Програми за скенирање на мрежи за пропусти. Споредба на скенери за мрежна безбедност. Споредба на скенери за мрежна ранливост

ПРЕГЛЕД И СПОРЕДБА НА СКЕНЕРИ ЗА РАНЛИВОСТ

Рожкова Екатерина Олеговна

Студент од 4-та година, Катедра за автоматизација и мерења на бродови, Државен медицински универзитет во Санкт Петербург, Руска Федерација, Санкт Петербург

Е- пошта: Рина1242. ro@ gmail. com

Илин Иван Валериевич

Студент од 4-та година, отсек за безбедни информациски технологии

Национален истражувачки универзитет во Санкт Петербург ITMO, Руска Федерација, Санкт Петербург

Е- пошта: ванилин. ва@ gmail. com

Галушин Сергеј Јаковлевич

научен претпоставен, д-р. техн. науки, заменик-проректор за научна работа, Руска Федерација, Санкт Петербург

За високо ниво на безбедност, неопходно е да се користат не само заштитни ѕидови, туку и периодично да се спроведуваат мерки за откривање на ранливости, на пример, со користење на скенери за ранливост. Навременото идентификување на слабостите во системот ќе спречи неовластен пристап и манипулација со податоците. Но, која опција за скенер најдобро одговара на потребите на одреден систем? За да одговорите на ова прашање, пред сè, треба да ги одредите недостатоците во безбедносниот систем на вашиот компјутер или мрежа. Според статистичките податоци, повеќето напади се случуваат преку познати и објавени безбедносни дупки, кои можеби нема да се отстранат поради многу причини, без разлика дали се работи за недостаток на време, персонал или неспособност на администраторот на системот. Исто така, треба да разберете дека обично лошо добронамерникот може да навлезе во системот на неколку начини, и ако еден метод не работи, натрапникот секогаш може да проба друг. Обезбедувањето на максимално ниво на безбедност на системот бара темелна анализа на ризик и понатамошен развој на јасен модел за закана за попрецизно предвидување можни дејствахипотетички криминалец.

Најчестите пропусти вклучуваат прелевање на баферот, можни грешки во конфигурацијата на рутерот или заштитен ѕид, пропусти на веб-серверот, серверите за пошта, DNS серверите, базите на податоци. Покрај тоа, не игнорирајте една од најделикатните области безбедност на информации- управување со корисници и датотеки, бидејќи обезбедувањето ниво на пристап на корисникот со минимални привилегии е специфична задача која бара компромис помеѓу корисничкото искуство и обезбедувањето на безбедноста на системот. Неопходно е да се спомене проблемот со празни или слаби лозинки, стандардни сметки и проблемот со општо истекување на информации.

Безбедносен скенер е софтверска алатказа далечинска или локална дијагностика различни елементимрежи за да се идентификуваат различни ранливости во нив; тие можат значително да го намалат работното време на специјалистите и да го олеснат пребарувањето на ранливости.

Преглед на безбедносни скенери

Ова дело испитуваше скенери кои имаат бесплатна пробна верзија, која ви овозможува да го користите софтверот за да се запознаете со ограничен список на неговите способности и да го оцените степенот на едноставност на интерфејсот. Следниве популарни скенери за ранливост беа избрани како субјекти на прегледот: Nessus, GFI LANguard, Retina, Shadow безбедносен скенер, Интернет скенер.

Несус

Nessus е програма за автоматско пребарување на познати безбедносни пропусти информациски системи. Може да ги открие најчестите типови на пропусти, како што се присуството на ранливи верзии на услуги или домени, конфигурациски грешки (нема потреба од авторизација на серверот SMTP), присуство на стандардни лозинки, празни или слаби лозинки.

Скенерот Nessus е моќна и сигурна алатка која припаѓа на семејството на мрежни скенери што ви овозможува да пребарувате за ранливости во мрежните услуги понудени од оперативни системи, заштитни ѕидови, рутери за филтрирање и други мрежни компоненти. За пребарување на ранливости, тие се користат како стандардни средстватестирање и собирање информации за конфигурацијата и работата на мрежата и специјални средства, емулирајќи ги дејствата на напаѓачот за да навлезат во системи поврзани на мрежата.

Програмата има можност да ги поврзе вашите сопствени процедури или шаблони за верификација. За таа цел, скенерот обезбедува посебен јазик за скрипт наречен NASL (Nessus Attack Scripting Language). Базата на податоци за ранливост постојано расте и се ажурира. Регистрираните корисници веднаш ги добиваат сите ажурирања, додека другите (пробни верзии, итн.) добиваат одредено одложување.

GFIЛанГард

GFI LanGuard Network Security Scanner (N.S.S) е наградувано решение кое користи три основни компоненти за да ве заштити: безбедносен скенер, управување со закрпи и мрежна контрола од една унифицирана конзола. Со скенирање на целата мрежа, таа одредува сè можни проблемибезбедноста и, користејќи ја својата екстензивна функционалностизвестување, обезбедува алатки потребни за откривање, оценување, опишување и елиминирање на какви било закани.

Процесот на безбедносен преглед произведува повеќе од 15.000 проценки на ранливост и ги испитува мрежите на основа на IP адреса. GFI LanGuard Н.С.С. обезбедува можност за вршење скенирање на повеќе платформи (Windows, Mac OS, Linux) низ сите средини и го анализира статусот на мрежата за секој извор на податоци. Ова осигурува дека сите закани може да се идентификуваат и елиминираат пред хакерите да се пробијат.

GFI LanGuard Н.С.С. доаѓа со комплетна и сеопфатна база на податоци за проценка на ранливоста, вклучувајќи стандарди како што се OVAL (над 2.000 вредности) и SANS Top 20. Оваа база на податоци редовно се ажурира со информации од BugTraq, SANS Corporation, OVAL, CVE, итн. Благодарение на GFI LanGuard автоматскиот систем за ажурирање Н.С.С. секогаш ги содржи најновите информации за безбедносните ажурирања на Microsoft, како и информации од GFI и други складишта на информации како што е базата на податоци OVAL.

GFI LanGuard Н.С.С. скенира компјутери, ги идентификува и класифицира пропустите, препорачува дејства и обезбедува алатки за решавање на проблемите. GFI LANguard N.S.S. користи и графички индикатор за ниво на закана што обезбедува интуитивна, избалансирана проценка на статусот на ранливост на скениран компјутер или група компјутери. Ако е можно, даден е линк или дополнителни информацииза одреден проблем, како што е идентификатор во BugTraq ID или Microsoft Knowledge Base.

GFI LanGuard Н.С.С. ви овозможува лесно да креирате сопствени шеми за тестирање на ранливост користејќи волшебник. Користејќи го моторот за скриптирање VBScript, можете исто така да напишете сложени проверки за ранливост за GFI LanGuard N.S.S. GFI LanGuard Н.С.С. вклучува уредувач на скрипти и дебагер.

Ретината

Retina Network Security Scanner, мрежниот скенер за ранливост на BeyondTrust, ги идентификува познатите мрежни пропусти и дава приоритет на заканите за санација. За време на употребата софтверски производсите компјутери, уреди, оперативни системи, апликации и безжични мрежи се идентификувани.

Корисниците исто така можат да користат Retina за да ги проценат ризиците за безбедноста на информациите, да управуваат со ризиците од проектот и да ги исполнат барањата за стандарди преку ревизии на политиките на претпријатието. Овој скенер не го извршува кодот за ранливост, така што скенирањето не води до губење на функционалноста на мрежата и анализираните системи. Користење на неслободна технологија за скенирање со приспособлива брзина локална мрежаКласата C ќе потрае околу 15 минути, ова е олеснето со Адаптивна брзина - технологија за безбедна мрежа за скенирање со голема брзина. Покрај тоа, поставките за флексибилната област за скенирање дозволуваат системски администраторанализирајте ја безбедноста на целата мрежа или даден сегмент без да влијае на работата на соседните. Се случува автоматско ажурирањелокални копии на базата на податоци, па мрежната анализа секогаш се врши врз основа на најактуелните податоци. Лажно позитивната стапка е помала од 1%, а има флексибилна контрола на пристап до системскиот регистар.

Сенкабезбедностскенер (ССС)

Овој скенер може да се користи за сигурно откривање и познати и непознати (во моментот на објавување) нова верзијапроизвод) ранливости. При скенирање на систем, SSS ги анализира податоците, вклучително и барањето пропусти и укажува на можни грешки во конфигурацијата на серверот. Дополнително, скенерот предлага можни начини за решавање на овие проблеми и поправка на пропусти во системот.

