Софт

сетевой сканер безопасности

Рейтинг: 4.0/5.0 (302 проголосовавших)

Категория: Windows

Описание

Сканеры безопасности - Академия Хакеров - Как стать Хакером? Статьи для Хакера

Windows Vulnerability Scanner - это небольшая бесплатная программа, предназначенная для проверки операционных систем Windows на наличие уязвимостей системы безопасности и подбора соответствующих патчей и заплаток для устранения найденных проблем.

Совместимость:
Windows 7
Windows Vista
Windows XP (Home & Professional) Service Pack 1, Service Pack 2, Service Pack 3
Windows 2000 Professional with Service Pack 4
Windows 2000 Server with Service Pack 4
Windows 2000 Advanced Server with Service Pack 4
Windows 2003 Servers

По окончании работы, Windows Vulnerability Scanner покажет список обнаруженных уязвимостей системы. уровень опасности этих уязвимостей и ссылку на патч. устраняющий эти проблемы.
Ведется постоянное логирование всех действий Windows Vulnerability Scanner и результатов работы этой программы.

XSpider - Описание разработчика: "Программное средство сетевого аудита, предназначенное для поиска уязвимостей в различных сетевых операционных системах и аппаратных устройствах.
Хотя сам XSpider работает под управлением Microsoft Windows, он проверяет все возможные узявимости независимо от программной и аппаратной платформы узлов: начиная от рабочих станций под Windows и кончая сетевыми устройствами Cisco (не исключая, конечно, *nix, Solaris, Novell, AS400 и т.д.)."
Без регистрации: отсутствует система онлайнового обновления базы уязвимостей; отсутствуют проверки на DoS-уязвимости и ряд других проверок, использующих оригинальные эвристические механизмы.

Shadow Security Scanner - Сканер безопасности для выявления в интернет-, интранет- и экстранет-сетях уязвимостей в установленных сетевых системах. Сканирует не только OS Windows и операционные системы Unix (Solaris, Linux, *BSD etc. ), роутеры, файрволы и системные устройства, но и проверяет уровень безопасности NetBIOS, HTTP, CGI и WinCGI, FTP, DNS, уязвимость DoS, POP3, SMTP, LDAP, TCP/IP, UDP, реестра, сервисов, паролей, MSSQL, IBM BD2, Oracle, MySQL, PostgressSQL, Interbase, MiniSQL и многое другое.

GFI LANguard Network Security Scanner выполняет сканирование сети и собирает сведения об установленных и отсутствующих пакетах обновлений и исправлений, точках беспроводного доступа, устройствах USB, сетевых ресурсах, открытых портах, активных службах и приложениях, записях реестра, слабых паролях, пользователях, группах и так далее.

Фильтры и отчеты существенно облегчают анализ полученной информации и позволяют своевременно принять меры по усилению защиты сети, к примеру, закрыть неиспользуемые порты, отключить общий доступ к ресурсам, установить необходимые исправления и т.д.

Утилита nmap предназначена для разнообразного настраиваемого сканирования IP-сетей с любым количеством объектов, определения состояния объектов сканируемой сети (портов и соответствующих им служб). Изначально программа была реализована для систем Unix, но сейчас доступны версии для множества других ОС.

Nmap использует множество различных методов сканирования, таких как UDP, TCP connect(), TCP SYN (полуоткрытое), FTP proxy (прорыв через ftp), Reverse-ident, ICMP, FIN, ACK, SYN и NULL-сканирование. Nmap также поддерживает большой набор дополнительных возможностей, а именно: определение операционной системы удалённого хоста с использованием отпечатков стека TCP/IP, «невидимое» сканирование, динамическое вычисление времени задержки и повтор передачи пакетов, параллельное сканирование, определение неактивных хостов методом параллельного ping-опроса, сканирование с использованием ложных хостов, определение наличия пакетных фильтров, прямое (без использования portmapper) RPC-сканирование, сканирование с использованием IP-фрагментации а также произвольное указание IP-адрессов и номеров портов сканируемых сетей.

