我们将探讨一系列关于网络服务审计的话题。我们还将探讨如何以及为何我们必须执行一系列服务审计。如果你还没有这方面的经历，那么通过本文审计的学习，你将受益非浅。

目前，对于很多人而言，对事务进行审计的想法是很搞笑的。面对当今世界没完没了的安全警报，我们都意识到我们必须进行安全审计，但是，我们却并没有这样做。我个人以为有以下几个原因。第一个是与知识有关。很多网络管理员没有任何系统或安全性方面的背景。因此，很多人愿意进行审计，但是问题恰恰出在细节上，而这也正是他们往往忽略的地方。

在这方面有着许多非常好的工具，如Nessus和NMAP，更不用说所有可以从路由器、交换机和服务器上获取的数据，它们是非常有用的。然而，收集和使用这个数据是一把双刃剑。首先，我们必须理解如何使用这些数据；为了收集数据而进行收集只是浪费时间。其次，更糟糕的是，收集这些数据会破坏网络的稳定性和损坏系统。当使用审计工具时，必须非常的小心。有效地运行审计需要一个文档化且计划周详的方法。如果没有开发一个计划，那么会使网络环境将存在风险，同时所能提供的有用数据也非常有限。

这也就是我们要探讨的管理员抵制审计的第二个原因，即“我的网络是安全的，我不需要审计”的心态，或者我更喜欢称之为拒绝。这只不过是一个谎言。今天，没有网络是安全的。计算机是可以在网络之间迁移的设备。一般情况下，大多数计算机用户至少使用两个或多个网络来同时访问数据服务。再加上，很多企业网络仍然是“外强中干”的架构，因此，安全事故的发生都是正常，只是什么时间发生的问题。

除了不安全的用户，服务器所运行的操作系统缺陷是目前最常见的网络攻击点。不安全性已是OS的一个部分。如果你还认为你的网络是安全的，那么请回答这些问题：

1.如果今天有一个病毒攻击了你的网络并且暴露了microsoft-rdp (终端服务)或者SSH v1.3.3，那么你是否知道哪些服务器正在运行这些服务呢？

2.你知道你的网络中关键服务组件的硬件的供应商和操作系统吗？

3.你是否能够发现有人将无线接入端连接到LAN上？

4.你是否能够检测到有人将一个“已知的”服务器重新部署来执行新的功能？

5.你知道你的每台服务器上运行的是哪些服务，以及哪些服务又是激活的呢？

如果对于这些问题的任何一个，你的回答是“不知道”，那么可以肯定的是你的网络是不安全的。但是，并不需要感到很糟糕，即使你对每个问题的回答都是肯定的，你的网络也有可能仍然是不安全的。但是，你可以利用所处的有利位置来识别安全问题，并减轻网络安全性问题出现时造成的损害。当运行审计时，你必须从网络是不安全的角度来进行工作。一旦完成了初始基线审计，你将需要验证你的调查结果。请做好与系统管理员和应用开发员一起工作的准备，以便确保你所调查到的都是恰当的。如果他们无法提供帮助，那么就与产品供应商联系。如果你无法分辨哪些必须和哪些不能在网络上运行，那么你就无法保证它的安全性。

第三个也是最后一个导致忽略审计的原因是：时间（或者没有时间）。网络审计确实需要花费时间。更麻烦的是，你必须经常地和不断地重复执行审计。好的安全审计最常见的一个答复是，“我们运行了。没发现任何问题。状态结束。”这是错误的。你必须考虑到网络审计结果的有效期是非常短的。

假设在网络进行任何修改之前或者在网络上运行的一个平台上发现一个新漏洞之前，结果一直都是有效的（如果你运行了DHCP，那么这个可以是每天更新的）。网络审计必须定期运行，并且数据还需要做历史比较。很多安全事故在发生时都是无法检测的。历史审计数据可以用来识别在什么时候系统已经受到威胁，因为运行特征往往已被修改了的。如果没有连续的审计和结果比较，那么这些系统上的改变是很难被检测到的。

在理想状态下，你可以创建一个网络，连接所有服务器，并且在任何用户访问之前，运行一个网络服务基线。虽然看起来非常理想，但是也非常不切实际，因为如果没有用户，你也无法知道哪些服务器上的服务实际上正在被访问。也就是说，一旦你建立了审计，那么新节点在被引入到网络上时就必须审计。一个典型的网络服务审计收集了每个节点的下列数据：

•ARP地址

•IP地址

•DNS名称和别名

•操作系统

•运行网络服务（如果可能还包括版本）

•有效网络服务

一个节点可以是服务器、路由器、无线接入点，或者任何一直连接到网络的设备。审计用户节点是有价值时，除非用户锁定了它们或者它们是不可修改的，因此，建立有用的概况数据是一项非常艰巨的任务。从安全的角度出发，不受中央管理控制的所有主机必须被认为是有害的并应该采取相关防御措施。收集审计数据一般有三个处理阶段：

• 主机验证：这个过程包括建立有效连接到网络上的主机的数据库。这个数据可以从三个来源收集：交换ARP表、有效ICMP扫描和DNS Zone查找。

• 主机概要分析：这个过程包括扫描主机以识别操作系统、运行网络服务和版本信息。通过运行端口和/或一系列有效主机的漏洞扫描器来收集数据。

• 服务概要分析：这个过程包括监控入站流量流来识别哪些网络服务是激活的。使用主机概要分析，可以创建和安装数据流量监控访问清单来监控和检测网络流量模式。

接下来，我们将探讨主机验证过程，这个程序很容易通过使用合适的工具来完成。在我们结束之前，你可以思考一下下面这些问题：网络审计可能是一项费时的任务，并且你也可能没有时间进行网络审计。然而，极有可能有人已经用尽办法在扫描你的网络并寻找可攻击的漏洞。他可能是你组织中的某个人；FBI统计数据显示超过60%的计算机犯罪都在企业内部。因此，要记住有效的进攻是最佳的防御，同时你只有知道你的网络漏洞所在，否则你无法发起有效的防御。