Programmes pour analyser les réseaux à la recherche de vulnérabilités. Comparaison des scanners de sécurité réseau. Comparaison des scanners de vulnérabilité réseau

EXAMEN ET COMPARAISON DES SCANNERS DE VULNÉRABILITÉ

Rojkova Ekaterina Olegovna

Étudiant de 4e année, Département d'automatisation et de mesures des navires, Université médicale d'État de Saint-Pétersbourg, Fédération de Russie, Saint-Pétersbourg

E- mail: Rina1242. ro@ Gmail. com

Ilyin Ivan Valerievitch

Étudiant de 4ème année, Département des Technologies de l'Information Sécurisées

Université nationale de recherche de Saint-Pétersbourg ITMO, Fédération de Russie, Saint-Pétersbourg

E- mail: vaniline. Virginie@ Gmail. com

Galouchine Sergueï Yakovlevitch

superviseur scientifique, Ph.D. technologie. Sciences, vice-recteur adjoint aux travail scientifique, Fédération de Russie, Saint-Pétersbourg

Pour un niveau de sécurité élevé, il est nécessaire non seulement d'utiliser des pare-feu, mais également de prendre périodiquement des mesures pour détecter les vulnérabilités, par exemple à l'aide de scanners de vulnérabilités. L'identification rapide des faiblesses du système empêchera l'accès non autorisé et la manipulation des données. Mais quelle option de scanner répond le mieux aux besoins d’un système particulier ? Pour répondre à cette question, vous devez tout d’abord déterminer les failles du système de sécurité de votre ordinateur ou de votre réseau. Selon les statistiques, la plupart des attaques proviennent de failles de sécurité connues et publiées, qui peuvent ne pas être éliminées pour de nombreuses raisons, qu'il s'agisse du manque de temps, de personnel ou de l'incompétence de l'administrateur système. Vous devez également comprendre qu'un malveillant peut généralement pénétrer dans un système de plusieurs manières et que si une méthode ne fonctionne pas, l'intrus peut toujours en essayer une autre. Garantir le niveau maximum de sécurité du système nécessite une analyse approfondie des risques et le développement d'un modèle de menace clair pour prédire plus précisément actions possibles un criminel hypothétique.

Les vulnérabilités les plus courantes incluent les débordements de tampon, les erreurs possibles dans la configuration du routeur ou du pare-feu, les vulnérabilités du serveur Web, des serveurs de messagerie, des serveurs DNS, des bases de données. De plus, ne négligez pas l’une des zones les plus délicates sécurité des informations- la gestion des utilisateurs et des fichiers, car garantir le niveau d'accès de l'utilisateur avec des privilèges minimaux est une tâche spécifique qui nécessite un compromis entre l'expérience utilisateur et la sécurité du système. Il faut mentionner le problème des mots de passe vides ou faibles, des comptes par défaut et le problème des fuites d'informations générales.

Le scanner de sécurité est outil logiciel pour le diagnostic à distance ou local divers éléments réseaux pour identifier diverses vulnérabilités; ils peuvent réduire considérablement le temps de travail des spécialistes et faciliter la recherche de vulnérabilités.

Examen des scanners de sécurité

Ce travail a examiné les scanners dotés d'une version d'essai gratuite, qui vous permet d'utiliser le logiciel pour vous familiariser avec une liste limitée de ses capacités et d'évaluer le degré de simplicité de l'interface. Les scanners de vulnérabilités populaires suivants ont été sélectionnés comme sujets de l'examen : Nessus, GFI LANguard, Retina, Shadow security scanner, Internet Scanner.

Nessos

Nessus est un programme de recherche automatique des failles de sécurité connues systèmes d'information. Il permet de détecter les types de vulnérabilités les plus courantes, comme la présence de versions vulnérables de services ou de domaines, des erreurs de configuration (pas besoin d'autorisation sur le serveur SMTP), la présence de mots de passe par défaut, des mots de passe vides ou faibles.

Le scanner Nessus est un outil puissant et fiable qui appartient à une famille de scanners de réseau qui vous permet de rechercher des vulnérabilités dans les services réseau offerts par les systèmes d'exploitation, les pare-feu, les routeurs de filtrage et autres composants réseau. Pour rechercher des vulnérabilités, elles sont utilisées comme moyens standards tester et collecter des informations sur la configuration et le fonctionnement du réseau, et moyens spéciaux, émulant les actions d'un attaquant pour pénétrer dans les systèmes connectés au réseau.

Le programme a la capacité de connecter vos propres procédures ou modèles de vérification. À cette fin, le scanner fournit un langage de script spécial appelé NASL (Nessus Attack Scripting Language). La base de données de vulnérabilités est en constante évolution et mise à jour. Les utilisateurs enregistrés reçoivent immédiatement toutes les mises à jour, tandis que les autres (versions d'essai, etc.) reçoivent un certain retard.

GFILanGuard

GFI LanGuard Network Security Scanner (N.S.S) est une solution primée qui utilise trois composants principaux pour vous protéger : le scanner de sécurité, la gestion des correctifs et le contrôle du réseau à partir d'une console unifiée. En scannant l'ensemble du réseau, il détermine tout problèmes possibles sécurité et, grâce à ses vastes Fonctionnalité reporting, fournit les outils nécessaires pour détecter, évaluer, décrire et éliminer toute menace.

Le processus d'examen de la sécurité produit plus de 15 000 évaluations de vulnérabilité et examine les réseaux adresse IP. GFI LanGuard N.S.S. offre la possibilité d'effectuer une analyse multiplateforme (Windows, Mac OS, Linux) dans tous les environnements et analyse l'état du réseau pour chaque source de données. Cela garantit que toutes les menaces peuvent être identifiées et éliminées avant que les pirates informatiques n’interviennent.

GFI LanGuard N.S.S. est livré avec une base de données complète et complète d'évaluation des vulnérabilités, comprenant des normes telles que OVAL (plus de 2 000 valeurs) et SANS Top 20. Cette base de données est régulièrement mise à jour avec des informations de BugTraq, SANS Corporation, OVAL, CVE, etc. Grâce au système automatique GFI LanGuard système de mise à jour N.S.S. contient toujours les dernières informations sur les mises à jour de sécurité Microsoft, ainsi que des informations provenant de GFI et d'autres référentiels d'informations tels que la base de données OVAL.

GFI LanGuard N.S.S. analyse les ordinateurs, identifie et classe les vulnérabilités, recommande des actions et fournit des outils pour résoudre les problèmes. GFI LANguard N.S.S. utilise également un indicateur graphique du niveau de menace qui fournit une évaluation intuitive et équilibrée de l'état de vulnérabilité d'un ordinateur ou d'un groupe d'ordinateurs analysé. Si possible, un lien est fourni ou Informations Complémentaires pour un problème spécifique, tel qu'un identifiant dans BugTraq ID ou la Base de connaissances Microsoft.

GFI LanGuard N.S.S. vous permet de créer facilement vos propres schémas de tests de vulnérabilité à l'aide d'un assistant. À l'aide du moteur de script VBScript, vous pouvez également rédiger des contrôles de vulnérabilité complexes pour GFI LanGuard N.S.S. GFI LanGuard N.S.S. comprend un éditeur de script et un débogueur.

Rétine

Retina Network Security Scanner, le scanner de vulnérabilités réseau de BeyondTrust, identifie les vulnérabilités réseau connues et priorise les menaces à corriger. Pendant l'utilisation produit logiciel tous les ordinateurs, appareils, systèmes d’exploitation, applications et réseaux sans fil sont identifiés.

Les utilisateurs peuvent également utiliser Retina pour évaluer les risques de sécurité des informations, gérer les risques liés aux projets et répondre aux exigences des normes grâce à des audits de politique d'entreprise. Ce scanner n'exécute pas le code de vulnérabilité, donc l'analyse n'entraîne pas de perte de fonctionnalité du réseau et des systèmes analysés. Utilisation de la technologie propriétaire d'analyse Adaptive Speed ​​​​​​ réseau local La classe C prendra environ 15 minutes, ceci est facilité par Adaptive Speed ​​​​- une technologie de numérisation réseau sécurisée à haut débit. De plus, les paramètres flexibles de la zone de numérisation permettent administrateur du système analyser la sécurité de l'ensemble du réseau ou d'un segment donné sans affecter le fonctionnement des réseaux voisins. Événement mise à jour automatique des copies locales de la base de données, de sorte que l'analyse du réseau est toujours effectuée sur la base des données les plus récentes. Le taux de faux positifs est inférieur à 1 % et il existe un contrôle d'accès flexible au registre du système.

Ombresécuritéscanner (SSS)

Ce scanner peut être utilisé pour détecter de manière fiable les éléments connus et inconnus (au moment de la sortie) nouvelle version produit). Lors de l'analyse d'un système, SSS analyse les données, notamment à la recherche de vulnérabilités, et indique d'éventuelles erreurs dans la configuration du serveur. De plus, le scanner suggère des moyens possibles pour résoudre ces problèmes et corriger les vulnérabilités du système.

