Internet Windows Android
Extinde
Acasă

Cele mai bune instrumente de testare a stilourilor: scanere de securitate. Căutare eficientă a vulnerabilităților din rețea cu Nessus Scanner Căutare a vulnerabilităților în dispozitivele din rețea

Scanerele de vulnerabilitate automatizează auditarea securității și pot juca un rol important în securitatea IT prin scanarea rețelei și a site-urilor web pentru diferite riscuri de securitate. Aceste scanere pot genera, de asemenea, o listă prioritizată a celor pe care trebuie să le remediați, precum și să descrie vulnerabilitățile și să ofere acțiuni de remediere. De asemenea, este posibil ca unele dintre ele să automatizeze procesul de remediere a vulnerabilităților
Top 10 instrumente de evaluare a vulnerabilităților

  • Comodo HackerProof
  • OpenVAS
  • Neexpose Community
  • Nikto
  • Tripwire IP360
  • Wireshark
  • Aircrack
  • Nessus Professional
  • Comunitatea Retina CS
  • Microsoft Baseline Security Analyzer (MBSA)
  1. Comodo HackerProof
    Comodo HackerProof este considerat a fi un instrument revoluționar de scanare a vulnerabilităților care vă permite să depășiți problemele de securitate. Mai jos sunt câteva dintre principalele beneficii pe care le puteți obține de la HackerProof:
  • Scanarea zilnică a vulnerabilităților
  • Instrumente de scanare PCI incluse
  • Prevenirea atacurilor de tip drive-by
2.OpenVAS
Este un instrument open source care servește ca un serviciu central care oferă instrumente de evaluare a vulnerabilităților pentru scanarea și gestionarea vulnerabilităților.
  • OpenVAS acceptă diverse sisteme de operare
  • Motorul de scanare OpenVAS este actualizat constant cu teste de vulnerabilitate a rețelei
  • OpenVAS Scanner este un instrument cuprinzător de evaluare a vulnerabilităților care identifică problemele legate de securitate pe servere și alte dispozitive de rețea
  • Serviciile OpenVAS sunt gratuite și de obicei licențiate sub Licența publică generală GNU (GPL)
3. Neexpose Community
Nexpose Vulnerability Scanner dezvoltat de Rapid7 este un instrument open source utilizat pentru scanarea vulnerabilităților și efectuarea unei game largi de verificări ale rețelei.
  • Nexpose poate fi integrat în cadrul Metaspoilt
  • Ia în considerare vârsta vulnerabilității, cum ar fi ce suită de malware folosește, ce beneficii folosește etc. și rezolvă problema în funcție de prioritatea acesteia.
  • Este capabil să detecteze și să scaneze automat dispozitive noi și să evalueze vulnerabilitățile atunci când accesează rețeaua
  • Monitorizează vulnerabilitățile în timp real, familiarizându-se cu cele mai recente pericole legate de date noi
  • Majoritatea scanerelor de vulnerabilitate clasifică riscurile utilizând o scară medie, mare sau mică
4. Nikto
Nikto este un crawler web cu sursă deschisă foarte popular folosit pentru a evalua problemele și vulnerabilitățile probabile.
  • De asemenea, este folosit pentru a verifica dacă există versiuni învechite ale serverului, precum și pentru a verifica orice problemă specială care afectează funcționarea serverului.
  • Nikto este folosit pentru a rula diverse teste pe servere web pentru a scana diverse elemente, cum ar fi mai multe fișiere periculoase.
  • Nu este considerat un instrument „silențios” și este folosit pentru a testa un server web într-o perioadă minimă de timp.
  • Este folosit pentru a scana diferite protocoale precum HTTPS, HTTP etc. Acest instrument vă permite să scanați mai multe porturi ale unui anumit server.
5.Tripwire IP360
Tripwire IP360, dezvoltat de Tripwire Inc, este considerată cea mai bună soluție de evaluare a vulnerabilităților folosită de diverse întreprinderi pentru a-și gestiona riscurile de securitate.
  • Utilizează o vizualizare largă a rețelelor pentru a dezvălui toate vulnerabilitățile, configurațiile, aplicațiile, gazdele de rețea și multe altele.
  • Folosește standarde deschise pentru a ajuta la integrarea managementului riscurilor și vulnerabilităților în mai multe procese de afaceri.
6 Wireshark
Wireshark este un analizor de protocoale de rețea utilizat pe scară largă și este considerat cel mai puternic instrument din setul de instrumente al profesioniștilor în securitate.
  • Wireshark este utilizat în diverse fluxuri, cum ar fi agenții guvernamentale, întreprinderi, instituții de învățământ etc. pentru a observa rețelele la un nivel scăzut
  • Rezolvă problemele online și efectuează analize offline
  • Funcționează pe diferite platforme precum Linux, masOS, Windows, Solaris etc.
7.Crăpătură de aer
Aircrack, cunoscut și sub numele de Aircrack-NG, este un set de instrumente utilizate pentru a evalua securitatea unei rețele WiFi.
  • Instrumente utilizate în auditul rețelei
  • Suportă mai multe sisteme de operare, cum ar fi Linux, OS X, Solaris, NetBSD, Windows etc.
  • Se concentrează pe diverse domenii ale securității WiFi, cum ar fi monitorizarea pachetelor și a datelor, testarea șoferului și a cardurilor, atacurile de reluare, hacking etc.
  • Aircrack poate recupera cheile pierdute prin capturarea pachetelor de date
8. Nessus Professional
Instrumentul Nessus este un scaner de vulnerabilitate proprietar și proprietar creat de Tenable Network Security.
  • Împiedică rețelele să fie infiltrate de hackeri prin evaluarea vulnerabilităților cât mai curând posibil
  • Poate scana pentru vulnerabilități care permit piratarea de la distanță a datelor sensibile din sistem
  • Suportă o gamă largă de sisteme de operare, Dbs, aplicații și alte câteva dispozitive printre infrastructura cloud, rețele virtuale și fizice
  • A fost instalat și folosit de milioane de utilizatori din întreaga lume pentru a evalua vulnerabilități, probleme de configurare etc.
9. Comunitatea Retina CS
Retina CS este o consolă open source și un tablou de bord web care a ajutat la simplificarea și centralizarea gestionării vulnerabilităților.
  • Cu capabilitățile sale, cum ar fi raportarea conformității, corecția și conformitatea cu configurația, Retina CS oferă evaluarea vulnerabilităților pe mai multe platforme.
  • Include evaluarea automată a vulnerabilității pentru baze de date, aplicații web, stații de lucru și servere
  • Retina CS este o aplicație open source care oferă suport complet pentru medii virtuale, cum ar fi integrarea vCenter, scanarea aplicațiilor virtuale etc.
10.Microsoft Baseline Security Analyzer (MBSA)
MBSA este un instrument Microsoft gratuit care este ideal pentru securizarea unui computer Windows pe baza specificațiilor sau a liniilor directoare stabilite de Microsoft.
  • MBSA vă permite să creșteți nivelul de securitate prin examinarea unui grup de computere pentru orice configurare greșită, actualizări lipsă și patch-uri de securitate etc.
  • Poate scana doar pentru actualizări de securitate, pachete de servicii și actualizări cumulate, lăsând deoparte actualizările critice și opționale.
  • Este folosit de organizațiile mijlocii și mici pentru a gestiona securitatea rețelelor lor.
  • După scanarea sistemului, MBSA va prezenta mai multe soluții sau propuneri legate de eliminarea vulnerabilităților

