برامج لفحص الشبكات بحثًا عن نقاط الضعف. مقارنة بين الماسحات الضوئية لأمن الشبكة. مقارنة بين الماسحات الضوئية لضعف الشبكة

مراجعة ومقارنة أجهزة فحص الثغرات الأمنية

روجكوفا إيكاترينا أوليغوفنا

طالب في السنة الرابعة، قسم أتمتة السفن وقياساتها، جامعة سانت بطرسبرغ الطبية الحكومية، الاتحاد الروسي، سانت بطرسبرغ

ه- بريد: رينا1242. ريال عماني@ com.gmail. com

إيلين إيفان فاليريفيتش

طالب في السنة الرابعة قسم تكنولوجيا المعلومات الآمنة

جامعة سانت بطرسبورغ الوطنية للأبحاث ITMO، الاتحاد الروسي، سانت بطرسبورغ

ه- بريد: فانيلين. فا@ com.gmail. com

جالوشين سيرجي ياكوفليفيتش

المشرف العلمي، دكتوراه. تقنية. العلوم، نائب رئيس الجامعة ل عمل علمي, الاتحاد الروسي, سانت بطرسبرغ

للحصول على مستوى عالٍ من الأمان، من الضروري استخدام ليس فقط جدران الحماية، ولكن أيضًا تنفيذ التدابير بشكل دوري لاكتشاف نقاط الضعف، على سبيل المثال، باستخدام ماسحات الضعف. إن تحديد نقاط الضعف في النظام في الوقت المناسب سيمنع الوصول غير المصرح به للبيانات والتلاعب بها. ولكن ما هو خيار الماسح الضوئي الذي يناسب احتياجات نظام معين؟ للإجابة على هذا السؤال، أولا وقبل كل شيء، تحتاج إلى تحديد العيوب في نظام الأمان لجهاز الكمبيوتر الخاص بك أو الشبكة. وفقا للإحصاءات، فإن معظم الهجمات تحدث من خلال ثغرات أمنية معروفة ومنشورة، والتي قد لا يتم القضاء عليها لأسباب عديدة، سواء كان ذلك بسبب ضيق الوقت أو الموظفين أو عدم كفاءة مسؤول النظام. يجب أن تفهم أيضًا أنه عادةً ما يتمكن الشخص السيئ من اختراق النظام بعدة طرق، وإذا لم تنجح إحدى الطرق، فيمكن للمتسلل دائمًا تجربة طريقة أخرى. يتطلب ضمان الحد الأقصى لمستوى أمان النظام تحليلًا شاملاً للمخاطر ومواصلة تطوير نموذج تهديد واضح للتنبؤ به بشكل أكثر دقة الإجراءات الممكنةمجرم افتراضي.

تشمل نقاط الضعف الأكثر شيوعًا تجاوزات المخزن المؤقت، والأخطاء المحتملة في تكوين جهاز التوجيه أو جدار الحماية، ونقاط الضعف في خادم الويب، وخوادم البريد، وخوادم DNS، وقواعد البيانات. وبالإضافة إلى ذلك، لا تتجاهل واحدة من أكثر المناطق حساسية أمن المعلومات- إدارة المستخدم والملفات، نظرًا لأن ضمان مستوى وصول المستخدم مع الحد الأدنى من الامتيازات يعد مهمة محددة تتطلب التوفيق بين تجربة المستخدم وضمان أمان النظام. ولا بد من الإشارة إلى مشكلة كلمات المرور الفارغة أو الضعيفة والحسابات الافتراضية ومشكلة تسرب المعلومات العامة.

الماسح الضوئي الأمني ​​هو أداة برمجيةللتشخيص عن بعد أو المحلية عناصر مختلفةشبكات لتحديد نقاط الضعف المختلفة فيها؛ يمكنهم تقليل وقت عمل المتخصصين بشكل كبير وتسهيل البحث عن نقاط الضعف.

مراجعة الماسحات الضوئية الأمنية

قام هذا العمل بفحص الماسحات الضوئية التي تحتوي على نسخة تجريبية مجانية، والتي تتيح لك استخدام البرنامج للتعرف على قائمة محدودة من إمكانياته وتقييم درجة بساطة الواجهة. تم اختيار أدوات فحص الثغرات الشائعة التالية كمواضيع للمراجعة: Nessus، وGFI LANguard، وRetina، وShadow Security Scanner، وInternet Scanner.

نيسوس

Nessus هو برنامج للبحث التلقائي عن الثغرات الأمنية المعروفة نظم المعلومات. يمكنه اكتشاف أنواع الثغرات الأكثر شيوعًا، مثل وجود إصدارات ضعيفة من الخدمات أو النطاقات، وأخطاء التكوين (لا حاجة إلى ترخيص على خادم SMTP)، ووجود كلمات مرور افتراضية، وكلمات مرور فارغة أو ضعيفة.

يعد Nessus Scanner أداة قوية وموثوقة تنتمي إلى عائلة الماسحات الضوئية للشبكات التي تتيح لك البحث عن نقاط الضعف في خدمات الشبكة التي تقدمها أنظمة التشغيل وجدران الحماية وأجهزة التوجيه التصفية ومكونات الشبكة الأخرى. للبحث عن نقاط الضعف، يتم استخدامها ك الوسائل القياسيةاختبار وجمع المعلومات حول تكوين الشبكة وتشغيلها، و وسائل خاصة، ومحاكاة تصرفات المهاجم لاختراق الأنظمة المتصلة بالشبكة.

يتمتع البرنامج بالقدرة على ربط إجراءات أو قوالب التحقق الخاصة بك. ولهذا الغرض، يوفر الماسح الضوئي لغة برمجة نصية خاصة تسمى NASL (لغة البرمجة النصية لهجوم Nessus). قاعدة بيانات الثغرات الأمنية في نمو وتحديث مستمر. يتلقى المستخدمون المسجلون جميع التحديثات على الفور، بينما يتلقى الآخرون (الإصدارات التجريبية، وما إلى ذلك) بعض التأخير.

جي إف آيلانجارد

يعد GFI LanGuard Network Security Scanner (NSS) حلاً حائزًا على جوائز يستخدم ثلاثة مكونات أساسية لحمايتك: الماسح الضوئي الأمني ​​وإدارة التصحيح والتحكم في الشبكة من وحدة تحكم موحدة واحدة. عن طريق مسح الشبكة بأكملها، فإنه يحدد كل شيء المشاكل المحتملةالأمن، وذلك باستخدام واسعة النطاق وظائفيوفر إعداد التقارير الأدوات اللازمة لكشف أي تهديدات وتقييمها ووصفها والقضاء عليها.

تنتج عملية المراجعة الأمنية أكثر من 15000 تقييمًا لنقاط الضعف وتفحص الشبكات على أساس عنوان IP لكل عنوان. GFI LanGuard N.S.S. يوفر القدرة على إجراء فحص متعدد المنصات (Windows وMac OS وLinux) عبر جميع البيئات ويحلل حالة الشبكة لكل مصدر بيانات. وهذا يضمن إمكانية التعرف على أي تهديدات والقضاء عليها قبل أن يصل المتسللون إلى طريقهم.

GFI LanGuard N.S.S. تأتي مع قاعدة بيانات كاملة وشاملة لتقييم نقاط الضعف، بما في ذلك معايير مثل OVAL (أكثر من 2000 قيمة) وSANS Top 20. ويتم تحديث قاعدة البيانات هذه بانتظام بمعلومات من BugTraq، وSANS Corporation، وOVAL، وCVE، وما إلى ذلك. بفضل GFI LanGuard التلقائي تحديث نظام N.S.S. يحتوي دائمًا على أحدث المعلومات حول تحديثات أمان Microsoft، بالإضافة إلى معلومات من GFI ومستودعات المعلومات الأخرى مثل قاعدة البيانات OVAL.

GFI LanGuard N.S.S. يقوم بفحص أجهزة الكمبيوتر وتحديد نقاط الضعف وتصنيفها والتوصية بالإجراءات وتوفير الأدوات اللازمة لحل المشكلات. GFI LANguard N.S.S. يستخدم أيضًا مؤشرًا رسوميًا لمستوى التهديد الذي يوفر تقييمًا بديهيًا ومتوازنًا لحالة الضعف لجهاز كمبيوتر تم فحصه أو مجموعة من أجهزة الكمبيوتر. إذا كان ذلك ممكنا، يتم توفير رابط أو معلومات إضافيةلمشكلة معينة، مثل المعرف في معرف BugTraq أو قاعدة معارف Microsoft.

GFI LanGuard N.S.S. يسمح لك بإنشاء مخططات اختبار الثغرات الأمنية الخاصة بك بسهولة باستخدام المعالج. باستخدام محرك البرمجة النصية VBScript، يمكنك أيضًا كتابة اختبارات الثغرات المعقدة لـ GFI LanGuard N.S.S. GFI LanGuard N.S.S. يتضمن محرر البرامج النصية ومصحح الأخطاء.

شبكية العين

يقوم Retina Network Security Scanner، وهو ماسح ضوئي لثغرات الشبكة من BeyondTrust، بتحديد نقاط الضعف المعروفة في الشبكة ويعطي الأولوية للتهديدات من أجل معالجتها. أثناء الاستخدام منتج برمجييتم التعرف على كافة أجهزة الكمبيوتر والأجهزة وأنظمة التشغيل والتطبيقات والشبكات اللاسلكية.

يمكن للمستخدمين أيضًا استخدام Retina لتقييم مخاطر أمن المعلومات، وإدارة مخاطر المشروع، وتلبية متطلبات المعايير من خلال عمليات تدقيق سياسة المؤسسة. لا يقوم هذا الماسح الضوئي بتشغيل رمز الثغرة الأمنية، لذا لا يؤدي المسح إلى فقدان وظائف الشبكة والأنظمة التي تم تحليلها. باستخدام تقنية مسح السرعة التكيفية الخاصة شبكه محليهستستغرق الفئة C حوالي 15 دقيقة، ويتم تسهيل ذلك من خلال Adaptive Speed ​​- وهي تقنية مسح شبكة آمنة عالية السرعة. بالإضافة إلى ذلك، تسمح إعدادات منطقة المسح المرنة بذلك مدير النظامتحليل أمان الشبكة بأكملها أو جزء معين دون التأثير على تشغيل الشبكات المجاورة. يحدث تحديث أوتوماتيكينسخ محلية من قاعدة البيانات، لذلك يتم إجراء تحليل الشبكة دائمًا بناءً على أحدث البيانات. المعدل الإيجابي الكاذب أقل من 1%، ويوجد تحكم مرن في الوصول إلى سجل النظام.

ظلحمايةالماسح الضوئي (نظام الضمان الاجتماعي)

يمكن استخدام هذا الماسح الضوئي للكشف بشكل موثوق عن كل من المعلومات المعروفة وغير المعروفة (في وقت الإصدار) نسخة جديدةالمنتج) نقاط الضعف. عند فحص النظام، يقوم SSS بتحليل البيانات، بما في ذلك البحث عن نقاط الضعف، ويشير إلى الأخطاء المحتملة في تكوين الخادم. بالإضافة إلى ذلك، يقترح الماسح الضوئي الطرق الممكنة لحل هذه المشكلات وإصلاح نقاط الضعف في النظام.