Программа для анализа и обслуживания компьютерных сетей, ориентированная на работу с общими ресурсами. Она позволяет сканировать заданный диапазон IP адресов и отображать информацию о компьютерах и их ресурсах; подключать/отключать сетевые диски; производить массовую скачку/закачку файлов по сети; создавать тестовые отчеты о составе сети; сохранять/загружать результаты сканирования сети. Также она содержит в себе много полезных функций таких как: Whois(информация о владельце IP или домена), TCP/UDP клиент/сервер, Trace Route, расширенная информация о ресурсах компьютера на базе NT и т.п.

Один из лучших ip-сканеров, отличная скорость; возможность сканирования хоть 0.0.0.0 - 255.255.255.255; возможность сканирования на открытые порты; сохранение любимых диапазонов и загрузка их, чтобы не париться вручную каждый раз; показ имени компьютера, имени пользователя и MAC-адреса, если возможно, и много ещё чего.

xSharez scanner - многопотоковый NetBIOS/SMB сканер, представляющий собой "twinware tool", утилиту, предназначенную одновременно как для системных администраторов, так и для пользователей интересующихся компьютерной безопасностью. Программа позволяет:
- Производить аудит сетей класса B и C на наличие разделяемых ресурсов (папок и дисков к которым предоставлен общий доступ для сетей Microsoft).
- Получать дополнительную информацию о сканируемых компьютерах - NetBIOS name, Workgroup, User name, OS, Mac address.
- Генерировать развернутые .html или .csv отчеты и анализировать уровень безопасности сети основываясь на полученных результатах

Pandora - это полностью автоматический сканер расшаренных ресурсов, осуществляющий самостоятельное копирование файлов.Может работать в скрытом режиме. а также самостоятельно добавлять себя в автозапуск.

Сам сканнер состоит из двух частей, отдельных программ, которые обмениваются между собой информацией по tcp/ip.

Набор сетевых утилит для диагностики сети и мониторинге текущих сетевых соединений. Включает в себя:

  • NetStat: показывает список входящих и исходящих сетевых подключений, открытые порты.
  • NBScan: мощный сканер NetBIOS.
  • Shares: отображает состояние ресурсов компьютера, открытых для общего общего доступа, показывает пользователей, подключенных по сети к Вашим ресурсам.
  • RawTCP: позволяет устанавливать низкоуровневые TCP подключения.
  • ProcMon: выводит список процессов, запущенных в системе с подробной информацией о каждом из них.

сетевой сканер безопасности:

  • скачать
  • скачать
  • Другие статьи, обзоры программ, новости

    Сравнение сетевых сканеров безопасности

    Сравнение сетевых сканеров безопасности

    Cравнение сетевых сканеров безопасности

    Сканер безопасности – это программное средство для удаленной или локальной диагностики различных элементов сети на предмет выявления в них различных уязвимостей, которые могут быть использованы посторонними лицами для доступа к конфиденциальной информации и нарушения работы системы вплоть до полной потери данных и работоспособности.

    Основными пользователями систем аудита безопасности являются профессионалы: сетевые администраторы, специалисты по безопасности и т. д. Простые пользователи тоже могут использовать сканеры, но информация, выдаваемая такими программами, как правило, специфична, что ограничивает возможности ее применения неподготовленным человеком. Сканеры безопасности облегчают работу специалистов, сокращая суммарно потраченное время на поиск уязвимостей.

    В принципе любой сканер безопасности не делает ничего сверхъестественного: он просто перебирает все имеющиеся в его базе данных «дырки» (уязвимости) в программном обеспечении и проверяет их наличие на исследуемом компьютере. Конечно, эту работу можно сделать и вручную. Только в этом случае возникает три вопроса.

    • Зачем делать нудную работу вручную, если имеется средство автоматизации?
    • Уверены ли вы, что вам известны все уязвимости, которые следует проверить?
    • Уверены ли вы, что при ручном анализе вы не допустите неточность и не забудете проверить все, что следует?

    Эти обстоятельства, на наш взгляд, достаточно убедительны для того, чтобы проголосовать за использование сканера, если вас вообще беспокоит информационная безопасность вашей компьютерной сети. Уверены, что она вам, конечно, небезразлична. Но как показывает практика, и в этом случае у многих остается вопрос:

    Зачем честному человеку сканер безопасности?

