Ohjelmat verkkojen haavoittuvuuksien tarkistamiseen. Verkon turvaskannerien vertailu. Verkon haavoittuvuusskannerien vertailu

TARKASTELU JA VERTAILU HALUATTOVUUSSKANNERIIN

Rozhkova Ekaterina Olegovna

4. vuoden opiskelija, Laivaautomaation ja mittausten laitos, Pietarin valtion lääketieteellinen yliopisto, Venäjän federaatio, Pietari

E- postia: rina1242. ro@ gmail. com

Iljin Ivan Valerievich

4. vuoden opiskelija, Secure Information Technologies

Pietarin kansallinen tutkimusyliopisto ITMO, Venäjän federaatio, Pietari

E- postia: vaniliini. va@ gmail. com

Galushin Sergei Jakovlevich

tieteellinen ohjaaja, Ph.D. tekniikka. Tieteet, vararehtori tieteellistä työtä, Venäjän federaatio, Pietari

Korkean turvallisuustason saavuttamiseksi on välttämätöntä käyttää palomuurien lisäksi myös säännöllisesti toimenpiteitä haavoittuvuuksien havaitsemiseksi, esimerkiksi käyttämällä haavoittuvuusskannereita. Järjestelmän heikkouksien oikea-aikainen tunnistaminen estää luvattoman pääsyn ja tietojen manipuloinnin. Mutta mikä skannerivaihtoehto sopii parhaiten tietyn järjestelmän tarpeisiin? Vastataksesi tähän kysymykseen, sinun on ensin määritettävä tietokoneesi tai verkkosi suojausjärjestelmän puutteet. Tilastojen mukaan useimmat hyökkäykset tapahtuvat tunnettujen ja julkaistujen tietoturva-aukkojen kautta, joita ei ehkä voida poistaa monista syistä, olipa kyseessä ajanpuute, henkilöstö tai järjestelmänvalvojan epäpätevyys. Sinun tulisi myös ymmärtää, että yleensä pahantahtoinen voi tunkeutua järjestelmään useilla tavoilla, ja jos yksi menetelmä ei toimi, tunkeilija voi aina kokeilla toista. Järjestelmän maksimaalisen tietoturvatason varmistaminen edellyttää perusteellista riskianalyysiä ja selkeän uhkamallin edelleen kehittämistä tarkempaa ennustamista varten mahdollisia toimia hypoteettinen rikollinen.

Yleisimpiä haavoittuvuuksia ovat puskurin ylivuoto, mahdolliset virheet reitittimen tai palomuurin kokoonpanossa, Web-palvelimen, sähköpostipalvelimien, DNS-palvelimien, tietokantojen haavoittuvuudet. Älä myöskään jätä huomiotta yhtä herkimmistä alueista tietoturva- käyttäjien ja tiedostojen hallinta, koska käyttäjän käyttöoikeustason varmistaminen minimaalisilla oikeuksilla on erityinen tehtävä, joka vaatii kompromissia käyttökokemuksen ja järjestelmän turvallisuuden välillä. On tarpeen mainita tyhjien tai heikkojen salasanojen ongelma, oletustilit ja yleinen tietovuoto.

Turvaskanneri on ohjelmistotyökalu etä- tai paikallisdiagnostiikkaan erilaisia ​​elementtejä verkot niiden erilaisten haavoittuvuuksien tunnistamiseksi; ne voivat lyhentää merkittävästi asiantuntijoiden työaikaa ja helpottaa haavoittuvuuksien etsimistä.

Turvaskannerien arvostelu

Tässä työssä tarkasteltiin skannereita, joissa on ilmainen kokeiluversio, jonka avulla voit tutustua ohjelmiston rajoitettuun luetteloon sen ominaisuuksista ja arvioida käyttöliittymän yksinkertaisuusastetta. Tarkastuksen kohteiksi valittiin seuraavat suositut haavoittuvuusskannerit: Nessus, GFI LANguard, Retina, Shadow security scanner, Internet Scanner.

Nessus

Nessus on ohjelma, joka etsii automaattisesti tunnettuja tietoturvavirheitä tietojärjestelmä. Se voi havaita yleisimmät haavoittuvuudet, kuten palveluiden tai verkkotunnusten haavoittuvien versioiden esiintymisen, määritysvirheet (SMTP-palvelimen valtuutusta ei tarvita), oletussalasanat, tyhjät tai heikot salasanat.

Nessus-skanneri on tehokas ja luotettava työkalu, joka kuuluu verkkoskannerien perheeseen, jonka avulla voit etsiä haavoittuvuuksia käyttöjärjestelmien, palomuurien, suodatusreitittimien ja muiden verkkokomponenttien tarjoamista verkkopalveluista. Haavoittuvuuksien etsimiseen niitä käytetään standardi tarkoittaa verkon kokoonpanoa ja toimintaa koskevien tietojen testaus ja kerääminen sekä erityisiä keinoja, jäljittelee hyökkääjän toimia tunkeutuakseen verkkoon kytkettyihin järjestelmiin.

Ohjelmalla on mahdollisuus yhdistää omia varmennusmenettelyjä tai malleja. Tätä tarkoitusta varten skannerissa on erityinen komentosarjakieli nimeltä NASL (Nessus Attack Scripting Language). Haavoittuvuustietokanta kasvaa ja päivittyy jatkuvasti. Rekisteröityneet käyttäjät saavat kaikki päivitykset välittömästi, kun taas toiset (koeversiot jne.) saavat jonkin verran viivettä.

GFILanGuard

GFI LanGuard Network Security Scanner (N.S.S) on palkittu ratkaisu, joka suojaa sinua kolmella ydinkomponentilla: tietoturvaskannerin, korjaustiedostojen hallinnan ja verkon hallinnan yhdestä yhdistetystä konsolista. Skannaamalla koko verkon se määrittää kaiken mahdollisia ongelmia turvallisuutta ja käyttämällä sen laajaa toiminnallisuutta raportointi tarjoaa työkalut, joita tarvitaan mahdollisten uhkien havaitsemiseen, arvioimiseen, kuvaamiseen ja poistamiseen.

Tietoturvatarkistusprosessi tuottaa yli 15 000 haavoittuvuusarviointia ja tutkii verkkoja IP-osoitekohtaisesti. GFI LanGuard N.S.S. tarjoaa mahdollisuuden suorittaa useiden alustojen tarkistusta (Windows, Mac OS, Linux) kaikissa ympäristöissä ja analysoi kunkin tietolähteen verkon tilan. Tämä varmistaa, että kaikki uhat voidaan tunnistaa ja poistaa ennen kuin hakkerit pääsevät tahtonsa.

GFI LanGuard N.S.S. mukana tulee täydellinen ja kattava haavoittuvuuden arviointitietokanta, mukaan lukien standardit, kuten OVAL (yli 2000 arvoa) ja SANS Top 20. Tämä tietokanta päivitetään säännöllisesti BugTraqin, SANS Corporationin, OVALin, CVE:n jne. tiedoilla. GFI LanGuard -automaatti päivitysjärjestelmä N.S.S. sisältää aina uusimmat tiedot Microsoftin tietoturvapäivityksistä sekä tiedot GFI:stä ja muista tietovarastoista, kuten OVAL-tietokannasta.

GFI LanGuard N.S.S. skannaa tietokoneita, tunnistaa ja luokittelee haavoittuvuudet, suosittelee toimia ja tarjoaa työkaluja ongelmien ratkaisemiseen. GFI LANguard N.S.S. käyttää myös graafista uhkatason ilmaisinta, joka tarjoaa intuitiivisen ja tasapainoisen arvion tarkistetun tietokoneen tai tietokoneryhmän haavoittuvuustilasta. Jos mahdollista, tarjotaan linkki tai lisäinformaatio tietystä ongelmasta, kuten BugTraq ID:n tai Microsoft Knowledge Base -tietokannan tunniste.

GFI LanGuard N.S.S. avulla voit helposti luoda omia haavoittuvuustestausjärjestelmiä ohjatun toiminnon avulla. VBScript-komentosarjamoottorin avulla voit myös kirjoittaa monimutkaisia ​​haavoittuvuustarkistuksia GFI LanGuard N.S.S.:lle. GFI LanGuard N.S.S. sisältää skriptieditorin ja debuggerin.

Verkkokalvo

Retina Network Security Scanner, BeyondTrustin verkon haavoittuvuuksien skanneri, tunnistaa tunnetut verkon haavoittuvuudet ja priorisoi uhat korjausta varten. Käytön aikana ohjelmistotuote kaikki tietokoneet, laitteet, käyttöjärjestelmät, sovellukset ja langattomat verkot tunnistetaan.

Käyttäjät voivat myös käyttää Retinaa arvioidakseen tietoturvariskejä, hallitakseen projektiriskejä ja täyttääkseen standardivaatimukset yrityspolitiikan auditoinneilla. Tämä skanneri ei suorita haavoittuvuuskoodia, joten skannaus ei johda verkon ja analysoitujen järjestelmien toiminnan menettämiseen. Käyttämällä omaa Adaptive Speed ​​​​skannaustekniikkaa paikallinen verkko Luokka C kestää noin 15 minuuttia, tätä helpottaa Adaptive Speed ​​​​- nopea suojattu verkkoskannaustekniikka. Lisäksi joustavat skannausalueen asetukset mahdollistavat Järjestelmänvalvoja analysoida koko verkon tai tietyn segmentin turvallisuutta vaikuttamatta viereisten verkkojen toimintaan. Tapahtuu automaattinen päivitys tietokannan paikallisia kopioita, joten verkkoanalyysi tehdään aina uusimpien tietojen perusteella. Väärien positiivisten prosenttiosuus on alle 1 %, ja järjestelmärekisteriin on joustava pääsynhallinta.

Varjoturvallisuusskanneri (SSS)

Tätä skanneria voidaan käyttää tunnistamaan luotettavasti sekä tunnettuja että tuntemattomia (julkaisuhetkellä) uusi versio tuote) haavoittuvuuksia. Kun järjestelmää tarkistetaan, SSS analysoi tietoja, mukaan lukien haavoittuvuuksien etsiminen, ja ilmoittaa mahdollisista virheistä palvelimen kokoonpanossa. Lisäksi skanneri ehdottaa mahdollisia tapoja ratkaista nämä ongelmat ja korjata järjestelmän haavoittuvuuksia.

