Ağları güvenlik açıklarına karşı taramaya yönelik programlar. Ağ güvenliği tarayıcılarının karşılaştırılması. Ağ güvenlik açığı tarayıcılarının karşılaştırılması

ZAYIFLIK TARAYICILARININ İNCELENMESİ VE KARŞILAŞTIRILMASI

Rozhkova Ekaterina Olegovna

4. sınıf öğrencisi, Gemi Otomasyonu ve Ölçümleri Bölümü, St. Petersburg Devlet Tıp Üniversitesi, Rusya Federasyonu, St. Petersburg

e- posta: rina1242. ro@ gmail. iletişim

Ilyin Ivan Valerievich

Güvenli Bilgi Teknolojileri Bölümü 4. sınıf öğrencisi

St. Petersburg Ulusal Araştırma Üniversitesi ITMO, Rusya Federasyonu, St. Petersburg

e- posta: vanilin. evet@ gmail. iletişim

Galushin Sergey Yakovlevich

bilimsel danışman, Ph.D. teknoloji. Bilimler Rektör Yardımcısı bilimsel çalışma, Rusya Federasyonu, St. Petersburg

Yüksek düzeyde güvenlik için, yalnızca güvenlik duvarlarını kullanmak değil, aynı zamanda güvenlik açıklarını tespit etmek için örneğin güvenlik açığı tarayıcılarını kullanarak periyodik olarak önlemler almak gerekir. Sistemdeki zayıflıkların zamanında belirlenmesi, verilere yetkisiz erişimi ve manipülasyonu önleyecektir. Peki belirli bir sistemin ihtiyaçlarına en uygun tarayıcı seçeneği hangisidir? Bu soruyu cevaplamak için öncelikle bilgisayarınızın veya ağınızın güvenlik sistemindeki kusurları belirlemeniz gerekir. İstatistiklere göre saldırıların çoğu bilinen ve yayınlanmış güvenlik açıkları yoluyla gerçekleşiyor ve bunlar zaman, personel eksikliği veya sistem yöneticisinin beceriksizliği gibi birçok nedenden dolayı ortadan kaldırılamıyor. Ayrıca, kötü niyetli bir kişinin bir sisteme genellikle birkaç yoldan girebileceğini ve bir yöntem işe yaramazsa davetsiz misafirin her zaman başka bir yöntemi deneyebileceğini de anlamalısınız. Maksimum düzeyde sistem güvenliğinin sağlanması, kapsamlı bir risk analizini ve daha doğru tahminlerde bulunmak için net bir tehdit modelinin daha da geliştirilmesini gerektirir. olası eylemler varsayımsal suçlu.

En yaygın güvenlik açıkları arabellek taşmalarını, yönlendiricinin veya güvenlik duvarının yapılandırmasındaki olası hataları, Web sunucusunun, posta sunucularının, DNS sunucularının, veritabanlarının güvenlik açıklarını içerir. Ayrıca en hassas alanlardan birini de göz ardı etmeyin bilgi Güvenliği- kullanıcı ve dosya yönetimi, çünkü minimum ayrıcalıklarla kullanıcının erişim düzeyinin sağlanması, kullanıcı deneyimi ile sistem güvenliğinin sağlanması arasında bir uzlaşma gerektiren özel bir görevdir. Boş veya zayıf şifreler, varsayılan hesaplar ve genel bilgi sızıntısı sorunundan bahsetmek gerekir.

Güvenlik tarayıcısı yazılım aracı uzaktan veya yerel teşhis için çeşitli unsurlar ağlardaki çeşitli güvenlik açıklarını belirlemek için; uzmanların çalışma süresini önemli ölçüde azaltabilir ve güvenlik açıklarının araştırılmasını kolaylaştırabilirler.

Güvenlik Tarayıcıları İncelemesi

Bu çalışmada, yazılımın sınırlı bir yeteneklerini tanımanıza ve arayüzün basitlik derecesini değerlendirmenize olanak tanıyan ücretsiz deneme sürümüne sahip tarayıcılar incelendi. İnceleme konusu olarak şu popüler güvenlik açığı tarayıcıları seçildi: Nessus, GFI LANguard, Retina, Shadow güvenlik tarayıcısı, Internet Tarayıcı.

Nessos

Nessus, bilinen güvenlik kusurlarını otomatik olarak arayan bir programdır bilgi sistemi. Hizmetlerin veya etki alanlarının güvenlik açığı bulunan sürümlerinin varlığı, yapılandırma hataları (SMTP sunucusunda yetkilendirmeye gerek yoktur), varsayılan parolaların varlığı, boş veya zayıf parolalar gibi en yaygın güvenlik açığı türlerini tespit edebilir.

Nessus tarayıcı, işletim sistemleri, güvenlik duvarları, filtreleme yönlendiricileri ve diğer ağ bileşenleri tarafından sunulan ağ hizmetlerindeki güvenlik açıklarını aramanıza olanak tanıyan, ağ tarayıcıları ailesine ait güçlü ve güvenilir bir araçtır. Güvenlik açıklarını aramak için şu şekilde kullanılırlar: standart araçlar Ağın yapılandırması ve işleyişi hakkında bilgi test etmek ve toplamak ve özel araçlar ağa bağlı sistemlere sızmak için bir saldırganın eylemlerini taklit eder.

Program, kendi doğrulama prosedürlerinizi veya şablonlarınızı bağlama yeteneğine sahiptir. Bu amaçla tarayıcı, NASL (Nessus Attack Scripting Language) adı verilen özel bir kodlama dili sağlar. Güvenlik açığı veritabanı sürekli büyüyor ve güncelleniyor. Kayıtlı kullanıcılar tüm güncellemeleri hemen alırken, diğerleri (deneme sürümleri vb.) biraz gecikme alır.

GFILanGuard

GFI LanGuard Ağ Güvenliği Tarayıcısı (N.S.S), sizi korumak için üç temel bileşeni kullanan ödüllü bir çözümdür: güvenlik tarayıcısı, yama yönetimi ve tek bir birleşik konsoldan ağ kontrolü. Tüm ağı tarayarak her şeyi belirler olası sorunlar güvenlik ve kapsamlı kullanımıyla işlevsellik raporlama, her türlü tehdidi tespit etmek, değerlendirmek, tanımlamak ve ortadan kaldırmak için gerekli araçları sağlar.

Güvenlik inceleme süreci 15.000'den fazla güvenlik açığı değerlendirmesi üretir ve ağları IP adresi bazında inceler. GFI LanGuard N.S.S. tüm ortamlarda çoklu platform taraması (Windows, Mac OS, Linux) gerçekleştirme yeteneği sağlar ve her veri kaynağı için ağ durumunu analiz eder. Bu, bilgisayar korsanları yola çıkmadan önce her türlü tehdidin tespit edilip ortadan kaldırılmasını sağlar.

GFI LanGuard N.S.S. OVAL (2.000'den fazla değer) ve SANS Top 20 gibi standartlar dahil olmak üzere eksiksiz ve kapsamlı bir güvenlik açığı değerlendirme veritabanıyla birlikte gelir. Bu veritabanı, BugTraq, SANS Corporation, OVAL, CVE vb. kaynaklardan alınan bilgilerle düzenli olarak güncellenir. GFI LanGuard otomatik sayesinde güncelleme sistemi N.S.S. her zaman Microsoft güvenlik güncellemeleriyle ilgili en son bilgilerin yanı sıra GFI ve OVAL veritabanı gibi diğer bilgi depolarından gelen bilgileri içerir.

GFI LanGuard N.S.S. bilgisayarları tarar, güvenlik açıklarını belirler ve sınıflandırır, eylemler önerir ve sorunları çözmeye yönelik araçlar sağlar. GFI LANguard N.S.S. ayrıca taranan bir bilgisayarın veya bilgisayar grubunun güvenlik açığı durumuna ilişkin sezgisel ve dengeli bir değerlendirme sağlayan grafiksel bir tehdit düzeyi göstergesi de kullanır. Mümkünse bir bağlantı sağlanır veya Ek Bilgiler BugTraq Kimliği veya Microsoft Bilgi Bankası'ndaki bir tanımlayıcı gibi belirli bir sorun için.

GFI LanGuard N.S.S. bir sihirbaz kullanarak kendi güvenlik açığı kontrol planlarınızı kolayca oluşturmanıza olanak tanır. VBScript komut dosyası motorunu kullanarak GFI LanGuard N.S.S. için karmaşık güvenlik açığı kontrolleri de yazabilirsiniz. GFI LanGuard N.S.S. bir komut dosyası düzenleyicisi ve hata ayıklayıcı içerir.

Retina

BeyondTrust'un ağ güvenlik açığı tarayıcısı olan Retina Ağ Güvenliği Tarayıcısı, bilinen ağ güvenlik açıklarını tespit eder ve çözüm için tehditlere öncelik verir. Kullanım sırasında yazılım ürünü tüm bilgisayarlar, cihazlar, işletim sistemleri, uygulamalar ve kablosuz ağlar tanımlanır.

Kullanıcılar ayrıca bilgi güvenliği risklerini değerlendirmek, proje risklerini yönetmek ve kurumsal politika denetimleri aracılığıyla standart gereksinimlerini karşılamak için Retina'yı kullanabilir. Bu tarayıcı, güvenlik açığı kodunu çalıştırmaz, dolayısıyla tarama, ağın ve analiz edilen sistemlerin işlevsellik kaybına yol açmaz. Tescilli Uyarlanabilir Hız tarama teknolojisini kullanma yerel ağ C Sınıfı yaklaşık 15 dakika sürecektir; bu, yüksek hızlı, güvenli bir ağ tarama teknolojisi olan Adaptive Speed ​​​​tarafından kolaylaştırılmıştır. Ayrıca esnek tarama alanı ayarları, sistem yöneticisi Komşu ağların çalışmasını etkilemeden tüm ağın veya belirli bir bölümün güvenliğini analiz edin. Olay otomatik güncelleme veritabanının yerel kopyaları olduğundan ağ analizi her zaman en güncel verilere göre gerçekleştirilir. Yanlış pozitiflik oranı %1'den azdır ve sistem kayıt defterine esnek erişim kontrolü mevcuttur.

Gölgegüvenliktarayıcı (SSS)

Bu tarayıcı hem bilinen hem de bilinmeyenleri (yayınlandığı tarihte) güvenilir bir şekilde tespit etmek için kullanılabilir. Yeni sürümürün) güvenlik açıkları. Bir sistemi tararken SSS, güvenlik açıklarını aramak da dahil olmak üzere verileri analiz eder ve sunucu yapılandırmasındaki olası hataları belirtir. Ayrıca tarayıcı, bu sorunları çözmenin ve sistemdeki güvenlik açıklarını düzeltmenin olası yollarını da önerir.

