Internet Windows Android
Kengaytirish
uy

Eng yaxshi qalam tester vositalari: xavfsizlik skanerlari. Nessus Scanner yordamida tarmoq zaifliklarini samarali qidirish Tarmoq qurilmalaridagi zaifliklarni qidirish

Zaiflik skanerlari xavfsizlik auditini avtomatlashtiradi va tarmoq va veb-saytlarni turli xil xavfsizlik xavflari uchun skanerlash orqali AT xavfsizligingizda muhim rol o'ynashi mumkin. Ushbu skanerlar, shuningdek, tuzatishingiz kerak bo'lganlarning ustuvor ro'yxatini yaratishi, shuningdek zaifliklarni tavsiflashi va tuzatish choralarini ko'rishi mumkin. Bundan tashqari, ulardan ba'zilari zaifliklarni tuzatish jarayonini avtomatlashtirishi mumkin
Zaiflikni baholashning 10 ta eng yaxshi vositalari

  • Comodo HackerProof
  • OpenVAS
  • Nexpose hamjamiyati
  • Nikto
  • Tripwire IP360
  • Wireshark
  • Parvoz
  • Nessus Professional
  • Retina CS hamjamiyati
  • Microsoft Baseline Security Analyzer (MBSA)
  1. Comodo HackerProof
    Comodo HackerProof xavfsizlik muammolarini yengish imkonini beruvchi inqilobiy zaifliklarni skanerlash vositasi hisoblanadi. Quyida HackerProof-dan olishingiz mumkin bo'lgan asosiy imtiyozlardan ba'zilari:
  • Kundalik zaifliklarni skanerlash
  • PCI skanerlash vositalari kiritilgan
  • Haydovchi hujumining oldini olish
2.OpenVAS
Bu zaifliklarni skanerlash va zaifliklarni boshqarish uchun zaiflikni baholash vositalarini taqdim etadigan markaziy xizmat bo'lib xizmat qiluvchi ochiq manbali vositadir.
  • OpenVAS turli xil operatsion tizimlarni qo'llab-quvvatlaydi
  • OpenVAS skanerlash mexanizmi doimiy ravishda tarmoq zaiflik testlari bilan yangilanadi
  • OpenVAS Scanner - bu serverlar va boshqa tarmoq qurilmalaridagi xavfsizlik bilan bog'liq muammolarni aniqlaydigan keng qamrovli zaifliklarni baholash vositasi
  • OpenVAS xizmatlari bepul va odatda GNU General Public License (GPL) ostida litsenziyalangan.
3. Nexpose hamjamiyati
Rapid7 tomonidan ishlab chiqilgan Nexpose zaiflik skaneri zaifliklarni skanerlash va tarmoq tekshiruvlarining keng doirasini amalga oshirish uchun ishlatiladigan ochiq manbali vositadir.
  • Nexpose Metaspoilt ramkasiga o'rnatilishi mumkin
  • U zaiflikning yoshini, masalan, qanday zararli dasturlar to'plamidan foydalanishi, qanday imtiyozlardan foydalanishi va hokazolarni hisobga oladi va muammoni uning ustuvorligiga qarab tuzatadi.
  • U yangi qurilmalarni avtomatik aniqlash va skanerlash hamda tarmoqqa kirishda zaifliklarni baholashga qodir
  • U real vaqt rejimida zaifliklarni kuzatib boradi, yangi ma'lumotlar bilan so'nggi xavflar bilan tanishadi
  • Ko'pgina zaiflik skanerlari odatda xavflarni o'rta yoki yuqori yoki past miqyosda tasniflaydi
4. Nikto
Nikto - bu mumkin bo'lgan muammolar va zaifliklarni baholash uchun ishlatiladigan juda mashhur ochiq manbali veb-brauzer.
  • Bundan tashqari, u serverning eskirgan versiyalarini tekshirish, shuningdek, serverning ishlashiga ta'sir qiladigan har qanday muayyan muammoni tekshirish uchun ishlatiladi.
  • Nikto bir nechta xavfli fayllar kabi turli elementlarni skanerlash uchun veb-serverlarda turli testlarni o'tkazish uchun ishlatiladi.
  • U "jim" vosita hisoblanmaydi va veb-serverni minimal vaqt ichida sinab ko'rish uchun ishlatiladi.
  • U HTTPS, HTTP va boshqalar kabi turli protokollarni skanerlash uchun ishlatiladi. Ushbu vosita sizga ma'lum bir serverning bir nechta portlarini skanerlash imkonini beradi.
5.Tripwire IP360
Tripwire Inc tomonidan ishlab chiqilgan Tripwire IP360 turli korxonalar o'zlarining xavfsizlik xavflarini boshqarish uchun foydalanadigan zaiflikni baholashning eng yaxshi yechimi hisoblanadi.
  • U barcha zaifliklarni, konfiguratsiyalarni, ilovalarni, tarmoq xostlarini va boshqalarni aniqlash uchun tarmoqlarning keng ko'rinishidan foydalanadi.
  • U bir nechta biznes jarayonlarida xavf va zaiflikni boshqarishni birlashtirishga yordam berish uchun ochiq standartlardan foydalanadi.
6 Wireshark
Wireshark keng qo'llaniladigan tarmoq protokoli analizatori bo'lib, xavfsizlik bo'yicha mutaxassislarning asboblar to'plamidagi eng kuchli vosita hisoblanadi.
  • Wireshark turli xil oqimlarda, masalan, davlat idoralari, korxonalar, o'quv muassasalari va boshqalarda past darajadagi tarmoqlarga kirish uchun ishlatiladi.
  • U muammolarni onlayn tuzatadi va oflayn rejimda tahlil qiladi
  • U Linux, masOS, Windows, Solaris va boshqalar kabi turli platformalarda ishlaydi.
7. Samolyot
Aircrack, shuningdek, Aircrack-NG nomi bilan ham tanilgan, Wi-Fi tarmog'ining xavfsizligini baholash uchun foydalaniladigan vositalar to'plamidir.
  • Tarmoq auditida foydalaniladigan vositalar
  • U Linux, OS X, Solaris, NetBSD, Windows va boshqalar kabi bir nechta operatsion tizimlarni qo'llab-quvvatlaydi.
  • U WiFi xavfsizligining turli sohalariga qaratilgan: paketlar va ma'lumotlar monitoringi, drayver va kartalarni sinovdan o'tkazish, takroriy hujumlar, xakerlik va boshqalar.
  • Aircrack ma'lumotlar paketlarini ushlash orqali yo'qolgan kalitlarni olishi mumkin
8. Nessus Professional
Nessus vositasi Tenable Network Security tomonidan yaratilgan xususiy va xususiy zaiflik skaneridir.
  • U zaifliklarni imkon qadar tezroq baholash orqali tarmoqlarga xakerlar tomonidan kirib kelishining oldini oladi
  • U nozik ma'lumotlarni tizimdan masofadan turib buzish imkonini beruvchi zaifliklarni skanerlashi mumkin
  • U bulutli infratuzilma, virtual va jismoniy tarmoqlar orasida keng ko'lamli OS, Dbs, ilovalar va bir qancha boshqa qurilmalarni qo'llab-quvvatlaydi.
  • U butun dunyo bo'ylab millionlab foydalanuvchilar tomonidan zaifliklar, konfiguratsiya muammolari va hokazolarni baholash uchun o'rnatilgan va foydalanilgan.
9. Retina CS hamjamiyati
Retina CS - bu zaifliklarni boshqarishni soddalashtirish va markazlashtirishga yordam bergan ochiq kodli konsol va veb-boshqaruv paneli.
  • Muvofiqlik hisoboti, tuzatish va konfiguratsiyaga muvofiqlik kabi imkoniyatlari bilan Retina CS platformalararo zaiflikni baholashni ta'minlaydi.
  • U ma'lumotlar bazalari, veb-ilovalar, ish stantsiyalari va serverlar uchun avtomatik zaiflikni baholashni o'z ichiga oladi
  • Retina CS - bu vCenter integratsiyasi, virtual ilovalarni skanerlash va boshqalar kabi virtual muhitlarni to'liq qo'llab-quvvatlaydigan ochiq kodli dastur.
10.Microsoft Baseline Security Analyzer (MBSA)
MBSA - bu Microsoft tomonidan o'rnatilgan spetsifikatsiyalar yoki ko'rsatmalar asosida Windows kompyuterini himoya qilish uchun ideal bo'lgan bepul Microsoft vositasi.
  • MBSA sizga kompyuterlar guruhini har qanday noto'g'ri konfiguratsiya, etishmayotgan yangilanishlar va har qanday xavfsizlik yamoqlari va boshqalarni tekshirish orqali xavfsizlik darajasini oshirishga imkon beradi.
  • U faqat muhim va ixtiyoriy yangilanishlarni chetga surib, xavfsizlik yangilanishlarini, xizmat paketlarini va jamlangan yangilanishlarni skanerlashi mumkin.
  • U o'rta va kichik tashkilotlar tomonidan o'z tarmoqlarining xavfsizligini boshqarish uchun foydalaniladi.
  • Tizimni skanerdan o'tkazgandan so'ng, MBSA zaifliklarni bartaraf etish bo'yicha bir nechta echimlar yoki takliflarni taqdim etadi.