Problema unei epidemii de viermi de rețea este relevantă pentru orice rețea locală. Mai devreme sau mai târziu, poate apărea o situație când un vierme de rețea sau de mail pătrunde în LAN, care nu este detectat de antivirusul utilizat. Un virus de rețea se răspândește pe o rețea LAN prin vulnerabilități ale sistemului de operare care nu au fost închise în momentul infectării sau prin resurse partajate care pot fi scrise. Un virus de e-mail, după cum sugerează și numele, se răspândește prin e-mail, cu condiția să nu fie blocat de antivirusul clientului și de antivirusul de pe serverul de e-mail. În plus, epidemia din LAN poate fi organizată din interior ca urmare a activităților unui insider. În acest articol, vom lua în considerare metode practice pentru analiza operațională a computerelor LAN folosind diverse instrumente, în special, folosind utilitarul AVZ al autorului.

Formularea problemei

În cazul în care se detectează o epidemie sau o activitate anormală în rețea, administratorul trebuie să rezolve cu promptitudine cel puțin trei sarcini:

  • detectează computerele infectate în rețea;
  • găsiți mostre de malware pentru a le trimite laboratorului antivirus și dezvoltați o strategie de contramăsuri;
  • luați măsuri pentru a bloca răspândirea virusului pe LAN și pentru a-l distruge pe computerele infectate.

În cazul activității unui insider, pașii principali de analiză sunt identici și de cele mai multe ori se rezumă la necesitatea de a detecta software-ul terț instalat de insider pe computerele LAN. Exemple de astfel de software includ utilitare de administrare la distanță, keylogger și diverse marcaje troiene.

Să luăm în considerare mai detaliat soluția fiecăreia dintre sarcini.

Căutați computere infectate

Cel puțin trei metode pot fi folosite pentru a căuta computere infectate în rețea:

  • analiza automată de la distanță a PC-ului - obținerea de informații despre procesele care rulează, biblioteci și drivere încărcate, căutarea tiparelor caracteristice - de exemplu, procese sau fișiere cu nume date;
  • studierea traficului PC-ului folosind un sniffer - această metodă este foarte eficientă pentru prinderea roboților de spam, a viermilor de e-mail și de rețea, cu toate acestea, principala dificultate în utilizarea unui sniffer se datorează faptului că o rețea LAN modernă este construită pe baza comutatoarelor și, după cum ca urmare, administratorul nu poate monitoriza traficul în întreaga rețea. Problema este rezolvată în două moduri: prin rularea unui sniffer pe router (care vă permite să monitorizați schimbul de date PC-ul cu internetul) și prin utilizarea funcțiilor de monitorizare ale comutatoarelor (multe switch-uri moderne vă permit să îi atribuiți un port de monitorizare căruia traficul unuia sau mai multor porturi de comutare specificate de administrator este duplicat);
  • studiul încărcării rețelei - în acest caz, este foarte convenabil să folosiți comutatoare inteligente care permit nu numai estimarea încărcării, ci și dezactivarea de la distanță a porturilor specificate de administrator. Această operațiune este mult simplificată dacă administratorul are o hartă de rețea care conține date pe care PC-urile sunt conectate la porturile corespunzătoare ale switch-ului și unde sunt amplasate;
  • utilizarea capcanelor (honeypot) - se recomandă insistent crearea mai multor capcane în rețeaua locală care să permită administratorului să detecteze epidemia în timp util.

Analiza automată a PC-urilor din rețea

Analiza automată a computerului poate fi redusă la trei pași principali:

  • efectuarea unui studiu complet al PC-ului - procese care rulează, biblioteci și drivere încărcate, rulare automată;
  • efectuarea unei anchete operaționale - de exemplu, căutarea unor procese sau fișiere caracteristice;
  • carantină obiect după anumite criterii.

Toate sarcinile de mai sus pot fi rezolvate folosind utilitarul autorului AVZ, care este conceput pentru a fi lansat dintr-un folder de rețea de pe server și acceptă un limbaj de scripting pentru examinarea automată a computerului. Pentru a rula AVZ pe computerele utilizatorilor, trebuie să:

  1. Plasați AVZ într-un folder de rețea care poate fi citit pe server.
  2. Creați subdirectoare Jurnal și Coran în acest folder și permiteți utilizatorilor să scrie în ele.
  3. Lansați AVZ pe computere LAN utilizând utilitarul rexec sau un script de conectare.

Pornirea AVZ la pasul 3 ar trebui făcută cu următorii parametri:

\\my_server\AVZ\avz.exe Prioritate=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

În acest caz, parametrul Priority=-1 scade prioritatea procesului AVZ, parametrii nw=Y și nq=Y comută carantina în modul „început rețea” (în acest caz, se creează un subdirector în folderul de carantină pentru fiecare computer, al cărui nume se potrivește cu numele de rețea al computerului), HiddenMode=2 indică interzicerea accesului utilizatorului la GUI și controlul AVZ și, în final, cel mai important parametru Script specifică numele complet al scriptului cu comenzi pe care AVZ îl va executa pe computerul utilizatorului. Limbajul de scripting AVZ este destul de simplu de utilizat și se concentrează exclusiv pe rezolvarea problemelor de examinare și tratare a unui computer. Pentru a simplifica procesul de scriere a scripturilor, puteți utiliza un editor de script specializat care conține un prompt, un vrăjitor pentru crearea de scripturi tipice și instrumente pentru verificarea corectitudinii unui script scris fără a-l rula (Fig. 1).

Orez. 1. Editor de script AVZ

Să luăm în considerare trei scenarii tipice care pot fi utile în lupta împotriva epidemiei. În primul rând, avem nevoie de un script de cercetare pentru PC. Sarcina scriptului este de a examina sistemul și de a crea un protocol cu ​​rezultatele într-un folder de rețea dat. Scriptul arată astfel:

ActivateWatchDog(60 * 10);

// Începeți scanarea și analiza

// Explorează sistemul

ExecuteSysCheck(GetAVZDirectory+

‘\LOG\’+GetComputerName+’_log.htm’);

//Oprire AVZ

În timpul execuției acestui script, în folderul LOG (se presupune că a fost creat în directorul AVZ de pe server și este disponibil pentru scris de utilizatori), se vor crea fișiere HTML cu rezultatele studiului calculatoarelor din rețea, iar numele computerului studiat este inclus în denumirea protocolului pentru a asigura unicitatea. La începutul scriptului, există o comandă de pornire a timer-ului watchdog, care va încheia forțat procesul AVZ după 10 minute în cazul în care există erori în timpul execuției scriptului.

