Желілерді осалдықтарға сканерлеуге арналған бағдарламалар. Желілік қауіпсіздік сканерлерін салыстыру. Желінің осалдық сканерлерін салыстыру

ОСАЛДЫҚ СКАНАЕРЛЕРДІ ҚАРАУ ЖӘНЕ САЛЫСТЫРУ

Рожкова Екатерина Олеговна

4 курс студенті, «Кемелерді автоматтандыру және өлшеу» кафедрасы, Санкт-Петербург мемлекеттік медицина университеті, Ресей Федерациясы, Санкт-Петербург қ.

Е- пошта: рина1242. ro@ gmail. com

Ильин Иван Валерьевич

Қауіпсіз ақпараттық технологиялар кафедрасының 4 курс студенті

Санкт-Петербург Ұлттық зерттеу университеті ITMO, Ресей Федерациясы, Санкт-Петербург

Е- пошта: ванилин. ва@ gmail. com

Галушин Сергей Яковлевич

ғылыми жетекшісі, ф.ғ.к. техника. ғылымдар жөніндегі проректордың орынбасары ғылыми жұмыс, Ресей Федерациясы, Санкт-Петербург қ

Қауіпсіздіктің жоғары деңгейі үшін брандмауэрлерді ғана емес, сонымен қатар осалдықтарды анықтау бойынша шараларды, мысалы, осалдық сканерлерін пайдалану арқылы мерзімді түрде жүргізу қажет. Жүйенің әлсіз жақтарын уақтылы анықтау деректерге рұқсатсыз кіруге және манипуляциялауға жол бермейді. Бірақ қандай сканер опциясы белгілі бір жүйенің қажеттіліктеріне сәйкес келеді? Бұл сұраққа жауап беру үшін ең алдымен компьютердің немесе желінің қауіпсіздік жүйесіндегі кемшіліктерді анықтау керек. Статистикаға сәйкес, шабуылдардың көпшілігі белгілі және жарияланған қауіпсіздік саңылаулары арқылы жүзеге асады, олар көптеген себептерге байланысты жойылмауы мүмкін, мейлі бұл уақыттың жетіспеушілігі, персонал немесе жүйелік әкімшінің біліксіздігі. Сондай-ақ, әдетте зұлым адам жүйеге бірнеше жолмен еніп кетуі мүмкін екенін түсінуіңіз керек, ал егер бір әдіс жұмыс істемесе, зиянкес әрқашан басқасын қолдана алады. Жүйе қауіпсіздігінің максималды деңгейін қамтамасыз ету тәуекелді мұқият талдауды және дәлірек болжау үшін нақты қауіп моделін одан әрі әзірлеуді талап етеді. ықтимал әрекеттергипотетикалық қылмыскер.

Ең жиі кездесетін осалдықтарға буфердің толып кетуі, маршрутизатордың немесе брандмауэрдің конфигурациясындағы мүмкін қателер, веб-сервердің, пошта серверлерінің, DNS серверлерінің, дерекқорлардың осалдықтары жатады. Сонымен қатар, ең нәзік аймақтардың бірін елемеуге болмайды ақпараттық қауіпсіздік- пайдаланушы мен файлдарды басқару, өйткені минималды артықшылықтармен пайдаланушының қол жеткізу деңгейін қамтамасыз ету пайдаланушы тәжірибесі мен жүйе қауіпсіздігін қамтамасыз ету арасындағы ымыраға келуді талап ететін нақты тапсырма болып табылады. Бос немесе әлсіз парольдер, әдепкі тіркелгілер және жалпы ақпараттың ағып кету проблемасы туралы айту керек.

Қауіпсіздік сканері бағдарламалық құралқашықтан немесе жергілікті диагностикаға арналған әртүрлі элементтеролардағы әртүрлі осалдықтарды анықтау үшін желілер; олар мамандардың жұмыс уақытын айтарлықтай қысқартып, осалдықтарды іздеуді жеңілдетеді.

Қауіпсіздік сканерлерін шолу

Бұл жұмыста оның мүмкіндіктерінің шектеулі тізімімен танысу және интерфейстің қарапайымдылық дәрежесін бағалау үшін бағдарламалық жасақтаманы пайдалануға мүмкіндік беретін тегін сынақ нұсқасы бар сканерлер қарастырылды. Қарау тақырыбы ретінде келесі танымал осалдық сканерлері таңдалды: Nessus, GFI LANguard, Retina, Shadow қауіпсіздік сканері, Internet Scanner.

Нессус

Nessus - белгілі қауіпсіздік кемшіліктерін автоматты түрде іздеуге арналған бағдарлама ақпараттық жүйелер. Ол қызметтердің немесе домендердің осал нұсқаларының болуы, конфигурация қателері (SMTP серверінде авторизация қажет емес), әдепкі құпия сөздердің, бос немесе әлсіз құпия сөздердің болуы сияқты осалдықтардың ең көп таралған түрлерін анықтай алады.

Nessus сканері желілік сканерлер тобына жататын қуатты және сенімді құрал болып табылады, ол операциялық жүйелер, желіаралық қалқандар, сүзу маршрутизаторлары және басқа желі құрамдастары ұсынатын желілік қызметтердегі осалдықтарды іздеуге мүмкіндік береді. Осалдықтарды іздеу үшін олар ретінде пайдаланылады стандартты құралдаржелінің конфигурациясы мен жұмысы туралы ақпаратты тестілеу және жинау, және арнайы құралдар, желіге қосылған жүйелерге ену үшін шабуылдаушы әрекеттерін эмуляциялау.

Бағдарламаның өзіңіздің тексеру процедураларыңызды немесе үлгілеріңізді қосу мүмкіндігі бар. Осы мақсатта сканер NASL (Nessus Attack Scripting Language) деп аталатын арнайы сценарий тілін қамтамасыз етеді. Осалдық деректер базасы үнемі өсіп, жаңартылып отырады. Тіркелген пайдаланушылар барлық жаңартуларды дереу алады, ал басқалары (сынақ нұсқалары және т.б.) біраз кідіріс алады.

GFILanGuard

GFI LanGuard Network Security Scanner (N.S.S) - сізді қорғау үшін үш негізгі құрамдас бөлікті пайдаланатын марапатқа ие шешім: қауіпсіздік сканері, патчтарды басқару және бір консольден желіні басқару. Бүкіл желіні сканерлеу арқылы ол бәрін анықтайды мүмкін проблемаларқауіпсіздік және оның кең ауқымын пайдалана отырып функционалдылықесеп беру, кез келген қауіптерді анықтау, бағалау, сипаттау және жою үшін қажетті құралдарды ұсынады.

Қауіпсіздікті тексеру процесі 15 000-нан астам осалдықты бағалауды жасайды және әр IP мекенжайы негізінде желілерді зерттейді. GFI LanGuard N.S.S. барлық орталарда көп платформалы сканерлеуді (Windows, Mac OS, Linux) орындау мүмкіндігін қамтамасыз етеді және әрбір деректер көзі үшін желі күйін талдайды. Бұл кез келген қауіптерді хакерлерге жол бермес бұрын анықтауға және жоюға мүмкіндік береді.

GFI LanGuard N.S.S. OVAL (2000-нан астам мән) және SANS Top 20 сияқты стандарттарды қоса алғанда, осалдықты бағалаудың толық және жан-жақты дерекқорымен бірге жеткізіледі. Бұл дерекқор BugTraq, SANS Corporation, OVAL, CVE және т.б. ақпараттармен үнемі жаңартылып отырады. GFI LanGuard автоматты бағдарламасының арқасында N.S.S жүйесін жаңарту. әрқашан Microsoft қауіпсіздік жаңартулары туралы ең соңғы ақпаратты, сондай-ақ GFI және OVAL дерекқоры сияқты басқа ақпарат репозитарийлерінен алынған ақпаратты қамтиды.

GFI LanGuard N.S.S. компьютерлерді сканерлейді, осалдықтарды анықтайды және жіктейді, әрекеттерді ұсынады және мәселелерді шешуге арналған құралдарды ұсынады. GFI LANguard N.S.S. сонымен қатар сканерленген компьютердің немесе компьютерлер тобының осалдық күйін интуитивті, теңдестірілген бағалауды қамтамасыз ететін графикалық қауіп деңгейінің көрсеткішін пайдаланады. Мүмкін болса, сілтеме беріледі немесе қосымша ақпарат BugTraq ID идентификаторындағы немесе Microsoft білім қорындағы идентификатор сияқты белгілі бір мәселе үшін.

GFI LanGuard N.S.S. шебердің көмегімен осалдықты тексеру схемаларын оңай жасауға мүмкіндік береді. VBScript сценарийлер механизмін пайдалана отырып, GFI LanGuard N.S.S. үшін күрделі осалдық тексерулерін де жаза аласыз. GFI LanGuard N.S.S. сценарий редакторы мен отладчикті қамтиды.

Тор қабық

Retina Network Security Scanner, BeyondTrust желілік осалдық сканері белгілі желі осалдықтарын анықтайды және түзету үшін қауіптерге басымдық береді. Қолдану кезінде бағдарламалық өнімбарлық компьютерлер, құрылғылар, операциялық жүйелер, қолданбалар және сымсыз желілер анықталған.

Сондай-ақ пайдаланушылар Retina жүйесін ақпараттық қауіпсіздік тәуекелдерін бағалау, жоба тәуекелдерін басқару және кәсіпорын саясатының аудиттері арқылы стандарттар талаптарына сай болу үшін пайдалана алады. Бұл сканер осалдық кодын іске қоспайды, сондықтан сканерлеу желінің және талданатын жүйелердің функционалдығын жоғалтуға әкелмейді. Меншікті Adaptive Speed ​​сканерлеу технологиясын пайдалану жергілікті желіС сыныбы шамамен 15 минутты алады, бұған Adaptive Speed ​​​​ - жоғары жылдамдықты қауіпсіз желіні сканерлеу технологиясы көмектеседі. Бұған қоса, сканерлеу аймағының икемді параметрлері мүмкіндік береді жүйелік әкімшікөршілестердің жұмысына әсер етпестен бүкіл желінің немесе берілген сегменттің қауіпсіздігін талдау. Болып жатқан автоматты жаңартудерекқордың жергілікті көшірмелері, сондықтан желіні талдау әрқашан ең ағымдағы деректер негізінде орындалады. Жалған оң көрсеткіш 1%-дан аз және жүйе тізіліміне икемді қол жеткізуді басқару бар.