Tarmoq qurti epidemiyasi muammosi har qanday mahalliy tarmoq uchun dolzarbdir. Ertami-kechmi, tarmoq yoki pochta qurti ishlatiladigan antivirus tomonidan aniqlanmagan LANga kirib ketganda vaziyat yuzaga kelishi mumkin. Tarmoq virusi LAN orqali infektsiya vaqtida yopilmagan operatsion tizim zaifliklari yoki yozish mumkin bo'lgan umumiy resurslar orqali tarqaladi. Pochta virusi, nomidan ko'rinib turibdiki, agar mijozning antivirusi va pochta serveridagi antivirus tomonidan bloklanmagan bo'lsa, elektron pochta orqali tarqaladi. Bundan tashqari, LANdagi epidemiya insayderning faoliyati natijasida ichkaridan tashkil etilishi mumkin. Ushbu maqolada biz turli xil vositalardan foydalangan holda, xususan, muallifning AVZ yordam dasturidan foydalangan holda LAN kompyuterlarini operatsion tahlil qilishning amaliy usullarini ko'rib chiqamiz.

Muammoni shakllantirish

Agar tarmoqda epidemiya yoki biron bir g'ayritabiiy faoliyat aniqlansa, administrator kamida uchta vazifani zudlik bilan hal qilishi kerak:

  • tarmoqdagi zararlangan shaxsiy kompyuterlarni aniqlash;
  • virusga qarshi laboratoriyaga yuborish uchun zararli dastur namunalarini toping va unga qarshi kurash strategiyasini ishlab chiqing;
  • LANda virus tarqalishini blokirovka qilish va zararlangan kompyuterlarda uni yo'q qilish choralarini ko'rish.

Insayder faoliyatida tahlilning asosiy bosqichlari bir xil bo'lib, ko'pincha LAN kompyuterlarida insayder tomonidan o'rnatilgan uchinchi tomon dasturlarini aniqlash zarurati bilan bog'liq. Bunday dasturlarga misol sifatida masofaviy boshqaruv yordam dasturlari, keyloggerlar va turli troyan xatcho'plari kiradi.

Keling, har bir vazifani hal qilishni batafsil ko'rib chiqaylik.

Infektsiyalangan kompyuterlarni qidiring

Tarmoqdagi zararlangan shaxsiy kompyuterlarni qidirish uchun kamida uchta usuldan foydalanish mumkin:

  • kompyuterni avtomatik masofadan tahlil qilish - ishlaydigan jarayonlar, yuklangan kutubxonalar va drayverlar haqida ma'lumot olish, xarakterli naqshlarni qidirish - masalan, berilgan nomlar bilan jarayonlar yoki fayllar;
  • Sniffer yordamida kompyuter trafigini o'rganish - bu usul spam-botlar, pochta va tarmoq qurtlarini ushlash uchun juda samarali, ammo snifferdan foydalanishdagi asosiy qiyinchilik zamonaviy LAN kalitlar asosida qurilganligi bilan bog'liq va natijada administrator butun tarmoqdagi trafikni kuzata olmaydi. Muammo ikki yo'l bilan hal qilinadi: marshrutizatorda snifferni ishga tushirish (bu sizga Internet bilan shaxsiy kompyuter ma'lumotlari almashinuvini kuzatish imkonini beradi) va kalitlarning monitoring funksiyalaridan foydalanish (ko'plab zamonaviy kalitlar monitor portini belgilash imkonini beradi. administrator tomonidan ko'rsatilgan bir yoki bir nechta kommutator portlarining trafigi takrorlanadi);
  • tarmoq yukini o'rganish - bu holda, nafaqat yukni taxmin qilish, balki administrator tomonidan ko'rsatilgan portlarni masofadan turib o'chirish imkonini beruvchi aqlli kalitlardan foydalanish juda qulay. Agar administratorda shaxsiy kompyuterlar kommutatorning mos keladigan portlariga ulanganligi va ular joylashgan joyi to'g'risidagi ma'lumotlarni o'z ichiga olgan tarmoq xaritasi bo'lsa, bu operatsiya ancha soddalashtiriladi;
  • tuzoqlardan foydalanish (honeypot) - ma'murga epidemiyani o'z vaqtida aniqlash imkonini beradigan mahalliy tarmoqda bir nechta tuzoqlarni yaratish qat'iy tavsiya etiladi.

Tarmoqdagi shaxsiy kompyuterlarni avtomatik tahlil qilish

Kompyuterni avtomatik tahlil qilish uchta asosiy bosqichga qisqartirilishi mumkin:

  • kompyuterni to'liq o'rganish - ishlaydigan jarayonlar, yuklangan kutubxonalar va drayverlar, autorun;
  • operativ so'rov o'tkazish - masalan, xarakterli jarayonlar yoki fayllarni qidirish;
  • ma'lum mezonlar bo'yicha ob'ekt karantini.

Yuqoridagi barcha vazifalarni serverdagi tarmoq papkasidan ishga tushirish uchun mo'ljallangan va kompyuterni avtomatik tekshirish uchun skript tilini qo'llab-quvvatlaydigan AVZ mualliflik yordam dasturi yordamida hal qilish mumkin. AVZ-ni foydalanuvchilarning kompyuterlarida ishga tushirish uchun sizga quyidagilar kerak:

  1. AVZ-ni serverdagi o'qiladigan tarmoq papkasiga joylashtiring.
  2. Ushbu jildda LOG va Qurantine pastki kataloglarini yarating va foydalanuvchilarga ularga yozishga ruxsat bering.
  3. rexec yordam dasturi yoki tizimga kirish skripti yordamida LAN kompyuterlarida AVZ-ni ishga tushiring.

AVZ-ni 3-bosqichda ishga tushirish quyidagi parametrlar bilan amalga oshirilishi kerak:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Skript=\\my_server\AVZ\my_script.txt

Bunda Priority=-1 parametri AVZ jarayonining ustuvorligini pasaytiradi, nw=Y va nq=Y parametrlari karantinni “tarmoqni ishga tushirish” rejimiga o‘tkazadi (bu holda karantin papkasida kichik katalog yaratiladi). har bir kompyuter uchun, nomi kompyuterning tarmoq nomiga mos keladi) , HiddenMode=2 foydalanuvchining GUI va AVZ boshqaruviga kirishini rad etishni buyuradi va nihoyat, eng muhim parametr Skript buyruqlar bilan skriptning to'liq nomini belgilaydi. AVZ foydalanuvchining kompyuterida bajaradi. AVZ skript tilidan foydalanish juda oddiy va faqat kompyuterni tekshirish va uni davolash muammolarini hal qilishga qaratilgan. Skriptlarni yozish jarayonini soddalashtirish uchun siz taklifni o'z ichiga olgan maxsus skript muharriridan, odatdagi skriptlarni yaratish ustasidan va yozma skriptni ishga tushirmasdan to'g'riligini tekshirish vositalaridan foydalanishingiz mumkin (1-rasm).

Guruch. 1. AVZ skript muharriri

Keling, epidemiyaga qarshi kurashda foydali bo'lishi mumkin bo'lgan uchta tipik skriptni ko'rib chiqaylik. Birinchidan, bizga kompyuter tadqiqot skripti kerak. Skriptning vazifasi tizimni tekshirish va berilgan tarmoq papkasida natijalar bilan protokol yaratishdir. Skript quyidagicha ko'rinadi:

ActivateWatchDog(60*10);

// Skanerlash va tahlil qilishni boshlang

// Tizimni o'rganing

ExecuteSysCheck(GetAVZDirectory+

‘\LOG\’+GetComputerName+’_log.htm’);

//AVZ-ni o'chirish

Ushbu skriptni bajarish jarayonida LOG papkasida (u serverdagi AVZ katalogida yaratilgan va foydalanuvchilar yozishi mumkin deb taxmin qilinadi), tarmoq kompyuterlarini o'rganish natijalari bilan HTML fayllar yaratiladi, va o'rganilayotgan kompyuterning nomi yagonaligini ta'minlash uchun protokol nomiga kiritiladi. Skriptning boshida qo'riqchi taymerini yoqish buyrug'i mavjud bo'lib, u skriptni bajarishda muvaffaqiyatsizliklar yuzaga kelgan taqdirda 10 daqiqadan so'ng AVZ jarayonini majburan tugatadi.

