Programmas tīklu ievainojamību skenēšanai. Tīkla drošības skeneru salīdzinājums. Tīkla ievainojamības skeneru salīdzinājums

IEvainojamības skeneru PĀRSKATĪŠANA UN SALĪDZINĀJUMS

Rožkova Jekaterina Oļegovna

4. kursa studente, Sanktpēterburgas Valsts medicīnas universitātes Kuģu automatizācijas un mērījumu nodaļa, Krievijas Federācija, Sanktpēterburga

E- pastu: rina1242. ro@ gmail. com

Iļjins Ivans Valerijevičs

Drošo informācijas tehnoloģiju katedras 4. kursa studente

Sanktpēterburgas Nacionālā pētniecības universitāte ITMO, Krievijas Federācija, Sanktpēterburga

E- pastu: vanilīns. va@ gmail. com

Galušins Sergejs Jakovļevičs

zinātniskais vadītājs, Ph.D. tech. Zinātnes, prorektora vietnieks par zinātniskais darbs, Krievijas Federācija, Sanktpēterburga

Lai nodrošinātu augstu drošības līmeni, ir jāizmanto ne tikai ugunsmūri, bet arī periodiski jāveic pasākumi ievainojamību noteikšanai, piemēram, izmantojot ievainojamības skenerus. Savlaicīga sistēmas nepilnību noteikšana novērsīs nesankcionētu piekļuvi datiem un manipulācijas ar tiem. Bet kura skenera opcija vislabāk atbilst konkrētas sistēmas vajadzībām? Lai atbildētu uz šo jautājumu, pirmkārt, jums ir jānosaka jūsu datora vai tīkla drošības sistēmas trūkumi. Saskaņā ar statistiku, lielākā daļa uzbrukumu notiek, izmantojot zināmas un publicētas drošības nepilnības, kuras var nebūt novērstas daudzu iemeslu dēļ, piemēram, laika trūkuma, personāla vai sistēmas administratora nekompetences dēļ. Jums arī jāsaprot, ka parasti ļaundaris var iekļūt sistēmā vairākos veidos, un, ja viena metode nedarbojas, iebrucējs vienmēr var izmēģināt citu. Lai nodrošinātu maksimālu sistēmas drošības līmeni, ir nepieciešama rūpīga riska analīze un skaidra draudu modeļa tālāka izstrāde, lai precīzāk prognozētu iespējamās darbības hipotētisks noziedznieks.

Visizplatītākās ievainojamības ietver bufera pārpildes, iespējamās kļūdas maršrutētāja vai ugunsmūra konfigurācijā, Web servera, pasta serveru, DNS serveru, datu bāzu ievainojamības. Turklāt neignorējiet vienu no delikātākajām jomām informācijas drošība- lietotāju un failu pārvaldība, jo lietotāja piekļuves līmeņa nodrošināšana ar minimālām privilēģijām ir specifisks uzdevums, kas prasa kompromisu starp lietotāja pieredzi un sistēmas drošības nodrošināšanu. Jāpiemin tukšo vai vājo paroļu problēma, noklusējuma konti un vispārējas informācijas noplūdes problēma.

Drošības skeneris ir programmatūras rīks attālinātai vai vietējai diagnostikai dažādi elementi tīkli, lai identificētu dažādas ievainojamības tajos; tie var būtiski samazināt speciālistu darba laiku un atvieglot ievainojamību meklēšanu.

Drošības skeneru apskats

Šajā darbā tika pārbaudīti skeneri, kuriem ir bezmaksas izmēģinājuma versija, kas ļauj izmantot programmatūru, lai iepazītos ar ierobežotu tās iespēju sarakstu un novērtētu saskarnes vienkāršības pakāpi. Par pārskatīšanas objektiem tika atlasīti šādi populāri ievainojamības skeneri: Nessus, GFI LANguard, Retina, Shadow drošības skeneris, interneta skeneris.

Nessus

Nessus ir programma zināmu drošības trūkumu automātiskai meklēšanai Informācijas sistēmas. Tas var atklāt visbiežāk sastopamos ievainojamību veidus, piemēram, neaizsargātu pakalpojumu vai domēnu versiju esamību, konfigurācijas kļūdas (nav nepieciešama autorizācija SMTP serverī), noklusējuma paroļu esamību, tukšas vai vājas paroles.

Nessus skeneris ir jaudīgs un uzticams rīks, kas pieder tīkla skeneru saimei, kas ļauj meklēt ievainojamības tīkla pakalpojumos, ko piedāvā operētājsistēmas, ugunsmūri, filtrēšanas maršrutētāji un citi tīkla komponenti. Lai meklētu ievainojamības, tās tiek izmantotas kā standarta līdzekļi pārbaudīt un apkopot informāciju par tīkla konfigurāciju un darbību, un īpašiem līdzekļiem, imitējot uzbrucēja darbības, lai iekļūtu sistēmās, kas savienotas ar tīklu.

Programmai ir iespēja savienot savas verifikācijas procedūras vai veidnes. Šim nolūkam skeneris nodrošina īpašu skriptu valodu, ko sauc par NASL (Nessus Attack Scripting Language). Ievainojamību datu bāze nepārtraukti tiek papildināta un atjaunināta. Reģistrētie lietotāji nekavējoties saņem visus atjauninājumus, savukārt citi (izmēģinājuma versijas utt.) saņem zināmu kavēšanos.

GFILanGuard

GFI LanGuard tīkla drošības skeneris (N.S.S) ir godalgots risinājums, kas izmanto trīs galvenās sastāvdaļas, lai aizsargātu jūs: drošības skeneris, ielāpu pārvaldība un tīkla vadība no vienas vienotas konsoles. Skenējot visu tīklu, tas nosaka visu iespējamās problēmas drošību un, izmantojot tās plašo funkcionalitāte ziņošana, nodrošina rīkus, kas nepieciešami, lai atklātu, novērtētu, aprakstītu un novērstu jebkādus draudus.

Drošības pārbaudes procesā tiek iegūti vairāk nekā 15 000 ievainojamības novērtējumi un tiek pārbaudīti tīkli, pamatojoties uz katru IP adresi. GFI LanGuard N.S.S. nodrošina iespēju veikt vairāku platformu skenēšanu (Windows, Mac OS, Linux) visās vidēs un analizē tīkla statusu katram datu avotam. Tas nodrošina, ka visus draudus var identificēt un novērst, pirms hakeri panāk savu ceļu.

GFI LanGuard N.S.S. komplektā ir iekļauta pilnīga un visaptveroša ievainojamības novērtējuma datu bāze, ieskaitot tādus standartus kā OVAL (vairāk nekā 2000 vērtības) un SANS Top 20. Šī datu bāze tiek regulāri atjaunināta ar informāciju no BugTraq, SANS Corporation, OVAL, CVE utt. Pateicoties GFI LanGuard automātiskajai sistēmai atjaunināšanas sistēma N.S.S. vienmēr satur jaunāko informāciju par Microsoft drošības atjauninājumiem, kā arī informāciju no GFI un citām informācijas krātuvēm, piemēram, OVAL datu bāzes.

GFI LanGuard N.S.S. skenē datorus, identificē un klasificē ievainojamības, iesaka darbības un nodrošina rīkus problēmu risināšanai. GFI LANguard N.S.S. izmanto arī grafisku apdraudējuma līmeņa indikatoru, kas nodrošina intuitīvu, līdzsvarotu skenēta datora vai datoru grupas ievainojamības stāvokļa novērtējumu. Ja iespējams, tiek sniegta saite vai Papildus informācija par konkrētu problēmu, piemēram, identifikatoru BugTraq ID vai Microsoft zināšanu bāzē.

GFI LanGuard N.S.S. ļauj viegli izveidot savas ievainojamības pārbaudes shēmas, izmantojot vedni. Izmantojot VBScript skriptu programmu, varat arī rakstīt sarežģītas ievainojamības pārbaudes GFI LanGuard N.S.S. GFI LanGuard N.S.S. ietver skriptu redaktoru un atkļūdotāju.

Tīklene

Retina tīkla drošības skeneris, BeyondTrust tīkla ievainojamības skeneris, identificē zināmās tīkla ievainojamības un piešķir prioritāti draudiem to novēršanai. Lietošanas laikā programmatūras produkts tiek identificēti visi datori, ierīces, operētājsistēmas, lietojumprogrammas un bezvadu tīkli.

Lietotāji var arī izmantot Retina, lai novērtētu informācijas drošības riskus, pārvaldītu projektu riskus un izpildītu standartu prasības, veicot uzņēmuma politikas auditus. Šis skeneris nedarbina ievainojamības kodu, tāpēc skenēšana neizraisa tīkla un analizēto sistēmu funkcionalitātes zudumu. Izmantojot patentētu Adaptive Speed ​​​​skenēšanas tehnoloģiju lokālais tīkls C klase aizņems aptuveni 15 minūtes, to atvieglo Adaptive Speed - ātrgaitas droša tīkla skenēšanas tehnoloģija. Turklāt to ļauj elastīgi skenēšanas apgabala iestatījumi sistēmas administrators analizēt visa tīkla vai konkrētā segmenta drošību, neietekmējot blakus esošo tīklu darbību. Notiek automātiskā atjaunināšana vietējās datu bāzes kopijas, tāpēc tīkla analīze vienmēr tiek veikta, pamatojoties uz jaunākajiem datiem. Viltus pozitīvais rādītājs ir mazāks par 1%, un ir elastīga piekļuves kontrole sistēmas reģistram.

Ēnadrošībuskeneris (SSS)

Šo skeneri var izmantot, lai droši noteiktu gan zināmo, gan nezināmo (izlaišanas brīdī) jauna versija produktu) ievainojamības. Skenējot sistēmu, SSS analizē datus, tostarp meklē ievainojamības, un norāda uz iespējamām kļūdām servera konfigurācijā. Turklāt skeneris iesaka iespējamos veidus, kā atrisināt šīs problēmas un novērst sistēmas ievainojamības.