Көлеңкеқауіпсіздіксканер (SSS)

Бұл сканер белгілі және белгісіз (шығару кезінде) сенімді анықтау үшін пайдаланылуы мүмкін. жаңа нұсқасыөнім) осалдықтары. Жүйені сканерлеген кезде SSS осалдықтарды іздеуді қоса, деректерді талдайды және сервер конфигурациясындағы ықтимал қателерді көрсетеді. Бұған қоса, сканер осы мәселелерді шешудің және жүйедегі осалдықтарды жоюдың ықтимал жолдарын ұсынады.

Бэкдор технологиясы ретінде жүйе өндірушінің жеке әзірлеген Shadow Security Scanner ядросын пайдаланады. Айта кету керек, Windows операциялық жүйесінде жұмыс істегенде, SSS платформасына қарамастан серверлерді сканерлейді. Платформалардың мысалдарына Unix платформалары (Linux, FreeBSD, OpenBSD, Net BSD, Solaris), Windows платформалары (95/98/ME/NT/2000/XP/.NET/Win 7 және 8) жатады. Shadow Security Scanner сонымен қатар CISCO, HP және т.б. жабдықтардағы қателерді анықтай алады. Бұл сканерді отандық әзірлеушілер жасаған, сәйкесінше, ресейлік интерфейс, сонымен қатар құжаттама және ыстық қолдау желісі бар.

ғаламторСканер

Бұл сканер осалдықтарды автоматтандырылған анықтауды және талдауды қамтамасыз етеді корпоративтік желі. Сканердің мүмкіндіктері желілік қызметтердегі, операциялық жүйелердегі, маршрутизаторлардағы, пошталық және веб-серверлердегі, желіаралық қалқандардағы және қолданбалы бағдарламалық қамтамасыз етудегі осалдықтарды кейіннен анықтау үшін бірқатар тексерулерді жүзеге асыруды қамтиды. Internet Scanner 1450-ден астам осалдықтарды анықтап, анықтай алады, олар желілік жабдықтың қате конфигурациясын, ескірген бағдарламалық құралды, пайдаланылмаған желі қызметтерін, әлсіз құпия сөздерді және т.б. FTP, LDAP және SNMP хаттамаларын тексеруге, электрондық пошталарды тексеруге, RPC, NFS, NIS және DNS тексеруге, «қызмет көрсетуден бас тарту», ​​«құпия сөзді табу», веб-серверлерді тексеру, CGI сценарийлері сияқты шабуылдар мүмкіндігін тексеру, Web-браузерлер және X-терминалдар. Сонымен қатар, желіаралық қалқандарды, прокси серверлерді, қашықтан қол жеткізу қызметтерін, файлдық жүйе, қауіпсіздік ішкі жүйесі және аудиттің ішкі жүйесі, жүйелік тізілім және орнатылған жаңартулар Windows ОЖ және т.б. Интернет сканері желінің белгілі бір аймағында бір осалдықтың болуын талдауға мүмкіндік береді, мысалы, белгілі бір патчтың орнатылуын тексеру операциялық жүйе. Интернет сканері жұмыс істей алады Windows сервері NT, сонымен қатар AIX, HP-UX, Linux және Solaris операциялық жүйелерін қолдайды.

Салыстыру критерийлерін таңдамас бұрын, критерийлер қауіпсіздік сканерлерін пайдаланудың барлық аспектілерін қамтуы керек екенін атап өткен жөн: ақпаратты жинау әдістерінен бастап құнына дейін. Қауіпсіздік сканерін пайдалану орналастыруды жоспарлаудан және орналастырудың өзінен басталады. Сондықтан критерийлердің бірінші тобы қауіпсіздік сканерлерінің архитектурасына, олардың құрамдас бөліктерінің өзара әрекеттестігіне, орнатуға және басқаруға қатысты. Критерийлердің келесі тобы – сканерлеу – аталған әрекеттерді орындау үшін салыстырылған сканерлер қолданатын әдістерді, сондай-ақ бағдарламалық өнімнің көрсетілген кезеңдерімен байланысты басқа параметрлерді қамтуы керек. Маңызды критерийлер сонымен қатар сканерлеу нәтижелерін, атап айтқанда олардың қалай сақталатынын және олардың негізінде қандай есептерді жасауға болатынын қамтиды. Келесі назар аударатын критерийлер жаңарту әдістері мен әдістері, деңгейі сияқты мәселелерді нақтылауға мүмкіндік беретін жаңарту және қолдау критерийлері болып табылады. техникалық көмек, рұқсат етілген оқытудың болуы және т.б. Соңғы топқа бір ғана, бірақ өте маңызды критерий - құн кіреді.

· Қолдау көрсетілетін жүйелер;

· Ыңғайлы интерфейс;

· Сканерлеу мүмкіндіктері (профильдерді сканерлеу);

· Профильдерді баптау мүмкіндігі (қаншалықты икемді);

· Қызметтер мен қосымшаларды анықтау;

· осалдықтарды анықтау;

· Есептерді құру (форматтар);

· Тапсырыс беруші есепті құру мүмкіндігі (өзіңіз);

· Жаңарту жиілігі;

· Техникалық көмек.

1-кесте. Осалдық сканерлерін салыстыру
Сканер		GFI LанГуард
Бағасы	Жылына 131 400 рубль	1610 руб. IP мекенжайы үшін. IP мекенжайлары неғұрлым көп болса, соғұрлым құны төмен болады		Құны IP мекенжайларының санына байланысты өзгереді 64 IP үшін 30 000 рубльден 512 IP үшін 102 000 дейін	Құны IP мекенжайларының санына байланысты өзгереді (номиналды құны - 6000 рубль)
Қолдау тірі жүйелер	реттелетін бағдарламалық құрал	Windows, Mac OS, Linux	Cisco, Linux, UNIX, Windows	Unix, Linux, FreeBSD, OpenBSD, Net BSD, Solaris, Windows 95/98/ME/NT/2000/XP/.NET	Windows, AIX, HP-UX, Linux және Solaris
Достық Интервенция бет	Қарапайым және интуитивті интерфейс	Қарапайым және интуитивті интерфейс	Таза интерфейс	Достық және түсінікті интерфейс	Таза интерфейс
Мүмкін нес филигран серуендеу	Икемді параметрлер жүйесі, сканерлеу түрі мен параметрлері әртүрлі, анонимді сканерлеу мүмкін. Мүмкін опцияларсканерлеу: SYN сканерлеу, FIN сканерлеу – таза FIN сұрауы; Рождестволық шырша - сұраныста FIN, URG, PUSH қамтиды; Нөлдік сканерлеу, FTP серпінді сканерлеу, Идентификацияны сканерлеу, UDP сканерлеу, т.б.. Сондай-ақ, NASL (Nessus Attack Scripting Language) арнайы сценарий тілі қамтамасыз етілген жеке тексеру процедураларын қосуға болады. Сканер желінің конфигурациясы мен жұмыс істеуі туралы ақпаратты сынау және жинау үшін стандартты құралдарды да, жүйеге ену үшін ықтимал зиянкестердің әрекеттерін эмуляциялайтын арнайы құралдарды да пайдаланады.	TCP/IP және UDP порттарын сканерлеу ОЖ, виртуалды орталар мен қолданбалар, мобильді құрылғылар тексеріледі; OVAL және SANS Top 20 дерекқорлары пайдаланылады.	Өсу сынағы арқылы осалдықтар анықталады және тәуекелдер бағаланады және пайдалану ықтималдығын бағалау негізінде оларды азайту басымдықтары анықталады. Осалдықтар (Core Impact®, Metasploit®, Exploit-db), CVSS және басқа факторлар.	FTP, SSH, Telnet, SMTP, DNS, Finger, HTTP, POP3, IMAP, NetBios, NFS, NNTP, SNMP, Squid (SSS - прокси серверлерді аудит үшін тексеретін әлемдегі жалғыз сканер - басқа сканерлер бар-жоғын анықтайды. порт), LDAP (әлемдегі LDAP серверлерін тексеру үшін тексеретін жалғыз сканер – басқа сканерлер порттың бар-жоғын жай ғана анықтайды), HTTPS, SSL, TCP/IP, UDP, Тіркеу және т.б. Өз есептеріңізді оңай жасаңыз.	FTP, LDAP және SNMP тексерулері; электрондық поштаны тексеру; RPC, NFS, NIS және DNS тексерулері; сервистік шабуылдардан бас тарту мүмкіндігін тексеру; «құпия сөзді болжау» шабуылдарының болуын тексереді (Brute Force); веб-серверлерді және CGI сценарийлерін, веб-браузерлерді және X терминалдарын тексеру; брандмауэр мен прокси серверлерді тексеру; қашықтан қол жеткізу қызметтерін тексеру; Windows ОЖ файлдық жүйесін тексеру; Windows ОЖ қауіпсіздік ішкі жүйесін және аудит ішкі жүйесін тексеру; жүйелік тізілімді және орнатылған Windows ОЖ жаңартуларын тексеру; желіде модемдердің болуын және трояндық аттардың болуын тексеру; қызметтер мен демондарды тексеру; шотты тексеру.
Анықтау қызметтер мен қосымшаларды құрастыру күйеу жігіттер	Қызметтер мен қосымшаларды сәйкестендіру процедурасының сапалы орындалуы.	Рұқсат етілмеген/зиянды бағдарламаларды және осалдық деңгейі жоғары қара тізімге енгізілген қолданбаларды анықтау.	ОЖ-ны, қолданбаларды, мәліметтер қорын, веб-қосымшаларды анықтау.	Қай қызметтерді тыңдап жатқанын анықтау үшін әрбір портты тексереді. ОЖ-ны, қолданбаларды, деректер қорын, веб-қосымшаларды анықтайды.	Желілік қызметтердің, операциялық жүйелердің, маршрутизаторлардың, пошталық және веб-серверлердің, желіаралық қалқандардың және қолданбалы бағдарламалық жасақтаманың осалдықтарын анықтайды.
Есеп шығару	Есептерді nessus (xml), pdf, html, csv, nessus DB форматтарында сақтау мүмкіндігі	Басшылық үшін желіні пайдалану үрдісі туралы есептерден бастап техникалық қызметкерлерге арналған егжей-тегжейлі есептерге дейінгі есептерді жасау мүмкіндігі. Стандарттарға сәйкестік туралы есептерді жасауға болады: Медициналық сақтандырудың портативтілігі және есеп беру актісі (HIPAA), Мемлекеттік қызметтер желісі - Қосылу коды (PSN CoCo), Sarbanes - Oxley Act (SOX), Gramm - Leach - Bliley Act (GLB/) GLBA), сондай-ақ Payment Card Industry Digital Security Standard (PCI-DSS) ретінде белгілі.	Есеп беру мүмкіндіктерінің кең ауқымының бірі есептерді жасау құралдары бар.	Есепті html форматында да, xml, pdf, rtf, chm форматтарында да сақтау мүмкіндігі бар. Есепті құру процесінің өзі көрсетуге қажетті ақпаратты таңдау түрінде жүреді. Есепті жасау мүмкіндігі тек толық нұсқада қол жетімді.	Есептердің әртүрлі пішіндерін оңай жасауға және оларды сипаттамалары бойынша сұрыптауға мүмкіндік беретін қуатты есептерді жасау ішкі жүйесі.
Мүмкін өндіру қуаты еркін есеп	Иә, тек толық нұсқасында.			Иә, тек толық нұсқасында.
Жаңарту жиілігі ления	Тұрақты жаңартулар, бірақ сынақ нұсқасын пайдаланушылар соңғы жаңартуларды алмайды.	Жиі жаңартулар	Жиі жаңартулар	Тұрақты жаңартулар	Тұрақты жаңартулар
Техника техникалық көмек	Қазіргі		Қазіргі	Қазіргі, орыс тілінде қол жетімді.	Қазіргі

Жұмыста 5 осалдық сканері зерттелді, олар таңдалған критерийлер бойынша салыстырылды.