AVZ protokoli qo'lda o'rganish uchun qulay, ammo avtomatlashtirilgan tahlil uchun juda kam qo'llaniladi. Bundan tashqari, administrator ko'pincha zararli dasturning fayl nomini biladi va faqat ushbu faylning mavjudligi yoki yo'qligini tekshirishi va agar mavjud bo'lsa, uni tahlil qilish uchun karantinga qo'yishi kerak. Bunday holda siz quyidagi skriptdan foydalanishingiz mumkin:

// Kuzatuv taymerini 10 daqiqaga yoqing

ActivateWatchDog(60*10);

// Zararli dasturlarni nomi bo'yicha qidiring

QuarantineFile('%WinDir%\smss.exe', 'LdPinch.gen shubhali');

QuarantineFile('%WinDir%\csrss.exe', 'LdPinch.gen shubhali');

//AVZ-ni o'chirish

Ushbu skript belgilangan fayllarni karantinga olishga harakat qiladigan QuarantineFile funksiyasidan foydalanadi. Administrator faqat karantin tarkibini (Quarantine\tarmoq_PC_name\quarantine_date\ papkasi) karantinga olingan fayllar uchun tahlil qilishi kerak. Esda tutingki, QuarantineFile funksiyasi xavfsiz AVZ ma'lumotlar bazasi yoki Microsoft EDS ma'lumotlar bazasi tomonidan aniqlangan fayllar karantinini avtomatik ravishda bloklaydi. Amaliy foydalanish uchun ushbu skriptni yaxshilash mumkin - fayl nomlarini tashqi matn faylidan yuklashni tashkil qiling, topilgan fayllarni AVZ ma'lumotlar bazalari bilan tekshiring va ish natijalari bilan matn protokolini tuzing:

// Belgilangan nomga ega faylni qidiring

funksiya CheckByName(Fname: string) : boolean;

Natija:= FileExists(FName) ;

natija bo'lsa, boshlang

case CheckFile(FName) of

1: S:= ', faylga kirish bloklangan';

1: S:= ', zararli dastur sifatida aniqlangan ('+GetLastCheckTxt+')';

2: S:= ', fayl skaneri tomonidan shubha qilingan ('+GetLastCheckTxt+')';

3: chiqish; // Xavfsiz fayllarga e'tibor bermaslik

AddToLog('Fayl '+NormalFileName(FName)+' shubhali nomga ega'+S);

//Ko'rsatilgan faylni karantinga qo'shish

QuarantineFile(FName, 'shubhali fayl'+S);

SuspNames: TStringList; // Shubhali fayllar nomlari ro'yxati

// Yangilangan ma'lumotlar bazasi bilan fayllarni tekshirish

agar FileExists(GetAVZDirectory + 'files.db') bo'lsa, boshlang

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('Ma'lumotlar bazasi nomi yuklandi - yozuvlar soni = '+inttostr(SuspNames.Count));

// Qidiruv davri

i:= 0 uchun SuspNames.Count uchun - 1 do

CheckByName(SuspNames[i]);

AddToLog('Fayl nomlari roʻyxatini yuklashda xatolik yuz berdi');

SaveLog(GetAVZDirectory+'\LOG\'+

GetComputerName+'_files.txt');

Ushbu skript ishlashi uchun AVZ papkasida foydalanuvchilar yozishi mumkin bo'lgan Karantin va LOG kataloglarini, shuningdek files.db matn faylini yaratish kerak - bu faylning har bir satrida shubhali fayl nomi bo'ladi. Fayl nomlari makroslarni o'z ichiga olishi mumkin, ulardan eng foydalisi %WinDir% (Windows papkasiga yo'l) va %SystemRoot% (System32 jildiga yo'l). Tahlilning yana bir yo'nalishi foydalanuvchilarning kompyuterlarida ishlaydigan jarayonlar ro'yxatini avtomatik o'rganish bo'lishi mumkin. Ishlayotgan jarayonlar haqida ma'lumot tizim tadqiqot protokolida mavjud, ammo avtomatik tahlil qilish uchun quyidagi skript fragmentidan foydalanish qulayroqdir:

ScanProcess protsedurasi;

S:=''; S1:='';

// Jarayonlar ro'yxatini yangilash

RefreshProcessList;

AddToLog('Jarayonlar soni = '+IntToStr(GetProcessCount));

// Qabul qilingan ro'yxatni tahlil qilish sikli

i:= 0 uchun GetProcessCount - 1 boshlanadi

S1:= S1 + ',' + ExtractFileName(GetProcessName(i));

// Jarayonni nomi bo'yicha qidiring

agar pos('trojan.exe', LowerCase(GetProcessName(i)))> 0 bo'lsa

S:= S + GetProcessName(i)+',';

agar S<>''keyin

AddLineToTxtFile(GetAVZDirectory+'\LOG\_alarm.txt', DateTimeToStr(Hozir)+' '+GetComputerName+' : '+S);

AddLineToTxtFile(GetAVZDirectory+'\LOG\_all_process.txt', DateTimeToStr(Endi)+' '+GetComputerName+' : '+S1);

Ushbu skriptdagi jarayonlarni tekshirish alohida ScanProcess protsedurasi sifatida amalga oshiriladi, shuning uchun uni o'z skriptingizga joylashtirish oson. ScanProcess protsedurasi jarayonlarning ikkita ro'yxatini tuzadi: jarayonlarning to'liq ro'yxati (keyinroq tahlil qilish uchun) va administrator nuqtai nazaridan xavfli deb hisoblangan jarayonlar ro'yxati. Bunday holda, namoyish qilish uchun "trojan.exe" deb nomlangan jarayon xavfli hisoblanadi. Xavfli jarayonlar haqidagi ma'lumotlar _alarm.txt matn fayliga, barcha jarayonlar haqidagi ma'lumotlar _all_process.txt fayliga qo'shiladi. Masalan, xavfsiz fayllar ma'lumotlar bazasiga texnologik fayllarni tekshirish yoki tashqi ma'lumotlar bazasiga nisbatan texnologik bajariladigan fayllar nomlarini tekshirish orqali skriptni murakkablashtirishingiz mumkinligini ko'rish oson. Shunga o'xshash protsedura Smolenskenergo-da qo'llaniladigan AVZ skriptlarida qo'llaniladi: ma'mur vaqti-vaqti bilan to'plangan ma'lumotlarni tekshiradi va xavfsizlik siyosati tomonidan taqiqlangan dasturlarning jarayonlari nomini qo'shish orqali skriptni o'zgartiradi, masalan, ICQ va MailRu.Agent, bu imkon beradi. o'rganilayotgan shaxsiy kompyuterlarda taqiqlangan dasturiy ta'minot mavjudligini tezda tekshirishingiz uchun. Jarayonlar ro'yxatidan yana bir foydalanish - antivirus kabi talab qilinadigan jarayon etishmayotgan shaxsiy kompyuterlarni topish.

Xulosa qilib, foydali tahlil skriptlarining oxirgisini ko'rib chiqaylik - xavfsiz AVZ ma'lumotlar bazasi va Microsoft EDS ma'lumotlar bazasi tomonidan tan olinmagan barcha fayllarni avtomatik karantin qilish uchun skript:

// Avtomatik karantinni bajaring

ExecuteAutoQuarantine;

Avtomatik karantin ishlayotgan jarayonlar va yuklangan kutubxonalar, xizmatlar va drayverlarni, 45 ga yaqin avtomatik ishga tushirish usullarini, brauzer va Explorer kengaytmali modullarini, SPI/LSP ishlov beruvchilarini, rejalashtiruvchi vazifalarini, chop etish tizimi ishlov beruvchilarini va hokazolarni tekshiradi. Karantinning o'ziga xos xususiyati shundaki, fayllar unga qayta urinish nazorati bilan qo'shiladi, shuning uchun avtomatik karantin funksiyasini bir necha marta chaqirish mumkin.

Avtomatik karantinning afzalligi shundaki, uning yordami bilan ma'mur tarmoqdagi barcha kompyuterlardan o'rganish uchun potentsial shubhali fayllarni tezda to'plashi mumkin. Fayllarni o'rganishning eng oddiy (lekin amalda juda samarali) shakli maksimal evristik rejimda bir nechta mashhur antiviruslar bilan olingan karantinni tekshirish bo'lishi mumkin. Shuni ta'kidlash kerakki, bir vaqtning o'zida bir necha yuzta kompyuterda "Avto-Karantin" ni ishga tushirish tarmoq va fayl serverida yuqori yukni yaratishi mumkin.

