Programmi per la scansione delle reti alla ricerca di vulnerabilità. Confronto tra gli scanner di sicurezza di rete. Confronto degli scanner delle vulnerabilità di rete

Programmi per la scansione delle reti alla ricerca di vulnerabilità. Confronto tra gli scanner di sicurezza di rete. Confronto degli scanner delle vulnerabilità di rete

REVISIONE E CONFRONTO DEI VULNERABILITY SCANNER

Rozhkova Ekaterina Olegovna

Studente del 4° anno, Dipartimento di automazione e misurazioni navali, Università medica statale di San Pietroburgo, Federazione Russa, San Pietroburgo

E- posta: rina1242. ro@ gmail. com

Ilyin Ivan Valerievich

Studente del 4° anno, Dipartimento di Tecnologie Informatiche Sicure

Università nazionale di ricerca di San Pietroburgo ITMO, Federazione Russa, San Pietroburgo

E- posta: vanilina. va@ gmail. com

Galushin Sergey Yakovlevich

supervisore scientifico, Ph.D. tecnologia. Scienze, Vicerettore aggiunto lavoro scientifico, Federazione Russa, San Pietroburgo

Per un elevato livello di sicurezza, è necessario utilizzare non solo firewall, ma anche eseguire periodicamente misure per rilevare le vulnerabilità, ad esempio utilizzando gli scanner di vulnerabilità. L'identificazione tempestiva dei punti deboli del sistema impedirà l'accesso non autorizzato e la manipolazione dei dati. Ma quale opzione di scanner si adatta meglio alle esigenze di un particolare sistema? Per rispondere a questa domanda, prima di tutto, devi determinare i difetti nel sistema di sicurezza del tuo computer o della tua rete. Secondo le statistiche, la maggior parte degli attacchi avviene attraverso lacune di sicurezza conosciute e pubblicate, che per molte ragioni non possono essere eliminate, sia per mancanza di tempo, di personale o per incompetenza dell'amministratore di sistema. Dovresti anche capire che di solito un malintenzionato può penetrare nel sistema in diversi modi e se un metodo non funziona, l'intruso può sempre provarne un altro. Garantire il massimo livello di sicurezza del sistema richiede un'analisi approfondita dei rischi e l'ulteriore sviluppo di un chiaro modello di minaccia per prevedere con maggiore precisione azioni possibili ipotetico criminale.

Le vulnerabilità più comuni includono buffer overflow, possibili errori nella configurazione del router o del firewall, vulnerabilità del server Web, server di posta, server DNS, database. Inoltre, non trascurare una delle zone più delicate informazioni di sicurezza- gestione degli utenti e dei file, poiché garantire il livello di accesso dell'utente con privilegi minimi è un compito specifico che richiede un compromesso tra l'esperienza dell'utente e la garanzia della sicurezza del sistema. È necessario menzionare il problema delle password vuote o deboli, degli account predefiniti e il problema della fuga di informazioni generali.

Lo scanner di sicurezza lo è strumento software per la diagnostica remota o locale vari elementi reti per identificare varie vulnerabilità in esse; possono ridurre significativamente il tempo di lavoro degli specialisti e facilitare la ricerca delle vulnerabilità.

Recensione sugli scanner di sicurezza

In questo lavoro sono stati esaminati gli scanner che dispongono di una versione di prova gratuita, che consente di utilizzare il software per familiarizzare con un elenco limitato delle sue capacità e valutare il grado di semplicità dell'interfaccia. Come oggetto della revisione sono stati selezionati i seguenti popolari scanner di vulnerabilità: Nessus, GFI LANguard, Retina, Shadow security scanner, Internet Scanner.

Nesso

Nessus è un programma per la ricerca automatica di difetti di sicurezza noti sistemi di informazione. È in grado di rilevare le tipologie di vulnerabilità più comuni, come la presenza di versioni vulnerabili di servizi o domini, errori di configurazione (nessuna necessità di autorizzazione sul server SMTP), presenza di password predefinite, password vuote o deboli.

Lo scanner Nessus è uno strumento potente e affidabile che appartiene a una famiglia di scanner di rete che consente di cercare vulnerabilità nei servizi di rete offerti da sistemi operativi, firewall, router di filtraggio e altri componenti di rete. Per cercare le vulnerabilità, vengono utilizzati come mezzi standard testare e raccogliere informazioni sulla configurazione e il funzionamento della rete, e mezzi speciali, emulando le azioni di un utente malintenzionato per penetrare nei sistemi collegati alla rete.

Il programma ha la capacità di collegare le proprie procedure o modelli di verifica. A questo scopo lo scanner mette a disposizione uno speciale linguaggio di scripting chiamato NASL (Nessus Attack Scripting Language). Il database delle vulnerabilità è in costante crescita e aggiornamento. Gli utenti registrati ricevono immediatamente tutti gli aggiornamenti, mentre altri (versioni di prova, ecc.) ricevono un po' di ritardo.

GFILanGuard

GFI LanGuard Network Security Scanner (N.S.S) è una soluzione pluripremiata che utilizza tre componenti principali per proteggerti: scanner di sicurezza, gestione delle patch e controllo della rete da un'unica console unificata. Scansionando l'intera rete, determina tutto possibili problemi sicurezza e, utilizzando la sua ampia funzionalità reporting, fornisce gli strumenti necessari per rilevare, valutare, descrivere ed eliminare eventuali minacce.

Il processo di revisione della sicurezza produce oltre 15.000 valutazioni di vulnerabilità ed esamina le reti in base all'indirizzo IP. GFI LanGuard N.S.S. offre la possibilità di eseguire scansioni multipiattaforma (Windows, Mac OS, Linux) in tutti gli ambienti e analizza lo stato della rete per ciascuna origine dati. Ciò garantisce che eventuali minacce possano essere identificate ed eliminate prima che gli hacker si facciano strada.

GFI LanGuard N.S.S. viene fornito con un database di valutazione delle vulnerabilità completo ed esauriente, inclusi standard come OVAL (oltre 2.000 valori) e SANS Top 20. Questo database viene regolarmente aggiornato con informazioni da BugTraq, SANS Corporation, OVAL, CVE, ecc. Grazie al sistema automatico GFI LanGuard aggiornamento sistema N.S.S. contiene sempre le informazioni più recenti sugli aggiornamenti di sicurezza Microsoft, nonché informazioni provenienti da GFI e altri archivi di informazioni come il database OVAL.

GFI LanGuard N.S.S. esegue la scansione dei computer, identifica e classifica le vulnerabilità, consiglia azioni e fornisce strumenti per risolvere i problemi. GFI LANguard N.S.S. utilizza anche un indicatore grafico del livello di minaccia che fornisce una valutazione intuitiva ed equilibrata dello stato di vulnerabilità di un computer o di un gruppo di computer scansionati. Se possibile, viene fornito un collegamento o Informazioni aggiuntive per un problema specifico, ad esempio un identificatore nell'ID BugTraq o nella Microsoft Knowledge Base.

GFI LanGuard N.S.S. ti consente di creare facilmente i tuoi schemi di test di vulnerabilità utilizzando una procedura guidata. Utilizzando il motore di scripting VBScript è inoltre possibile scrivere controlli di vulnerabilità complessi per GFI LanGuard N.S.S. GFI LanGuard N.S.S. include un editor di script e un debugger.

Retina

Retina Network Security Scanner, lo scanner delle vulnerabilità di rete di BeyondTrust, identifica le vulnerabilità di rete note e dà priorità alle minacce per la risoluzione. Durante l'uso prodotto software vengono identificati tutti i computer, i dispositivi, i sistemi operativi, le applicazioni e le reti wireless.

Gli utenti possono anche utilizzare Retina per valutare i rischi per la sicurezza delle informazioni, gestire i rischi dei progetti e soddisfare i requisiti degli standard attraverso controlli delle politiche aziendali. Questo scanner non esegue il codice di vulnerabilità, quindi la scansione non porta alla perdita di funzionalità della rete e dei sistemi analizzati. Utilizzando la tecnologia di scansione proprietaria Adaptive Speed rete locale La classe C impiegherà circa 15 minuti, ciò è facilitato da Adaptive Speed, una tecnologia di scansione di rete sicura ad alta velocità. Inoltre, le impostazioni flessibili dell'area di scansione consentono amministratore di sistema analizzare la sicurezza dell'intera rete o di un determinato segmento senza compromettere il funzionamento di quelle vicine. Sta accadendo aggiornamento automatico copie locali del database, quindi l'analisi della rete viene sempre eseguita in base ai dati più aggiornati. Il tasso di falsi positivi è inferiore all'1% ed è disponibile un controllo flessibile dell'accesso al registro di sistema.

Ombrasicurezzascanner (SSS)

Questo scanner può essere utilizzato per rilevare in modo affidabile sia noti che sconosciuti (al momento del rilascio) nuova versione prodotto) vulnerabilità. Durante la scansione di un sistema, SSS analizza i dati, inclusa la ricerca di vulnerabilità, e indica possibili errori nella configurazione del server. Inoltre, lo scanner suggerisce possibili modi per risolvere questi problemi e correggere le vulnerabilità nel sistema.

