Zəifliklər üçün şəbəkələri skan etmək üçün proqramlar. Şəbəkə təhlükəsizliyi skanerlərinin müqayisəsi. Şəbəkə zəifliyi skanerlərinin müqayisəsi

ZƏFSLİLİK Skanerlərinin İNCƏLƏNMƏSİ VƏ MÜQAYISƏSİ

Rojkova Ekaterina Oleqovna

Sankt-Peterburq Dövlət Tibb Universitetinin Gəmilərin avtomatlaşdırılması və ölçülməsi kafedrasının 4-cü kurs tələbəsi, Rusiya Federasiyası, Sankt-Peterburq

E- poçt: rina1242. ro@ gmail. com

İlyin İvan Valerieviç

Təhlükəsiz İnformasiya Texnologiyaları departamentinin 4-cü kurs tələbəsi

Sankt-Peterburq Milli Tədqiqat Universiteti ITMO, Rusiya Federasiyası, Sankt-Peterburq

E- poçt: vanilin. va@ gmail. com

Qaluşin Sergey Yakovleviç

elmi rəhbər, t.ü.f.d. texnologiya. Elmlər üzrə Prorektor müavini elmi iş, Rusiya Federasiyası, Sankt-Peterburq

Yüksək səviyyədə təhlükəsizlik üçün yalnız firewalllardan istifadə etmək deyil, həm də zəiflikləri aşkar etmək üçün vaxtaşırı tədbirlər həyata keçirmək, məsələn, zəiflik skanerlərindən istifadə etmək lazımdır. Sistemdəki zəif cəhətlərin vaxtında müəyyən edilməsi icazəsiz girişin və məlumatların manipulyasiyasının qarşısını alacaq. Bəs hansı skaner seçimi müəyyən bir sistemin ehtiyaclarına ən yaxşı uyğun gəlir? Bu suala cavab vermək üçün ilk növbədə kompüterinizin və ya şəbəkənizin təhlükəsizlik sistemindəki qüsurları müəyyən etməlisiniz. Statistikaya görə, hücumların əksəriyyəti məlum və dərc edilmiş təhlükəsizlik boşluqları vasitəsilə baş verir ki, bu boşluqlar bir çox səbəblərə görə aradan qaldırıla bilməz, istər vaxt çatışmazlığı, istər kadr çatışmazlığı, istərsə də sistem administratorunun səriştəsizliyi. Həm də başa düşməlisiniz ki, adətən bir xəyanətkar bir sistemə bir neçə yolla nüfuz edə bilər və bir üsul işləmirsə, təcavüzkar həmişə başqa bir cəhd edə bilər. Sistem təhlükəsizliyinin maksimum səviyyəsini təmin etmək hərtərəfli risk təhlilini və daha dəqiq proqnozlaşdırmaq üçün aydın təhlükə modelinin daha da inkişafını tələb edir. mümkün tədbirlər hipotetik cinayətkar.

Ən çox rast gəlinən boşluqlara buferin daşması, marşrutlaşdırıcının və ya təhlükəsizlik divarının konfiqurasiyasında mümkün səhvlər, Veb serverin, poçt serverlərinin, DNS serverlərinin, verilənlər bazalarının zəiflikləri daxildir. Bundan əlavə, ən incə sahələrdən birini laqeyd yanaşmayın informasiya təhlükəsizliyi- istifadəçi və fayl idarəçiliyi, çünki minimal imtiyazlarla istifadəçinin giriş səviyyəsini təmin etmək istifadəçi təcrübəsi ilə sistemin təhlükəsizliyini təmin etmək arasında kompromis tələb edən xüsusi bir vəzifədir. Boş və ya zəif parollar, standart hesablar və ümumi məlumat sızması problemini qeyd etmək lazımdır.

Təhlükəsizlik skaneri proqram aləti uzaqdan və ya yerli diaqnostika üçün müxtəlif elementlər onlarda müxtəlif zəiflikləri müəyyən etmək üçün şəbəkələr; onlar mütəxəssislərin iş vaxtını əhəmiyyətli dərəcədə azalda və zəifliklərin axtarışını asanlaşdıra bilərlər.

Təhlükəsizlik Skanerlərinə Baxış

Bu iş proqramın imkanlarının məhdud siyahısı ilə tanış olmaq və interfeysin sadəlik dərəcəsini qiymətləndirmək üçün proqramdan istifadə etməyə imkan verən pulsuz sınaq versiyasına malik skanerləri araşdırdı. Aşağıdakı məşhur zəiflik skanerləri nəzərdən keçirilən obyektlər kimi seçilmişdir: Nessus, GFI LANguard, Retina, Shadow təhlükəsizlik skaneri, İnternet Skaneri.

Nessus

Nessus, məlum təhlükəsizlik qüsurlarını avtomatik axtaran proqramdır informasiya sistemləri. O, xidmətlərin və ya domenlərin həssas versiyalarının mövcudluğu, konfiqurasiya xətaları (SMTP serverində avtorizasiyaya ehtiyac yoxdur), standart parolların, boş və ya zəif parolların mövcudluğu kimi ən çox yayılmış boşluq növlərini aşkar edə bilər.

Nessus skaneri şəbəkə skanerləri ailəsinə aid olan güclü və etibarlı alətdir və əməliyyat sistemləri, firewalllar, filtrasiya marşrutlaşdırıcıları və digər şəbəkə komponentləri tərəfindən təklif olunan şəbəkə xidmətlərində zəiflikləri axtarmağa imkan verir. Zəiflikləri axtarmaq üçün onlar kimi istifadə olunur standart vasitələrşəbəkənin konfiqurasiyası və işləməsi haqqında məlumatların sınaqdan keçirilməsi və toplanması və xüsusi vasitələr, şəbəkəyə qoşulmuş sistemlərə nüfuz etmək üçün təcavüzkarın hərəkətlərini təqlid etmək.

Proqram öz yoxlama prosedurlarınızı və ya şablonlarınızı birləşdirmək imkanına malikdir. Bu məqsədlə skaner NASL (Nessus Attack Scripting Language) adlı xüsusi skript dilini təmin edir. Zəifliklər bazası daim böyüyür və yenilənir. Qeydiyyatdan keçmiş istifadəçilər dərhal bütün yeniləmələri alır, digərləri isə (sınaq versiyaları və s.) müəyyən gecikmə alır.

GFILanGuard

GFI LanGuard Şəbəkə Təhlükəsizliyi Skaneri (N.S.S) sizi qorumaq üçün üç əsas komponentdən istifadə edən mükafat qazanmış həlldir: təhlükəsizlik skaneri, yamaqların idarə edilməsi və vahid konsoldan şəbəkəyə nəzarət. Bütün şəbəkəni skan edərək, hər şeyi müəyyənləşdirir mümkün problemlər təhlükəsizlik və onun geniş istifadə funksionallıq hesabat, hər hansı təhlükələri aşkar etmək, qiymətləndirmək, təsvir etmək və aradan qaldırmaq üçün lazım olan alətləri təmin edir.

Təhlükəsizliyin nəzərdən keçirilməsi prosesi 15,000-dən çox zəifliyin qiymətləndirilməsini hazırlayır və hər bir IP ünvanı əsasında şəbəkələri yoxlayır. GFI LanGuard N.S.S. bütün mühitlərdə çox platformalı tarama (Windows, Mac OS, Linux) yerinə yetirmək imkanı verir və hər bir məlumat mənbəyi üçün şəbəkə vəziyyətini təhlil edir. Bu, hakerlər yoluna çıxmazdan əvvəl hər hansı təhlükənin müəyyən edilməsini və aradan qaldırılmasını təmin edir.

GFI LanGuard N.S.S. OVAL (2000-dən çox dəyər) və SANS Top 20 kimi standartlar daxil olmaqla tam və hərtərəfli zəifliyin qiymətləndirilməsi məlumat bazası ilə gəlir. Bu verilənlər bazası müntəzəm olaraq BugTraq, SANS Corporation, OVAL, CVE və s. məlumatlarla yenilənir. GFI LanGuard avtomatik sayəsində sistemi yeniləyin N.S.S. həmişə Microsoft təhlükəsizlik yeniləmələri haqqında ən son məlumatları, həmçinin GFI və OVAL verilənlər bazası kimi digər məlumat anbarlarından məlumatları ehtiva edir.

GFI LanGuard N.S.S. kompüterləri skan edir, zəiflikləri müəyyən edir və təsnif edir, tədbirlər tövsiyə edir və problemləri həll etmək üçün alətlər təqdim edir. GFI LANguard N.S.S. həmçinin skan edilmiş kompüterin və ya kompüterlər qrupunun zəiflik statusunun intuitiv, balanslaşdırılmış qiymətləndirilməsini təmin edən qrafik təhlükə səviyyəsi göstəricisindən istifadə edir. Mümkünsə, bir keçid verilir və ya əlavə informasiya BugTraq ID və ya Microsoft Bilik Bazasındakı identifikator kimi xüsusi problem üçün.

GFI LanGuard N.S.S. sehrbazdan istifadə edərək asanlıqla öz zəiflik test sxemlərinizi yaratmağa imkan verir. VBScript skript mühərrikindən istifadə edərək siz həmçinin GFI LanGuard N.S.S. üçün kompleks zəiflik yoxlamaları yaza bilərsiniz. GFI LanGuard N.S.S. skript redaktoru və sazlayıcı daxildir.

Retina

BeyondTrust-un şəbəkə zəifliyi skaneri olan Retina Şəbəkə Təhlükəsizliyi Skaneri məlum şəbəkə zəifliklərini müəyyən edir və aradan qaldırılması üçün təhlükələrə üstünlük verir. İstifadə zamanı proqram məhsulu bütün kompüterlər, cihazlar, əməliyyat sistemləri, proqramlar və simsiz şəbəkələr müəyyən edilir.

İstifadəçilər həmçinin informasiya təhlükəsizliyi risklərini qiymətləndirmək, layihə risklərini idarə etmək və müəssisə siyasəti auditləri vasitəsilə standart tələblərinə cavab vermək üçün Retina-dan istifadə edə bilərlər. Bu skaner zəiflik kodunu işlətmir, ona görə də tarama şəbəkənin və təhlil edilən sistemlərin funksionallığının itirilməsinə səbəb olmur. Xüsusi Adaptive Speed ​​skaner texnologiyasından istifadə etməklə yerli şəbəkə C sinfi təxminən 15 dəqiqə çəkəcək, buna Adaptive Speed ​​​​- yüksək sürətli təhlükəsiz şəbəkə skan etmə texnologiyası kömək edir. Bundan əlavə, çevik tarama sahəsi parametrləri imkan verir sistem administratoru qonşuların işinə təsir etmədən bütün şəbəkənin və ya müəyyən bir seqmentin təhlükəsizliyini təhlil etmək. Baş verən avtomatik yeniləmə verilənlər bazasının yerli nüsxələri, buna görə də şəbəkə təhlili həmişə ən aktual məlumatlar əsasında aparılır. Yanlış müsbət nisbət 1%-dən azdır və sistem reyestrinə çevik giriş nəzarəti mövcuddur.

