Internet ablakok Android
Kiterjed
itthon

A legjobb tolltesztelő eszközök: biztonsági szkennerek. Hálózati sebezhetőségek hatékony keresése a Nessus Scannerrel Sebezhetőségek keresése hálózati eszközökön

A sebezhetőség-ellenőrzők automatizálják a biztonsági ellenőrzést, és fontos szerepet játszhatnak az informatikai biztonságban azáltal, hogy különféle biztonsági kockázatokat keresnek a hálózaton és a webhelyeken. Ezek a szkennerek egy prioritási listát is létrehozhatnak a javítandókról, valamint leírhatják a sebezhetőségeket és javító intézkedéseket tehetnek. Az is lehetséges, hogy egyesek automatizálhatják a sebezhetőségek javításának folyamatát
A 10 legjobb sebezhetőséget értékelő eszköz

  • Comodo HackerProof
  • OpenVAS
  • Neexpose közösség
  • Nikto
  • Tripwire IP360
  • Wireshark
  • Repülés
  • Nessus Professional
  • Retina CS közösség
  • Microsoft Baseline Security Analyzer (MBSA)
  1. Comodo HackerProof
    A Comodo HackerProof egy forradalmian új sebezhetőség-ellenőrző eszköz, amely lehetővé teszi a biztonsági problémák leküzdését. Az alábbiakban felsorolunk néhány fő előnyt, amelyet a HackerProof nyújt:
  • Napi sebezhetőségi vizsgálat
  • PCI lapolvasó eszközöket tartalmaz
  • Drive-by támadás megelőzés
2.OpenVAS
Ez egy nyílt forráskódú eszköz, amely központi szolgáltatásként szolgál, amely sebezhetőségértékelési eszközöket biztosít a sebezhetőségek vizsgálatához és a sebezhetőség kezeléséhez.
  • Az OpenVAS különféle operációs rendszereket támogat
  • Az OpenVAS keresőmotor folyamatosan frissül a hálózati sebezhetőségi tesztekkel
  • Az OpenVAS Scanner egy átfogó sebezhetőség-elemző eszköz, amely azonosítja a biztonsággal kapcsolatos problémákat a szervereken és más hálózati eszközökön.
  • Az OpenVAS-szolgáltatások ingyenesek, és általában a GNU General Public License (GPL) alatt vannak licencelve.
3. Neexpose közösség
A Rapid7 által fejlesztett Nexpose Vulnerability Scanner egy nyílt forráskódú eszköz a sebezhetőségek vizsgálatára és a hálózati ellenőrzések széles körének végrehajtására.
  • A Nexpose beépíthető a Metaspoilt keretrendszerbe
  • Figyelembe veszi a sebezhetőség korát, például azt, hogy milyen rosszindulatú programcsomagot használ, milyen előnyöket használ stb., és prioritása alapján kijavítja a problémát
  • Képes automatikusan észlelni és átvizsgálni az új eszközöket, és felmérni a sebezhetőségeket a hálózathoz való hozzáféréskor
  • Valós időben figyeli a sebezhetőségeket, és új adatokkal ismerkedik meg a legújabb veszélyekkel
  • A legtöbb sebezhetőség-ellenőrző általában közepes, magas vagy alacsony skálán osztályozza a kockázatokat
4. Nikto
A Nikto egy nagyon népszerű nyílt forráskódú webrobot, amelyet a valószínű problémák és sebezhetőségek felmérésére használnak.
  • Arra is használható, hogy ellenőrizze a kiszolgáló elavult verzióit, valamint minden olyan konkrét problémát, amely befolyásolja a kiszolgáló működését.
  • A Nikto-t különféle tesztek futtatására használják webszervereken különféle elemek, például veszélyes fájlok vizsgálatára.
  • Nem tekinthető "néma" eszköznek, és a webszerver minimális időn belüli tesztelésére szolgál.
  • Különféle protokollok, például HTTPS, HTTP stb. vizsgálatára szolgál. Ez az eszköz lehetővé teszi egy adott szerver több portjának vizsgálatát.
5. Tripwire IP360
A Tripwire Inc. által kifejlesztett Tripwire IP360 a különböző vállalatok által biztonsági kockázataik kezelésére használt legjobb sebezhetőség-felmérő megoldás.
  • A hálózatok széles skáláját használja, hogy felfedje az összes sebezhetőséget, konfigurációt, alkalmazást, hálózati gazdagépet és még sok mást.
  • Nyílt szabványokat használ a kockázat- és sebezhetőség-kezelés integrálásához több üzleti folyamatban.
6 Wireshark
A Wireshark egy széles körben használt hálózati protokoll-elemző, és a biztonsági szakemberek eszköztárának leghatékonyabb eszköze.
  • A Wiresharkot különféle adatfolyamokban használják, például kormányzati szervekben, vállalatokban, oktatási intézményekben stb.
  • Megoldja a problémákat online, és offline elemzést végez
  • Különböző platformokon fut, mint például Linux, masOS, Windows, Solaris stb.
7.Légitörés
Az Aircrack, más néven Aircrack-NG, egy olyan eszközkészlet, amelyet a WiFi hálózat biztonságának felmérésére használnak.
  • Hálózati auditáláshoz használt eszközök
  • Több operációs rendszert támogat, például Linux, OS X, Solaris, NetBSD, Windows stb.
  • A WiFi biztonság különböző területeire összpontosít, mint például a csomag- és adatfigyelés, az illesztőprogramok és a kártyák tesztelése, a visszajátszási támadások, a hackelés stb.
  • Az Aircrack adatcsomagok rögzítésével visszakeresheti az elveszett kulcsokat
8. Nessus Professional
A Nessus eszköz a Tenable Network Security által létrehozott szabadalmaztatott és szabadalmaztatott sebezhetőség-ellenőrző.
  • A sebezhetőségek mielőbbi felmérésével megakadályozza, hogy hackerek beszivárogjanak a hálózatokba
  • Képes olyan sérülékenységeket keresni, amelyek lehetővé teszik az érzékeny adatok távolról történő feltörését a rendszerből
  • Támogatja az operációs rendszer, a Dbs, az alkalmazások és számos más eszköz széles skáláját a felhő infrastruktúrák, virtuális és fizikai hálózatok között
  • Felhasználók milliói telepítették és használják szerte a világon a sebezhetőségek, konfigurációs problémák stb.
9. Retina CS közösség
A Retina CS egy nyílt forráskódú konzol és webes irányítópult, amely segített a sebezhetőségek kezelésének egyszerűsítésében és központosításában.
  • A Retina CS olyan képességeivel, mint a megfelelőségi jelentés, a javítás és a konfigurációs megfelelőség, platformok közötti sebezhetőségi felmérést tesz lehetővé.
  • Magában foglalja az adatbázisok, webalkalmazások, munkaállomások és szerverek automatikus sebezhetőségének értékelését
  • A Retina CS egy nyílt forráskódú alkalmazás, amely teljes mértékben támogatja a virtuális környezeteket, például a vCenter integrációt, a virtuális alkalmazások vizsgálatát stb.
10. Microsoft Baseline Security Analyzer (MBSA)
Az MBSA egy ingyenes Microsoft-eszköz, amely ideális a Windows rendszerű számítógépek biztonságossá tételére a Microsoft specifikációi vagy irányelvei alapján.
  • Az MBSA lehetővé teszi a biztonsági szint növelését azáltal, hogy egy számítógépcsoportot megvizsgál, hogy nincs-e hibás konfiguráció, hiányzó frissítések és biztonsági javítások stb.
  • Csak biztonsági frissítéseket, szervizcsomagokat és összesített frissítéseket tud keresni, a kritikus és opcionális frissítéseket figyelmen kívül hagyva.
  • Közepes és kis szervezetek használják hálózataik biztonságának kezelésére.
  • A rendszer átvizsgálása után az MBSA számos megoldást vagy javaslatot mutat be a sebezhetőségek kiküszöbölésével kapcsolatban