Kā aizmugures durvju tehnoloģija sistēma izmanto paša ražotāja izstrādāto Shadow Security Scanner kodolu. Var atzīmēt, ka, strādājot ar Windows OS, SSS skenēs serverus neatkarīgi no to platformas. Platformu piemēri ir Unix platformas (Linux, FreeBSD, OpenBSD, Net BSD, Solaris), Windows platformas (95/98/ME/NT/2000/XP/.NET/Win 7 un 8). Shadow Security Scanner var arī atklāt kļūdas CISCO, HP un citu iekārtu iekārtās. Šo skeneri izveidoja vietējie izstrādātāji, un attiecīgi tam ir krievu saskarne, kā arī dokumentācija un karstā atbalsta līnija.

InternetsSkeneris

Šis skeneris nodrošina automātisku ievainojamību noteikšanu un analīzi korporatīvais tīkls. Skenera iespējas ietver vairāku pārbaužu ieviešanu, lai vēlāk identificētu tīkla pakalpojumu, operētājsistēmu, maršrutētāju, pasta un tīmekļa serveru, ugunsmūru un lietojumprogrammu ievainojamības. Interneta skeneris var atklāt un identificēt vairāk nekā 1450 ievainojamības, kas var ietvert nepareizu tīkla aprīkojuma konfigurāciju, novecojušu programmatūru, neizmantotus tīkla pakalpojumus, vājas paroles utt. Ir iespējams pārbaudīt FTP, LDAP un SNMP protokolus, pārbaudīt e-pastus, pārbaudīt RPC, NFS, NIS un DNS, pārbaudīt uzbrukumu iespējamību, piemēram, "pakalpojuma atteikums", "paroles minēšana", tīmekļa serveru pārbaudes, CGI skripti, Tīmekļa pārlūkprogrammas un X-termināli. Turklāt ir iespējams pārbaudīt ugunsmūrus, starpniekserverus, attālās piekļuves pakalpojumus, failu sistēma, drošības apakšsistēma un audita apakšsistēma, sistēmas reģistrs un instalētie atjauninājumi Windows OS utt. Interneta skeneris ļauj analizēt vienas ievainojamības esamību noteiktā tīkla apgabalā, piemēram, pārbaudot konkrēta ielāpa instalēšanu operētājsistēma. Interneta skeneris var darboties Windows serveris NT, atbalsta arī AIX, HP-UX, Linux un Solaris operētājsistēmas.

Pirms salīdzināšanas kritēriju izvēles jāuzsver, ka kritērijiem jāaptver visi drošības skeneru izmantošanas aspekti: no informācijas vākšanas metodēm līdz izmaksām. Drošības skenera izmantošana sākas ar izvietošanas plānošanu un pašu izvietošanu. Tāpēc pirmā kritēriju grupa attiecas uz drošības skeneru arhitektūru, to komponentu mijiedarbību, uzstādīšanu un pārvaldību. Nākamajai kritēriju grupai - skenēšanai - ir jāaptver metodes, kuras salīdzinātie skeneri izmanto uzskaitīto darbību veikšanai, kā arī citi parametri, kas saistīti ar norādītajiem programmatūras produkta posmiem. Svarīgi kritēriji ietver arī skenēšanas rezultātus, jo īpaši to, kā tie tiek glabāti un kādus pārskatus, pamatojoties uz tiem, var izveidot. Nākamie kritēriji, uz kuriem jākoncentrējas, ir atjaunināšanas un atbalsta kritēriji, kas ļauj noskaidrot tādas problēmas kā atjaunināšanas metodes un metodes, līmenis tehniskā palīdzība, autorizētu apmācību pieejamība utt. Pēdējā grupā ietilpst viens, bet ļoti svarīgs kritērijs – izmaksas.

· Atbalstītās sistēmas;

· Draudzīgs interfeiss;

· Skenēšanas iespējas (profilu skenēšana);

· Spēja pielāgot profilus (cik elastīgs);

· Pakalpojumu un lietojumu identifikācija;

· ievainojamību identificēšana;

· Atskaišu ģenerēšana (formāti);

· Iespēja ģenerēt pielāgotu atskaiti (savu);

· Atjaunināšanas biežums;

· Tehniskā palīdzība.

1. tabula. Ievainojamības skeneru salīdzinājums
Skeneris		GFI LanGuard
Cena	RUB 131 400 gadā	1610 rubļi. par IP adresi. Jo vairāk IP adrešu, jo zemākas izmaksas		Izmaksas mainās atkarībā no IP adrešu skaita No 30 000 rubļu par 64 IP līdz 102 000 par 512 IP	Izmaksas mainās atkarībā no IP adrešu skaita (nominālvērtība - 6000 rubļu)
Atbalsts dzīvās sistēmas	pielāgota programmatūra	Windows, Mac OS, Linux	Cisco, Linux, UNIX, Windows	Unix, Linux, FreeBSD, OpenBSD, Net BSD, Solaris, Windows 95/98/ME/NT/2000/XP/.NET	Windows, AIX, HP-UX, Linux un Solaris
Draudzība Iejaukšanās sejas	Vienkāršs un intuitīvs interfeiss	Vienkāršs un intuitīvs interfeiss	Skaidrs interfeiss	Draudzīgs un skaidrs interfeiss	Skaidrs interfeiss
Iespējams ness filigrāni roving	Elastīga iestatījumu sistēma, skenēšanas veids un parametri atšķiras, iespējama anonīma skenēšana. Iespējamie varianti skenēšana: SYN skenēšana, FIN skenēšana – tīrs FIN pieprasījums; Xmas Tree - pieprasījumā iekļauj FIN, URG, PUSH; Null scan, FTP atlēcienu skenēšana, Ident skenēšana, UDP skenēšana u.c. Iespējams pieslēgt arī savas verifikācijas procedūras, kurām tiek nodrošināta speciāla skriptu valoda - NASL (Nessus Attack Scripting Language). Skeneris izmanto gan standarta rīkus, lai pārbaudītu un apkopotu informāciju par tīkla konfigurāciju un darbību, gan īpaši rīki, kas atdarina potenciālā iebrucēja darbības, lai iekļūtu sistēmās.	TCP/IP un UDP portu skenēšana Tiek pārbaudīta OS, virtuālās vides un aplikācijas, mobilās ierīces; tiek izmantotas datu bāzes OVAL un SANS Top 20.	Ievainojamības tiek atklātas, izmantojot iespiešanās testu, un tiek novērtēti riski un noteiktas to mazināšanas prioritātes, pamatojoties uz izmantošanas iespējamības novērtējumu. Ievainojamības (no Core Impact®, Metasploit®, Exploit-db), CVSS un citi faktori.	FTP, SSH, Telnet, SMTP, DNS, Finger, HTTP, POP3, IMAP, NetBios, NFS, NNTP, SNMP, Squid (SSS ir vienīgais skeneris pasaulē, kas pārbauda starpniekserverus, lai veiktu auditu - citi skeneri vienkārši nosaka ports), LDAP (vienīgais skeneris pasaulē, kas pārbauda LDAP serverus auditiem - citi skeneri vienkārši nosaka porta esamību), HTTPS, SSL, TCP/IP, UDP, reģistrs utt. Viegli izveidojiet savus pārskatus.	FTP, LDAP un SNMP pārbaudes; pārbaudīt e-pastus; RPC, NFS, NIS un DNS pārbaudes; pakalpojuma atteikuma uzbrukumu iespējamības pārbaude; pārbauda, ​​vai nav “paroles uzminēšanas” uzbrukumu (Brute Force); Web serveru un CGI skriptu, tīmekļa pārlūkprogrammu un X termināļu pārbaude; ugunsmūru un starpniekserveru pārbaude; attālās piekļuves pakalpojumu pārbaude; Windows OS failu sistēmas pārbaudes; Windows OS drošības apakšsistēmas un audita apakšsistēmas pārbaude; sistēmas reģistra un instalēto Windows OS atjauninājumu pārbaude; modemu klātbūtnes pārbaude tīklā un Trojas zirgu klātbūtne; pakalpojumu un dēmonu pārbaudes; konta pārbaudes.
Identificēt pakalpojumu un lietojumprogrammu izstrāde līgavaiņi	Kvalitatīvi ieviesta pakalpojumu un pieteikumu identificēšanas procedūra.	Neatļautas/ļaunprātīgas programmatūras un melnajā sarakstā iekļautu lietojumprogrammu ar augstu ievainojamības līmeni noteikšana.	OS, lietojumprogrammu, datu bāzu, tīmekļa lietojumprogrammu noteikšana.	Pārbauda katru portu, lai noteiktu, kuri pakalpojumi tos klausās. Atklāj OS, lietojumprogrammas, datu bāzes, tīmekļa lietojumprogrammas.	Identificē tīkla pakalpojumu, operētājsistēmu, maršrutētāju, pasta un tīmekļa serveru, ugunsmūru un lietojumprogrammatūras ievainojamības.
Pārskata ģenerēšana	Iespēja saglabāt atskaites nessus (xml), pdf, html, csv, nessus DB formātos	Iespēja ģenerēt atskaites, sākot no tīkla lietošanas tendenču pārskatiem vadībai līdz detalizētiem ziņojumiem tehniskajam personālam. Ir iespējams izveidot pārskatus par atbilstību standartiem: Veselības apdrošināšanas pārnesamības un atbildības likums (HIPAA), Sabiedrisko pakalpojumu tīkls - Savienojuma kodekss (PSN CoCo), Sarbanes - Oxley Act (SOX), Gramm - Leach - Bliley Act (GLB/). GLBA), kas pazīstams arī kā maksājumu karšu nozares digitālās drošības standarts (PCI-DSS).	Ir atskaišu ģenerēšanas rīki, kas ir viena no plašākajām ziņošanas iespējām.	Tam ir iespēja saglabāt atskaiti gan html formātā, gan xml, pdf, rtf, chm formātos. Pats atskaites izveides process notiek, izvēloties attēlojamo informāciju. Iespēja izveidot pārskatu ir pieejama tikai pilnajā versijā.	Jaudīga atskaišu ģenerēšanas apakšsistēma, kas ļauj viegli izveidot dažāda veida atskaites un kārtot tās pēc pazīmēm.
Iespējams ražošanas jauda bezmaksas atskaite	Jā, tikai pilnajā versijā.			Jā, tikai pilnajā versijā.
Atjaunināšanas biežums lenija	Regulāri atjauninājumi, bet izmēģinājuma versijas lietotāji nesaņem jaunākos atjauninājumus.	Bieža atjaunināšana	Bieža atjaunināšana	Regulāri atjauninājumi	Regulāri atjauninājumi
Techni tehniskā palīdzība	Klāt		Klāt	Klāt, pieejams krievu valodā.	Klāt

Darbā tika pārbaudīti 5 ievainojamības skeneri, kas tika salīdzināti pēc izvēlētajiem kritērijiem.

