Programok a hálózatok sebezhetőségeinek keresésére. A hálózati biztonsági szkennerek összehasonlítása. A hálózati sebezhetőségi szkennerek összehasonlítása

A SÉRÜLÉSÜLTSÉGI SZKENNEREK ÁTTEKINTÉSE ÉS ÖSSZEHASONLÍTÁSA

Rozskova Jekatyerina Olegovna

4. éves hallgató, Szentpétervári Állami Orvostudományi Egyetem Hajóautomatizálási és Mérési Tanszék, Orosz Föderáció, Szentpétervár

E- levél: rina1242. ro@ gmail. com

Iljin Ivan Valerijevics

4. éves hallgató, Biztonságos Információs Technológiák Tanszék

St. Petersburg National Research University ITMO, Orosz Föderáció, Szentpétervár

E- levél: vanilint. va@ gmail. com

Galusin Szergej Jakovlevics

tudományos témavezető, Ph.D. tech. Tudományok, rektorhelyettes tudományos munka, Orosz Föderáció, Szentpétervár

A magas szintű biztonság érdekében nemcsak tűzfalakat kell használni, hanem időszakonként intézkedéseket kell végrehajtani a sebezhetőségek észlelésére, például sebezhetőségi szkennerek használatával. A rendszer gyenge pontjainak időben történő azonosítása megakadályozza a jogosulatlan hozzáférést és az adatok manipulálását. De melyik szkenner opció felel meg a legjobban egy adott rendszer igényeinek? A kérdés megválaszolásához először is meg kell határoznia a számítógép vagy a hálózat biztonsági rendszerének hibáit. A statisztikák szerint a támadások többsége ismert és közzétett biztonsági réseken keresztül történik, amelyeket sok okból nem lehet kiküszöbölni, legyen szó időhiányról, személyzetről vagy a rendszergazda hozzá nem értéséről. Azt is meg kell értenie, hogy általában egy rossz szándékú személy többféleképpen is behatolhat egy rendszerbe, és ha az egyik módszer nem működik, a behatoló mindig megpróbálhat egy másikat. A rendszerbiztonság maximális szintjének biztosításához alapos kockázatelemzésre és egy egyértelmű fenyegetési modell továbbfejlesztésére van szükség a pontosabb előrejelzés érdekében lehetséges cselekvések hipotetikus bűnöző.

A leggyakoribb sérülékenységek közé tartozik a puffer túlcsordulása, az útválasztó vagy a tűzfal konfigurációjának lehetséges hibái, a webszerver, levelezőszerverek, DNS-kiszolgálók, adatbázisok sebezhetőségei. Ezenkívül ne hagyja figyelmen kívül az egyik legkényesebb területet információ biztonság- felhasználó- és fájlkezelés, mivel a felhasználó hozzáférési szintjének biztosítása minimális jogosultságokkal olyan speciális feladat, amely kompromisszumot igényel a felhasználói élmény és a rendszerbiztonság biztosítása között. Meg kell említeni az üres vagy gyenge jelszavak, az alapértelmezett fiókok és az általános információszivárgás problémáját.

A biztonsági szkenner az szoftver eszköz távoli vagy helyi diagnosztikához különféle elemek hálózatok a bennük lévő különféle sérülékenységek azonosítására; jelentősen csökkenthetik a szakemberek munkaidejét és megkönnyíthetik a sebezhetőségek felkutatását.

Biztonsági szkennerek áttekintése

Ez a munka olyan szkennereket vizsgált, amelyek ingyenes próbaverzióval rendelkeznek, amely lehetővé teszi a szoftver használatával, hogy megismerkedjen a képességeinek korlátozott listájával, és értékelje a felület egyszerűségének fokát. A következő népszerű sérülékenység-ellenőrzőket választották ki a felülvizsgálat tárgyául: Nessus, GFI LANguard, Retina, Shadow security scanner, Internet Scanner.

Nessus

A Nessus egy olyan program, amely automatikusan keresi az ismert biztonsági hibákat információs rendszerek. Képes a leggyakrabban előforduló sérülékenységek észlelésére, mint például a szolgáltatások vagy tartományok sebezhető verzióinak megléte, konfigurációs hibák (nincs szükség engedélyezésre az SMTP szerveren), alapértelmezett jelszavak jelenléte, üres vagy gyenge jelszavak.

A Nessus szkenner egy hatékony és megbízható eszköz, amely a hálózati szkennerek családjába tartozik, és lehetővé teszi az operációs rendszerek, tűzfalak, szűrőútválasztók és egyéb hálózati összetevők által kínált hálózati szolgáltatások sérülékenységeinek keresését. A sebezhetőségek kereséséhez a következőképpen használják őket szabvány azt jelenti a hálózat konfigurációjával és működésével kapcsolatos információk tesztelése és összegyűjtése, ill speciális eszközök, amely egy támadó tevékenységét emulálja, hogy behatoljon a hálózathoz kapcsolódó rendszerekbe.

A program képes összekapcsolni saját ellenőrzési eljárásait vagy sablonjait. Erre a célra a szkenner egy speciális szkriptnyelvet biztosít, a NASL-t (Nessus Attack Scripting Language). A sebezhetőségi adatbázis folyamatosan bővül és frissül. A regisztrált felhasználók azonnal megkapják az összes frissítést, míg mások (próbaverziók stb.) némi késleltetést kapnak.

GFILanGuard

A GFI LanGuard Network Security Scanner (N.S.S) egy díjnyertes megoldás, amely három alapvető összetevőt használ az Ön védelmére: biztonsági szkenner, javítások kezelése és hálózati vezérlés egyetlen konzolról. A teljes hálózat átvizsgálásával mindent meghatároz lehetséges problémákat biztonságát és annak kiterjedt felhasználásával funkcionalitás jelentés, biztosítja a fenyegetés észleléséhez, értékeléséhez, leírásához és megszüntetéséhez szükséges eszközöket.

A biztonsági felülvizsgálati folyamat több mint 15 000 sebezhetőségi értékelést készít, és IP-címenként vizsgálja a hálózatokat. GFI LanGuard N.S.S. lehetőséget biztosít többplatformos vizsgálat végrehajtására (Windows, Mac OS, Linux) minden környezetben, és elemzi az egyes adatforrások hálózati állapotát. Ez biztosítja, hogy minden fenyegetés azonosítható és kiküszöbölhető legyen, még mielőtt a hackerek rátalálnának.

GFI LanGuard N.S.S. egy teljes és átfogó sebezhetőség-értékelési adatbázist tartalmaz, beleértve az olyan szabványokat, mint az OVAL (több mint 2000 érték) és a SANS Top 20. Ezt az adatbázist rendszeresen frissítik a BugTraq, a SANS Corporation, az OVAL, a CVE stb. információival. A GFI LanGuard automatikusnak köszönhetően frissítési rendszer N.S.S. mindig tartalmazza a legfrissebb információkat a Microsoft biztonsági frissítéseiről, valamint a GFI-ből és más információs tárhelyekből, például az OVAL adatbázisból származó információkat.

GFI LanGuard N.S.S. átvizsgálja a számítógépeket, azonosítja és osztályozza a sebezhetőségeket, intézkedéseket javasol, és eszközöket biztosít a problémák megoldásához. GFI LANguard N.S.S. grafikus fenyegetésszint-jelzőt is használ, amely intuitív, kiegyensúlyozott értékelést nyújt a beolvasott számítógép vagy számítógépcsoport sebezhetőségéről. Lehetőség szerint linket, ill további információ egy adott probléma, például egy azonosító a BugTraq ID-ben vagy a Microsoft Tudásbázisban.

GFI LanGuard N.S.S. lehetővé teszi saját sebezhetőség-tesztelési sémáinak egyszerű létrehozását egy varázsló segítségével. A VBScript szkriptmotor segítségével összetett sebezhetőségi ellenőrzéseket is írhat a GFI LanGuard N.S.S. GFI LanGuard N.S.S. tartalmaz egy szkriptszerkesztőt és hibakeresőt.

Retina

A Retina Network Security Scanner, a BeyondTrust hálózati sérülékenység-ellenőrzője azonosítja az ismert hálózati sérülékenységeket, és a fenyegetéseket prioritásként kezeli a helyreállításhoz. Használat közben szoftver termék minden számítógép, eszköz, operációs rendszer, alkalmazás és vezeték nélküli hálózat azonosítva van.

A felhasználók a Retina segítségével értékelhetik az információbiztonsági kockázatokat, kezelhetik a projektkockázatokat, és megfelelhetnek a szabványos követelményeknek a vállalati szabályzatok auditjain keresztül. Ez a szkenner nem futtatja a biztonsági rés kódját, így a vizsgálat nem vezet a hálózat és az elemzett rendszerek funkcionalitásának elvesztéséhez. Szabadalmaztatott Adaptive Speed ​​​​szkennelési technológia használata helyi hálózat A C osztály körülbelül 15 percet vesz igénybe, ezt az Adaptive Speed ​​​​könnyíti meg - egy nagy sebességű biztonságos hálózati szkennelési technológia. Ezenkívül a rugalmas szkennelési területbeállítások lehetővé teszik rendszergazda elemzi a teljes hálózat vagy egy adott szegmens biztonságát anélkül, hogy a szomszédos hálózatok működését befolyásolná. Esemény automatikus frissítés az adatbázis helyi másolatai, így a hálózatelemzés mindig a legfrissebb adatok alapján történik. A hamis pozitív arány kevesebb, mint 1%, és rugalmas hozzáférés-szabályozás van a rendszerleíró adatbázishoz.

ÁrnyékBiztonságscanner (SSS)

Ez a szkenner használható az ismert és az ismeretlen (kiadás időpontjában) megbízható észlelésére. új verzió termék) sebezhetőségei. A rendszer vizsgálatakor az SSS elemzi az adatokat, beleértve a sebezhetőségek keresését, és jelzi a szerverkonfiguráció lehetséges hibáit. Ezen túlmenően a szkenner javasolja a problémák megoldásának és a rendszer sebezhetőségeinek kijavításának lehetséges módjait.