Kölgətəhlükəsizlikskaner (SSS)

Bu skaner həm məlum, həm də bilinməyənləri (buraxılış zamanı) etibarlı şəkildə aşkar etmək üçün istifadə edilə bilər. yeni versiya məhsul) zəifliklər. Sistemi skan edərkən, SSS zəifliklərin axtarışı da daxil olmaqla məlumatları təhlil edir və server konfiqurasiyasında mümkün səhvləri göstərir. Bundan əlavə, skaner bu problemlərin həlli və sistemdəki zəifliklərin aradan qaldırılması üçün mümkün yolları təklif edir.

Arxa qapı texnologiyası olaraq sistem istehsalçının öz inkişafının nüvəsindən, Shadow Security Scanner istifadə edir. Qeyd etmək olar ki, Windows ƏS-də işləyərkən SSS platformasından asılı olmayaraq serverləri skan edəcək. Platformalara misal olaraq Unix platformaları (Linux, FreeBSD, OpenBSD, Net BSD, Solaris), Windows platformaları (95/98/ME/NT/2000/XP/.NET/Win 7 və 8) daxildir. Shadow Security Scanner həmçinin CISCO, HP və başqalarının avadanlıqlarında səhvləri aşkar edə bilər. Bu skaner yerli tərtibatçılar tərəfindən yaradılmışdır və müvafiq olaraq rus interfeysi, həmçinin sənədləri və üzərində qaynar dəstək xətti var.

İnternetSkaner

Bu skanerdə zəifliklərin avtomatik aşkarlanması və təhlili təmin edilir korporativ şəbəkə. Skanerin imkanlarına şəbəkə xidmətləri, əməliyyat sistemləri, marşrutlaşdırıcılar, poçt və veb-serverlər, təhlükəsizlik duvarları və tətbiqi proqram təminatında boşluqların sonradan müəyyən edilməsi üçün bir sıra yoxlamaların həyata keçirilməsi daxildir. İnternet Skaneri şəbəkə avadanlığının səhv konfiqurasiyası, köhnəlmiş proqram təminatı, istifadə olunmamış şəbəkə xidmətləri, zəif parollar və s. daxil ola bilən 1450-dən çox zəifliyi aşkarlaya və müəyyən edə bilər. FTP, LDAP və SNMP protokollarını yoxlamaq, e-poçtları yoxlamaq, RPC, NFS, NIS və DNS yoxlamaq, “xidmətdən imtina”, “parol təxmin etmək”, Veb serverləri yoxlamaq, CGI skriptləri, Veb-brauzerlər və X-terminallar. Bundan əlavə, firewallları, proxy serverləri, uzaqdan giriş xidmətlərini, fayl sistemi, təhlükəsizlik alt sistemi və audit alt sistemi, sistem reyestri və quraşdırılmış yeniləmələr Windows OS və s. İnternet Skaneri şəbəkənin müəyyən bir sahəsində bir zəifliyin mövcudluğunu təhlil etməyə, məsələn, xüsusi yamağın quraşdırılmasını yoxlamağa imkan verir. əməliyyat sistemi. İnternet Skaneri işləyə bilər Windows server NT, həmçinin AIX, HP-UX, Linux və Solaris əməliyyat sistemlərini dəstəkləyir.

Müqayisə meyarlarını seçməzdən əvvəl vurğulamaq lazımdır ki, meyarlar təhlükəsizlik skanerlərinin istifadəsinin bütün aspektlərini əhatə etməlidir: məlumat toplama üsullarından tutmuş qiymətə qədər. Təhlükəsizlik skanerindən istifadə yerləşdirmənin planlaşdırılması və yerləşdirmənin özündən başlayır. Buna görə də, meyarların birinci qrupu təhlükəsizlik skanerlərinin arxitekturasına, onların komponentlərinin qarşılıqlı əlaqəsinə, quraşdırılmasına və idarə olunmasına aiddir. Növbəti meyarlar qrupu - skan - müqayisə edilən skanerlərin sadalanan hərəkətləri yerinə yetirmək üçün istifadə etdiyi üsulları, həmçinin proqram məhsulunun müəyyən edilmiş mərhələləri ilə əlaqəli digər parametrləri əhatə etməlidir. Vacib meyarlara həmçinin skan nəticələri, xüsusilə onların necə saxlanması və onlara əsasən hansı hesabatların yaradıla biləcəyi daxildir. Diqqət yetirilməli olan növbəti meyarlar yeniləmə və dəstək meyarlarıdır ki, bu da yeniləmə metodları və metodları, səviyyə kimi məsələləri aydınlaşdırmağa imkan verir. texniki dəstək, səlahiyyətli təlimin olması və s. Sonuncu qrupa vahid, lakin çox vacib meyar daxildir - qiymət.

· Dəstəklənən sistemlər;

· Dost interfeys;

· Skanlama imkanları (profillərin skan edilməsi);

· Profilləri fərdiləşdirmək imkanı (nə qədər çevik);

· Xidmətlərin və tətbiqlərin müəyyən edilməsi;

· Zəifliklərin müəyyən edilməsi;

· Hesabatın yaradılması (formatları);

· Fərdi hesabat yaratmaq imkanı (özünüz);

· Yeniləmə tezliyi;

· Texniki dəstək.

Cədvəl 1. Zəiflik skanerlərinin müqayisəsi
Skaner		GFI LanGuard
Qiymət	RUB 131,400/il	1610 rub. IP ünvanı üçün. IP ünvanları nə qədər çox olarsa, qiymət də bir o qədər aşağı olar		Qiymət IP ünvanlarının sayından asılı olaraq dəyişir 64 IP üçün 30.000 rubldan 512 IP üçün 102.000-ə qədər	Qiymət IP ünvanlarının sayından asılı olaraq dəyişir (nominal dəyər - 6000 rubl)
Dəstək canlı sistemlər	xüsusi proqram təminatı	Windows, Mac OS, Linux	Cisco, Linux, UNIX, Windows	Unix, Linux, FreeBSD, OpenBSD, Net BSD, Solaris, Windows 95/98/ME/NT/2000/XP/.NET	Windows, AIX, HP-UX, Linux və Solaris
dostluq Müdaxilə üz	Sadə və intuitiv interfeys	Sadə və intuitiv interfeys	Təmiz interfeys	Dostluq və aydın interfeys	Təmiz interfeys
Mümkün ness filigran gəzinti	Çevik parametrlər sistemi, tarama növü və parametrləri dəyişir, anonim skan etmək mümkündür. Mümkün variantlar skan edir: SYN scan, FIN scan – təmiz FIN sorğusu; Xmas Tree - sorğuda FIN, URG, PUSH daxildir; Null scan, FTP bounce scan, Ident scan, UDP scan və s. Xüsusi skript dilinin - NASL (Nessus Attack Scripting Language) təqdim olunduğu öz yoxlama prosedurlarınızı da qoşmaq mümkündür. Skaner həm şəbəkənin konfiqurasiyası və işləməsi haqqında məlumatların yoxlanılması və toplanması üçün standart alətlərdən, həm də sistemlərə nüfuz etmək üçün potensial təcavüzkarın hərəkətlərini təqlid edən xüsusi alətlərdən istifadə edir.	TCP/IP və UDP portlarının skan edilməsi ƏS, virtual mühit və proqramlar, mobil qurğular yoxlanılır; OVAL və SANS Top 20 verilənlər bazası istifadə olunur.	Zəifliklər nüfuz testindən istifadə etməklə aşkar edilir və risklər qiymətləndirilir və istismar ehtimalının qiymətləndirilməsi əsasında onların azaldılması prioritetləri müəyyən edilir. Zəifliklər (Core Impact®, Metasploit®, Exploit-db-dən), CVSS və digər amillər.	FTP, SSH, Telnet, SMTP, DNS, Finger, HTTP, POP3, IMAP, NetBios, NFS, NNTP, SNMP, Squid (SSS proksi serverləri audit üçün yoxlayan dünyada yeganə skanerdir - digər skanerlər sadəcə olaraq mövcudluğu müəyyən edir. port), LDAP (dünyada LDAP serverlərini audit üçün yoxlayan yeganə skaner - digər skanerlər sadəcə portun mövcudluğunu müəyyən edir), HTTPS, SSL, TCP/IP, UDP, Registry və s. Asanlıqla öz hesabatlarınızı yaradın.	FTP, LDAP və SNMP yoxlamaları; e-poçtların yoxlanılması; RPC, NFS, NIS və DNS yoxlamaları; xidmət hücumlarının rədd edilməsinin mümkünlüyünün yoxlanılması; "parol təxmin etmək" hücumlarının olub olmadığını yoxlayır (Brute Force); veb serverlərin və CGI skriptlərinin, veb brauzerlərin və X terminallarının yoxlanılması; firewallları və proxy serverləri yoxlamaq; uzaqdan giriş xidmətlərinin yoxlanılması; Windows OS fayl sisteminin yoxlanılması; Windows ƏS-nin təhlükəsizlik alt sisteminin və audit alt sisteminin yoxlanılması; sistem reyestrinin yoxlanılması və quraşdırılmış Windows OS yeniləmələri; şəbəkədə modemlərin və troyan atlarının mövcudluğunun yoxlanılması; xidmətlərin və demonların yoxlanılması; hesab yoxlamaları.
Müəyyən etmək xidmətlərin və tətbiqlərin hazırlanması bəylər	Xidmətlərin və tətbiqlərin müəyyənləşdirilməsi prosedurunun yüksək keyfiyyətlə həyata keçirilməsi.	İcazəsiz/zərərli proqram təminatının aşkarlanması və yüksək zəiflik səviyyəsinə malik proqramların qara siyahıya salınması.	ƏS, proqramlar, verilənlər bazası, veb proqramların aşkarlanması.	Hansı xidmətlərin onları dinlədiyini müəyyən etmək üçün hər bir portu yoxlayır. ƏS, proqramlar, verilənlər bazası, veb proqramları aşkar edir.	Şəbəkə xidmətlərinin, əməliyyat sistemlərinin, marşrutlaşdırıcıların, poçt və veb serverlərin, firewallların və proqram təminatının zəifliklərini müəyyən edir.
Hesabatın yaradılması	Hesabatları nessus (xml), pdf, html, csv, nessus DB formatlarında saxlamaq imkanı	Rəhbərlik üçün şəbəkədən istifadə tendensiyası hesabatlarından texniki işçilər üçün ətraflı hesabatlara qədər müxtəlif hesabatlar yaratmaq imkanı. Standartlara uyğunluq haqqında hesabatlar yaratmaq mümkündür: Sağlamlıq Sığortasının Daşınması və Hesabatlılığı Aktı (HIPAA), İctimai Xidmətlər Şəbəkəsi - Əlaqə Kodeksi (PSN CoCo), Sarbanes - Oxley Aktı (SOX), Gramm - Leach - Bliley Aktı (GLB/) GLBA), həmçinin Ödəniş Kartı Sənayesi Rəqəmsal Təhlükəsizlik Standartı (PCI-DSS) kimi də tanınır.	Ən geniş hesabat imkanlarından biri olan hesabat yaratma vasitələri var.	Hesabatı həm html formatında, həm də xml, pdf, rtf, chm formatlarında saxlamaq imkanı var. Hesabatın yaradılması prosesinin özü göstərilmək üçün lazım olan məlumatların seçilməsi şəklində baş verir. Hesabat yaratmaq imkanı yalnız tam versiyada mövcuddur.	Müxtəlif hesabat formalarını asanlıqla yaratmağa və onları xüsusiyyətlərə görə çeşidləməyə imkan verən güclü hesabat yaratma alt sistemi.
Mümkün istehsal gücü pulsuz hesabat	Bəli, yalnız tam versiyada.			Bəli, yalnız tam versiyada.
Tezliyi yeniləyin leniya	Daimi yeniləmələr, lakin sınaq versiyasının istifadəçiləri ən son yeniləmələri almır.	Tez-tez yeniləmələr	Tez-tez yeniləmələr	Daimi yeniləmələr	Daimi yeniləmələr
Texnika texniki dəstək	İndiki		İndiki	Hazırda, rus dilində mövcuddur.	İndiki

İşdə seçilmiş meyarlara uyğun olaraq müqayisə edilən 5 zəiflik skaneri araşdırılıb.

