Programy na skenovanie zraniteľností v sieťach. Porovnanie sieťových bezpečnostných skenerov. Porovnanie skenerov sieťových zraniteľností

PREHĽAD A POROVNANIE SKENEROV ZRANITEĽNOSTI

Rožková Jekaterina Olegovna

Študent 4. ročníka, Katedra automatizácie a merania lodí, Petrohradská štátna lekárska univerzita, Ruská federácia, Petrohrad

E- pošty: rina1242. ro@ gmail. com

Iljin Ivan Valerijevič

Študent 4. ročníka, Katedra bezpečných informačných technológií

Petrohradská národná výskumná univerzita ITMO, Ruská federácia, Petrohrad

E- pošty: vanilín. va@ gmail. com

Galushin Sergej Jakovlevič

vedecký školiteľ, Ph.D. tech. vedy, zástupca prorektora pre vedecká práca, Ruská federácia, Petrohrad

Pre vysokú úroveň bezpečnosti je potrebné používať nielen firewally, ale aj pravidelne vykonávať opatrenia na detekciu zraniteľností, napríklad pomocou skenerov zraniteľností. Včasná identifikácia slabých miest v systéme zabráni neoprávnenému prístupu a manipulácii s údajmi. Ale ktorá možnosť skenera najlepšie vyhovuje potrebám konkrétneho systému? Ak chcete odpovedať na túto otázku, musíte najprv určiť chyby v bezpečnostnom systéme vášho počítača alebo siete. Podľa štatistík k väčšine útokov dochádza prostredníctvom známych a zverejnených bezpečnostných medzier, ktoré sa z mnohých dôvodov nedajú odstrániť, či už ide o nedostatok času, personálu alebo nekompetentnosť správcu systému. Mali by ste tiež pochopiť, že zvyčajne môže zlý priaznivec preniknúť do systému niekoľkými spôsobmi, a ak jedna metóda nefunguje, votrelec môže vždy vyskúšať inú. Zaistenie maximálnej úrovne bezpečnosti systému si vyžaduje dôkladnú analýzu rizík a ďalší vývoj jasného modelu hrozieb, aby bolo možné presnejšie predpovedať možné akcie hypotetický zločinec.

Medzi najčastejšie zraniteľné miesta patrí pretečenie vyrovnávacej pamäte, možné chyby v konfigurácii smerovača alebo firewallu, zraniteľnosti webového servera, poštových serverov, DNS serverov, databáz. Okrem toho neignorujte jednu z najchúlostivejších oblastí informačná bezpečnosť- správa používateľov a súborov, keďže zabezpečenie úrovne prístupu používateľa s minimálnymi privilégiami je špecifická úloha, ktorá si vyžaduje kompromis medzi používateľskou skúsenosťou a zaistením bezpečnosti systému. Je potrebné spomenúť problém prázdnych alebo slabých hesiel, predvolených účtov a problém všeobecného úniku informácií.

Bezpečnostný skener je softvérový nástroj pre vzdialenú alebo lokálnu diagnostiku rôzne prvky siete na identifikáciu rôznych zraniteľností v nich; môžu výrazne skrátiť pracovný čas špecialistov a uľahčiť vyhľadávanie slabín.

Prehľad bezpečnostných skenerov

Táto práca skúmala skenery, ktoré majú bezplatnú skúšobnú verziu, ktorá vám umožňuje používať softvér na oboznámenie sa s obmedzeným zoznamom jeho možností a vyhodnotenie miery jednoduchosti rozhrania. Ako predmet kontroly boli vybrané nasledujúce obľúbené skenery zraniteľnosti: Nessus, GFI LANguard, Retina, Tieňový bezpečnostný skener, Internetový skener.

Nessus

Nessus je program na automatické vyhľadávanie známych bezpečnostných chýb informačné systémy. Dokáže odhaliť najbežnejšie typy zraniteľností, ako je prítomnosť zraniteľných verzií služieb alebo domén, chyby konfigurácie (nie je potrebná autorizácia na SMTP serveri), prítomnosť predvolených hesiel, prázdne alebo slabé heslá.

Skener Nessus je výkonný a spoľahlivý nástroj, ktorý patrí do rodiny sieťových skenerov, ktoré vám umožňujú vyhľadávať zraniteľné miesta v sieťových službách ponúkaných operačnými systémami, firewallmi, filtrovacími smerovačmi a inými sieťovými komponentmi. Na vyhľadávanie zraniteľností sa používajú ako štandardné prostriedky testovanie a zhromažďovanie informácií o konfigurácii a prevádzke siete a špeciálne prostriedky, ktorá emuluje akcie útočníka s cieľom preniknúť do systémov pripojených k sieti.

Program má možnosť pripojiť vaše vlastné overovacie postupy alebo šablóny. Na tento účel skener poskytuje špeciálny skriptovací jazyk nazývaný NASL (Nessus Attack Scripting Language). Databáza zraniteľností neustále rastie a aktualizuje sa. Registrovaní používatelia dostanú všetky aktualizácie okamžite, zatiaľ čo ostatní (skúšobné verzie atď.) dostanú určité oneskorenie.

GFILanGuard

GFI LanGuard Network Security Scanner (N.S.S) je ocenené riešenie, ktoré na vašu ochranu využíva tri základné komponenty: bezpečnostný skener, správu záplat a ovládanie siete z jednej jednotnej konzoly. Skenovaním celej siete určí všetko možné problémy bezpečnosti a s využitím jeho rozsiahlej funkčnosť reporting, poskytuje nástroje potrebné na detekciu, vyhodnotenie, popis a elimináciu akýchkoľvek hrozieb.

Proces kontroly zabezpečenia vytvára viac ako 15 000 hodnotení zraniteľnosti a skúma siete na základe adresy IP. GFI LanGuard N.S.S. poskytuje možnosť vykonávať multiplatformové skenovanie (Windows, Mac OS, Linux) vo všetkých prostrediach a analyzuje stav siete pre každý zdroj údajov. To zaisťuje, že akékoľvek hrozby môžu byť identifikované a eliminované skôr, ako si hackeri prídu na svoje.

GFI LanGuard N.S.S. prichádza s kompletnou a komplexnou databázou hodnotenia zraniteľnosti, vrátane štandardov ako OVAL (viac ako 2000 hodnôt) a SANS Top 20. Táto databáza je pravidelne aktualizovaná informáciami od BugTraq, SANS Corporation, OVAL, CVE atď. Vďaka GFI LanGuard automatic aktualizovať systém N.S.S. vždy obsahuje najnovšie informácie o bezpečnostných aktualizáciách od spoločnosti Microsoft, ako aj informácie z GFI a iných informačných úložísk, ako je databáza OVAL.

GFI LanGuard N.S.S. skenuje počítače, identifikuje a klasifikuje slabé miesta, odporúča akcie a poskytuje nástroje na riešenie problémov. GFI LANguard N.S.S. používa aj grafický indikátor úrovne ohrozenia, ktorý poskytuje intuitívne a vyvážené hodnotenie stavu zraniteľnosti preskenovaného počítača alebo skupiny počítačov. Ak je to možné, uvádza sa odkaz resp Ďalšie informácie pre konkrétny problém, ako je identifikátor v BugTraq ID alebo Microsoft Knowledge Base.

GFI LanGuard N.S.S. umožňuje jednoducho vytvárať vlastné schémy testovania zraniteľnosti pomocou sprievodcu. Pomocou skriptovacieho jadra VBScript môžete tiež písať komplexné kontroly zraniteľnosti pre GFI LanGuard N.S.S. GFI LanGuard N.S.S. obsahuje editor skriptov a debugger.

Retina

Retina Network Security Scanner, skener sieťových zraniteľností BeyondTrust, identifikuje známe sieťové zraniteľnosti a uprednostňuje hrozby na nápravu. Počas používania softvérový produkt všetky počítače, zariadenia, operačné systémy, aplikácie a bezdrôtové siete sú identifikované.

Používatelia môžu tiež použiť Retina na hodnotenie rizík bezpečnosti informácií, riadenie rizík projektu a splnenie štandardných požiadaviek prostredníctvom auditov podnikovej politiky. Tento skener nespúšťa kód zraniteľnosti, takže skenovanie nevedie k strate funkčnosti siete a analyzovaných systémov. Použitie patentovanej technológie Adaptive Speed ​​​​Scanning lokálna sieť Trieda C bude trvať asi 15 minút, čo uľahčuje Adaptive Speed ​​- vysokorýchlostná zabezpečená sieťová technológia skenovania. Okrem toho umožňujú flexibilné nastavenia oblasti skenovania systémový administrátor analyzovať bezpečnosť celej siete alebo daného segmentu bez ovplyvnenia prevádzky susedných sietí. Deje sa automatická aktualizácia lokálne kópie databázy, takže analýza siete sa vždy vykonáva na základe najaktuálnejších údajov. Miera falošne pozitívnych výsledkov je menšia ako 1 % a existuje flexibilná kontrola prístupu do systémového registra.

Tieňbezpečnosťskener (SSS)

Tento skener možno použiť na spoľahlivé zistenie známych aj neznámych (v čase vydania) Nová verzia produkt) zraniteľnosti. Pri skenovaní systému SSS analyzuje údaje vrátane hľadania zraniteľností a indikuje možné chyby v konfigurácii servera. Okrem toho skener navrhuje možné spôsoby riešenia týchto problémov a opravy zraniteľností v systéme.