Efektivitātes ziņā par līderi tika izvēlēts Nessus skeneris, jo tam ir vispilnīgākais iespēju klāsts datorsistēmas drošības analīzei. Tomēr tas ir salīdzinoši dārgs salīdzinājumā ar citiem skeneriem: ja jums ir maz IP adrešu, prātīgāk ir izvēlēties GFI LanGuard vai SSS.

Bibliogrāfija:

1. Dolgin A.A., Khorev P.B., Ievainojamības skenera izstrāde datorsistēmas pamatojoties uz aizsargātām Windows OS versijām, Starptautiskās zinātniskās un tehniskās konferences materiāli " Informācijas nesēji un tehnoloģijas", 2005.
2. Informācijas portāls par drošību [Elektroniskais resurss] - Piekļuves režīms. - URL: http://www.securitylab.ru/ (piekļuves datums 27.03.15.).
3. Tiešsaistes žurnāls Softkey.info [Elektroniskais resurss] - Piekļuves režīms. - URL: http://www.softkey.info/ (piekļuves datums 27.03.15.).
4. Oficiālā "GFI Software" vietne. [Elektroniskais resurss] — piekļuves režīms. - URL: http://www.gfi.ru/ (piekļuves datums 27.03.15.).
5. Oficiālā vietne "Beyond trust". [Elektroniskais resurss] — piekļuves režīms. - URL: http://www.beyondtrust.com/Products/RetinaNetworkSecurityScanner/ (skatīts 27.03.15.).
6. IBM oficiālā vietne [elektroniskais resurss] — piekļuves režīms. - URL: http://www.ibm.com/ (aplūkots 27.03.15.).
7. Oficiālā vietne Tenable Network Security [Elektroniskais resurss] — piekļuves režīms. - URL: http://www.tenable.com/products/nessus-vulnerability-scanner/ (skatīts 27.03.15.).
8. Oficiālā vietne "drošības laboratorija". [Elektroniskais resurss] — piekļuves režīms. - URL: http://www.safety-lab.com/ (aplūkots 27.03.15.).
9. IBM risinājumi informācijas drošībai [Elektroniskais resurss] - Piekļuves režīms. - URL: http://www.ibm.com/ru/services/iss/pdf/ISS_2009_DB_s10.pdf (skatīts 27.03.15.).
10. Khorev P.B., Metodes un līdzekļi informācijas aizsardzībai datorsistēmās, M., Izdevniecības centrs "Akadēmija", 2005.

Kā redzat, to ir bijis daudz, un tie visi ir ļoti bīstami tām pakļautajām sistēmām. Ir svarīgi ne tikai laikus atjaunināt sistēmu, lai pasargātu sevi no jaunām ievainojamībām, bet arī pārliecināties, ka sistēmā nav ievainojamību, kas jau sen ir novērstas un kuras hakeri var izmantot.

Šeit palīgā nāk Linux ievainojamības skeneri. Neaizsargātības analīzes rīki ir viena no svarīgākajām katra uzņēmuma drošības sistēmas sastāvdaļām. Lietojumprogrammu un sistēmu veco ievainojamību pārbaude ir obligāta prakse. Šajā rakstā mēs apskatīsim labākie skeneri ievainojamības, ar atvērtu avota kods, ko varat izmantot, lai atklātu ievainojamības savās sistēmās un programmās. Visi no tiem ir pilnīgi bez maksas un var tikt izmantoti kā parastiem lietotājiem, un korporatīvajā sektorā.

OpenVAS jeb Open Vulnerability Assessment System ir pilnīga platforma ievainojamību meklēšanai, kas tiek izplatīta kā atvērtā koda versija. Programma ir balstīta uz Nessus skenera pirmkodu. Sākotnēji šis skeneris tika izplatīts kā atvērtā koda versija, bet pēc tam izstrādātāji nolēma kodu aizvērt, un pēc tam 2005. gadā tika izveidots OpenVAS, pamatojoties uz Nessus atvērto versiju.

Programma sastāv no servera un klienta daļas. Serveris, kas veic galveno skenēšanas sistēmu darbu, darbojas tikai operētājsistēmā Linux, un arī klientu programmas atbalsta Windows, serverim var piekļūt, izmantojot tīmekļa saskarni.

Skenera kodols satur vairāk nekā 36 000 dažādu ievainojamības pārbaužu, un tas tiek atjaunināts katru dienu, pievienojot jaunas, nesen atklātas. Programma var atklāt ievainojamības darbības pakalpojumos, kā arī meklēt nepareizus iestatījumus, piemēram, autentifikācijas trūkumu vai ļoti vājas paroles.

2. Nexpose kopienas izdevums

Šis ir vēl viens atvērtā pirmkoda Linux ievainojamības skenēšanas rīks, ko izstrādājis Rapid7, tas pats uzņēmums, kas izlaida Metasploit. Skeneris var atklāt līdz pat 68 000 zināmu ievainojamību, kā arī veikt vairāk nekā 160 000 tīkla skenēšanu.

Comunity versija ir pilnīgi bezmaksas, taču tajā ir ierobežots vienlaikus skenēt līdz 32 IP adresēm un tikai vienam lietotājam. Arī licence katru gadu ir jāatjauno. Nav tīmekļa lietojumprogrammu skenēšanas, taču tā atbalsta automātisku ievainojamību datu bāzes atjaunināšanu un informācijas saņemšanu par ievainojamībām no Microsoft Patch.

Programmu var instalēt ne tikai Linux, bet arī Windows, un pārvaldība tiek veikta, izmantojot tīmekļa saskarni. Izmantojot to, jūs varat iestatīt skenēšanas parametrus, IP adreses un citu nepieciešamo informāciju.

Kad skenēšana būs pabeigta, jūs redzēsiet ievainojamību sarakstu, kā arī informāciju par instalēto programmatūru un operētājsistēmu serverī. Varat arī izveidot un eksportēt atskaites.

3. Burp Suite bezmaksas izdevums

Burp Suite ir tīmekļa ievainojamības skeneris, kas rakstīts Java. Programma sastāv no starpniekservera, zirnekļa, rīka pieprasījumu ģenerēšanai un stresa testu veikšanai.

AR izmantojot Burp varat veikt tīmekļa lietojumprogrammu testēšanu. Piemēram, izmantojot starpniekserveri, varat pārtvert un apskatīt garāmbraucošo trafiku, kā arī vajadzības gadījumā to modificēt. Tas ļaus jums simulēt daudzas situācijas. Zirneklis palīdzēs atrast tīmekļa ievainojamības, un vaicājumu ģenerēšanas rīks palīdzēs atrast tīmekļa servera spēku.

4. Arachni

Arachni ir pilna funkcionalitāte tīmekļa lietojumprogrammu testēšanas sistēma, kas rakstīta Ruby valodā un ir atvērtā koda. Tas ļauj novērtēt tīmekļa lietojumprogrammu un vietņu drošību, veicot dažādus iespiešanās testus.

Programma atbalsta skenēšanu ar autentifikāciju, galvenes pielāgošanu, atbalstu Aser-Agent viltošanai, 404 noteikšanas atbalstu. Turklāt programmai ir tīmekļa saskarne un komandrindas interfeiss, skenēšanu var apturēt un pēc tam atsākt un kopumā viss darbojas ļoti ātri.

5. OWASP Zed Attack starpniekserveris (ZAP)

OWASP Zed Attack Proxy ir vēl viens visaptverošs rīks, lai atrastu ievainojamības tīmekļa lietojumprogrammās. Tiek atbalstītas visas šāda veida programmu standarta funkcijas. Varat skenēt portus, pārbaudīt vietnes struktūru, meklēt daudzas zināmas ievainojamības un pārbaudīt, vai atkārtoti pieprasījumi vai nepareizi dati tiek apstrādāti pareizi.

Programma var darboties, izmantojot https, kā arī atbalsta dažādus starpniekserverus. Tā kā programma ir rakstīta Java valodā, to ir ļoti viegli instalēt un lietot. Papildus pamata funkcijām ir liels skaits spraudņu, kas var ievērojami palielināt funkcionalitāti.

6. Klēra

Clair ir rīks Linux ievainojamību atrašanai konteineros. Programma satur ievainojamību sarakstu, kas var būt bīstamas konteineriem, un brīdina lietotāju, ja jūsu sistēmā ir atklātas šādas ievainojamības. Programma var arī nosūtīt paziņojumus, ja parādās jaunas ievainojamības, kas var padarīt konteinerus nedrošus.

Katrs konteiners tiek pārbaudīts vienu reizi, un nav nepieciešams to palaist, lai to pārbaudītu. Programma var izgūt visus nepieciešamos datus no atspējota konteinera. Šie dati tiek glabāti kešatmiņā, lai nākotnē varētu informēt par ievainojamībām.

7.Powerfuzzer

Powerfuzzer ir pilna funkcionalitāte, automatizēta un ļoti pielāgojama tīmekļa rāpuļprogramma, kas ļauj pārbaudīt, kā tīmekļa lietojumprogramma reaģē uz nederīgiem datiem un atkārtotiem pieprasījumiem. Šis rīks atbalsta tikai HTTP protokolu un var atklāt ievainojamības, piemēram, XSS, SQL injekcijas, LDAP, CRLF un XPATH uzbrukumus. Tā atbalsta arī 500 kļūdu izsekošanu, kas var norādīt uz nepareizu konfigurāciju vai pat briesmām, piemēram, bufera pārpildīšanu.