Yo'l harakati tadqiqoti

Yo'l harakati tadqiqoti uchta usulda amalga oshirilishi mumkin:

  • qo'lda hidlagichlar yordamida;
  • yarim avtomatik rejimda - bu holda, sniffer ma'lumot to'playdi, so'ngra uning protokollari qo'lda yoki ba'zi dasturiy ta'minot tomonidan qayta ishlanadi;
  • Snort (http://www.snort.org/) kabi hujumlarni aniqlash tizimlari (IDS) yoki ularning dasturiy ta'minot yoki apparat vositalaridan avtomatik ravishda foydalanish. Eng oddiy holatda, IDS sniffer va sniffer tomonidan to'plangan ma'lumotlarni tahlil qiluvchi tizimdan iborat.

Buzilishlarni aniqlash tizimi eng yaxshi vositadir, chunki u tarmoq faoliyatidagi anomaliyalarni aniqlash uchun qoidalar to'plamini yaratishga imkon beradi. Uning ikkinchi afzalligi quyidagilardan iborat: ko'pgina zamonaviy IDSlar trafik monitoringi agentlarini bir nechta tarmoq tugunlariga joylashtirish imkonini beradi - agentlar ma'lumot to'playdi va uni uzatadi. Snifferdan foydalanilganda, tcpdump UNIX konsol snifferidan foydalanish juda qulay. Masalan, 25-portda (SMTP protokoli) faoliyatni kuzatish uchun snifferni buyruq qatori bilan ishga tushirish kifoya:

tcpdump -i em0 -l tcp port 25 > smtp_log.txt

Bunday holda, paketlar em0 interfeysi orqali olinadi; olingan paketlar haqidagi ma'lumotlar smtp_log.txt faylida saqlanadi. Protokolni qo'lda tahlil qilish nisbatan oson, bu misolda 25-portdagi faoliyat tahlili faol spam-botlar bilan kompyuterni hisoblash imkonini beradi.

Honeypot ilovasi

Tuzoq (Honeypot) sifatida siz eskirgan kompyuterdan foydalanishingiz mumkin, uning ishlashi uni ishlab chiqarish muammolarini hal qilish uchun ishlatishga imkon bermaydi. Masalan, muallif tarmog'ida 64 MB operativ xotiraga ega Pentium Pro tuzoq sifatida muvaffaqiyatli qo'llaniladi. Ushbu kompyuterda siz LANda eng keng tarqalgan operatsion tizimni o'rnatishingiz va strategiyalardan birini tanlashingiz kerak:

  • Operatsion tizimni xizmat paketlarisiz o'rnating - bu tarmoqda ushbu operatsion tizim uchun ma'lum bo'lgan zaifliklardan foydalanadigan faol tarmoq qurti paydo bo'lishining ko'rsatkichi bo'ladi;
  • tarmoqdagi boshqa shaxsiy kompyuterlarda o'rnatilgan yangilanishlar bilan operatsion tizimni o'rnating - Honeypot har qanday ish stantsiyasining analogi bo'ladi.

Har bir strategiyaning ijobiy va salbiy tomonlari bor; muallif asosan yangilanishsiz variantni qo'llaydi. Honeypot-ni yaratganingizdan so'ng, tizimni zararli dastur tomonidan shikastlanganidan keyin tezda tiklash uchun disk tasvirini yaratishingiz kerak. Disk tasviriga muqobil sifatida siz ShadowUser va uning analoglari kabi o'zgarishlarni qaytarish tizimlaridan foydalanishingiz mumkin. Honeypot-ni qurgandan so'ng, shuni hisobga olish kerakki, bir qator tarmoq qurtlari zararlangan kompyuterning IP-manzilidan hisoblangan IP diapazonini skanerlash orqali zararlangan kompyuterlarni qidiradi (umumiy tipik strategiyalar X.X.X.*, X.X.X+1.*). , X.X.X-1.*), - shuning uchun, Ideal holda, har bir quyi tarmoqda Honeypot bo'lishi kerak. Qo'shimcha tayyorgarlik elementlari sifatida Honeypot tizimidagi bir nechta papkalarga kirishni ochish kerak va bu papkalarga turli formatdagi bir nechta namuna fayllari joylashtirilishi kerak, minimal to'plam EXE, JPG, MP3.

Tabiiyki, Honeypot-ni yaratgandan so'ng, administrator uning ishlashini kuzatishi va ushbu kompyuterda topilgan har qanday anomaliyalarga javob berishi kerak. O'zgarishlarni ro'yxatga olish vositasi sifatida auditorlardan, tarmoq faolligini ro'yxatga olish uchun esa snayferdan foydalanish mumkin. Muhim jihat shundaki, ko'pchilik snifferlar ma'lum bir tarmoq faolligi aniqlansa, ma'murga ogohlantirish yuborishni sozlash imkoniyatini beradi. Masalan, CommView snifferida qoida tarmoq paketini tavsiflovchi "formula" ni belgilash yoki miqdoriy mezonlarni belgilashni o'z ichiga oladi (sekundiga ma'lum miqdordagi paketlar yoki baytlarni yuborish, paketlarni noma'lum IP yoki MAC manzillariga yuborish) - Anjir. 2.

Guruch. 2. Tarmoq faolligi ogohlantirishini yarating va sozlang

Ogohlantirishning eng yaxshi usuli - administratorning pochta qutisiga yuborilgan elektron pochta xabarlaridan foydalanish, bu holda siz tarmoqdagi barcha tuzoqlardan real vaqt rejimida ogohlantirishlarni olishingiz mumkin. Bundan tashqari, agar sniffer bir nechta ogohlantirishlarni yaratishga imkon bersa, elektron pochta, FTP / HTTP, TFTP, Telnet, MS Net bilan ishlash, soniyada 20-30 paketdan ortiq trafikni ko'paytirish orqali tarmoq faolligini farqlash mantiqan. har qanday protokol uchun (3-rasm) .

Guruch. 3. Xabarnoma yuborilgan
agar berilgan mezonlarga mos keladigan paketlar topilsa

Qopqonni tashkil qilishda unga tarmoqda ishlatiladigan bir nechta zaif tarmoq xizmatlarini joylashtirish yoki ularning emulyatorini o'rnatish yaxshi bo'ladi. Eng oddiy (va bepul) - bu o'rnatmasdan ishlaydigan APS mualliflik yordam dasturi. APS ning ishlash printsipi uning ma'lumotlar bazasida tasvirlangan TCP va UDP portlari to'plamini tinglash va ulanish vaqtida oldindan belgilangan yoki tasodifiy yaratilgan javobni chiqarishga qisqartiriladi (4-rasm).

Guruch. 4. APS yordam dasturining asosiy oynasi

Rasmda Smolenskenergo LANda haqiqiy APS operatsiyasi paytida olingan skrinshot ko'rsatilgan. Rasmda ko'rib turganingizdek, mijoz kompyuterlaridan birini 21-portga ulashga urinish amalga oshirildi. Protokollar tahlili shuni ko'rsatdiki, urinishlar davriy bo'lib, tarmoqdagi bir nechta tuzoqlar bilan o'rnatiladi, bu bizga tarmoqning uzilishlari haqida xulosa chiqarish imkonini beradi. parollarni taxmin qilish orqali FTP serverlarini topish va buzish uchun skanerdan o'tkazilmoqda. APS qayd qiladi va ma'murlarga kuzatilgan portlarga ro'yxatdan o'tgan ulanishlar haqida xabarlar yuborishi mumkin, bu tarmoq skanerlarini tezda aniqlash uchun foydalidir.

Honeypotni qurishda ushbu mavzu bo'yicha http://www.honeynet.org/ kabi onlayn resurslarni ko'rib chiqish ham foydalidir. Ushbu saytning Asboblar bo'limida (http://www.honeynet.org/tools/index.html) siz hujumlarni yozib olish va tahlil qilish uchun bir qator vositalarni topishingiz mumkin.

Zararli dasturlarni masofadan olib tashlash

Ideal holda, zararli dasturlarning namunalarini aniqlagandan so'ng, administrator ularni antivirus laboratoriyasiga yuboradi, u erda ular tahlilchilar tomonidan tezda o'rganiladi va tegishli imzolar virusga qarshi ma'lumotlar bazalariga qo'shiladi. Ushbu imzolar avtomatik yangilanishlar orqali foydalanuvchilarning shaxsiy kompyuterlariga tushadi va antivirus administrator aralashuvisiz zararli dasturlarni avtomatik ravishda o'chiradi. Biroq, bu zanjir har doim ham kutilganidek ishlamaydi, xususan, buzilishning quyidagi sabablari bo'lishi mumkin:

  • tarmoq ma'muriga bog'liq bo'lmagan bir qator sabablarga ko'ra tasvirlar virusga qarshi laboratoriyaga etib bormasligi mumkin;
  • antivirus laboratoriyasining samaradorligi etarli emas - ideal holda, namunalarni o'rganish va ularni ma'lumotlar bazalariga qo'shish 1-2 soatdan ko'proq vaqtni oladi, ya'ni bir ish kuni ichida siz yangilangan imzo ma'lumotlar bazalarini olishingiz mumkin. Biroq, barcha antivirus laboratoriyalari juda tez ishlamaydi va yangilanishlar bir necha kun (kamdan-kam hollarda, hatto haftalar) kutilishi mumkin;
  • antivirusning yuqori ishlashi - bir qator zararli dasturlar faollashtirilgandan so'ng antiviruslarni yo'q qiladi yoki boshqa yo'l bilan ularning ishini buzadi. Klassik misollar xostlar faylida antivirusni avtomatik yangilash tizimining normal ishlashini bloklaydigan yozuvlarni kiritish, antivirus jarayonlarini, xizmatlarni va drayverlarni o'chirish, ularning sozlamalarini buzish va hokazo.

