對(duì)于任何注意網(wǎng)絡(luò)安全評(píng)估的公司而言，定期執(zhí)行邊界漏洞測(cè)試是至關(guān)重要的。有一些攻擊由內(nèi)部發(fā)起，而有許多攻擊是來自于公司外部。這意味著，公司必須能夠驗(yàn)證邊界設(shè)備，保證系統(tǒng)及時(shí)安裝補(bǔ)丁，并且保持更新。邊界測(cè)試一般包括網(wǎng)絡(luò)掃描、檢查入侵檢測(cè)(IDS)與入侵防御系統(tǒng)(IPS)、防火墻測(cè)試和蜜罐技術(shù)部署與測(cè)試。

網(wǎng)絡(luò)掃描是滲透測(cè)試應(yīng)該執(zhí)行的第一個(gè)活動(dòng)。畢竟，您應(yīng)該盡量從攻擊者的角度去檢查網(wǎng)絡(luò)。您對(duì)于網(wǎng)絡(luò)的看法是由內(nèi)而外，但是攻擊者的角度則不同。執(zhí)行邊界掃描可以幫助您確定邊界設(shè)備的操作系統(tǒng)和補(bǔ)丁級(jí)別，從網(wǎng)絡(luò)外部是否能夠訪問設(shè)備，以及SSL和T傳輸層安全(TLS)證書是否存在漏洞。此外，網(wǎng)絡(luò)掃描有助于確定可訪問的設(shè)備是否具有足夠的保護(hù)措施，防止在設(shè)備部署之后不會(huì)被暴露漏洞。Nmap是一個(gè)免費(fèi)的開源安全掃描工具，它可用于監(jiān)控網(wǎng)絡(luò);這個(gè)工具支持各種不同的交換機(jī)，能夠發(fā)現(xiàn)開放端口、服務(wù)和操作系統(tǒng)。

部署IDS和IPS是另一種檢測(cè)惡意軟件活動(dòng)的方法。大多數(shù)公司都會(huì)在網(wǎng)絡(luò)邊界部署IDS或IPS，但是現(xiàn)在人們對(duì)于這些設(shè)備對(duì)抗攻擊的效果仍然存在爭(zhēng)議。有許多方法可以測(cè)試IDS和IPS，其中包括：

• 插入攻擊。這些攻擊形式是，攻擊者向終端系統(tǒng)發(fā)送數(shù)據(jù)包被拒絕，但是IDS卻認(rèn)為它們是有效的。當(dāng)出現(xiàn)這種攻擊時(shí)，攻擊者會(huì)在IDS中插入數(shù)據(jù)，卻不會(huì)被其他系統(tǒng)發(fā)現(xiàn)。

• 躲避攻擊。這個(gè)方法允許攻擊者使IDS拒絕一個(gè)終端系統(tǒng)可以接受的數(shù)據(jù)包。

• 拒絕服務(wù)攻擊。這種攻擊的形式是，攻擊者向IDS發(fā)送大量的數(shù)據(jù)，使IDS完全失去處理能力。這種淹沒方式可能會(huì)讓惡意流量悄悄繞過防御。

• 假警報(bào)。還記得那個(gè)謊報(bào)軍情的小男孩嗎?這種攻擊會(huì)故意發(fā)送大量的警報(bào)數(shù)據(jù)。這些假警報(bào)會(huì)干擾分析，使防御設(shè)備無法分辨出真正的攻擊。

• 混淆。IDS必須檢查所有格式的惡意軟件簽名。為了混淆這種IDS，攻擊者可能會(huì)對(duì)流量進(jìn)行編碼、加密或拆分，從而隱藏自己的身份。

• 去同步化。這種方法(如連接前同步和連接后同步)都可用于隱藏惡意流量。

防火墻是另一種常見的邊界設(shè)備，它可用于控制入口流量和出口流量。防火墻可以是有狀態(tài)或無狀態(tài)的，可以通過各種方法進(jìn)行測(cè)試。常見的測(cè)試方法包括：

• 防火墻識(shí)別。開放端口可能有利于確定所使用的特定防火墻技術(shù)。

• 確定防火墻是有狀態(tài)還是無狀態(tài)的。有一些簡(jiǎn)單技術(shù)(如ACK掃描)可以幫助確定防火墻的類型。

• 在防火墻上攔截廣告。雖然這種方法并不一定有效，但是一些較老的防火墻可能真的會(huì)在廣告中添加一些版本信息。

最后，還有蜜罐。這些設(shè)備可用于誘捕或“囚禁”攻擊者，或者有可能更深入了解他們的活動(dòng)。蜜罐分成兩類：低交互和高交互。蜜罐可以通過觀察它們的功能檢測(cè)。一個(gè)很好的低交互蜜罐是Netcat，這個(gè)網(wǎng)絡(luò)工具可以讀寫通過網(wǎng)絡(luò)連接傳輸?shù)臄?shù)據(jù)。

執(zhí)行nc -v -l -p 80，可以打開TCP 80監(jiān)聽端口，但是如果進(jìn)一步檢測(cè)，則不會(huì)返回廣告。高交互誘捕則不僅會(huì)返回一個(gè)開放端口，還會(huì)返回當(dāng)前廣告，這使得攻擊者更難確定它是一個(gè)真實(shí)系統(tǒng)或者誘捕系統(tǒng)。

雖然我介紹了幾種方法可以讓你知道攻擊者眼里的網(wǎng)絡(luò)邊界是什么樣，但是一定要注意，許多攻擊者能夠通過由內(nèi)而外的方式繞過邊界設(shè)備和控制。如果攻擊者能夠讓一位終端用戶在網(wǎng)絡(luò)內(nèi)部安裝工具，如點(diǎn)擊一個(gè)鏈接或訪問惡意網(wǎng)站，那么攻擊者就可以由內(nèi)而外通過通道傳輸流量，這在本質(zhì)上比由外而內(nèi)的方式更簡(jiǎn)單。