internet pencereler Android
Genişletmek
ev

En iyi kalem test araçları: güvenlik tarayıcıları. Nessus Scanner ile ağ güvenlik açıklarını verimli şekilde arayın Ağ cihazlarındaki güvenlik açıklarını arayın

Güvenlik açığı tarayıcıları, güvenlik denetimini otomatikleştirir ve çeşitli güvenlik riskleri için ağınızı ve web sitelerinizi tarayarak BT güvenliğinizde önemli bir rol oynayabilir. Bu tarayıcılar ayrıca, düzeltmeniz gerekenlerin öncelikli bir listesini oluşturabilir, ayrıca güvenlik açıklarını tanımlayabilir ve düzeltici eylemler sağlayabilir. Bazılarının güvenlik açıklarını düzeltme sürecini otomatikleştirmesi de mümkündür.
En İyi 10 Güvenlik Açığı Değerlendirme Aracı

  • Comodo Hacker Korumalı
  • OpenVAS
  • Nexpose Topluluğu
  • Nikto
  • Tripwire IP360
  • Tel köpekbalığı
  • hava çatlağı
  • Nessus Profesyoneli
  • Retina Bilgisayar Bilimleri Topluluğu
  • Microsoft Temel Güvenlik Çözümleyicisi (MBSA)
  1. Comodo Hacker Korumalı
    Comodo HackerProof, güvenlik sorunlarının üstesinden gelmenizi sağlayan devrim niteliğinde bir güvenlik açığı tarama aracı olarak kabul edilir. Aşağıda HackerProof'tan alabileceğiniz başlıca avantajlardan bazıları verilmiştir:
  • Günlük Güvenlik Açığı Taraması
  • PCI tarama araçları dahil
  • Drive-by saldırı önleme
2.OpenVAS
Zafiyet taraması ve zafiyet yönetimi için zafiyet değerlendirme araçları sağlayan merkezi bir hizmet olarak hizmet veren açık kaynaklı bir araçtır.
  • OpenVAS çeşitli işletim sistemlerini destekler
  • OpenVAS tarama motoru, ağ güvenlik açığı testleri ile sürekli olarak güncellenir
  • OpenVAS Tarayıcı, sunucularda ve diğer ağ cihazlarında güvenlikle ilgili sorunları tanımlayan kapsamlı bir güvenlik açığı değerlendirme aracıdır.
  • OpenVAS hizmetleri ücretsizdir ve genellikle GNU Genel Kamu Lisansı (GPL) kapsamında lisanslanır.
3. Nexpose Topluluğu
Rapid7 tarafından geliştirilen Nexpose Vulnerability Scanner, güvenlik açığı taraması ve çok çeşitli ağ kontrolleri gerçekleştirmek için kullanılan açık kaynaklı bir araçtır.
  • Nexpose, Metaspoilt çerçevesine yerleştirilebilir
  • Hangi kötü amaçlı yazılım paketini kullandığı, hangi faydaları kullandığı vb. gibi güvenlik açığının yaşını dikkate alır ve sorunu önceliğine göre düzeltir.
  • Yeni cihazları otomatik olarak algılayıp tarayabilir ve ağa erişirken güvenlik açıklarını değerlendirebilir.
  • Güvenlik açıklarını gerçek zamanlı olarak izler ve yeni verilerle en son tehlikelere aşina olur.
  • Çoğu güvenlik açığı tarayıcısı, riskleri genellikle orta veya yüksek veya düşük ölçek kullanarak kategorize eder.
4. Nikto
Nikto, olası sorunları ve güvenlik açıklarını değerlendirmek için kullanılan çok popüler bir açık kaynaklı web tarayıcısıdır.
  • Ayrıca sunucunun güncel olmayan sürümlerini kontrol etmek ve sunucunun çalışmasını etkileyen belirli bir sorunu kontrol etmek için de kullanılır.
  • Nikto, birkaç tehlikeli dosya gibi çeşitli öğeleri taramak için web sunucularında çeşitli testler yapmak için kullanılır.
  • "Sessiz" bir araç olarak kabul edilmez ve bir web sunucusunu minimum sürede test etmek için kullanılır.
  • HTTPS, HTTP vb. gibi çeşitli protokolleri taramak için kullanılır. Bu araç, belirli bir sunucunun birden çok bağlantı noktasını taramanıza olanak tanır.
5.Tripwire IP360
Tripwire Inc tarafından geliştirilen Tripwire IP360, çeşitli kuruluşlar tarafından güvenlik risklerini yönetmek için kullanılan en iyi güvenlik açığı değerlendirme çözümü olarak kabul edilir.
  • Tüm güvenlik açıklarını, yapılandırmaları, uygulamaları, ağ ana bilgisayarlarını ve daha fazlasını ortaya çıkarmak için geniş kapsamlı bir ağ görünümü kullanır.
  • Risk ve güvenlik açığı yönetimini birden çok iş süreci arasında entegre etmeye yardımcı olmak için açık standartları kullanır.
6 Tel köpekbalığı
Wireshark, yaygın olarak kullanılan bir ağ protokolü analizörüdür ve güvenlik profesyonellerinin araç setindeki en güçlü araç olarak kabul edilir.
  • Wireshark, devlet kurumları, işletmeler, eğitim kurumları vb. gibi çeşitli akışlarda ağlara düşük düzeyde eşlemek için kullanılır.
  • Sorunları çevrimiçi olarak düzeltir ve çevrimdışı olarak analiz yapar
  • Linux, masOS, Windows, Solaris vb. gibi farklı platformlarda çalışır.
7. Uçak çatlağı
Aircrack-NG olarak da bilinen Aircrack, bir WiFi ağının güvenliğini değerlendirmek için kullanılan bir dizi araçtır.
  • Ağ denetiminde kullanılan araçlar
  • Linux, OS X, Solaris, NetBSD, Windows vb. gibi birden çok işletim sistemini destekler.
  • Paket ve veri izleme, sürücü ve kart testi, tekrar saldırıları, bilgisayar korsanlığı vb. gibi WiFi güvenliğinin çeşitli alanlarına odaklanır.
  • Aircrack, veri paketlerini yakalayarak kayıp anahtarları alabilir
8. Nessus Profesyoneli
Nessus aracı, Tenable Network Security tarafından oluşturulan tescilli ve tescilli bir güvenlik açığı tarayıcısıdır.
  • Güvenlik açıklarını en kısa sürede değerlendirerek ağların bilgisayar korsanları tarafından sızmasını önler.
  • Hassas verilerin sistemden uzaktan saldırıya uğramasına izin veren güvenlik açıklarını tarayabilir
  • Bulut altyapısı, sanal ve fiziksel ağlar arasında çok çeşitli işletim sistemlerini, Dbs'leri, uygulamaları ve diğer birçok cihazı destekler.
  • Güvenlik açıklarını, yapılandırma sorunlarını vb. değerlendirmek için dünya çapında milyonlarca kullanıcı tarafından kurulmuş ve kullanılmıştır.
9. Retina CS Topluluğu
Retina CS, güvenlik açığı yönetimini basitleştirmeye ve merkezileştirmeye yardımcı olan açık kaynaklı bir konsol ve web panosudur.
  • Uyumluluk raporlaması, yamalama ve yapılandırma uyumluluğu gibi yetenekleriyle Retina CS, platformlar arası güvenlik açığı değerlendirmesi sağlar
  • Veritabanları, web uygulamaları, iş istasyonları ve sunucular için otomatik güvenlik açığı değerlendirmesini içerir.
  • Retina CS, vCenter entegrasyonu, sanal uygulama taraması vb. sanal ortamlar için tam destek sağlayan açık kaynaklı bir uygulamadır.
10.Microsoft Temel Güvenlik Çözümleyicisi (MBSA)
MBSA, Microsoft tarafından belirlenen özelliklere veya yönergelere dayalı olarak bir Windows bilgisayarının güvenliğini sağlamak için ideal olan ücretsiz bir Microsoft aracıdır.
  • MBSA, bir grup bilgisayarı herhangi bir yanlış yapılandırma, eksik güncelleme ve herhangi bir güvenlik yaması vb. için inceleyerek güvenlik düzeyini artırmanıza olanak tanır.
  • Kritik ve isteğe bağlı güncellemeleri bir kenara bırakarak yalnızca güvenlik güncellemelerini, hizmet paketlerini ve toplu güncellemeleri tarayabilir.
  • Orta ve küçük kuruluşlar tarafından ağlarının güvenliğini yönetmek için kullanılır.
  • Sistemi taradıktan sonra MBSA, güvenlik açıklarının ortadan kaldırılmasıyla ilgili çeşitli çözümler veya öneriler sunacaktır.