Shuning uchun, bunday holatlarda siz zararli dasturlar bilan qo'lda kurashishingiz kerak bo'ladi. Ko'pgina hollarda, bu qiyin emas, chunki kompyuterlarni tahlil qilish natijalari ma'lum bo'lgan kompyuterlar, shuningdek, zararli dasturlarning to'liq nomlari. Faqat ularni masofadan olib tashlashni amalga oshirish uchun qoladi. Agar zararli dastur o'chirishdan himoyalanmagan bo'lsa, uni quyidagi shakldagi AVZ skripti bilan yo'q qilish mumkin:

// Faylni o'chirish

DeleteFile('fayl nomi');

ExecuteSysClean;

Ushbu skript bitta belgilangan faylni (yoki bir nechta fayllarni, chunki skriptda cheksiz miqdordagi DeleteFile buyruqlari bo'lishi mumkin) o'chiradi va keyin avtomatik ravishda ro'yxatga olish kitobini tozalaydi. Keyinchalik murakkab holatda, zararli dastur o'zini o'chirishdan himoya qilishi mumkin (masalan, fayllari va ro'yxatga olish kitobi kalitlarini qayta yaratish orqali) yoki rootkit texnologiyasidan foydalangan holda o'zini yashirishi mumkin. Bunday holda, skript yanada murakkablashadi va quyidagicha ko'rinadi:

// Anti-rootkit

SearchRootkit(to'g'ri, rost);

// AVZGuard boshqaruvi

SetAVZGuardStatus(to'g'ri);

// Faylni o'chirish

DeleteFile('fayl nomi');

// BootCleaner jurnalini yoqish

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// BootCleaner vazifasiga skript tomonidan o'chirilgan fayllar ro'yxatini import qiling

BC_ImportDeletedList;

// BootCleaner-ni faollashtiring

// Tizimni evristik tozalash

ExecuteSysClean;

Windows-ni qayta yuklash (to'g'ri);

Ushbu skript rootkitlarga faol qarshilikni, AVZGuard tizimidan foydalanishni (bu zararli dasturlarning faolligini bloklovchi) va BootCleaner tizimini o'z ichiga oladi. BootCleaner - tizimni ishga tushirishning dastlabki bosqichida qayta yuklash paytida KernelMode'dan belgilangan ob'ektlarni olib tashlaydigan drayver. Amaliyot shuni ko'rsatadiki, bunday skript mavjud zararli dasturlarning katta qismini yo'q qilishga qodir. Istisno - har bir qayta yuklashda bajariladigan fayllarning nomlarini o'zgartiradigan zararli dastur - bu holda tizimni o'rganish jarayonida topilgan fayllar nomini o'zgartirish mumkin. Bunday holda, siz kompyuterni qo'lda dezinfeksiya qilishingiz yoki o'zingizning zararli dastur imzolaringizni yaratishingiz kerak bo'ladi (imzo qidirishni amalga oshiradigan skriptning namunasi AVZ yordamida tasvirlangan).

Xulosa

Ushbu maqolada biz antivirus mahsulotlaridan foydalanmasdan LAN epidemiyasini qo'lda hal qilishning ba'zi amaliy usullarini ko'rib chiqdik. Ta'riflangan usullarning ko'pchiligi chet el kompyuterini va foydalanuvchilarning kompyuterlarida troyan xatcho'plarini qidirish uchun ham ishlatilishi mumkin. Zararli dasturlarni topish yoki dezinfektsiya skriptlarini yaratishda qiynalayotgan bo'lsangiz, administrator forumning http://virusinfo.info saytining "Yordam" bo'limidan yoki http://forum.kaspersky.com/ forumining "Viruslarga qarshi kurash" bo'limidan foydalanishi mumkin. index.php?showforum= o'n sakkiz. Protokollarni o'rganish va davolanishga yordam berish ikkala forumda ham bepul amalga oshiriladi, kompyuter tahlili AVZ protokollari bo'yicha amalga oshiriladi va ko'p hollarda davolash tajribali mutaxassislar tomonidan tuzilgan zararlangan shaxsiy kompyuterlarda AVZ skriptini bajarishga to'g'ri keladi. ushbu forumlarning mutaxassislari.

Ko'rib turganingizdek, ularning soni etarli edi va ularning barchasi ta'sirlangan tizimlar uchun juda xavflidir. Yangi zaifliklardan himoya qilish uchun nafaqat tizimni o'z vaqtida yangilash, balki tizimingizda xakerlar foydalanishi mumkin bo'lgan uzoq vaqtdan beri bartaraf etilgan zaifliklar mavjud emasligiga ishonch hosil qilish muhimdir.

Bu erda Linux zaiflik skanerlari yordamga keladi. Zaiflikni tahlil qilish vositalari har bir kompaniyaning xavfsizlik tizimining eng muhim tarkibiy qismlaridan biridir. Ilovalar va tizimlarni eski zaifliklar uchun tekshirish shart. Ushbu maqolada biz tizimlaringiz va dasturlaringizdagi zaifliklarni topish uchun foydalanishingiz mumkin bo'lgan eng yaxshi ochiq manbali zaiflik skanerlarini ko'rib chiqamiz. Ularning barchasi mutlaqo bepul va oddiy foydalanuvchilar tomonidan ham, korporativ sektorda ham foydalanishlari mumkin.

OpenVAS yoki Ochiq zaiflikni baholash tizimi to'liq ochiq manbali zaifliklarni aniqlash platformasidir. Dastur Nessus skanerining manba kodiga asoslangan. Dastlab, ushbu skaner ochiq kodli tarqatildi, ammo keyin ishlab chiquvchilar kodni yopishga qaror qilishdi, keyin esa 2005 yilda Nessusning ochiq versiyasi asosida OpenVAS yaratildi.

Dastur server va mijoz qismlaridan iborat. Skanerlash tizimlarining asosiy ishlarini bajaradigan server faqat Linuxda ishlaydi va mijoz dasturlari Windows-ni ham qo'llab-quvvatlaydi va serverga veb-interfeys orqali kirish mumkin.

Skanerning yadrosi zaifliklarni 36 000 dan ortiq turli tekshirishlardan iborat bo'lib, har kuni yangi, yangi kashf etilganlar qo'shilishi bilan yangilanadi. Dastur ishlayotgan xizmatlardagi zaifliklarni aniqlay oladi, shuningdek, autentifikatsiya yo'qligi yoki juda zaif parollar kabi noto'g'ri sozlamalarni izlaydi.

2. Nexpose Community Edition

Bu Metasploit-ni chiqargan kompaniya Rapid7 tomonidan ishlab chiqilgan yana bir ochiq manbali Linux zaiflik topuvchisidir. Skaner 68 000 tagacha ma'lum zaifliklarni aniqlay oladi va 160 000 dan ortiq tarmoq tekshiruvlarini amalga oshiradi.

Hamjamiyat versiyasi mutlaqo bepul, lekin u bir vaqtning o'zida 32 tagacha IP-manzilni va faqat bitta foydalanuvchini skanerlash uchun cheklovga ega. Bundan tashqari, litsenziya har yili yangilanishi kerak. Veb-ilovalarni skanerlash yo'q, lekin u zaifliklar ma'lumotlar bazasini avtomatik yangilashni va Microsoft Patch-dan zaifliklar haqida ma'lumot olishni qo'llab-quvvatlaydi.

Dastur nafaqat Linuxda, balki Windows-da ham o'rnatilishi mumkin va boshqaruv veb-interfeys orqali amalga oshiriladi. Uning yordamida siz skanerlash parametrlarini, IP manzillarini va boshqa kerakli ma'lumotlarni o'rnatishingiz mumkin.

Tekshirish tugallangandan so'ng siz zaifliklar ro'yxatini, shuningdek, serverda o'rnatilgan dasturiy ta'minot va operatsion tizim haqida ma'lumotni ko'rasiz. Shuningdek, siz hisobotlarni yaratishingiz va eksport qilishingiz mumkin.

3. Burp Suite bepul nashri

Burp Suite Java-da yozilgan veb-zaifliklar skaneridir. Dastur proksi-server, o'rgimchak, so'rovlarni yaratish va stress testlarini o'tkazish uchun vositadan iborat.