Тиімділік тұрғысынан Nessus сканері көшбасшы ретінде таңдалды, өйткені ол компьютерлік жүйенің қауіпсіздігін талдау мүмкіндіктерінің ең толық спектріне ие. Дегенмен, бұл басқа сканерлермен салыстырғанда салыстырмалы түрде қымбат: IP мекенжайларыңыз аз болса, GFI LanGuard немесе SSS таңдаған дұрыс.

Әдебиеттер тізімі:

1. Долгин А.А., Хорев П.Б., осалдық сканерін әзірлеу компьютерлік жүйелер Windows ОЖ қорғалған нұсқаларына негізделген, Халықаралық ғылыми-техникалық конференция материалдары» Ақпараттық БАҚжәне технологиялар», 2005 ж.
2. Қауіпсіздік туралы ақпараттық портал [Электрондық ресурс] - Қол жеткізу режимі. - URL: http://www.securitylab.ru/ (қолданылған күні 27.03.15).
3. Softkey.info онлайн журналы [Электрондық ресурс] - Қол жеткізу режимі. - URL: http://www.softkey.info/ (қолданылған күні 27.03.15).
4. «GFI Software» ресми сайты. [Электрондық ресурс] - қол жеткізу режимі. - URL: http://www.gfi.ru/ (қолданылған күні 27.03.15).
5. «Beyond Trust» ресми сайты. [Электрондық ресурс] - қол жеткізу режимі. - URL: http://www.beyondtrust.com/Products/RetinaNetworkSecurityScanner/ (03/27/15 қолжетімді).
6. IBM компаниясының ресми веб-сайты [Электрондық ресурс] - Кіру режимі. - URL: http://www.ibm.com/ (03/27/15 қолжетімді).
7. Ресми веб-сайт Tenable Network Security [Электрондық ресурс] - Кіру режимі. - URL: http://www.tenable.com/products/nessus-vulnerability-scanner/ (03/27/15 қолжетімді).
8. «Қауіпсіздік зертханасы» ресми сайты. [Электрондық ресурс] - қол жеткізу режимі. - URL: http://www.safety-lab.com/ (қолданылған күні 03/27/15).
9. Ақпараттық қауіпсіздікке арналған IBM шешімдері [Электрондық ресурс] - Қатынас режимі. - URL: http://www.ibm.com/ru/services/iss/pdf/ISS_2009_DB_s10.pdf (қолданылған 03/27/15).
10. Хорев П.Б., Компьютерлік жүйелердегі ақпаратты қорғаудың әдістері мен құралдары, М., «Академия» баспа орталығы, 2005 ж.

Көріп отырғаныңыздай, олардың көпшілігі болды және олардың барлығы оларға ұшыраған жүйелер үшін өте қауіпті. Өзіңізді жаңа осалдықтардан қорғау үшін жүйеңізді уақытында жаңарту ғана емес, сонымен қатар сіздің жүйеңізде хакерлер пайдалана алатын әлдеқашан түзетілген осалдықтардың жоқтығына сенімді болу маңызды.

Бұл жерде Linux осалдық сканерлері көмекке келеді. Осалдықты талдау құралдары әрбір компанияның қауіпсіздік жүйесінің маңызды құрамдастарының бірі болып табылады. Қолданбалар мен жүйелерде ескі осалдықтарды тексеру міндетті тәжірибе болып табылады. Бұл мақалада біз қарастырамыз ең жақсы сканерлеросалдықтары, ашық бастапқы код, оны жүйелер мен бағдарламалардағы осалдықтарды анықтау үшін пайдалануға болады. Олардың барлығы толығымен тегін және олар ретінде пайдалануға болады қарапайым пайдаланушылар, және корпоративтік секторда.

OpenVAS немесе Open Vulnerability Assessment System – бұл ашық көз ретінде таратылатын осалдықтарды іздеуге арналған толық платформа. Бағдарлама Nessus сканерінің бастапқы кодына негізделген. Бастапқыда бұл сканер ашық бастапқы код ретінде таратылды, бірақ кейін әзірлеушілер кодты жабу туралы шешім қабылдады, содан кейін 2005 жылы Nessus-тың ашық нұсқасы негізінде OpenVAS құрылды.

Бағдарлама сервер және клиент бөлігінен тұрады. Жүйелерді сканерлеудің негізгі жұмысын орындайтын сервер тек Linux жүйесінде жұмыс істейді, ал клиенттік бағдарламалар да Windows жүйесін қолдайды, серверге веб-интерфейс арқылы кіруге болады.

Сканердің өзегі 36 000-нан астам әртүрлі осалдықты тексеруді қамтиды және жаңа, жақында ашылғандарды қосу арқылы күн сайын жаңартылып отырады. Бағдарлама жұмыс істеп тұрған қызметтердегі осалдықтарды анықтай алады, сонымен қатар дұрыс емес параметрлерді, мысалы, аутентификацияның жоқтығын немесе өте әлсіз құпия сөздерді іздей алады.

2. Nexpose Community Edition

Бұл Metasploit шығарған Rapid7 компаниясы жасаған басқа ашық бастапқы Linux осалдықтарын сканерлеу құралы. Сканер 68 000-ға дейін белгілі осалдықтарды анықтай алады, сонымен қатар 160 000-нан астам желіні сканерлей алады.

Қауымдастық нұсқасы толығымен тегін, бірақ оның бір уақытта 32 IP мекенжайына және тек бір пайдаланушыға дейін сканерлеуге шектеуі бар. Лицензияны да жыл сайын жаңарту қажет. Веб-қосымшаларды сканерлеу жоқ, бірақ ол осалдық дерекқорын автоматты түрде жаңартуды және Microsoft Patch бағдарламасынан осалдықтар туралы ақпаратты алуды қолдайды.

Бағдарламаны тек Linux-та ғана емес, Windows-та да орнатуға болады, басқару веб-интерфейс арқылы жүзеге асырылады. Оны пайдалану арқылы сканерлеу параметрлерін, IP мекенжайларын және басқа қажетті ақпаратты орнатуға болады.

Сканерлеу аяқталғаннан кейін сіз осалдықтардың тізімін, сондай-ақ серверде орнатылған бағдарламалық құрал мен операциялық жүйе туралы ақпаратты көресіз. Сондай-ақ есептерді жасауға және экспорттауға болады.

3. Burp Suite тегін шығарылымы

Burp Suite — Java тілінде жазылған веб осалдықты сканері. Бағдарлама прокси-серверден, өрмекшіден, сұрауларды құруға және стресс-тесттерді орындауға арналған құралдан тұрады.

МЕН Burp көмегіменвеб-бағдарлама сынақтарын орындауға болады. Мысалы, прокси серверді пайдалану арқылы өтіп жатқан трафикті ұстауға және көруге, сондай-ақ қажет болған жағдайда оны өзгертуге болады. Бұл көптеген жағдайларды имитациялауға мүмкіндік береді. Өрмекші веб-осалдықтарды табуға көмектеседі, ал сұрауларды құру құралы веб-сервердің күшін табуға көмектеседі.

4. Арахни

Arachni – ашық бастапқы коды болып табылатын Ruby тілінде жазылған толыққанды веб-қосымшаларды тестілеу жүйесі. Ол әртүрлі ену сынақтарын орындау арқылы веб-қосымшалар мен сайттардың қауіпсіздігін бағалауға мүмкіндік береді.

Бағдарлама аутентификациямен сканерлеуді, тақырыптарды теңшеуді, Aser-Agent спуфингін қолдауды, 404 анықтауды қолдауды қолдайды.Сонымен қатар, бағдарламада веб-интерфейс және пәрмен жолы интерфейсі бар, сканерлеуді кідіртуге, содан кейін жалғастыруға болады және жалпы барлығы жұмыс істейді. өте тез .

5. OWASP Zed Attack прокси (ZAP)

OWASP Zed Attack Proxy веб-қосымшалардағы осалдықтарды табуға арналған тағы бір кешенді құрал болып табылады. Бағдарламаның осы түріне арналған барлық стандартты мүмкіндіктерге қолдау көрсетіледі. Порттарды сканерлеуге, торап құрылымын тексеруге, көптеген белгілі осалдықтарды іздеуге және қайталанатын сұраулардың немесе дұрыс емес деректердің дұрыс өңделгенін тексеруге болады.

Бағдарлама https арқылы жұмыс істей алады, сонымен қатар әртүрлі проксилерді қолдайды. Бағдарлама Java тілінде жазылғандықтан, оны орнату және пайдалану өте оңай. Негізгі мүмкіндіктерден басқа, функционалдылықты айтарлықтай арттыратын көптеген плагиндер бар.

6. Клэр

Clair - контейнерлердегі Linux осалдықтарын табуға арналған құрал. Бағдарламада контейнерлер үшін қауіпті болуы мүмкін осалдықтардың тізімі бар және мұндай осалдықтар жүйеңізде табылған жағдайда пайдаланушыға ескертеді. Бағдарлама сонымен қатар контейнерлерді қауіпті ететін жаңа осалдықтар пайда болған жағдайда хабарландырулар жібере алады.

Әрбір контейнер бір рет тексеріледі және оны тексеру үшін оны іске қосудың қажеті жоқ. Бағдарлама өшірілген контейнерден барлық қажетті деректерді ала алады. Бұл деректер болашақта осалдықтар туралы хабардар ету үшін кэште сақталады.