Come tecnologia backdoor il sistema utilizza il kernel sviluppato dal produttore Shadow Security Scanner. Si può notare che quando si lavora su sistema operativo Windows, SSS eseguirà la scansione dei server indipendentemente dalla loro piattaforma. Esempi di piattaforme includono piattaforme Unix (Linux, FreeBSD, OpenBSD, Net BSD, Solaris), piattaforme Windows (95/98/ME/NT/2000/XP/.NET/Win 7 e 8). Shadow Security Scanner può anche rilevare errori nelle apparecchiature CISCO, HP e altri. Questo scanner è stato creato da sviluppatori nazionali e, di conseguenza, ha un'interfaccia russa, oltre a documentazione e una linea di supporto attiva.

InternetScanner

Questo scanner fornisce il rilevamento e l'analisi automatizzati delle vulnerabilità in rete aziendale. Le capacità dello scanner includono l'implementazione di una serie di controlli per la successiva identificazione di vulnerabilità nei servizi di rete, sistemi operativi, router, server di posta e web, firewall e software applicativo. Internet Scanner è in grado di rilevare e identificare più di 1.450 vulnerabilità, che possono includere una configurazione errata delle apparecchiature di rete, software obsoleto, servizi di rete inutilizzati, password deboli, ecc. È possibile controllare i protocolli FTP, LDAP e SNMP, controllare la posta elettronica, controllare RPC, NFS, NIS e DNS, verificare la possibilità di attacchi come "denial of service", "password indovinare", controlli di server Web, script CGI, Browser Web e terminali X. Inoltre è possibile controllare firewall, server proxy, servizi di accesso remoto, file system, sottosistema di sicurezza e sottosistema di controllo, registro di sistema e aggiornamenti installati Sistema operativo Windows, ecc. Internet Scanner consente di analizzare la presenza di una singola vulnerabilità in una determinata area della rete, verificando ad esempio l'installazione di una patch specifica sistema operativo. Internet Scanner può funzionare Server Windows NT, supporta anche i sistemi operativi AIX, HP-UX, Linux e Solaris.

Prima di scegliere i criteri di confronto, è opportuno sottolineare che i criteri dovrebbero coprire tutti gli aspetti dell'uso dei body scanner: dai metodi di raccolta delle informazioni ai costi. L'utilizzo di uno scanner di sicurezza inizia con la pianificazione della distribuzione e la distribuzione stessa. Pertanto, il primo gruppo di criteri riguarda l'architettura degli scanner di sicurezza, l'interazione dei loro componenti, l'installazione e la gestione. Il successivo gruppo di criteri, la scansione, dovrebbe coprire i metodi utilizzati dagli scanner confrontati per eseguire le azioni elencate, nonché altri parametri associati alle fasi specificate del prodotto software. Criteri importanti includono anche i risultati della scansione, in particolare come vengono archiviati e quali rapporti possono essere generati in base ad essi. I successivi criteri su cui concentrarsi sono i criteri di aggiornamento e supporto, che consentono di chiarire questioni quali metodi e metodi di aggiornamento, livello supporto tecnico, disponibilità di formazione autorizzata, ecc. L'ultimo gruppo comprende un unico, ma molto importante criterio: il costo.

· Sistemi supportati;

· Interfaccia amichevole;

· Funzionalità di scansione (profili di scansione);

· Possibilità di personalizzare i profili (quanto flessibile);

· Individuazione dei servizi e delle applicazioni;

· Identificazione delle vulnerabilità;

· Generazione di report (formati);

· Possibilità di generare un report personalizzato (il tuo);

· Frequenza di aggiornamento;

· Supporto tecnico.

Tabella 1.

Confronto degli scanner di vulnerabilità

Scanner

GFI LanGuard

Prezzo

RUB 131.400/anno

1610 rubli. per un indirizzo IP. Maggiore è il numero di indirizzi IP, minore è il costo

Il costo varia a seconda del numero di indirizzi IP

Da 30.000 rubli per 64 IP a 102.000 per 512 IP

Il costo varia a seconda del numero di indirizzi IP (valore nominale - 6000 rubli)

Supporto

sistemi viventi

software personalizzato

Windows, sistema operativo Mac, Linux

Cisco, Linux, UNIX, Windows

Unix, Linux, FreeBSD, OpenBSD, Net BSD, Solaris, Windows 95/98/ME/NT/2000/XP/.NET

Windows, AIX, HP-UX, Linux e Solaris

Amicizia

Intervento

viso

Interfaccia semplice ed intuitiva

Interfaccia semplice ed intuitiva

Interfaccia chiara

Interfaccia amichevole e chiara

Interfaccia chiara

Possibile

ness

filigrana

vagante

Sistema di impostazioni flessibile, tipo di scansione e parametri variano, è possibile la scansione anonima. Opzioni possibili scansioni: SYN scan, FIN scan – richiesta FIN pura; Albero di Natale - include nella richiesta FIN, URG, PUSH; Scansione null, scansione FTP, scansione Ident, scansione UDP, ecc. È anche possibile collegare le proprie procedure di verifica, per le quali viene fornito uno speciale linguaggio di scripting: NASL (Nessus Attack Scripting Language).

Lo scanner utilizza sia strumenti standard per testare e raccogliere informazioni sulla configurazione e il funzionamento della rete, sia strumenti speciali che emulano le azioni di un potenziale intruso per penetrare nei sistemi.

Scansione delle porte TCP/IP e UDP.Vengono controllati il ​​sistema operativo, gli ambienti e le applicazioni virtuali, i dispositivi mobili; vengono utilizzati i database OVAL e SANS Top 20.

Le vulnerabilità vengono rilevate utilizzando un test di penetrazione, i rischi vengono valutati e le loro priorità di mitigazione sono determinate sulla base di una valutazione della probabilità di sfruttamento. Vulnerabilità (da Core Impact®, Metasploit®, Exploit-db), CVSS e altri fattori.

FTP, SSH, Telnet, SMTP, DNS, Finger, HTTP, POP3, IMAP, NetBios, NFS, NNTP, SNMP, Squid (SSS è l'unico scanner al mondo che controlla i server proxy per gli audit - altri scanner determinano semplicemente la presenza di una porta), LDAP (l'unico scanner al mondo che controlla i server LDAP per gli audit - altri scanner determinano semplicemente la presenza di una porta), HTTPS, SSL, TCP/IP, UDP, Registro, ecc. Crea facilmente i tuoi report.

Controlli FTP, LDAP e SNMP; controllare le e-mail;

controlli RPC, NFS, NIS e DNS; verificare la possibilità di attacchi di negazione del servizio;

verifica la presenza di attacchi “password indovinare” (Brute Force); controllo di server web e script CGI, browser web e terminali X; controllare firewall e server proxy;

verifica dei servizi di accesso remoto;

Verifiche del file system del sistema operativo Windows;

controllare il sottosistema di sicurezza e il sottosistema di controllo del sistema operativo Windows;

controllare il registro di sistema e gli aggiornamenti del sistema operativo Windows installati;

verificare la presenza di modem sulla rete e la presenza di cavalli di Troia;

controllare servizi e demoni;

controlli sul conto.

Identificare

ficazione di servizi e applicazioni

sposi

Implementazione di alta qualità della procedura per l'identificazione di servizi e applicazioni.

Rilevamento di applicazioni non autorizzate/malware e inserimento in blacklist con un elevato livello di vulnerabilità.

Rilevamento di sistemi operativi, applicazioni, database, applicazioni web.

Controlla ciascuna porta per determinare quali servizi sono in ascolto su di essa. Rileva sistema operativo, applicazioni, database, applicazioni web.

Identifica le vulnerabilità di servizi di rete, sistemi operativi, router, server di posta e Web, firewall e software applicativo.

Generazione di un rapporto

Possibilità di salvare report nei formati nessus (xml), pdf, html, csv, nessus DB

Capacità di generare report che vanno dai report sulle tendenze di utilizzo della rete per il management ai report dettagliati per il personale tecnico. È possibile creare report sul rispetto degli standard: Health Insurance Portability and Accountability Act (HIPAA), Public Services Network - Code of Connection (PSN CoCo), Sarbanes - Oxley Act (SOX), Gramm - Leach - Bliley Act (GLB/ GLBA), noto anche come Payment Card Industry Digital Security Standard (PCI-DSS).

Esistono strumenti di generazione di report, una delle più ampie gamme di funzionalità di reporting.

Ha la possibilità di salvare il report sia in formato html che nei formati xml, pdf, rtf, chm. Il processo stesso di creazione di un report avviene sotto forma di selezione delle informazioni necessarie da visualizzare. La possibilità di creare un report è disponibile solo nella versione completa.

Un potente sottosistema di generazione di report che consente di creare facilmente varie forme di report e ordinarli in base alle caratteristiche.

Possibile

capacità di generazione

relazione gratuita

Sì, solo nella versione completa.

Sì, solo nella versione completa.

