A sebezhetőség-ellenőrzésnek nevezett folyamat az egyes gazdagépek vagy hálózatok lehetséges fenyegetéseinek vizsgálata.
A biztonság ellenőrzésének szükségessége pedig meglehetősen gyakran felmerül – különösen, ha nagy szervezetekről van szó, amelyek értékes információkkal rendelkeznek, amelyekre a támadóknak szüksége lehet.
Ne hanyagolja el az ilyen szkennelést és a rendszergazdákat kis hálózatok– főleg, hogy 2017-ben számítógépek százezreit érték komoly hackertámadások.
A hálózatok biztonsági rendszereinek gyengeségeit keresve a szakértők információ biztonság alkalmazza megfelelő szoftver.
Az ilyen programokat sebezhetőség-ellenőrzőknek nevezik.
Munkájuk alapelve, hogy ellenőrizzék a működő alkalmazásokat, és keressenek úgynevezett "lyukakat", amelyek segítségével a kívülállók hozzáférhetnének a fontos információkhoz.
A hálózati sebezhetőségeket észlelni képes programok megfelelő használata lehetővé teszi az informatikai szakemberek számára, hogy elkerüljék a lopott jelszavakkal kapcsolatos problémákat és ilyen feladatokat old meg:
A második lehetőség fő előnye nem csak az egyszerű szkenneléssel észlelhető problémák megerősítése, hanem az olyan problémák felismerése is, amelyeket passzív technikával nem lehet megtalálni. Az ellenőrzést három mechanizmus segítségével hajtják végre - fejléc-ellenőrzések, aktív vizsgálóellenőrzések és szimulált támadások.
A mechanizmus, melynek neve angol nyelvúgy hangzik, mint "banner ellenőrzés", számos szkennelésből áll, és lehetővé teszi bizonyos következtetések levonását a szkennerprogramnak a kérésére válaszul továbbított adatok alapján.
Ilyen ellenőrzés például a fejlécek vizsgálata a Sendmail alkalmazás segítségével, amely lehetővé teszi a szoftververziók meghatározását és annak ellenőrzését, hogy vannak-e problémák vagy sem.
A technika a legegyszerűbb és leggyorsabb, de számos hátránya van:
Eközben bizonyos hátrányok és a rendszer "lyukak" észlelésének garanciájának hiánya ellenére a fejlécek ellenőrzésének folyamata nemcsak a szkennelés első, hanem egyik fő szakaszának is nevezhető. Ráadásul használata nem zavarja sem a szolgáltatások, sem a hálózati csomópontok működését.
Az „aktív vizsgálóellenőrzésnek” is nevezett technika nem a fejlécekben található ellenőrzéseken alapul, hanem a programok digitális „cast”-ainak elemzésén és összehasonlításán a már ismert sebezhetőségekről szóló információkkal.
Működésének elve kicsit olyan, mint egy algoritmus, amely magában foglalja a beolvasott töredékek és a vírusadatbázisok összehasonlítását.
A technikák ugyanebbe a csoportjába tartozik a beolvasott szoftver létrehozási dátumának vagy az ellenőrző összegeknek az ellenőrzése is, amely lehetővé teszi a programok hitelességének és integritásának ellenőrzését.
A sérülékenységekkel kapcsolatos információk tárolására speciális adatbázisokat használnak, amelyek olyan információkat is tartalmaznak, amelyek lehetővé teszik a probléma megoldását és a hálózathoz való jogosulatlan hozzáférés veszélyének csökkentését.
Ezt az információt néha biztonsági elemző rendszerek és olyan szoftverek is felhasználják, amelyek feladata a támadások észlelése. Általánosságban elmondható, hogy a nagy cégek, például az ISS és , által használt aktív vizsgáló technika sokkal gyorsabban működik, mint más módszerek – bár nehezebb megvalósítani, mint a fejléc-ellenőrzés.
Egy másik módszert angolul az ún "exploit check", ami lefordítható oroszra mint "támadás utánzás".
A segítségével végzett ellenőrzés is a szondázási lehetőségek közé tartozik, és a programhibák felerősítésével történő keresésén alapul.
A technika a következő tulajdonságokkal rendelkezik:
Nem kívánatos a technika alkalmazása, ha az ellenőrzés tárgyai értékes információkat tartalmazó biztonságos szerverek.
Az ilyen számítógépek elleni támadás komoly adatvesztéshez és fontos hálózati elemek meghibásodásához vezethet, és a teljesítmény helyreállításának költsége még ezt figyelembe véve is túl komoly lehet.
Ebben az esetben kívánatos más ellenőrzési módszereket használni - például aktív szondázást vagy fejlécek ellenőrzését.
Mindeközben a sebezhetőségek listáján vannak olyanok is, amelyek támadások szimulálása nélkül nem észlelhetők – ilyenek pl. fogékonyság a "Packet Storm" támadásokra.
Alapértelmezés szerint az ilyen ellenőrzési módszerek le vannak tiltva a rendszerben.
A felhasználónak magának kell engedélyeznie ezeket.
A harmadik módszert használó szkennerek a sebezhetőségek keresésére olyan rendszereket tartalmaznak, mint pl Internet szkennerÉs CyberCop szkenner. Az első alkalmazásban az ellenőrzések ki vannak jelölve egy külön "szolgáltatásmegtagadás" kategóriába. A listában szereplő bármely funkció használatakor a program figyelmeztet a meghibásodás vagy a vizsgált csomópont újraindításának veszélyére, figyelmeztetve arra, hogy a felhasználó felelős a vizsgálat indításáért.
A legtöbb szoftver, amely sebezhetőségi vizsgálatokat végez így működik:
1 Összegyűjti az összes szükséges információt a hálózatról először azonosítja a rendszerben lévő összes aktív eszközt és a rajtuk futó szoftvert. Ha az elemzést csak egy olyan számítógép szintjén végzik el, amelyen már van szkenner, akkor ez a lépés kimarad.
2 Megpróbálja megtalálni a lehetséges sebezhetőségeket, speciális adatbázisok segítségével hasonlítja össze a kapott információkat a már ismert biztonsági "lyukak" típusaival. Az összehasonlítás aktív szondázással vagy fejléc-ellenőrzéssel történik.
3 Speciális technikák segítségével megerősíti a talált sebezhetőségeket- egy bizonyos típusú támadás utánzása, amely bizonyíthatja a fenyegetés jelenlétét vagy hiányát.
4 A szkennelés során gyűjtött információk alapján jelentéseket készít sebezhetőségek leírása.
A vizsgálat utolsó szakasza egy automatikus javítás vagy a problémák megoldásának kísérlete. Ez a funkció szinte minden rendszerszkennerben elérhető, és hiányzik a legtöbb hálózati alkalmazásból a sebezhetőségek ellenőrzésére.
Egyes szkennerek megosztják a sebezhetőséget.
Például, NetSonar rendszer felosztja azokat hálózatiakra, amelyek az útválasztókat érinthetik, tehát komolyabbakra, és helyiekre, amelyek a munkaállomásokat érintik.
Internet szkenner a fenyegetéseket három szintre osztja – alacsony, magas és közepes.
E két szkennernek van még néhány különbsége.
Segítségükkel a jelentések nemcsak létrejönnek, hanem több csoportra is oszthatók, amelyek mindegyike meghatározott felhasználóknak szól - a szervezet vezetőiig.
Sőt, az elsőnél a számok maximális számát adják ki, a kézikönyvhez - gyönyörűen megtervezett grafikonokat és diagramokat, kis részlettel.
A szkennerek által generált jelentések részeként ajánlások találhatók a talált sebezhetőségek kiküszöbölésére.
Ezen információk nagy részét a kiadott adatok tartalmazzák Internetes program Szkenner , amely lépésről lépésre ad ki egy probléma megoldására vonatkozó utasításokat, figyelembe véve a különböző operációs rendszerek jellemzőit.
A hibaelhárítási mechanizmus a lapolvasókban eltérő módon valósul meg. Tehát a System Scannerben van erre egy speciális szkript, amit a rendszergazda elindít a probléma megoldására. Ezzel párhuzamosan készül egy második algoritmus is, amely korrigálni tudja azokat a változtatásokat, amelyek akkor történtek, ha az első az egyes csomópontok működésének romlásához vagy meghibásodásához vezetett. A legtöbb más szkennerprogramban nincs mód a változtatások visszaállítására.
A biztonsági "lyukak" kereséséhez a rendszergazdát három algoritmus irányíthatja.
Az első és legnépszerűbb lehetőség– csak a hálózat esetleges sebezhetőségeinek ellenőrzése. Lehetővé teszi a rendszeradatok előnézetének megtekintését a csomópontok működésének megzavarása nélkül, és maximális elemzési sebességet biztosít.
Második lehetőség– szkennelés a sebezhetőségek ellenőrzésével és megerősítésével. A technika több időt vesz igénybe, és szoftverhibákat okozhat a hálózaton lévő számítógépeken a támadásszimulációs mechanizmus végrehajtása során.