Burp yordamida siz veb-ilovalarni tekshirishingiz mumkin. Masalan, proksi-serverdan foydalanib, siz barcha o'tayotgan trafikni ushlab turishingiz va ko'rishingiz, shuningdek, agar kerak bo'lsa, uni o'zgartirishingiz mumkin. Bu sizga ko'p vaziyatlarni simulyatsiya qilish imkonini beradi. O'rgimchak veb-zaifliklarni topishga yordam beradi va so'rovlarni yaratish vositasi veb-serverning barqarorligini topishga yordam beradi.

4. Arachni

Arachni - bu to'liq xususiyatli ochiq manbali Ruby veb-ilovasini sinovdan o'tkazish tizimi. Bu turli xil kirish testlarini o'tkazish orqali veb-ilovalar va veb-saytlar xavfsizligini baholash imkonini beradi.

Dastur autentifikatsiya bilan skanerlashni, sarlavhalarni sozlashni, Aser-Agent spoofingni qo'llab-quvvatlashni, 404 aniqlashni qo'llab-quvvatlaydi.Bundan tashqari, dasturda veb-interfeys va buyruq qatori interfeysi mavjud, siz skanerlashni to'xtatib qo'yishingiz va keyin yo'nalishni qayta tiklashingiz va umuman, hamma narsa juda tez ishlaydi.

5. OWASP Zed Attack Proksi (ZAP)

OWASP Zed Attack Proxy veb-ilovalardagi zaifliklarni topish uchun yana bir keng qamrovli vositadir. Ushbu turdagi dasturlar uchun barcha standart xususiyatlar qo'llab-quvvatlanadi. Siz portlarni skanerlashingiz, sayt tuzilishini tekshirishingiz, ko'plab ma'lum zaifliklarni qidirishingiz, takroriy so'rovlar yoki noto'g'ri ma'lumotlarning to'g'ri ishlashini tekshirishingiz mumkin.

Dastur https-da ishlashi mumkin, shuningdek, turli proksi-serverlarni qo'llab-quvvatlaydi. Dastur Java tilida yozilgani uchun uni o'rnatish va ishlatish juda oson. Asosiy xususiyatlarga qo'shimcha ravishda, funksionallikni sezilarli darajada oshirishga imkon beruvchi ko'plab plaginlar mavjud.

6. Kler

Clair - konteynerlardagi Linux zaifligini topuvchi. Dastur konteynerlar uchun xavfli bo'lishi mumkin bo'lgan zaifliklar ro'yxatini o'z ichiga oladi va agar tizimingizda bunday zaifliklar topilgan bo'lsa, foydalanuvchini ogohlantiradi. Bundan tashqari, dastur konteynerlarni xavfli qiladigan yangi zaifliklar paydo bo'lganda bildirishnomalarni yuborishi mumkin.

Har bir konteyner bir marta tekshiriladi va uni tekshirish uchun uni ishga tushirishning hojati yo'q. Dastur o'chirilgan konteynerdan barcha kerakli ma'lumotlarni chiqarib olishi mumkin. Ushbu ma'lumotlar kelajakda zaifliklar haqida xabardor qilish uchun keshda saqlanadi.

7. Powerfuzzer

Powerfuzzer - bu to'liq xususiyatli, avtomatlashtirilgan va juda moslashtirilgan veb-skaner bo'lib, u sizga veb-ilovangizning noto'g'ri ma'lumotlarga va takroriy so'rovlarga javobini sinab ko'rish imkonini beradi. Asbob faqat HTTP protokolini qo'llab-quvvatlaydi va XSS, SQL injection, LDAP, CRLF va XPATH hujumlari kabi zaifliklarni aniqlay oladi. Shuningdek, u noto'g'ri konfiguratsiya yoki hatto bufer to'lib ketishi kabi xavfni ko'rsatishi mumkin bo'lgan 500 ta xatoni kuzatishni qo'llab-quvvatlaydi.

8. Nmap

Nmap Linux uchun aniq zaiflik skaneri emas. Ushbu dastur tarmoqni skanerlash va unga qaysi tugunlar ulanganligini aniqlash, shuningdek, ularda qaysi xizmatlar ishlayotganini aniqlash imkonini beradi. Bu zaifliklar haqida to'liq ma'lumot bermaydi, lekin siz qaysi dasturiy ta'minot zaif bo'lishi mumkinligini taxmin qilishingiz mumkin, zaif parollarni taxmin qilishga harakat qiling. Bundan tashqari, muayyan dasturiy ta'minotdagi ba'zi zaifliklarni aniqlash imkonini beruvchi maxsus skriptlarni bajarish mumkin.

xulosalar

Ushbu maqolada biz eng yaxshi Linux zaiflik skanerlarini ko'rib chiqdik, ular sizning tizimingiz va ilovalaringizni butunlay xavfsiz saqlashga imkon beradi. Biz operatsion tizimning o'zi yoki veb-ilovalar va saytlarni skanerlash imkonini beruvchi dasturlarni ko'rib chiqdik.

Yakunlash uchun siz zaiflik skanerlari nima va ular nima uchun kerakligi haqida videoni tomosha qilishingiz mumkin:

Xavfsizlik skanerlarining qiyosiy tahlili. 1-qism: Penetratsiya testi (Qisqa xulosa)

Aleksandr Antipov

Ushbu maqola tarmoq perimetri tugunlariga nisbatan penetratsion testlar paytida tarmoq xavfsizligi skanerlarini taqqoslash natijalarini taqdim etadi.


Lepixin Vladimir Borisovich
Informzaschita o'quv markazining tarmoq xavfsizligi laboratoriyasi boshlig'i

Hisobotning barcha materiallari Informzaschita o'quv markazining intellektual mulk ob'ektlari hisoblanadi. Informzaschita o'quv markazining oldindan yozma roziligisiz hisobot materiallarini har qanday shaklda ko'paytirish, nashr qilish yoki ko'paytirish taqiqlanadi.

Tadqiqotning to'liq matni:
http://www.itsecurity.ru/news/reliase/2008/12_22_08.htm

1.Kirish

Tarmoq xavfsizligi skanerlari mukammal taqqoslashdir. Ularning barchasi juda boshqacha. Va ular uchun mo'ljallangan vazifalarning o'ziga xosligi va "ikki tomonlama" maqsadi tufayli (tarmoq xavfsizligi skanerlari himoya qilish uchun ham, "hujum uchun" ham ishlatilishi mumkin va xakerlik, siz bilganingizdek, ijodiy vazifadir) , nihoyat, shuningdek, chunki har bir bunday vosita ortida uning yaratuvchisi haqidagi "hacker" (so'zning asl ma'nosida) parvozi bor.

Taqqoslash shartlarini tanlashda "vazifaga asoslangan" yondashuv asos qilib olingan, shuning uchun natijalardan u yoki bu vosita unga yuklangan vazifani hal qilish uchun qanchalik mos kelishini baholash mumkin. Masalan, tarmoq xavfsizligi skanerlaridan foydalanish mumkin:

  • tarmoq resurslarini inventarizatsiya qilish uchun;
  • "kirish testlari" paytida;
  • tizimlarning turli talablarga muvofiqligini tekshirish jarayonida.

Ushbu maqola tarmoq perimetri tugunlariga nisbatan penetratsion testlar paytida tarmoq xavfsizligi skanerlarini taqqoslash natijalarini taqdim etadi. Quyidagilar baholandi:

  • Topilgan zaifliklar soni
  • Noto'g'ri musbatlar soni (noto'g'ri pozitivlar)
  • Oʻtkazib yuborishlar soni (notoʻgʻri salbiy)
  • Yo'qotish sabablari
  • Tekshiruvlar ma'lumotlar bazasining to'liqligi (ushbu vazifa doirasida)
  • Inventarizatsiya mexanizmlarining sifati va dasturiy ta'minot versiyasi
  • Skanerning aniqligi (ushbu vazifa doirasida)

Ro'yxatda keltirilgan mezonlar birgalikda skanerning unga yuklangan vazifani hal qilish uchun "muvofiqligini" tavsiflaydi, bu holda bu tarmoq perimetri xavfsizligini kuzatish jarayonida muntazam harakatlarni avtomatlashtirishdir.

2. Taqqoslash ishtirokchilarining qisqacha tavsifi

Taqqoslash boshlanishidan oldin portal so‘rovnoma o‘tkazdi, uning maqsadi foydalanilgan skanerlar va ular qo‘llanilayotgan vazifalar to‘g‘risidagi ma’lumotlarni to‘plashdan iborat edi.

So‘rovda 500 ga yaqin respondentlar (portalga tashrif buyuruvchilar) ishtirok etdi.