Effektivlik baxımından Nessus skaneri lider seçildi, çünki o, kompüter sisteminin təhlükəsizliyini təhlil etmək üçün ən tam imkanlara malikdir. Bununla belə, digər skanerlərlə müqayisədə nisbətən bahadır: az sayda IP ünvanınız varsa, GFI LanGuard və ya SSS seçmək daha müdrikdir.

Biblioqrafiya:

1. Dolgin A.A., Khorev P.B., Zəiflik skanerinin inkişafı kompüter sistemləri Windows ƏS-nin qorunan versiyaları əsasında, Beynəlxalq elmi-texniki konfransın materialları " İnformasiya mediası və texnologiyalar”, 2005.
2. Təhlükəsizlik haqqında məlumat portalı [Elektron resurs] - Giriş rejimi. - URL: http://www.securitylab.ru/ (giriş tarixi 03/27/15).
3. Softkey.info onlayn jurnalı [Elektron resurs] - Giriş rejimi. - URL: http://www.softkey.info/ (giriş tarixi 03/27/15).
4. "GFI Software" şirkətinin rəsmi saytı. [Elektron resurs] - Giriş rejimi. - URL: http://www.gfi.ru/ (giriş tarixi 03/27/15).
5. “Beyond Trust” rəsmi saytı. [Elektron resurs] - Giriş rejimi. - URL: http://www.beyondtrust.com/Products/RetinaNetworkSecurityScanner/ (03/27/15 daxil olub).
6. IBM-in rəsmi saytı [Elektron resurs] - Giriş rejimi. - URL: http://www.ibm.com/ (03/27/15 daxil olub).
7. Rəsmi vebsayt Tenable Network Security [Elektron resurs] - Giriş rejimi. - URL: http://www.tenable.com/products/nessus-vulnerability-scanner/ (03/27/15 daxil olub).
8. "Safety-lab" rəsmi saytı. [Elektron resurs] - Giriş rejimi. - URL: http://www.safety-lab.com/ (giriş tarixi 03/27/15).
9. İnformasiya təhlükəsizliyi üçün IBM həlləri [Elektron resurs] - Giriş rejimi. - URL: http://www.ibm.com/ru/services/iss/pdf/ISS_2009_DB_s10.pdf (giriş tarixi 03/27/15).
10. Khorev P.B., Kompüter sistemlərində məlumatların qorunması üsulları və vasitələri, M., "Akademiya" Nəşriyyat Mərkəzi, 2005.

Gördüyünüz kimi, bunlar çox olub və hamısı onlara məruz qalan sistemlər üçün çox təhlükəlidir. Özünüzü yeni zəifliklərdən qorumaq üçün təkcə sisteminizi vaxtında yeniləmək deyil, həm də sisteminizdə hakerlərin istifadə edə biləcəyi çoxdan aradan qaldırılmış boşluqların olmadığına əmin olmaq vacibdir.

Bu, Linux zəiflik skanerlərinin köməyə gəldiyi yerdir. Zəifliyin təhlili alətləri hər bir şirkətin təhlükəsizlik sisteminin ən vacib komponentlərindən biridir. Tətbiqləri və sistemləri köhnə zəifliklərə görə yoxlamaq məcburi təcrübədir. Bu yazıda baxacağıq ən yaxşı skanerlər zəifliklər, açıq mənbə kodu sistem və proqramlarınızdakı boşluqları aşkar etmək üçün istifadə edə bilərsiniz. Hamısı tamamilə pulsuzdur və kimi istifadə edilə bilər adi istifadəçilər, və korporativ sektorda.

OpenVAS və ya Açıq Zəifliyin Qiymətləndirilməsi Sistemi açıq mənbə kimi paylanan zəifliklərin axtarışı üçün tam platformadır. Proqram Nessus skanerinin mənbə koduna əsaslanır. Əvvəlcə bu skaner açıq mənbə kimi paylandı, lakin sonra tərtibatçılar kodu bağlamaq qərarına gəldilər və sonra, 2005-ci ildə Nessusun açıq versiyası əsasında OpenVAS yaradıldı.

Proqram server və müştəri hissəsindən ibarətdir. Skanlama sistemlərinin əsas işini yerinə yetirən server yalnız Linux-da işləyir və müştəri proqramları da Windows-u dəstəkləyir, serverə veb interfeys vasitəsilə daxil olmaq olar.

Skaner nüvəsi 36.000-dən çox müxtəlif zəiflik yoxlamasını ehtiva edir və hər gün yeni, bu yaxınlarda aşkar edilmişlərin əlavə edilməsi ilə yenilənir. Proqram işləyən xidmətlərdə zəiflikləri aşkarlaya bilər, həmçinin səhv parametrləri, məsələn, autentifikasiyanın olmaması və ya çox zəif parolları axtara bilər.

2. Nexpose Community Edition

Bu, Metasploit-i buraxan eyni şirkət olan Rapid7 tərəfindən hazırlanmış başqa bir açıq mənbəli Linux zəifliyinin skan edilməsi vasitəsidir. Skaner 68 000-ə qədər məlum zəifliyi aşkarlaya, həmçinin 160 000-dən çox şəbəkə skanını həyata keçirə bilər.

İcma versiyası tamamilə pulsuzdur, lakin o, eyni vaxtda 32 IP ünvanını və yalnız bir istifadəçini skan etmək məhdudiyyətinə malikdir. Lisenziya da hər il yenilənməlidir. Veb proqramların skan edilməsi yoxdur, lakin o, zəifliklər verilənlər bazasının avtomatik yenilənməsini və Microsoft Patch-dən zəifliklər haqqında məlumatların alınmasını dəstəkləyir.

Proqram təkcə Linux-da deyil, həm də Windows-da quraşdırıla bilər və idarəetmə veb-interfeys vasitəsilə həyata keçirilir. Bundan istifadə edərək, skan parametrlərini, IP ünvanlarını və digər zəruri məlumatları təyin edə bilərsiniz.

Tarama başa çatdıqdan sonra siz zəifliklərin siyahısını, həmçinin serverdə quraşdırılmış proqram təminatı və əməliyyat sistemi haqqında məlumatı görəcəksiniz. Siz həmçinin hesabatlar yarada və ixrac edə bilərsiniz.

3. Burp Suite Pulsuz Buraxılış

Burp Suite Java-da yazılmış veb zəiflik skaneridir. Proqram proxy serverdən, hörümçəkdən, sorğu yaratmaq və stress testlərini yerinə yetirmək üçün alətdən ibarətdir.

İLƏ Burp istifadə edərək veb proqram testini həyata keçirə bilərsiniz. Məsələn, bir proksi serverdən istifadə edərək, siz keçən trafiki tuta və görə bilərsiniz, həmçinin lazım olduqda onu dəyişdirə bilərsiniz. Bu, bir çox vəziyyətləri simulyasiya etməyə imkan verəcəkdir. Hörümçək veb zəifliklərini tapmağa kömək edəcək və sorğu yaratma aləti veb serverin gücünü tapmağa kömək edəcək.

4. Araxni

Arachni açıq mənbəli Ruby-də yazılmış tam xüsusiyyətli veb tətbiqi sınaq çərçivəsidir. Bu, müxtəlif nüfuz testlərini həyata keçirərək veb proqramların və saytların təhlükəsizliyini qiymətləndirməyə imkan verir.

Proqram autentifikasiya ilə skan etməyi, başlıqları fərdiləşdirməyi, Aser-Agent saxtakarlığını dəstəkləməyi, 404 aşkarlama dəstəyini dəstəkləyir.Bundan əlavə, proqram veb-interfeys və komanda xətti interfeysinə malikdir, tarama dayandırıla və sonra davam etdirilə bilər və ümumiyyətlə, hər şey işləyir çox tez .

5. OWASP Zed Attack Proxy (ZAP)

OWASP Zed Attack Proxy veb proqramlardakı boşluqları tapmaq üçün başqa hərtərəfli vasitədir. Bu tip proqramlar üçün bütün standart funksiyalar dəstəklənir. Siz portları skan edə, sayt strukturunu yoxlaya, bir çox məlum boşluqları axtara və təkrar sorğuların və ya yanlış məlumatların düzgün işlənib-işlənməsini yoxlaya bilərsiniz.

Proqram https üzərində işləyə bilər və həmçinin müxtəlif proksiləri dəstəkləyir. Proqram Java dilində yazıldığından onu quraşdırmaq və istifadə etmək çox asandır. Əsas xüsusiyyətlərə əlavə olaraq, funksionallığı əhəmiyyətli dərəcədə artıra bilən çoxlu sayda plaginlər var.

6. Kler

Clair konteynerlərdə Linux zəifliklərini tapmaq üçün bir vasitədir. Proqram konteynerlər üçün təhlükəli ola biləcək zəifliklərin siyahısını ehtiva edir və sisteminizdə belə boşluqlar aşkar edilərsə istifadəçiyə xəbərdarlıq edir. Proqram həmçinin konteynerləri təhlükəli hala gətirə biləcək yeni boşluqlar yarandıqda bildirişlər göndərə bilər.

Hər bir konteyner bir dəfə yoxlanılır və onu yoxlamaq üçün işə salmağa ehtiyac yoxdur. Proqram əlil konteynerdən bütün lazımi məlumatları əldə edə bilər. Gələcəkdə zəifliklər barədə məlumat vermək üçün bu məlumatlar keş yaddaşında saxlanılır.

7. Powerfuzzer

Powerfuzzer tam funksiyalı, avtomatlaşdırılmış və yüksək səviyyədə fərdiləşdirilə bilən veb skanerdir və sizə veb tətbiqinin etibarsız məlumatlara və təkrar sorğulara necə reaksiya verdiyini yoxlamağa imkan verir. Alət yalnız HTTP protokolunu dəstəkləyir və XSS, SQL injection, LDAP, CRLF və XPATH hücumları kimi zəiflikləri aşkarlaya bilir. O, həmçinin yanlış konfiqurasiyanı və ya hətta bufer daşması kimi təhlükəni göstərə bilən 500 səhvin izlənməsini dəstəkləyir.