Protocolul AVZ este convenabil pentru studiul manual, dar este de puțin folos pentru analiza automată. În plus, administratorul știe adesea numele fișierului programului rău intenționat și trebuie doar să verifice prezența sau absența acestui fișier și, dacă este prezent, să îl pună în carantină pentru analiză. În acest caz, puteți utiliza următorul script:

// Activați temporizatorul watchdog pentru 10 minute

ActivateWatchDog(60 * 10);

// Căutați malware după nume

QuarantineFile('%WinDir%\smss.exe', 'LdPinch.gen suspected');

QuarantineFile('%WinDir%\csrss.exe', 'LdPinch.gen suspectat');

//Oprire AVZ

Acest script folosește funcția QuarantineFile, care încearcă să pună în carantină fișierele specificate. Administratorul trebuie doar să analizeze conținutul carantinei (dosarul Carantină\nume_PC_rețea\data_carantină\) pentru fișierele aflate în carantină. Vă rugăm să rețineți că funcția QuarantineFile blochează automat carantina fișierelor identificate de baza de date securizată AVZ sau de baza de date Microsoft EDS. Pentru utilizare practică, acest script poate fi îmbunătățit - organizați încărcarea numelor de fișiere dintr-un fișier text extern, verificați fișierele găsite cu bazele de date AVZ și formați un protocol text cu rezultatele lucrării:

// Căutați un fișier cu numele specificat

funcția CheckByName(Fname: șir) : boolean;

Rezultat:= FileExists(FName) ;

dacă rezultatul începe

caz CheckFile(FName) of

1: S:= ', acces la fișiere blocat';

1: S:= ', identificat ca Malware ('+GetLastCheckTxt+')';

2: S:= ', suspectat de scanerul de fișiere ('+GetLastCheckTxt+')';

3: ieșire; // Ignorați fișierele sigure

AddToLog('Fișierul '+NormalFileName(FName)+' are un nume suspect'+S);

//Adăugarea fișierului specificat în carantină

QuarantineFile(FName,'fișier suspect'+S);

SuspNames: TStringList; // Lista de nume de fișiere suspecte

// Verificarea fișierelor cu baza de date actualizată

dacă FileExists(GetAVZDirectory + 'files.db'), atunci începe

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('Baza de date cu nume încărcată - numărul de intrări = '+inttostr(SuspNames.Count));

// Buclă de căutare

pentru i:= 0 la SuspNames.Count - 1 do

CheckByName(SuspNames[i]);

AddToLog('Eroare la încărcarea listei de nume de fișiere');

SaveLog(GetAVZDirectory+'\LOG\'+

GetComputerName+'_files.txt');

Pentru ca acest script să funcționeze, este necesar să se creeze în folderul AVZ directoarele Quarantine și LOG disponibile pentru scris de utilizatori, precum și fișierul text files.db - fiecare linie a acestui fișier va conține numele fișierului suspect. Numele fișierelor pot include macrocomenzi, dintre care cele mai utile sunt %WinDir% (calea către folderul Windows) și %SystemRoot% (calea către folderul System32). O altă direcție de analiză poate fi un studiu automat al listei de procese care rulează pe computerele utilizatorilor. Informațiile despre rularea proceselor sunt disponibile în protocolul de cercetare a sistemului, dar pentru analiza automată este mai convenabil să utilizați următorul fragment de script:

procedura ScanProcess;

S:=''; S1:='';

// Actualizați lista de procese

RefreshProcessList;

AddToLog('Numărul de procese = '+IntToStr(GetProcessCount));

// Ciclul de analiză a listei primite

pentru i:= 0 la GetProcessCount - 1 începe

S1:= S1 + ',' + ExtractFileName(GetProcessName(i));

// Căutați un proces după nume

dacă pos('trojan.exe', LowerCase(GetProcessName(i))) > 0 atunci

S:= S + GetProcessName(i)+',';

dacă S<>''apoi

AddLineToTxtFile(GetAVZDirectory+'\LOG\_alarm.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S);

AddLineToTxtFile(GetAVZDirectory+'\LOG\_all_process.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S1);

Examinarea proceselor din acest script este efectuată ca o procedură ScanProcess separată, astfel încât este ușor să o plasați în propriul script. Procedura ScanProcess construiește două liste de procese: o listă completă de procese (pentru analiză ulterioară) și o listă de procese care, din punctul de vedere al administratorului, sunt considerate periculoase. În acest caz, pentru demonstrație, un proces numit „trojan.exe” este considerat periculos. Informațiile despre procesele periculoase sunt adăugate în fișierul text _alarm.txt, datele despre toate procesele sunt adăugate în fișierul _all_process.txt. Este ușor de observat că puteți complica scriptul adăugând, de exemplu, verificarea fișierelor de proces cu baza de date de fișiere sigure sau verificând numele fișierelor executabile de proces cu o bază de date externă. O procedură similară este utilizată în scripturile AVZ utilizate în Smolenskenergo: administratorul examinează periodic informațiile colectate și modifică scriptul adăugând numele proceselor programelor interzise de politica de securitate, de exemplu, ICQ și MailRu.Agent, care permite trebuie să verificați rapid prezența software-ului interzis pe PC-urile aflate în studiu. O altă utilizare a listei de procese este să găsești computerele cărora le lipsește un proces necesar, cum ar fi un antivirus.

În concluzie, să luăm în considerare ultimul dintre scripturile utile de analiză - scriptul pentru carantina automată a tuturor fișierelor care nu sunt recunoscute de baza de date securizată AVZ și de baza de date Microsoft EDS:

// Executați carantina automată

ExecuteAutoquarantine;

Carantina automată examinează procesele care rulează și bibliotecile, serviciile și driverele încărcate, aproximativ 45 de metode de pornire automată, module de extensie a browserului și a exploratorului, handlere SPI/LSP, joburi de planificare, handlere de sistem de imprimare etc. O caracteristică a carantinei este că fișierele sunt adăugate la acesta cu controlul reîncercării, astfel încât funcția de carantină automată poate fi apelată de mai multe ori.

Avantajul carantinei automate este că, cu ajutorul ei, administratorul poate colecta rapid fișiere potențial suspecte de pe toate computerele din rețea pentru studiul lor. Cea mai simplă (dar foarte eficientă în practică) formă de studiere a fișierelor poate fi verificarea carantinei primite cu mai multe antivirusuri populare în modul euristic maxim. Trebuie remarcat faptul că lansarea simultană a Auto-quarantine pe câteva sute de computere poate crea o sarcină mare în rețea și pe serverul de fișiere.

Cercetarea traficului

Cercetarea traficului se poate face în trei moduri:

  • manual folosind sniffer;
  • în modul semi-automat - în acest caz, sniffer-ul colectează informații, iar apoi protocoalele sale sunt procesate fie manual, fie de un software;
  • folosind automat sisteme de detectare a intruziunilor (IDS) cum ar fi Snort (http://www.snort.org/) sau omologii lor software sau hardware. În cel mai simplu caz, un IDS este format dintr-un sniffer și un sistem care analizează informațiile colectate de sniffer.

