برنامه هایی برای اسکن شبکه ها از نظر آسیب پذیری. مقایسه اسکنرهای امنیت شبکه مقایسه اسکنرهای آسیب پذیری شبکه

بررسی و مقایسه اسکنرهای آسیب پذیری

روژکووا اکاترینا اولگونا

دانشجوی سال چهارم، گروه اتوماسیون و اندازه گیری کشتی، دانشگاه پزشکی دولتی سنت پترزبورگ، فدراسیون روسیه، سن پترزبورگ

E- پست الکترونیکی: رینا1242. ro@ جیمیل. com

ایلین ایوان والریویچ

دانشجوی سال چهارم، گروه فناوری اطلاعات امن

دانشگاه ملی تحقیقاتی سنت پترزبورگ ITMO، فدراسیون روسیه، سن پترزبورگ

E- پست الکترونیکی: وانیلین. وا@ جیمیل. com

گالوشین سرگئی یاکولوویچ

سرپرست علمی، دکتری. فن آوری علوم، معاونت آموزشی کار علمی، فدراسیون روسیه، سن پترزبورگ

برای سطح بالایی از امنیت، لازم است نه تنها از فایروال ها استفاده شود، بلکه به طور دوره ای اقداماتی برای شناسایی آسیب پذیری ها انجام شود، به عنوان مثال، با استفاده از اسکنرهای آسیب پذیری. شناسایی به موقع نقاط ضعف سیستم از دسترسی غیرمجاز و دستکاری داده ها جلوگیری می کند. اما کدام گزینه اسکنر با نیازهای یک سیستم خاص مطابقت دارد؟ برای پاسخ به این سوال، ابتدا باید ایرادات سیستم امنیتی کامپیوتر یا شبکه خود را مشخص کنید. طبق آمار، بیشتر حملات از طریق حفره‌های امنیتی شناخته شده و منتشر شده رخ می‌دهند، که ممکن است به دلایل زیادی، اعم از کمبود زمان، پرسنل یا ناتوانی مدیر سیستم، رفع نشوند. همچنین باید درک کنید که معمولاً یک بدخواه می تواند به چندین روش به یک سیستم نفوذ کند و اگر یک روش کار نکرد، مزاحم همیشه می تواند روش دیگری را امتحان کند. اطمینان از حداکثر سطح امنیت سیستم مستلزم تجزیه و تحلیل دقیق ریسک و توسعه بیشتر یک مدل تهدید واضح برای پیش بینی دقیق تر است. اقدامات ممکنجنایتکار فرضی

رایج ترین آسیب پذیری ها عبارتند از سرریز بافر، خطاهای احتمالی در پیکربندی روتر یا فایروال، آسیب پذیری های وب سرور، سرورهای ایمیل، سرورهای DNS، پایگاه داده ها. علاوه بر این، یکی از ظریف ترین مناطق را نادیده نگیرید امنیت اطلاعات- مدیریت کاربر و فایل، زیرا اطمینان از سطح دسترسی کاربر با حداقل امتیازات یک کار خاص است که نیاز به مصالحه بین تجربه کاربر و تضمین امنیت سیستم دارد. لازم به ذکر است مشکل پسورد خالی یا ضعیف، اکانت های پیش فرض و مشکل نشت اطلاعات عمومی است.

اسکنر امنیتی است ابزار نرم افزاریبرای تشخیص از راه دور یا محلی عناصر مختلفشبکه هایی برای شناسایی آسیب پذیری های مختلف در آنها؛ آنها می توانند زمان کار متخصصان را به میزان قابل توجهی کاهش دهند و جستجوی آسیب پذیری ها را تسهیل کنند.

بررسی اسکنرهای امنیتی

این کار به بررسی اسکنرهایی می‌پردازد که دارای نسخه آزمایشی رایگان هستند، که به شما امکان می‌دهد از نرم‌افزار برای آشنایی با لیست محدودی از قابلیت‌های آن و ارزیابی درجه سادگی رابط استفاده کنید. اسکنرهای آسیب پذیری رایج زیر به عنوان موضوعات مورد بررسی انتخاب شدند: Nessus، GFI LANguard، Retina، Shadow Security scanner، Internet Scanner.

نسوس

Nessus برنامه ای برای جستجوی خودکار نقص های امنیتی شناخته شده است سیستم های اطلاعاتی. می‌تواند رایج‌ترین انواع آسیب‌پذیری‌ها، مانند وجود نسخه‌های آسیب‌پذیر سرویس‌ها یا دامنه‌ها، خطاهای پیکربندی (عدم نیاز به مجوز در سرور SMTP)، وجود رمزهای عبور پیش‌فرض، رمزهای عبور خالی یا ضعیف را شناسایی کند.

اسکنر Nessus ابزار قدرتمند و قابل اعتمادی است که متعلق به خانواده اسکنرهای شبکه است که به شما امکان می دهد آسیب پذیری های سرویس های شبکه ارائه شده توسط سیستم عامل ها، فایروال ها، روترهای فیلتر و سایر اجزای شبکه را جستجو کنید. برای جستجوی آسیب پذیری ها، از آنها به عنوان استفاده می شود به معنی استانداردآزمایش و جمع آوری اطلاعات در مورد پیکربندی و عملکرد شبکه و وسایل خاص، شبیه سازی اقدامات یک مهاجم برای نفوذ به سیستم های متصل به شبکه است.

این برنامه توانایی اتصال روش ها یا قالب های تأیید خود را دارد. برای این منظور، اسکنر یک زبان برنامه نویسی خاص به نام NASL (Nessus Attack Scripting Language) ارائه می کند. پایگاه داده آسیب پذیری دائما در حال رشد و به روز رسانی است. کاربران ثبت نام شده بلافاصله تمام به روز رسانی ها را دریافت می کنند، در حالی که دیگران (نسخه های آزمایشی و غیره) با تاخیر دریافت می کنند.

GFIاز بین بردن

اسکنر امنیت شبکه GFI LanGuard (N.S.S) یک راه حل برنده جایزه است که از سه جزء اصلی برای محافظت از شما استفاده می کند: اسکنر امنیتی، مدیریت پچ و کنترل شبکه از یک کنسول یکپارچه. با اسکن کل شبکه ، همه چیز را تعیین می کند مشکلات احتمالیامنیت و با استفاده از گستردگی آن عملکردگزارشگری ، ابزارهای لازم برای تشخیص ، ارزیابی ، توصیف و از بین بردن هرگونه تهدید را ارائه می دهد.

فرایند بررسی امنیت بیش از 15000 ارزیابی آسیب پذیری را تولید می کند و شبکه ها را بر اساس آدرس هر IP بررسی می کند. GFI Languard N.S.S. توانایی انجام اسکن چند پلتفرمی (ویندوز، سیستم عامل مک، لینوکس) را در تمام محیط‌ها و تجزیه و تحلیل وضعیت شبکه برای هر منبع داده را فراهم می‌کند. این تضمین می کند که قبل از اینکه هکرها راه خود را بگیرند ، می توان هرگونه تهدید را شناسایی و از بین برد.

GFI Languard N.S.S. همراه با یک پایگاه داده ارزیابی آسیب پذیری کامل و جامع، شامل استانداردهایی مانند OVAL (بیش از 2000 مقدار) و SANS Top 20. این پایگاه داده به طور مرتب با اطلاعات BugTraq، SANS Corporation، OVAL، CVE و غیره به روز می شود. به لطف GFI LanGuard خودکار به روزرسانی سیستم N.S.S. همیشه حاوی آخرین اطلاعات در مورد به روز رسانی های امنیتی مایکروسافت و همچنین اطلاعات از GFI و سایر مخازن اطلاعات مانند پایگاه داده OVAL است.

GFI Languard N.S.S. رایانه ها را اسکن می کند ، آسیب پذیری ها را شناسایی و طبقه بندی می کند ، اقدامات را توصیه می کند و ابزارهایی را برای حل مشکلات فراهم می کند. GFI Languard N.S.S. همچنین از یک نشانگر گرافیکی سطح تهدید استفاده می کند که ارزیابی شهودی و متعادلی از وضعیت آسیب پذیری یک رایانه اسکن شده یا گروهی از رایانه ها ارائه می دهد. در صورت امکان لینک داده شده یا اطلاعات تکمیلیبرای یک مشکل خاص، مانند شناسه در BugTraq ID یا پایگاه دانش مایکروسافت.

GFI Languard N.S.S. به شما این امکان را می دهد تا به راحتی طرح های تست آسیب پذیری خود را با استفاده از یک جادوگر ایجاد کنید. با استفاده از موتور برنامه نویسی VBScript، می توانید چک های آسیب پذیری پیچیده را برای GFI LanGuard N.S.S بنویسید. GFI Languard N.S.S. شامل یک ویرایشگر اسکریپت و دیباگر است.

شبکیه چشم

اسکنر امنیت شبکه رتینا، اسکنر آسیب پذیری شبکه BeyondTrust، آسیب پذیری های شبکه شناخته شده را شناسایی می کند و تهدیدها را برای اصلاح اولویت بندی می کند. در حین استفاده محصول نرم افزاریتمامی رایانه ها، دستگاه ها، سیستم عامل ها، برنامه ها و شبکه های بی سیم شناسایی می شوند.

کاربران همچنین می توانند از Retina برای ارزیابی خطرات امنیت اطلاعات، مدیریت ریسک های پروژه و برآورده کردن الزامات استانداردها از طریق ممیزی خط مشی سازمانی استفاده کنند. این اسکنر کد آسیب پذیری را اجرا نمی کند، بنابراین اسکن منجر به از بین رفتن عملکرد شبکه و سیستم های تجزیه و تحلیل شده نمی شود. با استفاده از فناوری اختصاصی اسکن سرعت تطبیقی شبکه محلیکلاس C حدود 15 دقیقه طول می کشد، این امر با سرعت تطبیقی ​​- یک فناوری اسکن شبکه ایمن با سرعت بالا - تسهیل می شود. علاوه بر این ، تنظیمات منطقه اسکن انعطاف پذیر اجازه می دهد مدیر سیستمامنیت کل شبکه یا یک بخش معین را تجزیه و تحلیل کنید بدون اینکه بر عملکرد آنهایی که همسایه تأثیر می گذارد. اتفاق می افتد به روز رسانی خودکارنسخه های محلی از پایگاه داده ، بنابراین تجزیه و تحلیل شبکه همیشه بر اساس جدیدترین داده ها انجام می شود. نرخ مثبت کاذب کمتر از 1 ٪ است و کنترل دسترسی انعطاف پذیر به رجیستری سیستم وجود دارد.

سایهامنیتاسکنر (SSS)

این اسکنر می تواند برای تشخیص قابل اعتماد هم شناخته شده و هم ناشناخته (در زمان انتشار) استفاده شود نسخه جدیدمحصول) آسیب پذیری ها. SSS هنگام اسکن یک سیستم ، داده ها ، از جمله آسیب پذیری ها را تجزیه و تحلیل می کند و خطاهای احتمالی را در پیکربندی سرور نشان می دهد. علاوه بر این ، اسکنر روشهای ممکن برای حل این مشکلات و رفع آسیب پذیری در سیستم را پیشنهاد می کند.

