Programi za skeniranje omrežij za ranljivost. Primerjava skenerjev za varnost omrežja. Primerjava skenerjev omrežnih ranljivosti

PREGLED IN PRIMERJAVA SKENERJEV RANLJIVOSTI

Rozhkova Ekaterina Olegovna

Študent 4. letnika, Oddelek za ladijsko avtomatizacijo in meritve, St. Petersburg State Medical University, Ruska federacija, St.

E- pošta: rina1242. ro@ gmail. com

Iljin Ivan Valerievič

Študentka 4. letnika, smer Varne informacijske tehnologije

Nacionalna raziskovalna univerza v Sankt Peterburgu ITMO, Ruska federacija, Sankt Peterburg

E- pošta: vanilin. va@ gmail. com

Galušin Sergej Jakovlevič

znanstveni mentor dr. tehn. znanosti, prorektorica za znanstveno delo, Ruska federacija, Sankt Peterburg

Za visoko raven varnosti je treba uporabljati ne le požarne zidove, temveč tudi občasno izvajati ukrepe za odkrivanje ranljivosti, na primer z uporabo skenerjev ranljivosti. Pravočasno odkrivanje slabosti v sistemu bo preprečilo nepooblaščen dostop in manipulacijo podatkov. Toda katera možnost optičnega bralnika najbolj ustreza potrebam določenega sistema? Če želite odgovoriti na to vprašanje, morate najprej ugotoviti pomanjkljivosti v varnostnem sistemu vašega računalnika ali omrežja. Po statističnih podatkih se večina napadov zgodi skozi znane in objavljene varnostne vrzeli, ki jih morda ni mogoče odpraviti iz več razlogov, pa naj gre za pomanjkanje časa, kadrov ali nesposobnost skrbnika sistema. Zavedati se morate tudi, da lahko slabovoljec običajno prodre v sistem na več načinov in če ena metoda ne deluje, lahko vsiljivec vedno poskusi drugo. Zagotavljanje najvišje ravni varnosti sistema zahteva temeljito analizo tveganja in nadaljnji razvoj jasnega modela groženj za natančnejše napovedovanje možna dejanja hipotetični zločinec.

Med najpogostejše ranljivosti sodijo prekoračitve medpomnilnika, morebitne napake v konfiguraciji usmerjevalnika ali požarnega zidu, ranljivosti spletnega strežnika, poštnih strežnikov, DNS strežnikov, baz podatkov. Poleg tega ne prezrite enega najbolj občutljivih področij varnost informacij- upravljanje uporabnikov in datotek, saj je zagotavljanje ravni dostopa uporabnika z minimalnimi privilegiji specifična naloga, ki zahteva kompromis med uporabniško izkušnjo in zagotavljanjem varnosti sistema. Omeniti je treba problem praznih ali šibkih gesel, privzetih računov in problem splošnega uhajanja informacij.

Varnostni skener je programsko orodje za oddaljeno ali lokalno diagnostiko različne elemente omrežja za prepoznavanje različnih ranljivosti v njih; lahko znatno skrajšajo delovni čas strokovnjakov in olajšajo iskanje ranljivosti.

Pregled varnostnih skenerjev

To delo je pregledalo optične bralnike, ki imajo brezplačno preskusno različico, ki vam omogoča uporabo programske opreme, da se seznanite z omejenim seznamom njenih zmogljivosti in ocenite stopnjo preprostosti vmesnika. Za predmete pregleda so bili izbrani naslednji priljubljeni skenerji ranljivosti: Nessus, GFI LANguard, Retina, varnostni skener Shadow, Internetni skener.

Nessus

Nessus je program za samodejno iskanje znanih varnostnih napak informacijski sistemi. Zazna lahko najpogostejše vrste ranljivosti, kot so prisotnost ranljivih različic storitev ali domen, konfiguracijske napake (ni potrebe po avtorizaciji na strežniku SMTP), prisotnost privzetih gesel, prazna ali šibka gesla.

Skener Nessus je zmogljivo in zanesljivo orodje, ki spada v družino omrežnih skenerjev, ki omogoča iskanje ranljivosti v omrežnih storitvah, ki jih ponujajo operacijski sistemi, požarni zidovi, filtrirni usmerjevalniki in druge omrežne komponente. Za iskanje ranljivosti se uporabljajo kot standardna sredstva testiranje in zbiranje informacij o konfiguraciji in delovanju omrežja ter posebna sredstva, ki posnema dejanja napadalca, da prodre v sisteme, povezane z omrežjem.

Program ima možnost povezovanja lastnih postopkov preverjanja ali predlog. V ta namen skener ponuja poseben skriptni jezik, imenovan NASL (Nessus Attack Scripting Language). Podatkovna baza ranljivosti se nenehno povečuje in posodablja. Registrirani uporabniki vse posodobitve prejmejo takoj, drugi (preizkusne različice ipd.) pa z določeno zamudo.

GFILanGuard

GFI LanGuard Network Security Scanner (N.S.S) je nagrajena rešitev, ki uporablja tri ključne komponente za vašo zaščito: varnostni skener, upravljanje popravkov in nadzor omrežja iz ene enotne konzole. S skeniranjem celotnega omrežja ugotovi vse možne težave varnosti in z njeno obsežno funkcionalnost poročanje, zagotavlja orodja, potrebna za odkrivanje, vrednotenje, opisovanje in odpravljanje morebitnih groženj.

Postopek varnostnega pregleda ustvari več kot 15.000 ocen ranljivosti in pregleda omrežja na podlagi naslova IP. GFI LanGuard N.S.S. nudi možnost izvajanja skeniranja na več platformah (Windows, Mac OS, Linux) v vseh okoljih in analizira status omrežja za vsak vir podatkov. To zagotavlja, da je morebitne grožnje mogoče identificirati in odpraviti, preden hekerji pridejo na pot.

GFI LanGuard N.S.S. prihaja s popolno in celovito zbirko podatkov o oceni ranljivosti, vključno s standardi, kot sta OVAL (več kot 2000 vrednosti) in SANS Top 20. Ta zbirka podatkov se redno posodablja z informacijami iz BugTraq, SANS Corporation, OVAL, CVE itd. Zahvaljujoč samodejnemu GFI LanGuard posodobitev sistema N.S.S. vedno vsebuje najnovejše informacije o Microsoftovih varnostnih posodobitvah, pa tudi informacije iz GFI in drugih repozitorijev informacij, kot je baza podatkov OVAL.

GFI LanGuard N.S.S. pregleduje računalnike, identificira in razvršča ranljivosti, priporoča ukrepe in nudi orodja za reševanje težav. GFI LANguard N.S.S. uporablja tudi grafični indikator stopnje grožnje, ki zagotavlja intuitivno, uravnoteženo oceno statusa ranljivosti skeniranega računalnika ali skupine računalnikov. Če je možno, je navedena povezava oz Dodatne informacije za določeno težavo, kot je identifikator v BugTraq ID ali Microsoftovi zbirki znanja.

GFI LanGuard N.S.S. omogoča preprosto ustvarjanje lastnih shem testiranja ranljivosti s pomočjo čarovnika. Z uporabo skriptnega mehanizma VBScript lahko napišete tudi zapletena preverjanja ranljivosti za GFI LanGuard N.S.S. GFI LanGuard N.S.S. vključuje urejevalnik skriptov in razhroščevalnik.

Mrežnica

Retina Network Security Scanner, BeyondTrustov pregledovalnik ranljivosti omrežja, identificira znane ranljivosti omrežja in daje prednost grožnjam za odpravo. Med uporabo programski izdelek vsi računalniki, naprave, operacijski sistemi, aplikacije in brezžična omrežja so identificirani.

Uporabniki lahko Retina uporabljajo tudi za ocenjevanje tveganj za varnost informacij, upravljanje projektnih tveganj in izpolnjevanje zahtev standardov z revizijami politik podjetja. Ta optični bralnik ne izvaja kode ranljivosti, zato skeniranje ne vodi do izgube funkcionalnosti omrežja in analiziranih sistemov. Uporaba lastniške tehnologije skeniranja Adaptive Speed ​​​​ lokalno omrežje Razred C bo trajal približno 15 minut, to omogoča Adaptive Speed ​​​​- tehnologija hitrega varnega skeniranja omrežja. Poleg tega omogočajo prilagodljive nastavitve območja skeniranja sistemski administrator analizirajo varnost celotnega omrežja ali določenega segmenta, ne da bi vplivali na delovanje sosednjih. Dogajanje samodejno posodabljanje lokalne kopije baze podatkov, zato se analiza omrežja vedno izvaja na podlagi najnovejših podatkov. Stopnja lažnih pozitivnih rezultatov je manjša od 1 % in obstaja prilagodljiv nadzor dostopa do sistemskega registra.

Sencavarnostskener (SSS)

Ta optični bralnik se lahko uporablja za zanesljivo odkrivanje znanih in neznanih (v času izdaje) nova različica izdelka) ranljivosti. Pri skeniranju sistema SSS analizira podatke, vključno z iskanjem ranljivosti, in nakazuje morebitne napake v konfiguraciji strežnika. Poleg tega skener predlaga možne načine za rešitev teh težav in odpravo ranljivosti v sistemu.