3. számú módszer magában foglalja mindhárom mechanizmus használatát (sőt, mind az adminisztrátor, mind a felhasználó jogaival), és az egyes számítógépek sebezhetőségeinek megszüntetésére irányuló kísérletet. Alacsony sebessége és a szoftver feltörésének veszélye miatt ezt a módszert használják a legritkábban - főleg akkor, ha komoly „lyukak” vannak.
A rendszert és annak egyes csomópontjait sebezhetőség szempontjából ellenőrző szkennerprogramokkal szemben támasztott fő követelmények a következők vannak:
A legtöbb modern szkennelő program intuitív menüvel rendelkezik, és meglehetősen könnyen konfigurálható az elvégzett feladatoknak megfelelően.
Tehát szinte minden ilyen szkenner lehetővé teszi, hogy összeállítsa a vizsgált csomópontok és programok listáját, meghatározza azokat az alkalmazásokat, amelyekhez a frissítések automatikusan telepítésre kerülnek, ha a biztonsági réseket észlelik, valamint beállíthatja a vizsgálat és a jelentéskészítés gyakoriságát.
A jelentések beérkezése után a szkenner lehetővé teszi a rendszergazdának a fenyegetés-elhárítás futtatását.
A szkennerek további funkciói között megjegyezhető a forgalom megtakarításának lehetősége, amelyet úgy kapunk meg, hogy csak egy példányt töltünk le a disztribúcióból, és terjesztjük a hálózat összes számítógépére. Egy másik fontos funkció a múltbeli ellenőrzések előzményeinek mentése, amely lehetővé teszi a csomópontok működésének bizonyos időközönkénti értékelését és az új biztonsági problémák kockázatának felmérését.
A szkenner programok kínálata meglehetősen széles.
Mindegyik különbözik egymástól a funkcionalitásban, a sebezhetőségek megtalálásának hatékonyságában és az árban.
Az ilyen alkalmazások képességeinek értékeléséhez érdemes figyelembe venni az öt legnépszerűbb lehetőség jellemzőit és jellemzőit.
A GFI Software gyártót a globális információbiztonsági piac egyik vezetőjének tekintik, és termékei szerepelnek a legkényelmesebb és leghatékonyabb programok besorolásában a sebezhetőségek ellenőrzésére.
Az egyik ilyen alkalmazás, amely védi a hálózatot és az egyes számítógépeket, a GFI LanGuard, melynek jellemzői a következők:
A különbség a szkenner és a legtöbb analóg között a frissítések és javítások telepítése szinte minden operációs rendszerhez.
Ez a funkció és a GFI LanGuard egyéb előnyei a hálózati sebezhetőségeket vizsgáló szoftverek listájának élére helyezték.
Ugyanakkor a szkenner használatának költsége viszonylag alacsony, és még a kis cégek számára is megfizethető.
A Nessus program először 20 éve jelent meg, de csak 2003 óta vált fizetőssé.
A projekt bevételszerzése nem tette kevésbé népszerűvé - a munka hatékonysága és gyorsasága miatt a világon minden hatodik rendszergazda használja ezt a szkennert.
A Nessus választásának előnyei a következők:
A szkenner kiegészítő funkciója- a felhasználók által speciális szoftverrel létrehozott tesztek használatának képessége. A programnak ugyanakkor két komoly hátránya is van. Az első az egyes programok meghibásodásának lehetősége a „támadásimitációs” módszerrel végzett szkennelés során, a második pedig meglehetősen magas költség.
A Security Check egy ingyenes szkenner a Symantectől.
Funkciói közül nem csak a sebezhetőségek, hanem a vírusok – köztük a makrovírusok, trójaiak és internetes férgek – keresését is érdemes megjegyezni. Valójában az alkalmazás 2 részből áll - egy szkennerből biztonsági szkennelés, amely hálózati biztonságot és víruskereső vírusészlelést biztosít.
A program előnyei közé tartozik az egyszerű telepítés és a böngészőn keresztüli munkavégzés lehetősége. A mínuszok között meg kell jegyezni az alacsony hatékonyságot - a termék sokoldalúsága, amely lehetővé teszi a vírusok keresését is, nem nagyon alkalmas a hálózat ellenőrzésére. A legtöbb felhasználó ezt a szkennert csak további ellenőrzésekhez javasolja.
Az XSpider szkennert a Positive Technologies gyártja, amelynek képviselői azt állítják, hogy a program nemcsak a már ismert sebezhetőségeket észleli, de képes megtalálni a még létre nem hozott fenyegetéseket is.
Az alkalmazás jellemzői a következők:
Azt is érdemes megjegyezni, hogy a szkenner használati költsége kedvezőbb a Nessus programhoz képest. Bár magasabb, mint a GFI LanGuard.
A szkenner többfunkciósnak tekinthető, és lehetővé teszi, hogy részletes jelentést kapjon a sebezhetőség szintjéről, a megszüntetésük idejéről és a „fenyegetés” vállalkozásra gyakorolt hatásáról.
A termékfejlesztő Qualys, Inc. több százezer vásárlóhoz szállítja a szoftvert, köztük a világ legnagyobb vállalatainak felének.
Tekintettel a hálózat és csomópontjainak sebezhetőségek keresésére szolgáló alkalmazások széles skálájára, az adminisztrátor munkája nagyban megkönnyíti.
Most már nem kell saját kezűleg elindítania az összes szkennelési mechanizmust - csak keresse meg a megfelelő alkalmazást, válassza ki a szkennelési módot, konfigurálja és használja a kapott jelentés ajánlásait.
A megfelelő szkenner kiválasztását az alkalmazás funkcionalitása, a fenyegetések keresésének hatékonysága (amelyet a felhasználói visszajelzések határoznak meg) alapján kell kiválasztani - és ami szintén nagyon fontos, olyan áron, amely összemérhető a szoftver értékével. védve van az információ.
Biztonsági szkennerek összehasonlító elemzése. 1. rész: Behatolási teszt (rövid összefoglaló)
Alekszandr Antipov
Ez a cikk bemutatja a hálózati biztonsági szkennerek összehasonlítását a hálózat perem csomópontjaival végzett penetrációs tesztek során.
Lepikhin Vlagyimir Boriszovics
Laboratóriumvezető hálózati biztonság"Informzaschita" képzési központ
A jelentés minden anyaga az Informzaschita képzési központ szellemi tulajdonát képezi. A jelentés anyagainak bármilyen formában történő reprodukálása, közzététele vagy sokszorosítása az Informzaschita Oktatóközpont előzetes írásbeli hozzájárulása nélkül tilos.
A tanulmány teljes szövege:
http://www.itsecurity.ru/news/reliase/2008/12_22_08.htm
Hálózati szkennerek a biztonság a lehető legjobban alkalmas az összehasonlításra. Mindegyik nagyon különböző. És a feladatok sajátosságai miatt, amelyekre szánják, és a "kettős" céljuk miatt (a hálózati biztonsági szkennerek mind védelemre, mind "támadásra" használhatók, és a hackelés, mint tudod, kreatív feladat) , végül azért is, mert minden ilyen eszköz mögött a „hacker” (a szó eredeti értelmében) gondolatának menekülése áll az alkotójáról.
Az összehasonlítás feltételeinek megválasztásánál a „feladatalapú” megközelítést vettük alapul, így az eredmények alapján megítélhető, hogy ez vagy az az eszköz mennyire alkalmas a neki rendelt feladat megoldására. Például hálózati biztonsági szkennerek használhatók:
Ez a cikk bemutatja a hálózati biztonsági szkennerek összehasonlítását a hálózat perem csomópontjaival végzett penetrációs tesztek során. A következőket értékelték:
A felsorolt kritériumok együttesen jellemzik a szkenner „alkalmasságát” a rá rendelt feladat megoldására, in ez az eset a rutin műveletek automatizálása a hálózati kerület biztonságának felügyelete során.
Az összehasonlítás megkezdése előtt a portál felmérést végzett, melynek célja az volt, hogy adatokat gyűjtsön a használt szkennerekről és azokról a feladatokról, amelyekre használják őket.
A felmérésben mintegy 500 válaszadó (portállátogató) vett részt.
Amikor a szervezetükben használt biztonsági szkennerekről kérdezték, a válaszadók túlnyomó többsége azt mondta, hogy legalább egy biztonsági szkennert használ (70%). Azokban a szervezetekben azonban, amelyek gyakorlat rendszeres használat biztonsági szkennereket, hogy elemezze saját biztonságát információs rendszerek egy adott osztályból egynél több terméket szeretne használni. A válaszadók 49%-a azt válaszolta, hogy szervezetük kettő vagy több biztonsági szkennert használ (1. ábra).
1 . A válaszadó szervezetek megoszlása a használt biztonsági szkennerek száma szerint
Egynél több biztonsági szkenner használatának oka az, hogy a szervezetek bizalmatlanok az egy "szállító" megoldásaival szemben (61%), valamint olyan esetekben is, amikor speciális ellenőrzésekre van szükség (39%), amelyeket integrált biztonsági szkenner nem tud végrehajtani. (2. ábra).