Ako backdoor technológiu systém využíva jadro vlastného vývoja výrobcu, Shadow Security Scanner. Je možné poznamenať, že pri práci na OS Windows bude SSS skenovať servery bez ohľadu na ich platformu. Príklady platforiem zahŕňajú platformy Unix (Linux, FreeBSD, OpenBSD, Net BSD, Solaris), platformy Windows (95/98/ME/NT/2000/XP/.NET/Win 7 a 8). Shadow Security Scanner dokáže odhaliť aj chyby v zariadeniach od CISCO, HP a ďalších. Tento skener bol vytvorený domácimi vývojármi, a preto má ruské rozhranie, ako aj dokumentáciu a horúcu linku podpory.

internetSkener

Tento skener poskytuje automatickú detekciu a analýzu zraniteľností v firemná sieť. Možnosti skenera zahŕňajú implementáciu množstva kontrol pre následnú identifikáciu zraniteľností v sieťových službách, operačných systémoch, smerovačoch, poštových a webových serveroch, firewalloch a aplikačnom softvéri. Internet Scanner dokáže odhaliť a identifikovať viac ako 1 450 zraniteľností, ktoré môžu zahŕňať nesprávnu konfiguráciu sieťového zariadenia, zastaraný softvér, nepoužívané sieťové služby, slabé heslá atď. Je možné kontrolovať FTP, LDAP a SNMP protokoly, kontrolovať emaily, kontrolovať RPC, NFS, NIS a DNS, kontrolovať možnosť útokov ako "odmietnutie služby", "hádanie hesla", kontroly webových serverov, CGI skriptov, Webové prehliadače a X-terminály. Okrem toho je možné kontrolovať firewally, proxy servery, služby vzdialeného prístupu, systém súborov, bezpečnostný subsystém a subsystém auditu, systémový register a nainštalované aktualizácie Operačný systém Windows atď. Internetový skener vám umožňuje analyzovať prítomnosť jedinej zraniteľnosti v danej oblasti siete, napríklad skontrolovať inštaláciu konkrétnej opravy operačný systém. Internetový skener môže fungovať ďalej Windows server NT podporuje aj operačné systémy AIX, HP-UX, Linux a Solaris.

Pred výberom porovnávacích kritérií by sa malo zdôrazniť, že kritériá by sa mali vzťahovať na všetky aspekty používania bezpečnostných skenerov: od metód zberu informácií až po náklady. Používanie bezpečnostného skenera začína plánovaním nasadenia a samotným nasadením. Preto sa prvá skupina kritérií týka architektúry bezpečnostných skenerov, interakcie ich komponentov, inštalácie a správy. Ďalšia skupina kritérií – skenovanie – by mala zahŕňať metódy používané porovnávanými skenermi na vykonávanie uvedených akcií, ako aj ďalšie parametre súvisiace so špecifikovanými fázami softvérového produktu. K dôležitým kritériám patria aj výsledky skenovania, najmä spôsob ich uloženia a aké zostavy možno na základe nich generovať. Ďalšími kritériami, na ktoré sa treba zamerať, sú kritériá aktualizácie a podpory, ktoré vám umožňujú objasniť otázky, ako sú metódy a metódy aktualizácie, úroveň technickej podpory, dostupnosť autorizovaných školení atď. Posledná skupina zahŕňa jediné, ale veľmi dôležité kritérium - náklady.

· Podporované systémy;

· Priateľské rozhranie;

· Možnosti skenovania (profily skenovania);

· Schopnosť prispôsobiť profily (ako flexibilné);

· Identifikácia služieb a aplikácií;

· Identifikácia slabých miest;

· Generovanie správ (formáty);

· Schopnosť vytvárať vlastný prehľad (svoj vlastný);

· Frekvencia aktualizácie;

· Technická podpora.

Stôl 1. Porovnanie skenerov zraniteľnosti
Skener		GFI LanGuard
cena	131 400 RUB ročne	1610 rubľov. pre IP adresu. Čím viac IP adries, tým nižšie náklady		Cena sa líši v závislosti od počtu IP adries Od 30 000 rubľov za 64 IP do 102 000 za 512 IP	Náklady sa líšia v závislosti od počtu adries IP (nominálna hodnota - 6 000 rubľov)
podpora živé systémy	softvér na mieru	Windows, Mac OS, Linux	Cisco, Linux, UNIX, Windows	Unix, Linux, FreeBSD, OpenBSD, Net BSD, Solaris, Windows 95/98/ME/NT/2000/XP/.NET	Windows, AIX, HP-UX, Linux a Solaris
Priateľstvo Zásah tvár	Jednoduché a intuitívne rozhranie	Jednoduché a intuitívne rozhranie	Prehľadné rozhranie	Priateľské a jasné rozhranie	Prehľadné rozhranie
možné ness filigránsky potulovať sa	Flexibilný systém nastavení, typ a parametre skenovania sa líšia, je možné anonymné skenovanie. Možné možnosti skenuje: SYN sken, FIN sken – čistá požiadavka FIN; Xmas Tree - obsahuje FIN, URG, PUSH v požiadavke; Null scan, FTP bounce scan, Ident scan, UDP scan atď. Je možné pripojiť aj vlastné overovacie procedúry, pre ktoré je k dispozícii špeciálny skriptovací jazyk - NASL (Nessus Attack Scripting Language). Skener využíva štandardné nástroje na testovanie a zhromažďovanie informácií o konfigurácii a fungovaní siete a špeciálne nástroje, ktoré emulujú akcie potenciálneho narušiteľa pri prieniku do systémov.	Skenovanie TCP/IP a UDP portov Kontroluje sa OS, virtuálne prostredia a aplikácie, mobilné zariadenia; používajú sa databázy OVAL a SANS Top 20.	Zraniteľnosť sa zisťuje pomocou penetračného testu a na základe posúdenia pravdepodobnosti zneužitia sa posudzujú riziká a stanovujú sa priority ich zmierňovania. Zraniteľnosť (od Core Impact®, Metasploit®, Exploit-db), CVSS a ďalšie faktory.	FTP, SSH, Telnet, SMTP, DNS, Finger, HTTP, POP3, IMAP, NetBios, NFS, NNTP, SNMP, Squid (SSS je jediný skener na svete, ktorý kontroluje proxy servery pre audity – ostatné skenery jednoducho zisťujú prítomnosť port), LDAP (jediný skener na svete, ktorý kontroluje audity serverov LDAP – ostatné skenery jednoducho zistia prítomnosť portu), HTTPS, SSL, TCP/IP, UDP, Registry atď. Jednoduché vytváranie vlastných prehľadov.	kontroly FTP, LDAP a SNMP; kontrola e-mailov; kontroly RPC, NFS, NIS a DNS; kontrola možnosti útokov odmietnutia služby; kontroluje prítomnosť útokov „hádaním hesla“ (hrubá sila); kontrola webových serverov a CGI skriptov, webových prehliadačov a X terminálov; kontrola firewallov a proxy serverov; kontrola služieb vzdialeného prístupu; kontroly súborového systému operačného systému Windows; kontrola bezpečnostného subsystému a subsystému auditu operačného systému Windows; kontrola systémového registra a nainštalovaných aktualizácií operačného systému Windows; kontrola prítomnosti modemov v sieti a prítomnosti trójskych koní; kontrolné služby a démoni; kontroly účtu.
Identifikovať poskytovanie služieb a aplikácií ženíchov	Kvalitná implementácia procedúry identifikácie služieb a aplikácií.	Detekcia neautorizovaných/malvérových aplikácií a aplikácií na čiernej listine s vysokou mierou zraniteľnosti.	Detekcia OS, aplikácií, databáz, webových aplikácií.	Kontroluje každý port, aby zistil, ktoré služby na ňom počúvajú. Detekuje OS, aplikácie, databázy, webové aplikácie.	Identifikuje zraniteľné miesta sieťových služieb, operačných systémov, smerovačov, poštových a webových serverov, brán firewall a aplikačného softvéru.
Generovanie prehľadu	Možnosť ukladania reportov vo formátoch nessus (xml), pdf, html, csv, nessus DB	Schopnosť vytvárať správy od správ o trendoch využívania siete pre správu až po podrobné správy pre technický personál. Je možné vytvárať správy o dodržiavaní noriem: Health Insurance Portability and Accountability Act (HIPAA), Public Services Network – Code of Connection (PSN CoCo), Sarbanes – Oxley Act (SOX), Gramm – Leach – Bliley Act (GLB/ GLBA), tiež známy ako štandard digitálnej bezpečnosti platobných kariet (PCI-DSS).	Existujú nástroje na generovanie správ, jedna z najširších možností vykazovania.	Má možnosť uložiť zostavu vo formáte html aj vo formátoch xml, pdf, rtf, chm. Samotný proces vytvárania reportu prebieha vo forme výberu informácií potrebných na zobrazenie. Možnosť vytvorenia zostavy je dostupná len v plnej verzii.	Výkonný podsystém generovania zostáv, ktorý vám umožňuje jednoducho vytvárať rôzne formy zostáv a triediť ich podľa charakteristík.
možné výrobná kapacita bezplatná správa	Áno, iba v plnej verzii.			Áno, iba v plnej verzii.
Frekvencia aktualizácie leniya	Pravidelné aktualizácie, ale používatelia skúšobnej verzie nedostávajú najnovšie aktualizácie.	Časté aktualizácie	Časté aktualizácie	Pravidelné aktualizácie	Pravidelné aktualizácie
Techni technická podpora	Súčasnosť		Súčasnosť	Súčasnosť, dostupná v ruštine.	Súčasnosť

Práca skúmala 5 skenerov zraniteľnosti, ktoré boli porovnané podľa zvolených kritérií.