    Не секрет, что сканеры безопасности любят использовать хакеры для поиска «дырок» в сетях своих потенциальных жертв. Хотя можете быть уверены, ни одной компании-производителю никогда бы не пришло в голову делать продукт «под хакеров». Почему – объяснять, конечно, не требуется. Тем не менее частое использование сканеров в неблаговидных целях остается фактом. Отсюда мы можем вывести первый формальный аргумент в пользу использования сканера: тем самым вы можете взглянуть на свою сеть глазами потенциального злоумышленника. Этот аргумент, конечно, может показаться достаточно искусственным и надуманным, отвлекающим от решения прямых задач по обеспечению безопасности сети (настройке сетевых экранов, конфигурированию маршрутизаторов, назначению прав доступа и т. п.). Но это не так, поскольку за ним стоят вполне содержательные идеи.

    Главная из них заключается в несовершенстве любого системного и прикладного программного обеспечения. Какие бы многочисленные программно-аппаратные средства ограничения доступа к информации и компонентам сети вы не использовали, вы никогда не можете быть полностью уверены, что сами эти средства свободны от дефектов (уязвимостей, «дырок»), которые могут быть использованы посторонними для нарушения установленного порядка доступа (читай – взлома). Поэтому для полноценной, надежной системы безопасности сети следует не только грамотно планировать ее архитектуру и устанавливать то или иное ПО защиты данных, но и проводить постоянный мониторинг всего сетевого хозяйства на предмет возникающих «дыр».

    Именно – возникающих. Уязвимости, по аналогии с живыми объектами, имеют свойство возникать и плодиться даже в рамках одной отдельно взятой сети, и причин этому две. Во-первых, специалисты постоянно выявляют все новые и новые уязвимости в уже существующем ПО. До того момента пока уязвимость не была известна, мы можем, хотя и достаточно условно, полагать ее несуществующей. Но после того как она была опубликована, уже нет никакого разумного оправдания игнорировать ее. Другая причина «плодовитости» уязвимостей заключается в том, что в компьютерной сети достаточно часто может устанавливаться новое ПО. А вместе с ним в сети могут возникать и новые «дыры».

    Из всего сказанного следует достаточно очевидный вывод: аудит уязвимостей в сети нужен, причем он должен проводиться на регулярной основе. Как бы обременительно это не звучало, но обеспечение информационной безопасности в сети – это не разовое действие, а постоянный процесс.

    К счастью, имеются сканеры безопасности, позволяющие упростить и облегчить этот процесс. Наверное, мы привели достаточно аргументов, чтобы оправдать то время, потраченное вами на изучение приведенного ниже анализа.

    Качество работы ядра

    Для сравнения были выбраны пять различных сканеров в разном ценовом диапазоне:

    Оговоримся сразу, что сюда вошли не все из наиболее известных на рынке продуктов (нет, например, продуктов Retina от «eEye Digital Security» и NetRecon от «Symantec»), но выборка, тем не менее, является достаточно представительной. Кроме того, может возникнуть вопрос о правомерности сравнения коммерческих и бесплатных продуктов. Тут мы хотели бы подчеркнуть, что в этой части сравнения мы фокусируем внимание на содержательной части работы сканеров – как много уязвимостей находит тот или иной сканер, как много он дает ложных срабатываний (что также достаточно существенно, поскольку требует дополнительного времени на отсев ошибочных диагностик). Обсуждение вопросов регулярности обновления и других аспектов поддержки и сопровождения мы оставим на потом.

    Чтобы сравнивать системы, подобные сканерам безопасности, недостаточно просто их запустить. Количество якобы проверяемых уязвимостей, обилие настроек, а также размер программы или её внешний вид не могут являться критериями для оценки качества содержательной работы того или иного сканера. Поэтому для того чтобы создать полноценное представление о работе различных сканеров безопасности, было решено провести их сравнительный тест по выявлению уязвимостей в семи различных операционных системах, часто используемых, в частности, крупными банками и финансовыми учреждениями:

    • Solaris 2.6.1
    • Windows 2000 Server
    • Windows XP Professional
    • Linux RedHat 5.2
    • Compaq/Tandem Himalaya K2006 (OS D35)
    • Bay Networks Router
    • AS/400