7. Powerfuzzer

Powerfuzzer — веб-бағдарламаның жарамсыз деректерге және қайталанатын сұрауларға қалай әрекет ететінін тексеруге мүмкіндік беретін толық функционалды, автоматтандырылған және жоғары реттелетін веб-тексеру құралы. Құрал тек HTTP протоколын қолдайды және XSS, SQL инъекциясы, LDAP, CRLF және XPATH шабуылдары сияқты осалдықтарды анықтай алады. Ол сондай-ақ қате конфигурацияны немесе тіпті буфердің толып кетуі сияқты қауіпті көрсетуі мүмкін 500 қатені бақылауды қолдайды.

8. Nmap

Nmap Linux үшін дәл осалдық сканері емес. Бұл бағдарлама желіні сканерлеуге және оған қандай түйіндер қосылғанын білуге, сондай-ақ оларда қандай қызметтер жұмыс істейтінін анықтауға мүмкіндік береді. Бұл осалдықтар туралы толық ақпарат бермейді, бірақ қайсысын болжай аласыз. бағдарламалық қамтамасыз етуосал болуы мүмкін, әлсіз құпия сөздерді бұзуға тырысыңыз. Сондай-ақ, белгілі бір бағдарламалық жасақтамадағы белгілі бір осалдықтарды анықтауға мүмкіндік беретін арнайы сценарийлерді іске қосуға болады.

қорытындылар

Бұл мақалада біз ең жақсы Linux осалдық сканерлерін қарастырдық, олар жүйеңізді және қолданбаларды бақылауда ұстауға мүмкіндік береді. толық қауіпсіздік. Біз операциялық жүйенің өзін немесе веб-қосымшалар мен сайттарды сканерлеуге мүмкіндік беретін бағдарламаларды қарастырдық.

Соңында, осалдық сканерлері деген не және олар не үшін қажет екендігі туралы бейнені көре аласыз:

Желілік құрттар эпидемиясының мәселесі кез келген жергілікті желі үшін өзекті. Ерте ме, кеш пе, желі немесе электрондық пошта құрты жергілікті желіге еніп, қолданылып жатқан антивируспен анықталмаған жағдай туындауы мүмкін. Желілік вирус жергілікті желі арқылы жұқтырған кезде жабылмаған операциялық жүйенің осалдықтары арқылы немесе жазылатын осалдықтар арқылы таралады. ортақ ресурстар. Пошта вирусы, аты айтып тұрғандай, клиенттік антивирус пен антивирус бұғаттамаған жағдайда электрондық пошта арқылы таратылады. пошта сервері. Сонымен қатар, жергілікті желідегі эпидемия инсайдерлік әрекеттің нәтижесінде ішінен ұйымдастырылуы мүмкін. Бұл мақалада әртүрлі құралдарды, атап айтқанда авторлық AVZ утилитасын пайдалана отырып, жергілікті желілік компьютерлерді операциялық талдаудың практикалық әдістерін қарастырамыз.

Мәселенің тұжырымы

Желіде эпидемия немесе қандай да бір қалыптан тыс әрекет анықталса, әкімші кем дегенде үш тапсырманы жылдам шешуі керек:

• желідегі вирус жұққан компьютерлерді анықтау;
• вирусқа қарсы зертханаға жіберу үшін зиянды бағдарлама үлгілерін табу және оған қарсы әрекет ету стратегиясын әзірлеу;
• жергілікті желіде вирустың таралуын блоктау және оны жұқтырған компьютерлерде жою шараларын қабылдау.

Инсайдерлік белсенділік жағдайында талдаудың негізгі қадамдары бірдей және көбінесе жергілікті желідегі компьютерлерде инсайдер орнатқан үшінші тарап бағдарламалық жасақтамасын анықтау қажеттілігіне байланысты. Мұндай бағдарламалық құралдың мысалдары қашықтан басқару утилиталарын, keyloggersжәне әртүрлі трояндық бетбелгілер.

Тапсырмалардың әрқайсысының шешімін толығырақ қарастырайық.

Вирус жұққан компьютерлерді іздеңіз

Желіде вирус жұққан компьютерлерді іздеу үшін кем дегенде үш әдісті қолдануға болады:

• автоматты қашықтан ДК талдауы - іске қосылған процестер, жүктелген кітапханалар мен драйверлер туралы ақпаратты алу, сипаттамалық үлгілерді іздеу - мысалы, процестер немесе файлдар аттар;
• Снайфер көмегімен компьютер трафигін талдау - бұл әдісспам-боттарды, электрондық поштаны және желілік құрттарды ұстау үшін өте тиімді, дегенмен снайферді пайдаланудағы негізгі қиындық қазіргі заманғы LAN коммутаторлар негізінде құрастырылғандығына байланысты және нәтижесінде әкімші трафикті бақылай алмайды. бүкіл желі. Мәселені екі жолмен шешуге болады: маршрутизаторда снайферді іске қосу арқылы (ол ДК деректерінің Интернетпен алмасуын бақылауға мүмкіндік береді) және қосқыштардың бақылау функцияларын пайдалану арқылы (көптеген заманауи қосқыштарәкімші көрсеткен бір немесе бірнеше коммутатор порттарының трафигі қайталанатын бақылау портын тағайындауға мүмкіндік береді);
• желілік жүктемені зерттеу - бұл жағдайда жүктемені бағалауға ғана емес, сонымен қатар әкімші көрсеткен порттарды қашықтан өшіруге мүмкіндік беретін смарт қосқыштарды пайдалану өте ыңғайлы. Әкімшіде қандай компьютерлердің сәйкес коммутатор порттарына қосылғаны және олардың орналасқан жері туралы ақпаратты қамтитын желі картасы болса, бұл операция айтарлықтай жеңілдетіледі;
• бал құмыраларын пайдалану - әкімшіге эпидемияны дер кезінде анықтауға мүмкіндік беретін жергілікті желіде бірнеше бал құмырасын жасау ұсынылады.

Желідегі дербес компьютерлерді автоматты талдау

Автоматты ДК талдауын үш негізгі кезеңге дейін қысқартуға болады:

• толық компьютерді сканерлеуді жүргізу - іске қосылған процестер, жүктелген кітапханалар мен драйверлер, автоқосу;
• жедел зерттеулер жүргізу – мысалы, сипаттамалық процестерді немесе файлдарды іздеу;
• белгілі бір критерийлер бойынша объектілерді карантиндеу.

Жоғарыда аталған мәселелердің барлығын авторлық AVZ утилитасының көмегімен шешуге болады, ол сервердегі желілік қалтадан іске қосуға арналған және компьютерді автоматты түрде тексеруге арналған сценарий тілін қолдайды. Пайдаланушы компьютерлерінде AVZ іске қосу үшін сізге қажет:

1. AVZ файлын оқу үшін ашық сервердегі желілік қалтаға орналастырыңыз.
2. Осы қалтада LOG және Qurantine ішкі каталогтарын жасаңыз және пайдаланушыларға оларға жазу мүмкіндігін беріңіз.
3. rexec утилитасын немесе жүйеге кіру сценарийін пайдаланып LAN компьютерлерінде AVZ іске қосыңыз.

3-қадамда AVZ іске қосу келесі параметрлермен орындалуы керек:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

Бұл жағдайда Priority=-1 параметрі AVZ процесінің басымдылығын төмендетеді, nw=Y және nq=Y параметрлері карантинді «желі іске қосу» режиміне ауыстырады (бұл жағдайда карантиндік қалтада ішкі каталог жасалады). аты ДК желілік атауына сәйкес келетін әрбір компьютер үшін) , HiddenMode=2 пайдаланушының GUI және AVZ басқару элементтеріне қол жеткізуін болдырмауға нұсқау береді және соңында, ең маңызды Script параметрі сценарийдің толық атауын көрсетеді. AVZ пайдаланушының компьютерінде орындайтын командалар. AVZ сценарий тілі қолдануда өте қарапайым және тек компьютерлік тексеру мен емдеу мәселелерін шешуге бағытталған. Сценарийлерді жазу процесін жеңілдету үшін сіз онлайн нұсқауды, стандартты сценарийлерді құру шеберін және оны іске қоспай-ақ жазылған сценарийдің дұрыстығын тексеру құралдарын қамтитын арнайы сценарий редакторын пайдалана аласыз (1-сурет).

Күріш. 1. AVZ сценарий редакторы

Эпидемияға қарсы күресте пайдалы болуы мүмкін үш типтік сценарийді қарастырайық. Біріншіден, бізге компьютерді зерттеу сценарийі қажет. Сценарийдің міндеті – жүйені тексеру және берілген желілік қалтада нәтижелерімен хаттама жасау. Сценарий келесідей көрінеді:

ActivateWatchDog(60 * 10);

// Сканерлеуді және талдауды бастаңыз

// Жүйені зерттеу

ExecuteSysCheck(GetAVZDirectory+

‘\LOG\’+GetComputerName+’_log.htm’);

//AVZ өшіру

Осы сценарийді орындау барысында LOG папкасында желілік компьютерлерді зерттеу нәтижелерімен HTML файлдары құрылады (ол сервердегі AVZ каталогында жасалған және пайдаланушылар жазуы үшін қолжетімді деп есептей отырып) және қамтамасыз ету үшін бірегейлігі, зерттелетін компьютердің аты протокол атауына енгізіледі. Сценарийдің басында бақылау таймерін қосу пәрмені бар, ол сценарийді орындау кезінде сәтсіздіктер орын алса, 10 минуттан кейін AVZ процесін күштеп тоқтатады.

AVZ хаттамасы қолмен зерттеуге ыңғайлы, бірақ автоматтандырылған талдау үшін оның пайдасы шамалы. Бұған қоса, әкімші зиянды бағдарлама файлының атын жиі біледі және тек осы файлдың бар-жоғын тексеру керек, ал бар болса, талдау үшін оны карантинге қою керек. Бұл жағдайда сіз келесі сценарийді пайдалана аласыз:

// Күзет таймерін 10 минутқа қосыңыз

ActivateWatchDog(60 * 10);

// Зиянды бағдарламаны аты бойынша іздеңіз

QuarantineFile('%WinDir%\smss.exe', 'LdPinch.gen туралы күдікті');

QuarantineFile('%WinDir%\csrss.exe', 'LdPinch.gen күдігі');

//AVZ өшіру

Бұл сценарий көрсетілген файлдарды карантинге қою әрекеті үшін QuarantineFile функциясын пайдаланады. Әкімші карантинге алынған файлдардың бар-жоғын тек карантиннің мазмұнын талдай алады (Карантин\желінің_аты_PC\quarantine_date\ қалтасы). QuarantineFile функциясы қауіпсіз AVZ дерекқоры немесе Microsoft цифрлық қолтаңба дерекқоры арқылы анықталған файлдардың карантинін автоматты түрде блоктайтынын ескеріңіз. Үшін практикалық қолданубұл сценарийді жақсартуға болады - сыртқы мәтіндік файлдан файл атауларын жүктеуді ұйымдастырыңыз, табылған файлдарды AVZ дерекқорларымен салыстырыңыз және жұмыс нәтижелерімен мәтіндік хаттаманы жасаңыз:

// Көрсетілген аты бар файлды іздеңіз

функциясы CheckByName(Fname: string) : логикалық;

Нәтиже:= FileExists(FName) ;

Егер нәтиже болса, бастаңыз

Case CheckFile(FName).