2. Egynél több biztonsági szkenner használatának okai a megkérdezett válaszadók szervezeteiben
Arra a kérdésre válaszolva, hogy milyen célokra használják a speciális biztonsági szkennereket, a válaszadók többsége azt válaszolta, hogy kiegészítő eszközként használják a webes alkalmazások biztonságának elemzéséhez (68%). A második helyen a speciális DBMS biztonsági szkennerek (30%), a harmadik helyen (2%) az információs rendszerek biztonságának elemzésére szolgáló speciális feladatok megoldására szolgáló saját fejlesztésű segédprogramok (3. ábra) szerepeltek.
3. A speciális biztonsági szkennerek használatának céljai a megkérdezett válaszadók szervezeteiben
A biztonsági szkennerekkel kapcsolatos végtermékekkel kapcsolatos válaszadói felmérés eredménye (4. ábra) azt mutatta, hogy a legtöbb szervezet a Positive Technologies XSpider (31%) és a Nessus Security Scanner (17%) használatát részesíti előnyben.
Rizs. 4. Biztonsági szkennert használt a megkérdezett válaszadók szervezeteiben
Az 1. táblázatban bemutatott szkennereket választottuk ki a tesztekben való részvételre.
1. táblázat: Az összehasonlításban használt hálózati biztonsági szkennerek
Név |
Változat |
|
http://www.nessus.org/download |
||
Max Patrol |
8.0 (1178-as build) |
http://www.ptsecurity.ru/maxpatrol.asp |
Internet szkenner |
http://www-935.ibm.com/services/us/index.wss/offering/iss/a1027208 |
|
retinaHálózati biztonsági szkenner |
http://www.eeye.com/html/products/retina/index.html |
|
Shadow Security Scanner (SSS) |
7.141 (262-es build) |
http://www.safety-lab.com/en/products/securityscanner.htm |
NetClarity Auditor |
http://netclarity.com/branch-nacwall.html |
Tehát az első teszt arra a feladatra összpontosít, hogy értékelje a rendszerek biztonságát a hackeléssel szembeni ellenállás szempontjából.
A fennmaradó csomópontok eredményeit hasonló módon számítottuk ki. Az eredmények kiszámítása után a következő táblázatot kaptuk (2. táblázat).
2. táblázat: Az összes beolvasott objektum végeredménye
Index |
Internet szkenner |
Shadow Security Scanner |
NetClarity |
|||
Szolgáltatások és alkalmazások azonosítása, pontok |
||||||
Sebezhetőségek találtak, összesen |
||||||
Ebből hamis pozitív |
||||||
Helyesen találták |
||||||
Pass |
||||||
Ezek közül az adatbázisból való hiány miatt |
||||||
Ebből a hitelesítés szükségessége okozza |
||||||
Más okokból |
A szolgáltatások és alkalmazások definíciójának eredménye szerint a pontokat egyszerűen összesítettük, míg egy szolgáltatás vagy alkalmazás hibás definíciójáért egy pontot levontunk (5. ábra).
Rizs. 5. A szolgáltatások és alkalmazások azonosításának eredményei
A legmagasabb pontszámot (108) a MaxPatrol szkenner érte el, valamivel kevesebbet (98) a Nessus szkenner. Valójában ebben a két szkennerben a szolgáltatások és alkalmazások azonosítására szolgáló eljárás nagyon jól van megvalósítva. Ez az eredmény egészen elvárhatónak nevezhető.
A következő eredmény az Internet Scanner és a NetClarity szkennerekre vonatkozik. Itt említhetjük meg, hogy például az Internet Scanner a szabványos portok alkalmazására helyezi a hangsúlyt, ez nagyban magyarázza alacsony eredményét. Végül a NetClarity szkenner teljesítménye a legrosszabb. Jóllehet jól azonosítja a szolgáltatásokat (végül is a Nessus 2.x kernelen alapul), összességében gyenge eredménye azzal magyarázható, hogy nem azonosított minden nyitott portot.
ábrán. A 6. ábra az összes szkenner által talált biztonsági rések teljes számát és a hamis pozitív eredmények számát mutatja. A legnagyobb számú sebezhetőséget a MaxPatrol szkenner találta. A második (bár már jelentős különbséggel) ismét Nessus volt.
A hamis pozitívumok számában a Shadow Security Scanner volt a vezető. Ez elvileg érthető is, az éppen ellenőrzéséhez kapcsolódó hibák példáit fentebb közöltük.
Rizs. 6. Sebezhetőséget és téves pozitív eredményeket talált
Összesen 225 sebezhetőséget talált az összes szkenner mind a 16 csomóponton (ezt később manuális ellenőrzés is megerősítette). Az eredményeket az ábrán látható módon osztották el. 7. A legnagyobb számú sebezhetőséget - 225-ből 155-öt - a MaxPatrol szkenner észlelte. A második a Nessus szkenner volt (az eredménye majdnem kétszer rosszabb). Az Internet Scanner következik, majd a NetClarity.
Az összehasonlítás során elemezték a hiányzó sérülékenységek okait, és különválasztották azokat, amelyek az adatbázisban történő ellenőrzések hiánya miatt történtek. A következő diagram (8. ábra) bemutatja annak okait, hogy a lapolvasók kihagyják a sebezhetőségeket.
Rizs. 7. Sebezhetőségeket és hiányosságokat talált
Rizs. 8. A sérülékenységek hiányának okai
Most néhány mutató a számításokból.
ábrán. A 39. ábra az álpozitívek számának és a talált sebezhetőségek teljes számának arányát mutatja, bizonyos értelemben ezt a mutatót nevezhetjük a szkenner pontosságának. Végül is a felhasználó mindenekelőtt a szkenner által talált sebezhetőségek listájával foglalkozik, amelyből ki kell választani a találtakat.
Rizs. 9. A szkennerek pontossága
Ebből a diagramból látható, hogy a legnagyobb pontosságot (95%) a MaxPatrol szkenner érte el. Bár a hamis pozitívumok száma nem a legalacsonyabb, ezt a pontossági arányt a nagyszámú talált sebezhetőség miatt sikerült elérni. Az Internet Scanner a következő az észlelési pontosság tekintetében. Ez mutatta a legkevesebb téves pozitív eredményt. Az SSS szkennernek van a legalacsonyabb eredménye, ami ezt figyelembe véve nem meglepő nagy számban az összehasonlítás során észlelt hamis pozitív eredmények.
Egy másik számított mutató az alap teljessége (10. ábra). Kiszámítása a helyesen talált sebezhetőségek számának az összes sérülékenységhez viszonyított aránya (jelen esetben 225), és a „kihagyások” skáláját jellemzi.
Rizs. 10. Az alap teljessége
Ez a diagram azt mutatja, hogy a MaxPatrol szkenner alapja a legmegfelelőbb a feladathoz.
Az összehasonlítás összes kritériuma szerint az első helyen a MaxPatrol szkenner áll, a második helyen a Nessus szkenner áll, a többi szkenner eredménye lényegesen alacsonyabb.
Itt érdemes felidézni az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete (NIST) által készített egyik dokumentumot, nevezetesen a „Guideline on Network Security Testing” című dokumentumot. Azt mondja, hogy a biztonság ellenőrzése során számítógépes rendszerek legalább két biztonsági szkenner használata javasolt.
A kapott eredményben valójában nincs semmi váratlan és meglepő. Nem titok, hogy az XSpider (MaxPatrol) és a Nessus szkennerek népszerűek a biztonsági szakemberek és a crackerek körében egyaránt. Ezt a felmérés fenti eredményei is megerősítik. Próbáljuk meg elemezni a MaxPatrol egyértelmű vezetésének okait (ez részben a Nessus szkennerre is vonatkozik), valamint más szkennerek „elvesztésének” okait. Mindenekelőtt a szolgáltatások és alkalmazások minőségi azonosítása. A következtetésen alapuló ellenőrzések (amelyekből ebben az esetben jó néhányat használtak) nagymértékben függenek az információgyűjtés pontosságától. A szolgáltatások és alkalmazások azonosítása pedig a MaxPatrol szkennerben szinte tökéletes. Íme egy beszédes példa.
A MaxPatrol sikerének második oka az adatbázis teljessége és a feladatnak és általában a „mai” megfelelősége. Az eredmények alapján észrevehető, hogy a MaxPatrol ellenőrzési bázisa jelentősen bővült, részletezett, „rendbe lépett”, míg a webes alkalmazások felé nyilvánvaló „billentést” kompenzál az ellenőrzések bővülése más területeken, pl. Például az összehasonlításban bemutatott útválasztó vizsgálati eredményei lenyűgözőek voltak a Cisco számára.
A harmadik ok az alkalmazásverziók kvalitatív elemzése, figyelembe véve az operációs rendszereket, a disztribúciókat és a különféle „ágakat”. Különböző források használatát is hozzáadhatja (sebezhetőségi adatbázisok, értesítések és szállítói közlemények).