    Версии тестируемых сканеров (последние доступные на момент проверки):

    • ISS Internet Scanner 6.2.1 с последними апдейтами
    • LanGuard 2.0
    • ShadowSecurityScanner 5.31
    • XFocus X-Scan v1.3 GUI
    • XSpider 6.01

    Тестирование каждого сканера проводилось по два раза, тем самым исключая нежелательные возможные ошибки, связанные, например, с временной проблемой в сети. Все полученные данные были интегрированы в таблицу 1, показывающую, какая информация была получена тем или иным сканером. Желтым цветом обозначены уязвимости средней тяжести, которые при определенных обстоятельствах могут повлечь за собой серьезные потери, а красным – серьезные уязвимости, которые могут привести не только к серьезным потерям, но и к полному разрушению системы. Остальные строки относятся к нейтральной информации о системе, полученной сканерами.

    Таблица 1. Данные тестирования сетевых сканеров для различных операционных систем

    На основе таблиц была проведена интегральная оценка сканеров по следующей схеме:

    • серьезная уязвимость: +3 балла
    • уязвимость средней тяжести: +2 балла
    • информация: +1 балл
    • ложная серьезная уязвимость: -3 балла
    • ложная уязвимость средней тяжести: -2 балла
    • ложная информация: -1 балл

    Результат представлен в таблице 2. Оставляя в стороне подробные комментарии по отдельным обнаруженным уязвимостям, приведем окончательные данные в виде диаграммы.

    Таблица2. Интегральные результаты тестирования сетевых сканеров для различных операционных систем

    ISS Internet Scanner – наиболее титулованный представитель в семействе рассматриваемых продуктов – показал себя как всегда на высоком уровне, заняв почетное второе место.

    LanGuard с натяжкой можно назвать сканером безопасности. Он очень хорошо работает с NetBios, выдавая список ресурсов, сервисов и пользователей. Эта способность сильно отличает сканер от остальных, но вот именно только эта. На этом преимущества LanGuard заканчиваются.

    ShadowSecurityScanner практически не отстал от ISS. И это при столь большой разнице в их цене. У программы простой интерфейс, похожий на интерфейс сканера Retina. Подробные советы и рекомендации по устранению уязвимостей легко позволяют справиться с проблемами. Минусы: небольшое количество распознаваемых уязвимостей, гораздо большее потребление системных ресурсов при работе по сравнению с другими сканерами. X-Scan – бесплатный сканер, по возможностям похожий на LanGuard, но немного его превосходящий. Минусы: не очень читабельный интерфейс программы, отсутствие каких-либо комментариев про найденные уязвимости.

    XSpider оказался бесспорным лидером, сильно оторвавшись от конкурентов, особенно при поиске уязвимостей в Windows и Solaris. Есть у XSpider и существенный минус: при выдаче списка уязвимостей выводится очень мало пояснительной информации, что предполагает высокий уровень знаний и профессионализма у специалиста, использующего эту программу. Вероятно, это объясняется тем, что разработчик программы – российская компания Positive Technologies, профессионально специализирующаяся на услугах по обеспечению безопасности компьютерных сетей, делала продукт, исходя из своих внутренних потребностей, и не особенно заботилась о массовом пользователе. Правда, надо отдать ей должное, денег она за свой продукт не просит, что очень приятно, учитывая его отличное качество работы.

    Недавно стали доступны данные опроса профессиональных пользователей, проведенные сайтом по информационной безопасности SecurityLab.RU, относительно популярности сканеров безопасности (см. http://www.securitylab.ru/_Services/Vote.asp?Archive=109&Poll_ID=4 ). Нам показалось интересным сравнить результаты этого опроса с объективными данными нашего анализа. Результаты опроса приведены в таблице:

    Таблица3. Какой сканеру язвимостейв ы предпочитаете использовать?

    Сетевые сканеры безопасности: область применения, механизм работы, сравнительный анализ

    Сетевые сканеры безопасности: возможности, принцип работы и передовые решения

    УЧРЕДИТЕЛЬ И РЕДАКЦИЯ: ЗАО «ИД «Комсомольская правда».