Како технологија за задна врата, системот го користи кернелот на сопствениот развој на производителот, Shadow Security Scanner. Може да се забележи дека кога работи на Windows OS, SSS ќе ги скенира серверите без оглед на нивната платформа. Примери на платформи вклучуваат Unix платформи (Linux, FreeBSD, OpenBSD, Net BSD, Solaris), Windows платформи (95/98/ME/NT/2000/XP/.NET/Win 7 и 8). Shadow Security Scanner исто така може да открие грешки во опрема од CISCO, HP и други. Овој скенер е создаден од домашни програмери, и соодветно на тоа, има руски интерфејс, како и документација и жешка линија за поддршка на неа.

ИнтернетСкенер

Овој скенер обезбедува автоматско откривање и анализа на ранливости во корпоративна мрежа. Можностите на скенерот вклучуваат имплементација на голем број проверки за последователна идентификација на пропусти во мрежните услуги, оперативните системи, рутерите, серверите за пошта и веб-страниците, заштитните ѕидови и апликативниот софтвер. Интернет скенер може да открие и идентификува повеќе од 1.450 пропусти, кои може да вклучуваат неправилна конфигурација на мрежната опрема, застарен софтвер, неискористени мрежни услуги, слаби лозинки итн. Можно е да се проверат протоколите FTP, LDAP и SNMP, да се проверуваат е-пошта, да се проверуваат RPC, NFS, NIS и DNS, да се провери можноста за напади како што се „негирање услуга“, „погодување лозинка“, проверки на веб-сервери, CGI скрипти, Веб-прелистувачи и X-терминали. Покрај тоа, можно е да се проверат заштитните ѕидови, прокси-серверите, услугите за далечински пристап, датотечен систем, потсистем за безбедност и потсистем за ревизија, системски регистар и инсталирани ажурирања Windows OS, итн. Интернет скенер ви овозможува да го анализирате присуството на една ранливост во дадена област на мрежата, на пример, проверка на инсталацијата на одредена лепенка операционен систем. Интернет скенерот може да работи Виндоус сервер NT, исто така, поддржува оперативни системи AIX, HP-UX, Linux и Solaris.

Пред да се изберат критериуми за споредба, треба да се нагласи дека критериумите треба да ги опфатат сите аспекти на употребата на безбедносните скенери: од методите за собирање информации до трошоците. Користењето на безбедносен скенер започнува со планирање на распоредувањето и самото распоредување. Затоа, првата група критериуми се однесува на архитектурата на безбедносните скенери, интеракцијата на нивните компоненти, инсталацијата и управувањето. Следната група критериуми - скенирање - треба да ги опфати методите што ги користат споредените скенери за извршување на наведените дејства, како и други параметри поврзани со наведените фази на софтверскиот производ. Важните критериуми ги вклучуваат и резултатите од скенирањето, особено како се чуваат и какви извештаи може да се генерираат врз основа на нив. Следните критериуми на кои треба да се фокусирате се критериумите за ажурирање и поддршка, кои ви овозможуваат да ги разјасните прашањата како што се методите и методите за ажурирање, нивото на техничка поддршка, достапноста на овластена обука итн. Последната група го вклучува единствениот, но многу важен критериум - трошок.

· Поддржани системи;

· Пријателски интерфејс;

· Способности за скенирање (профили за скенирање);

· Способност за прилагодување на профилите (колку е флексибилно);

· Идентификација на услуги и апликации;

· Идентификација на ранливости;

· Генерирање извештаи (формати);

· Способност да генерирате сопствен извештај (свој);

· Фреквенција на ажурирање;

· Техничка поддршка.

Табела 1. Споредба на скенери за ранливост
Скенер		ГФИ ЛanGгард
Цена	131.400 рубли годишно	1610 руб. за IP адреса. Колку повеќе IP адреси, толку е помал трошокот		Цената варира во зависност од бројот на IP адреси Од 30.000 рубли за 64 IP до 102.000 за 512 IP	Цената варира во зависност од бројот на IP адреси (номинална вредност - 6000 рубли)
Поддршка живи системи	сопствен софтвер	Windows, Mac OS, Linux	Cisco, Linux, UNIX, Windows	Unix, Linux, FreeBSD, OpenBSD, Net BSD, Solaris, Windows 95/98/ME/NT/2000/XP/.NET	Windows, AIX, HP-UX, Linux и Solaris
Пријателство Интервенција лице	Едноставен и интуитивен интерфејс	Едноставен и интуитивен интерфејс	Исчистете го интерфејсот	Пријателски и јасен интерфејс	Исчистете го интерфејсот
Можно нест филигрански скитници	Систем за флексибилни поставки, типот и параметрите на скенирање се разликуваат, можно е анонимно скенирање. Можни опциискенира: SYN скенирање, FIN скенирање – чисто барање FIN; Божиќно дрво - вклучува FIN, URG, PUSH во барањето; Null скенирање, FTP bounce scan, Ident scan, UDP скенирање итн. Исто така е можно да се поврзат сопствените процедури за верификација, за кои е обезбеден посебен јазик за скриптирање - NASL (Nessus Attack Scripting Language). Скенерот користи и стандардни алатки за тестирање и собирање информации за конфигурацијата и функционирањето на мрежата, и специјални алатки кои ги имитираат дејствата на потенцијалниот натрапник за да навлезат во системите.	Скенирање на TCP/IP и UDP порти ОС, виртуелни средини и апликации, мобилни уреди се проверени; се користат базите на податоци OVAL и SANS Top 20.	Ранливостите се откриваат со помош на тест за пенетрација, а ризиците се проценуваат и нивните приоритети за ублажување се одредуваат врз основа на проценка на веројатноста за експлоатација. Ранливост (од Core Impact®, Metasploit®, Exploit-db), CVSS и други фактори.	FTP, SSH, Telnet, SMTP, DNS, Finger, HTTP, POP3, IMAP, NetBios, NFS, NNTP, SNMP, Squid (SSS е единствениот скенер во светот што ги проверува прокси-серверите за ревизија - другите скенери едноставно го одредуваат присуството на порта), LDAP (единствениот скенер во светот што ги проверува серверите LDAP за ревизии - другите скенери едноставно го одредуваат присуството на порта), HTTPS, SSL, TCP/IP, UDP, регистар итн. Лесно креирајте сопствени извештаи.	FTP, LDAP и SNMP проверки; проверка на е-пошта; RPC, NFS, NIS и DNS проверки; проверка на можноста за напади на одбивање на услугата; проверува за присуство на напади со „погодување на лозинка“ (Brute Force); проверка на веб-сервери и CGI скрипти, веб-прелистувачи и X терминали; проверка на заштитни ѕидови и прокси-сервери; проверка на услугите за далечински пристап; Проверки на датотечниот систем на Windows OS; проверка на безбедносниот потсистем и потсистем за ревизија на Windows OS; проверка на системскиот регистар и инсталирани ажурирања на Windows OS; проверка на присуството на модеми на мрежата и присуството на тројански коњи; проверка на услуги и демони; проверки на сметки.
Идентификувајте фикација на услуги и апликации младоженци	Висококвалитетно спроведување на постапката за идентификување на услуги и апликации.	Откривање на неовластен/малициозен софтвер и апликации за ставање црна листа со високо ниво на ранливост.	Откривање на ОС, апликации, бази на податоци, веб-апликации.	Ја проверува секоја порта за да утврди кои услуги ги слушаат. Открива ОС, апликации, бази на податоци, веб-апликации.	Идентификува ранливост на мрежните услуги, оперативни системи, рутери, пошта и веб-сервери, заштитни ѕидови и апликативен софтвер.
Генерирање на извештај	Можност за зачувување извештаи во формати nessus (xml), pdf, html, csv, nessus DB	Способност за генерирање извештаи кои се движат од извештаи за трендот на користење на мрежата за управување до детални извештаи за техничкиот персонал. Можно е да се креираат извештаи за усогласеност со стандардите: Закон за преносливост и отчетност за здравствено осигурување (HIPAA), Мрежа за јавни услуги - Код за поврзување (PSN CoCo), Sarbanes - Oxley Act (SOX), Gramm - Leach - Bliley Act (GLB/ GLBA), исто така познат како Стандард за дигитална безбедност на индустријата за платежни картички (PCI-DSS).	Постојат алатки за генерирање извештаи, една од најширокиот опсег на можности за известување.	Има можност да го зачува извештајот и во html формат и во формати xml, pdf, rtf, chm. Самиот процес на креирање на извештај се јавува во форма на избирање на информациите што треба да се прикажат. Способноста за креирање извештај е достапна само во целосната верзија.	Моќен потсистем за генерирање извештаи што ви овозможува лесно да креирате различни форми на извештаи и да ги сортирате по карактеристики.
Можно производствен капацитет бесплатен извештај	Да, само во целосната верзија.			Да, само во целосната верзија.
Фреквенција на ажурирање ленија	Редовни ажурирања, но корисниците на пробната верзија не ги добиваат најновите ажурирања.	Чести ажурирања	Чести ажурирања	Редовни ажурирања	Редовни ажурирања
Техни техничка поддршка	Присутни		Присутни	Сегашна, достапна на руски.	Присутни

Работата испитуваше 5 скенери за ранливост, кои беа споредени според избраните критериуми.

