¿Qué debe escanear el sistema de administración de vulnerabilidades a gran escala?

6

En una escala grande (~ 1500 estaciones de trabajo, ~ 100 servidores, ~ 50 enrutadores y conmutadores de red, etc.), ¿qué debería escanear un sistema de administración de vulnerabilidades? ¿Debería escanear todo, o solo muestras?

Sé que lo ideal es que el VMS tenga que escanear todo, pero no estoy seguro de si eso es posible.

    
pregunta lisa17 15.02.2012 - 12:14
fuente

2 respuestas

5

Escanear todo; Todos los puertos y protocolos.

Exploración de puertos TCP abiertos:

  1. El escáner envía TCP SYN a 1650 destinos × 65,536 puertos = 108,132,750 encabezados IP de 160 bits + 108,132,750 paquetes TCP SYN de 160 bits = 34,602,480,000 bits @ 1 Gbit / s = 32.23 segundos; por supuesto, deberá ir al menos dos veces más lento para que las respuestas de abajo puedan usar el ancho de banda.
  2. 1650 destinos × 65,535 puertos responden con 108,132,750 paquetes ICMP PORT_UNREACH de 96 bits o 108,132,750 encabezados IP de 160 bits + TCP SYN-ACK de 160 bits = no más de 34,602,480,000 bits a 1 Gbit / s = al menos 32.23 segundos.
  3. Todos los puertos TCP que escuchan en todos los sistemas de su red pueden, en teoría, ser descubiertos en 64.45 segundos si no hay pérdida de paquetes ( los tamaños de trama de la capa 2 de OSI no se tienen en cuenta ).

Es similar para UDP; sin embargo, la carga útil es menor.

El descubrimiento de todos los puertos TCP y UDP que escuchan en todos los sistemas de su red puede, en teoría, completarse en 128.90 segundos (los tamaños de trama OSI de capa 2 no se tienen en cuenta).

Otros protocolos = 1 paquete por objetivo en cada dirección; sin embargo, los servidores DHCP se esperan entre sí, por lo que descubrirlos todos es un poco más complicado.

Diría que todos los servicios disponibles directamente en su red pueden, en teoría, determinarse en 180 segundos.

Luego tiene que escanear cada servicio disponible directamente en busca de vulnerabilidades. Una estimación aproximada sería que tiene 1650 × 5 servicios disponibles = 8,250 servicios disponibles directamente. Yo diría que en promedio no tomará más de 10 segundos por servicio directamente disponible. Por lo tanto, todos los servicios disponibles directamente pueden, teóricamente, analizarse en busca de vulnerabilidades en 180 segundos + 8,250 × 10 segundos = 82,680 segundos = 22.97 horas.

De manera realista, tomará al menos 3 días @ 1 Gbit / s.

Ahora, para que lo sepas, un pirata informático podría descubrir todos los servicios estándar vulnerables en su red en unas pocas horas, si es un niño de script, o en una hora, si no lo es. Es decir, toda su red puede ser pwned dentro de 3 horas si hay un punto de entrada y hay vulnerabilidades, dependiendo de quién lo haga.

Sin embargo, eso es solo IPv4; ¿Tienes IPv6?

    
respondido por el nlovric 15.02.2012 - 16:30
fuente
3

Hay más para escanear que solo puertos y servicios. VMS puede iniciar sesión en las computadoras para realizar verificaciones en la configuración del sistema operativo, el nivel de parche, la seguridad de la contraseña, incluso la configuración de Windows AD. Dependiendo de sus propósitos e intenciones, también debería realizar estos tipos de análisis. Obtendrá una visión más profunda (y un control) de lo que hay detrás de los firewalls y más allá de lo que pueda ver el atacante externo, lo cual es importante para configurar una especie de "defensa en profundidad" en el nivel de host / nodo.

Para una red tan grande, estos tipos de exploraciones deben realizarse en múltiples nodos de exploración.

    
respondido por el schroeder 16.02.2012 - 18:48
fuente

Lea otras preguntas en las etiquetas