Ağ solucanı salgını sorunu, herhangi bir yerel ağ için geçerlidir. Er ya da geç, kullanılan antivirüs tarafından algılanmayan bir ağ veya posta solucanı LAN'a girdiğinde bir durum ortaya çıkabilir. Bir ağ virüsü, bulaşma sırasında kapatılmayan işletim sistemi güvenlik açıkları veya yazılabilir paylaşılan kaynaklar aracılığıyla bir LAN üzerinden yayılır. Bir posta virüsü, adından da anlaşılacağı gibi, istemcinin antivirüsü ve posta sunucusundaki antivirüs tarafından engellenmediği sürece e-posta yoluyla yayılır. Ayrıca, LAN'daki salgın, içeriden bir kişinin faaliyetleri sonucunda içeriden organize edilebilir. Bu yazıda, özellikle yazarın AVZ yardımcı programını kullanarak çeşitli araçlar kullanarak LAN bilgisayarlarının operasyonel analizi için pratik yöntemleri ele alacağız.

Sorunun formülasyonu

Ağda bir salgın veya anormal bir faaliyet tespit edilmesi durumunda, yöneticinin en az üç görevi derhal çözmesi gerekir:

  • ağdaki virüslü bilgisayarları tespit edin;
  • antivirüs laboratuvarına gönderilecek kötü amaçlı yazılım örnekleri bulun ve bir karşı önlem stratejisi geliştirin;
  • virüsün LAN'da yayılmasını engellemek ve virüslü bilgisayarlarda yok etmek için önlemler alın.

İçeriden birinin faaliyeti söz konusu olduğunda, ana analiz adımları aynıdır ve çoğu zaman içeriden öğrenenlerin LAN bilgisayarlarına yüklediği üçüncü taraf yazılımları tespit etme ihtiyacına iner. Bu tür yazılımlara örnek olarak uzaktan yönetim yardımcı programları, tuş kaydediciler ve çeşitli Truva atı yer imleri verilebilir.

Her bir görevin çözümünü daha ayrıntılı olarak ele alalım.

Virüs bulaşmış bilgisayarları arayın

Ağdaki virüslü bilgisayarları aramak için en az üç yöntem kullanılabilir:

  • otomatik uzaktan bilgisayar analizi - çalışan işlemler, yüklenen kitaplıklar ve sürücüler hakkında bilgi edinme, karakteristik kalıpları arama - örneğin, verilen adlara sahip işlemler veya dosyalar;
  • sniffer kullanarak PC trafiğini incelemek - bu yöntem spam botları, posta ve ağ solucanlarını yakalamak için çok etkilidir, ancak bir sniffer kullanmanın ana zorluğu, modern bir LAN'ın anahtarlar temelinde inşa edilmiş olması ve Sonuç olarak, yönetici tüm ağdaki trafiği izleyemez. Sorun iki şekilde çözülür: yönlendirici üzerinde bir sniffer çalıştırarak (İnternet ile PC veri alışverişini izlemenizi sağlar) ve anahtarların izleme işlevlerini kullanarak (birçok modern anahtar, yönlendiricinin bağlanacağı bir izleme bağlantı noktası atamanıza izin verir). yönetici tarafından belirtilen bir veya daha fazla anahtar bağlantı noktasının trafiği kopyalanır);
  • ağ yükünün incelenmesi - bu durumda, yalnızca yükü tahmin etmeye değil, aynı zamanda yönetici tarafından belirtilen bağlantı noktalarını uzaktan devre dışı bırakmaya izin veren akıllı anahtarların kullanılması çok uygundur. Yöneticinin, anahtarın ilgili bağlantı noktalarına hangi bilgisayarların bağlı olduğu ve nerede bulundukları hakkında verileri içeren bir ağ haritası varsa, bu işlem büyük ölçüde basitleştirilmiştir;
  • tuzakların kullanımı (bal küpü) - yerel ağda yöneticinin salgını zamanında tespit etmesini sağlayacak birkaç tuzak oluşturulması şiddetle tavsiye edilir.

Ağdaki bilgisayarların otomatik analizi

Otomatik PC analizi üç ana adıma indirgenebilir:

  • PC'nin eksiksiz bir çalışmasını yürütmek - çalışan süreçler, yüklü kitaplıklar ve sürücüler, otomatik çalıştırma;
  • operasyonel bir anket yapmak - örneğin, karakteristik süreçleri veya dosyaları aramak;
  • Belirli kriterlere göre nesne karantinası.

Yukarıdaki görevlerin tümü, sunucudaki bir ağ klasöründen başlatılmak üzere tasarlanmış ve otomatik bilgisayar incelemesi için bir komut dosyası dilini destekleyen AVZ yazar yardımcı programı kullanılarak çözülebilir. AVZ'yi kullanıcıların bilgisayarlarında çalıştırmak için yapmanız gerekenler:

  1. AVZ'yi sunucudaki okunabilir bir ağ klasörüne yerleştirin.
  2. Bu klasörde LOG ve Kuran-ı Kerim alt dizinleri oluşturun ve kullanıcıların bunlara yazmasına izin verin.
  3. AVZ'yi LAN bilgisayarlarında rexec yardımcı programını veya bir oturum açma komut dosyasını kullanarak başlatın.

AVZ'yi 3. adımda başlatmak, aşağıdaki parametrelerle yapılmalıdır:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

Bu durumda Priority=-1 parametresi AVZ işleminin önceliğini düşürür, nw=Y ve nq=Y parametreleri karantinayı "ağ başlatma" moduna geçirir (bu durumda karantina klasöründe bir alt dizin oluşturulur) adı bilgisayarın ağ adıyla eşleşen her bilgisayar için), HiddenMode=2 kullanıcının GUI ve AVZ denetimine erişimini engellemesini söyler ve son olarak, en önemli parametre Script komutlarla komut dosyasının tam adını belirtir AVZ'nin kullanıcının bilgisayarında yürüteceği AVZ betik dilinin kullanımı oldukça basittir ve yalnızca bir bilgisayarı inceleme ve onu tedavi etme sorunlarını çözmeye odaklanır. Komut dosyası yazma sürecini basitleştirmek için, bir komut istemi, tipik komut dosyaları oluşturmak için bir sihirbaz ve yazılı bir komut dosyasını çalıştırmadan doğruluğunu kontrol etmek için araçlar içeren özel bir komut dosyası düzenleyicisi kullanabilirsiniz (Şekil 1).

Pirinç. 1. AVZ komut dosyası düzenleyicisi

Salgınla mücadelede faydalı olabilecek üç tipik senaryoyu ele alalım. İlk olarak, bir PC araştırma komut dosyasına ihtiyacımız var. Komut dosyasının görevi, sistemi incelemek ve belirli bir ağ klasöründeki sonuçlarla bir protokol oluşturmaktır. Senaryo şöyle görünür:

ActivateWatchDog(60 * 10);

// Taramaya ve analize başla

// Sistemi keşfedin

ExecuteSysCheck(GetAVZDirectory+

'\LOG\'+GetComputerName+'_log.htm');

//AVZ'yi kapat

Bu betiğin yürütülmesi sırasında, LOG klasöründe (sunucudaki AVZ dizininde oluşturulduğu ve kullanıcıların yazabileceği varsayılmaktadır), ağ bilgisayarlarının çalışmasının sonuçlarını içeren HTML dosyaları oluşturulacaktır, ve çalışılan bilgisayarın adı, benzersizliği sağlamak için protokol adına dahil edilir. Komut dosyasının başında, komut dosyası yürütme sırasında hata olması durumunda AVZ işlemini 10 dakika sonra zorla sonlandıracak olan watchdog zamanlayıcısını açma komutu vardır.