Во однос на ефикасноста, скенерот Nessus беше избран за лидер, бидејќи го има најкомплетниот опсег на способности за анализа на безбедноста на компјутерскиот систем. Сепак, тој е релативно скап во споредба со другите скенери: ако имате мал број IP адреси, попаметно е да изберете GFI LanGuard или SSS.

Библиографија:

1. Долгин А.А., Хорев П.Б., Развој на скенер за пропусти на компјутерски систем врз основа на заштитени верзии на Windows OS, Зборник на трудови од меѓународната научна и техничка конференција " Информативни медиумии технологии“, 2005 година.
2. Информативен портал за безбедност [Електронски ресурс] - Режим на пристап. - URL: http://www.securitylab.ru/ (датум на пристап на 27.03.15).
3. Онлајн списание Softkey.info [Електронски ресурс] - Режим на пристап. - URL: http://www.softkey.info/ (датум на пристап до 27.03.15).
4. Официјална веб-страница на „GFI Software“. [Електронски ресурс] - Режим на пристап. - URL: http://www.gfi.ru/ (датум на пристап на 27.03.15).
5. Официјална веб-страница на „Beyond trust“. [Електронски ресурс] - Режим на пристап. - URL: http://www.beyondtrust.com/Products/RetinaNetworkSecurityScanner/ (пристапено на 27.03.15).
6. Официјална веб-страница на IBM [Електронски ресурс] - Режим на пристап. - URL: http://www.ibm.com/ (пристапено на 27.03.15).
7. Официјална веб-локација Tenable Network Security [Електронски ресурс] - Режим на пристап. - URL: http://www.tenable.com/products/nessus-vulnerability-scanner/ (пристапено на 27.03.15).
8. Официјална веб-страница „Safety-lab“. [Електронски ресурс] - Режим на пристап. - URL: http://www.safety-lab.com/ (датум на пристап на 27.03.15).
9. Решенија на IBM за безбедност на информациите [Електронски ресурс] - Режим на пристап. - URL: http://www.ibm.com/ru/services/iss/pdf/ISS_2009_DB_s10.pdf (пристапено на 27.03.15).
10. Хорев П.Б., Методи и средства за заштита на информациите во компјутерските системи, М., Издавачки центар „Академија“, 2005 година.

Како што можете да видите, имало многу од нив и сите се многу опасни за системите кои се изложени на нив. Важно е не само да го ажурирате вашиот систем навреме за да се заштитите од нови пропусти, туку и да бидете сигурни дека вашиот систем не содржи пропусти кои се поправени одамна и кои хакерите можат да ги искористат.

Ова е местото каде што скенерите за ранливост на Linux доаѓаат на помош. Алатките за анализа на ранливост се една од најважните компоненти на безбедносниот систем на секоја компанија. Проверката на апликациите и системите за стари пропусти е задолжителна практика. Во оваа статија ќе разгледаме најдобри скенериранливости, со отворени изворен код, што можете да го користите за да откриете пропусти во вашите системи и програми. Сите тие се потполно бесплатни и можат да се користат и од обичните корисници и од корпоративниот сектор.

OpenVAS или Open Vulnerability Assessment System е комплетна платформа за пребарување на пропусти, која се дистрибуира како отворен код. Програмата се базира на изворниот код на скенерот Nessus. Првично, овој скенер беше дистрибуиран како отворен код, но потоа програмерите одлучија да го затворат кодот, а потоа, во 2005 година, OpenVAS беше создаден врз основа на отворената верзија на Nessus.

Програмата се состои од сервер и клиентски дел. Серверот, кој ја врши главната работа на системите за скенирање, работи само во Linux, а клиентските програми поддржуваат и Windows; до серверот може да се пристапи преку веб-интерфејс.

Јадрото на скенерот содржи повеќе од 36.000 различни проверки на ранливост и се ажурира секој ден со додавање на нови, неодамна откриени. Програмата може да открие пропусти во услугите што работат, а исто така да бара неточни поставки, на пример, недостаток на автентикација или многу слаби лозинки.

2. Nexpose Community Edition

Ова е уште една алатка за скенирање на ранливости на Линукс со отворен код развиена од Rapid7, истата компанија што го објави Metasploit. Скенерот може да открие до 68.000 познати пропусти, како и да изврши повеќе од 160.000 мрежни скенирања.

Верзијата на Comunity е потполно бесплатна, но има ограничување за симултано скенирање до 32 IP адреси и само еден корисник. Лиценцата исто така треба да се обновува секоја година. Нема скенирање на веб-апликации, но поддржува автоматско ажурирање на базата на податоци за ранливости и примање информации за пропусти од Microsoft Patch.

Програмата може да се инсталира не само на Linux, туку и на Windows, а управувањето се врши преку веб-интерфејсот. Користејќи го, можете да поставите параметри за скенирање, IP адреси и други потребни информации.

Откако ќе заврши скенирањето, ќе видите листа на пропусти, како и информации за инсталираниот софтвер и оперативен систем на серверот. Можете исто така да креирате и извезувате извештаи.

3. Burp Suite Free Edition

Burp Suite е веб-скенер за ранливост напишан во Java. Програмата се состои од прокси-сервер, пајак, алатка за генерирање барања и извршување на стрес тестови.

СО користејќи Burpможете да извршите тестирање на веб-апликации. На пример, користејќи прокси-сервер, можете да го пресретнете и прегледате сообраќајот што поминува, како и да го менувате доколку е потребно. Ова ќе ви овозможи да симулирате многу ситуации. Пајакот ќе ви помогне да ги пронајдете пропустите на веб, а алатката за генерирање прашања ќе ви помогне да ја пронајдете силата на веб-серверот.

4. Арачни

Arachni е целосно опремена рамка за тестирање на веб-апликации напишана во Ruby која е со отворен код. Ви овозможува да ја процените безбедноста на веб-апликациите и страниците со извршување на различни тестови за пенетрација.

Програмата поддржува скенирање со автентикација, приспособување на заглавијата, поддршка за измама на Aser-Agent, поддршка за откривање 404. Покрај тоа, програмата има веб-интерфејс и интерфејс на командната линија, скенирањето може да се паузира, а потоа да се продолжи и генерално, сè работи многу брзо.

5. OWASP Zed Attack Proxy (ZAP)

OWASP Zed Attack Proxy е уште една сеопфатна алатка за пронаоѓање на пропусти во веб-апликациите. Поддржани се сите стандардни функции за овој тип на програма. Можете да скенирате порти, да ја проверите структурата на страницата, да барате многу познати пропусти и да проверите дали повторените барања или неточните податоци се правилно обработени.

Програмата може да работи преку https и исто така поддржува различни прокси. Бидејќи програмата е напишана во Java, таа е многу лесна за инсталирање и користење. Покрај основните карактеристики, има и голем број додатоци кои можат многу да ја зголемат функционалноста.

6. Клер

Clair е алатка за пронаоѓање на ранливости на Linux во контејнерите. Програмата содржи листа на пропусти кои можат да бидат опасни за контејнерите и го предупредува корисникот доколку таквите пропусти се откриени во вашиот систем. Програмата исто така може да испраќа известувања доколку се појават нови пропусти кои би можеле да ги направат контејнерите небезбедни.

Секој контејнер се проверува еднаш и нема потреба да се стартува за да се провери. Програмата може да ги врати сите потребни податоци од оневозможен контејнер. Овие податоци се складираат во кеш за да може да се известува за пропусти во иднина.

7.Powerfuzzer

Powerfuzzer е целосно опремен, автоматизиран и високо приспособлив веб-робот кој ви овозможува да тестирате како веб-апликацијата реагира на неважечки податоци и повторени барања. Алатката го поддржува само протоколот HTTP и може да открие пропусти како што се XSS, SQL injection, LDAP, CRLF и XPATH напади. Исто така, поддржува следење за 500 грешки, што може да укаже на погрешна конфигурација или дури и опасност како прелевање на баферот.

