RSAS 是绿盟的一款漏扫设备
系统是基于漏洞数据库 通过扫描手段 对计算机进行扫描检测计算机的安全脆弱性
发现可能被利用的漏洞一种安全检测行为
高效 准确发现系统安全漏洞
资产风险管理
漏洞管理
漏洞解决
专注于系统安全
基础架构 :操作系统 数据库 中间件 通信协议
应用系统 应用软件 应用系统 虚拟系统
硬件设备 网络设备 安全设备 办公自动化产品
我们产品优势
除了去扫描系统漏洞
还可以扫 弱口令 防火墙策略配置 远程访问不进行数据加密等
原理流程
RASA有一个知识库
扫描原理
先进行存活判断
在进行端口扫描
然后识别系统 服务
然后启动各模块 比方弱口令 精确单点扫描 版本扫描
RASA收到 信息就会跟知识库 进行匹对和验证
判断存活方式
最简单的ICMP ping 或者TCP ping ,UDP ping
扫描原理
ICMP ping 就是发出请求你给出回应 就表示主机可达 主机存在
TCP ping 呢就是发出SYN/SYN+ACK/三次握手 并记录端口号
UDP ping 有一些协议收到了UDP ping 对于关闭的UDP端口返回一个ICMP port Unreach的错误信息
端口扫描原理
TCP connect 主要是抓取 Banner信息 里面包含了端口 端口服务 以及服务协议版本(小小的说一句 这种扫描对授权客户可以进行要是对未受权的不建议 因为会留下信息)
他主要是TCP完整握手
TCP syn 扫描 我发送第一个TCP包你返回一个SYN+ACK 我判断你这个端口开放 但我不会在发最后一个TCP握手包 这种半连接扫描不会留下记录 但是要是中间有IDS IPS代服务器建立连接的话 就会被阻断 所以信息不准确
UDP 扫描 不建议用 时间长 不可靠
系统识别的原理
通常你扫描对面 返回的特征来做判断 就是TTL值
TTL <=64的就是Linux/unix
64<TTL<=128:就是windos
TTL=255某些Unix
当然这种判断不能完全准确 要是出现三层环路你懂的这种概率虽然非常非常小但是网络环境复杂都有可能
缺陷就是 中间要是有防火墙 NAT 等就会干扰准确性
识别版本原理
探测到Banner信息 匹配RASA漏洞库中与之对应的端口服务漏洞 常见的web( 比方有Apache Tomcat Nglnx php 等等 )ssh oracle ftp ntp mysql等等
误报率有点高
本地扫描
本地扫描就是登入到电脑上进行扫描
win
检测补丁 浏览器漏洞 通用软件服务漏洞
Linux
通用软件服务漏洞 本地提权漏洞
原理扫描
就是扫描到漏洞就构造攻击去验证
设备部署
M口192.168.1.1
业务口 1到6 对应 192.168.2.1---192.168.7.1
http:192.168.1.1 默认admin
串口登入
波特率115200
账号密码Conadmin
配置网关只能在串口下进行 web页面下不能配置,重装系统也是重装系统除了ip配置和授权使用以及证书其他全部被清空
部署
旁路部署
多级分布式部署(适用于大型复杂网络 就是多个旁路)
建议与ESPC进行联动 这样日志就可以集中管理
设备本身 分布式部署
设备情况
在状态目录 可以看到设备版本信息 出厂信息 以及授权信息 重点是这个授权信息里面的授权ip个数 每扫一个 就会减少一个
Web扫描口配置
没有M口配置
但可以配置业务口
同网段扫描不用网关配置
垮网段扫描需要配置网关
扫描任务
新建任务
建议用本地扫描 但你需要提供登入的登入账号
本地扫描配置
账号密码 登入协议(win 就用samba 其他用rdp )
同时有C盘共享权限
可以用
net share查看
打开共享命令是 :net share c$=c:\ /grant:everyone,full(删除共享net share c$ /delete)开启server
网络访问:本地账户的共享和安全模式改为 经典对本地进行身份验证 不改变其本来身份
本地策略组找