Hátsóajtó technológiaként a rendszer a gyártó saját fejlesztésű Shadow Security Scanner rendszermagját használja. Megjegyzendő, hogy amikor Windows operációs rendszeren dolgozik, az SSS platformtól függetlenül vizsgálja a szervereket. Példák a platformokra: Unix platformok (Linux, FreeBSD, OpenBSD, Net BSD, Solaris), Windows platformok (95/98/ME/NT/2000/XP/.NET/Win 7 és 8). A Shadow Security Scanner a CISCO, a HP és mások berendezéseinek hibáit is képes észlelni. Ezt a szkennert hazai fejlesztők hozták létre, és ennek megfelelően orosz felülettel, valamint dokumentációval és forró támogatási vonallal rendelkezik.

InternetScanner

Ez a szkenner automatizált észlelést és elemzést tesz lehetővé a sebezhető pontokban vállalati hálózat. A szkenner képességei között szerepel számos ellenőrzés végrehajtása a hálózati szolgáltatások, operációs rendszerek, útválasztók, levelező- és webszerverek, tűzfalak és alkalmazásszoftverek sebezhetőségeinek későbbi azonosítására. Az Internet Scanner több mint 1450 sebezhetőséget képes észlelni és azonosítani, beleértve a hálózati berendezések helytelen konfigurációját, elavult szoftvereket, nem használt hálózati szolgáltatásokat, gyenge jelszavakat stb. Lehetőség van az FTP, LDAP és SNMP protokollok ellenőrzésére, az e-mailek ellenőrzésére, az RPC, az NFS, a NIS és a DNS ellenőrzésére, a támadások lehetőségének ellenőrzésére, mint például "szolgáltatásmegtagadás", "jelszó kitalálás", webszerverek ellenőrzése, CGI szkriptek, Web böngészők és X-terminálok. Ezen kívül lehetőség van a tűzfalak, proxyszerverek, távelérési szolgáltatások, fájlrendszer, biztonsági alrendszer és audit alrendszer, rendszernyilvántartás és telepített frissítések Windows operációs rendszer stb. Az Internet Scanner lehetővé teszi egyetlen sebezhetőség elemzését a hálózat egy adott területén, például egy adott javítás telepítésének ellenőrzését operációs rendszer. Az Internet Scanner működhet Windows szerver NT, támogatja az AIX, HP-UX, Linux és Solaris operációs rendszereket is.

Az összehasonlítási kritériumok kiválasztása előtt hangsúlyozni kell, hogy a kritériumoknak le kell fedniük a biztonsági szkennerek használatának minden aspektusát: az információgyűjtési módszerektől a költségekig. A biztonsági szkenner használata a telepítés tervezésével és magával a telepítéssel kezdődik. Ezért a kritériumok első csoportja a biztonsági szkennerek architektúrájára, összetevőik interakciójára, telepítésére és kezelésére vonatkozik. A következő kritériumcsoport - a szkennelés - az összehasonlított szkennerek által a felsorolt ​​műveletek végrehajtására használt módszerekre, valamint a szoftvertermék meghatározott szakaszaihoz kapcsolódó egyéb paraméterekre terjedjen ki. A fontos kritériumok közé tartozik a szkennelési eredmények is, különös tekintettel a tárolás módjára és arra, hogy ezek alapján milyen jelentéseket lehet készíteni. A következő kritériumok, amelyekre összpontosítani kell, a frissítési és támogatási kritériumok, amelyek lehetővé teszik olyan kérdések tisztázását, mint a frissítési módszerek és módszerek, a technikai támogatás szintje, az engedélyezett képzés elérhetősége stb. Az utolsó csoportba tartozik az egyetlen, de nagyon fontos kritérium - költség.

· Támogatott rendszerek;

· Barátságos felület;

· Szkennelési lehetőségek (profilok szkennelése);

· A profilok testreszabásának képessége (milyen rugalmas);

· Szolgáltatások és alkalmazások azonosítása;

· A sebezhetőségek azonosítása;

· Jelentéskészítés (formátumok);

· Egyéni (saját) jelentés készítésének képessége;

· Frissítési gyakoriság;

· Műszaki támogatás.

Asztal 1. A sebezhetőségi szkennerek összehasonlítása
Scanner		GFI LanGuard
Ár	131 400 RUB/év	1610 dörzsölje. egy IP-címhez. Minél több IP-cím, annál alacsonyabb a költség		A költség az IP-címek számától függően változik 30 000 rubeltől 64 IP esetén 102 000 rubelig 512 IP esetén	A költség az IP-címek számától függően változik (névleges érték - 6000 rubel)
Támogatás élő rendszerek	egyedi szoftver	Windows, Mac OS, Linux	Cisco, Linux, UNIX, Windows	Unix, Linux, FreeBSD, OpenBSD, Net BSD, Solaris, Windows 95/98/ME/NT/2000/XP/.NET	Windows, AIX, HP-UX, Linux és Solaris
Barátság Közbelépés arc	Egyszerű és intuitív felület	Egyszerű és intuitív felület	Tiszta felület	Barátságos és áttekinthető felület	Tiszta felület
Lehetséges ness finom vándorló	Rugalmas beállítási rendszer, a szkennelés típusa és paraméterei változnak, anonim szkennelés lehetséges. Lehetséges lehetőségek szkennelések: SYN scan, FIN scan – tiszta FIN kérés; Xmas Tree - tartalmazza a FIN, URG, PUSH kódot a kérésben; Null scan, FTP bounce scan, Ident scan, UDP scan stb. Lehetőség van saját ellenőrzési eljárások csatlakoztatására is, amelyhez speciális szkriptnyelvet biztosítunk - NASL (Nessus Attack Scripting Language). A szkenner szabványos eszközöket használ a hálózat konfigurációjával és működésével kapcsolatos információk tesztelésére és összegyűjtésére, valamint olyan speciális eszközöket, amelyek emulálják a potenciális behatolók tevékenységét a rendszerekbe való behatolás érdekében.	TCP/IP és UDP portok vizsgálata Az operációs rendszer, a virtuális környezetek és alkalmazások, a mobil eszközök ellenőrzése; az OVAL és a SANS Top 20 adatbázisokat használják.	A sérülékenységeket behatolási teszt segítségével észlelik, a kockázatokat pedig a kiaknázás valószínűségének felmérése alapján értékelik, és mérséklési prioritásaikat határozzák meg. Sebezhetőségek (Core Impact®, Metasploit®, Exploit-db), CVSS és egyéb tényezők.	FTP, SSH, Telnet, SMTP, DNS, Finger, HTTP, POP3, IMAP, NetBios, NFS, NNTP, SNMP, Squid (Az SSS az egyetlen szkenner a világon, amely ellenőrzi a proxyszervereket az auditok szempontjából – a többi szkenner egyszerűen meghatározza a egy port), LDAP (az egyetlen szkenner a világon, amely ellenőrzi az LDAP-szervereket az auditok szempontjából – más szkennerek egyszerűen csak a port jelenlétét állapítják meg), HTTPS, SSL, TCP/IP, UDP, Registry stb. Könnyen létrehozhatja saját jelentéseit.	FTP, LDAP és SNMP ellenőrzések; e-mailek ellenőrzése; RPC, NFS, NIS és DNS ellenőrzések; szolgáltatásmegtagadási támadások lehetőségének ellenőrzése; ellenőrzi a „jelszókitaláló” támadások jelenlétét (Brute Force); webszerverek és CGI-szkriptek, webböngészők és X-terminálok ellenőrzése; tűzfalak és proxyszerverek ellenőrzése; Távoli hozzáférési szolgáltatások ellenőrzése; Windows OS fájlrendszer ellenőrzések; a Windows operációs rendszer biztonsági alrendszerének és audit alrendszerének ellenőrzése; a rendszerleíró adatbázis és a telepített Windows operációs rendszer frissítéseinek ellenőrzése; modemek jelenlétének ellenőrzése a hálózaton és a trójai falók megléte; szolgáltatások és démonok ellenőrzése; számla csekkeket.
Azonosítani szolgáltatások és alkalmazások tervezése vőlegények	A szolgáltatások és alkalmazások azonosítására szolgáló eljárás minőségi megvalósítása.	Jogosulatlan/rosszindulatú programok és magas szintű sebezhetőségű alkalmazások feketelistára tétele.	OS, alkalmazások, adatbázisok, webes alkalmazások észlelése.	Ellenőrzi az egyes portokat, hogy megállapítsa, mely szolgáltatások figyelik őket. Érzékeli az operációs rendszert, alkalmazásokat, adatbázisokat, webalkalmazásokat.	Azonosítja a hálózati szolgáltatások, operációs rendszerek, útválasztók, levelező- és webszerverek, tűzfalak és alkalmazásszoftverek sebezhetőségeit.
Jelentés generálása	Lehetőség a jelentések nessus (xml), pdf, html, csv, nessus DB formátumban történő mentésére	Képes jelentéseket készíteni a hálózathasználati trendekről szóló jelentésektől a menedzsment számára a részletes jelentésekig a műszaki személyzet számára. Lehetőség van jelentéseket készíteni a szabványoknak való megfelelésről: Egészségbiztosítási hordozhatóságról és elszámoltathatóságról szóló törvény (HIPAA), Public Services Network - Connection Code (PSN CoCo), Sarbanes - Oxley Act (SOX), Gramm - Leach - Bliley Act (GLB/). GLBA), más néven Payment Card Industry Digital Security Standard (PCI-DSS).	Vannak jelentéskészítő eszközök, amelyek a jelentéskészítési lehetőségek egyik legszélesebb skáláját jelentik.	Lehetősége van a jelentés elmentésére mind html formátumban, mind xml, pdf, rtf, chm formátumban. Maga a jelentéskészítés folyamata a megjeleníteni kívánt információk kiválasztása formájában történik. A jelentéskészítés lehetősége csak a teljes verzióban érhető el.	Hatékony jelentéskészítő alrendszer, amely lehetővé teszi a jelentések különféle formáinak egyszerű létrehozását és azok jellemzők szerinti rendezését.
Lehetséges termelő kapacitás ingyenes riport	Igen, csak a teljes verzióban.			Igen, csak a teljes verzióban.
Frissítési gyakoriság leniya	Rendszeres frissítések, de a próbaverzió felhasználói nem kapják meg a legújabb frissítéseket.	Gyakori frissítések	Gyakori frissítések	Rendszeres frissítések	Rendszeres frissítések
Techni technikai támogatás	Ajándék		Ajándék	Jelenleg, orosz nyelven elérhető.	Ajándék

A munka során 5 sebezhetőségi szkennert vizsgáltak meg, amelyeket a kiválasztott szempontok szerint hasonlítottak össze.