Kot stransko tehnologijo sistem uporablja jedro lastnega razvoja proizvajalca Shadow Security Scanner. Opozoriti je treba, da bo SSS pri delu v operacijskem sistemu Windows skeniral strežnike ne glede na njihovo platformo. Primeri platform vključujejo platforme Unix (Linux, FreeBSD, OpenBSD, Net BSD, Solaris), platforme Windows (95/98/ME/NT/2000/XP/.NET/Win 7 in 8). Shadow Security Scanner lahko odkrije tudi napake v opremi CISCO, HP in drugih. Ta optični bralnik so ustvarili domači razvijalci in ima v skladu s tem ruski vmesnik, pa tudi dokumentacijo in vročo linijo podpore na njem.

InternetSkener

Ta skener omogoča samodejno odkrivanje in analizo ranljivosti v korporativno omrežje. Zmogljivosti skenerja vključujejo izvedbo številnih preverjanj za naknadno identifikacijo ranljivosti v omrežnih storitvah, operacijskih sistemih, usmerjevalnikih, poštnih in spletnih strežnikih, požarnih zidovih in aplikacijski programski opremi. Internet Scanner lahko odkrije in prepozna več kot 1.450 ranljivosti, ki lahko vključujejo nepravilno konfiguracijo omrežne opreme, zastarelo programsko opremo, neuporabljene omrežne storitve, šibka gesla itd. Možno je preverjanje protokolov FTP, LDAP in SNMP, preverjanje elektronske pošte, preverjanje RPC, NFS, NIS in DNS, preverjanje možnosti napadov kot so "denial of service", "password guessing", preverjanje spletnih strežnikov, CGI skript, Spletni brskalniki in X-terminali. Poleg tega je mogoče preveriti požarne zidove, proxy strežnike, storitve oddaljenega dostopa, datotečni sistem, varnostni podsistem in revizijski podsistem, sistemski register in nameščene posodobitve Windows OS itd. Internet Scanner vam omogoča analizo prisotnosti posamezne ranljivosti na določenem območju omrežja, na primer preverjanje namestitve določenega popravka operacijski sistem. Internet Scanner lahko deluje naprej Windows strežnik NT, podpira tudi operacijske sisteme AIX, HP-UX, Linux in Solaris.

Pred izbiro primerjalnih meril je treba poudariti, da morajo merila zajemati vse vidike uporabe varnostnih skenerjev: od načinov zbiranja informacij do stroškov. Uporaba varnostnega skenerja se začne z načrtovanjem uvedbe in samo uvedbo. Zato se prva skupina kriterijev nanaša na arhitekturo varnostnih skenerjev, interakcijo njihovih komponent, namestitev in upravljanje. Naslednja skupina kriterijev - skeniranje - naj zajema metode, ki jih primerjani skenerji uporabljajo za izvajanje navedenih dejanj, kot tudi druge parametre, povezane z določenimi stopnjami programskega izdelka. Pomembna merila so tudi rezultati skeniranja, predvsem kako so shranjeni in katera poročila je mogoče ustvariti na njihovi podlagi. Naslednja merila, na katera se morate osredotočiti, so merila za posodobitev in podporo, ki vam omogočajo, da razjasnite vprašanja, kot so metode in metode posodabljanja, raven tehnična podpora, razpoložljivost pooblaščenega usposabljanja itd. Zadnja skupina vključuje en sam, a zelo pomemben kriterij - stroške.

· Podprti sistemi;

· Prijazen vmesnik;

· Zmožnosti skeniranja (profili skeniranja);

· Sposobnost prilagajanja profilov (kako prilagodljivo);

· Identifikacija storitev in aplikacij;

· Identifikacija ranljivosti;

· Generiranje poročil (formati);

· Sposobnost ustvarjanja poročila po meri (lastno);

· Pogostost posodabljanja;

· Tehnična podpora.

Tabela 1. Primerjava skenerjev ranljivosti
Skener		GFI LanGuard
Cena	131 400 rubljev na leto	1610 rubljev. za naslov IP. Več naslovov IP, nižji so stroški		Cena se razlikuje glede na število naslovov IP Od 30.000 rubljev za 64 IP do 102.000 za 512 IP	Stroški se razlikujejo glede na število naslovov IP (nominalna vrednost - 6000 rubljev)
Podpora živi sistemi	programsko opremo po meri	Windows, Mac OS, Linux	Cisco, Linux, UNIX, Windows	Unix, Linux, FreeBSD, OpenBSD, Net BSD, Solaris, Windows 95/98/ME/NT/2000/XP/.NET	Windows, AIX, HP-UX, Linux in Solaris
Prijateljstvo Intervencija obraz	Preprost in intuitiven vmesnik	Preprost in intuitiven vmesnik	Jasen vmesnik	Prijazen in jasen vmesnik	Jasen vmesnik
Možno nost filigran potepanje	Prilagodljiv sistem nastavitev, vrsta in parametri skeniranja se razlikujejo, možno je anonimno skeniranje. Možne možnosti pregledi: skeniranje SYN, skeniranje FIN – čista zahteva FIN; Xmas Tree - vključuje FIN, URG, PUSH v zahtevi; Null scan, FTP bounce scan, Ident scan, UDP scan itd. Možna je tudi povezava lastnih postopkov preverjanja, za kar je predviden poseben skriptni jezik - NASL (Nessus Attack Scripting Language). Skener uporablja standardna orodja za testiranje in zbiranje informacij o konfiguraciji in delovanju omrežja ter posebna orodja, ki posnemajo dejanja morebitnega vsiljivca za vdor v sisteme.	Skeniranje TCP/IP in UDP vrat Preverja se OS, virtualna okolja in aplikacije, mobilne naprave; uporabljata se podatkovni bazi OVAL in SANS Top 20.	Ranljivosti se odkrijejo s penetracijskim testom, na podlagi ocene verjetnosti izkoriščanja pa se ocenijo tveganja in določijo prioritete njihove ublažitve. Ranljivosti (od Core Impact®, Metasploit®, Exploit-db), CVSS in drugi dejavniki.	FTP, SSH, Telnet, SMTP, DNS, Finger, HTTP, POP3, IMAP, NetBios, NFS, NNTP, SNMP, Squid (SSS je edini skener na svetu, ki preverja proxy strežnike za revizije - drugi skenerji preprosto ugotovijo prisotnost vrata), LDAP (edini skener na svetu, ki preverja strežnike LDAP za revizije - drugi skenerji preprosto ugotovijo prisotnost vrat), HTTPS, SSL, TCP/IP, UDP, register itd. Preprosto ustvarite lastna poročila.	preverjanja FTP, LDAP in SNMP; preverjanje elektronske pošte; RPC, NFS, NIS in DNS preverjanja; preverjanje možnosti napadov zavrnitve storitve; preverja prisotnost napadov »ugibanja gesel« (Brute Force); preverjanje spletnih strežnikov in skript CGI, spletnih brskalnikov in X terminalov; preverjanje požarnih zidov in proxy strežnikov; preverjanje storitev oddaljenega dostopa; Preverjanje datotečnega sistema Windows OS; preverjanje varnostnega podsistema in revizijskega podsistema operacijskega sistema Windows; preverjanje sistemskega registra in nameščenih posodobitev OS Windows; preverjanje prisotnosti modemov v omrežju in prisotnosti trojanskih konjev; preverjanje storitev in demonov; pregledi računov.
Identificirati fikacijo storitev in aplikacij ženini	Kakovostna izvedba postopka identifikacije storitev in aplikacij.	Zaznavanje nepooblaščenih/zlonamernih programov in aplikacij na črnem seznamu z visoko stopnjo ranljivosti.	Zaznavanje OS, aplikacij, baz podatkov, spletnih aplikacij.	Preveri vsaka vrata, da ugotovi, katere storitve jih poslušajo. Zazna OS, aplikacije, baze podatkov, spletne aplikacije.	Identificira ranljivosti omrežnih storitev, operacijskih sistemov, usmerjevalnikov, poštnih in spletnih strežnikov, požarnih zidov in aplikacijske programske opreme.
Ustvarjanje poročila	Možnost shranjevanja poročil v formatih nessus (xml), pdf, html, csv, nessus DB	Sposobnost ustvarjanja poročil, od poročil o trendih uporabe omrežja za vodstvo do podrobnih poročil za tehnično osebje. Možno je ustvarjanje poročil o skladnosti s standardi: Health Insurance Portability and Accountability Act (HIPAA), Public Services Network - Code of Connection (PSN CoCo), Sarbanes - Oxley Act (SOX), Gramm - Leach - Bliley Act (GLB/ GLBA), znan tudi kot digitalni varnostni standard industrije plačilnih kartic (PCI-DSS).	Obstajajo orodja za ustvarjanje poročil, ena najširših možnosti za poročanje.	Ima možnost shranjevanja poročila tako v formatu html kot v formatih xml, pdf, rtf, chm. Sam proces ustvarjanja poročila poteka v obliki izbire informacij, ki jih je treba prikazati. Možnost ustvarjanja poročila je na voljo samo v polni različici.	Zmogljiv podsistem za generiranje poročil, ki omogoča preprosto ustvarjanje različnih oblik poročil in njihovo razvrščanje po značilnostih.
Možno proizvodne zmogljivosti brezplačno poročilo	Da, samo v polni različici.			Da, samo v polni različici.
Pogostost posodabljanja leniya	Redne posodobitve, vendar uporabniki preizkusne različice ne prejmejo najnovejših posodobitev.	Pogoste posodobitve	Pogoste posodobitve	Redne posodobitve	Redne posodobitve
Techni tehnična podpora	Prisoten		Prisoten	Prisotno, na voljo v ruščini.	Prisoten

Pri delu smo pregledali 5 skenerjev ranljivosti, ki smo jih primerjali glede na izbrane kriterije.