A hálózati féregjárvány problémája minden helyi hálózat számára releváns. Előbb-utóbb olyan helyzet állhat elő, amikor egy hálózati vagy levelezőféreg behatol a LAN-ba, amit a használt vírusirtó nem észlel. A hálózati vírusok a LAN-on keresztül terjednek az operációs rendszer sérülékenységein keresztül, amelyeket a fertőzés időpontjában nem zártak le, vagy megosztott, írható erőforrásokon keresztül. A levelezővírus, ahogy a neve is sugallja, e-mailben terjed, feltéve, hogy nem blokkolja a kliens vírusirtója és a levelezőszerveren lévő víruskereső. Ráadásul a LAN-ban a járvány belülről is megszerveződhet egy bennfentes tevékenységének eredményeként. Ebben a cikkben megvizsgáljuk a LAN számítógépek működési elemzésének gyakorlati módszereit különféle eszközök segítségével, különösen a szerző AVZ segédprogramjával.

A probléma megfogalmazása

Ha járványt vagy valamilyen rendellenes tevékenységet észlel a hálózaton, az adminisztrátornak azonnal meg kell oldania legalább három feladatot:

  • észleli a fertőzött számítógépeket a hálózaton;
  • keressen rosszindulatú programmintákat, amelyeket elküldhet a víruskereső laboratóriumnak, és dolgozzon ki ellenintézkedési stratégiát;
  • tegyen intézkedéseket a vírus LAN-on való terjedésének megakadályozására és a fertőzött számítógépeken történő megsemmisítésére.

Bennfentes tevékenység esetén a fő elemzési lépések megegyeznek, és leggyakrabban a bennfentes által a LAN számítógépekre telepített harmadik féltől származó szoftverek észlelésére vezethetők vissza. Ilyen szoftverek például a távoli adminisztrációs segédprogramok, a billentyűnaplózók és a különféle trójai könyvjelzők.

Tekintsük részletesebben az egyes feladatok megoldását.

Keresse meg a fertőzött számítógépeket

Legalább három módszer használható fertőzött számítógépek keresésére a hálózaton:

  • automatikus távoli PC-elemzés - információszerzés a futó folyamatokról, betöltött könyvtárakról és illesztőprogramokról, jellemző minták keresése - például adott nevű folyamatok vagy fájlok;
  • PC forgalom tanulmányozása szippantó segítségével - ez a módszer nagyon hatékony a spam botok, levelek és hálózati férgek elkapására, azonban a szippantó használatának fő nehézsége abból adódik, hogy a modern LAN kapcsolókra épül, és pl. ennek eredményeként a rendszergazda nem tudja felügyelni a teljes hálózat forgalmát. A probléma kétféleképpen oldható meg: egy szippantó futtatásával a routeren (amely lehetővé teszi a PC-s adatcsere figyelését az Internettel) és a kapcsolók felügyeleti funkcióinak használatával (sok modern kapcsoló lehetővé teszi egy megfigyelő port hozzárendelését, amelyhez a az adminisztrátor által megadott egy vagy több kapcsolóport forgalma megkettőződik);
  • a hálózati terhelés tanulmányozása - ebben az esetben nagyon kényelmes az intelligens kapcsolók használata, amelyek nemcsak a terhelés becslését teszik lehetővé, hanem a rendszergazda által megadott portok távoli letiltását is. Ez a művelet nagymértékben leegyszerűsödik, ha az adminisztrátor rendelkezik egy hálózati térképpel, amely tartalmazza azokat az adatokat, amelyeken a PC-k csatlakoznak a switch megfelelő portjaihoz, és hol találhatók;
  • csapdák használata (honeypot) - erősen ajánlott több csapda létrehozása a helyi hálózatban, amelyek lehetővé teszik a rendszergazda számára, hogy időben észlelje a járványt.

A hálózatban lévő PC-k automatikus elemzése

Az automatikus PC-elemzés három fő lépésre redukálható:

  • a számítógép teljes körű tanulmányozása - futó folyamatok, betöltött könyvtárak és illesztőprogramok, automatikus futtatás;
  • operatív felmérés lebonyolítása - például jellemző folyamatok vagy fájlok keresése;
  • objektum karanténba bizonyos kritériumok szerint.

A fenti feladatok mindegyike megoldható az AVZ szerzői segédprogramjával, amely a szerveren lévő hálózati mappából indítható, és támogatja a szkriptnyelvet az automatikus PC-vizsgálathoz. Az AVZ futtatásához a felhasználók számítógépén a következőket kell tennie:

  1. Helyezze az AVZ-t egy olvasható hálózati mappába a kiszolgálón.
  2. Hozzon létre LOG és Quarantine alkönyvtárakat ebben a mappában, és engedélyezze a felhasználók számára, hogy írjanak beléjük.
  3. Indítsa el az AVZ-t LAN számítógépeken a rexec segédprogram vagy egy bejelentkezési parancsfájl használatával.

Az AVZ 3. lépésben történő elindítását a következő paraméterekkel kell végrehajtani:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

Ebben az esetben a Priority=-1 paraméter csökkenti az AVZ folyamat prioritását, az nw=Y és nq=Y paraméterek a karantént "hálózatindítás" módba kapcsolják (ebben az esetben egy alkönyvtár jön létre a karantén mappában minden számítógépnél, amelynek neve megegyezik a számítógép hálózati nevével) a HiddenMode=2 arra utasítja a felhasználót, hogy megtagadja a hozzáférést a grafikus felhasználói felülethez és az AVZ vezérléshez, végül a legfontosabb paraméter, a Script parancsokkal adja meg a szkript teljes nevét. amelyet az AVZ a felhasználó számítógépén fog végrehajtani. Az AVZ szkriptnyelv használata meglehetősen egyszerű, és kizárólag a számítógép vizsgálatával és kezelésével kapcsolatos problémák megoldására összpontosít. A szkriptek írási folyamatának leegyszerűsítésére használhatunk speciális szkriptszerkesztőt, amely promptot, tipikus szkriptek létrehozására szolgáló varázslót, valamint egy megírt szkript helyességét futtatás nélkül ellenőrző eszközöket tartalmaz (1. ábra).

Rizs. 1. AVZ szkriptszerkesztő

Nézzünk meg három tipikus szkriptet, amelyek hasznosak lehetnek a járvány elleni küzdelemben. Először is szükségünk van egy számítógépes kutatási szkriptre. A szkript feladata, hogy megvizsgálja a rendszert, és az eredményekkel egy protokollt készítsen egy adott hálózati mappában. A script így néz ki:

ActivateWatchDog(60 * 10);

// Indítsa el a keresést és az elemzést

// Fedezze fel a rendszert

ExecuteSysCheck(GetAVZDirectory+

‘\LOG\’+GetComputerName+’_log.htm’);

//Az AVZ leállítása

Ennek a szkriptnek a végrehajtása során a LOG mappában (feltételezzük, hogy a szerver AVZ könyvtárában hozták létre, és a felhasználók számára elérhető) HTML fájlok jönnek létre a hálózati számítógépek vizsgálatának eredményeivel, és az egyediség biztosítása érdekében a protokollnévben szerepel a vizsgált számítógép neve. A szkript elején van egy parancs a watchdog időzítő bekapcsolására, amely 10 perc elteltével erőszakkal leállítja az AVZ folyamatot, ha a szkript végrehajtása során hibák lépnének fel.