Hatékonyság szempontjából a Nessus szkennert választották vezetőnek, mivel ez rendelkezik a legteljesebb lehetőségekkel a számítógépes rendszerek biztonságának elemzéséhez. Más szkennerekhez képest azonban viszonylag drága: ha kevés IP-címünk van, akkor okosabb a GFI LanGuard vagy az SSS választása.

Bibliográfia:

1. Dolgin A.A., Khorev P.B., A Windows operációs rendszer védett verzióin alapuló számítógépes rendszerek sebezhetőségeinek szkennerének fejlesztése, A nemzetközi tudományos és műszaki konferencia anyaga " Információs médiaés technológiák", 2005.
2. Információs portál a biztonságról [Elektronikus forrás] - Hozzáférési mód. - URL: http://www.securitylab.ru/ (elérés dátuma: 15.03.27).
3. Online magazin Softkey.info [Elektronikus forrás] - Hozzáférési mód. - URL: http://www.softkey.info/ (elérés dátuma: 15.03.27).
4. A "GFI Software" hivatalos weboldala. [Elektronikus erőforrás] – Hozzáférési mód. - URL: http://www.gfi.ru/ (letöltés dátuma: 15.03.27).
5. A "Túl a bizalom" hivatalos weboldala. [Elektronikus erőforrás] – Hozzáférési mód. - URL: http://www.beyondtrust.com/Products/RetinaNetworkSecurityScanner/ (Hozzáférés: 15. 03. 27.).
6. Az IBM hivatalos webhelye [Elektronikus erőforrás] - Hozzáférési mód. - URL: http://www.ibm.com/ (Hozzáférés: 15. 03. 27.).
7. Hivatalos webhely Tenable Network Security [Elektronikus forrás] - Hozzáférési mód. - URL: http://www.tenable.com/products/nessus-vulnerability-scanner/ (Hozzáférés: 15. 03. 27.).
8. Hivatalos weboldal "safety-lab". [Elektronikus erőforrás] – Hozzáférési mód. - URL: http://www.safety-lab.com/ (elérés dátuma: 15.03.27).
9. IBM megoldások az információbiztonsághoz [Elektronikus erőforrás] - Hozzáférési mód. - URL: http://www.ibm.com/ru/services/iss/pdf/ISS_2009_DB_s10.pdf (Hozzáférés: 15. 03. 27.).
10. Khorev P.B., Az információ védelmének módszerei és eszközei a számítógépes rendszerekben, M., "Akadémia" Kiadói Központ, 2005.

Amint látja, rengeteg volt belőlük, és mindegyik nagyon veszélyes a nekik kitett rendszerekre. Fontos, hogy ne csak időben frissítse a rendszert, hogy megvédje magát az új sebezhetőségektől, hanem arról is gondoskodnia kell, hogy rendszere ne tartalmazzon olyan, régen kijavított sebezhetőséget, amelyet a hackerek kihasználhatnak.

Itt jönnek a segítségre a Linux sebezhetőségi szkennerei. A sérülékenységelemző eszközök minden vállalat biztonsági rendszerének egyik legfontosabb összetevője. Az alkalmazások és rendszerek régi sebezhetőségeinek ellenőrzése kötelező gyakorlat. Ebben a cikkben megvizsgáljuk legjobb szkennerek sérülékenységek, nyitott forráskód, amelynek segítségével észlelheti a rendszerei és programjai sebezhetőségét. Mindegyik teljesen ingyenes, és mind a hétköznapi felhasználók, mind a vállalati szektor használhatja.

Az OpenVAS vagy Open Vulnerability Assessment System egy komplett platform a sebezhetőségek keresésére, amelyet nyílt forráskódként terjesztenek. A program a Nessus szkenner forráskódján alapul. Kezdetben ezt a szkennert nyílt forráskódúként terjesztették, de aztán a fejlesztők úgy döntöttek, hogy lezárják a kódot, majd 2005-ben a Nessus nyílt verziója alapján létrehozták az OpenVAS-t.

A program egy szerver és egy kliens részből áll. A szkennelő rendszerek fő feladatát ellátó szerver csak Linux alatt fut, a kliensprogramok is támogatják a Windowst, a szerver webes felületen keresztül érhető el.

A szkennermag több mint 36 000 különböző sebezhetőségi ellenőrzést tartalmaz, és minden nap frissül új, nemrégiben felfedezett ellenőrzésekkel. A program képes észlelni a futó szolgáltatások sebezhetőségét, és megkeresi a helytelen beállításokat, például a hitelesítés hiányát vagy a nagyon gyenge jelszavakat.

2. Neexpose Community Edition

Ez egy másik nyílt forráskódú Linux sebezhetőség-ellenőrző eszköz, amelyet a Rapid7 fejlesztett ki, ugyanaz a cég, amely kiadta a Metasploitot. A szkenner akár 68 000 ismert sebezhetőséget is képes észlelni, valamint több mint 160 000 hálózati vizsgálatot tud végrehajtani.

A közösségi verzió teljesen ingyenes, de egyidejűleg legfeljebb 32 IP-címet és csak egy felhasználót vizsgálhat meg. Az engedélyt is minden évben meg kell újítani. A webalkalmazásokat nem vizsgálja, de támogatja a sebezhetőségi adatbázis automatikus frissítését és a biztonsági résekkel kapcsolatos információk fogadását a Microsoft Patch-től.

A program nem csak Linuxra, hanem Windowsra is telepíthető, a kezelés a webes felületen keresztül történik. Segítségével beállíthatja a szkennelési paramétereket, IP-címeket és egyéb szükséges információkat.

A vizsgálat befejeztével megjelenik a sebezhetőségek listája, valamint a kiszolgálón telepített szoftverrel és operációs rendszerrel kapcsolatos információk. Jelentéseket is készíthet és exportálhat.

3. Burp Suite Free Edition

A Burp Suite egy Java nyelven írt webes sebezhetőség-ellenőrző. A program egy proxy szerverből, egy pókból, egy kérések generálására és stressztesztek végrehajtására szolgáló eszközből áll.

VAL VEL Burp segítségével webalkalmazás tesztelést végezhet. Például egy proxyszerver használatával elfoghatja és megtekintheti az áthaladó forgalmat, valamint szükség esetén módosíthatja azt. Ezzel sok helyzetet szimulálhatsz. A pók segít megtalálni a webes sebezhetőségeket, a lekérdezésgeneráló eszköz pedig a webszerver erejét.

4. Arachni

Az Arachni egy Ruby nyelven írt, teljes funkcionalitású webalkalmazás-tesztelő keretrendszer, amely nyílt forráskódú. Lehetővé teszi a webes alkalmazások és webhelyek biztonságának értékelését különféle penetrációs tesztek elvégzésével.

A program támogatja a hitelesítéssel végzett szkennelést, a fejlécek testreszabását, támogatja az Aser-Agent hamisítást, támogatja a 404-es észlelést. Ezen kívül a program rendelkezik webes felülettel és parancssori felülettel, a szkennelés szüneteltethető, majd folytatható, és általában minden működik nagyon gyorsan.

5. OWASP Zed Attack Proxy (ZAP)

Az OWASP Zed Attack Proxy egy másik átfogó eszköz a webalkalmazások sebezhetőségeinek felderítésére. Az ilyen típusú programok összes szabványos funkciója támogatott. Ellenőrizheti a portokat, ellenőrizheti a webhely szerkezetét, számos ismert sebezhetőséget kereshet, és ellenőrizheti, hogy az ismételt kérések vagy a helytelen adatok feldolgozása megfelelően történik-e.

A program https-en keresztül működik, és különféle proxykat is támogat. Mivel a program Java nyelven íródott, nagyon könnyű telepíteni és használni. Az alapfunkciók mellett számos olyan bővítmény létezik, amelyek nagymértékben növelhetik a funkcionalitást.

6. Clair

A Clair egy eszköz a Linux sebezhetőségeinek felkutatására a konténerekben. A program tartalmaz egy listát azokról a sebezhetőségekről, amelyek veszélyesek lehetnek a tárolókra nézve, és figyelmezteti a felhasználót, ha ilyen sérülékenységet fedeztek fel a rendszerben. A program értesítést is küldhet, ha olyan új sebezhetőségek jelennek meg, amelyek a tárolókat nem biztonságossá tehetik.

Minden tárolót egyszer ellenőriznek, és nem kell elindítani az ellenőrzéshez. A program le tudja kérni az összes szükséges adatot egy letiltott tárolóból. Ezeket az adatokat a gyorsítótárban tárolják, hogy a jövőben értesíteni tudjanak a sebezhetőségekről.