Po učinkovitosti je bil za vodilnega izbran skener Nessus, saj ima najpopolnejši nabor zmogljivosti za analizo varnosti računalniškega sistema. Je pa razmeroma drag v primerjavi z drugimi skenerji: če imate majhno število naslovov IP, je pametneje izbrati GFI LanGuard ali SSS.

Bibliografija:

1. Dolgin A.A., Khorev P.B., Razvoj skenerja ranljivosti računalniški sistemi temelji na zaščitenih različicah operacijskega sistema Windows, Zbornik mednarodnih znanstveno-tehničnih konferenc " Informacijski mediji in tehnologije", 2005.
2. Informacijski portal o varnosti [Elektronski vir] - Način dostopa. - URL: http://www.securitylab.ru/ (datum dostopa 27.3.2015).
3. Spletna revija Softkey.info [Elektronski vir] - Način dostopa. - URL: http://www.softkey.info/ (datum dostopa 27.3.2015).
4. Uradna spletna stran "GFI Software". [Elektronski vir] - Način dostopa. - URL: http://www.gfi.ru/ (datum dostopa 27.3.2015).
5. Uradna spletna stran "Beyond trust". [Elektronski vir] - Način dostopa. – URL: http://www.beyondtrust.com/Products/RetinaNetworkSecurityScanner/ (dostopano 27.3.2015).
6. Uradna spletna stran IBM [Elektronski vir] - Način dostopa. - URL: http://www.ibm.com/ (dostop 27.3.15).
7. Uradna spletna stran Tenable Network Security [Elektronski vir] – Način dostopa. – URL: http://www.tenable.com/products/nessus-vulnerability-scanner/ (dostopano 27.3.2015).
8. Uradna spletna stran "safety-lab." [Elektronski vir] - Način dostopa. - URL: http://www.safety-lab.com/ (datum dostopa 27.3.2015).
9. IBM rešitve za informacijsko varnost [Elektronski vir] - Način dostopa. – URL: http://www.ibm.com/ru/services/iss/pdf/ISS_2009_DB_s10.pdf (dostopano 27.3.2015).
10. Khorev P.B., Metode in sredstva za zaščito informacij v računalniških sistemih, M., Založniški center "Akademija", 2005.

Kot lahko vidite, jih je veliko in vsi so zelo nevarni za sisteme, ki so jim izpostavljeni. Pomembno je, da ne le pravočasno posodobite svoj sistem, da se zaščitite pred novimi ranljivostmi, temveč tudi, da se prepričate, da vaš sistem ne vsebuje ranljivosti, ki so bile že zdavnaj odpravljene in bi jih hekerji lahko izkoristili.

Tu priskočijo na pomoč skenerji ranljivosti Linuxa. Orodja za analizo ranljivosti so ena najpomembnejših komponent varnostnega sistema vsakega podjetja. Preverjanje aplikacij in sistemov za stare ranljivosti je obvezna praksa. V tem članku si bomo ogledali najboljši skenerji ranljivosti, z odprto izvorna koda, ki ga lahko uporabite za odkrivanje ranljivosti v svojih sistemih in programih. Vsi so popolnoma brezplačni in se lahko uporabljajo kot običajni uporabniki, in v podjetniškem sektorju.

OpenVAS ali Open Vulnerability Assessment System je popolna platforma za iskanje ranljivosti, ki se distribuira kot odprtokodna. Program temelji na izvorni kodi skenerja Nessus. Sprva je bil ta optični bralnik distribuiran kot odprtokoden, potem pa so se razvijalci odločili zapreti kodo, nato pa je leta 2005 na podlagi odprte različice Nessusa nastal OpenVAS.

Program je sestavljen iz strežniškega in odjemalskega dela. Strežnik, ki opravlja glavno delo sistemov za skeniranje, deluje samo v sistemu Linux, odjemalski programi pa podpirajo tudi sistem Windows, do strežnika pa je mogoče dostopati prek spletnega vmesnika.

Jedro skenerja vsebuje več kot 36.000 različnih preverjanj ranljivosti in se vsak dan posodablja z dodajanjem novih, nedavno odkritih. Program lahko odkrije ranljivosti v delujočih storitvah in poišče tudi napačne nastavitve, na primer pomanjkanje avtentikacije ali zelo šibka gesla.

2. Izdaja skupnosti Nexpose

To je še eno odprtokodno orodje za iskanje ranljivosti Linuxa, ki ga je razvilo Rapid7, isto podjetje, ki je izdalo Metasploit. Skener lahko odkrije do 68.000 znanih ranljivosti in izvede več kot 160.000 pregledov omrežja.

Različica Comunity je popolnoma brezplačna, vendar ima omejitev hkratnega skeniranja do 32 naslovov IP in samo enega uporabnika. Licenco je treba tudi obnavljati vsako leto. Skeniranja spletnih aplikacij ni, podpira pa samodejno posodabljanje baze ranljivosti in prejemanje informacij o ranljivostih iz Microsoftovega popravka.

Program je mogoče namestiti ne samo na Linux, ampak tudi na Windows, upravljanje pa poteka preko spletnega vmesnika. Z njim lahko nastavite parametre skeniranja, naslove IP in druge potrebne informacije.

Ko je pregled končan, boste videli seznam ranljivosti ter informacije o nameščeni programski opremi in operacijskem sistemu na strežniku. Prav tako lahko ustvarite in izvozite poročila.

3. Burp Suite Free Edition

Burp Suite je iskalnik spletnih ranljivosti, napisan v Javi. Program sestavljajo proxy strežnik, pajek, orodje za generiranje zahtev in izvajanje stresnih testov.

Z z uporabo Burpa lahko izvajate testiranje spletne aplikacije. Na primer, z uporabo proxy strežnika lahko prestrežete in si ogledate prehodni promet ter ga po potrebi spremenite. To vam bo omogočilo simulacijo številnih situacij. Pajek vam bo pomagal najti spletne ranljivosti, orodje za generiranje poizvedb pa vam bo pomagalo najti moč spletnega strežnika.

4. Arachni

Arachni je ogrodje za testiranje spletnih aplikacij s polnimi funkcijami, napisano v Rubyju in je odprtokodno. Omogoča vam, da ocenite varnost spletnih aplikacij in spletnih mest z izvajanjem različnih testov prodora.

Program podpira skeniranje z avtentikacijo, prilagajanje glav, podporo za ponarejanje Aser-Agent, podporo za odkrivanje 404. Poleg tega ima program spletni vmesnik in vmesnik ukazne vrstice, skeniranje je mogoče začasno ustaviti in nato nadaljevati in na splošno vse deluje Zelo hitro .

5. OWASP Zed Attack Proxy (ZAP)

OWASP Zed Attack Proxy je še eno celovito orodje za iskanje ranljivosti v spletnih aplikacijah. Podprte so vse standardne funkcije za to vrsto programa. Lahko pregledate vrata, preverite strukturo spletnega mesta, poiščete številne znane ranljivosti in preverite, ali so ponavljajoče se zahteve ali nepravilni podatki pravilno obdelani.

Program lahko deluje preko https in podpira tudi različne proxyje. Ker je program napisan v Javi, je zelo enostaven za namestitev in uporabo. Poleg osnovnih funkcij obstaja veliko število vtičnikov, ki lahko močno povečajo funkcionalnost.

6. Clair

Clair je orodje za iskanje ranljivosti Linuxa v vsebnikih. Program vsebuje seznam ranljivosti, ki so lahko nevarne za vsebnike, in opozori uporabnika, če so bile takšne ranljivosti odkrite v vašem sistemu. Program lahko pošlje tudi obvestila, če se pojavijo nove ranljivosti, zaradi katerih bi lahko bili vsebniki nevarni.

Vsak vsebnik se enkrat preveri in ga ni treba zagnati, da bi ga preverili. Program lahko pridobi vse potrebne podatke iz onemogočenega vsebnika. Ti podatki so shranjeni v predpomnilniku, da lahko v prihodnje obvestijo o ranljivostih.

7.Powerfuzzer

Powerfuzzer je avtomatiziran spletni pajek z vsemi funkcijami in zelo prilagodljiv, ki vam omogoča, da preizkusite, kako se spletna aplikacija odzove na neveljavne podatke in ponavljajoče se zahteve. Orodje podpira samo protokol HTTP in lahko zazna ranljivosti, kot so napadi XSS, SQL injection, LDAP, CRLF in XPATH. Podpira tudi sledenje 500 napakam, ki lahko kažejo na napačno konfiguracijo ali celo nevarnost, kot je prekoračitev medpomnilnika.

