Programe pentru scanarea rețelelor pentru vulnerabilități. Comparația scanerelor de securitate în rețea. Comparația scanerelor de vulnerabilitate ale rețelei

EXAMINARE ŞI COMPARARE A SCANNERELOR DE VULNERABILITATE

Rozhkova Ekaterina Olegovna

Student în anul 4, Departamentul de automatizare și măsurători a navelor, Universitatea de Stat de Medicină din Sankt Petersburg, Federația Rusă, Sankt Petersburg

E- Poștă: rina1242. ro@ gmail. com

Ilyin Ivan Valerievici

Student în anul 4, Departamentul Tehnologii Informaționale Securizate

Universitatea Națională de Cercetare din Sankt Petersburg ITMO, Federația Rusă, Sankt Petersburg

E- Poștă: vanilina. va@ gmail. com

Galushin Serghei Yakovlevici

conducător științific, Ph.D. tehnologie. Stiinte, prorector adjunct pt munca stiintifica, Federația Rusă, Sankt Petersburg

Pentru un nivel ridicat de securitate, este necesar să folosiți nu numai firewall-uri, ci și să efectuați periodic măsuri de detectare a vulnerabilităților, de exemplu, folosind scanere de vulnerabilități. Identificarea în timp util a punctelor slabe ale sistemului va preveni accesul neautorizat și manipularea datelor. Dar care opțiune de scaner se potrivește cel mai bine nevoilor unui anumit sistem? Pentru a răspunde la această întrebare, în primul rând, trebuie să determinați defectele sistemului de securitate al computerului sau rețelei dvs. Conform statisticilor, cele mai multe atacuri apar prin lacune de securitate cunoscute și publicate, care pot să nu fie eliminate din multe motive, fie că este vorba de lipsa de timp, personal sau incompetență a administratorului de sistem. De asemenea, ar trebui să înțelegeți că, de obicei, un nedoritor poate pătrunde într-un sistem în mai multe moduri, iar dacă o metodă nu funcționează, intrusul poate încerca întotdeauna alta. Asigurarea nivelului maxim de securitate a sistemului necesită o analiză amănunțită a riscurilor și dezvoltarea ulterioară a unui model clar de amenințare pentru a prezice mai precis acțiuni posibile criminal ipotetic.

Cele mai frecvente vulnerabilități includ depășiri de buffer, posibile erori în configurarea routerului sau firewall-ului, vulnerabilități ale serverului Web, servere de mail, servere DNS, baze de date. În plus, nu ignora una dintre cele mai delicate zone securitatea informatiei- gestionarea utilizatorilor și a fișierelor, deoarece asigurarea nivelului de acces al utilizatorului cu privilegii minime este o sarcină specifică care necesită un compromis între experiența utilizatorului și asigurarea securității sistemului. Este necesar să menționăm problema parolelor goale sau slabe, a conturilor implicite și problema scurgerii de informații generale.

Scanerul de securitate este instrument software pentru diagnosticare la distanță sau locală diverse elemente rețele pentru a identifica diverse vulnerabilități în ele; pot reduce semnificativ timpul de lucru al specialiștilor și pot facilita căutarea vulnerabilităților.

Revizuirea scanerelor de securitate

Această lucrare a examinat scanere care au o versiune de probă gratuită, care vă permite să utilizați software-ul pentru a vă familiariza cu o listă limitată a capabilităților sale și pentru a evalua gradul de simplitate al interfeței. Următoarele scanere de vulnerabilitate populare au fost selectate ca subiecte ale revizuirii: Nessus, GFI LANguard, Retina, Scanner de securitate Shadow, Scanner de Internet.

Nessus

Nessus este un program pentru căutarea automată a defectelor de securitate cunoscute sisteme de informare. Poate detecta cele mai comune tipuri de vulnerabilități, precum prezența versiunilor vulnerabile de servicii sau domenii, erori de configurare (nu este nevoie de autorizare pe serverul SMTP), prezența parolelor implicite, parole goale sau slabe.

Scannerul Nessus este un instrument puternic și de încredere care aparține unei familii de scanere de rețea care vă permite să căutați vulnerabilități în serviciile de rețea oferite de sistemele de operare, firewall-uri, routere de filtrare și alte componente de rețea. Pentru a căuta vulnerabilități, acestea sunt folosite ca mijloace standard testarea și colectarea de informații despre configurarea și funcționarea rețelei și mijloace speciale, emulând acțiunile unui atacator de a pătrunde în sistemele conectate la rețea.

Programul are capacitatea de a vă conecta propriile proceduri sau șabloane de verificare. În acest scop, scanerul oferă un limbaj special de scripting numit NASL (Nessus Attack Scripting Language). Baza de date cu vulnerabilități este în continuă creștere și actualizare. Utilizatorii înregistrați primesc imediat toate actualizările, în timp ce alții (versiuni de încercare etc.) primesc o oarecare întârziere.

GFILanGuard

GFI LanGuard Network Security Scanner (N.S.S) este o soluție premiată care utilizează trei componente de bază pentru a vă proteja: scaner de securitate, gestionare a corecțiilor și control al rețelei dintr-o singură consolă unificată. Scanând întreaga rețea, determină totul posibile probleme securitate și, folosind extensia sa funcţionalitate raportare, oferă instrumentele necesare pentru a detecta, evalua, descrie și elimina orice amenințări.

Procesul de revizuire a securității produce peste 15.000 de evaluări ale vulnerabilităților și examinează rețelele pe o adresă IP. GFI LanGuard N.S.S. oferă posibilitatea de a efectua scanări pe mai multe platforme (Windows, Mac OS, Linux) în toate mediile și analizează starea rețelei pentru fiecare sursă de date. Acest lucru asigură că orice amenințări pot fi identificate și eliminate înainte ca hackerii să-și facă drumul.

GFI LanGuard N.S.S. vine cu o bază de date completă și cuprinzătoare de evaluare a vulnerabilităților, inclusiv standarde precum OVAL (peste 2.000 de valori) și SANS Top 20. Această bază de date este actualizată în mod regulat cu informații de la BugTraq, SANS Corporation, OVAL, CVE etc. Datorită automatei GFI LanGuard sistem de actualizare N.S.S. conține întotdeauna cele mai recente informații despre actualizările de securitate Microsoft, precum și informații de la GFI și alte depozite de informații, cum ar fi baza de date OVAL.

GFI LanGuard N.S.S. scanează computerele, identifică și clasifică vulnerabilități, recomandă acțiuni și oferă instrumente pentru rezolvarea problemelor. GFI LANguard N.S.S. folosește, de asemenea, un indicator grafic al nivelului de amenințare care oferă o evaluare intuitivă și echilibrată a stării de vulnerabilitate a unui computer scanat sau a unui grup de computere. Dacă este posibil, este furnizat un link sau Informații suplimentare pentru o problemă specifică, cum ar fi un identificator în BugTraq ID sau în baza de cunoștințe Microsoft.

GFI LanGuard N.S.S. vă permite să vă creați cu ușurință propriile scheme de testare a vulnerabilităților folosind un expert. Folosind motorul de scriptare VBScript, puteți scrie și verificări complexe de vulnerabilitate pentru GFI LanGuard N.S.S. GFI LanGuard N.S.S. include un editor de script și un depanator.

Retină

Retina Network Security Scanner, scanerul pentru vulnerabilități de rețea de la BeyondTrust, identifică vulnerabilitățile cunoscute ale rețelei și acordă prioritate amenințărilor pentru remediere. În timpul utilizării produs software toate computerele, dispozitivele, sistemele de operare, aplicațiile și rețelele fără fir sunt identificate.

Utilizatorii pot utiliza, de asemenea, Retina pentru a evalua riscurile de securitate a informațiilor, pentru a gestiona riscurile de proiect și pentru a îndeplini cerințele standardelor prin audituri ale politicilor întreprinderii. Acest scaner nu rulează codul de vulnerabilitate, astfel încât scanarea nu duce la pierderea funcționalității rețelei și a sistemelor analizate. Folosind tehnologia proprie de scanare Adaptive Speed retea locala Clasa C va dura aproximativ 15 minute, acest lucru este facilitat de Adaptive Speed ​​​​- o tehnologie de scanare de rețea securizată de mare viteză. În plus, setările flexibile ale zonei de scanare permit administrator de sistem analizați securitatea întregii rețele sau a unui segment dat fără a afecta funcționarea celor vecine. Se întâmplă actualizare automata copii locale ale bazei de date, astfel încât analiza rețelei este întotdeauna efectuată pe baza celor mai actuale date. Rata fals pozitive este mai mică de 1% și există un control flexibil al accesului la registrul de sistem.

UmbrăSecuritatescaner (SSS)

Acest scaner poate fi folosit pentru a detecta în mod fiabil atât cunoscute cât și necunoscute (la momentul lansării) versiune noua produs) vulnerabilități. Când scanează un sistem, SSS analizează datele, inclusiv căutând vulnerabilități și indică posibile erori în configurația serverului. În plus, scanerul sugerează posibile modalități de a rezolva aceste probleme și de a remedia vulnerabilitățile din sistem.