Ular o'z tashkilotlarida foydalanadigan xavfsizlik skanerlari haqida so'ralganda, respondentlarning katta qismi kamida bitta xavfsizlik skaneridan foydalanishini aytdi (70%). Shu bilan birga, axborot tizimlari xavfsizligini tahlil qilish uchun muntazam ravishda xavfsizlik skanerlaridan foydalanadigan tashkilotlar ushbu sinfning bir nechta mahsulotidan foydalanishni afzal ko'radilar. Respondentlarning 49 foizi o'z tashkilotlari ikki yoki undan ortiq xavfsizlik skanerlaridan foydalanadi, deb javob berdi (1-rasm).


bitta. Ishlatilgan xavfsizlik skanerlari soni bo'yicha respondent tashkilotlarning taqsimlanishi

Bir nechta xavfsizlik skanerlaridan foydalanishning sabablari tashkilotlarning bitta "sotuvchi" yechimlariga ishonchsizligi (61%), shuningdek, integratsiyalangan xavfsizlik skaneri tomonidan amalga oshirilmaydigan ixtisoslashtirilgan tekshiruvlar talab qilinadigan hollarda (39%). (2-rasm).

2. So'ralgan respondentlarning tashkilotlarida bir nechta xavfsizlik skanerlaridan foydalanish sabablari

Ixtisoslashgan xavfsizlik skanerlari qanday maqsadlarda foydalaniladi degan savolga javob bergan respondentlarning aksariyati ulardan veb-ilovalar xavfsizligini tahlil qilish uchun qo'shimcha vosita sifatida foydalaniladi (68%), deb javob berdi. Ikkinchi o'rinda ixtisoslashtirilgan ma'lumotlar bazasi xavfsizligi skanerlari (30%), uchinchi o'rinda (2%) axborot tizimlari xavfsizligini tahlil qilish bo'yicha aniq bir qator vazifalarni hal qilish uchun o'z-o'zidan ishlab chiqilgan yordamchi dasturlar (3-rasm).


3 . So'ralgan respondentlarning tashkilotlarida maxsus xavfsizlik skanerlaridan foydalanish maqsadlari

Xavfsizlik skanerlari bilan bog'liq yakuniy mahsulotlar bo'yicha respondentlar o'rtasida o'tkazilgan so'rov natijasi (4-rasm) ko'pchilik tashkilotlar Positive Technologies XSpider (31%) va Nessus Security Scanner (17%) foydalanishni afzal ko'rishini ko'rsatdi.


Guruch. 4. So'rov o'tkazilgan respondentlarning tashkilotlarida xavfsizlik skanerlaridan foydalanilgan

1-jadvalda keltirilgan skanerlar testlarda ishtirok etish uchun tanlangan.

1-jadval. Taqqoslashda foydalaniladigan tarmoq xavfsizligi skanerlari

Ism

Versiya

http://www.nessus.org/download

Maks Patrol

8.0 (1178-qurilish)

http://www.ptsecurity.ru/maxpatrol.asp

Internet skaner

http://www-935.ibm.com/services/us/index.wss/offering/iss/a1027208

to'r pardasiTarmoq xavfsizligi skaneri

http://www.eeye.com/html/products/retina/index.html

Soya xavfsizligi skaneri (SSS)

7.141 (262-qurilish)

http://www.safety-lab.com/en/products/securityscanner.htm

NetClarity Auditor

http://netclarity.com/branch-nacwall.html

Shunday qilib, birinchi sinov tizimlarning xakerlik hujumiga qarshilik ko'rsatish xavfsizligini baholash vazifasiga qaratilgan.

3. Xulosa qilish

Qolgan tugunlar uchun natijalar xuddi shunday tarzda hisoblab chiqilgan. Natijalarni hisoblab chiqqach, quyidagi jadval olindi (2-jadval).

Jadval 2. Barcha skanerlangan ob'ektlar uchun yakuniy natijalar

Indeks

Internet skaner

Soya xavfsizligi skaneri

NetClarity
Auditor

Xizmatlar va ilovalarni, ballarni aniqlash

Zaifliklar topildi, jami

Ulardan noto'g'ri pozitivlar
(noto'g'ri ijobiy)

To'g'ri topildi
(mumkin bo'lgan 225 tadan)

O'tadi
(noto'g'ri salbiy)

Ulardan ma'lumotlar bazasida yo'qligi sababli

Buning sababi autentifikatsiya qilish zarurati

Boshqa sabablarga ko'ra

3.1 Xizmatlar va ilovalarni aniqlash

Xizmatlar va ilovalarni aniqlash natijalariga ko'ra, ballar oddiygina umumlashtirildi, xizmat yoki arizaning noto'g'ri ta'rifi uchun bir ball olib tashlandi (5-rasm).


Guruch. 5. Xizmatlar va ilovalarni aniqlash natijalari

Eng yuqori ball (108) MaxPatrol skaneri tomonidan, bir oz kamroq (98) Nessus skaneridan olingan. Darhaqiqat, ushbu ikkita skanerda xizmatlar va ilovalarni aniqlash tartibi juda samarali amalga oshiriladi. Ushbu natijani juda kutilgan deb atash mumkin.

Keyingi natija Internet Scanner va NetClarity brauzerlari uchun. Bu erda shuni ta'kidlashimiz mumkinki, masalan, Internet Scanner ilovalar uchun standart portlardan foydalanishga qaratilgan, bu uning past natijasini ko'p jihatdan tushuntiradi. Nihoyat, NetClarity skaneri eng yomon ishlashga ega. Garchi u xizmatlarni identifikatsiyalashda yaxshi ish qilsa-da (oxir-oqibat, u Nessus 2.x yadrosiga asoslangan), uning umumiy yomon natijasini barcha ochiq portlarni aniqlamaganligi bilan izohlash mumkin.

3.2 Zaiflikni aniqlash

Shaklda. 6-rasmda barcha skanerlar tomonidan topilgan zaifliklarning umumiy soni va noto'g'ri musbatlar soni ko'rsatilgan. Eng ko‘p zaifliklar MaxPatrol skaneri tomonidan topilgan. Ikkinchisi (allaqachon sezilarli farq bilan) yana Nessus edi.
Soxta pozitivlar soni bo'yicha yetakchi Shadow Security Scanner bo'ldi. Aslida, bu tushunarli, faqat uning tekshiruvlari bilan bog'liq xatolar misollari yuqorida keltirilgan.


Guruch. 6. Zaifliklar va noto'g'ri pozitivlar topildi

Barcha 16 ta tugunlarda barcha skanerlar tomonidan jami 225 ta zaiflik topildi (keyinchalik qo‘lda tekshirish orqali tasdiqlandi). Natijalar rasmdagi kabi taqsimlandi. 7. Eng ko‘p zaifliklar soni – mumkin bo‘lgan 225 tadan 155 tasi MaxPatrol skaneri tomonidan aniqlangan. Ikkinchisi Nessus skaneri edi (uning natijasi deyarli ikki baravar yomon). Keyingi Internet skaneri, keyin NetClarity.
Taqqoslash jarayonida zaifliklarning yo'qolishi sabablari tahlil qilindi va ma'lumotlar bazasida tekshiruvlar yo'qligi sababli amalga oshirilganlar ajratildi. Quyidagi diagrammada (8-rasm) skanerlarning zaifliklarni o'tkazib yuborish sabablari ko'rsatilgan.


Guruch. 7. Zaifliklar va kamchiliklar topildi


Guruch. 8. Zaifliklarning yo'qolishi sabablari

Endi hisob-kitoblar natijasida bir nechta ko'rsatkichlar.

Shaklda. 39-rasmda noto'g'ri musbatlar sonining topilgan zaifliklarning umumiy soniga nisbati ko'rsatilgan, ma'lum ma'noda bu ko'rsatkichni skanerning aniqligi deb atash mumkin. Axir, foydalanuvchi, birinchi navbatda, skaner tomonidan topilgan zaifliklar ro'yxati bilan shug'ullanadi, ulardan to'g'ri topilganlarni tanlash kerak.


Guruch. 9. Skanerlarning aniqligi

Ushbu diagrammada siz eng yuqori aniqlikka (95%) MaxPatrol skaneri erishganini ko'rishingiz mumkin. Noto'g'ri pozitivlar soni eng past bo'lmasa-da, bu aniqlik darajasi topilgan ko'p sonli zaifliklar tufayli erishildi. Internet skaneri aniqlashning aniqligi bo'yicha keyingi o'rinda turadi. Bu noto'g'ri musbatlarning eng kam sonini ko'rsatdi. SSS skaneri eng past natijaga ega, bu taqqoslash paytida aniqlangan juda ko'p noto'g'ri pozitivlar bilan ajablanarli emas.

Yana bir hisoblangan ko'rsatkich - bazaning to'liqligi (10-rasm). U to'g'ri topilgan zaifliklar sonining zaifliklarning umumiy soniga nisbati sifatida hisoblanadi (bu holda 225 ta) va "o'tkazib yuborilgan" shkalasini tavsiflaydi.


