Program för att skanna nätverk efter sårbarheter. Jämförelse av nätverkssäkerhetsskannrar. Jämförelse av nätverkssårbarhetsskannrar

GRANSKNING OCH JÄMFÖRELSE AV SÅRBARHETSSCANNER

Rozhkova Ekaterina Olegovna

4:e årsstudent, Institutionen för fartygsautomation och mätningar, St. Petersburg State Medical University, Ryssland, St. Petersburg

E- post: rina1242. ro@ gmail. com

Ilyin Ivan Valerievich

4:e årsstudent, Institutionen för säker informationsteknologi

St. Petersburg National Research University ITMO, Ryssland, St. Petersburg

E- post: vanilin. va@ gmail. com

Galushin Sergey Yakovlevich

vetenskaplig handledare, Ph.D. tech. Vetenskaper, biträdande prorektor för vetenskapligt arbete, Ryska federationen, St. Petersburg

För en hög säkerhetsnivå är det nödvändigt att inte bara använda brandväggar, utan också regelbundet utföra åtgärder för att upptäcka sårbarheter, till exempel med hjälp av sårbarhetsskannrar. Snabb identifiering av svagheter i systemet kommer att förhindra obehörig åtkomst och manipulation av data. Men vilket skanneralternativ passar bäst för ett visst systems behov? För att svara på denna fråga måste du först och främst bestämma bristerna i säkerhetssystemet på din dator eller nätverk. Enligt statistik sker de flesta attacker genom kända och publicerade kryphål i säkerheten, som kanske inte kan elimineras av många skäl, vare sig det är brist på tid, personal eller inkompetens hos systemadministratören. Du bör också förstå att vanligtvis kan en illvillig penetrera ett system på flera sätt, och om en metod inte fungerar kan inkräktaren alltid prova en annan. För att säkerställa maximal nivå av systemsäkerhet krävs en noggrann riskanalys och vidareutveckling av en tydlig hotmodell för att mer exakt förutsäga möjliga åtgärder hypotetisk brottsling.

De vanligaste sårbarheterna inkluderar buffertspill, möjliga fel i konfigurationen av routern eller brandväggen, sårbarheter på webbservern, e-postservrar, DNS-servrar, databaser. Dessutom, ignorera inte ett av de mest känsliga områdena informationssäkerhet- användar- och filhantering, eftersom att säkerställa användarens åtkomstnivå med minimala privilegier är en specifik uppgift som kräver en kompromiss mellan användarupplevelsen och säkerställande av systemsäkerhet. Det är nödvändigt att nämna problemet med tomma eller svaga lösenord, standardkonton och problemet med allmänt informationsläckage.

Säkerhetsskanner är mjukvaruverktyg för fjärrdiagnostik eller lokal diagnostik olika element nätverk för att identifiera olika sårbarheter i dem; de kan avsevärt minska arbetstiden för specialister och underlätta sökandet efter sårbarheter.

Översyn av säkerhetsskannrar

Detta arbete undersökte skannrar som har en gratis testversion, som låter dig använda programvaran för att bekanta dig med en begränsad lista över dess funktioner och utvärdera graden av enkelhet i gränssnittet. Följande populära sårbarhetsskannrar valdes ut som föremål för granskningen: Nessus, GFI LANguard, Retina, Shadow security scanner, Internet Scanner.

Nessus

Nessus är ett program för att automatiskt söka efter kända säkerhetsbrister informationssystem. Den kan upptäcka de vanligaste typerna av sårbarheter, såsom närvaron av sårbara versioner av tjänster eller domäner, konfigurationsfel (inget behov av auktorisering på SMTP-servern), förekomsten av standardlösenord, tomma eller svaga lösenord.

Nessus-skannern är ett kraftfullt och pålitligt verktyg som tillhör en familj av nätverksskannrar som låter dig söka efter sårbarheter i nätverkstjänster som erbjuds av operativsystem, brandväggar, filtreringsroutrar och andra nätverkskomponenter. För att söka efter sårbarheter används de som standardmedel testa och samla in information om nätverkets konfiguration och drift, och särskilda medel, som emulerar en angripares handlingar för att penetrera system som är anslutna till nätverket.

Programmet har möjlighet att ansluta dina egna verifieringsprocedurer eller mallar. För detta ändamål tillhandahåller skannern ett speciellt skriptspråk som kallas NASL (Nessus Attack Scripting Language). Sårbarhetsdatabasen växer och uppdateras ständigt. Registrerade användare får omedelbart alla uppdateringar, medan andra (provversioner etc.) får en viss fördröjning.

GFILanGuard

GFI LanGuard Network Security Scanner (N.S.S) är en prisbelönt lösning som använder tre kärnkomponenter för att skydda dig: säkerhetsskanner, patchhantering och nätverkskontroll från en enhetlig konsol. Genom att skanna hela nätverket bestämmer den allt eventuella problem säkerhet och, med hjälp av dess omfattande funktionalitet rapportering, tillhandahåller de verktyg som behövs för att upptäcka, utvärdera, beskriva och eliminera eventuella hot.

Säkerhetsgranskningen producerar mer än 15 000 sårbarhetsbedömningar och undersöker nätverk per IP-adress. GFI LanGuard N.S.S. ger möjlighet att utföra skanning på flera plattformar (Windows, Mac OS, Linux) i alla miljöer och analyserar nätverksstatusen för varje datakälla. Detta säkerställer att alla hot kan identifieras och elimineras innan hackare får sin vilja igenom.

GFI LanGuard N.S.S. levereras med en komplett och omfattande sårbarhetsbedömningsdatabas, inklusive standarder som OVAL (över 2 000 värden) och SANS Top 20. Denna databas uppdateras regelbundet med information från BugTraq, SANS Corporation, OVAL, CVE, etc. Tack vare GFI LanGuard automatiska uppdateringssystem N.S.S. innehåller alltid den senaste informationen om Microsofts säkerhetsuppdateringar, samt information från GFI och andra informationsarkiv såsom OVAL-databasen.

GFI LanGuard N.S.S. skannar datorer, identifierar och klassificerar sårbarheter, rekommenderar åtgärder och tillhandahåller verktyg för att lösa problem. GFI LANguard N.S.S. använder också en grafisk hotnivåindikator som ger en intuitiv, balanserad bedömning av sårbarhetsstatusen för en skannad dator eller grupp av datorer. Om möjligt tillhandahålls en länk eller ytterligare information för ett specifikt problem, till exempel en identifierare i BugTraq ID eller Microsoft Knowledge Base.

GFI LanGuard N.S.S. låter dig enkelt skapa dina egna sårbarhetstestscheman med hjälp av en guide. Med VBScript-skriptmotorn kan du också skriva komplexa sårbarhetskontroller för GFI LanGuard N.S.S. GFI LanGuard N.S.S. innehåller en skriptredigerare och debugger.

Näthinnan

Retina Network Security Scanner, BeyondTrusts nätverkssårbarhetsscanner, identifierar kända nätverkssårbarheter och prioriterar hot för åtgärdande. Under användning mjukvaruprodukt alla datorer, enheter, operativsystem, applikationer och trådlösa nätverk identifieras.

Användare kan också använda Retina för att bedöma informationssäkerhetsrisker, hantera projektrisker och uppfylla standardkrav genom företagspolicyrevisioner. Denna skanner kör inte sårbarhetskoden, så skanning leder inte till förlust av funktionalitet i nätverket och analyserade system. Använder egenutvecklad Adaptive Speed ​​​​skanningsteknik lokalt nätverk Klass C tar cirka 15 minuter, detta underlättas av Adaptive Speed ​​- en höghastighets säker nätverksskanningsteknik. Dessutom tillåter flexibla inställningar för skanningsområde systemadministratör analysera säkerheten för hela nätverket eller ett visst segment utan att påverka driften av angränsande. Happening automatisk uppdatering lokala kopior av databasen, så nätverksanalys utförs alltid baserat på de senaste uppgifterna. Den falska positiva frekvensen är mindre än 1 %, och det finns flexibel åtkomstkontroll till systemregistret.

Skuggasäkerhetscanner (SSS)

Denna skanner kan användas för att tillförlitligt upptäcka både kända och okända (vid tidpunkten för utgivningen) ny version produkt) sårbarheter. När man skannar ett system analyserar SSS data, inklusive letar efter sårbarheter, och indikerar möjliga fel i serverkonfigurationen. Dessutom föreslår skannern möjliga sätt att lösa dessa problem och åtgärda sårbarheter i systemet.