به عنوان یک فناوری پشتی ، این سیستم از هسته توسعه خود سازنده ، اسکنر امنیتی سایه استفاده می کند. می توان خاطرنشان كرد كه هنگام كار بر روی سیستم عامل ویندوز ، SSS بدون در نظر گرفتن پلتفرم آنها سرورها را اسكن می كند. نمونه هایی از پلتفرم ها شامل پلتفرم های یونیکس (Linux، FreeBSD، OpenBSD، Net BSD، Solaris)، پلتفرم های ویندوز (95/98/ME/NT/2000/XP/.NET/Win 7 و 8) می باشد. اسکنر امنیتی سایه همچنین می تواند خطاهای تجهیزات سیسکو ، HP و دیگران را تشخیص دهد. این اسکنر توسط توسعه دهندگان داخلی ایجاد شده است و بر این اساس دارای یک رابط روسی و همچنین اسناد و یک خط پشتیبانی داغ بر روی آن است.

اینترنتاسکنر

این اسکنر تشخیص خودکار و تجزیه و تحلیل آسیب پذیری در شبکه شرکتی. از قابلیت‌های اسکنر می‌توان به اجرای تعدادی بررسی برای شناسایی بعدی آسیب‌پذیری‌ها در سرویس‌های شبکه، سیستم‌های عامل، روترها، سرورهای پست و وب، فایروال‌ها و نرم‌افزارهای کاربردی اشاره کرد. اسکنر اینترنت می تواند بیش از 1450 آسیب پذیری را شناسایی و شناسایی کند که ممکن است شامل پیکربندی نادرست تجهیزات شبکه، نرم افزار قدیمی، سرویس های شبکه استفاده نشده، رمزهای عبور ضعیف و غیره باشد. امکان بررسی پروتکل‌های FTP، LDAP و SNMP، بررسی ایمیل‌ها، بررسی RPC، NFS، NIS و DNS، بررسی احتمال حملاتی مانند «انکار سرویس»، «حدس زدن رمز عبور»، بررسی سرورهای وب، اسکریپت‌های CGI، مرورگرهای وب و پایانه های X. علاوه بر این، امکان بررسی فایروال ها، سرورهای پروکسی، خدمات دسترسی از راه دور، سیستم فایل، زیر سیستم امنیتی و زیر سیستم ممیزی، ثبت سیستم و به روز رسانی های نصب شدهسیستم عامل ویندوز و غیره. اسکنر اینترنت به شما امکان می دهد وجود یک آسیب پذیری واحد را در یک منطقه معین از شبکه تجزیه و تحلیل کنید، به عنوان مثال، نصب یک پچ خاص را بررسی کنید. سیستم عامل. اسکنر اینترنت می تواند روی آن کار کند سرور ویندوز NT، همچنین از سیستم عامل های AIX، HP-UX، Linux و Solaris پشتیبانی می کند.

قبل از انتخاب معیارهای مقایسه، باید تاکید کرد که معیارها باید تمام جنبه های استفاده از اسکنرهای امنیتی را پوشش دهند: از روش های جمع آوری اطلاعات تا هزینه. استفاده از اسکنر امنیتی با برنامه ریزی استقرار و خود استقرار شروع می شود. بنابراین، اولین گروه از معیارها مربوط به معماری اسکنرهای امنیتی، تعامل اجزای آنها، نصب و مدیریت است. گروه بعدی معیارها - اسکن - باید روش های استفاده شده توسط اسکنرهای مقایسه شده برای انجام اقدامات ذکر شده و همچنین سایر پارامترهای مرتبط با مراحل مشخص شده محصول نرم افزار را پوشش دهد. معیارهای مهم همچنین شامل نتایج اسکن، به ویژه نحوه ذخیره آنها و گزارش هایی است که می توان بر اساس آنها تولید کرد. معیار بعدی که باید روی آن تمرکز کرد، معیارهای به روز رسانی و پشتیبانی است که به شما امکان می دهد مواردی مانند روش ها و روش های به روز رسانی، سطح را روشن کنید. پشتیبانی فنی، در دسترس بودن آموزش مجاز و ... گروه آخر شامل یک معیار واحد اما بسیار مهم است - هزینه.

· سیستم های پشتیبانی شده.

· رابط دوستانه ؛

· قابلیت اسکن (اسکن پروفایل).

· توانایی سفارشی سازی پروفایل (چقدر انعطاف پذیر) ؛

· شناسایی خدمات و برنامه ها ؛

· شناسایی آسیب پذیری ها ؛

· تولید گزارش (قالب ها) ؛

· امکان تولید یک گزارش سفارشی (خود شما).

· فرکانس به روز رسانی.

· پشتیبانی فنی.

میز 1. مقایسه اسکنرهای آسیب پذیری
اسکنر		GFI LanGنگهبان
قیمت	131400 روبل در سال	1610 روبل. برای یک آدرس IP هرچه آدرس IP بیشتر باشد ، هزینه پایین تر می شود		هزینه بسته به تعداد آدرس های IP متفاوت است از 30000 روبل برای 64 IP تا 102000 برای 512 IP	هزینه بسته به تعداد آدرس های IP متفاوت است (مقدار اسمی - 6000 روبل)
حمایت کردن سیستم های زنده	نرم افزار سفارشی	ویندوز، سیستم عامل مک، لینوکس	سیسکو ، لینوکس ، یونیکس ، ویندوز	Unix، Linux، FreeBSD، OpenBSD، Net BSD، Solaris، Windows 95/98/ME/NT/2000/XP/.NET	Windows ، Aix ، HP-Ux ، Linux و Solaris
دوستی مداخله صورت	رابط ساده و بصری	رابط ساده و بصری	رابط کاربری را پاک کنید	رابط دوستانه و روشن	رابط کاربری را پاک کنید
ممکن است ness فیلیگرن سرگردان	سیستم تنظیمات انعطاف پذیر، نوع اسکن و پارامترها متفاوت است، اسکن ناشناس امکان پذیر است. گزینه های ممکناسکن: SYN SCAN ، FIN SCAN - درخواست باله خالص ؛ درخت کریسمس - شامل FIN، URG، PUSH در درخواست. اسکن تهی، اسکن FTP bounce، اسکن Ident، اسکن UDP، و غیره. همچنین می‌توانید رویه‌های تأیید صحت خود را متصل کنید، که برای آن یک زبان برنامه‌نویسی ویژه ارائه شده است - NASL (Nessus Attack Scripting Language). اسکنر از هر دو ابزار استاندارد برای آزمایش و جمع‌آوری اطلاعات در مورد پیکربندی و عملکرد شبکه استفاده می‌کند و از ابزارهای ویژه‌ای استفاده می‌کند که از اقدامات یک مزاحم احتمالی برای نفوذ به سیستم‌ها تقلید می‌کنند.	اسکن پورت های TCP/IP و UDP سیستم عامل، محیط های مجازی و برنامه های کاربردی، دستگاه های تلفن همراه بررسی می شوند. از پایگاه داده های بیضی و بدون SANS برتر استفاده می شود.	آسیب‌پذیری‌ها با استفاده از آزمون نفوذ شناسایی می‌شوند و ریسک‌ها ارزیابی می‌شوند و اولویت‌های کاهش آن‌ها براساس ارزیابی احتمال بهره‌برداری تعیین می‌شوند. آسیب پذیری ها (از Core Impact®، Metasploit®، Exploit-db)، CVSS و عوامل دیگر.	FTP، SSH، Telnet، SMTP، DNS، Finger، HTTP، POP3، IMAP، NetBios، NFS، NNTP، SNMP، Squid (SSS تنها اسکنر در جهان است که سرورهای پراکسی را برای ممیزی بررسی می کند - اسکنرهای دیگر به سادگی وجود یک پورت)، LDAP (تنها اسکنر در جهان که سرورهای LDAP را برای ممیزی بررسی می کند - اسکنرهای دیگر به سادگی وجود یک پورت را تعیین می کنند)، HTTPS، SSL، TCP/IP، UDP، رجیستری و غیره. به راحتی گزارش های خود را ایجاد کنید.	چک های FTP ، LDAP و SNMP ؛ چک کردن ایمیل ها؛ بررسی های RPC، NFS، NIS و DNS؛ بررسی احتمال حملات انکار سرویس؛ وجود حملات "حدس زدن رمز عبور" (Brute Force) را بررسی می کند. بررسی سرورهای وب و اسکریپت های CGI، مرورگرهای وب و پایانه های X. بررسی فایروال ها و سرورهای پروکسی؛ بررسی خدمات دسترسی از راه دور؛ بررسی سیستم فایل سیستم عامل ویندوز؛ بررسی زیرسیستم امنیتی و زیرسیستم ممیزی سیستم عامل ویندوز؛ بررسی رجیستری سیستم و به روز رسانی های نصب شده سیستم عامل ویندوز؛ بررسی حضور مودم ها در شبکه و وجود اسب های تروجان؛ بررسی خدمات و شیاطین؛ چک های حساب
شناسایی کنید ارائه خدمات و برنامه های کاربردی دامادها	اجرای با کیفیت بالا رویه شناسایی خدمات و برنامه ها.	شناسایی برنامه های غیرمجاز/بدافزار و لیست سیاه با سطح بالایی از آسیب پذیری.	تشخیص سیستم عامل، برنامه های کاربردی، پایگاه های داده، برنامه های کاربردی وب.	هر پورت را بررسی می کند تا مشخص کند کدام سرویس ها به آنها گوش می دهند. سیستم عامل، برنامه ها، پایگاه های داده، برنامه های کاربردی وب را شناسایی می کند.	آسیب پذیری های سرویس های شبکه، سیستم عامل ها، روترها، ایمیل و سرورهای وب، فایروال ها و نرم افزارهای کاربردی را شناسایی می کند.
تولید گزارش	امکان ذخیره گزارش ها با فرمت های nessus (xml)، pdf، html، csv، nessus DB	امکان تولید گزارش‌هایی از گزارش‌های روند استفاده از شبکه برای مدیریت تا گزارش‌های دقیق برای کارکنان فنی. امکان ایجاد گزارش در مورد مطابقت با استانداردها وجود دارد: قانون قابل حمل و پاسخگویی بیمه سلامت (HIPAA)، شبکه خدمات عمومی - کد اتصال (PSN CoCo)، Sarbanes - قانون Oxley (SOX)، Gramm - Leach - قانون Bliley (GLB/ GLBA)، همچنین به عنوان استاندارد امنیت دیجیتال صنعت کارت پرداخت (PCI-DSS) شناخته می شود.	ابزارهای تولید گزارش وجود دارد که یکی از گسترده ترین قابلیت های گزارش دهی است.	قابلیت ذخیره گزارش هم با فرمت html و هم با فرمت های xml, pdf, rtf, chm را دارد. فرآیند ایجاد گزارش به خودی خود در قالب انتخاب اطلاعات مورد نیاز برای نمایش رخ می دهد. امکان ایجاد گزارش فقط در نسخه کامل موجود است.	یک زیرسیستم قدرتمند تولید گزارش که به شما امکان می دهد به راحتی اشکال مختلف گزارش ایجاد کنید و آنها را بر اساس ویژگی ها مرتب کنید.
ممکن است ظرفیت تولید گزارش رایگان	بله فقط در نسخه کامل			بله فقط در نسخه کامل
فرکانس به روز رسانی لنیا	به‌روزرسانی‌های منظم، اما کاربران نسخه آزمایشی آخرین به‌روزرسانی‌ها را دریافت نمی‌کنند.	به روز رسانی های مکرر	به روز رسانی های مکرر	به روز رسانی های منظم	به روز رسانی های منظم
تکنی پشتیبانی فنی	حاضر		حاضر	موجود، به زبان روسی موجود است.	حاضر

این کار 5 اسکنر آسیب پذیری را مورد بررسی قرار داد که با توجه به معیارهای انتخاب شده مقایسه شدند.