8. Nmap

Nmap nav tieši Linux ievainojamības skeneris. Šī programma ļauj skenēt tīklu un noskaidrot, kuri mezgli tam ir pievienoti, kā arī noteikt, kādi pakalpojumi tajos darbojas. Tas nesniedz visaptverošu informāciju par ievainojamībām, taču jūs varat uzminēt, kura no tām. programmatūra var būt neaizsargāti, mēģiniet uzlauzt vājas paroles. Ir iespējams arī palaist īpašus skriptus, kas ļauj identificēt noteiktas programmatūras ievainojamības.

secinājumus

Šajā rakstā mēs esam apskatījuši labākos Linux ievainojamības skenerus, kas ļauj jums kontrolēt savu sistēmu un lietojumprogrammas. pilnīga drošība. Mēs apskatījām programmas, kas ļauj skenēt pašu operētājsistēmu vai tīmekļa lietojumprogrammas un vietnes.

Visbeidzot, varat noskatīties video par to, kas ir ievainojamības skeneri un kāpēc tie ir nepieciešami:

Tīkla tārpu epidēmijas problēma ir aktuāla jebkuram lokālajam tīklam. Agrāk vai vēlāk var rasties situācija, kad tīkla vai e-pasta tārps iekļūst LAN un netiek atklāts ar izmantoto antivīrusu. Tīkla vīruss izplatās pa LAN, izmantojot operētājsistēmas ievainojamības, kas nebija aizvērtas inficēšanās brīdī, vai ar rakstāmām ievainojamībām. kopīgi resursi. Pasta vīruss, kā norāda nosaukums, tiek izplatīts pa e-pastu, ja to nebloķē klienta antivīruss un antivīruss. pasta serveris. Turklāt epidēmija LAN var tikt organizēta no iekšpuses iekšējās personas darbības rezultātā. Šajā rakstā mēs aplūkosim praktiskās metodes LAN datoru darbības analīzei, izmantojot dažādus rīkus, jo īpaši izmantojot autora AVZ utilītu.

Problēmas formulēšana

Ja tīklā tiek konstatēta epidēmija vai kāda neparasta darbība, administratoram ātri jāatrisina vismaz trīs uzdevumi:

• atklāt inficētos datorus tīklā;
• atrast ļaunprātīgas programmatūras paraugus, ko nosūtīt uz pretvīrusu laboratoriju, un izstrādāt pretdarbības stratēģiju;
• veikt pasākumus, lai bloķētu vīrusa izplatīšanos LAN un iznīcinātu to inficētajos datoros.

Iekšējās darbības gadījumā galvenie analīzes posmi ir identiski un visbiežāk ir saistīti ar nepieciešamību atklāt trešās puses programmatūru, ko LAN datoros instalējis iekšējais lietotājs. Šādas programmatūras piemēri ir attālās administrēšanas utilītas, taustiņu bloķētāji un dažādas Trojas grāmatzīmes.

Ļaujiet mums sīkāk apsvērt katra uzdevuma risinājumu.

Meklēt inficētos datorus

Lai tīklā meklētu inficētus datorus, varat izmantot vismaz trīs metodes:

• automātiska attālā datora analīze - informācijas iegūšana par palaistiem procesiem, ielādētām bibliotēkām un draiveriem, raksturīgu modeļu meklēšana - piemēram, procesi vai faili ar dotie vārdi;
• Datora trafika analīze, izmantojot sniffer - šī metodeļoti efektīva surogātpasta, e-pasta un tīkla tārpu noķeršanā, tomēr galvenās grūtības sniffer lietošanā rada fakts, ka modernais LAN ir veidots uz slēdžu bāzes un līdz ar to administrators nevar uzraudzīt viss tīkls. Problēmu var atrisināt divos veidos: maršrutētājā palaižot sniffer (kas ļauj uzraudzīt datora datu apmaiņu ar internetu) un izmantojot slēdžu uzraudzības funkcijas (daudzas mūsdienīgi slēdžiļauj piešķirt uzraudzības portu, kuram tiek dublēta viena vai vairāku administratora norādīto slēdžu portu trafiks);
• tīkla slodzes izpēte - šajā gadījumā ir ļoti ērti izmantot viedos slēdžus, kas ļauj ne tikai novērtēt slodzi, bet arī attālināti atslēgt administratora norādītos portus. Šī darbība ir ievērojami vienkāršota, ja administratoram ir tīkla karte, kurā ir informācija par to, kuri datori ir savienoti ar atbilstošajiem slēdža portiem un kur tie atrodas;
• meduspodu izmantošana - lokālajā tīklā ļoti ieteicams izveidot vairākus meduspodus, kas ļaus administratoram laikus atklāt epidēmiju.

Automātiska datoru analīze tīklā

Automātisko datora analīzi var samazināt līdz trim galvenajiem posmiem:

• pilnīga datora skenēšanas veikšana - procesu palaišana, ielādētas bibliotēkas un draiveri, automātiskā palaišana;
• operatīvās izpētes veikšana - piemēram, raksturīgu procesu vai failu meklēšana;
• objektu karantīna pēc noteiktiem kritērijiem.

Visas iepriekš minētās problēmas var atrisināt, izmantojot autora utilītu AVZ, kas ir paredzēts palaišanai no servera tīkla mapes un atbalsta skriptu valodu automātiskai datora pārbaudei. Lai palaistu AVZ lietotāju datoros, jums ir:

1. Novietojiet AVZ servera tīkla mapē, kas ir atvērta lasīšanai.
2. Šajā mapē izveidojiet LOG un Qurantine apakšdirektorijus un ļaujiet lietotājiem rakstīt tajos.
3. Palaidiet AVZ LAN datoros, izmantojot rexec utilītu vai pieteikšanās skriptu.

AVZ palaišana 3. darbībā jāveic ar šādiem parametriem:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

Šajā gadījumā parametrs Priority=-1 pazemina AVZ procesa prioritāti, parametri nw=Y un nq=Y pārslēdz karantīnu uz “tīkla palaišanas” režīmu (šajā gadījumā karantīnas mapē tiek izveidots apakšdirektorijs katram datoram, kura nosaukums atbilst datora tīkla nosaukumam), HiddenMode=2 uzdod liegt lietotājam piekļuvi GUI un AVZ vadīklām, un, visbeidzot, vissvarīgākais Script parametrs norāda skripta pilnu nosaukumu ar komandas, kuras AVZ izpildīs lietotāja datorā. AVZ skriptu valoda ir diezgan vienkārši lietojama, un tā ir vērsta tikai uz datoru pārbaudes un ārstēšanas problēmu risināšanu. Lai vienkāršotu skriptu rakstīšanas procesu, var izmantot specializētu skriptu redaktoru, kurā ir tiešsaistes uzvedne, vednis standarta skriptu izveidei un rīki rakstītā skripta pareizības pārbaudei, to nepalaižot (1. att.).

Rīsi. 1. AVZ skriptu redaktors

Apskatīsim trīs tipiskus skriptus, kas var būt noderīgi cīņā pret epidēmiju. Pirmkārt, mums ir nepieciešams datora izpētes skripts. Skripta uzdevums ir pārbaudīt sistēmu un izveidot protokolu ar rezultātiem dotajā tīkla mapē. Skripts izskatās šādi:

AktivizētWatchDog(60 * 10);

// Sāciet skenēšanu un analīzi

// Sistēmas izpēte

ExecuteSysCheck (GetAVZDirectory+

‘\LOG\’+GetComputerName+’_log.htm’);

//Izslēgt AVZ

Šī skripta izpildes laikā mapē LOG tiks izveidoti HTML faili ar tīkla datoru izpētes rezultātiem (pieņemot, ka tas ir izveidots servera AVZ direktorijā un ir pieejams lietotājiem rakstīšanai), un lai nodrošinātu unikalitāte, pārbaudāmā datora nosaukums ir iekļauts protokola nosaukumā. Skripta sākumā ir komanda, lai iespējotu sargsuņa taimeri, kas pēc 10 minūtēm piespiedu kārtā pārtrauks AVZ procesu, ja skripta izpildes laikā rodas kļūmes.

AVZ protokols ir ērts manuālai izpētei, taču tas ir maz noderīgs automatizētai analīzei. Turklāt administrators bieži zina ļaunprātīgas programmatūras faila nosaukumu, un viņam tikai jāpārbauda šī faila esamība vai neesamība, un, ja tāds ir, tas jāievieto karantīnā analīzei. Šajā gadījumā varat izmantot šādu skriptu:

// Iespējot sargsuņa taimeri 10 minūtēm

AktivizētWatchDog(60 * 10);

// Meklēt ļaunprātīgu programmatūru pēc nosaukuma

QuarantineFile('%WinDir%\smss.exe', 'Aizdomīgs par LdPinch.gen');

QuarantineFile ('%WinDir%\csrss.exe', 'Aizdomas par LdPinch.gen');

//Izslēgt AVZ

Šis skripts izmanto funkciju QuarantineFile, lai mēģinātu ievietot karantīnā norādītos failus. Administrators var analizēt tikai karantīnas saturu (mape Quarantine\network_name_PC\quarantine_date\), lai noteiktu karantīnā esošo failu klātbūtni. Lūdzu, ņemiet vērā, ka funkcija QuarantineFile automātiski bloķē to failu karantīnu, kas identificēti drošā AVZ datu bāzē vai Microsoft digitālā paraksta datubāzē. Priekš praktisks pielietojumsšo skriptu var uzlabot - organizējiet failu nosaukumu ielādi no ārēja teksta faila, pārbaudiet atrastos failus ar AVZ datu bāzēm un ģenerējiet teksta protokolu ar darba rezultātiem:

// Meklēt failu ar norādīto nosaukumu

funkcija CheckByName(Fname: virkne) : Būla;

