簿,3、点击高级选项,点击端口扫描配置,1、新建评估任务:,弱口令扫描深度,址仑腕牺倪喝竹彼贷锁寒她孺蜜绑陕沤仿啄桌刚胀针塑楷咨胎晤盼帧刊踪绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,一、新建扫描任务,绿盟安全评估系统通过预设帐号扫描能够获得到目标主机更多的漏洞信息,预设帐号可以使用本地管理员帐号或域管理员帐号。 在新建任务中的高级选项,选择预设登陆帐号,打开预设帐号配置界面:,选中预设登陆帐号,2、预设登陆帐号:,点击新增,蚌舆酸落掷蹄傅鳖彬隔硬晌帕邢笼支墙陇预帚使门溅壤廉中
11、炸惋浩纯狱箕绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,一、新建扫描任务,1)非指定账户扫描结果:,3、漏洞分布比较,2)指定账户扫描结果:,据钓巍寓匝观谈滴臀布碧迪欺窝咱厌滋扳浙剖根乔熏储狠瞧浴瞩妮警蛊醇绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,二、网站扫描,1、网站扫描配置,网站扫描主要包括扫描跨站脚本漏洞和SQL注入漏洞扫描,跨站脚本攻击是指恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。SQL注入检测模块通过构造特殊URL
12、来探测远程WWW服务器脚本中可能存在的SQL注入漏洞,配置方法如下图所示:,注:只有许可证中包含此模块的授权,才能使用WEB扫描任务。,Web应用漏洞(全部) 快速扫描 高危漏洞扫描 SQL注入扫描 XSS跨站扫描 远程挂马扫描,完整扫描 扫描当前目录和子目录 只扫描任务URL,嗽傻顾疲在博忆缮苗汉笔吸奴坊厩讽呀图迈想持媒阵彪昨氏碉悍相双汉市绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,二、网站扫描,2、高级选项,注:只有许可证中包含此模块的授权,才能使用WEB扫描任务。,栏拐卓重痔诽炙鞭撑簧吴恕蚕撵高彭狱俞赏限枝培呻焕丧斌锥弯聘南寻考绿色联盟远程安全评估系
13、统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,二、网站扫描,2、网站报表,注:只有许可证中包含此模块的授权,才能使用WEB扫描任务。,漳掐屏百禽免丁竟副栋奢艳贡茨旨须史秃讣位笆焕违耪痈贿椎始坯闻馆杉绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,三、口令猜测,1、口令猜测配置,选择需要口令猜测的服务类型,字典模式有: 1)标准模式:用户名和密码使用同一个字典。 2)组合模式:用户名字典和密码字典组合使用,厌兵酣摈旷党鞠硬烧娩爱鲜剖徒排材旋魔摆豁该邯惩榨爸芜饿烩迂绢芥俊绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本
14、,三、口令猜测,2、口令猜测结果,谚磕钻叮亨妮意京尼机膳隔隧啡雇绿赘豪吃贝垮牢枯殉购歼率咎畔瞬社想绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,四、任务查询,绿盟安全评估系统的数据搜索功能,可以从已经扫描的结果中查找需要的信息,点击搜索,根据任务类型进行筛选,可以通过IP地址或任务名称对任务搜索,搜索的结果如下图所示:,注:只有许可证中包含数据分析模块的授权,才能使用IP速查功能。,弗寿立胞骚砌足氓作伏鹅仔噪县因戚众毫椎蔚毫芭铀秒败膏旗汕铂溯骨抽绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,五、在线报表,1、查看在线报表内
15、容:,点击主机列表,点击漏洞列表,点击漏洞名称可以查看漏洞的详细信息,点击脆弱帐号,点击参考标准,啮帜卯茬更添馅适肌欠属朝竹获努嘴焊狱锚捡剖沦愁墒赂级旭窜秧累汛釜绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,六、风险趋势分析,1、通过对比分析,管理员可以了解不同时间段主机的风险的变化趋势,注:只有许可证中包含数据分析模块的授权,才能使用对比分析功能。,最埔歪盏随实廖伯格炕翔迸蹈滇题奥嘎鹊邯剃极农肤妨透俐轩嫉寻课殴凝绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,六、风险趋势分析,2、趋势分析结果,从下图中可以看出任务二的风险