7.Powerfuzzer

A Powerfuzzer egy teljes értékű, automatizált és nagymértékben testreszabható webrobot, amely lehetővé teszi annak tesztelését, hogy egy webalkalmazás hogyan reagál az érvénytelen adatokra és az ismételt kérésekre. Az eszköz csak a HTTP protokollt támogatja, és képes észlelni az olyan sebezhetőségeket, mint az XSS, SQL injekció, LDAP, CRLF és XPATH támadások. Támogatja az 500 hiba követését is, amelyek hibás konfigurációt vagy akár veszélyt, például puffer túlcsordulást jelezhetnek.

8. Nmap

Az Nmap nem éppen egy sebezhetőség-ellenőrző a Linux számára. Ez a program lehetővé teszi a hálózat átvizsgálását, és megtudhatja, mely csomópontok csatlakoznak hozzá, valamint meghatározhatja, hogy milyen szolgáltatások futnak rajtuk. Ez nem ad átfogó tájékoztatást a sebezhetőségekről, de sejthető, melyik. szoftver sérülékeny lehet, próbálja meg feltörni a gyenge jelszavakat. Lehetőség van speciális szkriptek futtatására is, amelyek lehetővé teszik bizonyos szoftverek bizonyos sebezhetőségeinek azonosítását.

következtetéseket

Ebben a cikkben áttekintettük a legjobb Linux sebezhetőség-ellenőrzőket, amelyek lehetővé teszik a rendszer és az alkalmazások ellenőrzését. teljes biztonság. Megvizsgáltuk azokat a programokat, amelyek lehetővé teszik magának az operációs rendszernek vagy a webes alkalmazásoknak és webhelyeknek a vizsgálatát.

Végül megtekinthet egy videót arról, hogy mik azok a sebezhetőségi szkennerek, és miért van szükség rájuk:

A hálózati férgek járványának problémája minden helyi hálózat számára releváns. Előbb-utóbb előfordulhat olyan helyzet, amikor egy hálózati vagy e-mail féreg behatol a LAN-ba, és a használt víruskereső nem észleli. A hálózati vírus a LAN-on keresztül terjed az operációs rendszer olyan biztonsági résein keresztül, amelyeket a fertőzés időpontjában nem zártak le, vagy írható sebezhetőségeken keresztül megosztott erőforrások. Mail vírus, ahogy a neve is sugallja, e-mailben terjesztik, feltéve, hogy nem blokkolja a kliens víruskereső és antivírus levelezőszerver. Ráadásul a LAN-on belülről is megszerveződhet a járvány egy bennfentes tevékenységének eredményeként. Ebben a cikkben a LAN-számítógépek működési elemzésének gyakorlati módszereit fogjuk megvizsgálni különféle eszközök segítségével, különösen a szerző AVZ segédprogramjával.

A probléma megfogalmazása

Ha járványt vagy valamilyen rendellenes tevékenységet észlel a hálózaton, az adminisztrátornak gyorsan meg kell oldania legalább három feladatot:

• észleli a fertőzött számítógépeket a hálózaton;
• mintákat keressen a rosszindulatú programokból, hogy elküldje őket egy vírusirtó laboratóriumba, és dolgozzon ki ellenakciós stratégiát;
• tegyen intézkedéseket a vírus LAN-on való terjedésének megakadályozására és a fertőzött számítógépeken történő megsemmisítésére.

Bennfentes tevékenység esetén az elemzés fő lépései azonosak, és leggyakrabban a bennfentes által a LAN számítógépekre telepített harmadik féltől származó szoftverek észlelésére vezethetők vissza. Ilyen szoftverek például a távoli adminisztrációs segédprogramok, keyloggerekés különféle trójai könyvjelzőket.

Nézzük meg részletesebben az egyes feladatok megoldását.

Keresse meg a fertőzött számítógépeket

A fertőzött számítógépek hálózaton történő kereséséhez legalább három módszert használhat:

• automatikus távoli számítógép-elemzés - információk beszerzése a futó folyamatokról, betöltött könyvtárakról és illesztőprogramokról, jellemző minták keresése - például folyamatok vagy fájlok adott neveket;
• Számítógépes forgalom elemzése szippantó segítségével - ez a módszer nagyon hatékony a spam botok, e-mailek és hálózati férgek elkapására, azonban a szippantó használatának fő nehézsége abból adódik, hogy a modern LAN switchekre épül, és emiatt a rendszergazda nem tudja felügyelni a a teljes hálózatot. A probléma kétféleképpen oldható meg: egy szippantó futtatásával a routeren (amely lehetővé teszi a PC-s adatok internettel történő cseréjének figyelését) és a kapcsolók figyelő funkcióinak használatával (sok modern kapcsolók lehetővé teszi olyan megfigyelő port hozzárendelését, amelyhez a rendszergazda által megadott egy vagy több kapcsolóport forgalma duplikálódik);
• a hálózati terhelés tanulmányozása - ebben az esetben nagyon kényelmes az intelligens kapcsolók használata, amelyek lehetővé teszik nemcsak a terhelés felmérését, hanem a rendszergazda által megadott portok távoli letiltását is. Ez a művelet jelentősen leegyszerűsödik, ha az adminisztrátor rendelkezik egy hálózati térképpel, amely információkat tartalmaz arról, hogy mely PC-k csatlakoznak a megfelelő kapcsolóportokhoz, és hol találhatók;
• mézesedények használata - erősen ajánlott több mézesedény létrehozása a helyi hálózaton, amelyek lehetővé teszik a rendszergazda számára, hogy időben észlelje a járványt.

A hálózaton lévő PC-k automatikus elemzése

Az automatikus PC-elemzés három fő szakaszra redukálható:

• teljes számítógép-ellenőrzés elvégzése - folyamatok futtatása, betöltött könyvtárak és illesztőprogramok, automatikus indítás;
• operatív kutatások végzése - például jellemző folyamatok vagy fájlok keresése;
• tárgyak karanténba helyezése bizonyos kritériumok szerint.

A fenti problémák mindegyike megoldható a szerző AVZ segédprogramjával, amelyet úgy terveztek, hogy a szerveren lévő hálózati mappából induljanak el, és támogatja a szkriptnyelvet az automatikus számítógép-ellenőrzéshez. Az AVZ felhasználói számítógépeken való futtatásához a következőket kell tennie:

1. Helyezze az AVZ-t a kiszolgáló egy hálózati mappájába, amely nyitva van olvasásra.
2. Hozzon létre LOG és Quarantine alkönyvtárakat ebben a mappában, és engedélyezze a felhasználók számára, hogy írjanak beléjük.
3. Indítsa el az AVZ-t LAN számítógépeken a rexec segédprogram vagy a bejelentkezési parancsfájl használatával.

Az AVZ 3. lépésben történő elindítását a következő paraméterekkel kell végrehajtani:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

Ebben az esetben a Priority=-1 paraméter csökkenti az AVZ folyamat prioritását, az nw=Y és nq=Y paraméterek a karantént „hálózati futás” módba kapcsolják (ebben az esetben egy alkönyvtár jön létre a karantén mappában minden olyan számítógép esetében, amelynek neve megegyezik a számítógép hálózati nevével), a HiddenMode=2 arra utasítja a felhasználót, hogy megtagadja a hozzáférést a grafikus felhasználói felülethez és az AVZ vezérlőkhöz, végül a legfontosabb Script paraméter megadja a szkript teljes nevét a parancsok, amelyeket az AVZ végrehajt a felhasználó számítógépén. Az AVZ szkriptnyelv használata meglehetősen egyszerű, és kizárólag a számítógépes vizsgálat és kezelés problémáinak megoldására összpontosít. A szkriptek írási folyamatának leegyszerűsítésére használhatunk speciális szkriptszerkesztőt, amely online promptot, szabványos szkriptek létrehozására szolgáló varázslót, valamint a megírt szkript futás nélküli helyességének ellenőrzésére szolgáló eszközöket tartalmaz (1. ábra).

Rizs. 1. AVZ szkriptszerkesztő

Nézzünk meg három tipikus szkriptet, amelyek hasznosak lehetnek a járvány elleni küzdelemben. Először is szükségünk van egy számítógépes kutatási szkriptre. A szkript feladata, hogy megvizsgálja a rendszert, és az eredményekkel egy protokollt készítsen egy adott hálózati mappában. A script így néz ki:

ActivateWatchDog(60 * 10);

// Indítsa el a keresést és az elemzést

// Rendszerfeltárás

ExecuteSysCheck(GetAVZDirectory+

‘\LOG\’+GetComputerName+’_log.htm’);

//Az AVZ leállítása

A szkript végrehajtása során a hálózati számítógépek vizsgálatának eredményeit tartalmazó HTML fájlok jönnek létre a LOG mappában (feltételezve, hogy az a szerver AVZ könyvtárában jön létre, és a felhasználók számára írható), és gondoskodni kell arról, hogy egyediség, a protokollnévben a vizsgált számítógép neve szerepel. A szkript elején van egy parancs, amely engedélyezi a watchdog időzítőt, amely 10 perc elteltével erőszakkal leállítja az AVZ folyamatot, ha a szkript végrehajtása során hiba lép fel.