AVZ protokolü manuel çalışma için uygundur, ancak otomatik analiz için çok az kullanımı vardır. Ayrıca, yönetici genellikle kötü amaçlı programın dosya adını bilir ve yalnızca bu dosyanın varlığını veya yokluğunu kontrol etmesi ve varsa, analiz için karantinaya alması gerekir. Bu durumda, aşağıdaki komut dosyasını kullanabilirsiniz:

// Watchdog zamanlayıcısını 10 dakika boyunca etkinleştir

ActivateWatchDog(60 * 10);

// Kötü amaçlı yazılımı ada göre arayın

QuarantineFile('%WinDir%\smss.exe', 'LdPinch.gen'den şüpheleniliyor');

QuarantineFile('%WinDir%\csrss.exe', 'LdPinch.gen'den şüpheleniliyor');

//AVZ'yi kapat

Bu komut dosyası, belirtilen dosyaları karantinaya almaya çalışan QuarantineFile işlevini kullanır. Yöneticinin, karantinaya alınan dosyalar için yalnızca karantina içeriğini (Karantina\ağ_PC_adı\quarantine_date\ klasörü) analiz etmesi gerekir. Lütfen QuarantineFile işlevinin, güvenli AVZ veritabanı veya Microsoft EDS veritabanı tarafından tanımlanan dosyaların karantinaya alınmasını otomatik olarak engellediğini unutmayın. Pratik kullanım için bu komut dosyası geliştirilebilir - harici bir metin dosyasından dosya adlarının yüklenmesini organize edin, bulunan dosyaları AVZ veritabanlarına göre kontrol edin ve çalışmanın sonuçlarıyla bir metin protokolü oluşturun:

// Belirtilen ada sahip bir dosya arayın

function CheckByName(Fname: string): boolean;

Sonuç:= FileExists(FName) ;

eğer sonuç o zaman başla

case CheckFile(FName) of

1: S:= ', dosya erişimi engellendi';

1: S:= ', Kötü Amaçlı Yazılım olarak tanımlandı ('+GetLastCheckTxt+')';

2: S:= ', dosya tarayıcı tarafından şüpheleniliyor ('+GetLastCheckTxt+')';

3: çıkış; // Güvenli dosyaları yoksay

AddToLog(''+NormalFileName(FName)+' dosyası şüpheli bir ada sahip'+S);

//Belirtilen dosyayı karantinaya ekleme

QuarantineFile(FName,'şüpheli dosya'+S);

SuspNames: TStringList; // Şüpheli dosyaların adlarının listesi

// Dosyaları güncellenmiş veritabanına göre kontrol etme

eğer FileExists(GetAVZDirectory + 'files.db') o zaman başlayın

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('İsim veritabanı yüklendi - giriş sayısı = '+inttostr(SuspNames.Count));

// Arama döngüsü

i için:= 0 - SuspNames.Count - 1 do

CheckByName(SuspNames[i]);

AddToLog('Dosya isimleri listesi yüklenirken hata oluştu');

SaveLog(GetAVZDirectory+'\LOG\'+

GetComputerName+'_files.txt');

Bu betiğin çalışması için, AVZ klasöründe kullanıcıların yazabileceği Karantina ve LOG dizinlerinin yanı sıra files.db metin dosyasının oluşturulması gerekir - bu dosyanın her satırı şüpheli dosyanın adını içerecektir. Dosya adları, en kullanışlı olanları %WinDir% (Windows klasörünün yolu) ve %SystemRoot% (System32 klasörünün yolu) olan makroları içerebilir. Başka bir analiz yönü, kullanıcıların bilgisayarlarında çalışan işlemlerin listesinin otomatik olarak incelenmesi olabilir. Çalışan işlemlerle ilgili bilgiler sistem araştırma protokolünde mevcuttur, ancak otomatik analiz için aşağıdaki komut dosyası parçasını kullanmak daha uygundur:

prosedür ScanProcess;

S:=''; S1:='';

// İşlem listesini güncelle

RefreshProcessList;

AddToLog('İşlem sayısı = '+IntToStr(GetProcessCount));

// Alınan listenin analiz döngüsü

i için:= 0'dan GetProcessCount'a - 1 başlar

S1:= S1 + ',' + ExtractFileName(GetProcessName(i));

// Bir işlemi ada göre arayın

eğer pos('trojan.exe', LowerCase(GetProcessName(i))) > 0 ise

S:= S + GetProcessName(i)+',';

eğer S<>''sonra

AddLineToTxtFile(GetAVZDirectory+'\LOG\_alarm.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S);

AddLineToTxtFile(GetAVZDirectory+'\LOG\_all_process.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S1);

Bu komut dosyasındaki işlemlerin incelenmesi ayrı bir ScanProcess prosedürü olarak gerçekleştirilir, bu nedenle onu kendi komut dosyanıza yerleştirmek kolaydır. ScanProcess prosedürü iki işlem listesi oluşturur: işlemlerin tam listesi (daha sonra analiz için) ve yöneticinin bakış açısından tehlikeli kabul edilen işlemlerin listesi. Bu durumda, gösteri için 'trojan.exe' adlı bir işlem tehlikeli olarak kabul edilir. Tehlikeli işlemlerle ilgili bilgiler _alarm.txt metin dosyasına, tüm işlemlerle ilgili veriler _all_process.txt dosyasına eklenir. Örneğin, işlem dosyalarını güvenli dosyalar veritabanına göre kontrol ederek veya işlem yürütülebilir dosyalarının adlarını harici bir veritabanına göre kontrol ederek komut dosyasını karmaşıklaştırabileceğinizi görmek kolaydır. Smolenskenergo'da kullanılan AVZ komut dosyalarında da benzer bir prosedür kullanılır: yönetici, toplanan bilgileri periyodik olarak inceler ve güvenlik politikası tarafından yasaklanan programların, örneğin izin veren ICQ ve MailRu.Agent işlemlerinin adını ekleyerek komut dosyasını değiştirir. incelenen bilgisayarlarda yasaklanmış yazılımların olup olmadığını hızlıca kontrol edebilirsiniz. İşlem listesinin başka bir kullanımı, antivirüs gibi gerekli bir işlemin eksik olduğu bilgisayarları bulmaktır.

Sonuç olarak, son yararlı analiz komut dosyalarını ele alalım - güvenli AVZ veritabanı ve Microsoft EDS veritabanı tarafından tanınmayan tüm dosyaların otomatik karantinaya alınması için komut dosyası:

// Otomatik karantinayı yürüt

Otomatik Karantina Yürüt;

Otomatik karantina, çalışan süreçleri ve yüklenen kitaplıkları, hizmetleri ve sürücüleri, yaklaşık 45 otomatik başlatma yöntemini, tarayıcı ve gezgin genişletme modüllerini, SPI/LSP işleyicilerini, zamanlayıcı işlerini, yazdırma sistemi işleyicilerini vb. inceler. Karantinanın bir özelliği, dosyaların yeniden deneme denetimiyle eklenmesidir, böylece otomatik karantina işlevi birden çok kez çağrılabilir.

Otomatik karantinanın avantajı, yardımı ile yöneticinin, çalışmaları için ağdaki tüm bilgisayarlardan potansiyel olarak şüpheli dosyaları hızlı bir şekilde toplayabilmesidir. Dosyaları incelemenin en basit (ancak pratikte çok etkili) şekli, alınan karantinayı birkaç popüler antivirüs ile maksimum buluşsal modda kontrol etmek olabilir. Otomatik Karantina'nın birkaç yüz bilgisayarda aynı anda başlatılmasının ağda ve dosya sunucusunda yüksek bir yük oluşturabileceğine dikkat edilmelidir.

Trafik araştırması

Trafik araştırması üç şekilde yapılabilir:

  • koklayıcıları manuel olarak kullanma;
  • yarı otomatik modda - bu durumda, sniffer bilgi toplar ve ardından protokolleri ya manuel olarak ya da bazı yazılımlar tarafından işlenir;
  • Snort (http://www.snort.org/) veya bunların yazılım veya donanım karşılıkları gibi saldırı tespit sistemlerini (IDS) kullanarak otomatik olarak. En basit durumda, bir IDS, bir sniffer ve sniffer tarafından toplanan bilgileri analiz eden bir sistemden oluşur.

