我们目前在我的组织中设置了内部和外部漏洞扫描程序。今天早上,我们的外部扫描仪正在通过一个新的外部 DDoS 保护服务,而不是直接在我们的公共 IP 空间。(我们对除 DDoS 提供商之外的任何人都设置了防火墙。)我认为这很奇怪,因为我只针对我们的直接 IP 并为外部漏洞扫描程序 IP 设置防火墙豁免。
然后我被告知外部扫描仪没有例外情况,并且会通过与访问者相同的安全措施。我的大脑说外部扫描仪应该查看核心应用程序而不是安全措施。内部扫描仪确实从内部扫描 DMZ。
部署外部漏洞扫描程序的正常方法是什么。它应该像访客一样进行扫描,还是应该像没有安全控制一样进行扫描?(考虑到我们确实有一个内部扫描仪,它会扫描 DMZ 目标。)
我想这取决于情况。
我对您上面描述的内容的担心是,如果您没有直接访问您的公共 IP 空间(依靠您的防火墙设置来丢弃任何不是来自您的 DDoS 保护服务的内容),那么您相信没有漏洞或错误- 配置存在于您的防火墙中。
您描述的设置是假设任何攻击都将通过访问者采取的路线进行,这绝不是确定的。您想假设攻击将通过所有可能的方式向您袭来。
如果外部漏洞扫描旨在测试您的 DDoS 保护服务,那么可以,但我也会确保扫描公共 IP 范围。我还质疑针对 3d 方服务运行漏洞扫描的智慧,尽管这可能需要一些里程来确认诸如支持哪些 TLS cipersuites 之类的事情。
直接回答问题;我想要一个外部漏洞扫描来打击我所有的外部攻击面。从你所说的听起来你好像错过了一些外部攻击面给我。
我将以痛苦的阿姨格式解释我的答案的基本原理,部分原因是它在很大程度上取决于漏洞扫描的目的。我的答案在底部。
定义:
IPS / anti-DDOS - 出于这个问题的目的,我假设这是第 3 方服务,它将来自公众的请求代理到您的底层系统(例如 CloudFlare 或 Incapsula)。但是,其中许多概念适用于您在自己的外围网络上运行的 IPS。IPS = 入侵防御系统。
底层系统 - 这些是您实际拥有和控制的系统,假设在您的外围网络上。
我想评估我的 IPS 或反 DDOS 服务在防止漏洞扫描方面的效果
多么奇怪的要求!?那么在这种情况下,您应该考虑通过您的 IPS/anti-DDOS 服务运行漏洞扫描。您从此类练习中获得的结果将大致告诉您,如果攻击者运行相同的扫描,他们会看到什么。
我想评估我的 IPS 或反 DDOS 服务在防止利用我的底层系统漏洞方面的有效性
由于它们的本质,漏洞扫描不太可能帮助您解决此问题。漏洞扫描需要以合理的速度运行以提高效率(他们通常必须检查很多漏洞才能彻底),并且 IPS/anti-DDOS 服务旨在阻止看起来像这样的网络模式(即自动化)。他们可能找不到很多,但这并不意味着没有可以被人类利用的漏洞。
您可能需要考虑让渗透测试人员尝试利用已知漏洞。有一个你知道存在于底层系统上的漏洞基准是有意义的。
我想检测我的底层系统上可能存在的漏洞
首先,这是一个非常好的主意,因为这些是您实际拥有和控制的系统,并且在安全方面有一些责任。
我们已经确定,如果这是您的最终目标,那么通过正常运行的反 DDOS 和/或 IPS 进行漏洞扫描是一个坏主意。扫描仪很有可能会在人类攻击者可能成功的地方被阻止。
但是,漏洞扫描仍然是一种非常有效的检测问题的方法,因此我们不想将其丢弃。如果您在 IPS/anti-DDOS 服务中将扫描仪的 IP 地址列入白名单,它应该能够不间断地扫描。或者,您可以允许通过防火墙直接访问此 IP(尽管规则应该模仿用户可以通过反 DDOS 系统看到的内容)。您可能需要考虑仅在计划的扫描时间激活这些规则。