Takaoviteknologiana järjestelmä käyttää valmistajan oman kehityksen Shadow Security Scanner -ydintä. Voidaan huomata, että kun työskentelet Windows-käyttöjärjestelmässä, SSS skannaa palvelimia niiden alustasta riippumatta. Esimerkkejä alustoista ovat Unix-alustat (Linux, FreeBSD, OpenBSD, Net BSD, Solaris), Windows-ympäristöt (95/98/ME/NT/2000/XP/.NET/Win 7 ja 8). Shadow Security Scanner voi myös havaita virheet CISCO:n, HP:n ja muiden laitteissa. Tämän skannerin ovat luoneet kotimaiset kehittäjät, ja sen mukaisesti siinä on venäläinen käyttöliittymä sekä dokumentaatio ja kuuma tukilinja.

InternetSkanneri

Tämä skanneri mahdollistaa haavoittuvuuksien automaattisen havaitsemisen ja analysoinnin yritysverkosto. Skannerin ominaisuuksiin kuuluu useiden tarkistusten toteuttaminen verkkopalvelujen, käyttöjärjestelmien, reitittimien, sähköpostin ja web-palvelimien, palomuurien ja sovellusohjelmistojen haavoittuvuuksien tunnistamiseksi. Internet Scanner pystyy havaitsemaan ja tunnistamaan yli 1 450 haavoittuvuutta, joihin voi sisältyä verkkolaitteiden virheelliset asetukset, vanhentuneet ohjelmistot, käyttämättömät verkkopalvelut, heikot salasanat jne. On mahdollista tarkistaa FTP-, LDAP- ja SNMP-protokollat, tarkistaa sähköpostit, tarkistaa RPC, NFS, NIS ja DNS, tarkistaa mahdolliset hyökkäykset, kuten "palvelunesto", "salasanan arvaus", Web-palvelimien tarkistukset, CGI-skriptit, Web-selaimet ja X-päätteet. Lisäksi on mahdollista tarkistaa palomuurit, välityspalvelimet, etäkäyttöpalvelut, tiedostojärjestelmä, turvallisuusalijärjestelmä ja tarkastusalijärjestelmä, järjestelmärekisteri ja asennetut päivitykset Windows-käyttöjärjestelmä jne. Internet Scannerin avulla voit analysoida yksittäisen haavoittuvuuden olemassaolon tietyllä verkon alueella, esimerkiksi tarkistamalla tietyn korjaustiedoston asennuksen käyttöjärjestelmä. Internet-skanneri voi toimia Windows-palvelin NT, tukee myös AIX-, HP-UX-, Linux- ja Solaris-käyttöjärjestelmiä.

Ennen vertailukriteerien valintaa on korostettava, että kriteerien tulee kattaa kaikki turvaskannerien käytön osa-alueet tiedonkeruumenetelmistä kustannuksiin. Turvaskannerin käyttö alkaa käyttöönoton suunnittelusta ja itse käyttöönotosta. Siksi ensimmäinen kriteeriryhmä koskee turvaskannerien arkkitehtuuria, niiden komponenttien vuorovaikutusta, asennusta ja hallintaa. Seuraavan kriteeriryhmän - skannauksen - tulisi kattaa menetelmät, joita vertaillut skannerit käyttävät lueteltujen toimintojen suorittamiseen, sekä muut parametrit, jotka liittyvät ohjelmistotuotteen määritettyihin vaiheisiin. Tärkeitä kriteerejä ovat myös skannaustulokset, erityisesti kuinka ne tallennetaan ja mitä raportteja niiden perusteella voidaan luoda. Seuraavat kriteerit, joihin kannattaa keskittyä, ovat päivitys- ja tukikriteerit, joiden avulla voit selvittää asioita, kuten päivitysmenetelmiä ja -menetelmiä, tasoa tekninen tuki, valtuutetun koulutuksen saatavuus jne. Viimeiseen ryhmään kuuluu yksi, mutta erittäin tärkeä kriteeri - kustannukset.

· Tuetut järjestelmät;

· Ystävällinen käyttöliittymä;

· Skannausominaisuudet (profiilien skannaus);

· Kyky muokata profiileja (kuinka joustava);

· Palveluiden ja sovellusten tunnistaminen;

· Haavoittuvuuksien tunnistaminen;

· Raporttien luominen (muodot);

· Mahdollisuus luoda mukautettu raportti (oma);

· Päivitystaajuus;

· Tekninen tuki.

Pöytä 1. Haavoittuvuusskannerien vertailu
Skanneri		GFI LanGuard
Hinta	131 400 RUB/vuosi	1610 ruplaa. IP-osoitteelle. Mitä enemmän IP-osoitteita, sitä alhaisemmat kustannukset		Hinta vaihtelee IP-osoitteiden lukumäärän mukaan 30 000 ruplaa 64 IP - 102 000 512 IP: lle	Hinta vaihtelee IP-osoitteiden lukumäärän mukaan (nimellisarvo - 6000 ruplaa)
Tuki elävät järjestelmät	mukautettu ohjelmisto	Windows, Mac OS, Linux	Cisco, Linux, UNIX, Windows	Unix, Linux, FreeBSD, OpenBSD, Net BSD, Solaris, Windows 95/98/ME/NT/2000/XP/.NET	Windows, AIX, HP-UX, Linux ja Solaris
Ystävyys Interventio kasvot	Yksinkertainen ja intuitiivinen käyttöliittymä	Yksinkertainen ja intuitiivinen käyttöliittymä	Selkeä käyttöliittymä	Ystävällinen ja selkeä käyttöliittymä	Selkeä käyttöliittymä
mahdollista ness filigraanityö kiertävä	Joustava asetusjärjestelmä, skannaustyyppi ja parametrit vaihtelevat, anonyymi skannaus on mahdollista. Mahdolliset vaihtoehdot skannaukset: SYN-skannaus, FIN-skannaus – puhdas FIN-pyyntö; Xmas Tree - sisältää FIN, URG, PUSH pyynnössä; Nollaskannaus, FTP-bounce-skannaus, Ident-skannaus, UDP-skannaus jne. On myös mahdollista liittää omia varmennusmenettelyjä, joita varten tarjotaan erityinen komentosarjakieli - NASL (Nessus Attack Scripting Language). Skanneri käyttää sekä vakiotyökaluja verkon konfiguraatiota ja toimintaa koskevien tietojen testaamiseen ja keräämiseen että erikoistyökaluja, jotka jäljittelevät mahdollisen tunkeilijan toimia tunkeutuessaan järjestelmiin.	TCP/IP- ja UDP-porttien skannaus Käyttöjärjestelmä, virtuaaliympäristöt ja sovellukset, mobiililaitteet tarkistetaan; OVAL- ja SANS Top 20 -tietokantoja käytetään.	Haavoittuvuudet havaitaan penetraatiotestillä, riskit arvioidaan ja niiden lieventämisprioriteetit määritetään hyödyntämisen todennäköisyyden arvioinnin perusteella. Haavoittuvuudet (Core Impact®, Metasploit®, Exploit-db), CVSS ja muut tekijät.	FTP, SSH, Telnet, SMTP, DNS, Finger, HTTP, POP3, IMAP, NetBios, NFS, NNTP, SNMP, Squid (SSS on ainoa skanneri maailmassa, joka tarkistaa välityspalvelinten tarkastuksia - muut skannerit yksinkertaisesti määrittävät portti), LDAP (ainoa skanneri maailmassa, joka tarkistaa LDAP-palvelimien tarkastuksia - muut skannerit vain määrittävät portin olemassaolon), HTTPS, SSL, TCP/IP, UDP, rekisteri jne. Luo helposti omia raporttejasi.	FTP-, LDAP- ja SNMP-tarkistukset; sähköpostien tarkistaminen; RPC-, NFS-, NIS- ja DNS-tarkistukset; palvelunestohyökkäysten mahdollisuuden tarkistaminen; tarkistaa "salasanan arvaus" -hyökkäykset (Brute Force); verkkopalvelimien ja CGI-skriptien, verkkoselaimien ja X-päätteiden tarkistaminen; palomuurien ja välityspalvelinten tarkistaminen; etäkäyttöpalvelujen tarkistaminen; Windows-käyttöjärjestelmän tiedostojärjestelmän tarkistukset; Windows-käyttöjärjestelmän suojausalijärjestelmän ja tarkastusalijärjestelmän tarkistaminen; järjestelmän rekisterin ja asennettujen Windows-käyttöjärjestelmän päivitysten tarkistaminen; modeemien ja Troijan hevosten läsnäolon tarkistaminen verkossa; tarkastuspalvelut ja demonit; tilitarkastukset.
Tunnistaa palvelujen ja sovellusten suunnittelu sulhaset	Palvelujen ja sovellusten tunnistamismenettelyn laadukas toteutus.	Tunnistaa luvattomat/haittaohjelmat ja lisäämällä mustalle listalle sovelluksia, joissa on korkea haavoittuvuustaso.	Käyttöjärjestelmän, sovellusten, tietokantojen, verkkosovellusten tunnistaminen.	Tarkistaa jokaisen portin määrittääkseen, mitkä palvelut kuuntelevat niitä. Tunnistaa käyttöjärjestelmän, sovellukset, tietokannat, verkkosovellukset.	Tunnistaa verkkopalvelujen, käyttöjärjestelmien, reitittimien, sähköposti- ja Web-palvelimien, palomuurien ja sovellusohjelmistojen haavoittuvuudet.
Raportin luominen	Mahdollisuus tallentaa raportteja nessus (xml), pdf, html, csv, nessus DB -muodoissa	Kyky luoda raportteja verkon käytön trendiraporteista johdolle yksityiskohtaisiin raportteihin tekniselle henkilökunnalle. On mahdollista luoda raportteja standardien noudattamisesta: Health Insurance Portability and Accountability Act (HIPAA), Public Services Network - Code of Connection (PSN CoCo), Sarbanes - Oxley Act (SOX), Gramm - Leach - Bliley Act (GLB/). GLBA), joka tunnetaan myös nimellä Payment Card Industry Digital Security Standard (PCI-DSS).	On olemassa raporttien luontityökaluja, jotka ovat yksi laajimmista raportointiominaisuuksista.	Sillä on mahdollisuus tallentaa raportti sekä html-muodossa että xml-, pdf-, rtf-, chm-muodoissa. Itse raportin luontiprosessi tapahtuu näytettävän tiedon valitsemisena. Mahdollisuus luoda raportti on käytettävissä vain täysversiossa.	Tehokas raporttien luontialijärjestelmä, jonka avulla voit helposti luoda erilaisia ​​raportteja ja lajitella ne ominaisuuksien mukaan.
mahdollista tuotantokapasiteettia ilmainen raportti	Kyllä, vain täysversiossa.			Kyllä, vain täysversiossa.
Päivitä taajuus leniya	Säännölliset päivitykset, mutta kokeiluversion käyttäjät eivät saa uusimpia päivityksiä.	Säännölliset päivitykset	Säännölliset päivitykset	Säännölliset päivitykset	Säännölliset päivitykset
Techni tekninen tuki	Esittää		Esittää	Nykyinen, saatavilla venäjäksi.	Esittää

Työssä tarkasteltiin 5 haavoittuvuusskanneria, joita verrattiin valittujen kriteerien mukaan.