Un sistem de detectare a intruziunilor este cel mai bun instrument, deoarece vă permite să creați seturi de reguli pentru a detecta anomalii în activitatea rețelei. Al doilea avantaj al său este următorul: majoritatea IDS-urilor moderne vă permit să plasați agenți de monitorizare a traficului pe mai multe noduri de rețea - agenții colectează informații și le transmit. În cazul utilizării unui sniffer, este foarte convenabil să folosiți tcpdump UNIX console sniffer. De exemplu, pentru a monitoriza activitatea pe portul 25 (protocol SMTP), rulați sniffer-ul cu o linie de comandă ca aceasta:

tcpdump -i em0 -l tcp portul 25 > smtp_log.txt

În acest caz, pachetele sunt capturate prin interfața em0; informațiile despre pachetele capturate vor fi stocate în fișierul smtp_log.txt. Protocolul este relativ ușor de analizat manual, în acest exemplu, analiza activității pe portul 25 vă permite să calculați PC-ul cu roboți de spam activi.

Aplicație Honeypot

Ca capcană (Honeypot), puteți utiliza un computer învechit, a cărui performanță nu permite utilizarea acestuia pentru rezolvarea problemelor de producție. De exemplu, în rețeaua autorului, un Pentium Pro cu 64 MB de RAM este folosit cu succes ca o capcană. Pe acest computer, ar trebui să instalați cel mai comun sistem de operare pe LAN și să selectați una dintre strategiile:

  • Instalați un sistem de operare fără pachete de servicii - va fi un indicator al apariției unui vierme de rețea activ în rețea care exploatează oricare dintre vulnerabilitățile cunoscute pentru acest sistem de operare;
  • instalați un sistem de operare cu actualizări care sunt instalate pe alte PC-uri din rețea - Honeypot va fi un analog cu oricare dintre stațiile de lucru.

Fiecare dintre strategii are atât avantaje, cât și dezavantaje; autorul aplică în mare parte opțiunea fără actualizări. După crearea Honeypot-ului, ar trebui să creați o imagine de disc pentru a restabili rapid sistemul după ce acesta a fost deteriorat de malware. Ca o alternativă la o imagine de disc, puteți utiliza sisteme de derulare a modificărilor, cum ar fi ShadowUser și analogii săi. După ce a construit un Honeypot, trebuie luat în considerare faptul că un număr de viermi de rețea caută computere infectate prin scanarea intervalului IP, numărat de la adresa IP a PC-ului infectat (strategiile tipice comune sunt X.X.X.*, X.X.X+1.*). , X.X.X-1.*), - prin urmare, în mod ideal, ar trebui să existe un Honeypot pe fiecare dintre subrețele. Ca elemente de pregătire suplimentare, este necesar să deschideți accesul la mai multe foldere din sistemul Honeypot, iar în aceste foldere trebuie plasate mai multe fișiere eșantion de diferite formate, setul minim este EXE, JPG, MP3.

Desigur, după ce a creat un Honeypot, administratorul trebuie să-i monitorizeze funcționarea și să răspundă oricăror anomalii găsite pe acest computer. Auditorii pot fi folosiți ca mijloc de înregistrare a modificărilor, iar un sniffer poate fi folosit pentru a înregistra activitatea în rețea. Un punct important este că majoritatea snifferelor oferă posibilitatea de a configura trimiterea unei alerte către administrator dacă este detectată o anumită activitate în rețea. De exemplu, în CommView sniffer, regula implică specificarea unei „formule” care descrie un pachet de rețea sau stabilirea unor criterii cantitative (trimiterea mai mult decât un anumit număr de pachete sau octeți pe secundă, trimiterea de pachete către adrese IP sau MAC nerecunoscute) - Fig. 2.

Orez. 2. Creați și configurați o alertă de activitate în rețea

Cel mai bun mod de a alerta este să utilizați mesajele de e-mail trimise în căsuța poștală a administratorului, caz în care puteți primi alerte în timp real de la toate capcanele din rețea. În plus, dacă sniffer-ul vă permite să creați mai multe alerte, are sens să diferențiezi activitatea în rețea prin evidențierea lucrului cu e-mail, FTP/HTTP, TFTP, Telnet, MS Net, trafic crescut de peste 20-30 de pachete pe secundă pentru orice protocol (Fig. 3) .

Orez. 3. Scrisoare de notificare trimisă
dacă se găsesc pachete care corespund criteriilor specificate

Atunci când organizați o capcană, este o idee bună să plasați pe ea mai multe servicii de rețea vulnerabile utilizate în rețea sau să instalați emulatorul acestora. Cel mai simplu (și gratuit) este utilitarul APS al autorului, care funcționează fără instalare. Principiul de funcționare al APS se reduce la ascultarea unui set de porturi TCP și UDP descrise în baza sa de date și emiterea unui răspuns predefinit sau generat aleatoriu în momentul conexiunii (Fig. 4).

Orez. 4. Fereastra principală a utilitarului APS

Figura arată o captură de ecran făcută în timpul unei operațiuni reale APS în rețeaua Smolenskenergo LAN. După cum puteți vedea în figură, s-a încercat conectarea unuia dintre computerele client pe portul 21. O analiză a protocoalelor a arătat că încercările sunt periodice, fixate prin mai multe capcane în rețea, ceea ce ne permite să concluzionam că rețeaua este scanat pentru a găsi și hack servere FTP prin ghicirea parolelor. APS înregistrează și poate trimite mesaje administratorilor raportând conexiunile înregistrate la porturile monitorizate, ceea ce este util pentru detectarea rapidă a scanărilor în rețea.

Când construiți un Honeypot, este de asemenea util să vă uitați la resurse online pe acest subiect, cum ar fi http://www.honeynet.org/. În secțiunea Instrumente a acestui site (http://www.honeynet.org/tools/index.html) puteți găsi o serie de instrumente pentru înregistrarea și analizarea atacurilor.

Eliminarea de la distanță a programelor malware

În mod ideal, după detectarea mostrelor de malware, administratorul le trimite la laboratorul antivirus, unde sunt studiate rapid de analiști și semnăturile corespunzătoare sunt adăugate bazelor de date antivirus. Aceste semnături ajung pe computerele utilizatorilor prin actualizări automate, iar antivirusul elimină automat programele rău intenționate fără intervenția administratorului. Cu toate acestea, acest lanț nu funcționează întotdeauna așa cum era de așteptat, în special, sunt posibile următoarele motive pentru eșec:

  • din mai multe motive independente de administratorul de rețea, este posibil ca imaginile să nu ajungă în laboratorul antivirus;
  • eficiență insuficientă a laboratorului antivirus - în mod ideal, nu durează mai mult de 1-2 ore pentru a studia mostre și a le adăuga la bazele de date, adică, într-o zi lucrătoare, puteți obține baze de date de semnături actualizate. Cu toate acestea, nu toate laboratoarele antivirus funcționează atât de repede, iar actualizările pot fi așteptate pentru câteva zile (în cazuri rare, chiar și săptămâni);
  • performanță ridicată a antivirusului - o serie de programe rău intenționate, după activare, distrug antivirusurile sau le perturbă în alt mod activitatea. Exemplele clasice sunt realizarea de intrări în fișierul hosts care blochează funcționarea normală a sistemului de auto-update antivirus, ștergerea proceselor, serviciilor și driverelor antivirus, deteriorarea setărilor acestora etc.

