电子说
想要保护网络安全?了解漏洞扫描的重要性是关键一步。本期我们将介绍使用ntopng漏洞扫描的实施方法,帮助您建立更加安全的网络环境。
ntopng 是用于监控计算机网络流量的计算机软件,具有非常丰富的可视化图表。它能从流量镜像、NetFlow 导出器、SNMP 设备、防火墙日志和入侵检测系统中收集流量信息,从而提供 360° 的网络可视性。ntopng依靠 Redis 键值服务器而非传统数据库,利用 nDPI 进行协议检测,支持主机地理定位,并能显示连接主机的实时流量分析。
ntopng 既能被动监控网络,也能执行漏洞扫描,其目标是检测已知的 [CVE](常见漏洞和暴露),并发现所提供服务中的 TCP 或 UDP 开放端口。
当前的实现利用了 [nmap] 和 [vulscan]。只需定义[新模块],代码就能添加新的扫描器类型。
在 “漏洞扫描 ”页面,可以查看可扫描的注册主机,以及上次执行扫描的各种详细信息,例如
在 ntopng 执行 TCP 或 UDP 端口扫描后,ntopng 会将网络监控检测到的开放端口与漏洞扫描中发现的开放端口进行比较:
如果 Vulnerability Scan(漏洞扫描)发现了一个开放的 TCP(或 UDP)端口,而根据网络监控的结果,该端口当前并没有被使用,那么在特定主机的开放 TCP(或 UDP)端口数附近就会显示一个 ghost 图标。
如果 “漏洞扫描 ”未能识别实际正在使用的 TCP(或 UDP)端口,但 ntopng 已通过网络监控检测到该端口(该端口已被 “漏洞扫描 ”过滤),则会在特定主机的开放 TCP(或 UDP)端口数量附近显示一个过滤器图标 filter。
页面底部有三个按钮:
在执行 “全部扫描 ”结束时,如果通知端点和相关收件人的 “通知类型 ”设置为 “漏洞扫描报告”,则会在周期性漏洞扫描结束时发送通知。
单击 “漏洞扫描 ”页面上的 “+”图标,用户可以添加新主机或包含特定 CIDR 下的所有活动主机。
如果用户指定了特定的活动主机,ntopng 将自动在端口字段中填入该主机的已知服务器端口。如果未知,则该字段将为空,所有端口都将被检查。请注意,扫描所有端口可能需要很长时间,因此我们建议(如果可能的话)将扫描限制在一小部分端口集上。
选择主机和端口后,必须选择一种漏洞扫描类型。目前支持五种类型的漏洞扫描:
注意:定期扫描需要 ntopng Enterprise L 或更高版本。
扫描可以按需执行(一次)或定期执行。您可以选择指定每日扫描(每天午夜执行)或每周扫描(每周日午夜执行)。为了避免恶意扫描占用网络,每次只执行一次扫描。
如果启用了 “通知类型 ”设置为 “漏洞扫描报告 ”的通知端点和相关收件人,则会在定期漏洞扫描结束时发送通知。
单击特定行的 “操作 ”下拉菜单可提供以下选项:
另外在设置首选项页面的 “漏洞扫描 ”选项卡下,可以
单击特定行的 “操作 ”下拉菜单中的 “显示上次扫描报告 ”按钮,可让 ntopng 显示所选主机的上次扫描报告。
如果定期执行扫描,ntopng 会对每次扫描迭代进行比较,并在出现新端口开放或 CVE 数量发生变化等情况时生成警报。警报需要在行为检查页面启用,如下所示
生成的警报可从 “活动监控 ”菜单下的 “警报资源管理器 ”页面访问。
在漏洞扫描图表页面上,ntopng 显示了充满漏洞扫描数据的时间序列图表。
Ntopng目前记录以下漏洞数据:
注意:此功能需要 ntopng Enterprise L 或更高版本。
在“开放端口”页面上,可以显示漏洞扫描检测到的 TCP 和 UDP 开放端口列表,以及以下信息:
通过单击特定行的操作下拉菜单中的显示主机按钮,ntopng 允许用户导航回漏洞扫描页面并查看具有所选开放端口的主机。
注意:此功能需要 ntopng Enterprise L 或更高版本。
如果禁用 ClickHouse,ntopng 将显示“报告”页面,显示上次扫描执行的信息,而不是“扫描报告”页面。启用ClickHouse后,在Reports页面上,会列出ntopng自动生成的所有报告。
通过单击单个报告的操作菜单,可以编辑报告名称或删除报告。
单击某一行的日期可以让用户跳转以显示所选报告的详细信息。
生成报告:
漏洞扫描报告由四个不同的报告组成:漏洞扫描报告、CVE 计数、TCP 端口和 UDP 端口。
漏洞扫描报告显示以下信息:
通过单击 IP 地址,可以跳转到特定于该主机的“漏洞扫描最后报告页面”。
CVEs 计数报告显示以下信息:
TCP 端口报告显示以下信息:
UDP 端口报告显示以下信息:
通过使用ntopng扫描主机漏洞并生成报告,网络管理员和安全专家能够更好地了解其网络环境中的潜在安全风险。ntopng不仅提供了详细的漏洞扫描结果,还生成了易于理解的报告,帮助用户迅速识别和修复安全漏洞。这一功能不仅提升了网络的整体安全性,还大大简化了安全管理的工作流程。
在当前网络安全威胁日益增多的背景下,掌握ntopng的这一强大功能对于保护组织的网络资产至关重要。希望本篇文章能够帮助你充分利用ntopng的漏洞扫描功能,提升你的网络安全防护水平。
审核编辑 黄宇
全部0条评论
快来发表一下你的评论吧 !