8. Nmap

Nmap Linux üçün tam olaraq zəiflik skaneri deyil. Bu proqram sizə şəbəkəni skan etməyə və hansı qovşaqların ona qoşulduğunu öyrənməyə, həmçinin onlarda hansı xidmətlərin işlədiyini müəyyən etməyə imkan verir. Bu, zəifliklər haqqında hərtərəfli məlumat vermir, lakin siz hansının olduğunu təxmin edə bilərsiniz. proqram təminatı həssas ola bilər, zəif parolları sındırmağa çalışın. Müəyyən proqram təminatında müəyyən boşluqları müəyyən etməyə imkan verən xüsusi skriptləri işə salmaq da mümkündür.

nəticələr

Bu yazıda biz ən yaxşı Linux zəiflik skanerlərini nəzərdən keçirdik, onlar sizə sisteminizi və proqramlarınızı nəzarətdə saxlamağa imkan verir. tam təhlükəsizlik. Əməliyyat sisteminin özünü və ya veb proqramlarını və saytlarını skan etməyə imkan verən proqramlara baxdıq.

Nəhayət, zəiflik skanerlərinin nə olduğu və nə üçün lazım olduğu haqqında videoya baxa bilərsiniz:

Şəbəkə qurdlarının epidemiyası problemi hər hansı bir yerli şəbəkə üçün aktualdır. Gec və ya tez, bir şəbəkə və ya e-poçt qurdunun LAN şəbəkəsinə nüfuz etməsi və istifadə olunan antivirus tərəfindən aşkar edilməməsi vəziyyət yarana bilər. Şəbəkə virusu yoluxma zamanı bağlanmayan əməliyyat sistemi zəiflikləri və ya yazıla bilən boşluqlar vasitəsilə LAN üzərindən yayılır. paylaşılan resurslar. Poçt virusu, adından göründüyü kimi, müştəri antivirus və antivirus tərəfindən bloklanmamaq şərti ilə e-poçt vasitəsilə paylanır. poçt serveri. Bundan əlavə, LAN-da bir epidemiya insayderin fəaliyyəti nəticəsində daxildən təşkil edilə bilər. Bu yazıda müxtəlif vasitələrdən, xüsusən də müəllifin AVZ yardım proqramından istifadə etməklə LAN kompüterlərinin operativ təhlilinin praktiki üsullarına baxacağıq.

Problemin formalaşdırılması

Şəbəkədə epidemiya və ya bəzi anormal fəaliyyət aşkar edilərsə, inzibatçı ən azı üç vəzifəni tez həll etməlidir:

• şəbəkədə yoluxmuş kompüterləri aşkar etmək;
• antivirus laboratoriyasına göndərmək üçün zərərli proqram nümunələrini tapmaq və ona qarşı mübarizə strategiyasını hazırlamaq;
• virusun yerli şəbəkədə yayılmasının qarşısını almaq və yoluxmuş kompüterlərdə onu məhv etmək üçün tədbirlər görmək.

İnsayder fəaliyyəti vəziyyətində, təhlilin əsas addımları eynidır və əksər hallarda LAN kompüterlərində insayder tərəfindən quraşdırılmış üçüncü tərəf proqram təminatının aşkarlanması zərurətindən qaynaqlanır. Bu cür proqram təminatına misal olaraq uzaqdan idarəetmə proqramları, keyloggerlər və müxtəlif Trojan əlfəcinləri.

Tapşırıqların hər birinin həllini daha ətraflı nəzərdən keçirək.

Yoluxmuş kompüterləri axtarın

Şəbəkədə yoluxmuş kompüterləri axtarmaq üçün ən azı üç üsuldan istifadə edə bilərsiniz:

• avtomatik uzaqdan kompüter təhlili - işləyən proseslər, yüklənmiş kitabxanalar və sürücülər haqqında məlumat əldə etmək, xarakterik nümunələri axtarmaq - məsələn, proseslər və ya faylları verilmiş adlar;
• Sniffer istifadə edərək kompüter trafikinin təhlili - bu üsul spam-botları, e-poçt və şəbəkə qurdlarını tutmaq üçün çox effektivdir, lakin snayferdən istifadənin əsas çətinliyi müasir LAN-ın açarlar əsasında qurulması və nəticədə administratorun trafikə nəzarət edə bilməməsi ilə əlaqədardır. bütün şəbəkə. Problemi iki yolla həll etmək olar: marşrutlaşdırıcıda sniffer işə salmaqla (bu, kompüter məlumatlarının İnternetlə mübadiləsinə nəzarət etməyə imkan verir) və açarların monitorinq funksiyalarından istifadə etməklə (bir çox müasir açarlar administrator tərəfindən müəyyən edilmiş bir və ya bir neçə keçid portunun trafikinin təkrarlandığı monitorinq portunu təyin etməyə imkan verir);
• şəbəkə yükünün öyrənilməsi - bu halda, yalnız yükü qiymətləndirməyə deyil, həm də administrator tərəfindən göstərilən portları uzaqdan söndürməyə imkan verən ağıllı açarlardan istifadə etmək çox rahatdır. Administratorda hansı fərdi kompüterlərin müvafiq keçid portlarına qoşulduğu və onların yerləşdiyi yerlər haqqında məlumat olan şəbəkə xəritəsi varsa, bu əməliyyat xeyli sadələşir;
• bal qablarından istifadə - yerli şəbəkədə administratora epidemiyanı vaxtında aşkar etməyə imkan verəcək bir neçə bal qabı yaratmaq şiddətlə tövsiyə olunur.

Şəbəkədəki kompüterlərin avtomatik təhlili

Avtomatik PC analizi üç əsas mərhələyə endirilə bilər:

• tam kompüter skanının aparılması - işləyən proseslər, yüklənmiş kitabxanalar və sürücülər, avtostart;
• əməliyyat tədqiqatının aparılması - məsələn, xarakterik proseslərin və ya faylların axtarışı;
• müəyyən meyarlara uyğun olaraq obyektlərin karantinə alınması.

Yuxarıda göstərilən problemlərin hamısı müəllifin serverdəki şəbəkə qovluğundan işə salınması üçün nəzərdə tutulmuş və avtomatik kompüter yoxlaması üçün skript dilini dəstəkləyən AVZ yardım proqramından istifadə etməklə həll edilə bilər. İstifadəçi kompüterlərində AVZ-ni işə salmaq üçün sizə lazımdır:

1. AVZ-ni oxumaq üçün açıq olan serverdə şəbəkə qovluğuna yerləşdirin.
2. Bu qovluqda LOG və Qurantine alt kataloqları yaradın və istifadəçilərə onlara yazmağa icazə verin.
3. rexec yardım proqramı və ya giriş skriptindən istifadə edərək LAN kompüterlərində AVZ-ni işə salın.

3-cü addımda AVZ-nin işə salınması aşağıdakı parametrlərlə aparılmalıdır:

\\my_server\AVZ\avz.exe Prioritet=-1 nw=Y nq=Y HiddenMode=2 Skript=\\my_server\AVZ\my_script.txt

Bu halda Priority=-1 parametri AVZ prosesinin prioritetini aşağı salır, nw=Y və nq=Y parametrləri karantini “şəbəkə işləməsi” rejiminə keçirir (bu halda karantin qovluğunda alt kataloq yaradılır) adı PC-nin şəbəkə adına uyğun gələn hər bir kompüter üçün) , HiddenMode=2 istifadəçiyə GUI və AVZ idarəetmə vasitələrinə girişi rədd etməyi əmr edir və nəhayət, ən vacib Skript parametri skriptin tam adını müəyyən edir. AVZ-nin istifadəçinin kompüterində yerinə yetirəcəyi əmrlər. AVZ skript dilinin istifadəsi olduqca sadədir və yalnız kompüter müayinəsi və müalicəsi problemlərinin həllinə yönəlmişdir. Skriptlərin yazılması prosesini sadələşdirmək üçün siz onlayn əmrdən, standart skriptlər yaratmaq üçün sehrbazdan və yazılı skriptin düzgünlüyünü işə salmadan yoxlamaq üçün alətlərdən ibarət ixtisaslaşmış skript redaktorundan istifadə edə bilərsiniz (şək. 1).

düyü. 1. AVZ skript redaktoru

Epidemiya ilə mübarizədə faydalı ola biləcək üç tipik skriptə baxaq. Birincisi, bizə PC tədqiqat skriptinə ehtiyacımız var. Skriptin vəzifəsi sistemi yoxlamaq və verilmiş şəbəkə qovluğunda nəticələrlə protokol yaratmaqdır. Skript belə görünür:

ActivateWatchDog(60 * 10);

// Skan etməyə və təhlil etməyə başlayın

// Sistem kəşfiyyatı

ExecuteSysCheck(GetAVZDirectory+

‘\LOG\’+GetComputerName+’_log.htm’);

//AVZ-ni söndürün

Bu skriptin icrası zamanı LOG qovluğunda şəbəkə kompüterlərinin tədqiqinin nəticələri ilə HTML faylları yaradılacaq (nəzərə alsaq ki, o, serverdə AVZ kataloqunda yaradılıb və istifadəçilərin yazması üçün əlçatandır) və unikallığı, yoxlanılan kompüterin adı protokol adına daxil edilir. Skriptin əvvəlində skriptin icrası zamanı nasazlıqlar baş verərsə, 10 dəqiqədən sonra AVZ prosesini məcburi şəkildə dayandıracaq nəzarətçi taymerini işə salmaq əmri var.

AVZ protokolu əl ilə öyrənmək üçün əlverişlidir, lakin avtomatlaşdırılmış analiz üçün az istifadə olunur. Bundan əlavə, administrator tez-tez zərərli proqram faylının adını bilir və yalnız bu faylın varlığını və ya olmamasını yoxlamalı və əgər varsa, təhlil üçün onu karantinə qoymalıdır. Bu halda, aşağıdakı skriptdən istifadə edə bilərsiniz:

// Gözətçi taymerini 10 dəqiqə aktivləşdirin

ActivateWatchDog(60 * 10);

// Zərərli proqramı adı ilə axtarın

QuarantineFile('%WinDir%\smss.exe', 'LdPinch.gen haqqında şübhəli');

QuarantineFile('%WinDir%\csrss.exe', 'LdPinch.gen şübhəsi');

//AVZ-ni söndürün

Bu skript müəyyən edilmiş faylları karantinə almağa cəhd etmək üçün QuarantineFile funksiyasından istifadə edir. Administrator yalnız karantin məzmununu (Quarantine\şəbəkə_adı_PC\quarantine_date\ qovluğu) karantinə alınmış faylların olub-olmaması üçün təhlil edə bilər. Nəzərə alın ki, QuarantineFile funksiyası təhlükəsiz AVZ verilənlər bazası və ya Microsoft rəqəmsal imza verilənlər bazası tərəfindən müəyyən edilmiş faylların karantinini avtomatik bloklayır. üçün praktik tətbiq bu skript təkmilləşdirilə bilər - fayl adlarının xarici mətn faylından yüklənməsini təşkil edin, tapılan faylları AVZ verilənlər bazası ilə yoxlayın və işin nəticələri ilə mətn protokolu yaradın:

// Göstərilən ada malik faylı axtarın

funksiyası CheckByName(Fname: string) : boolean;

Nəticə:= FileExists(FName) ;

Nəticə varsa, başlayın

Case CheckFile(FName).