Ca tehnologie de tip backdoor, sistemul folosește nucleul propriei dezvoltări a producătorului, Shadow Security Scanner. Se poate observa că atunci când lucrează pe sistemul de operare Windows, SSS va scana serverele indiferent de platforma lor. Exemple de platforme includ platformele Unix (Linux, FreeBSD, OpenBSD, Net BSD, Solaris), platformele Windows (95/98/ME/NT/2000/XP/.NET/Win 7 și 8). Shadow Security Scanner poate detecta, de asemenea, erori în echipamentele de la CISCO, HP și altele. Acest scanner a fost creat de dezvoltatori interni și, în consecință, are o interfață rusă, precum și documentație și o linie de asistență fierbinte.

InternetScanner

Acest scaner oferă detectarea și analiza automată a vulnerabilităților în rețeaua corporativă. Capacitățile scanerului includ implementarea unui număr de verificări pentru identificarea ulterioară a vulnerabilităților în serviciile de rețea, sisteme de operare, routere, servere de e-mail și web, firewall-uri și aplicații software. Internet Scanner poate detecta și identifica mai mult de 1.450 de vulnerabilități, care pot include configurarea incorectă a echipamentelor de rețea, software învechit, servicii de rețea neutilizate, parole slabe etc. Este posibil să verificați protocoalele FTP, LDAP și SNMP, să verificați e-mailurile, să verificați RPC, NFS, NIS și DNS, să verificați posibilitatea unor atacuri precum „denial of service”, „ghicirea parolei”, verificări ale serverelor Web, script-uri CGI, Browsere web și terminale X. În plus, este posibil să verificați firewall-uri, servere proxy, servicii de acces la distanță, Sistemul de fișiere, subsistem de securitate și subsistem de audit, registru de sistem și actualizări instalate Sistemul de operare Windows, etc. Internet Scanner vă permite să analizați prezența unei singure vulnerabilități într-o anumită zonă a rețelei, de exemplu, verificând instalarea unui anumit patch sistem de operare. Internet Scanner poate funcționa server Windows NT, acceptă și sistemele de operare AIX, HP-UX, Linux și Solaris.

Înainte de a alege criteriile de comparare, trebuie subliniat că criteriile ar trebui să acopere toate aspectele utilizării scanerelor de securitate: de la metodele de colectare a informațiilor până la cost. Utilizarea unui scaner de securitate începe cu planificarea implementării și implementarea în sine. Prin urmare, primul grup de criterii se referă la arhitectura scanerelor de securitate, interacțiunea componentelor acestora, instalare și management. Următorul grup de criterii - scanarea - ar trebui să acopere metodele utilizate de scanerele comparate pentru a efectua acțiunile enumerate, precum și alți parametri asociați cu etapele specificate ale produsului software. Criteriile importante includ, de asemenea, rezultatele scanării, în special modul în care sunt stocate și ce rapoarte pot fi generate pe baza acestora. Următoarele criterii pe care trebuie să vă concentrați sunt criteriile de actualizare și suport, care vă permit să clarificați probleme precum metodele și metodele de actualizare, nivelul suport tehnic, disponibilitatea instruirii autorizate etc. Ultimul grup include un singur criteriu, dar foarte important - costul.

· Sisteme suportate;

· Interfață prietenoasă;

· Capabilitati de scanare (profiluri de scanare);

· Capacitate de personalizare a profilurilor (cât de flexibil);

· Identificarea serviciilor și aplicațiilor;

· Identificarea vulnerabilităților;

· Generarea de rapoarte (formate);

· Abilitatea de a genera un raport personalizat (al dvs.);

· Frecvență de actualizare;

· Suport tehnic.

Tabelul 1. Comparația scanerelor de vulnerabilitate
Scanner		GFI LanGuard
Preț	131.400 RUB/an	1610 rub. pentru o adresă IP. Cu cât sunt mai multe adrese IP, cu atât costul este mai mic		Costul variază în funcție de numărul de adrese IP De la 30.000 de ruble pentru 64 IP la 102.000 pentru 512 IP	Costul variază în funcție de numărul de adrese IP (valoare nominală - 6000 de ruble)
A sustine sisteme vii	software personalizat	Windows, Mac OS, Linux	Cisco, Linux, UNIX, Windows	Unix, Linux, FreeBSD, OpenBSD, Net BSD, Solaris, Windows 95/98/ME/NT/2000/XP/.NET	Windows, AIX, HP-UX, Linux și Solaris
Prietenie Intervenţie față	Interfață simplă și intuitivă	Interfață simplă și intuitivă	Interfață clară	Interfață prietenoasă și clară	Interfață clară
Posibil ness filigran rătăcire	Sistemul de setări flexibile, tipul de scanare și parametrii variază, este posibilă scanarea anonimă. Opțiuni posibile scanări: SYN scan, FIN scan – cerere FIN pură; Xmas Tree - include FIN, URG, PUSH în cerere; Null scan, FTP bounce scan, Ident scan, UDP scan etc. De asemenea, este posibil să vă conectați propriile proceduri de verificare, pentru care este furnizat un limbaj de scripting special - NASL (Nessus Attack Scripting Language). Scanerul folosește atât instrumente standard pentru testarea și colectarea de informații despre configurația și funcționarea rețelei, cât și instrumente speciale care emulează acțiunile unui potențial intrus pentru a pătrunde în sisteme.	Scanarea porturilor TCP/IP și UDP.Se verifică sistemul de operare, mediile și aplicațiile virtuale, dispozitivele mobile; sunt utilizate bazele de date OVAL și SANS Top 20.	Vulnerabilitățile sunt detectate folosind un test de penetrare, iar riscurile sunt evaluate și prioritățile lor de atenuare sunt determinate pe baza unei evaluări a probabilității de exploatare. Vulnerabilități (de la Core Impact®, Metasploit®, Exploit-db), CVSS și alți factori.	FTP, SSH, Telnet, SMTP, DNS, Finger, HTTP, POP3, IMAP, NetBios, NFS, NNTP, SNMP, Squid (SSS este singurul scaner din lume care verifică serverele proxy pentru audituri - alte scanere determină pur și simplu prezența un port), LDAP (singurul scaner din lume care verifică serverele LDAP pentru audituri - alte scanere determină pur și simplu prezența unui port), HTTPS, SSL, TCP/IP, UDP, Registry etc. Creați cu ușurință propriile rapoarte.	verificări FTP, LDAP și SNMP; verificarea e-mailurilor; Verificări RPC, NFS, NIS și DNS; verificarea posibilității atacurilor de denial of service; verifică prezența atacurilor de „ghicire a parolei” (Brute Force); verificarea serverelor web și a scripturilor CGI, a browserelor web și a terminalelor X; verificarea firewall-urilor și serverelor proxy; verificarea serviciilor de acces la distanță; Verificări ale sistemului de fișiere ale sistemului de operare Windows; verificarea subsistemului de securitate și a subsistemului de audit al sistemului de operare Windows; verificarea registrului de sistem și a actualizărilor sistemului de operare Windows instalate; verificarea prezenței modemurilor în rețea și a prezenței cailor troieni; servicii de verificare și demoni; verificări de cont.
Identifica ficarea serviciilor si aplicatiilor mirii	Implementarea de înaltă calitate a procedurii de identificare a serviciilor și aplicațiilor.	Detectarea aplicațiilor neautorizate/malware și lista neagră cu un nivel ridicat de vulnerabilitate.	Detectarea sistemului de operare, aplicații, baze de date, aplicații web.	Verifică fiecare port pentru a determina ce servicii ascultă pe el. Detectează sistemul de operare, aplicații, baze de date, aplicații web.	Identifică vulnerabilitățile serviciilor de rețea, sistemelor de operare, routerelor, serverelor de e-mail și Web, firewall-urilor și aplicațiilor software.
Generarea unui raport	Abilitatea de a salva rapoarte în formate nessus (xml), pdf, html, csv, nessus DB	Abilitatea de a genera rapoarte, de la rapoarte privind tendințele de utilizare a rețelei pentru management până la rapoarte detaliate pentru personalul tehnic. Este posibil să se creeze rapoarte privind conformitatea cu standardele: Health Insurance Portability and Accountability Act (HIPAA), Public Services Network - Code of Connection (PSN CoCo), Sarbanes - Oxley Act (SOX), Gramm - Leach - Bliley Act (GLB/ GLBA), cunoscut și ca Standard de securitate digitală a industriei cardurilor de plată (PCI-DSS).	Există instrumente de generare de rapoarte, una dintre cele mai largi game de capabilități de raportare.	Are capacitatea de a salva raportul atât în ​​format html, cât și în formate xml, pdf, rtf, chm. Procesul de creare a unui raport în sine are loc sub forma selectării informațiilor necesare pentru a fi afișate. Posibilitatea de a crea un raport este disponibilă numai în versiunea completă.	Un subsistem puternic de generare de rapoarte care vă permite să creați cu ușurință diverse forme de rapoarte și să le sortați după caracteristici.
Posibil capacitatea de generare raport gratuit	Da, doar în versiunea completă.			Da, doar în versiunea completă.
Frecvență de actualizare leniya	Actualizări regulate, dar utilizatorii versiunii de încercare nu primesc cele mai recente actualizări.	Actualizări frecvente	Actualizări frecvente	Actualizări regulate	Actualizări regulate
Techni suport tehnic	Prezent		Prezent	Prezent, disponibil în limba rusă.	Prezent

Lucrarea a examinat 5 scanere de vulnerabilitate, care au fost comparate în funcție de criteriile selectate.