Som en bakdörrsteknik använder systemet kärnan i tillverkarens egen utveckling, Shadow Security Scanner. Det kan noteras att när du arbetar med Windows OS kommer SSS att skanna servrar oavsett deras plattform. Exempel på plattformar inkluderar Unix-plattformar (Linux, FreeBSD, OpenBSD, Net BSD, Solaris), Windows-plattformar (95/98/ME/NT/2000/XP/.NET/Win 7 och 8). Shadow Security Scanner kan även upptäcka fel i utrustning från CISCO, HP och andra. Denna skanner skapades av inhemska utvecklare och har följaktligen ett ryskt gränssnitt, såväl som dokumentation och en het supportlinje på den.

InternetScanner

Denna skanner ger automatisk upptäckt och analys av sårbarheter i företagsnätverk. Skannerns möjligheter inkluderar implementering av ett antal kontroller för efterföljande identifiering av sårbarheter i nätverkstjänster, operativsystem, routrar, e-post- och webbservrar, brandväggar och applikationsprogram. Internet Scanner kan upptäcka och identifiera mer än 1 450 sårbarheter, vilket kan inkludera felaktig konfiguration av nätverksutrustning, föråldrad programvara, oanvända nätverkstjänster, svaga lösenord, etc. Det är möjligt att kontrollera FTP-, LDAP- och SNMP-protokoll, kolla e-post, kolla RPC, NFS, NIS och DNS, kolla möjligheten för attacker som "denial of service", "password guessing", kontroller av webbservrar, CGI-skript, Webbläsare och X-terminaler. Dessutom är det möjligt att kontrollera brandväggar, proxyservrar, fjärråtkomsttjänster, filsystem, säkerhetsundersystem och revisionsundersystem, systemregister och installerade uppdateringar Windows OS, etc. Internet Scanner låter dig analysera närvaron av en enda sårbarhet i ett visst område av nätverket, till exempel kontrollera installationen av en specifik patch operativ system. Internet Scanner kan fungera på Windows-server NT, stöder även operativsystemen AIX, HP-UX, Linux och Solaris.

Innan man väljer jämförelsekriterier bör det betonas att kriterierna bör omfatta alla aspekter av användningen av säkerhetsskannrar: från metoder för informationsinsamling till kostnad. Att använda en säkerhetsskanner börjar med implementeringsplaneringen och själva distributionen. Därför gäller den första gruppen av kriterier arkitekturen för säkerhetsskannrar, samspelet mellan deras komponenter, installation och hantering. Nästa grupp av kriterier - skanning - bör täcka de metoder som används av de jämförda skannrarna för att utföra de listade åtgärderna, såväl som andra parametrar som är associerade med de specificerade stadierna av mjukvaruprodukten. Viktiga kriterier inkluderar även skanningsresultat, särskilt hur de lagras och vilka rapporter som kan genereras utifrån dem. Nästa kriterier att fokusera på är uppdaterings- och supportkriterierna, som låter dig klargöra frågor som uppdateringsmetoder och -metoder, nivå teknisk support, tillgång till auktoriserad utbildning, etc. Den sista gruppen innehåller ett enda, men mycket viktigt kriterium - kostnad.

· System som stöds;

· Vänligt gränssnitt;

· Skanningsmöjligheter (skanningsprofiler);

· Möjlighet att anpassa profiler (hur flexibelt);

· Identifiering av tjänster och applikationer;

· Identifiering av sårbarheter;

· Rapportgenerering (format);

· Möjlighet att generera en anpassad rapport (din egen);

· Uppdateringsfrekvens;

· Teknisk support.

Bord 1. Jämförelse av sårbarhetsskannrar
Scanner		GFI LanGuard
Pris	131 400 RUB/år	1610 rub. för en IP-adress. Ju fler IP-adresser, desto lägre kostnad		Kostnaden varierar beroende på antalet IP-adresser Från 30 000 rubel för 64 IP till 102 000 för 512 IP	Kostnaden varierar beroende på antalet IP-adresser (nominellt värde - 6000 rubel)
Stöd levande system	anpassad programvara	Windows, Mac OS, Linux	Cisco, Linux, UNIX, Windows	Unix, Linux, FreeBSD, OpenBSD, Net BSD, Solaris, Windows 95/98/ME/NT/2000/XP/.NET	Windows, AIX, HP-UX, Linux och Solaris
Vänskap Intervention ansikte	Enkelt och intuitivt gränssnitt	Enkelt och intuitivt gränssnitt	Tydligt gränssnitt	Vänligt och tydligt gränssnitt	Tydligt gränssnitt
Möjlig ness filigran strövande	Flexibelt inställningssystem, skanningstyp och parametrar varierar, anonym skanning är möjlig. Möjliga alternativ skanningar: SYN-skanning, FIN-skanning – ren FIN-förfrågan; Xmas Tree - inkluderar FIN, URG, PUSH i begäran; Null scan, FTP bounce scan, Ident scan, UDP scan, etc. Det är också möjligt att ansluta dina egna verifieringsprocedurer, för vilka ett speciellt skriptspråk tillhandahålls - NASL (Nessus Attack Scripting Language). Skannern använder både standardverktyg för att testa och samla in information om nätverkets konfiguration och funktion, och specialverktyg som efterliknar en potentiell inkräktares handlingar för att penetrera system.	Skanna TCP/IP och UDP-portar OS, virtuella miljöer och applikationer, mobila enheter kontrolleras; databaserna OVAL och SANS Top 20 används.	Sårbarheter upptäcks med hjälp av ett penetrationstest, och risker bedöms och deras prioriteringar för att begränsa dem bestäms baserat på en bedömning av sannolikheten för exploatering. Sårbarheter (från Core Impact®, Metasploit®, Exploit-db), CVSS och andra faktorer.	FTP, SSH, Telnet, SMTP, DNS, Finger, HTTP, POP3, IMAP, NetBios, NFS, NNTP, SNMP, Squid (SSS är den enda skannern i världen som kontrollerar proxyservrar för revisioner - andra skannrar avgör helt enkelt närvaron av en port), LDAP (den enda skannern i världen som kontrollerar LDAP-servrar för revisioner - andra skannrar avgör helt enkelt närvaron av en port), HTTPS, SSL, TCP/IP, UDP, Registry, etc. Skapa enkelt dina egna rapporter.	FTP-, LDAP- och SNMP-kontroller; kontrollera e-postmeddelanden; RPC-, NFS-, NIS- och DNS-kontroller; kontrollera möjligheten för överbelastningsattacker; kontrollerar förekomsten av "lösenordsgissande" attacker (Brute Force); kontroll av webbservrar och CGI-skript, webbläsare och X-terminaler; kontrollera brandväggar och proxyservrar; kontroll av fjärråtkomsttjänster; Windows OS-filsystemkontroller; kontrollera säkerhetsundersystemet och revisionsundersystemet för Windows OS; kontrollera systemregistret och installerade Windows OS-uppdateringar; kontrollera närvaron av modem på nätverket och närvaron av trojanska hästar; kontrolltjänster och demoner; kontokontroller.
Identifiera uppförande av tjänster och applikationer brudgummar	Högkvalitativ implementering av förfarandet för att identifiera tjänster och applikationer.	Upptäckt av obehörig/skadlig programvara och svartlistade applikationer med en hög sårbarhetsnivå.	Detektering av OS, applikationer, databaser, webbapplikationer.	Kontrollerar varje port för att avgöra vilka tjänster som lyssnar på dem. Upptäcker OS, applikationer, databaser, webbapplikationer.	Identifierar sårbarheter i nätverkstjänster, operativsystem, routrar, e-post- och webbservrar, brandväggar och applikationsprogram.
Skapar en rapport	Möjlighet att spara rapporter i nessus (xml), pdf, html, csv, nessus DB-format	Möjlighet att generera rapporter som sträcker sig från trendrapporter för nätverksanvändning för ledningen till detaljerade rapporter för teknisk personal. Det är möjligt att skapa rapporter om efterlevnad av standarder: Health Insurance Portability and Accountability Act (HIPAA), Public Services Network - Code of Connection (PSN CoCo), Sarbanes - Oxley Act (SOX), Gramm - Leach - Bliley Act (GLB/ GLBA), även känd som Payment Card Industry Digital Security Standard (PCI-DSS).	Det finns rapportgenereringsverktyg, en av de bredaste rapporteringsmöjligheterna.	Den har möjlighet att spara rapporten både i html-format och i xml, pdf, rtf, chm-format. Själva processen att skapa en rapport sker i form av att man väljer vilken information som behövs för att visas. Möjligheten att skapa en rapport är endast tillgänglig i den fullständiga versionen.	Ett kraftfullt rapportgenereringssystem som gör att du enkelt kan skapa olika former av rapporter och sortera dem efter egenskaper.
Möjlig produktionskapacitet gratis rapport	Ja, bara i den fullständiga versionen.			Ja, bara i den fullständiga versionen.
Uppdateringsfrekvens leniya	Regelbundna uppdateringar, men användare av testversionen får inte de senaste uppdateringarna.	Frekventa uppdateringar	Frekventa uppdateringar	Regelbundna uppdateringar	Regelbundna uppdateringar
Techni teknisk support	Närvarande		Närvarande	Present, tillgänglig på ryska.	Närvarande

Arbetet undersökte 5 sårbarhetsskannrar, som jämfördes enligt de utvalda kriterierna.