Frequenza di aggiornamento

lenia

Aggiornamenti regolari, ma gli utenti della versione di prova non ricevono gli aggiornamenti più recenti.

Aggiornamenti frequenti

Aggiornamenti frequenti

Aggiornamenti regolari

Aggiornamenti regolari

Tecnico

supporto tecnico

Presente

Presente

Presente, disponibile in russo.

Presente

Il lavoro ha esaminato 5 scanner di vulnerabilità, che sono stati confrontati secondo i criteri selezionati.

In termini di efficienza, lo scanner Nessus è stato scelto come leader, poiché ha la gamma più completa di capacità per analizzare la sicurezza di un sistema informatico. Tuttavia, è relativamente costoso rispetto ad altri scanner: se si dispone di un numero limitato di indirizzi IP, è più saggio scegliere GFI LanGuard o SSS.

Bibliografia:

  1. Dolgin A.A., Khorev P.B., Sviluppo di uno scanner di vulnerabilità sistemi informatici basato su versioni protette del sistema operativo Windows, Atti della conferenza scientifica e tecnica internazionale " Mezzi di informazione e tecnologie", 2005.
  2. Portale informativo sulla sicurezza [risorsa elettronica] - Modalità di accesso. - URL: http://www.securitylab.ru/ (data di accesso 27/03/15).
  3. Rivista online Softkey.info [risorsa elettronica] - Modalità di accesso. - URL: http://www.softkey.info/ (data di accesso 27/03/15).
  4. Sito ufficiale di "GFI Software". [Risorsa elettronica] - Modalità di accesso. - URL: http://www.gfi.ru/ (data di accesso 27/03/15).
  5. Sito ufficiale di "Oltre la fiducia". [Risorsa elettronica] - Modalità di accesso. - URL: http://www.beyondtrust.com/Products/RetinaNetworkSecurityScanner/ (accesso il 27/03/15).
  6. Sito web ufficiale di IBM [risorsa elettronica] - Modalità di accesso. - URL: http://www.ibm.com/ (accesso il 27/03/15).
  7. Sito ufficiale Tenable Network Security [risorsa elettronica] - Modalità di accesso. - URL: http://www.tenable.com/products/nessus-vulnerability-scanner/ (accesso il 27/03/15).
  8. Sito ufficiale "safety-lab". [Risorsa elettronica] - Modalità di accesso. - URL: http://www.safety-lab.com/ (data di accesso 27/03/15).
  9. Soluzioni IBM per la sicurezza delle informazioni [risorsa elettronica] - Modalità di accesso. - URL: http://www.ibm.com/ru/services/iss/pdf/ISS_2009_DB_s10.pdf (accesso il 27/03/15).
  10. Khorev P.B., Metodi e mezzi per proteggere le informazioni nei sistemi informatici, M., Centro editoriale "Academy", 2005.

Come puoi vedere, ce ne sono stati moltissimi e sono tutti molto pericolosi per i sistemi ad essi esposti. È importante non solo aggiornare il tuo sistema in tempo per proteggerti da nuove vulnerabilità, ma anche essere sicuro che il tuo sistema non contenga vulnerabilità che sono state riparate molto tempo fa e che gli hacker possono sfruttare.

È qui che gli scanner delle vulnerabilità Linux vengono in soccorso. Gli strumenti di analisi delle vulnerabilità sono uno dei componenti più importanti del sistema di sicurezza di ogni azienda. Il controllo delle vecchie vulnerabilità nelle applicazioni e nei sistemi è una pratica obbligatoria. In questo articolo vedremo i migliori scanner vulnerabilità, con open codice sorgente, che puoi utilizzare per rilevare vulnerabilità nei tuoi sistemi e programmi. Sono tutti completamente gratuiti e possono essere utilizzati come file utenti ordinari e nel settore aziendale.

OpenVAS o Open Vulnerability Assessment System è una piattaforma completa per la ricerca di vulnerabilità, distribuita come open source. Il programma è basato sul codice sorgente dello scanner Nessus. Inizialmente, questo scanner era distribuito come open source, ma poi gli sviluppatori hanno deciso di chiudere il codice e nel 2005 è stato creato OpenVAS basato sulla versione aperta di Nessus.

Il programma è costituito da una parte server e una parte client. Il server, che svolge il lavoro principale dei sistemi di scansione, funziona solo in Linux e i programmi client supportano anche Windows; è possibile accedere al server tramite un'interfaccia web.

Il nucleo dello scanner contiene più di 36.000 diversi controlli di vulnerabilità e viene aggiornato ogni giorno con l'aggiunta di nuovi controlli scoperti di recente. Il programma è in grado di rilevare le vulnerabilità nei servizi in esecuzione e anche cercare impostazioni errate, ad esempio mancanza di autenticazione o password molto deboli.

2. Edizione comunitaria Nexpose

Questo è un altro strumento di scansione delle vulnerabilità Linux open source sviluppato da Rapid7, la stessa società che ha rilasciato Metasploit. Lo scanner è in grado di rilevare fino a 68.000 vulnerabilità note ed eseguire oltre 160.000 scansioni di rete.

La versione Comunity è completamente gratuita, ma presenta la limitazione di scansionare contemporaneamente fino a 32 indirizzi IP e un solo utente. Inoltre la licenza deve essere rinnovata ogni anno. Non è prevista la scansione delle applicazioni web, ma supporta l'aggiornamento automatico del database delle vulnerabilità e la ricezione di informazioni sulle vulnerabilità da Microsoft Patch.

Il programma può essere installato non solo su Linux, ma anche su Windows e la gestione viene eseguita tramite l'interfaccia web. Usandolo, puoi impostare parametri di scansione, indirizzi IP e altre informazioni necessarie.

Una volta completata la scansione, verrà visualizzato un elenco di vulnerabilità, nonché informazioni sul software installato e sul sistema operativo sul server. Puoi anche creare ed esportare report.

3. Edizione gratuita di Burp Suite

Burp Suite è uno scanner di vulnerabilità web scritto in Java. Il programma è composto da un server proxy, uno spider, uno strumento per generare richieste ed eseguire stress test.

CON utilizzando Burpè possibile eseguire test delle applicazioni Web. Ad esempio, utilizzando un server proxy, puoi intercettare e visualizzare il traffico in transito, nonché modificarlo se necessario. Ciò ti consentirà di simulare molte situazioni. Lo spider ti aiuterà a trovare le vulnerabilità del web e lo strumento di generazione di query ti aiuterà a trovare la forza del server web.

4. Aracni

Arachni è un framework di test di applicazioni web completo, scritto in Ruby e open source. Consente di valutare la sicurezza delle applicazioni web e dei siti eseguendo vari test di penetrazione.

Il programma supporta la scansione con autenticazione, personalizzazione delle intestazioni, supporto per lo spoofing Aser-Agent, supporto per il rilevamento 404. Inoltre, il programma ha un'interfaccia web e un'interfaccia a riga di comando, la scansione può essere messa in pausa e poi ripresa e in generale, tutto funziona molto velocemente .

5. Proxy OWASP Zed Attack (ZAP)

OWASP Zed Attack Proxy è un altro strumento completo per trovare vulnerabilità nelle applicazioni web. Sono supportate tutte le funzionalità standard per questo tipo di programma. Puoi scansionare le porte, controllare la struttura del sito, cercare molte vulnerabilità conosciute e verificare se richieste ripetute o dati errati vengono elaborati correttamente.

Il programma può funzionare su https e supporta anche vari proxy. Poiché il programma è scritto in Java, è molto facile da installare e utilizzare. Oltre alle funzionalità di base, esistono numerosi plugin che possono aumentare notevolmente la funzionalità.

6. Chiara

Clair è uno strumento per trovare vulnerabilità Linux nei contenitori. Il programma contiene un elenco di vulnerabilità che possono essere pericolose per i contenitori e avvisa l'utente se tali vulnerabilità sono state scoperte nel tuo sistema. Il programma può anche inviare notifiche se compaiono nuove vulnerabilità che potrebbero rendere i contenitori non sicuri.

Ogni contenitore viene controllato una volta e non è necessario avviarlo per controllarlo. Il programma può recuperare tutti i dati necessari da un contenitore disabilitato. Questi dati vengono archiviati in una cache per poter notificare eventuali vulnerabilità in futuro.

7.Powerfuzzer

Powerfuzzer è un web crawler completo, automatizzato e altamente personalizzabile che ti consente di testare il modo in cui un'applicazione web reagisce a dati non validi e richieste ripetute. Lo strumento supporta solo il protocollo HTTP ed è in grado di rilevare vulnerabilità come attacchi XSS, SQL injection, LDAP, CRLF e XPATH. Supporta anche il monitoraggio di 500 errori, che potrebbero indicare un'errata configurazione o addirittura un pericolo come un overflow del buffer.