În ceea ce privește eficiența, scannerul Nessus a fost ales drept lider, deoarece are cea mai completă gamă de capabilități pentru analiza securității unui sistem informatic. Cu toate acestea, este relativ scump în comparație cu alte scanere: dacă aveți un număr mic de adrese IP, este mai înțelept să alegeți GFI LanGuard sau SSS.

Bibliografie:

1. Dolgin A.A., Khorev P.B., Dezvoltarea unui scanner de vulnerabilități sisteme informatice bazat pe versiuni protejate ale sistemului de operare Windows, Procesele conferinței internaționale științifice și tehnice " Mijloace de informareși tehnologii”, 2005.
2. Portal de informații despre securitate [Resursa electronică] - Mod de acces. - URL: http://www.securitylab.ru/ (data accesării 27/03/15).
3. Revista online Softkey.info [Resursa electronica] - Mod de acces. - URL: http://www.softkey.info/ (data accesării 27/03/15).
4. Site-ul oficial al „GFI Software”. [Resursă electronică] - Mod de acces. - URL: http://www.gfi.ru/ (data accesării 27/03/15).
5. Site-ul oficial al „Beyond trust”. [Resursă electronică] - Mod de acces. - URL: http://www.beyondtrust.com/Products/RetinaNetworkSecurityScanner/ (accesat 03/27/15).
6. Site-ul oficial al IBM [Resursa electronică] - Modul de acces. - URL: http://www.ibm.com/ (accesat 03/27/15).
7. Site-ul oficial Tenable Network Security [Resursa electronică] - Mod de acces. - URL: http://www.tenable.com/products/nessus-vulnerability-scanner/ (accesat 03/27/15).
8. Site-ul oficial „safety-lab”. [Resursă electronică] - Mod de acces. - URL: http://www.safety-lab.com/ (accesat 27/03/15).
9. Soluții IBM pentru securitatea informațiilor [Resursa electronică] - Modul de acces. - URL: http://www.ibm.com/ru/services/iss/pdf/ISS_2009_DB_s10.pdf (accesat 03/27/15).
10. Khorev P.B., Metode și mijloace de protecție a informațiilor în sistemele informatice, M., Centrul de publicare „Academie”, 2005.

După cum puteți vedea, au fost o mulțime și toate sunt foarte periculoase pentru sistemele expuse acestora. Este important nu numai să vă actualizați sistemul la timp pentru a vă proteja de noile vulnerabilități, ci și să vă asigurați că sistemul dumneavoastră nu conține vulnerabilități care au fost remediate cu mult timp în urmă pe care hackerii le pot exploata.

Aici vin în ajutor scanerele de vulnerabilitate Linux. Instrumentele de analiză a vulnerabilităților sunt una dintre cele mai importante componente ale sistemului de securitate al fiecărei companii. Verificarea aplicațiilor și sistemelor pentru vulnerabilități vechi este o practică obligatorie. În acest articol ne vom uita cele mai bune scanere vulnerabilitati, cu deschise cod sursa, pe care îl puteți utiliza pentru a detecta vulnerabilități în sistemele și programele dvs. Toate sunt complet gratuite și pot fi folosite ca utilizatori obișnuiți, și în sectorul corporativ.

OpenVAS sau Open Vulnerability Assessment System este o platformă completă pentru căutarea vulnerabilităților, care este distribuită ca sursă deschisă. Programul se bazează pe codul sursă al scanerului Nessus. Inițial, acest scanner a fost distribuit ca sursă deschisă, dar apoi dezvoltatorii au decis să închidă codul, iar apoi, în 2005, OpenVAS a fost creat pe baza versiunii deschise a lui Nessus.

Programul constă dintr-o parte server și client. Serverul, care realizează activitatea principală a sistemelor de scanare, rulează numai în Linux, iar programele client acceptă și Windows; serverul poate fi accesat prin interfața web.

Nucleul scanerului conține peste 36.000 de verificări diferite de vulnerabilitate și este actualizat în fiecare zi cu adăugarea unora noi, descoperite recent. Programul poate detecta vulnerabilități în serviciile care rulează și, de asemenea, poate căuta setări incorecte, de exemplu, lipsa autentificării sau parole foarte slabe.

2. Nexpose Community Edition

Acesta este un alt instrument de scanare a vulnerabilităților Linux open source dezvoltat de Rapid7, aceeași companie care a lansat Metasploit. Scanerul poate detecta până la 68.000 de vulnerabilități cunoscute și poate efectua peste 160.000 de scanări ale rețelei.

Versiunea Comunity este complet gratuită, dar are o limitare de a scana simultan până la 32 de adrese IP și un singur utilizator. De asemenea, licența trebuie reînnoită în fiecare an. Nu există scanare a aplicațiilor web, dar acceptă actualizarea automată a bazei de date de vulnerabilități și primirea de informații despre vulnerabilități de la Microsoft Patch.

Programul poate fi instalat nu numai pe Linux, ci și pe Windows, iar gestionarea se realizează prin interfața web. Folosind-o, puteți seta parametrii de scanare, adresele IP și alte informații necesare.

Odată ce scanarea este finalizată, veți vedea o listă de vulnerabilități, precum și informații despre software-ul instalat și sistemul de operare pe server. De asemenea, puteți crea și exporta rapoarte.

3. Burp Suite Ediție gratuită

Burp Suite este un scanner pentru vulnerabilități web scris în Java. Programul constă dintr-un server proxy, un păianjen, un instrument pentru generarea cererilor și efectuarea testelor de stres.

CU folosind Burp puteți efectua testarea aplicației web. De exemplu, folosind un server proxy, puteți intercepta și vizualiza traficul care trece, precum și să îl modificați dacă este necesar. Acest lucru vă va permite să simulați multe situații. Păianjenul vă va ajuta să găsiți vulnerabilitățile web, iar instrumentul de generare de interogări vă va ajuta să găsiți puterea serverului web.

4. Arahni

Arachni este un cadru complet de testare a aplicațiilor web, scris în Ruby, care este open source. Vă permite să evaluați securitatea aplicațiilor web și a site-urilor prin efectuarea diferitelor teste de penetrare.

Programul acceptă scanarea cu autentificare, personalizarea antetelor, suport pentru spoofing Aser-Agent, suport pentru detectarea 404. În plus, programul are o interfață web și o interfață de linie de comandă, scanarea poate fi întreruptă și apoi reluată și, în general, totul funcționează foarte repede .

5. OWASP Zed Attack Proxy (ZAP)

OWASP Zed Attack Proxy este un alt instrument cuprinzător pentru găsirea vulnerabilităților în aplicațiile web. Toate caracteristicile standard pentru acest tip de program sunt acceptate. Puteți scana porturi, puteți verifica structura site-ului, puteți căuta multe vulnerabilități cunoscute și puteți verifica dacă cererile repetate sau datele incorecte sunt procesate corect.

Programul poate funcționa pe https și, de asemenea, acceptă diverse proxy. Deoarece programul este scris în Java, este foarte ușor de instalat și utilizat. Pe lângă caracteristicile de bază, există un număr mare de plugin-uri care pot crește foarte mult funcționalitatea.

6. Clair

Clair este un instrument pentru găsirea vulnerabilităților Linux în containere. Programul conține o listă de vulnerabilități care pot fi periculoase pentru containere și avertizează utilizatorul dacă astfel de vulnerabilități au fost descoperite în sistemul dumneavoastră. De asemenea, programul poate trimite notificări dacă apar noi vulnerabilități care ar putea face containerele nesigure.

Fiecare container este verificat o dată și nu este nevoie să-l lansați pentru a-l verifica. Programul poate prelua toate datele necesare dintr-un container dezactivat. Aceste date sunt stocate într-un cache pentru a putea notifica despre vulnerabilități în viitor.

7.Powerfuzzer

Powerfuzzer este un crawler web complet, automat și personalizabil, care vă permite să testați modul în care o aplicație web reacționează la datele nevalide și la solicitările repetate. Instrumentul acceptă doar protocolul HTTP și poate detecta vulnerabilități precum atacurile XSS, SQL injection, LDAP, CRLF și XPATH. De asemenea, acceptă urmărirea pentru 500 de erori, care ar putea indica o configurare greșită sau chiar un pericol, cum ar fi o depășire a tamponului.