Prin urmare, în aceste situații, va trebui să vă ocupați manual de malware. În cele mai multe cazuri, acest lucru nu este dificil, deoarece rezultatele analizei computerelor sunt cunoscute ca fiind PC-uri infectate, precum și numele complete ale fișierelor malware. Rămâne doar să efectuați eliminarea de la distanță. Dacă programul rău intenționat nu este protejat de eliminare, atunci acesta poate fi distrus cu un script AVZ de următoarea formă:

// Sterge fisierul

DeleteFile('nume fișier');

ExecuteSysClean;

Acest script șterge un fișier specificat (sau mai multe fișiere, deoarece poate exista un număr nelimitat de comenzi DeleteFile în script) și apoi curăță automat registry. Într-un caz mai complex, un program rău intenționat se poate proteja de ștergere (de exemplu, recreând fișierele și cheile de registry) sau se poate masca folosind tehnologia rootkit. În acest caz, scriptul devine mai complicat și va arăta astfel:

// Anti-rootkit

SearchRootkit (adevărat, adevărat);

// Control AVZGuard

SetAVZGuardStatus(true);

// Sterge fisierul

DeleteFile('nume fișier');

// Activați înregistrarea BootCleaner

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// Importă în sarcina BootCleaner o listă de fișiere șterse de script

BC_ImportDeletedList;

// Activați BootCleaner

// Curățarea euristică a sistemului

ExecuteSysClean;

Reporniți Windows (adevărat);

Acest script include rezistența activă la rootkit-uri, utilizarea sistemului AVZGuard (acesta este un blocator de activități malware) și a sistemului BootCleaner. BootCleaner este un driver care elimină obiectele specificate din KernelMode în timpul repornirii, într-un stadiu incipient al pornirii sistemului. Practica arată că un astfel de script este capabil să distrugă marea majoritate a programelor malware existente. Excepție este malware-ul care schimbă numele fișierelor executabile cu fiecare repornire - în acest caz, fișierele găsite în timpul studiului sistemului pot fi redenumite. În acest caz, va trebui să dezinfectați computerul manual sau să vă creați propriile semnături malware (un exemplu de script care implementează o căutare de semnături este descris în ajutorul AVZ).

Concluzie

În acest articol, am analizat câteva tehnici practice pentru a face față epidemiei LAN manual, fără utilizarea produselor antivirus. Majoritatea tehnicilor descrise pot fi folosite și pentru a căuta un computer străin și marcaje troiene pe computerele utilizatorilor. Dacă întâmpinați dificultăți în a găsi malware sau a crea scripturi de dezinfecție, administratorul poate folosi secțiunea „Ajutor” a forumului http://virusinfo.info sau secțiunea „Lupta împotriva virușilor” a forumului http://forum.kaspersky.com/ index.php?showforum= optsprezece. Studiul protocoalelor și asistența la tratament se desfășoară gratuit pe ambele forumuri, analiza PC-ului se realizează conform protocoalelor AVZ, iar în cele mai multe cazuri, tratamentul se reduce la executarea unui script AVZ pe computerele infectate, compilat de experți. specialişti de pe aceste forumuri.

După cum puteți vedea, au fost destui și toate sunt foarte periculoase pentru sistemele afectate de ele. Este important nu numai să actualizați sistemul la timp pentru a vă proteja împotriva noilor vulnerabilități, ci și să vă asigurați că sistemul dumneavoastră nu conține vulnerabilități care au fost eliminate de mult timp pe care le pot folosi hackerii.

Aici vin în ajutor scanerele de vulnerabilitate Linux. Instrumentele de analiză a vulnerabilităților sunt una dintre cele mai importante componente ale sistemului de securitate al fiecărei companii. Verificarea aplicațiilor și sistemelor pentru vulnerabilități vechi este o necesitate. În acest articol, vom arunca o privire la cele mai bune scanere de vulnerabilități open source pe care le puteți folosi pentru a găsi vulnerabilități în sistemele și programele dvs. Toate sunt complet gratuite și pot fi folosite atât de utilizatorii obișnuiți, cât și în sectorul corporativ.

OpenVAS sau Open Vulnerability Assessment System este o platformă completă de descoperire a vulnerabilităților open source. Programul se bazează pe codul sursă al scanerului Nessus. Inițial, acest scanner a fost distribuit open source, dar apoi dezvoltatorii au decis să închidă codul, iar apoi, în 2005, OpenVAS a fost creat pe baza versiunii deschise a lui Nessus.

Programul constă din părți server și client. Serverul care realizează activitatea principală a sistemelor de scanare rulează numai pe Linux, iar programele client acceptă și Windows, iar serverul poate fi accesat printr-o interfață web.

Nucleul scanerului este format din peste 36.000 de verificări diferite pentru vulnerabilități și este actualizat în fiecare zi cu adăugarea unora noi, recent descoperite. Programul poate detecta vulnerabilități în serviciile care rulează, precum și poate căuta setări incorecte, cum ar fi lipsa autentificării sau parole foarte slabe.

2. Nexpose Community Edition

Acesta este un alt instrument de căutare de vulnerabilități Linux open source dezvoltat de Rapid7, aceeași companie care a lansat Metasploit. Scanerul poate detecta până la 68.000 de vulnerabilități cunoscute și poate efectua peste 160.000 de verificări ale rețelei.

Versiunea Community este complet gratuită, dar are o limitare de a scana până la 32 de adrese IP în același timp și un singur utilizator. De asemenea, licența trebuie reînnoită în fiecare an. Nu există scanare a aplicațiilor web, dar acceptă actualizarea automată a bazei de date de vulnerabilități și obținerea de informații despre vulnerabilități de la Microsoft Patch.

Programul poate fi instalat nu numai pe Linux, ci și pe Windows, iar gestionarea se realizează printr-o interfață web. Cu acesta, puteți seta parametrii de scanare, adresele IP și alte informații necesare.

După finalizarea scanării, veți vedea o listă de vulnerabilități, precum și informații despre software-ul instalat și sistemul de operare de pe server. De asemenea, puteți crea și exporta rapoarte.

3. Burp Suite Ediție gratuită

Burp Suite este un scanner pentru vulnerabilități web scris în Java. Programul constă dintr-un server proxy, un păianjen, un instrument pentru generarea cererilor și efectuarea testelor de stres.