    Сетевое издание (сайт) зарегистрировано Роскомнадзором, свидетельство Эл№ФC77-50166 от 15 июня 2012.

    Главный редактор - Сунгоркин В.Н.

    Шеф-редактор сайта - Носова О.В.

    Сообщения и комментарии читателей сайта размещаются без предварительного редактирования. Редакция оставляет за собой право удалить их с сайта или отредактировать, если указанные сообщения и комментарии являются злоупотреблением свободой массовой информации или нарушением иных требований закона.

    © ЗАО ИД «Комсомольская правда», 2015.

    125993, Москва, Старый Петровско-Разумовский проезд, 1/23, стр. 1. Тел. +7 (495) 777-02-82.

    Исключительные права на материалы, размещённые на интернет-сайте www.kp.ru . в соответствии с законодательством Российской Федерации об охране результатов интеллектуальной деятельности принадлежат ЗАО "Издательский дом "Комсомольская правда", и не подлежат использованию другими лицами в какой бы то ни было форме без письменного разрешения правообладателя.
    Приобретение авторских прав: kp@kp.ru
    Для читателей. Нам важно ваше мнение: (495)777-02-82, 8-800-200-0057 (бесплатно для жителей РФ).

    Обзор сканеров безопасности корпоративных IT-систем

    Обзор сканеров безопасности корпоративных IT-систем

    Защита вычислительных ресурсов организации от внешних угроз — сложная и затратная задача, особенно в случае использования гетерогенных и многоуровневых информационных систем. Упростить ее решение призваны специализированные программные комплексы, автоматизирующие процессы поиска уязвимостей и контроля соответствия техническим стандартам в IT-инфраструктурах любого масштаба

    Об актуальности проблемы обеспечения безопасности корпоративных систем свидетельствуют исследования вирусных аналитиков, отмечающих неуклонный рост активности киберпреступников и повышение интенсивности целевых атак на бизнес. По данным «Лаборатории Касперского», в прошлом году каждая четвертая организация в России столкнулась с попытками взлома вычислительных ресурсов, а каждая десятая — подвергалась таргетированным атакам со стороны злоумышленников, использовавших уязвимости «нулевого дня», вредоносные скрипты и другие приемы. При этом в 40% случаев атаки были успешными, приводили к утечке корпоративных данных и сбоям, избежать которых можно было с помощью превентивных методов защиты, предотвращающих угрозы, а не устраняющих их последствия.

    Именно такой упреждающий подход к безопасности и реализован в рассматриваемых ниже системах анализа защищенности IT-инфраструктур. Все они разработаны российскими компаниями и позволяют обнаружить уязвимости в сетевых ресурсах до того, как это будет сделано злоумышленниками, а также формируют четкие и понятные рекомендации по устранению выявленных брешей. Акцент на отечественных решениях сделан по нескольким причинам, главными из которых являются соответствие российским реалиям рынка IT, наличие русскоязычной документации и возможность получения оперативных технических консультаций на родном языке. Кроме того, в пользу созданных в России продуктов сыграло наличие у некоторых из них государственных сертификатов, подтверждающих соответствие требованиям российского законодательства и отраслевых стандартов в сфере информационной безопасности.

    Система комплексного анализа защищенности «Сканер-ВС»

    от 5 тысяч до 1,5 млн рублей; доступна пробная версия дистрибутива

    Универсальный инструмент, содержащий целый арсенал средств для выполнения внутреннего или внешнего аудита сетей, тестирования проникновением, перехвата и анализа трафика с помощью технологии ARP-спуфинга (возможен перехват шифрованного HTTPS-трафика посредством подмены сертификата), проверки стойкости сетевых и локальных паролей, а также поиска остаточной информации на жестких дисках и других носителях вне зависимости от файловой структуры. «Сканер-ВС» позволяет определять топологию корпоративной сети, производить инвентаризацию вычислительных ресурсов, проводить проверку защищенности беспроводных сетей Wi-Fi, контролировать появление сетевых сервисов и проверять на прочность брандмауэры, системы обнаружения вторжений и прочие средства защиты. Для имитации различных видов атак используется обновляемая международная база, включающая свыше 17 тысяч уязвимостей.