Végül azt is hozzátehetjük, hogy a MaxPatrol egy nagyon kényelmes és logikus felülettel rendelkezik, amely tükrözi a hálózati biztonsági szkennerek működésének főbb szakaszait. És ez fontos. A „csomópont, szolgáltatás, sebezhetőség” hivatkozás nagyon kényelmes az észleléshez (a szerk. megjegyzése, ez az összehasonlítás szerzőjének szubjektív véleménye). És főleg erre a feladatra.
Most a hiányosságokról és a "gyenge" helyekről. Mivel a MaxPatrol bizonyult az összehasonlítás élére, így a kritika „maximális” lesz.
Először is, az úgynevezett "elvesztés a részletekben". Nagyon jó minőségű motor esetén fontos, hogy megfelelő kiegészítő szolgáltatást kínáljunk, például kényelmes eszközkészletet, amely lehetővé teszi, hogy kézzel végezzen valamit, sebezhetőség-kereső eszközöket és a rendszer finomhangolását. A MaxPatrol folytatja az XSpider hagyományát, és amennyire csak lehetséges, a "kattintott és megkeresett" ideológiájára összpontosít. Ez egyrészt nem rossz, másrészt behatárolja az „apróságos” elemzőt.
Másodszor, néhány szolgáltatás „fedetlen” maradt (ezt az összehasonlítás eredményei alapján ítélheti meg), például az IKE (500-as port).
Harmadszor, bizonyos esetekben nincs elég elemi összehasonlítása két ellenőrzés eredményeinek egymással, például, mint az SSH-nál fentebb leírtak esetében. Vagyis több ellenőrzés eredménye alapján nincs következtetés. Például a host4 operációs rendszere Windows, míg a PPTP szolgáltatás "szállítója" Linux kategóriába került. Tudsz következtetéseket levonni? Például az operációs rendszer definíciós területén lévő jelentésben jelezze, hogy ez egy „hibrid” csomópont.
Negyedszer, a csekk leírása sok kívánnivalót hagy maga után. De itt meg kell érteni, hogy a MaxPatrol egyenlőtlen körülmények között van a többi szkennerrel: az összes leírás kiváló minőségű orosz nyelvű fordítása nagyon időigényes feladat.
A Nessus szkenner általában jó eredményeket mutatott, és néhány pillanatban pontosabb volt, mint a MaxPatrol szkenner. fő ok A Nessus lagok a sebezhetőségek hiányai, de nem az adatbázis ellenőrzésének hiánya miatt, mint a legtöbb más szkennernél, hanem a megvalósítási jellemzők miatt. Először is (és ez az oka a hiányosságok jelentős részének), a Nessus szkenner hajlamos a „helyi” ill. rendszerellenőrzések, amelyek magukban foglalják a fiókhoz való kapcsolódást. Másodszor, a Nessus szkenner kevesebb információforrást vesz figyelembe (a MaxPatrolhoz képest) a sebezhetőségekről. Némileg hasonlít az SSS szkennerhez, amely leginkább a SecurityFocuson alapul.
Az összehasonlítás során a szkennerek képességeit egyetlen feladat keretében tanulmányozták – a hálózati kerületi csomópontok feltörésekkel szembeni ellenálló képességét vizsgálva. Például, ha levonunk egy autós hasonlatot, láttuk, hogyan viselkednek a különböző autók mondjuk csúszós úton. Vannak azonban más feladatok is, amelyek megoldása ugyanazokkal a szkennerekkel teljesen másképp nézhet ki. A közeljövőben a szkennerek összehasonlítását tervezik olyan problémák megoldása során, mint:
Emellett a szkennerek formai kritériumok szerinti összehasonlítását tervezik.
Az összehasonlítás során csak magát a "motort" tesztelték, vagy modern szóhasználattal a szkenner "agyát". A kiegészítő szolgáltatások (jelentések, a vizsgálat előrehaladásáról szóló információk rögzítése stb.) lehetőségeit semmilyen módon nem értékelték vagy hasonlították össze.
Nem értékelték továbbá a veszély mértékét és a talált sebezhetőségek kihasználásának lehetőségét. Egyes szkennerek „kisebb” alacsony súlyosságú sebezhetőségekre korlátozódtak, míg mások valóban kritikus sérülékenységeket tártak fel, amelyek lehetővé teszik a rendszerhez való hozzáférést.
A biztonsági szkenner egy olyan szoftvereszköz, amely különféle hálózati elemek távoli vagy helyi diagnosztikájára szolgál, hogy azonosítsa a bennük lévő különféle sérülékenységeket. Az ilyen rendszerek fő felhasználói a szakemberek: rendszergazdák, biztonsági szakemberek stb. A hétköznapi felhasználók is használhatnak biztonsági szkennereket, de az ilyen programok által szolgáltatott információk általában specifikusak, ami korlátozza annak lehetőségét, hogy egy képzetlen személy is használja. A biztonsági szkennerek megkönnyítik a szakemberek munkáját azáltal, hogy csökkentik a sebezhetőségek keresésével töltött teljes időt.
Összehasonlításképpen öt különböző szkennert választottak ki különböző árkategóriaés különböző opciókkal: ISS Internet Scanner, XSpider, LanGuard, ShadowSecurityScanner, X-scan.
A hasonló rendszerek összehasonlításához nem elég csak futtatni őket. Az állítólag ellenőrzött sebezhetőségek száma vagy azok beállításai, valamint a program mérete vagy annak mérete kinézet nem lehet kritérium egy adott szkenner minőségének és funkcionalitásának értékeléséhez. Ezért a különböző biztonsági szkennerek működéséről teljes kép kialakítása érdekében úgy döntöttek, hogy lefolytatják azokat összehasonlító teszt a nagy bankok és pénzintézetek által általánosan használt hét különböző operációs rendszer sebezhetőségeinek azonosítására: AS/400, Solaris 2.5.1, Compaq/Tandem himalaya K2006 (OS D35), Windows 2000 Server, Windows XP Professional, Linux RedHat 5.2, Bay Networks router.
A tesztelt szkennerek verziói (a tesztelés időpontjában elérhető legújabb):
Mindegyik szkenner tesztelését kétszer végezték el, ezzel kiküszöbölve a nem kívántakat lehetséges hibákat például egy ideiglenes hálózati problémával. Az összes beérkezett adatot egy táblázatba helyezték el, amely egyértelműen mutatja, hogy egyik vagy másik szkenner milyen sérülékenységet talált. sárga színben mérsékelt sérülékenységeket jeleznek, amelyek bizonyos körülmények között komoly veszteségekhez vezethetnek, a piros pedig olyan súlyos sebezhetőséget jelent, amely nemcsak komoly veszteségekhez, hanem a rendszer teljes tönkretételéhez is vezethet. A táblázat után a szkennerek értékelése következik a szkennelési eredmények kiszámításával.