Rezultāts:= FileExists(FName) ;

ja rezultāts, tad sāciet

case CheckFile(FName) of

1: S:= ‘, piekļuve failam ir bloķēta’;

1: S:= ‘, konstatēts kā ļaunprātīga programmatūra ('+GetLastCheckTxt+')';

2: S:= ‘, faila skenerim ir aizdomas (‘+GetLastCheckTxt+’)’;

3: izeja; // Droši faili tiek ignorēti

AddToLog('Failam ‘+NormalFileName(FName)+’ ir aizdomīgs nosaukums’+S);

//Pievienojiet norādīto failu karantīnai

QuarantineFile(FName,'aizdomīgs fails'+S);

SuspNames: TStringList; // Aizdomīgo failu nosaukumu saraksts

// Failu pārbaude ar atjaunināto datu bāzi

ja FileExists(GetAVZDirectory + ‘faili.db’), tad sāciet

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('faili.db');

AddToLog('Ielādēta nosaukumu datu bāze - ierakstu skaits = '+inttostr(SuspNames.Count));

// Meklēšanas cilpa

i:= 0 līdz SuspNames.Count — 1 darīt

CheckByName(SuspNames[i]);

AddToLog('Kļūda, ielādējot failu nosaukumu sarakstu');

SaveLog(GetAVZDirectory+’\LOG\’+

GetComputerName+'_files.txt');

Lai šis skripts darbotos, mapē AVZ jāizveido katalogi Karantīna un LOG, kas ir pieejami lietotājiem rakstīšanai, kā arī teksta fails files.db — katrā šī faila rindā būs aizdomīgā faila nosaukums. Failu nosaukumos var būt ietverti makro, no kuriem visnoderīgākie ir %WinDir% (ceļš uz Windows mape) un %SystemRoot% (ceļš uz mapi System32). Vēl viens analīzes virziens varētu būt lietotāju datoros darbojošos procesu saraksta automātiska pārbaude. Informācija par palaistiem procesiem ir sistēmas izpētes protokolā, bet automātiskai analīzei ērtāk izmantot šādu skripta fragmentu:

procedūra ScanProcess;

S:= ''; S1:= '';

//Procesu saraksta atjaunināšana

RefreshProcessList;

AddToLog(’Procesu skaits = ‘+IntToStr(GetProcessCount));

// Saņemtā saraksta analīzes cikls

i:= 0 līdz GetProcessCount — 1 jāsāk

S1:= S1 + ‘,’ + ExtractFileName(GetProcessName(i));

// Meklēt procesu pēc nosaukuma

if pos('trojan.exe', LowerCase(GetProcessName(i))) > 0, tad

S:= S + GetProcessName(i)+’,’;

ja S<>''tad

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

Procesu izpēte šajā skriptā tiek veikta kā atsevišķa ScanProcess procedūra, tāpēc to ir viegli ievietot savā skriptā. ScanProcess procedūra veido divus procesu sarakstus: pilns saraksts procesi (turpmākai analīzei) un to procesu saraksts, kas no administratora viedokļa tiek uzskatīti par bīstamiem. Šajā gadījumā demonstrācijas nolūkos process ar nosaukumu “trojan.exe” tiek uzskatīts par bīstamu. Informācija par bīstamiem procesiem tiek pievienota teksta failam _alarm.txt, dati par visiem procesiem tiek pievienoti failam _all_process.txt. Ir viegli saprast, ka varat sarežģīt skriptu, pievienojot to, piemēram, pārbaudot procesa failus ar drošu failu datu bāzi vai pārbaudot nosaukumus izpildāmos failus procesiem uz ārēja pamata. Līdzīga procedūra tiek izmantota Smolenskenergo izmantotajos AVZ skriptos: administrators periodiski pēta savākto informāciju un modificē skriptu, pievienojot tam ar drošības politiku aizliegto programmu procesu nosaukumus, piemēram, ICQ un MailRu.Agent, kas ļauj lai ātri pārbaudītu aizliegtas programmatūras klātbūtni pētāmajos datoros. Vēl viens procesu saraksta izmantošanas veids ir atrast datorus, kuriem trūkst vajadzīgā procesa, piemēram, pretvīrusu.

Noslēgumā apskatīsim pēdējo no noderīgajiem analīzes skriptiem — skriptu visu failu automātiskai karantīnai, kurus neatpazīst drošā AVZ datu bāze un Microsoft digitālā paraksta datu bāze:

// Veikt autokarantīnu

ExecuteAutoQuarantine;

Automātiskā karantīna pārbauda darbojošos procesus un ielādētās bibliotēkas, pakalpojumus un draiverus, aptuveni 45 automātiskās palaišanas metodes, pārlūkprogrammas un pārlūka paplašinājumu moduļus, SPI/LSP apdarinātājus, plānotāja darbus, drukas sistēmu apdarinātājus utt. Karantīnas īpatnība ir tāda, ka tai tiek pievienoti faili ar atkārtojuma kontroli, tāpēc autokarantīnas funkciju var izsaukt atkārtoti.

Automātiskās karantīnas priekšrocība ir tāda, ka ar tās palīdzību administrators var ātri savākt potenciāli aizdomīgus failus no visiem tīklā esošajiem datoriem pārbaudei. Vienkāršākais (bet praksē ļoti efektīvs) failu izpētes veids var būt iegūtās karantīnas pārbaude ar vairākiem populāriem antivīrusiem maksimālā heiristiskā režīmā. Jāpiebilst, ka vienlaicīga automātiskās karantīnas palaišana vairākos simtos datoru var radīt lielu tīkla un failu servera slodzi.

Satiksmes izpēte

Satiksmes izpēti var veikt trīs veidos:

• manuāli, izmantojot sniffers;
• pusautomātiskā režīmā - šajā gadījumā sniffer apkopo informāciju, un pēc tam tā protokoli tiek apstrādāti vai nu manuāli, vai ar kādu programmatūru;
• automātiski, izmantojot ielaušanās noteikšanas sistēmas (IDS), piemēram, Snort (http://www.snort.org/) vai to programmatūras vai aparatūras analogus. Vienkāršākajā gadījumā IDS sastāv no sniffer un sistēmas, kas analizē snifera savākto informāciju.

Ielaušanās noteikšanas sistēma ir optimāls rīks, jo tas ļauj izveidot noteikumu kopas, lai atklātu tīkla darbības anomālijas. Otra tā priekšrocība ir šāda: lielākā daļa mūsdienu IDS ļauj izvietot trafika uzraudzības aģentus vairākos tīkla mezglos - aģenti apkopo informāciju un pārraida to. Sniffer izmantošanas gadījumā ļoti ērti ir izmantot konsoli UNIX sniffer tcpdump. Piemēram, lai pārraudzītu darbību 25. portā ( SMTP protokols) tikai palaist sniffer ar komandrinda veids:

tcpdump -i em0 -l tcp ports 25 > smtp_log.txt

Šajā gadījumā paketes tiek uztvertas, izmantojot em0 saskarni; informācija par uzņemtajām paketēm tiks saglabāta failā smtp_log.txt. Protokolu ir samērā viegli analizēt manuāli; šajā piemērā darbību analīze 25. portā ļauj identificēt datorus ar aktīviem surogātpasta robotiem.

Honeypot pielietojums

Var izmantot kā slazdu (Honeypot) novecojis dators, kuras veiktspēja neļauj to izmantot, lai atrisinātu ražošanas uzdevumi. Piemēram, Pentium Pro ar 64 MB tiek veiksmīgi izmantots kā slazds autora tīklā brīvpiekļuves atmiņa. Šajā datorā ir jāinstalē visizplatītākā LAN operētājsistēma un jāizvēlas viena no stratēģijām:

• Instalējiet operētājsistēmu bez atjaunināšanas pakotnēm - tas būs rādītājs aktīva tīkla tārpa parādīšanās tīklā, izmantojot kādu no zināmajām šīs operētājsistēmas ievainojamībām;
• instalējiet operētājsistēmu ar atjauninājumiem, kas ir instalēti citos tīkla datoros - Honeypot būs analogs jebkurai darbstacijai.

Katrai stratēģijai ir gan savi plusi, gan mīnusi; Autors galvenokārt izmanto iespēju bez atjauninājumiem. Pēc Honeypot izveidošanas jums vajadzētu izveidot diska attēlu ātra atveseļošanās sistēma pēc tam, kad to ir sabojājusi ļaunprātīga programmatūra. Kā alternatīvu diska attēlam varat izmantot izmaiņu atcelšanas sistēmas, piemēram, ShadowUser un tās analogus. Pēc Honeypot izveidošanas jāņem vērā, ka vairāki tīkla tārpi meklē inficētos datorus, skenējot IP diapazonu, kas aprēķināts no inficētā datora IP adreses (izplatītas tipiskās stratēģijas ir X.X.X.*, X.X.X+1.*, X.X.X-1.*), - tāpēc ideālā gadījumā katrā apakštīklā ir jābūt Honeypot. Kā papildus sagatavošanas elementi noteikti jāatver Honeypot sistēmā pieeja vairākām mapēm un šajās mapēs jāieliek vairāki dažādu formātu paraugfaili, minimālais komplekts ir EXE, JPG, MP3.

Protams, izveidojot Honeypot, administratoram ir jāuzrauga tā darbība un jāreaģē uz jebkurām anomālijām šo datoru. Auditorus var izmantot kā līdzekli izmaiņu reģistrēšanai; sniffer var izmantot, lai reģistrētu tīkla aktivitātes. Svarīgs punkts ir tas, ka lielākā daļa sniffers nodrošina iespēju konfigurēt brīdinājuma nosūtīšanu administratoram, ja tiek konstatēta noteikta tīkla darbība. Piemēram, CommView sniffer noteikums ietver "formulas" norādīšanu, kas apraksta tīkla paketi, vai kvantitatīvo kritēriju norādīšanu (vairāk nekā noteikts pakešu vai baitu skaits sekundē, pakešu nosūtīšana uz neidentificētām IP vai MAC adresēm) - att. 2.