Az AVZ protokoll kényelmes a kézi tanulmányozáshoz, de az automatizált elemzéshez kevés haszna van. Ezenkívül a rendszergazda gyakran ismeri a rosszindulatú program fájlnevét, és csak ellenőriznie kell a fájl meglétét vagy hiányát, és ha van, karanténba kell helyeznie elemzés céljából. Ebben az esetben a következő szkriptet használhatja:

// A watchdog időzítő engedélyezése 10 percre

ActivateWatchDog(60 * 10);

// Rosszindulatú programok keresése név szerint

QuarantineFile('%WinDir%\smss.exe', 'LdPinch.gen gyanús');

QuarantineFile('%WinDir%\csrss.exe', 'LdPinch.gen gyanús');

//Az AVZ leállítása

Ez a szkript a QuarantineFile függvényt használja, amely megkísérli karanténba helyezni a megadott fájlokat. A rendszergazdának csak a karantén tartalmát kell elemeznie (Karantén\hálózati_számítógép_neve\karantén_dátuma\ mappa) a karanténba helyezett fájlok esetében. Felhívjuk figyelmét, hogy a QuarantineFile funkció automatikusan blokkolja a biztonságos AVZ adatbázis vagy a Microsoft EDS adatbázis által azonosított fájlok karanténba helyezését. A gyakorlati használat érdekében ez a szkript továbbfejleszthető - szervezze meg a fájlnevek betöltését egy külső szöveges fájlból, ellenőrizze a talált fájlokat az AVZ adatbázisokkal, és készítsen szöveges protokollt a munka eredményeivel:

// Fájl keresése a megadott néven

function CheckByName(Fname: string) : logikai;

Eredmény:= FájlLétez(FName) ;

ha eredmény, akkor kezdje

eset CheckFile(FName) of

1: S:= ', a fájl hozzáférés blokkolva';

1: S:= ', rosszindulatú programként azonosítva ('+GetLastCheckTxt+')';

2: S:= ', a fájlszkenner gyanítja ('+GetLastCheckTxt+')';

3: kilépés; // A biztonságos fájlok figyelmen kívül hagyása

AddToLog('A '+NormalFileName(FName)+' fájl neve gyanús'+S);

//A megadott fájl hozzáadása a karanténhoz

QuarantineFile(FName,'gyanús fájl'+S);

SuspNames: TStringList; // A gyanús fájlok nevének listája

// Fájlok ellenőrzése a frissített adatbázisban

ha FileExists(GetAVZDirectory + 'files.db'), akkor kezdődik

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('Name adatbázis betöltve - bejegyzések száma = '+inttostr(SuspNames.Count));

// Keresési hurok

i:= 0 esetén SuspNames.Count - 1 do

CheckByName(Függőnevek[i]);

AddToLog('Hiba a fájlnevek listájának betöltésekor');

SaveLog(GetAVZDirectory+'\LOG\'+

GetComputerName+'_files.txt');

Ahhoz, hogy ez a szkript működjön, létre kell hozni az AVZ mappában a felhasználók által írható Karantén és LOG könyvtárakat, valamint a files.db szövegfájlt – ennek a fájlnak minden sora tartalmazza a gyanús fájl nevét. A fájlnevek makrókat tartalmazhatnak, amelyek közül a leghasznosabb a %WinDir% (a Windows mappa elérési útja) és a %SystemRoot% (a System32 mappa elérési útja). Az elemzés másik iránya lehet a felhasználók számítógépén futó folyamatok listájának automatikus tanulmányozása. A futó folyamatokkal kapcsolatos információk a rendszerkutatási protokollban érhetők el, de az automatikus elemzéshez kényelmesebb a következő szkriptrészlet használata:

eljárás ScanProcess;

S:=''; S1:='';

// Folyamatlista frissítése

RefreshProcessList;

AddToLog('Folyamatok száma = '+IntToStr(GetProcessCount));

// A fogadott lista elemzési ciklusa

i:= 0 esetén GetProcessCount - 1 kezdődik

S1:= S1 + ',' + ExtractFileName(GetProcessName(i));

// Folyamat keresése név szerint

if pos('trojan.exe', LowerCase(GetProcessName(i))) > 0 then

S:= S + GetProcessName(i)+',';

ha S<>''akkor

AddLineToTxtFile(GetAVZDirectory+'\LOG\_alarm.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S);

AddLineToTxtFile(GetAVZDirectory+'\LOG\_all_process.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S1);

Ebben a szkriptben a folyamatok vizsgálata külön ScanProcess eljárásként történik, így könnyen elhelyezhető saját szkriptben. A ScanProcess eljárás két folyamatlistát épít fel: egy teljes listát a folyamatokról (későbbi elemzéshez) és egy listát azokról a folyamatokról, amelyek a rendszergazda szempontjából veszélyesnek minősülnek. Ebben az esetben a demonstrációhoz a „trojan.exe” nevű folyamat veszélyesnek minősül. A veszélyes folyamatokkal kapcsolatos információk az _alarm.txt szövegfájlba, az összes folyamat adatai az _all_process.txt fájlba kerülnek. Könnyen belátható, hogy bonyolíthatja a szkriptet, ha hozzáadja például a folyamatfájlokat a biztonságos fájlok adatbázisához, vagy a folyamat futtatható fájlok nevét egy külső adatbázishoz. Hasonló eljárást alkalmaznak a Smolenskenergo-ban használt AVZ-szkriptekben is: a rendszergazda időszakonként megvizsgálja az összegyűjtött információkat, és módosítja a szkriptet a biztonsági szabályzat által tiltott programok folyamatainak nevének hozzáadásával, például az ICQ és a MailRu.Agent, amely lehetővé teszi a gyorsan ellenőrizheti a tiltott szoftverek jelenlétét a vizsgált számítógépeken. A folyamatlista másik felhasználási módja az, hogy megtalálja azokat a PC-ket, amelyeken hiányzik egy szükséges folyamat, például egy vírusirtó.

Végezetül tekintsük az utolsó hasznos elemző szkriptet – a szkriptet, amely az összes olyan fájl automatikus karanténba helyezésére szolgál, amelyet a biztonságos AVZ adatbázis és a Microsoft EDS adatbázis nem ismer fel:

// Automatikus karantén végrehajtása

ExecuteAutoQuarantine;

Az automatikus karantén megvizsgálja a futó folyamatokat és a betöltött könyvtárakat, szolgáltatásokat és illesztőprogramokat, mintegy 45 automatikus indítási módszert, böngésző és felfedező bővítmény modulokat, SPI/LSP kezelőket, ütemező feladatokat, nyomtatási rendszer kezelőket stb. A karantén jellemzője, hogy újrapróbálkozási vezérléssel adják hozzá a fájlokat, így az automatikus karantén funkció többször is meghívható.

Az automatikus karantén előnye, hogy segítségével az adminisztrátor gyorsan összegyűjtheti a potenciálisan gyanús fájlokat a hálózat összes számítógépéről tanulmányozás céljából. A fájlok tanulmányozásának legegyszerűbb (de a gyakorlatban nagyon hatékony) formája a beérkezett karantén ellenőrzése több népszerű antivírussal maximális heurisztikus módban. Megjegyzendő, hogy az Auto-Quarantine egyidejű elindítása több száz számítógépen nagy terhelést jelenthet a hálózaton és a fájlszerveren.