İzinsiz giriş tespit sistemi en iyi araçtır çünkü ağ etkinliğindeki anormallikleri tespit etmek için bir dizi kural oluşturmanıza olanak tanır. İkinci avantajı şudur: çoğu modern IDS, trafik izleme ajanlarını birkaç ağ düğümüne yerleştirmenize izin verir - ajanlar bilgi toplar ve iletir. Bir sniffer kullanılması durumunda, tcpdump UNIX konsol sniffer'ı kullanmak çok uygundur. Örneğin, 25 numaralı bağlantı noktasındaki (SMTP protokolü) etkinliği izlemek için, sniffer'ı aşağıdaki gibi bir komut satırıyla çalıştırmanız yeterlidir:

tcpdump -i em0 -l tcp bağlantı noktası 25 > smtp_log.txt

Bu durumda paketler em0 arabirimi aracılığıyla yakalanır; yakalanan paketlerle ilgili bilgiler smtp_log.txt dosyasında saklanacaktır. Protokolün manuel olarak analiz edilmesi nispeten kolaydır, bu örnekte, 25 numaralı bağlantı noktasındaki aktivite analizi, aktif spam botları olan PC'yi hesaplamanıza izin verir.

Honeypot uygulaması

Bir tuzak (Honeypot) olarak, performansı üretim sorunlarını çözmek için kullanılmasına izin vermeyen eski bir bilgisayar kullanabilirsiniz. Örneğin, yazarın ağında, 64 MB RAM'e sahip bir Pentium Pro, tuzak olarak başarıyla kullanılır. Bu bilgisayarda, LAN üzerindeki en yaygın işletim sistemini kurmalı ve stratejilerden birini seçmelisiniz:

  • Hizmet paketleri olmayan bir işletim sistemi kurun - bu, ağ üzerinde bu işletim sistemi için bilinen güvenlik açıklarından herhangi birini kullanan aktif bir ağ solucanının görünümünün bir göstergesi olacaktır;
  • ağdaki diğer bilgisayarlarda yüklü olan güncellemeleri olan bir işletim sistemi kurun - Honeypot, herhangi bir iş istasyonunun analogu olacaktır.

Stratejilerin her birinin hem artıları hem de eksileri vardır; yazar çoğunlukla güncelleme yok seçeneğini uygular. Honeypot'u oluşturduktan sonra, sistemi kötü amaçlı yazılım tarafından zarar gördükten sonra hızlı bir şekilde geri yüklemek için bir disk görüntüsü oluşturmalısınız. Disk görüntüsüne alternatif olarak, ShadowUser ve analogları gibi değişiklik geri alma sistemlerini kullanabilirsiniz. Bir Honeypot oluşturduktan sonra, bir dizi ağ solucanının, etkilenen bilgisayarın IP adresinden sayılan IP aralığını tarayarak virüs bulaşmış bilgisayarları aradığı dikkate alınmalıdır (genel tipik stratejiler X.X.X.*, X.X.X+1.*'dir). , X.X.X-1.*), - bu nedenle, İdeal olarak, alt ağların her birinde bir Honeypot olmalıdır. Ek hazırlık öğeleri olarak Honeypot sistemi üzerinde birkaç klasöre erişim açmak ve bu klasörlere çeşitli formatlarda birkaç örnek dosya yerleştirilmelidir, minimum set EXE, JPG, MP3'tür.

Doğal olarak, bir Honeypot oluşturduktan sonra yönetici, çalışmasını izlemeli ve bu bilgisayarda bulunan anormalliklere yanıt vermelidir. Denetçiler, değişiklikleri kaydetme aracı olarak kullanılabilir ve ağ etkinliğini kaydetmek için bir dinleyici kullanılabilir. Önemli bir nokta, çoğu sniffer'ın, belirli bir ağ etkinliği algılandığında yöneticiye bir uyarı göndermeyi yapılandırma yeteneği sağlamasıdır. Örneğin, CommView sniffer'da kural, bir ağ paketini tanımlayan bir "formül" belirtmeyi veya nicel kriterler belirlemeyi (saniyede belirli sayıda paket veya bayt gönderme, tanınmayan IP veya MAC adreslerine paket gönderme) içerir - incir. 2.

Pirinç. 2. Bir ağ etkinliği uyarısı oluşturun ve yapılandırın

Uyarı almanın en iyi yolu, yöneticinin posta kutusuna gönderilen e-posta mesajlarını kullanmaktır, bu durumda ağdaki tüm tuzaklardan gerçek zamanlı uyarılar alabilirsiniz. Ek olarak, sniffer birkaç uyarı oluşturmanıza izin veriyorsa, e-posta, FTP / HTTP, TFTP, Telnet, MS Net, saniyede 20-30 paketten fazla artan trafik ile çalışmayı vurgulayarak ağ etkinliğini ayırt etmek mantıklıdır. herhangi bir protokol için (Şekil 3) .

Pirinç. 3. Bildirim mektubu gönderildi
belirtilen kriterlere uyan paketler bulunursa

Bir tuzak düzenlerken, üzerine ağda kullanılan birkaç savunmasız ağ hizmetini yerleştirmek veya emülatörlerini kurmak iyi bir fikirdir. En basit (ve ücretsiz), yazarın kurulum gerektirmeden çalışan yardımcı programı APS'dir. APS'nin çalışma prensibi, veritabanında açıklanan bir dizi TCP ve UDP bağlantı noktasını dinlemeye ve bağlantı anında önceden tanımlanmış veya rastgele oluşturulmuş bir yanıt vermeye indirgenmiştir (Şekil 4).

Pirinç. 4. APS yardımcı programının ana penceresi

Şekil, Smolenskenergo LAN'da gerçek bir APS işlemi sırasında alınan bir ekran görüntüsünü göstermektedir. Şekilde görebileceğiniz gibi, istemci bilgisayarlardan birini bağlantı noktası 21'e bağlamak için bir girişimde bulunuldu. Protokollerin analizi, girişimlerin periyodik olduğunu, ağdaki birkaç tuzak tarafından sabitlendiğini gösterdi, bu da ağın şu sonuca varmamıza izin veriyor. şifreleri tahmin ederek FTP sunucularını bulmak ve hacklemek için taranıyor. APS, ağ taramalarının hızlı algılanması için yararlı olan, izlenen bağlantı noktalarına kayıtlı bağlantıları bildiren günlükleri kaydeder ve yöneticilere mesajlar gönderebilir.

Honeypot kurarken konuyla ilgili http://www.honeynet.org/ gibi çevrimiçi kaynaklara da bakmakta fayda var. Bu sitenin Araçlar bölümünde (http://www.honeynet.org/tools/index.html) saldırıları kaydetmek ve analiz etmek için bir dizi araç bulabilirsiniz.

Uzaktan kötü amaçlı yazılım temizleme

İdeal olarak, kötü amaçlı yazılım örneklerini tespit ettikten sonra, yönetici bunları virüsten koruma laboratuvarına gönderir, burada analistler tarafından hızla incelenir ve ilgili imzalar virüsten koruma veritabanlarına eklenir. Bu imzalar, otomatik güncellemeler aracılığıyla kullanıcıların bilgisayarlarına girer ve antivirüs, yönetici müdahalesi olmadan kötü amaçlı programları otomatik olarak kaldırır. Bununla birlikte, bu zincir her zaman beklendiği gibi çalışmaz, özellikle aşağıdaki arıza nedenleri mümkündür:

  • ağ yöneticisinden bağımsız bir dizi nedenden dolayı görüntüler anti-virüs laboratuvarına ulaşmayabilir;
  • anti-virüs laboratuvarının yetersiz verimliliği - ideal olarak, örnekleri incelemek ve veritabanlarına eklemek 1-2 saatten fazla sürmez, yani bir iş günü içinde güncellenmiş imza veritabanlarını alabilirsiniz. Ancak, tüm virüsten koruma laboratuvarları bu kadar hızlı çalışmaz ve güncellemeler birkaç gün (nadir durumlarda, hatta haftalarca) beklenebilir;
  • antivirüsün yüksek performansı - aktivasyondan sonra bir dizi kötü amaçlı program antivirüsleri yok eder veya çalışmalarını başka şekilde bozar. Klasik örnekler, ana bilgisayar dosyasına virüsten koruma otomatik güncelleme sisteminin normal çalışmasını engelleyen girişler yapmak, virüsten koruma işlemlerini, hizmetlerini ve sürücülerini silmek, ayarlarına zarar vermek vb.

