利用 OptiView XG 便携网络分析平板执行安全审计

大部分网络设计都是对外极其安全但对内不太安全。但是有些网络,例如涉及国家安全、金融机构、公共设施或任何与合规问题相关的组织,则需要内部也同样非常安全。例如,一些定期扫描电子窃听设备的设施中就会使用这种网络。

虽然这些网络使用工具对安全问题进行全时监控,但安全专家们还会使用 OptiView XG 添加额外的审计层。这些专家通过执行与全时监控工具不同的无通知随机审计,为想进行无授权访问的人增加了额外的不确定性。OptiView XG 还对持续的安全流程提供了“第三方”检查。

NETSCOUT OptiView XG 特别适合这种应用,它以便携、电池供电的封装方式提供了广泛的测试功能(物理层测试、被动监控、设备发现以及 SNMP/RMON)、连接技术(铜/光纤/无线)。本文说明了 OptiView XG 可用来审计网络安全的测试类型。


主动或被动测试?

测试时网络的访问权限取决于网络的设计。交换机使网络被动监控难以进行,因为交换机的每个端口都互相隔离。为了有效地监控交换网络,OptiView XG 的连接方式要使其能看到除指向 OptiView XG 之外的流量。最直接的实现方式就是使用端口镜像或映像,即让交换机将来自所选端口的流量转发给连接到 OptiView XG 分析仪的端口。这需要访问交换机并了解如何设置。另一种方式是在关键链路上安装分路器或利用联路功能让 OptiView XG 收集关于流量的统计数据并窃听所需对话。为了将分路器设计安装到最有用的位置上,用户需要一定的先见。安装后,审计员即可非常方便地将 OptiView XG 插入网络并开始观察和收集流量。


主动测试可提供关于交换网络的更多信息,以及 OptiView XG 中最强大的几个功能。但是,主动监控会被网络上的其他设备注意到,有时候难以用于安全应用,这是因为网络上熟练的用户能发觉。这使用户能够在被 OptiView XG 发现之前停止未授权的活动。在实践中,这会非常困难,因为用户发现 OptiView XG 时,他们也会被发现。尽管如此,许多安全审计员仍然希望完全隐身,避免主动测试。

图 1

图 1.OptiView XG 可以设置为在网络上完全“隐身”


网络访问

保障网络安全的最简单也是最有效的方法是不允许上面有未授权的设备。一种方式是使用 MAC 列表 – 即允许使用网络的硬件地址列表。任何其他尝试访问的设备会被拒绝并“被锁定”。使用 OptiView XG 对此进行测试非常简单,这是因为可在网络端口配置面板上更改 MAC 地址,有效地“欺骗”其他设备。看到允许的地址可以连接,其他地址则被拒绝,用户即可知道 MAC 列表访问运行正常。


一种更成熟的方式是使用 IEEE 802.1x 身份认证。使用这种方法时,设备需要密码才能访问网络。设备允许的访问时间足够获得 802.1x 服务器的批准。如果不允许访问,则端口会关闭,设备被锁定在外。OptiView XG 通过 Windows 身份验证组件支持 802.1X,因此允许输入身份验证证书。

图 2

图 2.OptiView XG 的 802.1x 设置屏幕


流量分析

查找网络异常的最直接也最传统的方式是被动监听。在这种模式下,设备分析并被动收集它在网络上看到的流量。如上所述,除非使用映像或分路器,否则其对现代网络的分析能力有限。这种方法的优势是它是被动的,即它对网络上的其他设备是检测不到的。下面是使用这种方法时 OptiView XG 可以发现的网络信息:


应用程序和协议

OptiView XG 可以将它观察到的流量类型分为不同层的不同类别。例如,在 2 层,您可分解 IP 和 AppleTalk,在 3 层 TCP 和 UDP,以及在更高的层上的 HTTP、FTP、SMTP 等。您可查找许多东西。首先,也是最简单的,就是是否存在某种协议。网络工程师经常会震惊地发现他们的网络上运行着意外的协议(许多人甚至怀疑 OptiView XG 的发现)。OptiView XG 可以识别哪些设备在发送这些协议。

图 3

图 3.OptiView XG 按层识别协议


其次,虽然可以接受部分协议出现在网络上,但如果来自工作站就比较可疑了。例如,PC 生成的 OSPF 或 RIP 等路由协议可能是意料外的,可能表示有人尝试截取对话。第三,这些帧的量也是可疑的。例如,工作站可能生成 ARP 帧,但如果它有规律且大量地发生,则可能表示受到了某种类型的感染。与此类似,来自一台计算机的大量 ICMP(互联网控制消息协议)帧可能表示一个端口正在搜索漏洞。