En tant que technologie de porte dérobée, le système utilise le noyau du propre développement du fabricant, Shadow Security Scanner. On peut noter que lorsque l'on travaille sous Windows, SSS analysera les serveurs quelle que soit leur plateforme. Des exemples de plates-formes incluent les plates-formes Unix (Linux, FreeBSD, OpenBSD, Net BSD, Solaris), les plates-formes Windows (95/98/ME/NT/2000/XP/.NET/Win 7 et 8). Shadow Security Scanner peut également détecter les erreurs dans les équipements de CISCO, HP et autres. Ce scanner a été créé par des développeurs nationaux et, par conséquent, dispose d'une interface russe, ainsi que d'une documentation et d'une ligne d'assistance à chaud.

l'InternetScanner

Ce scanner permet une détection et une analyse automatisées des vulnérabilités dans réseau d'entreprise. Les capacités du scanner incluent la mise en œuvre d'un certain nombre de contrôles pour l'identification ultérieure des vulnérabilités des services réseau, des systèmes d'exploitation, des routeurs, des serveurs de messagerie et Web, des pare-feu et des logiciels d'application. Internet Scanner peut détecter et identifier plus de 1 450 vulnérabilités, qui peuvent inclure une configuration incorrecte des équipements réseau, des logiciels obsolètes, des services réseau inutilisés, des mots de passe faibles, etc. Il est possible de vérifier les protocoles FTP, LDAP et SNMP, de vérifier les emails, de vérifier RPC, NFS, NIS et DNS, de vérifier la possibilité d'attaques telles que le "déni de service", la "devinette de mot de passe", les vérifications des serveurs Web, les scripts CGI, Navigateurs Web et terminaux X. De plus, il est possible de vérifier les pare-feu, les serveurs proxy, les services d'accès à distance, système de fichiers, sous-système de sécurité et sous-système d'audit, registre du système et mises à jour installées Système d'exploitation Windows, etc. Internet Scanner permet d'analyser la présence d'une seule vulnérabilité dans une zone donnée du réseau, par exemple en vérifiant l'installation d'un correctif spécifique système opérateur. Internet Scanner peut fonctionner sur Serveur Windows NT prend également en charge les systèmes d'exploitation AIX, HP-UX, Linux et Solaris.

Avant de choisir des critères de comparaison, il convient de souligner que les critères doivent couvrir tous les aspects de l'utilisation des scanners de sécurité : des méthodes de collecte d'informations au coût. L'utilisation d'un scanner de sécurité commence par la planification du déploiement et le déploiement lui-même. Le premier groupe de critères concerne donc l’architecture des scanners de sécurité, l’interaction de leurs composants, leur installation et leur gestion. Le groupe de critères suivant - l'analyse - doit couvrir les méthodes utilisées par les scanners comparés pour effectuer les actions répertoriées, ainsi que d'autres paramètres associés aux étapes spécifiées du produit logiciel. Les critères importants incluent également les résultats de l'analyse, en particulier la manière dont ils sont stockés et les rapports qui peuvent être générés sur leur base. Les prochains critères sur lesquels se concentrer sont les critères de mise à jour et de support, qui vous permettent de clarifier des questions telles que les méthodes et méthodes de mise à jour, le niveau soutien technique, disponibilité de formations autorisées, etc. Le dernier groupe comprend un critère unique mais très important : le coût.

· Systèmes pris en charge ;

· Interface conviviale ;

· Capacités de numérisation (profils de numérisation);

· Possibilité de personnaliser les profils (dans quelle mesure flexible);

· Identification des services et des applications ;

· Identification des vulnérabilités ;

· Génération de rapports (formats);

· Possibilité de générer un rapport personnalisé (le vôtre);

· Fréquence de mise à jour;

· Soutien technique.

Tableau 1. Comparaison des scanners de vulnérabilités
Scanner		GFI LetGgarde
Prix	131 400 RUB/an	1610 roubles. pour une adresse IP. Plus il y a d’adresses IP, plus le coût est bas		Le coût varie en fonction du nombre d'adresses IP De 30 000 roubles pour 64 IP à 102 000 pour 512 IP	Le coût varie en fonction du nombre d'adresses IP (valeur nominale - 6 000 roubles)
Soutien systèmes vivants	logiciel personnalisé	Windows, Mac OS, Linux	Cisco, Linux, UNIX, Windows	Unix, Linux, FreeBSD, OpenBSD, NetBSD, Solaris, Windows 95/98/ME/NT/2000/XP/.NET	Windows, AIX, HP-UX, Linux et Solaris
Amitié Intervention affronter	Interface simple et intuitive	Interface simple et intuitive	Interface claire	Interface conviviale et claire	Interface claire
Possible ness filigrane itinérant	Système de paramètres flexibles, le type de numérisation et les paramètres varient, une numérisation anonyme est possible. Options possibles scans : scan SYN, scan FIN – requête FIN pure ; Arbre de Noël - inclut FIN, URG, PUSH dans la demande ; Analyse nulle, analyse de rebond FTP, analyse d'identité, analyse UDP, etc. Il est également possible de connecter vos propres procédures de vérification, pour lesquelles un langage de script spécial est fourni - NASL (Nessus Attack Scripting Language). Le scanner utilise à la fois des outils standard pour tester et collecter des informations sur la configuration et le fonctionnement du réseau, ainsi que des outils spéciaux qui imitent les actions d'un intrus potentiel pour pénétrer dans les systèmes.	Analyse des ports TCP/IP et UDP. Le système d'exploitation, les environnements et applications virtuels, les appareils mobiles sont vérifiés ; les bases de données OVAL et SANS Top 20 sont utilisées.	Les vulnérabilités sont détectées à l'aide d'un test d'intrusion, les risques sont évalués et leurs priorités d'atténuation sont déterminées sur la base d'une évaluation de la probabilité d'exploitation. Vulnérabilités (de Core Impact®, Metasploit®, Exploit-db), CVSS et d'autres facteurs.	FTP, SSH, Telnet, SMTP, DNS, Finger, HTTP, POP3, IMAP, NetBios, NFS, NNTP, SNMP, Squid (SSS est le seul scanner au monde qui vérifie les serveurs proxy pour les audits - d'autres scanners déterminent simplement la présence de un port), LDAP (le seul scanner au monde qui vérifie les audits des serveurs LDAP - d'autres scanners déterminent simplement la présence d'un port), HTTPS, SSL, TCP/IP, UDP, Registry, etc. Créez facilement vos propres rapports.	Vérifications FTP, LDAP et SNMP ; vérifier les e-mails ; Vérifications RPC, NFS, NIS et DNS ; vérifier la possibilité d'attaques par déni de service ; vérifie la présence d’attaques de « devinette de mot de passe » (Brute Force) ; vérifier les serveurs Web et les scripts CGI, les navigateurs Web et les terminaux X ; vérifier les pare-feu et les serveurs proxy ; vérifier les services d'accès à distance ; Vérifications du système de fichiers du système d'exploitation Windows ; vérifier le sous-système de sécurité et le sous-système d'audit du système d'exploitation Windows ; vérifier le registre système et les mises à jour du système d'exploitation Windows installées ; vérifier la présence de modems sur le réseau et la présence de chevaux de Troie ; vérification des services et des démons ; vérifications de comptes.
Identifier fication de services et d'applications palefreniers	Mise en œuvre de qualité de la procédure d'identification des services et des applications.	Détection des applications non autorisées/malwares et mise sur liste noire avec un niveau élevé de vulnérabilité.	Détection des OS, applications, bases de données, applications web.	Vérifie chaque port pour déterminer quels services les écoutent. Détecte le système d'exploitation, les applications, les bases de données et les applications Web.	Identifie les vulnérabilités des services réseau, des systèmes d'exploitation, des routeurs, des serveurs de messagerie et Web, des pare-feu et des logiciels d'application.
Générer un rapport	Possibilité d'enregistrer des rapports aux formats nessus (xml), pdf, html, csv, nessus DB	Possibilité de générer des rapports allant des rapports sur les tendances d'utilisation du réseau pour la direction aux rapports détaillés pour le personnel technique. Il est possible de créer des rapports sur le respect des normes : Health Insurance Portability and Accountability Act (HIPAA), Public Services Network - Code of Connection (PSN CoCo), Sarbanes - Oxley Act (SOX), Gramm - Leach - Bliley Act (GLB/ GLBA), également connue sous le nom de norme de sécurité numérique de l'industrie des cartes de paiement (PCI-DSS).	Il existe des outils de génération de rapports, l'une des plus larges gammes de capacités de reporting.	Il a la capacité de sauvegarder le rapport à la fois au format HTML et aux formats XML, PDF, RTF, CHM. Le processus de création d'un rapport lui-même se déroule sous la forme de sélection des informations à afficher. La possibilité de créer un rapport n'est disponible que dans la version complète.	Un puissant sous-système de génération de rapports qui vous permet de créer facilement diverses formes de rapports et de les trier par caractéristiques.
Possible capacité de production rapport gratuit	Oui, uniquement dans la version complète.			Oui, uniquement dans la version complète.
Fréquence de mise à jour lénia	Mises à jour régulières, mais les utilisateurs de la version d'essai ne reçoivent pas les dernières mises à jour.	Mises à jour fréquentes	Mises à jour fréquentes	Mises à jour régulières	Mises à jour régulières
Technique soutien technique	Présent		Présent	Présent, disponible en russe.	Présent

Les travaux ont examiné 5 scanners de vulnérabilités, qui ont été comparés selon les critères sélectionnés.