Forgalomkutatás

A forgalomkutatást háromféleképpen lehet elvégezni:

  • kézi szippantókkal;
  • félautomata módban - ebben az esetben a szippantó információkat gyűjt, majd a protokolljait manuálisan vagy valamilyen szoftverrel dolgozza fel;
  • automatikusan behatolásérzékelő rendszereket (IDS) használnak, mint például a Snort (http://www.snort.org/) vagy azok szoftveres vagy hardveres társai. A legegyszerűbb esetben az IDS egy szippantóból és egy rendszerből áll, amely elemzi a szippantó által gyűjtött információkat.

A behatolásérzékelő rendszer a legjobb eszköz, mert lehetővé teszi szabálykészletek létrehozását a hálózati tevékenység anomáliáinak észlelésére. Második előnye a következő: a legtöbb modern IDS lehetővé teszi forgalomfigyelő ügynökök elhelyezését több hálózati csomóponton – az ügynökök információkat gyűjtenek és továbbítanak. Szippantó használata esetén nagyon kényelmes a tcpdump UNIX konzolsniffer használata. Például a 25-ös porton (SMTP-protokoll) végzett tevékenység figyeléséhez futtassa a sniffert a következő parancssorral:

tcpdump -i em0 -l tcp 25-ös port > smtp_log.txt

Ebben az esetben a csomagok rögzítése az em0 interfészen keresztül történik; a rögzített csomagokkal kapcsolatos információk az smtp_log.txt fájlban lesznek tárolva. A protokoll viszonylag könnyen elemezhető manuálisan, ebben a példában a 25-ös porton végzett tevékenység elemzése lehetővé teszi az aktív spamrobotokkal rendelkező számítógép kiszámítását.

Honeypot alkalmazás

Csapdaként (Honeypot) egy elavult számítógépet használhat, amelynek teljesítménye nem teszi lehetővé gyártási problémák megoldására. Például a szerző hálózatában egy 64 MB RAM-mal rendelkező Pentium Pro sikeresen használható csapdaként. Ezen a számítógépen telepítse a LAN-on legáltalánosabb operációs rendszert, és válassza ki az egyik stratégiát:

  • Szervizcsomagok nélküli operációs rendszer telepítése - ez egy aktív hálózati féreg megjelenését jelzi a hálózaton, amely kihasználja az operációs rendszer ismert sebezhetőségeit;
  • telepítsen egy operációs rendszert a hálózat többi számítógépére telepített frissítésekkel - a Honeypot bármelyik munkaállomás analógja lesz.

Mindegyik stratégiának megvannak a maga előnyei és hátrányai; a szerző többnyire a no-update opciót alkalmazza. A Honeypot létrehozása után hozzon létre egy lemezképet, hogy gyorsan visszaállítsa a rendszert, miután kártevők megsérültek. A lemezkép alternatívájaként használhat megváltoztatási visszaállítási rendszereket, például a ShadowUser-t és analógjait. A Honeypot megépítése után figyelembe kell venni, hogy számos hálózati féreg keresi a fertőzött számítógépeket a fertőzött számítógép IP-címéből számolt IP-tartomány átvizsgálásával (gyakori tipikus stratégiák a X.X.X.*, X.X.X+1.* , X.X.X-1.*), - ezért ideális esetben mindegyik alhálózaton legyen egy Honeypot. További előkészítő elemként a Honeypot rendszeren több mappa elérését szükséges megnyitni, és ezekbe a mappákba több különböző formátumú mintafájlt kell elhelyezni, a minimális készlet EXE, JPG, MP3.

Természetesen a Honeypot létrehozása után az adminisztrátornak figyelemmel kell kísérnie annak működését, és reagálnia kell a számítógépen talált rendellenességekre. Az auditorok a változások regisztrálására, a szippantó pedig a hálózati tevékenység regisztrálására használható. Fontos szempont, hogy a legtöbb szippantó lehetőséget biztosít arra, hogy beállítsa, hogy egy adott hálózati tevékenység észlelése esetén riasztást küldjön a rendszergazdának. Például a CommView snifferben a szabály magában foglalja egy "képlet" megadását, amely leír egy hálózati csomagot, vagy mennyiségi kritériumokat állít be (másodpercenként meghatározott számú csomag vagy bájtnál több küldése, csomagok küldése ismeretlen IP- vagy MAC-címekre) ábra. 2.

Rizs. 2. Hozzon létre és konfiguráljon egy hálózati tevékenység riasztást

A riasztás legjobb módja az adminisztrátor postafiókjába küldött e-mail üzenetek használata, ilyenkor valós idejű riasztásokat kaphat a hálózat összes csapdájáról. Ezen túlmenően, ha a szippantó lehetővé teszi több riasztás létrehozását, akkor érdemes megkülönböztetni a hálózati tevékenységet az e-mail, FTP / HTTP, TFTP, Telnet, MS Net, megnövekedett forgalom, több mint 20-30 csomag/másodperc kiemelésével. bármely protokollhoz (3. ábra) .

Rizs. 3. Értesítő levél elküldve
ha a megadott feltételeknek megfelelő csomagokat talál

A csapda szervezésekor célszerű több, a hálózaton használt sebezhető hálózati szolgáltatást elhelyezni, vagy ezek emulátorát telepíteni. A legegyszerűbb (és ingyenes) a szerzői APS segédprogram, amely telepítés nélkül működik. Az APS működési elve arra redukálódik, hogy meghallgatja az adatbázisában leírt TCP és UDP portok halmazát, és a csatlakozáskor előre meghatározott vagy véletlenszerűen generált választ ad ki (4. ábra).

Rizs. 4. Az APS segédprogram fő ablaka

Az ábrán a Smolenskenergo LAN-ban valós APS-művelet során készült képernyőkép látható. Amint az ábrán látható, az egyik kliens számítógépet a 21-es porton próbálták csatlakoztatni. A protokollok elemzése azt mutatta, hogy a próbálkozások periodikusak, a hálózatban több csapda rögzíti, amiből arra következtethetünk, hogy a hálózat ellenőrzi, hogy jelszavak kitalálásával FTP-kiszolgálókat találjon és törjön fel. Az APS naplóz, és üzeneteket küldhet a rendszergazdáknak, jelezve a felügyelt portokhoz regisztrált kapcsolatokat, ami hasznos a hálózati vizsgálatok gyors észleléséhez.

Honeypot építésekor hasznos lehet a témával kapcsolatos online források megtekintése is, például a http://www.honeynet.org/. A webhely Eszközök részében (http://www.honeynet.org/tools/index.html) számos eszközt találhat a támadások rögzítésére és elemzésére.