Bu nedenle, bu durumlarda, kötü amaçlı yazılımlarla manuel olarak ilgilenmeniz gerekecektir. Çoğu durumda, bu zor değildir, çünkü bilgisayarların analizinin sonuçlarının kötü amaçlı yazılım dosyalarının tam adlarının yanı sıra virüslü PC'ler olduğu bilinmektedir. Sadece uzaktan kaldırmalarını gerçekleştirmek için kalır. Kötü amaçlı program kaldırılmaya karşı korunmuyorsa, aşağıdaki biçimde bir AVZ komut dosyasıyla yok edilebilir:

// Dosyayı sil

DeleteFile('dosya adı');

SysClean'i yürütün;

Bu komut dosyası, belirtilen bir dosyayı (veya komut dosyasında sınırsız sayıda DeleteFile komutu olabileceğinden birkaç dosyayı) siler ve ardından kayıt defterini otomatik olarak temizler. Daha karmaşık bir durumda, kötü amaçlı bir program kendisini silinmeye karşı koruyabilir (örneğin, dosyalarını ve kayıt defteri anahtarlarını yeniden oluşturarak) veya rootkit teknolojisini kullanarak kendisini gizleyebilir. Bu durumda, komut dosyası daha karmaşık hale gelir ve şöyle görünür:

// Anti-rootkit

SearchRootkit(doğru, doğru);

// AVZGuard kontrolü

SetAVZGuardStatus(doğru);

// Dosyayı sil

DeleteFile('dosya adı');

// BootCleaner günlüğünü etkinleştir

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// Komut dosyası tarafından silinen dosyaların listesini BootCleaner görevine aktarın

BC_ImportDeletedList;

// BootCleaner'ı etkinleştir

// Sistemin buluşsal temizliği

SysClean'i yürütün;

Windows'u Yeniden Başlat(true);

Bu komut dosyası, rootkit'lere karşı aktif direnci, AVZGuard sisteminin kullanımını (bu bir kötü amaçlı yazılım etkinliği engelleyicidir) ve BootCleaner sistemini içerir. BootCleaner, sistem önyüklemesinin erken bir aşamasında, yeniden başlatma sırasında belirli nesneleri KernelMode'dan kaldıran bir sürücüdür. Uygulama, böyle bir komut dosyasının mevcut kötü amaçlı yazılımların büyük çoğunluğunu yok edebildiğini göstermektedir. Bunun istisnası, her yeniden başlatmada yürütülebilir dosyalarının adlarını değiştiren kötü amaçlı yazılımdır - bu durumda, sistem çalışması sırasında bulunan dosyalar yeniden adlandırılabilir. Bu durumda, bilgisayarı manuel olarak temizlemeniz veya kendi kötü amaçlı yazılım imzalarınızı oluşturmanız gerekecektir (AVZ yardımında imza araması uygulayan bir komut dosyası örneği açıklanmıştır).

Çözüm

Bu yazıda, antivirüs ürünleri kullanmadan LAN salgınıyla manuel olarak başa çıkmak için bazı pratik tekniklere baktık. Açıklanan tekniklerin çoğu, kullanıcıların bilgisayarlarında yabancı bir PC ve Truva atı yer imlerini aramak için de kullanılabilir. Kötü amaçlı yazılım bulmakta veya temizleme komut dosyaları oluşturmakta zorluk çekiyorsanız, yönetici http://virusinfo.info forumunun "Yardım" bölümünü veya http://forum.kaspersky.com/ forumunun "Virüslerle Mücadele" bölümünü kullanabilir. index.php?showforum= on sekiz. Protokollerin incelenmesi ve tedavide yardım her iki forumda da ücretsiz olarak gerçekleştirilir, PC analizi AVZ protokollerine göre yapılır ve çoğu durumda tedavi, deneyimli kişilerce derlenen virüslü PC'lerde bir AVZ betiğinin yürütülmesine gelir. bu forumlardan uzmanlar.

Gördüğünüz gibi, yeterince vardı ve hepsi onlardan etkilenen sistemler için çok tehlikeli. Yeni güvenlik açıklarından korunmak için yalnızca sistemi zamanında güncellemek değil, aynı zamanda sisteminizin bilgisayar korsanlarının kullanabileceği, uzun süredir ortadan kaldırılmış güvenlik açıklarını içermediğinden emin olmak da önemlidir.

Linux güvenlik açığı tarayıcılarının kurtarmaya geldiği yer burasıdır. Güvenlik açığı analiz araçları, her şirketin güvenlik sisteminin en önemli bileşenlerinden biridir. Uygulamaları ve sistemleri eski güvenlik açıkları için kontrol etmek bir zorunluluktur. Bu makalede, sistemlerinizdeki ve programlarınızdaki güvenlik açıklarını bulmak için kullanabileceğiniz en iyi açık kaynaklı güvenlik açığı tarayıcılarına göz atacağız. Hepsi tamamen ücretsizdir ve hem sıradan kullanıcılar hem de kurumsal sektörde kullanılabilir.

OpenVAS veya Açık Güvenlik Açığı Değerlendirme Sistemi, eksiksiz bir açık kaynaklı güvenlik açığı keşif platformudur. Program, Nessus tarayıcısının kaynak koduna dayanmaktadır. Başlangıçta, bu tarayıcı açık kaynak olarak dağıtıldı, ancak daha sonra geliştiriciler kodu kapatmaya karar verdi ve ardından 2005'te Nessus'un açık sürümüne dayalı olarak OpenVAS oluşturuldu.

Program sunucu ve istemci bölümlerinden oluşmaktadır. Tarama sistemlerinin ana işini yapan sunucu sadece Linux üzerinde çalışır ve istemci programları da Windows'u destekler ve sunucuya bir web arayüzü üzerinden erişilebilir.

Tarayıcının çekirdeği, güvenlik açıkları için 36.000'den fazla farklı denetimden oluşur ve her gün yeni, yeni keşfedilenlerin eklenmesiyle güncellenir. Program, çalışan hizmetlerdeki güvenlik açıklarını tespit edebilir ve ayrıca kimlik doğrulama eksikliği veya çok zayıf parolalar gibi yanlış ayarları arayabilir.

2. Nexpose Topluluk Sürümü

Bu, Metasploit'i yayınlayan aynı şirket olan Rapid7 tarafından geliştirilen başka bir açık kaynaklı linux güvenlik açığı bulucudur. Tarayıcı, 68.000'e kadar bilinen güvenlik açığını algılayabilir ve 160.000'den fazla ağ denetimi gerçekleştirebilir.

Topluluk sürümü tamamen ücretsizdir, ancak aynı anda 32 IP adresini ve yalnızca bir kullanıcıyı tarama sınırlaması vardır. Ayrıca ruhsat her yıl yenilenmelidir. Web uygulaması taraması yoktur, ancak güvenlik açığı veritabanının otomatik olarak güncellenmesini ve Microsoft Patch'ten güvenlik açıkları hakkında bilgi alınmasını destekler.

Program sadece Linux'a değil, Windows'a da kurulabilir ve yönetim bir web arayüzü üzerinden gerçekleştirilir. Bununla birlikte, tarama parametrelerini, ip adreslerini ve diğer gerekli bilgileri ayarlayabilirsiniz.

Tarama tamamlandıktan sonra, güvenlik açıklarının bir listesinin yanı sıra yüklü yazılım ve sunucudaki işletim sistemi hakkında bilgiler göreceksiniz. Ayrıca raporlar oluşturabilir ve dışa aktarabilirsiniz.

3. Burp Suite Ücretsiz Sürümü

Burp Suite, Java ile yazılmış bir web güvenlik açığı tarayıcısıdır. Program, bir proxy sunucusu, bir örümcek, istek oluşturma ve stres testleri gerçekleştirme aracından oluşur.