A talált sebezhetőségek táblázata:
| ISS | XSpider | LanGuard | SSS | XF | |
| AS/400 | |||||
| Összes talált port | 16 | 25 | 6 | 15 | 8 |
| 21/tcp:ftp | x | x | x | x | |
| x | x | x | |||
| 23/tcp: telnet | x | x | x | x | x |
| 25/tcp:smtp | x | x | x | x | x |
| 80/tcp:httpd IBM-HTTP-SZERVER/1.0 |
x | x | x | x | x |
| 81/tcp:httpd IBM-HTTP-SZERVER/1.0 |
x | ||||
| 80/tcp: httpd - szkriptek megtekintése | x | ||||
| 139/tcp:netbios | x | x | x | x | x |
| 449/tcp: as-servermap - a porttérkép megtekintése | x | ||||
| 2001/tcp: httpd IBM-HTTP-SZERVER/1.0 |
x | x | |||
| 2001/tcp: httpd - szkriptek megtekintése | x | ||||
| 9090/tcp: httpd JavaWebServer/1.1 |
x | x | |||
| 9090/tcp: httpd - rendszerkönyvtárak | x | ||||
| 500/udp:isakmp | x | ||||
| icmp időbélyeg | x | ||||
| Solaris 2.5.1 | ISS | XSpider | LanGuard | SSS | XF |
| Összes talált port | 18 | 47 | 13 | 27 | 9 |
| 7/tcp:echo | x | x | x | x | |
| 7/udp:echo | x | x | |||
| 9/tcp: eldobni | x | x | x | x | |
| 13/tcp:nappal | x | x | x | x | x |
| 13/udp:nappal | x | x | |||
| 19/tcp:chargen | x | x | x | x | |
| 19/udp:chargen | x | x | x | ||
| 21/tcp:ftp | x | x | x | x | x |
| 21/tcp: ftp - jelszó brute force | x | x | x | ||
| 23/tcp: telnet | x | x | x | x | x |
| 25/tcp:smtp | x | x | x | x | x |
| x | x | ||||
| 37/tcp:idő | x | x | x | x | |
| 53/udp:dns | x | ||||
| 53 /udp:dns - a szerver támogatja a rekurziót | x | ||||
| 162/tcp:snmptrap | x | x | x | ||
| 161/udp:snmp | x | x | |||
| 161/udp: snmp - bármely közösség hozzáférése | x | ||||
| 161/udp:snmp - Interfész beszerzése | x | ||||
| 161/udp: snmp - Útvonalak lekérése | x | ||||
| 512/tcp:exec | x | x | x | x | |
| 513/tcp:bejelentkezés | x | x | x | x | |
| 514/tcp: shell | x | x | x | x | |
| 515/tcp: nyomtató | x | x | x | x | |
| x | |||||
| 540/tcp:uucp | x | x | x | x | |
| 2049/tcp:nfsd | x | x | x | x | |
| 4045/tcp: nfsd - azonosítás | x | ||||
| 6000/tcp: X | x | x | x | ||
| 6790/tcp: httpd Jigsaw/1.0a |
x | ||||
| 10000/tcp: httpd MiniServ/0.01 |
x | x | |||
| 32771 / tcp: állapot - azonosítás | x | ||||
| 32772/tcp: rusersd - azonosítás | x | ||||
| 32773 /tcp: ttdbserverd - root jogosultságok azonosítása és megszerzése | x | ||||
| 32774 /tcp: kcms_server – hitelesítés | x | ||||
| 32780/tcp: mountd - az erőforrások azonosítása és listájának lekérése | x | ||||
| 32781 / tcp: bootparam - azonosítás | x | ||||
| 65363/tcp:RPC | x | ||||
| icmp időbélyeg | x | ||||
| Hamis pozitívumok | |||||
| 32771 /tcp: állapot - root jogosultságok megszerzése | x | ||||
| Ujj - puffer túlcsordulás | x | ||||
| x | |||||
| Compaq/Tandem himalaya K2006 (OS D35) |
ISS | XSpider | LanGuard | SSS | XF |
| Összes talált port | 4 | 5 | 3 | 5 | 4 |
| 7/tcp:echo | x | x | x | x | |
| 21/tcp:ftp | x | x | x | x | x |
| 23/tcp: telnet | x | x | x | x | x |
| 23/tcp: telnet - csak jelszóval történő bejelentkezés | x | ||||
| 79/tcp:ujj | x | x | x | x | x |
| icmp hálózati maszk | x | ||||
| icmp időbélyeg | x | ||||
| Windows 2000 Server | ISS | XSpider | LanGuard | SSS | XF |
| Összes talált port | 9 | 9 | 7 | 7 | 8 |
| 21/tcp:ftp | x | x | x | x | x |
| x | |||||
| 21/tcp: ftp - névtelen bejelentkezés | x | x | x | x | x |
| 21/tcp: ftp - jelszó brute force | x | x | x | ||
| 21/tcp: ftp - írási jogosultsággal rendelkezik | x | x | |||
| 21/tcp: ftp - statisztikákat tud gyűjteni | x | x | |||
| 80/tcp:httpd MS IIS/5.0 |
x | x | x | x | x |
| 80/tcp: httpd - puffer túlcsordulás | x | ||||
| 135/tcp: Rpc | x | x | x | x | x |
| 500/udp:isakmp | x | ||||
| 1027 /tcp: sqlserver.exe - azonosítás | x | ||||
| 1433/tcp: Ms SQL | x | x | x | x | |
| 3389/tcp: RDP asszony | x | x | x | x | |
| icmp időbélyeg | x | ||||
| Hamis pozitívumok | |||||
| 1433/tcp: MsSQL – adminisztrációs munkamenet elfogása | x | ||||
| Windows XP Professional | ISS | XSpider | LanGuard | SSS | XF |
| Összes talált port | 20 | 15 | 4 | 11 | 8 |
| 7/tcp:echo | x | x | x | x | |
| 7/udp:echo | x | x | |||
| 9/tcp: eldobni | x | x | x | x | |
| 9/udp:eldob | x | ||||
| 13/tcp:nappal | x | x | x | x | x |
| 13/udp:nappal | x | x | |||
| 17/tcp:qotd | x | x | x | x | |
| 17/udp:qotd | x | x | |||
| 19/tcp:chargen | x | x | x | x | |
| 19/udp:chargen | x | x | |||
| 135/tcp: Rpc | x | x | x | x | x |
| 139/tcp: NetBios | x | x | x | x | x |
| 139/tcp: NetBios - info | x | ||||
| 445/tcp: MS Ds | x | x | x | x | x |
| 500/udp:isakmp | x | ||||
| 540/udp:router | x | ||||
| 1025/tcp: Rpc | x | x | x | ||
| IcqClient | x | ||||
| 1900/udp: upnp - puffer túlcsordulás | x | ||||
| 123/udp:ntp | x | x | |||
| 5000/tcp: httpd | x | x | |||
| icmp időbélyeg | x | ||||
| Hamis pozitívumok | |||||
| 19/tcp:chargen - lehetséges DOS támadás | x | x | |||
| Linux RedHat 5.2 | ISS | XSpider | LanGuard | SSS | XF |
| Összes talált port | 14 | 14 | 12 | 12 | 10 |
| 21/tcp:ftp | x | x | x | x | x |
| 21/tcp: ftp - puffer túlcsordulás | x | x | x | ||
| 21/tcp: ftp - alapértelmezett fiók teljes hozzáféréssel | x | x | |||
| 23/tcp: telnet | x | x | x | x | x |
| 23/tcp: telnet - alapértelmezett fiók teljes hozzáféréssel | x | ||||
| 25/tcp:smtp | x | x | x | x | x |
| 25/tcp: smtp - jogosulatlan levélküldés | x | ||||
| 25/tcp: smtp - helyi socket rögzítés | x | x | |||
| 53/tcp:dns | x | x | x | x | |
| 53/tcp:dns – kötési verzió észlelése | x | x | |||
| 110/tcp:httpd | x | x | |||
| 139/tcp: NetBios | x | x | x | x | |
| 139/tcp: NetBios - információszerzés | x | ||||
| 513/tcp:bejelentkezés | x | x | x | ||
| 513/udp: rwhod | x | x | x | ||
| 514/tcp: shell | x | x | x | ||
| 515/tcp: nyomtató | x | x | x | ||
| 2049/tcp:nfsd | x | x | x | ||
| 7000/tcp: httpd Konferenciaterem/IRC |
x | x | x | ||
| 8080/tcp: httpd Apache/1.3.3 (Unix) (Red Hat/Linux) |
x | x | x | x | |
| 8080/tcp: httpd – könyvtárlista | x | x | |||
| 54321/tcp: httpd Konferenciaterem/IRC |
x | x | |||
| icmp időbélyeg | x | ||||
| Hamis pozitívumok | |||||
| 513/udp: rwhod - puffer túlcsordulás | x | ||||
| 515/tcp: nyomtató - puffer túlcsordulás | x | ||||
| Bay Networks router | ISS | XSpider | LanGuard | SSS | XF |
| Összes talált port | 3 | 3 | 2 | 2 | 3 |
| 7/udp:echo | x | x | |||
| 21/tcp:ftp | x | x | x | x | x |
| 23/tcp: telnet | x | x | x | x | x |
| Hamis pozitívumok | |||||
| 9/udp:eldob | x | ||||
| 21/tcp: ftp - puffer túlcsordulás | x | ||||
| 69/udp:tftp | x | ||||
| 123/udp:ntp | x | ||||
| 161/udp:snmp | x | ||||
| 520/udp: irányítva | x | ||||
| Land DOS | x | ||||
Az eredmények megértése és a következtetések levonására a következő pontozási rendszert javasoljuk, amely többé-kevésbé optimális (más lehetőségek is lehetségesek, de mindegyik hasonló): minden egyes talált sebezhetőségért bizonyos számú pontot kapunk. a sérülékenység veszélyének mértékétől függően hozzáadódik, és fordítva, hamis sebezhetőség kibocsátása esetén pontokat vonunk le:
Döntő táblázat:
| ISS | XSpider | LanGuard | SSS | X-scan | |
| AS/400 | 9 | 14 | 6 | 9 | 7 |
| Solaris 2.5.1 | 26 | 39-(3) | 11-(2) | 23-(2) | 11 |
| Compaq/Tandem himalaya K2006 (OS D35) | 9 | 5 | 4 | 5 | 5 |
| Windows 2000 Server | 9 | 16-(2) | 6 | 8 | 7 |
| Windows XP Professional | 19-(2) | 18 | 5 | 10-(2) | 7 |
| Linux RedHat 5.2 | 24-(3) | 24-(2) | 7 | 21 | 12 |
| Bay Networks router | 4-(8) | 4 | 3 | 3 | 3 |
| 100-(13) | 120-(7) | 42-(2) | 79-(4) | 52 | |
| Teljes | 87 | 113 | 40 | 75 | 52 |
Mi az eredmény?