8. Nmap

Nmap nu este tocmai un scaner de vulnerabilități pentru Linux. Acest program vă permite să scanați rețeaua și să aflați ce noduri sunt conectate la ea, precum și să determinați ce servicii rulează pe ele. Acest lucru nu oferă informații complete despre vulnerabilități, dar puteți ghici care dintre ele. software poate fi vulnerabil, încercați să spargeți parole slabe. De asemenea, este posibil să rulați scripturi speciale care vă permit să identificați anumite vulnerabilități în anumite programe.

concluzii

În acest articol am trecut în revistă cele mai bune scanere de vulnerabilități Linux, ele vă permit să vă mențineți sistemul și aplicațiile sub control. siguranta deplina. Ne-am uitat la programe care vă permit să scanați sistemul de operare în sine sau aplicațiile și site-urile web.

În cele din urmă, puteți viziona un videoclip despre ce sunt scanerele de vulnerabilitate și de ce sunt necesare:

Problema unei epidemii de viermi de rețea este relevantă pentru orice rețea locală. Mai devreme sau mai târziu, poate apărea o situație când un vierme de rețea sau de e-mail pătrunde în LAN și nu este detectat de antivirusul utilizat. Un virus de rețea se răspândește pe o rețea LAN prin vulnerabilități ale sistemului de operare care nu au fost închise în momentul infectării sau prin vulnerabilități care pot fi scrise resurse partajate. Virusul mailului, după cum sugerează și numele, este distribuit prin e-mail, cu condiția să nu fie blocat de client antivirus și antivirus pe server de mail. În plus, o epidemie pe un LAN poate fi organizată din interior ca urmare a activităților unui insider. În acest articol ne vom uita la metode practice pentru analiza operațională a computerelor LAN folosind diverse instrumente, în special folosind utilitarul AVZ al autorului.

Formularea problemei

Dacă în rețea este detectată o epidemie sau o activitate anormală, administratorul trebuie să rezolve rapid cel puțin trei sarcini:

• detectează computerele infectate în rețea;
• găsiți mostre de malware pentru a le trimite unui laborator antivirus și dezvoltați o strategie de contracarare;
• luați măsuri pentru a bloca răspândirea virusului pe LAN și pentru a-l distruge pe computerele infectate.

În cazul activității din interior, pașii principali de analiză sunt identici și cel mai adesea se rezumă la necesitatea de a detecta software-ul terț instalat de către insider pe computerele LAN. Exemple de astfel de software includ utilitare de administrare la distanță, keyloggersși diverse marcaje troiene.

Să luăm în considerare mai detaliat soluția pentru fiecare dintre sarcini.

Căutați computere infectate

Pentru a căuta computere infectate în rețea, puteți utiliza cel puțin trei metode:

• analiza automată de la distanță a PC-ului - obținerea de informații despre procesele care rulează, biblioteci și drivere încărcate, căutarea modelelor caracteristice - de exemplu, procese sau fișiere cu prenume;
• Analiza traficului PC folosind un sniffer - aceasta metoda foarte eficient pentru prinderea roboților de spam, a viermilor de e-mail și de rețea, cu toate acestea, principala dificultate în utilizarea unui sniffer se datorează faptului că o rețea LAN modernă este construită pe baza comutatoarelor și, ca urmare, administratorul nu poate monitoriza traficul de intreaga retea. Problema poate fi rezolvată în două moduri: prin rularea unui sniffer pe router (care vă permite să monitorizați schimbul de date PC cu Internetul) și prin utilizarea funcțiilor de monitorizare ale comutatoarelor (multe întrerupătoare moderne vă permit să atribuiți un port de monitorizare căruia se dublează traficul unuia sau mai multor porturi de comutare specificate de administrator);
• studiul încărcării rețelei - în acest caz, este foarte convenabil să utilizați comutatoare inteligente, care vă permit nu numai să evaluați sarcina, ci și să dezactivați de la distanță porturile specificate de administrator. Această operațiune este mult simplificată dacă administratorul are o hartă a rețelei, care conține informații despre ce PC-uri sunt conectate la porturile de comutare corespunzătoare și unde sunt amplasate;
• utilizarea honeypots - se recomandă insistent crearea mai multor honeypots în rețeaua locală, care să permită administratorului să detecteze în timp util o epidemie.

Analiza automată a PC-urilor din rețea

Analiza automată a computerului poate fi redusă la trei etape principale:

• efectuarea unei scanări complete a PC-ului - rularea proceselor, biblioteci și drivere încărcate, pornire automată;
• efectuarea de cercetări operaționale - de exemplu, căutarea proceselor sau fișierelor caracteristice;
• carantină a obiectelor după anumite criterii.

Toate problemele de mai sus pot fi rezolvate folosind utilitarul AVZ al autorului, care este conceput pentru a fi lansat dintr-un folder de rețea de pe server și acceptă un limbaj de scripting pentru inspecția automată a computerului. Pentru a rula AVZ pe computerele utilizatorului trebuie să:

1. Plasați AVZ într-un folder de rețea de pe server care este deschis pentru citire.
2. Creați subdirectoare Jurnal și Coran în acest folder și permiteți utilizatorilor să scrie în ele.
3. Lansați AVZ pe computere LAN utilizând utilitarul rexec sau scriptul de conectare.

Lansarea AVZ la pasul 3 ar trebui făcută cu următorii parametri:

\\my_server\AVZ\avz.exe Prioritate=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

În acest caz, parametrul Priority=-1 scade prioritatea procesului AVZ, parametrii nw=Y și nq=Y comută carantina în modul „rulare în rețea” (în acest caz, se creează un subdirector în folderul de carantină pentru fiecare computer, al cărui nume se potrivește cu numele de rețea al computerului), HiddenMode=2 indică interzicerea accesului utilizatorului la controalele GUI și AVZ și, în sfârșit, cel mai important parametru Script specifică numele complet al scriptului cu comenzile pe care AVZ le va executa pe computerul utilizatorului. Limbajul de scripting AVZ este destul de simplu de utilizat și se concentrează exclusiv pe rezolvarea problemelor de examinare și tratament pe calculator. Pentru a simplifica procesul de scriere a scripturilor, puteți utiliza un editor de script specializat, care conține un prompt online, un vrăjitor pentru crearea de script-uri standard și instrumente pentru verificarea corectitudinii script-ului scris fără a-l rula (Fig. 1).

Orez. 1. Editor de script AVZ

Să ne uităm la trei scenarii tipice care pot fi utile în lupta împotriva epidemiei. În primul rând, avem nevoie de un script de cercetare pentru PC. Sarcina scriptului este de a examina sistemul și de a crea un protocol cu ​​rezultatele într-un folder de rețea dat. Scriptul arată astfel:

ActivateWatchDog(60 * 10);

// Începeți scanarea și analiza

// Explorarea sistemului

ExecuteSysCheck(GetAVZDirectory+

‘\LOG\’+GetComputerName+’_log.htm’);

//Oprire AVZ

În timpul execuției acestui script, fișierele HTML cu rezultatele studiului calculatoarelor din rețea vor fi create în folderul LOG (presupunând că este creat în directorul AVZ de pe server și este disponibil pentru scris de utilizatori) și pentru a se asigura unicitatea, numele computerului examinat este inclus în numele protocolului. La începutul scriptului există o comandă pentru a activa un timer watchdog, care va încheia forțat procesul AVZ după 10 minute dacă apar erori în timpul execuției scriptului.

Protocolul AVZ este convenabil pentru studiul manual, dar este de puțin folos pentru analiza automată. În plus, administratorul știe adesea numele fișierului malware și trebuie doar să verifice prezența sau absența acestui fișier și, dacă este prezent, să îl pună în carantină pentru analiză. În acest caz, puteți utiliza următorul script:

// Activați temporizatorul watchdog pentru 10 minute

ActivateWatchDog(60 * 10);

// Căutați malware după nume

QuarantineFile('%WinDir%\smss.exe', 'Suspect despre LdPinch.gen');

QuarantineFile('%WinDir%\csrss.exe', 'Suspect de LdPinch.gen');

//Oprire AVZ

Acest script folosește funcția QuarantineFile pentru a încerca să pună în carantină fișierele specificate. Administratorul poate analiza doar conținutul carantinei (dosarul Carantină\nume_rețea_PC\data_carantină\) pentru prezența fișierelor aflate în carantină. Vă rugăm să rețineți că funcția QuarantineFile blochează automat carantina fișierelor identificate de baza de date securizată AVZ sau de baza de date de semnături digitale Microsoft. Pentru aplicație practică acest script poate fi îmbunătățit - organizați încărcarea numelor de fișiere dintr-un fișier text extern, verificați fișierele găsite cu bazele de date AVZ și generați un protocol text cu rezultatele lucrării:

// Căutați un fișier cu numele specificat

funcția CheckByName(Fname: șir) : boolean;

Rezultat:= FileExists(FName) ;

dacă rezultatul începe

caz CheckFile(FName) of

1: S:= ‘, accesul la fișier este blocat’;

1: S:= ‘, detectat ca Malware (‘+GetLastCheckTxt+’)’;