Tehokkuuden kannalta ykköseksi valittiin Nessus-skanneri, koska sillä on täydellisin valikoima mahdollisuuksia tietokonejärjestelmän turvallisuuden analysointiin. Se on kuitenkin suhteellisen kallis verrattuna muihin skannereihin: jos sinulla on vähän IP-osoitteita, on järkevämpää valita GFI LanGuard tai SSS.

Bibliografia:

1. Dolgin A.A., Khorev P.B., Haavoittuvuusskannerin kehittäminen tietokonejärjestelmät perustuu Windows-käyttöjärjestelmän suojattuihin versioihin, Kansainvälisen tieteellisen ja teknisen konferenssin julkaisut " Tiedotusvälineet ja teknologiat", 2005.
2. Tietoportaali turvallisuudesta [Sähköinen resurssi] - Käyttötila. - URL: http://www.securitylab.ru/ (käyttöpäivä 27.3.15).
3. Verkkolehti Softkey.info [Elektroninen resurssi] - Käyttötila. - URL: http://www.softkey.info/ (käyttöpäivä 27.3.15).
4. "GFI Softwaren" virallinen verkkosivusto. [Elektroninen resurssi] - Käyttötila. - URL: http://www.gfi.ru/ (käyttöpäivä 27.3.15).
5. "Beyond trust" -sivuston virallinen verkkosivusto. [Elektroninen resurssi] - Käyttötila. - URL-osoite: http://www.beyondtrust.com/Products/RetinaNetworkSecurityScanner/ (käytetty 27.3.2015).
6. IBM:n virallinen verkkosivusto [Elektroninen resurssi] - Käyttötila. - URL-osoite: http://www.ibm.com/ (käytetty 27.3.2015).
7. Virallinen verkkosivusto Tenable Network Security [Elektroninen resurssi] - Käyttötila. - URL-osoite: http://www.tenable.com/products/nessus-vulnerability-scanner/ (käytetty 27.3.2015).
8. Virallinen sivusto "safety-lab". [Elektroninen resurssi] - Käyttötila. - URL: http://www.safety-lab.com/ (käytetty 27.3.2015).
9. IBM:n tietoturvaratkaisut [Elektroninen resurssi] - Käyttötila. - URL-osoite: http://www.ibm.com/ru/services/iss/pdf/ISS_2009_DB_s10.pdf (käytetty 27.3.2015).
10. Khorev P.B., Menetelmät ja keinot tietojen suojaamiseksi tietokonejärjestelmissä, M., Publishing Center "Academy", 2005.

Kuten näette, niitä on ollut paljon ja ne ovat kaikki erittäin vaarallisia niille alttiina oleville järjestelmille. On tärkeää paitsi päivittää järjestelmäsi ajoissa suojautuaksesi uusilta haavoittuvuuksilta, mutta myös varmistaa, että järjestelmäsi ei sisällä kauan sitten korjattuja haavoittuvuuksia, joita hakkerit voivat hyödyntää.

Tässä Linuxin haavoittuvuusskannerit tulevat apuun. Haavoittuvuusanalyysityökalut ovat yksi jokaisen yrityksen turvajärjestelmän tärkeimmistä osista. Sovellusten ja järjestelmien tarkistaminen vanhojen haavoittuvuuksien varalta on pakollinen käytäntö. Tässä artikkelissa tarkastelemme parhaat skannerit haavoittuvuuksia, avoimilla lähdekoodi, jota voit käyttää järjestelmien ja ohjelmien haavoittuvuuksien havaitsemiseen. Kaikki ne ovat täysin ilmaisia ​​ja niitä voidaan käyttää tavallisia käyttäjiä ja yrityssektorilla.

OpenVAS tai Open Vulnerability Assessment System on täydellinen alusta haavoittuvuuksien etsimiseen, ja se jaetaan avoimena lähdekoodina. Ohjelma perustuu Nessus-skannerin lähdekoodiin. Aluksi tämä skanneri jaettiin avoimena lähdekoodina, mutta sitten kehittäjät päättivät sulkea koodin, ja sitten vuonna 2005 OpenVAS luotiin Nessuksen avoimen version pohjalta.

Ohjelma koostuu palvelin- ja asiakasosasta. Skannausjärjestelmien päätyötä suorittava palvelin toimii vain Linuxissa ja myös asiakasohjelmat tukevat Windowsia, palvelimelle pääsee web-rajapinnan kautta.

Skannerin ydin sisältää yli 36 000 erilaista haavoittuvuustarkistusta, ja sitä päivitetään päivittäin lisäämällä uusia, äskettäin löydettyjä. Ohjelma voi havaita käynnissä olevien palvelujen haavoittuvuuksia ja etsiä myös virheellisiä asetuksia, kuten todennuksen puutetta tai erittäin heikkoja salasanoja.

2. Nexpose Community Edition

Tämä on toinen avoimen lähdekoodin Linux-haavoittuvuuksien tarkistustyökalu, jonka on kehittänyt Rapid7, sama yritys, joka julkaisi Metasploitin. Skanneri voi havaita jopa 68 000 tunnettua haavoittuvuutta sekä suorittaa yli 160 000 verkkoskannausta.

Yhteisön versio on täysin ilmainen, mutta siinä on rajoitus jopa 32 IP-osoitteen ja vain yhden käyttäjän skannaamiseen samanaikaisesti. Lisenssi on myös uusittava vuosittain. Verkkosovellusten tarkistusta ei ole, mutta se tukee haavoittuvuustietokannan automaattista päivitystä ja haavoittuvuuksista tiedon vastaanottamista Microsoft Patchista.

Ohjelma voidaan asentaa Linuxin lisäksi myös Windowsiin, ja hallinta tapahtuu verkkokäyttöliittymän kautta. Sen avulla voit asettaa skannausparametreja, IP-osoitteita ja muita tarvittavia tietoja.

Kun tarkistus on valmis, näet luettelon haavoittuvuuksista sekä tietoja palvelimelle asennetusta ohjelmistosta ja käyttöjärjestelmästä. Voit myös luoda ja viedä raportteja.

3. Burp Suite Free Edition

Burp Suite on Java-kielellä kirjoitettu verkkohaavoittuvuuksien skanneri. Ohjelma koostuu välityspalvelimesta, hämähäkistä, työkalusta pyyntöjen generointiin ja stressitestien suorittamiseen.

KANSSA käyttämällä Burpia voit testata verkkosovelluksia. Esimerkiksi välityspalvelinta käyttämällä voit siepata ja tarkastella ohikulkevaa liikennettä sekä muokata sitä tarvittaessa. Näin voit simuloida monia tilanteita. Hämähäkki auttaa sinua löytämään verkkohaavoittuvuuksia, ja kyselyn luontityökalu auttaa sinua löytämään verkkopalvelimen vahvuuden.

4. Arachni

Arachni on täysin varusteltu verkkosovellusten testauskehys, joka on kirjoitettu Rubylla ja on avoimen lähdekoodin. Sen avulla voit arvioida verkkosovellusten ja -sivustojen turvallisuutta suorittamalla erilaisia ​​läpäisytestejä.

Ohjelma tukee skannausta todennuksella, otsikoiden mukauttamista, tuki Aser-Agent huijaukselle, tuki 404-tunnistukselle. Lisäksi ohjelmassa on web-käyttöliittymä ja komentorivikäyttöliittymä, skannaus voidaan keskeyttää ja sen jälkeen jatkaa ja yleensä kaikki toimii hyvin nopeasti .

5. OWASP Zed Attack Proxy (ZAP)

OWASP Zed Attack Proxy on toinen kattava työkalu verkkosovellusten haavoittuvuuksien etsimiseen. Kaikki tämäntyyppisten ohjelmien vakioominaisuudet ovat tuettuja. Voit skannata portteja, tarkistaa sivuston rakenteen, etsiä monia tunnettuja haavoittuvuuksia ja tarkistaa, käsitelläänkö toistuvat pyynnöt tai virheelliset tiedot oikein.

Ohjelma voi toimia https:n kautta ja tukee myös erilaisia ​​välityspalvelimia. Koska ohjelma on kirjoitettu Java-kielellä, se on erittäin helppo asentaa ja käyttää. Perusominaisuuksien lisäksi on olemassa suuri määrä laajennuksia, jotka voivat lisätä toimintoja huomattavasti.

6. Clair

Clair on työkalu Linuxin haavoittuvuuksien etsimiseen säilöistä. Ohjelma sisältää luettelon haavoittuvuuksista, jotka voivat olla vaarallisia säiliöille, ja varoittaa käyttäjää, jos järjestelmästäsi on löydetty tällaisia ​​haavoittuvuuksia. Ohjelma voi myös lähettää ilmoituksia, jos ilmaantuu uusia haavoittuvuuksia, jotka voivat tehdä säilöistä vaarallisia.

Jokainen kontti tarkistetaan kerran, eikä sitä tarvitse käynnistää sen tarkistamiseksi. Ohjelma voi noutaa kaikki tarvittavat tiedot käytöstä poistetusta säiliöstä. Nämä tiedot tallennetaan välimuistiin, jotta ne voivat ilmoittaa haavoittuvuuksista tulevaisuudessa.

7. Powerfuzzer

Powerfuzzer on monipuolinen, automatisoitu ja helposti muokattavissa oleva indeksointirobotti, jonka avulla voit testata, kuinka verkkosovellus reagoi virheellisiin tietoihin ja toistuviin pyyntöihin. Työkalu tukee vain HTTP-protokollaa ja voi havaita haavoittuvuuksia, kuten XSS-, SQL-injektio-, LDAP-, CRLF- ja XPATH-hyökkäykset. Se tukee myös 500 virheen seurantaa, jotka voivat viitata virheelliseen määritykseen tai jopa vaaraan, kuten puskurin ylivuotoon.