Z hľadiska efektívnosti bol skener Nessus vybraný ako líder, pretože má najkompletnejšiu škálu možností na analýzu bezpečnosti počítačového systému. V porovnaní s inými skenermi je však pomerne drahý: ak máte malý počet IP adries, je rozumnejšie zvoliť GFI LanGuard alebo SSS.

Bibliografia:

1. Dolgin A.A., Khorev P.B., Vývoj skenera pre zraniteľnosti počítačového systému založeného na chránených verziách OS Windows, Zborník z medzinárodnej vedeckej a technickej konferencie " Informačné médiá a technológie", 2005.
2. Informačný portál o bezpečnosti [Elektronický zdroj] - Režim prístupu. - URL: http://www.securitylab.ru/ (dátum prístupu 27.03.2015).
3. Online magazín Softkey.info [Elektronický zdroj] - Režim prístupu. - URL: http://www.softkey.info/ (dátum prístupu 27.03.2015).
4. Oficiálna webová stránka "GFI Software". [Elektronický zdroj] - Režim prístupu. - URL: http://www.gfi.ru/ (dátum prístupu 27.03.2015).
5. Oficiálna webová stránka "Beyond trust". [Elektronický zdroj] - Režim prístupu. - URL: http://www.beyondtrust.com/Products/RetinaNetworkSecurityScanner/ (prístup 27.03.2015).
6. Oficiálna stránka IBM [Elektronický zdroj] - Režim prístupu. - URL: http://www.ibm.com/ (prístupné 27.03.2015).
7. Oficiálna stránka Tenable Network Security [Elektronický zdroj] - Režim prístupu. - URL: http://www.tenable.com/products/nessus-vulnerability-scanner/ (prístup 27.03.2015).
8. Oficiálna webová stránka "safety-lab." [Elektronický zdroj] - Režim prístupu. - URL: http://www.safety-lab.com/ (prístupné 27.03.2015).
9. Riešenia IBM pre informačnú bezpečnosť [Elektronický zdroj] - Režim prístupu. - URL: http://www.ibm.com/ru/services/iss/pdf/ISS_2009_DB_s10.pdf (prístup 27.03.2015).
10. Khorev P.B., Metódy a prostriedky ochrany informácií v počítačových systémoch, M., Vydavateľské centrum "Akadémia", 2005.

Ako vidíte, bolo ich veľa a všetky sú veľmi nebezpečné pre systémy, ktoré sú im vystavené. Je dôležité nielen aktualizovať svoj systém včas, aby ste sa chránili pred novými zraniteľnosťami, ale tiež si byť istí, že váš systém neobsahuje chyby zabezpečenia, ktoré boli dávno opravené a ktoré môžu hackeri zneužiť.

Tu prichádzajú na pomoc skenery zraniteľnosti Linuxu. Nástroje na analýzu zraniteľnosti sú jednou z najdôležitejších súčastí bezpečnostného systému každej spoločnosti. Kontrola aplikácií a systémov na prítomnosť starých zraniteľností je povinná prax. V tomto článku sa pozrieme na najlepšie skenery zraniteľnosti, s otvorenými zdrojový kód, ktorý môžete použiť na detekciu zraniteľností vo vašich systémoch a programoch. Všetky sú úplne zadarmo a môžu ich využívať ako bežní používatelia, tak aj firemný sektor.

OpenVAS alebo Open Vulnerability Assessment System je kompletná platforma na vyhľadávanie zraniteľností, ktorá je distribuovaná ako open source. Program je založený na zdrojovom kóde skenera Nessus. Spočiatku bol tento skener distribuovaný ako open source, ale potom sa vývojári rozhodli kód zatvoriť a potom v roku 2005 vznikol OpenVAS založený na otvorenej verzii Nessus.

Program sa skladá zo serverovej a klientskej časti. Server, ktorý vykonáva hlavnú prácu skenovacích systémov, beží len v Linuxe a klientske programy podporujú aj Windows, na server je možné pristupovať cez webové rozhranie.

Jadro skenera obsahuje viac ako 36 000 rôznych kontrol zraniteľnosti a každý deň sa aktualizuje pridaním nových, nedávno objavených. Program dokáže odhaliť slabé miesta v spustených službách a tiež vyhľadať nesprávne nastavenia, napríklad chýbajúcu autentifikáciu alebo veľmi slabé heslá.

2. Neexpose Community Edition

Toto je ďalší open source nástroj na skenovanie zraniteľnosti Linuxu vyvinutý spoločnosťou Rapid7, tou istou spoločnosťou, ktorá vydala Metasploit. Skener dokáže odhaliť až 68 000 známych zraniteľností, ako aj vykonať viac ako 160 000 sieťových skenov.

Verzia Comunity je úplne zadarmo, ale má obmedzenie súčasného skenovania až 32 IP adries a iba jedného používateľa. Licenciu je tiež potrebné každoročne obnovovať. Neexistuje žiadna kontrola webových aplikácií, ale podporuje automatickú aktualizáciu databázy zraniteľností a prijímanie informácií o zraniteľnostiach z opravy Microsoft Patch.

Program je možné nainštalovať nielen na Linux, ale aj na Windows a správa sa vykonáva cez webové rozhranie. Pomocou neho môžete nastaviť parametre skenovania, IP adresy a ďalšie potrebné informácie.

Po dokončení skenovania sa zobrazí zoznam zraniteľností, ako aj informácie o nainštalovanom softvéri a operačnom systéme na serveri. Môžete tiež vytvárať a exportovať prehľady.

3. Burp Suite Free Edition

Burp Suite je webový skener zraniteľnosti napísaný v jazyku Java. Program pozostáva z proxy servera, pavúka, nástroja na generovanie požiadaviek a vykonávanie záťažových testov.

S pomocou Burp môžete vykonať testovanie webových aplikácií. Napríklad pomocou proxy servera môžete zachytiť a zobraziť prechádzajúci prenos a v prípade potreby ho upraviť. To vám umožní simulovať mnohé situácie. Pavúk vám pomôže nájsť slabé stránky webu a nástroj na generovanie dopytov vám pomôže nájsť silu webového servera.

4. Arachni

Arachni je plnohodnotný rámec na testovanie webových aplikácií napísaný v Ruby, ktorý je open source. Umožňuje vyhodnocovať bezpečnosť webových aplikácií a stránok vykonaním rôznych penetračných testov.

Program podporuje skenovanie s autentifikáciou, prispôsobenie hlavičiek, podporu spoofingu Aser-Agent, podporu detekcie 404. Okrem toho má program webové rozhranie a rozhranie príkazového riadku, skenovanie je možné pozastaviť a následne obnoviť a vo všeobecnosti všetko funguje veľmi rýchlo.

5. OWASP Zed Attack Proxy (ZAP)

OWASP Zed Attack Proxy je ďalším komplexným nástrojom na vyhľadávanie zraniteľností vo webových aplikáciách. Podporované sú všetky štandardné funkcie pre tento typ programu. Môžete skenovať porty, kontrolovať štruktúru stránok, hľadať mnohé známe zraniteľnosti a kontrolovať, či sú opakované požiadavky alebo nesprávne údaje spracované správne.

Program môže pracovať cez https a tiež podporuje rôzne proxy. Keďže je program napísaný v jazyku Java, jeho inštalácia a používanie je veľmi jednoduché. Okrem základných funkcií existuje veľké množstvo pluginov, ktoré dokážu výrazne zvýšiť funkčnosť.

6. Clair

Clair je nástroj na vyhľadávanie linuxových zraniteľností v kontajneroch. Program obsahuje zoznam zraniteľností, ktoré môžu byť nebezpečné pre kontajnery a varuje používateľa, ak boli takéto zraniteľnosti objavené vo vašom systéme. Program môže tiež posielať upozornenia, ak sa objavia nové zraniteľnosti, ktoré môžu spôsobiť, že kontajnery nebudú bezpečné.

Každý kontajner je skontrolovaný raz a nie je potrebné ho spúšťať na kontrolu. Program dokáže získať všetky potrebné údaje z vypnutého kontajnera. Tieto údaje sú uložené vo vyrovnávacej pamäti, aby bolo možné v budúcnosti informovať o zraniteľnostiach.

7.Powerfuzzer

Powerfuzzer je plne funkčný, automatizovaný a vysoko prispôsobiteľný webový prehľadávač, ktorý vám umožňuje testovať, ako webová aplikácia reaguje na neplatné údaje a opakované požiadavky. Nástroj podporuje iba protokol HTTP a dokáže odhaliť zraniteľnosti, ako sú XSS, SQL injection, LDAP, CRLF a XPATH útoky. Podporuje tiež sledovanie 500 chýb, ktoré môžu naznačovať nesprávnu konfiguráciu alebo dokonca nebezpečenstvo, ako je pretečenie vyrovnávacej pamäte.