2: S:= ‘, suspectat de scanerul de fișiere (‘+GetLastCheckTxt+’)’;

3: ieșire; // Fișierele sigure sunt ignorate

AddToLog(‘Fișierul ‘+NormalFileName(FName)+’ are un nume suspect’+S);

//Adăugați fișierul specificat în carantină

QuarantineFile(FName,’fișier suspect’+S);

SuspNames: TStringList; // Lista de nume de fișiere suspecte

// Verificarea fișierelor cu baza de date actualizată

dacă FileExists(GetAVZDirectory + ‘files.db’), atunci începe

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('Baza de date cu nume încărcată - numărul de înregistrări = '+inttostr(SuspNames.Count));

// Buclă de căutare

pentru i:= 0 la SuspNames.Count - 1 do

CheckByName(SuspNames[i]);

AddToLog('Eroare la încărcarea listei de nume de fișiere');

SaveLog(GetAVZDirectory+’\LOG\’+

GetComputerName+’_files.txt’);

Pentru ca acest script să funcționeze, trebuie să creați directoarele Carantină și LOG în folderul AVZ, accesibil utilizatorilor pentru scriere, precum și fisier text files.db - fiecare linie a acestui fișier va conține numele fișierului suspect. Numele fișierelor pot include macrocomenzi, dintre care cele mai utile sunt %WinDir% (calea către folderul Windows) și %SystemRoot% (calea către folderul System32). O altă direcție de analiză ar putea fi o examinare automată a listei de procese care rulează pe computerele utilizatorului. Informațiile despre rularea proceselor se află în protocolul de cercetare a sistemului, dar pentru analiza automată este mai convenabil să utilizați următorul fragment de script:

procedura ScanProcess;

S:= ''; S1:= '';

//Actualizarea listei de procese

RefreshProcessList;

AddToLog(‘Numărul de procese = ‘+IntToStr(GetProcessCount));

// Ciclul de analiză a listei primite

pentru i:= 0 la GetProcessCount - 1 începe

S1:= S1 + ‘,’ + ExtractFileName(GetProcessName(i));

// Căutați procesul după nume

dacă pos(‘trojan.exe’, LowerCase(GetProcessName(i))) > 0 atunci

S:= S + GetProcessName(i)+’,’;

daca S<>''apoi

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

Studiul proceselor din acest script este efectuat ca o procedură ScanProcess separată, astfel încât este ușor să îl plasați în propriul script. Procedura ScanProcess creează două liste de procese: lista plina procese (pentru analiza ulterioară) și o listă de procese care, din punctul de vedere al administratorului, sunt considerate periculoase. În acest caz, în scopuri demonstrative, un proces numit „trojan.exe” este considerat periculos. Informațiile despre procesele periculoase sunt adăugate în fișierul text _alarm.txt, datele despre toate procesele sunt adăugate în fișierul _all_process.txt. Este ușor de observat că puteți complica scriptul adăugându-i, de exemplu, verificarea fișierelor de proces cu o bază de date de fișiere sigure sau verificarea numelor fișiere executabile proceselor pe o bază externă. O procedură similară este utilizată în scripturile AVZ utilizate în Smolenskenergo: administratorul studiază periodic informațiile colectate și modifică scriptul, adăugând la acesta numele proceselor programelor interzise de politica de securitate, de exemplu ICQ și MailRu.Agent, care permite să verificați rapid prezența software-ului interzis pe PC-urile studiate. O altă utilizare a listei de procese este de a găsi PC-uri cărora le lipsește un proces necesar, cum ar fi un antivirus.

În concluzie, să ne uităm la ultimul dintre scripturile utile de analiză - un script pentru carantina automată a tuturor fișierelor care nu sunt recunoscute de baza de date sigură AVZ și de baza de date a semnăturilor digitale Microsoft:

// Efectuați carantină automată

ExecuteAutoQuarantine;

Carantina automată examinează procesele care rulează și bibliotecile, serviciile și driverele încărcate, aproximativ 45 de metode de pornire automată, module de extensie a browserului și a exploratorului, handlere SPI/LSP, joburi de planificare, handlere de sistem de imprimare etc. O caracteristică specială a carantinei este că fișierele sunt adăugate la ea cu control de repetare, astfel încât funcția de autocarantină poate fi apelată în mod repetat.

Avantajul carantinei automate este că, cu ajutorul ei, administratorul poate colecta rapid fișiere potențial suspecte de pe toate computerele din rețea pentru examinare. Cea mai simplă (dar foarte eficientă în practică) formă de studiere a fișierelor poate fi verificarea carantinei rezultate cu mai multe antivirusuri populare în modul euristic maxim. Trebuie remarcat faptul că lansarea simultană a carantinei automate pe câteva sute de computere poate crea o sarcină mare în rețea și serverul de fișiere.

Cercetare în trafic

Cercetarea traficului poate fi efectuată în trei moduri:

• manual folosind sniffer;
• în modul semi-automat - în acest caz, sniffer-ul colectează informații, iar apoi protocoalele sale sunt procesate fie manual, fie de un software;
• folosind automat sisteme de detectare a intruziunilor (IDS) precum Snort (http://www.snort.org/) sau analogii lor software sau hardware. În cel mai simplu caz, un IDS este format dintr-un sniffer și un sistem care analizează informațiile colectate de sniffer.

Un sistem de detectare a intruziunilor este un instrument optim, deoarece vă permite să creați seturi de reguli pentru a detecta anomalii în activitatea rețelei. Al doilea avantaj al său este următorul: cele mai moderne ID-uri permit plasarea agenților de monitorizare a traficului pe mai multe noduri de rețea - agenții colectează informații și le transmit. În cazul utilizării unui sniffer, este foarte convenabil să folosiți consola UNIX sniffer tcpdump. De exemplu, pentru a monitoriza activitatea pe portul 25 ( Protocolul SMTP) doar rulați sniffer-ul cu Linie de comanda tip:

tcpdump -i em0 -l tcp portul 25 > smtp_log.txt

În acest caz, pachetele sunt capturate prin interfața em0; informațiile despre pachetele capturate vor fi stocate în fișierul smtp_log.txt. Protocolul este relativ ușor de analizat manual; în acest exemplu, analiza activității pe portul 25 vă permite să identificați computerele cu roboți de spam activi.

Aplicarea Honeypot

Poate fi folosit ca o capcană (Honeypot) calculator învechit, a cărei performanță nu permite să fie folosită pentru rezolvare sarcini de producție. De exemplu, un Pentium Pro cu 64 MB este folosit cu succes ca o capcană în rețeaua autorului memorie cu acces aleator. Pe acest computer ar trebui să instalați cel mai comun sistem de operare pe LAN și să selectați una dintre strategiile:

• Instalați un sistem de operare fără pachete de actualizare - va fi un indicator al apariției unui vierme de rețea activ în rețea, exploatând oricare dintre vulnerabilitățile cunoscute pentru acest sistem de operare;
• instalați un sistem de operare cu actualizări care sunt instalate pe alte PC-uri din rețea - Honeypot va fi analog cu oricare dintre stațiile de lucru.

Fiecare strategie are atât argumentele sale pro și contra; Autorul folosește în principal opțiunea fără actualizări. După crearea Honeypot-ului, ar trebui să creați o imagine de disc pentru recuperare rapida sistem după ce a fost deteriorat de malware. Ca o alternativă la o imagine de disc, puteți utiliza sisteme de derulare a modificărilor, cum ar fi ShadowUser și analogii săi. După ce ați construit un Honeypot, ar trebui să țineți cont de faptul că un număr de viermi de rețea caută computere infectate prin scanarea intervalului IP, calculat din adresa IP a PC-ului infectat (strategiile tipice comune sunt X.X.X.*, X.X.X+1.*, X.X.X-1.*), - prin urmare, în mod ideal, ar trebui să existe un Honeypot pe fiecare subrețea. Ca elemente suplimentare de pregătire, cu siguranță ar trebui să deschideți accesul la mai multe foldere de pe sistemul Honeypot, iar în aceste foldere ar trebui să puneți mai multe fișiere eșantion de diferite formate, setul minim este EXE, JPG, MP3.

Desigur, după ce a creat un Honeypot, administratorul trebuie să-i monitorizeze funcționarea și să răspundă la orice anomalii detectate pe acest calculator. Auditorii pot fi folosiți ca mijloc de înregistrare a modificărilor; un sniffer poate fi folosit pentru a înregistra activitatea în rețea. Un punct important este că majoritatea sniffer-urilor oferă posibilitatea de a configura trimiterea unei alerte către administrator dacă este detectată o activitate de rețea specificată. De exemplu, în CommView sniffer, o regulă implică specificarea unei „formule” care descrie un pachet de rețea sau specificarea unor criterii cantitative (trimiterea mai mult decât un anumit număr de pachete sau octeți pe secundă, trimiterea de pachete către adrese IP sau MAC neidentificate) - Smochin. 2.