图 4

图 4.OptiView XG 可显示工作站和其他设备之间的对话


讲话人/分组对话

跟踪谁在与谁对话是发现可疑活动的好方法。OptiView XG 可以显示 MAC 对话和 IP 对话,甚至可以按 DNS 名称显示设备。这样可以方便地看到哪些设备在与非本地网络的设备对话,以及它们在与谁对话。


图 5

图 5.使用特定协议分析对话。

最活跃会话测试也可显示关于广播帧的信息。广播帧可以告诉您网络上正在发生的许多信息。因为它们在整个网络或至少 VLAN 上“广播”,所以很有可能 OptiView XG 无需分路器或端口镜像即可看到它们。网络组件,例如交换机和服务器,是庞大的广播组件。但终端用户工作站通常仅在进入网络或设置对话时生成广播。许多病毒和攻击使用广播帧了解网络上的其他设备以及如何利用它们的弱点。因此,偶尔产生这种广播的用户是绝对正常的 – 有规律地产生才是可疑的。


图 6

图 6.广播列表和生成的广播包的数量。


自由字符串匹配/数据包捕捉

捕捉和解码设备发送的实际对话是解译正在发生的情况的终极方式。OptiView XG 使所有这一切都变得如此容易。识别目标设备、对话或协议之后,只需触摸几下屏幕即可捕捉和保存帧。然后可选的 ClearSight™ Analyzer 软件即可解码帧并了解内部发生的情况。

需要指出的是解码加密的对话可能需要其他工具。


图 7

图 7.OptiView XG 数据包捕获设置。从主动设备和协议列表中选择目标后即可自动配置。

也可增强数据包捕捉,例如设置 OptiView XG,使其在帧中发现用户定义的词或模式时即捕捉帧。虽然也有其他工具可以在帧中预定义的位置进行模式匹配,但 OptiView XG 的“自由字符串匹配”使其能够发现帧中任意位置的模式。


主动测试

主动测试可大幅扩展 OptiView XG 的视野,并可找到被动监控无法发现的许多东西。这些测试的唯一的缺点是它们的信号可能会告诉攻击者他们正被追击。但是,发送的流量的量和类型很小,而且因为 OptiView XG 在网络管理社区之外的知名度不高,所以这些测试触发警报的可能性很小。


设备发现

虽然监听流量可以了解谁在网络上,但这种方法有两个明显的限制。首先,不说话的设备就无法显示。其次,在交换网络中,除非你通过分路器或使用端口镜像连接到主干,否则你就发现不了说话的设备。

OptiView XG 中的主动发现测试克服了这些困难。OptiView XG 使用许多技术探测网络,要求网络上的几乎所有设备都要响应。(虽然理论上无需响应 OptiView XG 的查询也可以连接网络,但这需要大量的经验,设备可能无法运行。)

图 8

图 8.OptiView XG 发现屏幕。


发现的设备按类型分类,例如服务器、打印机和无线设备。可以生成报告,方便将这些设备与已知良好设备的列表进行对比。利用将发现的设备导出到 CSV 文件的能力,可将发现信息导入其他系统进行分析。网络上意料之外的服务器或无线设备需要立即进行调查。

OptiView XG 的发现范围可以通过操作员控制。这控制着所发现列表的大小,以及需要的时间和生成的流量。这种发现通常是在 VLAN 范围内执行的,但可扩展到任意大的范围内。


网络制图和未知交换机

网络图以图形的方式显示网络中的设备及其相互关系。这可方便地查看设备在网络上的具体位置以及它们的连接方式。例如,选择特定的子网后,即可生成一张图,显示子网与站点、建筑或建筑楼层的关系。选择“报告”按钮,您可立即创建网络的图解,然后可以保存为 Visio 绘图文件。
交换机、路由器、主机和其他设备使用彩色编码,方便识别,链路同样如此显示。设备和链路上显示的信息是可自定义的。该图还会显示是否有“未知交换机” – 这些可能是没有管理 (SNMP) 能力的授权互连设备,也可能是未授权的设备。

图 9

图 9.网络图。



交换机分析

如果 OptiView XG 用户可以访问网络上的交换机,则他们可以使用 OptiView XG 的“设备详情”测试做进一步的分析。访问之前必须满足两个条件。首先,必须可以使用与 OptiView XG 连接的网络交换机的管理地址(端口)。在许多情况下,实际位于连接到交换机的工作站上不同的 VLAN 中。其次,OptiView XG 必须使用社区字符串 - 即用于访问 SNMP(简单网络管理协议)的密码 - 在交换机中编程。如果满足两个条件,即可运行下面的测试。