1: S:= ‘, файлға кіру бұғатталған’;

1: S:= ‘, зиянды бағдарлама ретінде анықталды (‘+GetLastCheckTxt+’)’;

2: S:= ‘, файл сканері күдікті (‘+GetLastCheckTxt+’)’;

3: шығу; // Қауіпсіз файлдар еленбейді

AddToLog(‘‘+NormalFileName(FName)+’ файлының күдікті аты бар’+S);

//Көрсетілген файлды карантинге қосыңыз

QuarantineFile(FName,'күдікті файл'+S);

SuspNames: TStringList; // Күдікті файлдар атауларының тізімі

// Жаңартылған дерекқормен файлдарды тексеру

егер FileExists(GetAVZDirectory + 'files.db') болса, бастаңыз

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('Дерекқор атауы жүктелді - жазбалар саны = '+inttostr(SuspNames.Count));

// Іздеу циклі

i:= 0 үшін SuspNames.Count - 1 орындаңыз

CheckByName(SuspNames[i]);

AddToLog('Файл атауларының тізімін жүктеу қатесі');

Журналды сақтау(GetAVZDirectory+’\LOG\’+

GetComputerName+’_files.txt’);

Бұл сценарий жұмыс істеуі үшін AVZ қалтасында пайдаланушыларға жазу үшін қолжетімді Карантин және LOG каталогтарын жасау керек, сонымен қатар мәтіндік файл files.db - бұл файлдың әрбір жолында күдікті файлдың атауы болады. Файл атаулары макростарды қамтуы мүмкін, олардың ең пайдалысы %WinDir% (жол Windows қалтасы) және %SystemRoot% (System32 қалтасының жолы). Талдаудың тағы бір бағыты пайдаланушы компьютерлерінде орындалатын процестер тізімін автоматты түрде тексеру болуы мүмкін. Жұмыс істеп тұрған процестер туралы ақпарат жүйелік зерттеу хаттамасында бар, бірақ автоматты талдау үшін келесі сценарий фрагментін пайдалану ыңғайлы:

ScanProcess процедурасы;

S:= ''; S1:= '';

//Процестер тізімін жаңарту

RefreshProcessList;

AddToLog(‘Процестер саны = ‘+IntToStr(GetProcessCount));

// Алынған тізімді талдау циклі

i:= 0 үшін GetProcessCount - 1 басталады

S1:= S1 + ‘,’ + ExtractFileName(GetProcessName(i));

// Процесті аты бойынша іздеу

if pos(‘trojan.exe’, LowerCase(GetProcessName(i))) > 0, содан кейін

S:= S + GetProcessName(i)+’,’;

егер С<>''содан кейін

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

Бұл сценарийдегі процестерді зерттеу жеке ScanProcess процедурасы ретінде орындалады, сондықтан оны өз сценарийінде орналастыру оңай. ScanProcess процедурасы процестердің екі тізімін құрады: толық тізімпроцестер (кейінгі талдау үшін) және әкімшінің көзқарасы бойынша қауіпті деп саналатын процестердің тізімі. Бұл жағдайда көрсету мақсатында «trojan.exe» деп аталатын процесс қауіпті болып саналады. Қауіпті процестер туралы ақпарат _alarm.txt мәтіндік файлына, барлық процестер туралы деректер _all_process.txt файлына қосылады. Сценарийді оған қосу арқылы қиындата алатыныңызды түсіну оңай, мысалы, технологиялық файлдарды қауіпсіз файлдардың дерекқорына қарсы тексеру немесе атауларды тексеру орындалатын файлдарсыртқы негіздегі процестер. Ұқсас процедура Smolenskenergo-да қолданылатын AVZ сценарийлерінде қолданылады: әкімші жиналған ақпаратты мерзімді түрде зерттейді және сценарийді өзгертеді, оған қауіпсіздік саясатымен тыйым салынған бағдарламалар процестерінің атын қосады, мысалы, ICQ және MailRu.Agent, бұл мүмкіндік береді. зерттелетін ДК-де тыйым салынған бағдарламалық қамтамасыз етудің бар-жоғын жылдам тексеру үшін. Процесстер тізімін пайдаланудың тағы бір түрі антивирус сияқты талап етілмеген процесс жоқ компьютерлерді табу болып табылады.

Қорытындылай келе, пайдалы талдау сценарийлерінің соңғысын қарастырайық - қауіпсіз AVZ дерекқоры және Microsoft цифрлық қолтаңбасының дерекқоры танымайтын барлық файлдарды автоматты карантинге қоюға арналған сценарий:

// Автокарантинді орындаңыз

ExecuteAutoQuarantine;

Автоматты карантин іске қосылған процестерді және жүктелген кітапханаларды, қызметтер мен драйверлерді, шамамен 45 автобастау әдістерін, шолғыш пен шолушы кеңейтім модульдерін, SPI/LSP өңдеушілерін, жоспарлаушы тапсырмаларын, басып шығару жүйесінің өңдеушілерін және т.б. тексереді. Карантиннің ерекшелігі - файлдар оған қайталануды бақылау арқылы қосылады, сондықтан автокарантин функциясын қайталап шақыруға болады.

Автоматты карантиннің артықшылығы - оның көмегімен әкімші тексеру үшін желідегі барлық компьютерлерден ықтимал күдікті файлдарды жылдам жинай алады. Файлдарды зерттеудің ең қарапайым (бірақ іс жүзінде өте тиімді) түрі максималды эвристикалық режимде бірнеше танымал антивирустармен алынған карантинді тексеру болуы мүмкін. Бірнеше жүздеген компьютерлерде бір мезгілде автокарантинді іске қосу желі мен файлдық серверде жоғары жүктемені тудыруы мүмкін екенін атап өткен жөн.

Жол қозғалысын зерттеу

Жол қозғалысын зерттеу үш жолмен жүзеге асырылуы мүмкін:

• иіскегіштерді қолмен пайдалану;
• жартылай автоматты режимде - бұл жағдайда снайфер ақпаратты жинайды, содан кейін оның хаттамалары қолмен немесе кейбір бағдарламалық қамтамасыз ету арқылы өңделеді;
• Snort (http://www.snort.org/) сияқты басып кіруді анықтау жүйелерін (IDS) немесе олардың бағдарламалық немесе аппараттық құрал аналогтарын автоматты түрде пайдалану. Ең қарапайым жағдайда IDS иісшіден және иісшінің жинаған ақпаратты талдайтын жүйеден тұрады.

Интрузияны анықтау жүйесі оңтайлы құрал болып табылады, себебі ол желі әрекетіндегі ауытқуларды анықтау үшін ережелер жиынын жасауға мүмкіндік береді. Оның екінші артықшылығы мынада: көптеген заманауи IDS трафикті бақылау агенттерін бірнеше желі түйіндерінде орналастыруға мүмкіндік береді – агенттер ақпаратты жинап, оны жібереді. Снайфферді пайдаланған жағдайда UNIX tcpdump консолін пайдалану өте ыңғайлы. Мысалы, 25 портындағы әрекетті бақылау үшін ( SMTP протоколы) жай ғана иісшіні іске қосыңыз пәрмен жолытүрі:

tcpdump -i em0 -l tcp порты 25 > smtp_log.txt

Бұл жағдайда пакеттер em0 интерфейсі арқылы түсіріледі; түсірілген пакеттер туралы ақпарат smtp_log.txt файлында сақталады. Протоколды қолмен талдау салыстырмалы түрде оңай; бұл мысалда 25 портындағы әрекетті талдау белсенді спам-боттары бар компьютерлерді анықтауға мүмкіндік береді.

Honeypot қолданбасы

Тұзақ ретінде пайдалануға болады (Honeypot) ескірген компьютер, өнімділігі оны шешу үшін пайдалануға мүмкіндік бермейді өндірістік міндеттер. Мысалы, 64 Мб сыйымдылығы бар Pentium Pro авторлық желіде тұзақ ретінде сәтті қолданылады жедел жады. Бұл компьютерде жергілікті желіде ең көп таралған операциялық жүйені орнату керек және стратегиялардың бірін таңдау керек:

• Жаңарту пакеттерінсіз операциялық жүйені орнату - бұл осы операциялық жүйе үшін белгілі осалдықтардың кез келгенін пайдаланатын желіде белсенді желі құртының пайда болуының көрсеткіші болады;
• желідегі басқа компьютерлерде орнатылған жаңартулары бар операциялық жүйені орнатыңыз - Honeypot жұмыс станцияларының кез келгеніне ұқсас болады.

Әрбір стратегияның оң және теріс жақтары бар; Автор негізінен опцияны жаңартусыз пайдаланады. Honeypot жасағаннан кейін диск кескінін жасау керек жылдам қалпына келтіружүйе зиянды бағдарламамен зақымданғаннан кейін. Диск кескініне балама ретінде ShadowUser және оның аналогтары сияқты өзгертулерді қайтару жүйелерін пайдалануға болады. Honeypot құрған кезде, желілік құрттардың бірқатары вирус жұққан компьютердің IP мекенжайынан есептелетін IP ауқымын сканерлеу арқылы вирус жұққан компьютерлерді іздейтінін ескеру қажет (жалпы типтік стратегиялар: X.X.X.*, X.X.X+1.*, X.X.X-1.*), - сондықтан, Ең дұрысы, әрбір ішкі желіде Honeypot болуы керек. Қосымша дайындық элементтері ретінде сіз Honeypot жүйесіндегі бірнеше қалталарға кіруді міндетті түрде ашуыңыз керек және бұл қалталарға әртүрлі пішімдегі бірнеше үлгі файлдарды қою керек, ең аз жинақ EXE, JPG, MP3.