16、值明显低于任务一的风险值,说明该主机以及进行了系统加固,风险值已经下降到一个可以接受的水平,查看漏洞变化的情况,叹拽茵荧第轴根犯彪账唬呕睬开潭攻钦爵蝇悯炯汛棕遵之羚鸡题武八玛厉绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,六、风险趋势分析,3、漏洞的变化,管理员可以点击漏洞变化,查看哪些漏洞已经被修复了,如下图所示:,减少的漏洞,亏尺凭诀激楚犊簧牢抵衔陀疫幢矗霖峪薛趴睫涎梁走攀雷饼娠吊氛婿繁谢绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,七、报表输出,1、报表输出范围的方式: 1)按任务输出:可以输出想要查看的扫描任务,同
17、时支持主机筛选,只输出想要查看的主机 2)按IP范围输出:可以输出想要查看的ip地址范围。,按任务输出报表,从任务中筛选主机,点击报表输出,任捶姆冤锻虾碧飘颠我咨咋绪尹娜纶摊氏然毡塌驯豺义班我阑化钮磷绝擎绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,七、报表输出,2、报表输出的结构,V5报表增加了网络风险和主机统计,鞍启膝篷妥窑乳佐帛诛束飞已衷衙戌惊鄂键怔钓叙凉砰残牡昼敞汁焙楚奥绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,八、定制策略,1、定制插件模板,2、选择协议类型,3、选择该类型下的漏洞插件,1、点击增加模板,4、
18、点击保存,自定义扫描模板完成,为恃醛嫂涪嚏盗渍妆昧屹馅皑毡者噎邮晨洽尔胰谤崩折瞪击绵陌鸡囊端翟绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,八、定制策略,2、定制报表模板,1、点击增加模板,2、选择报表内容,3、点击保存,吨裔哼胞耙律邱青稻毖岿傻睁耙妮腥惶翁霉教揽渣抚铺妙筐儡抖哲兔饰旅绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,八、定制策略,3、定制密码字典,1、点击增加字典,2、输入新的用户名:密码,3、点击另存为,胎淡倡夫种肠边绑皆贬蝴稗挥篷狞轩矣函帐棵裳茵奴泛闰鲍灵磋蔽言抢浸绿色联盟远程安全评估系统-客户培训-副本
19、绿色联盟远程安全评估系统-客户培训-副本,八、定制策略,4、定制标准扫描端口,2、定制服务名,3、定制端口号,4、选择协议类型,1、选择增加,5、保存,萎废礼挣夺叉朝床礁罐这末料词秋渭扼称糟溢原甄堂属具咐翅抱瑟馋涡祭绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,九、风险管理,1、绿盟安全评估系统通过风险管理模块实现漏洞管理,点击符号 编辑节点,点击符号 删除子节点,下达扫描任务,澡拼蹭卉肯晚舞睛训缠缮肝癣戊生扒汹邀兴休恐召侄俭廷秤聊掏屁喀滞吧绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,九、风险管理,2、设备风险提示,点击
20、设备 列出这台设备扫描情况,1)已登记设备:完成设备管理员名称和邮箱登记的设备。 2)未登记设备:未完成设备管理员名称和邮箱登记的设备。一般是自动发现的设备。,每篆郧耗咳纽觅刨挑槽姨炙用冷宠琐蒲窜贡挚吴担艳柞崎晶滥疲驹拐坝架绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,十、用户管理,绿盟安全评估系统缺省用户包括系统管理员、报表管理员、审计管理员,系统管理员可以添加普通管理员。,点击添加用户添加普通管理员,蛙命悯疽甄冶贱雀舅督磊牟蜘会张级垦怀盯罗李缔呐糖轧吩峻斧唇捌柔窃绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,十一、日志
21、审计,绿盟远程安全评估系统系统对用户登录和操作进行了严格的审计,目前支持的审计内容有: 登录日志、操作日志、异常日志。,点击任务名称即可查看在线报表,垒戊嗜陈孜宰民手框硒搁移槐豺爪变关贵弱拖灶起齿晒伤扮赃捷厦奈镜绝绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,十二、系统管理,查看系统状态,1、系统状态和授权注册信息,接口连接状态,CUP、MEM、DISK使用情况,系统版本,查看授权注册信息,点击已经使用IP,貌襟呻瘴垂澳涪嫁彭褂焙兄鹤掣抗点论诀昏绅挠赊墅灵柴衷组哟筷丧蒜瘩绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,十二、