Rīsi. 2. Izveidojiet un konfigurējiet tīkla darbības brīdinājumu

Brīdinājumam visērtāk ir izmantot e-pasta ziņas, kas nosūtītas uz Pastkaste administrators - šajā gadījumā jūs varat saņemt tūlītējus brīdinājumus no visiem tīkla slazdiem. Turklāt, ja sniffer ļauj izveidot vairākus brīdinājumus, ir lietderīgi atšķirt tīkla darbību, izceļot darbu ar pa e-pastu, FTP/HTTP, TFTP, Telnet, MS Net, palielināta trafika par vairāk nekā 20-30 paketēm sekundē jebkuram protokolam (3. att.).

Rīsi. 3. Paziņojuma vēstule nosūtīta
ja tiek atklātas paketes, kas atbilst norādītajiem kritērijiem

Organizējot slazdu, ieteicams tajā ievietot vairākus tīklā izmantotos ievainojamos tīkla pakalpojumus vai instalēt tiem emulatoru. Vienkāršākā (un bezmaksas) ir patentētā APS utilīta, kas darbojas bez instalēšanas. APS darbības princips ir saistīts ar daudzu TCP un UDP portu noklausīšanos, kas aprakstīti tā datu bāzē, un savienojuma brīdī izdod iepriekš noteiktu vai nejauši ģenerētu atbildi (4. att.).

Rīsi. 4. APS utilīta galvenais logs

Attēlā parādīts ekrānuzņēmums, kas uzņemts reālas APS aktivizācijas laikā Smolenskenergo LAN. Kā redzams attēlā, tika reģistrēts mēģinājums pieslēgt vienu no klienta datoriem 21. portā. Protokolu analīze parādīja, ka mēģinājumi ir periodiski un tiek reģistrēti ar vairākiem slazdiem tīklā, kas ļauj secināt, ka tīkls tiek skenēts, lai meklētu un uzlauztu FTP serverus, uzminot paroles. APS glabā žurnālus un var nosūtīt ziņojumus administratoriem ar ziņojumiem par reģistrētajiem savienojumiem uz uzraudzītajiem portiem, kas ir ērti, lai ātri noteiktu tīkla skenēšanu.

Veidojot Honeypot, ir noderīgi arī iepazīties ar tiešsaistes resursiem par šo tēmu, jo īpaši http://www.honeynet.org/. Šīs vietnes sadaļā Rīki (http://www.honeynet.org/tools/index.html) varat atrast vairākus rīkus uzbrukumu reģistrēšanai un analīzei.

Attālā ļaunprātīgas programmatūras noņemšana

Ideālā gadījumā pēc paraugu atklāšanas ļaunprogrammatūra administrators tos nosūta uz pretvīrusu laboratoriju, kur tos operatīvi izpēta analītiķi un attiecīgie paraksti tiek ievadīti antivīrusu datubāzē. Šie paraksti tiek automātiski atjaunināti lietotāja datorā, un antivīruss automātiski noņem ļaunprātīgu programmatūru bez administratora iejaukšanās. Tomēr šī ķēde ne vienmēr darbojas, kā paredzēts; jo īpaši ir iespējami šādi neveiksmes iemesli:

• vairāku no tīkla administratora neatkarīgu iemeslu dēļ attēli var nenonākt pretvīrusu laboratorijā;
• nepietiekama pretvīrusu laboratorijas efektivitāte - ideālā gadījumā paraugu izpētei un ievadīšanai datu bāzē nepieciešamas ne vairāk kā 1-2 stundas, kas nozīmē, ka atjauninātās parakstu datu bāzes var iegūt darba dienas laikā. Tomēr ne visas pretvīrusu laboratorijas strādā tik ātri, un atjauninājumus var gaidīt vairākas dienas (retos gadījumos pat nedēļas);
• augsta antivīrusa veiktspēja - vairākas kaitīgās programmas pēc aktivizēšanas iznīcina antivīrusus vai citādi traucē to darbību. Klasiskie piemēri ietver ierakstu veikšanu saimniekdatora failā, kas bloķē normāls darbs pretvīrusu automātiskās atjaunināšanas sistēmas, procesu, pakalpojumu un antivīrusu draiveru dzēšana, to iestatījumu bojājumi utt.

Tāpēc iepriekš minētajās situācijās ar ļaunprātīgu programmatūru būs jātiek galā manuāli. Vairumā gadījumu tas nav grūti, jo datorpārbaudes rezultāti atklāj inficētos datorus, kā arī ļaunprogrammatūras failu pilnus nosaukumus. Atliek tikai tos noņemt attālināti. Ja ļaunprātīgā programma nav aizsargāta pret dzēšanu, to var iznīcināt, izmantojot šādu AVZ skriptu:

// Faila dzēšana

DeleteFile('faila nosaukums');

ExecuteSysClean;

Šis skripts izdzēš vienu norādīto failu (vai vairākus failus, jo skriptā var būt neierobežots skaits komandu DeleteFile) un pēc tam automātiski iztīra reģistru. Sarežģītākā gadījumā ļaunprogrammatūra var pasargāt sevi no dzēšanas (piemēram, no jauna izveidojot tās failus un reģistra atslēgas) vai maskēties, izmantojot rootkit tehnoloģiju. Šajā gadījumā skripts kļūst sarežģītāks un izskatīsies šādi:

// Anti-rootkit

SearchRootkit(true, true);

// Kontrolējiet AVZGuard

SetAVZGuardStatus(true);

// Faila dzēšana

DeleteFile('faila nosaukums');

// Iespējot BootCleaner reģistrēšanu

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// Importējiet BootCleaner uzdevumā skripta izdzēsto failu sarakstu

BC_ImportDeletedList;

// Aktivizējiet BootCleaner

// Heiristiskās sistēmas tīrīšana

ExecuteSysClean;

Reboot Windows (true);

Šis skripts ietver aktīvu pretdarbību sakņu komplektiem, AVZGuard sistēmas (tas ir ļaunprātīgas programmatūras darbības bloķētājs) un BootCleaner sistēmas izmantošanu. BootCleaner ir draiveris, kas atsāknēšanas laikā sistēmas sāknēšanas agrīnā stadijā noņem norādītos objektus no KernelMode. Prakse rāda, ka šāds skripts spēj iznīcināt lielāko daļu esošās ļaunprogrammatūras. Izņēmums ir ļaunprogrammatūra, kas maina savu izpildāmo failu nosaukumus katrā atsāknēšanas reizē — šajā gadījumā sistēmas skenēšanas laikā atklātos failus var pārdēvēt. Šādā gadījumā jums būs manuāli jādezinficē dators vai jāizveido savi ļaunprātīgas programmatūras paraksti (skripta piemērs, kas ievieš parakstu meklēšanu, ir aprakstīts AVZ palīdzībā).

Secinājums

Šajā rakstā mēs apskatījām dažus praktiskus paņēmienus LAN epidēmijas apkarošanai manuāli, neizmantojot pretvīrusu produktus. Lielāko daļu aprakstīto paņēmienu var izmantot arī ārvalstu datoru un Trojas grāmatzīmju meklēšanai lietotāju datoros. Ja jums ir grūtības atrast ļaunprātīgu programmatūru vai izveidot ārstēšanas skriptus, administrators var izmantot foruma http://virusinfo.info sadaļu “Palīdzība” vai foruma http://forum.kaspersky.com sadaļu “Cīņa pret vīrusiem”. /index.php?showforum= 18. Protokolu izpēte un palīdzība ārstēšanā tiek veikta abos forumos bez maksas, datoru analīze tiek veikta saskaņā ar AVZ protokoliem, un vairumā gadījumu ārstēšana ir saistīta ar AVZ skripta izpildi inficētos datoros, ko apkopojuši pieredzējuši speciālisti no šiem forumiem. .

Salīdzinošā analīze drošības skeneri. 1. daļa: iespiešanās pārbaude (īss kopsavilkums)

Aleksandrs Antipovs

Šajā dokumentā ir sniegti tīkla drošības skeneru salīdzināšanas rezultāti iespiešanās testu laikā ar tīkla perimetra mezgliem.

Lepihins Vladimirs Borisovičs
Mācību centra Informzaščitas Tīkla drošības laboratorijas vadītājs

Visi ziņojumā iekļautie materiāli ir mācību centra Informzashita intelektuālā īpašuma objekti. Pārskatu materiālu pavairošana, publicēšana vai pavairošana jebkādā veidā ir aizliegta bez iepriekšējas rakstiskas Mācību centra Informzashita piekrišanas.

Pilns pētījuma teksts:
http://www.itsecurity.ru/news/reliase/2008/12_22_08.htm

1. Ievads

Tīkla drošības skeneri ir lieliski piemēroti salīdzināšanai. Viņi visi ir ļoti atšķirīgi. Un to uzdevumu specifikas, kuriem tie ir paredzēti, un to “divējā” mērķa dēļ (tīkla drošības skenerus var izmantot gan aizsardzībai, gan “uzbrukumam”, un uzlaušana, kā zināms, ir radošs uzdevums) , visbeidzot arī tāpēc, ka aiz katra šāda rīka slēpjas tā radītāja “hakera” (vārda sākotnējā nozīmē) domu lidojums.

Izvēloties salīdzināšanas nosacījumus, par pamatu tika ņemta “uzdevumos balstīta” pieeja, līdz ar to, pamatojoties uz rezultātiem, var spriest, cik konkrētais instruments ir piemērots tam uzdotā uzdevuma risināšanai. Piemēram, var izmantot tīkla drošības skenerus:

• tīkla resursu uzskaitei;
• “iekļūšanas testu” laikā;
• testēšanas procesā, lai pārbaudītu sistēmu atbilstību dažādām prasībām.