Guruch. 10. Bazaning to'liqligi

Ushbu diagramma MaxPatrol skanerining bazasi vazifa uchun eng mos ekanligini ko'rsatadi.

4. Xulosa

4.1 Rahbar natijalari bo'yicha sharhlar: MaxPatrol va Nessus

Ushbu taqqoslashning barcha mezonlari bo'yicha birinchi o'rin MaxPatrol skaneriga, ikkinchi o'rin Nessus skaneriga, boshqa skanerlarning natijalari sezilarli darajada pastroq.

Shu o'rinda AQSh Milliy Standartlar va Texnologiyalar Instituti (NIST) tomonidan tayyorlangan hujjatlardan birini, ya'ni "Tarmoq xavfsizligini sinovdan o'tkazish bo'yicha qo'llanma"ni esga olish o'rinlidir. Unda aytilishicha, kompyuter tizimlari xavfsizligini nazorat qilishda kamida ikkita xavfsizlik skaneridan foydalanish tavsiya etiladi.

Olingan natijada, aslida, kutilmagan va hayratlanarli narsa yo'q. Hech kimga sir emaski, XSpider (MaxPatrol) va Nessus skanerlari ham xavfsizlik mutaxassislari, ham krakerlar orasida mashhurdir. Buni yuqoridagi so‘rov natijalari ham tasdiqlaydi. Keling, MaxPatrolning aniq etakchiligi sabablarini (bu qisman Nessus skaneriga ham tegishli), shuningdek, boshqa skanerlarning "yo'qolishi" sabablarini tahlil qilishga harakat qilaylik. Avvalo, bu xizmatlar va ilovalarning sifatli identifikatsiyasi. Xulosaga asoslangan tekshiruvlar (bu holda ulardan bir nechtasi ishlatilgan) ma'lumot to'plashning to'g'riligiga juda bog'liq. MaxPatrol skanerida xizmatlar va ilovalarni identifikatsiya qilish esa deyarli takomillashtirildi. Mana bir misol.
MaxPatrol muvaffaqiyatining ikkinchi sababi - ma'lumotlar bazasining to'liqligi va uning vazifaga va umuman "bugungi kun" ga muvofiqligi. Natijalarga ko'ra, MaxPatrol-da tekshirishlar bazasi sezilarli darajada kengaytirilgani va batafsillashtirilgani, u "tartibda" bo'lganligi, veb-ilovalarga nisbatan aniq "eyillik" boshqa sohalarda tekshirishlarning kengayishi bilan qoplangani sezilarli bo'ldi. Misol uchun, taqqoslashda taqdim etilgan yo'riqnoma skanerlash natijalari Cisco ta'sirchan edi.

Uchinchi sabab - operatsion tizimlar, tarqatishlar va turli "filiallar" ni hisobga olgan holda dastur versiyalarining sifatli tahlili. Bundan tashqari, turli manbalardan foydalanishni qo'shishingiz mumkin (zaifliklar ma'lumotlar bazalari, bildirishnomalar va sotuvchi byulletenlari).

Va nihoyat, MaxPatrol tarmoq xavfsizligi skanerlari faoliyatining asosiy bosqichlarini aks ettiruvchi juda qulay va mantiqiy interfeysga ega ekanligini ham qo'shishimiz mumkin. Va bu muhim. "Tugun, xizmat, zaiflik" havolasi idrok qilish uchun juda qulaydir (Ed. Eslatma, bu taqqoslash muallifining sub'ektiv fikri). Va ayniqsa, bu vazifa uchun.

Endi kamchiliklar va "zaif" joylar haqida. MaxPatrol taqqoslashning etakchisi bo'lganligi sababli, uni tanqid qilish "maksimal" bo'ladi.

Birinchidan, "tafsilotlarda yo'qotish" deb ataladigan narsa. Juda yuqori sifatli dvigatelga ega bo'lgan holda, tegishli qo'shimcha xizmatni taklif qilish muhim, masalan, qo'lda biror narsa qilish imkonini beruvchi qulay asboblar to'plami, zaifliklarni qidirish vositalari va tizimni nozik sozlash qobiliyati. MaxPatrol XSpider an'anasini davom ettiradi va iloji boricha "bosilgan va ishlagan" mafkurasiga e'tibor qaratadi. Bir tomondan, bu yomon emas, boshqa tomondan, "puxtakor" tahlilchini cheklaydi.

Ikkinchidan, ba'zi xizmatlar "ochilmagan" bo'lib qoldi (siz buni ushbu taqqoslash natijalariga ko'ra hukm qilishingiz mumkin), masalan, IKE (port 500).

Uchinchidan, ba'zi hollarda ikkita tekshiruv natijalarini bir-biri bilan taqqoslash etarli emas, masalan, yuqorida tavsiflangan SSH bilan bo'lgani kabi. Ya'ni, bir nechta tekshiruv natijalariga ko'ra xulosalar yo'q. Misol uchun, host4 operatsion tizimi Windows deb tasniflangan, PPTP xizmati "sotuvchi" esa Linux sifatida tasniflangan. Xulosa qila olasizmi? Masalan, operatsion tizimni aniqlash sohasidagi hisobotda bu "gibrid" tugun ekanligini ko'rsating.

To'rtinchidan, cheklarning tavsifi ko'p narsani orzu qiladi. Ammo bu erda MaxPatrol boshqa skanerlar bilan teng bo'lmagan sharoitda ekanligini tushunish kerak: barcha tavsiflarni rus tiliga yuqori sifatli tarjima qilish juda ko'p vaqt talab qiladigan ishdir.

Nessus skaneri, umuman olganda, yaxshi natijalarni ko'rsatdi va bir necha daqiqada u MaxPatrol skaneriga qaraganda aniqroq bo'ldi. Nessus ortda qolishining asosiy sababi zaifliklarning yo'qligi, lekin boshqa skanerlar kabi ma'lumotlar bazasida tekshiruvlarning yo'qligi emas, balki amalga oshirish xususiyatlari tufayli. Birinchidan (va bu bo'shliqlarning katta qismining sababi), Nessus skaneri hisob bilan bog'lanishni o'z ichiga olgan "mahalliy" yoki tizim tekshiruvlari uchun rivojlanmoqda. Ikkinchidan, Nessus skaneri zaifliklar haqida kamroq ma'lumot manbalarini (MaxPatrol bilan solishtirganda) hisobga oladi. Bu asosan SecurityFocus-ga asoslangan SSS brauzeriga biroz o'xshaydi.

5. Ushbu taqqoslashning cheklovlari

Taqqoslash davomida skanerlarning imkoniyatlari faqat bitta vazifa - tarmoq perimetri tugunlarini xakerlik hujumiga chidamliligini sinovdan o‘tkazish kontekstida o‘rganildi. Misol uchun, agar biz avtomobil analogini chizadigan bo'lsak, biz turli xil mashinalarning, aytaylik, sirpanchiq yo'lda qanday harakat qilishini ko'rdik. Biroq, xuddi shu skanerlar tomonidan hal qilinishi butunlay boshqacha ko'rinishi mumkin bo'lgan boshqa vazifalar ham mavjud. Yaqin kelajakda quyidagi muammolarni hal qilish jarayonida skanerlarni solishtirish rejalashtirilgan:

  • Hisob qaydnomasidan foydalangan holda tizimlar auditini o'tkazish
  • PCI DSS muvofiqligini baholash
  • Windows tizimlarini skanerlash

Bundan tashqari, skanerlarni rasmiy mezonlar bo‘yicha solishtirish rejalashtirilgan.

Bu taqqoslash davomida faqat “dvigatel”ning o‘zi yoki zamonaviy til bilan aytganda, skanerning “miyasi” sinovdan o‘tkazildi. Qo'shimcha xizmatlar nuqtai nazaridan imkoniyatlar (hisobotlar, skanerlash jarayoni haqida ma'lumotni yozib olish va h.k.) hech qanday tarzda baholanmagan yoki taqqoslanmagan.

Shuningdek, xavf darajasi va aniqlangan zaifliklardan foydalanish imkoniyati baholanmagan. Ba'zi skanerlar o'zlarini "kichik" past darajadagi zaifliklar bilan cheklashdi, boshqalari esa tizimga kirish imkonini beruvchi haqiqatan ham muhim zaifliklarni aniqladilar.

Savolingizga javob topa olmadingizmi? Mana qarang
Turli xil qurilmalarda skrinshotni qanday olish mumkinTurli xil qurilmalarda skrinshotni qanday olish mumkin
Noto'g'ri MMI kodi yoki noto'g'ri ulanish - muammoni hal qilishNoto'g'ri MMI kodi yoki noto'g'ri ulanish - muammoni hal qilish
Internet Explorer yangilashInternet Explorer yangilash