8. Nmap

Nmap ni ravno skener ranljivosti za Linux. Ta program vam omogoča, da skenirate omrežje in ugotovite, katera vozlišča so povezana z njim, ter ugotovite, katere storitve se v njih izvajajo. To ne zagotavlja izčrpnih informacij o ranljivostih, lahko pa ugibate, katere. programsko opremo morda ranljiv, poskusite razbiti šibka gesla. Možno je tudi zagnati posebne skripte, ki omogočajo prepoznavanje določenih ranljivosti v določeni programski opremi.

zaključki

V tem članku smo pregledali najboljše pregledovalnike ranljivosti Linuxa, ki vam omogočajo nadzor nad sistemom in aplikacijami. popolna varnost. Ogledali smo si programe, ki omogočajo skeniranje samega operacijskega sistema ali spletnih aplikacij in spletnih mest.

Nazadnje si lahko ogledate video o tem, kaj so skenerji ranljivosti in zakaj so potrebni:

Problem epidemije omrežnih črvov je pomemben za vsako lokalno omrežje. Prej ali slej lahko pride do situacije, ko omrežni ali e-poštni črv prodre v LAN in ga uporabljeni protivirusni program ne zazna. Omrežni virus se širi po omrežju LAN prek ranljivosti operacijskega sistema, ki v času okužbe ni bil zaprt, ali prek ranljivosti, ki jih je mogoče zapisati. skupni viri. poštni virus, kot že ime pove, se distribuira po e-pošti, pod pogojem, da ga ne blokirata protivirusni program odjemalca in protivirusni program na poštni strežnik. Poleg tega se lahko epidemija v lokalnem omrežju organizira od znotraj kot posledica dejavnosti insajderja. V tem članku si bomo ogledali praktične metode za operativno analizo računalnikov LAN z različnimi orodji, zlasti z uporabo avtorjevega pripomočka AVZ.

Oblikovanje problema

Če je v omrežju zaznana epidemija ali kakšna nenormalna aktivnost, mora skrbnik hitro rešiti vsaj tri naloge:

• odkrivanje okuženih osebnih računalnikov v omrežju;
• najti vzorce zlonamerne programske opreme za pošiljanje v protivirusni laboratorij in razviti strategijo protiukrepa;
• sprejme ukrepe za blokiranje širjenja virusa v LAN in ga uniči na okuženih računalnikih.

V primeru notranje dejavnosti so glavni koraki analize enaki in se največkrat skrčijo na potrebo po odkrivanju programske opreme tretjih oseb, ki jo je notranji uporabnik namestil na računalnike v omrežju LAN. Primeri takšne programske opreme vključujejo pripomočke za oddaljeno upravljanje, keyloggerji in različne trojanske zaznamke.

Oglejmo si podrobneje rešitev vsake od nalog.

Poiščite okužene računalnike

Za iskanje okuženih računalnikov v omrežju lahko uporabite vsaj tri metode:

• avtomatska oddaljena analiza računalnika - pridobivanje informacij o tekočih procesih, naloženih knjižnicah in gonilnikih, iskanje značilnih vzorcev - na primer procesov ali datotek z dana imena;
• Analiza prometa na osebnem računalniku z vohanjem - ta metoda zelo učinkovit pri lovljenju neželene pošte, e-poštnih in omrežnih črvov, vendar je glavna težava pri uporabi snifferja posledica dejstva, da je sodoben LAN zgrajen na podlagi stikal in posledično skrbnik ne more spremljati prometa celotno omrežje. Težavo je mogoče rešiti na dva načina: z zagonom snifferja na usmerjevalniku (ki omogoča spremljanje izmenjave podatkov računalnika z internetom) in z uporabo nadzornih funkcij stikal (številna sodobna stikala vam omogočajo, da dodelite nadzorna vrata, na katera se podvoji promet enega ali več stikalnih vrat, ki jih določi skrbnik);
• študija obremenitve omrežja - v tem primeru je zelo priročno uporabljati pametna stikala, ki vam omogočajo ne le oceno obremenitve, temveč tudi oddaljeno onemogočanje vrat, ki jih določi skrbnik. Ta operacija je zelo poenostavljena, če ima skrbnik zemljevid omrežja, ki vsebuje informacije o tem, kateri osebni računalniki so povezani z ustreznimi vrati stikala in kje se nahajajo;
• uporaba honeypots - zelo priporočljivo je ustvariti več honeypotov v lokalnem omrežju, kar bo skrbniku omogočilo pravočasno odkrivanje epidemije.

Samodejna analiza osebnih računalnikov v omrežju

Samodejno analizo računalnika je mogoče zmanjšati na tri glavne stopnje:

• izvajanje popolnega skeniranja računalnika - tekoči procesi, naložene knjižnice in gonilniki, samodejni zagon;
• izvajanje operativnih raziskav – na primer iskanje značilnih procesov ali datotek;
• karantena predmetov po določenih kriterijih.

Vse zgoraj naštete težave je mogoče rešiti z uporabo avtorjevega pripomočka AVZ, ki je zasnovan za zagon iz omrežne mape na strežniku in podpira skriptni jezik za samodejno pregledovanje računalnika. Za zagon AVZ na uporabniških računalnikih morate:

1. Postavite AVZ v omrežno mapo na strežniku, ki je odprta za branje.
2. V tej mapi ustvarite podimenika LOG in Qurantine ter dovolite uporabnikom, da pišejo vanje.
3. Zaženite AVZ na računalnikih LAN s pripomočkom rexec ali prijavnim skriptom.

Zagon AVZ v 3. koraku je treba izvesti z naslednjimi parametri:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

V tem primeru parameter Priority=-1 zniža prioriteto procesa AVZ, parametra nw=Y in nq=Y preklopita karanteno v način »omrežni zagon« (v tem primeru se v mapi karantene ustvari podimenik za vsak računalnik, katerega ime se ujema z omrežnim imenom osebnega računalnika), HiddenMode=2 naroči, da se uporabniku onemogoči dostop do GUI in kontrolnikov AVZ, in končno, najpomembnejši parameter Script določa polno ime skripta z ukaze, ki jih bo AVZ izvajal na uporabnikovem računalniku. Skriptni jezik AVZ je dokaj enostaven za uporabo in je usmerjen izključno v reševanje problemov računalniškega pregleda in zdravljenja. Za poenostavitev postopka pisanja skriptov lahko uporabite specializiran urejevalnik skriptov, ki vsebuje spletni poziv, čarovnika za ustvarjanje standardnih skriptov in orodja za preverjanje pravilnosti napisanega skripta brez zagona (slika 1).

riž. 1. Urejevalnik skriptov AVZ

Poglejmo si tri tipične skripte, ki so lahko koristne v boju proti epidemiji. Najprej potrebujemo raziskovalni skript za osebni računalnik. Naloga skripte je preučiti sistem in ustvariti protokol z rezultati v dani omrežni mapi. Skript izgleda takole:

AktivirajWatchDog(60 * 10);

// Začetek skeniranja in analize

// Raziskovanje sistema

ExecuteSysCheck(GetAVZDirectory+

‘\LOG\’+GetComputerName+’_log.htm’);

//Zaustavitev AVZ

Med izvajanjem tega skripta bodo datoteke HTML z rezultati študije omrežnih računalnikov ustvarjene v mapi LOG (ob predpostavki, da je ustvarjena v imeniku AVZ na strežniku in je na voljo uporabnikom za pisanje) in za zagotovitev edinstvenost, je ime računalnika, ki se pregleduje, vključeno v ime protokola. Na začetku skripta je ukaz za omogočanje nadzornega časovnika, ki bo prisilno prekinil proces AVZ po 10 minutah, če med izvajanjem skripta pride do napak.

Protokol AVZ je primeren za ročno študijo, vendar je malo uporaben za avtomatizirano analizo. Poleg tega skrbnik pogosto pozna ime datoteke zlonamerne programske opreme in mora samo preveriti prisotnost ali odsotnost te datoteke in jo, če je prisotna, dati v karanteno za analizo. V tem primeru lahko uporabite naslednji skript:

// Omogoči nadzorni časovnik za 10 minut

AktivirajWatchDog(60 * 10);

// Iskanje zlonamerne programske opreme po imenu

QuarantineFile('%WinDir%\smss.exe', 'Sumljivo glede LdPinch.gen');

QuarantineFile('%WinDir%\csrss.exe', 'Sum na LdPinch.gen');

//Zaustavitev AVZ

Ta skript uporablja funkcijo QuarantineFile za poskus postavitve navedenih datotek v karanteno. Skrbnik lahko samo analizira vsebino karantene (mapa Karantena\ime_omrežja_PC\datum_karantene\) za prisotnost datotek v karanteni. Upoštevajte, da funkcija QuarantineFile samodejno blokira datoteke v karanteni, ki jih identificira varna baza podatkov AVZ ali Microsoftova baza podatkov digitalnih podpisov. Za praktična uporaba ta skript je mogoče izboljšati - organizirajte nalaganje imen datotek iz zunanje besedilne datoteke, preverite najdene datoteke v zbirkah podatkov AVZ in ustvarite besedilni protokol z rezultati dela:

// Iskanje datoteke z navedenim imenom

funkcija CheckByName(Fname: niz) : logično;