8. Nmap

Nmap nie je presne skener zraniteľnosti pre Linux. Tento program vám umožňuje skenovať sieť a zistiť, ktoré uzly sú k nej pripojené, ako aj určiť, aké služby na nich bežia. Toto neposkytuje komplexné informácie o zraniteľnostiach, ale môžete hádať, ktoré. softvér môže byť zraniteľný, skúste prelomiť slabé heslá. Je tiež možné spustiť špeciálne skripty, ktoré vám umožnia identifikovať určité zraniteľnosti v určitom softvéri.

závery

V tomto článku sme preskúmali najlepšie skenery zraniteľnosti linuxu, ktoré vám umožňujú udržať váš systém a aplikácie pod kontrolou. úplná bezpečnosť. Pozreli sme sa na programy, ktoré umožňujú skenovať samotný operačný systém alebo webové aplikácie a stránky.

Nakoniec si môžete pozrieť video o tom, čo sú skenery zraniteľnosti a prečo sú potrebné:

Problém epidémie sieťových červov je relevantný pre každú lokálnu sieť. Skôr či neskôr môže nastať situácia, keď sieťový alebo e-mailový červ prenikne do LAN a nie je detekovaný používaným antivírusom. Sieťový vírus sa šíri cez LAN prostredníctvom zraniteľností operačného systému, ktoré neboli v čase infekcie uzavreté, alebo prostredníctvom zapisovateľných zraniteľností zdieľané zdroje. Mail virus, ako už názov napovedá, je distribuovaný prostredníctvom e-mailu za predpokladu, že nie je blokovaný klientskym antivírusom a antivírusom na poštový server. Okrem toho môže byť epidémia v sieti LAN organizovaná zvnútra v dôsledku aktivít zasvätených osôb. V tomto článku sa pozrieme na praktické metódy operačnej analýzy počítačov v sieti LAN pomocou rôznych nástrojov, najmä pomocou autorského nástroja AVZ.

Formulácia problému

Ak sa v sieti zistí epidémia alebo nejaká abnormálna aktivita, správca musí rýchlo vyriešiť aspoň tri úlohy:

• detekovať infikované počítače v sieti;
• nájsť vzorky malvéru na odoslanie do antivírusového laboratória a vyvinúť protiakčnú stratégiu;
• prijať opatrenia na zablokovanie šírenia vírusu v sieti LAN a jeho zničenie na infikovaných počítačoch.

V prípade zasvätenej činnosti sú hlavné kroky analýzy identické a najčastejšie sa scvrkávajú na potrebu odhaliť softvér tretích strán nainštalovaný zasvätenou osobou na počítačoch LAN. Príklady takéhoto softvéru zahŕňajú nástroje vzdialenej správy, keyloggery a rôzne záložky Trojan.

Pozrime sa podrobnejšie na riešenie každej z úloh.

Vyhľadajte infikované počítače

Ak chcete vyhľadať infikované počítače v sieti, môžete použiť aspoň tri spôsoby:

• automatická vzdialená analýza PC - získavanie informácií o bežiacich procesoch, načítaných knižniciach a ovládačoch, vyhľadávanie charakteristických vzorcov - napríklad procesov alebo súborov s krstné mená;
• Analýza návštevnosti počítača pomocou snifferu - túto metódu veľmi efektívne na zachytávanie spamových robotov, e-mailov a sieťových červov, avšak hlavný problém pri používaní sniffer je spôsobený skutočnosťou, že moderná sieť LAN je postavená na základe prepínačov a v dôsledku toho správca nemôže monitorovať prevádzku celú sieť. Problém je možné vyriešiť dvoma spôsobmi: spustením snifferu na routeri (ktorý umožňuje sledovať výmenu dát PC s internetom) a využitím monitorovacích funkcií prepínačov (veľa moderné spínače umožňujú vám priradiť monitorovací port, do ktorého je duplikovaná prevádzka jedného alebo viacerých portov prepínača určených správcom);
• štúdia zaťaženia siete - v tomto prípade je veľmi vhodné použiť inteligentné prepínače, ktoré umožňujú nielen posúdiť zaťaženie, ale aj na diaľku zakázať porty určené správcom. Táto operácia je výrazne zjednodušená, ak má správca sieťovú mapu, ktorá obsahuje informácie o tom, ktoré počítače sú pripojené k príslušným portom prepínača a kde sa nachádzajú;
• používanie honeypotov - dôrazne sa odporúča vytvoriť niekoľko honeypotov v lokálnej sieti, ktoré umožnia správcovi včas odhaliť epidémiu.

Automatická analýza PC v sieti

Automatickú analýzu PC možno zredukovať na tri hlavné fázy:

• vykonanie kompletnej kontroly počítača - spustené procesy, načítané knižnice a ovládače, automatické spustenie;
• vykonávanie operačného výskumu – napríklad vyhľadávanie charakteristických procesov alebo súborov;
• karanténa objektov podľa určitých kritérií.

Všetky vyššie uvedené problémy je možné vyriešiť pomocou autorskej utility AVZ, ktorá je navrhnutá na spustenie zo sieťového priečinka na serveri a podporuje skriptovací jazyk pre automatickú kontrolu PC. Ak chcete spustiť AVZ na používateľských počítačoch, musíte:

1. Umiestnite AVZ do sieťového priečinka na serveri, ktorý je otvorený na čítanie.
2. V tomto priečinku vytvorte podadresáre LOG a Qurantine a povoľte používateľom do nich zapisovať.
3. Spustite AVZ na počítačoch LAN pomocou pomôcky rexec alebo prihlasovacieho skriptu.

Spustenie AVZ v kroku 3 by sa malo vykonať s nasledujúcimi parametrami:

\\môj_server\AVZ\avz.exe Priorita=-1 nw=Y nq=Y HiddenMode=2 Script=\\môj_server\AVZ\my_script.txt

Parameter Priorita=-1 v tomto prípade znižuje prioritu procesu AVZ, parametre nw=Y a nq=Y prepínajú karanténu do režimu „sieťový chod“ (v tomto prípade sa v priečinku karantény vytvorí podadresár pre každý počítač, ktorého názov sa zhoduje so sieťovým názvom počítača) , HiddenMode=2 dáva pokyn na odmietnutie prístupu používateľa k ovládacím prvkom GUI a AVZ a nakoniec najdôležitejší parameter Script špecifikuje úplný názov skriptu s príkazy, ktoré AVZ vykoná na počítači používateľa. Skriptovací jazyk AVZ je pomerne jednoduchý na používanie a je zameraný výlučne na riešenie problémov počítačového vyšetrenia a liečby. Na zjednodušenie procesu písania skriptov môžete použiť špecializovaný editor skriptov, ktorý obsahuje online výzvu, sprievodcu tvorbou štandardných skriptov a nástroje na kontrolu správnosti napísaného skriptu bez jeho spúšťania (obr. 1).

Ryža. 1. Editor skriptov AVZ

Pozrime sa na tri typické skripty, ktoré môžu byť užitočné v boji proti epidémii. Najprv potrebujeme skript na výskum na PC. Úlohou skriptu je preskúmať systém a vytvoriť protokol s výsledkami v danom sieťovom priečinku. Skript vyzerá takto:

ActivateWatchDog(60 * 10);

// Spustite skenovanie a analýzu

// Prieskum systému

ExecuteSysCheck(GetAVZDirectory+

‘\LOG\’+GetComputerName+’_log.htm’);

//Vypnutie AVZ

Počas vykonávania tohto skriptu sa v priečinku LOG ​​vytvoria HTML súbory s výsledkami štúdia sieťových počítačov (za predpokladu, že je vytvorený v adresári AVZ na serveri a je k dispozícii používateľom na zápis) a zabezpečí sa jedinečnosti, názov skúmaného počítača je zahrnutý v názve protokolu. Na začiatku skriptu je príkaz na zapnutie časovača watchdog, ktorý po 10 minútach násilne ukončí proces AVZ, ak sa počas vykonávania skriptu vyskytnú chyby.