8. Нмапа

Nmap не е точно скенер за ранливост за Linux. Оваа програма ви овозможува да ја скенирате мрежата и да дознаете кои јазли се поврзани со неа, како и да одредите кои услуги работат на нив. Ова не дава сеопфатни информации за ранливостите, но можете да погодите која. софтверможе да биде ранлив, обидете се да пробиете слаби лозинки. Исто така, можно е да се извршат специјални скрипти кои ви дозволуваат да идентификувате одредени пропусти во одреден софтвер.

заклучоци

Во оваа статија ги разгледавме најдобрите скенери за ранливост на Linux, тие ви дозволуваат да ги контролирате вашиот систем и апликации. целосна безбедност. Разгледавме програми кои ви дозволуваат да го скенирате самиот оперативен систем или веб-апликации и сајтови.

Конечно, можете да погледнете видео за тоа што се скенерите за ранливост и зошто се потребни:

Проблемот со епидемија на мрежни црви е релевантен за секоја локална мрежа. Порано или подоцна, може да се појави ситуација кога црв од мрежа или е-пошта ќе навлезе во LAN и не е откриен од антивирусот што се користи. Мрежен вирус се шири преку LAN преку ранливости на оперативниот систем кои не биле затворени во моментот на инфекцијата или преку пропусти што може да се запишуваат споделени ресурси. Вирус за пошта, како што сугерира името, се дистрибуира преку е-пошта, под услов да не е блокиран од клиентски антивирус и антивирус на сервер за пошта. Дополнително, епидемија на LAN може да се организира одвнатре како резултат на активностите на инсајдерот. Во оваа статија ќе разгледаме практични методи за оперативна анализа на LAN компјутери користејќи различни алатки, особено користејќи ја алатката AVZ на авторот.

Формулирање на проблемот

Доколку се открие епидемија или некоја абнормална активност на мрежата, администраторот мора брзо да реши најмалку три задачи:

• откривање на заразени компјутери на мрежата;
• најдете примероци од малициозен софтвер за испраќање во антивирусна лабораторија и развијте стратегија за противдејство;
• преземете мерки за блокирање на ширењето на вирусот на LAN и уништување на заразените компјутери.

Во случај на инсајдерска активност, главните чекори на анализата се идентични и најчесто се сведуваат на потребата да се открие софтвер од трета страна инсталиран од инсајдерот на LAN компјутерите. Примери за таков софтвер вклучуваат комунални услуги за далечинско управување, keyloggersи разни тројански обележувачи.

Дозволете ни да го разгледаме подетално решението за секоја од задачите.

Пребарајте заразени компјутери

За да пребарувате за инфицирани компјутери на мрежата, можете да користите најмалку три методи:

• автоматска далечинска анализа на компјутер - добивање информации за процесите кои работат, вчитани библиотеки и драјвери, пребарување на карактеристични обрасци - на пример, процеси или датотеки со дадени имиња;
• Анализа на сообраќајот на компјутер со помош на трагач - овој методмногу ефикасен за фаќање спам-ботови, е-пошта и мрежни црви, меѓутоа, главната тешкотија во користењето трагач се должи на фактот што модерна LAN е изградена врз основа на прекинувачи и, како резултат на тоа, администраторот не може да го следи сообраќајот на целата мрежа. Проблемот може да се реши на два начина: со вклучување трагач на рутерот (кој ви овозможува да ја следите размената на податоци од компјутер со Интернет) и со користење на функциите за следење на прекинувачите (многу модерни прекинувачиви дозволуваат да доделите порта за следење на која е дупликат сообраќајот на една или повеќе порти за прекинувачи наведени од администраторот);
• проучување на оптоварувањето на мрежата - во овој случај, многу е погодно да се користат паметни прекинувачи, кои ви овозможуваат не само да го процените оптоварувањето, туку и далечински да ги оневозможите портите наведени од администраторот. Оваа операција е значително поедноставена ако администраторот има мрежна мапа, која содржи информации за тоа кои компјутери се поврзани со соодветните порти за прекинувач и каде се наоѓаат;
• употреба на саксии - силно се препорачува да се создадат неколку саксии на локалната мрежа што ќе му овозможат на администраторот навремено да открие епидемија.

Автоматска анализа на компјутери на мрежата

Автоматската анализа на компјутер може да се сведе на три главни фази:

• спроведување на целосно скенирање на компјутер - работи на процеси, вчитани библиотеки и драјвери, автоматско стартување;
• спроведување на оперативно истражување - на пример, пребарување на карактеристични процеси или датотеки;
• карантин на предмети според одредени критериуми.

Сите горенаведени проблеми може да се решат со помош на алатката AVZ на авторот, која е дизајнирана да се стартува од мрежна папка на серверот и поддржува јазик за скриптирање за автоматска проверка на компјутерот. За да извршите AVZ на кориснички компјутери, мора:

1. Ставете го AVZ во мрежна папка на серверот што е отворен за читање.
2. Креирајте поддиректориуми LOG и Qurantine во оваа папка и дозволете им на корисниците да им пишуваат.
3. Стартувајте го AVZ на LAN компјутери користејќи ја алатката rexec или скриптата за најавување.

Стартувањето на AVZ во чекор 3 треба да се направи со следниве параметри:

\\my_server\AVZ\avz.exe Приоритет=-1 nw=Y nq=Y HiddenMode=2 Скрипта=\\my_server\AVZ\my_script.txt

Во овој случај, параметарот Priority=-1 го намалува приоритетот на процесот AVZ, параметрите nw=Y и nq=Y го префрлаат карантинот во режимот „network run“ (во овој случај, поддиректориум се создава во папката карантин за секој компјутер, чие име се совпаѓа со името на мрежата на компјутерот) , HiddenMode=2 наложува да му се оневозможи пристап на корисникот до GUI и AVZ контролите, и на крајот, најважниот параметар Script го одредува целото име на скриптата со команди кои AVZ ќе ги изврши на компјутерот на корисникот. Јазикот за скриптирање AVZ е прилично едноставен за употреба и е фокусиран исклучиво на решавање проблеми на компјутерски преглед и третман. За да го поедноставите процесот на пишување скрипти, можете да користите специјализиран уредувач на скрипти, кој содржи онлајн промпт, волшебник за креирање стандардни скрипти и алатки за проверка на исправноста на напишаната скрипта без да се изврши (сл. 1).

Ориз. 1. Уредувач на скрипти AVZ

Ајде да погледнеме три типични сценарија кои можат да бидат корисни во борбата против епидемијата. Прво, ни треба скрипта за истражување на компјутер. Задачата на скриптата е да го испита системот и да создаде протокол со резултатите во дадена мрежна папка. Сценариото изгледа вака:

ActivateWatchDog (60 * 10);

// Започнете со скенирање и анализа

// Истражување на системот

ExecuteSysCheck(GetAVZDirectory+

‘\LOG\’+GetComputerName+’_log.htm’);

//Исклучување на AVZ

За време на извршувањето на оваа скрипта, HTML-датотеките со резултатите од проучувањето на мрежните компјутери ќе се креираат во папката LOG (под претпоставка дека е создадена во директориумот AVZ на серверот и е достапна за пишување на корисниците), и за да се обезбеди уникатност, името на компјутерот што се испитува е вклучено во името на протоколот. На почетокот на скриптата има команда да се овозможи тајмер за набљудување, кој насилно ќе го прекине AVZ процесот по 10 минути ако се појават неуспеси при извршувањето на скриптата.