När det gäller effektivitet valdes Nessus-skannern som ledare, eftersom den har det mest kompletta utbudet av möjligheter för att analysera säkerheten i ett datorsystem. Det är dock relativt dyrt jämfört med andra skannrar: om du har ett litet antal IP-adresser är det klokare att välja GFI LanGuard eller SSS.

Bibliografi:

1. Dolgin A.A., Khorev P.B., Utveckling av en sårbarhetsskanner datorsystem baserad på skyddade versioner av Windows OS, Proceedings of the International Scientific and Technical Conference " Informationsmedia och teknologier", 2005.
2. Informationsportal om säkerhet [Elektronisk resurs] - Åtkomstläge. - URL: http://www.securitylab.ru/ (åtkomstdatum 27/03/15).
3. Onlinetidning Softkey.info [Elektronisk resurs] - Åtkomstläge. - URL: http://www.softkey.info/ (åtkomstdatum 27/03/15).
4. Officiell webbplats för "GFI Software". [Elektronisk resurs] - Åtkomstläge. - URL: http://www.gfi.ru/ (åtkomstdatum 27/03/15).
5. Officiell webbplats för "Beyond trust". [Elektronisk resurs] - Åtkomstläge. - URL: http://www.beyondtrust.com/Products/RetinaNetworkSecurityScanner/ (tillgänglig 03/27/15).
6. Officiell webbplats för IBM [Elektronisk resurs] - Åtkomstläge. - URL: http://www.ibm.com/ (tillgänglig 03/27/15).
7. Officiell webbplats Tenable Network Security [Elektronisk resurs] - Åtkomstläge. - URL: http://www.tenable.com/products/nessus-vulnerability-scanner/ (tillgänglig 03/27/15).
8. Officiell webbplats "safety-lab." [Elektronisk resurs] - Åtkomstläge. - URL: http://www.safety-lab.com/ (åtkomstdatum 27/03/15).
9. IBMs lösningar för informationssäkerhet [Elektronisk resurs] - Åtkomstläge. - URL: http://www.ibm.com/ru/services/iss/pdf/ISS_2009_DB_s10.pdf (tillgänglig 03/27/15).
10. Khorev P.B., Metoder och metoder för att skydda information i datorsystem, M., Publishing Center "Academy", 2005.

Som du kan se har det funnits gott om dem och de är alla mycket farliga för de system som utsätts för dem. Det är viktigt att inte bara uppdatera ditt system i tid för att skydda dig från nya sårbarheter, utan också att vara säker på att ditt system inte innehåller sårbarheter som har åtgärdats för länge sedan som hackare kan utnyttja.

Det är här Linux sårbarhetsskannrar kommer till undsättning. Sårbarhetsanalysverktyg är en av de viktigaste komponenterna i varje företags säkerhetssystem. Att kontrollera applikationer och system för gamla sårbarheter är en obligatorisk praxis. I den här artikeln ska vi titta på bästa skannrar sårbarheter, med öppen källkod, som du kan använda för att upptäcka sårbarheter i dina system och program. Alla är helt gratis och kan användas som vanliga användare och i företagssektorn.

OpenVAS eller Open Vulnerability Assessment System är en komplett plattform för att söka efter sårbarheter, som distribueras som öppen källkod. Programmet är baserat på Nessus skannerns källkod. Till en början distribuerades denna skanner som öppen källkod, men sedan beslutade utvecklarna att stänga koden, och sedan, 2005, skapades OpenVAS baserat på den öppna versionen av Nessus.

Programmet består av en server- och klientdel. Servern, som utför huvudarbetet med skanningssystem, körs endast i Linux och klientprogram stöder även Windows, servern kan nås via ett webbgränssnitt.

Skannerkärnan innehåller mer än 36 000 olika sårbarhetskontroller och uppdateras varje dag med nya, nyligen upptäckta. Programmet kan upptäcka sårbarheter i tjänster som körs, och även leta efter felaktiga inställningar, till exempel bristande autentisering eller mycket svaga lösenord.

2. Nexpose Community Edition

Detta är ett annat Linux-sårbarhetsskanningsverktyg med öppen källkod utvecklat av Rapid7, samma företag som släppte Metasploit. Skannern kan upptäcka upp till 68 000 kända sårbarheter, samt utföra mer än 160 000 nätverksskanningar.

Community-versionen är helt gratis, men den har en begränsning av att samtidigt skanna upp till 32 IP-adresser och endast en användare. Licensen behöver också förnyas varje år. Det finns ingen webbapplikationsskanning, men den stöder automatisk uppdatering av sårbarhetsdatabasen och mottagning av information om sårbarheter från Microsoft Patch.

Programmet kan installeras inte bara på Linux, utan även på Windows, och hanteringen utförs via webbgränssnittet. Med den kan du ställa in skanningsparametrar, IP-adresser och annan nödvändig information.

När genomsökningen är klar kommer du att se en lista över sårbarheter, samt information om den installerade programvaran och operativsystemet på servern. Du kan också skapa och exportera rapporter.

3. Burp Suite Free Edition

Burp Suite är en webbläsare som är skriven i Java. Programmet består av en proxyserver, en spindel, ett verktyg för att generera förfrågningar och utföra stresstester.

MED använder Burp du kan utföra webbapplikationstestning. Med hjälp av en proxyserver kan du till exempel fånga upp och se passerande trafik, samt modifiera den vid behov. Detta gör att du kan simulera många situationer. Spindeln hjälper dig att hitta webbsårbarheter, och frågegenereringsverktyget hjälper dig att hitta styrkan hos webbservern.

4. Arachni

Arachni är ett fullfjädrat ramverk för testning av webbapplikationer skrivet i Ruby som är öppen källkod. Det låter dig utvärdera säkerheten för webbapplikationer och webbplatser genom att utföra olika penetrationstester.

Programmet stöder skanning med autentisering, anpassning av rubriker, stöd för Aser-Agent-spoofing, stöd för 404-detektering. Dessutom har programmet ett webbgränssnitt och ett kommandoradsgränssnitt, skanningen kan pausas och sedan återupptas och i allmänhet fungerar allting väldigt snabbt .

5. OWASP Zed Attack Proxy (ZAP)

OWASP Zed Attack Proxy är ett annat omfattande verktyg för att hitta sårbarheter i webbapplikationer. Alla standardfunktioner för denna typ av program stöds. Du kan skanna portar, kontrollera webbplatsens struktur, leta efter många kända sårbarheter och kontrollera om upprepade förfrågningar eller felaktig data behandlas korrekt.

Programmet kan arbeta över https och stöder även olika proxyservrar. Eftersom programmet är skrivet i Java är det väldigt enkelt att installera och använda. Utöver de grundläggande funktionerna finns det ett stort antal plugins som kraftigt kan öka funktionaliteten.

6. Clair

Clair är ett verktyg för att hitta Linux-sårbarheter i containrar. Programmet innehåller en lista över sårbarheter som kan vara farliga för containrar och varnar användaren om sådana sårbarheter har upptäckts i ditt system. Programmet kan också skicka meddelanden om nya sårbarheter dyker upp som kan göra behållare osäkra.

Varje behållare kontrolleras en gång och det finns ingen anledning att starta den för att kontrollera den. Programmet kan hämta all nödvändig data från en inaktiverad behållare. Denna data lagras i en cache för att kunna meddela om sårbarheter i framtiden.

7.Powerkuzzer

Powerfuzzer är en fullfjädrad, automatiserad och mycket anpassningsbar webbsökare som låter dig testa hur en webbapplikation reagerar på ogiltiga data och upprepade förfrågningar. Verktyget stöder endast HTTP-protokollet och kan upptäcka sårbarheter som XSS, SQL-injektion, LDAP, CRLF och XPATH-attacker. Den stöder också spårning av 500 fel, vilket kan indikera en felaktig konfiguration eller till och med en fara som ett buffertspill.