设备要在网络上看到或生成任何流量,就必须连接到交换机上的活动端口。OptiView XG 可以查询交换机并获得所有活动端口的列表。这可与以往测试得到的“已知良好”活动端口列表进行对比。所有当前活动端口(以往为非活动端口)都表示网络上的新设备。

OptiView XG 也可以提供关于有哪些设备连接到某个端口的信息。通常一个端口使用一个设备 – 多于一个可能表示未授权的设备(见图 10)。这样也容易跟踪未授权的设备,即使它是该端口上的唯一设备。如果有人在网络上放了一个未受管理的互连设备(连接了多个 MAC 的设备,无论有线或无线),这些会显示为“未受管理的设备”。可以识别这些上游交换机端口,从而关闭该端口或进行深入调查。OptiView XG 也可显示端口的使用率级别,从而帮助跟踪生成过量广播的设备,如上所述,这些设备是可疑设备。

图 10

图 10.OptiView XG 可列出连接至各交换机端口的设备。


设备详细信息

设备详细信息测试用于提取特定设备的相关信息,例如其 MAC 地址、DNS 名称、支持的协议以及它是否支持 IPv4、v6 或两者。您也可在设备上执行端口扫描(无论是 IPv4 或 v6)以进行漏洞评估。

无线

无线网络大大提高了灵活性和方便性,但也产生了新的漏洞。OptiView XG 可以帮助您找出这些漏洞。

不安全的无线接入点 (AP) 会成为您的网络的入口。OptiView XG 可以找到您的网络上的有线和无线接入点。如果接入点未授权,则可以有线方式使用交换机详情或以无线方式使用定位功能跟踪到特定端口。另外还可以验证接入点的安全设置。

图 11

图 11.OptiView XG 可发现无线设备并进行分类。


OptiView XG 也可发现网络上的无线设备,方式与有线类似。可以保存设备日志并通过对比快速发现上次审计之后新增的设备。


光谱分析

OptiView XG 的软件选项让安全专家可以透视隐藏在深处的 Wi-Fi 内部世界,让他们能够以一种更加智能的可视方式查看频谱。这让您可以查看、监控、分析和管理所有影响 Wi-Fi 网络性能和安全性的 RF 源和无线设备,即使这些设备是未经授权或暂时性的。这些频谱分析仪不能代替特定目的的产品,但可以显示干扰或尝试在 2.4 和 5GHz 带宽中传输的设备。

SNMP

SNMP 使 OptiView XG 可以访问上述交换机中的信息,但是它也可能成为安全风险。让设备启用 SNMP 并使用默认社区字符串(密码)会使它们很容易受到所有形式的攻击,包括对其进行完全重新编程。为避免发生这种问题,网络管理员可以混合使用以下部分措施:

  • 完全禁用 SNMP(这也会限制管理员管理设备的能力)
  • 从 SNMPv1 或 v2 升级到更安全的 SNMPv3
  • 将社区字符串改为更安全的密码
  • 仅允许通过独立的管理 VLAN 访问 SNMP 代理
  • 仅允许预定义列表中的设备访问 SNMP 代理
  • OptiView XG 可以测试和验证所有这些措施。


    IPv6

    虽然没有人可以预测什么时候 IPv6 能在企业网络中得到广泛的使用,但它实际上已经得到使用,应用于各种产品和操作系统之中。用户只需要插入一台这样的新设备,然后你的网络上就有了 IPv6。根据联邦采购条例,政府机构要求所有设备都经过 IPv6 功能认证。这会大幅提高政府网络中 IPv6 机器的数量。

    OptiView XG 可在 IPv6 网络上运行所有上述测试,还包括专门解决 IPv6 安全问题的具体测试。

    您可能想知道的第一件事就是网络上有多少 IPv6 流量。上面提到的被动协议测试可以立即显示是否有 IPv6 流量,以及有哪些设备正在生成。您可使用“最活跃会话”查看哪些设备在使用 IPv6 互相通信。

    然后是一系列 IPv6 主动测试。IPv6 设备使用类似于前面所述的的主动测试查找有 IPv6 功能的所有设备 – 无论它们是否主动生成 IPv6 流量。

    然后是路由器广播测试。广播不应存在的子网地址的非路由器可能是路由器或主机配置错误造成的,也可能表示恶意活动。通过发送虚假路由器广播,攻击者假装成路由器,子网上的所有其他主机会将离开子网的流量发送给攻击者主机,形成中间人攻击。


    图 12

    图 12.OptiView XG IPv6 测试套件,列出网络上发现的设备


    最后是隧道报告。隧道使 IPv6 可以在 IPv4 网络上运行。所有操作系统都支持隧道,通常可以自己启用。隧道本身不是问题,但因为它会以加密的方式运行并提供匿名寻址,所以会让您的网络容易受到攻击。隧道通常可以穿过防火墙和入侵检测系统 (IDS) 而不被发现。触摸“隧道”选项卡,OptiView XG 会显示利用隧道相互通信的所有设备,以及所用隧道类型。