Távoli rosszindulatú programok eltávolítása

Ideális esetben az adminisztrátor a kártevő-minták észlelése után elküldi azokat a vírusirtó laboratóriumba, ahol az elemzők gyorsan megvizsgálják őket, és a megfelelő aláírásokat hozzáadják a vírusvédelmi adatbázisokhoz. Ezek az aláírások automatikus frissítéssel kerülnek a felhasználók számítógépére, a vírusirtó pedig rendszergazdai beavatkozás nélkül automatikusan eltávolítja a rosszindulatú programokat. Ez a lánc azonban nem mindig a várt módon működik, különösen a következő okok lehetségesek a meghibásodásra:

  • a hálózati rendszergazdától független okok miatt előfordulhat, hogy a képek nem jutnak el a víruskereső laboratóriumba;
  • a vírusirtó laboratórium nem megfelelő hatékonysága - ideális esetben a minták tanulmányozása és az adatbázisokhoz való felvétele legfeljebb 1-2 órát vesz igénybe, vagyis egy munkanapon belül frissített aláírási adatbázisokat kaphat. Azonban nem minden vírusirtó laboratórium működik ilyen gyorsan, és a frissítések több napig (ritka esetben akár hetekig) is várhatók;
  • a víruskereső nagy teljesítménye - számos rosszindulatú program aktiválás után megsemmisíti a víruskeresőt vagy más módon megzavarja a munkájukat. Klasszikus példák erre: olyan bejegyzések a hosts fájlba, amelyek blokkolják a víruskereső automatikus frissítési rendszerének normál működését, törli a vírusvédelmi folyamatokat, szolgáltatásokat és illesztőprogramokat, megrongálja beállításait stb.

Ezért ezekben a helyzetekben manuálisan kell kezelnie a rosszindulatú programokat. A legtöbb esetben ez nem nehéz, mivel a számítógépek elemzésének eredményeiről ismert, hogy fertőzött számítógépek, valamint a rosszindulatú programok teljes neve. Már csak a távoli eltávolításuk van hátra. Ha a rosszindulatú program nincs védve az eltávolítástól, akkor a következő formátumú AVZ-szkripttel megsemmisíthető:

// Fájl törlése

DeleteFile('fájlnév');

ExecuteSysClean;

Ez a szkript töröl egy megadott fájlt (vagy több fájlt, mivel a szkriptben korlátlan számú DeleteFile parancs szerepelhet), majd automatikusan megtisztítja a rendszerleíró adatbázist. Bonyolultabb esetben egy rosszindulatú program megvédheti magát a törléstől (például újra létrehozhatja fájljait és rendszerleíró kulcsait), vagy rootkit technológiával álcázhatja magát. Ebben az esetben a szkript bonyolultabbá válik, és így fog kinézni:

// Anti-rootkit

SearchRootkit(igaz, igaz);

// AVZGuard vezérlés

SetAVZGuardStatus(true);

// Fájl törlése

DeleteFile('fájlnév');

// BootCleaner naplózás engedélyezése

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// Importálja a BootCleaner feladatba a szkript által törölt fájlok listáját

BC_ImportDeletedList;

// A BootCleaner aktiválása

// A rendszer heurisztikus tisztítása

ExecuteSysClean;

Windows újraindítása (true);

Ez a szkript magában foglalja a rootkitekkel szembeni aktív ellenállást, az AVZGuard rendszer (ez egy rosszindulatú programok blokkolása) és a BootCleaner rendszer használatát. A BootCleaner egy olyan illesztőprogram, amely eltávolítja a megadott objektumokat a KernelMode-ból az újraindítás során, a rendszerindítás korai szakaszában. A gyakorlat azt mutatja, hogy egy ilyen szkript képes megsemmisíteni a meglévő rosszindulatú programok túlnyomó részét. Kivételt képeznek a rosszindulatú programok, amelyek minden újraindításkor megváltoztatják a futtatható fájljainak nevét – ebben az esetben a rendszer tanulmányozása során talált fájlok átnevezhetők. Ebben az esetben manuálisan kell fertőtlenítenie a számítógépet, vagy létre kell hoznia saját kártevő-aláírásait (az aláíráskeresést megvalósító szkriptre egy példa az AVZ súgójában található).

Következtetés

Ebben a cikkben megvizsgáltunk néhány gyakorlati technikát a LAN-járvány kézi, vírusirtó termékek használata nélküli kezelésére. A leírt technikák többsége külföldi számítógép és trójai könyvjelzők keresésére is használható a felhasználók számítógépén. Ha nehézségei vannak a rosszindulatú programok megtalálásával vagy a fertőtlenítő szkriptek létrehozásával, a rendszergazda használhatja a http://virusinfo.info fórum "Súgó" vagy a http://forum.kaspersky.com/ "Vírusok elleni küzdelem" részét. index.php?showforum= tizennyolc. A protokollok tanulmányozása és a kezelésben való segítségnyújtás mindkét fórumon ingyenesen történik, a PC-elemzés az AVZ protokollok szerint történik, és a legtöbb esetben a kezelés egy AVZ szkript végrehajtásából áll a fertőzött PC-ken, amelyet tapasztalt állított össze. szakértők ezekről a fórumokról.

Mint látható, volt belőlük elég, és mindegyik nagyon veszélyes az általuk érintett rendszerekre. Fontos, hogy ne csak időben frissítse a rendszert az új sérülékenységek elleni védelem érdekében, hanem annak biztosítása is, hogy rendszere ne tartalmazzon olyan, már régóta megszüntetett sebezhetőséget, amelyet a hackerek használhatnak.

Itt jönnek a segítségre a Linux sebezhetőségi szkennerei. A sérülékenységelemző eszközök minden vállalat biztonsági rendszerének egyik legfontosabb összetevője. Az alkalmazások és rendszerek régi sebezhetőségeinek ellenőrzése kötelező. Ebben a cikkben áttekintjük a legjobb nyílt forráskódú sebezhetőség-ellenőrzőket, amelyek segítségével megtalálhatja a rendszerei és a programjai sebezhetőségét. Mindegyik teljesen ingyenes, és mind a hétköznapi felhasználók, mind a vállalati szektorban használható.

Az OpenVAS vagy Open Vulnerability Assessment System egy teljes nyílt forráskódú sebezhetőség-felderítő platform. A program a Nessus szkenner forráskódján alapul. Kezdetben ez a szkenner nyílt forráskódú volt, de aztán a fejlesztők úgy döntöttek, hogy lezárják a kódot, majd 2005-ben a Nessus nyílt verziója alapján létrehozták az OpenVAS-t.

A program szerver és kliens részekből áll. A szkennelő rendszerek fő munkáját végző szerver csak Linuxon fut, és a kliensprogramok is támogatják a Windowst, a szerver webes felületen keresztül érhető el.

A szkenner magja több mint 36 000 különböző sebezhetőség-ellenőrzésből áll, és minden nap frissül, új, újonnan felfedezettekkel. A program képes észlelni a futó szolgáltatások sérülékenységét, valamint megkeresi a helytelen beállításokat, például a hitelesítés hiányát vagy a nagyon gyenge jelszavakat.

2. Neexpose Community Edition

Ez egy másik nyílt forráskódú linuxos sebezhetőség kereső, amelyet a Rapid7 fejlesztett ki, ugyanaz a cég, amely kiadta a Metasploitot. A szkenner akár 68 000 ismert sebezhetőséget is képes észlelni, és több mint 160 000 hálózati ellenőrzést hajt végre.

A közösségi verzió teljesen ingyenes, de korlátozott, hogy egyszerre 32 IP-címet és csak egy felhasználót vizsgáljon meg. Ezenkívül az engedélyt minden évben meg kell újítani. Nincs webalkalmazás-ellenőrzés, de támogatja a sebezhetőségi adatbázis automatikus frissítését és a biztonsági résekkel kapcsolatos információk megszerzését a Microsoft Patch segítségével.

A program nem csak Linuxra, hanem Windowsra is telepíthető, a kezelés webes felületen keresztül történik. Ezzel beállíthatja a szkennelési paramétereket, IP-címeket és egyéb szükséges információkat.

A vizsgálat befejezése után megjelenik a sebezhetőségek listája, valamint a telepített szoftverrel és a kiszolgálón lévő operációs rendszerrel kapcsolatos információk. Jelentéseket is készíthet és exportálhat.