Cu Burp, puteți verifica aplicațiile web. De exemplu, folosind un server proxy, puteți intercepta și vizualiza tot traficul care trece și, de asemenea, îl puteți modifica dacă este necesar. Acest lucru vă va permite să simulați multe situații. Păianjenul vă va ajuta să găsiți vulnerabilități web, iar instrumentul de generare a cererilor vă va ajuta să găsiți rezistența serverului web.

4. Arahni

Arachni este un cadru de testare a aplicațiilor web Ruby cu sursă deschisă complet cu caracteristici. Vă permite să evaluați securitatea aplicațiilor web și a site-urilor web prin efectuarea diferitelor teste de penetrare.

Programul acceptă scanarea cu autentificare, setarea antetelor, suport pentru spoofing Aser-Agent, suport pentru detectarea 404. În plus, programul are o interfață web și o interfață de linie de comandă, puteți întrerupe scanarea și apoi redirecționa și, în general, totul funcționează foarte repede.

5. OWASP Zed Attack Proxy (ZAP)

OWASP Zed Attack Proxy este un alt instrument cuprinzător pentru găsirea vulnerabilităților în aplicațiile web. Toate caracteristicile standard pentru acest tip de programe sunt acceptate. Puteți scana porturi, puteți verifica structura site-ului, puteți căuta multe vulnerabilități cunoscute, puteți verifica gestionarea corectă a solicitărilor repetate sau a datelor incorecte.

Programul poate funcționa pe https și, de asemenea, acceptă diverse proxy. Deoarece programul este scris în Java, este foarte ușor de instalat și utilizat. Pe lângă caracteristicile principale, există un număr mare de plugin-uri care vă permit să creșteți foarte mult funcționalitatea.

6. Claire

Clair este un instrument de căutare a vulnerabilităților Linux în containere. Programul conține o listă de vulnerabilități care pot fi periculoase pentru containere și avertizează utilizatorul dacă astfel de vulnerabilități au fost găsite pe sistemul dumneavoastră. De asemenea, programul poate trimite notificări dacă apar noi vulnerabilități care pot face containerele nesigure.

Fiecare container este verificat o dată și nu este nevoie să-l rulați pentru a-l verifica. Programul poate extrage toate datele necesare din containerul dezactivat. Aceste date sunt stocate într-un cache pentru a putea notifica despre vulnerabilități în viitor.

7. Powerfuzzer

Powerfuzzer este un crawler web complet, automatizat și personalizabil, care vă permite să testați răspunsul aplicației dvs. web la datele proaste și la solicitările repetate. Instrumentul acceptă doar protocolul HTTP și poate detecta vulnerabilități precum atacurile XSS, SQL injection, LDAP, CRLF și XPATH. De asemenea, acceptă urmărirea erorilor de 500, care pot indica o configurare greșită sau chiar un pericol, cum ar fi o depășire a tamponului.

8.Nmap

Nmap nu este tocmai un scaner de vulnerabilități pentru Linux. Acest program vă permite să scanați rețeaua și să aflați ce noduri sunt conectate la ea, precum și să determinați ce servicii rulează pe acestea. Acest lucru nu oferă informații exhaustive despre vulnerabilități, dar puteți ghici ce software poate fi vulnerabil, încercați să ghiciți parole slabe. De asemenea, este posibil să executați scripturi speciale care vă permit să identificați unele vulnerabilități în anumite programe.

concluzii

În acest articol, am trecut în revistă cele mai bune scanere de vulnerabilități Linux, care vă permit să vă păstrați sistemul și aplicațiile în siguranță. Ne-am uitat la programe care vă permit să scanați atât sistemul de operare în sine, cât și aplicațiile și site-urile web.

Pentru a finaliza, puteți viziona un videoclip despre ce sunt scanerele de vulnerabilitate și de ce sunt necesare:

Analiza comparativă a scanerelor de securitate. Partea 1: Testul de penetrare (rezumat scurt)

Alexandru Antipov

Această lucrare prezintă rezultatele unei comparații a scanerelor de securitate a rețelei în timpul testelor de penetrare față de nodurile perimetrale ale rețelei.


Lepihin Vladimir Borisovici
Şeful Laboratorului de Securitate a Reţelei al Centrului de Formare Informzaschita

Toate materialele raportului sunt obiecte de proprietate intelectuală a centrului de formare Informzaschita. Replicarea, publicarea sau reproducerea sub orice formă a materialelor raportului este interzisă fără acordul prealabil scris al Centrului de Formare Informzaschita.

Textul integral al studiului:
http://www.itsecurity.ru/news/reliase/2008/12_22_08.htm

1. Introducere

Scanerele de securitate de rețea sunt comparația perfectă. Toate sunt foarte diferite. Și datorită specificului sarcinilor pentru care sunt destinate și datorită scopului lor „dublu” (scanerele de securitate ale rețelei pot fi folosite atât pentru protecție, cât și „pentru atac”, iar hackingul, după cum știți, este o sarcină creativă) , în sfârșit, și pentru că în spatele fiecărui astfel de instrument se află zborul „hackerului” (în sensul original al cuvântului) gândit la creatorul său.

La alegerea condițiilor pentru comparație, s-a luat ca bază abordarea „bazată pe sarcini”, astfel încât rezultatele pot fi folosite pentru a aprecia cât de potrivit este un instrument sau altul pentru rezolvarea sarcinii care i-a fost atribuită. De exemplu, scanere de securitate în rețea pot fi utilizate:

  • pentru inventarierea resurselor rețelei;
  • în timpul „testelor de penetrare”;
  • în procesul de verificare a sistemelor pentru conformitatea cu diverse cerințe.

Această lucrare prezintă rezultatele unei comparații a scanerelor de securitate a rețelei în timpul testelor de penetrare față de nodurile perimetrale ale rețelei. Au fost evaluate următoarele:

  • Numărul de vulnerabilități găsite
  • Numărul de false pozitive (false pozitive)
  • Număr de sărituri (false negative)
  • Motive pentru lipsă
  • Completitudinea bazei de date de verificări (în contextul acestei sarcini)
  • Calitatea mecanismelor de inventariere și versiunea software-ului
  • Precizia scanerului (în contextul acestei sarcini)

Criteriile enumerate împreună caracterizează „adecvarea” scanerului pentru rezolvarea sarcinii care i-a fost atribuită, în acest caz este automatizarea acțiunilor de rutină în procesul de monitorizare a securității perimetrului rețelei.

2. Scurtă descriere a participanților la comparație

Înainte de începerea comparației, portalul a realizat un sondaj, al cărui scop a fost colectarea datelor despre scanerele utilizate și sarcinile pentru care sunt utilizate.

La sondaj au participat aproximativ 500 de respondenți (vizitatori ai portalului).

