内容
带走:
渗透测试可帮助系统管理员掌握所需的信息,以确定系统和网络中可接受的风险级别。
想象一下,您的服务器类似于您称之为家的房子。现在考虑一下黑客作为盗贼。您是否愿意打赌您的工作是这样的事实,即使您前门上的锁会阻止入侵者进入,而您的双层玻璃窗也会进入? IT也是如此:要真正确定他们知道自己所面临的风险,每个IT部门都需要对其系统和网络进行全面且频繁的渗透测试。
安全专业人员使用渗透测试来帮助更好地了解其系统和网络的风险。在这里,很好地了解这种重要类型的测试涉及的内容以及它如何帮助将坏人拒之门外。
互联网=风险
据说最安全的计算机是已关闭的计算机,因此未连接到网络。连接的任何内容都构成了黑客的风险。即使是像网络就绪设备这样的无害设备,也可能最终使攻击者可以访问整个局域网。黑客要做的就是成功利用ers软件错误之一。如今,攻击者甚至可以唤醒远程计算机,并对其进行处理!即使这样,无论您是普通用户还是经验丰富的系统管理员,都非常需要认真考虑您对Internet的了解。
黑客类型
幸运的是,并非所有高技能的工程师都想击败安全措施。其中一些,即道德黑客,旨在改善它们。它们通常被称为“白帽”,而正如反义词所暗示的那样,“黑帽”则对相反的事物感兴趣。他们有意攻击系统和网络以利用其漏洞。它们旨在消灭它们或利用它们以发挥其优势,并且受到各种议程的驱动。 (要了解有关黑客的积极方面的更多信息,请参阅5个值得感谢黑客的理由。)
外部/内部测试
以Internet服务器为例,了解系统管理员如何考虑其在安全方面的弱点至关重要。从根本上讲,用最简单的术语来说,它是了解攻击者如何看待系统内部和外部的关键。那是因为服务器从外部和内部的外观完全不同。
到Internet时,服务器可能被防火墙防火墙保护,端口保持打开状态,以提供诸如SMTP和网站HTTP之类的服务。这些是面向网络的服务。由于运行上述网络服务的数十万甚至数十万行软件以及其他运行服务器本身的关键,在服务器本身上潜藏着无数潜在的安全漏洞。这些安全漏洞被称为本地漏洞利用。
没有错误,没有压力-在不破坏生活的情况下创建可改变生活的软件的分步指南
当没有人关心软件质量时,您就无法提高编程技能。
提供保护的工具
幸运的是,有一些行业工具为系统和网络管理员做了大量的工作。 Nessus是一种特别流行的工具,它由一家名为Tenable Network Security的公司生产。 Nessus是市场上几种类似的工具之一,直截了当,如果放任您面向网络的服务,可以立即对其进行配置,以安全地攻击您的服务器或全力以赴,从而可能导致服务器崩溃。在期间失败 模拟的 攻击。 Nessus生成的详细报告是如此详尽,以至于管理员可以准确地深入研究服务器上发现的漏洞,以快速修复它。
Nessus较少使用的功能是其在服务器上的本地安装。一台Nessus安装程序可以轻松扫描多个远程服务器的面向网络的服务。通过更进一步并在每台服务器上安装Nessus,管理员可以收集极其细致的详细信息,范围从用户帐户漏洞利用到已知安全措施,否则可能会对其他版本的安全软件造成损害。即使相关的软件供应商尚未成功解决该特定问题,Nessus也会告诉您您的系统存在风险。即使是经验最丰富的管理员,也能大开眼界。
强大的Nessus备受推崇的替代品是完全致力于提高安全性的Linux发行版,称为BackTrack Linux。随发行版捆绑了许多高度复杂的安全工具,其有效性是毋庸置疑的。它具有非常有用的工具,因此非常适合新手和高级用户,因此在人群中脱颖而出。公共和私营部门组织都在使用它,其中包括出色的OpenVAS软件,该软件将自己描述为“世界上最先进的开源漏洞扫描程序和管理器”。任何有抱负的白帽子都会比开始安装BackTrack Linux并花费一些时间来了解OpenVAS还要糟糕。 (要了解更多信息,请查看BackTrack Linux:轻松进行渗透测试。)
可接受的风险水平
互联网肯定不总是曾经的欢乐环境。因此,至关重要的是,系统和网络经常要进行详细的渗透测试。掌握了Nessus等工具提供的有用信息后,管理员就可以对其可接受的风险水平做出明智的选择。因为现实是就像您的家一样,为了使网络既实用又实用,必须存在渗透的风险。考虑此风险,是在所需功能和额外安全性始终带来的必要开销之间进行权衡。