1: S:= ‘, fayla giriş bloklanıb’;

1: S:= ‘, Zərərli proqram kimi aşkar edildi (‘+GetLastCheckTxt+’)’;

2: S:= ‘, fayl skaneri (‘+GetLastCheckTxt+’) tərəfindən şübhələnir’;

3: çıxış; // Təhlükəsiz fayllar nəzərə alınmır

AddToLog(‘ ‘+NormalFileName(FName)+’ faylının şübhəli adı var’+S);

//Göstərilən faylı karantinə əlavə edin

QuarantineFile(FName,'şübhəli fayl'+S);

SuspNames: TStringList; // Şübhəli faylların adlarının siyahısı

// Yenilənmiş verilənlər bazası ilə faylların yoxlanılması

Əgər FileExists(GetAVZDirectory + 'files.db') varsa, onda başlayın

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('Ad verilənlər bazası yükləndi - qeydlərin sayı = '+inttostr(SuspNames.Count));

// Axtarış döngəsi

i:= 0 üçün SuspNames.Count - 1 do

CheckByName(SuspNames[i]);

AddToLog('Fayl adlarının siyahısını yükləmə xətası');

SaveLog(GetAVZDirectory+'\LOG\'+

GetComputerName+'_files.txt');

Bu skriptin işləməsi üçün siz AVZ qovluğunda yazmaq üçün istifadəçilər üçün əlçatan olan Karantin və LOG kataloqlarını yaratmalısınız, həmçinin mətn faylı files.db - bu faylın hər sətirində şübhəli faylın adı olacaq. Fayl adlarına makrolar daxil ola bilər, onlardan ən faydalısı %WinDir% (yol Windows qovluğu) və %SystemRoot% (System32 qovluğuna gedən yol). Təhlilin başqa bir istiqaməti istifadəçi kompüterlərində işləyən proseslərin siyahısının avtomatik yoxlanılması ola bilər. Çalışan proseslər haqqında məlumat sistem tədqiqat protokolundadır, lakin avtomatik analiz üçün aşağıdakı skript fraqmentindən istifadə etmək daha rahatdır:

prosedur ScanProcess;

S:= ''; S1:= '';

//Proseslərin siyahısının yenilənməsi

RefreshProcessList;

AddToLog(‘Proseslərin sayı = ‘+IntToStr(GetProcessCount));

// Qəbul edilmiş siyahının təhlili dövrü

i:= 0 üçün GetProcessCount - 1 başlayır

S1:= S1 + ‘,’ + ExtractFileName(GetProcessName(i));

// Prosesi adla axtarın

əgər pos(‘trojan.exe’, LowerCase(GetProcessName(i))) > 0 sonra

S:= S + GetProcessName(i)+’,’;

əgər S<>''sonra

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(İndi)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(İndi)+’ ‘+GetComputerName+’ : ‘+S1);

Bu skriptdə proseslərin öyrənilməsi ayrıca ScanProcess proseduru kimi həyata keçirilir, ona görə də onu öz skriptində yerləşdirmək asandır. ScanProcess proseduru proseslərin iki siyahısını yaradır: tam siyahı proseslər (sonrakı təhlil üçün) və inzibatçının nöqteyi-nəzərindən təhlükəli hesab edilən proseslərin siyahısı. Bu halda, nümayiş məqsədləri üçün "trojan.exe" adlı proses təhlükəli sayılır. Təhlükəli proseslər haqqında məlumat _alarm.txt mətn faylına, bütün proseslər haqqında məlumat _all_process.txt faylına əlavə edilir. Skripti ona əlavə etməklə, məsələn, proses fayllarını təhlükəsiz fayllar verilənlər bazası ilə yoxlamaq və ya adları yoxlamaqla çətinləşdirə biləcəyinizi görmək asandır. icra edilə bilən fayllar xarici əsasda proseslər. Bənzər bir prosedur Smolenskenergo-da istifadə olunan AVZ skriptlərində istifadə olunur: administrator vaxtaşırı toplanmış məlumatları öyrənir və skripti dəyişdirir, ona təhlükəsizlik siyasəti ilə qadağan edilmiş proqramların proseslərinin adını əlavə edir, məsələn, ICQ və MailRu.Agent. tədqiq olunan kompüterlərdə qadağan olunmuş proqram təminatının mövcudluğunu tez yoxlamaq üçün. Proses siyahısı üçün başqa bir istifadə antivirus kimi tələb olunan prosesi olmayan kompüterləri tapmaqdır.

Sonda, faydalı təhlil skriptlərinin sonuncusuna baxaq - təhlükəsiz AVZ verilənlər bazası və Microsoft rəqəmsal imza verilənlər bazası tərəfindən tanınmayan bütün faylların avtomatik karantini üçün skript:

// Avtokarantin həyata keçirin

ExecuteAutoQuarantine;

Avtomatik karantin işləyən prosesləri və yüklənmiş kitabxanaları, xidmətləri və sürücüləri, təxminən 45 avtomatik işəsalma metodunu, brauzer və kəşfiyyatçı genişləndirmə modullarını, SPI/LSP işləyicilərini, planlaşdırıcı işlərini, çap sistemi işləyicilərini və s. yoxlayır. Karantinin xüsusi bir xüsusiyyəti ondan ibarətdir ki, ona təkrar nəzarəti ilə fayllar əlavə olunur, beləliklə, avtokarantin funksiyasını dəfələrlə çağırmaq olar.

Avtomatik karantinin üstünlüyü ondan ibarətdir ki, onun köməyi ilə administrator tez bir zamanda şəbəkədəki bütün kompüterlərdən potensial şübhəli faylları yoxlamaq üçün toplaya bilir. Faylların öyrənilməsinin ən sadə (lakin praktikada çox təsirli) forması nəticədə karantini maksimum evristik rejimdə bir neçə məşhur antivirusla yoxlamaq ola bilər. Qeyd etmək lazımdır ki, bir neçə yüz kompüterdə eyni vaxtda avtomatik karantin işə salınması şəbəkədə və fayl serverində yüksək yük yarada bilər.

Trafik Tədqiqatı

Trafik tədqiqatı üç yolla həyata keçirilə bilər:

• sniffers istifadə edərək əl ilə;
• yarı avtomatik rejimdə - bu zaman sniffer məlumat toplayır, sonra isə onun protokolları ya əl ilə, ya da hansısa proqram təminatı ilə işlənir;
• Snort (http://www.snort.org/) kimi müdaxilənin aşkarlanması sistemlərindən (IDS) və ya onların proqram təminatı və ya aparat analoqlarından avtomatik istifadə etməklə. Ən sadə halda, IDS sniffer və sniffer tərəfindən toplanan məlumatları təhlil edən sistemdən ibarətdir.

Müdaxilənin aşkarlanması sistemi optimal vasitədir, çünki o, şəbəkə fəaliyyətində anomaliyaları aşkar etmək üçün qaydalar toplusunu yaratmağa imkan verir. Onun ikinci üstünlüyü aşağıdakılardır: ən müasir IDS trafik monitorinqi agentlərini bir neçə şəbəkə qovşağında yerləşdirməyə imkan verir - agentlər məlumat toplayır və ötürürlər. Bir sniffer istifadə edildikdə, UNIX sniffer tcpdump konsolundan istifadə etmək çox rahatdır. Məsələn, port 25-də fəaliyyətə nəzarət etmək üçün ( SMTP protokolu) sadəcə olaraq snayferi idarə edin komanda xətti növü:

tcpdump -i em0 -l tcp port 25 > smtp_log.txt

Bu halda, paketlər em0 interfeysi vasitəsilə tutulur; tutulan paketlər haqqında məlumat smtp_log.txt faylında saxlanılacaq. Protokolun əl ilə təhlili nisbətən asandır; bu nümunədə 25-ci portdakı fəaliyyəti təhlil etmək aktiv spam botları olan kompüterləri müəyyən etməyə imkan verir.

Honeypot tətbiqi

Tələ kimi istifadə edilə bilər (Honeypot) köhnəlmiş kompüter, performansı onu həll etmək üçün istifadə etməyə imkan vermir istehsal vəzifələri. Məsələn, 64 MB tutumu olan Pentium Pro müəllif şəbəkəsində tələ kimi uğurla istifadə olunur təsadüfi giriş yaddaşı. Bu kompüterdə siz LAN-da ən ümumi əməliyyat sistemini quraşdırmalı və strategiyalardan birini seçməlisiniz:

• Yeniləmə paketləri olmadan əməliyyat sistemini quraşdırın - bu, bu əməliyyat sistemi üçün hər hansı məlum zəiflikdən istifadə edərək şəbəkədə aktiv şəbəkə qurdunun görünməsinin göstəricisi olacaq;
• şəbəkədəki digər kompüterlərdə quraşdırılmış yeniləmələri olan bir əməliyyat sistemini quraşdırın - Honeypot hər hansı bir iş stansiyasının analoqu olacaq.

Hər bir strategiyanın həm müsbət, həm də mənfi tərəfləri var; Müəllif əsasən yeniləmələr olmadan seçimdən istifadə edir. Honeypot yaratdıqdan sonra bunun üçün disk şəkli yaratmalısınız sürətli bərpa zərərli proqram tərəfindən zədələndikdən sonra sistem. Disk şəklinə alternativ olaraq, ShadowUser və onun analoqları kimi dəyişdirmə geri qaytarma sistemlərindən istifadə edə bilərsiniz. Honeypot qurduqdan sonra nəzərə almalısınız ki, bir sıra şəbəkə qurdları yoluxmuş kompüterin IP ünvanından hesablanan IP diapazonunu skan edərək yoluxmuş kompüterləri axtarır (ümumi tipik strategiyalar X.X.X.*, X.X.X+1.*, X.X.X-1.*), - buna görə də, İdeal olaraq, hər bir alt şəbəkədə Honeypot olmalıdır. Əlavə hazırlıq elementləri olaraq, Honeypot sistemindəki bir neçə qovluğa girişi mütləq açmalısınız və bu qovluqlarda müxtəlif formatlı bir neçə nümunə faylı qoymalısınız, minimum dəst EXE, JPG, MP3-dir.