وباعتباره تقنية الباب الخلفي، يستخدم النظام نواة التطوير الخاص بالشركة المصنعة، Shadow Security Scanner. تجدر الإشارة إلى أنه عند العمل على نظام التشغيل Windows، سيقوم SSS بفحص الخوادم بغض النظر عن النظام الأساسي الخاص بها. تتضمن أمثلة الأنظمة الأساسية منصات Unix (Linux، وFreeBSD، وOpenBSD، وNet BSD، وSolaris)، ومنصات Windows (95/98/ME/NT/2000/XP/.NET/Win 7 و8). يمكن لـ Shadow Security Scanner أيضًا اكتشاف الأخطاء في المعدات من CISCO وHP وغيرها. تم إنشاء هذا الماسح الضوئي بواسطة مطورين محليين، وبالتالي، يحتوي على واجهة روسية، بالإضافة إلى الوثائق وخط الدعم الساخن عليه.

إنترنتالماسح الضوئي

يوفر هذا الماسح الضوئي الكشف الآلي وتحليل نقاط الضعف في شبكة الشركة. تشمل قدرات الماسح الضوئي تنفيذ عدد من الاختبارات لتحديد نقاط الضعف لاحقًا في خدمات الشبكة وأنظمة التشغيل وأجهزة التوجيه وخوادم البريد والويب وجدران الحماية وبرامج التطبيقات. يستطيع Internet Scanner اكتشاف وتحديد أكثر من 1450 نقطة ضعف، والتي قد تتضمن التكوين غير الصحيح لمعدات الشبكة، والبرامج القديمة، وخدمات الشبكة غير المستخدمة، وكلمات المرور الضعيفة، وما إلى ذلك. من الممكن التحقق من بروتوكولات FTP وLDAP وSNMP، والتحقق من رسائل البريد الإلكتروني، والتحقق من RPC، وNFS، وNIS وDNS، والتحقق من إمكانية حدوث هجمات مثل "رفض الخدمة"، و"تخمين كلمة المرور"، والتحقق من خوادم الويب، والنصوص البرمجية CGI، متصفحات الويب ومحطات X. بالإضافة إلى ذلك، من الممكن التحقق من جدران الحماية والخوادم الوكيلة وخدمات الوصول عن بعد، نظام الملفاتوالنظام الفرعي للأمان والنظام الفرعي للتدقيق وتسجيل النظام و التحديثات المثبتةنظام التشغيل Windows، وما إلى ذلك. يتيح لك برنامج Internet Scanner تحليل وجود ثغرة أمنية واحدة في منطقة معينة من الشبكة، على سبيل المثال، التحقق من تثبيت تصحيح معين نظام التشغيل. يمكن أن يعمل برنامج Internet Scanner مشغل برامج وندوز NT، يدعم أيضًا أنظمة التشغيل AIX وHP-UX وLinux وSolaris.

قبل اختيار معايير المقارنة، يجب التأكيد على أن المعايير يجب أن تغطي جميع جوانب استخدام الماسحات الضوئية الأمنية: من طرق جمع المعلومات إلى التكلفة. يبدأ استخدام أداة فحص الأمان بتخطيط النشر والنشر نفسه. ولذلك، فإن المجموعة الأولى من المعايير تتعلق ببنية الماسحات الضوئية الأمنية، والتفاعل بين مكوناتها، وتركيبها، وإدارتها. يجب أن تغطي المجموعة التالية من المعايير - المسح - الأساليب التي تستخدمها الماسحات الضوئية المقارنة لتنفيذ الإجراءات المدرجة، بالإضافة إلى المعلمات الأخرى المرتبطة بالمراحل المحددة لمنتج البرنامج. تتضمن المعايير المهمة أيضًا نتائج المسح، ولا سيما كيفية تخزينها والتقارير التي يمكن إنشاؤها بناءً عليها. المعايير التالية التي يجب التركيز عليها هي معايير التحديث والدعم، والتي تسمح لك بتوضيح المشكلات مثل طرق وأساليب التحديث والمستوى دعم فني، وتوافر التدريب المعتمد، وما إلى ذلك. تتضمن المجموعة الأخيرة معيارًا واحدًا ولكنه مهم جدًا - التكلفة.

· الأنظمة المدعومة.

· واجهة ودية.

· قدرات المسح (المسح الضوئي)؛

· القدرة على تخصيص الملفات الشخصية (مدى مرونتها)؛

· تحديد الخدمات والتطبيقات.

· تحديد نقاط الضعف.

· إنشاء التقارير (الأشكال)؛

· القدرة على إنشاء تقرير مخصص (الخاص بك)؛

· تحديث التردد.

· دعم فني.

الجدول 1. مقارنة ماسحات الضعف
الماسح الضوئي		جي إف آي إلآنجuard
سعر	131,400 روبل روسي في السنة	1610 فرك. لعنوان IP. كلما زاد عدد عناوين IP، انخفضت التكلفة		تختلف التكلفة حسب عدد عناوين IP من 30000 روبل مقابل 64 IP إلى 102000 مقابل 512 IP	تختلف التكلفة حسب عدد عناوين IP (القيمة الاسمية - 6000 روبل)
يدعم الأنظمة الحية	برامج مخصصة	ويندوز، ماك أو إس، لينكس	سيسكو، لينكس، يونيكس، ويندوز	يونيكس، لينكس، فري بي إس دي، أوبن بي إس دي، نت بي إس دي، سولاريس، ويندوز 95/98/ME/NT/2000/XP/.NET	ويندوز، AIX، HP-UX، لينكس وسولاريس
صداقة تدخل وجه	واجهة بسيطة وبديهية	واجهة بسيطة وبديهية	واجهة واضحة	واجهة ودية وواضحة	واجهة واضحة
ممكن نيس تخريمية متنقل	يختلف نظام الإعدادات المرن ونوع المسح والمعلمات، ومن الممكن إجراء مسح مجهول. الخيارات الممكنةعمليات المسح: مسح SYN، مسح FIN - طلب FIN خالص؛ شجرة عيد الميلاد - تتضمن FIN وURG وPUSH في الطلب؛ المسح الفارغ، والمسح المرتد لـ FTP، ومسح الهوية، ومسح UDP، وما إلى ذلك. من الممكن أيضًا توصيل إجراءات التحقق الخاصة بك، والتي يتم توفير لغة برمجة نصية خاصة لها - NASL (لغة البرمجة النصية لهجوم Nessus). يستخدم الماسح الضوئي كلاً من الأدوات القياسية للاختبار وجمع المعلومات حول تكوين الشبكة وعملها، والأدوات الخاصة التي تحاكي تصرفات الدخيل المحتمل لاختراق الأنظمة.	مسح منافذ TCP/IP وUDP، ويتم فحص نظام التشغيل والبيئات والتطبيقات الافتراضية والأجهزة المحمولة؛ يتم استخدام قواعد البيانات OVAL وSANS Top 20.	يتم اكتشاف نقاط الضعف باستخدام اختبار الاختراق، ويتم تقييم المخاطر وتحديد أولويات التخفيف منها بناءً على تقييم احتمالية الاستغلال. الثغرات الأمنية (من Core Impact® وMetasploit® وExploit-db) وCVSS وعوامل أخرى.	FTP، SSH، Telnet، SMTP، DNS، Finger، HTTP، POP3، IMAP، NetBios، NFS، NNTP، SNMP، Squid (SSS هو الماسح الضوئي الوحيد في العالم الذي يتحقق من خوادم الوكيل لإجراء عمليات التدقيق - تحدد الماسحات الضوئية الأخرى ببساطة وجود منفذ)، LDAP (الماسح الضوئي الوحيد في العالم الذي يتحقق من خوادم LDAP لإجراء عمليات التدقيق - تحدد الماسحات الضوئية الأخرى ببساطة وجود منفذ)، HTTPS، SSL، TCP/IP، UDP، التسجيل، وما إلى ذلك. قم بإنشاء التقارير الخاصة بك بسهولة.	عمليات فحص FTP وLDAP وSNMP؛ التحقق من رسائل البريد الإلكتروني. فحوصات RPC وNFS وNIS وDNS؛ التحقق من إمكانية هجمات رفض الخدمة؛ التحقق من وجود هجمات "تخمين كلمة المرور" (Brute Force)؛ التحقق من خوادم الويب والبرامج النصية CGI ومتصفحات الويب ومحطات X؛ التحقق من جدران الحماية والخوادم الوكيلة؛ التحقق من خدمات الوصول عن بعد؛ فحص نظام ملفات نظام التشغيل Windows؛ التحقق من نظام الأمان الفرعي ونظام التدقيق الفرعي لنظام التشغيل Windows؛ التحقق من سجل النظام وتحديثات نظام التشغيل Windows المثبتة؛ التحقق من وجود أجهزة المودم على الشبكة ووجود أحصنة طروادة؛ التحقق من الخدمات والشياطين. الشيكات الحساب.
تعريف تحديد الخدمات والتطبيقات العرسان	تنفيذ عالي الجودة لإجراءات تحديد الخدمات والتطبيقات.	الكشف عن التطبيقات غير المصرح بها/البرامج الضارة والإدراج في القائمة السوداء ذات مستوى عالٍ من الضعف.	الكشف عن أنظمة التشغيل والتطبيقات وقواعد البيانات وتطبيقات الويب.	يتحقق من كل منفذ لتحديد الخدمات التي يتم الاستماع إليها. يكتشف نظام التشغيل والتطبيقات وقواعد البيانات وتطبيقات الويب.	يحدد نقاط الضعف في خدمات الشبكة وأنظمة التشغيل وأجهزة التوجيه وخوادم البريد والويب وجدران الحماية وبرامج التطبيقات.
إنشاء تقرير	القدرة على حفظ التقارير بتنسيقات nessus (xml)، pdf، html، csv، nessus DB	القدرة على إنشاء تقارير تتراوح من تقارير اتجاهات استخدام الشبكة للإدارة إلى التقارير التفصيلية للموظفين الفنيين. من الممكن إنشاء تقارير حول الامتثال للمعايير: قانون قابلية نقل التأمين الصحي والمساءلة (HIPAA)، وشبكة الخدمات العامة - رمز الاتصال (PSN CoCo)، وقانون Sarbanes - Oxley (SOX)، وGram - Leach - Bliley Act (GLB/ GLBA)، المعروف أيضًا باسم معيار الأمان الرقمي لصناعة بطاقات الدفع (PCI-DSS).	هناك أدوات لإنشاء التقارير، وهي واحدة من أوسع مجموعة من إمكانيات إعداد التقارير.	لديه القدرة على حفظ التقرير بتنسيق html وبتنسيقات xml وpdf وrtf وchm. تتم عملية إنشاء التقرير نفسها في شكل تحديد المعلومات المطلوب عرضها. القدرة على إنشاء تقرير متاحة فقط في النسخة الكاملة.	نظام فرعي قوي لإنشاء التقارير يسمح لك بسهولة إنشاء أشكال مختلفة من التقارير وفرزها حسب الخصائص.
ممكن قدرة التوليد تقرير مجاني	نعم، فقط في النسخة الكاملة.			نعم، فقط في النسخة الكاملة.
تردد التحديث leniya	تحديثات منتظمة، ولكن مستخدمي النسخة التجريبية لا يحصلون على آخر التحديثات.	تحديثات متكررة	تحديثات متكررة	تحديثات منتظمة	تحديثات منتظمة
تكني دعم فني	حاضر		حاضر	الحاضر، متاح باللغة الروسية.	حاضر

قام العمل بفحص 5 ماسحات ضوئية لنقاط الضعف، والتي تمت مقارنتها وفقًا للمعايير المختارة.