Protokol AVZ je vhodný na manuálne štúdium, ale na automatizovanú analýzu je málo užitočný. Okrem toho správca často pozná názov súboru škodlivého softvéru a potrebuje iba skontrolovať prítomnosť alebo neprítomnosť tohto súboru a ak existuje, umiestniť ho do karantény na analýzu. V tomto prípade môžete použiť nasledujúci skript:

// Povolenie časovača sledovania na 10 minút

ActivateWatchDog(60 * 10);

// Vyhľadajte malvér podľa názvu

QuarantineFile('%WinDir%\smss.exe', 'Podozrivé o LdPinch.gen');

QuarantineFile('%WinDir%\csrss.exe', 'Podozrenie na LdPinch.gen');

//Vypnutie AVZ

Tento skript používa funkciu QuarantineFile na pokus o uloženie určených súborov do karantény. Administrátor môže analyzovať iba obsah karantény (priečinok Karanténa\názov_siete_PC\dátum_karantény\) na prítomnosť súborov v karanténe. Upozorňujeme, že funkcia QuarantineFile automaticky blokuje karanténu súborov identifikovaných zabezpečenou databázou AVZ alebo databázou digitálnych podpisov spoločnosti Microsoft. Pre praktické uplatnenie tento skript je možné vylepšiť - organizovať načítanie názvov súborov z externého textového súboru, kontrolovať nájdené súbory oproti databázam AVZ a vygenerovať textový protokol s výsledkami práce:

// Vyhľadajte súbor so zadaným názvom

function CheckByName(Fname: string) : boolean;

Vysledok:= FileExists(FName) ;

Ak Výsledok, potom začnite

case CheckFile(FNname) of

1: S:= ‘, prístup k súboru je zablokovaný’;

1: S:= ‘, rozpoznaný ako malvér (‘+GetLastCheckTxt+‘)‘;

2: S:= ‘, podozrivé skenerom súborov (‘+GetLastCheckTxt+’)’;

3: výstup; // Bezpečné súbory sú ignorované

AddToLog(‘Súbor ‚+NormalFileName(FName)+‘ má podozrivý názov‘+S);

//Pridajte zadaný súbor do karantény

QuarantineFile(FNmeno, ‘podozrivý súbor’+S);

SuspNames: TStringList; // Zoznam mien podozrivých súborov

// Kontrola súborov oproti aktualizovanej databáze

ak FileExists(GetAVZDirectory + ‘files.db’), začnite

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('Načítaná databáza mien - počet záznamov = '+inttostr(SuspNames.Count));

// Vyhľadávacia slučka

for i:= 0 do SuspNames.Count - 1 do

CheckByName(SuspNames[i]);

AddToLog('Chyba pri načítavaní zoznamu názvov súborov');

SaveLog(Získať AVZDirectory+’\LOG\’+

GetComputerName+’_files.txt’);

Aby tento skript fungoval, musíte v priečinku AVZ vytvoriť adresáre Karanténa a LOG, ktoré sú prístupné používateľom na zápis, ako aj textový súbor files.db - každý riadok tohto súboru bude obsahovať názov podozrivého súboru. Názvy súborov môžu obsahovať makrá, z ktorých najužitočnejšie sú %WinDir% (cesta k Priečinok Windows) a %SystemRoot% (cesta k priečinku System32). Ďalším smerom analýzy môže byť automatické skúmanie zoznamu procesov bežiacich na používateľských počítačoch. Informácie o spustených procesoch sú v protokole prieskumu systému, ale pre automatickú analýzu je vhodnejšie použiť nasledujúci fragment skriptu:

procedúra ScanProcess;

S:= ''; S1:= '';

//Aktualizácia zoznamu procesov

RefreshProcessList;

AddToLog(‘Počet procesov = ‘+IntToStr(GetProcessCount));

// Cyklus analýzy prijatého zoznamu

for i:= 0 do GetProcessCount - 1 začnite

S1:= S1 + ‘,’ + ExtrahovaťNázovSúboru(GetProcessName(i));

// Vyhľadajte proces podľa názvu

ak pos(‘trojan.exe’, malé písmená(GetProcessName(i))) > 0, potom

S:= S + GetProcessName(i)+’,’;

ak S<>''potom

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

Štúdium procesov v tomto skripte sa vykonáva ako samostatná procedúra ScanProcess, takže je ľahké ho umiestniť do vlastného skriptu. Procedúra ScanProcess vytvára dva zoznamy procesov: úplný zoznam procesy (na následnú analýzu) a zoznam procesov, ktoré sú z pohľadu správcu považované za nebezpečné. V tomto prípade sa na účely demonštrácie proces s názvom „trojan.exe“ považuje za nebezpečný. Informácie o nebezpečných procesoch sú pridané do textového súboru _alarm.txt, údaje o všetkých procesoch sú pridané do súboru _all_process.txt. Je ľahké vidieť, že skript môžete skomplikovať jeho pridaním, napríklad kontrolou procesných súborov oproti databáze bezpečných súborov alebo kontrolou mien spustiteľné súbory procesy na externej báze. Podobný postup sa používa v skriptoch AVZ používaných v Smolenskenergo: správca pravidelne študuje zhromaždené informácie a upravuje skript a pridáva k nemu názov procesov programov zakázaných bezpečnostnou politikou, napríklad ICQ a MailRu.Agent, čo umožňuje môžete rýchlo skontrolovať prítomnosť zakázaného softvéru na skúmaných počítačoch. Ďalším využitím zoznamu procesov je nájsť počítače, ktorým chýba požadovaný proces, napríklad antivírus.

Na záver sa pozrime na posledný z užitočných analytických skriptov - skript pre automatickú karanténu všetkých súborov, ktoré nie sú rozpoznané bezpečnou databázou AVZ a databázou digitálnych podpisov spoločnosti Microsoft:

// Vykonajte autokaranténu

ExecuteAutoQuarantine;

Automatická karanténa skúma bežiace procesy a načítané knižnice, služby a ovládače, približne 45 metód automatického spustenia, moduly rozšírenia prehliadača a prieskumníka, obslužné nástroje SPI/LSP, úlohy plánovača, obslužné nástroje tlačového systému atď. Zvláštnosťou karantény je, že sa do nej pridávajú súbory s kontrolou opakovania, takže funkciu autokarantény možno volať opakovane.

Výhodou automatickej karantény je, že s jej pomocou môže správca rýchlo zhromaždiť potenciálne podozrivé súbory zo všetkých počítačov v sieti na preskúmanie. Najjednoduchšou (ale v praxi veľmi efektívnou) formou štúdia súborov môže byť kontrola výslednej karantény niekoľkými populárnymi antivírusmi v maximálnom heuristickom režime. Je potrebné poznamenať, že súčasné spustenie automatickej karantény na niekoľkých stovkách počítačov môže spôsobiť vysoké zaťaženie siete a súborového servera.

Dopravný výskum

Dopravný prieskum možno vykonať tromi spôsobmi:

• ručne pomocou šnurov;
• v poloautomatickom režime - v tomto prípade sniffer zhromažďuje informácie a potom sú jeho protokoly spracované buď manuálne alebo pomocou nejakého softvéru;
• automaticky pomocou systémov detekcie narušenia (IDS), ako je Snort (http://www.snort.org/) alebo ich softvérových alebo hardvérových analógov. V najjednoduchšom prípade IDS pozostáva zo sniffera a systému, ktorý analyzuje informácie zhromaždené snifferom.

Systém detekcie narušenia je optimálnym nástrojom, pretože vám umožňuje vytvárať sady pravidiel na detekciu anomálií v sieťovej aktivite. Jeho druhá výhoda je nasledujúca: najmodernejšie IDS umožňuje umiestnenie agentov na monitorovanie prevádzky na viacerých sieťových uzloch – agenti zbierajú informácie a prenášajú ich. V prípade použitia snifferu je veľmi vhodné použiť konzolový UNIXový sniffer tcpdump. Napríklad na sledovanie aktivity na porte 25 ( protokol SMTP) stačí spustiť sniffer s príkazový riadok typ:

tcpdump -i em0 -l tcp port 25 > smtp_log.txt

V tomto prípade sa pakety zachytávajú cez rozhranie em0; informácie o zachytených paketoch budú uložené v súbore smtp_log.txt. Protokol sa dá pomerne ľahko analyzovať manuálne; v tomto príklade vám analýza aktivity na porte 25 umožňuje identifikovať počítače s aktívnymi spamovými robotmi.

Aplikácia Honeypotu

Zastaraný počítač, ktorého výkon neumožňuje jeho použitie na riešenie, môže byť použitý ako pasca (Honeypot). výrobné úlohy. Napríklad Pentium Pro s 64 MB sa úspešne používa ako pasca v sieti autora Náhodný vstup do pamäťe. Na tomto počítači by ste mali nainštalovať najbežnejší operačný systém v sieti LAN a vybrať jednu zo stratégií:

• Nainštalujte operačný systém bez aktualizačných balíkov - bude to indikátor výskytu aktívneho sieťového červa v sieti, ktorý využíva niektorú zo známych zraniteľností tohto operačného systému;
• nainštalovať operačný systém s aktualizáciami, ktoré sú nainštalované na iných počítačoch v sieti - Honeypot bude analogický s niektorou z pracovných staníc.

Každá stratégia má svoje klady aj zápory; Autor využíva hlavne možnosť bez aktualizácií. Po vytvorení Honeypotu by ste mali vytvoriť obraz disku na rýchlu obnovu systému po jeho poškodení škodlivým softvérom. Ako alternatívu k obrazu disku môžete použiť systémy vrátenia zmien, ako napríklad ShadowUser a jeho analógy. Po vytvorení Honeypotu by ste mali vziať do úvahy, že množstvo sieťových červov vyhľadáva infikované počítače skenovaním rozsahu IP, vypočítaného z IP adresy infikovaného počítača (bežné typické stratégie sú X.X.X.*, X.X.X+1.*, X.X.X-1.*), - preto by v ideálnom prípade mal byť na každej podsieti Honeypot. Ako ďalšie prípravné prvky určite otvorte prístup k niekoľkým priečinkom v systéme Honeypot a do týchto priečinkov vložte niekoľko vzorových súborov rôznych formátov, minimálna sada je EXE, JPG, MP3.