Әрине, Honeypot жасағаннан кейін әкімші оның жұмысын бақылап, анықталған ауытқуларға жауап беруі керек. осы компьютер. Аудиторлар өзгерістерді тіркеу құралы ретінде пайдаланылуы мүмкін; снайферлер желі әрекетін жазу үшін пайдаланылуы мүмкін. Маңызды нүктекөптеген снайферлер белгілі бір желі әрекеті анықталса, әкімшіге ескерту жіберуді конфигурациялау мүмкіндігін береді. Мысалы, CommView снайферінде ереже желілік пакетті сипаттайтын «формуланы» көрсетуді немесе сандық критерийлерді көрсетуді (секундына белгілі бір саннан пакеттер немесе байттарды жіберу, дестелерді анықталмаған IP немесе MAC мекенжайларына жіберу) қамтиды - Інжір. 2.

Күріш. 2. Желі әрекеті ескертуін жасаңыз және конфигурациялаңыз

Ескерту ретінде жіберілген электрондық пошта хабарларын пайдалану өте ыңғайлы хат жәшігіәкімші - бұл жағдайда желідегі барлық тұзақтардан жедел ескертулер алуға болады. Бұған қоса, егер снайффер бірнеше ескертулер жасауға мүмкіндік берсе, жұмысты бөлектеу арқылы желілік белсенділікті саралау мағынасы бар. электрондық пошта арқылы, FTP/HTTP, TFTP, Telnet, MS Net, кез келген протокол үшін секундына 20-30 пакеттен астам трафикті арттырды (3-сурет).

Күріш. 3. Хабарлама хаты жіберілді
егер көрсетілген критерийлерге сәйкес келетін пакеттер анықталса

Тұзақ ұйымдастырған кезде оған желіде қолданылатын бірнеше осал желілік қызметтерді орналастырған немесе олар үшін эмулятор орнатқан дұрыс. Ең қарапайым (және ақысыз) - орнатусыз жұмыс істейтін жеке меншік APS утилитасы. APS жұмыс принципі оның дерекқорында сипатталған көптеген TCP және UDP порттарын тыңдауға және қосылу сәтінде алдын ала анықталған немесе кездейсоқ құрылған жауапты шығаруға негізделген (4-сурет).

Күріш. 4. APS утилитасының негізгі терезесі

Суретте Smolenskenergo LAN желісінде нақты APS белсендіру кезінде түсірілген скриншот көрсетілген. Суретте көрініп тұрғандай, клиенттік компьютерлердің бірін 21 портқа қосу әрекеті тіркелді. Хаттамаларды талдау әрекеттердің кезеңді екенін және желідегі бірнеше тұзақтармен тіркелетінін көрсетті, бұл бізге келесі қорытынды жасауға мүмкіндік береді: құпия сөздерді табу арқылы FTP серверлерін іздеу және бұзу үшін желі сканерленеді. APS журналдарды жүргізеді және желілік сканерлеуді жылдам анықтауға ыңғайлы бақыланатын порттарға тіркелген қосылымдар туралы есептермен әкімшілерге хабарламалар жібере алады.

Бал құмырасын жасаған кезде тақырып бойынша интернет-ресурстармен, атап айтқанда http://www.honeynet.org/ танысу пайдалы. Осы сайттың Құралдар бөлімінде (http://www.honeynet.org/tools/index.html) шабуылдарды жазуға және талдауға арналған бірқатар құралдарды таба аласыз.

Зиянды бағдарламаны қашықтан жою

Ең дұрысы, үлгілер табылғаннан кейін зиянды бағдарламаәкімші оларды антивирустық зертханаға жібереді, онда оларды талдаушылар шұғыл зерттейді және антивирустық деректер базасына сәйкес қолтаңбалар енгізіледі. Бұл қолтаңбалар пайдаланушының компьютерінде автоматты түрде жаңартылады және антивирус зиянды бағдарламаны әкімшінің араласуынсыз автоматты түрде жояды. Дегенмен, бұл тізбек әрқашан күткендей жұмыс істемейді, атап айтқанда, сәтсіздіктің келесі себептері болуы мүмкін:

• желі әкімшісінен тәуелсіз бірқатар себептерге байланысты кескіндер вирусқа қарсы зертханаға жетпеуі мүмкін;
• антивирустық зертхананың жеткіліксіз тиімділігі – ең дұрысы үлгілерді зерттеу және оларды дерекқорға енгізу 1-2 сағаттан аспайды, яғни жаңартылған қолтаңба деректер базасын жұмыс күні ішінде алуға болады. Дегенмен, барлық антивирустық зертханалар соншалықты тез жұмыс істемейді және жаңартуларды бірнеше күн күтуге болады (сирек жағдайларда, тіпті апталар);
• антивирустың жоғары өнімділігі - бірқатар зиянды бағдарламалар белсендірілгеннен кейін антивирустарды жояды немесе олардың жұмысын басқа жолмен бұзады. Классикалық мысалдар блоктаушы хосттар файлында жазбалар жасауды қамтиды қалыпты жұмысантивирустық автоматты жаңарту жүйелері, процестерді, қызметтерді және антивирус драйверлерін жою, олардың параметрлерін бұзу және т.б.

Сондықтан, жоғарыда аталған жағдайларда зиянды бағдарламамен қолмен күресуге тура келеді. Көп жағдайда бұл қиын емес, өйткені компьютерлік тексеру нәтижелері вирус жұққан компьютерлерді, сондай-ақ зиянды бағдарлама файлдарының толық атауларын көрсетеді. Оларды қашықтан жою ғана қалады. Егер зиянды бағдарлама жойылудан қорғалмаған болса, оны келесі AVZ сценарийі арқылы жоюға болады:

// Файлды жою

DeleteFile('файл аты');

ExecuteSysClean;

Бұл сценарий бір көрсетілген файлды (немесе бірнеше файлды, өйткені сценарийде DeleteFile пәрмендерінің шектеусіз саны болуы мүмкін) жояды, содан кейін тізілімді автоматты түрде тазартады. Неғұрлым күрделі жағдайда, зиянды бағдарлама өзін жоюдан қорғай алады (мысалы, файлдары мен тізілім кілттерін қайта жасау арқылы) немесе руткит технологиясын пайдаланып өзін жасыра алады. Бұл жағдайда сценарий күрделене түседі және келесідей болады:

// Анти-руткит

SearchRootkit(шын, ақиқат);

// AVZGuard басқару

SetAVZGuardStatus(шын);

// Файлды жою

DeleteFile('файл аты');

// BootCleaner журналын қосу

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// BootCleaner тапсырмасына сценарий арқылы жойылған файлдар тізімін импорттау

BC_ImportDeletedList;

// BootCleaner іске қосыңыз

// Эвристикалық жүйені тазалау

ExecuteSysClean;

RebootWindows(шын);

Бұл сценарий руткиттерге белсенді қарсы әрекетті, AVZGuard жүйесін пайдалануды (бұл зиянды бағдарлама әрекетінің блокаторы) және BootCleaner жүйесін қамтиды. BootCleaner - жүйені жүктеудің бастапқы кезеңінде қайта жүктеу кезінде KernelMode режимінен көрсетілген нысандарды жоятын драйвер. Тәжірибе көрсеткендей, мұндай сценарий бар зиянды бағдарламалардың басым көпшілігін жоюға қабілетті. Ерекшелік - әрбір қайта жүктеу кезінде орындалатын файлдардың атын өзгертетін зиянды бағдарлама - бұл жағдайда жүйені сканерлеу кезінде табылған файлдардың атын өзгертуге болады. Бұл жағдайда компьютерді қолмен дезинфекциялау немесе зиянды бағдарлама қолтаңбаларын жасау қажет болады (қолтаңбаны іздеуді жүзеге асыратын сценарийдің мысалы AVZ анықтамасында сипатталған).

Қорытынды

Бұл мақалада біз антивирустық өнімдерді қолданбай, қолмен жергілікті желі эпидемиясымен күресудің кейбір практикалық әдістерін қарастырдық. Сипатталған әдістердің көпшілігін пайдаланушы компьютерлеріндегі шетелдік компьютерлер мен трояндық бетбелгілерді іздеу үшін де қолдануға болады. Зиянды бағдарламаны табуда немесе емдеу сценарийлерін жасауда қиындықтар туындаса, әкімші http://virusinfo.info форумының «Анықтама» бөлімін немесе http://forum.kaspersky.com форумының «Вирустармен күресу» бөлімін пайдалана алады. /index.php?showforum= 18. Хаттамаларды зерделеу және емдеуге көмектесу екі форумда да тегін жүргізіледі, ДК талдауы AVZ хаттамалары бойынша жүзеге асырылады және көп жағдайда емдеу осы форумдардың тәжірибелі мамандары құрастырған вирус жұққан ДК-де AVZ сценарийін орындауға түседі. .

Салыстырмалы талдауқауіпсіздік сканерлері. 1-бөлім: ену сынағы (қысқаша қорытынды)

Александр Антипов

Бұл құжат желілік периметрлік түйіндермен ену сынақтары кезінде желілік қауіпсіздік сканерлерін салыстыру нәтижелерін ұсынады.

Лепихин Владимир Борисович
«Информзащита» оқу орталығындағы желілік қауіпсіздік зертханасының меңгерушісі

Есептегі барлық материалдар «Информзашита» оқу орталығының зияткерлік меншік объектілері болып табылады. «Информзашита» оқу орталығының алдын ала жазбаша келісімінсіз есеп материалдарын кез келген нысанда көшіруге, жариялауға немесе көшіруге тыйым салынады.

Зерттеудің толық мәтіні:
http://www.itsecurity.ru/news/reliase/2008/12_22_08.htm

1. Кіріспе

Желілік қауіпсіздік сканерлері салыстыру үшін өте қолайлы. Олардың барлығы өте әртүрлі. Және олар тағайындалған тапсырмалардың ерекшеліктеріне байланысты және олардың «қос» мақсатына байланысты (желі қауіпсіздігі сканерлерін қорғаныс үшін де, «шабуыл үшін» де қолдануға болады, ал бұзу, біз білетіндей, шығармашылық тапсырма) , сайып келгенде, сондай-ақ әрбір мұндай құралдың артында «хакердің» (сөздің бастапқы мағынасында) оны жасаушы ойының ұшуы бар.

Салыстыру шарттарын таңдау кезінде «тапсырмаға негізделген» тәсіл негізге алынды, осылайша, нәтижелерге сүйене отырып, белгілі бір құралдың оған жүктелген тапсырманы шешуге қаншалықты қолайлы екенін анықтауға болады. Мысалы, желілік қауіпсіздік сканерлерін пайдалануға болады:

• желілік ресурстарды түгендеу үшін;
• «еніп кету сынақтары» кезінде;
• жүйелердің әртүрлі талаптарға сәйкестігін сынау процесінде.