8. Nmap

Nmap ei ole varsinainen Linuxin haavoittuvuuksien tarkistus. Tämän ohjelman avulla voit skannata verkkoa ja selvittää, mitkä solmut on kytketty siihen, sekä määrittää, mitä palveluita niillä on käynnissä. Tämä ei anna kattavaa tietoa haavoittuvuuksista, mutta voit arvata, mikä niistä. ohjelmisto voi olla haavoittuvainen, yritä murtaa heikkoja salasanoja. On myös mahdollista suorittaa erityisiä komentosarjoja, joiden avulla voit tunnistaa tiettyjen ohjelmistojen haavoittuvuuksia.

johtopäätöksiä

Tässä artikkelissa olemme arvioineet parhaat Linux-haavoittuvuustarkistimet, joiden avulla voit pitää järjestelmäsi ja sovelluksesi kurissa. täydellinen turvallisuus. Tarkastelimme ohjelmia, joiden avulla voit tarkistaa itse käyttöjärjestelmän tai verkkosovelluksia ja sivustoja.

Lopuksi voit katsoa videon siitä, mitä haavoittuvuusskannerit ovat ja miksi niitä tarvitaan:

Verkkomato-epidemian ongelma koskee kaikkia paikallisia verkkoja. Ennemmin tai myöhemmin voi syntyä tilanne, kun verkko- tai sähköpostimato tunkeutuu lähiverkkoon eikä käytössä oleva virustorjunta havaitse sitä. Verkkovirus leviää lähiverkon yli käyttöjärjestelmän haavoittuvuuksien kautta, joita ei ollut suljettu tartuntahetkellä, tai kirjoitettavien haavoittuvuuksien kautta yhteiset resurssit. Mail virus, kuten nimestä voi päätellä, jaetaan sähköpostitse edellyttäen, että asiakkaan virustorjunta ja virustorjunta eivät estä sitä sähköpostipalvelin. Lisäksi lähiverkon epidemia voi organisoitua sisältä käsin sisäpiiriläisen toiminnan seurauksena. Tässä artikkelissa tarkastellaan käytännön menetelmiä LAN-tietokoneiden toiminnalliseen analysointiin eri työkaluilla, erityisesti käyttämällä kirjoittajan AVZ-apuohjelmaa.

Ongelman muotoilu

Jos verkossa havaitaan epidemia tai jokin epänormaali toiminta, järjestelmänvalvojan on ratkaistava nopeasti vähintään kolme tehtävää:

• havaita verkon tartunnan saaneet tietokoneet;
• löytää näytteitä haittaohjelmista lähetettäväksi virustentorjuntalaboratorioon ja kehittää vastatoimistrategia;
• ryhdy toimenpiteisiin viruksen leviämisen estämiseksi lähiverkossa ja tuhoa se tartunnan saaneilla tietokoneilla.

Sisäpiiritoiminnan tapauksessa analyysin päävaiheet ovat identtiset ja useimmiten rajoittuvat tarpeeseen havaita sisäpiiriläisen LAN-tietokoneisiin asentamat kolmannen osapuolen ohjelmistot. Esimerkkejä tällaisista ohjelmistoista ovat etähallintaohjelmat, näppäinloggerit ja erilaisia ​​troijalaisia ​​kirjanmerkkejä.

Tarkastellaanpa yksityiskohtaisemmin kunkin tehtävän ratkaisua.

Etsi tartunnan saaneita tietokoneita

Voit etsiä verkosta tartunnan saaneita tietokoneita vähintään kolmella menetelmällä:

• automaattinen PC-etäanalyysi - tietojen hankkiminen käynnissä olevista prosesseista, ladatuista kirjastoista ja ohjaimista, tyypillisten kuvioiden etsiminen - esimerkiksi prosesseista tai tiedostoista annettuja nimiä;
• PC-liikenteen analyysi haistajalla - tätä menetelmää erittäin tehokas roskapostirobottien, sähköpostien ja verkkomatojen tavoittamiseen, mutta suurin vaikeus snifferin käytössä johtuu siitä, että nykyaikainen LAN on rakennettu kytkimien pohjalle ja sen seurauksena järjestelmänvalvoja ei pysty valvomaan koko verkko. Ongelma voidaan ratkaista kahdella tavalla: ajamalla reitittimessä haistajaa (jonka avulla voit seurata PC-tietojen vaihtoa Internetin kanssa) ja käyttämällä kytkimien valvontatoimintoja (monet nykyaikaiset kytkimet voit määrittää valvontaportin, johon järjestelmänvalvojan määrittämän yhden tai useamman kytkinportin liikenne kopioidaan);
• verkon kuormituksen tutkimus - tässä tapauksessa on erittäin kätevää käyttää älykkäitä kytkimiä, joiden avulla voit paitsi arvioida kuormitusta myös poistaa järjestelmänvalvojan määrittämät portit etänä. Tämä toiminto yksinkertaistuu huomattavasti, jos järjestelmänvalvojalla on verkkokartta, joka sisältää tiedot siitä, mitkä tietokoneet on kytketty vastaaviin kytkinportteihin ja missä ne sijaitsevat;
• hunajapurujen käyttö - on erittäin suositeltavaa luoda useita hunajapuruja paikalliseen verkkoon, jotta järjestelmänvalvoja voi havaita epidemian ajoissa.

Verkon tietokoneiden automaattinen analyysi

Automaattinen PC-analyysi voidaan lyhentää kolmeen päävaiheeseen:

• täydellisen PC-skannauksen suorittaminen - käynnissä olevat prosessit, ladatut kirjastot ja ohjaimet, automaattinen käynnistys;
• operatiivisen tutkimuksen tekeminen - esimerkiksi tyypillisten prosessien tai tiedostojen etsiminen;
• esineiden karanteeni tiettyjen kriteerien mukaan.

Kaikki yllä mainitut ongelmat voidaan ratkaista kirjoittajan AVZ-apuohjelmalla, joka on suunniteltu käynnistettäväksi palvelimen verkkokansiosta ja joka tukee skriptikieltä automaattista PC-tarkastusta varten. Jotta voit suorittaa AVZ:n käyttäjien tietokoneissa, sinun on:

1. Aseta AVZ palvelimen verkkokansioon, joka on avoinna lukemista varten.
2. Luo LOG- ja Qurantine-alihakemistot tähän kansioon ja anna käyttäjien kirjoittaa niihin.
3. Käynnistä AVZ LAN-tietokoneissa käyttämällä rexec-apuohjelmaa tai kirjautumiskomentosarjaa.

AVZ:n käynnistäminen vaiheessa 3 tulee tehdä seuraavilla parametreilla:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

Tässä tapauksessa parametri Priority=-1 alentaa AVZ-prosessin prioriteettia, parametrit nw=Y ja nq=Y siirtävät karanteenin "verkkoajo"-tilaan (tässä tapauksessa karanteenikansioon luodaan alihakemisto jokaiselle tietokoneelle, jonka nimi vastaa tietokoneen verkkonimeä) , HiddenMode=2 käskee estämään käyttäjältä pääsyn GUI- ja AVZ-säätimiin, ja lopuksi tärkein Script-parametri määrittää skriptin koko nimen komennot, jotka AVZ suorittaa käyttäjän tietokoneessa. AVZ-skriptikieli on melko yksinkertainen käyttää ja keskittyy yksinomaan tietokonetutkimuksen ja -hoidon ongelmien ratkaisemiseen. Skriptien kirjoittamisen yksinkertaistamiseksi voit käyttää erikoistunutta komentosarjaeditoria, joka sisältää online-kehotteen, ohjatun toiminnon standardikomentosarjojen luomiseen ja työkaluja kirjoitetun skriptin oikeellisuuden tarkistamiseen ilman sitä (kuva 1).

Riisi. 1. AVZ-skriptieditori

Katsotaanpa kolmea tyypillistä skriptiä, jotka voivat olla hyödyllisiä taistelussa epidemiaa vastaan. Ensinnäkin tarvitsemme PC-tutkimusohjelman. Skriptin tehtävänä on tutkia järjestelmä ja luoda protokolla tuloksista annettuun verkkokansioon. Skripti näyttää tältä:

AktivoiWatchDog(60 * 10);

// Aloita skannaus ja analysointi

// Järjestelmän tutkiminen

ExecuteSysCheck(GetAVZDirectory+

'\LOG\'+GetComputerName+'_log.htm');

//AVZ:n sammutus

Tätä komentosarjaa suoritettaessa luodaan LOG-kansioon HTML-tiedostot verkkotietokoneiden tutkimuksen tuloksista (olettaen, että ne on luotu palvelimen AVZ-hakemistoon ja että käyttäjät voivat kirjoittaa siihen) ja varmistaakseen ainutlaatuisuus, tutkittavan tietokoneen nimi sisältyy protokollan nimeen. Komentosarjan alussa on komento, joka ottaa käyttöön vahtikoiran ajastimen, joka lopettaa AVZ-prosessin väkisin 10 minuutin kuluttua, jos komentosarjan suorittamisen aikana ilmenee virheitä.

AVZ-protokolla on kätevä manuaaliseen tutkimukseen, mutta siitä on vain vähän hyötyä automaattisessa analyysissä. Lisäksi järjestelmänvalvoja tietää usein haittaohjelmatiedoston nimen ja tarvitsee vain tarkistaa tämän tiedoston olemassaolon tai puuttumisen, ja jos se on olemassa, asettaa se karanteeniin analysointia varten. Tässä tapauksessa voit käyttää seuraavaa komentosarjaa:

// Ota vahtikoiran ajastin käyttöön 10 minuutiksi

AktivoiWatchDog(60 * 10);

// Hae haittaohjelmia nimellä

QuarantineFile('%WinDir%\smss.exe', 'Epäilyttää LdPinch.gen');

QuarantineFile('%WinDir%\csrss.exe', 'Suspicion of LdPinch.gen');

//AVZ:n sammutus

Tämä komentosarja yrittää asettaa määritetyt tiedostot karanteeniin QuarantineFile-funktion avulla. Järjestelmänvalvoja voi vain analysoida karanteenin sisällön (kansio Karanteeni\verkon_nimi_PC\quarantine_date\) karanteeniin asetettujen tiedostojen varalta. Huomaa, että QuarantineFile-toiminto estää automaattisesti suojatun AVZ-tietokannan tai Microsoftin digitaalisen allekirjoituksen tietokannan tunnistamien tiedostojen karanteenin. varten käytännön sovellus tätä komentosarjaa voidaan parantaa - järjestä tiedostonimien lataaminen ulkoisesta tekstitiedostosta, vertaa löydetyt tiedostot AVZ-tietokantoihin ja luo tekstiprotokolla työn tuloksista:

// Etsi tiedosto määritetyllä nimellä

function CheckByName(Fname: merkkijono) : boolen;

Tulos:= TiedostoOlemassa(FName) ;

jos Tulos niin aloita

case CheckFile(FName) of

1: S:= ‘, pääsy tiedostoon on estetty’;

1: S:= ‘, havaittu haittaohjelmaksi (’+GetLastCheckTxt+’)’;

2: S:= ', tiedostoskannerin epäilemä ('+GetLastCheckTxt+')';

3: poistuminen; // Turvalliset tiedostot ohitetaan

AddToLog('Tiedostolla '+NormalFileName(FName)+' on epäilyttävä nimi'+S);

//Lisää määritetty tiedosto karanteeniin

QuarantineFile(FName,'epäilyttävä tiedosto'+S);

SuspNames: TStringList; // Luettelo epäilyttävien tiedostojen nimistä

// Tiedostojen tarkistaminen päivitetyn tietokannan kanssa

jos FileExists(GetAVZDirectory + 'files.db'), aloita

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('Nimitietokanta ladattu - tietueiden määrä = '+inttostr(SuspNames.Count));

// Hakusilmukka

i:= 0 - SuspNames.Count - 1 do

CheckByName(SuspNames[i]);

AddToLog('Virhe ladattaessa tiedostonimien luetteloa');

SaveLog(GetAVZDirectory+’\LOG\’+

GetComputerName+'_files.txt');

Jotta tämä komentosarja toimisi, sinun on luotava AVZ-kansioon Quarantine- ja LOG-hakemistot, joihin käyttäjät voivat kirjoittaa, sekä tekstitiedosto files.db - tämän tiedoston jokainen rivi sisältää epäilyttävän tiedoston nimen. Tiedostojen nimet voivat sisältää makroja, joista hyödyllisimmät ovat %WinDir% (polku kohteeseen Windows-kansio) ja %SystemRoot% (polku System32-kansioon). Toinen analyysisuunta voisi olla käyttäjien tietokoneilla käynnissä olevien prosessien luettelon automaattinen tarkastelu. Tietoa käynnissä olevista prosesseista on järjestelmän tutkimusprotokollassa, mutta automaattiseen analyysiin on kätevämpää käyttää seuraavaa komentosarjan fragmenttia:

menettely ScanProcess;

S:= ''; S1:= '';

//Prosessiluettelon päivittäminen

RefreshProcessList;

AddToLog(’Prosessien määrä = ‘+IntToStr(GetProcessCount));

// Vastaanotetun listan analyysisykli

i:= 0 - GetProcessCount - 1 aloita

S1:= S1 + ‘,’ + PuraFileName(GetProcessName(i));

// Hae prosessia nimellä

if pos('trojan.exe', LowerCase(GetProcessName(i))) > 0 sitten

S:= S + GetProcessName(i)+',';

jos S<>''sitten

AddLineToTxtFile(GetAVZDirectory+'\LOG\_alarm.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S);

AddLineToTxtFile(GetAVZDirectory+'\LOG\_all_process.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S1);

Prosessien tutkiminen tässä skriptissä suoritetaan erillisenä ScanProcess-proseduurina, joten se on helppo sijoittaa omaan komentosarjaansa. ScanProcess-menettely rakentaa kaksi luetteloa prosesseista: täydellinen lista prosessit (myöhempää analysointia varten) ja luettelo prosesseista, joita järjestelmänvalvojan näkökulmasta katsotaan vaarallisiksi. Tässä tapauksessa prosessia nimeltä "trojan.exe" pidetään vaarallisena esittelytarkoituksessa. Vaarallisten prosessien tiedot lisätään tekstitiedostoon _alarm.txt, tiedot kaikista prosesseista lisätään tiedostoon _all_process.txt. On helppo nähdä, että voit monimutkaistaa komentosarjaa lisäämällä siihen esimerkiksi tarkistamalla prosessitiedostot turvallisten tiedostojen tietokannasta tai tarkistamalla nimiä suoritettavat tiedostot prosessit ulkoisesti. Samanlaista menettelyä käytetään Smolenskenergossa käytettävissä AVZ-skripteissä: järjestelmänvalvoja tutkii säännöllisesti kerättyjä tietoja ja muokkaa komentosarjaa lisäämällä siihen tietoturvapolitiikan kieltämien ohjelmien prosessien nimet, esimerkiksi ICQ ja MailRu.Agent, mikä mahdollistaa voit nopeasti tarkistaa kiellettyjen ohjelmistojen olemassaolon tutkittavissa tietokoneissa. Toinen prosessiluettelon käyttötarkoitus on löytää tietokoneita, joista puuttuu vaadittu prosessi, kuten virustorjunta.

Lopuksi tarkastellaan viimeistä hyödyllisistä analyysiskripteistä - komentosarja kaikkien tiedostojen automaattiseen karanteeniin, joita turvallinen AVZ-tietokanta ja Microsoftin digitaalisen allekirjoituksen tietokanta eivät tunnista:

// Suorita autokaranteeni

ExecuteAutoQuarantine;

Automaattinen karanteeni tutkii käynnissä olevat prosessit ja ladatut kirjastot, palvelut ja ajurit, noin 45 automaattista käynnistysmenetelmää, selain- ja Explorer-laajennusmoduuleja, SPI/LSP-käsittelijöitä, ajoitustyöt, tulostusjärjestelmän käsittelijät jne. Karanteenin erityispiirre on, että siihen lisätään tiedostoja toistoohjauksella, joten autokaranteenitoimintoa voidaan kutsua toistuvasti.

Automaattisen karanteenin etuna on, että sen avulla järjestelmänvalvoja voi nopeasti kerätä mahdollisesti epäilyttävät tiedostot kaikilta verkon tietokoneilta tarkastettavaksi. Yksinkertaisin (mutta käytännössä erittäin tehokas) tiedostojen tutkimisen muoto voi olla tuloksena olevan karanteenin tarkistaminen useilla suosituilla virustorjuntaohjelmilla maksimiheuristisessa tilassa. On huomattava, että samanaikainen automaattisen karanteenin käynnistäminen useissa sadoissa tietokoneissa voi aiheuttaa suuren kuormituksen verkkoon ja tiedostopalvelimeen.

Liikennetutkimus

Liikennetutkimusta voidaan tehdä kolmella tavalla:

• manuaalisesti käyttämällä haistajia;
• puoliautomaattisessa tilassa - tässä tapauksessa haistaja kerää tietoja ja sitten sen protokollat ​​käsitellään joko manuaalisesti tai jollain ohjelmistolla;
• automaattisesti käyttämällä tunkeutumisen havainnointijärjestelmiä (IDS), kuten Snort (http://www.snort.org/) tai niiden ohjelmisto- tai laitteistoanalogeja. Yksinkertaisimmassa tapauksessa IDS koostuu haistajasta ja järjestelmästä, joka analysoi haistajan keräämiä tietoja.

Tunkeutumisen havaitsemisjärjestelmä on optimaalinen työkalu, koska sen avulla voit luoda sääntöjoukkoja verkkotoiminnan poikkeamien havaitsemiseksi. Sen toinen etu on seuraava: useimmat nykyaikaiset IDS:t mahdollistavat liikenteenvalvontaagenttien sijoittamisen useisiin verkkosolmuihin - agentit keräävät tietoa ja välittävät sen. Jos käytät snifferiä, on erittäin kätevää käyttää konsoli UNIX sniffer tcpdump. Esimerkiksi portin 25 ( SMTP-protokolla) käytä vain nuuskijaa komentorivi tyyppi:

tcpdump -i em0 -l tcp-portti 25 > smtp_log.txt

Tässä tapauksessa paketit kaapataan em0-rajapinnan kautta; tiedot siepatuista paketeista tallennetaan smtp_log.txt-tiedostoon. Protokolla on suhteellisen helppo analysoida manuaalisesti; tässä esimerkissä portin 25 toiminnan analysointi mahdollistaa sellaisten tietokoneiden tunnistamisen, joissa on aktiivisia roskapostibotteja.

Honeypotin sovellus

Voidaan käyttää ansana (Honeypot) vanhentunut tietokone, jonka suorituskyky ei salli sen käyttämistä ratkaisemiseen tuotantotehtävät. Esimerkiksi 64 Mt:n Pentium Prota käytetään onnistuneesti ansina tekijän verkossa RAM-muisti. Tälle tietokoneelle sinun tulee asentaa lähiverkon yleisin käyttöjärjestelmä ja valita jokin seuraavista strategioista:

• Asenna käyttöjärjestelmä ilman päivityspaketteja - se on osoitus aktiivisen verkkomadon ilmestymisestä verkkoon, joka hyödyntää mitä tahansa tämän käyttöjärjestelmän tunnettuja haavoittuvuuksia;
• asenna käyttöjärjestelmä päivityksillä, jotka on asennettu muihin verkon tietokoneisiin - Honeypot on analoginen minkä tahansa työaseman kanssa.

Jokaisella strategialla on sekä hyvät että huonot puolensa; Kirjoittaja käyttää pääasiassa vaihtoehtoa ilman päivityksiä. Kun olet luonut Honeypotin, sinun tulee luoda levykuva sille nopea toipuminen järjestelmästä sen jälkeen, kun haittaohjelma on vahingoittanut sitä. Vaihtoehtona levykuvalle voit käyttää muutosten palautusjärjestelmiä, kuten ShadowUseria ja sen analogeja. Kun olet rakentanut Honeypotin, sinun tulee ottaa huomioon, että useat verkkomatot etsivät tartunnan saaneita tietokoneita skannaamalla IP-alueen, joka lasketaan tartunnan saaneen tietokoneen IP-osoitteesta (yleisiä tyypillisiä strategioita ovat X.X.X.*, X.X.X+1.*, X.X.X-1.*), - siksi ihannetapauksessa jokaisessa aliverkossa pitäisi olla Honeypot. Lisävalmisteluelementteinä sinun tulee ehdottomasti avata pääsy useisiin kansioihin Honeypot-järjestelmässä, ja näihin kansioihin kannattaa laittaa useita eri muotoisia näytetiedostoja, minimisarja on EXE, JPG, MP3.