3. Burp Suite Free Edition

A Burp Suite egy Java nyelven írt webes sebezhetőség-ellenőrző. A program egy proxy szerverből, egy pókból, egy kérések generálására és stressztesztek végrehajtására szolgáló eszközből áll.

A Burp segítségével ellenőrizheti a webes alkalmazásokat. Például egy proxyszerver használatával elfoghatja és megtekintheti az összes átmenő forgalmat, és szükség esetén módosíthatja azt. Ezzel sok helyzetet szimulálhatsz. A pók segít megtalálni a webes sebezhetőségeket, a kérésgeneráló eszköz pedig a webszerver ellenálló képességét.

4. Arachni

Az Arachni egy teljes értékű nyílt forráskódú Ruby webalkalmazás tesztelési keretrendszer. Lehetővé teszi a webes alkalmazások és webhelyek biztonságának értékelését különféle penetrációs tesztek elvégzésével.

A program támogatja a hitelesítéssel végzett szkennelést, a fejlécek beállítását, az Aser-Agent hamisítás támogatását, a 404-es észlelés támogatását. Ezen kívül a program rendelkezik webes felülettel és parancssori felülettel, szüneteltetheti a vizsgálatot, majd átirányíthatja és általában minden nagyon gyorsan működik.

5. OWASP Zed Attack Proxy (ZAP)

Az OWASP Zed Attack Proxy egy másik átfogó eszköz a webalkalmazások sebezhetőségeinek felderítésére. Az ilyen típusú programok összes szabványos funkciója támogatott. Ellenőrizheti a portokat, ellenőrizheti az oldal szerkezetét, számos ismert sebezhetőséget kereshet, ellenőrizheti az ismétlődő kérések vagy hibás adatok helyes kezelését.

A program https-en működik, és különféle proxykat is támogat. Mivel a program Java nyelven íródott, nagyon könnyű telepíteni és használni. A főbb funkciókon kívül számos bővítmény található, amelyek lehetővé teszik a funkcionalitás nagymértékű növelését.

6. Claire

A Clair egy linuxos sebezhetőség-kereső konténerekben. A program tartalmaz egy listát azokról a sebezhetőségekről, amelyek veszélyesek lehetnek a tárolókra nézve, és figyelmezteti a felhasználót, ha ilyen sérülékenységet találtak a rendszeren. Ezenkívül a program értesítést küldhet, ha olyan új biztonsági rések jelennek meg, amelyek a tárolókat nem biztonságossá tehetik.

Minden tárolót egyszer ellenőriznek, és nem kell futtatni az ellenőrzéshez. A program az összes szükséges adatot ki tudja bontani a letiltott tárolóból. Ezeket az adatokat a gyorsítótárban tárolják, hogy a jövőben értesíteni tudjanak a sebezhetőségekről.

7. Powerfuzzer

A Powerfuzzer egy teljes értékű, automatizált és nagymértékben testreszabható webrobot, amely lehetővé teszi webalkalmazása rossz adatokra és ismételt kérésekre adott válaszainak tesztelését. Az eszköz csak a HTTP protokollt támogatja, és képes észlelni az olyan sebezhetőségeket, mint az XSS, SQL injekció, LDAP, CRLF és XPATH támadások. Támogatja az 500-as hibák nyomon követését is, amelyek hibás konfigurációt vagy akár veszélyt is jelezhetnek, például puffer túlcsordulást.

8.Nmap

Az Nmap nem éppen egy sebezhetőség-ellenőrző a Linux számára. Ez a program lehetővé teszi a hálózat átvizsgálását, és megtudhatja, mely csomópontok csatlakoznak hozzá, valamint meghatározhatja, hogy mely szolgáltatások futnak rajtuk. Ez nem ad kimerítő információt a sebezhetőségekről, de sejthető, hogy melyik szoftver lehet sebezhető, próbálja meg kitalálni a gyenge jelszavakat. Lehetőség van speciális szkriptek futtatására is, amelyek lehetővé teszik bizonyos szoftverek biztonsági résének azonosítását.

következtetéseket

Ebben a cikkben áttekintettük a legjobb Linux sebezhetőség-ellenőrzőket, amelyek lehetővé teszik a rendszer és az alkalmazások teljes biztonságát. Olyan programokat vizsgáltunk, amelyek lehetővé teszik magának az operációs rendszernek vagy a webes alkalmazásoknak és webhelyeknek a vizsgálatát.

Befejezésül megtekinthet egy videót arról, hogy melyek azok a sebezhetőségi szkennerek, és miért van szükség rájuk:

Biztonsági szkennerek összehasonlító elemzése. 1. rész: Behatolási teszt (rövid összefoglaló)

Alekszandr Antipov

Ez a cikk bemutatja a hálózati biztonsági szkennerek összehasonlítását a hálózat perem csomópontjaival végzett penetrációs tesztek során.


Lepikhin Vlagyimir Boriszovics
Az Informzaschita Oktatási Központ Hálózatbiztonsági Laboratóriumának vezetője

A jelentés minden anyaga az Informzaschita képzési központ szellemi tulajdonát képezi. A jelentés anyagainak bármilyen formában történő reprodukálása, közzététele vagy sokszorosítása az Informzaschita Oktatóközpont előzetes írásbeli hozzájárulása nélkül tilos.

A tanulmány teljes szövege:
http://www.itsecurity.ru/news/reliase/2008/12_22_08.htm

1. Bemutatkozás

A hálózati biztonsági szkennerek a tökéletes összehasonlítás. Mindegyik nagyon különböző. És a feladatok sajátosságai miatt, amelyekre szánják, és a "kettős" céljuk miatt (a hálózati biztonsági szkennerek mind védelemre, mind "támadásra" használhatók, és a hackelés, mint tudod, kreatív feladat) , végül azért is, mert minden ilyen eszköz mögött a „hacker” (a szó eredeti értelmében) gondolatának menekülése áll az alkotójáról.

Az összehasonlítás feltételeinek megválasztásánál a „feladatalapú” megközelítést vettük alapul, így az eredmények alapján megítélhető, hogy ez vagy az az eszköz mennyire alkalmas a neki rendelt feladat megoldására. Például hálózati biztonsági szkennerek használhatók:

  • a hálózati erőforrások leltárára;
  • a „penetrációs tesztek” során;
  • a rendszerek különböző követelményeknek való megfelelésének ellenőrzése során.

Ez a cikk bemutatja a hálózati biztonsági szkennerek összehasonlítását a hálózat perem csomópontjaival végzett penetrációs tesztek során. A következőket értékelték:

  • A talált sebezhetőségek száma
  • Hamis pozitívumok száma (hamis pozitívak)
  • Kihagyások száma (hamis negatívok)
  • A hiányzás okai
  • Az ellenőrzések adatbázisának teljessége (a feladattal összefüggésben)
  • A leltári mechanizmusok és a szoftververziók minősége
  • A szkenner pontossága (a feladattal összefüggésben)

A felsorolt ​​kritériumok együttesen jellemzik a szkenner „alkalmasságát” a rá rendelt feladat megoldására, jelen esetben ez a rutinműveletek automatizálása a hálózati kerület biztonságának felügyelete során.

2. Az összehasonlításban résztvevők rövid leírása

Az összehasonlítás megkezdése előtt a portál felmérést végzett, melynek célja az volt, hogy adatokat gyűjtsön a használt szkennerekről és azokról a feladatokról, amelyekre használják őket.