Bir arka kapı teknolojisi olarak sistem, üreticinin kendi geliştirdiği Shadow Security Scanner'ın çekirdeğini kullanır. Windows işletim sistemi üzerinde çalışırken SSS'nin platformlarına bakılmaksızın sunucuları tarayacağı belirtilebilir. Platform örnekleri arasında Unix platformları (Linux, FreeBSD, OpenBSD, Net BSD, Solaris), Windows platformları (95/98/ME/NT/2000/XP/.NET/Win 7 ve 8) yer alır. Shadow Security Scanner ayrıca CISCO, HP ve diğerlerine ait ekipmanlardaki hataları da tespit edebilir. Bu tarayıcı yerli geliştiriciler tarafından oluşturuldu ve buna göre bir Rus arayüzünün yanı sıra dokümantasyon ve sıcak destek hattına da sahip.

internetTarayıcı

Bu tarayıcı, güvenlik açıklarının otomatik olarak algılanmasını ve analizini sağlar. Şirket ağı. Tarayıcının yetenekleri arasında ağ hizmetleri, işletim sistemleri, yönlendiriciler, posta ve web sunucuları, güvenlik duvarları ve uygulama yazılımındaki güvenlik açıklarının daha sonra tanımlanması için bir dizi kontrolün uygulanması yer alır. Internet Tarayıcısı, ağ ekipmanının yanlış yapılandırılması, güncel olmayan yazılımlar, kullanılmayan ağ hizmetleri, zayıf parolalar vb. içerebilecek 1.450'den fazla güvenlik açığını tespit edebilir ve tanımlayabilir. FTP, LDAP ve SNMP protokollerini kontrol etmek, e-postaları kontrol etmek, RPC, NFS, NIS ve DNS'yi kontrol etmek, "hizmet reddi", "şifre tahmin etme" gibi saldırı olasılığını kontrol etmek, Web sunucularının kontrolleri, CGI komut dosyaları, Web tarayıcıları ve X terminalleri. Ayrıca güvenlik duvarlarını, proxy sunucularını, hizmetleri kontrol etmek mümkündür. uzaktan erişim, dosya sistemi, güvenlik alt sistemi ve denetim alt sistemi, sistem kayıt defteri ve yüklü güncellemeler Windows işletim sistemi vb. İnternet Tarayıcısı, ağın belirli bir alanındaki tek bir güvenlik açığının varlığını analiz etmenize olanak tanır; örneğin, belirli bir yamanın kurulumunu kontrol etmek işletim sistemi. İnternet Tarayıcısı üzerinde çalışabilir Windows Server NT, aynı zamanda AIX, HP-UX, Linux ve Solaris işletim sistemlerini de desteklemektedir.

Karşılaştırma kriterlerini seçmeden önce, kriterlerin güvenlik tarayıcılarının kullanımının bilgi toplama yöntemlerinden maliyete kadar tüm yönlerini kapsaması gerektiği vurgulanmalıdır. Bir güvenlik tarayıcısının kullanılması, dağıtım planlaması ve dağıtımın kendisiyle başlar. Bu nedenle ilk kriter grubu, güvenlik tarayıcılarının mimarisi, bileşenlerinin etkileşimi, kurulumu ve yönetimi ile ilgilidir. Bir sonraki kriter grubu - tarama - karşılaştırılan tarayıcılar tarafından listelenen eylemleri gerçekleştirmek için kullanılan yöntemlerin yanı sıra yazılım ürününün belirtilen aşamalarıyla ilişkili diğer parametreleri de kapsamalıdır. Önemli kriterler arasında tarama sonuçları, özellikle bunların nasıl saklandığı ve bunlara dayalı olarak hangi raporların oluşturulabileceği de yer alır. Odaklanmanız gereken bir sonraki kriter, güncelleme yöntemleri ve yöntemleri, seviye gibi konuları netleştirmenize olanak tanıyan güncelleme ve destek kriterleridir. teknik Destek, yetkili eğitimin mevcudiyeti vb. Son grup, tek fakat çok önemli bir kriter içerir: maliyet.

· Desteklenen sistemler;

· Dostu arayüz;

· Tarama yetenekleri (tarama profilleri);

· Profilleri kişiselleştirme yeteneği (ne kadar esnek);

· Hizmetlerin ve uygulamaların tanımlanması;

· Güvenlik açıklarının belirlenmesi;

· Rapor oluşturma (formatlar);

· Özel bir rapor (kendi raporunuz) oluşturma yeteneği;

· Güncelleme sıklığı;

· Teknik Destek.

Tablo 1. Güvenlik açığı tarayıcılarının karşılaştırılması
Tarayıcı		GFI Lvekoru
Fiyat	131.400 RUB/yıl	1610 ovmak. bir IP adresi için. Ne kadar çok IP adresi olursa maliyet o kadar düşük olur		Maliyet IP adresi sayısına bağlı olarak değişir 64 IP için 30.000 rubleden 512 IP için 102.000 rubleye	Maliyet, IP adreslerinin sayısına bağlı olarak değişir (nominal değer - 6000 ruble)
Destek yaşam sistemleri	özel yazılım	Windows, MacOS, Linux	Cisco, Linux, UNIX, Windows	Unix, Linux, FreeBSD, OpenBSD, Net BSD, Solaris, Windows 95/98/ME/NT/2000/XP/.NET	Windows, AIX, HP-UX, Linux ve Solaris
Dostluk Araya girmek yüz	Basit ve sezgisel arayüz	Basit ve sezgisel arayüz	Arayüzü temizle	Dostu ve net arayüz	Arayüzü temizle
Olası varlık telkari fitil	Esnek ayar sistemi, tarama türü ve parametreleri farklılık gösterir, anonim tarama mümkündür. Olası seçenekler taramalar: SYN taraması, FIN taraması – salt FIN isteği; Noel Ağacı - isteğe FIN, URG, PUSH dahildir; Boş tarama, FTP geri dönüş taraması, Kimlik taraması, UDP taraması vb. Özel bir komut dosyası dili olan NASL (Nessus Attack Komut Dosyası Dili) sağlanan kendi doğrulama prosedürlerinizi bağlamak da mümkündür. Tarayıcı, ağın yapılandırması ve işleyişi hakkında test etmek ve bilgi toplamak için hem standart araçları hem de potansiyel bir davetsiz misafirin sistemlere sızma eylemlerini taklit eden özel araçları kullanır.	TCP/IP ve UDP portları taranıyor İşletim sistemi, sanal ortamlar ve uygulamalar, mobil cihazlar kontrol ediliyor; OVAL ve SANS Top 20 veritabanları kullanılmaktadır.	Güvenlik açıkları bir sızma testi kullanılarak tespit edilir, riskler değerlendirilir ve kötüye kullanım olasılığının değerlendirilmesine dayalı olarak bunların hafifletilme öncelikleri belirlenir. Güvenlik açıkları (Core Impact®, Metasploit®, Exploit-db'den), CVSS ve diğer faktörler.	FTP, SSH, Telnet, SMTP, DNS, Finger, HTTP, POP3, IMAP, NetBios, NFS, NNTP, SNMP, Squid (SSS, proxy sunucularını denetimler için kontrol eden dünyadaki tek tarayıcıdır; diğer tarayıcılar yalnızca LDAP (dünyada LDAP sunucularını denetimler için kontrol eden tek tarayıcı - diğer tarayıcılar yalnızca bir bağlantı noktasının varlığını belirler), HTTPS, SSL, TCP/IP, UDP, Kayıt Defteri vb. Kendi raporlarınızı kolayca oluşturun.	FTP, LDAP ve SNMP kontrolleri; e-postaları kontrol etmek; RPC, NFS, NIS ve DNS kontrolleri; hizmet reddi saldırıları olasılığının kontrol edilmesi; “şifre tahmin etme” saldırılarının (Kaba Kuvvet) varlığını kontrol eder; web sunucularını ve CGI komut dosyalarını, web tarayıcılarını ve X terminallerini kontrol etmek; güvenlik duvarlarını ve proxy sunucularını kontrol etmek; uzaktan erişim hizmetlerinin kontrol edilmesi; Windows işletim sistemi dosya sistemi kontrolleri; Windows işletim sisteminin güvenlik alt sisteminin ve denetim alt sisteminin kontrol edilmesi; sistem kayıt defterini ve yüklü Windows işletim sistemi güncellemelerini kontrol etmek; ağdaki modemlerin varlığının ve Truva atlarının varlığının kontrol edilmesi; hizmetleri ve arka plan programlarını kontrol etmek; hesap kontrolleri.
Tanımlamak hizmet ve uygulamaların kurgulanması damatlar	Hizmetleri ve uygulamaları belirleme prosedürünün yüksek kalitede uygulanması.	Yetkisiz/kötü amaçlı yazılımların tespiti ve yüksek güvenlik açığına sahip uygulamaların kara listeye alınması.	İşletim sisteminin, uygulamaların, veritabanlarının, web uygulamalarının tespiti.	Hangi hizmetlerin onları dinlediğini belirlemek için her bağlantı noktasını kontrol eder. İşletim sistemini, uygulamaları, veritabanlarını, web uygulamalarını algılar.	Ağ hizmetlerinin, işletim sistemlerinin, yönlendiricilerin, posta ve Web sunucularının, güvenlik duvarlarının ve uygulama yazılımlarının güvenlik açıklarını tanımlar.
Rapor oluşturma	Raporları nessus (xml), pdf, html, csv, nessus DB formatlarında kaydedebilme	Yönetim için ağ kullanım trend raporlarından, teknik personel için detaylı raporlara kadar çeşitli raporlar oluşturabilme. Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA), Kamu Hizmetleri Ağı - Bağlantı Kodu (PSN CoCo), Sarbanes - Oxley Yasası (SOX), Gramm - Leach - Bliley Yasası (GLB/) standartlarına uyum konusunda raporlar oluşturmak mümkündür. GLBA), Ödeme Kartı Endüstrisi Dijital Güvenlik Standardı (PCI-DSS) olarak da bilinir.	En geniş raporlama yeteneklerinden biri olan rapor oluşturma araçları vardır.	Raporu hem html formatında hem de xml, pdf, rtf, chm formatlarında kaydetme özelliğine sahiptir. Bir raporun oluşturulması süreci, görüntülenmesi gereken bilgilerin seçilmesi şeklinde gerçekleşir. Rapor oluşturma yeteneği yalnızca tam sürümde mevcuttur.	Kolayca çeşitli rapor biçimleri oluşturmanıza ve bunları özelliklerine göre sıralamanıza olanak tanıyan güçlü bir rapor oluşturma alt sistemi.
Olası üretim kapasitesi ücretsiz rapor	Evet, yalnızca tam sürümde.			Evet, yalnızca tam sürümde.
Güncelleme sıklığı Lenya	Düzenli güncellemeler, ancak deneme sürümünün kullanıcıları en son güncellemeleri alamıyor.	Sık güncellemeler	Sık güncellemeler	Düzenli güncellemeler	Düzenli güncellemeler
Teknik teknik Destek	Sunmak		Sunmak	Mevcut, Rusça olarak mevcut.	Sunmak

Çalışma, seçilen kriterlere göre karşılaştırılan 5 güvenlik açığı tarayıcısını inceledi.