Po vytvorení Honeypotu musí správca samozrejme monitorovať jeho fungovanie a reagovať na akékoľvek anomálie zistené na tomto počítači. Ako prostriedok na zaznamenávanie zmien možno použiť audítorov, na zaznamenávanie sieťovej aktivity možno použiť sniffer. Dôležitý bod je, že väčšina snifferov poskytuje možnosť konfigurovať odosielanie výstrahy správcovi, ak sa zistí špecifická sieťová aktivita. Napríklad v CommView sniffer pravidlo zahŕňa špecifikovanie „vzorca“, ktorý popisuje sieťový paket, alebo špecifikovanie kvantitatívnych kritérií (odosielanie väčšieho počtu paketov alebo bajtov za sekundu, odosielanie paketov na neidentifikované adresy IP alebo MAC) - Obr. 2.

Ryža. 2. Vytvorte a nakonfigurujte výstrahu sieťovej aktivity

Ako varovanie je najvhodnejšie použiť e-mailové správy odoslané na Poštová schránka administrátor - v tomto prípade môžete dostávať rýchle upozornenia zo všetkých pascí v sieti. Okrem toho, ak vám sniffer umožňuje vytvárať viaceré upozornenia, má zmysel odlíšiť sieťovú aktivitu zvýraznením práce s e-mailom, FTP/HTTP, TFTP, Telnet, MS Net, zvýšili prevádzku o viac ako 20-30 paketov za sekundu pre akýkoľvek protokol (obr. 3).

Ryža. 3. List s oznámením odoslaný
ak sa zistia pakety zodpovedajúce špecifikovaným kritériám

Pri organizovaní pasce je dobré umiestniť na ňu niekoľko zraniteľných sieťových služieb používaných v sieti alebo im nainštalovať emulátor. Najjednoduchší (a bezplatný) je proprietárny nástroj APS, ktorý funguje bez inštalácie. Princíp fungovania APS spočíva v počúvaní mnohých TCP a UDP portov popísaných v jeho databáze a vydávaní vopred určenej alebo náhodne vygenerovanej odpovede v momente pripojenia (obr. 4).

Ryža. 4. Hlavné okno pomôcky APS

Obrázok ukazuje snímku obrazovky urobenú počas skutočnej aktivácie APS v sieti Smolenskenergo LAN. Ako je možné vidieť na obrázku, bol zaznamenaný pokus o pripojenie jedného z klientskych počítačov na port 21. Analýza protokolov ukázala, že pokusy sú periodické a zaznamenávajú ich viaceré pasce v sieti, čo nám umožňuje dospieť k záveru, že sieť sa kontroluje, aby sa hľadali a hackovali FTP servery hádaním hesiel. APS vedie protokoly a môže správcom posielať správy s hláseniami o zaregistrovaných pripojeniach k monitorovaným portom, čo je vhodné na rýchle zistenie sieťových skenov.

Pri vytváraní honeypotu je tiež užitočné oboznámiť sa s online zdrojmi na danú tému, najmä http://www.honeynet.org/. V časti Nástroje na tejto stránke (http://www.honeynet.org/tools/index.html) nájdete množstvo nástrojov na zaznamenávanie a analýzu útokov.

Vzdialené odstránenie škodlivého softvéru

V ideálnom prípade po objavení vzoriek malvér správca ich odošle do antivírusového laboratória, kde ich analytici okamžite preštudujú a príslušné podpisy vložia do antivírusovej databázy. Tieto podpisy sa automaticky aktualizujú na počítači používateľa a antivírus automaticky odstraňuje malvér bez zásahu správcu. Tento reťazec však nie vždy funguje tak, ako sa očakáva; konkrétne sú možné nasledujúce dôvody zlyhania:

• z viacerých dôvodov nezávislých od správcu siete sa snímky nemusia dostať do antivírusového laboratória;
• nedostatočná efektivita antivírusového laboratória - v ideálnom prípade štúdium vzoriek a ich vloženie do databázy netrvá dlhšie ako 1-2 hodiny, čo znamená, že aktualizované databázy podpisov je možné získať v priebehu pracovného dňa. Nie všetky antivírusové laboratóriá však fungujú tak rýchlo a na aktualizácie môžete čakať niekoľko dní (v ojedinelých prípadoch aj týždne);
• vysoký výkon antivírusu – množstvo škodlivých programov po aktivácii zničí antivírusy alebo inak naruší ich činnosť. Klasické príklady zahŕňajú vytváranie záznamov v súbore hostiteľov, ktoré blokujú normálna práca antivírusové automatické aktualizačné systémy, vymazanie procesov, služieb a antivírusových ovládačov, poškodenie ich nastavení a pod.

Preto vo vyššie uvedených situáciách budete musieť riešiť malvér manuálne. Vo väčšine prípadov to nie je ťažké, pretože výsledky počítačovej kontroly odhalia infikované počítače, ako aj úplné názvy súborov škodlivého softvéru. Zostáva ich len odstrániť na diaľku. Ak škodlivý program nie je chránený pred odstránením, možno ho zničiť pomocou nasledujúceho skriptu AVZ:

// Odstránenie súboru

DeleteFile('názov súboru');

ExecuteSysClean;

Tento skript vymaže jeden špecifikovaný súbor (alebo niekoľko súborov, pretože v skripte môže byť neobmedzený počet príkazov DeleteFile) a potom automaticky vyčistí register. V zložitejšom prípade sa malvér môže chrániť pred vymazaním (napríklad opätovným vytvorením svojich súborov a kľúčov registra) alebo sa maskovať pomocou technológie rootkit. V tomto prípade sa skript skomplikuje a bude vyzerať takto:

// Anti-rootkit

SearchRootkit(true, true);

// Ovládanie AVZGuard

SetAVZGuardStatus(true);

// Odstránenie súboru

DeleteFile('názov súboru');

// Povolenie protokolovania BootCleaner

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// Importujte do úlohy BootCleaner zoznam súborov odstránených skriptom

BC_ImportDeletedList;

// Aktivujte BootCleaner

// Heuristické čistenie systému

ExecuteSysClean;

RebootWindows(true);

Tento skript obsahuje aktívnu protiakciu na rootkity, používanie systému AVZGuard (ide o blokovanie aktivity škodlivého softvéru) a systému BootCleaner. BootCleaner je ovládač, ktorý odstraňuje určené objekty z KernelMode počas reštartu, v počiatočnej fáze zavádzania systému. Prax ukazuje, že takýto skript je schopný zničiť veľkú väčšinu existujúceho malvéru. Výnimkou je malvér, ktorý pri každom reštarte mení názvy svojich spustiteľných súborov – v tomto prípade je možné súbory objavené počas kontroly systému premenovať. V takom prípade budete musieť svoj počítač dezinfikovať manuálne alebo si vytvoriť vlastné podpisy malvéru (príklad skriptu, ktorý implementuje vyhľadávanie podpisov, je popísaný v pomocníkovi AVZ).

Záver

V tomto článku sme sa pozreli na niekoľko praktických techník na boj proti epidémii LAN manuálne, bez použitia antivírusových produktov. Väčšinu opísaných techník možno použiť aj na vyhľadávanie cudzích PC a záložiek trójskych koní na používateľských počítačoch. Ak máte problémy s nájdením škodlivého softvéru alebo vytvorením liečebných skriptov, administrátor môže použiť sekciu „Pomoc“ na fóre http://virusinfo.info alebo sekciu „Boj proti vírusom“ na fóre http://forum.kaspersky.com /index.php?showforum= 18. Štúdium protokolov a pomoc pri liečbe prebieha na oboch fórach bezplatne, analýza PC prebieha podľa protokolov AVZ a vo väčšine prípadov liečba spočíva v spustení skriptu AVZ na infikovaných počítačoch, ktorý zostavili skúsení odborníci z týchto fór .

Porovnávacia analýza bezpečnostné skenery. Časť 1: Penetračný test (Stručné zhrnutie)

Alexander Antipov

Tento dokument prezentuje výsledky porovnania sieťových bezpečnostných skenerov počas penetračných testov s uzlami sieťového perimetra.

Lepikhin Vladimír Borisovič
Vedúci laboratória sieťovej bezpečnosti v školiacom stredisku Informzashchita

Všetky materiály v správe sú predmetom duševného vlastníctva školiaceho strediska Informzashita. Kopírovanie, publikovanie alebo reprodukcia materiálov správ v akejkoľvek forme je bez predchádzajúceho písomného súhlasu školiaceho strediska Informzashita zakázané.

Celý text štúdie:
http://www.itsecurity.ru/news/reliase/2008/12_22_08.htm

1. Úvod

Sieťové bezpečnostné skenery sú ideálne na porovnanie. Všetky sú veľmi odlišné. A kvôli špecifikám úloh, na ktoré sú určené, a kvôli ich „dvojitému“ účelu (sieťové bezpečnostné skenery možno použiť na obranu aj „na útok“ a hackovanie, ako vieme, je kreatívna úloha) , napokon aj preto, že za každým takýmto nástrojom sa skrýva „hackerská“ (v pôvodnom zmysle slova) myšlienka jeho tvorcu.

Pri výbere porovnávacích podmienok sa vychádzalo z prístupu „založeného na úlohe“, takže na základe výsledkov možno posúdiť, nakoľko je konkrétny nástroj vhodný na riešenie zadanej úlohy. Môžu sa použiť napríklad bezpečnostné skenery siete:

• pre inventarizáciu sieťových zdrojov;
• počas „penetračných testov“;
• v procese testovania systémov na zhodu s rôznymi požiadavkami.