Burp ile web uygulamalarını kontrol edebilirsiniz. Örneğin, bir proxy sunucusu kullanarak, geçen tüm trafiği durdurabilir ve görüntüleyebilir ve ayrıca gerekirse değiştirebilirsiniz. Bu, birçok durumu simüle etmenize izin verecektir. Örümcek, web güvenlik açıklarını bulmanıza yardımcı olur ve istek oluşturma aracı, web sunucusu esnekliğini bulmanıza yardımcı olur.

4. Arachni

Arachni, tam özellikli bir açık kaynak Ruby web uygulaması test çerçevesidir. Çeşitli sızma testleri yaparak web uygulamalarının ve web sitelerinin güvenliğini değerlendirmenize olanak tanır.

Program, kimlik doğrulama ile taramayı, başlıkları ayarlamayı, Aser-Agent sahtekarlığı desteğini, 404 algılama desteğini destekler.Ayrıca, programın bir web arayüzü ve komut satırı arayüzü vardır, taramayı duraklatabilir ve ardından yeniden yönlendirebilirsiniz ve genel olarak, her şey çok hızlı çalışıyor.

5. OWASP Zed Saldırı Proxy'si (ZAP)

OWASP Zed Attack Proxy, web uygulamalarındaki güvenlik açıklarını bulmak için başka bir kapsamlı araçtır. Bu tür programlar için tüm standart özellikler desteklenir. Bağlantı noktalarını tarayabilir, sitenin yapısını kontrol edebilir, bilinen birçok güvenlik açığını arayabilir, tekrarlanan isteklerin veya yanlış verilerin doğru şekilde ele alınıp alınmadığını kontrol edebilirsiniz.

Program https üzerinde çalışabilir ve ayrıca çeşitli proxy'leri destekler. Program Java ile yazıldığı için kurulumu ve kullanımı oldukça kolaydır. Ana özelliklere ek olarak, işlevselliği büyük ölçüde artırmanıza izin veren çok sayıda eklenti vardır.

6. Claire

Clair, kapsayıcılarda bir linux güvenlik açığı bulucudur. Program, konteynerler için tehlikeli olabilecek güvenlik açıklarının bir listesini içerir ve sisteminizde bu tür güvenlik açıkları bulunduğunda kullanıcıyı uyarır. Ayrıca program, kapsayıcıları güvensiz hale getirebilecek yeni güvenlik açıkları ortaya çıkarsa bildirim gönderebilir.

Her konteyner bir kez kontrol edilir ve kontrol etmek için çalıştırmaya gerek yoktur. Program, gerekli tüm verileri devre dışı bırakılan kapsayıcıdan çıkarabilir. Bu veriler, gelecekte güvenlik açıkları hakkında bildirimde bulunabilmek için bir önbellekte saklanır.

7. Güçlendirici

Powerfuzzer, web uygulamanızın hatalı verilere ve tekrarlanan isteklere yanıtını test etmenize olanak tanıyan tam özellikli, otomatikleştirilmiş ve son derece özelleştirilebilir bir web tarayıcısıdır. Araç yalnızca HTTP protokolünü destekler ve XSS, SQL enjeksiyonu, LDAP, CRLF ve XPATH saldırıları gibi güvenlik açıklarını tespit edebilir. Ayrıca, bir yanlış yapılandırmayı ve hatta arabellek taşması gibi bir tehlikeyi gösterebilecek 500 hatanın izlenmesini de destekler.

8.Nmap

Nmap, Linux için tam olarak bir güvenlik açığı tarayıcısı değildir. Bu program, ağı taramanıza ve ona hangi düğümlerin bağlı olduğunu öğrenmenize ve ayrıca hangi hizmetlerin üzerlerinde çalıştığını belirlemenize olanak tanır. Bu, güvenlik açıkları hakkında ayrıntılı bilgi sağlamaz, ancak hangi yazılımın savunmasız olabileceğini tahmin edebilirsiniz, zayıf şifreleri tahmin etmeye çalışın. Belirli yazılımlardaki bazı güvenlik açıklarını belirlemenize izin veren özel komut dosyalarını yürütmek de mümkündür.

sonuçlar

Bu yazıda, sisteminizi ve uygulamalarınızı tamamen güvende tutmanıza izin veren en iyi linux güvenlik açığı tarayıcılarını inceledik. Hem işletim sisteminin kendisini hem de web uygulamalarını ve sitelerini taramanıza izin veren programlara baktık.

Bitirmek için, güvenlik açığı tarayıcılarının ne olduğu ve neden gerekli oldukları hakkında bir video izleyebilirsiniz:

Güvenlik tarayıcılarının karşılaştırmalı analizi. Bölüm 1: Penetrasyon Testi (Kısa Özet)

Alexander Antipov

Bu makale, ağ çevre düğümlerine karşı sızma testleri sırasında ağ güvenlik tarayıcılarının karşılaştırmasının sonuçlarını sunmaktadır.


Lepikhin Vladimir Borisoviç
Informzaschita Eğitim Merkezi Ağ Güvenliği Laboratuvarı Başkanı

Raporun tüm materyalleri Informzaschita eğitim merkezinin fikri mülkiyet nesneleridir. Informzaschita Eğitim Merkezi'nin önceden yazılı izni olmaksızın rapor materyallerinin herhangi bir biçimde çoğaltılması, yayınlanması veya çoğaltılması yasaktır.

Araştırmanın tam metni:
http://www.itsecurity.ru/news/reliase/2008/12_22_08.htm

1. Giriş

Ağ güvenliği tarayıcıları mükemmel bir karşılaştırmadır. Hepsi çok farklı. Ve amaçlanan görevlerin özellikleri ve "ikili" amaçları nedeniyle (ağ güvenliği tarayıcıları hem koruma hem de "saldırı için" kullanılabilir ve bildiğiniz gibi bilgisayar korsanlığı yaratıcı bir iştir) , son olarak, aynı zamanda, bu tür her aracın arkasında, yaratıcısının "hacker" (kelimenin orijinal anlamında) düşüncesinin uçuşu olduğu için.

Karşılaştırma koşulları seçilirken, “görev temelli” yaklaşım esas alınmıştır, bu nedenle sonuçlar, şu veya bu aracın kendisine verilen görevi çözmek için ne kadar uygun olduğuna karar vermek için kullanılabilir. Örneğin, ağ güvenliği tarayıcıları kullanılabilir:

  • ağ kaynaklarının envanteri için;
  • "penetrasyon testleri" sırasında;
  • sistemlerin çeşitli gereksinimlere uygunluğunun kontrol edilmesi sürecinde.

Bu makale, ağ çevre düğümlerine karşı sızma testleri sırasında ağ güvenlik tarayıcılarının karşılaştırmasının sonuçlarını sunmaktadır. Aşağıdakiler değerlendirildi:

  • Bulunan güvenlik açıklarının sayısı
  • Yanlış pozitiflerin sayısı (Yanlış Pozitifler)
  • Atlama sayısı (Yanlış Negatifler)
  • Kaybolma nedenleri
  • Kontrol veritabanının eksiksizliği (bu görev bağlamında)
  • Envanter mekanizmalarının kalitesi ve yazılım versiyonlaması
  • Tarayıcının doğruluğu (bu görev bağlamında)

Listelenen kriterler birlikte, kendisine atanan görevi çözmek için tarayıcının “uygunluğunu” karakterize eder, bu durumda ağ çevresinin güvenliğini izleme sürecinde rutin eylemlerin otomasyonudur.

2. Karşılaştırmaya katılanların kısa açıklaması

Karşılaştırmaya başlamadan önce portal, amacı kullanılan tarayıcılar ve bunların kullanıldığı görevler hakkında veri toplamak olan bir anket gerçekleştirdi.

Ankete yaklaşık 500 katılımcı (portal ziyaretçisi) katıldı.

