[网络协议]绿盟RASA漏扫

RSAS 是绿盟的一款漏扫设备

系统是基于漏洞数据库 通过扫描手段 对计算机进行扫描检测计算机的安全脆弱性

发现可能被利用的漏洞一种安全检测行为

高效 准确发现系统安全漏洞

资产风险管理

漏洞管理

漏洞解决

?

专注于系统安全

基础架构 :操作系统 数据库 中间件 通信协议

应用系统 应用软件 应用系统 虚拟系统

硬件设备 网络设备 安全设备 办公自动化产品

我们产品优势

除了去扫描系统漏洞

还可以扫 弱口令 ?防火墙策略配置 ?远程访问不进行数据加密等

?

原理流程

RASA有一个知识库

扫描原理

先进行存活判断

在进行端口扫描

然后识别系统 服务

然后启动各模块 比方弱口令 精确单点扫描 版本扫描

RASA收到 信息就会跟知识库 进行匹对和验证

判断存活方式

最简单的ICMP ping 或者TCP ping ，UDP ping

扫描原理

ICMP ping 就是发出请求你给出回应 就表示主机可达 主机存在

TCP ping 呢就是发出SYN/SYN+ACK/三次握手 并记录端口号

UDP ping 有一些协议收到了UDP ping 对于关闭的UDP端口返回一个ICMP port Unreach的错误信息

端口扫描原理

TCP connect 主要是抓取 Banner信息 里面包含了端口 端口服务 以及服务协议版本（小小的说一句 这种扫描对授权客户可以进行要是对未受权的不建议 因为会留下信息）

他主要是TCP完整握手

TCP syn 扫描 我发送第一个TCP包你返回一个SYN+ACK 我判断你这个端口开放 但我不会在发最后一个TCP握手包 这种半连接扫描不会留下记录 但是要是中间有IDS IPS代服务器建立连接的话 就会被阻断 所以信息不准确

UDP 扫描 不建议用 时间长 不可靠

系统识别的原理

通常你扫描对面 返回的特征来做判断 就是TTL值

TTL <=64的就是Linux/unix

64<TTL<=128:就是windos

TTL=255某些Unix

当然这种判断不能完全准确 要是出现三层环路你懂的这种概率虽然非常非常小但是网络环境复杂都有可能

缺陷就是 中间要是有防火墙 NAT 等就会干扰准确性

识别版本原理

探测到Banner信息 匹配RASA漏洞库中与之对应的端口服务漏洞 常见的web（ 比方有Apache Tomcat Nglnx php 等等 ）ssh? oracle ftp ntp mysql等等

误报率有点高

本地扫描

本地扫描就是登入到电脑上进行扫描

win

检测补丁 浏览器漏洞 ?通用软件服务漏洞

Linux

通用软件服务漏洞 本地提权漏洞

原理扫描

就是扫描到漏洞就构造攻击去验证

设备部署

M口192.168.1.1

业务口 1到6 对应 192.168.2.1---192.168.7.1

http：192.168.1.1 默认admin

串口登入

波特率115200

账号密码Conadmin

配置网关只能在串口下进行 web页面下不能配置，重装系统也是重装系统除了ip配置和授权使用以及证书其他全部被清空

部署

旁路部署

多级分布式部署（适用于大型复杂网络 就是多个旁路）

建议与ESPC进行联动 这样日志就可以集中管理

设备本身 分布式部署

设备情况

在状态目录 可以看到设备版本信息 出厂信息 以及授权信息 重点是这个授权信息里面的授权ip个数 每扫一个 就会减少一个

Web扫描口配置

没有M口配置

但可以配置业务口

同网段扫描不用网关配置

垮网段扫描需要配置网关

扫描任务

新建任务

建议用本地扫描 但你需要提供登入的登入账号

本地扫描配置

账号密码 登入协议（win 就用samba 其他用rdp ）

同时有C盘共享权限

可以用

net share查看

打开共享命令是 ：net share c$=c:\ /grant:everyone,full（删除共享net share c$ /delete）开启server

网络访问：本地账户的共享和安全模式改为 经典对本地进行身份验证 不改变其本来身份

本地策略组找