    Система комплексного анализа защищенности «Сканер-ВС» содержит средства локального аудита паролей для операционных систем семейства Windows (NT, 2000, 2003, 2008, XP, Vista, 7) и Linux (МСВС, Linux XP, Astra Linux и другие). Решение поддерживает возможность подбора паролей более чем по двадцати сетевым протоколам (HTTP, SMTP, POP, FTP, SSH и прочие).

    «Сканер-ВС» не требует изменения конфигурации IT-инфраструктуры и поставляется разработчиком в виде загрузочного DVD- или USB-накопителя с операционной системой и предустановленным программным обеспечением для всестороннего тестирования защищенности информационных комплексов. Решение может применяться в качестве мобильного места администратора информационной безопасности, а также как средство расследования инцидентов IT-безопасности и для мониторинга сети. Продукт имеет сертификаты Министерства обороны Российской Федерации (Минобороны России) и Федеральной службы по техническому и экспортному контролю (ФСТЭК России).

    Сканер безопасности ERPScan Security for SAP

    не указана, предоставляется по запросу; доступна демонстрационная версия продукта

    Клиент-серверный инструментарий для комплексной оценки защищенности ERP-систем управления ресурсами предприятия, развернутых на базе решений SAP. В список выполняемых ERPScan задач входят поиск программных уязвимостей в ERP-платформах, ошибок конфигурации, конфликтов полномочий, устаревших версий компонентов и проверка параметров на соответствие рекомендациям производителя и процедурам аудита ISACA. Результатом работы сканера безопасности является отчет, в котором представлены обнаруженные уязвимости и степень критичности каждой из них.

    Отличительными особенностями ERPScan являются входящая в состав комплекса система оценки рисков на основе множественных критериев, поддержка многопользовательской работы с возможностью разграничения полномочий вовлеченных в процесс анализа и контроля безопасности SAP-серверов специалистов, встроенная база знаний с детальными сведениями и рекомендациями по устранению каждой уязвимости, а также интегрированная в сканер новостная лента с информацией о последних угрозах и методах защиты. Продукт позволяет компаниям своевременно защититься от хакерских атак и предотвратить инсайдерские атаки.

    Сканер безопасности XSpider

    от 9 тысяч (лицензия на 4 хоста) до 1 млн рублей (10 000 хостов); поддержка дополнительных узлов оплачивается отдельно

    Широко известный на российском рынке продукт, успевший себя зарекомендовать как в корпоративной среде, так и среди домашних пользователей компьютеров. XSpider работает под управлением Windows и проверяет возможные уязвимости независимо от программной и аппаратной платформы узлов: начиная с рабочих станций под Windows и заканчивая сетевыми устройствами Cisco, включая *nix и веб-приложения (в том числе сайты, интернет-магазины и прочие онлайновые площадки). Программа работает с уязвимостями на разном уровне — от системного до прикладного — и умеет выискивать «дыры» в серверах со сложной нестандартной конфигурацией, когда сервисы имеют произвольно выбранные порты.

    В процессе сканирования XSpider использует эвристический метод определения типов и имен серверов (HTTP, FTP, SMTP, POP3, DNS, SSH) вне зависимости от их ответа на стандартные запросы. Решение поддерживает работу с RPC-сервисами, умеет осуществлять проверку надежности парольной защиты, а также проводить анализ структуры HTTP-серверов и выполняющихся на них скриптов на предмет разнообразных уязвимостей: SQL-инъекций, инъекций кода, запуска произвольных программ, получения файлов, межсайтового скриптинга (XSS), HTTP Response Splitting. Помимо этого, в арсенале продукта имеются средства проведения проверок на нестандартные DoS-атаки и планировщик, позволяющий автоматизировать процесс аудита сетевой безопасности.

    Отдельного упоминания заслуживают система обновления программных модулей и базы уязвимостей, функции одновременного сканирования большого числа рабочих станций и сетевых узлов, ведение полной истории проверок, встроенная документация и механизм генерации детализированных отчетов. Также стоит отметить, что XSpider сертифицирован Минобороны и ФСТЭК России.