Kuruluşlarında kullandıkları güvenlik tarayıcıları sorulduğunda, katılımcıların büyük çoğunluğu en az bir güvenlik tarayıcısı (%70) kullandıklarını söyledi. Aynı zamanda, bilgi sistemlerinin güvenliğini analiz etmek için düzenli olarak güvenlik tarayıcıları kullanan kuruluşlar, bu sınıfın birden fazla ürününü kullanmayı tercih etmektedir. Katılımcıların %49'u, kuruluşlarının iki veya daha fazla güvenlik tarayıcısı kullandığını söyledi (Şekil 1).


bir . Katılımcı kuruluşların kullanılan güvenlik tarayıcılarının sayısına göre dağılımı

Birden fazla güvenlik tarayıcısının kullanılmasının nedenleri, kuruluşların bir "satıcıdan" gelen çözümlere (%61) ve ayrıca entegre bir güvenlik tarayıcısı tarafından gerçekleştirilemeyen özel kontrollerin gerekli olduğu durumlarda (%39) güvensiz olmalarıdır. (İncir. 2).

2. Görüşülen katılımcıların kuruluşlarında birden fazla güvenlik tarayıcısı kullanma nedenleri

Özel güvenlik tarayıcılarının hangi amaçlarla kullanıldığı sorusuna yanıt verenlerin çoğu, Web uygulamalarının güvenliğini analiz etmek için ek araçlar olarak kullanıldığını yanıtladı (%68). İkinci sırada özel DBMS güvenlik tarayıcıları (%30) ve üçüncü sırada (%2) bilgi sistemlerinin güvenliğini analiz etmek için belirli bir dizi görevi çözmek için kendi geliştirdiği yardımcı programlar vardı (Şekil 3).


3. Görüşülen katılımcıların kuruluşlarında özel güvenlik tarayıcıları kullanma amaçları

Güvenlik tarayıcılarıyla ilgili son ürünler hakkında katılımcılarla yapılan bir anketin sonucu (Şekil 4) çoğu kuruluşun Positive Technologies XSpider (%31) ve Nessus Security Scanner (%17) kullanmayı tercih ettiğini gösterdi.


Pirinç. 4. Görüşülen katılımcıların kuruluşlarında kullanılan güvenlik tarayıcıları

Tablo 1'de sunulan tarayıcılar, testlere katılmak üzere seçilmiştir.

Tablo 1. Karşılaştırmada Kullanılan Ağ Güvenliği Tarayıcıları

İsim

Sürüm

http://www.nessus.org/download

Maksimum Devriye

8.0 (Derleme 1178)

http://www.ptsecurity.ru/maxpatrol.asp

İnternet Tarayıcı

http://www-935.ibm.com/services/us/index.wss/offering/iss/a1027208

retinaAğ Güvenliği Tarayıcısı

http://www.eeye.com/html/products/retina/index.html

Gölge Güvenlik Tarayıcısı (SSS)

7.141 (Derleme 262)

http://www.safety-lab.com/en/products/securityscanner.htm

NetClarity Denetçisi

http://netclarity.com/branch-nacwall.html

Bu nedenle, ilk test, bilgisayar korsanlığına karşı direnç için sistemlerin güvenliğini değerlendirme görevine odaklanmıştır.

3. Özetlemek

Kalan düğümler için sonuçlar benzer şekilde hesaplandı. Sonuçlar hesaplandıktan sonra aşağıdaki tablo elde edildi (Tablo 2).

Tablo 2. Taranan tüm nesneler için nihai sonuçlar

dizin

İnternet Tarayıcı

Gölge Güvenlik Tarayıcısı

NetClarity
Denetçi

Hizmetlerin ve uygulamaların tanımlanması, noktalar

Bulunan güvenlik açıkları, toplam

Hangi yanlış pozitifler
(yanlış pozitifler)

doğru bulundu
(225 üzerinden mümkün)

Geçer
(yanlış negatifler)

Bunlardan veri tabanında olmaması nedeniyle

Kimlik doğrulama ihtiyacından kaynaklananlar

başka nedenlerle

3.1 Hizmetlerin ve uygulamaların tanımlanması

Hizmetlerin ve uygulamaların tanımının sonuçlarına göre, puanlar basitçe toplanırken, hatalı bir hizmet veya uygulama tanımı için bir puan düşülmüştür (Şekil 5).


Pirinç. 5. Hizmetlerin ve uygulamaların belirlenmesinin sonuçları

En yüksek puan (108) MaxPatrol tarayıcı tarafından, biraz daha az (98) Nessus tarayıcı tarafından alındı. Gerçekten de, bu iki tarayıcıda, hizmetleri ve uygulamaları tanımlama prosedürü çok iyi uygulanmaktadır. Bu sonuç oldukça beklenen olarak adlandırılabilir.

Sonraki sonuç, İnternet Tarayıcı ve NetClarity tarayıcıları içindir. Burada, örneğin, Internet Scanner'ın uygulamalar için standart portların kullanımına odaklandığından bahsedebiliriz, bu da düşük sonucunu büyük ölçüde açıklar. Son olarak, NetClarity tarayıcı en kötü performansa sahiptir. Hizmetleri tanımlama konusunda iyi bir iş çıkarsa da (sonuçta Nessus 2.x çekirdeğine dayalıdır), genel olarak kötü sonucu, tüm açık bağlantı noktalarını tanımlamadığı gerçeğiyle açıklanabilir.

3.2 Güvenlik açığı tanımlaması

Şek. Şekil 6, tüm tarayıcılar tarafından bulunan toplam güvenlik açığı sayısını ve yanlış pozitiflerin sayısını gösterir. En fazla sayıda güvenlik açığı MaxPatrol tarayıcısı tarafından bulundu. İkincisi (zaten önemli bir farkla olsa da) yine Nessus'tu.
Yanlış pozitiflerin sayısında lider Gölge Güvenlik Tarayıcısıydı. Prensip olarak, bu anlaşılabilir bir durumdur, sadece kontrolleriyle ilgili hata örnekleri yukarıda verilmiştir.


Pirinç. 6. Bulunan güvenlik açıkları ve yanlış pozitifler

Tüm tarayıcılar tarafından 16 düğümün tamamında toplam 225 güvenlik açığı bulundu (ve ardından manuel doğrulamayla onaylandı). Sonuçlar Şekil 1'deki gibi dağıtıldı. 7. Mümkün olan en fazla sayıda güvenlik açığı (mümkün olan 225'ten 155'i) MaxPatrol tarayıcısı tarafından algılandı. İkincisi Nessus tarayıcıydı (sonucu neredeyse iki kat daha kötü). Ardından İnternet Tarayıcı, ardından NetClarity gelir.
Karşılaştırma sırasında, eksik güvenlik açıklarının nedenleri analiz edilmiş ve veritabanında kontrol eksikliği nedeniyle yapılanlar ayrılmıştır. Aşağıdaki şema (Şekil 8) tarayıcıların güvenlik açıklarını gözden kaçırmasının nedenlerini göstermektedir.


Pirinç. 7. Bulunan güvenlik açıkları ve eksiklikler


Pirinç. 8. Eksik güvenlik açıklarının nedenleri

Şimdi hesaplamalardan kaynaklanan birkaç gösterge.

Şek. Şekil 39, hatalı pozitiflerin sayısının bulunan güvenlik açıklarının toplam sayısına oranını göstermektedir; bir anlamda bu göstergeye tarayıcının doğruluğu denilebilir. Sonuçta, kullanıcı her şeyden önce, tarayıcı tarafından bulunan ve doğru bulunanları seçmenin gerekli olduğu güvenlik açıklarının listesiyle ilgilenir.


Pirinç. 9. Tarayıcıların doğruluğu

Bu şemadan, MaxPatrol tarayıcı tarafından en yüksek doğruluğun (%95) elde edildiğini görebilirsiniz. Yanlış pozitiflerin sayısı en düşük olmasa da, bulunan çok sayıda güvenlik açığı nedeniyle bu doğruluk oranı elde edildi. İnternet Tarayıcı, algılama doğruluğu açısından bir sonraki sırada. En düşük sayıda yanlış pozitif gösterdi. SSS tarayıcısı, karşılaştırma sırasında fark edilen bu kadar çok sayıda yanlış pozitif ile şaşırtıcı olmayan en düşük sonuca sahiptir.

Hesaplanan diğer bir gösterge, tabanın eksiksizliğidir (Şekil 10). Doğru bulunan güvenlik açıklarının sayısının toplam güvenlik açığı sayısına (bu durumda 225) oranı olarak hesaplanır ve "ıskalanan" ölçeğini karakterize eder.