Luonnollisesti Honeypotin luotuaan järjestelmänvalvojan on seurattava sen toimintaa ja reagoitava mahdollisiin poikkeamiin Tämä tietokone. Auditoreita voidaan käyttää muutosten tallentamiseen ja haistajaa voidaan käyttää verkkotoiminnan tallentamiseen. Tärkeä pointti Useimmat haistajat voivat määrittää hälytyksen lähettämisen järjestelmänvalvojalle, jos tietty verkkotoiminto havaitaan. Esimerkiksi CommView snifferissä sääntö sisältää verkkopaketin kuvaavan "kaavan" määrittämisen tai kvantitatiivisten kriteerien määrittämisen (lähetetään enemmän kuin määritetty määrä paketteja tai tavuja sekunnissa, pakettien lähettäminen tuntemattomiin IP- tai MAC-osoitteisiin) - Kuva. 2.

Riisi. 2. Luo ja määritä verkkotoiminnan hälytys

Varoituksena on kätevintä käyttää sähköpostiviestejä, jotka on lähetetty osoitteeseen Postilaatikko järjestelmänvalvoja - tässä tapauksessa voit vastaanottaa nopeat hälytykset kaikista verkon ansoista. Lisäksi, jos nuuskijan avulla voit luoda useita hälytyksiä, on järkevää erottaa verkon toiminta korostamalla työtä sähkopostilla, FTP/HTTP, TFTP, Telnet, MS Net, lisäsi liikennettä yli 20-30 pakettia sekunnissa mille tahansa protokollalle (kuva 3).

Riisi. 3. Ilmoituskirje lähetetty
jos määritettyjä ehtoja vastaavia paketteja havaitaan

Loukkua järjestettäessä on hyvä sijoittaa siihen useita verkossa käytettäviä haavoittuvia verkkopalveluita tai asentaa niille emulaattori. Yksinkertaisin (ja ilmainen) on oma APS-apuohjelma, joka toimii ilman asennusta. APS:n toimintaperiaate perustuu siihen, että se kuuntelee monia tietokannassa kuvattuja TCP- ja UDP-portteja ja antaa ennalta määrätyn tai satunnaisesti muodostetun vastauksen yhteyden muodostushetkellä (kuva 4).

Riisi. 4. APS-apuohjelman pääikkuna

Kuvassa on kuvakaappaus, joka on otettu todellisen APS-aktivoinnin aikana Smolenskenergo LAN -verkossa. Kuten kuvasta voidaan nähdä, yritettiin yhdistää yksi asiakastietokoneista porttiin 21. Protokollan analyysi osoitti, että yritykset ovat säännöllisiä ja ne tallentuvat useilla verkon ansoilla, minkä perusteella voimme päätellä, että verkkoa tarkistetaan FTP-palvelimien etsimiseksi ja hakkeroimiseksi salasanoja arvaamalla. APS pitää lokeja ja voi lähettää järjestelmänvalvojille raportteja rekisteröidyistä yhteyksistä valvottuihin portteihin, mikä on kätevää verkkoskannausten nopeaan havaitsemiseen.

Honeypottia luotaessa on myös hyödyllistä tutustua aihetta käsitteleviin verkkoresursseihin, erityisesti http://www.honeynet.org/. Tämän sivuston Työkalut-osiossa (http://www.honeynet.org/tools/index.html) on useita työkaluja hyökkäysten tallentamiseen ja analysointiin.

Haittaohjelmien etäpoisto

Ihannetapauksessa näytteiden löytämisen jälkeen haittaohjelma ylläpitäjä lähettää ne virustentorjuntalaboratorioon, jossa analyytikot tutkivat ne viipymättä ja vastaavat allekirjoitukset syötetään virustentorjuntatietokantaan. Nämä allekirjoitukset päivitetään automaattisesti käyttäjän tietokoneelle, ja virustorjunta poistaa haittaohjelmat automaattisesti ilman järjestelmänvalvojan toimia. Tämä ketju ei kuitenkaan aina toimi odotetulla tavalla; erityisesti seuraavat epäonnistumisen syyt ovat mahdollisia:

• Useista verkonvalvojasta riippumattomista syistä kuvat eivät välttämättä pääse virustentorjuntalaboratorioon;
• virustentorjuntalaboratorion riittämätön tehokkuus - ihannetapauksessa näytteiden tutkiminen ja niiden syöttäminen tietokantaan kestää enintään 1-2 tuntia, mikä tarkoittaa, että päivitetyt allekirjoitustietokannat voidaan saada työpäivän sisällä. Kaikki virustentorjuntalaboratoriot eivät kuitenkaan toimi niin nopeasti, ja päivityksiä voi odottaa useita päiviä (harvinaisissa tapauksissa jopa viikkoja);
• virustorjunnan korkea suorituskyky - useat haittaohjelmat tuhoavat aktivoinnin jälkeen viruksia tai muuten häiritsevät niiden toimintaa. Klassisia esimerkkejä ovat merkintöjen tekeminen isäntätiedostoon, joka estää normaalia työtä virustentorjuntajärjestelmät, automaattiset päivitysjärjestelmät, prosessien, palvelujen ja virustorjuntaohjaimien poistaminen, niiden asetusten vaurioituminen jne.

Siksi yllä olevissa tilanteissa sinun on käsiteltävä haittaohjelmia manuaalisesti. Useimmissa tapauksissa tämä ei ole vaikeaa, koska tietokonetutkimuksen tulokset paljastavat tartunnan saaneet tietokoneet sekä haittaohjelmatiedostojen täydelliset nimet. Jäljelle jää vain niiden poistaminen etänä. Jos haittaohjelmaa ei ole suojattu poistamiselta, se voidaan tuhota seuraavalla AVZ-komentosarjalla:

// Tiedoston poistaminen

DeleteFile('tiedostonimi');

ExecuteSysClean;

Tämä komentosarja poistaa yhden määritetyn tiedoston (tai useita tiedostoja, koska skriptissä voi olla rajoittamaton määrä DeleteFile-komentoja) ja puhdistaa sitten rekisterin automaattisesti. Monimutkaisemmassa tapauksessa haittaohjelma voi suojautua poistumiselta (esimerkiksi luomalla uudelleen tiedostonsa ja rekisteriavaimensa) tai naamioitua rootkit-tekniikalla. Tässä tapauksessa komentosarjasta tulee monimutkaisempi ja se näyttää tältä:

// Anti-rootkit

SearchRootkit(true, true);

// Ohjaa AVZGuardia

AsetaAVZGuardStatus(tosi);

// Tiedoston poistaminen

DeleteFile('tiedostonimi');

// Ota BootCleaner-loki käyttöön

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// Tuo BootCleaner-tehtävään luettelo komentosarjan poistamista tiedostoista

BC_ImportDeletedList;

// Aktivoi BootCleaner

// Heuristisen järjestelmän puhdistus

ExecuteSysClean;

Käynnistä Windows uudelleen (true);

Tämä komentosarja sisältää aktiivisen toiminnan rootkiteille, AVZGuard-järjestelmän (tämä on haittaohjelmien toiminnan estäjä) ja BootCleaner-järjestelmän käytön. BootCleaner on ohjain, joka poistaa tietyt objektit KernelModesta uudelleenkäynnistyksen aikana, järjestelmän käynnistyksen varhaisessa vaiheessa. Käytäntö osoittaa, että tällainen komentosarja pystyy tuhoamaan suurimman osan olemassa olevista haittaohjelmista. Poikkeuksen muodostavat haittaohjelmat, jotka muuttavat suoritettavien tiedostojensa nimet jokaisen uudelleenkäynnistyksen yhteydessä – tässä tapauksessa järjestelmän tarkistuksen aikana löydetyt tiedostot voidaan nimetä uudelleen. Tässä tapauksessa sinun on desinfioitava tietokoneesi manuaalisesti tai luotava omat haittaohjelmaallekirjoituksesi (esimerkki allekirjoitusten haun toteuttavasta komentosarjasta on kuvattu AVZ-ohjeessa).

Johtopäätös

Tässä artikkelissa tarkastelimme joitain käytännön tekniikoita LAN-epidemian torjumiseksi manuaalisesti ilman virustorjuntatuotteita. Useimpia kuvatuista tekniikoista voidaan käyttää myös ulkomaisten tietokoneiden ja troijalaisten kirjanmerkkien etsimiseen käyttäjien tietokoneissa. Jos sinulla on vaikeuksia löytää haittaohjelmia tai luoda hoitoskriptejä, järjestelmänvalvoja voi käyttää keskustelupalstan "Ohje"-osiota http://virusinfo.info tai "Fighting Viruses" -osiota keskustelupalstalla http://forum.kaspersky.com /index.php?showforum= 18. Protokollatutkimus ja hoitoapu suoritetaan molemmilla foorumeilla maksutta, PC-analyysi suoritetaan AVZ-protokollien mukaisesti, ja useimmissa tapauksissa hoito perustuu AVZ-skriptin suorittamiseen tartunnan saaneilla tietokoneilla, jotka ovat kokeneet näiden foorumien kokeneet asiantuntijat. .

Vertaileva analyysi turvaskannerit. Osa 1: Penetraatiotesti (lyhyt yhteenveto)

Aleksanteri Antipov

Tämä asiakirja esittelee verkon suojaskannerien vertailun tulokset verkon kehäsolmuja vastaan ​​tehdyn läpäisytestin aikana.

Lepikhin Vladimir Borisovich
Informzashchita-koulutuskeskuksen verkkoturvalaboratorion johtaja

Kaikki raportin materiaalit ovat Informzashita-koulutuskeskuksen immateriaalioikeuksia. Raporttimateriaalin kopioiminen, julkaiseminen tai jäljentäminen missään muodossa on kiellettyä ilman Informzashita Training Centerin kirjallista lupaa.

Tutkimuksen koko teksti:
http://www.itsecurity.ru/news/reliase/2008/12_22_08.htm

1. Esittely

Verkkoturvallisuusskannerit sopivat erinomaisesti vertailuun. Ne ovat kaikki hyvin erilaisia. Ja johtuen niiden tehtävien erityispiirteistä, joihin ne on tarkoitettu, ja niiden "kaksi" tarkoituksen vuoksi (verkon suojausskannereita voidaan käyttää sekä puolustukseen että "hyökkäykseen", ja hakkerointi, kuten tiedämme, on luova tehtävä) Lopuksi myös siksi, että jokaisen tällaisen työkalun takana on "hakkeri" (sanan alkuperäisessä merkityksessä) ajatuslento sen luojasta.