Təbii ki, Honeypot yaratdıqdan sonra administrator onun işinə nəzarət etməli və aşkar edilmiş anomaliyalara cavab verməlidir. bu kompüter. Auditorlar dəyişiklikləri qeyd etmək vasitəsi kimi istifadə edilə bilər; sniffer şəbəkə fəaliyyətini qeyd etmək üçün istifadə edilə bilər. Əhəmiyyətli bir məqam odur ki, əksər snifferlər müəyyən şəbəkə fəaliyyəti aşkar edilərsə, inzibatçıya xəbərdarlıq göndərilməsini konfiqurasiya etmək imkanı verir. Məsələn, CommView sniffer-də qayda şəbəkə paketini təsvir edən "düsturun" təyin edilməsini və ya kəmiyyət meyarlarının müəyyən edilməsini (saniyədə müəyyən sayda paket və ya bayt göndərmək, paketləri naməlum IP və ya MAC ünvanlarına göndərmək) ehtiva edir - Şek. 2.

düyü. 2. Şəbəkə fəaliyyəti xəbərdarlığını yaradın və konfiqurasiya edin

Xəbərdarlıq olaraq, göndərilən e-poçt mesajlarından istifadə etmək ən əlverişlidir Poçt qutusu administrator - bu halda, siz şəbəkədəki bütün tələlərdən operativ xəbərdarlıqlar ala bilərsiniz. Bundan əlavə, sniffer birdən çox xəbərdarlıq yaratmağa imkan verirsə, işi vurğulamaqla şəbəkə fəaliyyətini fərqləndirmək məna kəsb edir. Elektron-poçt ilə, FTP/HTTP, TFTP, Telnet, MS Net, hər hansı bir protokol üçün saniyədə 20-30 paketdən çox trafiki artırdı (şək. 3).

düyü. 3. Bildiriş məktubu göndərildi
göstərilən kriteriyalara uyğun gələn paketlər aşkar edildikdə

Tələ təşkil edərkən, şəbəkədə istifadə olunan bir neçə həssas şəbəkə xidmətlərini yerləşdirmək və ya onlar üçün bir emulyator quraşdırmaq yaxşı bir fikirdir. Ən sadə (və pulsuz) quraşdırma olmadan işləyən xüsusi APS yardım proqramıdır. APS-in iş prinsipi onun verilənlər bazasında təsvir edilmiş bir çox TCP və UDP portlarını dinləmək və qoşulma anında əvvəlcədən müəyyən edilmiş və ya təsadüfi yaradılan cavabı verməkdən ibarətdir (Şəkil 4).

düyü. 4. APS yardım proqramının əsas pəncərəsi

Şəkildə Smolenskenergo LAN-da real APS aktivləşdirilməsi zamanı çəkilmiş skrinşot göstərilir. Şəkildən göründüyü kimi, müştəri kompüterlərindən birini 21-ci porta qoşmaq cəhdi qeydə alınıb. Protokolların təhlili göstərdi ki, cəhdlər dövri xarakter daşıyır və şəbəkədə bir neçə tələ tərəfindən qeydə alınır ki, bu da bizə belə qənaətə gəlməyə imkan verir ki, parolları təxmin etməklə FTP serverlərini axtarmaq və sındırmaq üçün şəbəkə skan edilir. APS qeydləri saxlayır və idarəçilərə monitorinq edilən portlara qeydiyyatdan keçmiş bağlantılar barədə hesabatlar göndərə bilər ki, bu da şəbəkə skanlarını tez aşkar etmək üçün əlverişlidir.

Honeypot yaratarkən mövzu ilə bağlı onlayn resurslarla, xüsusən http://www.honeynet.org/ ilə tanış olmaq da faydalıdır. Bu saytın Alətlər bölməsində (http://www.honeynet.org/tools/index.html) siz hücumları qeyd etmək və təhlil etmək üçün bir sıra alətlər tapa bilərsiniz.

Zərərli proqramların uzaqdan çıxarılması

İdeal olaraq, nümunələr aşkar edildikdən sonra zərərli proqram administrator onları antivirus laboratoriyasına göndərir, burada analitiklər tərəfindən operativ şəkildə öyrənilir və müvafiq imzalar antivirus bazasına daxil edilir. Bu imzalar istifadəçinin kompüterində avtomatik olaraq yenilənir və antivirus administratorun müdaxiləsi olmadan zərərli proqramı avtomatik olaraq aradan qaldırır. Bununla belə, bu zəncir həmişə gözlənildiyi kimi işləmir, xüsusən uğursuzluğun aşağıdakı səbəbləri mümkündür:

• şəbəkə administratorundan asılı olmayan bir sıra səbəblərə görə şəkillər antivirus laboratoriyasına çatmaya bilər;
• antivirus laboratoriyasının qeyri-kafi effektivliyi - ideal halda nümunələrin öyrənilməsi və verilənlər bazasına daxil edilməsi 1-2 saatdan çox vaxt tələb etmir, bu isə o deməkdir ki, yenilənmiş imza bazalarını bir iş günü ərzində əldə etmək olar. Bununla belə, bütün antivirus laboratoriyaları belə tez işləmir və yeniləmələr üçün bir neçə gün gözləyə bilərsiniz (nadir hallarda, hətta həftələr);
• antivirusun yüksək performansı - bir sıra zərərli proqramlar aktivləşdirildikdən sonra antivirusları məhv edir və ya onların işini başqa şəkildə pozur. Klassik nümunələrə blok edən host faylına girişlərin edilməsi daxildir normal iş antivirus avtomatik yeniləmə sistemləri, proseslərin, xidmətlərin və antivirus drayverlərinin silinməsi, onların parametrlərinin zədələnməsi və s.

Buna görə də, yuxarıda göstərilən hallarda, zərərli proqramlarla əl ilə məşğul olmalı olacaqsınız. Əksər hallarda bu çətin deyil, çünki kompüter müayinəsinin nəticələri yoluxmuş fərdi kompüterləri, eləcə də zərərli proqram fayllarının tam adlarını aşkar edir. Yalnız onları uzaqdan silmək qalır. Zərərli proqram silinməkdən qorunmursa, o zaman aşağıdakı AVZ skripti ilə məhv edilə bilər:

// Faylın silinməsi

DeleteFile('fayl adı');

ExecuteSysClean;

Bu skript müəyyən edilmiş bir faylı (və ya bir neçə faylı silir, çünki skriptdə qeyri-məhdud sayda DeleteFile əmrləri ola bilər) və sonra avtomatik olaraq qeyd dəftərini təmizləyir. Daha mürəkkəb halda, zərərli proqram özünü silinməkdən qoruya bilər (məsələn, faylları və reyestr açarlarını yenidən yaratmaqla) və ya rootkit texnologiyasından istifadə edərək maskalana bilər. Bu halda, skript daha mürəkkəbləşir və belə görünür:

// Anti-rootkit

SearchRootkit(doğru, doğru);

// AVZGuard-a nəzarət edin

SetAVZGuardStatus(doğru);

// Faylın silinməsi

DeleteFile('fayl adı');

// BootCleaner qeydini aktivləşdirin

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// BootCleaner tapşırığına skript tərəfindən silinmiş faylların siyahısını idxal edin

BC_ImportDeletedList;

// BootCleaner-i aktivləşdirin

// Evristik sistemin təmizlənməsi

ExecuteSysClean;

Windows'u yenidən başladın (doğru);

Bu skriptə rootkitlərə qarşı aktiv mübarizə, AVZGuard sisteminin istifadəsi (bu, zərərli proqram fəaliyyətinin blokatorudur) və BootCleaner sistemi daxildir. BootCleaner, sistemin yüklənməsinin erkən mərhələsində, yenidən yükləmə zamanı KernelMode-dan müəyyən obyektləri silən sürücüdür. Təcrübə göstərir ki, belə bir skript mövcud zərərli proqramların böyük əksəriyyətini məhv etməyə qadirdir. İstisna, hər bir yenidən yükləmə ilə icra edilə bilən fayllarının adlarını dəyişən zərərli proqramdır - bu halda, sistemin skan edilməsi zamanı aşkar edilmiş faylların adı dəyişdirilə bilər. Bu halda, kompüterinizi əl ilə dezinfeksiya etməli və ya öz zərərli proqram imzalarınızı yaratmalısınız (imza axtarışını həyata keçirən skript nümunəsi AVZ yardımında təsvir edilmişdir).

Nəticə

Bu yazıda biz antivirus məhsullarından istifadə etmədən LAN epidemiyası ilə əl ilə mübarizə aparmaq üçün bəzi praktik üsullara baxdıq. Təsvir edilən üsulların əksəriyyəti xarici kompüterləri və istifadəçi kompüterlərində troyan əlfəcinlərini axtarmaq üçün də istifadə edilə bilər. Zərərli proqram tapmaqda və ya müalicə skriptlərini yaratmaqda hər hansı bir çətinlik varsa, administrator http://virusinfo.info forumunun “Kömək” bölməsindən və ya http://forum.kaspersky.com forumunun “Viruslarla mübarizə” bölməsindən istifadə edə bilər. /index.php?showforum= 18. Protokolların öyrənilməsi və müalicəyə köməklik hər iki forumda pulsuz həyata keçirilir, PC təhlili AVZ protokollarına uyğun olaraq aparılır və əksər hallarda müalicə yoluxmuş kompüterlərdə bu forumların təcrübəli mütəxəssisləri tərəfindən tərtib edilmiş AVZ skriptinin icrasına düşür. .

Müqayisəli təhlil təhlükəsizlik skanerləri. Hissə 1: Penetrasiya Testi (Qısa Xülasə)

Aleksandr Antipov

Bu sənəd şəbəkə perimetri qovşaqlarına qarşı nüfuz testləri zamanı şəbəkə təhlükəsizliyi skanerlərinin müqayisəsinin nəticələrini təqdim edir.

Lepixin Vladimir Borisoviç
İnformzaşçita Tədris Mərkəzində Şəbəkə Təhlükəsizliyi Laboratoriyasının rəhbəri

Hesabatdakı bütün materiallar İnformzaşita tədris mərkəzinin əqli mülkiyyət obyektləridir. Informzashita Tədris Mərkəzinin əvvəlcədən yazılı razılığı olmadan hesabat materiallarının hər hansı formada təkrarlanması, nəşri və ya çoxaldılması qadağandır.

Tədqiqatın tam mətni:
http://www.itsecurity.ru/news/reliase/2008/12_22_08.htm

1. Giriş

Şəbəkə təhlükəsizliyi skanerləri müqayisə üçün mükəmməldir. Onların hamısı çox fərqlidir. Və onların nəzərdə tutulduğu vəzifələrin xüsusiyyətlərinə və "ikili" məqsədlərinə görə (şəbəkə təhlükəsizliyi skanerləri həm müdafiə, həm də "hücum üçün" istifadə edilə bilər və bildiyimiz kimi, sındırma yaradıcı bir işdir) , nəhayət, həm də ona görə ki, hər bir belə alətin arxasında onun yaradıcısı haqqında düşünən “haker” (sözün ilkin mənasında) uçuşu var.

Müqayisə şərtlərini seçərkən "tapşırıq əsaslı" yanaşma əsas götürüldü, beləliklə, nəticələrə əsasən, müəyyən bir alətin ona tapşırılan vəzifənin həlli üçün nə qədər uyğun olduğunu mühakimə etmək olar. Məsələn, şəbəkə təhlükəsizliyi skanerlərindən istifadə edilə bilər:

• şəbəkə resurslarının inventarlaşdırılması üçün;
• "nüfuz testləri" zamanı;
• sistemlərin müxtəlif tələblərə uyğunluğunun sınaqdan keçirilməsi prosesində.

Bu sənəd şəbəkə perimetri qovşaqlarına qarşı nüfuz testləri zamanı şəbəkə təhlükəsizliyi skanerlərinin müqayisəsinin nəticələrini təqdim edir. Aşağıdakılar qiymətləndirilib:

• Aşkar edilmiş boşluqların sayı
• Yanlış müsbətlərin sayı (Yanlış pozitivlər)
• Yanlış neqativlər
• İşdən kənar qalma səbəbləri
• Yoxlama bazasının tamlığı (bu tapşırığın kontekstində)
• İnventar mexanizmlərinin keyfiyyəti və proqram təminatının versiyasının müəyyən edilməsi
• Skanerin dəqiqliyi (bu tapşırığın kontekstində)

Sadalanan meyarlar birlikdə skanerin ona verilmiş tapşırığı həll etmək üçün "uyğunluğunu" xarakterizə edir, bu halda şəbəkə perimetrinin təhlükəsizliyinə nəzarət prosesində adi hərəkətlərin avtomatlaşdırılmasıdır.