    通过查看所用隧道类型,以及谁在使用,您即可对风险等级进行评估。本地网络中两台设备之间的隧道不是可疑的,但使用隧道与网络之外的设备通信可能意味着较高的风险。家庭网络通常使用 Teredo 隧道连接因特网,方式是在防火墙上做一个洞,让 NAT 通过。

    如果您在企业网中发现本地隧道,那么几乎没有风险,但如果本地设备有一条隧道的终端在本地网络之外,它就可能使企业网可以不受防火墙或入侵检测系统约束访问内部网络。


    报告

    除提供上面的信息之外,OptiView XG 还可生成这些信息的报告,方便未来审计时储存和对比。报告可以 PDF 和 HTML 格式提供,并含超链以方便使用。这些报告可保存在 OptiView XG 上也可使用远程 UI 保存在本地计算机上。

    OptiView XG 安全

    OptiView XG 设计用于支持安全环境下的工作。OptiView XG 上的用户账户控制对测试和敏感信息的访问权限,例如仪器中保存的密码。每个账户都可以设置所需的权限级别。如果需要远程控制,则可使用安装在客户端计算机上的远程用户界面应用程序通过专用通信协议提供。

    图 13

    图 13.OptiView XG 用户账户设置屏幕。


    OptiView XG 采用安全客户端的设计。使用触摸屏或管理界面访问时,可以锁定网络端口禁止从监控的网络访问 OptiView XG 上的 Windows 安装程序。这可避免 OptiView XG 被病毒或黑客感染


    取下装置底部的两颗螺丝即可方便地取出 OptiView XG 使用的 SSD 硬盘。这样安全官可以对网络执行全面的审计并移除 OptiView XG,同时将敏感数据(硬盘)安全地留在现场。将来返回审计时,可以方便地将安全保存的硬盘安装回 OptiView XG;然后可以使用以往审计的结果与当前网络状态进行对比。

    另外,美国政府机构和特定条约国可购买 OptiView XG 的“US DOD SECURE”版本。此产品配备硬化的操作系统和操作软件,且经过 DISA(国防信息系统局)的互操作性和信息保障 (IA) 认证后已被加入美国国防部 (DoD) 统一能力批准产品名单 (UC APL)。


    OptiView XG 安全测试总结

    测试/特点 评论
    修改 MAC 地址
  • 测试 MAC 访问控制安全
  • 允许伪造 MAC 地址
    802.1x 登录
  • 测试 802.1x 安全性
  •  
    协议
  • 查找网络上未授权的协议和应用程序以及谁在发送它们
  • 查找发送意外协议的设备
  • 查找发送大量意外协议的设备(例如广播)
  • 查找 IPv6 流量
  •  
    最活跃的会话
  • 确定本地工作站在与谁对话
  • 查找 IPv6 对话
  • 离线设备的网络名称
    捕获信息包功能
  • 收集数据包进行深入分析(解码)
  • “自由字段串匹配”可以查找帧中任意地方的任意模式
    设备发现
  • 保存网络中所有设备的清单
  • 确定是否可以从网络访问 SNMP 设备
  • 交换机或路由器之外的可见性;查找不发送信息的设备
    设备详情 - 接口
  • 查找交换机上的所有活动端口
  • 查找连接到各端口的设备
  • 查找设备连接到哪里
  • 验证 SNMP 安全设置
  • 查找连接了多个设备的端口

    OptiView XG 安全测试总结(续)

    测试/特点 评论
    设备详情 - 概览
  • 确定设备名称、支持的协议、IPv4 和 v6 支持
  • 也可查询本地网络上的脱机设备。
    无线接入点
  • 列出接入点并确定它们是否安全
  • 查找未授权的接入点
  • 支持 802.11 a/b/g/n/ac
    无线客户端
  • 查找不安全的用户
  • 查找未授权的用户
  • 支持 802.11 a/b/g/n/ac
    无线频谱
  • 查找运行在 802.11 带宽(2.4GHz 和 5GHz)下的设备(干扰源或非 801.11 无线设备)
  •  
    IPv6 设备
  • 确定是否有 IPv6 设备在网络上运行
  • 交换机或路由器之外的可见性;查找不发送信息的设备
    IPv6 路由器广播
  • 发现充当路由器的设备(潜在恶意设备)
  •  
    IPv6 隧道
  • 谁在使用隧道
  • 它们与谁对话
  •  
     
     
    Powered By OneLink