Orez. 2. Creați și configurați o alertă de activitate în rețea

Ca avertisment, cel mai convenabil este să utilizați mesajele de e-mail trimise către Cutie poștală administrator - în acest caz, puteți primi alerte prompte de la toate capcanele din rețea. În plus, dacă sniffer-ul vă permite să creați mai multe alerte, este logic să diferențiați activitatea în rețea prin evidențierea lucrului cu prin e-mail, FTP/HTTP, TFTP, Telnet, MS Net, a crescut traficul cu peste 20-30 de pachete pe secundă pentru orice protocol (Fig. 3).

Orez. 3. Scrisoare de notificare trimisă
dacă sunt detectate pachete care corespund criteriilor specificate

Atunci când organizați o capcană, este o idee bună să plasați pe ea mai multe servicii de rețea vulnerabile utilizate în rețea sau să instalați un emulator pentru acestea. Cel mai simplu (și gratuit) este utilitarul proprietar APS, care funcționează fără instalare. Principiul de funcționare al APS se rezumă la ascultarea multor porturi TCP și UDP descrise în baza sa de date și emiterea unui răspuns predeterminat sau generat aleatoriu în momentul conexiunii (Fig. 4).

Orez. 4. Fereastra principală a utilitarului APS

Figura arată o captură de ecran făcută în timpul unei activări reale APS pe LAN Smolenskenergo. După cum se poate observa în figură, s-a înregistrat o încercare de conectare a unuia dintre calculatoarele client pe portul 21. Analiza protocoalelor a arătat că încercările sunt periodice și sunt înregistrate de mai multe capcane în rețea, ceea ce ne permite să concluzionam că rețeaua este scanată pentru a căuta și a pirata serverele FTP prin ghicirea parolelor. APS păstrează jurnalele și poate trimite mesaje administratorilor cu rapoarte ale conexiunilor înregistrate la porturile monitorizate, ceea ce este convenabil pentru detectarea rapidă a scanărilor de rețea.

Când creați un honeypot, este de asemenea util să vă familiarizați cu resursele online pe această temă, în special http://www.honeynet.org/. În secțiunea Instrumente a acestui site (http://www.honeynet.org/tools/index.html) puteți găsi o serie de instrumente pentru înregistrarea și analizarea atacurilor.

Eliminarea de la distanță a programelor malware

În mod ideal, după ce au fost descoperite mostre malware administratorul le trimite la laboratorul antivirus, unde sunt studiate cu promptitudine de către analiști și semnăturile corespunzătoare sunt introduse în baza de date antivirus. Aceste semnături sunt actualizate automat pe computerul utilizatorului, iar antivirusul elimină automat malware-ul fără intervenția administratorului. Cu toate acestea, acest lanț nu funcționează întotdeauna conform așteptărilor; în special, sunt posibile următoarele motive pentru eșec:

• din mai multe motive independente de administratorul de rețea, imaginile pot să nu ajungă în laboratorul antivirus;
• eficiența insuficientă a laboratorului antivirus - în mod ideal, nu durează mai mult de 1-2 ore pentru a studia mostre și a le introduce în baza de date, ceea ce înseamnă că bazele de date de semnături actualizate pot fi obținute într-o zi lucrătoare. Cu toate acestea, nu toate laboratoarele antivirus funcționează atât de repede și puteți aștepta câteva zile pentru actualizări (în cazuri rare, chiar și săptămâni);
• performanță ridicată a antivirusului - o serie de programe rău intenționate, după activare, distrug antivirusurile sau perturbă în alt mod funcționarea acestora. Exemplele clasice includ realizarea de intrări în fișierul hosts care blochează munca normala sisteme de actualizare automată antivirus, ștergerea proceselor, a serviciilor și a driverelor antivirus, deteriorarea setărilor acestora etc.

Prin urmare, în situațiile de mai sus, va trebui să vă ocupați manual de malware. În cele mai multe cazuri, acest lucru nu este dificil, deoarece rezultatele examinării computerului dezvăluie computerele infectate, precum și numele complete ale fișierelor malware. Tot ce rămâne este să le eliminați de la distanță. Dacă programul rău intenționat nu este protejat de ștergere, atunci acesta poate fi distrus folosind următorul script AVZ:

// Ștergerea unui fișier

DeleteFile('nume fișier');

ExecuteSysClean;

Acest script șterge un fișier specificat (sau mai multe fișiere, deoarece poate exista un număr nelimitat de comenzi DeleteFile într-un script) și apoi curăță automat registry. Într-un caz mai complex, malware-ul se poate proteja împotriva ștergerii (de exemplu, re-creând fișierele și cheile de registry) sau se poate masca folosind tehnologia rootkit. În acest caz, scriptul devine mai complicat și va arăta astfel:

// Anti-rootkit

SearchRootkit (adevărat, adevărat);

// Controlează AVZGuard

SetAVZGuardStatus(true);

// Ștergerea unui fișier

DeleteFile('nume fișier');

// Activați înregistrarea BootCleaner

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// Importă în sarcina BootCleaner o listă de fișiere șterse de script

BC_ImportDeletedList;

// Activați BootCleaner

// Curățarea sistemului euristic

ExecuteSysClean;

Reporniți Windows (adevărat);

Acest script include contracararea activă a rootkit-urilor, utilizarea sistemului AVZGuard (acesta este un blocator de activități malware) și a sistemului BootCleaner. BootCleaner este un driver care elimină obiectele specificate din KernelMode în timpul unei reporniri, într-un stadiu incipient al pornirii sistemului. Practica arată că un astfel de script este capabil să distrugă marea majoritate a programelor malware existente. Excepția este malware-ul care schimbă numele fișierelor executabile cu fiecare repornire - în acest caz, fișierele descoperite în timpul scanării sistemului pot fi redenumite. În acest caz, va trebui să vă dezinfectați computerul manual sau să vă creați propriile semnături malware (un exemplu de script care implementează o căutare de semnături este descris în ajutorul AVZ).

Concluzie

În acest articol, am analizat câteva tehnici practice de combatere manuală a unei epidemii LAN, fără utilizarea produselor antivirus. Majoritatea tehnicilor descrise pot fi folosite și pentru a căuta computere străine și marcaje troiene pe computerele utilizatorului. Dacă întâmpinați dificultăți în a găsi programe malware sau a crea scripturi de tratament, administratorul poate folosi secțiunea „Ajutor” a forumului http://virusinfo.info sau secțiunea „Lupta împotriva virușilor” a forumului http://forum.kaspersky.com /index.php?showforum= 18. Studiul protocoalelor și asistența la tratament se realizează gratuit pe ambele forumuri, analiza PC-ului se realizează conform protocoalelor AVZ, iar în majoritatea cazurilor tratamentul se rezumă la executarea unui script AVZ pe computerele infectate, compilat de specialiști cu experiență de pe aceste forumuri. .

Analiza comparativa scanere de securitate. Partea 1: Testul de penetrare (Scurt rezumat)

Alexandru Antipov

Acest document prezintă rezultatele unei comparații a scanerelor de securitate a rețelei în timpul testelor de penetrare față de nodurile perimetrale ale rețelei.

Lepihin Vladimir Borisovici
Șeful Laboratorului de securitate a rețelei de la Centrul de instruire Informzashchita

Toate materialele din raport sunt obiecte de proprietate intelectuală a centrului de formare Informzashita. Duplicarea, publicarea sau reproducerea materialelor raportului sub orice formă este interzisă fără acordul prealabil scris al Centrului de Formare Informzashita.

Textul integral al studiului:
http://www.itsecurity.ru/news/reliase/2008/12_22_08.htm

1. Introducere

Scanerele de securitate în rețea sunt perfecte pentru comparație. Toate sunt foarte diferite. Și datorită specificului sarcinilor pentru care sunt destinate și datorită scopului lor „dublu” (scanerele de securitate ale rețelei pot fi folosite atât pentru apărare, cât și „pentru atac”, iar hackingul, după cum știm, este o sarcină creativă) , în sfârșit, și pentru că în spatele fiecărui astfel de instrument se află un zbor de „hacker” (în sensul original al cuvântului) gândit la creatorul său.

La alegerea condițiilor de comparație s-a luat ca bază abordarea „bazată pe sarcini”, astfel, pe baza rezultatelor, se poate aprecia cât de potrivit este un anumit instrument pentru rezolvarea sarcinii care i-a fost atribuită. De exemplu, scanere de securitate în rețea pot fi utilizate:

• pentru inventarierea resurselor rețelei;
• în timpul „testelor de penetrare”;
• în procesul de testare a sistemelor pentru conformitatea cu diverse cerințe.

Acest document prezintă rezultatele unei comparații a scanerelor de securitate a rețelei în timpul testelor de penetrare față de nodurile perimetrale ale rețelei. Au fost evaluate următoarele:

• Numărul de vulnerabilități găsite
• Numărul de false pozitive (false pozitive)
• False negative
• Motivele absențelor
• Completitudinea bazei de verificare (în contextul acestei sarcini)
• Calitatea mecanismelor de inventar și determinarea versiunii software
• Precizia scanerului (în contextul acestei sarcini)

Criteriile enumerate împreună caracterizează „adecvarea” scanerului pentru rezolvarea sarcinii care i-a fost atribuită, în acest caz este automatizarea acțiunilor de rutină în procesul de monitorizare a securității perimetrului rețelei.