Протоколот AVZ е погоден за рачно проучување, но е од мала корист за автоматска анализа. Дополнително, администраторот често го знае името на датотеката со малициозен софтвер и треба само да го провери присуството или отсуството на оваа датотека и доколку е присутна, да ја стави во карантин за анализа. Во овој случај, можете да ја користите следнава скрипта:

// Овозможете го тајмерот за набљудување 10 минути

ActivateWatchDog (60 * 10);

// Пребарајте малициозен софтвер по име

QuarantineFile('%WinDir%\smss.exe', 'Сомнително за LdPinch.gen');

QuarantineFile('%WinDir%\csrss.exe', 'Suspicion of LdPinch.gen');

//Исклучување на AVZ

Оваа скрипта ја користи функцијата QuarantineFile за да се обиде да ги стави во карантин наведените датотеки. Администраторот може само да ја анализира содржината на карантинот (папка Quarantine\network_name_PC\quarantine_date\) за присуство на датотеки во карантин. Имајте предвид дека функцијата QuarantineFile автоматски го блокира карантинот на датотеките идентификувани од безбедната база на податоци AVZ или базата на податоци за дигитални потписи на Microsoft. За практична применаоваа скрипта може да се подобри - организирајте го вчитувањето на имињата на датотеките од надворешна текстуална датотека, проверете ги пронајдените датотеки во однос на базите на податоци AVZ и генерирајте текстуален протокол со резултатите од работата:

// Пребарајте датотека со наведеното име

функција CheckByName(Fname: стринг) : boolean;

Резултат:= FileExists(FName) ;

ако Резултат, тогаш започнете

случај CheckFile(FName) на

1: S:= ', пристапот до датотеката е блокиран';

1: S:= ', откриен како злонамерен софтвер ('+GetLastCheckTxt+')';

2: S:= ', сомнителен од скенерот на датотеки ('+GetLastCheckTxt+')';

3: излез; // Безбедните датотеки се игнорираат

AddToLog('Датотеката '+NormalFileName(FName)+' има сомнително име'+S);

//Додај ја наведената датотека во карантин

QuarantineFile (FName, „сомнителна датотека“+S);

SuspNames: TStringList; // Список на имиња на сомнителни датотеки

// Проверка на датотеки во однос на ажурираната база на податоци

ако FileExists (GetAVZDirectory + 'files.db') тогаш започнете

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('Вчитана е базата на податоци за имиња - број на записи = '+inttostr(SuspNames.Count));

// Јамка за пребарување

за i:= 0 до SuspNames.Count - 1 направи

CheckByName(SuspNames[i]);

AddToLog('Грешка при вчитување список со имиња на датотеки');

SaveLog(GetAVZDirectory+’\LOG\’+

GetComputerName+'_files.txt');

За оваа скрипта да работи, мора да ги креирате директориумите Карантин и LOG во папката AVZ, достапни за корисниците за пишување, како и текстуална датотека files.db - секоја линија од оваа датотека ќе го содржи името на сомнителната датотека. Имињата на датотеките може да вклучуваат макроа, од кои најкорисни се %WinDir% (пат до Windows папка) и %SystemRoot% (патека до папката System32). Друга насока на анализа може да биде автоматско испитување на списокот на процеси што се извршуваат на корисничките компјутери. Информациите за процесите што се извршуваат се во протоколот за истражување на системот, но за автоматска анализа попогодно е да се користи следниов фрагмент од скрипта:

процедура СкенирањеПроцес;

S:= ''; S1:= '';

//Ажурирање на списокот на процеси

RefreshProcessList;

AddToLog('Број на процеси = '+IntToStr(GetProcessCount));

// Циклус на анализа на примената листа

за i:= 0 до GetProcessCount - 1 започнува

S1:= S1 + ',' + ExtractFileName(GetProcessName(i));

// Пребарајте процес по име

ако pos('trojan.exe', Lowercase(GetProcessName(i))) > 0 тогаш

S:= S + GetProcessName(i)+',';

ако С<>''тогаш

AddLineToTxtFile(GetAVZDirectory+'\LOG\_alarm.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S);

AddLineToTxtFile(GetAVZDirectory+'\LOG\_all_process.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S1);

Проучувањето на процесите во оваа скрипта се изведува како посебна процедура ScanProcess, така што е лесно да се смести во сопствената скрипта. Постапката ScanProcess гради две списоци на процеси: целосна листапроцеси (за последователна анализа) и листа на процеси кои, од гледна точка на администраторот, се сметаат за опасни. Во овој случај, за демонстративни цели, процесот наречен „trojan.exe“ се смета за опасен. Информациите за опасните процеси се додаваат во текстуалната датотека _alarm.txt, податоците за сите процеси се додаваат во датотеката _all_process.txt. Лесно е да се види дека можете да ја комплицирате скриптата со додавање на неа, на пример, проверка на процесните датотеки во базата на податоци со безбедни датотеки или проверка на имиња извршни датотекипроцеси на надворешна основа. Слична постапка се користи и во скриптите AVZ што се користат во Smolenskenergo: администраторот периодично ги проучува собраните информации и ја менува скриптата, додавајќи му го името на процесите на програмите забранети со безбедносната политика, на пример ICQ и MailRu.Agent, што овозможува брзо да го проверите присуството на забранет софтвер на компјутерите што се проучуваат. Друга употреба на списокот со процеси е да се најдат компјутери на кои им недостасува потребен процес, како што е антивирус.

Како заклучок, да ги погледнеме последните корисни скрипти за анализа - скрипта за автоматско карантинирање на сите датотеки што не се препознаени од безбедната база на податоци AVZ и базата на податоци за дигитални потписи на Microsoft:

// Изведете автокарантин

ExecuteAutoQuarantine;

Автоматскиот карантин ги испитува работните процеси и вчитаните библиотеки, услуги и двигатели, околу 45 методи за автоматско стартување, модули за проширување на прелистувачот и истражувачот, ракувачите со SPI/LSP, задачите на распоредувачот, ракувачите на системот за печатење итн. Посебна карактеристика на карантинот е тоа што датотеките се додаваат во него со контрола на повторување, така што функцијата автокарантин може постојано да се повикува.

Предноста на автоматскиот карантин е што со негова помош, администраторот може брзо да собере потенцијално сомнителни датотеки од сите компјутери на мрежата за испитување. Наједноставната (но многу ефикасна во пракса) форма на проучување датотеки може да биде проверка на добиениот карантин со неколку популарни антивируси во максимален хеуристички режим. Треба да се напомене дека истовременото стартување на авто-карантин на неколку стотици компјутери може да создаде големо оптоварување на мрежата и на серверот за датотеки.

Истражување на сообраќајот

Истражувањето на сообраќајот може да се изврши на три начини:

• рачно користење на трагачи;
• во полуавтоматски режим - во овој случај, трагачот собира информации, а потоа неговите протоколи се обработуваат рачно или со некој софтвер;
• автоматски користејќи системи за откривање на упад (IDS) како што е Snort (http://www.snort.org/) или нивни софтверски или хардверски аналози. Во наједноставниот случај, IDS се состои од трагач и систем кој ги анализира информациите собрани од трагачот.

Системот за откривање на упад е оптимална алатка затоа што ви овозможува да креирате множества правила за откривање на аномалии во мрежната активност. Неговата втора предност е следнава: повеќето модерни IDS дозволуваат агентите за следење на сообраќајот да бидат поставени на неколку мрежни јазли - агентите собираат информации и ги пренесуваат. Во случај на употреба на трагач, многу е погодно да се користи конзолата UNIX трагач tcpdump. На пример, за следење на активноста на портата 25 ( SMTP протокол) само стартувајте го трагачот со командна линијатип:

tcpdump -i em0 -l tcp порта 25 > smtp_log.txt

Во овој случај, пакетите се фаќаат преку интерфејсот em0; информациите за заробените пакети ќе бидат зачувани во датотеката smtp_log.txt. Протоколот е релативно лесен за рачно анализирање; во овој пример, анализата на активноста на портата 25 ви овозможува да идентификувате компјутери со активни ботови за спам.

Примена на Honeypot

Застарен компјутер чии перформанси не дозволуваат да се користи за решавање може да се користи како стапица (Honeypot). производствени задачи. На пример, Pentium Pro со 64 MB успешно се користи како замка во мрежата на авторот меморија за случаен пристап. На овој компјутер треба да го инсталирате најчестиот оперативен систем на LAN и да изберете една од стратегиите:

• Инсталирајте оперативен систем без пакети за ажурирање - тоа ќе биде показател за појавата на активен мрежен црв на мрежата, искористувајќи која било од познатите пропусти за овој оперативен систем;
• инсталирајте оперативен систем со ажурирања што се инсталирани на други компјутери на мрежата - Honeypot ќе биде аналоген на која било од работните станици.

Секоја стратегија има и добри и лоши страни; Авторот главно ја користи опцијата без ажурирања. По креирањето на Honeypot, треба да креирате слика на дискот за брзо враќање на вашиот систем откако ќе биде оштетен од малициозен софтвер. Како алтернатива на сликата на дискот, можете да користите системи за враќање на промени, како што се ShadowUser и неговите аналози. Откако изградивте Honeypot, треба да земете предвид дека голем број мрежни црви бараат заразени компјутери со скенирање на опсегот на IP, пресметан од IP адресата на заразениот компјутер (вообичаени типични стратегии се X.X.X.*, X.X.X+1.*, X.X.X-1.*), - затоа, идеално, треба да има Honeypot на секоја подмрежа. Како дополнителни подготвителни елементи, дефинитивно треба да отворите пристап до неколку папки на системот Honeypot, а во овие папки треба да ставите неколку примероци на датотеки од различни формати, минималниот сет е EXE, JPG, MP3.