从内部角度进行扫描也可能是有效的。理想情况下,您需要多层保证,理想情况下,其中之一是扫描任何不干扰扫描的网络设备,例如您的外围防火墙。如果不使用外部 IP 地址,这可能是不可能的,此时它可能与您的外部扫描没有什么不同。
请记住,反 DDOS / IPS 服务可能会缓解一些检测到的问题。在这种情况下,请参阅我想评估我的 IPS 或反 DDOS 服务在防止利用我的底层系统上的漏洞方面的有效性部分。
渗透测试员可能会为您提供更多通过 IPS/反 DDOS 进行测试的空间,但它仍然可能不是他们识别漏洞的最有效方法。
我想确保我的防火墙确实阻止了除反 DDOS 服务之外的所有内容
针对您的底层系统运行外部端口扫描,其中扫描程序没有任何特殊的防火墙例外。漏洞扫描通常从端口扫描开始,因此它们应该就足够了。
如果您确实确定了其他面向 Internet 的服务,并且它们不能简单地被过滤掉(即它们是必需的),那么您就没有充分的理由不应该对它们进行漏洞扫描。
漏洞扫描不一定是对现实世界攻击的良好测试,但它对管理员仍然非常有用。IPS 和反 DDOS 服务可能会干扰结果,从而阻止检测仍然可以被人类利用的漏洞。
在优先级方面,根据您拥有的资源,这是我关注的内容(按顺序):
对您自己的底层网络进行漏洞扫描。允许您的漏洞扫描程序与防 DDOS 服务相同的访问权限,或将防 DDOS 服务列入白名单。
确定您的 IPS / anti-DDOS 服务在缓解优先级 1 中发现的任何漏洞方面的有效性。最好使用渗透测试仪。或者,不要打扰,只要解决所有问题。
渗透测试确实超出了这个问题的范围,但是由于我们已经确定漏洞扫描并不是模拟真实攻击的好方法,我认为应该将其作为获得保证的另一种方法来提及。它可以提供一些您可能试图通过反 DDOS 运行扫描来实现的真实感。
两种方法之间存在权衡。如果您有资源,请选择这两种方法。如果您的能力有限,我的首选仍然是通过反 DDOS 提供商进行扫描。
安全扫描器本质上是一种测试,测试环境应尽可能与现实世界相似,以确保准确。
现实世界的环境是复杂的,并且会在没有通知的情况下发生变化。如果您要按照您所描述的去做,那么您就是在假设特殊规则总是适用的。IP更改时会发生什么?当您将异地站点放入时会发生什么?人们将这些更改放入其中,而不是自动想到它可能影响系统其余部分的所有不同方式以及某处存在哪些硬编码规则。
遵循访问者的正常规则意味着外部扫描仪以与其他人完全相同的方式查看事物。如果您的 DDOS 提供商在他们的网络上有一些奇怪的漏洞,扫描会发现它。
为外部扫描程序设置一个特殊规则意味着流量可能会以不同的方式路由,或者由于您设置了异常而发生了其他一些奇怪的事情。在你没有想到的事情出现之前,这一切听起来基本上是等价的。
在现实世界的运营中,事情会发生。我们都喜欢认为手术每天都在进行,但特殊情况可能会突然而剧烈地改变事情,并使您处于您没有计划的情况。
供应商倒闭,供应商在不通知您的情况下更改规则等等。您可能突然需要消除反 DDOS 供应商,因为您怀疑它会导致一些问题。然后你的测试突然无效,因为环境不同,你可能突然意识到你很容易受到你甚至不知道的事情的影响。现在怎么办?
理想情况下,两次扫描都应该显示完全相同的内容。如果是这样,那就太好了。如果没有,您可能需要进一步调查并找出原因。如果您必须选择一种方法,我会推荐第一种方法,因为它涵盖了更多的场景,并且更好地模拟了“现实世界”。
我不能代表业务最佳实践,但由于我个人的服务器漏洞,外部测试就是这样,外部的。扫描仪正在测试外部可能出现的问题,因此访问者的访问方法听起来完全正确。