من حيث الكفاءة، تم اختيار الماسح الضوئي Nessus كشركة رائدة، لأنه يحتوي على مجموعة كاملة من القدرات لتحليل أمان نظام الكمبيوتر. ومع ذلك، فهي باهظة الثمن نسبيًا مقارنة بالماسحات الضوئية الأخرى: إذا كان لديك عدد صغير من عناوين IP، فمن الأفضل اختيار GFI LanGuard أو SSS.

فهرس:

1. دولجين إيه إيه، خوريف بي بي، تطوير ماسح ضوئي للثغرات الأمنية أنظمة الكمبيوتر"استنادًا إلى الإصدارات المحمية من نظام التشغيل Windows، وقائع المؤتمر العلمي والتقني الدولي " وسائل الإعلام المعلوماتوالتقنيات "، 2005.
2. بوابة معلومات حول الأمان [مورد إلكتروني] - وضع الوصول. - عنوان URL: http://www.securitylab.ru/ (تاريخ الوصول 27/03/15).
3. مجلة Softkey.info على الإنترنت [مورد إلكتروني] - وضع الوصول. - عنوان URL: http://www.softkey.info/ (تاريخ الوصول 27/03/15).
4. الموقع الرسمي لـ "برنامج GFI". [المورد الإلكتروني] - وضع الوصول. - عنوان URL: http://www.gfi.ru/ (تاريخ الوصول 27/03/15).
5. الموقع الرسمي لـ "ما وراء الثقة". [المورد الإلكتروني] - وضع الوصول. - عنوان URL: http://www.beyondtrust.com/Products/RetinaNetworkSecurityScanner/ (تم الوصول إليه بتاريخ 27/03/15).
6. الموقع الرسمي لشركة IBM [المورد الإلكتروني] - وضع الوصول. - عنوان URL: http://www.ibm.com/ (تم الوصول إليه بتاريخ 27/03/15).
7. الموقع الرسمي Tenable Network Security [مورد إلكتروني] - وضع الوصول. - عنوان URL: http://www.tenable.com/products/nessus-vulnerability-scanner/ (تم الوصول إليه بتاريخ 27/03/15).
8. الموقع الرسمي "مختبر السلامة". [المورد الإلكتروني] - وضع الوصول. - عنوان URL: http://www.safety-lab.com/ (تاريخ الوصول 27/03/15).
9. حلول IBM لأمن المعلومات [المورد الإلكتروني] - وضع الوصول. - عنوان URL: http://www.ibm.com/ru/services/iss/pdf/ISS_2009_DB_s10.pdf (تم الوصول إليه بتاريخ 27/03/15).
10. خوريف بي بي، طرق ووسائل حماية المعلومات في أنظمة الكمبيوتر، م، مركز النشر "الأكاديمية"، 2005.

كما ترون، كان هناك الكثير منها وكلها خطيرة جدًا على الأنظمة المعرضة لها. من المهم ليس فقط تحديث نظامك في الوقت المحدد لحماية نفسك من الثغرات الجديدة، ولكن أيضًا التأكد من أن نظامك لا يحتوي على ثغرات تم إصلاحها منذ فترة طويلة ويمكن للمتسللين استغلالها.

هذا هو المكان الذي تأتي فيه أدوات فحص الثغرات الأمنية في Linux للإنقاذ. تعد أدوات تحليل الثغرات الأمنية أحد أهم مكونات النظام الأمني ​​لكل شركة. يعد فحص التطبيقات والأنظمة بحثًا عن نقاط الضعف القديمة ممارسة إلزامية. في هذه المقالة سوف ننظر أفضل الماسحات الضوئيةنقاط الضعف، مع فتح مصدر الرمزوالتي يمكنك استخدامها لاكتشاف نقاط الضعف في أنظمتك وبرامجك. كلها مجانية تماما ويمكن استخدامها المستخدمين العاديين، وفي قطاع الشركات.

OpenVAS أو Open Vulnerability Assessment System عبارة عن منصة كاملة للبحث عن الثغرات الأمنية، والتي يتم توزيعها كمصدر مفتوح. يعتمد البرنامج على الكود المصدري للماسح الضوئي Nessus. في البداية، تم توزيع هذا الماسح الضوئي كمصدر مفتوح، ولكن بعد ذلك قرر المطورون إغلاق الكود، وبعد ذلك، في عام 2005، تم إنشاء OpenVAS استنادًا إلى الإصدار المفتوح من Nessus.

يتكون البرنامج من جزء الخادم والعميل. الخادم، الذي ينفذ العمل الرئيسي لأنظمة المسح، يعمل فقط في Linux، كما تدعم برامج العميل Windows أيضًا، ويمكن الوصول إلى الخادم عبر واجهة الويب.

يحتوي قلب الماسح الضوئي على أكثر من 36000 عملية فحص مختلفة للثغرات الأمنية ويتم تحديثها يوميًا بإضافة عمليات فحص جديدة تم اكتشافها مؤخرًا. يمكن للبرنامج اكتشاف نقاط الضعف في تشغيل الخدمات، وكذلك البحث عن الإعدادات غير الصحيحة، على سبيل المثال، عدم وجود مصادقة أو كلمات مرور ضعيفة للغاية.

2. إصدار مجتمع Nexpose

هذه أداة أخرى لفحص الثغرات الأمنية في Linux مفتوحة المصدر تم تطويرها بواسطة Rapid7، وهي نفس الشركة التي أصدرت Metasploit. يستطيع الماسح الضوئي اكتشاف ما يصل إلى 68000 نقطة ضعف معروفة، بالإضافة إلى إجراء أكثر من 160000 عملية فحص للشبكة.

إصدار Comunity مجاني تمامًا، ولكن به قيود على المسح المتزامن لما يصل إلى 32 عنوان IP ومستخدم واحد فقط. ويلزم أيضًا تجديد الترخيص كل عام. لا يوجد فحص لتطبيقات الويب، ولكنه يدعم التحديث التلقائي لقاعدة بيانات الثغرات الأمنية وتلقي معلومات حول الثغرات الأمنية من Microsoft Patch.

يمكن تثبيت البرنامج ليس فقط على Linux، ولكن أيضًا على Windows، ويتم تنفيذ الإدارة عبر واجهة الويب. باستخدامه، يمكنك تعيين معلمات المسح وعناوين IP والمعلومات الضرورية الأخرى.

بمجرد اكتمال الفحص، ستظهر لك قائمة بنقاط الضعف، بالإضافة إلى معلومات حول البرامج المثبتة ونظام التشغيل على الخادم. يمكنك أيضًا إنشاء التقارير وتصديرها.

3. الإصدار المجاني من Burp Suite

Burp Suite عبارة عن ماسح ضوئي لثغرات الويب مكتوب بلغة Java. يتكون البرنامج من خادم وكيل وعنكبوت وأداة لتوليد الطلبات وإجراء اختبارات التحمل.

مع باستخدام التجشؤيمكنك إجراء اختبار تطبيقات الويب. على سبيل المثال، باستخدام خادم وكيل، يمكنك اعتراض وعرض حركة المرور، وكذلك تعديلها إذا لزم الأمر. سيسمح لك ذلك بمحاكاة العديد من المواقف. سيساعدك العنكبوت في العثور على نقاط ضعف الويب، وستساعدك أداة إنشاء الاستعلام في العثور على قوة خادم الويب.

4. أراشني

Arachni هو إطار عمل كامل المواصفات لاختبار تطبيقات الويب ومكتوب بلغة Ruby وهو مفتوح المصدر. يسمح لك بتقييم أمان تطبيقات الويب والمواقع من خلال إجراء اختبارات الاختراق المختلفة.

يدعم البرنامج المسح مع المصادقة، وتخصيص الترويسات، ودعم انتحال Aser-Agent، ودعم اكتشاف 404. بالإضافة إلى ذلك، يحتوي البرنامج على واجهة ويب وواجهة سطر أوامر، يمكن إيقاف المسح مؤقتًا ثم استئنافه وبشكل عام، كل شيء يعمل سريع جدا .

5. OWASP Zed Attack Proxy (ZAP)

OWASP Zed Attack Proxy هي أداة شاملة أخرى للعثور على نقاط الضعف في تطبيقات الويب. يتم دعم جميع الميزات القياسية لهذا النوع من البرامج. يمكنك فحص المنافذ والتحقق من بنية الموقع والبحث عن العديد من نقاط الضعف المعروفة والتحقق من معالجة الطلبات المتكررة أو البيانات غير الصحيحة بشكل صحيح.

يمكن للبرنامج العمل عبر https ويدعم أيضًا العديد من الوكلاء. نظرًا لأن البرنامج مكتوب بلغة Java، فمن السهل جدًا تثبيته واستخدامه. بالإضافة إلى الميزات الأساسية، هناك عدد كبير من المكونات الإضافية التي يمكنها زيادة الوظائف بشكل كبير.

6. كلير

Clair هي أداة للعثور على ثغرات Linux في الحاويات. يحتوي البرنامج على قائمة بالثغرات الأمنية التي يمكن أن تشكل خطورة على الحاويات ويحذر المستخدم إذا تم اكتشاف مثل هذه الثغرات الأمنية في نظامك. يمكن للبرنامج أيضًا إرسال إشعارات في حالة ظهور ثغرات أمنية جديدة قد تجعل الحاويات غير آمنة.

يتم فحص كل حاوية مرة واحدة وليس هناك حاجة لإطلاقها للتحقق منها. يمكن للبرنامج استرداد كافة البيانات الضرورية من حاوية معطلة. يتم تخزين هذه البيانات في ذاكرة تخزين مؤقت لتتمكن من الإبلاغ عن نقاط الضعف في المستقبل.

7.الفوز القوي

Powerfuzzer عبارة عن زاحف ويب كامل المواصفات وآلي وقابل للتخصيص بدرجة كبيرة يسمح لك باختبار كيفية تفاعل تطبيق الويب مع البيانات غير الصالحة والطلبات المتكررة. تدعم الأداة فقط بروتوكول HTTP ويمكنها اكتشاف نقاط الضعف مثل هجمات XSS وحقن SQL وLDAP وCRLF وXPATH. كما أنه يدعم تتبع 500 خطأ، والتي قد تشير إلى خطأ في التكوين أو حتى خطر مثل تجاوز سعة المخزن المؤقت.

8. نماب

Nmap ليس بالضبط ماسحًا للثغرات الأمنية لنظام التشغيل Linux. يتيح لك هذا البرنامج فحص الشبكة ومعرفة العقد المتصلة بها، وكذلك تحديد الخدمات التي تعمل عليها. لا يوفر هذا معلومات شاملة حول نقاط الضعف، ولكن يمكنك تخمين أي منها. برمجةقد تكون ضعيفة، حاول كسر كلمات المرور الضعيفة. من الممكن أيضًا تشغيل برامج نصية خاصة تسمح لك بتحديد بعض نقاط الضعف في برامج معينة.