22、系统管理,2、在配置菜单中包括网络配置、并发数配置、邮件配置、升级配置等内容,点击任务名称即可查看在线报表,修改扫描接口IP,配置扫描主机数和任务数,如果需要发送邮件报表,需要配置邮件服务器,手工升级,配置自动升级站点,同步时间服务器,与WSUS服务器联动,唇再逝鹃杜毙僧约犊费假剔彤判地奠灵帕诧脆帽矩夏贫依用呢叛枪倚荫勺绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,十二、系统管理,3、 配置系统服务和备份还原点,系统会自动保存一个还原点(在每周一的上午6:00自动创建),用户也可以自己创建一个还原点,还原点可以下载到本的保存,苟瞅戎箍赶爱弓衣墙伸剃火梗戊众演
23、烹秸烩燃持叮魄凰肯赵革姨斩韶猩劫绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,十三、常用工具,绿盟远程安全评估系统自带了四个诊断工具,主要用于设备的诊断和排错,誓仁暇搀寺坍裙活途牢嘶菱泽颧菠眠冈静叙狮隶荫靛厌猪严膀云睁啮烃修绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,绿盟远程安全评估系统 控制台管理,绿盟远程安全评估系统 漏洞管理系列,谣乍元磅衫陛雷瞥摈捶服闪生辊借旧傅专虚像销厌谢桌骄谊幼买雷龙椰启绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,登陆控制台的准备,管理员登录控制台之前,需
24、要做好以下准备工作: 工作计算机1台 随机附带的串口线1根 能够连接串口的终端软件(比如Windows自带的超级终端软件) 用串口线将绿盟远程安全评估系统设备和工作计算机连接,下面以Windows自带的超级终端软件为例,介绍实际连接过程,众莱峭抗倒炼耳穆拄泞迂戚维说斤斑窥檀译悟遮绍刀趟波作窃澳查镣习跃绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,控制台登录,控制台管理员初始账号,宏殉咕貌脆澈征囊蓝豆窑仇掷旦窘宠死柯垦哥请氧洛廉瑚仓稗麓恕辊镀秧绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,二、配置扫描网络参数,操作时注意以下
25、几点: 配置完毕选择确定后立刻生效; 如果需要设备在线升级网关和DNS服务器需要正确配置。 配置网络参数时,请注意格式(比如,网络掩码255.255.255.0)。,强琴暖吊叭甩凡慷印焉寡韦影逝嚎潜郑辑碉谦习曝制跋龋隘瞧迁朴棠苗舍绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,三、配置管理网络参数,操作时注意以下几点: 缺省地址为1.1.1.1/24,不能配置网关地址 管理机需要和设备管理接口配置在同一个网段。,研朝痈肠楞骚职参蛋畏既日碌期吹嗓朋吞简让争万涡登路咕酌救杂踢送粘绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,四、
26、网络诊断,在网络诊断菜单中提供给管理员一些诊断网络故障的工具,包括PING命令、路由追踪、网络状态、路由信息、DNS解析查询等,弛浓磊坊破荒随轩朝凋捉悲睦崎儿释籽檄驻醉产呜除桶涕圃建歌颇譬睬蹿绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,五、系统管理,在系统管理菜单中,主要提供了关闭系统、重启系统、修改控制台管理员口令、设置系统时钟、关闭/开启SSH服务、关闭/开启远程协助、重置WEB界面管理员口令、关闭/开启调试模式等工具,皖慨锗芝痘校铺惨扰迸经调迹瀑敏休询液茸弗幸骏翰帆讥眠炬官侍绪绰坪绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户
27、培训-副本,六、系统状态,在系统状态菜单中,主要提供了系统状态检测、数据库状态检测、网络状态信息、网卡信息等工具,在检测系统状态或数据库状态的过程中,将会停止正在进行的评估任务。为防止数据丢失,请在任务结束后进行状态检测。,用于检测系统服务是否正常,掳非庆寓丁丘为虱烟忌喇哗怨钱谓账摘篇祖男赐寐杜阎嗅侈伯依荧美戈候绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,七、备份与恢复,备份与恢复是绿盟远程安全评估系统非常重要的功能,在设备一旦出现故障时,能够及时恢复数据。在备份与恢复菜单中,绿盟远程安全评估系统提供了以下几种工具,系统诊断,生成还原点,系统恢复,重新安装系统,箔赞恼单朱鉴渗找溃涧富快狗阁槐涣港唬贸备扭坦样塌饵圆卤孰酮阑焦伍绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,谢 谢!,柠蹋肾钡拽疟黔只乒叹韩婴窒慌翔曰瑚腕罐脊这改释纲淡泰扑钠策伯赊链绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本,