8. Nmap

Nmap är inte precis en sårbarhetsskanner för Linux. Detta program låter dig skanna nätverket och ta reda på vilka noder som är anslutna till det, samt bestämma vilka tjänster som körs på dem. Detta ger ingen heltäckande information om sårbarheter, men du kan gissa vilken. programvara kan vara sårbara, försök att knäcka svaga lösenord. Det är också möjligt att köra speciella skript som låter dig identifiera vissa sårbarheter i viss programvara.

Slutsatser

I den här artikeln har vi granskat de bästa linux sårbarhetsskannrarna, de låter dig hålla ditt system och dina applikationer i schack. fullständig säkerhet. Vi tittade på program som låter dig skanna själva operativsystemet eller webbapplikationer och webbplatser.

Slutligen kan du titta på en video om vad sårbarhetsskannrar är och varför de behövs:

Problemet med en epidemi av nätverksmaskar är relevant för alla lokala nätverk. Förr eller senare kan en situation uppstå när ett nätverk eller e-postmask penetrerar LAN och inte upptäcks av antiviruset som används. Ett nätverksvirus sprids över ett LAN genom operativsystemsårbarheter som inte stängdes vid infektionstillfället eller genom skrivbara sårbarheter delade resurser. Mail virus, som namnet antyder, distribueras via e-post, förutsatt att den inte blockeras av klient-antivirus och antivirus på Mejl server. Dessutom kan en epidemi på ett LAN organiseras inifrån som ett resultat av en insiders aktiviteter. I den här artikeln kommer vi att titta på praktiska metoder för operativ analys av LAN-datorer med hjälp av olika verktyg, särskilt med hjälp av författarens AVZ-verktyg.

Formulering av problemet

Om en epidemi eller någon onormal aktivitet upptäcks i nätverket måste administratören snabbt lösa minst tre uppgifter:

• upptäcka infekterade datorer i nätverket;
• hitta prover av skadlig programvara att skicka till ett antiviruslaboratorium och utveckla en motåtgärdsstrategi;
• vidta åtgärder för att blockera spridningen av viruset på LAN och förstöra det på infekterade datorer.

När det gäller insideraktivitet är huvudstegen i analysen identiska och oftast handlar det om behovet av att upptäcka programvara från tredje part installerad av insidern på LAN-datorer. Exempel på sådan programvara inkluderar fjärradministrationsverktyg, keyloggers och olika trojanska bokmärken.

Låt oss överväga mer i detalj lösningen på var och en av uppgifterna.

Sök efter infekterade datorer

För att söka efter infekterade datorer i nätverket kan du använda minst tre metoder:

• automatisk fjärranalys av PC - få information om körande processer, laddade bibliotek och drivrutiner, sökning efter karakteristiska mönster - till exempel processer eller filer med givna namn;
• PC-trafikanalys med en sniffer - den här metoden mycket effektivt för att fånga spambots, e-post och nätverksmaskar, men den största svårigheten med att använda en sniffer beror på det faktum att ett modernt LAN är byggt på basen av switchar och som ett resultat kan administratören inte övervaka trafiken på hela nätverket. Problemet kan lösas på två sätt: genom att köra en sniffer på routern (som låter dig övervaka utbytet av PC-data med Internet) och genom att använda switcharnas övervakningsfunktioner (många moderna strömbrytare låter dig tilldela en övervakningsport till vilken trafiken för en eller flera switchportar som anges av administratören dupliceras);
• studie av nätverksbelastning - i det här fallet är det mycket bekvämt att använda smarta switchar, som gör att du inte bara kan bedöma belastningen utan också att fjärrinaktivera portar som anges av administratören. Denna operation förenklas avsevärt om administratören har en nätverkskarta, som innehåller information om vilka datorer som är anslutna till motsvarande switchportar och var de finns;
• användning av honungskrukor - det rekommenderas starkt att skapa flera honungskrukor på det lokala nätverket som gör det möjligt för administratören att i tid upptäcka en epidemi.

Automatisk analys av datorer i nätverket

Automatisk PC-analys kan reduceras till tre huvudsteg:

• genomföra en komplett PC-skanning - köra processer, laddade bibliotek och drivrutiner, autostart;
• bedriva operativ forskning - till exempel söka efter karakteristiska processer eller filer;
• karantän av föremål enligt vissa kriterier.

Alla ovanstående problem kan lösas med hjälp av författarens AVZ-verktyg, som är utformat för att startas från en nätverksmapp på servern och stöder ett skriptspråk för automatisk PC-inspektion. För att köra AVZ på användardatorer måste du:

1. Placera AVZ i en nätverksmapp på servern som är öppen för läsning.
2. Skapa LOG- och Qurantine-underkataloger i den här mappen och låt användare skriva till dem.
3. Starta AVZ på LAN-datorer med hjälp av rexec-verktyget eller inloggningsskriptet.

Starta AVZ i steg 3 bör göras med följande parametrar:

\\min_server\AVZ\avz.exe Prioritet=-1 nw=Y nq=Y HiddenMode=2 Skript=\\min_server\AVZ\my_script.txt

I det här fallet sänker parametern Priority=-1 prioriteten för AVZ-processen, parametrarna nw=Y och nq=Y växlar karantänen till läget "nätverkskörning" (i detta fall skapas en underkatalog i karantänmappen för varje dator, vars namn matchar nätverksnamnet på datorn) , instruerar HiddenMode=2 att neka användaren åtkomst till GUI- och AVZ-kontrollerna, och slutligen anger den viktigaste skriptparametern det fullständiga namnet på skriptet med kommandon som AVZ kommer att köra på användarens dator. AVZ-skriptspråket är ganska enkelt att använda och fokuserar uteslutande på att lösa problem med datorundersökning och behandling. För att förenkla processen att skriva skript kan du använda en specialiserad skriptredigerare, som innehåller en onlineprompt, en guide för att skapa standardskript och verktyg för att kontrollera det skrivna skriptets korrekthet utan att köra det (Fig. 1).

Ris. 1. AVZ-skriptredigerare

Låt oss titta på tre typiska skript som kan vara användbara i kampen mot epidemin. Först behöver vi ett PC-forskningsskript. Skriptet har till uppgift att undersöka systemet och skapa ett protokoll med resultaten i en given nätverksmapp. Skriptet ser ut så här:

ActivateWatchDog(60 * 10);

// Börja skanna och analysera

// Systemutforskning

ExecuteSysCheck(GetAVZDirectory+

'\LOG\'+GetComputerName+'_log.htm');

//Stäng av AVZ

Under körningen av detta skript kommer HTML-filer med resultaten från studien av nätverksdatorer att skapas i LOG-mappen (förutsatt att den skapas i AVZ-katalogen på servern och är tillgänglig för användare att skriva), och för att säkerställa unikhet, namnet på den dator som undersöks ingår i protokollnamnet. I början av skriptet finns ett kommando för att aktivera en watchdog-timer, som med kraft kommer att avbryta AVZ-processen efter 10 minuter om fel uppstår under skriptkörning.

AVZ-protokollet är bekvämt för manuella studier, men det är till liten nytta för automatiserad analys. Dessutom känner administratören ofta till namnet på skadlig programvara och behöver bara kontrollera närvaron eller frånvaron av denna fil, och om den finns, sätta den i karantän för analys. I det här fallet kan du använda följande skript:

// Aktivera watchdog timer i 10 minuter

ActivateWatchDog(60 * 10);

// Sök efter skadlig programvara efter namn

QuarantineFile('%WinDir%\smss.exe', 'Misstänkt på LdPinch.gen');

QuarantineFile('%WinDir%\csrss.exe', 'Mistanke om LdPinch.gen');

//Stäng av AVZ

Det här skriptet använder QuarantineFile-funktionen för att försöka sätta de angivna filerna i karantän. Administratören kan endast analysera innehållet i karantänen (mappen Quarantine\nätverksnamn_PC\quarantine_date\) för förekomsten av filer i karantän. Observera att QuarantineFile-funktionen automatiskt blockerar karantän för filer som identifieras av den säkra AVZ-databasen eller Microsofts digitala signaturdatabase. För praktisk applikation det här skriptet kan förbättras - organisera laddningen av filnamn från en extern textfil, kontrollera de hittade filerna mot AVZ-databaserna och generera ett textprotokoll med resultaten av arbetet:

// Sök efter en fil med det angivna namnet

function CheckByName(Fname: string): boolean;