Verimlilik açısından Nessus tarayıcı, bir bilgisayar sisteminin güvenliğini analiz etmek için en eksiksiz yeteneklere sahip olduğundan lider olarak seçildi. Ancak diğer tarayıcılarla karşılaştırıldığında nispeten pahalıdır: IP adresiniz az sayıdaysa GFI LanGuard veya SSS'yi seçmeniz daha akıllıca olacaktır.

Kaynakça:

1. Dolgin A.A., Khorev P.B., Bir güvenlik açığı tarayıcısının geliştirilmesi bilgisayar sistemleri Windows işletim sisteminin korumalı sürümlerine dayalı, uluslararası bilimsel ve teknik konferansın bildirileri " Bilgi medyası ve teknolojiler", 2005.
2. Güvenlikle ilgili bilgi portalı [Elektronik kaynak] - Erişim modu. - URL: http://www.securitylab.ru/ (erişim tarihi 27.03.2015).
3. Çevrimiçi dergi Softkey.info [Elektronik kaynak] - Erişim modu. - URL: http://www.softkey.info/ (erişim tarihi 27.03.15).
4. "GFI Yazılımı"nın resmi web sitesi. [Elektronik kaynak] - Erişim modu. - URL: http://www.gfi.ru/ (erişim tarihi 27.03.15).
5. "Güvenin Ötesinde" resmi web sitesi. [Elektronik kaynak] - Erişim modu. - URL: http://www.beyondtrust.com/Products/RetinaNetworkSecurityScanner/ (27.03.2015'te erişildi).
6. IBM'in resmi web sitesi [Elektronik kaynak] - Erişim modu. - URL: http://www.ibm.com/ (erişim tarihi: 27.03.15).
7. Resmi web sitesi Tenable Network Security [Elektronik kaynak] - Erişim modu. - URL: http://www.tenable.com/products/nessus-vulnerability-scanner/ (erişim tarihi: 27.03.2015).
8. Resmi web sitesi "güvenlik laboratuvarı." [Elektronik kaynak] - Erişim modu. - URL: http://www.safety-lab.com/ (erişim tarihi: 27.03.15).
9. Bilgi güvenliğine yönelik IBM çözümleri [Elektronik kaynak] - Erişim modu. - URL: http://www.ibm.com/ru/services/iss/pdf/ISS_2009_DB_s10.pdf (erişim tarihi: 27.03.2015).
10. Khorev P.B., Bilgisayar sistemlerinde bilgileri koruma yöntemleri ve araçları, M., Yayın Merkezi "Akademi", 2005.

Gördüğünüz gibi bunlardan çok sayıda var ve hepsi de onlara maruz kalan sistemler için çok tehlikeli. Kendinizi yeni güvenlik açıklarından korumak için yalnızca sisteminizi zamanında güncellemeniz değil, aynı zamanda sisteminizin bilgisayar korsanlarının yararlanabileceği uzun zaman önce düzeltilmiş güvenlik açıklarını içermediğinden emin olmak da önemlidir.

Linux güvenlik açığı tarayıcılarının kurtarmaya geldiği yer burasıdır. Güvenlik açığı analiz araçları her şirketin güvenlik sisteminin en önemli bileşenlerinden biridir. Uygulamaları ve sistemleri eski güvenlik açıklarına karşı kontrol etmek zorunlu bir uygulamadır. Bu yazıda bakacağız en iyi tarayıcılar güvenlik açıkları, açık kaynak kodu Sistemlerinizdeki ve programlarınızdaki güvenlik açıklarını tespit etmek için kullanabileceğiniz. Hepsi tamamen ücretsizdir ve şu şekilde kullanılabilir: sıradan kullanıcılar ve kurumsal sektörde.

OpenVAS veya Açık Güvenlik Açığı Değerlendirme Sistemi, açık kaynak olarak dağıtılan güvenlik açıklarını aramak için eksiksiz bir platformdur. Program Nessus tarayıcı kaynak kodunu temel almaktadır. Başlangıçta bu tarayıcı açık kaynak olarak dağıtıldı, ancak daha sonra geliştiriciler kodu kapatmaya karar verdi ve ardından 2005 yılında Nessus'un açık sürümüne dayalı olarak OpenVAS oluşturuldu.

Program sunucu ve istemci kısmından oluşmaktadır. Tarama sistemlerinin ana işini gerçekleştiren sunucu yalnızca Linux'ta çalışır ve istemci programları da Windows'u destekler; sunucuya bir web arayüzü üzerinden erişilebilir.

Tarayıcı çekirdeği 36.000'den fazla farklı güvenlik açığı kontrolü içerir ve yeni keşfedilenlerin eklenmesiyle her gün güncellenir. Program, çalışan hizmetlerdeki güvenlik açıklarını tespit edebilir ve ayrıca kimlik doğrulama eksikliği veya çok zayıf şifreler gibi yanlış ayarları da arayabilir.

2. Nexpose Topluluk Sürümü

Bu, Metasploit'i piyasaya süren aynı şirket olan Rapid7 tarafından geliştirilen başka bir açık kaynaklı Linux güvenlik açığı tarama aracıdır. Tarayıcı, 68.000'e kadar bilinen güvenlik açığını tespit edebilir ve 160.000'den fazla ağ taraması gerçekleştirebilir.

Comunity sürümü tamamen ücretsizdir ancak 32 IP adresine kadar ve yalnızca bir kullanıcıyı aynı anda tarama sınırlaması vardır. Ayrıca lisansın her yıl yenilenmesi gerekiyor. Web uygulaması taraması yoktur, ancak güvenlik açığı veritabanının otomatik olarak güncellenmesini ve Microsoft Patch'ten güvenlik açıkları hakkında bilgi alınmasını destekler.

Program sadece Linux'a değil Windows'a da kurulabiliyor ve yönetim web arayüzü üzerinden yapılıyor. Bunu kullanarak tarama parametrelerini, IP adreslerini ve diğer gerekli bilgileri ayarlayabilirsiniz.

Tarama tamamlandığında, güvenlik açıklarının bir listesinin yanı sıra sunucuda yüklü yazılım ve işletim sistemi hakkında bilgiler göreceksiniz. Ayrıca raporlar oluşturabilir ve dışa aktarabilirsiniz.

3. Burp Suite Ücretsiz Sürümü

Burp Suite, Java ile yazılmış bir web güvenlik açığı tarayıcısıdır. Program bir proxy sunucusundan, bir örümcekten, istek oluşturma ve stres testleri gerçekleştirmeye yönelik bir araçtan oluşur.

İLE Burp kullanarak web uygulaması testi yapabilirsiniz. Örneğin, bir proxy sunucusu kullanarak, geçen trafiği yakalayabilir ve görüntüleyebilir, ayrıca gerekirse değiştirebilirsiniz. Bu, birçok durumu simüle etmenize olanak tanır. Örümcek, web'deki güvenlik açıklarını bulmanıza, sorgu oluşturma aracı ise web sunucusunun gücünü bulmanıza yardımcı olacaktır.

4. Arachni

Arachni, Ruby ile yazılmış, açık kaynaklı, tam özellikli bir web uygulaması test çerçevesidir. Çeşitli sızma testleri gerçekleştirerek web uygulamalarının ve sitelerin güvenliğini değerlendirmenizi sağlar.

Program, kimlik doğrulama ile taramayı, başlıkları özelleştirmeyi, Aser-Agent sahtekarlığı desteğini, 404 algılama desteğini destekler. Ayrıca programın bir web arayüzü ve bir komut satırı arayüzü vardır, tarama duraklatılabilir ve ardından devam ettirilebilir ve genel olarak her şey çalışır. çok çabuk .

5. OWASP Zed Saldırı Proxy'si (ZAP)

OWASP Zed Attack Proxy, web uygulamalarındaki güvenlik açıklarını bulmaya yönelik başka bir kapsamlı araçtır. Bu tür programların tüm standart özellikleri desteklenir. Bağlantı noktalarını tarayabilir, site yapısını kontrol edebilir, bilinen birçok güvenlik açığını arayabilir ve tekrarlanan isteklerin veya yanlış verilerin doğru şekilde işlenip işlenmediğini kontrol edebilirsiniz.

Program https üzerinden çalışabildiği gibi çeşitli proxy’leri de desteklemektedir. Program Java ile yazıldığı için kurulumu ve kullanımı oldukça kolaydır. Temel özelliklere ek olarak işlevselliği büyük ölçüde artırabilecek çok sayıda eklenti bulunmaktadır.

6. Clair

Clair, konteynerlerdeki Linux açıklarını bulmaya yönelik bir araçtır. Program, konteynerler için tehlikeli olabilecek güvenlik açıklarının bir listesini içerir ve sisteminizde bu tür güvenlik açıkları tespit edilirse kullanıcıyı uyarır. Program ayrıca, konteynerleri güvensiz hale getirebilecek yeni güvenlik açıklarının ortaya çıkması durumunda da bildirim gönderebilir.

Her konteyner bir kez kontrol edilir ve kontrol etmek için başlatılmasına gerek yoktur. Program, gerekli tüm verileri devre dışı bırakılmış bir kaptan alabilir. Bu veriler gelecekte güvenlik açıkları hakkında bildirimde bulunabilmek için bir önbellekte saklanır.

7.Güçlendirici

Powerfuzzer, bir web uygulamasının geçersiz verilere ve tekrarlanan isteklere nasıl yanıt verdiğini test etmenize olanak tanıyan, tam özellikli, otomatik ve son derece özelleştirilebilir bir web tarayıcısıdır. Araç yalnızca HTTP protokolünü destekler ve XSS, SQL enjeksiyonu, LDAP, CRLF ve XPATH saldırıları gibi güvenlik açıklarını tespit edebilir. Ayrıca, yanlış yapılandırmaya ve hatta arabellek taşması gibi bir tehlikeye işaret edebilecek 500 hatanın izlenmesini de destekler.