الاستنتاجات

لقد قمنا في هذه المقالة بمراجعة أفضل أدوات فحص الثغرات الأمنية في Linux، فهي تسمح لك بإبقاء نظامك وتطبيقاتك تحت المراقبة. السلامة الكاملة. لقد نظرنا إلى البرامج التي تسمح لك بفحص نظام التشغيل نفسه أو تطبيقات ومواقع الويب.

أخيرًا، يمكنك مشاهدة مقطع فيديو حول ماهية أدوات فحص الثغرات الأمنية وسبب الحاجة إليها:

مشكلة وباء ديدان الشبكة ذات صلة بأي شبكة محلية. عاجلاً أم آجلاً، قد ينشأ موقف عندما تخترق شبكة أو فيروس متنقل للبريد الإلكتروني الشبكة المحلية (LAN) ولا يتم اكتشافها بواسطة برنامج مكافحة الفيروسات المستخدم. ينتشر فيروس الشبكة عبر شبكة LAN من خلال ثغرات نظام التشغيل التي لم تكن مغلقة وقت الإصابة أو من خلال ثغرات أمنية قابلة للكتابة الموارد المشتركة. فيروس البريد، كما يوحي الاسم، يتم توزيعه عبر البريد الإلكتروني، بشرط ألا يتم حظره بواسطة برنامج مكافحة الفيروسات الخاص بالعميل وبرامج مكافحة الفيروسات خادم البريد. بالإضافة إلى ذلك، يمكن تنظيم وباء على شبكة LAN من الداخل نتيجة لأنشطة أحد المطلعين. في هذه المقالة، سنلقي نظرة على الأساليب العملية للتحليل التشغيلي لأجهزة كمبيوتر LAN باستخدام أدوات متنوعة، وخاصة باستخدام الأداة المساعدة AVZ الخاصة بالمؤلف.

صياغة المشكلة

إذا تم اكتشاف وباء أو بعض الأنشطة غير الطبيعية على الشبكة، فيجب على المسؤول حل ثلاث مهام على الأقل بسرعة:

• اكتشاف أجهزة الكمبيوتر المصابة على الشبكة؛
• العثور على عينات من البرامج الضارة لإرسالها إلى مختبر مكافحة الفيروسات وتطوير استراتيجية مضادة؛
• اتخاذ التدابير اللازمة لمنع انتشار الفيروس على الشبكة المحلية وتدميره على أجهزة الكمبيوتر المصابة.

في حالة النشاط الداخلي، تكون الخطوات الرئيسية للتحليل متطابقة وغالبًا ما تتلخص في الحاجة إلى اكتشاف برامج الطرف الثالث المثبتة بواسطة المطلعين على أجهزة كمبيوتر الشبكة المحلية (LAN). تتضمن أمثلة هذه البرامج أدوات الإدارة عن بعد، كلوغرزوإشارات طروادة المختلفة.

دعونا نفكر بمزيد من التفصيل في حل كل مهمة.

البحث عن أجهزة الكمبيوتر المصابة

للبحث عن أجهزة الكمبيوتر المصابة على الشبكة، يمكنك استخدام ثلاث طرق على الأقل:

• التحليل التلقائي للكمبيوتر عن بعد - الحصول على معلومات حول العمليات الجارية والمكتبات وبرامج التشغيل المحملة، والبحث عن الأنماط المميزة - على سبيل المثال، العمليات أو الملفات ذات أسماء مسماه;
• تحليل حركة مرور الكمبيوتر باستخدام الشم - هذه الطريقةفعالة جدًا في التقاط برامج البريد العشوائي والبريد الإلكتروني وديدان الشبكة، ومع ذلك، فإن الصعوبة الرئيسية في استخدام أداة الشم ترجع إلى حقيقة أن شبكة LAN الحديثة مبنية على أساس المحولات، ونتيجة لذلك، لا يستطيع المسؤول مراقبة حركة مرور البيانات الشبكة بأكملها. يمكن حل المشكلة بطريقتين: عن طريق تشغيل جهاز الشم على جهاز التوجيه (والذي يسمح لك بمراقبة تبادل بيانات الكمبيوتر مع الإنترنت) وباستخدام وظائف مراقبة المفاتيح (العديد منها مفاتيح حديثةالسماح لك بتعيين منفذ مراقبة يتم من خلاله تكرار حركة مرور واحد أو أكثر من منافذ التبديل المحددة من قبل المسؤول)؛
• دراسة حمل الشبكة - في هذه الحالة، من الملائم جدًا استخدام المفاتيح الذكية، والتي لا تسمح لك بتقييم الحمل فحسب، بل أيضًا بتعطيل المنافذ التي يحددها المسؤول عن بعد. يتم تبسيط هذه العملية إلى حد كبير إذا كان لدى المسؤول خريطة شبكة تحتوي على معلومات حول أجهزة الكمبيوتر المتصلة بمنافذ التبديل المقابلة ومكان وجودها؛
• استخدام مصائد الجذب - يوصى بشدة بإنشاء العديد من مصائد الجذب على الشبكة المحلية والتي ستسمح للمسؤول باكتشاف الوباء في الوقت المناسب.

التحليل التلقائي لأجهزة الكمبيوتر على الشبكة

يمكن اختزال التحليل التلقائي للكمبيوتر الشخصي إلى ثلاث مراحل رئيسية:

• إجراء فحص كامل لجهاز الكمبيوتر - العمليات الجارية، والمكتبات وبرامج التشغيل المحملة، والتشغيل التلقائي؛
• إجراء البحوث التشغيلية - على سبيل المثال، البحث عن العمليات أو الملفات المميزة؛
• الحجر الصحي للأشياء وفقا لمعايير معينة.

يمكن حل جميع المشكلات المذكورة أعلاه باستخدام الأداة المساعدة AVZ الخاصة بالمؤلف، والتي تم تصميمها ليتم تشغيلها من مجلد شبكة على الخادم وتدعم لغة البرمجة النصية للفحص التلقائي للكمبيوتر الشخصي. لتشغيل AVZ على أجهزة كمبيوتر المستخدمين، يجب عليك:

1. ضع AVZ في مجلد الشبكة على الخادم المفتوح للقراءة.
2. قم بإنشاء مجلدين فرعيين LOG وQurantine في هذا المجلد واسمح للمستخدمين بالكتابة إليهما.
3. قم بتشغيل AVZ على أجهزة كمبيوتر LAN باستخدام الأداة المساعدة rexec أو البرنامج النصي لتسجيل الدخول.

يجب أن يتم تشغيل AVZ في الخطوة 3 باستخدام المعلمات التالية:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

في هذه الحالة، تقوم المعلمة Priority=-1 بخفض أولوية عملية AVZ، وتقوم المعلمتان nw=Y وnq=Y بتبديل العزل إلى وضع "تشغيل الشبكة" (في هذه الحالة، يتم إنشاء دليل فرعي في مجلد العزل لكل كمبيوتر، يتطابق اسمه مع اسم شبكة الكمبيوتر الشخصي)، يوجه HiddenMode=2 إلى رفض وصول المستخدم إلى عناصر التحكم GUI وAVZ، وأخيرًا، تحدد معلمة البرنامج الأكثر أهمية الاسم الكامل للبرنامج النصي مع الأوامر التي سيقوم AVZ بتنفيذها على جهاز الكمبيوتر الخاص بالمستخدم. لغة البرمجة النصية AVZ سهلة الاستخدام للغاية وتركز حصريًا على حل مشكلات فحص الكمبيوتر وعلاجه. لتبسيط عملية كتابة البرامج النصية، يمكنك استخدام محرر برامج نصية متخصص، والذي يحتوي على موجه عبر الإنترنت، ومعالج لإنشاء برامج نصية قياسية، وأدوات للتحقق من صحة البرنامج النصي المكتوب دون تشغيله (الشكل 1).

أرز. 1. محرر البرامج النصية AVZ

دعونا نلقي نظرة على ثلاثة نصوص نموذجية قد تكون مفيدة في مكافحة الوباء. أولاً، نحتاج إلى نص بحثي للكمبيوتر الشخصي. تتمثل مهمة البرنامج النصي في فحص النظام وإنشاء بروتوكول مع النتائج في مجلد شبكة معين. يبدو البرنامج النصي كما يلي:

ActivateWatchDog(60 * 10);

// ابدأ المسح والتحليل

// استكشاف النظام

تنفيذSysCheck(GetAVZDirectory+

'\LOG\'+GetComputerName+'_log.htm');

//اغلاق AVZ

أثناء تنفيذ هذا البرنامج النصي، سيتم إنشاء ملفات HTML مع نتائج دراسة أجهزة كمبيوتر الشبكة في مجلد LOG (بافتراض أنه تم إنشاؤها في دليل AVZ على الخادم ومتاح للمستخدمين للكتابة)، ولضمان التفرد، يتم تضمين اسم الكمبيوتر الذي يتم فحصه في اسم البروتوكول. يوجد في بداية البرنامج النصي أمر لتمكين مؤقت المراقبة، والذي سيؤدي إلى إنهاء عملية AVZ بالقوة بعد 10 دقائق في حالة حدوث فشل أثناء تنفيذ البرنامج النصي.

يعد بروتوكول AVZ مناسبًا للدراسة اليدوية، ولكنه قليل الاستخدام للتحليل الآلي. بالإضافة إلى ذلك، غالبًا ما يعرف المسؤول اسم ملف البرامج الضارة ويحتاج فقط إلى التحقق من وجود هذا الملف أو عدم وجوده، وإذا كان موجودًا، فقم بعزله لتحليله. في هذه الحالة، يمكنك استخدام البرنامج النصي التالي:

// تمكين مؤقت الوكالة الدولية للطاقة لمدة 10 دقائق

ActivateWatchDog(60 * 10);

// ابحث عن البرامج الضارة بالاسم

QuarantineFile('%WinDir%\smss.exe', 'مريب بشأن LdPinch.gen');

QuarantineFile('%WinDir%\csrss.exe', 'الاشتباه في LdPinch.gen');

//اغلاق AVZ

يستخدم هذا البرنامج النصي وظيفة QuarantineFile لمحاولة عزل الملفات المحددة. يمكن للمسؤول فقط تحليل محتويات العزل (المجلد Quarantine\network_name_PC\quarantine_date\) بحثًا عن وجود الملفات المعزولة. يرجى ملاحظة أن وظيفة QuarantineFile تقوم تلقائيًا بحظر عزل الملفات المحددة بواسطة قاعدة بيانات AVZ الآمنة أو قاعدة بيانات التوقيع الرقمي لـ Microsoft. ل تطبيق عملييمكن تحسين هذا البرنامج النصي - تنظيم تحميل أسماء الملفات من ملف نصي خارجي، والتحقق من الملفات التي تم العثور عليها مقابل قواعد بيانات AVZ وإنشاء بروتوكول نصي بنتائج العمل:

// ابحث عن ملف بالاسم المحدد

وظيفة CheckByName(Fname: string): منطقية؛

النتيجة:= FileExists(FName) ;

إذا كانت النتيجة ثم تبدأ

حالة CheckFile (FName) لـ

1: S:= '، تم حظر الوصول إلى الملف'؛

1: S:= '، تم اكتشافه كبرنامج ضار ('+GetLastCheckTxt+')'؛

2: S:= '، مشتبه به بواسطة ماسح الملفات ('+GetLastCheckTxt+')'؛

3: الخروج؛ // يتم تجاهل الملفات الآمنة

AddToLog('الملف '+NormalFileName(FName)+' له اسم مريب'+S);

// أضف الملف المحدد إلى الحجر الصحي

QuarantineFile(FName,'suspicious file'+S);

SuspNames: TStringList؛ // قائمة بأسماء الملفات المشبوهة

// فحص الملفات مقابل قاعدة البيانات المحدثة

إذا FileExists(GetAVZDirectory + 'files.db') فابدأ

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('تم تحميل قاعدة بيانات الاسم - عدد السجلات ='+inttostr(SuspNames.Count));

// حلقة البحث

بالنسبة إلى i:= 0 إلى SuspNames.Count - 1 do

CheckByName(SuspNames[i]);

AddToLog("حدث خطأ أثناء تحميل قائمة أسماء الملفات");

SaveLog(GetAVZDirectory+'\LOG\'+

GetComputerName+'_files.txt');

لكي يعمل هذا البرنامج النصي، يجب عليك إنشاء دليلي Quarantine وLOG في مجلد AVZ، بحيث يمكن للمستخدمين الوصول إليهما للكتابة وكذلك ملف نصي files.db - سيحتوي كل سطر من هذا الملف على اسم الملف المشبوه. قد تتضمن أسماء الملفات وحدات ماكرو، وأكثرها فائدة هي %WinDir% (المسار إلى مجلد ويندوز) و%SystemRoot% (المسار إلى المجلد System32). يمكن أن يكون الاتجاه الآخر للتحليل هو الفحص التلقائي لقائمة العمليات التي يتم تشغيلها على أجهزة كمبيوتر المستخدم. توجد معلومات حول العمليات الجارية في بروتوكول بحث النظام، ولكن بالنسبة للتحليل التلقائي، يكون من الملائم أكثر استخدام جزء البرنامج النصي التالي:

إجراء عملية المسح؛

س:= ''; S1:= '';

// تحديث قائمة العمليات

RefreshProcessList;

AddToLog('عدد العمليات = '+IntToStr(GetProcessCount));

// دورة تحليل القائمة المستلمة

لأني:= 0 إلى GetProcessCount - 1 يبدأ

S1:= S1 + ',' + ExtractFileName(GetProcessName(i));

// ابحث عن العملية بالاسم

إذا pos('trojan.exe', LowerCase(GetProcessName(i)))> 0 ثم

S:= S + GetProcessName(i)+',';

إذا س<>''ثم

AddLineToTxtFile(GetAVZDirectory+'\LOG\_alarm.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S);

AddLineToTxtFile(GetAVZDirectory+'\LOG\_all_process.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S1);

يتم إجراء دراسة العمليات في هذا البرنامج النصي كإجراء ScanProcess منفصل، لذلك من السهل وضعه في البرنامج النصي الخاص به. ينشئ إجراء ScanProcess قائمتين من العمليات: القائمة الكاملةالعمليات (للتحليل اللاحق) وقائمة العمليات التي تعتبر خطيرة من وجهة نظر المسؤول. في هذه الحالة، ولأغراض العرض التوضيحي، تعتبر العملية المسماة "trojan.exe" خطيرة. تتم إضافة معلومات حول العمليات الخطيرة إلى الملف النصي _alarm.txt، وتتم إضافة البيانات حول جميع العمليات إلى الملف _all_process.txt. من السهل أن ترى أنه يمكنك تعقيد البرنامج النصي عن طريق الإضافة إليه، على سبيل المثال، فحص ملفات العملية مقابل قاعدة بيانات للملفات الآمنة أو التحقق من الأسماء الملفات القابلة للتنفيذالعمليات على أساس خارجي. يتم استخدام إجراء مماثل في البرامج النصية AVZ المستخدمة في Smolenskenergo: يقوم المسؤول بدراسة المعلومات المجمعة بشكل دوري ويقوم بتعديل البرنامج النصي، مضيفًا إليه اسم عمليات البرامج المحظورة بواسطة سياسة الأمان، على سبيل المثال ICQ وMailRu.Agent، والذي يسمح عليك التحقق بسرعة من وجود برامج محظورة على أجهزة الكمبيوتر التي تتم دراستها. الاستخدام الآخر لقائمة العمليات هو العثور على أجهزة الكمبيوتر التي تفتقد عملية مطلوبة، مثل برنامج مكافحة الفيروسات.

في الختام، دعونا نلقي نظرة على آخر نصوص التحليل المفيدة - وهو برنامج نصي للعزل التلقائي لجميع الملفات التي لم تتعرف عليها قاعدة بيانات AVZ الآمنة وقاعدة بيانات التوقيع الرقمي لـ Microsoft:

// تنفيذ الحجر الصحي

this.ExecuteAutoQuarantine;

يفحص العزل التلقائي العمليات الجارية والمكتبات والخدمات وبرامج التشغيل المحملة، وحوالي 45 طريقة تشغيل تلقائي، ووحدات امتداد المتصفح والمستكشف، ومعالجات SPI/LSP، ومهام الجدولة، ومعالجات نظام الطباعة، وما إلى ذلك. الميزة الخاصة للعزل هي أنه تتم إضافة الملفات إليه مع التحكم في التكرار، بحيث يمكن استدعاء وظيفة العزل التلقائي بشكل متكرر.

تتمثل ميزة العزل التلقائي في أنه بمساعدته يمكن للمسؤول جمع الملفات التي يحتمل أن تكون مشبوهة بسرعة من جميع أجهزة الكمبيوتر الموجودة على الشبكة لفحصها. يمكن أن يكون أبسط أشكال دراسة الملفات (ولكنه فعال للغاية من الناحية العملية) هو التحقق من الحجر الصحي الناتج باستخدام العديد من برامج مكافحة الفيروسات الشائعة في الوضع الإرشادي الأقصى. تجدر الإشارة إلى أن التشغيل المتزامن للعزل التلقائي على عدة مئات من أجهزة الكمبيوتر يمكن أن يؤدي إلى تحميل كبير على الشبكة وخادم الملفات.

أبحاث المرور

يمكن إجراء البحوث المرورية بثلاث طرق:

• يدويا باستخدام المتشممون.
• في الوضع شبه التلقائي - في هذه الحالة، يقوم المتشمم بجمع المعلومات، ثم تتم معالجة بروتوكولاته إما يدويًا أو بواسطة بعض البرامج؛
• تلقائيًا باستخدام أنظمة كشف التسلل (IDS) مثل Snort (http://www.snort.org/) أو البرامج أو نظائرها من الأجهزة. في أبسط الحالات، يتكون نظام IDS من جهاز الشم ونظام يقوم بتحليل المعلومات التي يجمعها جهاز الشم.

يعد نظام كشف التطفل أداة مثالية لأنه يسمح لك بإنشاء مجموعات من القواعد لاكتشاف الحالات الشاذة في نشاط الشبكة. الميزة الثانية هي ما يلي: تسمح معظم IDS الحديثة بوضع وكلاء مراقبة حركة المرور على عدة عقد في الشبكة - حيث يقوم الوكلاء بجمع المعلومات ونقلها. في حالة استخدام أداة الشم، من الملائم جدًا استخدام وحدة التحكم UNIX sniffer tcpdump. على سبيل المثال، لمراقبة النشاط على المنفذ 25 ( بروتوكول SMTP) فقط قم بتشغيل جهاز الشم مع سطر الأوامريكتب:

tcpdump -i em0 -l منفذ TCP 25 > smtp_log.txt

في هذه الحالة، يتم التقاط الحزم عبر واجهة em0؛ سيتم تخزين المعلومات حول الحزم الملتقطة في ملف smtp_log.txt. من السهل نسبيًا تحليل البروتوكول يدويًا؛ في هذا المثال، يتيح لك تحليل النشاط على المنفذ 25 تحديد أجهزة الكمبيوتر التي بها روبوتات بريد عشوائي نشطة.

تطبيق مصيدة العسل

يمكن استخدامه كمصيدة (Honeypot) كمبيوتر عفا عليه الزمن، وأدائها لا يسمح باستخدامها في حلها مهام الإنتاج. على سبيل المثال، تم استخدام Pentium Pro بسعة 64 ميجابايت بنجاح كمصيدة في شبكة المؤلف ذاكرة الوصول العشوائي. على هذا الكمبيوتر، يجب عليك تثبيت نظام التشغيل الأكثر شيوعًا على الشبكة المحلية واختيار إحدى الاستراتيجيات:

• تثبيت نظام تشغيل بدون حزم التحديث - سيكون ذلك مؤشرا على ظهور دودة شبكة نشطة على الشبكة، تستغل أي من نقاط الضعف المعروفة لنظام التشغيل هذا؛
• تثبيت نظام تشغيل مع التحديثات المثبتة على أجهزة الكمبيوتر الأخرى على الشبكة - سيكون Honeypot مشابهًا لأي من محطات العمل.

كل استراتيجية لها إيجابياتها وسلبياتها؛ يستخدم المؤلف بشكل أساسي الخيار بدون تحديثات. بعد إنشاء Honeypot، يجب عليك إنشاء صورة قرص لـ انتعاش سريعالنظام بعد تعرضه للتلف بسبب البرامج الضارة. كبديل لصورة القرص، يمكنك استخدام أنظمة التراجع عن التغيير مثل ShadowUser ونظائرها. بعد إنشاء Honeypot، يجب أن تأخذ في الاعتبار أن عددًا من ديدان الشبكة تبحث عن أجهزة الكمبيوتر المصابة عن طريق مسح نطاق IP، المحسوب من عنوان IP للكمبيوتر المصاب (الاستراتيجيات النموذجية الشائعة هي X.X.X.*، X.X.X+1.*، X.X.X-1.*)، - لذلك، من الناحية المثالية، يجب أن يكون هناك مصيدة جذب على كل شبكة فرعية. كعناصر إعداد إضافية، يجب عليك بالتأكيد فتح الوصول إلى العديد من المجلدات على نظام Honeypot، وفي هذه المجلدات، يجب عليك وضع العديد من ملفات العينات بتنسيقات مختلفة، والحد الأدنى للمجموعة هو EXE، JPG، MP3.

بطبيعة الحال، بعد إنشاء Honeypot، يجب على المسؤول مراقبة تشغيله والاستجابة لأي حالات شاذة يتم اكتشافها هذا الحاسوب. يمكن استخدام المدققين كوسيلة لتسجيل التغييرات، ويمكن استخدام المتشمم لتسجيل نشاط الشبكة. نقطة مهمةهو أن معظم المتشممين يوفرون القدرة على تكوين إرسال تنبيه إلى المسؤول في حالة اكتشاف نشاط شبكة محدد. على سبيل المثال، في CommView sniffer، تتضمن القاعدة تحديد "صيغة" تصف حزمة شبكة، أو تحديد معايير كمية (إرسال أكثر من عدد محدد من الحزم أو البايتات في الثانية، أو إرسال الحزم إلى عناوين IP أو MAC غير محددة) - تين. 2.