2. Müqayisə iştirakçılarının qısa təsviri

Müqayisə başlamazdan əvvəl portal sorğu keçirib, onun məqsədi istifadə olunan skanerlər və onların istifadə olunduğu vəzifələr haqqında məlumat toplamaq olub.

Sorğuda 500-ə yaxın respondent (portal ziyarətçiləri) iştirak edib.

Təşkilatlarında istifadə etdikləri təhlükəsizlik skanerləri barədə soruşduqda respondentlərin böyük əksəriyyəti ən azı bir təhlükəsizlik skanerindən (70%) istifadə etdiklərini bildirib. Eyni zamanda, informasiya sistemlərinin təhlükəsizliyini təhlil etmək üçün mütəmadi olaraq təhlükəsizlik skanerlərindən istifadə edən təşkilatlar bu sinifdən bir neçə məhsuldan istifadə etməyə üstünlük verirlər. Respondentlərin 49%-i təşkilatlarının iki və ya daha çox təhlükəsizlik skanerindən istifadə etdiyini bildirib (Şəkil 1).

1 . İstifadə olunan təhlükəsizlik skanerlərinin sayına görə sorğu edilən təşkilatların bölgüsü

Birdən çox təhlükəsizlik skanerindən istifadənin səbəbləri arasında təşkilatların tək bir “satıcı”nın həllərinə etibar etməməsi (61%) və hərtərəfli təhlükəsizlik skaneri ilə həyata keçirilə bilməyən xüsusi yoxlamalar tələb olunduqda (39%) daxildir (Şəkil 2). .

2. Sorğu edilən təşkilatlarda birdən çox təhlükəsizlik skanerindən istifadənin səbəbləri

İxtisaslaşdırılmış təhlükəsizlik skanerlərinin hansı məqsədlər üçün istifadə edildiyini soruşduqda respondentlərin əksəriyyəti cavab verdi ki, onlardan veb proqramların təhlükəsizliyinin təhlili üçün əlavə vasitə kimi istifadə olunur (68%). İkinci yerdə ixtisaslaşdırılmış DBMS təhlükəsizlik skanerləri (30%), üçüncü yerdə (2%) informasiya sistemlərinin təhlükəsizliyinin təhlili zamanı problemlərin xüsusi spektrinin həlli üçün xüsusi kommunal xidmətlər dayanıb (şək. 3).

3. Sorğuda iştirak edən respondentlərin təşkilatlarında xüsusi təhlükəsizlik skanerlərindən istifadənin məqsədləri

Respondentlər arasında təhlükəsizlik skanerləri ilə bağlı son məhsullar haqqında sorğunun nəticəsi (Şəkil 4) göstərdi ki, təşkilatların əksəriyyəti Positive Technologies məhsulu XSpider (31%) və Nessus Security Scanner (17%) istifadə etməyə üstünlük verir.

düyü. 4. Respondentlərin təşkilatlarında istifadə edilən təhlükəsizlik skanerləri

Cədvəl 1-də təqdim olunan skanerlər sınaq testlərində iştirak etmək üçün seçilmişdir.

Cədvəl 1. Müqayisə üçün istifadə olunan şəbəkə təhlükəsizliyi skanerləri

ad	Versiya
		http://www.nessus.org/download
MaxPatrol	8.0 (Disk 1178)	http://www.ptsecurity.ru/maxpatrol.asp
İnternet skaner		http://www-935.ibm.com/services/us/index.wss/offering/iss/a1027208
RetinaŞəbəkə təhlükəsizliyi skaneri		http://www.eeye.com/html/products/retina/index.html
Kölgə Təhlükəsizlik Skaneri (SSS)	7.141 (Davam 262)	http://www.safety-lab.com/en/products/securityscanner.htm
NetClarity Auditor		http://netclarity.com/branch-nacwall.html

Beləliklə, ilk sınaq sistemlərin sındırılmasına qarşı müqavimətin təhlükəsizliyinin qiymətləndirilməsi tapşırığına yönəlib.

3. Xülasə

Qalan qovşaqlar üçün nəticələr oxşar şəkildə hesablanmışdır. Nəticələri hesabladıqdan sonra aşağıdakı cədvəl əldə edilmişdir (Cədvəl 2).

Cədvəl 2. Bütün skan edilmiş obyektlər üçün yekun nəticələr

indeks		İnternet skaner			Kölgə Təhlükəsizlik Skaneri	NetClarity Auditor
Xidmətlərin və tətbiqlərin, nöqtələrin müəyyən edilməsi
Tapılan boşluqlar, cəmi
Bu yalançı pozitivlərdən (yanlış müsbət)
Düzgün tapıldı (mümkün 225-dən)
keçir (yanlış neqativlər)
Bunlardan, verilənlər bazasında olmaması səbəbindən
Bunlardan autentifikasiya ehtiyacı səbəb olur
Başqa səbəblərdən

3.1 Xidmətlərin və tətbiqlərin müəyyən edilməsi

Xidmətlərin və müraciətlərin müəyyən edilməsinin nəticələrinə əsasən ballar sadəcə cəmləndi, xidmətin və ya müraciətin düzgün müəyyən edilməməsinə görə bir bal silindi (şək. 5).

düyü. 5. Xidmətlərin və tətbiqlərin müəyyənləşdirilməsinin nəticələri

MaxPatrol skaneri ən çox xal toplayıb (108), Nessus skaneri isə bir qədər az (98) toplayıb. Həqiqətən, bu iki skanerdə xidmətlərin və tətbiqlərin müəyyən edilməsi proseduru çox səmərəli şəkildə həyata keçirilir. Bu nəticə olduqca gözlənilən adlandırıla bilər.

Aşağıdakı nəticələr İnternet Skaneri və NetClarity skanerlərindəndir. Burada qeyd edə bilərik ki, məsələn, Internet Scanner proqramlar üçün standart portların istifadəsinə diqqət yetirir, bu, onun aşağı nəticəsini əsasən izah edir. Nəhayət, NetClarity skaneri ən pis performansa malikdir. Baxmayaraq ki, o, xidmətlərin müəyyənləşdirilməsində yaxşı iş görsə də (hər şeydən sonra, o, Nessus 2.x kernelinə əsaslanır), onun ümumi zəif performansını onun bütün açıq portları müəyyən etməməsi ilə izah etmək olar.

3.2 Zəifliklərin müəyyən edilməsi

Şəkildə. Şəkil 6 bütün skanerlər tərəfindən aşkar edilmiş boşluqların ümumi sayını və yanlış pozitivlərin sayını göstərir. Ən çox boşluq MaxPatrol skaneri tərəfindən aşkar edilib. Nessus yenidən ikinci oldu (əhəmiyyətli fərqlə də olsa).
Yanlış pozitivlərin sayına görə lider Shadow Security Scanner olub. Prinsipcə, bu başa düşüləndir, onun yoxlamaları ilə bağlı səhvlərin nümunələri yuxarıda verilmişdir.

düyü. 6. Zəifliklər və yanlış pozitivlər tapıldı

Ümumilikdə, bütün 16 qovşaqda bütün skanerlər 225 boşluq aşkar edib (və sonradan əllə yoxlama ilə təsdiqlənib). Nəticələr şəkildəki kimi paylandı. 7. Ən çox boşluqlar - mümkün olan 225-dən 155-i MaxPatrol skaneri tərəfindən müəyyən edilib. İkincisi Nessus skaneri idi (nəticəsi demək olar ki, iki dəfə pis idi). Sonra İnternet Skaneri, sonra NetClarity gəlir.
Müqayisə zamanı çatışmayan boşluqların səbəbləri təhlil edilib və verilənlər bazasında yoxlamaların olmaması səbəbindən edilənlər ayrılıb. Aşağıdakı diaqram (Şəkil 8) skanerlərin zəiflikləri qaçırmasının səbəblərini göstərir.

düyü. 7. Tapılan zəifliklər və çatışmazlıqlar

düyü. 8. Zəifliklərin olmamasının səbəbləri

İndi hesablamalar nəticəsində bir neçə göstərici.

Şəkildə. Şəkil 39 yalan pozitivlərin sayının aşkar edilmiş zəifliklərin ümumi sayına nisbətini göstərir, bu göstərici müəyyən mənada skanerin dəqiqliyi adlandırıla bilər. Axı, istifadəçi, ilk növbədə, skaner tərəfindən tapılan zəifliklərin siyahısı ilə məşğul olur, onlardan düzgün tapılanları seçmək lazımdır.

düyü. 9. Skanerlərin dəqiqliyi

Bu diaqramdan görünür ki, ən yüksək dəqiqliyə (95%) MaxPatrol skaneri nail olunub. Yanlış pozitivlərin sayı ən aşağı olmasa da, bu dəqiqlik dərəcəsi aşkar edilmiş çox sayda zəiflik sayəsində əldə edilir. Növbəti ən dəqiq tərif İnternet Skaneridir. Bu, ən aşağı yalan pozitivləri göstərdi. SSS skaneri ən aşağı nəticəyə malikdir, bu, müqayisə zamanı qeyd olunan çoxlu sayda yalançı pozitivləri nəzərə alsaq, təəccüblü deyil.

Digər hesablanmış göstərici verilənlər bazasının tamlığıdır (şək. 10). Düzgün tapılan zəifliklərin sayının zəifliklərin ümumi sayına (bu halda - 225) nisbəti kimi hesablanır və “qaçırılanların” miqyasını xarakterizə edir.

düyü. 10. Verilənlər bazasının tamlığı

Bu diaqramdan aydın olur ki, MaxPatrol skaner bazası tapşırığa ən uyğundur.

4. Nəticə

4.1 Liderlərin nəticələrinə dair şərhlər: MaxPatrol və Nessus

Bu müqayisənin bütün meyarlarına görə birinci yeri MaxPatrol skaneri tutur, Nessus skaneri ikinci yerdədir, digər skanerlərin nəticələri xeyli aşağıdır.

Burada ABŞ Milli Standartlar və Texnologiya İnstitutu (NIST) tərəfindən hazırlanmış sənədlərdən birini, yəni “Şəbəkə Təhlükəsizliyi Testi üzrə Təlimat”ı xatırlatmaq yerinə düşər. Orada bildirilir ki, kompüter sistemlərinin təhlükəsizliyinə nəzarət edərkən ən azı iki təhlükəsizlik skanerindən istifadə etmək tövsiyə olunur.