En termes d'efficacité, le scanner Nessus a été choisi comme leader, car il possède la gamme la plus complète de capacités pour analyser la sécurité d'un système informatique. Il est cependant relativement cher par rapport aux autres scanners : si vous disposez d'un petit nombre d'adresses IP, il est plus judicieux de choisir GFI LanGuard ou SSS.

Bibliographie:

1. Dolgin A.A., Khorev P.B., Développement d'un scanner de vulnérabilités systèmes informatiques basé sur des versions protégées du système d'exploitation Windows, Actes de la conférence scientifique et technique internationale " Médias d'information et technologies", 2005.
2. Portail d'information sur la sécurité [Ressource électronique] - Mode d'accès. - URL : http://www.securitylab.ru/ (date de consultation le 27/03/15).
3. Magazine en ligne Softkey.info [Ressource électronique] - Mode d'accès. - URL : http://www.softkey.info/ (date de consultation le 27/03/15).
4. Site officiel de "GFI Software". [Ressource électronique] - Mode d'accès. - URL : http://www.gfi.ru/ (date de consultation le 27/03/15).
5. Site officiel de "Au-delà de la confiance". [Ressource électronique] - Mode d'accès. - URL : http://www.beyondtrust.com/Products/RetinaNetworkSecurityScanner/ (consulté le 27/03/15).
6. Site officiel d'IBM [Ressource électronique] - Mode d'accès. - URL : http://www.ibm.com/ (consulté le 27/03/15).
7. Site officiel Tenable Network Security [Ressource électronique] - Mode d'accès. - URL : http://www.tenable.com/products/nessus-vulnerability-scanner/ (consulté le 27/03/15).
8. Site officiel "safety-lab". [Ressource électronique] - Mode d'accès. - URL : http://www.safety-lab.com/ (date de consultation le 27/03/15).
9. Solutions IBM pour la sécurité de l'information [Ressource électronique] - Mode d'accès. - URL : http://www.ibm.com/ru/services/iss/pdf/ISS_2009_DB_s10.pdf (consulté le 27/03/15).
10. Khorev P.B., Méthodes et moyens de protection des informations dans les systèmes informatiques, M., Centre d'édition "Académie", 2005.

Comme vous pouvez le constater, ils sont nombreux et ils sont tous très dangereux pour les systèmes qui y sont exposés. Il est important non seulement de mettre à jour votre système à temps pour vous protéger contre de nouvelles vulnérabilités, mais également de vous assurer que votre système ne contient pas de vulnérabilités corrigées depuis longtemps et que les pirates pourraient exploiter.

C'est là que les scanners de vulnérabilités Linux viennent à la rescousse. Les outils d'analyse des vulnérabilités sont l'un des composants les plus importants du système de sécurité de chaque entreprise. La vérification des applications et des systèmes pour détecter les anciennes vulnérabilités est une pratique obligatoire. Dans cet article, nous examinerons meilleurs scanners vulnérabilités, avec ouverture code source, que vous pouvez utiliser pour détecter les vulnérabilités de vos systèmes et programmes. Tous sont entièrement gratuits et peuvent être utilisés comme utilisateurs ordinaires, et dans le secteur des entreprises.

OpenVAS ou Open Vulnerability Assessment System est une plateforme complète de recherche de vulnérabilités, distribuée en open source. Le programme est basé sur le code source du scanner Nessus. Initialement, ce scanner était distribué en open source, mais les développeurs ont ensuite décidé de fermer le code, puis, en 2005, OpenVAS a été créé sur la base de la version ouverte de Nessus.

Le programme se compose d'une partie serveur et d'une partie client. Le serveur, qui effectue le travail principal des systèmes de numérisation, fonctionne uniquement sous Linux et les programmes clients prennent également en charge Windows ; le serveur est accessible via une interface Web.

Le noyau du scanner contient plus de 36 000 contrôles de vulnérabilité différents et est mis à jour quotidiennement avec l'ajout de nouveaux contrôles récemment découverts. Le programme peut détecter les vulnérabilités dans les services en cours d'exécution et également rechercher des paramètres incorrects, par exemple un manque d'authentification ou des mots de passe très faibles.

2. Édition communautaire Nexpose

Il s'agit d'un autre outil open source d'analyse des vulnérabilités Linux développé par Rapid7, la même société qui a publié Metasploit. Le scanner peut détecter jusqu'à 68 000 vulnérabilités connues et effectuer plus de 160 000 analyses réseau.

La version Comunity est entièrement gratuite, mais elle est limitée à l'analyse simultanée de jusqu'à 32 adresses IP et d'un seul utilisateur. La licence doit également être renouvelée chaque année. Il n'y a pas d'analyse des applications Web, mais elle prend en charge la mise à jour automatique de la base de données des vulnérabilités et la réception d'informations sur les vulnérabilités de Microsoft Patch.

Le programme peut être installé non seulement sur Linux, mais également sur Windows, et la gestion s'effectue via l'interface Web. En l'utilisant, vous pouvez définir les paramètres d'analyse, les adresses IP et d'autres informations nécessaires.

Une fois l'analyse terminée, vous verrez une liste de vulnérabilités, ainsi que des informations sur le logiciel installé et le système d'exploitation sur le serveur. Vous pouvez également créer et exporter des rapports.

3. Édition gratuite Burp Suite

Burp Suite est un scanner de vulnérabilités Web écrit en Java. Le programme se compose d'un serveur proxy, d'un spider, d'un outil pour générer des requêtes et effectuer des tests de stress.

AVEC en utilisant Burp vous pouvez effectuer des tests d'applications Web. Par exemple, à l'aide d'un serveur proxy, vous pouvez intercepter et visualiser le trafic qui passe, ainsi que le modifier si nécessaire. Cela vous permettra de simuler de nombreuses situations. L'araignée vous aidera à trouver les vulnérabilités du Web et l'outil de génération de requêtes vous aidera à trouver la force du serveur Web.

4. Arachnes

Arachni est un framework de test d'applications Web complet écrit en Ruby et open source. Il permet d'évaluer la sécurité des applications et des sites Web en effectuant divers tests d'intrusion.

Le programme prend en charge l'analyse avec authentification, la personnalisation des en-têtes, la prise en charge de l'usurpation d'identité Aser-Agent, la prise en charge de la détection 404. De plus, le programme dispose d'une interface Web et d'une interface de ligne de commande, l'analyse peut être suspendue puis reprise et en général, tout fonctionne très rapidement .

5. Proxy d'attaque OWASP Zed (ZAP)

OWASP Zed Attack Proxy est un autre outil complet pour rechercher les vulnérabilités des applications Web. Toutes les fonctionnalités standard de ce type de programme sont prises en charge. Vous pouvez analyser les ports, vérifier la structure du site, rechercher de nombreuses vulnérabilités connues et vérifier si les demandes répétées ou les données incorrectes sont traitées correctement.

Le programme peut fonctionner via https et prend également en charge divers proxys. Le programme étant écrit en Java, il est très simple à installer et à utiliser. En plus des fonctionnalités de base, il existe un grand nombre de plugins qui peuvent augmenter considérablement les fonctionnalités.

6. Clair

Clair est un outil permettant de trouver les vulnérabilités Linux dans les conteneurs. Le programme contient une liste de vulnérabilités qui peuvent être dangereuses pour les conteneurs et avertit l'utilisateur si de telles vulnérabilités ont été découvertes dans votre système. Le programme peut également envoyer des notifications si de nouvelles vulnérabilités apparaissent qui pourraient rendre les conteneurs dangereux.

Chaque conteneur est vérifié une fois et il n'est pas nécessaire de le lancer pour le vérifier. Le programme peut récupérer toutes les données nécessaires à partir d'un conteneur désactivé. Ces données sont stockées dans un cache pour pouvoir signaler des vulnérabilités à l'avenir.

7.Powerfuzzer

Powerfuzzer est un robot d'exploration Web complet, automatisé et hautement personnalisable qui vous permet de tester la façon dont une application Web réagit aux données non valides et aux requêtes répétées. L'outil ne prend en charge que le protocole HTTP et peut détecter des vulnérabilités telles que les attaques XSS, injection SQL, LDAP, CRLF et XPATH. Il prend également en charge le suivi des erreurs 500, ce qui pourrait indiquer une mauvaise configuration ou même un danger tel qu'un débordement de tampon.