أرز. 2. إنشاء وتكوين تنبيه نشاط الشبكة

كتحذير، هو الأكثر ملاءمة لاستخدام رسائل البريد الإلكتروني المرسلة إلى صندوق بريدالمسؤول - في هذه الحالة، يمكنك تلقي تنبيهات سريعة من جميع المصائد الموجودة في الشبكة. بالإضافة إلى ذلك، إذا كان برنامج الشم يسمح لك بإنشاء تنبيهات متعددة، فمن المنطقي التمييز بين نشاط الشبكة من خلال تمييز العمل باستخدام بالبريد الالكتروني، FTP/HTTP، TFTP، Telnet، MS Net، زادت حركة المرور لأكثر من 20-30 حزمة في الثانية لأي بروتوكول (الشكل 3).

أرز. 3. تم إرسال خطاب الإخطار
إذا تم الكشف عن الحزم المطابقة للمعايير المحددة

عند تنظيم مصيدة، من الجيد وضع العديد من خدمات الشبكة الضعيفة المستخدمة على الشبكة أو تثبيت محاكي لها. أبسطها (والمجانية) هي أداة APS الخاصة، والتي تعمل بدون تثبيت. يتلخص مبدأ تشغيل APS في الاستماع إلى العديد من منافذ TCP وUDP الموضحة في قاعدة البيانات الخاصة به وإصدار استجابة محددة مسبقًا أو تم إنشاؤها عشوائيًا في لحظة الاتصال (الشكل 4).

أرز. 4. النافذة الرئيسية لأداة APS

يوضح الشكل لقطة شاشة تم التقاطها أثناء تنشيط APS حقيقي على شبكة Smolenskenergo LAN. كما هو واضح في الشكل، تم تسجيل محاولة لتوصيل أحد أجهزة الكمبيوتر العميلة على المنفذ 21. وأظهر تحليل البروتوكولات أن المحاولات دورية ويتم تسجيلها بواسطة عدة مصائد على الشبكة، مما يسمح لنا باستنتاج أن يتم فحص الشبكة للبحث عن خوادم FTP واختراقها عن طريق تخمين كلمات المرور. يحتفظ APS بالسجلات ويمكنه إرسال رسائل إلى المسؤولين مع تقارير عن الاتصالات المسجلة بالمنافذ المراقبة، وهو أمر مناسب لاكتشاف عمليات فحص الشبكة بسرعة.

عند إنشاء Honeypot، من المفيد أيضًا التعرف على الموارد عبر الإنترنت حول هذا الموضوع، ولا سيما http://www.honeynet.org/. في قسم الأدوات بهذا الموقع (http://www.honeynet.org/tools/index.html) يمكنك العثور على عدد من الأدوات لتسجيل الهجمات وتحليلها.

إزالة البرامج الضارة عن بعد

ومن الناحية المثالية، بعد اكتشاف العينات البرمجيات الخبيثةيرسلها المسؤول إلى مختبر مكافحة الفيروسات، حيث يتم دراستها على الفور من قبل المحللين ويتم إدخال التوقيعات المقابلة في قاعدة بيانات مكافحة الفيروسات. يتم تحديث هذه التوقيعات تلقائيًا على جهاز الكمبيوتر الخاص بالمستخدم، ويقوم برنامج مكافحة الفيروسات تلقائيًا بإزالة البرامج الضارة دون تدخل المسؤول. ومع ذلك، فإن هذه السلسلة لا تعمل دائمًا كما هو متوقع، وعلى وجه الخصوص، من المحتمل أن تكون أسباب الفشل التالية:

• لعدد من الأسباب المستقلة عن مسؤول الشبكة، قد لا تصل الصور إلى مختبر مكافحة الفيروسات؛
• عدم كفاية كفاءة مختبر مكافحة الفيروسات - من الناحية المثالية، لا يستغرق الأمر أكثر من 1-2 ساعات لدراسة العينات وإدخالها في قاعدة البيانات، مما يعني أنه يمكن الحصول على قواعد بيانات التوقيع المحدثة في غضون يوم عمل. ومع ذلك، لا تعمل جميع مختبرات مكافحة الفيروسات بهذه السرعة، ويمكنك الانتظار عدة أيام للحصول على التحديثات (في حالات نادرة، حتى أسابيع)؛
• الأداء العالي لبرنامج مكافحة الفيروسات - يقوم عدد من البرامج الضارة، بعد التنشيط، بتدمير برامج مكافحة الفيروسات أو تعطيل عملها بطريقة أخرى. تتضمن الأمثلة الكلاسيكية إجراء إدخالات في ملف المضيفين الذي يتم حظره العمل العاديأنظمة التحديث التلقائي لمكافحة الفيروسات، وحذف العمليات والخدمات وبرامج مكافحة الفيروسات، وإتلاف إعداداتها، وما إلى ذلك.

لذلك، في الحالات المذكورة أعلاه، سيتعين عليك التعامل مع البرامج الضارة يدويًا. في معظم الحالات، هذا ليس بالأمر الصعب، حيث أن نتائج فحص الكمبيوتر تكشف عن أجهزة الكمبيوتر المصابة، بالإضافة إلى الأسماء الكاملة لملفات البرامج الضارة. كل ما تبقى هو إزالتها عن بعد. إذا لم يكن البرنامج الضار محميًا من الحذف، فيمكن تدميره باستخدام البرنامج النصي AVZ التالي:

// حذف ملف

حذف الملف('اسم الملف');

this.ExecuteSysClean;

يحذف هذا البرنامج النصي ملفًا واحدًا محددًا (أو عدة ملفات، حيث يمكن أن يكون هناك عدد غير محدود من أوامر RemoveFile في البرنامج النصي) ثم يقوم تلقائيًا بتنظيف السجل. في حالة أكثر تعقيدًا، يمكن للبرامج الضارة حماية نفسها من الحذف (على سبيل المثال، عن طريق إعادة إنشاء ملفاتها ومفاتيح التسجيل الخاصة بها) أو إخفاء نفسها باستخدام تقنية الجذور الخفية. في هذه الحالة، يصبح البرنامج النصي أكثر تعقيدًا وسيبدو كما يلي:

// مكافحة الجذور الخفية

SearchRootkit(true, true);

// التحكم في AVZGuard

SetAVZGuardStatus(true);

// حذف ملف

حذف الملف('اسم الملف');

// تمكين تسجيل BootCleaner

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// قم باستيراد قائمة الملفات المحذوفة بواسطة البرنامج النصي إلى مهمة BootCleaner

BC_ImportDeletedList;

// تفعيل BootCleaner

// تنظيف النظام الإرشادي

this.ExecuteSysClean;

RebootWindows(true);

يتضمن هذا البرنامج النصي مكافحة نشطة للجذور الخفية، واستخدام نظام AVZGuard (وهو مانع نشاط البرامج الضارة) ونظام BootCleaner. BootCleaner هو برنامج تشغيل يقوم بإزالة الكائنات المحددة من KernelMode أثناء إعادة التشغيل، في مرحلة مبكرة من تمهيد النظام. تظهر الممارسة أن مثل هذا البرنامج النصي قادر على تدمير الغالبية العظمى من البرامج الضارة الموجودة. الاستثناء هو البرامج الضارة التي تغير أسماء ملفاتها القابلة للتنفيذ مع كل عملية إعادة تشغيل - في هذه الحالة، يمكن إعادة تسمية الملفات التي تم اكتشافها أثناء فحص النظام. في هذه الحالة، ستحتاج إلى تنظيف جهاز الكمبيوتر الخاص بك يدويًا أو إنشاء توقيعات البرامج الضارة الخاصة بك (تم توضيح مثال لبرنامج نصي يقوم بتنفيذ بحث التوقيع في مساعدة AVZ).

خاتمة

في هذه المقالة، نظرنا إلى بعض التقنيات العملية لمكافحة وباء LAN يدويًا، دون استخدام منتجات مكافحة الفيروسات. يمكن أيضًا استخدام معظم التقنيات الموصوفة للبحث عن أجهزة الكمبيوتر الأجنبية وإشارات طروادة المرجعية على أجهزة كمبيوتر المستخدمين. إذا واجهت أي صعوبات في العثور على برامج ضارة أو إنشاء برامج نصية للعلاج، فيمكن للمسؤول استخدام قسم "المساعدة" في المنتدى http://virusinfo.info أو قسم "مكافحة الفيروسات" في المنتدى http://forum.kaspersky.com /index.php?showforum= 18. يتم إجراء دراسة البروتوكولات والمساعدة في العلاج في كلا المنتديين مجانًا، ويتم إجراء تحليل الكمبيوتر الشخصي وفقًا لبروتوكولات AVZ، وفي معظم الحالات يقتصر العلاج على تنفيذ برنامج نصي AVZ على أجهزة الكمبيوتر المصابة، تم تجميعه بواسطة متخصصين ذوي خبرة من هذه المنتديات .

تحليل مقارنالماسحات الضوئية الأمنية. الجزء الأول: اختبار الاختراق (ملخص موجز)

الكسندر أنتيبوف

تعرض هذه الوثيقة نتائج مقارنة الماسحات الضوئية لأمن الشبكة أثناء اختبارات الاختراق مع العقد المحيطة بالشبكة.

ليبيكين فلاديمير بوريسوفيتش
رئيس مختبر أمن الشبكات في مركز تدريب Informzashchita

جميع المواد الواردة في التقرير هي ملكية فكرية لمركز تدريب Informzashita. يحظر نسخ أو نشر أو إعادة إنتاج مواد التقرير بأي شكل من الأشكال دون الحصول على موافقة كتابية مسبقة من مركز تدريب Informzashita.

النص الكامل للدراسة:
http://www.itsecurity.ru/news/reliase/2008/12_22_08.htm

1 المقدمة

تعتبر الماسحات الضوئية لأمان الشبكة مثالية للمقارنة. انهم جميعا مختلفون جدا. وبسبب تفاصيل المهام المخصصة لها، وبسبب غرضها "المزدوج" (يمكن استخدام الماسحات الضوئية لأمن الشبكة للدفاع و"للهجوم"، والقرصنة، كما نعلم، مهمة إبداعية) أخيرًا، أيضًا لأن وراء كل أداة من هذا القبيل هناك رحلة فكرية "للهاكر" (بالمعنى الأصلي للكلمة) حول منشئها.

عند اختيار شروط المقارنة، تم اتخاذ النهج "القائم على المهمة" كأساس، وبالتالي، بناءً على النتائج، يمكن الحكم على مدى ملاءمة أداة معينة لحل المهمة الموكلة إليها. على سبيل المثال، يمكن استخدام الماسحات الضوئية لأمن الشبكة:

• لجرد موارد الشبكة؛
• خلال "اختبارات الاختراق"؛
• في عملية اختبار الأنظمة للامتثال للمتطلبات المختلفة.