Resultat:= FileExists(FName) ;

om Resultat sedan börja

case CheckFile(FName) of

1: S:= ', åtkomst till filen är blockerad';

1: S:= ', upptäckt som skadlig programvara ('+GetLastCheckTxt+')';

2: S:= ', misstänkt av filskannern ('+GetLastCheckTxt+')';

3: utgång; // Säkra filer ignoreras

AddToLog(‘Filen ‘+NormalFileName(FName)+’ har ett misstänkt namn’+S);

//Lägg till den angivna filen i karantän

QuarantineFile(FName,'misstänkt fil'+S);

SuspNames: TStringList; // Lista över namn på misstänkta filer

// Kontrollerar filer mot den uppdaterade databasen

om FileExists(GetAVZDirectory + ‘files.db’) börja sedan

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('filer.db');

AddToLog('Namndatabasen laddad - antal poster = '+inttostr(SuspNames.Count));

// Sök loop

för i:= 0 till SuspNames.Count - 1 do

CheckByName(SuspNames[i]);

AddToLog('Fel vid laddning av lista med filnamn');

SaveLog(GetAVZDirectory+’\LOG\’+

GetComputerName+’_files.txt’);

För att det här skriptet ska fungera måste du skapa katalogerna Quarantine och LOG i AVZ-mappen, tillgängliga för användare att skriva, samt textfil files.db - varje rad i den här filen kommer att innehålla namnet på den misstänkta filen. Filnamn kan innehålla makron, de mest användbara är %WinDir% (sökväg till Windows-mappen) och %SystemRoot% (sökväg till mappen System32). En annan analysriktning kan vara en automatisk granskning av listan över processer som körs på användardatorer. Information om pågående processer finns i systemforskningsprotokollet, men för automatisk analys är det bekvämare att använda följande skriptfragment:

procedur ScanProcess;

S:= ''; S1:= '';

//Uppdaterar listan över processer

RefreshProcessList;

AddToLog(‘Antal processer = ‘+IntToStr(GetProcessCount));

// Analyscykel av den mottagna listan

för i:= 0 till GetProcessCount - 1 börjar

S1:= S1 + ‘,’ + ExtractFileName(GetProcessName(i));

// Sök efter process efter namn

om pos(‘trojan.exe’, LowerCase(GetProcessName(i))) > 0 då

S:= S + GetProcessName(i)+’,’;

om S<>''sedan

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

Studiet av processer i detta skript utförs som en separat ScanProcess-procedur, så det är lätt att placera det i ett eget skript. ScanProcess-proceduren bygger två listor med processer: full lista processer (för efterföljande analys) och en lista över processer som, ur administratörens synvinkel, anses vara farliga. I det här fallet, för demonstrationsändamål, anses en process som heter 'trojan.exe' vara farlig. Information om farliga processer läggs till i textfilen _alarm.txt, data om alla processer läggs till filen _all_process.txt. Det är lätt att se att du kan komplicera skriptet genom att lägga till det, till exempel kontrollera processfiler mot en databas med säkra filer eller kontrollera namn körbara filer processer på extern basis. En liknande procedur används i AVZ-skript som används i Smolenskenergo: administratören studerar regelbundet den insamlade informationen och modifierar skriptet och lägger till namnet på processerna för program som är förbjudna enligt säkerhetspolicyn, till exempel ICQ och MailRu.Agent, vilket tillåter Du kan snabbt kontrollera förekomsten av förbjuden programvara på de datorer som studeras. En annan användning för processlistan är att hitta datorer som saknar en nödvändig process, till exempel ett antivirus.

Avslutningsvis, låt oss titta på det sista av de användbara analysskripten - ett skript för automatisk karantän för alla filer som inte känns igen av den säkra AVZ-databasen och Microsofts digitala signaturdatabase:

// Utför autokarantän

ExecuteAutoQuarantine;

Automatisk karantän undersöker pågående processer och laddade bibliotek, tjänster och drivrutiner, cirka 45 autostartmetoder, webbläsar- och utforskartilläggsmoduler, SPI/LSP-hanterare, schemaläggarjobb, utskriftssystemhanterare, etc. En speciell egenskap med karantän är att filer läggs till den med upprepningskontroll, så att autokarantänfunktionen kan anropas upprepade gånger.

Fördelen med automatisk karantän är att administratören med dess hjälp snabbt kan samla in potentiellt misstänkta filer från alla datorer i nätverket för granskning. Den enklaste (men mycket effektiva i praktiken) formen av att studera filer kan vara att kontrollera den resulterande karantänen med flera populära antivirus i maximalt heuristiskt läge. Det bör noteras att samtidig lansering av autokarantän på flera hundra datorer kan skapa en hög belastning på nätverket och filservern.

Trafikforskning

Trafikforskning kan utföras på tre sätt:

• manuellt använda sniffers;
• i halvautomatiskt läge - i det här fallet samlar sniffern information, och sedan bearbetas dess protokoll antingen manuellt eller av någon programvara;
• automatiskt med hjälp av intrångsdetekteringssystem (IDS) som Snort (http://www.snort.org/) eller deras mjukvara eller hårdvara analoger. I det enklaste fallet består en IDS av en sniffer och ett system som analyserar informationen som sniffern samlar in.

Ett intrångsdetekteringssystem är ett optimalt verktyg eftersom det låter dig skapa uppsättningar regler för att upptäcka anomalier i nätverksaktivitet. Dess andra fördel är följande: de flesta moderna IDS tillåter trafikövervakningsagenter att placeras på flera nätverksnoder - agenterna samlar in information och överför den. Om du använder en sniffer är det mycket bekvämt att använda konsolen UNIX sniffer tcpdump. Till exempel för att övervaka aktivitet på port 25 ( SMTP-protokoll) kör bara sniffern med kommandorad typ:

tcpdump -i em0 -l tcp port 25 > smtp_log.txt

I detta fall fångas paket via em0-gränssnittet; information om fångade paket kommer att lagras i filen smtp_log.txt. Protokollet är relativt lätt att analysera manuellt; i det här exemplet kan du analysera aktivitet på port 25 för att identifiera datorer med aktiva spambots.

Applicering av Honeypot

Kan användas som en fälla (Honeypot) föråldrad dator, vars prestanda inte tillåter att den används för att lösa produktionsuppgifter. Till exempel används en Pentium Pro med 64 MB framgångsrikt som en fälla i författarens nätverk random access minne. På den här datorn bör du installera det vanligaste operativsystemet på LAN och välja en av strategierna:

• Installera ett operativsystem utan uppdateringspaket - det kommer att vara en indikator på utseendet på en aktiv nätverksmask på nätverket, som utnyttjar någon av de kända sårbarheterna för detta operativsystem;
• installera ett operativsystem med uppdateringar som är installerade på andra datorer i nätverket - Honeypot kommer att vara analog med någon av arbetsstationerna.

Varje strategi har både sina för- och nackdelar; Författaren använder huvudsakligen alternativet utan uppdateringar. Efter att ha skapat Honeypot bör du skapa en diskavbildning för snabb återhämtning systemet efter att det har skadats av skadlig programvara. Som ett alternativ till en diskavbildning kan du använda system för återställning av ändringar som ShadowUser och dess analoger. Efter att ha byggt en Honeypot bör du ta hänsyn till att ett antal nätverksmaskar söker efter infekterade datorer genom att skanna IP-intervallet, beräknat från IP-adressen för den infekterade datorn (vanliga typiska strategier är X.X.X.*, X.X.X+1.*, X.X.X-1.*), - därför bör det helst finnas en Honeypot på varje subnät. Som ytterligare förberedelseelement bör du definitivt öppna åtkomst till flera mappar på Honeypot-systemet, och i dessa mappar bör du lägga flera exempelfiler i olika format, den minsta uppsättningen är EXE, JPG, MP3.

Naturligtvis, efter att ha skapat en Honeypot måste administratören övervaka dess funktion och svara på eventuella avvikelser som upptäcks på den här datorn. Revisorer kan användas som ett sätt att registrera förändringar, en sniffer kan användas för att registrera nätverksaktivitet. En viktig punktär att de flesta sniffers ger möjlighet att konfigurera att skicka en varning till administratören om en viss nätverksaktivitet upptäcks. Till exempel, i CommView-sniffaren, innebär en regel att specificera en "formel" som beskriver ett nätverkspaket, eller specificera kvantitativa kriterier (sända mer än ett specificerat antal paket eller byte per sekund, skicka paket till oidentifierade IP- eller MAC-adresser) - Fikon. 2.