Az ISS Internet Scanner nem igényel leírást. Mint mindig, magas szinten mutatta meg magát, bár ezúttal elvesztette a pálmát az XSpider ellen.
Az XSpider bizonyult vitathatatlan vezetőnek, messze megelőzve versenytársait, különösen a Windows és a Solaris biztonsági rései után kutatva, ami kis mérete és ingyenes terjesztése miatt különösen szép. Van egy nagy mínusz: nagyon kevés információ jelenik meg a sérülékenységek listájának kiadásakor, ami a programot használó szakember magas szintű tudását és professzionalizmusát jelenti.
A LanGuardot aligha nevezhetjük biztonsági szkennernek. Nagyon jól működik a NetBios-szal, felsorolja az erőforrásokat, szolgáltatásokat és felhasználókat. Ez a képesség nagyban megkülönbözteti a szkennert a többitől, de ez csak ez. Itt ér véget a LanGuard előnyei.
A ShadowSecurityScanner gyakorlatilag nem maradt el az ISS mögött. És ez akkora árkülönbséggel van így. A program egy Retina szkennerhez hasonló egyszerű felülettel rendelkezik. A sebezhetőségek kijavítására vonatkozó részletes tippek és trükkök megkönnyítik a problémák kezelését. Hátrányok: kevés felismert sebezhetőség, sokkal nagyobb rendszer-erőforrás-fogyasztás munka közben, mint más szkennereknél.
Az X-Scan egy ingyenes szkenner, amely hasonló a LanGuard-hoz, de némileg jobb. Hátrányok: a program nem túl olvasható felülete, a talált sebezhetőségekkel kapcsolatos megjegyzések hiánya.
A szakterület egyik legfontosabb kérdése információs technológiák a biztonság. Tudta, hogy a tesztelt alkalmazások 96%-a sebezhető?
Az alábbiakban a Cenzic diagramja mutatja be a talált különféle típusú sebezhetőségeket.
Ebben a cikkben azokról az ingyenes eszközökről fogok beszélni, amelyek lehetővé teszik a webhelyek biztonsági rések és rosszindulatú programok keresését.
A figyelembe vett eszközök listája:
A ScanMyServer az egyik legátfogóbb jelentést nyújtja a biztonsági tesztekről: SQL-befecskendezés, webhelyek közötti szkriptelés, PHP-kód beillesztés, forrásfeltárás, HTTP-fejléc beállítása és még sok más.
Az ellenőrző jelentést e-mailben küldi el rövid leírás sebezhetőséget talált.
A SUCURI a legnépszerűbb ingyenes kártevő-ellenőrző. Gyorsan tesztelheti az oldalt rosszindulatú kódok, SPAM-befecskendezések és különféle feketelisták jelenlétére.
A SUCURI emellett megtisztítja és megvédi a webhelyet az online fenyegetésektől. Az eszköz bármely CMS-en működik, beleértve a WordPress, Joomla, Magento, Drupal, phpBB stb.
Az SSL Labs az egyik népszerű SSL webszerver-ellenőrző eszköz. Mélyreható elemzést biztosít a https URL-ről, az általános értékelésről, a titkosításról, az SSL/TLS verzióról, a kézfogás-szimulációról, a protokollinformációkról, a BEAST-ről és egyebekről.
A FreeScan ellenőrzi a webhelyeket az OWASP legfontosabb kockázataira, a rosszindulatú programokra, az SCP biztonsági beállításokra és egyéb tesztekre. A szkennelés végrehajtásához ingyenes fiókot kell regisztrálnia.
A Quttera ellenőrzi az oldalt rosszindulatú programok és sebezhetőségek szempontjából.
Ez az eszköz keresi a webhelyet rosszindulatú fájlok, gyanús fájlok, potenciálisan gyanús fájlok, phishTank, valamint a biztonságos böngészési listákon (Google, Yandex) és a rosszindulatú programok listáján.
A Detectify egy SaaS-alapú webhelyrobot. Több mint 100 automatizált biztonsági teszt futtatását teszi lehetővé, beleértve az OWASP Top 10-et, a rosszindulatú programokat és még sok mást.
A Detectify 21 napos ingyenes próbaverziót biztosít.
A SiteGuarding segítségével ellenőrizheti, hogy egy domain rosszindulatú programokat, feketelistát, spam-befecskendezést és egyebeket tartalmaz-e.
A szkenner kompatibilis a WordPress, a Joomla, a Drupal, a Magento, az osCommerce, a Bulletin és még sok más alkalmazással.
A SiteGuarding emellett segít eltávolítani a rosszindulatú programokat a webhelyről.
A Web Inspector átvizsgálja a webhelyet, és jelentéseket készít – „feketelista”, „adathalászat”, „rosszindulatú programok”, „férgek”, „hátsó ajtók”, „trójaiak”, „gyanús keretek”, „gyanús kapcsolatok”.
Az Acunetix több mint 500 különböző sebezhetőséget keres a teljes webhelyen.
Az eszköz ingyenes próbaverzió 14 napig.
Az AsafaWeb nyomkövetési szkennelést, felhasználói hibákat, veremkövetést, Hash DoS javítást, EMLAH naplót, csak HTTP cookie-kat, biztonságos cookie-kat, Clickjacking-et és még sok mást kínál.
A Netsparker Cloud egy vállalati webalkalmazás-biztonsági szkenner, amely 25 felett képes észlelni kritikus sérülékenységek. A nyílt forráskódú projektekhez ingyenes. Kérheti az eszköz próbaverzióját is.
Az UpGuard Web Scan egy külső kockázatelemző eszköz, amely nyilvánosan elérhető információkat használ különféle tényezőkről, beleértve az SSL-t, a Clickjack-támadásokat, a cookie-kat, a DNSSEC-et, a fejlécet stb. Még béta állapotban van, de érdemes kipróbálni.
A Tinfoil Security először 10 OWASP sebezhetőséget, majd más ismert fenyegetéseket keres a webhelyen. Végül kap egy tevékenységi jelentést, és a szükséges javítások elvégzése után újra feltérképezheti a webhelyet.
A teljes beállítás körülbelül 5 percet vesz igénybe. Egy webhelyet akkor is feltérképezhet, ha az biztonságos, vagy regisztráció szükséges a belépéshez.
Mindegyik ][ csapatnak megvannak a saját preferenciái a szoftverrel és a segédprogramokkal kapcsolatban
pentest. Konzultáció után megtudtuk: annyira változó a választék, hogy meg lehet tenni
egy igazi úriember bevált programkészlet. Ez alapján döntöttek. Nak nek
hogy ne csináljunk egy kombinált hobbit, a teljes listát témákra osztottuk. Ma érintjük
minden pentester szentélye – sebezhetőségi szkenner.
Weboldal:
www.nessus.org/plugins/index.php
Terjesztés: Ingyenes/Shareware
Platform: Win/*nix/Mac
Ha valaki nem próbálta Nessus akkor legalább hallott róla.
Az egyik leghíresebb biztonsági szkennernek gazdag története van: a létezés
ha egyszer nyílt projekt, a program már nem terjeszthető nyílt formában
források. Szerencsére megmarad az ingyenes verzió, ami eredetileg is volt
súlyosan megfosztották a sebezhetőségeket és az új bővítményeket tartalmazó adatbázis frissítéseihez való hozzáféréstől,
de később a fejlesztők megsajnálták és csak a frissítések gyakoriságában korlátozták.
Beépülő modulok - legfontosabb jellemzője alkalmazás architektúra: bármilyen teszt bekapcsolva
behatolás nincs szorosan bevarrva a programba, hanem a formába készül
csatlakoztat. A kiegészítőket 42 terjeszti különféle típusok: nak nek
pentesztet hajt végre, aktiválhatja az egyes bővítményeket és az összes beépülő modult is
egy bizonyos típusú - például az összes helyi ellenőrzés elvégzéséhez
Ubuntu rendszer. És senki sem korlátozza a saját tesztek megírásában.
a penetrációról: ehhez a Nessusban egy speciális szkriptnyelvet implementáltak
- NASL (Nessus Attack szkriptnyelv), amelyet később
egyéb közműveket kölcsönzött.
A fejlesztők az elválasztással még nagyobb rugalmasságot értek el szerver rész scanner,
minden művelet végrehajtása az ügyfélprogramból, ami nem
több mint GUI. A legújabb, 4.2-es verziójú démon a 8834-es porton
megnyitja a webszervert; ezzel egy kényelmes felületen keresztül vezérelheti a szkennert
Flash "e, csak egy böngészővel. A szkenner telepítése után a szerver elindul
automatikusan, amint megadja az aktiváló kulcsot: megteheti
kérje a honlapon Nessus. Igaz, a bejárati és helyi,
és távoli, először létre kell hoznia egy felhasználót: Windows rendszerben ezt
két egérkattintással elvégezhető a Nesus Server Manager grafikus felhasználói felületén, a sajátjával
segítségével elindíthatja és leállíthatja a szervert.