از نظر کارایی، اسکنر Nessus به عنوان رهبر انتخاب شد، زیرا دارای کامل ترین طیف از قابلیت ها برای تجزیه و تحلیل امنیت یک سیستم کامپیوتری است. با این حال، در مقایسه با سایر اسکنرها نسبتاً گران است: اگر تعداد کمی آدرس IP دارید، بهتر است GFI LanGuard یا SSS را انتخاب کنید.

کتابشناسی - فهرست کتب:

1. Dolgin A.A.، Khorev P.B.، توسعه یک اسکنر آسیب پذیری سیستم های کامپیوتریبر اساس نسخه های محافظت شده سیستم عامل ویندوز، مجموعه مقالات کنفرانس بین المللی علمی و فنی " رسانه اطلاعاتیو فناوری ها»، 2005.
2. پورتال اطلاعاتی در مورد امنیت [منبع الکترونیکی] - حالت دسترسی. - URL: http://www.securitylab.ru/ (تاریخ دسترسی 03/27/15).
3. مجله آنلاین Softkey.info [منبع الکترونیکی] - حالت دسترسی. - URL: http://www.softkey.info/ (تاریخ دسترسی 03/27/15).
4. وب سایت رسمی "GFI Software". [منبع الکترونیکی] - حالت دسترسی. - URL: http://www.gfi.ru/ (تاریخ دسترسی 03/27/15).
5. وب سایت رسمی "فراتر از اعتماد". [منبع الکترونیکی] - حالت دسترسی. - URL: http://www.beyondtrust.com/Products/RetinaNetworkSecurityScanner/ (دسترسی 03/27/15).
6. وب سایت رسمی آی بی ام [منبع الکترونیکی] - حالت دسترسی. - آدرس: http://www.ibm.com/ (دسترسی در 27/03/15).
7. وب سایت رسمی Tenable Network Security [منبع الکترونیکی] - حالت دسترسی. - URL: http://www.tenable.com/products/nessus-vulnerability-scanner/ (دسترسی در 27/03/15).
8. وب سایت رسمی "آزمایشگاه ایمنی." [منبع الکترونیکی] - حالت دسترسی. - آدرس اینترنتی: http://www.safety-lab.com/ (تاریخ دسترسی 15/03/27).
9. راه حل های IBM برای امنیت اطلاعات [منبع الکترونیکی] - حالت دسترسی. - آدرس اینترنتی: http://www.ibm.com/ru/services/iss/pdf/ISS_2009_DB_s10.pdf (دسترسی در 27/03/15).
10. Khorev P.B.، روش ها و ابزارهای حفاظت از اطلاعات در سیستم های کامپیوتری، M.، مرکز انتشارات "آکادمی"، 2005.

همانطور که می بینید، تعداد زیادی از آنها وجود داشته است و همه آنها برای سیستم هایی که در معرض آنها هستند بسیار خطرناک هستند. مهم است که نه تنها سیستم خود را به موقع به روز کنید تا از آسیب پذیری های جدید محافظت کنید، بلکه باید مطمئن شوید که سیستم شما دارای آسیب پذیری هایی نیست که مدت ها قبل رفع شده و هکرها می توانند از آنها سوء استفاده کنند.

اینجاست که اسکنرهای آسیب پذیری لینوکس به کمک می آیند. ابزارهای تجزیه و تحلیل آسیب پذیری یکی از مهم ترین اجزای سیستم امنیتی هر شرکتی است. بررسی برنامه ها و سیستم ها برای آسیب پذیری های قدیمی یک عمل اجباری است. در این مقاله به بررسی خواهیم پرداخت بهترین اسکنرهاآسیب پذیری ها، با باز کد منبع، که می توانید از آن برای شناسایی آسیب پذیری ها در سیستم ها و برنامه های خود استفاده کنید. همه آنها کاملا رایگان هستند و می توان از آنها استفاده کرد کاربران عادی، و در بخش شرکتی.

OpenVAS یا Open Vulnerability Assessment System یک پلتفرم کامل برای جستجوی آسیب پذیری ها است که به صورت متن باز توزیع می شود. این برنامه بر اساس کد منبع اسکنر Nessus است. در ابتدا، این اسکنر به عنوان منبع باز توزیع شد، اما پس از آن توسعه دهندگان تصمیم به بستن کد گرفتند و سپس، در سال 2005، OpenVAS بر اساس نسخه باز Nessus ایجاد شد.

این برنامه از یک بخش سرور و مشتری تشکیل شده است. سروری که کار اصلی اسکن سیستم ها را انجام می دهد، فقط در لینوکس اجرا می شود و برنامه های سرویس گیرنده نیز از ویندوز پشتیبانی می کنند؛ سرور از طریق رابط وب قابل دسترسی است.

هسته اسکنر شامل بیش از 36000 بررسی آسیب پذیری مختلف است و هر روز با افزودن موارد جدید و اخیراً کشف شده به روز می شود. این برنامه می تواند آسیب پذیری ها را در سرویس های در حال اجرا شناسایی کند و همچنین به دنبال تنظیمات نادرست، به عنوان مثال، عدم احراز هویت یا رمزهای عبور بسیار ضعیف باشد.

2. Nexpose Community Edition

این یکی دیگر از ابزارهای متن باز اسکن آسیب پذیری لینوکس است که توسط Rapid7، همان شرکتی که Metasploit را منتشر کرد، توسعه یافته است. این اسکنر می تواند تا 68000 آسیب پذیری شناخته شده را شناسایی کند و همچنین بیش از 160000 اسکن شبکه را انجام دهد.

نسخه Comunity کاملا رایگان است، اما محدودیت اسکن همزمان حداکثر 32 آدرس IP و تنها یک کاربر را دارد. مجوز نیز هر سال نیاز به تمدید دارد. هیچ اسکنی از برنامه های کاربردی وب وجود ندارد، اما از به روز رسانی خودکار پایگاه داده آسیب پذیری و دریافت اطلاعات مربوط به آسیب پذیری ها از Microsoft Patch پشتیبانی می کند.

این برنامه نه تنها بر روی لینوکس، بلکه در ویندوز نیز قابل نصب است و مدیریت از طریق رابط وب انجام می شود. با استفاده از آن می توانید پارامترهای اسکن، آدرس های IP و سایر اطلاعات لازم را تنظیم کنید.

پس از اتمام اسکن، لیستی از آسیب پذیری ها و همچنین اطلاعاتی در مورد نرم افزار و سیستم عامل نصب شده روی سرور مشاهده خواهید کرد. شما همچنین می توانید گزارش ایجاد و صادر کنید.

3. Burp Suite Free Edition

Burp Suite یک اسکنر آسیب پذیری وب است که به زبان جاوا نوشته شده است. این برنامه از یک سرور پروکسی، یک عنکبوت، ابزاری برای ایجاد درخواست و انجام تست استرس تشکیل شده است.

با با استفاده از Burpمی توانید تست برنامه وب را انجام دهید. به عنوان مثال، با استفاده از یک سرور پروکسی، می توانید ترافیک عبوری را رهگیری و مشاهده کنید، همچنین در صورت لزوم آن را تغییر دهید. این به شما امکان می دهد موقعیت های زیادی را شبیه سازی کنید. عنکبوت به شما کمک می کند آسیب پذیری های وب را پیدا کنید و ابزار تولید پرس و جو به شما کمک می کند قدرت وب سرور را پیدا کنید.

4. آراچنی

Arachni یک فریمورک تست برنامه وب با امکانات کامل است که به زبان روبی نوشته شده و متن باز است. این امکان را به شما می دهد تا با انجام تست های نفوذ مختلف، امنیت برنامه های کاربردی وب و سایت ها را ارزیابی کنید.

این برنامه از اسکن با احراز هویت، شخصی سازی هدر، پشتیبانی از جعل Aser-Agent، پشتیبانی از شناسایی 404 پشتیبانی می کند، علاوه بر این، برنامه دارای یک رابط وب و یک رابط خط فرمان است، اسکن را می توان متوقف کرد و سپس از سر گرفت و به طور کلی همه چیز کار می کند. خیلی سریع .

5. OWASP Zed Attack Proxy (ZAP)

OWASP Zed Attack Proxy یکی دیگر از ابزارهای جامع برای یافتن آسیب پذیری ها در برنامه های تحت وب است. تمام ویژگی های استاندارد برای این نوع برنامه ها پشتیبانی می شوند. می‌توانید پورت‌ها را اسکن کنید، ساختار سایت را بررسی کنید، آسیب‌پذیری‌های شناخته‌شده زیادی را جستجو کنید و بررسی کنید که آیا درخواست‌های مکرر یا داده‌های نادرست به درستی پردازش می‌شوند.

این برنامه می تواند از طریق https کار کند و همچنین از پروکسی های مختلف پشتیبانی می کند. از آنجایی که برنامه به زبان جاوا نوشته شده است، نصب و استفاده از آن بسیار آسان است. علاوه بر ویژگی های اولیه، تعداد زیادی افزونه وجود دارد که می توانند عملکرد را تا حد زیادی افزایش دهند.

6. کلر

Clair ابزاری برای یافتن آسیب پذیری های لینوکس در کانتینرها است. این برنامه حاوی لیستی از آسیب پذیری هایی است که می تواند برای کانتینرها خطرناک باشد و در صورت کشف چنین آسیب پذیری هایی در سیستم شما به کاربر هشدار می دهد. این برنامه همچنین می‌تواند در صورت ظاهر شدن آسیب‌پذیری‌های جدیدی که می‌تواند کانتینرها را ناامن کند، اعلان‌ها را ارسال کند.

هر ظرف یک بار بررسی می شود و نیازی به راه اندازی آن برای بررسی آن نیست. این برنامه می تواند تمام داده های لازم را از یک ظرف غیرفعال بازیابی کند. این داده ها در حافظه نهان ذخیره می شوند تا بتوانند در آینده در مورد آسیب پذیری ها مطلع شوند.

7. Powerfuzzer

Powerfuzzer یک خزنده وب با امکانات کامل، خودکار و بسیار قابل تنظیم است که به شما امکان می دهد نحوه واکنش یک برنامه وب به داده های نامعتبر و درخواست های مکرر را آزمایش کنید. این ابزار فقط از پروتکل HTTP پشتیبانی می کند و می تواند آسیب پذیری هایی مانند XSS ، تزریق SQL ، LDAP ، CRLF و XPATH را تشخیص دهد. همچنین از ردیابی 500 خطا پشتیبانی می کند ، که می تواند نشان دهنده پیکربندی نادرست یا حتی خطری مانند سرریز بافر باشد.