Az AVZ protokoll kényelmes a kézi tanulmányozáshoz, de az automatizált elemzéshez kevés haszna van. Ezenkívül a rendszergazda gyakran ismeri a kártevő fájl nevét, és csak ellenőriznie kell a fájl meglétét vagy hiányát, és ha van, karanténba kell helyeznie elemzés céljából. Ebben az esetben a következő szkriptet használhatja:

// A watchdog időzítő engedélyezése 10 percre

ActivateWatchDog(60 * 10);

// Rosszindulatú programok keresése név szerint

QuarantineFile('%WinDir%\smss.exe', 'Gyanú az LdPinch.gen miatt');

QuarantineFile('%WinDir%\csrss.exe', 'LdPinch.gen gyanúja');

//Az AVZ leállítása

Ez a szkript a QuarantineFile függvényt használja a megadott fájlok karanténba helyezésére. Az adminisztrátor csak a karantén tartalmát (Karantén\hálózati_név_számítógép\karanténdátum\ mappa) tudja elemezni a karanténba helyezett fájlok megléte szempontjából. Felhívjuk figyelmét, hogy a QuarantineFile funkció automatikusan blokkolja a biztonságos AVZ adatbázis vagy a Microsoft digitális aláírási adatbázisa által azonosított fájlok karanténba helyezését. Mert praktikus alkalmazás ez a szkript továbbfejleszthető - megszervezheti a fájlnevek betöltését egy külső szöveges fájlból, a talált fájlokat összevetheti az AVZ adatbázisokkal, és a munka eredményével szöveges protokollt generál:

// Fájl keresése a megadott néven

function CheckByName(Fname: string) : logikai érték;

Eredmény:= FájlLétez(FName) ;

ha Eredmény, akkor kezdje

eset CheckFile(FName) of

1: S:= ‘, a fájlhoz való hozzáférés le van tiltva’;

1: S:= ‘, rosszindulatú programként észlelve (‘+GetLastCheckTxt+’)’;

2: S:= ‘, a fájlszkenner gyanítja (‘+GetLastCheckTxt+’)’;

3: kilépés; // A biztonságos fájlokat figyelmen kívül hagyja

AddToLog(’A ‘+NormalFileName(FName)+’ fájl neve gyanús’+S);

//Adja hozzá a megadott fájlt a karanténba

QuarantineFile(FName,’gyanús fájl’+S);

SuspNames: TStringList; // A gyanús fájlok nevének listája

// Fájlok ellenőrzése a frissített adatbázisban

ha FileExists(GetAVZDirectory + ‘files.db’) akkor kezdődik

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('Name adatbázis betöltve - rekordok száma = '+inttostr(Felfüggesztett nevek.Szám));

// Keresési hurok

i:= 0 esetén SuspNames.Count - 1 do

CheckByName(Függőnevek[i]);

AddToLog('Hiba a fájlnevek listájának betöltésekor');

SaveLog(GetAVZDirectory+’\LOG\’+

GetComputerName+'_files.txt');

Ahhoz, hogy ez a szkript működjön, létre kell hoznia a Quarantine és a LOG könyvtárat az AVZ mappában, amelyhez hozzáférhetnek a felhasználók íráshoz, valamint szöveges fájl files.db – ennek a fájlnak minden sora tartalmazza a gyanús fájl nevét. A fájlnevek makrókat tartalmazhatnak, amelyek közül a leghasznosabb a %WinDir% (útvonal a Windows mappa) és a %SystemRoot% (a System32 mappa elérési útja). Az elemzés másik iránya lehet a felhasználói számítógépeken futó folyamatok listájának automatikus vizsgálata. A futó folyamatokkal kapcsolatos információk a rendszerkutatási protokollban találhatók, de az automatikus elemzéshez kényelmesebb a következő szkriptrészlet használata:

eljárás ScanProcess;

S:= ''; S1:= '';

//Folyamatok listájának frissítése

RefreshProcessList;

AddToLog(‘Folyamatok száma = ‘+IntToStr(GetProcessCount));

// A fogadott lista elemzési ciklusa

i:= 0 esetén a GetProcessCount-hoz - 1 kezdődik

S1:= S1 + ‘,’ + ExtractFileName(GetProcessName(i));

// Folyamat keresése név szerint

if pos('trojan.exe', LowerCase(GetProcessName(i))) > 0, akkor

S:= S + GetProcessName(i)+’,’;

ha S<>''akkor

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

Ebben a szkriptben a folyamatok tanulmányozása külön ScanProcess eljárásként történik, így könnyen elhelyezhető saját szkriptben. A ScanProcess eljárás két folyamatlistát épít fel: teljes lista folyamatok (utólagos elemzéshez), valamint azon folyamatok listája, amelyek az adminisztrátor szempontjából veszélyesnek minősülnek. Ebben az esetben demonstrációs célból a „trojan.exe” nevű folyamat veszélyesnek minősül. A veszélyes folyamatokkal kapcsolatos információk a _alarm.txt szövegfájlba, az összes folyamat adatai az _all_process.txt fájlba kerülnek. Könnyen belátható, hogy bonyolíthatja a szkriptet, ha hozzáadja azt, például a folyamatfájlokat a biztonságos fájlok adatbázisával ellenőrzi vagy a neveket futtatható fájlok folyamatokat külső alapon. Hasonló eljárást alkalmaznak a Smolenskenergóban használt AVZ-szkriptekben is: az adminisztrátor rendszeresen tanulmányozza az összegyűjtött információkat és módosítja a szkriptet, hozzáadva a biztonsági szabályzat által tiltott programok folyamatainak nevét, például az ICQ és a MailRu.Agent, amely lehetővé teszi gyorsan ellenőrizheti a tiltott szoftverek jelenlétét a vizsgált számítógépeken. A folyamatlista másik felhasználási módja az, hogy megkeresse azokat a számítógépeket, amelyekről hiányzik egy szükséges folyamat, például egy víruskereső.

Végezetül nézzük meg az utolsó hasznos elemző szkriptet – egy olyan szkriptet, amely automatikusan karanténba helyezi az összes fájlt, amelyet a biztonságos AVZ adatbázis és a Microsoft digitális aláírási adatbázisa nem ismer fel:

// Autokarantén végrehajtása

ExecuteAutoQuarantine;

Az automatikus karantén megvizsgálja a futó folyamatokat és a betöltött könyvtárakat, szolgáltatásokat és illesztőprogramokat, mintegy 45 automatikus indítási módszert, böngésző és felfedező bővítmény modulokat, SPI/LSP kezelőket, ütemező feladatokat, nyomtatási rendszer kezelőket stb. A karantén különlegessége, hogy ismétlésvezérléssel adnak hozzá fájlok, így az autokarantén funkció többször is meghívható.

Az automatikus karantén előnye, hogy segítségével az adminisztrátor gyorsan összegyűjti a potenciálisan gyanús fájlokat a hálózat összes számítógépéről vizsgálat céljából. A fájlok tanulmányozásának legegyszerűbb (de a gyakorlatban nagyon hatékony) formája lehet a kialakult karantén ellenőrzése számos népszerű antivírussal maximális heurisztikus módban. Meg kell jegyezni, hogy az automatikus karantén egyidejű elindítása több száz számítógépen nagy terhelést okozhat a hálózaton és a fájlszerveren.

Forgalomkutatás

A forgalomkutatás háromféleképpen végezhető:

• kézi szippantókkal;
• félautomata módban - ebben az esetben a szippantó információkat gyűjt, majd a protokolljait manuálisan vagy valamilyen szoftverrel dolgozza fel;
• automatikusan behatolásérzékelő rendszerek (IDS) használatával, mint például a Snort (http://www.snort.org/) vagy azok szoftver- vagy hardveranalógjai. A legegyszerűbb esetben az IDS egy szippantóból és egy rendszerből áll, amely elemzi a szippantó által gyűjtött információkat.

A behatolásérzékelő rendszer optimális eszköz, mert lehetővé teszi szabálykészletek létrehozását a hálózati tevékenység anomáliáinak észlelésére. Második előnye a következő: a legtöbb modern IDS lehetővé teszi a forgalomfigyelő ügynökök több hálózati csomóponton történő elhelyezését - az ágensek információkat gyűjtenek és továbbítanak. Sniffer használata esetén nagyon kényelmes a UNIX sniffer tcpdump konzol használata. Például a 25-ös porton ( SMTP protokoll) csak futtassa a szippantót parancs sor típus:

tcpdump -i em0 -l tcp 25-ös port > smtp_log.txt

Ebben az esetben a csomagok rögzítése az em0 interfészen keresztül történik; a rögzített csomagokkal kapcsolatos információk az smtp_log.txt fájlban lesznek tárolva. A protokoll viszonylag könnyen elemezhető manuálisan; ebben a példában a 25-ös porton végzett tevékenységek elemzése lehetővé teszi az aktív spamrobotokkal rendelkező számítógépek azonosítását.

A Honeypot alkalmazása

Csapdaként (Honeypot) használható egy elavult számítógép, amelynek teljesítménye nem teszi lehetővé a megoldáshoz való felhasználását. gyártási feladatokat. Például egy 64 MB-os Pentium Pro sikeresen használható csapdaként a szerző hálózatában véletlen hozzáférésű memória. Ezen a számítógépen telepítse a LAN-on legáltalánosabb operációs rendszert, és válasszon egyet a stratégiák közül:

• Telepítsen egy operációs rendszert frissítési csomagok nélkül - ez jelzi egy aktív hálózati féreg megjelenését a hálózaton, amely kihasználja az operációs rendszer ismert sebezhetőségeit;
• telepítsen egy operációs rendszert olyan frissítésekkel, amelyek a hálózat többi számítógépére telepítve vannak - a Honeypot analóg lesz bármelyik munkaállomással.

Minden stratégiának megvannak a maga előnyei és hátrányai; A szerző főleg a frissítés nélküli opciót használja. A Honeypot létrehozása után hozzon létre egy lemezképet, hogy gyorsan visszaállítsa a rendszert, miután azt kártékony program károsította. A lemezkép alternatívájaként használhat megváltoztatási visszaállítási rendszereket, például a ShadowUser-t és analógjait. A Honeypot felépítése után figyelembe kell venni, hogy számos hálózati féreg keresi a fertőzött számítógépeket a fertőzött számítógép IP-címéből számított IP-tartomány átvizsgálásával (gyakori tipikus stratégiák a X.X.X.*, X.X.X+1.*, X.X.X-1.*), - ezért ideális esetben minden alhálózaton legyen Honeypot. Kiegészítő előkészítő elemként a Honeypot rendszeren mindenképpen több mappához kell hozzáférést nyitni, és ezekbe a mappákba érdemes több különböző formátumú mintafájlt elhelyezni, a minimum készlet EXE, JPG, MP3.