Vertailuehtoja valittaessa on otettu lähtökohtana ”tehtäväpohjainen” lähestymistapa, joten tulosten perusteella voidaan arvioida, kuinka sopiva työkalu on sille osoitetun tehtävän ratkaisemiseen. Esimerkiksi verkon suojausskannereita voidaan käyttää:

• verkkoresurssien inventointiin;
• "läpäisytestien" aikana;
• testattaessa järjestelmiä erilaisten vaatimusten noudattamiseksi.

Tämä asiakirja esittelee verkon suojaskannerien vertailun tulokset verkon kehäsolmuja vastaan ​​tehdyn läpäisytestin aikana. Seuraavat arvioitiin:

• Löytyneiden haavoittuvuuksien määrä
• Väärien positiivisten tulosten määrä (vääriä positiivisia)
• Väärät negatiivit
• Poissaolojen syyt
• Tarkistuskannan täydellisyys (tämän tehtävän yhteydessä)
• Varastomekanismien laatu ja ohjelmistoversion määritys
• Skannerin tarkkuus (tämän tehtävän yhteydessä)

Luettelokriteerit yhdessä kuvaavat skannerin "soveltuvuutta" sille osoitetun tehtävän ratkaisemiseen, tässä tapauksessa se on rutiinitoimintojen automatisointi verkon kehän turvallisuuden valvontaprosessissa.

2. Lyhyt kuvaus vertailun osallistujista

Ennen vertailun aloittamista portaali teki kyselyn, jonka tarkoituksena oli kerätä tietoa käytetyistä skannereista ja tehtävistä, joihin niitä käytetään.

Kyselyyn osallistui noin 500 vastaajaa (portaalin kävijöitä).

Kun kysyttiin organisaatioissaan käyttämistä turvaskannereista, valtaosa vastaajista sanoi käyttävänsä vähintään yhtä turvaskanneria (70 %). Samaan aikaan organisaatiot, jotka käyttävät säännöllisesti turvaskannereita tietojärjestelmiensä turvallisuuden analysointiin, käyttävät mieluummin useampaa kuin yhtä tämän luokan tuotetta. 49 % vastaajista sanoi, että heidän organisaationsa käyttää kahta tai useampaa turvaskanneria (kuva 1).

1 . Tutkittujen organisaatioiden jakautuminen käytettyjen turvaskannerien lukumäärän mukaan

Syitä useampaan kuin yhden turvaskannerin käyttöön ovat se, että organisaatiot eivät luota yhden "toimittajan" ratkaisuihin (61 %) ja kun tarvitaan erikoistarkastuksia (39 %), joita ei voida tehdä kattavalla suojausskannerilla (kuva 2). .

2. Syitä useamman kuin yhden turvaskannerin käyttämiseen tutkituissa organisaatioissa

Kysymykseen, mihin tarkoituksiin erikoistuneita turvaskannereita käytetään, suurin osa vastaajista vastasi, että niitä käytetään lisätyökaluina verkkosovellusten turvallisuuden analysointiin (68 %). Toisella sijalla olivat erikoistuneet DBMS-turvaskannerit (30 %) ja kolmannella (2 %) patentoidut apuohjelmat tiettyjen tietojärjestelmien turvallisuuden analysointiongelmien ratkaisemiseksi (kuva 3).

3. Erikoistuneiden turvaskannerien käyttötarkoitukset kyselyyn vastanneiden organisaatioissa

Tietoturvaskannereihin liittyvistä lopputuotteista tehdyn vastaajakyselyn (Kuva 4) tulos osoitti, että suurin osa organisaatioista käyttää mieluummin Positive Technologies -tuotetta XSpider (31 %) ja Nessus Security Scanner (17 %).

Riisi. 4. Vastaajien organisaatioissa käytetyt turvaskannerit

Taulukossa 1 esitetyt skannerit valittiin osallistumaan testitesteihin.

Taulukko 1. Vertailussa käytetyt verkkoturvaskannerit

Nimi	Versio
		http://www.nessus.org/download
MaxPatrol	8.0 (koontiversio 1178)	http://www.ptsecurity.ru/maxpatrol.asp
Internet-skanneri		http://www-935.ibm.com/services/us/index.wss/offering/iss/a1027208
VerkkokalvoVerkkoturvallisuusskanneri		http://www.eeye.com/html/products/retina/index.html
Shadow Security Scanner (SSS)	7.141 (koontiversio 262)	http://www.safety-lab.com/en/products/securityscanner.htm
NetClarity Auditor		http://netclarity.com/branch-nacwall.html

Joten ensimmäinen testi keskittyy tehtävään arvioida järjestelmien turvallisuutta hakkerointikestävyyden suhteen.

3. Yhteenveto

Muiden solmujen tulokset laskettiin samalla tavalla. Tulosten laskemisen jälkeen saatiin seuraava taulukko (taulukko 2).

Taulukko 2. Lopputulokset kaikille skannatuille kohteille

Indeksi		Internet-skanneri			Shadow Security Scanner	NetClarity Tilintarkastaja
Palvelujen ja sovellusten tunnistaminen, pisteet
Haavoittuvuuksia löydetty, yhteensä
Näistä vääristä positiivisista (väärät positiiviset)
Löytyi oikein (225 mahdollisesta)
Passit (vääriä negatiivisia)
Näistä tietokannan puuttumisen vuoksi
Näistä johtuu todennuksen tarpeesta
Muista syistä

3.1 Palveluiden ja sovellusten tunnistaminen

Palvelujen ja sovellusten tunnistamisen tulosten perusteella pisteet yksinkertaisesti laskettiin yhteen ja palvelun tai sovelluksen virheellisestä tunnistamisesta vähennettiin yksi piste (kuva 5).

Riisi. 5. Palvelujen ja sovellusten tunnistamisen tulokset

MaxPatrol-skanneri sai eniten pisteitä (108) ja Nessus-skanneri hieman vähemmän (98). Näissä kahdessa skannerissa palveluiden ja sovellusten tunnistamismenettely on todellakin toteutettu erittäin tehokkaasti. Tämä tulos voidaan kutsua melko odotetuksi.

Seuraavat tulokset ovat Internet Scanner- ja NetClarity-skannereilta. Tässä voidaan mainita, että esimerkiksi Internet Scanner keskittyy standardiporttien käyttöön sovelluksissa, tämä selittää pitkälti sen alhaisen tuloksen. Lopuksi NetClarity-skannerin suorituskyky on huonoin. Vaikka se tekee hyvää työtä palveluiden tunnistamisessa (sehän perustuu Nessus 2.x -ytimeen), sen yleinen huono suorituskyky voidaan selittää sillä, että se ei tunnistanut kaikkia avoimia portteja.

3.2 Haavoittuvuuksien tunnistaminen

Kuvassa Kuvassa 6 näkyy kaikkien skannerien löytämien haavoittuvuuksien kokonaismäärä ja väärien positiivisten tulosten määrä. Eniten haavoittuvuuksia löysi MaxPatrol-skanneri. Nessus osoittautui jälleen toiseksi (tosin merkittävällä marginaalilla).
Johtaja väärien positiivisten tulosten määrässä oli Shadow Security Scanner. Periaatteessa tämä on ymmärrettävää, sillä edellä on esimerkkejä erityisesti sen tarkastuksiin liittyvistä virheistä.

Riisi. 6. Löytyi haavoittuvuuksia ja vääriä positiivisia tuloksia

Kaikissa 16 solmussa kaikki skannerit löysivät (ja vahvistettiin myöhemmin manuaalisella tarkistuksella) 225 haavoittuvuutta. Tulokset jaettiin kuvan mukaisesti. 7. MaxPatrol-skanneri tunnisti suurimman määrän haavoittuvuuksia - 155 mahdollisesta 225:stä. Toinen oli Nessus-skanneri (sen tulos oli lähes kaksi kertaa huonompi). Seuraavaksi tulee Internet Scanner, sitten NetClarity.
Vertailussa analysoitiin puuttuvien haavoittuvuuksien syitä ja erotettiin ne, jotka tehtiin tietokannan tarkastusten puutteesta. Seuraava kaavio (kuva 8) näyttää syyt siihen, miksi skannerit huomaavat haavoittuvuuksia.

Riisi. 7. Löytyi haavoittuvuuksia ja puutteita

Riisi. 8. Syitä puuttuviin haavoittuvuuksiin

Nyt muutama indikaattori laskelmista.

Kuvassa Kuvassa 39 on esitetty väärien positiivisten lukujen suhde löydettyjen haavoittuvuuksien kokonaismäärään; tätä indikaattoria voidaan tietyssä mielessä kutsua skannerin tarkkuudeksi. Loppujen lopuksi käyttäjä käsittelee ensin luettelon skannerin löytämistä haavoittuvuuksista, joista on tarpeen valita oikein löydetyt.

Riisi. 9. Skannerien tarkkuus

Tästä kaaviosta voidaan nähdä, että suurin tarkkuus (95 %) saavutettiin MaxPatrol-skannerilla. Vaikka sen väärien positiivisten tulosten määrä ei ole pienin, tämä tarkkuusaste saavutetaan löydettyjen haavoittuvuuksien suuren määrän ansiosta. Seuraavaksi tarkin määritelmä on Internet Scanner. Se osoitti vähiten vääriä positiivisia tuloksia. SSS-skannerilla on alhaisin tulos, mikä ei ole yllättävää, kun otetaan huomioon vertailun aikana havaittu suuri määrä vääriä positiivisia.

Toinen laskettu indikaattori on tietokannan täydellisyys (kuva 10). Se lasketaan oikein löydettyjen haavoittuvuuksien määrän suhteena haavoittuvuuksien kokonaismäärään (tässä tapauksessa - 225) ja luonnehtii "mittausten" laajuutta.

Riisi. 10. Tietokannan täydellisyys

Tästä kaaviosta on selvää, että MaxPatrol-skanneripohja on sopivin tehtävään.

4. Johtopäätös

4.1 Kommentit johtajien tuloksista: MaxPatrol ja Nessus

Tämän vertailun kaikkien kriteerien mukaan ykkössijalla on MaxPatrol-skanneri, Nessus-skanneri on toisella sijalla, muiden skannereiden tulokset ovat huomattavasti heikompia.

Tässä yhteydessä on syytä muistaa yksi Yhdysvaltain kansallisen standardointi- ja teknologiainstituutin (NIST) laatimista asiakirjoista, nimittäin "Guideline on Network Security Testing". Siinä todetaan, että tietokonejärjestelmien turvallisuutta valvottaessa on suositeltavaa käyttää vähintään kahta turvaskanneria.