Бұл құжат желілік периметрлік түйіндермен ену сынақтары кезінде желілік қауіпсіздік сканерлерін салыстыру нәтижелерін ұсынады. Мыналар бағаланды:

• Табылған осалдықтардың саны
• Жалған позитивтер саны (жалған позитивтер)
• Жалған негативтер
• Сабаққа келмеу себептері
• Тексеру базасының толықтығы (осы тапсырма аясында)
• Түгендеу механизмдерінің сапасы және бағдарламалық қамтамасыз ету нұсқасын анықтау
• Сканердің дәлдігі (осы тапсырма аясында)

Көрсетілген критерийлер бірге сканердің оған жүктелген тапсырманы шешуге «жарамдылығын» сипаттайды, бұл жағдайда бұл желі периметрінің қауіпсіздігін бақылау процесінде әдеттегі әрекеттерді автоматтандыру болып табылады.

2. Салыстыруға қатысушылардың қысқаша сипаттамасы

Салыстыруды бастамас бұрын портал сауалнама жүргізді, оның мақсаты пайдаланылған сканерлер және олар қолданылатын тапсырмалар туралы деректерді жинау болды.

Сауалнамаға 500-ге жуық респондент (порталға кірушілер) қатысты.

Өз ұйымдарында қолданатын қауіпсіздік сканерлері туралы сұраққа респонденттердің басым көпшілігі кем дегенде бір қауіпсіздік сканерін (70%) пайдаланатынын айтты. Сонымен бірге ақпараттық жүйелерінің қауіпсіздігін талдау үшін қауіпсіздік сканерлерін үнемі қолданатын ұйымдар осы кластың бірнеше өнімін пайдалануды жөн көреді. Респонденттердің 49%-ы олардың ұйымдары екі немесе одан да көп қауіпсіздік сканерлерін қолданатынын айтты (1-сурет).

1 . Пайдаланылған қауіпсіздік сканерлерінің саны бойынша зерттелген ұйымдарды бөлу

Бірнеше қауіпсіздік сканерін пайдалану себептеріне ұйымдардың бір «өндіруші» шешімдеріне сенбеуі (61%) және кешенді қауіпсіздік сканерімен орындалмайтын арнайы тексерулер қажет болғанда (39%) жатады (Cурет 2). .

2. Сауалнама жүргізілген ұйымдарда бірнеше қауіпсіздік сканерін пайдалану себептері

Мамандандырылған қауіпсіздік сканерлері қандай мақсаттарда пайдаланылады деген сұраққа респонденттердің көпшілігі веб-қосымшалардың қауіпсіздігін талдау үшін қосымша құрал ретінде пайдаланылады деп жауап берді (68%). Екінші орында мамандандырылған МҚБЖ қауіпсіздік сканерлері (30%), ал үшінші орында (2%) ақпараттық жүйелердің қауіпсіздігін талдаудағы мәселелердің нақты ауқымын шешуге арналған меншікті утилиталар (3-сурет).

3. Сауалнамаға қатысқан респонденттердің ұйымдарында мамандандырылған қауіпсіздік сканерлерін пайдалану мақсаттары

Қауіпсіздік сканерлеріне қатысты соңғы өнімдер туралы респонденттердің сауалнамасының нәтижесі (4-сурет) ұйымдардың көпшілігі Positive Technologies өнімі XSpider (31%) және Nessus Security Scanner (17%) пайдалануды қалайтынын көрсетті.

Күріш. 4. Респонденттердің ұйымдарында қолданылатын қауіпсіздік сканерлері

1-кестеде көрсетілген сканерлер сынақ сынақтарына қатысу үшін таңдалды.

Кесте 1. Салыстыру үшін пайдаланылатын желілік қауіпсіздік сканерлері

Аты	Нұсқа
		http://www.nessus.org/download
MaxPatrol	8.0 (1178 құрастыру)	http://www.ptsecurity.ru/maxpatrol.asp
Интернет сканері		http://www-935.ibm.com/services/us/index.wss/offering/iss/a1027208
Тор қабықЖелілік қауіпсіздік сканері		http://www.eeye.com/html/products/retina/index.html
Көлеңкелік қауіпсіздік сканері (SSS)	7.141 (262 құрастыру)	http://www.safety-lab.com/en/products/securityscanner.htm
NetClarity аудиторы		http://netclarity.com/branch-nacwall.html

Сонымен, бірінші сынақ жүйенің бұзуға қарсы тұру қауіпсіздігін бағалау міндетіне бағытталған.

3. Қорытындылау

Қалған түйіндер үшін нәтижелер ұқсас жолмен есептелді. Нәтижелерді есептегеннен кейін келесі кесте алынды (2-кесте).

Кесте 2. Барлық сканерленген нысандар үшін соңғы нәтижелер

Индекс		Интернет сканері			Көлеңкелік қауіпсіздік сканері	NetClarity Аудитор
Қызметтер мен қосымшаларды, ұпайларды анықтау
Табылған осалдықтар, барлығы
Осы жалған позитивтерден (жалған позитивтер)
Дұрыс табылды (мүмкін 225-тен)
Өту (жалған негативтер)
Оның ішінде деректер базасында болмауына байланысты
Олардың ішінде аутентификация қажет
Басқа себептермен

3.1 Қызметтер мен қосымшаларды сәйкестендіру

Қызметтер мен өтінімдерді сәйкестендіру нәтижелері бойынша ұпайлар жай ғана жинақталды, ал қызмет немесе өтінімді дұрыс анықтамағаны үшін бір ұпай шегерілді (5-сурет).

Күріш. 5. Қызметтер мен қосымшаларды анықтау нәтижелері

MaxPatrol сканері ең көп ұпай жинады (108), ал Nessus сканері сәл аз (98) жинады. Шынында да, осы екі сканерде қызметтер мен қосымшаларды анықтау процедурасы өте тиімді жүзеге асырылады. Бұл нәтижеәбден күтілген деп атауға болады.

Келесі нәтижелер Internet Scanner және NetClarity сканерлерінен алынған. Мұнда, мысалы, Internet Scanner қолданбалар үшін стандартты порттарды пайдалануға бағытталғанын атап өтуге болады, бұл негізінен оның төмен нәтижесін түсіндіреді. Соңында, NetClarity сканері ең нашар өнімділікке ие. Ол қызметтерді анықтауда жақсы жұмыс атқарғанымен (ақыр соңында, ол Nessus 2.x ядросына негізделген), оның жалпы нашар өнімділігін оның барлық ашық порттарды анықтай алмауымен түсіндіруге болады.

3.2 Осалдықтарды анықтау

Суретте. 6-суретте барлық сканерлер тапқан осалдықтардың жалпы саны және жалған позитивтер саны көрсетілген. Ең көп осалдықтарды MaxPatrol сканері тапты. Нессус тағы да екінші болды (айтарлықтай болса да).
Жалған позитивтер саны бойынша көшбасшы көлеңкелі қауіпсіздік сканері болды. Негізінде бұл түсінікті, оны тексеруге қатысты қателердің мысалдары жоғарыда келтірілген.

Күріш. 6. Табылған осалдықтар мен жалған позитивтер

Барлығы 16 түйінде барлық сканерлер 225 осалдықты тапты (және кейін қолмен тексеру арқылы расталды). Нәтижелер суреттегідей таратылды. 7. Осалдықтардың ең көп саны – мүмкін болатын 225-тің 155-і – MaxPatrol сканері арқылы анықталды. Екіншісі Nessus сканері болды (оның нәтижесі екі есе дерлік нашар болды). Содан кейін Интернет сканері, содан кейін NetClarity.
Салыстыру барысында жетіспейтін осалдықтардың себептері талданды және деректер базасында тексерулердің болмауына байланысты жасалғандар бөлінді. Келесі диаграмма (Cурет 8) сканерлердің осалдықтарды жіберіп алуының себептерін көрсетеді.

Күріш. 7. Табылған осалдықтар мен кемшіліктер

Күріш. 8. Жетіспеушіліктердің себептері

Енді есептеулер нәтижесінде бірнеше көрсеткіштер.

Суретте. 39-суретте жалған позитивтер санының табылған осалдықтардың жалпы санына қатынасы көрсетілген, бұл көрсеткішті белгілі бір мағынада сканердің дәлдігі деп атауға болады. Өйткені, пайдаланушы, ең алдымен, сканер тапқан осалдықтардың тізімімен айналысады, оның ішінен дұрыс табылғандарды таңдау керек.

Күріш. 9. Сканерлердің дәлдігі

Бұл диаграммадан ең жоғары дәлдікке (95%) MaxPatrol сканері қол жеткізілгенін көруге болады. Оның жалған позитивтерінің саны ең төмен болмаса да, бұл дәлдік көрсеткіші табылған осалдықтардың көп санының арқасында қол жеткізіледі. Келесі ең дәл анықтама - Интернет сканері. Ол жалған позитивтердің ең аз санын көрсетті. SSS сканері ең төмен нәтижеге ие, бұл салыстыру кезінде байқалған жалған позитивтердің көп санын ескере отырып, таңқаларлық емес.

Тағы бір есептелетін көрсеткіш – мәліметтер қорының толықтығы (10-сурет). Ол дұрыс табылған осалдықтар санының осалдықтардың жалпы санына қатынасы ретінде есептеледі (бұл жағдайда – 225) және «жіберу» ауқымын сипаттайды.

Күріш. 10. Мәліметтер қорының толықтығы

Бұл диаграммадан MaxPatrol сканерінің базасы тапсырмаға барынша сәйкес келетіні анық.

4. Қорытынды

4.1 Көшбасшылардың нәтижелері бойынша түсініктемелер: MaxPatrol және Nessus

Осы салыстырудың барлық критерийлері бойынша бірінші орынды MaxPatrol сканері алады, екінші орында Nessus сканері, басқа сканерлердің нәтижелері айтарлықтай төмен.

Бұл жерде АҚШ Ұлттық стандарттар мен технологиялар институты (NIST) дайындаған құжаттардың бірін, атап айтқанда «Желілік қауіпсіздікті тестілеу бойынша нұсқаулықты» еске түсіру орынды. Онда компьютерлік жүйелердің қауіпсіздігін бақылау кезінде кем дегенде екі қауіпсіздік сканерін пайдалану ұсынылады делінген.