Természetesen a Honeypot létrehozása után a rendszergazdának figyelemmel kell kísérnie annak működését, és reagálnia kell a számítógépen észlelt rendellenességekre. Az auditorok a változások rögzítésére használhatók, a szippantó pedig a hálózati tevékenység rögzítésére használható. Fontos szempont Az, hogy a legtöbb szippantó lehetővé teszi, hogy beállítsa a rendszergazdának történő figyelmeztetést, ha a rendszer meghatározott hálózati tevékenységet észlel. Például a CommView snifferben egy szabály magában foglalja egy „képlet” megadását, amely leír egy hálózati csomagot, vagy mennyiségi feltételeket (másodpercenként meghatározott számú csomag vagy bájtnál több küldése, csomagok küldése azonosítatlan IP- vagy MAC-címekre) Ábra. 2.

Rizs. 2. Hozzon létre és konfiguráljon egy hálózati tevékenység riasztást

Figyelmeztetésképpen a legkényelmesebb a címre küldött e-mail üzeneteket használni Postafiók rendszergazda – ebben az esetben azonnali riasztásokat kaphat a hálózat összes csapdájáról. Ezen túlmenően, ha a szippantó lehetővé teszi több riasztás létrehozását, célszerű megkülönböztetni a hálózati tevékenységet úgy, hogy kiemeli a emailben, FTP/HTTP, TFTP, Telnet, MS Net, másodpercenként több mint 20-30 csomaggal megnövekedett forgalom bármely protokoll esetén (3. ábra).

Rizs. 3. Értesítő levél elküldve
ha a megadott feltételeknek megfelelő csomagokat észlel

A csapda szervezésekor célszerű több, a hálózaton használt sebezhető hálózati szolgáltatást elhelyezni, vagy emulátort telepíteni hozzájuk. A legegyszerűbb (és ingyenes) a szabadalmaztatott APS segédprogram, amely telepítés nélkül működik. Az APS működési elve abból adódik, hogy meghallgatja az adatbázisában leírt sok TCP és UDP portot, és a csatlakozás pillanatában előre meghatározott vagy véletlenszerűen generált választ ad ki (4. ábra).

Rizs. 4. Az APS segédprogram fő ablaka

Az ábra egy képernyőképet mutat, amely a Smolenskenergo LAN-on valós APS aktiválása során készült. Amint az ábrán látható, egy kísérletet rögzítettek az egyik kliens számítógép csatlakoztatására a 21-es porton. A protokollok elemzése azt mutatta, hogy a próbálkozások periodikusak, és a hálózaton több csapda rögzíti őket, amiből arra következtethetünk, hogy a A hálózat ellenőrzése folyamatban van, hogy jelszavak kitalálásával FTP-kiszolgálókat keressen és törjön fel. Az APS naplókat vezet, és üzeneteket küldhet az adminisztrátoroknak a felügyelt portokhoz regisztrált kapcsolatokról, ami kényelmes a hálózati szkennelések gyors észleléséhez.

Honeypot létrehozásakor hasznos megismerkedni a témával kapcsolatos online forrásokkal, különösen a http://www.honeynet.org/ címen. A webhely Eszközök részében (http://www.honeynet.org/tools/index.html) számos eszközt találhat a támadások rögzítésére és elemzésére.

Távoli rosszindulatú programok eltávolítása

Ideális esetben a minták felfedezése után rosszindulatú az adminisztrátor elküldi azokat a vírusirtó laboratóriumba, ahol az elemzők azonnal megvizsgálják, és a megfelelő aláírások bekerülnek az antivírus adatbázisba. Ezek az aláírások automatikusan frissülnek a felhasználó számítógépén, és a víruskereső rendszergazdai beavatkozás nélkül automatikusan eltávolítja a rosszindulatú programokat. Ez a lánc azonban nem mindig a várt módon működik; különösen a következő okok lehetségesek a meghibásodásra:

• a hálózati rendszergazdától független okok miatt előfordulhat, hogy a képek nem jutnak el a víruskereső laboratóriumba;
• a vírusirtó laboratórium nem megfelelő hatékonysága - ideális esetben a minták vizsgálata és az adatbázisba bevitele legfeljebb 1-2 órát vesz igénybe, ami azt jelenti, hogy a frissített aláírási adatbázisok egy munkanapon belül beszerezhetők. Azonban nem minden víruskereső laboratórium működik ilyen gyorsan, és több napot is várhat a frissítésekre (ritka esetekben akár heteket is);
• a víruskereső nagy teljesítménye - számos rosszindulatú program aktiválás után megsemmisíti a víruskeresőt vagy más módon megzavarja működésüket. A klasszikus példák közé tartozik a blokkoló hosts fájlba történő bejegyzés normál munka antivírus automatikus frissítési rendszerek, folyamatok, szolgáltatások és víruskereső illesztőprogramok törlése, beállításaik károsodása stb.

Ezért a fenti helyzetekben manuálisan kell kezelnie a rosszindulatú programokat. A legtöbb esetben ez nem nehéz, hiszen a számítógépes vizsgálat eredménye feltárja a fertőzött PC-ket, valamint a kártevő fájlok teljes nevét. Nem marad más hátra, mint távolról eltávolítani őket. Ha a rosszindulatú program nincs védve a törlés ellen, akkor a következő AVZ-szkript segítségével megsemmisíthető:

// Fájl törlése

DeleteFile('fájlnév');

ExecuteSysClean;

Ez a szkript töröl egy megadott fájlt (vagy több fájlt, mivel egy szkriptben korlátlan számú DeleteFile parancs lehet), majd automatikusan megtisztítja a rendszerleíró adatbázist. Bonyolultabb esetben a kártevő megvédheti magát a törléstől (például újra létrehozhatja fájljait és rendszerleíró kulcsait), vagy rootkit technológiával álcázhatja magát. Ebben az esetben a szkript bonyolultabbá válik, és így fog kinézni:

// Anti-rootkit

SearchRootkit(igaz, igaz);

// AVZGuard vezérlése

SetAVZGuardStatus(true);

// Fájl törlése

DeleteFile('fájlnév');

// BootCleaner naplózás engedélyezése

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// Importálja a BootCleaner feladatba a szkript által törölt fájlok listáját

BC_ImportDeletedList;

// A BootCleaner aktiválása

// Heurisztikus rendszertisztítás

ExecuteSysClean;

Windows újraindítása (true);

Ez a szkript magában foglalja a rootkitek elleni aktív ellenlépést, az AVZGuard rendszer (ez egy rosszindulatú programok blokkolása) és a BootCleaner rendszer használatát. A BootCleaner egy olyan illesztőprogram, amely eltávolítja a megadott objektumokat a KernelMode-ból az újraindítás során, a rendszerindítás korai szakaszában. A gyakorlat azt mutatja, hogy egy ilyen szkript képes megsemmisíteni a meglévő rosszindulatú programok túlnyomó részét. Kivételt képeznek a rosszindulatú programok, amelyek minden újraindításkor megváltoztatják végrehajtható fájljai nevét – ebben az esetben a rendszerellenőrzés során felfedezett fájlok átnevezhetők. Ebben az esetben manuálisan kell fertőtlenítenie a számítógépet, vagy létre kell hoznia saját kártevő-aláírásait (az aláíráskeresést megvalósító szkriptre az AVZ súgójában olvashat példát).

Következtetés

Ebben a cikkben megvizsgáltunk néhány gyakorlati technikát a LAN-járvány elleni manuális, vírusirtó termékek használata nélküli leküzdésére. A leírt technikák többsége külföldi PC-k és trójai könyvjelzők keresésére is használható a felhasználói számítógépeken. Ha nehézségei vannak a rosszindulatú programok megtalálásával vagy a kezelési szkriptek létrehozásával, a rendszergazda használhatja a http://virusinfo.info fórum „Súgó” vagy a http://forum.kaspersky.com fórum „Vírusok elleni küzdelem” részét. /index.php?showforum= 18. A protokollok tanulmányozása és a kezelésben való segítségnyújtás mindkét fórumon ingyenes, a PC-elemzés az AVZ protokollok szerint történik, és a legtöbb esetben a kezelés egy AVZ-szkript végrehajtásából áll a fertőzött számítógépeken, amelyet e fórumok tapasztalt szakemberei állítottak össze. .

Összehasonlító elemzés biztonsági szkennerek. 1. rész: Behatolási teszt (rövid összefoglaló)

Alekszandr Antipov

Ez a dokumentum a hálózati biztonsági szkennerek összehasonlításának eredményeit mutatja be a hálózati perem csomópontjaival végzett penetrációs tesztek során.

Lepikhin Vlagyimir Boriszovics
Az Informzashchita Oktatási Központ Hálózatbiztonsági Laboratóriumának vezetője

A jelentésben szereplő összes anyag az Informzashita képzési központ szellemi tulajdonának tárgya. A jelentési anyagok bármilyen formában történő sokszorosítása, közzététele vagy sokszorosítása az Informzashita Oktatóközpont előzetes írásbeli hozzájárulása nélkül tilos.

A tanulmány teljes szövege:
http://www.itsecurity.ru/news/reliase/2008/12_22_08.htm

1. Bemutatkozás

A hálózati biztonsági szkennerek tökéletesek az összehasonlításhoz. Mindegyik nagyon különböző. És a feladatok sajátosságai miatt, amelyekre szánják, és a „kettős” céljuk miatt (a hálózati biztonsági szkennerek védekezésre és „támadásra is használhatók”, a hackelés pedig, mint tudjuk, kreatív feladat) , végül azért is, mert minden ilyen eszköz mögött ott van a „hacker” (a szó eredeti értelmében) gondolati röpte az alkotójáról.