Rezultat:= FileExists(FName) ;

če je rezultat, potem začnite

case CheckFile(FName) of

1: S:= ', dostop do datoteke je blokiran';

1: S:= ', zaznano kot zlonamerna programska oprema ('+GetLastCheckTxt+')';

2: S:= ', na katerega sumi pregledovalnik datotek ('+GetLastCheckTxt+')';

3: izhod; // Varne datoteke so prezrte

AddToLog('Datoteka '+NormalFileName(FName)+' ima sumljivo ime'+S);

//Dodaj navedeno datoteko v karanteno

QuarantineFile(FName,'sumljiva datoteka'+S);

SuspNames: TStringList; // Seznam imen sumljivih datotek

// Preverjanje datotek glede na posodobljeno bazo podatkov

če FileExists(GetAVZDirectory + 'files.db') potem začni

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('Naložena zbirka imen - število zapisov = '+inttostr(SuspNames.Count));

// Iskalna zanka

for i:= 0 do SuspNames.Count - 1 do

CheckByName(SuspNames[i]);

AddToLog('Napaka pri nalaganju seznama imen datotek');

SaveLog(GetAVZDirectory+’\LOG\’+

GetComputerName+'_files.txt');

Da bi ta skript deloval, morate v mapi AVZ ustvariti imenika Karantena in LOG, ki sta dostopna uporabnikom za pisanje, kot tudi besedilna datoteka files.db - vsaka vrstica te datoteke bo vsebovala ime sumljive datoteke. Imena datotek lahko vključujejo makre, med katerimi so najbolj uporabni %WinDir% (pot do mapo Windows) in %SystemRoot% (pot do mape System32). Druga smer analize bi lahko bila samodejna preiskava seznama procesov, ki se izvajajo na uporabniških računalnikih. Informacije o tekočih procesih so v protokolu sistemskega raziskovanja, vendar je za samodejno analizo bolj priročno uporabiti naslednji fragment skripta:

postopek ScanProcess;

S:= ''; S1:= '';

//Posodobitev seznama procesov

RefreshProcessList;

AddToLog('Število procesov = '+IntToStr(GetProcessCount));

// Cikel analize prejetega seznama

for i:= 0 do GetProcessCount - 1 se začne

S1:= S1 + ',' + ExtractFileName(GetProcessName(i));

// Iskanje procesa po imenu

if pos('trojan.exe', LowerCase(GetProcessName(i))) > 0 potem

S:= S + GetProcessName(i)+’,’;

če S<>''potem

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

Preučevanje procesov v tem skriptu se izvaja kot ločen postopek ScanProcess, zato ga je enostavno umestiti v svoj skript. Postopek ScanProcess sestavi dva seznama procesov: celoten seznam procesov (za naknadno analizo) in seznam procesov, ki so z vidika skrbnika ocenjeni kot nevarni. V tem primeru se za namene predstavitve postopek z imenom »trojan.exe« šteje za nevarnega. Podatki o nevarnih procesih so dodani v besedilno datoteko _alarm.txt, podatki o vseh procesih pa v datoteko _all_process.txt. Preprosto je videti, da lahko skript zakomplicirate tako, da mu na primer dodate preverjanje procesnih datotek glede na bazo varnih datotek ali preverjanje imen izvršljive datoteke procesov na zunanji osnovi. Podoben postopek se uporablja v skriptih AVZ, ki se uporabljajo v Smolenskenergo: skrbnik občasno preuči zbrane informacije in spremeni skript ter mu doda imena procesov programov, ki jih varnostna politika prepoveduje, na primer ICQ in MailRu.Agent, ki omogoča hitro preverite prisotnost prepovedane programske opreme na osebnih računalnikih, ki jih proučujete. Druga uporaba seznama procesov je iskanje osebnih računalnikov, na katerih manjka zahtevani proces, na primer protivirusni program.

Za zaključek si poglejmo še zadnjo izmed uporabnih analitičnih skript - skripto za samodejno karanteno vseh datotek, ki jih varna baza AVZ in Microsoftova baza digitalnih podpisov ne prepoznata:

// Izvedite avtokaranteno

ExecuteAutoQuarantine;

Samodejna karantena pregleda izvajajoče se procese in naložene knjižnice, storitve in gonilnike, približno 45 metod samodejnega zagona, razširitvene module brskalnika in raziskovalca, upravljalnike SPI/LSP, opravila razporejevalnika, upravljavce sistema za tiskanje itd. Posebnost karantene je, da se vanjo dodajajo datoteke z nadzorom ponavljanja, tako da lahko funkcijo samokarantene kličemo večkrat.

Prednost samodejne karantene je, da lahko skrbnik z njeno pomočjo hitro zbere potencialno sumljive datoteke iz vseh računalnikov v omrežju za pregled. Najenostavnejša (a v praksi zelo učinkovita) oblika preučevanja datotek je lahko preverjanje nastale karantene z več priljubljenimi protivirusnimi programi v največjem hevrističnem načinu. Upoštevati je treba, da lahko hkratni zagon samodejne karantene na več sto računalnikih povzroči veliko obremenitev omrežja in datotečnega strežnika.

Prometne raziskave

Prometne raziskave se lahko izvajajo na tri načine:

• ročno z vohanjem;
• v polavtomatskem načinu - v tem primeru sniffer zbira informacije, nato pa se njegovi protokoli obdelujejo ročno ali s programsko opremo;
• samodejno z uporabo sistemov za zaznavanje vdorov (IDS), kot je Snort (http://www.snort.org/) ali njihovih analogov programske ali strojne opreme. V najpreprostejšem primeru je IDS sestavljen iz vohača in sistema, ki analizira informacije, ki jih zbere vohalo.

Sistem za zaznavanje vdorov je optimalno orodje, saj vam omogoča ustvarjanje nizov pravil za odkrivanje anomalij v omrežni dejavnosti. Njegova druga prednost je ta, da večina sodobnih IDS omogoča namestitev agentov za nadzor prometa na več omrežnih vozlišč - agenti zbirajo informacije in jih posredujejo. V primeru uporabe snifferja je zelo priročno uporabiti konzolni sniffer tcpdump UNIX. Na primer za spremljanje dejavnosti na vratih 25 ( protokol SMTP) samo zaženite vohanje z ukazna vrstica vrsta:

tcpdump -i em0 -l tcp vrata 25 > smtp_log.txt

V tem primeru se paketi zajemajo prek vmesnika em0; informacije o zajetih paketih bodo shranjene v datoteki smtp_log.txt. Protokol je razmeroma enostavno ročno analizirati; v tem primeru vam analiza dejavnosti na vratih 25 omogoča prepoznavanje osebnih računalnikov z aktivnimi roboti za neželeno pošto.

Aplikacija Honeypot

Lahko se uporablja kot past (Honeypot) zastarel računalnik, katerega zmogljivost ne omogoča uporabe za reševanje proizvodne naloge. Na primer, Pentium Pro s 64 MB se uspešno uporablja kot past v omrežju avtorja pomnilnik z naključnim dostopom. Na ta računalnik morate namestiti najpogostejši operacijski sistem v LAN in izbrati eno od strategij:

• Namestite operacijski sistem brez posodobitvenih paketov - to bo pokazatelj pojava aktivnega omrežnega črva v omrežju, ki izkorišča katero koli od znanih ranljivosti tega operacijskega sistema;
• namestite operacijski sistem s posodobitvami, ki so nameščene na drugih osebnih računalnikih v omrežju - Honeypot bo analogen kateri koli delovni postaji.

Vsaka strategija ima svoje prednosti in slabosti; Avtor uporablja predvsem možnost brez posodobitev. Ko ustvarite Honeypot, morate ustvariti sliko diska za hitro okrevanje sistem, potem ko ga je poškodovala zlonamerna programska oprema. Kot alternativo sliki diska lahko uporabite sisteme za povrnitev sprememb, kot je ShadowUser in njegovi analogi. Ko ste zgradili Honeypot, morate upoštevati, da številni omrežni črvi iščejo okužene računalnike s skeniranjem obsega IP, izračunanega iz naslova IP okuženega računalnika (pogoste tipične strategije so X.X.X.*, X.X.X+1.*, X.X.X-1.*), - zato bi bilo idealno, če bi bil Honeypot na vsakem podomrežju. Kot dodatne elemente priprave vsekakor odprite dostop do več map v sistemu Honeypot, v te mape pa postavite več vzorčnih datotek različnih formatov, najmanjši nabor je EXE, JPG, MP3.