8. Nmap

NMAP دقیقاً یک اسکنر آسیب پذیری برای لینوکس نیست. این برنامه به شما امکان می دهد شبکه را اسکن کنید و متوجه شوید که کدام گره ها به آن متصل هستند و همچنین تعیین کنید که چه سرویس هایی روی آنها اجرا می شوند. این اطلاعات جامع در مورد آسیب پذیری ها را ارائه نمی دهد ، اما می توانید حدس بزنید که کدام یک است. نرم افزارممکن است آسیب پذیر باشد، سعی کنید رمزهای عبور ضعیف را بشکنید. همچنین می توان اسکریپت های ویژه ای را اجرا کرد که به شما امکان می دهد آسیب پذیری های خاصی را در نرم افزارهای خاص شناسایی کنید.

نتیجه گیری

در این مقاله ما بهترین اسکنرهای آسیب پذیری لینوکس را بررسی کرده ایم ، آنها به شما امکان می دهند سیستم و برنامه های خود را کنترل کنید. ایمنی کامل. ما به برنامه هایی نگاه کردیم که به شما امکان می دهد سیستم عامل خود یا برنامه ها و سایت های وب را اسکن کنید.

سرانجام ، می توانید ویدئویی راجع به اسکنرهای آسیب پذیری و چرا مورد نیاز آنها را تماشا کنید:

مشکل اپیدمی کرم های شبکه برای هر شبکه محلی مرتبط است. دیر یا زود ، ممکن است یک وضعیت ایجاد شود که یک شبکه یا کرم ایمیل به LAN نفوذ کند و توسط آنتی ویروس مورد استفاده تشخیص داده نمی شود. ویروس شبکه از طریق آسیب‌پذیری‌های سیستم‌عاملی که در زمان آلودگی بسته نشده‌اند یا از طریق آسیب‌پذیری‌های قابل نوشتن از طریق یک شبکه محلی پخش می‌شود. منابع مشترک. ویروس ایمیل، همانطور که از نام آن پیداست ، از طریق ایمیل توزیع می شود ، به شرط آنکه توسط آنتی ویروس مشتری و آنتی ویروس مسدود نشده باشد سرور پست الکترونیکی. علاوه بر این ، یک بیماری همه گیر روی LAN می تواند از درون به دلیل فعالیت های خودی سازماندهی شود. در این مقاله به روش های عملی برای تجزیه و تحلیل عملیاتی رایانه های LAN با استفاده از ابزارهای مختلف، به ویژه با استفاده از ابزار AVZ نویسنده نگاه خواهیم کرد.

فرمول بندی مسئله

اگر یک بیماری همه گیر یا برخی فعالیت های غیرعادی در شبکه شناسایی شود، مدیر باید به سرعت حداقل سه کار را حل کند:

• شناسایی رایانه های شخصی آلوده در شبکه؛
• نمونه هایی از بدافزار را برای ارسال به آزمایشگاه ضد ویروس پیدا کنید و یک استراتژی مقابله با آن ایجاد کنید.
• اقداماتی را برای جلوگیری از انتشار ویروس در شبکه محلی و از بین بردن آن در رایانه های آلوده انجام دهید.

در مورد فعالیت های خودی، مراحل اصلی تجزیه و تحلیل یکسان است و اغلب به نیاز به شناسایی نرم افزار شخص ثالث نصب شده توسط خودی در رایانه های LAN خلاصه می شود. نمونه هایی از این نرم افزارها شامل ابزارهای مدیریت از راه دور، کی لاگرهاو نشانک های مختلف تروجان.

اجازه دهید راه حل هر یک از وظایف را با جزئیات بیشتری در نظر بگیریم.

جستجو برای رایانه های شخصی آلوده

برای جستجوی رایانه های شخصی آلوده در شبکه، می توانید حداقل از سه روش استفاده کنید:

• تجزیه و تحلیل کامپیوتر از راه دور خودکار - به دست آوردن اطلاعات در مورد فرآیندهای در حال اجرا، کتابخانه های بارگذاری شده و درایورها، جستجوی الگوهای مشخصه - به عنوان مثال، فرآیندها یا فایل های با اسامی داده شده;
• تجزیه و تحلیل ترافیک رایانه شخصی با استفاده از اسنیفر - این روشبرای گرفتن ربات های هرزنامه، ایمیل و کرم های شبکه بسیار موثر است، با این حال، مشکل اصلی در استفاده از sniffer به این دلیل است که یک LAN مدرن بر اساس سوئیچ ها ساخته شده است و در نتیجه، مدیر نمی تواند ترافیک را نظارت کند. کل شبکه مشکل را می توان به دو روش حل کرد: با اجرای یک sniffer بر روی روتر (که به شما امکان می دهد تبادل داده های رایانه شخصی را با اینترنت نظارت کنید) و با استفاده از عملکردهای نظارتی سوئیچ ها (بسیاری از آنها) سوئیچ های مدرنبه شما امکان می دهد یک پورت نظارتی اختصاص دهید که ترافیک یک یا چند پورت سوئیچ مشخص شده توسط سرپرست به آن تکرار می شود.
• مطالعه بار شبکه - در این مورد، استفاده از سوئیچ های هوشمند بسیار راحت است، که به شما امکان می دهد نه تنها بار را ارزیابی کنید، بلکه پورت های مشخص شده توسط مدیر را نیز از راه دور غیرفعال کنید. اگر مدیر نقشه شبکه ای داشته باشد که حاوی اطلاعاتی در مورد اینکه کدام رایانه های شخصی به پورت های سوئیچ مربوطه وصل شده اند و در کجا قرار دارند، این عملیات بسیار ساده می شود.
• استفاده از هانی پات - اکیداً توصیه می شود که چندین هانی پات در شبکه محلی ایجاد کنید تا به مدیر امکان تشخیص به موقع یک بیماری همه گیر را بدهد.

تجزیه و تحلیل خودکار رایانه های شخصی در شبکه

تجزیه و تحلیل خودکار رایانه شخصی را می توان به سه مرحله اصلی کاهش داد:

• انجام یک اسکن کامل رایانه شخصی - فرآیندهای در حال اجرا، کتابخانه ها و درایورهای بارگذاری شده، شروع خودکار.
• انجام تحقیقات عملیاتی - به عنوان مثال، جستجوی فرآیندها یا فایل های مشخصه؛
• قرنطینه اشیاء بر اساس معیارهای خاص.

تمام مشکلات فوق را می توان با استفاده از ابزار AVZ نویسنده که برای راه اندازی از یک پوشه شبکه در سرور طراحی شده است و از یک زبان برنامه نویسی برای بازرسی خودکار رایانه شخصی پشتیبانی می کند، حل کرد. برای اجرای AVZ در رایانه های کاربر باید:

1. AVZ را در یک پوشه شبکه روی سروری که برای خواندن باز است قرار دهید.
2. زیرشاخه های LOG و Qurantine را در این پوشه ایجاد کنید و به کاربران اجازه دهید برای آنها بنویسند.
3. با استفاده از ابزار rexec یا اسکریپت ورود، AVZ را در رایانه های LAN راه اندازی کنید.

راه اندازی AVZ در مرحله 3 باید با پارامترهای زیر انجام شود:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

در این حالت ، پارامتر اولویت = -1 اولویت فرآیند AVZ را پایین می آورد ، پارامترهای NW = Y و NQ = Y قرنطینه را به حالت "اجرای شبکه" تغییر می دهند (در این حالت ، یک زیر مجموعه در پوشه قرنطینه ایجاد می شود برای هر رایانه ، نام آن با نام شبکه رایانه شخصی مطابقت دارد) ، HiddenMode = 2 به شما دستور می دهد دسترسی کاربر به کنترل های GUI و AVZ را انکار کند ، و در آخر ، مهمترین پارامتر اسکریپت نام کامل فیلمنامه را با این اسکریپت مشخص می کند دستوراتی که AVZ بر روی کامپیوتر کاربر اجرا می کند. استفاده از زبان برنامه نویسی AVZ بسیار ساده است و به طور انحصاری بر حل مشکلات معاینه و درمان رایانه متمرکز شده است. برای ساده کردن روند نوشتن اسکریپت ها ، می توانید از یک ویرایشگر اسکریپت تخصصی استفاده کنید ، که حاوی یک فوری آنلاین ، یک جادوگر برای ایجاد اسکریپت های استاندارد و ابزاری برای بررسی صحت اسکریپت نوشته شده بدون اجرای آن است (شکل 1).

برنج. 1. ویرایشگر اسکریپت AVZ

بیایید به سه فیلمنامه معمولی که ممکن است در مبارزه با همه گیری مفید باشند نگاه کنیم. ابتدا به یک اسکریپت تحقیق کامپیوتری نیاز داریم. وظیفه اسکریپت بررسی سیستم و ایجاد یک پروتکل با نتایج در یک پوشه شبکه داده شده است. اسکریپت به این شکل است:

ActivateWatchDog (60 * 10)؛

// شروع به اسکن و تجزیه و تحلیل کنید

// کاوش سیستم

ExecuteSysCheck(GetAVZDirectory+

'\LOG\'+GetComputerName+'_log.htm');

//خاموش کردن AVZ

در حین اجرای این اسکریپت، فایل های HTML با نتایج مطالعه رایانه های شبکه در پوشه LOG ایجاد می شود (با فرض اینکه در پوشه AVZ روی سرور ایجاد شده و برای نوشتن در دسترس کاربران باشد) و برای اطمینان از منحصر به فرد بودن، نام رایانه مورد بررسی در نام پروتکل گنجانده شده است. در ابتدای اسکریپت دستوری برای فعال کردن تایمر نگهبان وجود دارد که در صورت بروز خطا در هنگام اجرای اسکریپت، فرآیند AVZ را پس از 10 دقیقه به زور خاتمه می‌دهد.