Tento dokument prezentuje výsledky porovnania sieťových bezpečnostných skenerov počas penetračných testov s uzlami sieťového perimetra. Hodnotili sa:

• Počet nájdených zraniteľností
• Počet falošne pozitívnych výsledkov (falošne pozitívnych)
• Falošné negatívy
• Dôvody absencií
• Úplnosť kontrolnej základne (v kontexte tejto úlohy)
• Kvalita inventarizačných mechanizmov a určenie verzie softvéru
• Presnosť skenera (v kontexte tejto úlohy)

Uvedené kritériá spolu charakterizujú „vhodnosť“ skenera na riešenie zadanej úlohy, v tomto prípade ide o automatizáciu rutinných akcií v procese monitorovania bezpečnosti perimetra siete.

2. Stručný popis účastníkov porovnávania

Portál pred spustením porovnávania urobil prieskum, ktorého účelom bolo zozbierať údaje o používaných skeneroch a úlohách, na ktoré slúžia.

Prieskumu sa zúčastnilo približne 500 respondentov (návštevníkov portálu).

Na otázku o bezpečnostných skeneroch, ktoré používajú vo svojich organizáciách, prevažná väčšina respondentov uviedla, že používa aspoň jeden bezpečnostný skener (70 %). Zároveň organizácie, ktoré pravidelne používajú bezpečnostné skenery na analýzu bezpečnosti svojich informačných systémov, uprednostňujú používanie viacerých produktov tejto triedy. 49 % respondentov uviedlo, že ich organizácie používajú dva alebo viac bezpečnostných skenerov (obrázok 1).

1. Rozdelenie skúmaných organizácií podľa počtu použitých bezpečnostných skenerov

Dôvody na používanie viac ako jedného bezpečnostného skenera zahŕňajú, že organizácie nedôverujú riešeniam od jedného „dodávateľa“ (61 %) a keď sú potrebné špecializované kontroly (39 %), ktoré nemožno vykonať pomocou komplexného bezpečnostného skenera (obr. 2). .

2. Dôvody používania viac ako jedného bezpečnostného skenera v skúmaných organizáciách

Na otázku, na aké účely sa používajú špecializované bezpečnostné skenery, väčšina respondentov odpovedala, že sa používajú ako dodatočné nástroje na analýzu bezpečnosti webových aplikácií (68 %). Na druhom mieste boli špecializované bezpečnostné skenery DBMS (30 %) a na treťom (2 %) proprietárne utility na riešenie špecifického okruhu problémov pri analýze bezpečnosti informačných systémov (obr. 3).

3. Účely používania špecializovaných bezpečnostných skenerov v organizáciách skúmaných respondentov

Z výsledkov prieskumu respondentov (obr. 4) o koncových produktoch súvisiacich s bezpečnostnými skenermi vyplynulo, že väčšina organizácií preferuje používanie produktov Positive Technologies XSpider (31 %) a Nessus Security Scanner (17 %).

Ryža. 4. Bezpečnostné skenery používané v organizáciách respondentov

Skenery uvedené v tabuľke 1 boli vybrané na účasť v testovacích testoch.

Tabuľka 1. Porovnanie použitých sieťových bezpečnostných skenerov

názov	Verzia
		http://www.nessus.org/download
MaxPatrol	8.0 (zostava 1178)	http://www.ptsecurity.ru/maxpatrol.asp
Internetový skener		http://www-935.ibm.com/services/us/index.wss/offering/iss/a1027208
RetinaSkener zabezpečenia siete		http://www.eeye.com/html/products/retina/index.html
Tieňový bezpečnostný skener (SSS)	7.141 (zostava 262)	http://www.safety-lab.com/en/products/securityscanner.htm
NetClarity Auditor		http://netclarity.com/branch-nacwall.html

Prvý test je teda zameraný na úlohu posúdiť bezpečnosť systémov na odolnosť voči hackingu.

3. Zhrnutie

Výsledky pre zostávajúce uzly sa vypočítali podobným spôsobom. Po vypočítaní výsledkov bola získaná nasledujúca tabuľka (tabuľka 2).

Tabuľka 2. Konečné výsledky pre všetky skenované objekty

Index		Internetový skener			Tieňový bezpečnostný skener	NetClarity audítor
Identifikácia služieb a aplikácií, body
Nájdené chyby zabezpečenia, celkom
Z týchto falošne pozitívnych (falošne pozitívne)
Zistené správne (z 225 možných)
Prihrávky (falošne negatívne)
Z toho kvôli absencii v databáze
Z nich spôsobené potrebou autentifikácie
Z iných dôvodov

3.1 Identifikácia služieb a aplikácií

Na základe výsledkov identifikácie služieb a aplikácií boli body jednoducho sčítané a jeden bod bol odpočítaný za nesprávnu identifikáciu služby alebo aplikácie (obr. 5).

Ryža. 5. Výsledky identifikácie služieb a aplikácií

Najvyšší počet bodov (108) získal skener MaxPatrol a o niečo menej (98) skener Nessus. V týchto dvoch skeneroch je totiž postup na identifikáciu služieb a aplikácií implementovaný veľmi efektívne. Tento výsledok možno nazvať celkom očakávaným.

Nasledujúce výsledky pochádzajú zo skenerov Internet Scanner a NetClarity. Tu môžeme spomenúť, že napríklad Internet Scanner sa zameriava na používanie štandardných portov pre aplikácie, čo do značnej miery vysvetľuje jeho nízky výsledok. Nakoniec, skener NetClarity má najhorší výkon. Napriek tomu, že identifikuje služby dobre (napokon je založený na jadre Nessus 2.x), jeho celkovo slabý výkon možno vysvetliť tým, že neidentifikoval všetky otvorené porty.

3.2 Identifikácia slabých miest

Na obr. Obrázok 6 zobrazuje celkový počet zraniteľností nájdených všetkými skenermi a počet falošných poplachov. Najväčší počet zraniteľností našiel skener MaxPatrol. Nessus sa opäť ukázal ako druhý (aj keď s výrazným náskokom).
Lídrom v počte falošných poplachov bol Tieňový bezpečnostný skener. V zásade je to pochopiteľné, príklady chýb týkajúcich sa konkrétne jeho kontrol boli uvedené vyššie.

Ryža. 6. Nájdené slabé miesta a falošné poplachy

Celkovo na všetkých 16 uzloch všetky skenery našli (a následne potvrdili manuálnym overením) 225 zraniteľností. Výsledky boli rozdelené ako na obr. 7. Najväčší počet zraniteľností – 155 z 225 možných – identifikoval skener MaxPatrol. Druhým bol skener Nessus (jeho výsledok bol takmer dvakrát horší). Ďalej nasleduje Internet Scanner a potom NetClarity.
Počas porovnávania boli analyzované dôvody chýbajúcich zraniteľností a oddelené tie, ktoré vznikli z dôvodu nedostatočných kontrol v databáze. Nasledujúca schéma (obr. 8) ukazuje dôvody, prečo skenerom chýbajú zraniteľnosti.

Ryža. 7. Nájdené slabé miesta a opomenutia

Ryža. 8. Dôvody chýbajúcich zraniteľností

Teraz niekoľko ukazovateľov vyplývajúcich z výpočtov.

Na obr. Obrázok 39 ukazuje pomer počtu falošných poplachov k celkovému počtu nájdených zraniteľností, tento ukazovateľ možno v určitom zmysle nazvať presnosťou skenera. Používateľ sa totiž v prvom rade zaoberá zoznamom zraniteľností nájdených skenerom, z ktorých je potrebné vybrať tie správne nájdené.

Ryža. 9. Presnosť skenerov

Z tohto diagramu je vidieť, že najvyššiu presnosť (95%) dosiahol skener MaxPatrol. Hoci počet falošných poplachov nie je najnižší, táto miera presnosti sa dosahuje vďaka veľkému počtu zistených zraniteľností. Ďalšou najpresnejšou definíciou je Internet Scanner. Vykázalo najnižší počet falošne pozitívnych výsledkov. Skener SSS má najnižší výsledok, čo nie je prekvapujúce vzhľadom na veľký počet falošne pozitívnych výsledkov, ktoré boli zaznamenané počas porovnávania.

Ďalším vypočítaným ukazovateľom je úplnosť databázy (obr. 10). Vypočítava sa ako pomer počtu správne nájdených zraniteľností k celkovému počtu zraniteľností (v tomto prípade - 225) a charakterizuje rozsah „nezmeškaných“.

Ryža. 10. Úplnosť databázy

Z tohto diagramu je zrejmé, že základňa skenera MaxPatrol je pre danú úlohu najvhodnejšia.

4. Záver

4.1 Komentáre k výsledkom vedúcich: MaxPatrol a Nessus

Na prvom mieste podľa všetkých kritérií tohto porovnania je skener MaxPatrol, na druhom mieste je skener Nessus, výsledky ostatných skenerov sú výrazne nižšie.

Tu je vhodné pripomenúť jeden z dokumentov vypracovaných americkým Národným inštitútom pre štandardy a technológie (NIST), a to „Guideline on Network Security Testing“. V ňom sa uvádza, že pri monitorovaní bezpečnosti počítačových systémov sa odporúča používať minimálne dva bezpečnostné skenery.