8. N haritası

Nmap aslında Linux için bir güvenlik açığı tarayıcısı değil. Bu program, ağı taramanıza ve ağa hangi düğümlerin bağlı olduğunu bulmanıza ve üzerinde hangi hizmetlerin çalıştığını belirlemenize olanak tanır. Bu, güvenlik açıkları hakkında kapsamlı bilgi sağlamaz ancak hangisinin olduğunu tahmin edebilirsiniz. yazılım Güvenlik açığı olabilir, zayıf şifreleri kırmaya çalışın. Belirli yazılımlardaki belirli güvenlik açıklarını tanımlamanıza olanak tanıyan özel komut dosyalarını çalıştırmak da mümkündür.

sonuçlar

Bu yazıda en iyi linux güvenlik açığı tarayıcılarını inceledik; sisteminizi ve uygulamalarınızı kontrol altında tutmanıza olanak tanırlar. tam güvenlik. İşletim sisteminin kendisini veya web uygulamalarını ve sitelerini taramanızı sağlayan programlara baktık.

Son olarak, güvenlik açığı tarayıcılarının ne olduğu ve bunlara neden ihtiyaç duyulduğu hakkında bir video izleyebilirsiniz:

Ağ solucanları salgını sorunu herhangi bir yerel ağ için geçerlidir. Er ya da geç, bir ağ veya e-posta solucanının LAN'a sızdığı ve kullanılan antivirüs tarafından algılanmadığı bir durum ortaya çıkabilir. Bir ağ virüsü, enfeksiyon anında kapatılmayan işletim sistemi güvenlik açıkları veya yazılabilir güvenlik açıkları aracılığıyla LAN üzerinden yayılır. paylaşılan kaynaklar. Posta virüsü Adından da anlaşılacağı gibi, istemci antivirüs ve antivirüs tarafından engellenmemesi koşuluyla e-posta yoluyla dağıtılır. posta sunucusu. Ayrıca LAN'da bir salgın, içeriden birinin faaliyetleri sonucunda içeriden organize edilebilir. Bu makalede, özellikle yazarın AVZ yardımcı programını kullanarak, çeşitli araçları kullanarak LAN bilgisayarlarının operasyonel analizine yönelik pratik yöntemlere bakacağız.

Sorunun formülasyonu

Ağda bir salgın veya anormal bir aktivite tespit edilirse yöneticinin en az üç görevi hızlı bir şekilde çözmesi gerekir:

• ağdaki virüslü bilgisayarları tespit edin;
• Bir anti-virüs laboratuvarına gönderilecek kötü amaçlı yazılım örneklerini bulun ve bir karşı önlem stratejisi geliştirin;
• virüsün LAN üzerinde yayılmasını engellemek ve virüs bulaşmış bilgisayarlarda yok etmek için önlemler alın.

İçeriden birinin faaliyeti durumunda, analizin ana adımları aynıdır ve çoğunlukla içeriden biri tarafından LAN bilgisayarlarına yüklenen üçüncü taraf yazılımları tespit etme ihtiyacına indirgenir. Bu tür yazılımlara örnek olarak uzaktan yönetim yardımcı programları, keylogger'lar ve çeşitli Truva atı yer imleri.

Görevlerin her birinin çözümünü daha ayrıntılı olarak ele alalım.

Virüs bulaşmış bilgisayarları arayın

Ağdaki virüslü bilgisayarları aramak için en az üç yöntem kullanabilirsiniz:

• otomatik uzaktan bilgisayar analizi - çalışan işlemler, yüklü kitaplıklar ve sürücüler hakkında bilgi edinme, karakteristik kalıpları arama - örneğin, işlemler veya dosyalar Lakaplar;
• Bir algılayıcı kullanarak PC trafik analizi - Bu method Spam botları, e-posta ve ağ solucanlarını yakalamak için çok etkilidir, ancak algılayıcı kullanmanın asıl zorluğu, modern bir LAN'ın anahtarlar temelinde oluşturulmuş olması ve bunun sonucunda yöneticinin trafiği izleyememesinden kaynaklanmaktadır. tüm ağ. Sorun iki şekilde çözülebilir: yönlendirici üzerinde bir algılayıcı çalıştırarak (bu, PC verilerinin İnternet ile alışverişini izlemenize olanak tanır) ve anahtarların izleme işlevlerini kullanarak (birçok modern anahtarlar yönetici tarafından belirlenen bir veya daha fazla anahtar bağlantı noktasının trafiğinin kopyalanacağı bir izleme bağlantı noktası atamanıza izin verir);
• ağ yükünün incelenmesi - bu durumda, yalnızca yükü değerlendirmenize değil aynı zamanda yönetici tarafından belirtilen bağlantı noktalarını uzaktan devre dışı bırakmanıza olanak tanıyan akıllı anahtarların kullanılması çok uygundur. Yöneticinin, ilgili anahtar bağlantı noktalarına hangi bilgisayarların bağlı olduğu ve bunların nerede bulunduğu hakkında bilgi içeren bir ağ haritasına sahip olması durumunda, bu işlem büyük ölçüde basitleştirilir;
• bal küplerinin kullanımı - yerel ağda yöneticinin bir salgını zamanında tespit etmesine olanak sağlayacak birkaç bal küpü oluşturulması önemle tavsiye edilir.

Ağdaki bilgisayarların otomatik analizi

Otomatik PC analizi üç ana aşamaya indirgenebilir:

• tam bir PC taramasının gerçekleştirilmesi - süreçlerin çalıştırılması, yüklü kütüphaneler ve sürücüler, otomatik çalıştırma;
• operasyonel araştırma yürütmek - örneğin karakteristik süreçleri veya dosyaları aramak;
• Nesnelerin belirli kriterlere göre karantinaya alınması.

Yukarıdaki sorunların tümü, yazarın sunucudaki bir ağ klasöründen başlatılacak şekilde tasarlanmış ve otomatik bilgisayar denetimi için bir komut dosyası dilini destekleyen AVZ yardımcı programı kullanılarak çözülebilir. AVZ'yi kullanıcı bilgisayarlarında çalıştırmak için şunları yapmanız gerekir:

1. AVZ'yi sunucudaki okumaya açık bir ağ klasörüne yerleştirin.
2. Bu klasörde LOG ve Kurantine alt dizinleri oluşturun ve kullanıcıların bunlara yazmasına izin verin.
3. rexec yardımcı programını veya oturum açma komut dosyasını kullanarak LAN bilgisayarlarında AVZ'yi başlatın.

AVZ'nin 3. adımda başlatılması aşağıdaki parametrelerle yapılmalıdır:

\\sunucum\AVZ\avz.exe Öncelik=-1 nw=Y nq=Y HiddenMode=2 Komut Dosyası=\\sunucum\AVZ\my_script.txt

Bu durumda Priority=-1 parametresi AVZ işleminin önceliğini düşürür, nw=Y ve nq=Y parametreleri karantinayı “ağ çalıştırma” moduna geçirir (bu durumda karantina klasöründe bir alt dizin oluşturulur) (adı bilgisayarın ağ adıyla eşleşen her bilgisayar için) HiddenMode=2, kullanıcının GUI ve AVZ kontrollerine erişimini reddetme talimatını verir ve son olarak en önemli Script parametresi, betiğin tam adını belirtir. AVZ'nin kullanıcının bilgisayarında yürüteceği komutlar. AVZ kodlama dilinin kullanımı oldukça basittir ve yalnızca bilgisayar muayenesi ve tedavisiyle ilgili sorunları çözmeye odaklanmıştır. Komut dosyası yazma sürecini basitleştirmek için, çevrimiçi bir komut istemi, standart komut dosyaları oluşturmak için bir sihirbaz ve yazılı komut dosyasını çalıştırmadan doğruluğunu kontrol etmek için araçlar içeren özel bir komut dosyası düzenleyicisini kullanabilirsiniz (Şekil 1).

Pirinç. 1. AVZ komut dosyası düzenleyicisi

Salgınla mücadelede faydalı olabilecek üç tipik senaryoya bakalım. Öncelikle bir PC araştırma senaryosuna ihtiyacımız var. Komut dosyasının görevi, sistemi incelemek ve belirli bir ağ klasöründeki sonuçlarla bir protokol oluşturmaktır. Senaryo şuna benziyor:

WatchDog'u Etkinleştir(60 * 10);

// Taramayı ve analizi başlat

// Sistem keşfi

ExecuteSysCheck(GetAVZDirectory+

‘\LOG\’+BilgisayarAdı+’_log.htm’);

//AVZ'yi kapat

Bu betiğin çalıştırılması sırasında, ağ bilgisayarlarının çalışmasının sonuçlarını içeren HTML dosyaları LOG klasöründe oluşturulacaktır (sunucudaki AVZ dizininde oluşturulduğu ve kullanıcıların yazmasına açık olduğu varsayılarak) ve benzersizlik, incelenen bilgisayarın adının protokol adında yer almasıdır. Komut dosyasının başlangıcında, komut dosyası yürütme sırasında hatalar meydana gelirse AVZ işlemini 10 dakika sonra zorla sonlandıracak bir gözlemci zamanlayıcısını etkinleştirme komutu vardır.

AVZ protokolü manuel çalışma için uygundur ancak otomatik analiz için pek kullanışlı değildir. Ayrıca yönetici genellikle kötü amaçlı yazılım dosyasının adını bilir ve yalnızca bu dosyanın varlığını veya yokluğunu kontrol etmesi ve varsa onu analiz için karantinaya alması gerekir. Bu durumda aşağıdaki betiği kullanabilirsiniz:

// Watchdog zamanlayıcısını 10 dakikalığına etkinleştir

WatchDog'u Etkinleştir(60 * 10);

// Kötü amaçlı yazılımları ada göre arayın

QuarantineFile('%WinDir%\smss.exe', 'LdPinch.gen hakkında şüpheli');

QuarantineFile('%WinDir%\csrss.exe', 'LdPinch.gen hakkında şüpheli');

//AVZ'yi kapat

Bu komut dosyası, belirtilen dosyaları karantinaya almayı denemek için QuarantineFile işlevini kullanır. Yönetici yalnızca karantina içeriğini (Karantina\ağ_adı_PC\quarantine_tarihi\ klasörü) karantinaya alınmış dosyaların varlığı açısından analiz edebilir. Lütfen QuarantineFile işlevinin, güvenli AVZ veritabanı veya Microsoft dijital imza veritabanı tarafından tanımlanan dosyaların karantinaya alınmasını otomatik olarak engellediğini unutmayın. İçin pratik uygulama bu komut dosyası geliştirilebilir - harici bir metin dosyasından dosya adlarının yüklenmesini organize edin, bulunan dosyaları AVZ veritabanlarına göre kontrol edin ve çalışmanın sonuçlarıyla bir metin protokolü oluşturun:

// Belirtilen adda bir dosya arayın

function CheckByName(Fname: string) : boolean;