8. Nmap

Nmap non è esattamente uno scanner di vulnerabilità per Linux. Questo programma ti consente di scansionare la rete e scoprire quali nodi sono collegati ad essa, oltre a determinare quali servizi sono in esecuzione su di essi. Questo non fornisce informazioni complete sulle vulnerabilità, ma puoi indovinare quale. Software potrebbe essere vulnerabile, prova a decifrare le password deboli. È anche possibile eseguire script speciali che consentono di identificare determinate vulnerabilità in determinati software.

conclusioni

In questo articolo abbiamo esaminato i migliori scanner di vulnerabilità Linux, ti consentono di tenere sotto controllo il tuo sistema e le tue applicazioni. completa sicurezza. Abbiamo esaminato i programmi che consentono di scansionare il sistema operativo stesso o applicazioni e siti Web.

Infine, puoi guardare un video su cosa sono gli scanner di vulnerabilità e perché sono necessari:

Il problema dell'epidemia di worm di rete è rilevante per qualsiasi rete locale. Prima o poi può verificarsi una situazione in cui un worm di rete o di posta elettronica penetra nella LAN e non viene rilevato dall'antivirus utilizzato. Un virus di rete si diffonde su una LAN attraverso le vulnerabilità del sistema operativo che non sono state chiuse al momento dell'infezione o attraverso vulnerabilità scrivibili risorse condivise. Virus della posta, come suggerisce il nome, viene distribuito via email, a condizione che non venga bloccato dagli antivirus del client e dall'antivirus attivo server email. Inoltre, un'epidemia su una LAN può essere organizzata dall'interno a seguito delle attività di un insider. In questo articolo esamineremo metodi pratici per l'analisi operativa dei computer LAN utilizzando vari strumenti, in particolare utilizzando l'utilità AVZ dell'autore.

Formulazione del problema

Se viene rilevata un'epidemia o qualche attività anomala sulla rete, l'amministratore deve risolvere rapidamente almeno tre compiti:

  • rilevare i PC infetti sulla rete;
  • trovare campioni di malware da inviare a un laboratorio antivirus e sviluppare una strategia di contrasto;
  • adottare misure per bloccare la diffusione del virus sulla LAN e distruggerlo sui computer infetti.

Nel caso dell'attività insider, le fasi principali dell'analisi sono identiche e molto spesso si riducono alla necessità di rilevare software di terze parti installato dall'insider sui computer della LAN. Esempi di tale software includono utilità di amministrazione remota, keylogger e vari segnalibri Trojan.

Consideriamo più in dettaglio la soluzione a ciascuno dei compiti.

Cerca i PC infetti

Per cercare i PC infetti in rete si possono utilizzare almeno tre metodi:

  • analisi automatica del PC remoto: acquisizione di informazioni sui processi in esecuzione, librerie e driver caricati, ricerca di modelli caratteristici, ad esempio processi o file con nomi di battesimo;
  • Analisi del traffico del PC tramite uno sniffer - questo metodo molto efficace per catturare spam bot, e-mail e worm di rete, tuttavia, la principale difficoltà nell'utilizzo di uno sniffer è dovuta al fatto che una moderna LAN è costruita sulla base di switch e, di conseguenza, l'amministratore non può monitorare il traffico di l'intera rete. Il problema può essere risolto in due modi: eseguendo uno sniffer sul router (che permette di monitorare lo scambio di dati del PC con Internet) e utilizzando le funzioni di monitoraggio degli switch (molti interruttori moderni consentire di assegnare una porta di monitoraggio su cui duplicare il traffico di una o più porte dello switch specificate dall'amministratore);
  • studio del carico di rete: in questo caso è molto comodo utilizzare gli switch intelligenti, che consentono non solo di valutare il carico, ma anche di disabilitare da remoto le porte specificate dall'amministratore. Questa operazione è molto semplificata se l'amministratore dispone di una mappa di rete, che contiene informazioni su quali PC sono collegati alle corrispondenti porte dello switch e dove si trovano;
  • utilizzo di honeypot: si consiglia vivamente di creare diversi honeypot sulla rete locale che consentiranno all'amministratore di rilevare tempestivamente un'epidemia.

Analisi automatica dei PC in rete

L’analisi automatica del PC può essere ridotta a tre fasi principali:

  • esecuzione di una scansione completa del PC: processi in esecuzione, librerie e driver caricati, avvio automatico;
  • condurre ricerche operative, ad esempio cercare processi o file caratteristici;
  • quarantena di oggetti secondo determinati criteri.

Tutti i problemi di cui sopra possono essere risolti utilizzando l'utilità AVZ dell'autore, progettata per essere avviata da una cartella di rete sul server e supporta un linguaggio di scripting per l'ispezione automatica del PC. Per eseguire AVZ sui computer degli utenti è necessario:

  1. Posiziona AVZ in una cartella di rete sul server aperta per la lettura.
  2. Crea sottodirectory LOG e Qurantine in questa cartella e consenti agli utenti di scrivervi.
  3. Avvia AVZ sui computer LAN utilizzando l'utilità rexec o lo script di accesso.

L'avvio di AVZ nel passaggio 3 dovrebbe essere eseguito con i seguenti parametri:

\\mio_server\AVZ\avz.exe Priorità=-1 nw=Y nq=Y HiddenMode=2 Script=\\mio_server\AVZ\mio_script.txt

In questo caso, il parametro Priority=-1 abbassa la priorità del processo AVZ, i parametri nw=Y e nq=Y commutano la quarantena in modalità “esecuzione in rete” (in questo caso, viene creata una sottodirectory nella cartella di quarantena per ogni computer, il cui nome corrisponde al nome di rete del PC), HiddenMode=2 indica di negare all'utente l'accesso alla GUI e ai controlli AVZ e, infine, il parametro Script più importante specifica il nome completo dello script con il comandi che AVZ eseguirà sul computer dell'utente. Il linguaggio di scripting AVZ è abbastanza semplice da usare e si concentra esclusivamente sulla risoluzione dei problemi di esame e trattamento informatico. Per semplificare il processo di scrittura degli script, è possibile utilizzare un editor di script specializzato, che contiene un prompt online, una procedura guidata per la creazione di script standard e strumenti per verificare la correttezza dello script scritto senza eseguirlo (Fig. 1).

Riso. 1. Editor di script AVZ

Diamo un'occhiata a tre script tipici che potrebbero essere utili nella lotta contro l'epidemia. Innanzitutto, abbiamo bisogno di uno script di ricerca per PC. Il compito dello script è esaminare il sistema e creare un protocollo con i risultati in una determinata cartella di rete. Lo script è simile al seguente:

AttivaWatchDog(60 * 10);

// Avvia la scansione e l'analisi

// Esplorazione del sistema

EseguiSysCheck(GetAVZDirectory+

‘\LOG\’+GetComputerName+’_log.htm’);

//Spegni AVZ

Durante l'esecuzione di questo script, nella cartella LOG verranno creati file HTML con i risultati dello studio dei computer di rete (supponendo che sia creato nella directory AVZ sul server e sia disponibile per la scrittura da parte degli utenti) e per garantire unicità, il nome del computer esaminato è incluso nel nome del protocollo. All'inizio dello script è presente un comando per abilitare un timer watchdog, che terminerà forzatamente il processo AVZ dopo 10 minuti se si verificano errori durante l'esecuzione dello script.

Il protocollo AVZ è conveniente per lo studio manuale, ma è di scarsa utilità per l'analisi automatizzata. Inoltre, l'amministratore spesso conosce il nome del file malware e deve solo verificare la presenza o l'assenza di questo file e, se presente, metterlo in quarantena per l'analisi. In questo caso è possibile utilizzare il seguente script:

// Abilita il timer del watchdog per 10 minuti

AttivaWatchDog(60 * 10);

// Cerca malware per nome

QuarantineFile('%WinDir%\smss.exe', 'Sospetto su LdPinch.gen');

QuarantineFile('%WinDir%\csrss.exe', 'Sospetto di LdPinch.gen');

//Spegni AVZ

Questo script utilizza la funzione QuarantineFile per tentare di mettere in quarantena i file specificati. L'amministratore può solo analizzare il contenuto della quarantena (cartella Quarantena\nome_rete_PC\data_quarantena\) per verificare la presenza di file in quarantena. Tieni presente che la funzione QuarantineFile blocca automaticamente la quarantena dei file identificati dal database sicuro AVZ o dal database delle firme digitali Microsoft. Per applicazione pratica questo script può essere migliorato: organizza il caricamento dei nomi dei file da un file di testo esterno, controlla i file trovati rispetto ai database AVZ e genera un protocollo di testo con i risultati del lavoro:

// Cerca un file con il nome specificato

funzione CheckByName(Fname: stringa): booleano;

Risultato:= FileEsiste(NomeF) ;

se Risultato, allora inizia

caso CheckFile(FName) di

1: S:= ‘, l’accesso al file è bloccato’;

1: S:= ', rilevato come malware ('+GetLastCheckTxt+')';

2: S:= ', sospettato dallo scanner dei file ('+GetLastCheckTxt+')';

3: uscita; // I file sicuri vengono ignorati

AddToLog('Il file '+NormalFileName(FName)+' ha un nome sospetto'+S);

//Aggiunge il file specificato alla quarantena

File in quarantena(FName,'file sospetto'+S);

