Nipper 3.10.2 for Windows & Linux - 网络设备漏洞评估

Nipper 3.10.2 for Windows & Linux - 网络设备漏洞评估

Nipper for routers, switches & firewalls | Nipper Network Configuration Audit Tool

请访问原文链接：https://sysin.org/blog/nipper/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

适用于路由器、交换机和防火墙的 Nipper

准确的网络设备漏洞评估

利用 Nipper 的风险和修复结果弥合您最关键的安全性和合规性差距。

为什么网络设备需要 Nipper？

路由器、交换机和防火墙配置错误所带来的影响已成为全球新闻焦点。保护这些设备，防止勒索软件攻击，并在外围防线被突破时延缓横向移动 (sysin)，是基本的网络安全卫生要求。

Nipper 以渗透测试人员的精确度分析设备配置，是配置管理、合规性和控制方面不可或缺的按需解决方案。

网络风险负责人使用 Nipper 关闭已知的潜在路径，防止威胁行为者更改网络配置并扩大攻击范围。

而评估人员则利用 Nipper，将审计时间缩短多达 80%，并以通过/未通过的证据，证明符合军事、联邦及行业法规的要求。

即使在物理隔离和离线环境中也能评估设备

根据厂商加固标准验证设备安全性

按漏洞利用影响优先安排修复

通过合规性证据支撑风险管理框架

Nipper 支持的设备

Nipper Supported Devices

• Cisco
• Check Point
• Fortinet
• Palo Alto Networks
• Arista
• Aruba
• Brocade
• Extreme Networks
• F5 (sysin)
• Juniper Networks
• Watchguard
• Sophos SFOS (v3.10 新增)

新增功能

Nipper v3.10.2 - 2025 年 12 月 15 日

新功能：

• 增加了对以下设备最新厂商推荐版本的支持：
  • 华为交换机 – 新增对 VRP 19（版本 V200R019C10，Service Pack 500）的支持。
  • Dell PowerConnect 交换机 – 新增对固件版本 v10.6.0.1 的支持。

持续改进：

• 修复了在设备设置中 Cisco Firepower 图标显示白色背景的问题。
• 改进了设备选择弹窗，长列表现在可以正常显示，不再变形或重叠，并且支持完整滚动。
• 解决了无法将 IP 段和单个地址添加到审计范围的问题。
• Nipper 现在可以将更新后的策略文件作为独立资源更新发布，而无需进行完整的软件发布。
• 修复了“将安全建议导出为 CSV”以及其他保存选项不可用的问题；现在所有保存格式均可正常使用。
• 解决了当文件名包含连字符时无法生成 CLI 报告的问题；现在已支持连字符。
• 修复了 Sophos 设备因代码循环导致 “横幅信息存在信息泄露” 被错误报告的问题。
• 修正了 SSH 状态检查，以便在 Sophos 设备上准确报告 SSH 是否已启用 (sysin)。
• 解决了 Palo Alto 设备在《最佳实践安全报告》中 “规则允许访问管理服务” 项目出现重复发现的问题。
• 修正了 SonicWall 设备 “最小密码长度策略设置过弱” 的报告问题。
• 修复了 SonicWall 设备 “会话超时时间过长” 的错误报告。
• 通过改进端口号验证，解决了 WatchGuard 设备在 “规则允许访问管理服务” 检查中出现的误报问题。
• 修复了 Fortiguard NTP 服务器被错误标记为不合规的问题。

Nipper v3.10.0 - October 27, 2025

新功能

✅ Nipper 3.10.0 增强了对 Sophos SFOS 21.0.1 MR-1-Build277 的支持。

此版本重点关注能在安全性和配置分析方面带来最直接价值的核心领域。在此次初始版本中，插件将全面覆盖以下部分：

管理（Administration）：

• 分析系统管理设置和控制项。
• 识别默认或弱管理员账户。
• 检查权限分配、会话管理及安全管理协议。

身份验证（Authentication）：

• 审查用户身份验证方法和密码策略。
• 评估本地、远程及多因素认证配置。
• 检测账户安全性和身份验证回退机制中的潜在弱点。

过滤（Filtering）：

• 对防火墙及过滤规则进行全面审计。
• 检测过于宽松或冗余的规则，并提供安全影响的上下文。
• 分析过滤对象组、规则顺序及复杂度。

接口（Interfaces）：

• 清点并分析已配置的网络接口。
• 检查未使用或配置错误的接口。
• 验证 IP 地址配置及管理访问限制。

日志（Logging）：

• 评估日志配置及保留策略。
• 检查是否记录安全相关事件。
• 验证外部日志转发（例如 syslog、SIEM 集成）。

通用配置（General Configuration）：

• 评估核心系统服务，如 FTP、SSH、SNMP 和备份凭据。
• 识别不安全或过时的服务，并验证敏感数据未在存储配置中暴露。

横幅（Banners）：

• 检查登录横幅在管理接口间的一致性与合规性。
• 标注缺失或不合规的法律声明，这些可能影响策略遵循。

✅ NTP

• 评估网络时间协议（NTP）配置的准确性与可靠性。
• 验证安全的 NTP 服务器来源及认证使用情况。
• 评估系统间的时间同步性，以确保日志与安全审计的一致性。
• 识别未经认证或外部时间源带来的潜在风险。

未来扩展（Future Expansion）：

后续版本将引入更多部分，扩展分析范围，以匹配对其他受支持设备类型的深入分析。

✅ 新增支持以下设备的最新厂商推荐版本：

• Firepower NGFW 7.4.2 和 NGFW 7.6.2
• Juniper EX 系列交换机 JunOS 23.4R2.13

✅ 过滤复杂度报告（Filtering Complexity Report）

过滤复杂度报告提供设备对象和规则库的全面概览，识别诸如重复、未使用或相互矛盾的规则等潜在问题。该报告有助于发现过滤配置中的低效与隐藏风险，从而实现更高效的规则优化、增强的安全态势以及更简化的管理与审计。

持续改进

• 解决了 Check Point R80 源对象解析问题，该问题导致过滤列表中源和目标对象被错误显示为 “any any”，即使已配置明确的源。现在源和目标定义在过滤列表中可正确显示。
• 解决了 FortiGate 防火墙在 HA 主动-主动模式下错误报告额外 VDOM 的问题，此问题导致许可消耗增加。问题原因是误解了 HA 配置中映像 VDOM 名称，现已修复，确保 VDOM 检测准确且许可分配正确。
• 修复了阻止某些发现项从最佳实践安全报告（Best Practice Security report）中排除的问题。

下载地址

版本历史：

• Nipper v3.8.0 - April 28, 2025
• Nipper v3.9.0 - July 28, 2025
• Nipper v3.10.0 - October 27, 2025

Nipper 3.10.2 for Windows x64

• 请访问：https://sysin.org/blog/nipper/

Nipper 3.10.2 for Ubuntu 22.04 x64

• 请访问：https://sysin.org/blog/nipper/

更多：HTTP 协议与安全