Sonuç:= DosyaMevcut(FName) ;

Sonuç varsa başla

vaka CheckFile(FName) /

1: S:= ', dosyaya erişim engellendi';

1: S:= ', Kötü Amaçlı Yazılım olarak algılandı ('+GetLastCheckTxt+')';

2: S:= ', dosya tarayıcısı tarafından şüpheleniliyor ('+GetLastCheckTxt+')';

3: çıkış; // Güvenli dosyalar göz ardı ediliyor

AddToLog(''+NormalFileName(FName)+' dosyasında şüpheli bir isim var'+S);

//Belirtilen dosyayı karantinaya ekle

QuarantineFile(FName,’şüpheli dosya’+S);

SuspNames: TStringList; // Şüpheli dosyaların adlarının listesi

// Dosyaları güncellenen veritabanına göre kontrol ediyoruz

FileExists(GetAVZDirectory + 'files.db') ise başlayın

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('Ad veritabanı yüklendi - kayıt sayısı = '+inttostr(SuspNames.Count));

// Arama döngüsü

i:= 0'dan SuspNames.Count'a - 1 yapmak

CheckByName(SuspNames[i]);

AddToLog('Dosya adları listesi yüklenirken hata oluştu');

SaveLog(GetAVZDirectory+’\LOG\’+

GetComputerName+’_files.txt’);

Bu betiğin çalışması için AVZ klasöründe kullanıcıların yazabileceği Karantina ve LOG dizinlerini oluşturmanız gerekir. Metin dosyası files.db - bu dosyanın her satırı şüpheli dosyanın adını içerecektir. Dosya adları makrolar içerebilir; bunların en kullanışlısı %WinDir%'dir (yol Windows klasörü) ve %SystemRoot% (System32 klasörünün yolu). Analizin başka bir yönü, kullanıcı bilgisayarlarında çalışan işlemlerin listesinin otomatik olarak incelenmesi olabilir. Çalışan işlemlerle ilgili bilgiler sistem araştırma protokolünde bulunur, ancak otomatik analiz için aşağıdaki komut dosyası parçasını kullanmak daha uygundur:

prosedür Tarama Süreci;

S:= ''; S1:= '';

//İşlem listesinin güncellenmesi

İşlem Listesini Yenile;

AddToLog('İşlem sayısı = '+IntToStr(GetProcessCount));

// Alınan listenin analiz döngüsü

for i:= 0 - GetProcessCount - 1 başlıyor

S1:= S1 + ',' + ExtractFileName(GetProcessName(i));

// İşlemi isme göre ara

pos('trojan.exe', LowerCase(GetProcessName(i)))) > 0 ise

S:= S + GetProcessName(i)+',';

eğer S<>''Daha sonra

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

Bu komut dosyasındaki süreçlerin incelenmesi ayrı bir ScanProcess prosedürü olarak gerçekleştirilir, dolayısıyla onu kendi komut dosyasına yerleştirmek kolaydır. ScanProcess prosedürü iki işlem listesi oluşturur: tam liste süreçler (sonraki analiz için) ve yöneticinin bakış açısından tehlikeli kabul edilen süreçlerin listesi. Bu durumda gösteri amaçlı olarak 'trojan.exe' adlı işlemin tehlikeli olduğu değerlendirilmektedir. Tehlikeli işlemlere ilişkin bilgiler _alarm.txt metin dosyasına, tüm işlemlere ilişkin veriler _all_process.txt dosyasına eklenir. Komut dosyasına ekleme yaparak, örneğin işlem dosyalarını güvenli dosyalardan oluşan bir veritabanıyla karşılaştırarak veya adları kontrol ederek karmaşıklaştırabileceğinizi görmek kolaydır. yürütülebilir dosyalar Dış bazlı süreçler. Smolenskenergo'da kullanılan AVZ komut dosyalarında da benzer bir prosedür kullanılır: yönetici, toplanan bilgileri periyodik olarak inceler ve komut dosyasını değiştirerek, buna güvenlik politikası tarafından yasaklanan programların işlemlerinin adını ekler; örneğin ICQ ve MailRu.Agent. incelenen bilgisayarlarda yasaklı yazılımların varlığını hızlı bir şekilde kontrol etmenizi sağlar. İşlem listesinin başka bir kullanımı, antivirüs gibi gerekli bir işlemin eksik olduğu bilgisayarları bulmaktır.

Sonuç olarak, yararlı analiz komut dosyalarının sonuncusuna bakalım - güvenli AVZ veritabanı ve Microsoft dijital imza veritabanı tarafından tanınmayan tüm dosyaların otomatik olarak karantinaya alınmasına yönelik bir komut dosyası:

// Otomatik karantinayı gerçekleştir

Otomatik Karantinayı Yürütün;

Otomatik karantina, çalışan işlemleri ve yüklü kitaplıkları, hizmetleri ve sürücüleri, yaklaşık 45 otomatik başlatma yöntemini, tarayıcı ve gezgin uzantı modüllerini, SPI/LSP işleyicilerini, zamanlayıcı işlerini, yazdırma sistemi işleyicilerini vb. inceler. Karantinanın özel bir özelliği, dosyaların kendisine tekrarlama kontrolüyle eklenmesidir, böylece otomatik karantina işlevi tekrar tekrar çağrılabilir.

Otomatik karantinanın avantajı, onun yardımıyla yöneticinin potansiyel olarak şüpheli dosyaları incelenmek üzere ağdaki tüm bilgisayarlardan hızlı bir şekilde toplayabilmesidir. Dosyaları incelemenin en basit (ancak pratikte çok etkili) şekli, ortaya çıkan karantinayı birkaç popüler antivirüs ile maksimum buluşsal modda kontrol etmek olabilir. Birkaç yüz bilgisayarda otomatik karantinanın aynı anda başlatılmasının ağda ve dosya sunucusunda yüksek bir yük oluşturabileceği unutulmamalıdır.

Trafik Araştırması

Trafik araştırması üç şekilde yapılabilir:

• algılayıcıları manuel olarak kullanarak;
• yarı otomatik modda - bu durumda, algılayıcı bilgi toplar ve ardından protokolleri manuel olarak veya bazı yazılımlar tarafından işlenir;
• Snort (http://www.snort.org/) gibi izinsiz giriş tespit sistemlerini (IDS) veya bunların yazılım veya donanım analoglarını kullanarak otomatik olarak. En basit durumda bir IDS, bir algılayıcı ve algılayıcı tarafından toplanan bilgileri analiz eden bir sistemden oluşur.

İzinsiz giriş tespit sistemi en uygun araçtır çünkü ağ etkinliğindeki anormallikleri tespit etmek için kurallar dizisi oluşturmanıza olanak tanır. İkinci avantajı şudur: Çoğu modern IDS, trafik izleme aracılarının birkaç ağ düğümüne yerleştirilmesine izin verir - aracılar bilgi toplar ve iletir. Bir algılayıcı kullanılması durumunda, UNIX sniffer tcpdump konsolunun kullanılması çok uygundur. Örneğin, 25 numaralı bağlantı noktasındaki etkinliği izlemek için ( SMTP protokolü) sadece sniffer'ı çalıştırın Komut satırı tip:

tcpdump -i em0 -l tcp bağlantı noktası 25 > smtp_log.txt

Bu durumda paketler em0 arayüzü aracılığıyla yakalanır; Yakalanan paketlerle ilgili bilgiler smtp_log.txt dosyasında saklanacaktır. Protokolün manuel olarak analiz edilmesi nispeten kolaydır; bu örnekte, 25 numaralı bağlantı noktasındaki etkinliği analiz etmek, etkin spam botları olan bilgisayarları tanımlamanıza olanak tanır.

Balküpü Uygulaması

Tuzak olarak kullanılabilir (Bal Küpü) modası geçmiş bilgisayar performansı çözüm için kullanılmasına izin vermeyen üretim görevleri. Örneğin, 64 MB'lık bir Pentium Pro, yazarın ağında tuzak olarak başarıyla kullanılıyor rasgele erişim belleği. Bu PC'de LAN'daki en yaygın işletim sistemini kurmalı ve aşağıdaki stratejilerden birini seçmelisiniz:

• Güncelleme paketleri olmadan bir işletim sistemi kurun - bu, bu işletim sistemi için bilinen güvenlik açıklarından herhangi birini kullanan, ağdaki aktif bir ağ solucanının görünümünün bir göstergesi olacaktır;
• ağdaki diğer bilgisayarlara yüklenen güncellemeleri içeren bir işletim sistemi kurun; Honeypot herhangi bir iş istasyonuna benzer olacaktır.

Her stratejinin hem artıları hem de eksileri vardır; Yazar esas olarak güncelleme olmadan seçeneği kullanıyor. Honeypot'u oluşturduktan sonra bir disk imajı oluşturmalısınız. hızlı düzelme Kötü amaçlı yazılım tarafından zarar gördükten sonra sistem. Disk görüntüsüne alternatif olarak ShadowUser ve analogları gibi değişiklik geri alma sistemlerini kullanabilirsiniz. Bir Honeypot oluşturduktan sonra, bir dizi ağ solucanının, virüslü bilgisayarın IP adresinden hesaplanan IP aralığını tarayarak virüslü bilgisayarları aradığını dikkate almalısınız (yaygın tipik stratejiler X.X.X.*, X.X.X+1.*, X.X.X+1.*, X.X.X-1.*), - bu nedenle İdeal olarak her alt ağda bir Honeypot bulunmalıdır. Ek hazırlık unsurları olarak Honeypot sistemindeki birkaç klasöre mutlaka erişimi açmalısınız ve bu klasörlere çeşitli formatlarda birkaç örnek dosya koymalısınız, minimum set EXE, JPG, MP3'tür.

Doğal olarak, bir Honeypot oluşturduktan sonra yöneticinin bunun çalışmasını izlemesi ve tespit edilen anormalliklere yanıt vermesi gerekir. bu bilgisayar. Denetleyiciler değişiklikleri kaydetme aracı olarak kullanılabilir; ağ etkinliğini kaydetmek için bir algılayıcı kullanılabilir. Önemli bir noktaçoğu algılayıcının, belirli bir ağ etkinliği algılandığında yöneticiye bir uyarı göndermeyi yapılandırma yeteneğini sağlamasıdır. Örneğin, CommView algılayıcısında bir kural, bir ağ paketini tanımlayan bir "formül" belirtmeyi veya niceliksel kriterleri belirtmeyi (saniyede belirli sayıda paket veya bayttan fazlasını göndermek, paketleri tanımlanamayan IP veya MAC adreslerine göndermek) içerir - İncir. 2.