Az összehasonlítási feltételek megválasztásánál a „feladatalapú” megközelítést vettük alapul, így az eredmények alapján megítélhető, hogy egy adott eszköz mennyire alkalmas a neki rendelt feladat megoldására. Például hálózati biztonsági szkennerek használhatók:

• a hálózati erőforrások leltárára;
• „penetrációs tesztek” során;
• a rendszerek tesztelésének folyamatában a különféle követelményeknek való megfelelés érdekében.

Ez a dokumentum a hálózati biztonsági szkennerek összehasonlításának eredményeit mutatja be a hálózati perem csomópontjaival végzett penetrációs tesztek során. A következőket értékelték:

• A talált sebezhetőségek száma
• Hamis pozitívumok száma (hamis pozitívak)
• Hamis negatívumok
• A hiányzások okai
• Az ellenőrzési alap teljessége (a feladattal összefüggésben)
• A leltári mechanizmusok minősége és a szoftververzió meghatározása
• A szkenner pontossága (a feladattal összefüggésben)

A felsorolt ​​kritériumok együttesen jellemzik a szkenner „alkalmasságát” a rá rendelt feladat megoldására, jelen esetben ez a rutinműveletek automatizálása a hálózati kerület biztonságának felügyelete során.

2. Az összehasonlítás résztvevőinek rövid leírása

Az összehasonlítás megkezdése előtt a portál felmérést végzett, melynek célja az volt, hogy adatokat gyűjtsenek a használt szkennerekről és azokról a feladatokról, amelyekre használják őket.

A felmérésben mintegy 500 válaszadó (portállátogató) vett részt.

Amikor a szervezetükben használt biztonsági szkennerekről kérdezték, a válaszadók túlnyomó többsége azt mondta, hogy legalább egy biztonsági szkennert használ (70%). Ugyanakkor azok a szervezetek, amelyek rendszeresen használnak biztonsági szkennereket információs rendszereik biztonságának elemzésére, inkább egynél több terméket használnak ebből az osztályból. A válaszadók 49%-a nyilatkozott úgy, hogy szervezetük kettő vagy több biztonsági szkennert használ (1. ábra).

1 . A vizsgált szervezetek megoszlása ​​a használt biztonsági szkennerek száma szerint

Az egynél több biztonsági szkenner használatának okai között szerepel, hogy a szervezetek nem bíznak egyetlen „szállító” megoldásaiban (61%), és ha olyan speciális ellenőrzésekre van szükség (39%), amelyeket átfogó biztonsági szkennerrel nem lehet elvégezni (2. ábra). .

2. Egynél több biztonsági szkenner használatának okai a megkérdezett szervezetekben

Arra a kérdésre, hogy milyen célokra használják a speciális biztonsági szkennereket, a válaszadók többsége azt válaszolta, hogy kiegészítő eszközként használják a webes alkalmazások biztonságának elemzéséhez (68%). A második helyen a speciális DBMS biztonsági szkennerek (30%), a harmadikon (2%) pedig az információs rendszerek biztonságának elemzése során felmerülő problémák egy meghatározott körének megoldására szolgáló szabadalmaztatott segédprogramok álltak (3. ábra).

3. A speciális biztonsági szkennerek használatának céljai a megkérdezett válaszadók szervezeteiben

A biztonsági szkennerekhez kapcsolódó végtermékekkel kapcsolatos válaszadói felmérés (4. ábra) eredménye azt mutatta, hogy a szervezetek többsége a Positive Technologies XSpider (31%) és a Nessus Security Scanner (17%) termékét részesíti előnyben.

Rizs. 4. A válaszadók szervezeteiben használt biztonsági szkennerek

Az 1. táblázatban bemutatott szkennereket választottuk ki a teszttesztekben való részvételre.

1. táblázat: Összehasonlításként használt hálózati biztonsági szkennerek

Név	Változat
		http://www.nessus.org/download
MaxPatrol	8.0 (1178-as build)	http://www.ptsecurity.ru/maxpatrol.asp
Internet szkenner		http://www-935.ibm.com/services/us/index.wss/offering/iss/a1027208
RetinaHálózati biztonsági szkenner		http://www.eeye.com/html/products/retina/index.html
Shadow Security Scanner (SSS)	7.141 (262-es build)	http://www.safety-lab.com/en/products/securityscanner.htm
NetClarity Auditor		http://netclarity.com/branch-nacwall.html

Tehát az első teszt arra a feladatra összpontosít, hogy felmérje a rendszerek biztonságát a feltörésekkel szembeni ellenállás szempontjából.

3. Összegzés

A fennmaradó csomópontok eredményeit hasonló módon számítottuk ki. Az eredmények kiszámítása után a következő táblázatot kaptuk (2. táblázat).

2. táblázat: Az összes beolvasott objektum végeredménye

Index		Internet szkenner			Shadow Security Scanner	NetClarity Könyvvizsgáló
Szolgáltatások és alkalmazások azonosítása, pontok
Sebezhetőségek találtak, összesen
Ezek közül a hamis pozitívumok közül (téves pozitív)
Helyesnek találták (225 lehetséges közül)
Pass (hamis negatívok)
Ezek közül az adatbázisból való hiány miatt
Ezek közül a hitelesítés szükségessége okozza
Más okokból

3.1 A szolgáltatások és alkalmazások azonosítása

A szolgáltatások és alkalmazások azonosításának eredménye alapján a pontokat egyszerűen összeadtuk, és egy szolgáltatás vagy alkalmazás hibás azonosításáért egy pontot levontunk (5. ábra).

Rizs. 5. A szolgáltatások és alkalmazások azonosításának eredményei

A MaxPatrol szkenner érte el a legtöbb pontot (108), a Nessus szkenner pedig valamivel kevesebbet (98). Valójában ebben a két szkennerben a szolgáltatások és alkalmazások azonosítására szolgáló eljárás nagyon hatékonyan valósul meg. Ez az eredmény egészen elvárhatónak nevezhető.

A következő eredmények az Internet Scanner és a NetClarity szkennerekből származnak. Itt megemlíthetjük, hogy például az Internet Scanner a szabványos portok alkalmazására helyezi a hangsúlyt, ez nagyban magyarázza az alacsony eredményt. Végül a NetClarity szkenner teljesítménye a legrosszabb. Jóllehet jól azonosítja a szolgáltatásokat (végül is a Nessus 2.x kernelen alapul), általános gyenge teljesítménye azzal magyarázható, hogy nem azonosított minden nyitott portot.

3.2 A sebezhetőségek azonosítása

ábrán. A 6. ábra az összes szkenner által talált biztonsági rések teljes számát és a hamis pozitív eredmények számát mutatja. A legnagyobb számú sebezhetőséget a MaxPatrol szkenner találta. Nessus ismét második lett (bár jelentős különbséggel).
A hamis pozitívumok számában a Shadow Security Scanner volt a vezető. Ez elvileg érthető, az ellenőrzésekkel kapcsolatos hibákra fentebb mutattunk be példákat.

Rizs. 6. Sebezhetőséget és téves pozitív eredményeket talált

Összesen mind a 16 csomóponton az összes szkenner 225 sebezhetőséget talált (és ezt követően manuális ellenőrzéssel megerősítette). Az eredményeket az ábrán látható módon osztották el. 7. A legnagyobb számú sebezhetőséget - 225-ből 155-öt - a MaxPatrol szkenner azonosította. A második a Nessus szkenner volt (az eredménye majdnem kétszer rosszabb volt). Ezután jön az Internet Scanner, majd a NetClarity.
Az összehasonlítás során elemezték a hiányzó sérülékenységek okait, és elkülönítettük azokat, amelyek az adatbázis ellenőrzésének hiánya miatt történtek. A következő diagram (8. ábra) bemutatja annak okait, hogy a lapolvasók kihagyják a sebezhetőségeket.

Rizs. 7. Sebezhetőségeket és hiányosságokat talált

Rizs. 8. A sérülékenységek hiányának okai

Most néhány mutató a számításokból.

ábrán. A 39. ábra az álpozitívek számának és a talált sebezhetőségek teljes számának arányát mutatja, ezt a mutatót bizonyos értelemben a szkenner pontosságának nevezhetjük. Végül is a felhasználó mindenekelőtt a szkenner által talált sebezhetőségek listájával foglalkozik, amelyből ki kell választani a helyesen találtakat.

Rizs. 9. A szkennerek pontossága

Ebből a diagramból látható, hogy a legnagyobb pontosságot (95%) a MaxPatrol szkenner érte el. Bár a hamis pozitívak száma nem a legalacsonyabb, ez a pontossági arány a nagyszámú talált sebezhetőség miatt érhető el. A következő legpontosabb meghatározás az Internet Scanner. Ez mutatta a legkevesebb téves pozitív eredményt. Az SSS-szkennernek van a legalacsonyabb eredménye, ami nem meglepő, tekintettel az összehasonlítás során észlelt nagyszámú téves pozitív eredményre.

Egy másik számított mutató az adatbázis teljessége (10. ábra). Kiszámítása a helyesen talált sebezhetőségek számának az összes sérülékenységhez viszonyított aránya (ebben az esetben - 225), és jellemzi a „kihagyások” mértékét.

Rizs. 10. Az adatbázis teljessége

Ebből a diagramból jól látható, hogy a MaxPatrol szkenner alapja a legmegfelelőbb a feladathoz.

4. Következtetés

4.1 Megjegyzések a vezetők eredményeihez: MaxPatrol és Nessus

Az összehasonlítás minden szempontja szerint az első helyen a MaxPatrol szkenner áll, a második helyen a Nessus szkenner áll, a többi szkenner eredménye lényegesen alacsonyabb.

Itt érdemes felidézni az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete (NIST) által készített egyik dokumentumot, nevezetesen a „Guideline on Network Security Testing” című dokumentumot. Kimondja, hogy a számítógépes rendszerek biztonságának felügyelete során legalább két biztonsági szkenner használata javasolt.