Šajā dokumentā ir sniegti tīkla drošības skeneru salīdzināšanas rezultāti iespiešanās testu laikā ar tīkla perimetra mezgliem. Tika novērtēti šādi:

• Atrasto ievainojamību skaits
• Viltus pozitīvu rezultātu skaits (viltus pozitīvi)
• Viltus negatīvi
• Prombūtņu iemesli
• Pārbaužu bāzes pilnīgums (šī uzdevuma kontekstā)
• Inventāra mehānismu kvalitāte un programmatūras versiju noteikšana
• Skenera precizitāte (šī uzdevuma kontekstā)

Uzskaitītie kritēriji kopā raksturo skenera “piemērotību” tam uzdotā uzdevuma risināšanai, šajā gadījumā tā ir rutīnas darbību automatizācija tīkla perimetra drošības uzraudzības procesā.

2. Īss salīdzināšanas dalībnieku apraksts

Pirms salīdzināšanas uzsākšanas portāls veica aptauju, kuras mērķis bija apkopot datus par izmantotajiem skeneriem un uzdevumiem, kādiem tie tiek izmantoti.

Aptaujā piedalījās aptuveni 500 respondentu (portāla apmeklētāji).

Jautāti par drošības skeneriem, ko viņi izmanto savās organizācijās, lielākā daļa respondentu atbildēja, ka izmanto vismaz vienu drošības skeneri (70%). Tajā pašā laikā organizācijas, kas regulāri izmanto drošības skenerus, lai analizētu savu informācijas sistēmu drošību, dod priekšroku vairāk nekā vienam šīs klases produktam. 49% aptaujāto norādīja, ka viņu organizācijas izmanto divus vai vairākus drošības skenerus (1. attēls).

1 . Aptaujāto organizāciju sadalījums pēc izmantoto drošības skeneru skaita

Iemesli vairāk nekā viena drošības skenera izmantošanai ir tādi, ka organizācijas neuzticas viena “pārdevēja” risinājumiem (61%) un ja ir nepieciešamas specializētas pārbaudes (39%), kuras nevar veikt ar visaptverošu drošības skeneri (2. att.). .

2. Iemesli vairāk nekā viena drošības skenera izmantošanai aptaujātajās organizācijās

Uz jautājumu, kādiem nolūkiem tiek izmantoti specializētie drošības skeneri, lielākā daļa respondentu atbildēja, ka tie tiek izmantoti kā papildu rīki Web aplikāciju drošības analīzei (68%). Otrajā vietā ierindojās specializētie DBVS drošības skeneri (30%), bet trešajā (2%) ierindojās patentēti utilīti specifisku problēmu loka risināšanai informācijas sistēmu drošības analīzē (3. att.).

3. Specializēto drošības skeneru izmantošanas mērķi aptaujāto respondentu organizācijās

Respondentu aptaujas (4. att.) rezultāts par galaproduktiem, kas saistīti ar drošības skeneriem, liecina, ka lielākā daļa organizāciju izvēlas izmantot Positive Technologies produktu XSpider (31%) un Nessus Security Scanner (17%).

Rīsi. 4. Respondentu organizācijās izmantotie drošības skeneri

1. tabulā norādītie skeneri tika atlasīti, lai piedalītos testa testos.

1. tabula. Salīdzinājumam izmantotie tīkla drošības skeneri

Vārds	Versija
		http://www.nessus.org/download
MaxPatrol	8.0 (būvējums 1178)	http://www.ptsecurity.ru/maxpatrol.asp
Interneta skeneris		http://www-935.ibm.com/services/us/index.wss/offering/iss/a1027208
TīkleneTīkla drošības skeneris		http://www.eeye.com/html/products/retina/index.html
Ēnu drošības skeneris (SSS)	7,141 (262. būvējums)	http://www.safety-lab.com/en/products/securityscanner.htm
NetClarity auditors		http://netclarity.com/branch-nacwall.html

Tātad pirmais tests ir vērsts uz uzdevumu novērtēt sistēmu drošību pret uzlaušanu.

3. Rezumējot

Rezultāti atlikušajiem mezgliem tika aprēķināti līdzīgi. Pēc rezultātu aprēķināšanas tika iegūta šāda tabula (2. tabula).

2. tabula. Visu skenēto objektu gala rezultāti

Rādītājs		Interneta skeneris			Ēnu drošības skeneris	NetClarity Revidents
Pakalpojumu un lietojumu identifikācija, punkti
Atrastas ievainojamības, kopā
No šiem viltus pozitīvajiem rezultātiem (viltus pozitīvi)
Atradās pareizi (no 225 iespējamajiem)
Piespēles (viltus negatīvi)
No tiem datubāzes neesamības dēļ
No tiem izraisīja autentifikācijas nepieciešamība
Citu iemeslu dēļ

3.1. Pakalpojumu un lietojumprogrammu identifikācija

Pamatojoties uz pakalpojumu un lietojumprogrammu identificēšanas rezultātiem, punkti tika vienkārši summēti, un par nepareizu pakalpojuma vai lietotnes identifikāciju tika atņemts viens punkts (5. att.).

Rīsi. 5. Pakalpojumu un lietojumprogrammu identificēšanas rezultāti

MaxPatrol skeneris ieguva vislielāko punktu skaitu (108), bet skeneris Nessus ieguva nedaudz mazāk (98). Patiešām, šajos divos skeneros pakalpojumu un lietojumprogrammu identificēšanas procedūra tiek īstenota ļoti efektīvi. Šis rezultāts var saukt par diezgan gaidītu.

Šie rezultāti ir no interneta skenera un NetClarity skeneriem. Šeit var minēt, ka, piemēram, Internet Scanner koncentrējas uz standarta portu izmantošanu lietojumprogrammām, tas lielā mērā izskaidro tā zemo rezultātu. Visbeidzot, NetClarity skenerim ir vissliktākā veiktspēja. Lai gan tas labi identificē pakalpojumus (galu galā tas ir balstīts uz Nessus 2.x kodolu), tā vispārējo slikto veiktspēju var izskaidrot ar faktu, ka tas neatklāja visus atvērtos portus.

3.2. Ievainojamību noteikšana

Attēlā 6. attēlā parādīts kopējais visu skeneru atrasto ievainojamību skaits un viltus pozitīvu rezultātu skaits. Vislielāko ievainojamību skaitu atklāja skeneris MaxPatrol. Nessus atkal izrādījās otrais (lai gan ar ievērojamu pārsvaru).
Līderis viltus pozitīvu rezultātu skaita ziņā bija Shadow Security Scanner. Principā tas ir saprotams; kļūdu piemēri, kas saistīti tieši ar tās pārbaudēm, tika sniegti iepriekš.

Rīsi. 6. Atrastas ievainojamības un kļūdaini pozitīvi rezultāti

Kopumā visos 16 mezglos visi skeneri atrada (un pēc tam apstiprināja manuāli pārbaudot) 225 ievainojamības. Rezultāti tika sadalīti, kā parādīts attēlā. 7. Lielāko ievainojamību skaitu – 155 no 225 iespējamajām – identificēja skeneris MaxPatrol. Otrais bija Nessus skeneris (tā rezultāts bija gandrīz divreiz sliktāks). Tālāk seko interneta skeneris, pēc tam NetClarity.
Salīdzinājuma laikā tika analizēti trūkstošo ievainojamību iemesli un izdalīti tie, kas tika veikti datubāzes pārbaužu trūkuma dēļ. Sekojošā diagramma (8. att.) parāda iemeslus, kāpēc skeneri palaiž garām ievainojamības.

Rīsi. 7. Atrastas ievainojamības un izlaidumi

Rīsi. 8. Ievainojamību trūkuma iemesli

Tagad daži rādītāji, kas izriet no aprēķiniem.

Attēlā 39. attēlā parādīta viltus pozitīvo atzīmju skaita attiecība pret kopējo atrasto ievainojamību skaitu, šo rādītāju zināmā nozīmē var saukt par skenera precizitāti. Galu galā lietotājs, pirmkārt, nodarbojas ar skenera atrasto ievainojamību sarakstu, no kura ir jāizvēlas pareizi atrastās.

Rīsi. 9. Skeneru precizitāte

No šīs diagrammas var redzēt, ka visaugstāko precizitāti (95%) sasniedza MaxPatrol skeneris. Lai gan tā viltus pozitīvo gadījumu skaits nav mazākais, šis precizitātes rādītājs tiek sasniegts, pateicoties lielajam atrasto ievainojamību skaitam. Nākamā precīzākā definīcija ir interneta skeneris. Tas uzrādīja vismazāko viltus pozitīvu rezultātu skaitu. SSS skenerim ir viszemākais rezultāts, kas nav pārsteidzoši, ņemot vērā lielo viltus pozitīvu rezultātu skaitu, kas tika konstatēti salīdzināšanas laikā.

Vēl viens aprēķinātais rādītājs ir datu bāzes pilnība (10. att.). Tas tiek aprēķināts kā pareizi atrasto ievainojamību skaita attiecība pret kopējo ievainojamību skaitu (šajā gadījumā - 225) un raksturo “neatbilstību” skalu.

Rīsi. 10. Datu bāzes pilnība

No šīs diagrammas ir skaidrs, ka MaxPatrol skenera bāze ir vispiemērotākā uzdevumam.

4. Secinājums

4.1 Komentāri par līderu rezultātiem: MaxPatrol un Nessus

Pirmajā vietā pēc visiem šī salīdzinājuma kritērijiem ir MaxPatrol skeneris, otrajā vietā ir Nessus skeneris, pārējo skeneru rezultāti ir ievērojami zemāki.

Šeit der atgādināt vienu no ASV Nacionālā standartu un tehnoloģiju institūta (NIST) sagatavotajiem dokumentiem, proti, “Tīkla drošības testēšanas vadlīnijas”. Tajā teikts, ka, uzraugot datorsistēmu drošību, ieteicams izmantot vismaz divus drošības skenerus.