پروتکل AVZ برای مطالعه دستی مناسب است، اما برای تجزیه و تحلیل خودکار کاربرد کمی دارد. علاوه بر این، مدیر اغلب نام فایل بدافزار را می داند و فقط باید وجود یا عدم وجود این فایل را بررسی کند و در صورت وجود آن را برای تجزیه و تحلیل قرنطینه کند. در این حالت می توانید از اسکریپت زیر استفاده کنید:

// تایمر نگهبان را به مدت 10 دقیقه فعال کنید

ActivateWatchDog (60 * 10)؛

// بدافزار را با نام جستجو کنید

QuarantineFile('%WinDir%\smss.exe', 'مشکوک در مورد LdPinch.gen');

QuarantineFile('%WinDir%\csrss.exe', 'Suspicion of LdPinch.gen');

//خاموش کردن AVZ

این اسکریپت از تابع QuarantineFile برای قرنطینه کردن فایل های مشخص شده استفاده می کند. مدیر فقط می تواند محتویات قرنطینه (پوشه Quarantine\network_name_PC\quarantine_date\) را برای وجود فایل های قرنطینه شده تجزیه و تحلیل کند. لطفاً توجه داشته باشید که عملکرد QuarantineFile به طور خودکار قرنطینه فایل‌های شناسایی شده توسط پایگاه داده امن AVZ یا پایگاه داده امضای دیجیتال مایکروسافت را مسدود می‌کند. برای کاربرد عملیاین اسکریپت را می توان بهبود بخشید - بارگیری نام فایل ها را از یک فایل متنی خارجی سازماندهی کنید، فایل های یافت شده را در برابر پایگاه های داده AVZ بررسی کنید و یک پروتکل متنی با نتایج کار ایجاد کنید:

// فایلی را با نام مشخص شده جستجو کنید

تابع CheckByName(Fname: string): boolean;

نتیجه:= FileExists(FName) ;

اگر نتیجه پس شروع شود

case CheckFile(FName) of

1: S:= '، دسترسی به فایل مسدود شده است';

1: S:= '، به عنوان بدافزار شناسایی شد ('+GetLastCheckTxt+')';

2: S:= '، مشکوک اسکنر فایل ('+GetLastCheckTxt+')';

3: خروج؛ // فایل های ایمن نادیده گرفته می شوند

AddToLog('فایل '+NormalFileName(FName)+' یک نام مشکوک دارد'+S);

//فایل مشخص شده را به قرنطینه اضافه کنید

QuarantineFile (FName، 'فایل مشکوک'+S)؛

SuspNames: TStringList; // لیست نام فایل های مشکوک

// بررسی فایل ها در برابر پایگاه داده به روز شده

اگر FileExists (GetAVZDirectory + 'files.db') سپس شروع کنید

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('نام پایگاه داده بارگیری شد - تعداد رکوردها = '+inttostr(SuspNames.Count));

// حلقه جستجو

برای i:= 0 به SuspNames.Count - 1 انجام دهید

CheckByName(SuspNames[i]);

AddToLog('خطا در بارگیری لیست نام فایل ها');

SaveLog(GetAVZDirectory+’\LOG\’+

GetComputerName+'_files.txt');

برای اینکه این اسکریپت کار کند، باید دایرکتوری های Quarantine و LOG را در پوشه AVZ ایجاد کنید که برای نوشتن در دسترس کاربران باشد و همچنین فایل متنی files.db - هر خط از این فایل حاوی نام فایل مشکوک است. نام فایل ممکن است شامل ماکروها باشد که مفیدترین آنها %WinDir% (مسیر به پوشه ویندوز) و %SystemRoot% (مسیر به پوشه System32). جهت دیگر تحلیل می تواند بررسی خودکار لیست فرآیندهای در حال اجرا بر روی رایانه های کاربر باشد. اطلاعات در مورد فرآیندهای در حال اجرا در پروتکل تحقیق سیستم است ، اما برای تجزیه و تحلیل خودکار استفاده از قطعه اسکریپت زیر راحت تر است:

رویه ScanProcess.

S:= ''; S1:= '';

//به روز رسانی لیست فرآیندها

RefreshProcessList;

AddToLog('تعداد فرآیندها = '+IntToStr(GetProcessCount));

// چرخه تجزیه و تحلیل لیست دریافتی

برای i:= 0 تا GetProcessCount - 1 شروع کنید

S1:= S1 + ‘,’ + ExtractFileName(GetProcessName(i));

// فرآیند را با نام جستجو کنید

اگر pos('trojan.exe', LowerCase(GetProcessName(i))) > 0 سپس

S:= S + GetProcessName(i)+',';

اگر اس<>''سپس

AddLineToTxtFile(GetAVZDirectory+'\LOG\_alarm.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S);

AddLineToTxtFile(GetAVZDirectory+'\LOG\_all_process.txt'، DateTimeToStr(Now)+' '+GetComputerName+' : '+S1);

مطالعه فرآیندها در این اسکریپت به عنوان یک رویه ScanProcess جداگانه انجام می شود، بنابراین به راحتی می توان آن را در اسکریپت خودش قرار داد. رویه ScanProcess دو لیست از فرآیندها را ایجاد می کند: لیست کاملفرآیندها (برای تجزیه و تحلیل بعدی) و لیستی از فرآیندهایی که از دیدگاه مدیر، خطرناک تلقی می شوند. در این مورد، برای اهداف نمایشی، فرآیندی با نام "trojan.exe" خطرناک در نظر گرفته می شود. اطلاعات مربوط به فرآیندهای خطرناک به فایل متنی _alarm.txt، اطلاعات مربوط به همه فرآیندها به فایل _all_process.txt اضافه می شود. به راحتی می توان دریافت که می توانید اسکریپت را با اضافه کردن به آن پیچیده کنید ، به عنوان مثال ، بررسی پرونده های فرآیند در برابر پایگاه داده پرونده های ایمن یا بررسی نام فایل های اجراییفرآیندها بر مبنای خارجی رویه مشابهی در اسکریپت های AVZ مورد استفاده در Smolenskenergo استفاده می شود: مدیر به طور دوره ای اطلاعات جمع آوری شده را مطالعه می کند و اسکریپت را اصلاح می کند و نام فرآیندهای برنامه های ممنوعه توسط سیاست امنیتی را به آن اضافه می کند، به عنوان مثال ICQ و MailRu.Agent، که اجازه می دهد تا شما می توانید به سرعت وجود نرم افزارهای ممنوعه را در رایانه های شخصی مورد مطالعه بررسی کنید. یکی دیگر از کاربردهای فهرست فرآیندها، یافتن رایانه‌های شخصی است که فرآیند مورد نیاز مانند آنتی ویروس را ندارند.

در پایان، بیایید به آخرین اسکریپت تجزیه و تحلیل مفید نگاه کنیم - یک اسکریپت برای قرنطینه خودکار همه پرونده هایی که توسط پایگاه داده ایمن AVZ و پایگاه داده امضای دیجیتال مایکروسافت شناسایی نمی شوند:

// انجام اتوقرنتین

اجرای خودکار قرنطینه؛

قرنطینه خودکار فرآیندهای در حال اجرا و کتابخانه‌های بارگذاری شده، خدمات و درایورها، حدود 45 روش شروع خودکار، ماژول‌های برنامه افزودنی مرورگر و کاوشگر، کنترل‌کننده‌های SPI/LSP، کارهای زمان‌بندی، کنترل‌کننده‌های سیستم چاپ و غیره را بررسی می‌کند. ویژگی خاص قرنطینه این است که فایل ها با کنترل تکرار به آن اضافه می شوند، بنابراین می توان عملکرد خودکار قرنطینه را به طور مکرر فراخوانی کرد.

مزیت قرنطینه خودکار این است که با کمک آن، مدیر می تواند به سرعت فایل های مشکوک را از تمام رایانه های موجود در شبکه برای بررسی جمع آوری کند. ساده ترین (اما در عمل بسیار مؤثر) برای مطالعه پرونده ها می تواند بررسی قرنطینه حاصل با چندین آنتی ویروس محبوب در حداکثر حالت اکتشافی باشد. لازم به ذکر است که راه اندازی همزمان خودکار Quarantine در چند صد رایانه می تواند بار زیادی را در شبکه و سرور پرونده ایجاد کند.

تحقیقات ترافیک

تحقیقات ترافیکی را می توان به سه روش انجام داد:

• به صورت دستی با استفاده از sniffers.
• در حالت نیمه اتوماتیک - در این حالت ، sniffer اطلاعات را جمع آوری می کند ، و سپس پروتکل های آن به صورت دستی یا توسط برخی از نرم افزارها پردازش می شوند.
• به طور خودکار با استفاده از سیستم های تشخیص نفوذ (IDS) مانند Snort (http://www.snort.org/) یا نرم افزار یا آنالوگ سخت افزاری آنها. در ساده ترین حالت، یک IDS شامل یک sniffer و یک سیستم است که اطلاعات جمع آوری شده توسط Sniffer را تجزیه و تحلیل می کند.

یک سیستم تشخیص نفوذ یک ابزار بهینه است زیرا به شما امکان می دهد مجموعه ای از قوانین را برای تشخیص ناهنجاری ها در فعالیت شبکه ایجاد کنید. مزیت دوم آن این است: اکثر IDS های مدرن به عوامل نظارت بر ترافیک اجازه می دهند تا بر روی چندین گره شبکه قرار گیرند - عامل ها اطلاعات را جمع آوری و انتقال می دهند. در صورت استفاده از sniffer، استفاده از کنسول UNIX sniffer tcpdump بسیار راحت است. به عنوان مثال، برای نظارت بر فعالیت در پورت 25 ( پروتکل SMTP) فقط Sniffer را با اجرا کنید خط فرماننوع:

tcpdump -i em0 -l tcp پورت 25 > smtp_log.txt

در این مورد، بسته ها از طریق رابط em0 ضبط می شوند. اطلاعات مربوط به بسته های ضبط شده در فایل smtp_log.txt ذخیره می شود. تجزیه و تحلیل دستی پروتکل نسبتاً آسان است؛ در این مثال، تجزیه و تحلیل فعالیت در پورت 25 به شما امکان می دهد رایانه های شخصی را با ربات های اسپم فعال شناسایی کنید.

کاربرد هانی پات

قابل استفاده به عنوان تله (Honeypot) کامپیوتر قدیمی، که عملکرد آن اجازه نمی دهد از آن برای حل استفاده شود وظایف تولید. به عنوان مثال، یک پنتیوم پرو با 64 مگابایت با موفقیت به عنوان یک تله در شبکه نویسنده استفاده می شود. حافظه دسترسی تصادفی. در این رایانه شخصی باید متداول ترین سیستم عامل را روی LAN نصب کنید و یکی از استراتژی ها را انتخاب کنید:

• نصب یک سیستم عامل بدون بسته های به روز رسانی - این نشانگر ظاهر یک کرم شبکه فعال در شبکه خواهد بود که از هر یک از آسیب پذیری های شناخته شده برای این سیستم عامل سوء استفاده می کند.
• یک سیستم عامل با به روز رسانی هایی که بر روی رایانه های شخصی دیگر در شبکه نصب شده اند نصب کنید - Honeypot مشابه هر یک از ایستگاه های کاری خواهد بود.

هر استراتژی هم مزایا و هم معایب خود را دارد. نویسنده عمدتاً از گزینه بدون به روز رسانی استفاده می کند. پس از ایجاد Honeypot، باید یک تصویر دیسک برای آن ایجاد کنید بهبودی سریعسیستم پس از آسیب دیدگی توسط بدافزار. به عنوان جایگزینی برای تصویر دیسک، می توانید از سیستم های تغییر بازگشت مانند ShadowUser و آنالوگ های آن استفاده کنید. با ایجاد یک لانه زنبوری ، باید در نظر بگیرید که تعدادی از کرم های شبکه با اسکن دامنه IP ، محاسبه شده از آدرس IP PC آلوده ، رایانه های آلوده را جستجو می کنند (استراتژی های معمولی معمولی X.X.X.*، x.x.x+1.*، x.x.x -1.*) ، بنابراین ، در حالت ایده آل ، باید در هر زیر شبکه یک لنگوت وجود داشته باشد. به عنوان عناصر آماده سازی اضافی ، حتماً باید دسترسی به چندین پوشه در سیستم Honeypot را باز کنید و در این پوشه ها باید چندین نمونه نمونه از قالب های مختلف را قرار دهید ، حداقل مجموعه EXE ، JPG ، MP3 است.