Pirinç. 2. Bir ağ etkinliği uyarısı oluşturun ve yapılandırın

Bir uyarı olarak, şu adrese gönderilen e-posta mesajlarını kullanmak en uygunudur: Posta kutusu yönetici - bu durumda ağdaki tüm tuzaklardan hızlı uyarılar alabilirsiniz. Ek olarak, eğer algılayıcı birden fazla uyarı oluşturmanıza izin veriyorsa, ağ etkinliğini aşağıdakilerle yapılan çalışmaları vurgulayarak ayırt etmek mantıklı olacaktır: e-mail ile, FTP/HTTP, TFTP, Telnet, MS Net, herhangi bir protokol için trafiği saniyede 20-30 paketten fazla artırdı (Şekil 3).

Pirinç. 3. Bildirim mektubu gönderildi
belirtilen kriterlere uyan paketler tespit edilirse

Bir tuzağı düzenlerken, ağda kullanılan birkaç savunmasız ağ hizmetini üzerine yerleştirmek veya bunlar için bir emülatör yüklemek iyi bir fikirdir. En basit (ve ücretsiz), kurulum gerektirmeden çalışan tescilli APS yardımcı programıdır. APS'nin çalışma prensibi, veritabanında açıklanan birçok TCP ve UDP bağlantı noktasını dinlemek ve bağlantı anında önceden belirlenmiş veya rastgele oluşturulmuş bir yanıt vermekten ibarettir (Şekil 4).

Pirinç. 4. APS yardımcı programının ana penceresi

Şekilde Smolenskenergo LAN'da gerçek bir APS aktivasyonu sırasında alınan ekran görüntüsü gösterilmektedir. Şekilde görülebileceği gibi, istemci bilgisayarlardan birini 21 numaralı bağlantı noktasına bağlama girişimi kaydedildi. Protokollerin analizi, denemelerin periyodik olduğunu ve ağdaki birkaç tuzak tarafından kaydedildiğini gösterdi; bu da bize şu sonuca varmamızı sağlıyor: Şifreleri tahmin ederek FTP sunucularını aramak ve hacklemek için ağ taranıyor. APS, günlükleri tutar ve izlenen bağlantı noktalarına kayıtlı bağlantılara ilişkin raporlarla birlikte yöneticilere mesajlar gönderebilir; bu, ağ taramalarının hızlı bir şekilde algılanması için uygundur.

Bir Honeypot oluştururken, özellikle http://www.honeynet.org/ gibi konuyla ilgili çevrimiçi kaynaklara aşina olmanız da yararlı olacaktır. Bu sitenin Araçlar bölümünde (http://www.honeynet.org/tools/index.html), saldırıları kaydetmek ve analiz etmek için çeşitli araçlar bulabilirsiniz.

Uzaktan kötü amaçlı yazılım temizleme

İdeal olarak, numuneler keşfedildikten sonra kötü amaçlı yazılım yönetici bunları antivirüs laboratuvarına gönderir, burada analistler tarafından derhal incelenir ve ilgili imzalar antivirüs veritabanına girilir. Bu imzalar kullanıcının bilgisayarında otomatik olarak güncellenir ve antivirüs, yönetici müdahalesine gerek kalmadan kötü amaçlı yazılımları otomatik olarak kaldırır. Ancak bu zincir her zaman beklendiği gibi çalışmaz, özellikle aşağıdaki başarısızlık nedenleri mümkündür:

• ağ yöneticisinden bağımsız çeşitli nedenlerden dolayı görüntüler anti-virüs laboratuvarına ulaşamayabilir;
• anti-virüs laboratuvarının yetersiz verimliliği - ideal olarak numunelerin incelenmesi ve veritabanına girilmesi 1-2 saatten fazla sürmez; bu, güncellenmiş imza veritabanlarının bir iş günü içinde elde edilebileceği anlamına gelir. Ancak, tüm antivirüs laboratuvarları bu kadar hızlı çalışmaz ve güncellemeler için birkaç gün (nadir durumlarda, hatta haftalarca) bekleyebilirsiniz;
• antivirüsün yüksek performansı - bir dizi kötü amaçlı program, etkinleştirildikten sonra antivirüsleri yok eder veya çalışmalarını başka şekilde bozar. Klasik örnekler arasında hosts dosyasında bloke eden girişler yapılması yer alır. normal iş antivirüs otomatik güncelleme sistemleri, işlemlerin, hizmetlerin ve antivirüs sürücülerinin silinmesi, ayarlarının zarar görmesi vb.

Bu nedenle, yukarıdaki durumlarda kötü amaçlı yazılımlarla manuel olarak ilgilenmeniz gerekecektir. Çoğu durumda bu zor değildir, çünkü bilgisayar incelemesi sonuçları virüslü bilgisayarların yanı sıra kötü amaçlı yazılım dosyalarının tam adlarını da ortaya çıkarır. Geriye kalan tek şey onları uzaktan kaldırmak. Kötü amaçlı program silinmeye karşı korunmuyorsa aşağıdaki AVZ komut dosyası kullanılarak yok edilebilir:

// Bir dosyayı silme

SilFile('dosyaadı');

SysClean'i yürütün;

Bu komut dosyası, belirtilen bir dosyayı (veya bir komut dosyasında sınırsız sayıda FileFile komutu olabileceğinden birkaç dosyayı) siler ve ardından kayıt defterini otomatik olarak temizler. Daha karmaşık bir durumda, kötü amaçlı yazılım kendisini silinmeye karşı koruyabilir (örneğin, dosyalarını ve kayıt defteri anahtarlarını yeniden oluşturarak) veya rootkit teknolojisini kullanarak kendini gizleyebilir. Bu durumda komut dosyası daha karmaşık hale gelir ve şöyle görünür:

// Rootkit'e karşı koruma

SearchRootkit(doğru, doğru);

// AVZGuard'ı kontrol et

SetAVZGuardStatus(true);

// Bir dosyayı silme

SilFile('dosyaadı');

// BootCleaner günlüğünü etkinleştir

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// Komut dosyası tarafından silinen dosyaların listesini BootCleaner görevine aktarın

BC_ImportDeletedList;

// BootCleaner'ı etkinleştir

// Sezgisel sistem temizliği

SysClean'i yürütün;

Windows'u yeniden başlatın(true);

Bu komut dosyası, rootkit'lere karşı aktif karşı önlemi, AVZGuard sisteminin (bu bir kötü amaçlı yazılım etkinlik engelleyicisidir) ve BootCleaner sisteminin kullanımını içerir. BootCleaner, sistem önyüklemesinin erken bir aşamasında, yeniden başlatma sırasında belirtilen nesneleri KernelMode'dan kaldıran bir sürücüdür. Uygulama, böyle bir komut dosyasının mevcut kötü amaçlı yazılımların büyük çoğunluğunu yok edebildiğini göstermektedir. Bunun istisnası, her yeniden başlatmada yürütülebilir dosyalarının adlarını değiştiren kötü amaçlı yazılımlardır; bu durumda, sistem taraması sırasında keşfedilen dosyalar yeniden adlandırılabilir. Bu durumda, bilgisayarınızı manuel olarak temizlemeniz veya kendi kötü amaçlı yazılım imzalarınızı oluşturmanız gerekecektir (imza aramasını uygulayan bir komut dosyası örneği AVZ yardımında açıklanmıştır).

Çözüm

Bu makalede, LAN salgınıyla antivirüs ürünleri kullanmadan manuel olarak mücadele etmek için bazı pratik tekniklere baktık. Açıklanan tekniklerin çoğu, kullanıcı bilgisayarlarındaki yabancı bilgisayarları ve Truva atı yer imlerini aramak için de kullanılabilir. Kötü amaçlı yazılım bulma veya tedavi komut dosyaları oluşturma konusunda zorluk yaşıyorsanız yönetici, http://virusinfo.info forumunun "Yardım" bölümünü veya http://forum.kaspersky.com forumunun "Virüslerle Mücadele" bölümünü kullanabilir. /index.php?showforum= 18. Protokollerin incelenmesi ve tedavide yardım her iki forumda da ücretsiz olarak gerçekleştirilir, PC analizi AVZ protokollerine göre yapılır ve çoğu durumda tedavi, bu forumlardan deneyimli uzmanlar tarafından derlenen, virüs bulaşmış bilgisayarlarda bir AVZ komut dosyasının yürütülmesine indirgenir. .

Karşılaştırmalı analiz güvenlik tarayıcıları. Bölüm 1: Sızma Testi (Kısa Özet)

Alexander Antipov

Bu belge, ağ çevre düğümlerine karşı sızma testleri sırasında ağ güvenlik tarayıcılarının karşılaştırmasının sonuçlarını sunar.

Lepikhin Vladimir Borisoviç
Informzashchita Eğitim Merkezi Ağ Güvenliği Laboratuvarı Başkanı

Rapordaki tüm materyaller Informzashita eğitim merkezinin fikri mülkiyet nesneleridir. Informzashita Eğitim Merkezi'nin önceden yazılı izni olmadan rapor materyallerinin herhangi bir biçimde çoğaltılması, yayınlanması veya çoğaltılması yasaktır.

Araştırmanın tam metni:
http://www.itsecurity.ru/news/reliase/2008/12_22_08.htm

1. Giriş

Ağ güvenliği tarayıcıları karşılaştırma için mükemmeldir. Hepsi çok farklı. Ve amaçlandıkları görevlerin özellikleri ve "ikili" amaçları nedeniyle (ağ güvenlik tarayıcıları hem savunma hem de "saldırı için" kullanılabilir ve bildiğimiz gibi bilgisayar korsanlığı yaratıcı bir görevdir) , son olarak, ayrıca bu tür araçların her birinin arkasında, yaratıcısının bir "hacker" (kelimenin orijinal anlamında) düşüncesi uçuşu olduğu için.

Karşılaştırma koşulları seçilirken “göreve dayalı” yaklaşım esas alınmış, böylece sonuçlara göre belirli bir aracın kendisine verilen görevi çözmek için ne kadar uygun olduğu yargısına varılabilir. Örneğin ağ güvenliği tarayıcıları kullanılabilir:

• ağ kaynaklarının envanteri için;
• “penetrasyon testleri” sırasında;
• Çeşitli gereksinimlere uygunluk açısından sistemlerin test edilmesi sürecinde.

Bu belge, ağ çevre düğümlerine karşı sızma testleri sırasında ağ güvenlik tarayıcılarının karşılaştırmasının sonuçlarını sunar. Aşağıdakiler değerlendirildi:

• Bulunan güvenlik açığı sayısı
• Yanlış pozitiflerin sayısı (Yanlış Pozitifler)
• Yanlış Negatifler
• Devamsızlık nedenleri
• Kontrol tabanının eksiksizliği (bu görev bağlamında)
• Envanter mekanizmalarının kalitesi ve yazılım versiyonunun belirlenmesi
• Tarayıcının doğruluğu (bu görev bağlamında)

Listelenen kriterler birlikte, tarayıcının kendisine verilen görevi çözmek için "uygunluğunu" karakterize eder; bu durumda, ağ çevresinin güvenliğini izleme sürecinde rutin eylemlerin otomasyonudur.

