Cosa dovrebbe fare un sistema di gestione delle vulnerabilità su larga scala

6

Su larga scala (~ 1500 workstation, ~ 100 server, ~ 50 router di rete e switch, ecc.), cosa dovrebbe essere sottoposto a scansione da un sistema di gestione delle vulnerabilità? Dovrebbe eseguire la scansione di tutto, o solo campioni?

So che idealmente il VMS deve scansionare tutto, ma non sono sicuro che sia fattibile.

    
posta lisa17 15.02.2012 - 12:14
fonte

2 risposte

5

Scansione di tutto; tutte le porte e i protocolli.

Scansione delle porte TCP aperte:

  1. Scanner invia TCP SYN a target 1650 × 65.536 porte = 108.132.750 intestazioni IP 160-bit + 108.132.750 Pacchetti TCP SYN da 160-bit = 34.602.480.000 bit @ 1 Gbit / s = 32.23 secondi; ovviamente, dovrai andare almeno due volte più lentamente in modo che le risposte dal basso possano utilizzare la larghezza di banda.
  2. 1650 target × 65.535 porte rispondono con 108.132.750 pacchetti ICUN PORT_UNREACH a 96-bit o 108.132.750 intestazioni IP 160-bit + 160-bit TCP SYN-ACK payload = non più di 34.602.480.000 bit @ 1 Gbit / s = almeno 32.23 secondi.
  3. Tutte le porte TCP in ascolto su tutti i sistemi della rete possono, teoreticamente, essere scoperte in 64.45 secondi se non c'è perdita di pacchetti ( dimensioni del fotogramma del livello OSI 2 non prese in considerazione ).

È simile per UDP; tuttavia, il carico utile è inferiore.

La scoperta di tutte le porte TCP e UDP in ascolto su tutti i sistemi della rete può, teoreticamente, essere completata in 128.90 secondi (le dimensioni dei fotogrammi del livello OSI 2 non vengono prese in considerazione).

Altri protocolli = 1 pacchetto per target in ogni direzione; tuttavia, i server DHCP sono in attesa l'uno dell'altro, quindi scoprire tutti loro è un po 'più complicato.

Direi che tutti i servizi direttamente disponibili sulla tua rete possono, teoreticamente, essere determinati entro 180 secondi.

Quindi devi analizzare tutti i servizi direttamente disponibili per le vulnerabilità. Una stima approssimativa sarebbe che disponi di servizi disponibili per 1650 × 5 = 8.250 servizi direttamente disponibili. Direi che in media non ci vorranno più di 10 secondi per servizio direttamente disponibile. Pertanto, tutti i servizi direttamente disponibili possono, teoricamente, essere scansionati per vulnerabilità entro 180 secondi + 8.250 × 10 secondi = 82.680 secondi = 22.97 ore.

Realisticamente, occorreranno almeno 3 giorni a 1 Gbit / s.

Ora, solo per quello che sai, un hacker potrebbe scoprire tutti i servizi standard vulnerabili sulla tua rete entro poche ore, se è un kiddie dello script, o entro un'ora, se non lo è. Vale a dire, l'intera rete può essere pwned entro 3 ore se c'è un punto di ingresso e ci sono vulnerabilità, a seconda di chi lo sta facendo.

Questo è solo IPv4, però; hai IPv6?

    
risposta data 15.02.2012 - 16:30
fonte
3

C'è molto altro da scannerizzare che solo porte e servizi. VMS può accedere ai computer per eseguire controlli sulla configurazione del sistema operativo, sul livello di patch, sulla sicurezza della password e persino sulle impostazioni di Windows AD. A seconda dei tuoi scopi e intenti, dovresti fare anche questo tipo di scansioni. Otterrai una visione più approfondita (e il controllo) su cosa c'è dietro i firewall e su ciò che l'attaccante esterno potrebbe vedere, il che è importante per impostare una sorta di "difesa in profondità" a livello di host / nodo.

Per una rete così grande, questi tipi di scansioni devono essere eseguiti su più nodi di scansione.

    
risposta data 16.02.2012 - 18:48
fonte

Leggi altre domande sui tag