Itse asiassa saadussa tuloksessa ei ole mitään odottamatonta tai yllättävää. Ei ole mikään salaisuus, että XSpider (MaxPatrol) ja Nessus-skannerit ovat suosittuja sekä turvallisuusasiantuntijoiden että "murtovarkaiden" keskuudessa. Tämän vahvistavat yllä olevat tutkimustulokset. Yritetään analysoida syitä MaxPatrolin ilmeiseen johtajuuteen (tämä pätee osittain Nessus-skanneriin) sekä muiden skannerien "menetyksen" syitä. Ensinnäkin tämä on korkealaatuista palveluiden ja sovellusten tunnistamista. Päätelmäpohjaiset testit (ja niitä oli tässä tapauksessa melko vähän) riippuvat suuresti tiedonkeruun tarkkuudesta. Ja palveluiden ja sovellusten tunnistaminen MaxPatrol-skannerissa on lähes täydellinen. Tässä yksi havainnollistava esimerkki.
Toinen syy MaxPatrolin menestykseen on tietokannan täydellisyys ja sen riittävyys käsillä olevaan tehtävään ja yleensä "tänään". Tulosten perusteella on havaittavissa, että MaxPatrolin tarkastustietokantaa on laajennettu ja yksityistetty merkittävästi, se on "kunnostettu", kun taas ilmeistä "poikkeamaa" web-sovelluksia kohtaan kompensoi tarkastusten laajeneminen muilla alueilla. Esimerkiksi vertailussa esitetyn reitittimen skannauksen tulokset olivat Ciscon vaikuttavia.

Kolmas syy on sovellusversioiden laadullinen analyysi, jossa otetaan huomioon käyttöjärjestelmät, jakelut ja erilaiset "haarat". Voit myös lisätä eri lähteiden käyttöä (haavoittuvuustietokannat, ilmoitukset ja toimittajatiedotteet).

Lopuksi voimme myös lisätä, että MaxPatrolilla on erittäin kätevä ja looginen käyttöliittymä, joka heijastaa verkkoturvaskannerien työn päävaiheita. Ja tämä on tärkeää. Yhdistelmä "solmu, palvelu, haavoittuvuus" on erittäin helppo ymmärtää (Toimittajan huomautus: tämä on vertailun tekijän subjektiivinen mielipide). Ja varsinkin tähän tehtävään.

Nyt puutteista ja "heikoista" kohdista. Koska MaxPatrol osoittautui vertailussa johtajaksi, sille osoitettu kritiikki on "maksimi".

Ensinnäkin niin sanottu "häviäminen pienissä asioissa". Erittäin laadukkaalla moottorilla on tärkeää tarjota vastaavia lisäpalveluita, esimerkiksi käteviä työkaluja, joiden avulla voit tehdä jotain manuaalisesti, työkaluja haavoittuvuuksien etsimiseen ja järjestelmän "hienosäätöä". MaxPatrol jatkaa XSpider-perinnettä ja keskittyy maksimaalisesti "klikkaa ja se toimii" -ideologiaan. Toisaalta tämä ei ole huonoa, toisaalta se rajoittaa "huolellista" analyytikkoa.

Toiseksi jotkut palvelut jäivät "katsomatta" (voit päätellä tämän vertailun tuloksista), esimerkiksi IKE (portti 500).

Kolmanneksi, joissakin tapauksissa puuttuu kahden tarkastuksen tulosten perustavanlaatuinen vertailu keskenään, kuten esimerkiksi edellä kuvatun SSH:n tapauksessa. Toisin sanoen useiden tarkastusten tulosten perusteella ei tehdä johtopäätöksiä. Esimerkiksi host4:n käyttöjärjestelmä luokiteltiin Windowsiksi ja PPTP-palvelun "toimittaja" Linuxiksi. Voimmeko tehdä johtopäätöksiä? Osoita esimerkiksi raportissa käyttöjärjestelmän määritysalueella, että tämä on "hybridi" solmu.

Neljänneksi tarkastusten kuvaus jättää paljon toivomisen varaa. Mutta tässä on ymmärrettävä, että MaxPatrol on epätasa-arvoisissa olosuhteissa muiden skannerien kanssa: kaikkien kuvausten korkealaatuinen kääntäminen venäjäksi on erittäin työvoimavaltainen tehtävä.

Nessus-skanneri osoitti yleisesti ottaen hyviä tuloksia, ja useissa kohdissa se oli tarkempi kuin MaxPatrol-skanneri. Suurin syy Nessuksen jäljessä on haavoittuvuuksien puuttuminen, mutta ei tietokannan tarkistusten puutteesta, kuten useimmat muut skannerit, vaan toteutusominaisuuksista. Ensinnäkin (ja tämä on syynä merkittävään osaan aukkoja) Nessus-skannerin kehityssuunta on ollut kohti "paikallista" tai järjestelmän tarkistukset, joka vaatii yhteyden tiliin. Toiseksi Nessus-skanneri ottaa huomioon vähemmän (MaxPatroliin verrattuna) tietolähteitä haavoittuvuuksista. Tämä on hieman samanlainen kuin SSS-skanneri, joka perustuu suurelta osin SecurityFocukseen.

5. Tämän vertailun rajoitukset

Vertailussa skannerien ominaisuuksia tutkittiin vain yhden tehtävän – verkon kehäsolmujen hakkeroinninkestävyyden testaamisen – yhteydessä. Jos esimerkiksi piirretään autoanalogia, näimme kuinka eri autot käyttäytyvät esimerkiksi liukkaalla tiellä. On kuitenkin muita tehtäviä, joiden ratkaisu samoilla skannereilla voi näyttää täysin erilaiselta. Lähitulevaisuudessa on tarkoitus verrata skannereita, kun ratkaistaan ​​esimerkiksi seuraavat ongelmat:

• Järjestelmien auditoinnit käyttäen tili
• PCI DSS -yhteensopivuuden arviointi
• Windows-järjestelmien skannaus

Lisäksi on tarkoitus verrata skannereita muodollisin kriteerein.

Tämän vertailun aikana testattiin vain itse "moottoria" tai nykyaikaisesti skannerin "aivoja". Lisäpalveluiden (raportit, skannauksen edistymistä koskevien tietojen tallentaminen jne.) kykyjä ei arvioitu tai vertailtu millään tavalla.

Myöskään vaaran astetta ja kykyä hyödyntää löydettyjä haavoittuvuuksia ei arvioitu. Jotkut skannerit rajoittuivat "pieniin" alhaisen riskin haavoittuvuuksiin, kun taas toiset tunnistivat todella kriittisiä haavoittuvuuksia, jotka mahdollistavat pääsyn järjestelmään.

Suojausskanneri: havaitsee verkon haavoittuvuudet, hallitsee päivityksiä ja korjauksia, korjaa automaattisesti ongelmia, tarkastaa ohjelmistot ja laitteistot. GFI Verkkosuojaus">Verkon suojaus 2080

Verkkosuojausskanneri ja keskitetty päivityshallinta

GFI LanGuard toimii virtuaalisena tietoturvakonsulttina:

— Hallitsee Windows®-, Mac OS®- ja Linux®-päivityksiä

— Havaitsee tietokoneiden haavoittuvuuksia ja mobiililaitteet

— Suorittaa auditointeja verkkolaitteet ja ohjelmistot

GFI Languard on suojausskanneri kaikenkokoisille verkoille: verkkoportti- ja haavoittuvuusskanneri, turvaskanneri, löytää automaattisesti aukkoja verkossa

GFI Languard on suojausskanneri kaikenkokoisille verkoille: verkkoportti- ja haavoittuvuusskanneri, turvaskanneri, löytää automaattisesti aukkoja verkossa

Mikä on GFI LanGuard

Enemmän kuin haavoittuvuusskanneri!

GFI LanGuard on verkon suojausskanneri: havaitsee, tunnistaa ja korjaa verkon haavoittuvuudet. Täysi porttiskannaus, tarvittavien ohjelmistopäivitysten saatavuus verkkosi suojaamiseksi sekä ohjelmiston ja laitteiston tarkastus ovat kaikki mahdollisia yhdestä ohjauspaneelista.

Portin skanneri

Useiden valmiiden tarkistusprofiilien avulla voit suorittaa kaikkien porttien täyden tarkistuksen sekä tarkistaa nopeasti vain ne, joita ei-toivotut ja haittaohjelmat käyttävät yleisesti. GFI LanGuard skannaa useita isäntiä samanaikaisesti, mikä vähentää merkittävästi tarvittavaa aikaa ja vertaa sitten varattuista porteista löytyvää ohjelmistoa odotettuun.

Päivityksiä ja korjauksia

Ennen asennusta Viimeisimmät päivitykset solmusi ovat täysin suojaamattomia, koska hakkerit käyttävät verkkoosi tunkeutumiseen uusimpia haavoittuvuuksia. Toisin kuin käyttöjärjestelmään sisäänrakennetut työkalut, GFI LanGuard tarkistaa paitsi itse käyttöjärjestelmän, myös suosittuja ohjelmistoja, joiden haavoittuvuuksia yleensä käytetään hakkerointiin: Adobe Acrobat/Reader, Flash Player, Skype, Outlook, selaimet, pikaviestit.

Solmun tarkastus

GFI LanGuard valmistautuu sinulle yksityiskohtainen luettelo jokaiseen tietokoneeseen asennetut ohjelmistot ja laitteistot, havaitsee kielletyt tai puuttuvat ohjelmat sekä tarpeettomat liitetyt laitteet. Useiden tarkistusten tuloksia voidaan verrata ohjelmistomuutosten tunnistamiseksi ja laitteisto.

Uusin uhkatiedustelu

Jokainen tarkistus suoritetaan sen jälkeen, kun on päivitetty tiedot haavoittuvuuksista, joiden määrä GFI LanGuard -tietokannassa on jo ylittänyt 50 000. Ohjelmistotoimittajat itse tarjoavat uhkatietoja sekä luotettavia SANS- ja OVAL-luetteloita, joten olet aina suojattu uusimmilta uhilta, kuten sydänverenvuodolta, salaisuudelta, shellshockilta, villakoiolta, hiekkamatolta ja muilta.

Automaattinen korjaus

Kun saat yksityiskohtaisen tarkistusraportin, joka sisältää kuvauksen jokaisesta haavoittuvuudesta ja linkit lisälukemista, voit korjata useimmat uhat yhdellä napsautuksella "Korjaa"-painiketta: portit suljetaan, rekisteriavaimet korjataan, korjaustiedostot asennetaan, ohjelmistot päivitetään, kielletyt ohjelmat poistetaan ja puuttuvat ohjelmat asennetaan.