Секако, откако создал Honeypot, администраторот мора да ја следи неговата работа и да реагира на какви било аномалии откриени на овој компјутер. Ревизорите може да се користат како средство за снимање на промените, а трагачот може да се користи за снимање на мрежната активност. Важна точкае тоа што повеќето трагачи обезбедуваат можност за конфигурирање на испраќање предупредување до администраторот доколку се открие одредена мрежна активност. На пример, во трагачот CommView, правилото вклучува одредување на „формула“ што опишува мрежен пакет или одредување квантитативни критериуми (испраќање повеќе од одреден број пакети или бајти во секунда, испраќање пакети на неидентификувани IP или MAC адреси) - Сл. 2.

Ориз. 2. Креирајте и конфигурирајте предупредување за мрежна активност

Како предупредување, најзгодно е да се користат е-пошта испратени до Поштенско сандачеадминистратор - во овој случај, можете да добивате брзи предупредувања од сите стапици во мрежата. Покрај тоа, ако трагачот ви дозволува да креирате повеќе предупредувања, има смисла да се разликува мрежната активност со истакнување на работата со преку е-маил, FTP/HTTP, TFTP, Telnet, MS Net, зголемен сообраќај од повеќе од 20-30 пакети во секунда за кој било протокол (сл. 3).

Ориз. 3. Испратено писмо за известување
доколку се откријат пакети кои одговараат на наведените критериуми

Кога организирате стапица, добро е да поставите на неа неколку ранливи мрежни услуги што се користат на мрежата или да инсталирате емулатор за нив. Наједноставната (и бесплатна) е комерцијалната алатка APS, која работи без инсталација. Принципот на работа на APS се сведува на слушање на многу TCP и UDP порти опишани во неговата база на податоци и издавање предодреден или случајно генериран одговор во моментот на поврзување (сл. 4).

Ориз. 4. Главен прозорец на алатката APS

Сликата покажува слика од екранот направена за време на вистинско активирање на APS на Smolenskenergo LAN. Како што може да се види на сликата, снимен е обид за поврзување на еден од клиентските компјутери на портата 21. Анализата на протоколите покажа дека обидите се периодични и се снимаат од неколку замки на мрежата, што ни овозможува да заклучиме дека мрежата се скенира со цел да се бараат и хакираат FTP сервери со погодување лозинки. APS води дневници и може да испраќа пораки до администраторите со извештаи за регистрирани врски до надгледуваните порти, што е погодно за брзо откривање на мрежните скенирања.

Кога креирате Honeypot, исто така е корисно да се запознаете со онлајн ресурсите на оваа тема, особено http://www.honeynet.org/. Во делот Алатки на оваа страница (http://www.honeynet.org/tools/index.html) можете да најдете голем број алатки за снимање и анализа на напади.

Далечинско отстранување на малициозен софтвер

Идеално, откако ќе се откријат примероците малициозен софтверадминистраторот ги испраќа во антивирусна лабораторија, каде што аналитичарите веднаш ги проучуваат и соодветните потписи се внесуваат во антивирусната база на податоци. Овие потписи автоматски се ажурираат на компјутерот на корисникот, а антивирусот автоматски го отстранува малициозниот софтвер без интервенција на администраторот. Сепак, овој синџир не работи секогаш како што се очекува; особено, можни се следните причини за неуспех:

• од повеќе причини независни од мрежниот администратор, сликите може да не стигнат до антивирусна лабораторија;
• недоволна ефикасност на антивирусната лабораторија - идеално, потребни се не повеќе од 1-2 часа за да се проучат примероците и да се внесат во базата на податоци, што значи дека ажурираните бази на податоци за потпис може да се добијат во рок од еден работен ден. Сепак, не сите антивирусни лаборатории работат толку брзо, и можете да чекате неколку дена за ажурирања (во ретки случаи, дури и недели);
• високи перформанси на антивирусот - голем број на малициозни програми, по активирањето, уништуваат антивируси или на друг начин ја нарушуваат нивната работа. Класичните примери вклучуваат правење записи во датотеката на домаќините што блокираат нормална работаантивирусни системи за автоматско ажурирање, бришење на процеси, услуги и драјвери за антивируси, оштетување на нивните поставки итн.

Затоа, во горенаведените ситуации, ќе мора рачно да се справите со малициозен софтвер. Во повеќето случаи, тоа не е тешко, бидејќи резултатите од компјутерското испитување ги откриваат заразените компјутери, како и целосните имиња на датотеките со малициозен софтвер. Останува само да ги отстраните од далечина. Ако злонамерната програма не е заштитена од бришење, тогаш може да се уништи со помош на следната AVZ скрипта:

// Бришење датотека

DeleteFile ('име на датотека');

ExecuteSysClean;

Оваа скрипта брише една одредена датотека (или неколку датотеки, бидејќи може да има неограничен број на команди DeleteFile во скрипта) и потоа автоматски го чисти регистарот. Во покомплексен случај, малициозниот софтвер може да се заштити од бришење (на пример, со повторно креирање на неговите датотеки и клучеви во регистарот) или да се маскира користејќи технологија rootkit. Во овој случај, сценариото станува покомплицирано и ќе изгледа вака:

// Анти-руткит

SearchRootkit (точно, точно);

// Контрола на AVZGuard

SetAVZGuardStatus(точно);

// Бришење датотека

DeleteFile ('име на датотека');

// Овозможете евиденција на BootCleaner

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// Увезете во задачата BootCleaner листа на датотеки избришани од скриптата

BC_ImportDeletedList;

// Активирајте BootCleaner

// Хеуристичко чистење на системот

ExecuteSysClean;

RebootWindows (точно);

Оваа скрипта вклучува активно контраакција на rootkits, употреба на системот AVZGuard (ова е блокирач на активност на малициозен софтвер) и системот BootCleaner. BootCleaner е двигател кој отстранува одредени објекти од KernelMode за време на рестартирање, во рана фаза на подигање на системот. Практиката покажува дека таквата скрипта е во состојба да го уништи огромното мнозинство на постоечки малициозен софтвер. Исклучок е малициозен софтвер кој ги менува имињата на неговите извршни датотеки со секое рестартирање - во овој случај, датотеките откриени за време на скенирањето на системот може да се преименуваат. Во овој случај, ќе треба рачно да го дезинфицирате компјутерот или да креирате сопствени потписи за малициозен софтвер (пример за скрипта што спроведува пребарување на потпис е опишан во помошта за AVZ).

Заклучок

Во оваа статија, разгледавме неколку практични техники за рачно борба против епидемијата на LAN, без употреба на антивирусни производи. Повеќето од опишаните техники може да се користат и за пребарување на странски компјутери и тројански обележувачи на кориснички компјутери. Ако имате какви било потешкотии да пронајдете малициозен софтвер или да креирате скрипти за третман, администраторот може да го користи делот „Помош“ на форумот http://virusinfo.info или делот „Борба против вируси“ на форумот http://forum.kaspersky.com /index.php?showforum= 18. Проучувањето на протоколите и помошта во лекувањето се врши на двата форума бесплатно, анализата на компјутерот се врши според протоколите AVZ, а во повеќето случаи третманот се сведува на извршување на AVZ скрипта на заразени компјутери, составена од искусни специјалисти од овие форуми. .

Компаративна анализабезбедносни скенери. Дел 1: Тест за пенетрација (Кратко резиме)

Александар Антипов

Овој документ ги прикажува резултатите од споредбата на скенерите за безбедност на мрежата за време на тестовите за пенетрација против јазлите на мрежниот периметар.

Лепихин Владимир Борисович
Раководител на Лабораторијата за мрежна безбедност во Центарот за обука Информзашчита

Сите материјали во извештајот се предмет на интелектуална сопственост на Центарот за обука Информзашита. Умножувањето, објавувањето или репродукцијата на материјалите од извештајот во која било форма е забрането без претходна писмена согласност од Центарот за обука Информзашита.

Целосен текст на студијата:
http://www.itsecurity.ru/news/reliase/2008/12_22_08.htm

1. Вовед

Мрежните безбедносни скенери се совршени за споредба. Сите тие се многу различни. И поради спецификите на задачите за кои се наменети и поради нивната „двојна“ намена (мрежни безбедносни скенери може да се користат и за одбрана и „за напад“, а хакирањето, како што знаеме, е креативна задача) , конечно, и затоа што зад секоја таква алатка се крие лет на „хакерска“ (во изворна смисла на зборот) мисла на нејзиниот творец.

При изборот на условите за споредба, како основа беше земен пристапот „заснован на задачи“, така што, врз основа на резултатите, може да се процени колку одредена алатка е соодветна за решавање на задачата што и е доделена. На пример, може да се користат скенери за безбедност на мрежата:

• за попис на мрежните ресурси;
• за време на „тестови за пенетрација“;
• во процесот на тестирање на системите за усогласеност со различни барања.