تعرض هذه الوثيقة نتائج مقارنة الماسحات الضوئية لأمن الشبكة أثناء اختبارات الاختراق مع العقد المحيطة بالشبكة. تم تقييم ما يلي:

• عدد نقاط الضعف التي تم العثور عليها
• عدد الإيجابيات الكاذبة (الإيجابيات الكاذبة)
• السلبيات الكاذبة
• أسباب الغياب
• اكتمال قاعدة الفحص (في سياق هذه المهمة)
• جودة آليات الجرد وتحديد إصدار البرنامج
• دقة الماسح الضوئي (في سياق هذه المهمة)

تميز المعايير المدرجة معًا "ملاءمة" الماسح الضوئي لحل المهمة الموكلة إليه، وفي هذه الحالة هي أتمتة الإجراءات الروتينية في عملية مراقبة أمن محيط الشبكة.

2. وصف موجز للمشاركين المقارنة

قبل البدء في المقارنة، أجرت البوابة استطلاعًا كان الغرض منه جمع بيانات حول الماسحات الضوئية المستخدمة والمهام التي تستخدم من أجلها.

شارك في الاستطلاع حوالي 500 مشارك (زوار البوابة).

عند سؤالهم عن أدوات الفحص الأمني ​​التي يستخدمونها في مؤسساتهم، قالت الغالبية العظمى من المشاركين أنهم يستخدمون جهاز فحص أمني واحد على الأقل (70%). وفي الوقت نفسه، تفضل المؤسسات التي تستخدم الماسحات الضوئية الأمنية بانتظام لتحليل أمان أنظمة المعلومات الخاصة بها استخدام أكثر من منتج واحد من هذه الفئة. قال 49% من المشاركين أن مؤسساتهم تستخدم اثنين أو أكثر من أدوات الفحص الأمني ​​(الشكل 1).

1 . توزيع المنظمات التي شملها الاستطلاع حسب عدد الماسحات الضوئية الأمنية المستخدمة

تشمل أسباب استخدام أكثر من ماسح أمني واحد أن المؤسسات لا تثق في الحلول المقدمة من "مورد" واحد (61%) وعندما تكون هناك حاجة إلى فحوصات متخصصة (39%) لا يمكن إجراؤها باستخدام ماسح أمني شامل (الشكل 2) .

2. أسباب استخدام أكثر من ماسح أمني واحد في المؤسسات التي شملتها الدراسة

وعندما سُئلوا عن الأغراض التي تُستخدم فيها أدوات الفحص الأمني ​​المتخصصة، أجاب غالبية المشاركين بأنها تُستخدم كأدوات إضافية لتحليل أمان تطبيقات الويب (68%). في المركز الثاني كانت الماسحات الضوئية الأمنية المتخصصة لنظام إدارة قواعد البيانات (DBMS) (30٪)، وفي المركز الثالث (2٪) كانت المرافق الخاصة لحل مجموعة معينة من المشاكل في تحليل أمن أنظمة المعلومات (الشكل 3).

3. أغراض استخدام الماسحات الأمنية المتخصصة في مؤسسات أفراد العينة الذين شملهم الاستطلاع

أظهرت نتيجة استطلاع آراء المشاركين (الشكل 4) حول المنتجات النهائية المتعلقة بالماسحات الضوئية الأمنية أن غالبية المؤسسات تفضل استخدام منتج Positive Technologies XSpider (31%) وNessus Security Scanner (17%).

أرز. 4. الماسحات الأمنية المستخدمة في مؤسسات المبحوثين

تم اختيار الماسحات الضوئية الواردة في الجدول 1 للمشاركة في اختبارات الاختبار.

الجدول 1. الماسحات الضوئية لأمن الشبكة المستخدمة في المقارنة

اسم	إصدار
		http://www.nessus.org/download
ماكس باترول	8.0 (النسخة 1178)	http://www.ptsecurity.ru/maxpatrol.asp
ماسح الإنترنت		http://www-935.ibm.com/services/us/index.wss/offering/iss/a1027208
شبكية العينالماسح الضوئي لأمن الشبكة		http://www.eeye.com/html/products/retina/index.html
ماسح أمان الظل (SSS)	7.141 (النسخة 262)	http://www.safety-lab.com/en/products/securityscanner.htm
مدقق NetClarity		http://netclarity.com/branch-nacwall.html

لذلك، يركز الاختبار الأول على مهمة تقييم أمان الأنظمة لمقاومة القرصنة.

3. التلخيص

وتم حساب نتائج العقد المتبقية بطريقة مماثلة. وبعد حساب النتائج تم الحصول على الجدول التالي (الجدول 2).

الجدول 2. النتائج النهائية لجميع الكائنات الممسوحة ضوئيا

فِهرِس		ماسح الإنترنت			ماسح أمان الظل	NetClarity مدقق حسابات
تحديد الخدمات والتطبيقات والنقاط
تم العثور على نقاط الضعف، المجموع
من هذه الإيجابيات الكاذبة (ايجابيات مزيفة)
وجدت الصحيح (من أصل 225 ممكن)
يمر، يمرر، اجتاز بنجاح (السلبيات الكاذبة)
منها بسبب الغياب عن قاعدة البيانات
من هذه الناجمة عن الحاجة إلى المصادقة
لأسباب أخرى

3.1 تحديد الخدمات والتطبيقات

وبناءً على نتائج تحديد الخدمات والتطبيقات، تم ببساطة جمع النقاط وخصم نقطة واحدة مقابل التحديد غير الصحيح للخدمة أو التطبيق (الشكل 5).

أرز. 5. نتائج تحديد الخدمات والتطبيقات

وسجل ماسح MaxPatrol أعلى عدد من النقاط (108)، وسجل ماسح Nessus أقل بقليل (98). في الواقع، في هذين الماسحين الضوئيين يتم تنفيذ إجراء تحديد الخدمات والتطبيقات بكفاءة عالية. هذه النتيجةيمكن أن يسمى متوقعا تماما.

النتائج التالية مأخوذة من الماسح الضوئي Internet Scanner وNetClarity. وهنا يمكننا أن نذكر أن Internet Scanner، على سبيل المثال، يركز على استخدام المنافذ القياسية للتطبيقات، وهذا ما يفسر إلى حد كبير نتيجته المنخفضة. أخيرًا، يتمتع الماسح الضوئي NetClarity بأسوأ أداء. وعلى الرغم من أنه يقوم بعمل جيد في تحديد الخدمات (فإنه يعتمد على نواة Nessus 2.x)، إلا أن أداءه الضعيف بشكل عام يمكن تفسيره بحقيقة أنه لم يحدد جميع المنافذ المفتوحة.

3.2 تحديد نقاط الضعف

في التين. يوضح الشكل 6 إجمالي عدد الثغرات الأمنية التي عثرت عليها جميع الماسحات الضوئية وعدد النتائج الإيجابية الخاطئة. تم العثور على أكبر عدد من الثغرات الأمنية بواسطة الماسح الضوئي MaxPatrol. تحول Nessus مرة أخرى إلى المركز الثاني (وإن كان بفارق كبير).
كان الرائد في عدد النتائج الإيجابية الكاذبة هو Shadow Security Scanner. من حيث المبدأ، هذا أمر مفهوم، وقد تم تقديم أمثلة على الأخطاء المتعلقة على وجه التحديد بالشيكات أعلاه.

أرز. 6. العثور على نقاط الضعف والإيجابيات الكاذبة

في المجمل، في جميع العقد الـ 16، وجدت جميع الماسحات الضوئية (وتم تأكيدها لاحقًا عن طريق التحقق اليدوي) 225 نقطة ضعف. وتم توزيع النتائج كما في الشكل . 7. تم تحديد أكبر عدد من نقاط الضعف - 155 من أصل 225 - بواسطة الماسح الضوئي MaxPatrol. والثاني كان الماسح الضوئي Nessus (كانت نتيجته سيئة تقريبًا). بعد ذلك يأتي برنامج Internet Scanner، ثم NetClarity.
أثناء المقارنة، تم تحليل أسباب فقدان الثغرات الأمنية وتم فصل تلك التي تم إجراؤها بسبب عدم وجود فحوصات في قاعدة البيانات. يوضح الرسم البياني التالي (الشكل 8) أسباب عدم اكتشاف الماسحات الضوئية للثغرات الأمنية.

أرز. 7. العثور على نقاط الضعف والسهو

أرز. 8. أسباب فقدان نقاط الضعف

الآن بعض المؤشرات الناتجة عن الحسابات.

في التين. يوضح الشكل 39 نسبة عدد النتائج الإيجابية الخاطئة إلى إجمالي عدد نقاط الضعف التي تم العثور عليها، ويمكن تسمية هذا المؤشر بمعنى ما بدقة الماسح الضوئي. بعد كل شيء، يتعامل المستخدم، أولا وقبل كل شيء، مع قائمة نقاط الضعف التي وجدها الماسح الضوئي، والتي من الضروري تحديد تلك التي تم العثور عليها بشكل صحيح.

أرز. 9. دقة الماسحات الضوئية

من هذا الرسم البياني يمكن ملاحظة أن أعلى دقة (95%) تم تحقيقها بواسطة الماسح الضوئي MaxPatrol. على الرغم من أن عدد النتائج الإيجابية الكاذبة ليس هو الأدنى، إلا أن معدل الدقة هذا يتم تحقيقه بسبب العدد الكبير من نقاط الضعف التي تم العثور عليها. التعريف التالي الأكثر دقة هو Internet Scanner. وأظهرت أقل عدد من النتائج الإيجابية الكاذبة. حصل الماسح الضوئي SSS على أدنى نتيجة، وهو أمر ليس مفاجئًا نظرًا للعدد الكبير من النتائج الإيجابية الخاطئة التي تمت ملاحظتها أثناء المقارنة.

المؤشر المحسوب الآخر هو اكتمال قاعدة البيانات (الشكل 10). يتم حسابه على أنه نسبة عدد الثغرات التي تم العثور عليها بشكل صحيح إلى إجمالي عدد الثغرات الأمنية (في هذه الحالة - 225) ويحدد مقياس "الإخفاقات".

أرز. 10. اكتمال قاعدة البيانات

يتضح من هذا الرسم البياني أن قاعدة الماسح الضوئي MaxPatrol هي الأكثر ملائمة للمهمة.

4. الخلاصة

4.1 التعليقات على نتائج القادة: MaxPatrol وNessus

المركز الأول وفقا لجميع معايير هذه المقارنة يذهب إلى الماسح الضوئي MaxPatrol، ويأتي الماسح الضوئي Nessus في المركز الثاني، ونتائج الماسحات الضوئية الأخرى أقل بكثير.

ومن المناسب هنا التذكير بإحدى الوثائق التي أعدها المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST)، وهي "المبادئ التوجيهية لاختبار أمان الشبكات". تنص على أنه عند مراقبة أمان أنظمة الكمبيوتر، يوصى باستخدام ماسحين ضوئيين أمنيين على الأقل.