Minden penetrációs teszt az úgynevezett szabályzatok létrehozásával kezdődik -
szabályok, amelyeket a szkenner be kell tartania a szkennelés során. Itt és
a portkeresés típusai vannak kiválasztva (TCP Scan, UDP Scan, Syn Scan stb.),
az egyidejű kapcsolatok száma, valamint tipikusan tisztán Nessus
opciók, mint például a Biztonságos ellenőrzések. Ez utóbbi magában foglalja a biztonságos szkennelést,
deaktiválja azokat a bővítményeket, amelyek károsíthatják a vizsgált rendszert. Fontos lépés
szabályok létrehozásában - ez a szükséges bővítmények összekapcsolása: aktiválhatja az egészet
csoportok, mondjuk Default Unix Accounts, DNS, CISCO, Slackware Local Security
Csekk, Windows stb. A lehetséges támadások és ellenőrzések választéka óriási! megkülönböztető
A Nessus funkciója az intelligens bővítmények. A szkenner soha nem fogja csak a szolgáltatást vizsgálni
portszáma alapján. Mondjuk úgy, hogy a webszervert a szabványos 80-as portról elmozdítjuk
1234-én nem lehet megtéveszteni Nessust – ezt ő határozza meg. Ha az FTP szerver
letiltotta az anonim felhasználót, és egyes bővítmények ezt használják az ellenőrzésre,
akkor a szkenner nem indítja el őket, biztosan tudva, hogy semmi értelme nem lesz. Ha
a beépülő modul kihasználja a Postfix biztonsági rését, Nessus nem fog kínozni
boldogság, tesztelés ellen sendmail "a - stb. Egyértelmű, hogy annak érdekében, hogy végre
ellenőrzi helyi rendszer, meg kell adnia a szkenner hitelesítő adatait
(bejelentkezési adatok és jelszavak a hozzáféréshez) - ez a szabályok beállításának utolsó része.
Weboldal: www.openvas.org
Terjesztés: Freeware
Platform: Win/*nix/Mac
Habár forráskódok Nessus zárt lett, a Nessus 2 motor ill
egyes beépülő modulokat továbbra is a GPL licenc alatt terjesztik projektként
OpenVAS (Nyílt forráskódú Vulnerability Assessment Scanner). Most a projekt
bátyjától teljesen függetlenül fejlődik és jelentős
haladás: az utolsó stabil verzió közvetlenül a szám elküldése előtt jelent meg
fóka. Nem csoda, hogy OpenVAS kliens-szervert is használ
architektúra, ahol minden szkennelési műveletet a szerver oldal hajt végre – ez
csak niks alatt működik. A kezdéshez csomagokat kell letöltenie
openvas-scanner, valamint egy sor openvas-könyvtár. Mint
ügyféloldal számára OpenVAS 3.0, csak egy nix GUI program érhető el,
de szerintem ez tetszik előző verziók, hamarosan lesz egy port a Windows számára. Bármilyen
esetben a legegyszerűbb használni OpenVAS az ismeretlen segítségével
LiveCD Bactrack (4-es verzió), amelyre már telepítve van. Minden fő
Az induláshoz szükséges műveletek a következő menüpontokban találhatók: OpenVAS Make Cert (create
SSL-tanúsítvány a szerver eléréséhez), Felhasználó hozzáadása (hozzon létre egy hozzáférést biztosító felhasználót
szerver), NVT Sync (bővítmények és sebezhetőségi adatbázisok frissítése), és végül
OpenVAS Server (kiszolgáló indítása menüponton keresztül). Továbbá csak
indítsa el a kliens részt, és csatlakozzon a szerverhez a penteszt elindításához.
Nyitottság és bővíthetőség OpenVAS hadd szaladjon sokat
program. A biztonsági elemzéshez szükséges közvetlen beépülő modulok mellett ez
számos jól ismert segédprogram van beépítve: Nikto a sebezhető CGI-szkriptek keresésére,
nmap port szkenneléshez és sok más dologhoz, ike-scan az IPSEC észleléshez
VPN-csomópontok, Amap a portokon lévő szolgáltatások azonosítására ujjlenyomat-felvétel segítségével,
ovaldi, hogy támogassa az OVAL-t - a biztonsági rések leírásának szabványos nyelvét - és
sok más.
Weboldal:
www.ptsecurity.ru/xs7download.asp
Elosztás: shareware
Platform: Windows
A kód első sorai XSpider 1998. december 2-án írták, és a számára
Azóta 12 év telt el, ez a szkenner minden orosz számára ismertté vált
információbiztonsági szakember. Általában véve a Positive Technologies az egyik
azon kevés társaságok egyike a hazai információbiztonsági piacon, amelynek
Az alkalmazottak tudják, hogyan kell valamit valóban eltörni, és nem csak szépen eladni a szolgáltatásokat.
A terméket nem programozók írták, hanem információbiztonsági szakemberek, akik tudják, hogyan kell
mit kell ellenőrizni. Mi az eredmény? Nagyon jó minőségű termékünk van, csak egy,
de egy nagyon komoly mínusz számunkra: XSpider fizetett! semmiért
A fejlesztők csonka demóverziót kínálnak, amely nem valósítja meg számos
ellenőrzések, beleértve a heurisztikusakat is, valamint az adatbázis online frissítései
sebezhetőségek. Sőt, a fejlesztők erőfeszítései most teljesen másra irányulnak
termék - információbiztonsági megfigyelő rendszer MaxPatrol, for
ami sajnos nem is demó.
De még minden korlátozás mellett is XSpider az egyik legkényelmesebb
valamint hatékony eszközök a hálózat és az egyes csomópontok biztonságának elemzéséhez.
A szkennelési beállítások, mint a Nessus esetében is, speciális formában készülnek
szabálykészletet, csak ebben az esetben nem szabályzatoknak, hanem profiloknak hívják.
Mind a hálózati elemzés általános paraméterei, mind a szkenner viselkedése konfigurálva van
meghatározott protokollokhoz: SSH, LDAP, HTTP. Kutatott démon típusa mindegyiken
portot nem az általánosan elfogadott besorolás határozza meg, hanem a használata
heurisztikus ujjlenyomat-algoritmusok "a - az opció egyetlen kattintással bekapcsolható
szkennelési profil. Külön szót érdemel az RPC szolgáltatások (Windows
és *nix) teljes azonosítással, aminek köszönhetően lehetőség nyílik a sebezhetőségek azonosítására
különféle szolgáltatások és a számítógép egészének részletes konfigurációja. Vizsgálat
A jelszavas védelem gyengeségei gyakorlatilag a jelszavak optimalizált kitalálását valósítják meg
minden hitelesítést igénylő szolgáltatásban, segítve a gyenge jelszavak azonosítását.
A szkennelés eredménye kényelmes jelentés formájában jelenik meg, és mindegyikhez
a talált potenciális sérülékenység apró leírást és külső hivatkozást kap,
hova forduljunk a részletekért.
Weboldal:
www.gfi.com/lannetscan
Terjesztés: Freeware/Shareware
Platform: Windows
Amit különösen szeretek ebben a termékben, az az előre telepített készlet
beolvasandó profilok. A távoli rendszer teljes átvizsgálása mellett
mindenféle elérhető ellenőrzést jelent (egyébként van egy speciális verzió is
lassú kapcsolathoz - például lassú VPN-kapcsolathoz az államokon keresztül),
nagyon sok külön csekkcsoport van. Például gyorsan ellenőrizheti a tízeseket
sebezhetőségek gazdagépei a jól ismert Top20-ból
biztonsági társaság SANS. Itt aktiválhatja az autók keresését is
eltávolított javítások vagy szervizcsomagok esetén válasszon profilt a penteszthez
webes alkalmazások stb. Sőt, a közvetlenül célzó profilok mellett
sérülékenységek keresése, számos audit eszköz is létezik: keresőlabda, intelligens szkenner
portok, beleértve a rosszindulatú programok által megnyitott kapcsolatok keresését, meghatározását
számítógép konfiguráció stb. Kiderült, hogy az egyik termékben a tömeggel együtt
hasznos közművek.
Folyamatosan frissített sebezhetőségi adatbázis GFI LANguard több mint
15 000 rekord, amely lehetővé teszi a legtöbb beolvasást különböző rendszerek(Windows, MacOS, Linux)
beleértve a telepítetteket is virtuális gépek. Szkenner automatikusan
frissítéseket kér az adatbázishoz, amelyek viszont a jelentések szerint jönnek létre
BugTraq, SANS és mások. Végezze el a saját ellenőrzéseket, mint például
Természetesen te is tudsz. Ehhez egy speciális szkriptet kap
a Pythonnal és a VBScript-vel kompatibilis nyelv (micsoda csomó!), és a teljes kényelem érdekében
is kényelmes szerkesztő hibakeresővel - igazi IDE-nek bizonyul. Másik
A LANguard egyedülálló tulajdonsága, hogy képes megállapítani, hogy a gép fut-e
virtuális környezetben (amíg a VMware és a Virtual PC támogatott) az egyik
egyedi szkenner chipek.