8. Nmap

Nmap n'est pas exactement un scanner de vulnérabilités pour Linux. Ce programme vous permet d'analyser le réseau et de découvrir quels nœuds y sont connectés, ainsi que de déterminer quels services y sont exécutés. Cela ne fournit pas d’informations complètes sur les vulnérabilités, mais vous pouvez deviner laquelle. logiciel peut être vulnérable, essayez de déchiffrer des mots de passe faibles. Il est également possible d'exécuter des scripts spéciaux qui permettent d'identifier certaines vulnérabilités de certains logiciels.

conclusions

Dans cet article, nous avons passé en revue les meilleurs scanners de vulnérabilités Linux, ils vous permettent de garder votre système et vos applications sous contrôle. sécurité totale. Nous avons examiné les programmes qui vous permettent d'analyser le système d'exploitation lui-même ou les applications et sites Web.

Enfin, vous pouvez regarder une vidéo expliquant ce que sont les scanners de vulnérabilités et pourquoi ils sont nécessaires :

Le problème d'une épidémie de vers de réseau concerne tout réseau local. Tôt ou tard, une situation peut survenir lorsqu'un ver de réseau ou de messagerie pénètre dans le réseau local et n'est pas détecté par l'antivirus utilisé. Un virus de réseau se propage sur un réseau local via des vulnérabilités du système d'exploitation qui n'étaient pas fermées au moment de l'infection ou via des vulnérabilités accessibles en écriture. ressources partagées. Virus de messagerie, comme son nom l'indique, est distribué par courrier électronique, à condition qu'il ne soit pas bloqué par l'antivirus client et l'antivirus sur serveur de courrier. De plus, une épidémie sur un réseau local peut être organisée de l'intérieur grâce aux activités d'un initié. Dans cet article, nous examinerons les méthodes pratiques d'analyse opérationnelle des ordinateurs LAN à l'aide de divers outils, notamment l'utilitaire AVZ de l'auteur.

Formulation du problème

Si une épidémie ou une activité anormale est détectée sur le réseau, l'administrateur doit résoudre rapidement au moins trois tâches :

• détecter les PC infectés sur le réseau ;
• trouver des échantillons de logiciels malveillants à envoyer à un laboratoire antivirus et élaborer une stratégie de contre-attaque ;
• prendre des mesures pour bloquer la propagation du virus sur le réseau local et le détruire sur les ordinateurs infectés.

Dans le cas d'une activité d'initié, les principales étapes d'analyse sont identiques et se résument le plus souvent à la nécessité de détecter les logiciels tiers installés par l'initié sur les ordinateurs du réseau local. Des exemples de tels logiciels incluent des utilitaires d'administration à distance, enregistreurs de frappe et divers signets de chevaux de Troie.

Examinons plus en détail la solution à chacune des tâches.

Rechercher des PC infectés

Pour rechercher des PC infectés sur le réseau, vous pouvez utiliser au moins trois méthodes :

• analyse automatique du PC à distance - obtention d'informations sur les processus en cours d'exécution, les bibliothèques et les pilotes chargés, recherche de modèles caractéristiques - par exemple, des processus ou des fichiers avec prénoms;
• Analyse du trafic PC à l'aide d'un renifleur - cette méthode très efficace pour attraper les robots spammeurs, les vers de messagerie et de réseau, cependant, la principale difficulté liée à l'utilisation d'un renifleur est due au fait qu'un réseau local moderne est construit sur la base de commutateurs et, par conséquent, l'administrateur ne peut pas surveiller le trafic de l'ensemble du réseau. Le problème peut être résolu de deux manières : en exécutant un renifleur sur le routeur (qui permet de surveiller l'échange de données PC avec Internet) et en utilisant les fonctions de surveillance des commutateurs (de nombreuses interrupteurs modernes vous permettent d'attribuer un port de surveillance auquel est dupliqué le trafic d'un ou plusieurs ports de commutateur spécifiés par l'administrateur) ;
• étude de la charge du réseau - dans ce cas, il est très pratique d'utiliser des commutateurs intelligents, qui vous permettent non seulement d'évaluer la charge, mais également de désactiver à distance les ports spécifiés par l'administrateur. Cette opération est grandement simplifiée si l'administrateur dispose d'une carte du réseau, qui contient des informations sur les PC qui sont connectés aux ports de commutateur correspondants et où ils se trouvent ;
• utilisation de honeypots - il est fortement recommandé de créer plusieurs honeypots sur le réseau local qui permettront à l'administrateur de détecter à temps une épidémie.

Analyse automatique des PC sur le réseau

L'analyse automatique du PC peut être réduite à trois étapes principales :

• effectuer une analyse complète du PC - processus en cours d'exécution, bibliothèques et pilotes chargés, démarrage automatique ;
• mener des recherches opérationnelles - par exemple, rechercher des processus ou des fichiers caractéristiques ;
• quarantaine d'objets selon certains critères.

Tous les problèmes ci-dessus peuvent être résolus à l'aide de l'utilitaire AVZ de l'auteur, conçu pour être lancé à partir d'un dossier réseau sur le serveur et prenant en charge un langage de script pour l'inspection automatique du PC. Pour exécuter AVZ sur les ordinateurs des utilisateurs, vous devez :

1. Placez AVZ dans un dossier réseau sur le serveur ouvert en lecture.
2. Créez des sous-répertoires LOG et Qurantine dans ce dossier et autorisez les utilisateurs à y écrire.
3. Lancez AVZ sur les ordinateurs du réseau local à l'aide de l'utilitaire rexec ou du script de connexion.

Le lancement d'AVZ à l'étape 3 doit être effectué avec les paramètres suivants :

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

Dans ce cas, le paramètre Priority=-1 diminue la priorité du processus AVZ, les paramètres nw=Y et nq=Y font passer la quarantaine en mode « network run » (dans ce cas, un sous-répertoire est créé dans le dossier de quarantaine pour chaque ordinateur dont le nom correspond au nom de réseau du PC), HiddenMode=2 demande de refuser à l'utilisateur l'accès aux contrôles GUI et AVZ, et enfin, le paramètre Script le plus important spécifie le nom complet du script avec le commandes qu'AVZ exécutera sur l'ordinateur de l'utilisateur. Le langage de script AVZ est assez simple à utiliser et se concentre exclusivement sur la résolution de problèmes d'examen et de traitement informatique. Pour simplifier le processus d'écriture de scripts, vous pouvez utiliser un éditeur de script spécialisé, qui contient une invite en ligne, un assistant pour créer des scripts standard et des outils pour vérifier l'exactitude du script écrit sans l'exécuter (Fig. 1).

Riz. 1. Éditeur de scripts AVZ

Examinons trois scripts typiques qui peuvent être utiles dans la lutte contre l'épidémie. Tout d’abord, nous avons besoin d’un script de recherche sur PC. La tâche du script est d'examiner le système et de créer un protocole avec les résultats dans un dossier réseau donné. Le script ressemble à ceci :

ActiverWatchDog(60 * 10);

// Démarrer l'analyse et l'analyse

// Exploration du système

ExecuteSysCheck(ObtenirAVZDirectory+

‘\LOG\’+GetComputerName+’_log.htm’);

//Arrêter AVZ

Lors de l'exécution de ce script, des fichiers HTML avec les résultats de l'étude des ordinateurs du réseau seront créés dans le dossier LOG (en supposant qu'il soit créé dans le répertoire AVZ sur le serveur et qu'il soit disponible pour que les utilisateurs puissent écrire), et pour assurer l'unicité, le nom de l'ordinateur examiné est inclus dans le nom du protocole. Au début du script, il y a une commande pour activer un minuteur de surveillance, qui mettra fin de force au processus AVZ après 10 minutes si des échecs se produisent pendant l'exécution du script.

Le protocole AVZ est pratique pour une étude manuelle, mais il est peu utile pour une analyse automatisée. De plus, l'administrateur connaît souvent le nom du fichier malveillant et n'a qu'à vérifier la présence ou l'absence de ce fichier et, s'il est présent, le mettre en quarantaine pour analyse. Dans ce cas, vous pouvez utiliser le script suivant :

// Activer la minuterie de surveillance pendant 10 minutes

ActiverWatchDog(60 * 10);

// Recherche de malware par nom

QuarantineFile('%WinDir%\smss.exe', 'Suspect à propos de LdPinch.gen');

QuarantineFile('%WinDir%\csrss.exe', 'Suspicion de LdPinch.gen');

//Arrêter AVZ

Ce script utilise la fonction QuarantineFile pour tenter de mettre en quarantaine les fichiers spécifiés. L'administrateur peut uniquement analyser le contenu de la quarantaine (dossier Quarantine\network_name_PC\quarantine_date\) pour détecter la présence de fichiers en quarantaine. Veuillez noter que la fonction QuarantineFile bloque automatiquement la quarantaine des fichiers identifiés par la base de données sécurisée AVZ ou la base de données de signatures numériques Microsoft. Pour application pratique ce script peut être amélioré - organisez le chargement des noms de fichiers à partir d'un fichier texte externe, vérifiez les fichiers trouvés par rapport aux bases de données AVZ et générez un protocole texte avec les résultats du travail :

// Recherche un fichier avec le nom spécifié

function CheckByName(Fname: string) : booléen;

Résultat := FileExists(FName) ;

si résultat alors commencez

cas CheckFile(FName) de

1 : S:= ‘, l’accès au fichier est bloqué’ ;

1 : S:= ', détecté comme logiciel malveillant ("+GetLastCheckTxt+')' ;