Ris. 2. Skapa och konfigurera en nätverksaktivitetsvarning

Som en varning är det mest bekvämt att använda e-postmeddelanden som skickas till Brevlåda administratör - i det här fallet kan du få snabba varningar från alla fällor i nätverket. Dessutom, om sniffern låter dig skapa flera varningar, är det vettigt att skilja nätverksaktivitet genom att lyfta fram arbetet med via e-post, FTP/HTTP, TFTP, Telnet, MS Net, ökade trafiken med mer än 20-30 paket per sekund för vilket protokoll som helst (fig. 3).

Ris. 3. Aviseringsbrev skickat
om paket som matchar de angivna kriterierna upptäcks

När du organiserar en fälla är det en bra idé att placera flera sårbara nätverkstjänster som används på nätverket på den eller installera en emulator för dem. Det enklaste (och gratis) är det proprietära APS-verktyget, som fungerar utan installation. Funktionsprincipen för APS handlar om att lyssna på många TCP- och UDP-portar som beskrivs i dess databas och att ge ett förutbestämt eller slumpmässigt genererat svar vid anslutningsögonblicket (fig. 4).

Ris. 4. Huvudfönster för APS-verktyget

Bilden visar en skärmdump tagen under en riktig APS-aktivering på Smolenskenergo LAN. Som framgår av figuren registrerades ett försök att ansluta en av klientdatorerna på port 21. Analys av protokollen visade att försöken är periodiska och registreras av flera fällor på nätverket, vilket gör att vi kan dra slutsatsen att nätverket skannas för att söka efter och hacka FTP-servrar genom att gissa lösenord. APS för loggar och kan skicka meddelanden till administratörer med rapporter om registrerade anslutningar till övervakade portar, vilket är bekvämt för att snabbt upptäcka nätverksskanningar.

När du skapar en Honeypot är det också bra att bekanta dig med onlineresurser om ämnet, särskilt http://www.honeynet.org/. I avsnittet Verktyg på den här webbplatsen (http://www.honeynet.org/tools/index.html) kan du hitta ett antal verktyg för att registrera och analysera attacker.

Borttagning av skadlig programvara på distans

Helst efter att prover har upptäckts skadlig programvara administratören skickar dem till antiviruslaboratoriet, där de omgående studeras av analytiker och motsvarande signaturer läggs in i antivirusdatabasen. Dessa signaturer uppdateras automatiskt på användarens dator, och antivirusprogrammet tar automatiskt bort skadlig programvara utan administratörsingripande. Den här kedjan fungerar dock inte alltid som förväntat; i synnerhet är följande orsaker till misslyckanden möjliga:

• av ett antal skäl oberoende av nätverksadministratören kan det hända att bilderna inte når antiviruslaboratoriet;
• otillräcklig effektivitet hos antiviruslaboratoriet - idealiskt tar det inte mer än 1-2 timmar att studera prover och lägga in dem i databasen, vilket innebär att uppdaterade signaturdatabaser kan erhållas inom en arbetsdag. Men alla antiviruslaboratorier fungerar inte så snabbt, och du kan vänta flera dagar på uppdateringar (i sällsynta fall, till och med veckor);
• hög prestanda av antivirus - ett antal skadliga program, efter aktivering, förstöra antivirus eller på annat sätt störa deras funktion. Klassiska exempel inkluderar att göra poster i hosts-filen som blockerar normalt arbete antivirus automatiska uppdateringssystem, radering av processer, tjänster och antivirusdrivrutiner, skador på deras inställningar osv.

Därför måste du i ovanstående situationer hantera skadlig programvara manuellt. I de flesta fall är detta inte svårt, eftersom resultaten av datorundersökningen avslöjar de infekterade datorerna, såväl som de fullständiga namnen på skadliga filer. Allt som återstår är att ta bort dem på distans. Om det skadliga programmet inte är skyddat från radering kan det förstöras med följande AVZ-skript:

// Ta bort en fil

DeleteFile('filnamn');

ExecuteSysClean;

Detta skript tar bort en specificerad fil (eller flera filer, eftersom det kan finnas ett obegränsat antal DeleteFile-kommandon i ett skript) och rensar sedan automatiskt registret. I ett mer komplext fall kan skadlig programvara skydda sig från att raderas (till exempel genom att återskapa sina filer och registernycklar) eller dölja sig själv med hjälp av rootkit-teknik. I det här fallet blir skriptet mer komplicerat och kommer att se ut så här:

// Anti-rootkit

SearchRootkit(true, true);

// Styr AVZGuard

SetAVZGuardStatus(true);

// Ta bort en fil

DeleteFile('filnamn');

// Aktivera BootCleaner-loggning

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// Importera till BootCleaner-uppgiften en lista över filer som raderats av skriptet

BC_ImportDeletedList;

// Aktivera BootCleaner

// Heuristisk systemrengöring

ExecuteSysClean;

Starta om Windows(true);

Detta skript inkluderar aktiv motverkan mot rootkits, användningen av AVZGuard-systemet (detta är en blockerare av skadlig programvara) och BootCleaner-systemet. BootCleaner är en drivrutin som tar bort specificerade objekt från KernelMode under en omstart, i ett tidigt skede av systemstart. Övning visar att ett sådant skript kan förstöra den stora majoriteten av befintlig skadlig programvara. Undantaget är skadlig programvara som ändrar namnen på sina körbara filer vid varje omstart - i det här fallet kan filer som upptäckts under systemgenomsökning bytas namn. I det här fallet måste du desinficera din dator manuellt eller skapa dina egna skadliga signaturer (ett exempel på ett skript som implementerar en signatursökning beskrivs i AVZ-hjälpen).

Slutsats

I den här artikeln tittade vi på några praktiska tekniker för att bekämpa en LAN-epidemi manuellt, utan användning av antivirusprodukter. De flesta av de beskrivna teknikerna kan också användas för att söka efter utländska datorer och trojanska bokmärken på användardatorer. Om du har problem med att hitta skadlig programvara eller skapa behandlingsskript kan administratören använda avsnittet "Hjälp" på forumet http://virusinfo.info eller avsnittet "Bekämpa virus" på forumet http://forum.kaspersky.com /index.php?showforum= 18. Studie av protokoll och hjälp vid behandling utförs på båda forumen kostnadsfritt, PC-analys utförs enligt AVZ-protokoll, och i de flesta fall handlar behandlingen om att exekvera ett AVZ-skript på infekterade datorer, sammanställt av erfarna specialister från dessa forum .

Jämförande analys säkerhetsskannrar. Del 1: Penetrationstest (kort sammanfattning)

Alexander Antipov

Det här dokumentet presenterar resultaten av en jämförelse av nätverkssäkerhetsskannrar under penetrationstester mot nätverksperimeternoder.

Lepikhin Vladimir Borisovich
Chef för nätverkssäkerhetslaboratoriet vid Informzashchita Training Center

Allt material i rapporten är föremål för immateriella rättigheter för utbildningscentret Informzashita. Duplicering, publicering eller reproduktion av rapportmaterial i någon form är förbjudet utan föregående skriftligt medgivande från Informzashita Training Center.

Hela texten av studien:
http://www.itsecurity.ru/news/reliase/2008/12_22_08.htm

1. Introduktion

Nätverkssäkerhetsskannrar är perfekta för jämförelse. De är alla väldigt olika. Och på grund av detaljerna i de uppgifter som de är avsedda för, och på grund av deras "dubbla" syfte (nätsäkerhetsskannrar kan användas både för försvar och "för attack", och hacking, som vi vet, är en kreativ uppgift) , slutligen, också för att bakom varje sådant verktyg finns en "hacker"-tanke (i ordets ursprungliga mening) om dess skapare.

Vid valet av jämförelsevillkoren togs det ”uppgiftsbaserade” tillvägagångssättet som utgångspunkt, så man kan utifrån resultaten bedöma hur lämpligt ett visst verktyg är för att lösa den uppgift som den tilldelats. Till exempel kan nätverkssäkerhetsskannrar användas:

• för inventering av nätverksresurser;
• under "penetrationstester";
• håller på att testa system för att uppfylla olika krav.

Det här dokumentet presenterar resultaten av en jämförelse av nätverkssäkerhetsskannrar under penetrationstester mot nätverksperimeternoder. Följande bedömdes:

• Antalet upptäckta sårbarheter
• Antal falskt positiva (falskt positiva)
• Falska negativa
• Orsaker till frånvaro
• Kontrollbasens fullständighet (i samband med denna uppgift)
• Kvaliteten på inventeringsmekanismerna och bestämning av mjukvaruversion
• Skannerns noggrannhet (i samband med denna uppgift)

De listade kriterierna karaktäriserar tillsammans skannerns "lämplighet" för att lösa uppgiften som tilldelats den, i det här fallet är det automatisering av rutinåtgärder i processen att övervaka säkerheten för nätverksperimetern.