La întrebarea despre scanerele de securitate pe care le folosesc în organizațiile lor, marea majoritate a respondenților au spus că folosesc cel puțin un scaner de securitate (70%). În același timp, organizațiile care folosesc în mod regulat scanere de securitate pentru a analiza securitatea sistemelor lor informaționale preferă să utilizeze mai mult de un produs din această clasă. 49% dintre respondenți au răspuns că organizațiile lor folosesc două sau mai multe scanere de securitate (Figura 1).


unu . Distribuția organizațiilor respondente în funcție de numărul de scanere de securitate utilizate

Motivele pentru care se utilizează mai mult de un scanner de securitate sunt pentru că organizațiile nu au încredere în soluțiile unui „furnizor” (61%), precum și în cazurile în care sunt necesare verificări specializate (39%), care nu pot fi efectuate de un scaner de securitate integrat. (Fig. 2).

2. Motive pentru utilizarea mai multor scanere de securitate în organizațiile respondenților intervievați

Răspunzând la întrebarea în ce scopuri sunt folosite scanere de securitate specializate, majoritatea respondenților au răspuns că acestea sunt folosite ca instrumente suplimentare pentru analiza securității aplicațiilor Web (68%). Pe locul doi s-au situat scanerele specializate de securitate DBMS (30%), iar pe locul trei (2%) s-au situat utilitatile auto-dezvoltate pentru rezolvarea unei game specifice de sarcini pentru analiza securitatii sistemelor informatice (Fig. 3).


3 . Scopurile utilizării scanerelor de securitate specializate în organizațiile respondenților intervievați

Rezultatul unui sondaj al respondenților (Fig. 4) despre produsele finale legate de scanerele de securitate a arătat că majoritatea organizațiilor preferă să utilizeze Positive Technologies XSpider (31%) și Nessus Security Scanner (17%).


Orez. 4. Au folosit scanere de securitate în organizațiile respondenților intervievați

Scanerele prezentate în tabelul 1 au fost selectate pentru a participa la teste.

Tabelul 1. Scanere de securitate în rețea utilizate în comparație

Nume

Versiune

http://www.nessus.org/download

Max Patrol

8.0 (build 1178)

http://www.ptsecurity.ru/maxpatrol.asp

Scanner de internet

http://www-935.ibm.com/services/us/index.wss/offering/iss/a1027208

retinăScaner de securitate de rețea

http://www.eeye.com/html/products/retina/index.html

Scaner de securitate în umbră (SSS)

7.141 (build 262)

http://www.safety-lab.com/en/products/securityscanner.htm

Auditor NetClarity

http://netclarity.com/branch-nacwall.html

Deci, primul test este axat pe sarcina de a evalua securitatea sistemelor pentru rezistența la hacking.

3. Rezumând

Rezultatele pentru nodurile rămase au fost calculate într-un mod similar. După calcularea rezultatelor, s-a obținut următorul tabel (Tabelul 2).

Tabelul 2. Rezultate finale pentru toate obiectele scanate

Index

Scanner de internet

Scaner de securitate în umbră

NetClarity
Auditor

Identificarea serviciilor și aplicațiilor, puncte

Vulnerabilități găsite, total

Din care false pozitive
(false pozitive)

Găsit corect
(din 225 posibile)

Treci
(negative false)

Dintre acestea, din cauza absenței în baza de date

Din care cauzate de nevoia de autentificare

Din alte motive

3.1 Identificarea serviciilor și aplicațiilor

Conform rezultatelor definirii serviciilor și aplicațiilor, punctele au fost pur și simplu însumate, în timp ce un punct a fost dedus pentru o definiție eronată a unui serviciu sau aplicație (Fig. 5).


Orez. 5. Rezultatele identificării serviciilor și aplicațiilor

Cel mai mare scor (108) a fost notat de scanerul MaxPatrol, puțin mai puțin (98) de scanerul Nessus. Într-adevăr, în aceste două scanere, procedura de identificare a serviciilor și aplicațiilor este implementată foarte bine. Acest rezultat poate fi numit destul de așteptat.

Următorul rezultat este pentru scanerele Internet și NetClarity. Aici putem aminti că, de exemplu, Internet Scanner se concentrează pe utilizarea porturilor standard pentru aplicații, acest lucru explicând în mare măsură rezultatul său scăzut. În cele din urmă, scanerul NetClarity are cea mai slabă performanță. Deși face o treabă bună în identificarea serviciilor (la urma urmei, se bazează pe nucleul Nessus 2.x), rezultatul său general slab poate fi explicat prin faptul că nu a identificat toate porturile deschise.

3.2 Identificarea vulnerabilităților

Pe fig. Figura 6 arată numărul total de vulnerabilități găsite de toate scanerele și numărul de fals pozitive. Cel mai mare număr de vulnerabilități a fost găsit de scanerul MaxPatrol. Al doilea (deși deja cu o marjă semnificativă) a fost din nou Nessus.
Liderul în numărul de fals pozitive a fost Shadow Security Scanner. În principiu, acest lucru este de înțeles, exemplele de erori legate doar de verificările sale au fost date mai sus.


Orez. 6. Au găsit vulnerabilități și false pozitive

Un total de 225 de vulnerabilități au fost găsite de toate scanerele pe toate cele 16 noduri (și ulterior confirmate prin verificare manuală). Rezultatele au fost distribuite ca în Fig. 7. Cel mai mare număr de vulnerabilități - 155 din 225 posibile - a fost detectat de scanerul MaxPatrol. Al doilea a fost scanerul Nessus (rezultatul său este de aproape două ori mai rău). Urmează Internet Scanner, apoi NetClarity.
În cadrul comparației au fost analizate motivele lipsei vulnerabilităților și au fost separate cele care au fost făcute din lipsa verificărilor în baza de date. Următoarea diagramă (Figura 8) arată motivele pentru care scanerele scapă vulnerabilități.


Orez. 7. Au găsit vulnerabilități și omisiuni


Orez. 8. Motive pentru lipsa vulnerabilităților

Acum câțiva indicatori rezultați din calcule.

Pe fig. Figura 39 arată raportul dintre numărul de fals pozitive și numărul total de vulnerabilități găsite; într-un anumit sens, acest indicator poate fi numit acuratețea scanerului. La urma urmei, utilizatorul, în primul rând, se ocupă de lista vulnerabilităților găsite de scaner, din care este necesar să le selecteze corect pe cele găsite.


Orez. 9. Precizia scanerelor

Din această diagramă, puteți vedea că cea mai mare precizie (95%) a fost obținută de scanerul MaxPatrol. Deși numărul de fals pozitive nu este cel mai mic, această rată de acuratețe a fost atinsă datorită numărului mare de vulnerabilități găsite. Internet Scanner este următorul în ceea ce privește acuratețea detectării. A arătat cel mai mic număr de fals pozitive. Scanerul SSS are cel mai scăzut rezultat, ceea ce nu este surprinzător cu un număr atât de mare de fals pozitive care au fost observate în timpul comparației.

Un alt indicator calculat este caracterul complet al bazei (Fig. 10). Se calculează ca raport dintre numărul de vulnerabilități găsite corect și numărul total de vulnerabilități (în acest caz, 225) și caracterizează scara „rătăcirilor”.