2 : S:= ', suspecté par le scanner de fichiers ("+GetLastCheckTxt+')' ;

3 : sortie ; // Les fichiers sécurisés sont ignorés

AddToLog('Le fichier '+NormalFileName(FName)+' a un nom suspect'+S);

//Ajoute le fichier spécifié en quarantaine

QuarantineFile(FName, 'fichier suspect'+S);

SuspNames : TStringList ; // Liste des noms de fichiers suspects

// Vérification des fichiers par rapport à la base de données mise à jour

si FileExists (GetAVZDirectory + 'files.db') alors commencez

SuspNames := TStringList.Create ;

SuspNames.LoadFromFile('files.db');

AddToLog('Base de données de noms chargée - nombre d'enregistrements = '+inttostr(SuspNames.Count));

// Boucle de recherche

pour i:= 0 à SuspNames.Count - 1 faire

CheckByName(SuspNames[i]);

AddToLog('Erreur lors du chargement de la liste des noms de fichiers');

SaveLog(GetAVZDirectory+’\LOG\’+

GetComputerName+’_files.txt’);

Pour que ce script fonctionne, vous devez créer les répertoires Quarantaine et LOG dans le dossier AVZ, accessibles aux utilisateurs en écriture, ainsi que fichier texte files.db - chaque ligne de ce fichier contiendra le nom du fichier suspect. Les noms de fichiers peuvent inclure des macros, dont les plus utiles sont %WinDir% (chemin d'accès à Dossier Windows) et %SystemRoot% (chemin d'accès au dossier System32). Une autre direction d'analyse pourrait être un examen automatique de la liste des processus exécutés sur les ordinateurs des utilisateurs. Les informations sur les processus en cours se trouvent dans le protocole de recherche du système, mais pour une analyse automatique, il est plus pratique d'utiliser le fragment de script suivant :

procédure ScanProcess ;

S:= ''; S1 := '' ;

//Mise à jour de la liste des processus

Actualiser la liste des processus ;

AddToLog('Nombre de processus = '+IntToStr(GetProcessCount));

// Cycle d'analyse de la liste reçue

pour i:= 0 à GetProcessCount - 1 commence

S1 := S1 + ',' + ExtractFileName (GetProcessName (i));

// Recherche d'un processus par son nom

si pos('trojan.exe', LowerCase(GetProcessName(i))) > 0 alors

S:= S + GetProcessName(i)+',';

si S<>''alors

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

L'étude des processus dans ce script est effectuée en tant que procédure ScanProcess distincte, il est donc facile de le placer dans son propre script. La procédure ScanProcess construit deux listes de processus : liste complète processus (pour analyse ultérieure) et une liste de processus qui, du point de vue de l’administrateur, sont considérés comme dangereux. Dans ce cas, à des fins de démonstration, un processus nommé « trojan.exe » est considéré comme dangereux. Les informations sur les processus dangereux sont ajoutées au fichier texte _alarm.txt, les données sur tous les processus sont ajoutées au fichier _all_process.txt. Il est facile de voir que vous pouvez compliquer le script en y ajoutant, par exemple, la vérification des fichiers de processus par rapport à une base de données de fichiers sûrs ou en vérifiant les noms. fichiers exécutables processus sur une base externe. Une procédure similaire est utilisée dans les scripts AVZ utilisés dans Smolenskenergo : l'administrateur étudie périodiquement les informations collectées et modifie le script en y ajoutant le nom des processus de programmes interdits par la politique de sécurité, par exemple ICQ et MailRu.Agent, ce qui permet vous permettre de vérifier rapidement la présence de logiciels interdits sur les PC étudiés. Une autre utilisation de la liste des processus consiste à rechercher les PC pour lesquels il manque un processus requis, tel qu'un antivirus.

En conclusion, examinons le dernier des scripts d'analyse utiles - un script pour la quarantaine automatique de tous les fichiers qui ne sont pas reconnus par la base de données sécurisée AVZ et la base de données de signatures numériques Microsoft :

// Effectuer une autoquarantaine

Exécuter la quarantaine automatique ;

La quarantaine automatique examine les processus en cours d'exécution et les bibliothèques, services et pilotes chargés, environ 45 méthodes de démarrage automatique, les modules d'extension du navigateur et de l'explorateur, les gestionnaires SPI/LSP, les tâches du planificateur, les gestionnaires du système d'impression, etc. Une particularité de la quarantaine est que les fichiers y sont ajoutés avec contrôle de répétition, de sorte que la fonction de quarantaine automatique peut être appelée à plusieurs reprises.

L'avantage de la quarantaine automatique est qu'avec son aide, l'administrateur peut rapidement collecter les fichiers potentiellement suspects sur tous les ordinateurs du réseau pour examen. La forme la plus simple (mais très efficace en pratique) d'étude des fichiers peut consister à vérifier la quarantaine résultante avec plusieurs antivirus populaires en mode heuristique maximum. A noter que le lancement simultané de l'auto-quarantaine sur plusieurs centaines d'ordinateurs peut créer une charge importante sur le réseau et le serveur de fichiers.

Recherche sur le trafic

La recherche de trafic peut être effectuée de trois manières :

• manuellement à l'aide de renifleurs ;
• en mode semi-automatique - dans ce cas, le renifleur collecte des informations, puis ses protocoles sont traités soit manuellement, soit par un logiciel ;
• automatiquement à l'aide de systèmes de détection d'intrusion (IDS) tels que Snort (http://www.snort.org/) ou leurs analogues logiciels ou matériels. Dans le cas le plus simple, un IDS se compose d'un renifleur et d'un système qui analyse les informations collectées par le renifleur.

Un système de détection d'intrusion est un outil optimal car il permet de créer des ensembles de règles pour détecter les anomalies dans l'activité du réseau. Son deuxième avantage est le suivant : la plupart des IDS modernes permettent de placer des agents de surveillance du trafic sur plusieurs nœuds du réseau : les agents collectent des informations et les transmettent. En cas d'utilisation d'un sniffer, il est très pratique d'utiliser la console UNIX sniffer tcpdump. Par exemple, pour surveiller l'activité sur le port 25 ( Protocole SMTP) lancez simplement le renifleur avec ligne de commande taper:

tcpdump -i em0 -l port TCP 25 > smtp_log.txt

Dans ce cas, les paquets sont capturés via l'interface em0 ; les informations sur les paquets capturés seront stockées dans le fichier smtp_log.txt. Le protocole est relativement facile à analyser manuellement ; dans cet exemple, l'analyse de l'activité sur le port 25 vous permet d'identifier les PC avec des robots spammeurs actifs.

Application du pot de miel

Peut être utilisé comme piège (Honeypot) ordinateur obsolète, dont les performances ne permettent pas de l'utiliser pour résoudre tâches de production. Par exemple, un Pentium Pro de 64 Mo est utilisé avec succès comme piège dans le réseau de l'auteur mémoire vive. Sur ce PC, vous devez installer le système d'exploitation le plus courant sur le réseau local et choisir l'une des stratégies suivantes :

• Installer un système d'exploitation sans packages de mise à jour - ce sera un indicateur de l'apparition d'un ver de réseau actif sur le réseau, exploitant l'une des vulnérabilités connues de ce système d'exploitation ;
• installez un système d'exploitation avec des mises à jour installées sur d'autres PC du réseau - le Honeypot sera analogue à n'importe lequel des postes de travail.

Chaque stratégie a ses avantages et ses inconvénients ; L'auteur utilise principalement l'option sans mises à jour. Après avoir créé le Honeypot, vous devez créer une image disque pour prompt rétablissement système après qu’il ait été endommagé par un logiciel malveillant. Au lieu d'une image disque, vous pouvez utiliser des systèmes de restauration des modifications tels que ShadowUser et ses analogues. Après avoir construit un Honeypot, vous devez tenir compte du fait qu'un certain nombre de vers de réseau recherchent les ordinateurs infectés en analysant la plage IP, calculée à partir de l'adresse IP du PC infecté (les stratégies typiques courantes sont X.X.X.*, X.X.X+1.*, X.X.X-1.*), - donc idéalement, il devrait y avoir un Honeypot sur chaque sous-réseau. En tant qu'éléments de préparation supplémentaires, vous devez absolument ouvrir l'accès à plusieurs dossiers sur le système Honeypot, et dans ces dossiers, vous devez placer plusieurs exemples de fichiers de différents formats, l'ensemble minimum est EXE, JPG, MP3.

Bien entendu, après avoir créé un Honeypot, l'administrateur doit surveiller son fonctionnement et répondre aux éventuelles anomalies détectées sur cet ordinateur. Les auditeurs peuvent être utilisés comme moyen d'enregistrer les modifications ; un renifleur peut être utilisé pour enregistrer l'activité du réseau. Un point important est que la plupart des renifleurs offrent la possibilité de configurer l'envoi d'une alerte à l'administrateur si une activité réseau spécifiée est détectée. Par exemple, dans le renifleur CommView, une règle implique de spécifier une « formule » qui décrit un paquet réseau, ou de spécifier des critères quantitatifs (envoi de plus d'un nombre spécifié de paquets ou d'octets par seconde, envoi de paquets à des adresses IP ou MAC non identifiées) - Figue. 2.