Əslində əldə edilən nəticədə gözlənilməz və təəccüblü heç nə yoxdur. Sirr deyil ki, XSpider (MaxPatrol) və Nessus skanerləri həm təhlükəsizlik mütəxəssisləri, həm də hakerlər arasında populyardır. Bunu yuxarıdakı sorğunun nəticələri də təsdiqləyir. MaxPatrol-un aşkar rəhbərliyinin səbəblərini (bu qismən Nessus skanerinə aiddir), eləcə də digər skanerlərin “itirilməsinin” səbəblərini təhlil etməyə çalışaq. Əvvəla, bu, xidmətlərin və tətbiqlərin yüksək keyfiyyətli identifikasiyasıdır. Nəticələrə əsaslanan testlər (və bu vəziyyətdə onlardan bir neçəsi var idi) çox dərəcədə məlumatın toplanmasının düzgünlüyündən asılıdır. Və MaxPatrol skanerində xidmətlərin və tətbiqlərin identifikasiyası demək olar ki, mükəmməldir. Burada bir illüstrativ nümunə var.
MaxPatrol-un uğurunun ikinci səbəbi verilənlər bazasının tamlığı və onun qarşıda duran vəzifəyə və ümumiyyətlə, “bu gün” üçün adekvatlığıdır. Nəticələrə əsasən, nəzərə çarpır ki, MaxPatrol-da çeklərin məlumat bazası əhəmiyyətli dərəcədə genişləndirilib və təfərrüatlılaşdırılıb, “səliqəyə salınıb”, veb proqramlara qarşı aşkar “qərəz” digər sahələrdə yoxlamaların genişləndirilməsi ilə kompensasiya edilib. məsələn, müqayisədə təqdim olunan marşrutlaşdırıcının skanının nəticələri təsirli Cisco idi.

Üçüncü səbəb, əməliyyat sistemləri, paylamalar və müxtəlif "filiallar" nəzərə alınmaqla tətbiq versiyalarının keyfiyyətcə təhlilidir. Siz həmçinin müxtəlif mənbələrdən istifadəni əlavə edə bilərsiniz (zəiflik verilənlər bazası, bildirişlər və satıcı bülletenləri).

Nəhayət, onu da əlavə edə bilərik ki, MaxPatrol şəbəkə təhlükəsizliyi skanerlərinin işinin əsas mərhələlərini əks etdirən çox rahat və məntiqli interfeysə malikdir. Və bu vacibdir. "Qoyun, xidmət, zəiflik" birləşməsini başa düşmək çox asandır (Redaktorun qeydi: bu, müqayisə müəllifinin subyektiv fikridir). Və xüsusilə bu vəzifə üçün.

İndi çatışmazlıqlar və "zəif" məqamlar haqqında. Müqayisədə MaxPatrol lider olduğu üçün ona ünvanlanan tənqidlər “maksimum” olacaq.

Birincisi, sözdə "kiçik şeylərdə uduzmaq". Çox yüksək keyfiyyətli mühərrikə malik olmaqla, müvafiq əlavə xidmətləri təklif etmək vacibdir, məsələn, əl ilə bir şey etməyə imkan verən rahat alətlər, zəiflikləri axtarmaq üçün alətlər və sistemi "incə tənzimləmək" imkanı. MaxPatrol XSpider ənənəsini davam etdirir və maksimum dərəcədə “klik et və işləyir” ideologiyasına diqqət yetirir. Bu, bir tərəfdən pis deyil, digər tərəfdən, “vasvası” analitiki məhdudlaşdırır.

İkincisi, bəzi xidmətlər "açıq" olaraq qaldı (bunu bu müqayisənin nəticələrinə əsasən mühakimə edə bilərsiniz), məsələn, IKE (port 500).

Üçüncüsü, bəzi hallarda iki yoxlamanın nəticələrinin bir-biri ilə əsas müqayisəsinin olmaması, məsələn, yuxarıda təsvir edilən SSH ilə olduğu kimi. Yəni bir neçə yoxlamanın nəticələrinə görə heç bir nəticə yoxdur. Məsələn, host4-ün əməliyyat sistemi Windows, PPTP xidməti "satıcı" isə Linux kimi təsnif edildi. Nəticə çıxara bilərikmi? Məsələn, əməliyyat sisteminin tərifi sahəsindəki hesabatda bunun "hibrid" node olduğunu göstərin.

Dördüncüsü, çeklərin təsviri çox arzuolunmazdır. Ancaq burada başa düşmək lazımdır ki, MaxPatrol digər skanerlərlə qeyri-bərabər şəraitdədir: bütün təsvirlərin rus dilinə yüksək keyfiyyətli tərcüməsi çox əmək tələb edən bir işdir.

Nessus skaneri, ümumiyyətlə, yaxşı nəticələr göstərdi və bir sıra məqamlarda MaxPatrol skanerindən daha dəqiq idi. Nessus-un geridə qalmasının əsas səbəbi zəifliklərin buraxılmamasıdır, lakin əksər digər skanerlər kimi verilənlər bazasında yoxlamaların olmaması ilə deyil, icra xüsusiyyətləri ilə bağlıdır. Birincisi (və boşluqların əhəmiyyətli bir hissəsinin səbəbi budur), Nessus skanerində "yerli" və ya doğru inkişaf tendensiyası var. sistem yoxlamaları, hesabla əlaqə tələb edir. İkincisi, Nessus skaneri zəifliklər haqqında daha az (MaxPatrol ilə müqayisədə) məlumat mənbələrini nəzərə alır. Bu, əsasən SecurityFocus-a əsaslanan SSS skanerinə bir qədər bənzəyir.

5. Bu müqayisənin məhdudiyyətləri

Müqayisə zamanı skanerlərin imkanları yalnız bir tapşırıq kontekstində öyrənilib - şəbəkə perimetri qovşaqlarının sındırılmasına qarşı müqavimətin yoxlanılması. Məsələn, bir avtomobil bənzətməsi çəksək, müxtəlif avtomobillərin, məsələn, sürüşkən yolda necə davrandığını gördük. Bununla belə, eyni skanerlərlə həlli tamamilə fərqli görünə bilən başqa vəzifələr də var. Yaxın gələcəkdə aşağıdakı kimi problemləri həll edərkən skanerləri müqayisə etmək planlaşdırılır:

• istifadə edərək sistem auditlərinin aparılması hesab
• PCI DSS Uyğunluğun Qiymətləndirilməsi
• Windows sistemlərinin skan edilməsi

Bundan əlavə, formal meyarlardan istifadə etməklə skanerlərin müqayisəsi planlaşdırılır.

Bu müqayisə zamanı yalnız “mühərrikin” özü və ya müasir dillə desək, skanerin “beyni” sınaqdan keçirilib. Əlavə xidmətlər baxımından imkanlar (hesabatlar, skanerin gedişi haqqında məlumatların qeydə alınması və s.) heç bir şəkildə qiymətləndirilməmiş və müqayisə edilməmişdir.

Həmçinin, təhlükə dərəcəsi və aşkar edilmiş zəifliklərdən istifadə etmək qabiliyyəti qiymətləndirilməyib. Bəzi skanerlər özlərini “kiçik” aşağı riskli zəifliklərlə məhdudlaşdırdılar, digərləri isə sistemə daxil olmağa imkan verən həqiqətən kritik zəiflikləri müəyyən etdilər.

Təhlükəsizlik skaneri: şəbəkə zəifliklərini aşkarlayır, yeniləmələri və yamaqları idarə edir, problemləri avtomatik həll edir, proqram təminatı və aparatı yoxlayır. GFI Şəbəkə Təhlükəsizliyi">Şəbəkə Təhlükəsizliyi 2080

Şəbəkə təhlükəsizliyi skaneri və mərkəzləşdirilmiş yeniləmə idarəetməsi

GFI LanGuard virtual təhlükəsizlik məsləhətçisi kimi işləyir:

— Windows®, Mac OS® və Linux® üçün yeniləmələri idarə edir

— Kompüterlərdə zəiflikləri aşkar edir və mobil cihazlar

- Auditlər aparır şəbəkə cihazları və proqram təminatı

GFI Languard istənilən ölçülü şəbəkələr üçün təhlükəsizlik skaneridir: şəbəkə portu və zəiflik skaneri, təhlükəsizlik skaneri, şəbəkədə avtomatik olaraq deşikləri tapır

GFI Languard istənilən ölçülü şəbəkələr üçün təhlükəsizlik skaneridir: şəbəkə portu və zəiflik skaneri, təhlükəsizlik skaneri, şəbəkədə avtomatik olaraq deşikləri tapır

GFI LanGuard nədir

Zəiflik skanerindən daha çox!

GFI LanGuard şəbəkə təhlükəsizliyi skaneridir: şəbəkə zəifliklərini aşkar edir, müəyyən edir və aradan qaldırır. Tam port skanları, şəbəkənizi qorumaq üçün lazımi proqram yeniləmələrinin mövcudluğu, proqram təminatı və aparat təftişi hamısı bir idarəetmə panelindən mümkündür.

Port skaneri

Əvvəlcədən hazırlanmış bir neçə skan profili bütün portların tam skanını həyata keçirməyə imkan verir, həmçinin yalnız arzuolunmaz və zərərli proqramlar tərəfindən tez-tez istifadə olunanları tez yoxlamağa imkan verir. GFI LanGuard eyni vaxtda birdən çox hostu skan edir, tələb olunan vaxtı əhəmiyyətli dərəcədə azaldır və sonra məşğul portlarda tapılan proqramı gözlənilən proqramla müqayisə edir.

Yeniləmələr və yamalar

Quraşdırmadan əvvəl son yeniləmələr qovşaqlarınız tamamilə qorunmur, çünki bu, şəbəkənizə nüfuz etmək üçün hakerlər tərəfindən istifadə edilən cari yamalar və yeniləmələrlə əhatə olunan ən son zəifliklərdir. ƏS-də quraşdırılmış alətlərdən fərqli olaraq, GFI LanGuard təkcə ƏS-in özünü yox, həm də zəiflikləri adətən sındırmaq üçün istifadə olunan məşhur proqram təminatını yoxlayacaq: Adobe Acrobat/Reader, Flash Player, Skype, Outlook, brauzerlər, ani mesajlaşma proqramları.

Düyün auditi

GFI LanGuard sizin üçün hazırlayacaq ətraflı siyahı hər bir kompüterdə quraşdırılmış proqram və avadanlıq, qadağan edilmiş və ya çatışmayan proqramları, həmçinin lazımsız qoşulmuş cihazları aşkar edəcək. Çoxsaylı taramaların nəticələri proqram təminatında dəyişiklikləri müəyyən etmək üçün müqayisə oluna bilər və aparat.

Ən son təhlükə kəşfiyyatı

Hər bir skan GFI LanGuard verilənlər bazasında sayı artıq 50 000-i ötmüş boşluqlar haqqında məlumatların yenilənməsindən sonra həyata keçirilir. Təhdid məlumatı proqram təminatçılarının özləri, eləcə də etibarlı SANS və OVAL siyahıları tərəfindən təmin edilir, beləliklə, siz həmişə ən son təhdidlərdən, o cümlədən ürək qanaması, gizli, qabıq şoku, pudel, qum qurdu və sairdən qorunursunuz.

Avtomatik korreksiya

Hər bir zəifliyin təsviri və bağlantılar ilə ətraflı skan hesabatı aldıqdan sonra əlavə oxu, "Remediate" düyməsinə bir kliklə əksər təhlükələri düzəldə bilərsiniz: portlar bağlanacaq, qeyd dəftəri açarları düzəldiləcək, yamalar quraşdırılacaq, proqram təminatı yenilənəcək, qadağan olunmuş proqramlar silinəcək və çatışmayan proqramlar quraşdırılacaq.