【虹科干貨】ntopng如何將漏洞掃描與流量監控相結合,以提高網絡安全性
ntopng為人所知的“身份”是被動流量監控。然而,如今的ntopng6.0也進化出主動監控功能來,漏洞掃描功能便是其中一個。那么漏洞掃描功能是什么?其獨特之處是什么?用戶該如何使用?
新的漏洞掃描和CVE支持,可以實施漏洞報告,也可以掃描主機、端口并查找CVE,ntopng的獨特之處在于將流量分析與漏洞評估合二為一。這意味著可以根據實際流量定位CVE(即如果沒有人訪問服務,嚴重漏洞就不會有太大問題),或發現流量中從未使用過的開放主機端口。那么,用戶該如何使用呢?
一、網絡漏洞掃描儀是什么
ntopng最初是作為被動流量監控工具設計的。多年來,ntopng增加了網絡發現、SNMP等主動監控功能,現在又增加了漏洞掃描功能。 網絡漏洞掃描儀是一種工具,旨在通過執行主動服務掃描,識別網絡服務(如網絡或SSH服務器)中的漏洞(通常稱為CVE)。
在ntopng中,我們決定用主動掃描來補充被動流量,有以下三個原因:
l 找出漏洞,幫助網絡和安全管理員實施健康的網絡。
l 將被動流量分析與主動流量分析相結合是ntopng的獨特之處。這樣,我們就能識別:
不使用的主動網絡服務,因此可以將其安全關閉。
漏洞的嚴重程度:幾乎沒有流量交換的高危服務比漏洞不嚴重的常用服務問題要小。
隱藏服務,即我們觀察到流量但掃描儀無法看到(即端口已關閉)的服務。
l 識別不發送/接收有意義流量(即除ARP或組播以外的流量)且(可能)代表閑置資產的活動主機(進行掃描)。在可能的情況下,需要關閉這些主機,因為它們未被使用,而且可能未被管理,會給整個網絡帶來安全問題。
二、如何使用漏洞掃描器
ntopng漏洞掃描設計為開放式、模塊化的,這樣我們就可以添加新的組件到掃描引擎中。目前它具有以下模塊:
l TCP和UDP端口掃描
l CVE和漏洞
迄今為止,上述所有模塊均基于nmap并針對Vulscan上的漏洞:ntopng圍繞工具實現了GUI,將掃描輸出與ntopng 流量分析進行匹配,并使用ntopng標準機制發送警報。
1、訪問漏洞掃描模塊
可以從“監控”下的左側邊欄訪問漏洞掃描模塊。第一步添加可掃描的主機(或一組主機):您可以定義掃描類型、要掃描的端口(如果端口字段為空則為所有端口,或一組指定端口)、主機或要掃描的網絡,以及掃描周期(一次或定期ntopng每天或每周執行的掃描)。
2、并發掃描數量
默認情況下,ntopng最多執行4個并發掃描,可以根據用戶需求在首選項中進行修改(最小1個,最大16個)。
3、獲得掃結果摘要
單擊報告頁面,可以獲得掃描結果的摘要,可以打印或通過電子郵件發送。如果在ntopng監控的流量中未觀察到掃描的端口,則端口旁邊會出現一個幽靈圖標。
如果發現了 CVE 掃描,則會根據其嚴重程度(用圓括號報告)列出,數字最高為 10。
4、點擊CVE徽章,頁面將被重定向到詳細描述CVE的漏洞數據庫。