Riz. 2. Créez et configurez une alerte d'activité réseau

À titre d'avertissement, il est plus pratique d'utiliser les messages électroniques envoyés à Boites aux lettres administrateur - dans ce cas, vous pouvez recevoir des alertes rapides de tous les pièges du réseau. De plus, si le sniffer permet de créer plusieurs alertes, il est logique de différencier l'activité du réseau en mettant en évidence le travail avec par email, FTP/HTTP, TFTP, Telnet, MS Net, augmentation du trafic de plus de 20 à 30 paquets par seconde pour n'importe quel protocole (Fig. 3).

Riz. 3. Lettre de notification envoyée
si des paquets correspondant aux critères spécifiés sont détectés

Lors de l'organisation d'un piège, c'est une bonne idée d'y placer plusieurs services réseau vulnérables utilisés sur le réseau ou d'installer un émulateur pour eux. Le plus simple (et gratuit) est l'utilitaire propriétaire APS, qui fonctionne sans installation. Le principe de fonctionnement d'APS se résume à écouter de nombreux ports TCP et UDP décrits dans sa base de données et à émettre une réponse prédéterminée ou générée aléatoirement au moment de la connexion (Fig. 4).

Riz. 4. Fenêtre principale de l'utilitaire APS

La figure montre une capture d'écran prise lors d'une véritable activation de l'APS sur le LAN Smolenskenergo. Comme le montre la figure, une tentative a été enregistrée pour connecter l'un des ordinateurs clients sur le port 21. L'analyse des protocoles a montré que les tentatives sont périodiques et sont enregistrées par plusieurs traps sur le réseau, ce qui permet de conclure que le Le réseau est analysé afin de rechercher et de pirater des serveurs FTP en devinant les mots de passe. APS conserve des journaux et peut envoyer des messages aux administrateurs avec des rapports sur les connexions enregistrées aux ports surveillés, ce qui est pratique pour détecter rapidement les analyses réseau.

Lors de la création d'un Honeypot, il est également utile de se familiariser avec les ressources en ligne sur le sujet, notamment http://www.honeynet.org/. Dans la section Outils de ce site (http://www.honeynet.org/tools/index.html), vous trouverez un certain nombre d'outils permettant d'enregistrer et d'analyser les attaques.

Suppression des logiciels malveillants à distance

Idéalement, après la découverte des échantillons malware l'administrateur les envoie au laboratoire antivirus, où ils sont rapidement étudiés par des analystes et les signatures correspondantes sont saisies dans la base de données antivirus. Ces signatures sont automatiquement mises à jour sur le PC de l'utilisateur et l'antivirus supprime automatiquement les logiciels malveillants sans intervention de l'administrateur. Cependant, cette chaîne ne fonctionne pas toujours comme prévu ; en particulier, les raisons d'échec suivantes sont possibles :

• pour diverses raisons indépendantes de l'administrateur du réseau, les images peuvent ne pas parvenir au laboratoire antivirus ;
• efficacité insuffisante du laboratoire antivirus - idéalement, il ne faut pas plus de 1 à 2 heures pour étudier les échantillons et les saisir dans la base de données, ce qui signifie que des bases de données de signatures mises à jour peuvent être obtenues en une journée ouvrable. Cependant, tous les laboratoires antivirus ne travaillent pas aussi rapidement, et vous pouvez attendre plusieurs jours pour les mises à jour (dans de rares cas, voire des semaines) ;
• hautes performances de l'antivirus - un certain nombre de programmes malveillants, après activation, détruisent les antivirus ou perturbent autrement leur fonctionnement. Les exemples classiques incluent la création d'entrées dans le fichier hosts qui bloquent travail normal systèmes de mise à jour automatique des antivirus, suppression de processus, de services et de pilotes antivirus, dommages à leurs paramètres, etc.

Par conséquent, dans les situations ci-dessus, vous devrez gérer manuellement les logiciels malveillants. Dans la plupart des cas, cela n'est pas difficile, puisque les résultats de l'examen informatique révèlent les PC infectés, ainsi que les noms complets des fichiers malveillants. Il ne reste plus qu'à les supprimer à distance. Si le programme malveillant n'est pas protégé contre la suppression, il peut être détruit à l'aide du script AVZ suivant :

// Suppression d'un fichier

SupprimerFichier('nom de fichier');

ExécuterSysClean ;

Ce script supprime un fichier spécifié (ou plusieurs fichiers, puisqu'il peut y avoir un nombre illimité de commandes DeleteFile dans un script), puis nettoie automatiquement le registre. Dans un cas plus complexe, le malware peut se protéger contre la suppression (par exemple, en recréant ses fichiers et ses clés de registre) ou se déguiser en utilisant la technologie rootkit. Dans ce cas, le script devient plus compliqué et ressemblera à ceci :

// Anti-rootkit

SearchRootkit(vrai, vrai);

// Contrôle AVZGuard

SetAVZGuardStatus(vrai);

// Suppression d'un fichier

SupprimerFichier('nom de fichier');

// Activer la journalisation BootCleaner

BC_LogFile (GetAVZDirectory + 'boot_clr.log');

// Importer dans la tâche BootCleaner une liste des fichiers supprimés par le script

BC_ImportDeletedList ;

// Activer BootCleaner

// Nettoyage du système heuristique

ExécuterSysClean ;

Redémarrer Windows (vrai) ;

Ce script inclut une lutte active contre les rootkits, l'utilisation du système AVZGuard (il s'agit d'un bloqueur d'activité de malware) et du système BootCleaner. BootCleaner est un pilote qui supprime les objets spécifiés de KernelMode lors d'un redémarrage, à un stade précoce du démarrage du système. La pratique montre qu'un tel script est capable de détruire la grande majorité des logiciels malveillants existants. L'exception concerne les logiciels malveillants qui modifient les noms de leurs fichiers exécutables à chaque redémarrage. Dans ce cas, les fichiers découverts lors de l'analyse du système peuvent être renommés. Dans ce cas, vous devrez désinfecter votre ordinateur manuellement ou créer vos propres signatures de malware (un exemple de script implémentant une recherche de signature est décrit dans l'aide d'AVZ).

Conclusion

Dans cet article, nous avons examiné quelques techniques pratiques pour lutter manuellement contre une épidémie de réseau local, sans utiliser de produits antivirus. La plupart des techniques décrites peuvent également être utilisées pour rechercher des PC étrangers et des signets de chevaux de Troie sur les ordinateurs des utilisateurs. Si vous rencontrez des difficultés à trouver des logiciels malveillants ou à créer des scripts de traitement, l'administrateur peut utiliser la section « Aide » du forum http://virusinfo.info ou la section « Lutte contre les virus » du forum http://forum.kaspersky.com /index.php?showforum= 18. L'étude des protocoles et l'assistance au traitement sont réalisées gratuitement sur les deux forums, l'analyse du PC est effectuée selon les protocoles AVZ, et dans la plupart des cas le traitement se résume à l'exécution d'un script AVZ sur les PC infectés, compilé par des spécialistes expérimentés de ces forums .

Analyse comparative scanners de sécurité. Partie 1 : Test de pénétration (bref résumé)

Alexandre Antipov

Ce document présente les résultats d'une comparaison des scanners de sécurité réseau lors de tests d'intrusion par rapport aux nœuds du périmètre du réseau.

Lepikhin Vladimir Borissovitch
Chef du Laboratoire de sécurité des réseaux au Centre de formation Informzashchita

Tous les éléments contenus dans le rapport sont des objets de propriété intellectuelle du centre de formation Informzashita. La duplication, la publication ou la reproduction des éléments du rapport sous quelque forme que ce soit est interdite sans le consentement écrit préalable du centre de formation Informzashita.

Texte intégral de l'étude :
http://www.itsecurity.ru/news/reliase/2008/12_22_08.htm

1. Introduction

Les scanners de sécurité réseau sont parfaits à titre de comparaison. Ils sont tous très différents. Et en raison des spécificités des tâches pour lesquelles ils sont destinés, et en raison de leur « double » objectif (les scanners de sécurité des réseaux peuvent être utilisés à la fois pour la défense et « pour l'attaque », et le piratage, comme nous le savons, est une tâche créative) , enfin, aussi parce que derrière chacun de ces outils se cache une fuite de « hacker » (au sens originel du terme) pensé par son créateur.

Lors du choix des conditions de comparaison, l'approche « basée sur les tâches » a été prise comme base. Ainsi, sur la base des résultats, on peut juger de l'adéquation d'un outil particulier pour résoudre la tâche qui lui est assignée. Par exemple, les scanners de sécurité réseau peuvent être utilisés :

• pour l'inventaire des ressources du réseau ;
• lors des « tests d’intrusion » ;
• en train de tester les systèmes pour vérifier leur conformité à diverses exigences.