به طور طبیعی ، با ایجاد یک لانه زن این کامپیوتر. از حسابرسان می توان به عنوان ابزاری برای ضبط تغییر استفاده کرد ؛ می توان از یک sniffer برای ضبط فعالیت شبکه استفاده کرد. یک نکته مهماین است که بیشتر خرچنگ ها در صورت شناسایی فعالیت شبکه مشخص ، امکان پیکربندی ارسال هشدار به مدیر را فراهم می کنند. به عنوان مثال ، در Commview Sniffer ، یک قانون شامل مشخص کردن یک "فرمول" است که یک بسته شبکه را توصیف می کند ، یا معیارهای کمی را مشخص می کند (ارسال بیش از تعداد مشخصی از بسته ها یا بایت در ثانیه ، ارسال بسته ها به آدرس های IP یا MAC ناشناخته) - شکل. 2.

برنج. 2. یک هشدار فعالیت شبکه ایجاد و پیکربندی کنید

به عنوان یک هشدار ، استفاده از پیام های ایمیل ارسال شده برای صندوق پستیمدیر - در این حالت ، می توانید از همه تله های موجود در شبکه هشدارهای سریع دریافت کنید. علاوه بر این ، اگر sniffer به شما امکان ایجاد هشدارهای متعدد را می دهد ، منطقی است که با برجسته کردن کار ، فعالیت شبکه را متمایز کنید با ایمیل، FTP/HTTP ، TFTP ، TELNET ، MS NET ، افزایش ترافیک بیش از 20-30 بسته در ثانیه برای هر پروتکل (شکل 3).

برنج. 3. نامه اطلاع رسانی ارسال شد
اگر بسته های مطابق با معیارهای مشخص شده شناسایی شوند

هنگام سازماندهی تله ، ایده خوبی است که چندین سرویس شبکه آسیب پذیر مورد استفاده در شبکه را بر روی آن قرار دهید یا یک شبیه ساز را برای آنها نصب کنید. ساده ترین (و رایگان) ابزار اختصاصی APS است که بدون نصب کار می کند. اصل عملیاتی APS به گوش دادن به بسیاری از درگاه های TCP و UDP که در پایگاه داده آن شرح داده شده و در لحظه اتصال پاسخ از پیش تعیین شده یا به طور تصادفی تولید می شود ، کاهش می یابد (شکل 4).

برنج. 4. پنجره اصلی ابزار APS

شکل اسکرین شات گرفته شده در حین فعال سازی APS واقعی در Smolenskenergo LAN را نشان می دهد. همانطور که در شکل مشاهده می شود، تلاشی برای اتصال یکی از رایانه های مشتری در پورت 21 ثبت شد. تجزیه و تحلیل پروتکل ها نشان داد که تلاش ها دوره ای هستند و توسط چندین تله در شبکه ثبت می شوند، که به ما امکان می دهد نتیجه بگیریم که شبکه به منظور جستجو و هک سرورهای FTP با حدس زدن رمزهای عبور، اسکن می شود. APS گزارش‌ها را نگه می‌دارد و می‌تواند پیام‌هایی را با گزارش‌هایی از اتصالات ثبت‌شده به پورت‌های نظارت شده برای مدیران ارسال کند، که برای تشخیص سریع اسکن‌های شبکه راحت است.

هنگام ایجاد Honeypot، آشنایی با منابع آنلاین در مورد موضوع، به ویژه http://www.honeynet.org/ نیز مفید است. در بخش ابزار این سایت (http://www.honeynet.org/tools/index.html) می توانید تعدادی ابزار برای ضبط و تجزیه و تحلیل حملات پیدا کنید.

حذف بدافزار از راه دور

در حالت ایده آل، پس از کشف نمونه ها بد افزارمدیر آنها را به آزمایشگاه ضد ویروس می فرستد، جایی که آنها به سرعت توسط تحلیلگران مورد مطالعه قرار می گیرند و امضاهای مربوطه در پایگاه داده ضد ویروس وارد می شوند. این امضاها به طور خودکار در رایانه شخصی کاربر به روز می شوند و آنتی ویروس به طور خودکار بدافزارها را بدون دخالت مدیر حذف می کند. با این حال، این زنجیره همیشه آنطور که انتظار می رود کار نمی کند، به ویژه، دلایل زیر برای شکست ممکن است:

• به دلایلی مستقل از مدیر شبکه، تصاویر ممکن است به آزمایشگاه آنتی ویروس نرسند.
• راندمان ناکافی آزمایشگاه ضد ویروس - در حالت ایده آل، مطالعه نمونه ها و وارد کردن آنها به پایگاه داده بیش از 1-2 ساعت طول نمی کشد، به این معنی که پایگاه داده های امضای به روز شده را می توان در یک روز کاری به دست آورد. با این حال، همه آزمایشگاه های آنتی ویروس به این سرعت کار نمی کنند و می توانید چندین روز برای به روز رسانی (در موارد نادر، حتی هفته ها) صبر کنید.
• عملکرد بالای آنتی ویروس - تعدادی از برنامه های مخرب ، پس از فعال سازی ، آنتی ویروس ها را از بین می برند یا در غیر این صورت عملکرد آنها را مختل می کنند. نمونه های کلاسیک شامل ساخت ورودی در پرونده میزبان است که مسدود می شود کار معمولیسیستم های به روزرسانی خودکار آنتی ویروس ، حذف فرآیندها ، خدمات و درایورهای آنتی ویروس ، آسیب به تنظیمات آنها و غیره.

بنابراین ، در شرایط فوق ، شما باید به صورت دستی با بدافزار مقابله کنید. در بیشتر موارد ، این کار دشوار نیست ، زیرا نتایج معاینه رایانه ، رایانه های شخصی آلوده و همچنین نام کامل پرونده های بدافزار را نشان می دهد. تنها چیزی که باقی می ماند حذف آنها از راه دور است. اگر برنامه مخرب از حذف محافظت نشود ، می توان با استفاده از اسکریپت AVZ زیر از بین رفت:

// حذف یک فایل

DeleteFile ('نام فایل');

ExecuteSysClean;

این اسکریپت یک فایل مشخص (یا چندین پرونده را حذف می کند ، زیرا می توانید تعداد نامحدودی از دستورات DeleteFile را در یک اسکریپت وجود داشته باشد) و سپس به طور خودکار رجیستری را تمیز می کند. در یک مورد پیچیده تر ، بدافزار می تواند خود را از حذف (به عنوان مثال ، با ایجاد مجدد پرونده ها و کلیدهای رجیستری خود) محافظت کند یا خود را با استفاده از فناوری rootKit مبدل کند. در این حالت ، فیلمنامه پیچیده تر می شود و به این شکل خواهد بود:

// آنتی روت کیت

SearchRootkit (درست، درست)؛

// AVZGuard را کنترل کنید

SetAVZGuardStatus(true);

// حذف یک فایل

DeleteFile ('نام فایل');

// ورود BootCleaner را فعال کنید

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// وارد کردن به وظیفه bootcleaner لیستی از پرونده های حذف شده توسط اسکریپت

BC_ImportDeletedList;

// BootCleaner را فعال کنید

// تمیز کردن سیستم اکتشافی

ExecuteSysClean;

RebootWindows (true)؛

این اسکریپت شامل مقابله فعال با روت کیت ها، استفاده از سیستم AVZGuard (این یک مسدود کننده فعالیت بدافزار است) و سیستم BootCleaner است. Bootcleaner درایور است که در مرحله اولیه بوت سیستم ، اشیاء مشخص شده را از KernelMode حذف می کند. تمرین نشان می دهد که چنین اسکریپتی قادر به از بین بردن اکثریت قریب به اتفاق بدافزارهای موجود است. استثناء بدافزاری است که نام فایل های اجرایی خود را با هر بار راه اندازی مجدد تغییر می دهد - در این مورد، فایل های کشف شده در حین اسکن سیستم را می توان تغییر نام داد. در این مورد، باید رایانه خود را به صورت دستی ضد عفونی کنید یا امضاهای بدافزار خود را ایجاد کنید (نمونه ای از اسکریپتی که جستجوی امضا را پیاده سازی می کند در راهنمای AVZ توضیح داده شده است).

نتیجه

در این مقاله، چند تکنیک عملی برای مبارزه با اپیدمی LAN به صورت دستی، بدون استفاده از محصولات آنتی ویروس را بررسی کردیم. بیشتر تکنیک های توصیف شده را می توان برای جستجوی رایانه های شخصی خارجی و نشانک های تروجان در رایانه های کاربر نیز استفاده کرد. اگر در یافتن بدافزار یا ایجاد اسکریپت های درمانی مشکلی دارید ، سرپرست می تواند از بخش "راهنما" انجمن http://virusinfo.info یا بخش "ویروس های مبارزه" از انجمن http://forum.kaspersky.com استفاده کند. /index.php?showforum= 18. مطالعه پروتکل ها و کمک در درمان در هر دو انجمن به صورت رایگان انجام می شود، تجزیه و تحلیل رایانه شخصی طبق پروتکل های AVZ انجام می شود و در اغلب موارد درمان به اجرای اسکریپت AVZ بر روی رایانه های شخصی آلوده می رسد که توسط متخصصان مجرب این انجمن ها گردآوری شده است. .

تحلیل تطبیقیاسکنرهای امنیتی بخش 1: تست نفوذ (خلاصه مختصر)

الکساندر آنتیپوف

این سند نتایج مقایسه اسکنرهای امنیت شبکه را در طول آزمایش‌های نفوذ در برابر گره‌های محیطی شبکه ارائه می‌کند.

لپیخین ولادیمیر بوریسوویچ
رئیس آزمایشگاه امنیت شبکه در مرکز آموزشی Informzashchita

تمامی مطالب این گزارش متعلق به مرکز آموزشی Informzashita می باشد. تکثیر، انتشار یا تکثیر مطالب گزارش به هر شکلی بدون رضایت کتبی قبلی مرکز آموزشی اینفورمزاشیتا ممنوع است.

متن کامل تحقیق:
http://www.itsecurity.ru/news/reliase/2008/12_22_08.htm

1. معرفی

اسکنرهای امنیتی شبکه برای مقایسه مناسب هستند. همه آنها بسیار متفاوت هستند. و با توجه به ویژگی های وظایفی که برای آنها در نظر گرفته شده است و به دلیل هدف "دوگانه" آنها (اسکنرهای امنیتی شبکه را می توان هم برای دفاع و هم برای حمله استفاده کرد و همانطور که می دانیم هک کردن یک کار خلاقانه است) در نهایت، همچنین به این دلیل که پشت هر ابزاری از این دست، پروازی از فکر «هکر» (به معنای اصلی کلمه) خالق آن وجود دارد.

هنگام انتخاب شرایط مقایسه، رویکرد "تکلیف محور" به عنوان مبنا در نظر گرفته شد، بنابراین، بر اساس نتایج، می توان قضاوت کرد که یک ابزار خاص برای حل وظیفه تعیین شده چقدر مناسب است. به عنوان مثال، از اسکنرهای امنیتی شبکه می توان استفاده کرد:

• برای موجودی منابع شبکه؛
• در طول "آزمون های نفوذ"؛
• در فرآیند آزمایش سیستم ها برای انطباق با الزامات مختلف.