2. Kort beskrivning av jämförelsedeltagare

Innan jämförelsen påbörjades gjorde portalen en undersökning vars syfte var att samla in data om de skannrar som används och vilka uppgifter de används för.

Cirka 500 respondenter (portalbesökare) deltog i undersökningen.

På frågan om vilka säkerhetsskannrar de använder i sina organisationer, sa den stora majoriteten av de tillfrågade att de använder minst en säkerhetsskanner (70 %). Samtidigt föredrar organisationer som regelbundet använder säkerhetsskannrar för att analysera säkerheten i sina informationssystem att använda mer än en produkt av denna klass. 49 % av de tillfrågade sa att deras organisationer använder två eller flera säkerhetsskannrar (Figur 1).

1 . Fördelning av organisationer undersökta efter antalet använda säkerhetsskannrar

Skälen till att använda mer än en säkerhetsskanner är bland annat att organisationer inte litar på lösningar från en enda "leverantör" (61 %) och när specialiserade kontroller krävs (39 %) som inte kan utföras med en omfattande säkerhetsskanner (Fig. 2). .

2. Skäl till att använda mer än en säkerhetsskanner i undersökta organisationer

På frågan för vilka ändamål specialiserade säkerhetsskannrar används svarade majoriteten av de tillfrågade att de används som ytterligare verktyg för att analysera säkerheten i webbapplikationer (68 %). På andra plats kom specialiserade DBMS-säkerhetsskannrar (30 %), och på tredje plats (2 %) fanns proprietära verktyg för att lösa en specifik rad problem vid analys av informationssystemens säkerhet (Fig. 3).

3. Syftet med att använda specialiserade säkerhetsskannrar i de undersökta respondenternas organisationer

Resultatet av en undersökning bland respondenterna (Fig. 4) om slutprodukter relaterade till säkerhetsskannrar visade att majoriteten av organisationer föredrar att använda Positive Technologies-produkten XSpider (31 %) och Nessus Security Scanner (17 %).

Ris. 4. Säkerhetsskannrar som används i respondenternas organisationer

De skannrar som presenteras i tabell 1 valdes ut för att delta i testtesterna.

Tabell 1. Nätverkssäkerhetsskannrar som används i jämförelse

namn	Version
		http://www.nessus.org/download
MaxPatrol	8.0 (bygg 1178)	http://www.ptsecurity.ru/maxpatrol.asp
Internet-skanner		http://www-935.ibm.com/services/us/index.wss/offering/iss/a1027208
NäthinnanNätverkssäkerhetsskanner		http://www.eeye.com/html/products/retina/index.html
Shadow Security Scanner (SSS)	7.141 (byggnad 262)	http://www.safety-lab.com/en/products/securityscanner.htm
NetClarity revisor		http://netclarity.com/branch-nacwall.html

Så det första testet är fokuserat på uppgiften att bedöma säkerheten hos system för motstånd mot hackning.

3. Sammanfattning

Resultaten för de återstående noderna beräknades på liknande sätt. Efter beräkning av resultaten erhölls följande tabell (tabell 2).

Tabell 2. Slutresultat för alla skannade objekt

Index		Internet-skanner			Shadow Security Scanner	NetClarity Revisor
Identifiering av tjänster och applikationer, poäng
Sårbarheter hittades, totalt
Av dessa falska positiva (falska positiva)
Hittade rätt (av 225 möjliga)
Passerar (falskt negativ)
Av dessa på grund av frånvaro från databasen
Av dessa orsakas av behovet av autentisering
Av andra skäl

3.1 Identifiering av tjänster och applikationer

Baserat på resultaten av identifiering av tjänster och applikationer summerades poängen helt enkelt, och en poäng drogs av för felaktig identifiering av en tjänst eller applikation (fig. 5).

Ris. 5. Resultat av att identifiera tjänster och applikationer

MaxPatrol-skannern fick det högsta antalet poäng (108), och Nessus-skannern fick lite mindre poäng (98). I dessa två skannrar implementeras proceduren för att identifiera tjänster och applikationer mycket effektivt. Detta resultat kan kallas ganska väntat.

Följande resultat är från Internet Scanner och NetClarity skannrar. Här kan vi nämna att till exempel Internet Scanner fokuserar på att använda standardportar för applikationer, detta förklarar till stor del dess låga resultat. Slutligen har NetClarity-skannern den sämsta prestandan. Även om den gör ett bra jobb med att identifiera tjänster (den är trots allt baserad på Nessus 2.x-kärnan), kan dess överlag dåliga prestanda förklaras av det faktum att den inte identifierade alla öppna portar.

3.2 Identifiering av sårbarheter

I fig. Figur 6 visar det totala antalet sårbarheter som hittats av alla skannrar och antalet falska positiva. Det största antalet sårbarheter hittades av MaxPatrol-skannern. Nessus visade sig återigen vara tvåa (om än med stor marginal).
Ledande i antalet falska positiva var Shadow Security Scanner. I princip är detta förståeligt, exempel på fel relaterade specifikt till dess kontroller gavs ovan.

Ris. 6. Hittade sårbarheter och falska positiva resultat

Totalt, på alla 16 noder, hittade alla skannrar (och bekräftades därefter genom manuell verifiering) 225 sårbarheter. Resultaten fördelade sig som i fig. 7. Det största antalet sårbarheter - 155 av 225 möjliga - identifierades av MaxPatrol-skannern. Den andra var Nessus-skannern (resultatet var nästan dubbelt så dåligt). Därefter kommer Internet Scanner, sedan NetClarity.
Under jämförelsen analyserades orsakerna till saknade sårbarheter och de som gjordes på grund av bristande kontroller i databasen separerades. Följande diagram (fig. 8) visar orsakerna till att skannrar missar sårbarheter.

Ris. 7. Hittade sårbarheter och utelämnanden

Ris. 8. Orsaker till att sårbarheter saknas

Nu några indikatorer från beräkningarna.

I fig. Figur 39 visar förhållandet mellan antalet falska positiva och det totala antalet upptäckta sårbarheter, denna indikator kan i viss mening kallas skannerns noggrannhet. När allt kommer omkring hanterar användaren först och främst en lista över sårbarheter som hittas av skannern, från vilken det är nödvändigt att välja de korrekt hittade.

Ris. 9. Noggrannhet hos skannrar

Från detta diagram kan man se att den högsta noggrannheten (95%) uppnåddes av MaxPatrol-skannern. Även om antalet falska positiva inte är det lägsta, uppnås denna noggrannhetsgrad på grund av det stora antalet sårbarheter som hittats. Den näst mest exakta definitionen är Internet Scanner. Den visade det lägsta antalet falska positiva. SSS-skannern har det lägsta resultatet, vilket inte är förvånande med tanke på det stora antalet falska positiva som noterades under jämförelsen.

En annan beräknad indikator är databasens fullständighet (fig. 10). Det beräknas som förhållandet mellan antalet sårbarheter som hittats korrekt och det totala antalet sårbarheter (i det här fallet - 225) och karakteriserar omfattningen av "missarna".

Ris. 10. Databasens fullständighet

Från detta diagram är det tydligt att MaxPatrol skannerbasen är mest lämplig för uppgiften.

4. Slutsats

4.1 Kommentarer till ledarnas resultat: MaxPatrol och Nessus

Första platsen enligt alla kriterier i denna jämförelse går till MaxPatrol-skannern, Nessus-skannern är på andra plats, resultaten för de andra skannrarna är betydligt lägre.

Här är det lämpligt att påminna om ett av dokumenten som utarbetats av US National Institute of Standards and Technology (NIST), nämligen "Guideline on Network Security Testing". Där står det att vid säkerhetsövervakning av datorsystem rekommenderas att man använder minst två säkerhetsskannrar.