Orez. 10. Completitudinea bazei

Această diagramă arată că baza scanerului MaxPatrol este cea mai adecvată pentru sarcină.

4. Concluzie

4.1 Comentarii privind rezultatele liderului: MaxPatrol și Nessus

Primul loc conform tuturor criteriilor acestei comparații revine scanerului MaxPatrol, al doilea loc este ocupat de scanerul Nessus, rezultatele altor scanere sunt semnificativ mai mici.

Aici este oportun să reamintim unul dintre documentele pregătite de Institutul Național de Standarde și Tehnologie din SUA (NIST), și anume, „Ghidul privind testarea securității rețelelor”. Se precizează că se recomandă utilizarea a cel puțin două scanere de securitate la monitorizarea securității sistemelor informatice.

În rezultatul obținut, de fapt, nu există nimic neașteptat și surprinzător. Nu este un secret pentru nimeni că scanerele XSpider (MaxPatrol) și Nessus sunt populare atât printre specialiștii în securitate, cât și printre crackeri. Acest lucru este confirmat de rezultatele de mai sus ale sondajului. Să încercăm să analizăm motivele conducerii clare a MaxPatrol (acest lucru se aplică parțial și scanerului Nessus), precum și motivele „pierderii” altor scanere. În primul rând, este o identificare calitativă a serviciilor și aplicațiilor. Verificările bazate pe inferențe (dintre care destul de multe au fost utilizate în acest caz) depind în mare măsură de acuratețea colectării informațiilor. Iar identificarea serviciilor și aplicațiilor în scanerul MaxPatrol este aproape perfecționată. Iată un exemplu grăitor.
Al doilea motiv pentru succesul MaxPatrol este completitatea bazei de date și adecvarea acesteia la sarcină și, în general, „azi”. Conform rezultatelor, se observă că baza de verificări în MaxPatrol a fost semnificativ extinsă și detaliată, a fost „ordonată”, în timp ce „înclinarea” evidentă către aplicațiile web este compensată de extinderea verificărilor în alte zone, pt. de exemplu, rezultatele scanării routerului prezentate în comparație au fost impresionante Cisco.

Al treilea motiv este o analiză calitativă a versiunilor aplicației, ținând cont de sistemele de operare, distribuții și diverse „ramuri”. De asemenea, puteți adăuga utilizarea diferitelor surse (baze de date de vulnerabilitate, notificări și buletine de furnizori).

În cele din urmă, mai putem adăuga că MaxPatrol are o interfață foarte convenabilă și logică, care reflectă principalele etape ale funcționării scanerelor de securitate în rețea. Și acest lucru este important. Legătura „nod, serviciu, vulnerabilitate” este foarte convenabilă pentru percepție (n.red., aceasta este opinia subiectivă a autorului comparației). Și mai ales pentru această sarcină.

Acum despre neajunsuri și locuri „slabe”. Deoarece MaxPatrol s-a dovedit a fi liderul comparației, atunci critica la adresa acesteia va fi „maximum”.

În primul rând, așa-numita „pierdere în detalii”. Având un motor de foarte înaltă calitate, este important să oferiți un serviciu suplimentar adecvat, de exemplu, un set de instrumente convenabil care vă permite să faceți ceva manual, instrumente de căutare a vulnerabilităților și posibilitatea de a regla fin sistemul. MaxPatrol continuă tradiția XSpider și se concentrează pe cât posibil pe ideologia „clicked and earned”. Pe de o parte, acest lucru nu este rău, pe de altă parte, limitează analistul „meticulos”.

În al doilea rând, unele servicii au rămas „neacoperite” (puteți judeca acest lucru din rezultatele acestei comparații), de exemplu, IKE (portul 500).

În al treilea rând, în unele cazuri nu există suficientă comparație elementară a rezultatelor a două verificări între ele, de exemplu, ca în cazul SSH descris mai sus. Adică nu există concluzii bazate pe rezultatele mai multor verificări. De exemplu, sistemul de operare host4 a fost clasificat ca Windows, în timp ce „furnizorul” serviciului PPTP a fost clasificat ca Linux. Poți trage concluzii? De exemplu, în raportul din zona de definire a sistemului de operare, indicați că acesta este un nod „hibrid”.

În al patrulea rând, descrierea cecurilor lasă mult de dorit. Dar aici trebuie să se înțeleagă că MaxPatrol se află în condiții inegale cu alte scanere: o traducere de înaltă calitate în rusă a tuturor descrierilor este o sarcină care necesită foarte mult timp.

Scanerul Nessus a arătat, în general, rezultate bune, iar în câteva momente a fost mai precis decât scanerul MaxPatrol. Principalul motiv pentru care Nessus rămâne în urmă este lipsa vulnerabilităților, dar nu din cauza lipsei de verificări în baza de date, ca majoritatea celorlalte scanere, ci din cauza caracteristicilor de implementare. În primul rând (și acesta este motivul pentru o parte semnificativă a lacunelor), scannerul Nessus a evoluat către verificări „locale” sau de sistem, care implică conectarea la un cont. În al doilea rând, scanerul Nessus ia în considerare mai puține surse de informații (comparativ cu MaxPatrol) despre vulnerabilități. Este oarecum similar cu scanerul SSS, bazat în principal pe SecurityFocus.

5. Limitările acestei comparații

În timpul comparației, capacitățile scanerelor au fost studiate în contextul unei singure sarcini - testarea nodurilor perimetrului rețelei pentru rezistența la hacking. De exemplu, dacă desenăm o analogie cu mașina, am văzut cum se comportă diferite mașini, de exemplu, pe un drum alunecos. Cu toate acestea, există și alte sarcini, a căror soluție prin aceleași scanere poate arăta complet diferit. În viitorul apropiat, este planificată compararea scanerelor în cursul rezolvării unor probleme precum:

  • Efectuarea unui audit al sistemelor folosind un cont
  • Evaluarea conformității PCI DSS
  • Scanarea sistemelor Windows

În plus, este planificată compararea scanerelor în funcție de criterii formale.

În timpul acestei comparații, a fost testat doar „motorul” în sine, sau, în termeni moderni, „creierul” scanerului. Oportunitățile în ceea ce privește serviciile suplimentare (rapoarte, informații de înregistrare despre progresul scanării etc.) nu au fost evaluate sau comparate în niciun fel.

De asemenea, nu au fost evaluate gradul de pericol și posibilitatea de exploatare a vulnerabilităților constatate. Unele scanere s-au limitat la vulnerabilități „minore” de severitate scăzută, în timp ce altele au dezvăluit vulnerabilități cu adevărat critice care permit accesul la sistem.

Nu ai găsit un răspuns la întrebarea ta? Uita-te aici
Cum să faci o captură de ecran pe diferite dispozitiveCum să faci o captură de ecran pe diferite dispozitive
Cod MMI greșit sau conexiune greșită - soluție de problemăCod MMI greșit sau conexiune greșită - soluție de problemă
Actualizare Internet ExplorerActualizare Internet Explorer