Nessus掃描技術在校園網安全防護中的應用研究

陳嘉玲

摘要：國內網絡環境日益成熟，幾乎所有的學校已構建校園網絡，并設置網站以提供師生許多的便利服務。校園內各個部門的網站服務眾多，卻不見得設置有類似于企業的防火墻的機制，管理者也欠缺網絡安全的警覺，使校園網絡經常是黑客喜愛的攻擊對象。因此，為了構建安全的校園網絡，使用掃描技術對校園網絡進行全面測試，找出其中的脆弱點，對于校園網安全防護具有重要的意義。在這種背景下，本文重點介紹了Nessus技術的應用。

關鍵詞：Nessus；網絡掃描；校園網1校園網絡安全技術概述

網絡上的軟硬件難免因設計上的不良或操作上的疏忽，使其含有安全方面的弱點，這些弱點會造成系統或網絡的安全漏洞，成為系統被入侵的渠道。為了提高被入侵的困難度，必須有其它更積極的預防措施，若能利用安全檢測工具自行檢查校園網絡系統是否存有安全弱點，修補弱點或加強安全監控，那么系統的入侵難度自然可大為提升。當然想要確認網絡上軟硬件的弱點，并不一定要使用安全檢測工具，只是就管理者而言，要知道每一個軟硬件的弱點是有其困難性，因為網絡管理者必須在閱讀冗長的咨詢報告后，自行判斷系統或檢測所用程序版本的信息，再借助網絡搜尋相關檢查程序，以及找出適合此系統弱點的修補程序。因此，合理應用安全檢測工具，可有效減少弱點的維護成本。Nessus是極優秀的安全檢測工具，功能強大且檢測速度快，可檢測的范圍涵蓋了所有網絡服務，適用于各種平臺與網絡設備，是當今最好的網絡安全檢測工具，并且費用低廉，所以本文將介紹Nessus來進行校園網絡安全的檢測。

2Nessus功能與實際運用

當網管人員大量檢測電腦系統的安全性時，無法依據各大網絡安全機構所發布的安全通告來一一檢查系統是否存在弱點與漏洞，此時便需依賴安全檢測工具來檢查。當設定了只掃描特定檢測程序時，由于Plugins之間可能有相依性，所以最好勾選Enable plugin dependencies功能，若沒勾選，有可能因欠缺另一檢測程序的檢測結果，導致網管人員選定的檢測程序無法掃描出真正結果。很多網絡病毒作用于Windows系統上，而學校多數電腦使用Windows環境，一臺一臺重復同樣步驟來檢測是件繁瑣的事，此時適合以Nessus安全檢測工具來針對這些網絡病毒進行大量檢測。

Nessus所開發的每個NASL檢測程序均是依據各大網絡安全機構所發布的安全通告發展而成。檢測結果主要是描述漏洞發生于何種系統、服務中，并且告知如何進行修正與核對措施。因為新的弱點與漏洞持續被發現，Nessus組織也持續發布新的NASL檢測程序，所以Nessus須勤加更新plugin，如果希望系統能自動更新，可使用crontab來做plugin的周期性更新。此外，Nessus也允許Nessus使用者自行依據各大網絡安全機構所發布的安全通告撰寫NASL語言。若想自行編寫新的檢測程序，熟知入侵行為模式是必備的。撰寫完的檢測程序必需上傳至Nessus Server才能使用，而Nessus Server預設不允許使用者上傳plugin，需將Nessus Server的組態檔nessusd.conf設定成Nessus使用者可上傳plugin，再重新啟動Server服務，使用者才能上傳使用。上傳的plugin存放在Nessus使用者個人路徑內，所以只有上傳該plugin的使用者可使用該檢測程序。

在Linux上，Nessus Client端有圖形界面與文字界面，文字界面所使用的掃描指令可利用系統的crontab，在plugin周期性更新后，再做安全掃描，以實現自動化。然而，網絡管理者仍須經常查看檢測結果，勤加更新修正系統。當安全檢測完成后，可根據檢測結果的建議進行修正漏洞，修正漏洞的方法通常是更新版本、執行PATCH檔或修正設定，但即使都按照建議進行修正后，也無法保證系統有百分百的安全性。因為系統本身仍潛藏著尚未被發現的漏洞，或是已發布的漏洞尚未撰寫成NASL檢測程序，所以管理者應該注意各大網絡安全機構所發布的安全通告，并且核對Nessus組織是否有發布新的Plugin，勤加更新Plugin，或者自行撰寫Plugin。這樣一來，才能確保有最新的Plugin，使可檢測的安全弱點也越齊全，也才能有較安全的校園網絡。

3小結

為了使校務運作正常、確保資料安全，對校園網絡進行全面的安全檢測是必不可少的。使用Nessus不僅減少已公布弱點的維護，相對提高了校園網絡被入侵的困難度，并可免于重復檢測的動作，尤其當有大量電腦需作檢測，更可減輕網絡管理的負擔。檢測后可能有大量電腦需進行更新修正，但對于更新版本、執行PATCH檔或修正設定，仍無法免于重復同樣的動作，目前并無大量電腦同時更新修正的機制。操作系統若是RedHat，那么可通過crontab使用APT來自動升級系統，只不過升級并不一定是最好的解決方法，因為新的版本畢竟可能潛藏著尚未被發的安全問題。此外，APT套件本身仍在發展階段，所以使用了這個套件并無任何保證。至于Windows環境，只要微軟有繼續支援，可使用Windows Update來更新修正。

[參考文獻]

[1]龔靜.高校校園網的安全與防護[J].教育信息化.2005(04).

[2]胡勇.入侵檢測系統分析研究[J].中國電力教育.2008(11).