Valójában nincs semmi váratlan vagy meglepő a kapott eredményben. Nem titok, hogy az XSpider (MaxPatrol) és a Nessus szkennerek népszerűek a biztonsági szakemberek és a hackerek körében egyaránt. Ezt a fenti felmérési eredmények is megerősítik. Próbáljuk meg elemezni a MaxPatrol nyilvánvaló vezetésének okait (ez részben a Nessus szkennerre is vonatkozik), valamint más szkennerek „elvesztésének” okait. Először is ez a szolgáltatások és alkalmazások kiváló minőségű azonosítása. A következtetésen alapuló tesztek (és ebben az esetben elég sok volt belőlük) erősen függenek az információgyűjtés pontosságától. A szolgáltatások és alkalmazások azonosítása pedig a MaxPatrol szkennerben szinte tökéletes. Íme egy szemléltető példa.
A MaxPatrol sikerének második oka az adatbázis teljessége és az adott feladathoz való megfelelősége, és általában a „ma”. Az eredmények alapján észrevehető, hogy a MaxPatrolban az ellenőrzések adatbázisa jelentősen bővült és részletezett, „rendbe hozták”, míg a webes alkalmazások felé nyilvánvaló „elfogultságot” kompenzálja az ellenőrzések bővülése más területeken. , például az összehasonlításban bemutatott útválasztó szkennelésének eredménye lenyűgöző volt, mint a Cisco.

A harmadik ok az alkalmazásverziók kvalitatív elemzése, figyelembe véve az operációs rendszereket, a disztribúciókat és a különféle „ágakat”. Különböző források használatát is hozzáadhatja (sebezhetőségi adatbázisok, értesítések és szállítói közlemények).

Végül azt is hozzátehetjük, hogy a MaxPatrol egy nagyon kényelmes és logikus felülettel rendelkezik, amely tükrözi a hálózati biztonsági szkennerek munkájának főbb szakaszait. És ez fontos. A „csomópont, szolgáltatás, sebezhetőség” kombinációja nagyon könnyen érthető (A szerkesztő megjegyzése: ez az összehasonlítás szerzőjének szubjektív véleménye). És főleg erre a feladatra.

Most a hiányosságokról és a „gyenge” pontokról. Mivel ehhez képest a MaxPatrol bizonyult vezetőnek, a hozzá intézett kritika „maximális” lesz.

Először is, az úgynevezett „kis dolgokban való elvesztés”. Nagyon jó minőségű motorral fontos, hogy megfelelő kiegészítő szolgáltatásokat kínáljunk, például kényelmes eszközöket, amelyek lehetővé teszik, hogy kézzel végezzen el valamit, a sebezhetőségek keresésére szolgáló eszközöket és a rendszer „finomhangolásának” lehetőségét. A MaxPatrol folytatja az XSpider hagyományt, és maximálisan a „kattints és működik” ideológiára koncentrál. Ez egyrészt nem rossz, másrészt behatárolja az „apróságos” elemzőt.

Másodszor, néhány szolgáltatás „fedetlen” maradt (ezt az összehasonlítás eredményei alapján ítélhetjük meg), például az IKE (500-as port).

Harmadszor, bizonyos esetekben hiányzik a két ellenőrzés eredményeinek alapvető összehasonlítása egymással, mint például a fent leírt SSH esetében. Vagyis több ellenőrzés eredménye alapján nincs következtetés. Például a host4 operációs rendszere Windows, a PPTP szolgáltatás "szállítója" pedig Linux kategóriába került. Levonhatunk következtetéseket? Például az operációs rendszer definíciós területén lévő jelentésben jelezze, hogy ez egy „hibrid” csomópont.

Negyedszer, az ellenőrzések leírása sok kívánnivalót hagy maga után. De itt meg kell érteni, hogy a MaxPatrol egyenlőtlen körülmények között van a többi szkennerrel: az összes leírás kiváló minőségű orosz nyelvű fordítása nagyon munkaigényes feladat.

A Nessus szkenner általában jó eredményeket mutatott, és több ponton pontosabb volt, mint a MaxPatrol szkenner. A Nessus lemaradásának fő oka a sérülékenységek kihagyása, de nem az adatbázis ellenőrzésének hiánya miatt, mint a legtöbb más szkenner, hanem a megvalósítási funkciók miatt. Először is (és a kihagyások jelentős részének ez az oka), hogy a Nessus szkennerben a „helyi” vagy a rendszerellenőrzés irányába mutatott fejlődési tendencia, amihez fiókhoz kell kapcsolódni. Másodszor, a Nessus szkenner kevesebb információforrást vesz figyelembe (a MaxPatrolhoz képest) a sebezhetőségekről. Ez némileg hasonlít az SSS szkennerhez, amely nagyrészt a SecurityFocuson alapul.

5. Az összehasonlítás korlátai

Az összehasonlítás során a szkennerek képességeit egyetlen feladat keretében tanulmányozták – a hálózati kerületi csomópontok feltörésekkel szembeni ellenálló képességét tesztelve. Például, ha levonunk egy autós hasonlatot, láttuk, hogyan viselkednek a különböző autók mondjuk csúszós úton. Vannak azonban más feladatok is, amelyek megoldása ugyanazokkal a szkennerekkel egészen másképp nézhet ki. A közeljövőben a szkennerek összehasonlítását tervezik az alábbi problémák megoldása során:

• Rendszerauditok lefolytatása segítségével fiókot
• PCI DSS megfelelőségi értékelés
• Windows rendszerek vizsgálata

Emellett a szkennerek formai kritériumok alapján történő összehasonlítását tervezik.

Az összehasonlítás során csak magát a „motort”, vagy modern szóhasználattal a szkenner „agyát” tesztelték. A kiegészítő szolgáltatások (jelentések, szkennelési folyamattal kapcsolatos információk rögzítése stb.) képességeit semmilyen módon nem értékelték vagy hasonlították össze.

A veszély mértékét és a talált sebezhetőségek kihasználásának képességét sem értékelték. Egyes szkennerek „kisebb” alacsony kockázatú sebezhetőségekre korlátozódtak, míg mások valóban kritikus sérülékenységeket azonosítottak, amelyek lehetővé teszik a rendszerhez való hozzáférést.

Biztonsági szkenner: észleli a hálózati sebezhetőségeket, kezeli a frissítéseket és javításokat, automatikusan kijavítja a problémákat, auditálja a szoftvereket és a hardvert. GFI Hálózati biztonság">Hálózati biztonság 2080

Hálózati biztonsági szkenner és központi frissítéskezelés

A GFI LanGuard virtuális biztonsági tanácsadóként dolgozik:

— Kezeli a Windows®, Mac OS® és Linux® frissítéseit

— Felderíti a számítógépeken lévő biztonsági réseket és mobil eszközök

— Auditálást végez hálózati eszközökés szoftver

A GFI Languard egy biztonsági szkenner bármilyen méretű hálózathoz: hálózati port és sebezhetőség szkenner, biztonsági szkenner, automatikusan megtalálja a lyukakat a hálózatban

A GFI Languard egy biztonsági szkenner bármilyen méretű hálózathoz: hálózati port és sebezhetőség szkenner, biztonsági szkenner, automatikusan megtalálja a lyukakat a hálózatban

Mi az a GFI LanGuard

Több, mint egy sebezhetőségi szkenner!

A GFI LanGuard egy hálózati biztonsági szkenner: észleli, azonosítja és kijavítja a hálózati sebezhetőségeket. A teljes portellenőrzés, a hálózat védelme érdekében szükséges szoftverfrissítések elérhetősége, valamint a szoftver- és hardveraudit egyetlen vezérlőpultról is elérhető.

Port szkenner

Számos előre elkészített vizsgálati profil lehetővé teszi az összes port teljes ellenőrzését, valamint csak a nem kívánt és rosszindulatú szoftverek által gyakran használtak gyors ellenőrzését. A GFI LanGuard egyszerre több gazdagépet vizsgál, jelentősen lerövidítve a szükséges időt, majd összehasonlítja a foglalt portokon talált szoftvert a várttal.

Frissítések és javítások

Telepítés előtt legújabb frissítések a csomópontok teljesen védtelenek, mivel a hackerek a legújabb javítások és frissítések által lefedett legújabb sebezhetőségeket használják a hálózatba való behatolásra. Ellentétben az operációs rendszerbe épített eszközökkel, a GFI LanGuard nemcsak magát az operációs rendszert ellenőrzi, hanem olyan népszerű szoftvereket is, amelyek sebezhetőségét általában hackelésre használják: Adobe Acrobat/Reader, Flash player, Skype, Outlook, böngészők, azonnali üzenetküldők.

Csomópont audit

A GFI LanGuard felkészít az Ön számára részletes lista minden számítógépre telepített szoftver és hardver, észleli a tiltott vagy hiányzó programokat, valamint a szükségtelenül csatlakoztatott eszközöket. A többszörös szkennelés eredményeit összehasonlítva azonosítható a szoftver és a hardver.

A legújabb fenyegetési hírszerzés

Minden vizsgálatra a biztonsági résekre vonatkozó adatok frissítése után kerül sor, amelyek száma a GFI LanGuard adatbázisban már meghaladta az 50 000-et. A fenyegetésekre vonatkozó információkat maguk a szoftvergyártók, valamint a megbízható SANS- és OVAL-listák szolgáltatják, így Ön mindig védve van a legújabb fenyegetésekkel szemben, beleértve a szívvérzést, a titkos fertőzést, a shellshock-ot, az uszkárt, a homokférget és egyebeket.

Automatikus korrekció

Miután megkapja a részletes vizsgálati jelentést az egyes sérülékenységek leírásával és a hivatkozásokkal További irodalom, a legtöbb fenyegetést egyetlen kattintással kijavíthatja az „Elhárítás” gombra kattintva: bezárják a portokat, kijavítják a rendszerleíró kulcsokat, telepítik a javításokat, frissítik a szoftvereket, eltávolítják a tiltott programokat, és telepítik a hiányzó programokat.