Ko je ustvaril Honeypot, mora skrbnik seveda spremljati njegovo delovanje in se odzvati na morebitne nepravilnosti, odkrite na ta računalnik. Revizorje je mogoče uporabiti kot sredstvo za beleženje sprememb, sniffer pa za beleženje omrežne dejavnosti. Pomembna točka je v tem, da večina vohalcev ponuja možnost konfiguracije pošiljanja opozorila skrbniku, če je zaznana določena omrežna dejavnost. Na primer, v vohalniku CommView pravilo vključuje določanje »formule«, ki opisuje omrežni paket, ali določanje kvantitativnih kriterijev (pošiljanje več kot določenega števila paketov ali bajtov na sekundo, pošiljanje paketov na neidentificirane naslove IP ali MAC) - sl. 2.

riž. 2. Ustvarite in konfigurirajte opozorilo o omrežni dejavnosti

Kot opozorilo je najbolj priročno uporabiti e-poštna sporočila, poslana na Poštni nabiralnik skrbnik - v tem primeru lahko prejemate takojšnja opozorila iz vseh pasti v omrežju. Poleg tega, če vohljanje omogoča ustvarjanje več opozoril, je smiselno razlikovati omrežno dejavnost tako, da poudarite delo z po elektronski pošti, FTP/HTTP, TFTP, Telnet, MS Net, povečan promet za več kot 20–30 paketov na sekundo za kateri koli protokol (slika 3).

riž. 3. Poslano obvestilo
če so zaznani paketi, ki ustrezajo podanim kriterijem

Pri organiziranju pasti je dobro, da nanjo postavite več ranljivih omrežnih storitev, ki se uporabljajo v omrežju, ali zanje namestite emulator. Najenostavnejši (in brezplačen) je lastniški pripomoček APS, ki deluje brez namestitve. Načelo delovanja APS se zmanjša na poslušanje številnih vrat TCP in UDP, opisanih v njegovi bazi podatkov, in izdajo vnaprej določenega ali naključno ustvarjenega odgovora v trenutku povezave (slika 4).

riž. 4. Glavno okno pripomočka APS

Na sliki je posnetek zaslona, ​​posnet med resničnim aktiviranjem APS v omrežju Smolenskenergo LAN. Kot je razvidno iz slike, je bil zabeležen poskus povezave z enim od odjemalskih računalnikov na vratih 21. Analiza protokolov je pokazala, da so poskusi periodični in jih beleži več pasti v omrežju, kar nam omogoča sklepati, da je Omrežje se pregleduje z namenom iskanja in vdora v strežnike FTP z ugibanjem gesel. APS vodi dnevnike in lahko administratorjem pošlje sporočila s poročili o registriranih povezavah do nadzorovanih vrat, kar je priročno za hitro zaznavanje skeniranja omrežja.

Ko ustvarjate Honeypot, je prav tako koristno, da se seznanite s spletnimi viri na to temo, zlasti http://www.honeynet.org/. V razdelku Orodja na tem mestu (http://www.honeynet.org/tools/index.html) lahko najdete številna orodja za snemanje in analizo napadov.

Oddaljeno odstranjevanje zlonamerne programske opreme

V idealnem primeru po odkritju vzorcev zlonamerna programska oprema skrbnik jih pošlje v protivirusni laboratorij, kjer jih analitiki sproti preučujejo in ustrezne signature vnesejo v protivirusno bazo. Ti podpisi se samodejno posodobijo na uporabnikovem računalniku, protivirusni program pa samodejno odstrani zlonamerno programsko opremo brez skrbniškega posredovanja. Vendar ta veriga ne deluje vedno po pričakovanjih, možni so predvsem naslednji razlogi za neuspeh:

• zaradi številnih razlogov, neodvisnih od skrbnika omrežja, slike morda ne bodo dosegle protivirusnega laboratorija;
• nezadostna učinkovitost protivirusnega laboratorija - v idealnem primeru preučevanje vzorcev in vnos v bazo podatkov ne traja več kot 1-2 uri, kar pomeni, da je mogoče posodobljene baze podatkov o podpisih pridobiti v delovnem dnevu. Vendar pa vsi protivirusni laboratoriji ne delujejo tako hitro in na posodobitve lahko čakate več dni (v redkih primerih celo tedne);
• visoka zmogljivost protivirusnega programa - številni zlonamerni programi po aktivaciji uničijo protivirusne programe ali kako drugače motijo ​​njihovo delovanje. Klasični primeri vključujejo vnose v datoteko hosts, ki blokirajo normalno delo protivirusni sistemi za samodejno posodabljanje, brisanje procesov, storitev in protivirusnih gonilnikov, poškodbe njihovih nastavitev itd.

Zato se boste morali v zgornjih situacijah z zlonamerno programsko opremo spopasti ročno. V večini primerov to ni težko, saj rezultati računalniškega pregleda razkrijejo okužene osebne računalnike in polna imena datotek zlonamerne programske opreme. Vse kar ostane je, da jih odstranite na daljavo. Če zlonamerni program ni zaščiten pred brisanjem, ga je mogoče uničiti z naslednjim skriptom AVZ:

// Brisanje datoteke

DeleteFile('ime datoteke');

ExecuteSysClean;

Ta skript izbriše eno določeno datoteko (ali več datotek, saj je lahko v skriptu neomejeno število ukazov DeleteFile) in nato samodejno očisti register. V bolj zapletenem primeru se lahko zlonamerna programska oprema zaščiti pred izbrisom (na primer s ponovnim ustvarjanjem datotek in registrskih ključev) ali pa se prikrije s tehnologijo rootkit. V tem primeru skript postane bolj zapleten in bo videti takole:

// Anti-rootkit

SearchRootkit(true, true);

// Nadzor AVZGuard

SetAVZGuardStatus(true);

// Brisanje datoteke

DeleteFile('ime datoteke');

// Omogoči beleženje programa BootCleaner

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// V opravilo BootCleaner uvozite seznam datotek, ki jih je izbrisal skript

BC_ImportDeletedList;

// Aktivirajte BootCleaner

// Hevristično čiščenje sistema

ExecuteSysClean;

Znova zaženi Windows (true);

Ta skript vključuje aktivno preprečevanje rootkitov, uporabo sistema AVZGuard (to je blokator aktivnosti zlonamerne programske opreme) in sistema BootCleaner. BootCleaner je gonilnik, ki odstrani določene predmete iz KernelMode med ponovnim zagonom, v zgodnji fazi zagona sistema. Praksa kaže, da je taka skripta sposobna uničiti veliko večino obstoječe zlonamerne programske opreme. Izjema je zlonamerna programska oprema, ki ob vsakem ponovnem zagonu spremeni imena svojih izvršljivih datotek - v tem primeru je mogoče datoteke, odkrite med pregledovanjem sistema, preimenovati. V tem primeru boste morali računalnik razkužiti ročno ali ustvariti lastne podpise zlonamerne programske opreme (primer skripta, ki izvaja iskanje podpisov, je opisan v pomoči AVZ).

Zaključek

V tem članku smo si ogledali nekaj praktičnih tehnik ročnega boja proti epidemiji LAN brez uporabe protivirusnih izdelkov. Večino opisanih tehnik lahko uporabimo tudi za iskanje tujih osebnih računalnikov in trojanskih zaznamkov na uporabniških računalnikih. Če imate kakršne koli težave pri iskanju zlonamerne programske opreme ali ustvarjanju skriptov za zdravljenje, lahko skrbnik uporabi razdelek »Pomoč« na forumu http://virusinfo.info ali razdelek »Boj proti virusom« na forumu http://forum.kaspersky.com /index.php?showforum= 18. Preučevanje protokolov in pomoč pri zdravljenju poteka na obeh forumih brezplačno, analiza osebnih računalnikov poteka po protokolih AVZ, zdravljenje pa se v večini primerov zmanjša na izvajanje skripte AVZ na okuženih računalnikih, ki jo sestavijo izkušeni strokovnjaki teh forumov. .

Primerjalna analiza varnostni skenerji. 1. del: Preizkus penetracije (kratek povzetek)

Aleksander Antipov

Ta dokument predstavlja rezultate primerjave skenerjev omrežne varnosti med testi prodora proti vozliščem perimetra omrežja.

Lepihin Vladimir Borisovič
Vodja laboratorija za varnost omrežij v centru za usposabljanje Informzashchita

Vsi materiali v poročilu so predmeti intelektualne lastnine izobraževalnega centra Informzashita. Podvajanje, objava ali reprodukcija materialov poročil v kakršni koli obliki je prepovedana brez predhodnega pisnega soglasja Izobraževalnega centra Informzashita.

Celotno besedilo študije:
http://www.itsecurity.ru/news/reliase/2008/12_22_08.htm

1. Uvod

Omrežni varnostni skenerji so kot nalašč za primerjavo. Vsi so zelo različni. In zaradi specifičnosti nalog, za katere so namenjeni, in zaradi njihovega »dvojnega« namena (skenerji varnosti omrežja se lahko uporabljajo tako za obrambo kot »za napad«, vdiranje pa je, kot vemo, ustvarjalno opravilo) , nazadnje tudi zato, ker se za vsakim tovrstnim orodjem skriva beg »hekerske« (v izvirnem pomenu besede) misli njegovega ustvarjalca.

Pri izbiri primerjalnih pogojev je bil za osnovo vzet pristop »na podlagi nalog«, tako da je na podlagi rezultatov mogoče presoditi, kako primerno je posamezno orodje za reševanje naloge, ki mu je dodeljena. Uporabite lahko na primer skenerje za varnost omrežja:

• za popis omrežnih virov;
• med "preskusi penetracije";
• v procesu testiranja sistemov za skladnost z različnimi zahtevami.