Na dosiahnutom výsledku v skutočnosti nie je nič neočakávané ani prekvapujúce. Nie je žiadnym tajomstvom, že skenery XSpider (MaxPatrol) a Nessus sú obľúbené medzi bezpečnostnými špecialistami aj hackermi. Potvrdzujú to aj vyššie uvedené výsledky prieskumu. Pokúsme sa analyzovať dôvody zrejmého vedenia MaxPatrol (toto čiastočne platí pre skener Nessus), ako aj dôvody „straty“ iných skenerov. V prvom rade ide o kvalitnú identifikáciu služieb a aplikácií. Testy založené na inferenciách (a v tomto prípade ich bolo pomerne veľa) do veľkej miery závisia od presnosti zberu informácií. A identifikácia služieb a aplikácií v skeneri MaxPatrol je takmer dokonalá. Tu je jeden názorný príklad.
Druhým dôvodom úspechu MaxPatrol je úplnosť databázy a jej primeranosť danej úlohe a vo všeobecnosti „dnešnosti“. Na základe výsledkov je badateľné, že databáza kontrol v MaxPatrol sa výrazne rozšírila a spresnila, dala sa do poriadku, pričom zjavná „zaujatosť“ voči webovým aplikáciám je kompenzovaná rozšírením kontrol v iných oblastiach. , napríklad výsledky skenovania smerovača prezentované v porovnaní boli pôsobivé Cisco.

Tretím dôvodom je kvalitatívna analýza verzií aplikácií s prihliadnutím na operačné systémy, distribúcie a rôzne „vetvy“. Môžete tiež pridať použitie rôznych zdrojov (databázy zraniteľností, upozornenia a bulletiny dodávateľov).

Nakoniec môžeme tiež dodať, že MaxPatrol má veľmi pohodlné a logické rozhranie, ktoré odráža hlavné fázy práce sieťových bezpečnostných skenerov. A toto je dôležité. Kombinácia „uzol, služba, zraniteľnosť“ je veľmi jednoduchá na pochopenie (pozn. redakcie: ide o subjektívny názor autora prirovnania). A hlavne pre túto úlohu.

Teraz o nedostatkoch a „slabých“ miestach. Keďže MaxPatrol sa ukázal byť lídrom v porovnaní, kritika naňho bude „maximálna“.

Po prvé, takzvané „straty v malých veciach“. S veľmi kvalitným motorom je dôležité ponúknuť zodpovedajúce doplnkové služby, napríklad pohodlné nástroje, ktoré vám umožnia robiť niečo manuálne, nástroje na vyhľadávanie zraniteľností a možnosť „doladiť“ systém. MaxPatrol pokračuje v tradícii XSpider a je maximálne zameraný na ideológiu „klikni a funguje to“. Na jednej strane to nie je zlé, na druhej strane to obmedzuje „pedantného“ analytika.

Po druhé, niektoré služby zostali „nekryté“ (to môžete posúdiť z výsledkov tohto porovnania), napríklad IKE (port 500).

Po tretie, v niektorých prípadoch chýba základné porovnanie výsledkov dvoch kontrol medzi sebou, napríklad ako v prípade SSH opísanom vyššie. To znamená, že na základe výsledkov niekoľkých kontrol neexistujú žiadne závery. Napríklad operačný systém host4 bol klasifikovaný ako Windows a „dodávateľ“ služby PPTP bol klasifikovaný ako Linux. Môžeme vyvodiť závery? Napríklad v správe v oblasti definície operačného systému uveďte, že ide o „hybridný“ uzol.

Po štvrté, popis kontrol ponecháva veľa požiadaviek. Tu by sa však malo chápať, že MaxPatrol je v nerovnakých podmienkach s inými skenermi: vysokokvalitný preklad do ruštiny všetkých popisov je veľmi náročná úloha.

Skener Nessus vykazoval vo všeobecnosti dobré výsledky a v mnohých bodoch bol presnejší ako skener MaxPatrol. Hlavným dôvodom, prečo Nessus zaostáva, je vynechanie zraniteľností, ale nie kvôli nedostatku kontrol v databáze, ako väčšina iných skenerov, ale kvôli implementačným funkciám. Po prvé (a to je dôvod pre značnú časť opomenutí), v skeneri Nessus došlo k vývojovému trendu smerom k „miestnym“ alebo systémovým kontrolám, ktoré vyžadujú pripojenie k účtu. Po druhé, skener Nessus berie do úvahy (v porovnaní s MaxPatrol) menej zdrojov informácií o zraniteľnostiach. Je to trochu podobné skeneru SSS, ktorý je z veľkej časti založený na SecurityFocus.

5. Obmedzenia tohto porovnania

Počas porovnávania boli schopnosti skenerov skúmané v kontexte iba jednej úlohy – testovania uzlov obvodu siete na odolnosť voči hackingu. Napríklad, ak nakreslíme analógiu auta, videli sme, ako sa rôzne autá správajú, povedzme, na klzkej vozovke. Existujú však aj iné úlohy, ktorých riešenie s rovnakými skenermi môže vyzerať úplne inak. V blízkej budúcnosti sa plánuje porovnanie skenerov pri riešení problémov ako:

• Vykonávanie systémových auditov pomocou účtu
• PCI DSS Compliance Assessment
• Skenovanie systémov Windows

Okrem toho sa plánuje porovnanie skenerov pomocou formálnych kritérií.

Počas tohto porovnávania sa testoval iba samotný „motor“, alebo moderne povedané „mozog“ skenera. Schopnosti z hľadiska doplnkových služieb (reporty, zaznamenávanie informácií o priebehu skenovania a pod.) neboli nijako hodnotené ani porovnávané.

Taktiež sa nehodnotila miera nebezpečenstva a schopnosť zneužiť nájdené zraniteľnosti. Niektoré skenery sa obmedzili na „malé“ slabiny s nízkym rizikom, zatiaľ čo iné identifikovali skutočne kritické zraniteľnosti, ktoré umožňujú prístup do systému.

Bezpečnostný skener: zisťuje zraniteľnosti siete, spravuje aktualizácie a záplaty, automaticky opravuje problémy, kontroluje softvér a hardvér. GFI Zabezpečenie siete">Bezpečnosť siete 2080

Skener zabezpečenia siete a centralizovaná správa aktualizácií

GFI LanGuard pracuje ako virtuálny bezpečnostný konzultant:

— Spravuje aktualizácie pre Windows®, Mac OS® a Linux®

— Detekuje zraniteľné miesta na počítačoch a mobilné zariadenia

— Vykonáva audity sieťové zariadenia a softvér

GFI Languard je bezpečnostný skener pre siete akejkoľvek veľkosti: skener sieťových portov a zraniteľností, bezpečnostný skener, automaticky nájde diery v sieti

GFI Languard je bezpečnostný skener pre siete akejkoľvek veľkosti: skener sieťových portov a zraniteľností, bezpečnostný skener, automaticky nájde diery v sieti

Čo je GFI LanGuard

Viac ako skener zraniteľnosti!

GFI LanGuard je sieťový bezpečnostný skener: zisťuje, identifikuje a opravuje sieťové zraniteľnosti. Úplné skenovanie portov, dostupnosť potrebných aktualizácií softvéru na ochranu vašej siete a audit softvéru a hardvéru sú možné z jediného ovládacieho panela.

Portový skener

Niekoľko predpripravených profilov skenovania umožňuje vykonať úplnú kontrolu všetkých portov, ako aj rýchlo skontrolovať iba tie, ktoré bežne využíva nechcený a škodlivý softvér. GFI LanGuard skenuje viacero hostiteľov súčasne, čím výrazne skracuje požadovaný čas, a potom porovnáva softvér nachádzajúci sa na vyťažených portoch s očakávaným.

Aktualizácie a opravy

Pred inštaláciou najnovšie aktualizácie vaše uzly sú úplne nechránené, pretože sú to najnovšie zraniteľnosti, ktoré sú pokryté aktuálnymi záplatami a aktualizáciami, ktoré používajú hackeri na prienik do vašej siete. Na rozdiel od nástrojov zabudovaných v OS GFI LanGuard skontroluje nielen samotný OS, ale aj populárny softvér, ktorého zraniteľnosti sa zvyčajne používajú na hackovanie: Adobe Acrobat/Reader, Flash Player, Skype, Outlook, prehliadače, instant messenger.

Audit uzla

GFI LanGuard sa pre vás pripraví podrobný zoznam nainštalovaný softvér a hardvér na každom počítači, zistí zakázané alebo chýbajúce programy, ako aj nepotrebné pripojené zariadenia. Výsledky viacerých skenov možno porovnať a identifikovať zmeny v softvéri a hardvér.

Najnovšie informácie o hrozbách

Každý sken sa vykonáva po aktualizácii údajov o zraniteľnostiach, ktorých počet v databáze GFI LanGuard už prekročil 50 000. Informácie o hrozbách poskytujú samotní dodávatelia softvéru, ako aj dôveryhodné zoznamy SANS a OVAL, takže ste vždy chránení pred najnovšími hrozbami, vrátane heartbleed, tajných, shellshock, pudel, sandworm a ďalších.

Automatická korekcia

Keď dostanete podrobnú správu o skenovaní s popisom každej zraniteľnosti a odkazmi na Ďalšie čítanie, väčšinu hrozieb môžete opraviť jedným kliknutím na tlačidlo „Opraviť“: zatvoria sa porty, opravia sa kľúče databázy Registry, nainštalujú sa záplaty, softvér sa aktualizuje, zakázané programy sa odstránia a chýbajúce programy sa nainštalujú.