این سند نتایج مقایسه اسکنرهای امنیت شبکه را در طول آزمایش‌های نفوذ در برابر گره‌های محیطی شبکه ارائه می‌کند. موارد زیر مورد ارزیابی قرار گرفت:

• تعداد آسیب‌پذیری‌های یافت شده
• تعداد موارد مثبت کاذب (مثبت کاذب)
• منفی های کاذب
• دلایل غیبت
• کامل بودن پایه چک (در چارچوب این کار)
• کیفیت مکانیسم های موجودی و تعیین نسخه نرم افزار
• دقت اسکنر (در زمینه این کار)

معیارهای ذکر شده با هم "مناسب بودن" اسکنر را برای حل وظیفه اختصاص داده شده به آن مشخص می کنند، در این مورد این اتوماسیون اقدامات معمول در فرآیند نظارت بر امنیت محیط شبکه است.

2. شرح مختصری از شرکت کنندگان در مقایسه

قبل از شروع مقایسه، این پورتال یک نظرسنجی انجام داد که هدف آن جمع آوری داده ها در مورد اسکنرهای مورد استفاده و وظایفی بود که برای آنها استفاده می شود.

حدود 500 پاسخ دهنده (بازدید کنندگان پورتال) در نظرسنجی شرکت کردند.

وقتی در مورد اسکنرهای امنیتی که در سازمان خود استفاده می کنند، سؤال شد، اکثریت قریب به اتفاق پاسخ دهندگان گفتند که حداقل از یک اسکنر امنیتی (70٪) استفاده می کنند. در عین حال، سازمان هایی که به طور منظم از اسکنرهای امنیتی برای تجزیه و تحلیل امنیت سیستم های اطلاعاتی خود استفاده می کنند، ترجیح می دهند از بیش از یک محصول از این کلاس استفاده کنند. 49 درصد از پاسخ دهندگان گفتند که سازمان آنها از دو یا چند اسکنر امنیتی استفاده می کند (شکل 1).

1 . توزیع سازمان های مورد بررسی بر اساس تعداد اسکنرهای امنیتی مورد استفاده

دلایل استفاده از بیش از یک اسکنر امنیتی شامل این است که سازمان‌ها به راه‌حل‌های یک فروشنده اعتماد ندارند (61%) و زمانی که بررسی‌های تخصصی مورد نیاز است (39%) که نمی‌توان با یک اسکنر امنیتی جامع انجام داد (شکل 2). .

2. دلایل استفاده از بیش از یک اسکنر امنیتی در سازمان های مورد بررسی

هنگامی که از اسکنرهای امنیتی تخصصی پرسیده شد که برای چه اهدافی استفاده می شود، اکثر پاسخ دهندگان پاسخ دادند که از آنها به عنوان ابزار اضافی برای تجزیه و تحلیل امنیت برنامه های کاربردی وب استفاده می شود (68٪). در رتبه دوم اسکنرهای امنیتی DBMS تخصصی (30%) و در رتبه سوم (2%) ابزارهای اختصاصی برای حل طیف خاصی از مشکلات در تجزیه و تحلیل امنیت سیستم های اطلاعاتی قرار گرفتند (شکل 3).

3. اهداف استفاده از اسکنرهای امنیتی تخصصی در سازمان های پاسخگویان مورد بررسی

نتیجه بررسی پاسخ دهندگان (شکل 4) در مورد محصولات نهایی مربوط به اسکنرهای امنیتی نشان داد که اکثر سازمانها ترجیح می دهند از محصولات Technologies Positive Xspider (31 ٪) و اسکنر امنیتی نسوس (17 ٪) استفاده کنند.

برنج. 4. اسکنرهای امنیتی مورد استفاده در سازمان های پاسخ دهندگان

اسکنرهای ارائه شده در جدول 1 برای شرکت در آزمون های آزمایشی انتخاب شدند.

جدول 1. اسکنرهای امنیتی شبکه مورد استفاده در مقایسه

نام	نسخه
		http://www.nessus.org/download
مکس پاترول	8.0 (Build 1178)	http://www.ptsecurity.ru/maxpatrol.asp
اسکنر اینترنت		http://www-935.ibm.com/services/us/index.wss/offering/iss/a1027208
شبکیه چشماسکنر امنیت شبکه		http://www.eeye.com/html/products/retina/index.html
اسکنر امنیتی سایه (SSS)	7.141 (Build 262)	http://www.safety-lab.com/en/products/securityscanner.htm
حسابرس NetClarity		http://netclarity.com/branch-nacwall.html

بنابراین، اولین آزمایش بر روی وظیفه ارزیابی امنیت سیستم ها برای مقاومت در برابر هک متمرکز است.

3. جمع بندی

نتایج برای گره های باقی مانده به روشی مشابه محاسبه شد. پس از محاسبه نتایج جدول زیر بدست آمد (جدول 2).

جدول 2. نتایج نهایی برای همه اشیاء اسکن شده

فهرست مطالب		اسکنر اینترنت			اسکنر امنیتی سایه	NetClarity ممیز، مامور رسیدگی
شناسایی خدمات و اپلیکیشن ها، امتیازات
آسیب‌پذیری‌های یافت شده، کل
از این موارد مثبت کاذب (مثبت کاذب)
درست پیدا شد (از 225 مورد ممکن)
پاس می دهد (منفی کاذب)
از این میان، به دلیل عدم حضور در پایگاه داده
از این موارد ناشی از نیاز به احراز هویت است
به دلایل دیگر

3.1 شناسایی خدمات و برنامه های کاربردی

بر اساس نتایج شناسایی خدمات و برنامه ها ، امتیازها به سادگی خلاصه شد و یک نکته برای شناسایی نادرست یک سرویس یا برنامه کسر شد (شکل 5).

برنج. 5. نتایج شناسایی خدمات و برنامه های کاربردی

اسکنر MaxPatrol بیشترین امتیاز (108) و اسکنر Nessus کمی کمتر (98) را کسب کرد. در واقع، در این دو اسکنر، رویه شناسایی سرویس ها و برنامه ها بسیار کارآمد پیاده سازی شده است. این نتیجهرا می توان کاملاً مورد انتظار نامید.

نتایج زیر از اسکنر اینترنت و اسکنرهای NetClarity است. در اینجا می توان اشاره کرد که ، به عنوان مثال ، اسکنر اینترنت بر استفاده از درگاه های استاندارد برای برنامه ها تمرکز دارد ، این تا حد زیادی نتیجه کم آن را توضیح می دهد. سرانجام ، اسکنر NetClarity بدترین عملکرد را دارد. اگرچه این کار برای شناسایی خدمات خوب انجام می دهد (از این گذشته ، این مبتنی بر هسته Nessus 2.x است) ، عملکرد ضعیف آن را می توان با این واقعیت توضیح داد که تمام درگاه های باز را مشخص نمی کند.

3.2 شناسایی آسیب پذیری ها

در شکل شکل 6 تعداد کل آسیب پذیری های موجود در کلیه اسکنرها و تعداد مثبت کاذب را نشان می دهد. بیشترین تعداد آسیب پذیری توسط اسکنر ماکسپاترول یافت شد. نسوس دوباره معلوم شد (البته با حاشیه قابل توجهی).
رهبر تعداد مثبت کاذب اسکنر امنیتی سایه بود. در اصل ، این قابل درک است ؛ نمونه هایی از خطاهای مربوط به چک های آن در بالا در بالا آورده شده است.

برنج. 6. آسیب پذیری ها و موارد مثبت کاذب پیدا شد

درمجموع ، در هر 16 گره ، تمام اسکنرهای موجود (و متعاقباً با تأیید دستی) 225 آسیب پذیری را پیدا کردند. نتایج مانند شکل 1 توزیع شد. 7. بیشترین تعداد آسیب پذیری - 155 از 225 ممکن - توسط اسکنر ماکسپاترول مشخص شد. دوم اسکنر نسوس بود (نتیجه آن تقریباً دو برابر بد بود). بعد اینترنت اسکنر و سپس NetClarity می آید.
در طول مقایسه ، دلایل آسیب پذیری از دست رفته مورد تجزیه و تحلیل قرار گرفت و مواردی که به دلیل عدم چک در پایگاه داده ساخته شده اند از هم جدا شدند. نمودار زیر (شکل 8) دلایلی را نشان می دهد که اسکنرها آسیب پذیری را از دست می دهند.

برنج. 7. آسیب پذیری ها و حذفیات پیدا شد

برنج. 8. دلایل از دست دادن آسیب پذیری ها

اکنون چند شاخص ناشی از محاسبات.

در شکل شکل 39 نسبت تعداد مثبت کاذب به تعداد کل آسیب پذیری های موجود را نشان می دهد ؛ این شاخص به معنای خاص را می توان صحت اسکنر نامید. از این گذشته ، کاربر ، اول از همه ، با لیستی از آسیب پذیری های موجود در اسکنر سروکار دارد ، که از آن لازم است مواردی را که به درستی یافت شده است انتخاب کنید.

برنج. 9. دقت اسکنرها

از این نمودار می توان دریافت که بیشترین دقت (95 درصد) توسط اسکنر MaxPatrol به دست آمده است. اگرچه تعداد موارد مثبت کاذب آن کمترین نیست، اما این میزان دقت به دلیل تعداد زیاد آسیب پذیری های یافت شده به دست می آید. دقیق ترین تعریف بعدی اینترنت اسکنر است. کمترین تعداد مثبت کاذب را نشان داد. اسکنر SSS کمترین نتیجه را دارد، که با توجه به تعداد زیادی از موارد مثبت کاذب که در طول مقایسه ذکر شد، تعجب آور نیست.

یکی دیگر از شاخص های محاسبه شده کامل بودن پایگاه داده است (شکل 10). این به عنوان نسبت تعداد آسیب پذیری های موجود به درستی به تعداد کل آسیب پذیری ها (در این حالت - 225) محاسبه می شود و مقیاس "از دست ها" را مشخص می کند.

برنج. 10. کامل بودن پایگاه داده

از این نمودار مشخص است که پایه اسکنر MaxPatrol برای این کار بسیار مناسب است.

4. نتیجه گیری

4.1 نظرات در مورد نتایج رهبران: MaxPatrol و Nessus

رتبه اول با توجه به تمام معیارهای این مقایسه به اسکنر MaxPatrol می رسد، اسکنر Nessus در رتبه دوم قرار دارد، نتایج سایر اسکنرها به طور قابل توجهی کمتر است.

در اینجا مناسب است یکی از اسناد تهیه شده توسط مؤسسه ملی استاندارد و فناوری ایالات متحده (NIST) یعنی «راهنمای تست امنیت شبکه» را یادآوری کنیم. بیان می کند که هنگام نظارت بر امنیت سیستم های رایانه ای، توصیه می شود حداقل از دو اسکنر امنیتی استفاده شود.