Овој документ ги прикажува резултатите од споредбата на скенерите за безбедност на мрежата за време на тестовите за пенетрација против јазлите на мрежниот периметар. Беа оценети:

• Број на пронајдени пропусти
• Број на лажни позитиви (лажни позитиви)
• Лажни негативни
• Причини за отсуства
• Комплетност на базата за проверка (во контекст на оваа задача)
• Квалитет на механизмите за залиха и определување на верзијата на софтверот
• Точност на скенерот (во контекст на оваа задача)

Наведените критериуми заедно ја карактеризираат „соодветноста“ на скенерот за решавање на задачата што му е доделена, во овој случај тоа е автоматизација на рутинските дејства во процесот на следење на безбедноста на мрежниот периметар.

2. Краток опис на учесниците во споредба

Пред да започне споредбата, порталот спроведе анкета, чија цел беше да собере податоци за користените скенери и задачите за кои се користат.

Во анкетата учествуваа околу 500 испитаници (посетители на порталот).

На прашањето за безбедносните скенери што ги користат во нивните организации, огромното мнозинство од испитаниците одговориле дека користат барем еден безбедносен скенер (70%). Во исто време, организациите кои редовно користат безбедносни скенери за да ја анализираат безбедноста на нивните информациски системи претпочитаат да користат повеќе од еден производ од оваа класа. 49% од испитаниците рекле дека нивните организации користат два или повеќе безбедносни скенери (Слика 1).

1 . Дистрибуција на анкетирани организации според бројот на употребени безбедносни скенери

Причините за користење на повеќе од еден безбедносен скенер вклучуваат дека организациите не им веруваат на решенија од еден „продавач“ (61%) и кога се потребни специјализирани проверки (39%) што не може да се извршат со сеопфатен безбедносен скенер (сл. 2). .

2. Причини за користење на повеќе од еден безбедносен скенер во анкетираните организации

На прашањето за какви цели се користат специјализирани безбедносни скенери, мнозинството од испитаниците одговориле дека тие се користат како дополнителни алатки за анализа на безбедноста на веб-апликациите (68%). На второ место беа специјализираните безбедносни скенери за DBMS (30%), а на трето (2%) беа сопственичките комунални услуги за решавање на специфичен опсег на проблеми во анализата на безбедноста на информациските системи (сл. 3).

3. Целите на користење на специјализирани безбедносни скенери во организациите на анкетираните испитаници

Резултатот од анкетата на испитаниците (слика 4) за крајните производи поврзани со безбедносните скенери покажа дека поголемиот дел од организациите претпочитаат да ги користат производите на Позитивни технологии XSpider (31%) и Nessus Security Scanner (17%).

Ориз. 4. Безбедносни скенери кои се користат во организациите на испитаниците

Скенерите претставени во Табела 1 беа избрани да учествуваат во тест-тестовите.

Табела 1. Мрежни безбедносни скенери кои се користат во споредба

Име	Верзија
		http://www.nessus.org/download
MaxPatrol	8.0 (изградба 1178)	http://www.ptsecurity.ru/maxpatrol.asp
Интернет скенер		http://www-935.ibm.com/services/us/index.wss/offering/iss/a1027208
РетинатаМрежен скенер за безбедност		http://www.eeye.com/html/products/retina/index.html
Безбедносен скенер во сенка (SSS)	7.141 (изградба 262)	http://www.safety-lab.com/en/products/securityscanner.htm
NetClarity ревизор		http://netclarity.com/branch-nacwall.html

Значи, првиот тест е фокусиран на задачата да ја процени безбедноста на системите за отпорност на хакирање.

3. Сумирајќи

Резултатите за останатите јазли беа пресметани на сличен начин. По пресметувањето на резултатите, добиена е следната табела (Табела 2).

Табела 2. Конечни резултати за сите скенирани објекти

Индекс		Интернет скенер			Безбедносен скенер во сенка	NetClarity Ревизор
Идентификација на услуги и апликации, поени
Пронајдени ранливости, вкупно
Од овие лажни позитиви (лажни позитиви)
Најде точно (од 225 можни)
Поминува (лажни негативи)
Од нив, поради отсуство од базата на податоци
Од нив предизвикани од потребата за автентикација
Од други причини

3.1 Идентификација на услуги и апликации

Врз основа на резултатите од идентификацијата на услугите и апликациите, поени беа едноставно сумирани, а еден поен беше одземен за неправилна идентификација на услуга или апликација (сл. 5).

Ориз. 5. Резултати од идентификување на услуги и апликации

Скенерот MaxPatrol постигна најголем број поени (108), а скенерот Nessus постигна нешто помалку (98). Навистина, во овие два скенери постапката за идентификување услуги и апликации се спроведува многу ефикасно. Овој резултатможе да се нарече сосема очекувано.

Следниве резултати се од скенерите за Интернет скенер и NetClarity. Овде можеме да споменеме дека, на пример, Internet Scanner се фокусира на користење на стандардни порти за апликации, што во голема мера го објаснува неговиот низок резултат. Конечно, скенерот NetClarity има најлоши перформанси. Иако прави добра работа во идентификувањето на услугите (на крајот на краиштата, се базира на кернелот Nessus 2.x), неговите севкупни лоши перформанси може да се објаснат со фактот што не ги идентификуваше сите отворени порти.

3.2 Идентификација на ранливости

На сл. Слика 6 го прикажува вкупниот број на пропусти пронајдени од сите скенери и бројот на лажни позитиви. Најголем број пропусти пронајде скенерот MaxPatrol. Несус повторно се покажа како втор (иако со значителна разлика).
Лидер по бројот на лажни позитиви беше скенерот за безбедност во сенка. Во принцип, ова е разбирливо; примери на грешки поврзани конкретно со неговите проверки беа дадени погоре.

Ориз. 6. Пронајдени ранливости и лажни позитиви

Вкупно, на сите 16 јазли, сите скенери пронајдоа (и последователно потврдени со рачна проверка) 225 пропусти. Резултатите беа дистрибуирани како на сл. 7. Најголем број пропусти - 155 од 225 можни - беа идентификувани од скенерот MaxPatrol. Вториот беше скенерот Nessus (неговиот резултат беше речиси двојно полош). Следува Интернет скенер, потоа NetClarity.
При споредбата беа анализирани причините за пропуштените пропусти и беа издвоени оние кои беа направени поради недостиг на проверки во базата. Следниот дијаграм (сл. 8) ги прикажува причините зошто скенерите ги пропуштаат пропустите.

Ориз. 7. Пронајдени ранливости и пропусти

Ориз. 8. Причини за пропуштени ранливости

Сега неколку индикатори кои произлегуваат од пресметките.

На сл. Слика 39 го покажува односот на бројот на лажни позитиви со вкупниот број на пронајдени пропусти; овој индикатор во одредена смисла може да се нарече точност на скенерот. На крајот на краиштата, корисникот, пред сè, се занимава со список на пропусти пронајдени од скенерот, од кои е неопходно да се изберат правилно пронајдените.

Ориз. 9. Точност на скенерите

Од овој дијаграм може да се види дека најголемата точност (95%) е постигната со скенерот MaxPatrol. Иако неговиот број на лажни позитиви не е најмал, оваа стапка на точност е постигната поради големиот број пронајдени ранливости. Следната најточна дефиниција е Интернет скенер. Покажа најмал број на лажни позитиви. SSS скенерот има најнизок резултат, што не е изненадувачки со оглед на големиот број лажни позитиви кои беа забележани при споредбата.

Друг пресметан индикатор е комплетноста на базата на податоци (сл. 10). Се пресметува како сооднос на бројот на правилно пронајдени пропусти со вкупниот број на ранливости (во овој случај - 225) и ја карактеризира скалата на „промашувањата“.

Ориз. 10. Комплетност на базата на податоци

Од овој дијаграм е јасно дека базата на скенерот MaxPatrol е најсоодветна за задачата.

4. Заклучок

4.1 Коментари за резултатите на лидерите: MaxPatrol и Nessus

Првото место според сите критериуми на оваа споредба оди кај скенерот MaxPatrol, на второ место е скенерот Nessus, резултатите од останатите скенери се значително помали.

Овде е соодветно да се потсетиме на еден од документите подготвени од Националниот институт за стандарди и технологија на САД (NIST), имено „Упатство за тестирање на безбедноста на мрежата“. Во него се наведува дека при следење на безбедноста на компјутерските системи, се препорачува да се користат најмалку два безбедносни скенери.