A felmérésben mintegy 500 válaszadó (portállátogató) vett részt.

Amikor a szervezetükben használt biztonsági szkennerekről kérdezték, a válaszadók túlnyomó többsége azt mondta, hogy legalább egy biztonsági szkennert használ (70%). Ugyanakkor azok a szervezetek, amelyek rendszeresen használnak biztonsági szkennereket információs rendszereik biztonságának elemzésére, inkább egynél több terméket használnak ebből az osztályból. A válaszadók 49%-a azt válaszolta, hogy szervezetük kettő vagy több biztonsági szkennert használ (1. ábra).


egy . A válaszadó szervezetek megoszlása ​​a használt biztonsági szkennerek száma szerint

Egynél több biztonsági szkenner használatának oka az, hogy a szervezetek bizalmatlanok az egy "szállító" megoldásaival szemben (61%), valamint olyan esetekben is, amikor speciális ellenőrzésekre van szükség (39%), amelyeket integrált biztonsági szkenner nem tud végrehajtani. (2. ábra).

2. Egynél több biztonsági szkenner használatának okai a megkérdezett válaszadók szervezeteiben

Arra a kérdésre válaszolva, hogy milyen célokra használják a speciális biztonsági szkennereket, a válaszadók többsége azt válaszolta, hogy kiegészítő eszközként használják a webes alkalmazások biztonságának elemzéséhez (68%). A második helyen a speciális DBMS biztonsági szkennerek (30%), a harmadik helyen (2%) az információs rendszerek biztonságának elemzésére szolgáló speciális feladatok megoldására szolgáló saját fejlesztésű segédprogramok (3. ábra) szerepeltek.


3. A speciális biztonsági szkennerek használatának céljai a megkérdezett válaszadók szervezeteiben

A biztonsági szkennerekkel kapcsolatos végtermékekkel kapcsolatos válaszadói felmérés eredménye (4. ábra) azt mutatta, hogy a legtöbb szervezet a Positive Technologies XSpider (31%) és a Nessus Security Scanner (17%) használatát részesíti előnyben.


Rizs. 4. Biztonsági szkennert használt a megkérdezett válaszadók szervezeteiben

Az 1. táblázatban bemutatott szkennereket választottuk ki a tesztekben való részvételre.

1. táblázat: Az összehasonlításban használt hálózati biztonsági szkennerek

Név

Változat

http://www.nessus.org/download

Max Patrol

8.0 (1178-as build)

http://www.ptsecurity.ru/maxpatrol.asp

Internet szkenner

http://www-935.ibm.com/services/us/index.wss/offering/iss/a1027208

retinaHálózati biztonsági szkenner

http://www.eeye.com/html/products/retina/index.html

Shadow Security Scanner (SSS)

7.141 (262-es build)

http://www.safety-lab.com/en/products/securityscanner.htm

NetClarity Auditor

http://netclarity.com/branch-nacwall.html

Tehát az első teszt arra a feladatra összpontosít, hogy értékelje a rendszerek biztonságát a hackeléssel szembeni ellenállás szempontjából.

3. Összegzés

A fennmaradó csomópontok eredményeit hasonló módon számítottuk ki. Az eredmények kiszámítása után a következő táblázatot kaptuk (2. táblázat).

2. táblázat: Az összes beolvasott objektum végeredménye

Index

Internet szkenner

Shadow Security Scanner

NetClarity
Könyvvizsgáló

Szolgáltatások és alkalmazások azonosítása, pontok

Sebezhetőségek találtak, összesen

Ebből hamis pozitív
(téves pozitív)

Helyesen találták
(225 lehetséges közül)

Pass
(hamis negatívok)

Ezek közül az adatbázisból való hiány miatt

Ebből a hitelesítés szükségessége okozza

Más okokból

3.1 A szolgáltatások és alkalmazások azonosítása

A szolgáltatások és alkalmazások definíciójának eredménye szerint a pontokat egyszerűen összesítettük, míg egy szolgáltatás vagy alkalmazás hibás definíciójáért egy pontot levontunk (5. ábra).


Rizs. 5. A szolgáltatások és alkalmazások azonosításának eredményei

A legmagasabb pontszámot (108) a MaxPatrol szkenner érte el, valamivel kevesebbet (98) a Nessus szkenner. Valójában ebben a két szkennerben a szolgáltatások és alkalmazások azonosítására szolgáló eljárás nagyon hatékonyan valósul meg. Ez az eredmény meglehetősen vártnak mondható.

A következő eredmény az Internet Scanner és a NetClarity szkennerekre vonatkozik. Itt megemlíthetjük, hogy például az Internet Scanner a szabványos portok alkalmazására helyezi a hangsúlyt, ez nagyban magyarázza alacsony eredményét. Végül a NetClarity szkenner teljesítménye a legrosszabb. Jóllehet jól azonosítja a szolgáltatásokat (végül is a Nessus 2.x kernelen alapul), összességében gyenge eredménye azzal magyarázható, hogy nem azonosított minden nyitott portot.

3.2 A sebezhetőség azonosítása

ábrán. A 6. ábra az összes szkenner által talált biztonsági rések teljes számát és a hamis pozitív eredmények számát mutatja. A legnagyobb számú sebezhetőséget a MaxPatrol szkenner találta. A második (bár már jelentős különbséggel) ismét Nessus volt.
A hamis pozitívumok számában a Shadow Security Scanner volt a vezető. Ez elvileg érthető is, az éppen ellenőrzéséhez kapcsolódó hibák példáit fentebb közöltük.


Rizs. 6. Sebezhetőséget és téves pozitív eredményeket talált

Összesen 225 sebezhetőséget talált az összes szkenner mind a 16 csomóponton (ezt később manuális ellenőrzés is megerősítette). Az eredményeket az ábrán látható módon osztották el. 7. A legnagyobb számú sebezhetőséget - 225-ből 155-öt - a MaxPatrol szkenner észlelte. A második a Nessus szkenner volt (az eredménye majdnem kétszer rosszabb). Az Internet Scanner következik, majd a NetClarity.
Az összehasonlítás során elemezték a hiányzó sérülékenységek okait, és különválasztották azokat, amelyek az adatbázisban történő ellenőrzések hiánya miatt történtek. A következő diagram (8. ábra) bemutatja annak okait, hogy a lapolvasók kihagyják a sebezhetőségeket.


Rizs. 7. Sebezhetőségeket és hiányosságokat talált


Rizs. 8. A sérülékenységek hiányának okai

Most néhány mutató a számításokból.

ábrán. A 39. ábra az álpozitívek számának és a talált sebezhetőségek teljes számának arányát mutatja, bizonyos értelemben ezt a mutatót nevezhetjük a szkenner pontosságának. Végül is a felhasználó mindenekelőtt a szkenner által talált sebezhetőségek listájával foglalkozik, amelyből ki kell választani a találtakat.


Rizs. 9. A szkennerek pontossága

Ebből a diagramból látható, hogy a legnagyobb pontosságot (95%) a MaxPatrol szkenner érte el. Bár a hamis pozitívumok száma nem a legalacsonyabb, ezt a pontossági arányt a nagyszámú talált sebezhetőség miatt sikerült elérni. Az Internet Scanner a következő az észlelési pontosság tekintetében. Ez mutatta a legkevesebb téves pozitív eredményt. Az SSS szkenner a legalacsonyabb eredménnyel, ami nem meglepő az összehasonlítás során észlelt ilyen sok téves pozitív eredmény mellett.