در واقع، هیچ چیز غیر منتظره یا شگفت انگیزی در نتیجه به دست آمده وجود ندارد. بر کسی پوشیده نیست که اسکنرهای XSpider (MaxPatrol) و Nessus در بین متخصصان امنیتی و هکرها محبوب هستند. این را نتایج نظرسنجی فوق تأیید می کند. بیایید سعی کنیم دلایل رهبری آشکار MaxPatrol (این تا حدی در مورد اسکنر Nessus صدق می کند) و همچنین دلایل "از دست دادن" سایر اسکنرها را تجزیه و تحلیل کنیم. اول از همه، این یک شناسایی با کیفیت بالا از خدمات و برنامه ها است. تست های مبتنی بر استنتاج (و تعداد کمی از آنها در این مورد وجود داشت) به شدت به دقت جمع آوری اطلاعات بستگی دارد. و شناسایی خدمات و برنامه های کاربردی در اسکنر MaxPatrol تقریباً کامل است. در اینجا یک مثال گویا است.
دومین دلیل موفقیت MaxPatrol کامل بودن دیتابیس و کفایت آن به وظیفه در دست اجرا و به طور کلی به «امروز» است. بر اساس نتایج، قابل توجه است که پایگاه داده چک ها در MaxPatrol به طور قابل توجهی گسترش یافته و دقیق شده است، "به نظم" درآمده است، در حالی که "سوگیری" آشکار نسبت به برنامه های وب با گسترش چک ها در سایر زمینه ها جبران می شود. به عنوان مثال، نتایج اسکن روتر ارائه شده در مقایسه سیسکو چشمگیر بود.

دلیل سوم، تجزیه و تحلیل کیفی نسخه های برنامه با در نظر گرفتن سیستم عامل ها، توزیع ها و "شاخه های" مختلف است. همچنین می‌توانید استفاده از منابع مختلف (پایگاه‌های اطلاعاتی آسیب‌پذیری، اعلان‌ها و بولتن‌های فروشنده) را اضافه کنید.

در نهایت می توان اضافه کرد که MaxPatrol دارای یک رابط کاربری بسیار راحت و منطقی است که مراحل اصلی کار اسکنرهای امنیتی شبکه را منعکس می کند. و این مهم است. درک ترکیبی از "گره، سرویس، آسیب پذیری" بسیار آسان است (یادداشت سردبیر: این نظر ذهنی نویسنده مقایسه است). و مخصوصاً برای این کار.

اکنون در مورد کاستی ها و نقاط "ضعیف". از آنجایی که MaxPatrol در مقایسه پیشرو بود، انتقاد به آن "حداکثر" خواهد بود.

اولاً، به اصطلاح "از دست دادن در چیزهای کوچک". با داشتن یک موتور بسیار با کیفیت، ارائه خدمات اضافی مربوطه مهم است، به عنوان مثال، ابزارهای مناسبی که به شما امکان می دهد کاری را به صورت دستی انجام دهید، ابزارهایی برای جستجوی آسیب پذیری ها و توانایی "تنظیم دقیق" سیستم. MaxPatrol سنت XSpider را ادامه می دهد و حداکثر بر روی ایدئولوژی "کلیک کنید و کار می کند" متمرکز شده است. از یک طرف، این بد نیست، از طرف دیگر، تحلیلگر "دقت" را محدود می کند.

ثانیاً ، برخی از خدمات "پوشانده نشده" باقی ماندند (شما می توانید از نتایج این مقایسه قضاوت کنید) ، به عنوان مثال ، IKE (پورت 500).

ثالثاً، در برخی موارد عدم مقایسه اساسی نتایج دو بررسی با یکدیگر وجود دارد، به عنوان مثال، مانند مورد SSH که در بالا توضیح داده شد. یعنی هیچ نتیجه ای بر اساس نتایج چندین بررسی وجود ندارد. به عنوان مثال، سیستم عامل host4 به عنوان ویندوز طبقه بندی شد و سرویس PPTP "فروشنده" به عنوان لینوکس طبقه بندی شد. آیا می توانیم نتیجه گیری کنیم؟ به عنوان مثال، در گزارش در ناحیه تعریف سیستم عامل، نشان دهید که این یک گره "هیبرید" است.

رابعاً، شرح چک ها جای تامل دارد. اما در اینجا باید درک کرد که MaxPatrol در شرایط نابرابر با سایر اسکنرها قرار دارد: ترجمه با کیفیت بالا به روسی از تمام توصیفات یک کار بسیار پر زحمت است.

اسکنر نسوس به طور کلی نتایج خوبی را نشان داد و در تعدادی از نقاط دقیق تر از اسکنر ماکسپاترول بود. دلیل اصلی عقب افتادن Nessus حذف آسیب پذیری ها است، اما نه به دلیل عدم بررسی در پایگاه داده مانند اکثر اسکنرهای دیگر، بلکه به دلیل ویژگی های پیاده سازی است. اولا (و این دلیل بخش مهمی از شکاف ها است) ، روند توسعه در اسکنر نسوس به سمت "محلی" یا بررسی سیستم، نیاز به اتصال با یک حساب کاربری دارد. ثانیاً ، اسکنر نسوس منابع اطلاعاتی در مورد آسیب پذیری ها را کمتر (در مقایسه با ماکسپاترول) در نظر می گیرد. این تا حدودی شبیه به اسکنر SSS است ، که عمدتا بر اساس SecurityFocus مستقر است.

5. محدودیت های این مقایسه

در طول مقایسه ، قابلیت های اسکنرها در زمینه تنها یک کار مورد بررسی قرار گرفتند - آزمایش گره های محیط شبکه برای مقاومت در برابر هک. به عنوان مثال ، اگر یک قیاس ماشین را ترسیم کنیم ، دیدیم که اتومبیل های مختلف چگونه در یک جاده لغزنده رفتار می کنند. با این حال ، وظایف دیگری نیز وجود دارد که راه حل آن با همان اسکنرها ممکن است کاملاً متفاوت به نظر برسد. در آینده نزدیک برنامه ریزی شده است که ضمن حل چنین مشکلاتی اسکنرها را با هم مقایسه کنید:

• انجام ممیزی سیستم با استفاده از حساب
• PCI DSS Compliance Assessment
• اسکن سیستم های ویندوز

علاوه بر این ، برنامه ریزی شده است که اسکنرها را با استفاده از معیارهای رسمی مقایسه کند.

در طی این مقایسه ، فقط "موتور" خود مورد آزمایش قرار گرفت ، یا از نظر مدرن "مغز" اسکنر. قابلیت ها از نظر خدمات اضافی (گزارش ها ، ضبط اطلاعات در مورد پیشرفت اسکن و غیره) به هیچ وجه ارزیابی نشده و یا مقایسه نشده است.

همچنین میزان خطر و توانایی بهره برداری از آسیب پذیری های یافت شده مورد ارزیابی قرار نگرفت. برخی از اسکنرها خود را به آسیب پذیری های کم خطر "جزئی" محدود می کردند ، در حالی که برخی دیگر آسیب پذیری های بسیار مهمی را که امکان دسترسی به سیستم را فراهم می آورد ، شناسایی کردند.

اسکنر امنیتی: آسیب پذیری های شبکه را شناسایی می کند، به روز رسانی ها و وصله ها را مدیریت می کند، به طور خودکار مشکلات را رفع می کند، نرم افزار و سخت افزار را بررسی می کند. GFI امنیت شبکه"> امنیت شبکه 2080

اسکنر امنیت شبکه و مدیریت به روز رسانی متمرکز

GFI LanGuard به عنوان یک مشاور امنیت مجازی کار می کند:

- به‌روزرسانی‌ها را برای Windows®، Mac OS® و Linux® مدیریت می‌کند

- آسیب‌پذیری‌های رایانه‌ها را شناسایی می‌کند و دستگاه های تلفن همراه

- ممیزی انجام می دهد دستگاه های شبکهو نرم افزار

GFI Languard یک اسکنر امنیتی برای شبکه هایی با هر اندازه است: بندر شبکه و اسکنر آسیب پذیری ، اسکنر امنیتی ، به طور خودکار سوراخ هایی در شبکه پیدا می کند

GFI Languard یک اسکنر امنیتی برای شبکه هایی با هر اندازه است: بندر شبکه و اسکنر آسیب پذیری ، اسکنر امنیتی ، به طور خودکار سوراخ هایی در شبکه پیدا می کند

GFI Languard چیست

بیشتر از یک اسکنر آسیب پذیری!

GFI Languard یک اسکنر امنیتی شبکه است: آسیب پذیری های شبکه را شناسایی ، شناسایی و رفع می کند. اسکن های پورت کامل ، در دسترس بودن به روزرسانی های نرم افزاری لازم برای محافظت از شبکه شما ، و حسابرسی نرم افزار و سخت افزار همه از یک صفحه کنترل واحد امکان پذیر است.

اسکنر پورت

چندین پروفایل اسکن از پیش آماده شده به شما امکان می دهد اسکن کامل از همه درگاه ها را انجام دهید ، و همچنین به سرعت فقط مواردی را که معمولاً توسط نرم افزار ناخواسته و مخرب استفاده می شود ، بررسی کنید. GFI Languard چندین میزبان را به طور همزمان اسکن می کند ، به طور قابل توجهی زمان مورد نیاز را کاهش می دهد ، و سپس نرم افزار موجود در درگاه های شلوغ را با مدل مورد انتظار مقایسه می کند.

به روز رسانی ها و وصله ها

قبل از نصب آخرین به روزرسانی هاگره های شما کاملاً محافظت نشده است ، زیرا این آخرین آسیب پذیری است که توسط تکه های فعلی و به روزرسانی هایی که توسط هکرها برای نفوذ در شبکه شما استفاده می شود ، پوشانده شده است. بر خلاف ابزارهایی که در سیستم عامل ساخته شده اند ، GFI Languard نه تنها سیستم عامل ، بلکه نرم افزاری محبوب را نیز بررسی می کند که آسیب پذیری های آنها معمولاً برای هک کردن استفاده می شود: Adobe Acrobat/Reader ، فلش پلیر، اسکایپ، اوت لوک، مرورگرها، پیام رسان های فوری.

ممیزی گره

GFI LanGuard برای شما آماده می کند لیست دقیقنرم افزار و سخت افزار نصب شده بر روی هر کامپیوتر، برنامه های ممنوعه یا مفقود شده و همچنین دستگاه های متصل غیر ضروری را شناسایی می کند. نتایج اسکن های متعدد را می توان برای شناسایی تغییرات در نرم افزار و سخت افزار.

آخرین اطلاعات تهدید

هر اسکن پس از به روز رسانی داده ها در مورد آسیب پذیری ها انجام می شود که تعداد آنها در پایگاه داده GFI LanGuard از 50000 فراتر رفته است. اطلاعات تهدید توسط خود فروشندگان نرم افزار و همچنین لیست های مورد اعتماد SAN و بیضی ارائه می شود ، بنابراین شما همیشه از آخرین تهدیدها ، از جمله قلب ، مخفی ، پوسته پوسته ، پودل ، کرم ساندوی و موارد دیگر محافظت می شوید.

تصحیح خودکار

پس از دریافت یک گزارش اسکن دقیق با شرح هر آسیب‌پذیری و پیوندهایی به بیشتر خواندن، می توانید اکثر تهدیدات را با یک کلیک بر روی دکمه "Remediate" برطرف کنید: پورت ها بسته می شوند ، کلیدهای رجیستری اصلاح می شوند ، وصله ها نصب می شوند ، نرم افزارها به روز می شوند ، برنامه های ممنوعه حذف می شوند و برنامه های گم شده نصب می شوند.