SuspNames: TStringList; // Elenco dei nomi dei file sospetti

// Controllo dei file rispetto al database aggiornato

se FileExists(GetAVZDirectory + 'files.db'), inizia

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('Database dei nomi caricato - numero di record = '+inttostr(SuspNames.Count));

// Ciclo di ricerca

per i:= da 0 a SuspNames.Count - 1 do

CheckByName(SuspNames[i]);

AddToLog('Errore durante il caricamento dell'elenco dei nomi dei file');

SalvaLog(GetAVZDirectory+’\LOG\’+

OttieniNomeComputer+'_files.txt');

Affinché questo script funzioni è necessario creare le directory Quarantine e LOG nella cartella AVZ, accessibili agli utenti in scrittura, nonché file di testo files.db: ogni riga di questo file conterrà il nome del file sospetto. I nomi dei file possono includere macro, le più utili delle quali sono %WinDir% (percorso di Cartella Windows) e %SystemRoot% (percorso della cartella System32). Un'altra direzione di analisi potrebbe essere l'esame automatico dell'elenco dei processi in esecuzione sui computer degli utenti. Le informazioni sui processi in esecuzione si trovano nel protocollo di ricerca del sistema, ma per l'analisi automatica è più conveniente utilizzare il seguente frammento di script:

procedura ScanProcess;

S:=''; S1:='';

//Aggiornamento dell'elenco dei processi

Aggiornaelencoprocessi;

AddToLog('Numero di processi = '+IntToStr(GetProcessCount));

// Ciclo di analisi della lista ricevuta

for i:= 0 to GetProcessCount - 1 inizia

S1:= S1 + ',' + ExtractFileName(GetProcessName(i));

// Cerca il processo per nome

se pos('trojan.exe', LowerCase(GetProcessName(i))) > 0 allora

S:= S + OttieniNomeProcesso(i)+’,’;

se S<>''Poi

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

Lo studio dei processi in questo script viene eseguito come una procedura ScanProcess separata, quindi è facile inserirlo nel proprio script. La procedura ScanProcess crea due elenchi di processi: lista completa processi (per analisi successive) e un elenco di processi che, dal punto di vista dell’amministratore, sono considerati pericolosi. In questo caso, a scopo dimostrativo, viene considerato pericoloso un processo denominato “trojan.exe”. Le informazioni sui processi pericolosi vengono aggiunte al file di testo _alarm.txt, i dati su tutti i processi vengono aggiunti al file _all_process.txt. È facile vedere che è possibile complicare lo script aggiungendovi, ad esempio, controllando i file di processo rispetto a un database di file sicuri o controllando i nomi file eseguibili processi su base esterna. Una procedura simile viene utilizzata negli script AVZ utilizzati in Smolenskenergo: l'amministratore studia periodicamente le informazioni raccolte e modifica lo script, aggiungendovi il nome dei processi di programmi vietati dalla politica di sicurezza, ad esempio ICQ e MailRu.Agent, che consente di verificare rapidamente la presenza di software vietati sui PC studiati. Un altro utilizzo dell'elenco dei processi è quello di trovare i PC a cui manca un processo richiesto, ad esempio un antivirus.

In conclusione, diamo un'occhiata all'ultimo degli script di analisi utili: uno script per la quarantena automatica di tutti i file che non vengono riconosciuti dal database sicuro AVZ e dal database delle firme digitali Microsoft:

// Esegue la quarantena automatica

EseguiAutoQuarantena;

La quarantena automatica esamina i processi in esecuzione e le librerie, i servizi e i driver caricati, circa 45 metodi di avvio automatico, moduli di estensione del browser e di Explorer, gestori SPI/LSP, lavori di pianificazione, gestori del sistema di stampa, ecc. Una caratteristica speciale della quarantena è che i file vengono aggiunti ad essa con il controllo della ripetizione, quindi la funzione di quarantena automatica può essere richiamata ripetutamente.

Il vantaggio della quarantena automatica è che con il suo aiuto l'amministratore può raccogliere rapidamente file potenzialmente sospetti da tutti i computer della rete per esaminarli. La forma più semplice (ma molto efficace nella pratica) per studiare i file può essere il controllo della quarantena risultante con diversi antivirus popolari in modalità euristica massima. Va notato che l'avvio simultaneo della quarantena automatica su diverse centinaia di computer può creare un carico elevato sulla rete e sul file server.

Ricerca sul traffico

La ricerca sul traffico può essere effettuata in tre modi:

  • manualmente utilizzando gli sniffer;
  • in modalità semiautomatica: in questo caso lo sniffer raccoglie informazioni e quindi i suoi protocolli vengono elaborati manualmente o da alcuni software;
  • automaticamente utilizzando sistemi di rilevamento delle intrusioni (IDS) come Snort (http://www.snort.org/) o i loro analoghi software o hardware. Nel caso più semplice, un IDS è costituito da uno sniffer e da un sistema che analizza le informazioni raccolte dallo sniffer.

Un sistema di rilevamento delle intrusioni è uno strumento ottimale perché consente di creare insiemi di regole per rilevare anomalie nell'attività di rete. Il suo secondo vantaggio è il seguente: gli IDS più moderni consentono di posizionare agenti di monitoraggio del traffico su più nodi di rete: gli agenti raccolgono informazioni e le trasmettono. In caso di utilizzo di uno sniffer, è molto comodo utilizzare lo sniffer tcpdump della console UNIX. Ad esempio, per monitorare l'attività sulla porta 25 ( Protocollo SMTP) basta eseguire lo sniffer con riga di comando tipo:

tcpdump -i em0 -l porta tcp 25 > smtp_log.txt

In questo caso i pacchetti vengono catturati tramite l'interfaccia em0; le informazioni sui pacchetti catturati verranno archiviate nel file smtp_log.txt. Il protocollo è relativamente semplice da analizzare manualmente; in questo esempio, l'analisi dell'attività sulla porta 25 consente di identificare i PC con bot spam attivi.

Applicazione di Honeypot

Può essere usato come trappola (Honeypot) computer obsoleto, le cui prestazioni non ne consentono l'utilizzo per la risoluzione compiti di produzione. Ad esempio, un Pentium Pro da 64 MB viene utilizzato con successo come trappola nella rete dell'autore memoria ad accesso casuale. Su questo PC dovresti installare il sistema operativo più comune sulla LAN e scegliere una delle strategie:

  • Installa un sistema operativo senza pacchetti di aggiornamento: sarà un indicatore della comparsa di un worm di rete attivo sulla rete, sfruttando una qualsiasi delle vulnerabilità note di questo sistema operativo;
  • installa un sistema operativo con gli aggiornamenti installati su altri PC della rete: l'Honeypot sarà analogo a qualsiasi workstation.

Ogni strategia ha i suoi pro e i suoi contro; L'autore utilizza principalmente l'opzione senza aggiornamenti. Dopo aver creato Honeypot, dovresti creare un'immagine disco per recupero rapido sistema dopo che è stato danneggiato da malware. In alternativa all'immagine del disco, è possibile utilizzare sistemi di rollback delle modifiche come ShadowUser e i suoi analoghi. Dopo aver costruito un Honeypot, dovresti tenere presente che un certo numero di worm di rete cercano i computer infetti scansionando l'intervallo IP, calcolato dall'indirizzo IP del PC infetto (strategie tipiche comuni sono X.X.X.*, X.X.X+1.*, X.X.X-1.*), - quindi, idealmente, dovrebbe esserci un Honeypot su ciascuna sottorete. Come elementi di preparazione aggiuntivi, dovresti assolutamente aprire l'accesso a diverse cartelle sul sistema Honeypot e in queste cartelle dovresti inserire diversi file di esempio di vari formati, il set minimo è EXE, JPG, MP3.

Naturalmente, avendo creato un Honeypot, l'amministratore dovrà monitorarne il funzionamento e rispondere ad eventuali anomalie rilevate sullo stesso questo computer. Gli auditor possono essere utilizzati come mezzo per registrare le modifiche; uno sniffer può essere utilizzato per registrare l'attività di rete. Un punto importanteè che la maggior parte degli sniffer offre la possibilità di configurare l'invio di un avviso all'amministratore se viene rilevata un'attività di rete specifica. Ad esempio, nello sniffer CommView, una regola implica specificare una "formula" che descrive un pacchetto di rete o specificare criteri quantitativi (invio di più di un numero specificato di pacchetti o byte al secondo, invio di pacchetti a indirizzi IP o MAC non identificati) - Fico. 2.

Riso. 2. Creare e configurare un avviso di attività di rete

Come avvertimento, è più conveniente utilizzare i messaggi di posta elettronica inviati a Cassetta postale amministratore: in questo caso puoi ricevere avvisi tempestivi da tutte le trappole nella rete. Inoltre, se lo sniffer consente di creare più avvisi, è opportuno differenziare l'attività di rete evidenziando il lavoro con per e-mail, FTP/HTTP, TFTP, Telnet, MS Net, aumento del traffico di oltre 20-30 pacchetti al secondo per qualsiasi protocollo (Fig. 3).