2. Karşılaştırma katılımcılarının kısa açıklaması

Karşılaştırmaya başlamadan önce portal, amacı kullanılan tarayıcılar ve bunların kullanıldığı görevler hakkında veri toplamak olan bir anket gerçekleştirdi.

Ankete yaklaşık 500 katılımcı (portal ziyaretçisi) katıldı.

Kuruluşlarında kullandıkları güvenlik tarayıcıları sorulduğunda katılımcıların büyük çoğunluğu en az bir güvenlik tarayıcısı kullandıklarını (%70) belirttiler. Aynı zamanda bilgi sistemlerinin güvenliğini analiz etmek için düzenli olarak güvenlik tarayıcıları kullanan kuruluşlar, bu sınıfa ait birden fazla ürünü kullanmayı tercih etmektedir. Katılımcıların %49'u kuruluşlarının iki veya daha fazla güvenlik tarayıcısı kullandığını söyledi (Şekil 1).

1. Ankete katılan kuruluşların kullanılan güvenlik tarayıcılarının sayısına göre dağılımı

Birden fazla güvenlik tarayıcısı kullanmanın nedenleri arasında kuruluşların tek bir "satıcıdan" gelen çözümlere güvenmemesi (%61) ve kapsamlı bir güvenlik tarayıcısıyla yapılamayan özel kontrollerin gerekli olması (%39) yer alır (Şekil 2). .

2. Ankete katılan kuruluşlarda birden fazla güvenlik tarayıcısı kullanmanın nedenleri

Özel güvenlik tarayıcılarının hangi amaçlarla kullanıldığı sorulduğunda, katılımcıların çoğunluğu bunların Web uygulamalarının güvenliğini analiz etmek için ek araç olarak kullanıldığını (%68) yanıtladı. İkinci sırada özel DBMS güvenlik tarayıcıları (%30) yer alırken, üçüncü sırada (%2) bilgi sistemlerinin güvenliğinin analizinde belirli bir dizi sorunu çözmeye yönelik özel araçlar yer aldı (Şekil 3).

3. Ankete katılanların kuruluşlarında özel güvenlik tarayıcılarının kullanılmasının amaçları

Güvenlik tarayıcılarıyla ilgili son ürünler hakkında katılımcılarla yapılan bir anketin sonucu (Şekil 4), kuruluşların çoğunluğunun Positive Technologies ürünü XSpider (%31) ve Nessus Security Scanner'ı (%17) kullanmayı tercih ettiğini gösterdi.

Pirinç. 4. Katılımcıların kuruluşlarında kullanılan güvenlik tarayıcıları

Tablo 1'de sunulan tarayıcılar test testlerine katılmak üzere seçilmiştir.

Tablo 1. Karşılaştırmada kullanılan ağ güvenliği tarayıcıları

İsim	Sürüm
		http://www.nessus.org/download
MaxPatrol	8.0 (Yapı 1178)	http://www.ptsecurity.ru/maxpatrol.asp
İnternet Tarayıcısı		http://www-935.ibm.com/services/us/index.wss/offering/iss/a1027208
RetinaAğ Güvenliği Tarayıcısı		http://www.eeye.com/html/products/retina/index.html
Gölge Güvenlik Tarayıcısı (SSS)	7.141 (Yapı 262)	http://www.safety-lab.com/en/products/securityscanner.htm
NetClarity Denetçisi		http://netclarity.com/branch-nacwall.html

Dolayısıyla ilk test, bilgisayar korsanlığına karşı direnç açısından sistemlerin güvenliğini değerlendirme görevine odaklanıyor.

3. Özetleme

Geriye kalan düğümlerin sonuçları da benzer şekilde hesaplandı. Sonuçlar hesaplandıktan sonra aşağıdaki tablo elde edildi (Tablo 2).

Tablo 2. Taranan tüm nesneler için nihai sonuçlar

Dizin		İnternet Tarayıcısı			Gölge Güvenlik Tarayıcısı	NetClarity Denetçi
Hizmet ve uygulamaların tanımlanması, noktalar
Bulunan güvenlik açıkları, toplam
Bu yanlış pozitiflerden (yanlış pozitifler)
Doğru bulundu (225'ten mümkün)
Geçer (yanlış negatifler)
Bunlardan, veritabanında bulunmamasından dolayı
Bunlardan kimlik doğrulama ihtiyacından kaynaklananlar
Diğer nedenlerden dolayı

3.1 Hizmetlerin ve uygulamaların tanımlanması

Hizmetlerin ve uygulamaların tanımlanmasının sonuçlarına göre puanlar basitçe toplandı ve bir hizmetin veya uygulamanın yanlış tanımlanması için bir puan düşürüldü (Şekil 5).

Pirinç. 5. Hizmet ve uygulamaların belirlenmesinin sonuçları

MaxPatrol tarayıcısı en yüksek puanı (108) alırken, Nessus tarayıcısı biraz daha az puan aldı (98). Aslında bu iki tarayıcıda hizmetleri ve uygulamaları tanımlama prosedürü çok verimli bir şekilde uygulanmaktadır. Bu sonuç oldukça beklenen denilebilir.

Aşağıdaki sonuçlar Internet Tarayıcısı ve NetClarity tarayıcılarından alınmıştır. Burada örneğin Internet Scanner'ın uygulamalar için standart portları kullanmaya odaklandığını belirtebiliriz, bu da düşük sonucunu büyük ölçüde açıklıyor. Son olarak NetClarity tarayıcısı en kötü performansa sahip. Hizmetleri tanımlama konusunda iyi bir iş çıkarsa da (sonuçta Nessus 2.x çekirdeğini temel alıyor), genel olarak zayıf performansı, tüm açık bağlantı noktalarını tanımlamaması gerçeğiyle açıklanabilir.

3.2 Güvenlik açıklarının belirlenmesi

İncirde. Şekil 6, tüm tarayıcılar tarafından bulunan toplam güvenlik açıklarının sayısını ve hatalı pozitiflerin sayısını göstermektedir. En fazla sayıda güvenlik açığı MaxPatrol tarayıcısı tarafından bulundu. Nessus yine ikinci oldu (önemli bir farkla da olsa).
Yanlış pozitif sayısında lider Gölge Güvenlik Tarayıcısıydı. Prensip olarak bu anlaşılabilir bir durumdur; özellikle kontrolleriyle ilgili hata örnekleri yukarıda verilmiştir.

Pirinç. 6. Bulunan güvenlik açıkları ve yanlış pozitifler

Toplamda, 16 düğümün tamamında, tüm tarayıcılar 225 güvenlik açığı buldu (ve ardından manuel doğrulamayla onaylandı). Sonuçlar Şekil 2'deki gibi dağıtıldı. 7. MaxPatrol tarayıcısı tarafından en fazla sayıda güvenlik açığı (olası 225'ten 155'i) belirlendi. İkincisi Nessus tarayıcıydı (sonucu neredeyse iki kat daha kötüydü). Sırada İnternet Tarayıcı ve ardından NetClarity var.
Karşılaştırma sırasında eksik olan zafiyetlerin nedenleri analiz edilmiş ve veri tabanındaki kontrol eksikliğinden dolayı yapılanlar ayrıştırılmıştır. Aşağıdaki diyagram (Şekil 8), tarayıcıların güvenlik açıklarını gözden kaçırmasının nedenlerini göstermektedir.

Pirinç. 7. Bulunan güvenlik açıkları ve eksiklikler

Pirinç. 8. Eksik güvenlik açıklarının nedenleri

Şimdi hesaplamalar sonucunda ortaya çıkan birkaç gösterge.

İncirde. Şekil 39, hatalı pozitiflerin sayısının bulunan toplam güvenlik açıklarına oranını göstermektedir; bu göstergeye bir anlamda tarayıcının doğruluğu denilebilir. Sonuçta, kullanıcı her şeyden önce tarayıcı tarafından bulunan ve doğru bulunanları seçmenin gerekli olduğu bir güvenlik açıkları listesiyle ilgilenir.

Pirinç. 9. Tarayıcıların doğruluğu

Bu şemadan, en yüksek doğruluğun (%95) MaxPatrol tarayıcı tarafından elde edildiği görülebilir. Yanlış pozitif sayısı en düşük olmasa da, bulunan güvenlik açıklarının çokluğu nedeniyle bu doğruluk oranına ulaşılıyor. Bir sonraki en doğru tanım İnternet Tarayıcısıdır. En düşük hatalı pozitif sayısını gösterdi. SSS tarayıcısı en düşük sonuca sahiptir; karşılaştırma sırasında kaydedilen çok sayıda yanlış pozitif göz önüne alındığında bu şaşırtıcı değildir.

Hesaplanan diğer bir gösterge ise veritabanının eksiksizliğidir (Şekil 10). Doğru bulunan güvenlik açıklarının sayısının toplam güvenlik açıklarına oranı (bu durumda - 225) olarak hesaplanır ve "ıskalananların" ölçeğini karakterize eder.

Pirinç. 10. Veritabanının eksiksizliği

Bu şemadan MaxPatrol tarayıcı tabanının bu görev için en uygun olduğu açıktır.

4. Sonuç

4.1 Liderlerin sonuçlarına ilişkin yorumlar: MaxPatrol ve Nessus

Bu karşılaştırmanın tüm kriterlerine göre birinci sırada MaxPatrol tarayıcı yer alıyor, Nessus tarayıcı ikinci sırada yer alıyor, diğer tarayıcıların sonuçları önemli ölçüde daha düşük.

Burada ABD Ulusal Standartlar ve Teknoloji Enstitüsü'nün (NIST) hazırladığı belgelerden biri olan “Ağ Güvenliği Testi Kılavuzu”nu hatırlamakta fayda var. Bilgisayar sistemlerinin güvenliğini izlerken en az iki güvenlik tarayıcısının kullanılması tavsiye edildiğini belirtiyor.