Pirinç. 10. Tabanın eksiksizliği

Bu şema, MaxPatrol tarayıcısının tabanının görev için en uygun olduğunu göstermektedir.

4. Sonuç

4.1 Lider sonuçları hakkında yorumlar: MaxPatrol ve Nessus

Bu karşılaştırmanın tüm kriterlerine göre ilk sırada MaxPatrol tarayıcı yer alırken, ikinci sırada Nessus tarayıcı yer alıyor, diğer tarayıcıların sonuçları önemli ölçüde daha düşük.

Burada ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından hazırlanan belgelerden birini, yani "Ağ Güvenliği Testi Rehberi"ni hatırlamakta yarar var. Bilgisayar sistemlerinin güvenliğini izlerken en az iki güvenlik tarayıcısı kullanılmasının önerildiğini belirtir.

Elde edilen sonuçta aslında beklenmedik ve şaşırtıcı bir şey yok. XSpider (MaxPatrol) ve Nessus tarayıcılarının hem güvenlik uzmanları hem de krakerler arasında popüler olduğu bir sır değil. Bu, anketin yukarıdaki sonuçları ile doğrulanmaktadır. MaxPatrol'ün açık liderliğinin nedenlerini (bu kısmen Nessus tarayıcı için de geçerlidir) ve diğer tarayıcıların “kaybolmasının” nedenlerini analiz etmeye çalışalım. Her şeyden önce, hizmetlerin ve uygulamaların niteliksel bir tanımlamasıdır. Çıkarım temelli kontroller (bu durumda oldukça azı kullanılmıştır) büyük ölçüde bilgi toplamanın doğruluğuna bağlıdır. Ve MaxPatrol tarayıcıda hizmetlerin ve uygulamaların tanımlanması neredeyse kusursuzdur. İşte çarpıcı bir örnek.
MaxPatrol'ün başarısının ikinci nedeni, veritabanının eksiksizliği ve göreve ve genel olarak "bugün"e uygunluğudur. Sonuçlara göre, MaxPatrol'deki kontrollerin tabanının önemli ölçüde genişletildiği ve detaylandırıldığı, “düzenli” olduğu, web uygulamalarına yönelik bariz “eğikliğin” diğer alanlardaki kontrollerin genişletilmesiyle telafi edildiği dikkat çekicidir. örneğin, karşılaştırmalı olarak sunulan yönlendiricinin tarama sonuçları etkileyici Cisco idi.

Üçüncü neden, işletim sistemlerini, dağıtımları ve çeşitli “dalları” dikkate alarak uygulama sürümlerinin niteliksel bir analizidir. Ayrıca farklı kaynakların kullanımını da ekleyebilirsiniz (güvenlik açığı veritabanları, bildirimler ve satıcı bültenleri).

Son olarak, MaxPatrol'ün ağ güvenlik tarayıcılarının çalışmasının ana aşamalarını yansıtan çok kullanışlı ve mantıklı bir arayüze sahip olduğunu da ekleyebiliriz. Ve bu önemlidir. “Düğüm, hizmet, güvenlik açığı” bağlantısı algı için çok uygundur (Ed. notu, bu karşılaştırmanın yazarının öznel görüşüdür). Ve özellikle bu görev için.

Şimdi eksiklikler ve "zayıf" yerler hakkında. MaxPatrol karşılaştırmanın lideri olduğu için, eleştirisi “maksimum” olacaktır.

İlk olarak, sözde "ayrıntılarda kaybetmek". Çok yüksek kaliteli bir motora sahip olmak, örneğin manuel olarak bir şeyler yapmanıza izin veren kullanışlı bir araç seti, güvenlik açığı arama araçları ve sistemde ince ayar yapma yeteneği gibi uygun bir ek hizmet sunmak önemlidir. MaxPatrol, XSpider geleneğini sürdürür ve mümkün olduğunca "tıklandı ve kazanıldı" ideolojisine odaklanır. Bu bir yandan fena değil, diğer yandan “titiz” analisti kısıtlıyor.

İkincisi, bazı hizmetler "ortaya çıkmadı" (bunu bu karşılaştırmanın sonuçlarından değerlendirebilirsiniz), örneğin IKE (port 500).

Üçüncüsü, bazı durumlarda, örneğin yukarıda açıklanan SSH'de olduğu gibi, iki kontrolün sonuçlarının birbiriyle yeterince temel karşılaştırması yoktur. Yani, birkaç kontrolün sonuçlarına dayanan bir sonuç yoktur. Örneğin, host4'ün işletim sistemi Windows olarak sınıflandırılırken, PPTP hizmeti "satıcısı" Linux olarak sınıflandırıldı. Sonuç çıkarabilir misin? Örneğin, işletim sistemi tanımlama alanındaki raporda bunun bir "karma" düğüm olduğunu belirtin.

Dördüncüsü, çeklerin tanımı arzulanan çok şey bırakıyor. Ancak burada, MaxPatrol'ün diğer tarayıcılarla eşit olmayan koşullarda olduğu anlaşılmalıdır: tüm açıklamaların Rusça'ya yüksek kaliteli çevirisi çok zaman alan bir iştir.

Nessus tarayıcısı genel olarak iyi sonuçlar gösterdi ve birkaç dakika içinde MaxPatrol tarayıcısından daha doğru çıktı. Nessus'un geride kalmasının ana nedeni, güvenlik açıklarının olmamasıdır, ancak diğer tarayıcıların çoğu gibi veritabanındaki kontrollerin eksikliğinden değil, uygulama özelliklerinden kaynaklanmaktadır. İlk olarak (ve boşlukların önemli bir bölümünün nedeni budur), Nessus tarayıcı bir hesaba bağlanmayı içeren “yerel” veya sistem kontrollerine doğru gelişiyor. İkinci olarak, Nessus tarayıcı, güvenlik açıkları hakkında daha az bilgi kaynağı (MaxPatrol ile karşılaştırıldığında) dikkate alır. Çoğunlukla SecurityFocus'a dayanan SSS tarayıcısına biraz benzer.

5. Bu karşılaştırmanın sınırlamaları

Karşılaştırma sırasında, tarayıcıların yetenekleri yalnızca bir görev bağlamında incelendi - ağ çevre düğümlerini bilgisayar korsanlığına karşı direnç açısından test etmek. Örneğin, bir araba benzetmesi yaparsak, örneğin kaygan bir yolda farklı arabaların nasıl davrandığını gördük. Bununla birlikte, çözümü aynı tarayıcılar tarafından tamamen farklı görünebilecek başka görevler de vardır. Yakın gelecekte, aşağıdaki gibi sorunları çözme sürecinde tarayıcıların karşılaştırılması planlanmaktadır:

  • Bir hesap kullanarak sistemlerin denetiminin yapılması
  • PCI DSS Uyumluluk Değerlendirmesi
  • Windows sistemlerini tarama

Ayrıca tarayıcıların resmi kriterlere göre karşılaştırılması planlanmaktadır.

Bu karşılaştırma sırasında, yalnızca "motorun" kendisi veya modern terimlerle tarayıcının "beyni" test edildi. Ek hizmetler açısından fırsatlar (raporlar, taramanın ilerleyişi ile ilgili kayıt bilgileri vb.) hiçbir şekilde değerlendirilmemiş veya karşılaştırılmamıştır.

Ayrıca, tehlikenin derecesi ve bulunan güvenlik açıklarından yararlanma olasılığı değerlendirilmedi. Bazı tarayıcılar kendilerini "küçük" düşük önemdeki güvenlik açıklarıyla sınırlandırırken, diğerleri sisteme erişime izin veren gerçekten kritik güvenlik açıklarını ortaya çıkardı.

Sorunuza cevap bulamadınız mı? Buraya bak
Çeşitli cihazlarda ekran görüntüsü nasıl alınırÇeşitli cihazlarda ekran görüntüsü nasıl alınır
Yanlış MMI kodu veya yanlış bağlantı - sorun çözümüYanlış MMI kodu veya yanlış bağlantı - sorun çözümü
Internet Explorer güncellemesiInternet Explorer güncellemesi