Ce document présente les résultats d'une comparaison des scanners de sécurité réseau lors de tests d'intrusion par rapport aux nœuds du périmètre du réseau. Les éléments suivants ont été évalués :

• Nombre de vulnérabilités trouvées
• Nombre de faux positifs (Faux Positifs)
• Faux négatifs
• Raisons des absences
• exhaustivité de la base de contrôle (dans le cadre de cette tâche)
• Qualité des mécanismes d'inventaire et détermination de la version du logiciel
• Précision du scanner (dans le cadre de cette tâche)

Les critères énumérés caractérisent ensemble « l'aptitude » du scanner à résoudre la tâche qui lui est assignée, dans ce cas il s'agit de l'automatisation des actions de routine dans le processus de surveillance de la sécurité du périmètre du réseau.

2. Brève description des participants à la comparaison

Avant de commencer la comparaison, le portail a mené une enquête dont le but était de collecter des données sur les scanners utilisés et les tâches pour lesquelles ils sont utilisés.

Environ 500 personnes interrogées (visiteurs du portail) ont participé à l'enquête.

Interrogés sur les scanners de sécurité qu'ils utilisent dans leur organisation, la grande majorité des personnes interrogées ont déclaré utiliser au moins un scanner de sécurité (70 %). Dans le même temps, les organisations qui utilisent régulièrement des scanners de sécurité pour analyser la sécurité de leurs systèmes d'information préfèrent utiliser plusieurs produits de cette classe. 49 % des personnes interrogées ont déclaré que leur organisation utilisait au moins deux scanners de sécurité (Figure 1).

1 . Répartition des organisations interrogées selon le nombre de scanners de sécurité utilisés

Les raisons qui justifient l'utilisation de plusieurs scanners de sécurité incluent le fait que les organisations ne font pas confiance aux solutions d'un seul « fournisseur » (61 %) et lorsque des contrôles spécialisés sont nécessaires (39 %) qui ne peuvent pas être effectués avec un scanner de sécurité complet (Fig. 2). .

2. Raisons d'utiliser plus d'un scanner de sécurité dans les organisations interrogées

Lorsqu'on leur demande à quelles fins les scanners de sécurité spécialisés sont utilisés, la majorité des personnes interrogées ont répondu qu'ils sont utilisés comme outils supplémentaires pour analyser la sécurité des applications Web (68 %). En deuxième position se trouvaient les scanners de sécurité spécialisés pour les SGBD (30 %) et en troisième (2 %) les utilitaires propriétaires permettant de résoudre un éventail spécifique de problèmes d'analyse de la sécurité des systèmes d'information (Fig. 3).

3. Les finalités de l'utilisation de scanners de sécurité spécialisés dans les organisations des personnes interrogées

Le résultat d'une enquête auprès des personnes interrogées (Fig. 4) sur les produits finaux liés aux scanners de sécurité a montré que la majorité des organisations préfèrent utiliser les produits Positive Technologies XSpider (31 %) et Nessus Security Scanner (17 %).

Riz. 4. Scanners de sécurité utilisés dans les organisations des répondants

Les scanners présentés dans le tableau 1 ont été sélectionnés pour participer aux tests de test.

Tableau 1. Scanners de sécurité réseau utilisés en comparaison

Nom	Version
		http://www.nessus.org/download
MaxPatrouille	8.0 (version 1178)	http://www.ptsecurity.ru/maxpatrol.asp
Scanner Internet		http://www-935.ibm.com/services/us/index.wss/offering/iss/a1027208
RétineScanner de sécurité réseau		http://www.eeye.com/html/products/retina/index.html
Scanner de sécurité fantôme (SSS)	7.141 (version 262)	http://www.safety-lab.com/en/products/securityscanner.htm
Auditeur NetClarity		http://netclarity.com/branch-nacwall.html

Ainsi, le premier test est axé sur la tâche d'évaluer la sécurité des systèmes en termes de résistance au piratage.

3. Résumé

Les résultats pour les nœuds restants ont été calculés de la même manière. Après calcul des résultats, le tableau suivant a été obtenu (Tableau 2).

Tableau 2. Résultats finaux pour tous les objets numérisés

Indice		Scanner Internet			Scanner de sécurité fantôme	NetClarité Auditeur
Identification des services et applications, points
Vulnérabilités trouvées, total
De ces faux positifs (faux positifs)
Trouvé correct (sur 225 possibles)
Laissez-passer (faux négatifs)
Parmi ceux-ci, en raison de l'absence de la base de données
Parmi ceux-ci causés par la nécessité d'une authentification
Pour d'autres raisons

3.1 Identification des services et applications

Sur la base des résultats de l'identification des services et des applications, les points ont été simplement additionnés et un point a été déduit pour l'identification incorrecte d'un service ou d'une application (Fig. 5).

Riz. 5. Résultats de l'identification des services et des applications

Le scanner MaxPatrol a obtenu le plus grand nombre de points (108) et le scanner Nessus en a obtenu un peu moins (98). En effet, dans ces deux scanners, la procédure d'identification des services et des applications est mise en œuvre de manière très efficace. Ce résultat peut être qualifié de tout à fait attendu.

Les résultats suivants proviennent des scanners Internet Scanner et NetClarity. Ici, nous pouvons mentionner que, par exemple, Internet Scanner se concentre sur l'utilisation de ports standards pour les applications, ce qui explique en grande partie son faible résultat. Enfin, le scanner NetClarity a les pires performances. Bien qu'il fasse un bon travail d'identification des services (après tout, il est basé sur le noyau Nessus 2.x), ses mauvaises performances globales peuvent s'expliquer par le fait qu'il n'a pas identifié tous les ports ouverts.

3.2 Identification des vulnérabilités

En figue. La figure 6 montre le nombre total de vulnérabilités trouvées par tous les scanners et le nombre de faux positifs. Le plus grand nombre de vulnérabilités ont été trouvées par le scanner MaxPatrol. Nessus s'est à nouveau avéré deuxième (quoique avec une marge significative).
Le leader en termes de nombre de faux positifs était le Shadow Security Scanner. En principe, cela est compréhensible : des exemples d'erreurs liées spécifiquement à ses contrôles ont été donnés ci-dessus.

Riz. 6. Vulnérabilités trouvées et faux positifs

Au total, sur les 16 nœuds, tous les scanners ont trouvé (et ensuite confirmé par vérification manuelle) 225 vulnérabilités. Les résultats ont été distribués comme sur la Fig. 7. Le plus grand nombre de vulnérabilités - 155 sur 225 possibles - ont été identifiées par le scanner MaxPatrol. Le deuxième était le scanner Nessus (son résultat était presque deux fois moins bon). Vient ensuite Internet Scanner, puis NetClarity.
Lors de la comparaison, les raisons des vulnérabilités manquantes ont été analysées et celles qui ont été effectuées en raison d'un manque de vérifications dans la base de données ont été séparées. Le diagramme suivant (Fig. 8) montre les raisons pour lesquelles les scanners manquent des vulnérabilités.

Riz. 7. Vulnérabilités et omissions trouvées

Riz. 8. Raisons des vulnérabilités manquantes

Maintenant quelques indicateurs issus des calculs.

En figue. La figure 39 montre le rapport entre le nombre de faux positifs et le nombre total de vulnérabilités trouvées ; cet indicateur, dans un certain sens, peut être appelé la précision du scanner. Après tout, l'utilisateur traite tout d'abord une liste de vulnérabilités trouvées par le scanner, à partir de laquelle il est nécessaire de sélectionner celles correctement trouvées.

Riz. 9. Précision des scanners

Ce diagramme montre que la précision la plus élevée (95 %) a été obtenue par le scanner MaxPatrol. Bien que son nombre de faux positifs ne soit pas le plus faible, ce taux de précision est obtenu grâce au grand nombre de vulnérabilités trouvées. La deuxième définition la plus précise est Internet Scanner. Il a montré le plus petit nombre de faux positifs. Le scanner SSS a le résultat le plus bas, ce qui n'est pas surprenant étant donné le grand nombre de faux positifs constatés lors de la comparaison.

Un autre indicateur calculé est l'exhaustivité de la base de données (Fig. 10). Il est calculé comme le rapport entre le nombre de vulnérabilités trouvées correctement et le nombre total de vulnérabilités (dans ce cas - 225) et caractérise l'ampleur des « ratés ».

Riz. 10. Complétude de la base de données

Ce diagramme montre clairement que la base du scanner MaxPatrol est la plus adaptée à la tâche.

4. Conclusion

4.1 Commentaires sur les résultats des leaders : MaxPatrol et Nessus

La première place selon tous les critères de cette comparaison revient au scanner MaxPatrol, le scanner Nessus arrive en deuxième position, les résultats des autres scanners sont nettement inférieurs.

Il convient ici de rappeler l'un des documents préparés par l'Institut national américain des normes et technologies (NIST), à savoir la « Guideline on Network Security Testing ». Il indique que lors de la surveillance de la sécurité des systèmes informatiques, il est recommandé d'utiliser au moins deux scanners de sécurité.