Шын мәнінде, алынған нәтижеде күтпеген немесе таңқаларлық ештеңе жоқ. XSpider (MaxPatrol) және Nessus сканерлері қауіпсіздік мамандары мен хакерлер арасында танымал екені ешкімге құпия емес. Мұны жоғарыдағы сауалнама нәтижелері растайды. MaxPatrol-дың айқын көшбасшылығының себептерін (бұл ішінара Nessus сканеріне қатысты), сондай-ақ басқа сканерлердің «жоғалтуының» себептерін талдауға тырысайық. Ең алдымен, бұл қызметтер мен қосымшаларды жоғары сапалы сәйкестендіру. Қорытындыға негізделген тесттер (және бұл жағдайда олардың саны өте аз болды) ақпарат жинаудың дәлдігіне қатты байланысты. Ал MaxPatrol сканеріндегі қызметтер мен қосымшаларды анықтау өте жақсы дерлік. Мұнда бір көрнекі мысал келтірілген.
MaxPatrol табысының екінші себебі - дерекқордың толықтығы және оның қойылған міндетке, жалпы алғанда, «бүгінгі күнге» сәйкестігі. Нәтижелерге сүйене отырып, MaxPatrol-те тексерулер базасы айтарлықтай кеңейтілген және егжей-тегжейлі, ол «тәртіпке келтірілді», ал веб-қосымшаларға қатысты айқын «қиғаштық» басқа салалардағы тексерулердің кеңеюімен өтеледі. , мысалы, салыстыруда ұсынылған маршрутизаторды сканерлеу нәтижелері әсерлі Cisco болды.

Үшінші себеп - операциялық жүйелерді, дистрибутивтерді және әртүрлі «тармақтарды» ескере отырып, қолданба нұсқаларын сапалы талдау. Сондай-ақ әртүрлі көздерді (осалдық дерекқорлары, хабарландырулар және жеткізушілер бюллетеньдері) пайдалануды қосуға болады.

Соңында, MaxPatrol желісінің қауіпсіздік сканерлерінің жұмысының негізгі кезеңдерін көрсететін өте ыңғайлы және логикалық интерфейсі бар екенін де қосуға болады. Және бұл маңызды. «Түйін, қызмет, осалдық» тіркесімін түсіну өте оңай (Редакцияның ескертуі: бұл салыстыру авторының субъективті пікірі). Және әсіресе осы тапсырма үшін.

Енді кемшіліктер мен «әлсіз» нүктелер туралы. Салыстыру бойынша MaxPatrol көшбасшы болып шыққандықтан, оған айтылған сын «максималды» болады.

Біріншіден, «ұсақ нәрселерде жеңіліс» деп аталады. Өте жоғары сапалы қозғалтқышқа ие бола отырып, сәйкес қосымша қызметтерді ұсыну маңызды, мысалы, қолмен бірдеңе жасауға мүмкіндік беретін ыңғайлы құралдар, осалдықтарды іздеу құралдары және жүйені «дәл баптау» мүмкіндігі. MaxPatrol XSpider дәстүрін жалғастырады және «нұқыңыз және ол жұмыс істейді» идеологиясына барынша бағытталған. Бір жағынан, бұл жаман емес, екінші жағынан, «мұқият» талдаушыны шектейді.

Екіншіден, кейбір қызметтер «ашық» қалды (сіз мұны осы салыстыру нәтижелері бойынша бағалай аласыз), мысалы, IKE (порт 500).

Үшіншіден, кейбір жағдайларда екі тексерудің нәтижелерін бір-бірімен негізгі салыстырудың болмауы, мысалы, жоғарыда сипатталған SSH жағдайындағыдай. Яғни, бірнеше тексеріс нәтижесі бойынша қорытындылар жоқ. Мысалы, host4 операциялық жүйесі Windows, ал PPTP қызметі «сатушы» Linux ретінде жіктелді. Қорытынды жасай аламыз ба? Мысалы, операциялық жүйені анықтау аймағындағы есепте бұл «гибридті» түйін екенін көрсетіңіз.

Төртіншіден, чектердің сипаттамасы көп нәрсені қалаусыз қалдырады. Бірақ бұл жерде MaxPatrol басқа сканерлермен тең емес жағдайда екенін түсіну керек: барлық сипаттамаларды орыс тіліне жоғары сапалы аудару - бұл өте көп еңбекті қажет ететін жұмыс.

Nessus сканері тұтастай алғанда жақсы нәтиже көрсетті және бірқатар тармақтарда MaxPatrol сканеріне қарағанда дәлірек болды. Nessus-тың артта қалуының негізгі себебі - осалдықтарды жіберіп алу, бірақ басқа сканерлер сияқты дерекқорда тексерулердің болмауына байланысты емес, іске асыру мүмкіндіктеріне байланысты. Біріншіден (және бұл олқылықтардың айтарлықтай бөлігінің себебі), Nessus сканерінде «жергілікті» немесе жүйелік тексерулер, тіркелгімен қосылуды қажет етеді. Екіншіден, Nessus сканері осалдықтар туралы азырақ (MaxPatrol-мен салыстырғанда) ақпарат көздерін ескереді. Бұл негізінен SecurityFocus негізіндегі SSS сканеріне біршама ұқсас.

5. Осы салыстырудың шектеулері

Салыстыру кезінде сканерлердің мүмкіндіктері тек бір ғана тапсырма контекстінде зерттелді - желілік периметрлік түйіндерді бұзуға төзімділікке тестілеу. Мысалы, көлік аналогиясын салсақ, әртүрлі көліктердің, айталық, тайғақ жолда өзін қалай ұстайтынын көрдік. Дегенмен, басқа тапсырмалар бар, оларды бірдей сканерлермен шешу мүлдем басқаша көрінуі мүмкін. Жақын арада келесі мәселелерді шешу кезінде сканерлерді салыстыру жоспарлануда:

• Қолдану арқылы жүйелік аудиттерді жүргізу есептік жазба
• PCI DSS сәйкестігін бағалау
• Windows жүйелерін сканерлеу

Сонымен қатар, ресми критерийлер арқылы сканерлерді салыстыру жоспарлануда.

Бұл салыстыру кезінде тек «қозғалтқыштың» өзі немесе қазіргі тілмен айтқанда, сканердің «миы» сыналды. Қосымша қызметтерге қатысты мүмкіндіктер (есептер, сканерлеу барысы туралы ақпаратты жазу және т.б.) ешбір жолмен бағаланбаған немесе салыстырылмаған.

Сондай-ақ, қауіптілік дәрежесі мен табылған осалдықтарды пайдалану мүмкіндігі бағаланбаған. Кейбір сканерлер қауіптілігі төмен «болмашы» осалдықтармен шектелді, ал басқалары жүйеге қол жеткізуге мүмкіндік беретін шын мәнінде маңызды осалдықтарды анықтады.

Қауіпсіздік сканері: желінің осалдықтарын анықтайды, жаңартулар мен патчтарды басқарады, мәселелерді автоматты түрде түзетеді, бағдарламалық жасақтама мен аппараттық құралдарды тексереді. GFI Желі қауіпсіздігі»>Желі қауіпсіздігі 2080

Желі қауіпсіздігі сканері және орталықтандырылған жаңартуды басқару

GFI LanGuard виртуалды қауіпсіздік кеңесшісі ретінде жұмыс істейді:

— Windows®, Mac OS® және Linux® жаңартуларын басқарады

— Компьютерлердегі осалдықтарды анықтайды және мобильді құрылғылар

— Аудиторлық тексерулер жүргізеді желілік құрылғыларжәне бағдарламалық қамтамасыз ету

GFI Languard - кез келген өлшемдегі желілерге арналған қауіпсіздік сканері: желі порты және осалдық сканері, қауіпсіздік сканері, желідегі тесіктерді автоматты түрде табады.

GFI Languard - кез келген өлшемдегі желілерге арналған қауіпсіздік сканері: желі порты және осалдық сканері, қауіпсіздік сканері, желідегі тесіктерді автоматты түрде табады.

GFI LanGuard дегеніміз не

Осалдық сканерінен артық!

GFI LanGuard – желілік қауіпсіздік сканері: желінің осалдықтарын анықтайды, анықтайды және түзетеді. Толық портты сканерлеу, желіңізді қорғау үшін қажетті бағдарламалық құрал жаңартуларының болуы және бағдарламалық және аппараттық құралдарды тексеру бір басқару тақтасынан мүмкін.

Порт сканері

Алдын ала дайындалған бірнеше сканерлеу профильдері барлық порттарды толық сканерлеуді орындауға, сондай-ақ қажетсіз және зиянды бағдарламалық құрал жиі пайдаланатындарды ғана жылдам тексеруге мүмкіндік береді. GFI LanGuard бір уақытта бірнеше хосттарды сканерлейді, бұл қажетті уақытты айтарлықтай қысқартады, содан кейін бос емес порттарда табылған бағдарламалық құралды күтілгенмен салыстырады.

Жаңартулар мен патчтар

Орнату алдында соңғы жаңартулартүйіндеріңіз толығымен қорғалмаған, өйткені бұл желіге ену үшін хакерлер пайдаланатын ағымдағы патчтар мен жаңартулармен жабылған соңғы осалдықтар. Операциялық жүйеге енгізілген құралдардан айырмашылығы, GFI LanGuard тек ОЖ-ның өзін ғана емес, сонымен қатар осалдықтары әдетте бұзу үшін пайдаланылатын танымал бағдарламалық жасақтаманы да тексереді: Adobe Acrobat/Reader, Flash ойнатқышы, Skype, Outlook, браузерлер, жедел хабаршылар.

Түйін аудиті

GFI LanGuard сізге дайындайды егжей-тегжейлі тізімәрбір компьютерде орнатылған бағдарламалық және аппараттық құрал тыйым салынған немесе жоқ бағдарламаларды, сондай-ақ қажет емес қосылған құрылғыларды анықтайды. Бағдарламалық құралдағы өзгерістерді анықтау үшін бірнеше сканерлеу нәтижелерін салыстыруға болады аппараттық құрал.

Қауіптің соңғы барлауы

Әрбір сканерлеу GFI LanGuard дерекқорындағы саны 50 000-нан асып кеткен осалдықтар туралы деректерді жаңартқаннан кейін жүзеге асырылады. Қауіп-қатер туралы ақпаратты бағдарламалық құрал жеткізушілерінің өздері, сондай-ақ сенімді SANS және OVAL тізімдері қамтамасыз етеді, осылайша сіз әрқашан соңғы қауіптерден, соның ішінде қан кетуден, жасырын, қабық шокынан, пудельден, құм құртынан және т.б. қорғалғансыз.

Автоматты түзету

Әрбір осалдықтың сипаттамасы және сілтемелері бар егжей-тегжейлі сканерлеу есебін алғаннан кейін әрі қарай оқу, сіз «Түзету» түймесін бір рет басу арқылы көптеген қауіптерді түзете аласыз: порттар жабылады, тізілім кілттері түзетіледі, патчтар орнатылады, бағдарламалық құрал жаңартылады, тыйым салынған бағдарламалар жойылады және жетіспейтін бағдарламалар орнатылады.