Riso. 3. Lettera di notifica inviata
se vengono rilevati pacchetti che corrispondono ai criteri specificati

Quando si organizza una trappola, è una buona idea posizionare su di essa diversi servizi di rete vulnerabili utilizzati nella rete o installare un emulatore per essi. La più semplice (e gratuita) è l'utility proprietaria APS, che funziona senza installazione. Il principio di funzionamento di APS si riduce all'ascolto di molte porte TCP e UDP descritte nel suo database e all'emissione di una risposta predeterminata o generata casualmente al momento della connessione (Fig. 4).

Riso. 4. Finestra principale dell'utilità APS

La figura mostra uno screenshot acquisito durante una reale attivazione APS sulla LAN Smolenskenergo. Come si può vedere nella figura, è stato registrato un tentativo di connessione di uno dei computer client sulla porta 21. L'analisi dei protocolli ha mostrato che i tentativi sono periodici e vengono registrati da diverse trappole sulla rete, il che ci permette di concludere che il la rete viene scansionata per cercare e hackerare i server FTP indovinando le password. APS conserva i registri e può inviare messaggi agli amministratori con rapporti sulle connessioni registrate alle porte monitorate, il che è utile per rilevare rapidamente le scansioni di rete.

Quando si crea un Honeypot, è anche utile familiarizzare con le risorse online sull'argomento, in particolare http://www.honeynet.org/. Nella sezione Strumenti di questo sito (http://www.honeynet.org/tools/index.html) è possibile trovare una serie di strumenti per la registrazione e l'analisi degli attacchi.

Rimozione malware remota

Idealmente, dopo che i campioni sono stati scoperti malware l'amministratore li invia al laboratorio antivirus, dove vengono prontamente esaminati dagli analisti e le firme corrispondenti vengono inserite nel database antivirus. Queste firme vengono aggiornate automaticamente sul PC dell'utente e l'antivirus rimuove automaticamente il malware senza l'intervento dell'amministratore. Tuttavia questa catena non funziona sempre come previsto; in particolare sono possibili i seguenti motivi di fallimento:

  • per una serie di motivi indipendenti dall'amministratore di rete, le immagini potrebbero non raggiungere il laboratorio antivirus;
  • efficienza insufficiente del laboratorio antivirus: idealmente, non sono necessarie più di 1-2 ore per studiare i campioni e inserirli nel database, il che significa che è possibile ottenere database di firme aggiornati entro un giorno lavorativo. Tuttavia, non tutti i laboratori antivirus lavorano così velocemente e puoi attendere diversi giorni per gli aggiornamenti (in rari casi, anche settimane);
  • elevate prestazioni dell'antivirus: una serie di programmi dannosi, dopo l'attivazione, distruggono gli antivirus o ne interrompono in altro modo il funzionamento. Gli esempi classici includono la creazione di voci nel file host che bloccano lavoro normale sistemi di aggiornamento automatico antivirus, cancellazione di processi, servizi e driver antivirus, danni alle loro impostazioni, ecc.

Pertanto, nelle situazioni di cui sopra, dovrai gestire il malware manualmente. Nella maggior parte dei casi ciò non è difficile, poiché i risultati dell'esame del computer rivelano i PC infetti nonché i nomi completi dei file malware. Non resta che rimuoverli da remoto. Se il programma dannoso non è protetto dall'eliminazione, può essere distrutto utilizzando il seguente script AVZ:

// Cancellazione di un file

EliminaFile('nomefile');

EseguiSysClean;

Questo script elimina un file specificato (o più file, poiché in uno script può esserci un numero illimitato di comandi EliminaFile) e quindi pulisce automaticamente il registro. In casi più complessi, il malware può proteggersi dall'eliminazione (ad esempio, ricreando i propri file e le chiavi di registro) o camuffarsi utilizzando la tecnologia rootkit. In questo caso, lo script diventa più complicato e sarà simile a questo:

// Anti-rootkit

SearchRootkit(vero, vero);

// Controlla AVZGuard

ImpostaAVZGuardStatus(vero);

// Cancellazione di un file

EliminaFile('nomefile');

// Abilita la registrazione BootCleaner

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// Importa nell'attività BootCleaner un elenco di file eliminati dallo script

BC_ImportDeletedList;

// Attiva BootCleaner

// Pulizia euristica del sistema

EseguiSysClean;

Riavvia Windows(true);

Questo script include la lotta attiva ai rootkit, l'uso del sistema AVZGuard (si tratta di un blocco dell'attività del malware) e del sistema BootCleaner. BootCleaner è un driver che rimuove gli oggetti specificati da KernelMode durante un riavvio, in una fase iniziale dell'avvio del sistema. La pratica dimostra che uno script di questo tipo è in grado di distruggere la stragrande maggioranza dei malware esistenti. L'eccezione è il malware che cambia i nomi dei suoi file eseguibili ad ogni riavvio: in questo caso, i file scoperti durante la scansione del sistema possono essere rinominati. In questo caso, dovrai disinfettare manualmente il tuo computer o creare le tue firme malware (un esempio di script che implementa una ricerca di firme è descritto nella guida di AVZ).

Conclusione

In questo articolo abbiamo esaminato alcune tecniche pratiche per combattere manualmente un'epidemia LAN, senza l'uso di prodotti antivirus. La maggior parte delle tecniche descritte può essere utilizzata anche per cercare PC estranei e segnalibri Trojan sui computer degli utenti. In caso di difficoltà nel trovare malware o creare script di trattamento, l'amministratore può utilizzare la sezione "Guida" del forum http://virusinfo.info o la sezione "Lotta ai virus" del forum http://forum.kaspersky.com /index.php?showforum= 18. Lo studio dei protocolli e l'assistenza nel trattamento vengono effettuati su entrambi i forum gratuitamente, l'analisi del PC viene eseguita secondo i protocolli AVZ e nella maggior parte dei casi il trattamento si riduce all'esecuzione di uno script AVZ sui PC infetti, compilato da specialisti esperti di questi forum .

Analisi comparativa scanner di sicurezza. Parte 1: Test di penetrazione (breve riepilogo)

Aleksandr Antipov

Questo documento presenta i risultati di un confronto tra gli scanner di sicurezza di rete durante i test di penetrazione contro i nodi perimetrali della rete.


Lepichin Vladimir Borisovič
Responsabile del laboratorio di sicurezza della rete presso il centro di formazione Informzashchita

Tutti i materiali contenuti nel rapporto sono oggetti di proprietà intellettuale del centro di formazione Informzashita. La duplicazione, la pubblicazione o la riproduzione del materiale del rapporto in qualsiasi forma è vietata senza il previo consenso scritto del Centro di formazione Informzashita.

Testo completo dello studio:
http://www.itsecurity.ru/news/reliase/2008/12_22_08.htm

1. Introduzione

Gli scanner di sicurezza di rete sono perfetti per il confronto. Sono tutti molto diversi. E per la specificità dei compiti a cui sono destinati e per il loro "duplice" scopo (gli scanner di sicurezza di rete possono essere utilizzati sia per la difesa che "per l'attacco" e l'hacking, come sappiamo, è un compito creativo) , infine, anche perché dietro ciascuno di questi strumenti si nasconde un volo di “hacker” (nel senso originario del termine) pensato dal suo creatore.

Quando si scelgono le condizioni di confronto, è stato preso come base l'approccio “basato sui compiti”, quindi, in base ai risultati, si può giudicare quanto sia adatto un particolare strumento per risolvere il compito assegnatogli. Ad esempio, è possibile utilizzare gli scanner di sicurezza di rete:

  • per l'inventario delle risorse di rete;
  • durante i “test di penetrazione”;
  • nel processo di test dei sistemi per la conformità ai vari requisiti.

Questo documento presenta i risultati di un confronto tra gli scanner di sicurezza di rete durante i test di penetrazione contro i nodi perimetrali della rete. Sono stati valutati:

  • Numero di vulnerabilità trovate
  • Numero di falsi positivi (falsi positivi)
  • Falsi negativi
  • Motivi delle assenze
  • Completezza della base di controllo (nel contesto di questa attività)
  • Qualità dei meccanismi di inventario e determinazione della versione del software
  • Precisione dello scanner (nel contesto di questa attività)

I criteri elencati insieme caratterizzano l '"idoneità" dello scanner a risolvere il compito assegnatogli, in questo caso si tratta dell'automazione delle azioni di routine nel processo di monitoraggio della sicurezza del perimetro di rete.

2. Breve descrizione dei partecipanti al confronto

Prima di iniziare il confronto, il portale ha condotto un sondaggio, il cui scopo era raccogliere dati sugli scanner utilizzati e sui compiti per i quali vengono utilizzati.

Al sondaggio hanno preso parte circa 500 intervistati (visitatori del portale).

Alla domanda sugli scanner di sicurezza utilizzati nelle proprie organizzazioni, la stragrande maggioranza degli intervistati ha affermato di utilizzarne almeno uno (70%). Allo stesso tempo, le organizzazioni che utilizzano regolarmente scanner di sicurezza per analizzare la sicurezza dei propri sistemi informativi preferiscono utilizzare più di un prodotto di questa classe. Il 49% degli intervistati ha affermato che le proprie organizzazioni utilizzano due o più scanner di sicurezza (Figura 1).