Всушност, нема ништо неочекувано или изненадувачки во добиениот резултат. Не е тајна дека скенерите XSpider (MaxPatrol) и Nessus се популарни и кај специјалистите за безбедност и кај хакерите. Ова го потврдуваат горенаведените резултати од истражувањето. Ајде да се обидеме да ги анализираме причините за очигледното водство на MaxPatrol (ова делумно се однесува на скенерот Nessus), како и причините за „загубата“ на другите скенери. Прво на сите, ова е висококвалитетна идентификација на услуги и апликации. Тестовите засновани на заклучоци (а во овој случај имаше доста од нив) во голема мера зависат од точноста на собирањето информации. И идентификацијата на услуги и апликации во скенерот MaxPatrol е речиси совршена. Еве еден илустративен пример.
Втората причина за успехот на MaxPatrol е комплетноста на базата на податоци и нејзината адекватност на задачата што се поставува и, воопшто, до „денес“. Врз основа на резултатите, забележливо е дека базата на проверки во MaxPatrol е значително проширена и детална, таа е „средена“, додека очигледната „пристрасност“ кон веб-апликациите се компензира со проширување на проверките во други области. , на пример, резултатите од скенирањето на рутерот претставени во споредбата беа импресивни Cisco.

Третата причина е квалитативна анализа на верзиите на апликациите, земајќи ги предвид оперативните системи, дистрибуциите и различните „гранки“. Можете исто така да додадете употреба на различни извори (бази на податоци за ранливост, известувања и билтени на продавачи).

Конечно, можеме да додадеме и дека MaxPatrol има многу удобен и логичен интерфејс кој ги одразува главните фази на работата на скенерите за безбедност на мрежата. И ова е важно. Комбинацијата на „јазол, услуга, ранливост“ е многу лесна за разбирање (Забелешка на уредникот: ова е субјективно мислење на авторот на споредбата). И особено за оваа задача.

Сега за недостатоците и „слабите“ точки. Бидејќи MaxPatrol се покажа како лидер во споредба, критиките упатени до него ќе бидат „максимални“.

Прво, таканареченото „губење во мали нешта“. Имајќи многу квалитетен мотор, важно е да понудите соодветни дополнителни услуги, на пример, практични алатки кои ви дозволуваат да направите нешто рачно, алатки за пребарување на пропусти и можност за „фино подесување“ на системот. MaxPatrol ја продолжува традицијата на XSpider и е максимално фокусиран на идеологијата „кликни и работи“. Од една страна, ова не е лошо, од друга страна, го ограничува „педантниот“ аналитичар.

Второ, некои услуги останаа „откриени“ (ова можете да го процените според резултатите од оваа споредба), на пример, IKE (порта 500).

Трето, во некои случаи недостасува основна споредба на резултатите од две проверки едни со други, на пример, како во случајот со SSH опишан погоре. Односно, нема заклучоци врз основа на резултатите од неколку проверки. На пример, оперативниот систем на host4 беше класифициран како Windows, а услугата PPTP „продавач“ беше класифициран како Linux. Можеме ли да извлечеме заклучоци? На пример, во извештајот во областа за дефиниција на оперативниот систем, означете дека ова е „хибриден“ јазол.

Четврто, описот на проверките остава многу да се посакува. Но, тука треба да се разбере дека MaxPatrol е во нееднакви услови со другите скенери: висококвалитетниот превод на руски од сите описи е многу трудоинтензивна задача.

Скенерот Nessus покажа, генерално, добри резултати, а во голем број точки беше попрецизен од скенерот MaxPatrol. Главната причина зошто Nessus заостанува е изоставувањето на пропусти, но не поради недостаток на проверки во базата на податоци, како и повеќето други скенери, туку поради карактеристиките на имплементацијата. Прво (а тоа е причината за значителен дел од пропустите), во скенерот Nessus има тренд на развој кон „локални“ или системски проверки, кои бараат поврзување со сметка. Второ, скенерот Nessus зема предвид помалку (во споредба со MaxPatrol) извори на информации за ранливости. Ова е нешто слично на SSS скенерот, главно базиран на SecurityFocus.

5. Ограничувања на оваа споредба

За време на споредбата, можностите на скенерите беа проучувани во контекст на само една задача - тестирање на периметарските јазли на мрежата за отпорност на хакирање. На пример, ако нацртаме аналогија на автомобил, видовме како различни автомобили се однесуваат, да речеме, на лизгав пат. Сепак, постојат и други задачи, чие решение со истите скенери може да изгледа сосема поинаку. Во блиска иднина се планира да се споредат скенерите додека се решаваат такви проблеми како што се:

• Спроведување на системски ревизии користејќи сметка
• Проценка на усогласеност со PCI DSS
• Скенирање на Windows системи

Дополнително, планирано е да се споредат скенерите користејќи формални критериуми.

За време на оваа споредба, беше тестиран само самиот „мотор“ или, со современи термини, „мозокот“ на скенерот. Можностите во однос на дополнителните услуги (извештаи, снимање информации за напредокот на скенирањето итн.) не беа вреднувани или споредувани на кој било начин.

Исто така, не беше оценет степенот на опасност и способноста за искористување на пронајдените пропусти. Некои скенери се ограничија на „мали“ ранливости со низок ризик, додека други идентификуваа навистина критични пропусти што овозможуваат пристап до системот.

Безбедносен скенер: открива мрежни слабости, управува со ажурирања и закрпи, автоматски ги поправа проблемите, врши ревизија на софтверот и хардверот. GFI Мрежна безбедност">Мрежна безбедност 2080

Мрежен безбедносен скенер и централизирано управување со ажурирањата

GFI LanGuard работи како консултант за виртуелна безбедност:

— Управува со ажурирања за Windows®, Mac OS® и Linux®

— Открива пропусти на компјутерите и Мобилни уреди

— Спроведува ревизии мрежни уредии софтвер

GFI Languard е безбедносен скенер за мрежи од која било големина: мрежна порта и скенер за ранливост, безбедносен скенер, автоматски наоѓа дупки во мрежата

GFI Languard е безбедносен скенер за мрежи од која било големина: мрежна порта и скенер за ранливост, безбедносен скенер, автоматски наоѓа дупки во мрежата

Што е GFI LanGuard

Повеќе од скенер за ранливост!

GFI LanGuard е мрежен безбедносен скенер: детектира, идентификува и поправа мрежни пропусти. Целосното скенирање на портите, достапноста на потребните софтверски ажурирања за заштита на вашата мрежа и ревизијата на софтверот и хардверот се можни од една контролна табла.

Порт скенер

Неколку однапред подготвени профили за скенирање ви овозможуваат да извршите целосно скенирање на сите порти, како и брзо да ги проверувате само оние што вообичаено се користат од несакан и злонамерен софтвер. GFI LanGuard скенира повеќе хостови истовремено, значително намалувајќи го потребното време, а потоа го споредува софтверот пронајден на зафатените порти со очекуваниот.

Ажурирања и закрпи

Пред инсталацијата најновите ажурирањавашите јазли се целосно незаштитени, бидејќи најновите пропусти се покриени со тековните закрпи и ажурирања што ги користат хакерите за да навлезат во вашата мрежа. За разлика од алатките вградени во ОС, GFI LanGuard ќе го проверува не само самиот ОС, туку и популарниот софтвер чии пропусти обично се користат за хакирање: Adobe Acrobat/Reader, Флеш плеер, Skype, Outlook, прелистувачи, инстант-месинџери.

Ревизија на јазол

GFI LanGuard ќе се подготви за вас детален списокинсталираниот софтвер и хардвер на секој компјутер, ќе открие забранети или исчезнати програми, како и непотребни поврзани уреди. Резултатите од повеќекратното скенирање може да се споредат за да се идентификуваат промените во софтверот и хардвер.

Најнови разузнавачки информации за закани

Секое скенирање се врши по ажурирање на податоците за ранливости, чиј број во базата на податоци на GFI LanGuard веќе надмина 50.000. Информациите за заканите ги обезбедуваат самите продавачи на софтвер, како и доверливите списоци SANS и OVAL, така што секогаш сте заштитени од најновите закани, вклучително и крвавење, тајни, школки, пудлица, песочни црви и друго.

Автоматска корекција

Откако ќе добиете детален извештај за скенирање со опис на секоја ранливост и врски до понатамошно читање, повеќето закани можете да ги поправите со еден клик на копчето „Поправи“: портите ќе се затворат, клучевите од регистарот ќе се коригираат, ќе се инсталираат закрпи, ќе се ажурира софтверот, ќе се отстранат забранетите програми и ќе се инсталираат програмите што недостасуваат.