2. Scurtă descriere a participanților la comparație

Înainte de a începe comparația, portalul a realizat un sondaj, al cărui scop a fost acela de a colecta date despre scanerele utilizate și sarcinile pentru care sunt utilizate.

La sondaj au participat aproximativ 500 de respondenți (vizitatori ai portalului).

La întrebarea despre scanerele de securitate pe care le folosesc în organizațiile lor, marea majoritate a respondenților au spus că folosesc cel puțin un scaner de securitate (70%). În același timp, organizațiile care folosesc în mod regulat scanere de securitate pentru a analiza securitatea sistemelor lor informaționale preferă să utilizeze mai mult de un produs din această clasă. 49% dintre respondenți au spus că organizațiile lor folosesc două sau mai multe scanere de securitate (Figura 1).

1 . Distribuția organizațiilor chestionate după numărul de scanere de securitate utilizate

Motivele pentru a utiliza mai mult de un scaner de securitate includ faptul că organizațiile nu au încredere în soluțiile de la un singur „furnizor” (61%) și când sunt necesare verificări specializate (39%) care nu pot fi efectuate cu un scaner de securitate complet (Fig. 2) .

2. Motive pentru utilizarea mai multor scanere de securitate în organizațiile chestionate

La întrebarea în ce scopuri sunt folosite scanere de securitate specializate, majoritatea respondenților au răspuns că acestea sunt folosite ca instrumente suplimentare pentru analiza securității aplicațiilor Web (68%). Pe locul doi s-au situat scanerele specializate de securitate DBMS (30%), iar pe al treilea (2%) s-au situat utilitatile proprietare pentru rezolvarea unei game specifice de probleme in analiza securitatii sistemelor informatice (Fig. 3).

3. Scopurile utilizării scanerelor de securitate specializate în organizațiile respondenților chestionați

Rezultatul unui sondaj al respondenților (Fig. 4) despre produsele finale legate de scanerele de securitate a arătat că majoritatea organizațiilor preferă să utilizeze produsul Positive Technologies XSpider (31%) și Nessus Security Scanner (17%).

Orez. 4. Scanere de securitate utilizate în organizațiile respondenților

Scanerele prezentate în tabelul 1 au fost selectate pentru a participa la testele de testare.

Tabelul 1. Scanere de securitate de rețea utilizate în comparație

Nume	Versiune
		http://www.nessus.org/download
MaxPatrol	8.0 (build 1178)	http://www.ptsecurity.ru/maxpatrol.asp
Scanner de internet		http://www-935.ibm.com/services/us/index.wss/offering/iss/a1027208
RetinăScaner de securitate de rețea		http://www.eeye.com/html/products/retina/index.html
Scaner de securitate în umbră (SSS)	7.141 (build 262)	http://www.safety-lab.com/en/products/securityscanner.htm
Auditor NetClarity		http://netclarity.com/branch-nacwall.html

Deci, primul test este axat pe sarcina de a evalua securitatea sistemelor pentru rezistența la hacking.

3. Rezumând

Rezultatele pentru nodurile rămase au fost calculate într-un mod similar. După calcularea rezultatelor, s-a obținut următorul tabel (Tabelul 2).

Tabelul 2. Rezultate finale pentru toate obiectele scanate

Index		Scanner de internet			Scaner de securitate în umbră	NetClarity Auditor
Identificarea serviciilor și aplicațiilor, puncte
Vulnerabilități găsite, total
Dintre aceste false pozitive (false pozitive)
S-a găsit corect (din 225 posibile)
Treci (negative false)
Dintre acestea, din cauza absenței din baza de date
Dintre acestea cauzate de nevoia de autentificare
Din alte motive

3.1 Identificarea serviciilor și aplicațiilor

Pe baza rezultatelor identificării serviciilor și aplicațiilor, punctele au fost pur și simplu însumate și a fost dedus un punct pentru identificarea incorectă a unui serviciu sau aplicație (Fig. 5).

Orez. 5. Rezultatele identificării serviciilor și aplicațiilor

Scanerul MaxPatrol a obținut cel mai mare număr de puncte (108), iar scanerul Nessus a obținut puțin mai puțin (98). Într-adevăr, în aceste două scanere procedura de identificare a serviciilor și aplicațiilor este implementată foarte eficient. Acest rezultat poate fi numit destul de așteptat.

Următoarele rezultate provin din scanerele Internet Scanner și NetClarity. Aici putem aminti că, de exemplu, Internet Scanner se concentrează pe utilizarea porturilor standard pentru aplicații, acest lucru explicând în mare măsură rezultatul său scăzut. În cele din urmă, scanerul NetClarity are cea mai slabă performanță. Deși face o treabă bună în identificarea serviciilor (la urma urmei, se bazează pe nucleul Nessus 2.x), performanța sa generală slabă poate fi explicată prin faptul că nu a identificat toate porturile deschise.

3.2 Identificarea vulnerabilităților

În fig. Figura 6 arată numărul total de vulnerabilități găsite de toate scanerele și numărul de fals pozitive. Cel mai mare număr de vulnerabilități a fost găsit de scanerul MaxPatrol. Nessus s-a dovedit din nou a fi al doilea (deși cu o marjă semnificativă).
Liderul în numărul de fals pozitive a fost Shadow Security Scanner. În principiu, acest lucru este de înțeles; mai sus au fost date exemple de erori legate în mod specific de verificările sale.

Orez. 6. Au găsit vulnerabilități și false pozitive

În total, pe toate cele 16 noduri, toate scanerele au găsit (și ulterior confirmate prin verificare manuală) 225 de vulnerabilități. Rezultatele au fost distribuite ca în Fig. 7. Cel mai mare număr de vulnerabilități - 155 din 225 posibile - au fost identificate de scanerul MaxPatrol. Al doilea a fost scanerul Nessus (rezultatul său a fost aproape de două ori mai rău). Urmează Internet Scanner, apoi NetClarity.
În cadrul comparației au fost analizate motivele lipsei vulnerabilităților și au fost separate cele care au fost făcute din lipsa verificărilor în baza de date. Următoarea diagramă (Fig. 8) arată motivele pentru care scanerele nu scapă vulnerabilități.

Orez. 7. Au găsit vulnerabilități și omisiuni

Orez. 8. Motive pentru lipsa vulnerabilităților

Acum câțiva indicatori rezultați din calcule.

În fig. Figura 39 arată raportul dintre numărul de fals pozitive și numărul total de vulnerabilități găsite; acest indicator într-un anumit sens poate fi numit acuratețea scanerului. La urma urmei, utilizatorul, în primul rând, se ocupă de o listă de vulnerabilități găsite de scaner, din care este necesar să le selecteze pe cele găsite corect.

Orez. 9. Precizia scanerelor

Din această diagramă se poate observa că cea mai mare precizie (95%) a fost obținută de scanerul MaxPatrol. Deși numărul său de fals pozitive nu este cel mai scăzut, această rată de acuratețe este atinsă datorită numărului mare de vulnerabilități găsite. Următoarea definiție cea mai precisă este Internet Scanner. A arătat cel mai mic număr de fals pozitive. Scanerul SSS are cel mai scăzut rezultat, ceea ce nu este surprinzător având în vedere numărul mare de fals pozitive care au fost observate în timpul comparației.

Un alt indicator calculat este caracterul complet al bazei de date (Fig. 10). Este calculată ca raportul dintre numărul de vulnerabilități găsite corect și numărul total de vulnerabilități (în acest caz - 225) și caracterizează amploarea „rătăcirilor”.

Orez. 10. Completitudinea bazei de date

Din această diagramă este clar că baza de scanare MaxPatrol este cea mai adecvată sarcinii.

4. Concluzie

4.1 Comentarii asupra rezultatelor liderilor: MaxPatrol și Nessus

Pe primul loc după toate criteriile acestei comparații revine scanerului MaxPatrol, scanerul Nessus este pe locul doi, rezultatele celorlalte scanere sunt semnificativ mai mici.

Aici este oportun să reamintim unul dintre documentele pregătite de Institutul Național de Standarde și Tehnologie din SUA (NIST), și anume „Ghidul privind testarea securității rețelelor”. Se precizează că la monitorizarea securității sistemelor informatice se recomandă utilizarea a cel puțin două scanere de securitate.