في الواقع، لا يوجد شيء غير متوقع أو مفاجئ في النتيجة التي تم الحصول عليها. ليس سراً أن الماسحات الضوئية XSpider (MaxPatrol) وNessus تحظى بشعبية كبيرة بين المتخصصين في مجال الأمن والمتسللين. وهذا ما تؤكده نتائج الاستطلاع أعلاه. دعونا نحاول تحليل أسباب القيادة الواضحة لـ MaxPatrol (وهذا ينطبق جزئيًا على الماسح الضوئي Nessus)، وكذلك أسباب "فقدان" الماسحات الضوئية الأخرى. بادئ ذي بدء، يعد هذا تحديدًا عالي الجودة للخدمات والتطبيقات. تعتمد الاختبارات المبنية على الاستدلال (وكان هناك عدد غير قليل منها في هذه الحالة) بشكل كبير على دقة جمع المعلومات. ويعد تحديد الخدمات والتطبيقات في الماسح الضوئي MaxPatrol مثاليًا تقريبًا. هنا مثال توضيحي واحد.
السبب الثاني لنجاح MaxPatrol هو اكتمال قاعدة البيانات وملاءمتها للمهمة المطروحة، وبشكل عام، لـ "اليوم". وبناء على النتائج، فمن الملاحظ أن قاعدة بيانات الشيكات في MaxPatrol قد تم توسيعها وتفصيلها بشكل كبير، وتم "ترتيبها"، في حين يتم تعويض "التحيز" الواضح تجاه تطبيقات الويب من خلال التوسع في الشيكات في مجالات أخرى على سبيل المثال، كانت نتائج فحص جهاز التوجيه المعروضة في المقارنة مثيرة للإعجاب لشركة Cisco.

السبب الثالث هو التحليل النوعي لإصدارات التطبيق، مع الأخذ في الاعتبار أنظمة التشغيل والتوزيعات و"الفروع" المختلفة. يمكنك أيضًا إضافة استخدام مصادر مختلفة (قواعد بيانات الثغرات الأمنية والإشعارات ونشرات البائعين).

أخيرًا، يمكننا أيضًا أن نضيف أن MaxPatrol يتمتع بواجهة مريحة ومنطقية للغاية تعكس المراحل الرئيسية لعمل أجهزة فحص أمان الشبكة. وهذا مهم. من السهل جدًا فهم الجمع بين "العقدة والخدمة والضعف" (ملاحظة المحرر: هذا هو الرأي الشخصي لمؤلف المقارنة). وخاصة لهذه المهمة.

الآن عن أوجه القصور والنقاط "الضعيفة". وبما أن MaxPatrol تبين أنها الرائدة بالمقارنة، فإن الانتقادات الموجهة إليها ستكون "الحد الأقصى".

أولاً، ما يسمى بـ "الخسارة في الأشياء الصغيرة". نظرًا لوجود محرك عالي الجودة، فمن المهم تقديم خدمات إضافية مناسبة، على سبيل المثال، أدوات ملائمة تتيح لك القيام بشيء ما يدويًا، وأدوات للبحث عن نقاط الضعف، والقدرة على "ضبط" النظام. يواصل MaxPatrol تقليد XSpider ويركز إلى أقصى حد على أيديولوجية "النقر وهو يعمل". من ناحية، هذا ليس سيئا، من ناحية أخرى، فإنه يحد من المحلل "الدقيق".

ثانيا، ظلت بعض الخدمات "مكشوفة" (يمكنك الحكم على ذلك من نتائج هذه المقارنة)، على سبيل المثال، IKE (المنفذ 500).

ثالثًا، في بعض الحالات، يكون هناك نقص في المقارنة الأساسية لنتائج فحصين مع بعضهما البعض، على سبيل المثال، كما في حالة SSH الموصوفة أعلاه. أي أنه لا توجد استنتاجات بناءً على نتائج عدة فحوصات. على سبيل المثال، تم تصنيف نظام التشغيل الخاص بـ host4 على أنه Windows، وتم تصنيف "بائع" خدمة PPTP على أنه Linux. هل يمكننا استخلاص النتائج؟ على سبيل المثال، في التقرير الموجود في منطقة تعريف نظام التشغيل، قم بالإشارة إلى أن هذه عقدة "مختلطة".

رابعا، وصف الشيكات يترك الكثير مما هو مرغوب فيه. ولكن هنا ينبغي أن يكون مفهوما أن MaxPatrol في ظروف غير متكافئة مع الماسحات الضوئية الأخرى: الترجمة عالية الجودة لجميع الأوصاف إلى اللغة الروسية هي مهمة كثيفة العمالة للغاية.

وأظهر الماسح الضوئي Nessus، بشكل عام، نتائج جيدة، وكان في عدد من النقاط أكثر دقة من الماسح الضوئي MaxPatrol. السبب الرئيسي لتخلف Nessus هو إغفال نقاط الضعف، ولكن ليس بسبب عدم وجود عمليات فحص في قاعدة البيانات، مثل معظم الماسحات الضوئية الأخرى، ولكن بسبب ميزات التنفيذ. أولاً (وهذا هو السبب في جزء كبير من الفجوات)، كان هناك اتجاه تطوير في الماسح الضوئي Nessus نحو "المحلي" أو فحوصات النظام، يتطلب الاتصال بحساب. ثانيًا، يأخذ الماسح الضوئي Nessus في الاعتبار عددًا أقل من مصادر المعلومات حول نقاط الضعف (مقارنة بـ MaxPatrol). وهذا يشبه إلى حد ما الماسح الضوئي SSS، الذي يعتمد إلى حد كبير على SecurityFocus.

5. حدود هذه المقارنة

أثناء المقارنة، تمت دراسة قدرات الماسحات الضوئية في سياق مهمة واحدة فقط - اختبار العقد المحيطة بالشبكة لمقاومة الاختراق. على سبيل المثال، إذا رسمنا تشبيهًا للسيارة، فقد رأينا كيف تتصرف السيارات المختلفة، على سبيل المثال، على طريق زلق. ومع ذلك، هناك مهام أخرى، قد يبدو حلها باستخدام نفس الماسحات الضوئية مختلفًا تمامًا. من المخطط في المستقبل القريب مقارنة الماسحات الضوئية أثناء حل المشكلات مثل:

• إجراء عمليات تدقيق النظام باستخدام حساب
• تقييم الامتثال لـ PCI DSS
• فحص أنظمة ويندوز

بالإضافة إلى ذلك، من المخطط مقارنة الماسحات الضوئية باستخدام معايير رسمية.

خلال هذه المقارنة، تم اختبار "المحرك" نفسه فقط، أو، بالمصطلحات الحديثة، "دماغ" الماسح الضوئي. لم يتم تقييم أو مقارنة الإمكانيات المتعلقة بالخدمات الإضافية (التقارير، وتسجيل المعلومات حول تقدم المسح، وما إلى ذلك) بأي شكل من الأشكال.

كما لم يتم تقييم درجة الخطر والقدرة على استغلال الثغرات الموجودة. اقتصرت بعض أدوات الفحص على نقاط الضعف "البسيطة" منخفضة المخاطر، في حين حددت أجهزة أخرى نقاط الضعف الحرجة التي تسمح بالوصول إلى النظام.

الماسح الضوئي الأمني: يكتشف نقاط الضعف في الشبكة، ويدير التحديثات والتصحيحات، ويصلح المشكلات تلقائيًا، ويراجع البرامج والأجهزة.جي إف آي أمن الشبكات">أمن الشبكات 2080

ماسح أمان الشبكة وإدارة التحديث المركزي

يعمل GFI LanGuard كمستشار أمان افتراضي:

- إدارة التحديثات لنظام التشغيل Windows®، وMac OS®، وLinux®

- يكتشف نقاط الضعف في أجهزة الكمبيوتر و أجهزة محمولة

- يقوم بعمليات التدقيق أجهزة الشبكةوالبرمجيات

GFI Languard هو ماسح أمان للشبكات من أي حجم: منفذ الشبكة وماسح الثغرات الأمنية، ماسح الأمان، يقوم تلقائيًا بالعثور على الثغرات في الشبكة

GFI Languard هو ماسح أمان للشبكات من أي حجم: منفذ الشبكة وماسح الثغرات الأمنية، ماسح الأمان، يقوم تلقائيًا بالعثور على الثغرات في الشبكة

ما هو GFI LanGuard

أكثر من مجرد ماسح ضوئي للثغرات الأمنية!

GFI LanGuard عبارة عن أداة فحص لأمان الشبكة: تكتشف نقاط الضعف في الشبكة وتحددها وتصلحها. يمكن إجراء عمليات فحص كاملة للمنافذ، وتوافر تحديثات البرامج الضرورية لحماية شبكتك، وتدقيق البرامج والأجهزة، من خلال لوحة تحكم واحدة.

ماسح المنفذ

تسمح لك العديد من ملفات تعريف المسح المعدة مسبقًا بإجراء فحص كامل لجميع المنافذ، بالإضافة إلى التحقق بسرعة فقط من تلك التي تستخدمها البرامج الضارة وغير المرغوب فيها. يقوم GFI LanGuard بفحص العديد من الأجهزة المضيفة في وقت واحد، مما يقلل الوقت المطلوب بشكل كبير، ثم يقارن البرنامج الموجود على المنافذ المزدحمة بالبرنامج المتوقع.

التحديثات والتصحيحات

قبل التثبيت آخر التحديثاتالعقد الخاصة بك غير محمية تمامًا، نظرًا لأنها أحدث الثغرات الأمنية التي تغطيها التصحيحات والتحديثات الحالية التي يستخدمها المتسللون لاختراق شبكتك. على عكس الأدوات المضمنة في نظام التشغيل، لن يقوم GFI LanGuard بفحص نظام التشغيل نفسه فحسب، بل سيفحص أيضًا البرامج الشائعة التي تُستخدم عادةً نقاط ضعفها للاختراق: Adobe Acrobat/Reader، مشغل الفلاش، Skype، Outlook، المتصفحات، برامج المراسلة الفورية.

تدقيق العقدة

سيقوم GFI LanGuard بالتحضير لك قائمة مفصلةالبرامج والأجهزة المثبتة على كل جهاز كمبيوتر، ستكتشف البرامج المحظورة أو المفقودة، بالإضافة إلى الأجهزة المتصلة غير الضرورية. يمكن مقارنة نتائج عمليات الفحص المتعددة لتحديد التغييرات في البرامج والبيانات المعدات.

أحدث التهديدات الاستخباراتية

يتم إجراء كل فحص بعد تحديث بيانات الثغرات الأمنية، والتي تجاوز عددها في قاعدة بيانات GFI LanGuard بالفعل 50000. يتم توفير معلومات التهديدات من قبل بائعي البرامج أنفسهم، بالإضافة إلى قوائم SANS وOVAL الموثوقة، لذلك فأنت دائمًا محمي من أحدث التهديدات، بما في ذلك Heartbleed، وسريّة، وshellshock، وpoodle، وsandworm، والمزيد.

التصحيح التلقائي

بمجرد حصولك على تقرير فحص مفصل مع وصف لكل ثغرة أمنية وروابط لها قراءة متعمقة، يمكنك إصلاح معظم التهديدات بنقرة واحدة على زر "المعالجة": سيتم إغلاق المنافذ، وسيتم تصحيح مفاتيح التسجيل، وسيتم تثبيت التصحيحات، وسيتم تحديث البرامج، وستتم إزالة البرامج المحظورة، وسيتم تثبيت البرامج المفقودة.