Ta dokument predstavlja rezultate primerjave skenerjev omrežne varnosti med testi prodora proti vozliščem perimetra omrežja. Ocenjeni so bili:

• Število najdenih ranljivosti
• Število lažno pozitivnih rezultatov (lažno pozitivni rezultati)
• Lažni negativi
• Razlogi za odsotnost
• Popolnost kontrolne baze (v okviru te naloge)
• Kakovost inventurnih mehanizmov in določanje različice programske opreme
• Natančnost skenerja (v okviru te naloge)

Našteta merila skupaj označujejo "primernost" skenerja za reševanje naloge, ki mu je dodeljena, v tem primeru je to avtomatizacija rutinskih dejanj v procesu nadzora varnosti omrežnega perimetra.

2. Kratek opis udeležencev primerjave

Pred začetkom primerjave je portal izvedel raziskavo, katere namen je bil zbrati podatke o uporabljenih skenerjih in nalogah, za katere se uporabljajo.

V anketi je sodelovalo približno 500 respondentov (obiskovalcev portala).

Na vprašanje o varnostnih skenerjih, ki jih uporabljajo v svojih organizacijah, je velika večina vprašanih odgovorila, da uporabljajo vsaj en varnostni skener (70 %). Hkrati organizacije, ki redno uporabljajo varnostne skenerje za analizo varnosti svojih informacijskih sistemov, raje uporabljajo več kot en produkt tega razreda. 49 % vprašanih je povedalo, da njihove organizacije uporabljajo dva ali več varnostnih skenerjev (slika 1).

1. Porazdelitev anketiranih organizacij glede na število uporabljenih varnostnih skenerjev

Razlogi za uporabo več kot enega varnostnega skenerja vključujejo, da organizacije ne zaupajo rešitvam enega samega »prodajalca« (61 %) in kadar so potrebna specializirana preverjanja (39 %), ki jih ni mogoče opraviti s celovitim varnostnim skenerjem (slika 2). .

2. Razlogi za uporabo več kot enega varnostnega skenerja v anketiranih organizacijah

Na vprašanje, za katere namene se uporabljajo specializirani varnostni skenerji, je večina vprašanih odgovorila, da se uporabljajo kot dodatna orodja za analizo varnosti spletnih aplikacij (68 %). Na drugem mestu so bili specializirani varnostni skenerji DBMS (30 %), na tretjem (2 %) pa lastniški pripomočki za reševanje določenega spektra problemov pri analizi varnosti informacijskih sistemov (slika 3).

3. Nameni uporabe specializiranih varnostnih skenerjev v organizacijah anketiranih respondentov

Rezultat ankete anketirancev (slika 4) o končnih izdelkih, povezanih z varnostnimi skenerji, je pokazal, da večina organizacij raje uporablja produkt Positive Technologies XSpider (31 %) in Nessus Security Scanner (17 %).

riž. 4. Varnostni skenerji, ki se uporabljajo v organizacijah respondentov

Skenerji, predstavljeni v tabeli 1, so bili izbrani za sodelovanje v testnih testih.

Tabela 1. Za primerjavo uporabljeni skenerji za varnost omrežja

Ime	Različica
		http://www.nessus.org/download
MaxPatrol	8.0 (graditev 1178)	http://www.ptsecurity.ru/maxpatrol.asp
Internetni skener		http://www-935.ibm.com/services/us/index.wss/offering/iss/a1027208
MrežnicaPregledovalnik varnosti omrežja		http://www.eeye.com/html/products/retina/index.html
Senčni varnostni skener (SSS)	7.141 (zgradba 262)	http://www.safety-lab.com/en/products/securityscanner.htm
Revizor NetClarity		http://netclarity.com/branch-nacwall.html

Torej, prvi test je osredotočen na nalogo ocenjevanja varnosti sistemov za odpornost proti vdorom.

3. Povzemanje

Rezultati za preostala vozlišča so bili izračunani na podoben način. Po izračunu rezultatov smo dobili naslednjo tabelo (tabela 2).

Tabela 2. Končni rezultati za vse skenirane predmete

Kazalo		Internetni skener			Senčni varnostni skener	NetClarity Revizor
Identifikacija storitev in aplikacij, točke
Najdene ranljivosti, skupaj
Od teh lažno pozitivnih (lažno pozitivni)
Ugotovljeno pravilno (od 225 možnih)
Prepustnice (lažno negativni)
Od tega zaradi odsotnosti v bazi
Od tega jih povzroča potreba po avtentikaciji
Iz drugih razlogov

3.1 Identifikacija storitev in aplikacij

Na podlagi rezultatov identifikacije storitev in aplikacij smo točke preprosto sešteli, za napačno identifikacijo storitve ali aplikacije pa smo odšteli eno točko (slika 5).

riž. 5. Rezultati identifikacije storitev in aplikacij

Največ točk je dosegel skener MaxPatrol (108), malo manj pa skener Nessus (98). Dejansko je v teh dveh skenerjih postopek za prepoznavanje storitev in aplikacij implementiran zelo učinkovito. Ta rezultat lahko imenujemo kar pričakovano.

Naslednji rezultati so iz skenerjev Internet Scanner in NetClarity. Tukaj lahko omenimo, da se na primer Internet Scanner osredotoča na uporabo standardnih vrat za aplikacije, kar v veliki meri pojasnjuje njegov nizek rezultat. Nenazadnje ima skener NetClarity najslabšo zmogljivost. Čeprav dobro opravlja nalogo prepoznavanja storitev (navsezadnje temelji na jedru Nessus 2.x), je njegovo splošno slabo delovanje mogoče razložiti z dejstvom, da ni identificiral vseh odprtih vrat.

3.2 Identifikacija ranljivosti

Na sl. Slika 6 prikazuje skupno število ranljivosti, ki so jih odkrili vsi skenerji, in število lažno pozitivnih rezultatov. Največje število ranljivosti je odkril skener MaxPatrol. Nessus se je spet izkazal za drugega (čeprav s precejšnjo razliko).
Vodilni po številu lažnih pozitivnih rezultatov je bil Shadow Security Scanner. Načeloma je to razumljivo; primeri napak, povezanih posebej z njegovimi pregledi, so bili navedeni zgoraj.

riž. 6. Najdene ranljivosti in lažno pozitivni rezultati

Skupaj so vsi skenerji na vseh 16 vozliščih našli (in nato potrdili z ročnim preverjanjem) 225 ranljivosti. Rezultati so bili porazdeljeni kot na sl. 7. Največje število ranljivosti – 155 od 225 možnih – je odkril skener MaxPatrol. Drugi je bil skener Nessus (njegov rezultat je bil skoraj dvakrat slabši). Sledi Internet Scanner, nato NetClarity.
Med primerjavo so bili analizirani razlogi za manjkajoče ranljivosti in izločene tiste, ki so nastale zaradi pomanjkanja preverjanj v bazi. Naslednji diagram (slika 8) prikazuje razloge, zakaj skenerji zgrešijo ranljivosti.

riž. 7. Najdene ranljivosti in pomanjkljivosti

riž. 8. Razlogi za manjkajoče ranljivosti

Zdaj pa nekaj kazalnikov, ki izhajajo iz izračunov.

Na sl. Slika 39 prikazuje razmerje med številom lažnih pozitivnih rezultatov in skupnim številom najdenih ranljivosti; ta kazalnik v določenem smislu lahko imenujemo natančnost optičnega bralnika. Navsezadnje se uporabnik najprej sooči s seznamom ranljivosti, ki jih najde skener, iz katerega je treba izbrati pravilno najdene.

riž. 9. Natančnost skenerjev

Iz tega diagrama je razvidno, da je največjo natančnost (95 %) dosegel skener MaxPatrol. Čeprav njegovo število lažno pozitivnih rezultatov ni najnižje, je ta stopnja natančnosti dosežena zaradi velikega števila najdenih ranljivosti. Naslednja najbolj natančna definicija je Internet Scanner. Pokazal je najmanjše število lažno pozitivnih rezultatov. Skener SSS ima najnižji rezultat, kar ni presenetljivo glede na veliko število lažno pozitivnih rezultatov, ki so bili ugotovljeni med primerjavo.

Drugi izračunani kazalnik je popolnost baze podatkov (slika 10). Izračuna se kot razmerje med številom pravilno najdenih ranljivosti in skupnim številom ranljivosti (v tem primeru - 225) in označuje obseg "zgreškov".

riž. 10. Popolnost baze podatkov

Iz tega diagrama je razvidno, da je osnova skenerja MaxPatrol najbolj primerna za to nalogo.

4. Zaključek

4.1 Komentarji rezultatov vodilnih: MaxPatrol in Nessus

Prvo mesto po vseh kriterijih te primerjave zaseda skener MaxPatrol, na drugem skener Nessus, rezultati ostalih skenerjev so bistveno slabši.

Tukaj velja spomniti na enega izmed dokumentov, ki jih je pripravil ameriški Nacionalni inštitut za standarde in tehnologijo (NIST), in sicer »Guideline on Network Security Testing«. Navaja, da je pri spremljanju varnosti računalniških sistemov priporočljiva uporaba vsaj dveh varnostnih skenerjev.