De fapt, nu există nimic neașteptat sau surprinzător în rezultatul obținut. Nu este un secret pentru nimeni că scanerele XSpider (MaxPatrol) și Nessus sunt populare atât printre specialiștii în securitate, cât și printre hackeri. Acest lucru este confirmat de rezultatele sondajului de mai sus. Să încercăm să analizăm motivele conducerii evidente a MaxPatrol (acest lucru se aplică parțial scanerului Nessus), precum și motivele „pierderii” altor scanere. În primul rând, aceasta este o identificare de înaltă calitate a serviciilor și aplicațiilor. Testele bazate pe inferență (și au fost destul de multe dintre ele în acest caz) depind în mare măsură de acuratețea colectării informațiilor. Iar identificarea serviciilor și aplicațiilor în scanerul MaxPatrol este aproape perfectă. Iată un exemplu ilustrativ.
Al doilea motiv pentru succesul MaxPatrol este completitatea bazei de date și adecvarea acesteia la sarcina în cauză și, în general, la „azi”. Pe baza rezultatelor, se observă că baza de date de verificări din MaxPatrol a fost extinsă și detaliată semnificativ, a fost „pusă în ordine”, în timp ce „prejudecata” evidentă față de aplicațiile web este compensată de extinderea verificărilor în alte domenii. , de exemplu, rezultatele scanării routerului prezentate în comparație au fost impresionante Cisco.

Al treilea motiv este o analiză calitativă a versiunilor aplicației, ținând cont de sistemele de operare, distribuții și diverse „ramuri”. De asemenea, puteți adăuga utilizarea diferitelor surse (baze de date de vulnerabilitate, notificări și buletine de furnizori).

În cele din urmă, putem adăuga, de asemenea, că MaxPatrol are o interfață foarte convenabilă și logică, care reflectă principalele etape ale muncii scanerelor de securitate în rețea. Și acest lucru este important. Combinația de „nod, serviciu, vulnerabilitate” este foarte ușor de înțeles (Nota editorului: aceasta este opinia subiectivă a autorului comparației). Și mai ales pentru această sarcină.

Acum despre deficiențe și puncte „slabe”. Întrucât MaxPatrol s-a dovedit a fi lider în comparație, criticile adresate acestuia vor fi „maximum”.

În primul rând, așa-numita „pierdere în lucruri mărunte”. Având un motor de foarte înaltă calitate, este important să oferiți servicii suplimentare corespunzătoare, de exemplu, instrumente convenabile care vă permit să faceți ceva manual, instrumente pentru căutarea vulnerabilităților și capacitatea de a „ajusta” sistemul. MaxPatrol continuă tradiția XSpider și se concentrează maxim pe ideologia „click and it works”. Pe de o parte, acest lucru nu este rău, pe de altă parte, limitează analistul „meticulos”.

În al doilea rând, unele servicii au rămas „neacoperite” (puteți judeca acest lucru din rezultatele acestei comparații), de exemplu, IKE (port 500).

În al treilea rând, în unele cazuri există o lipsă de comparație de bază a rezultatelor a două verificări între ele, de exemplu, ca în cazul SSH descris mai sus. Adică nu există concluzii bazate pe rezultatele mai multor verificări. De exemplu, sistemul de operare host4 a fost clasificat ca Windows, iar „furnizorul” serviciului PPTP a fost clasificat ca Linux. Putem trage concluzii? De exemplu, în raportul din zona de definire a sistemului de operare, indicați că acesta este un nod „hibrid”.

În al patrulea rând, descrierea controalelor lasă mult de dorit. Dar aici trebuie să se înțeleagă că MaxPatrol se află în condiții inegale cu alte scanere: traducerea de înaltă calitate în rusă a tuturor descrierilor este o sarcină foarte laborioasă.

Scanerul Nessus a arătat, în general, rezultate bune, iar în mai multe puncte a fost mai precis decât scanerul MaxPatrol. Principalul motiv pentru care Nessus rămâne în urmă este omiterea vulnerabilităților, dar nu din cauza lipsei de verificări în baza de date, ca majoritatea celorlalte scanere, ci datorită caracteristicilor de implementare. În primul rând (și acesta este motivul pentru o parte semnificativă a decalajelor), a existat o tendință de dezvoltare în scanerul Nessus către „local” sau verificări ale sistemului, care necesită conectarea la un cont. În al doilea rând, scanerul Nessus ia în considerare mai puține surse de informații (comparativ cu MaxPatrol) despre vulnerabilități. Acesta este oarecum similar cu scanerul SSS, bazat în mare parte pe SecurityFocus.

5. Limitările acestei comparații

În timpul comparației, capacitățile scanerelor au fost studiate în contextul unei singure sarcini - testarea nodurilor perimetrului rețelei pentru rezistența la hacking. De exemplu, dacă desenăm o analogie cu mașina, am văzut cum se comportă diferite mașini, de exemplu, pe un drum alunecos. Cu toate acestea, există și alte sarcini, a căror soluție cu aceleași scanere poate arăta complet diferit. În viitorul apropiat, se plănuiește compararea scanerelor în timp ce se rezolvă probleme precum:

• Efectuarea auditurilor de sistem folosind cont
• Evaluarea conformității PCI DSS
• Scanarea sistemelor Windows

În plus, este planificată compararea scanerelor folosind criterii formale.

În timpul acestei comparații, a fost testat doar „motorul” în sine sau, în termeni moderni, „creierul” scanerului. Capabilitățile în ceea ce privește serviciile suplimentare (rapoarte, înregistrarea informațiilor despre progresul scanării etc.) nu au fost evaluate sau comparate în niciun fel.

De asemenea, nu au fost evaluate gradul de pericol și capacitatea de exploatare a vulnerabilităților găsite. Unele scanere s-au limitat la vulnerabilități „minore” cu risc scăzut, în timp ce altele au identificat vulnerabilități cu adevărat critice care permit accesul la sistem.

Scaner de securitate: detectează vulnerabilitățile rețelei, gestionează actualizările și corecțiile, remediază automat problemele, auditează software-ul și hardware-ul. GFI Securitatea rețelei">Securitatea rețelei 2080

Scaner de securitate în rețea și management centralizat al actualizărilor

GFI LanGuard lucrează ca consultant de securitate virtuală:

— Gestionează actualizările pentru Windows®, Mac OS® și Linux®

— Detectează vulnerabilități pe computere și dispozitive mobile

— Efectuează audituri dispozitive de rețeași software

GFI Languard este un scanner de securitate pentru rețele de orice dimensiune: scaner de porturi și vulnerabilități de rețea, scaner de securitate, găsește automat găuri în rețea

GFI Languard este un scanner de securitate pentru rețele de orice dimensiune: scaner de porturi și vulnerabilități de rețea, scaner de securitate, găsește automat găuri în rețea

Ce este GFI LanGuard

Mai mult decât un scaner de vulnerabilități!

GFI LanGuard este un scaner de securitate a rețelei: detectează, identifică și remediază vulnerabilitățile rețelei. Scanările complete de porturi, disponibilitatea actualizărilor software necesare pentru a vă proteja rețeaua și auditarea software-ului și hardware-ului sunt toate posibile dintr-un singur panou de control.

Scanner de porturi

Mai multe profiluri de scanare pregătite în prealabil vă permit să efectuați o scanare completă a tuturor porturilor, precum și să le verificați rapid numai pe cele care sunt utilizate în mod obișnuit de software-ul nedorit și rău intenționat. GFI LanGuard scanează mai multe gazde simultan, reducând semnificativ timpul necesar, apoi compară software-ul găsit pe porturile ocupate cu cel așteptat.

Actualizări și patch-uri

Înainte de instalare ultimele actualizări Nodurile dvs. sunt complet neprotejate, deoarece cele mai recente vulnerabilități sunt acoperite de corecțiile și actualizările actuale care sunt folosite de hackeri pentru a vă pătrunde în rețea. Spre deosebire de instrumentele integrate în sistemul de operare, GFI LanGuard va verifica nu numai sistemul de operare în sine, ci și software-ul popular ale cărui vulnerabilități sunt de obicei folosite pentru hacking: Adobe Acrobat/Reader, Flash Player, Skype, Outlook, browsere, mesagerie instant.

Auditul nodului

GFI LanGuard se va pregăti pentru tine lista detaliata software-ul și hardware-ul instalat pe fiecare computer, va detecta programele interzise sau lipsă, precum și dispozitivele conectate inutile. Rezultatele scanărilor multiple pot fi comparate pentru a identifica modificările în software și hardware.

Cele mai recente informații despre amenințări

Fiecare scanare este efectuată după actualizarea datelor despre vulnerabilități, al căror număr în baza de date GFI LanGuard a depășit deja 50.000. Informațiile despre amenințări sunt furnizate de furnizorii de software înșiși, precum și listele SANS și OVAL de încredere, astfel încât să fiți întotdeauna protejat de cele mai recente amenințări, inclusiv heartbleed, clandestin, shellshock, pudel, sandworm și multe altele.

Corecție automată

Odată ce primiți un raport de scanare detaliat cu o descriere a fiecărei vulnerabilități și linkuri către lectură în continuare, puteți remedia majoritatea amenințărilor cu un singur clic pe butonul „Remediați”: porturile vor fi închise, cheile de registry vor fi corectate, patch-urile vor fi instalate, software-ul va fi actualizat, programele interzise vor fi eliminate și programele lipsă vor fi instalate.