Patiesībā iegūtajā rezultātā nav nekā negaidīta vai pārsteidzoša. Nav noslēpums, ka skeneri XSpider (MaxPatrol) un Nessus ir populāri gan drošības speciālistu, gan hakeru vidū. To apliecina iepriekš minētie aptaujas rezultāti. Mēģināsim analizēt MaxPatrol acīmredzamās vadības iemeslus (tas daļēji attiecas uz Nessus skeneri), kā arī citu skeneru “zaudēšanas” iemeslus. Pirmkārt, tā ir kvalitatīva pakalpojumu un lietojumprogrammu identifikācija. Uz secinājumiem balstīti testi (un to šajā gadījumā bija diezgan daudz) lielā mērā ir atkarīgi no informācijas vākšanas precizitātes. Un pakalpojumu un lietojumprogrammu identifikācija MaxPatrol skenerī ir gandrīz perfekta. Šeit ir viens ilustratīvs piemērs.
Otrs MaxPatrol panākumu iemesls ir datubāzes pilnīgums un atbilstība konkrētajam uzdevumam un kopumā “šodien”. Pamatojoties uz rezultātiem, ir manāms, ka MaxPatrol pārbaužu datubāze ir ievērojami paplašināta un detalizēta, tā ir “sakārtota”, savukārt acīmredzamo “novirzi” uz tīmekļa aplikācijām kompensē pārbaužu paplašināšanās citās jomās. , piemēram, salīdzinājumā uzrādītā maršrutētāja skenēšanas rezultāti bija iespaidīgi Cisco.

Trešais iemesls ir lietojumprogrammu versiju kvalitatīva analīze, ņemot vērā operētājsistēmas, izplatījumus un dažādas “filiāles”. Varat arī pievienot dažādu avotu izmantošanu (ievainojamības datu bāzes, paziņojumi un piegādātāju biļeteni).

Visbeidzot, varam arī piebilst, ka MaxPatrol ir ļoti ērts un loģisks interfeiss, kas atspoguļo tīkla drošības skeneru galvenos darba posmus. Un tas ir svarīgi. Kombinācija “mezgls, pakalpojums, ievainojamība” ir ļoti viegli saprotama (Redaktora piezīme: tas ir salīdzinājuma autora subjektīvs viedoklis). Un īpaši šim uzdevumam.

Tagad par trūkumiem un "vājiem" punktiem. Tā kā MaxPatrol šajā ziņā izrādījās līderis, tam adresētā kritika būs “maksimāla”.

Pirmkārt, tā sauktā “zaudēšana mazās lietās”. Ja ir ļoti kvalitatīvs dzinējs, ir svarīgi piedāvāt atbilstošus papildu pakalpojumus, piemēram, ērtus rīkus, kas ļauj kaut ko darīt manuāli, ievainojamību meklēšanas rīkus un iespēju sistēmu “precīzi noregulēt”. MaxPatrol turpina XSpider tradīciju un ir maksimāli koncentrējies uz ideoloģiju “klikšķ un tas darbojas”. No vienas puses, tas nav slikti, no otras puses, tas ierobežo “skrupulozo” analītiķi.

Otrkārt, daži pakalpojumi palika “neatklāti” (to var spriest pēc šī salīdzinājuma rezultātiem), piemēram, IKE (ports 500).

Treškārt, dažos gadījumos trūkst elementāras divu pārbaužu rezultātu salīdzināšanas savā starpā, piemēram, kā tas ir iepriekš aprakstītajā gadījumā ar SSH. Tas ir, nav izdarīti secinājumi, pamatojoties uz vairāku pārbaužu rezultātiem. Piemēram, host4 operētājsistēma tika klasificēta kā Windows, un PPTP pakalpojuma "pārdevējs" tika klasificēts kā Linux. Vai varam izdarīt secinājumus? Piemēram, pārskatā operētājsistēmas definīcijas apgabalā norādiet, ka šis ir “hibrīda” mezgls.

Ceturtkārt, čeku apraksts atstāj daudz ko vēlēties. Bet šeit ir jāsaprot, ka MaxPatrol atrodas nevienlīdzīgos apstākļos ar citiem skeneriem: visu aprakstu kvalitatīva tulkošana krievu valodā ir ļoti darbietilpīgs uzdevums.

Nessus skeneris kopumā uzrādīja labus rezultātus, un vairākos punktos tas bija precīzāks nekā MaxPatrol skeneris. Galvenais iemesls, kāpēc Nessus atpaliek, ir ievainojamību izlaišana, taču ne tāpēc, ka datu bāzē trūkst pārbaužu, kā vairums citu skeneru, bet gan ieviešanas funkciju dēļ. Pirmkārt (un tas ir iemesls lielai daļai nepilnību), ir bijusi Nessus skenera attīstības tendence uz “vietējo” vai sistēmas pārbaudes, kam nepieciešams savienojums ar kontu. Otrkārt, Nessus skeneris ņem vērā mazāk (salīdzinot ar MaxPatrol) informācijas avotus par ievainojamībām. Tas ir nedaudz līdzīgs SSS skenerim, kura pamatā galvenokārt ir SecurityFocus.

5. Šī salīdzinājuma ierobežojumi

Salīdzināšanas laikā skeneru iespējas tika pētītas tikai viena uzdevuma kontekstā - tīkla perimetra mezglu noturības pret uzlaušanu pārbaude. Piemēram, ja mēs uzzīmējam automašīnas analoģiju, mēs redzējām, kā dažādas automašīnas uzvedas, piemēram, uz slidena ceļa. Taču ir arī citi uzdevumi, kuru risinājums ar tiem pašiem skeneriem var izskatīties pavisam savādāk. Tuvākajā laikā plānots salīdzināt skenerus, risinot tādas problēmas kā:

• Sistēmu auditu veikšana, izmantojot konts
• PCI DSS atbilstības novērtējums
• Windows sistēmu skenēšana

Turklāt skenerus plānots salīdzināt, izmantojot formālos kritērijus.

Šī salīdzinājuma laikā tika pārbaudīts tikai pats “dzinējs” jeb, mūsdienu vārdiem runājot, skenera “smadzenes”. Iespējas papildu pakalpojumu ziņā (atskaites, informācijas ierakstīšana par skenēšanas gaitu u.c.) netika novērtētas un nekādā veidā salīdzinātas.

Tāpat netika izvērtēta bīstamības pakāpe un spēja izmantot atrastās ievainojamības. Daži skeneri aprobežojās ar “nelielām” zema riska ievainojamībām, savukārt citi identificēja patiesi kritiskas ievainojamības, kas ļauj piekļūt sistēmai.

Drošības skeneris: atklāj tīkla ievainojamības, pārvalda atjauninājumus un ielāpus, automātiski novērš problēmas, pārbauda programmatūru un aparatūru. GFI Tīkla drošība">Tīkla drošība 2080

Tīkla drošības skeneris un centralizēta atjauninājumu pārvaldība

GFI LanGuard strādā kā virtuālais drošības konsultants:

— Pārvalda atjauninājumus operētājsistēmām Windows®, Mac OS® un Linux®

— Atklāj ievainojamības datoros un mobilās ierīces

— Veic auditus tīkla ierīces un programmatūra

GFI Languard ir drošības skeneris jebkura izmēra tīkliem: tīkla portu un ievainojamības skeneris, drošības skeneris, automātiski atrod caurumus tīklā

GFI Languard ir drošības skeneris jebkura izmēra tīkliem: tīkla portu un ievainojamības skeneris, drošības skeneris, automātiski atrod caurumus tīklā

Kas ir GFI LanGuard

Vairāk nekā ievainojamības skeneris!

GFI LanGuard ir tīkla drošības skeneris: atklāj, identificē un novērš tīkla ievainojamības. Pilna portu skenēšana, nepieciešamo programmatūras atjauninājumu pieejamība tīkla aizsardzībai, kā arī programmatūras un aparatūras audits ir iespējams no viena vadības paneļa.

Portu skeneris

Vairāki iepriekš sagatavoti skenēšanas profili ļauj veikt pilnu visu portu skenēšanu, kā arī ātri pārbaudīt tikai tos, kurus parasti izmanto nevēlama un ļaunprātīga programmatūra. GFI LanGuard vienlaikus skenē vairākus saimniekdatorus, ievērojami samazinot nepieciešamo laiku, un pēc tam salīdzina aizņemtos portos atrasto programmatūru ar paredzēto.

Atjauninājumi un ielāpi

Pirms uzstādīšanas jaunākie atjauninājumi jūsu mezgli ir pilnībā neaizsargāti, jo tieši jaunākās ievainojamības sedz pašreizējie ielāpi un atjauninājumi, kurus hakeri izmanto, lai iekļūtu jūsu tīklā. Atšķirībā no operētājsistēmā iebūvētajiem rīkiem, GFI LanGuard pārbaudīs ne tikai pašu OS, bet arī populāru programmatūru, kuras ievainojamības parasti tiek izmantotas uzlaušanai: Adobe Acrobat/Reader, Flash atskaņotājs, Skype, Outlook, pārlūkprogrammas, tūlītējie kurjeri.

Mezglu audits

GFI LanGuard sagatavos jums detalizēts saraksts katrā datorā instalēto programmatūru un aparatūru, atklās aizliegtas vai trūkstošas ​​programmas, kā arī nevajadzīgas pievienotās ierīces. Vairāku skenēšanas rezultātus var salīdzināt, lai noteiktu programmatūras izmaiņas un aparatūra.

Jaunākā draudu izlūkošana

Katra skenēšana tiek veikta pēc datu atjaunināšanas par ievainojamībām, kuru skaits GFI LanGuard datubāzē jau pārsniedzis 50 000. Informāciju par draudiem nodrošina paši programmatūras pārdevēji, kā arī uzticamie SANS un OVAL saraksti, tāpēc jūs vienmēr esat pasargāts no jaunākajiem draudiem, tostarp sirdsasiņošanas, slepenas, čaumalas trieciena, pūdeli, smilšu tārpu un citiem.

Automātiska korekcija

Kad esat saņēmis detalizētu skenēšanas ziņojumu ar katras ievainojamības aprakstu un saitēm uz tālāka lasīšana, jūs varat novērst lielāko daļu draudu ar vienu klikšķi uz pogas “Izlabot”: porti tiks aizvērti, reģistra atslēgas tiks labotas, ielāpi tiks instalēti, programmatūra tiks atjaunināta, aizliegtās programmas tiks noņemtas un trūkstošās programmas tiks instalētas.