Aslında elde edilen sonuçta beklenmeyen ya da şaşırtıcı olan hiçbir şey yoktur. XSpider (MaxPatrol) ve Nessus tarayıcılarının hem güvenlik uzmanları hem de bilgisayar korsanları arasında popüler olduğu bir sır değil. Bu, yukarıdaki anket sonuçlarıyla doğrulanmaktadır. MaxPatrol'ün bariz liderliğinin nedenlerini (bu kısmen Nessus tarayıcı için geçerlidir) ve diğer tarayıcıların "kaybolmasının" nedenlerini analiz etmeye çalışalım. Her şeyden önce bu, hizmetlerin ve uygulamaların yüksek kalitede tanımlanmasıdır. Çıkarıma dayalı testler (ve bu durumda oldukça fazla sayıda vardı) büyük ölçüde bilgi toplamanın doğruluğuna bağlıdır. Ve MaxPatrol tarayıcısındaki hizmetlerin ve uygulamaların tanımlanması neredeyse mükemmeldir. İşte açıklayıcı bir örnek.
MaxPatrol'ün başarısının ikinci nedeni, veritabanının eksiksizliği ve eldeki göreve ve genel olarak "bugüne" uygunluğudur. Sonuçlara göre, MaxPatrol'deki kontrol veri tabanının önemli ölçüde genişletildiği ve ayrıntılı hale getirildiği, "düzenlendiği", web uygulamalarına yönelik bariz "önyargının" diğer alanlardaki kontrollerin genişletilmesiyle telafi edildiği dikkat çekicidir. örneğin, karşılaştırmada sunulan yönlendiriciyi taramanın sonuçları etkileyiciydi Cisco.

Üçüncü neden, işletim sistemleri, dağıtımlar ve çeşitli "dallar" dikkate alınarak uygulama sürümlerinin niteliksel bir analizidir. Farklı kaynakların (güvenlik açığı veritabanları, bildirimler ve satıcı bültenleri) kullanımını da ekleyebilirsiniz.

Son olarak MaxPatrol'ün ağ güvenliği tarayıcılarının ana çalışma aşamalarını yansıtan oldukça kullanışlı ve mantıklı bir arayüze sahip olduğunu da ekleyebiliriz. Ve bu önemlidir. "Düğüm, hizmet, güvenlik açığı" kombinasyonunun anlaşılması çok kolaydır (Editörün notu: bu, karşılaştırma yazarının öznel görüşüdür). Ve özellikle bu görev için.

Şimdi eksiklikler ve "zayıf" noktalar hakkında. MaxPatrol karşılaştırmada lider olduğu için kendisine yöneltilen eleştiri "maksimum" olacaktır.

Birincisi, sözde "küçük şeylerde kaybetmek". Çok yüksek kaliteli bir motora sahip olarak, örneğin manuel olarak bir şeyler yapmanıza olanak tanıyan kullanışlı araçlar, güvenlik açıklarını aramak için araçlar ve sistemde "ince ayar yapma" yeteneği gibi ilgili ek hizmetleri sunmak önemlidir. MaxPatrol, XSpider geleneğini sürdürüyor ve maksimum düzeyde "tıkla ve işe yarar" ideolojisine odaklanıyor. Bu bir yandan kötü değil, diğer yandan “titiz” analisti sınırlıyor.

İkincisi, bazı hizmetler "ortaya çıkmamıştı" (bunu bu karşılaştırmanın sonuçlarından anlayabilirsiniz), örneğin IKE (bağlantı noktası 500).

Üçüncüsü, bazı durumlarda, örneğin yukarıda açıklanan SSH örneğinde olduğu gibi, iki kontrolün sonuçlarının birbiriyle temel karşılaştırmasının eksikliği vardır. Yani, birkaç kontrolün sonuçlarına dayanan hiçbir sonuç yoktur. Örneğin, host4'ün işletim sistemi Windows olarak sınıflandırıldı ve PPTP hizmeti "satıcısı" Linux olarak sınıflandırıldı. Sonuç çıkarabilir miyiz? Örneğin, işletim sistemi tanım alanındaki raporda bunun "karma" bir düğüm olduğunu belirtin.

Dördüncüsü, kontrollerin açıklaması arzulanan çok şey bırakıyor. Ancak burada MaxPatrol'ün diğer tarayıcılarla eşit olmayan koşullarda olduğu anlaşılmalıdır: tüm tanımların Rusça'ya yüksek kaliteli çevirisi çok emek yoğun bir iştir.

Nessus tarayıcısı genel olarak iyi sonuçlar verdi ve bazı noktalarda MaxPatrol tarayıcısından daha doğruydu. Nessus'un geride kalmasının ana nedeni, güvenlik açıklarının göz ardı edilmesidir; ancak diğer birçok tarayıcı gibi veritabanındaki kontrollerin eksikliğinden değil, uygulama özelliklerinden kaynaklanmaktadır. Öncelikle (ve boşlukların önemli bir kısmının nedeni budur), Nessus tarayıcısında “yerel” veya “yerel” veya sistem kontrolleri, bir hesapla bağlantı gerektiriyor. İkinci olarak Nessus tarayıcısı, güvenlik açıkları hakkında daha az bilgi kaynağını (MaxPatrol'e kıyasla) dikkate alır. Bu, büyük ölçüde SecurityFocus'a dayanan SSS tarayıcısına biraz benzer.

5. Bu karşılaştırmanın sınırlamaları

Karşılaştırma sırasında, tarayıcıların yetenekleri yalnızca tek bir görev bağlamında incelendi; ağ çevre düğümlerinin bilgisayar korsanlığına karşı direncinin test edilmesi. Örneğin bir araba benzetmesi yaparsak, farklı arabaların örneğin kaygan bir yolda nasıl davrandığını gördük. Ancak, aynı tarayıcılarla çözümü tamamen farklı görünebilecek başka görevler de var. Yakın gelecekte aşağıdaki gibi sorunları çözerken tarayıcıların karşılaştırılması planlanmaktadır:

• Sistem denetimlerinin gerçekleştirilmesi hesap
• PCI DSS Uyumluluk Değerlendirmesi
• Windows sistemlerini tarama

Ayrıca tarayıcıların resmi kriterler kullanılarak karşılaştırılması da planlanıyor.

Bu karşılaştırma sırasında yalnızca "motorun" kendisi veya modern terimlerle tarayıcının "beyni" test edildi. Ek hizmetler (raporlar, tarama ilerlemesine ilişkin bilgilerin kaydedilmesi vb.) açısından yetenekler hiçbir şekilde değerlendirilmemiş veya karşılaştırılmamıştır.

Ayrıca tehlikenin derecesi ve bulunan güvenlik açıklarından yararlanma yeteneği de değerlendirilmedi. Bazı tarayıcılar kendilerini "küçük" düşük riskli güvenlik açıklarıyla sınırlandırırken, diğerleri sisteme erişime izin veren gerçekten kritik güvenlik açıklarını belirledi.

Güvenlik tarayıcısı: ağdaki güvenlik açıklarını tespit eder, güncellemeleri ve yamaları yönetir, sorunları otomatik olarak düzeltir, yazılım ve donanımı denetler. GFI Ağ Güvenliği">Ağ Güvenliği 2080

Ağ güvenliği tarayıcısı ve merkezi güncelleme yönetimi

GFI LanGuard sanal güvenlik danışmanı olarak çalışmaktadır:

— Windows®, Mac OS® ve Linux® güncellemelerini yönetir

— Bilgisayarlardaki güvenlik açıklarını tespit eder ve mobil cihazlar

- Denetimleri gerçekleştirir ağ cihazları ve yazılım

GFI Languard her boyuttaki ağ için bir güvenlik tarayıcısıdır: ağ bağlantı noktası ve güvenlik açığı tarayıcısı, güvenlik tarayıcısı, ağdaki delikleri otomatik olarak bulur

GFI Languard her boyuttaki ağ için bir güvenlik tarayıcısıdır: ağ bağlantı noktası ve güvenlik açığı tarayıcısı, güvenlik tarayıcısı, ağdaki delikleri otomatik olarak bulur

GFI LanGuard nedir?

Bir güvenlik açığı tarayıcısından daha fazlası!

GFI LanGuard bir ağ güvenlik tarayıcısıdır: ağdaki güvenlik açıklarını algılar, tanımlar ve düzeltir. Tam bağlantı noktası taramaları, ağınızı korumak için gerekli yazılım güncellemelerinin bulunması ve yazılım ve donanım denetiminin tümü tek bir kontrol panelinden mümkündür.

Bağlantı noktası tarayıcı

Önceden hazırlanmış çeşitli tarama profilleri, tüm bağlantı noktalarında tam tarama yapmanıza ve yalnızca istenmeyen ve kötü amaçlı yazılımlar tarafından yaygın olarak kullanılanları hızlı bir şekilde kontrol etmenize olanak tanır. GFI LanGuard birden fazla ana bilgisayarı aynı anda tarayarak gerekli süreyi önemli ölçüde azaltır ve ardından meşgul bağlantı noktalarında bulunan yazılımı beklenen yazılımla karşılaştırır.

Güncellemeler ve yamalar

Kurulumdan önce En son güncellemeler Bilgisayar korsanlarının ağınıza sızmak için kullandığı güncel yamalar ve güncellemeler kapsamındaki en son güvenlik açıkları olduğundan düğümleriniz tamamen korumasızdır. İşletim sistemindeki yerleşik araçların aksine, GFI LanGuard yalnızca işletim sisteminin kendisini değil aynı zamanda güvenlik açıkları genellikle bilgisayar korsanlığı için kullanılan popüler yazılımları da denetleyecektir: Adobe Acrobat/Reader, Flash player, Skype, Outlook, tarayıcılar, anlık mesajlaşma programları.

Düğüm denetimi

GFI LanGuard sizin için hazırlanacak detaylı liste Her bilgisayara yüklenen yazılım ve donanım, yasaklanmış veya eksik programların yanı sıra gereksiz bağlı cihazları da tespit edecektir. Birden fazla taramanın sonuçları, yazılımdaki değişiklikleri tanımlamak için karşılaştırılabilir ve donanım.

En son tehdit istihbaratı

Her tarama, GFI LanGuard veritabanındaki sayısı halihazırda 50.000'i aşmış olan güvenlik açıklarına ilişkin veriler güncellendikten sonra gerçekleştirilir. Tehdit bilgileri yazılım satıcılarının yanı sıra güvenilir SANS ve OVAL listeleri tarafından da sağlanır; böylece kalp kanaması, gizli, kabuk şoku, kaniş, kum kurdu ve daha fazlası dahil olmak üzere en yeni tehditlere karşı her zaman korunursunuz.

Otomatik düzeltme

Her bir güvenlik açığının açıklamasını ve bağlantılarını içeren ayrıntılı bir tarama raporu aldıktan sonra daha fazla okuma, çoğu tehdidi "Düzelt" düğmesine tek tıklamayla düzeltebilirsiniz: bağlantı noktaları kapatılacak, kayıt defteri anahtarları düzeltilecek, yamalar yüklenecek, yazılım güncellenecek, yasaklanmış programlar kaldırılacak ve eksik programlar yüklenecek.