Weboldal: www.eeye.com
Elosztás: shareware
Platform: Windows
Ennek a legendás szkennernek a legnagyobb csalódása rögtön ezután ért
dob. A legújabb verzió telepítője káromkodott, és azt mondta, hogy futtasson
retina Windows 7 vagy Windows Server A 2008 R2 jelenleg nem lehetséges. Nem
nagyon udvarias, ki kellett nyitni Virtuális gép, de ezt tudtam
költségeket. retina- az egyik legjobb szkennerek amely meghatározza és elemzi
otthont ad helyi hálózat. Fizikai és virtuális szerverek, munkaállomások és
laptopok, útválasztók és hardveres tűzfalak - retina bemutatja
a hálózathoz csatlakoztatott eszközök teljes listája, információkat jelenít meg a vezeték nélküli kapcsolatról
hálózatok. Mindegyiküket minden lehetséges módon megkínozza, hogy legalább valami tippet keressen
sebezhetőséget, és ezt nagyon okosan teszi. C osztályú helyi hálózat szkenneléséhez
körülbelül 15 percet vesz igénybe. Termék retina meghatározza az operációs rendszer sebezhetőségeit,
alkalmazások, potenciálisan veszélyes beállítások és opciók. Ennek eredményeként lehetséges
áttekintést kaphat a hálózatról, megmutatva a lehetséges sebezhetőségeket. Alap a
A biztonsági rések a fejlesztők biztosítéka szerint óránként frissülnek, és
a sebezhetőséget legkésőbb az első után 48 órával hozzáadják az adatbázishoz
bagtruck. Márpedig az a tény, hogy ez az eEye gyár terméke, már az
egyfajta minőségbiztosítás.
Weboldal: www.microsoft.com
Terjesztés: Freeware
Platform: Windows
Ami? Microsoft Security Analyzer
ellenőrzi, hogy a hálózaton lévő számítógépek megfelelnek-e a Microsoft követelményeinek, ami
nagy számot halmozott fel. A legfontosabb kritérium természetesen a jelenlét
minden rendszerén telepített frissítések. Nem kell emlékeztetni arra, amit tett
Conficker MS08-67-et használ, amelyet 2 hónappal korábban javítottak
járványok. A rendszerből hiányzó javítások mellett az MBSA néhányat is észlel
gyakori hiányosságok a konfigurációban. A vizsgálat megkezdése előtt a program
frissítéseket tölt le adatbázisaihoz, így biztos lehet benne: Microsoft
Baseline Security Analyzer mindent tud a Windows kiadott frissítéseiről. Által
szkennelési eredmények (domain vagy IP-címtartomány) összegzik
jelentés. A már látható jelentés átvihető egy feltételes hálózati diagramra,
a vizsgálat eredményeinek megjelenítése a Visio alkalmazásban. Ehhez elérhető a program honlapja
egy speciális csatlakozó, amely különböző területi csomópontokat jelenít meg szimbólumokkal,
kitölti az objektumok paramétereit, hozzáadva a szkennelésre vonatkozó információkat, és be
A legkényelmesebb űrlap lehetővé teszi, hogy megnézze, milyen problémák vannak egy adott számítógépen.
Weboldal:
http://www.saintcorporation.com
Elosztás: shareware
Platform: -nix
Csak két IP-címet találhatsz SZENT V
a próbaidőszak alatt be van kötve a kulcsba, és elküldjük Önnek
email. Egy lépés sem balra, sem jobbra – de ez a termék határozottan megéri
próbálja meg, még ilyen drákói korlátozások mellett is. Szkenner vezérlés
webes felületen keresztül valósul meg, ami nem meglepő - megoldásokat SZENT
értékesítik, beleértve a rack-telepítéshez szükséges szervereket (SAINTbox), és itt
követned kell a divatot. Egy aszkétikus webes felület segítségével nagyon egyszerű
kezdje el a tesztelést, és használja sok éves tapasztalatát a kereséshez
a rendszer potenciális sérülékenységei. Mondok még: az egyik SAINTexploit modul
nem csak a sérülékenység észlelését, hanem kihasználását is lehetővé teszi! Vessünk
a hírhedt MS08-67 hiba. Ha a szkenner fedetlen lyukat észlel és tudja
hogyan lehet kihasználni, akkor közvetlenül a sérülékenység leírása mellett ad egy hivatkozást
szoros szív szó EXPLOIT. Egy kattintással megkapja a törés leírását, és
továbbá - a Futtatás most gombot az elindításához. Továbbá a felosztástól függően
különféle paraméterek vannak megadva, például az operációs rendszer pontos verziója a távoli gazdagépen,
shell típusa és portja, amelyen futni fog. Ha a cél kihasználása sikeres
befejezve, a SAINTexploit modul Kapcsolatok lapja megjeleníti az IP-címet
áldozatok és az indulás következtében elérhetővé váló akciók megválasztása
exploit: távoli rendszeren lévő fájlokkal való munka, parancs sor stb!
Képzeld el: egy szkenner, amely összetöri magát! Nem csoda, hogy a termék szlogenje: „Vizsgálja meg.
kiállítás. Exploit". Az ellenőrzések rendszere a legváltozatosabb, és az utolsó 7. sz
verzióban megjelent a webalkalmazások előzetes tesztelésére szolgáló modul és további szolgáltatások
adatbázis elemzéshez. A webes felületen keresztül célpont kijelölésével monitorozhatja
a lapolvasó műveleteit teljes részletességgel, pontosan tudva, hogy mit és hogyan csinál a lapolvasó
Ebben a pillanatban.
Weboldal: http://www.xfocus.org
Terjesztés: Freeware
Platform: Windows
Ennek a szkennernek a legújabb verziója 2007-ben jelent meg, ami egyáltalán nem zavarja
használja most a beépülő modulok és szkriptek rendszerének köszönhetően,
NASL-ben írva, ugyanazon a nyelven, amelyet a Nessus/OpenVAS használ. megtalálja
a meglévő szkriptek szerkesztése pedig egyszerű – mindegyik a scripts mappában található.
A szkenner elindításához meg kell adnia a szkennelési paramétereket a menüben
Config -> Scan Parameter. A vizsgálandó objektum lehet
egy adott IP és egy címtartomány, de ez utóbbi esetben erkölcsileg kell
felkészülve arra, hogy a tesztelés hosszadalmas lesz. A szkenner, sajnos, nem a legtöbb
gyors. A csatlakoztatott modulok száma arányosan befolyásolja a sebességet:
kiegészítők, amelyek ellenőrzik az SSH / VNC / FTP jelszavak erősségét, az egyik leggyakrabban
falánk. Külsőleg X-scan inkább valaki által készített házi készítésű termék
saját szükségleteikre, és ingyenes úszásra bocsátják a közönség rendelkezésére. Talán megtenné
és nem kapott ekkora népszerűséget, ha nem a Nessus szkriptek támogatását, ami
a Nessus-Attack-Scripts modullal aktiválhatók. Másrészt érdemes
tekintse meg a szkennelési jelentést, és minden kétség merül fel a szkenner hasznosságával kapcsolatban
második terv. Nem a hivatalos IS szabványok valamelyike szerint kerül kiadásra, hanem
minden bizonnyal sokat elárul a hálózatról.
Weboldal: www.rapid7.com
Forgalmazás: Freeeware verzió
Platform: nix/Win
Gyors 7 az egyik leggyorsabban növekvő cég, amelyre szakosodott
a világ információbiztonságáról. Ő volt az, aki a közelmúltban megvásárolta a projektet
Metasploit Framework, és ez az ő keze munkája – a projekt Neexpose. Ár
"belépés" a kereskedelmi verzió használatához közel 3000 dollár, de
a rajongók számára van egy közösségi verzió, némileg csökkentett funkciókkal.
Ez az ingyenes verzió könnyen integrálható a Metasploittal (olyan verzióra van szüksége, amely nem
alatti 3.3.1). A munka séma meglehetősen trükkös: először a NeXpose indul, majd azután
Metasploit konzol (msfconsole), amely után elindíthatja a vizsgálati folyamatot
és konfigurálja egy sor paranccsal (nexpose_connect, nexpose_scan,
nexpose_discover, nexpose_dos és mások). Jó, hogy lehet kombinálni.
funkcionalitás Neexposeés más Metasploit modulok "a. A legegyszerűbb, de
végrehajtható példa: keressen olyan számítógépeket, amelyek bizonyos sérülékenységgel rendelkeznek, és azonnal
kihasználja a megfelelő Metasploit modul segítségével - kapjuk
automatikus útválasztás új minőségi szinten.
Az erőforrások tulajdonosának kiszolgálóinak és erőforrásainak akarata nélkül történő tesztelése bűncselekmény
büntethető. A megszerzett tudás illegális célú felhasználása esetén a szerző ill
a szerkesztők nem vállalnak felelősséget.