1 . Distribuzione delle organizzazioni intervistate in base al numero di scanner di sicurezza utilizzati

I motivi per utilizzare più di uno scanner di sicurezza includono il fatto che le organizzazioni non si fidano delle soluzioni di un singolo “fornitore” (61%) e quando sono necessari controlli specializzati (39%) che non possono essere eseguiti con uno scanner di sicurezza completo (Fig. 2) .

2. Motivi per utilizzare più di uno scanner di sicurezza nelle organizzazioni intervistate

Alla domanda per quali scopi vengono utilizzati gli scanner di sicurezza specializzati, la maggior parte degli intervistati ha risposto che vengono utilizzati come strumenti aggiuntivi per analizzare la sicurezza delle applicazioni web (68%). Al secondo posto si trovano gli scanner di sicurezza DBMS specializzati (30%) e al terzo (2%) le utility proprietarie per risolvere una gamma specifica di problemi nell'analisi della sicurezza dei sistemi informativi (Fig. 3).


3. Gli scopi dell'utilizzo di scanner di sicurezza specializzati nelle organizzazioni degli intervistati

Il risultato di un sondaggio tra gli intervistati (Fig. 4) sui prodotti finali relativi agli scanner di sicurezza ha mostrato che la maggior parte delle organizzazioni preferisce utilizzare il prodotto XSpider di Positive Technologies (31%) e Nessus Security Scanner (17%).


Riso. 4. Security scanner utilizzati nelle organizzazioni degli intervistati

Gli scanner presentati nella Tabella 1 sono stati selezionati per partecipare ai test di prova.

Tabella 1. Scanner di sicurezza di rete utilizzati a confronto

Nome

Versione

http://www.nessus.org/download

MaxPatrol

8.0 (costruire 1178)

http://www.ptsecurity.ru/maxpatrol.asp

Scanner Internet

http://www-935.ibm.com/services/us/index.wss/offering/iss/a1027208

RetinaScanner per la sicurezza della rete

http://www.eeye.com/html/products/retina/index.html

Scanner di sicurezza ombra (SSS)

7.141 (costruire 262)

http://www.safety-lab.com/en/products/securityscanner.htm

Revisore NetClarity

http://netclarity.com/branch-nacwall.html

Pertanto, il primo test si concentra sul compito di valutare la sicurezza dei sistemi rispetto alla resistenza agli hacker.

3. Riassumendo

I risultati per i restanti nodi sono stati calcolati in modo simile. Dopo aver calcolato i risultati, è stata ottenuta la seguente tabella (Tabella 2).

Tabella 2. Risultati finali per tutti gli oggetti scansionati

Indice

Scanner Internet

Scanner di sicurezza ombra

NetClarity
Revisore dei conti

Individuazione dei servizi e delle applicazioni, punti

Vulnerabilità trovate, totali

Di questi falsi positivi
(falsi positivi)

Trovato corretto
(su 225 possibili)

Passa
(falsi negativi)

Di questi, per assenza dal database

Di questi causati dalla necessità di autenticazione

Per altri motivi

3.1 Identificazione dei servizi e delle applicazioni

Sulla base dei risultati dell'identificazione di servizi e applicazioni, i punti sono stati semplicemente sommati e per l'errata identificazione di un servizio o di un'applicazione è stato detratto un punto (Fig. 5).


Riso. 5. Risultati dell'identificazione di servizi e applicazioni

Lo scanner MaxPatrol ha ottenuto il punteggio più alto (108), mentre lo scanner Nessus ha ottenuto un punteggio leggermente inferiore (98). In questi due scanner, infatti, la procedura di identificazione di servizi e applicazioni è implementata in modo molto efficiente. Questo risultato può essere definito abbastanza atteso.

I seguenti risultati provengono dagli scanner Internet Scanner e NetClarity. Qui possiamo menzionare che, ad esempio, Internet Scanner si concentra sull'utilizzo di porte standard per le applicazioni, questo spiega in gran parte il suo basso risultato. Infine, lo scanner NetClarity ha le prestazioni peggiori. Anche se fa un buon lavoro nell'identificare i servizi (dopo tutto è basato sul kernel Nessus 2.x), le sue scarse prestazioni complessive possono essere spiegate dal fatto che non ha identificato tutte le porte aperte.

3.2 Identificazione delle vulnerabilità

Nella fig. La Figura 6 mostra il numero totale di vulnerabilità rilevate da tutti gli scanner e il numero di falsi positivi. Il maggior numero di vulnerabilità è stato rilevato dallo scanner MaxPatrol. Nessus si è rivelato ancora una volta secondo (anche se con un margine significativo).
Il leader nel numero di falsi positivi è stato lo Shadow Security Scanner. In linea di principio, ciò è comprensibile; sopra sono stati forniti esempi di errori relativi specificamente ai suoi controlli.


Riso. 6. Vulnerabilità riscontrate e falsi positivi

In totale, su tutti i 16 nodi, tutti gli scanner hanno trovato (e successivamente confermati mediante verifica manuale) 225 vulnerabilità. I risultati sono stati distribuiti come in Fig. 7. Il maggior numero di vulnerabilità - 155 su 225 possibili - è stata identificata dallo scanner MaxPatrol. Il secondo è stato lo scanner Nessus (il suo risultato è stato quasi due volte più pessimo). Poi arriva Internet Scanner, quindi NetClarity.
Durante il confronto sono state analizzate le ragioni delle vulnerabilità mancanti e sono state separate quelle dovute alla mancanza di controlli nel database. Il diagramma seguente (Fig. 8) mostra i motivi per cui gli scanner non rilevano le vulnerabilità.


Riso. 7. Vulnerabilità e omissioni riscontrate


Riso. 8. Ragioni per le vulnerabilità mancanti

Ora alcuni indicatori risultanti dai calcoli.

Nella fig. La Figura 39 mostra il rapporto tra il numero di falsi positivi e il numero totale di vulnerabilità riscontrate; questo indicatore in un certo senso può essere chiamato precisione dello scanner. Dopotutto, l'utente, prima di tutto, ha a che fare con un elenco di vulnerabilità rilevate dallo scanner, dal quale è necessario selezionare quelle trovate correttamente.


Riso. 9. Precisione degli scanner

Da questo diagramma si può vedere che la massima precisione (95%) è stata raggiunta dallo scanner MaxPatrol. Anche se il numero di falsi positivi non è dei più bassi, questo tasso di precisione è raggiunto grazie al gran numero di vulnerabilità riscontrate. La successiva definizione più accurata è Internet Scanner. Ha mostrato il numero più basso di falsi positivi. Lo scanner SSS ha il risultato più basso, il che non sorprende dato il gran numero di falsi positivi rilevati durante il confronto.

Un altro indicatore calcolato è la completezza del database (Fig. 10). Viene calcolato come il rapporto tra il numero di vulnerabilità rilevate correttamente e il numero totale di vulnerabilità (in questo caso - 225) e caratterizza la scala dei "mancati".


Riso. 10. Completezza della banca dati

Da questo diagramma è chiaro che la base dello scanner MaxPatrol è la più adeguata al compito.

4. Conclusione

4.1 Commenti sui risultati dei leader: MaxPatrol e Nessus

Il primo posto secondo tutti i criteri di questo confronto va allo scanner MaxPatrol, al secondo posto lo scanner Nessus, i risultati degli altri scanner sono significativamente inferiori.

Qui è opportuno richiamare uno dei documenti predisposti dal National Institute of Standards and Technology (NIST) statunitense, ovvero la “Guideline on Network Security Testing”. Si afferma che quando si monitora la sicurezza dei sistemi informatici, si consiglia di utilizzare almeno due scanner di sicurezza.

In effetti, non c’è nulla di inaspettato o di sorprendente nel risultato ottenuto. Non è un segreto che gli scanner XSpider (MaxPatrol) e Nessus siano popolari sia tra gli specialisti della sicurezza che tra gli hacker. Ciò è confermato dai risultati del sondaggio di cui sopra. Proviamo ad analizzare le ragioni dell'evidente leadership di MaxPatrol (questo vale in parte per lo scanner Nessus), nonché le ragioni della “perdita” di altri scanner. Prima di tutto, si tratta di un'identificazione di alta qualità di servizi e applicazioni. I test basati sull’inferenza (e ce n’erano parecchi in questo caso) dipendono fortemente dall’accuratezza della raccolta delle informazioni. E l'identificazione di servizi e applicazioni nello scanner MaxPatrol è quasi perfetta. Ecco un esempio illustrativo.
La seconda ragione del successo di MaxPatrol è la completezza del database e la sua adeguatezza al compito da svolgere e, in generale, all’“oggi”. Dai risultati si nota che il database dei controlli in MaxPatrol è stato notevolmente ampliato e dettagliato, è stato “messo in ordine”, mentre l'evidente “pregiudizio” verso le applicazioni web è compensato dall'espansione dei controlli in altri ambiti , ad esempio, i risultati della scansione del router presentato nel confronto Cisco sono stati impressionanti.