En fait, il n’y a rien d’inattendu ou de surprenant dans le résultat obtenu. Ce n'est un secret pour personne que les scanners XSpider (MaxPatrol) et Nessus sont populaires auprès des spécialistes de la sécurité et des pirates informatiques. Ceci est confirmé par les résultats de l’enquête ci-dessus. Essayons d'analyser les raisons du leadership évident de MaxPatrol (cela s'applique en partie au scanner Nessus), ainsi que les raisons de la « perte » d'autres scanners. Tout d'abord, il s'agit d'une identification de haute qualité des services et des applications. Les tests basés sur l'inférence (et ils étaient nombreux dans ce cas) dépendent fortement de l'exactitude de la collecte d'informations. Et l'identification des services et des applications dans le scanner MaxPatrol est presque parfaite. Voici un exemple illustratif.
La deuxième raison du succès de MaxPatrol est l’exhaustivité de la base de données et son adéquation à la tâche à accomplir et, en général, à « aujourd’hui ». Sur la base des résultats, il est à noter que la base de données des contrôles dans MaxPatrol a été considérablement élargie et détaillée, elle a été « mise en ordre », tandis que le « biais » évident en faveur des applications Web est compensé par l'expansion des contrôles dans d'autres domaines. , par exemple, les résultats de l'analyse du routeur présentés dans la comparaison ont été impressionnants par Cisco.

La troisième raison est une analyse qualitative des versions des applications, prenant en compte les systèmes d'exploitation, les distributions et les différentes « branches ». Vous pouvez également ajouter l'utilisation de différentes sources (bases de données de vulnérabilités, notifications et bulletins des fournisseurs).

Enfin, on peut également ajouter que MaxPatrol dispose d'une interface très pratique et logique qui reflète les principales étapes du travail des scanners de sécurité réseau. Et c'est important. La combinaison « nœud, service, vulnérabilité » est très simple à comprendre (NDLR : c'est l'avis subjectif de l'auteur du comparatif). Et surtout pour cette tâche.

Parlons maintenant des lacunes et des points « faibles ». Puisque MaxPatrol s'est avéré être le leader en comparaison, les critiques qui lui seront adressées seront « maximales ».

Premièrement, ce qu’on appelle « perdre dans les petites choses ». Disposant d'un moteur de très haute qualité, il est important d'offrir des services supplémentaires correspondants, par exemple des outils pratiques qui vous permettent de faire quelque chose manuellement, des outils de recherche de vulnérabilités et la possibilité de « peaufiner » le système. MaxPatrol perpétue la tradition XSpider et se concentre au maximum sur l'idéologie « cliquez et ça marche ». D’un côté, ce n’est pas mal, de l’autre, cela limite l’analyste « méticuleux ».

Deuxièmement, certains services sont restés « non couverts » (vous pouvez en juger à partir des résultats de cette comparaison), par exemple IKE (port 500).

Troisièmement, dans certains cas, il y a un manque de comparaison fondamentale des résultats de deux contrôles entre eux, par exemple, comme dans le cas de SSH décrit ci-dessus. Autrement dit, il n'existe aucune conclusion basée sur les résultats de plusieurs contrôles. Par exemple, le système d'exploitation de host4 était classé comme Windows et le « fournisseur » du service PPTP était classé comme Linux. Peut-on tirer des conclusions ? Par exemple, dans le rapport de la zone de définition du système d'exploitation, indiquez qu'il s'agit d'un nœud « hybride ».

Quatrièmement, la description des contrôles laisse beaucoup à désirer. Mais ici, il faut comprendre que MaxPatrol se trouve dans des conditions inégales par rapport aux autres scanners : une traduction de haute qualité en russe de toutes les descriptions est une tâche très laborieuse.

Le scanner Nessus a montré, en général, de bons résultats et, sur un certain nombre de points, il était plus précis que le scanner MaxPatrol. La principale raison pour laquelle Nessus est à la traîne est l'omission de vulnérabilités, mais pas à cause du manque de vérifications dans la base de données, comme la plupart des autres scanners, mais à cause des fonctionnalités d'implémentation. Premièrement (et c'est la raison d'une part importante des lacunes), il y a eu une tendance de développement du scanner Nessus vers le « local » ou vérifications du système, nécessitant une connexion avec un compte. Deuxièmement, le scanner Nessus prend en compte moins de sources d'informations (par rapport à MaxPatrol) sur les vulnérabilités. Ceci est quelque peu similaire au scanner SSS, basé en grande partie sur SecurityFocus.

5. Limites de cette comparaison

Lors de la comparaison, les capacités des scanners ont été étudiées dans le cadre d'une seule tâche : tester la résistance des nœuds du périmètre du réseau au piratage. Par exemple, si nous faisons une analogie avec une voiture, nous avons vu comment différentes voitures se comportent, par exemple sur une route glissante. Cependant, il existe d'autres tâches dont la solution avec les mêmes scanners peut paraître complètement différente. Dans un avenir proche, il est prévu de comparer les scanners tout en résolvant des problèmes tels que :

• Réalisation d'audits système à l'aide compte
• Évaluation de la conformité PCI DSS
• Analyse des systèmes Windows

De plus, il est prévu de comparer les scanners selon des critères formels.

Lors de cette comparaison, seul le « moteur » lui-même a été testé, ou, en termes modernes, le « cerveau » du scanner. Les capacités en termes de services supplémentaires (rapports, enregistrement d'informations sur la progression de l'analyse, etc.) n'ont en aucun cas été évaluées ou comparées.

En outre, le degré de danger et la capacité d'exploiter les vulnérabilités découvertes n'ont pas été évalués. Certains scanners se sont limités à des vulnérabilités « mineures » à faible risque, tandis que d'autres ont identifié des vulnérabilités véritablement critiques qui permettent d'accéder au système.

Scanner de sécurité : détecte les vulnérabilités du réseau, gère les mises à jour et les correctifs, résout automatiquement les problèmes, audite les logiciels et le matériel. GFI Sécurité réseau">Sécurité réseau 2080

Scanner de sécurité réseau et gestion centralisée des mises à jour

GFI LanGuard travaille en tant que consultant virtuel en sécurité :

— Gère les mises à jour pour Windows®, Mac OS® et Linux®

— Détecte les vulnérabilités sur les ordinateurs et appareils mobiles

— Effectue des audits Périphériques réseau et logiciel

GFI Languard est un scanner de sécurité pour les réseaux de toute taille : scanner de ports réseau et de vulnérabilités, scanner de sécurité, trouve automatiquement les failles dans le réseau

GFI Languard est un scanner de sécurité pour les réseaux de toute taille : scanner de ports réseau et de vulnérabilités, scanner de sécurité, trouve automatiquement les failles dans le réseau

Qu'est-ce que GFI LanGuard

Plus qu'un scanner de vulnérabilités !

GFI LanGuard est un scanner de sécurité réseau : détecte, identifie et corrige les vulnérabilités du réseau. Les analyses complètes des ports, la disponibilité des mises à jour logicielles nécessaires pour protéger votre réseau et l'audit des logiciels et du matériel sont tous possibles à partir d'un seul panneau de contrôle.

Scanner de ports

Plusieurs profils d'analyse pré-préparés vous permettent d'effectuer une analyse complète de tous les ports, ainsi que de vérifier rapidement uniquement ceux qui sont couramment utilisés par des logiciels indésirables et malveillants. GFI LanGuard analyse plusieurs hôtes simultanément, réduisant considérablement le temps requis, puis compare le logiciel trouvé sur les ports occupés avec celui attendu.

Mises à jour et correctifs

Avant l'installation dernières mises à jour vos nœuds ne sont absolument pas protégés, car ce sont les dernières vulnérabilités qui sont couvertes par les correctifs et mises à jour actuels qui sont utilisés par les pirates pour pénétrer dans votre réseau. Contrairement aux outils intégrés au système d'exploitation, GFI LanGuard vérifiera non seulement le système d'exploitation lui-même, mais également les logiciels populaires dont les vulnérabilités sont généralement utilisées pour le piratage : Adobe Acrobat/Reader, Lecteur Flash, Skype, Outlook, navigateurs, messageries instantanées.

Audit de nœud

GFI LanGuard se préparera pour vous liste détaillée les logiciels et matériels installés sur chaque ordinateur détecteront les programmes interdits ou manquants, ainsi que les appareils connectés inutiles. Les résultats de plusieurs analyses peuvent être comparés pour identifier les modifications apportées aux logiciels et matériel.

Dernières informations sur les menaces

Chaque scan est effectué après mise à jour des données sur les vulnérabilités, dont le nombre dans la base de données GFI LanGuard dépasse déjà les 50 000. Les informations sur les menaces sont fournies par les éditeurs de logiciels eux-mêmes, ainsi que par des listes SANS et OVAL fiables, de sorte que vous êtes toujours protégé contre les dernières menaces, notamment les menaces cardiaques, clandestines, shellshock, caniche, sandworm, etc.

Correction automatique

Une fois que vous recevez un rapport d'analyse détaillé avec une description de chaque vulnérabilité et des liens vers lectures complémentaires, vous pouvez corriger la plupart des menaces en un seul clic sur le bouton « Corriger » : les ports seront fermés, les clés de registre seront corrigées, les correctifs seront installés, les logiciels seront mis à jour, les programmes interdits seront supprimés et les programmes manquants seront installés.