Egy másik számított mutató az alap teljessége (10. ábra). Kiszámítása a helyesen talált sebezhetőségek számának az összes sérülékenységhez viszonyított aránya (jelen esetben 225), és a „kihagyások” skáláját jellemzi.


Rizs. 10. Az alap teljessége

Ez a diagram azt mutatja, hogy a MaxPatrol szkenner alapja a legmegfelelőbb a feladathoz.

4. Következtetés

4.1 Megjegyzések a vezető eredményekhez: MaxPatrol és Nessus

Az összehasonlítás összes kritériuma szerint az első helyen a MaxPatrol szkenner áll, a második helyen a Nessus szkenner áll, a többi szkenner eredménye lényegesen alacsonyabb.

Itt érdemes felidézni az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete (NIST) által készített egyik dokumentumot, nevezetesen a „Guideline on Network Security Testing” című dokumentumot. Kimondja, hogy a számítógépes rendszerek biztonságának felügyelete során legalább két biztonsági szkenner használata javasolt.

A kapott eredményben valójában nincs semmi váratlan és meglepő. Nem titok, hogy az XSpider (MaxPatrol) és a Nessus szkennerek népszerűek a biztonsági szakemberek és a crackerek körében egyaránt. Ezt a felmérés fenti eredményei is megerősítik. Próbáljuk meg elemezni a MaxPatrol egyértelmű vezetésének okait (ez részben a Nessus szkennerre is vonatkozik), valamint más szkennerek „elvesztésének” okait. Mindenekelőtt a szolgáltatások és alkalmazások minőségi azonosítása. A következtetésen alapuló ellenőrzések (amelyekből ebben az esetben jó néhányat használtak) nagymértékben függenek az információgyűjtés pontosságától. A szolgáltatások és alkalmazások azonosítása pedig a MaxPatrol szkennerben szinte tökéletes. Íme egy beszédes példa.
A MaxPatrol sikerének második oka az adatbázis teljessége és a feladatnak és általában a „mai” megfelelősége. Az eredmények alapján észrevehető, hogy a MaxPatrol ellenőrzési bázisa jelentősen bővült, részletezett, „rendbe lépett”, míg a webes alkalmazások felé nyilvánvaló „billentést” kompenzál az ellenőrzések bővülése más területeken, pl. Például az összehasonlításban bemutatott útválasztó vizsgálati eredményei lenyűgözőek voltak a Cisco számára.

A harmadik ok az alkalmazásverziók kvalitatív elemzése, figyelembe véve az operációs rendszereket, a disztribúciókat és a különféle „ágakat”. Különböző források használatát is hozzáadhatja (sebezhetőségi adatbázisok, értesítések és szállítói közlemények).

Végül azt is hozzátehetjük, hogy a MaxPatrol egy nagyon kényelmes és logikus felülettel rendelkezik, amely tükrözi a hálózati biztonsági szkennerek működésének főbb szakaszait. És ez fontos. A „csomópont, szolgáltatás, sebezhetőség” hivatkozás nagyon kényelmes az észleléshez (a szerk. megjegyzése, ez az összehasonlítás szerzőjének szubjektív véleménye). És főleg erre a feladatra.

Most a hiányosságokról és a "gyenge" helyekről. Mivel a MaxPatrol bizonyult az összehasonlítás élére, így a kritika „maximális” lesz.

Először is, az úgynevezett "elvesztés a részletekben". Nagyon jó minőségű motor esetén fontos, hogy megfelelő kiegészítő szolgáltatást kínáljunk, például kényelmes eszközkészletet, amely lehetővé teszi, hogy kézzel végezzen valamit, sebezhetőség-kereső eszközöket és a rendszer finomhangolását. A MaxPatrol folytatja az XSpider hagyományát, és amennyire csak lehetséges, a "kattintott és megkeresett" ideológiájára összpontosít. Ez egyrészt nem rossz, másrészt behatárolja az „apróságos” elemzőt.

Másodszor, néhány szolgáltatás „fedetlen” maradt (ezt az összehasonlítás eredményei alapján ítélheti meg), például az IKE (500-as port).

Harmadszor, bizonyos esetekben nincs elég elemi összehasonlítása két ellenőrzés eredményeinek egymással, például, mint az SSH-nál fentebb. Vagyis több ellenőrzés eredménye alapján nincs következtetés. Például a host4 operációs rendszere Windows, míg a PPTP szolgáltatás "szállítója" Linux kategóriába került. Tudsz következtetéseket levonni? Például az operációs rendszer definíciós területén lévő jelentésben jelezze, hogy ez egy „hibrid” csomópont.

Negyedszer, a csekk leírása sok kívánnivalót hagy maga után. De itt meg kell érteni, hogy a MaxPatrol egyenlőtlen körülmények között van a többi szkennerrel: az összes leírás kiváló minőségű orosz nyelvű fordítása nagyon időigényes feladat.

A Nessus szkenner általában jó eredményeket mutatott, és néhány pillanatban pontosabb volt, mint a MaxPatrol szkenner. A Nessus lemaradásának fő oka a sebezhetőségek hiánya, de nem az adatbázis ellenőrzésének hiánya miatt, mint a legtöbb más szkennernél, hanem a megvalósítási funkciók miatt. Először is (és ez az oka a hiányosságok jelentős részének) a Nessus szkenner a „helyi” vagy a rendszerellenőrzések felé fejlődött, amelyek egy fiókhoz való kapcsolódást foglalnak magukban. Másodszor, a Nessus szkenner kevesebb információforrást vesz figyelembe (a MaxPatrolhoz képest) a sebezhetőségekről. Némileg hasonlít az SSS szkennerhez, amely leginkább a SecurityFocuson alapul.

5. Az összehasonlítás korlátai

Az összehasonlítás során a szkennerek képességeit egyetlen feladat keretében tanulmányozták – a hálózati kerületi csomópontok feltörésekkel szembeni ellenálló képességét tesztelve. Például, ha levonunk egy autós hasonlatot, láttuk, hogyan viselkednek a különböző autók mondjuk csúszós úton. Vannak azonban más feladatok is, amelyek megoldása ugyanazokkal a szkennerekkel teljesen másképp nézhet ki. A közeljövőben a szkennerek összehasonlítását tervezik olyan problémák megoldása során, mint:

  • Rendszerek auditálása számla segítségével
  • PCI DSS megfelelőségi értékelés
  • Windows rendszerek vizsgálata

Emellett a szkennerek formai kritériumok szerinti összehasonlítását tervezik.

Az összehasonlítás során csak magát a "motort" tesztelték, vagy modern szóhasználattal a szkenner "agyát". A kiegészítő szolgáltatások (jelentések, a vizsgálat előrehaladásáról szóló információk rögzítése stb.) lehetőségeit semmilyen módon nem értékelték vagy hasonlították össze.

Nem értékelték továbbá a veszély mértékét és a talált sebezhetőségek kihasználásának lehetőségét. Egyes szkennerek „kisebb” alacsony súlyosságú sebezhetőségekre korlátozódtak, míg mások valóban kritikus sérülékenységeket tártak fel, amelyek lehetővé teszik a rendszerhez való hozzáférést.

Nem talált választ a kérdésére? Nézz ide
Hogyan készítsünk képernyőképet különböző eszközökönHogyan készítsünk képernyőképet különböző eszközökön
Hibás MMI-kód vagy rossz kapcsolat - problémamegoldásHibás MMI-kód vagy rossz kapcsolat - problémamegoldás
Internet Explorer frissítésInternet Explorer frissítés