Il terzo motivo è un'analisi qualitativa delle versioni dell'applicazione, tenendo conto dei sistemi operativi, delle distribuzioni e dei vari “rami”. È inoltre possibile aggiungere l'uso di diverse fonti (database di vulnerabilità, notifiche e bollettini dei fornitori).

Infine, possiamo anche aggiungere che MaxPatrol dispone di un'interfaccia molto comoda e logica che riflette le fasi principali del lavoro degli scanner di sicurezza di rete. E questo è importante. La combinazione “nodo, servizio, vulnerabilità” è molto semplice da comprendere (NdR: questa è l’opinione soggettiva dell’autore del confronto). E soprattutto per questo compito.

Ora riguardo alle carenze e ai punti "deboli". Poiché MaxPatrol si è rivelato il leader nel confronto, le critiche rivolte ad esso saranno “massime”.

Innanzitutto il cosiddetto “perdere nelle piccole cose”. Avendo un motore di altissima qualità, è importante offrire servizi aggiuntivi corrispondenti, ad esempio strumenti convenienti che consentono di fare qualcosa manualmente, strumenti per la ricerca di vulnerabilità e la possibilità di "perfezionare" il sistema. MaxPatrol continua la tradizione XSpider e si concentra al massimo sull'ideologia "clicca e funziona". Ciò da un lato non è un male, dall’altro limita l’analista “meticoloso”.

In secondo luogo, alcuni servizi sono rimasti “scoperti” (lo potete giudicare dai risultati di questo confronto), ad esempio IKE (porta 500).

In terzo luogo, in alcuni casi manca un confronto di base tra i risultati di due controlli, come ad esempio nel caso SSH sopra descritto. Cioè, non ci sono conclusioni basate sui risultati di diversi controlli. Ad esempio, il sistema operativo di host4 è stato identificato come Windows e il "venditore" del servizio PPTP è stato classificato come Linux. Possiamo trarre delle conclusioni? Ad esempio, nel report nell'area di definizione del sistema operativo, indicare che si tratta di un nodo “ibrido”.

In quarto luogo, la descrizione dei controlli lascia molto a desiderare. Ma qui dovrebbe essere chiaro che MaxPatrol si trova in condizioni ineguali con altri scanner: la traduzione di alta qualità in russo di tutte le descrizioni è un compito molto laborioso.

Lo scanner Nessus ha mostrato, in generale, buoni risultati e in alcuni punti si è rivelato più accurato dello scanner MaxPatrol. Il motivo principale per cui Nessus resta indietro è l'omissione delle vulnerabilità, ma non per la mancanza di controlli nel database, come la maggior parte degli altri scanner, ma per le funzionalità di implementazione. In primo luogo (e questo è il motivo di gran parte delle lacune), si è verificata una tendenza allo sviluppo dello scanner Nessus verso un approccio “locale” o controlli di sistema, richiedendo la connessione con un account. In secondo luogo, lo scanner Nessus prende in considerazione meno fonti di informazione sulle vulnerabilità (rispetto a MaxPatrol). Questo è in qualche modo simile allo scanner SSS, basato in gran parte su SecurityFocus.

5. Limitazioni di questo confronto

Durante il confronto, le capacità degli scanner sono state studiate nell'ambito di un solo compito: testare la resistenza all'hacking dei nodi perimetrali della rete. Ad esempio, se disegniamo un'analogia con un'auto, abbiamo visto come si comportano diverse auto, ad esempio, su una strada scivolosa. Tuttavia, ci sono altri compiti la cui soluzione con gli stessi scanner potrebbe apparire completamente diversa. Nel prossimo futuro si prevede di confrontare gli scanner risolvendo problemi come:

  • Condurre audit di sistema utilizzando account
  • Valutazione della conformità PCI DSS
  • Scansione dei sistemi Windows

Inoltre, si prevede di confrontare gli scanner utilizzando criteri formali.

Durante questo confronto è stato testato solo il “motore” stesso o, in termini moderni, il “cervello” dello scanner. Le capacità in termini di servizi aggiuntivi (rapporti, registrazione di informazioni sull'avanzamento della scansione, ecc.) non sono state valutate o confrontate in alcun modo.

Inoltre non sono stati valutati il ​​grado di pericolo e la capacità di sfruttare le vulnerabilità riscontrate. Alcuni scanner si sono limitati a vulnerabilità “minori” a basso rischio, mentre altri hanno identificato vulnerabilità veramente critiche che consentono l’accesso al sistema.

Scanner di sicurezza: rileva le vulnerabilità della rete, gestisce aggiornamenti e patch, risolve automaticamente i problemi, controlla software e hardware. GFI Sicurezza di rete">Sicurezza di rete 2080

Scanner di sicurezza di rete e gestione centralizzata degli aggiornamenti

GFI LanGuard funziona come consulente di sicurezza virtuale:

— Gestisce gli aggiornamenti per Windows®, Mac OS® e Linux®

— Rileva le vulnerabilità sui computer e dispositivi mobili

— Conduce audit dispositivi di rete e software

GFI Languard è uno scanner di sicurezza per reti di qualsiasi dimensione: scanner di porte e vulnerabilità di rete, scanner di sicurezza, trova automaticamente buchi nella rete

GFI Languard è uno scanner di sicurezza per reti di qualsiasi dimensione: scanner di porte e vulnerabilità di rete, scanner di sicurezza, trova automaticamente buchi nella rete

Cos'è GFI LanGuard

Molto più di uno scanner di vulnerabilità!

GFI LanGuard è uno scanner di sicurezza di rete: rileva, identifica e corregge le vulnerabilità della rete. Scansioni complete delle porte, disponibilità degli aggiornamenti software necessari per proteggere la rete e controllo di software e hardware sono tutti possibili da un unico pannello di controllo.

Scanner del porto

Diversi profili di scansione pre-preparati consentono di eseguire una scansione completa di tutte le porte, nonché di controllare rapidamente solo quelle comunemente utilizzate da software indesiderato e dannoso. GFI LanGuard esegue la scansione di più host contemporaneamente, riducendo notevolmente il tempo richiesto, quindi confronta il software trovato sulle porte occupate con quello previsto.

Aggiornamenti e patch

Prima dell'installazione ultimi aggiornamenti i tuoi nodi sono completamente non protetti, poiché sono le ultime vulnerabilità coperte dalle patch e dagli aggiornamenti attuali che vengono utilizzate dagli hacker per penetrare nella tua rete. A differenza degli strumenti integrati nel sistema operativo, GFI LanGuard controllerà non solo il sistema operativo stesso, ma anche i software più diffusi le cui vulnerabilità vengono solitamente utilizzate per scopi di hacking: Adobe Acrobat/Reader, Flash Player, Skype, Outlook, browser, messaggistica istantanea.

Controllo dei nodi

GFI LanGuard si preparerà per te elenco dettagliato software e hardware installati su ciascun computer, rileverà i programmi vietati o mancanti, nonché i dispositivi collegati non necessari. I risultati di più scansioni possono essere confrontati per identificare modifiche nel software e hardware.

Ultime informazioni sulle minacce

Ogni scansione viene eseguita dopo aver aggiornato i dati sulle vulnerabilità, il cui numero nel database di GFI LanGuard ha già superato le 50.000. Le informazioni sulle minacce vengono fornite dagli stessi fornitori di software, nonché da elenchi SANS e OVAL affidabili, così sei sempre protetto dalle minacce più recenti, tra cui heartbleed, clandestine, shellshock, poodle, sandworm e altro ancora.

Correzione automatica

Una volta ricevuto un rapporto di scansione dettagliato con una descrizione di ciascuna vulnerabilità e collegamenti a ulteriore lettura, puoi riparare la maggior parte delle minacce con un clic sul pulsante "Ripara": le porte verranno chiuse, le chiavi di registro verranno corrette, le patch verranno installate, il software verrà aggiornato, i programmi vietati verranno rimossi e i programmi mancanti verranno installati.



Popolare nella categoria:
Come creare una clip karaoke su un computer?
Come creare una clip karaoke su un computer?
Leggere
Per il gioco è necessaria l'app Origin, ma non è installata. FIFA 16 richiede Origin.
Per giocare è necessaria l'app Origin, ma FIFA non è installata...
Leggere
Registrazione di una pagina personale sul social network Facebook
Registrazione di una pagina personale sul social network Facebook
Leggere
Come eseguire una semplice scansione Nmap Nmap
Come eseguire una semplice scansione Nmap Nmap
Leggere

Articoli Recenti
Come ruotare un'immagine di qualche grado...
Leggere
Disattivazione della pubblicità nel browser Yandex Dove...
Leggere
Risoluzione dei problemi di connessione Wi-Fi su...
Leggere
Cambia password sul profilo Windows 10
Leggere
Istruzioni per la configurazione dei router wireless...
Leggere
Come scegliere un disco rigido e quale è meglio acquistare...
Leggere
Meizu per i manichini. Chiamate e rubrica....
Leggere
Scarica il programma PDFMaster
Leggere
Superiore