Det finns faktiskt inget oväntat eller överraskande i det erhållna resultatet. Det är ingen hemlighet att XSpider (MaxPatrol) och Nessus skannrar är populära bland både säkerhetsspecialister och hackare. Detta bekräftas av ovanstående undersökningsresultat. Låt oss försöka analysera orsakerna till MaxPatrols uppenbara ledarskap (detta gäller delvis för Nessus-skannern), såväl som orsakerna till "förlusten" av andra skannrar. Först och främst är detta en högkvalitativ identifiering av tjänster och applikationer. Slutledningsbaserade tester (och det fanns en hel del av dem i det här fallet) är starkt beroende av noggrannheten i informationsinsamlingen. Och identifieringen av tjänster och applikationer i MaxPatrol-skannern är nästan perfekt. Här är ett illustrativt exempel.
Det andra skälet till framgången med MaxPatrol är databasens fullständighet och dess lämplighet för den aktuella uppgiften och i allmänhet till "idag". Baserat på resultaten märks det att databasen med kontroller i MaxPatrol har utökats och detaljerats avsevärt, den har "ställts i ordning", medan den uppenbara "bias" mot webbapplikationer kompenseras av utbyggnaden av kontroller inom andra områden , till exempel var resultaten av att skanna routern som presenterades i jämförelsen imponerande Cisco.

Det tredje skälet är en kvalitativ analys av applikationsversioner, med hänsyn till operativsystem, distributioner och olika "grenar". Du kan också lägga till användningen av olika källor (sårbarhetsdatabaser, meddelanden och leverantörsbulletiner).

Slutligen kan vi också tillägga att MaxPatrol har ett mycket bekvämt och logiskt gränssnitt som återspeglar huvudstadierna i arbetet med nätverkssäkerhetsskannrar. Och detta är viktigt. Kombinationen av "nod, tjänst, sårbarhet" är mycket lätt att förstå (Redaktörens anmärkning: detta är den subjektiva åsikten från författaren till jämförelsen). Och speciellt för denna uppgift.

Nu om bristerna och "svaga" punkter. Eftersom MaxPatrol visade sig vara ledande i jämförelse, kommer kritiken som riktas mot den att vara "maximal".

För det första, det så kallade "förlora i små saker". Med en motor av mycket hög kvalitet är det viktigt att erbjuda motsvarande tilläggstjänster, till exempel bekväma verktyg som låter dig göra något manuellt, verktyg för att söka efter sårbarheter och möjligheten att "finjustera" systemet. MaxPatrol fortsätter XSpider-traditionen och är maximalt fokuserad på "klick och det fungerar"-ideologin. Å ena sidan är detta inte dåligt, å andra sidan begränsar det den "noggliga" analytikern.

För det andra förblev vissa tjänster "avtäckta" (du kan bedöma detta utifrån resultaten av denna jämförelse), till exempel IKE (port 500).

För det tredje saknas det i vissa fall en grundläggande jämförelse av resultaten av två kontroller med varandra, till exempel som i fallet med SSH som beskrivs ovan. Det vill säga att det inte finns några slutsatser baserat på resultaten av flera kontroller. Till exempel klassificerades host4:s operativsystem som Windows, och PPTP-tjänsten "leverantör" klassificerades som Linux. Kan vi dra slutsatser? Ange till exempel i rapporten i definitionsområdet för operativsystemet att detta är en "hybrid" nod.

För det fjärde lämnar beskrivningen av kontrollerna mycket övrigt att önska. Men här bör det förstås att MaxPatrol är i ojämlika förhållanden med andra skannrar: högkvalitativ översättning till ryska av alla beskrivningar är en mycket arbetskrävande uppgift.

Nessus-skannern visade generellt sett goda resultat, och på ett antal punkter var den mer exakt än MaxPatrol-skannern. Den främsta anledningen till att Nessus släpar efter är utelämnandet av sårbarheter, men inte på grund av bristen på kontroller i databasen, som de flesta andra skannrar, utan på grund av implementeringsfunktioner. För det första (och detta är orsaken till en betydande del av luckorna) har det funnits en utvecklingstrend i Nessus-skannern mot "lokal" eller systemkontroller, som kräver anslutning till ett konto. För det andra tar Nessus-skannern hänsyn till färre (jämfört med MaxPatrol) informationskällor om sårbarheter. Detta påminner något om SSS-skannern, till stor del baserad på SecurityFocus.

5. Begränsningar för denna jämförelse

Under jämförelsen studerades skannrarnas kapacitet i samband med endast en uppgift - testning av nätverks perimeternoder för motstånd mot hackning. Till exempel, om vi ritar en bilanalogi, såg vi hur olika bilar beter sig, säg, på en halt väg. Det finns dock andra uppgifter, vars lösning med samma skannrar kan se helt annorlunda ut. Inom en snar framtid är det planerat att jämföra skannrar samtidigt som man löser sådana problem som:

• Genomföra systemrevisioner med hjälp av konto
• PCI DSS Compliance Assessment
• Skanna Windows-system

Dessutom är det planerat att jämföra skannrar med hjälp av formella kriterier.

Under denna jämförelse testades bara själva "motorn", eller i moderna termer, skannerns "hjärna". Möjligheterna när det gäller tilläggstjänster (rapporter, inspelning av information om skanningens framsteg etc.) utvärderades eller jämfördes inte på något sätt.

Dessutom bedömdes inte graden av fara och förmågan att utnyttja de hittade sårbarheterna. Vissa skannrar begränsade sig till "mindre" lågrisksårbarheter, medan andra identifierade verkligt kritiska sårbarheter som tillåter åtkomst till systemet.

Säkerhetsskanner: upptäcker nätverkssårbarheter, hanterar uppdateringar och patchar, åtgärdar automatiskt problem, granskar mjukvara och hårdvara. GFI Nätverkssäkerhet">Nätverkssäkerhet 2080

Nätverkssäkerhetsskanner och centraliserad uppdateringshantering

GFI LanGuard arbetar som virtuell säkerhetskonsult:

— Hanterar uppdateringar för Windows®, Mac OS® och Linux®

— Upptäcker sårbarheter på datorer och Mobil enheter

— Genomför revisioner nätverksenheter och mjukvara

GFI Languard är en säkerhetsskanner för nätverk av alla storlekar: nätverksport och sårbarhetsskanner, säkerhetsskanner, hittar hål i nätverket automatiskt

GFI Languard är en säkerhetsskanner för nätverk av alla storlekar: nätverksport och sårbarhetsskanner, säkerhetsskanner, hittar hål i nätverket automatiskt

Vad är GFI LanGuard

Mer än en sårbarhetsskanner!

GFI LanGuard är en nätverkssäkerhetsskanner: upptäcker, identifierar och åtgärdar nätverkssårbarheter. Fullständiga portskanningar, tillgång till nödvändiga programuppdateringar för att skydda ditt nätverk och granskning av mjukvara och hårdvara är alla möjliga från en enda kontrollpanel.

Portskanner

Flera förberedda skanningsprofiler låter dig utföra en fullständig genomsökning av alla portar, samt snabbt kontrollera endast de som vanligtvis används av oönskad och skadlig programvara. GFI LanGuard skannar flera värdar samtidigt, vilket avsevärt minskar den nödvändiga tiden, och jämför sedan programvaran som finns på upptagna portar med den förväntade.

Uppdateringar och patchar

Före installation senaste uppdateringarna dina noder är helt oskyddade, eftersom det är de senaste sårbarheterna som täcks av aktuella patchar och uppdateringar som används av hackare för att penetrera ditt nätverk. Till skillnad från verktyg som är inbyggda i operativsystemet kommer GFI LanGuard att kontrollera inte bara själva operativsystemet, utan också populär programvara vars sårbarheter vanligtvis används för hackning: Adobe Acrobat/Reader, Flash spelare, Skype, Outlook, webbläsare, snabbmeddelanden.

Nodrevision

GFI LanGuard kommer att förbereda dig detaljerad lista installerad mjukvara och hårdvara på varje dator, kommer att upptäcka förbjudna eller saknade program, såväl som onödiga anslutna enheter. Resultaten av flera skanningar kan jämföras för att identifiera förändringar i programvara och hårdvara.

Senaste hotunderrättelser

Varje skanning utförs efter uppdatering av data om sårbarheter, vars antal i GFI LanGuard-databasen redan har överskridit 50 000. Hotinformation tillhandahålls av mjukvaruleverantörerna själva, såväl som betrodda SANS- och OVAL-listor, så att du alltid är skyddad från de senaste hoten, inklusive hjärtblod, hemlig, shellshock, pudel, sandmask och mer.

Automatisk korrigering

När du får en detaljerad skanningsrapport med en beskrivning av varje sårbarhet och länkar till Vidare läsning, du kan fixa de flesta hot med ett klick på knappen "Åtgärda": portar kommer att stängas, registernycklar kommer att korrigeras, patchar kommer att installeras, programvara kommer att uppdateras, förbjudna program kommer att tas bort och saknade program kommer att installeras.