Pravzaprav v dobljenem rezultatu ni nič nepričakovanega ali presenetljivega. Nobena skrivnost ni, da sta skenerja XSpider (MaxPatrol) in Nessus priljubljena tako med strokovnjaki za varnost kot med hekerji. To potrjujejo rezultati zgornje ankete. Poskusimo analizirati razloge za očitno vodstvo MaxPatrola (to delno velja za skener Nessus), pa tudi razloge za "izgubo" drugih skenerjev. Najprej je to kakovostna identifikacija storitev in aplikacij. Testi na podlagi sklepanja (v tem primeru jih je bilo kar nekaj) so močno odvisni od točnosti zbiranja informacij. Identifikacija storitev in aplikacij v skenerju MaxPatrol je skoraj popolna. Tukaj je en nazoren primer.
Drugi razlog za uspeh MaxPatrola je popolnost baze podatkov in njena ustreznost zastavljeni nalogi in na splošno »danes«. Glede na rezultate je opaziti, da je baza pregledov v MaxPatrolu močno razširjena in podrobna, »spravljena v red«, očitna »pristranskost« do spletnih aplikacij pa se kompenzira s širitvijo pregledov na druga področja. , na primer, rezultati skeniranja usmerjevalnika, predstavljenega v primerjavi, so bili impresivni Cisco.

Tretji razlog je kvalitativna analiza različic aplikacij z upoštevanjem operacijskih sistemov, distribucij in različnih »vej«. Dodate lahko tudi uporabo različnih virov (baze podatkov o ranljivostih, obvestila in bilteni prodajalcev).

Na koncu lahko dodamo tudi, da ima MaxPatrol zelo priročen in logičen vmesnik, ki odraža glavne faze dela omrežnih varnostnih skenerjev. In to je pomembno. Kombinacijo "vozlišče, storitev, ranljivost" je zelo enostavno razumeti (opomba urednika: to je subjektivno mnenje avtorja primerjave). In še posebej za to nalogo.

Zdaj o pomanjkljivostih in "šibkih" točkah. Ker se je MaxPatrol izkazal za vodilnega v primerjavi, bo kritika, naslovljena nanj, "največja".

Prvič, tako imenovana "izguba v majhnih stvareh". Če imate zelo kakovosten motor, je pomembno ponuditi ustrezne dodatne storitve, na primer priročna orodja, ki vam omogočajo, da nekaj naredite ročno, orodja za iskanje ranljivosti in možnost "natančne nastavitve" sistema. MaxPatrol nadaljuje tradicijo XSpider in je maksimalno osredotočen na ideologijo »klikni in deluje«. Po eni strani to ni slabo, po drugi strani pa omejuje »natančnega« analitika.

Drugič, nekatere storitve so ostale "nepokrite" (o tem lahko presodite iz rezultatov te primerjave), na primer IKE (vrata 500).

Tretjič, v nekaterih primerih manjka osnovna primerjava rezultatov dveh preverjanj med seboj, na primer v primeru zgoraj opisanega SSH. To pomeni, da ni zaključkov na podlagi rezultatov več preverjanj. Na primer, operacijski sistem host4 je bil razvrščen kot Windows, "prodajalec" storitve PPTP pa je bil razvrščen kot Linux. Lahko sklepamo? Na primer, v poročilu v območju definicije operacijskega sistema označite, da je to "hibridno" vozlišče.

Četrtič, opis čekov pušča veliko želenega. Toda tukaj je treba razumeti, da je MaxPatrol v neenakih pogojih z drugimi skenerji: visokokakovosten prevod v ruščino vseh opisov je zelo delovno intenzivna naloga.

Skener Nessus je na splošno pokazal dobre rezultate in je bil v številnih točkah natančnejši od skenerja MaxPatrol. Glavni razlog, zakaj Nessus zaostaja, je opustitev ranljivosti, vendar ne zaradi pomanjkanja preverjanj v bazi podatkov, kot večina drugih skenerjev, temveč zaradi implementacijskih značilnosti. Prvič (in to je razlog za precejšen del vrzeli), je pri skenerju Nessus prišlo do trenda razvoja v smeri »lokalnih« oz. sistemske preglede, ki zahteva povezavo z računom. Drugič, skener Nessus upošteva manj (v primerjavi z MaxPatrol) virov informacij o ranljivostih. To je nekoliko podobno skenerju SSS, ki v veliki meri temelji na SecurityFocus.

5. Omejitve te primerjave

Med primerjavo so bile zmožnosti optičnih bralnikov preučene v okviru samo ene naloge - testiranja omrežnih obodnih vozlišč za odpornost proti vdorom. Na primer, če potegnemo analogijo avtomobila, smo videli, kako se različni avtomobili obnašajo, recimo, na spolzki cesti. Vendar pa obstajajo druge naloge, katerih rešitev z istimi skenerji je lahko videti popolnoma drugače. V bližnji prihodnosti je načrtovana primerjava skenerjev pri reševanju takih problemov, kot so:

• Izvajanje revizij sistema z uporabo račun
• Ocena skladnosti PCI DSS
• Pregledovanje sistemov Windows

Poleg tega je načrtovana primerjava skenerjev z uporabo formalnih meril.

Med to primerjavo je bil preizkušen le sam »motor« ali, po moderno rečeno, »možgani« skenerja. Zmogljivosti v smislu dodatnih storitev (poročila, beleženje informacij o poteku skeniranja ipd.) niso bile ocenjene ali primerjane na noben način.

Prav tako nista bili ocenjeni stopnja nevarnosti in sposobnost izkoriščanja najdenih ranljivosti. Nekateri skenerji so se omejili na "manjše" ranljivosti z nizkim tveganjem, drugi pa so odkrili resnično kritične ranljivosti, ki omogočajo dostop do sistema.

Varnostni skener: zazna ranljivosti omrežja, upravlja posodobitve in popravke, samodejno odpravlja težave, revidira programsko in strojno opremo. GFI Varnost omrežja">Varnost omrežja 2080

Pregledovalnik varnosti omrežja in centralizirano upravljanje posodobitev

GFI LanGuard deluje kot svetovalec za virtualno varnost:

— Upravlja posodobitve za Windows®, Mac OS® in Linux®

— Odkriva ranljivosti na računalnikih in mobilne naprave

— Izvaja revizije omrežne naprave in programsko opremo

GFI Languard je varnostni skener za omrežja vseh velikosti: skener omrežnih vrat in ranljivosti, varnostni skener, samodejno najde luknje v omrežju

GFI Languard je varnostni skener za omrežja vseh velikosti: skener omrežnih vrat in ranljivosti, varnostni skener, samodejno najde luknje v omrežju

Kaj je GFI LanGuard

Več kot skener ranljivosti!

GFI LanGuard je pregledovalnik omrežne varnosti: zaznava, identificira in popravlja ranljivosti omrežja. Celotno skeniranje vrat, razpoložljivost potrebnih posodobitev programske opreme za zaščito vašega omrežja ter revizija programske in strojne opreme so možni z ene same nadzorne plošče.

Skener vrat

Več vnaprej pripravljenih profilov skeniranja vam omogoča popoln pregled vseh vrat, pa tudi hitro preverjanje le tistih, ki jih običajno uporablja neželena in zlonamerna programska oprema. GFI LanGuard pregleda več gostiteljev hkrati, s čimer znatno skrajša zahtevani čas, nato pa primerja programsko opremo, najdeno na zasedenih vratih, s pričakovano.

Posodobitve in popravki

Pred namestitvijo najnovejše posodobitve vaša vozlišča so popolnoma nezaščitena, saj gre za najnovejše ranljivosti, ki jih pokrivajo trenutni popravki in posodobitve, ki jih hekerji uporabljajo za prodor v vaše omrežje. Za razliko od orodij, ki so vgrajena v operacijski sistem, GFI LanGuard ne bo preveril samo samega operacijskega sistema, temveč tudi priljubljeno programsko opremo, katere ranljivosti se običajno uporabljajo za hekanje: Adobe Acrobat/Reader, Flash Player, Skype, Outlook, brskalniki, takojšnji messengerji.

Revizija vozlišča

GFI LanGuard bo pripravil za vas podroben seznam nameščena programska in strojna oprema na vsakem računalniku, bo zaznala prepovedane ali manjkajoče programe ter nepotrebne povezane naprave. Rezultate večkratnih pregledov je mogoče primerjati, da se ugotovijo spremembe v programski opremi in strojna oprema.

Najnovejša obveščevalna informacija o grožnjah

Vsako skeniranje se izvede po posodobitvi podatkov o ranljivostih, katerih število v bazi GFI LanGuard je že preseglo 50.000. Podatke o grožnjah zagotavljajo sami prodajalci programske opreme ter zaupanja vredna seznama SANS in OVAL, tako da ste vedno zaščiteni pred najnovejšimi grožnjami, vključno z grožnjami Heartbleed, Clandestine, Shellshock, Poodle, Sandworm in drugimi.

Samodejni popravek

Ko prejmete podrobno poročilo o skeniranju z opisom vsake ranljivosti in povezavami do nadaljnje branje, lahko večino groženj odpravite z enim klikom na gumb »Remediate«: vrata bodo zaprta, registrski ključi bodo popravljeni, popravki bodo nameščeni, programska oprema bo posodobljena, prepovedani programi bodo odstranjeni in manjkajoči programi bodo nameščeni.