    Система контроля защищенности и соответствия стандартам MaxPatrol

    не указана, предоставляется по запросу

    Продукт, построенный на базе профессионального сканера уязвимостей XSpider и объединяющий все необходимые механизмы оценки уровня безопасности: тестирование на проникновение (PenTest), системные проверки (Audit) и контроль соответствия стандартам (Compliance). С помощью MaxPatrol администраторы и специалисты по информационной безопасности могут получать информацию о защите всех узлов корпоративной сети и централизовано контролировать настройки более 70 платформ и приложений: сетевую и системную инфраструктуры, серверы, беспроводные сети и сети IP-телефонии, базы данных, системы ERP и веб-инструменты. При этом продукт решает задачи безопасности информационных систем любого масштаба на всех структурных уровнях организации — от технических специалистов IT-отделов до первых лиц компании.

    MaxPatrol позволяет контролировать защищенность сложных информационных систем, использующих сетевое оборудование Cisco, Nortel, Juniper, Huawei, платформы Windows, Linux, Unix, СУБД Microsoft SQL, Oracle, приложения Active Directory, Microsoft Exchange, Lotus, SAP/R3, веб-службы сторонних разработчиков и средства виртуализации VMware vSphere/ESX, Microsoft Hyper-V, Citrix XenApp. Комплекс включает поддержку стандартов ГОСТ ИСО/МЭК 17799, ГОСТ ИСО/МЭК 27001, SOX (Sarbanes-Oxley Act), PCI DSS (Payment Card Industry Data Security Standard), NSA (National Security Agency), NIST (National Institute of Standards and Technologies), CIS (Center for Internet Security), при этом он может использоваться для анализа защищенности банковских и критических производственных систем.

    В отличие от классических сканеров, MaxPatrol не требует развертывания программных модулей на узлах, что упрощает эксплуатацию и снижает совокупную стоимость владения. Все проверки проводятся удаленно — с использованием встроенных механизмов удаленного администрирования. Система разработана с учетом требований российского законодательства в области информационной безопасности и имеет лицензии Министерства обороны РФ, ГАЗПРОМСЕРТ и ФСТЭК России. Дополнительные сведения о продукте можно получить на сайте компании Positive Technologies, проследовав по приведенной выше ссылке.

    Программный комплекс оценки защищенности АСУ ТП «SCADA-аудитор»

    Средство анализа защищенности автоматизированных систем управления технологическими процессами (АСУ ТП), построенных на основе платформы SCADA. Решение поддерживает протоколы BACnet/IP, Ethernet/IP, Modbus TCP/UDP, OPC DA V.2 и работу с различными промышленными системами, которые используются во всем мире для управления объектами критически важных инфраструктур: Genesis, IGSS, RealWin, Siemens Simatic WinCC, Siemens Simatic Step7, Siemens Simatic WinCC Flexible, CoDeSys 2.X/3.X.

    Сканер «SCADA-аудитор» может быть запущен с рабочего места администратора под управлением Windows. Основная его особенность заключается в использовании (в дополнение к стандартным средствам поиска потенциально опасных мест в АСУ ТП и типичных ошибок конфигурации) специализированной базы данных сигнатур и эвристических процедур, учитывающих специфику SCADA-платформ, которые получили наибольшее распространение при управлении объектами критически важных инфраструктур современных государств. Благодаря этому обеспечивается автоматизированное выявление элементов промышленных систем в глобальных вычислительных сетях и поиск уязвимостей в выявленных элементах, присущих как сетевому ПО в целом, так и системам SCADA в частности.

    Комплекс «SCADA-аудитор» выполнен в виде открытой платформы, обеспечивающей наращивание возможностей системы путем добавления новых модулей с требуемыми функциональными характеристиками. Использование сканера целесообразно при аудите информационной безопасности производства, периодических проверках целостности системы безопасности автоматизированных платформ управления технологическими процессами, изменении конфигурации промышленной сети, разработке средств защиты АСУ ТП и приемо-сдаточных испытаниях SCADA-решений.

    Сетевой сканер «Ревизор сети»

    ООО «Центр безопасности информации»

    от 5 700 рублей

    Комплекс, предназначенный для использования администраторами и службами безопасности вычислительных сетей, а также органами по аттестации объектов информатизации в целях обнаружения уязвимостей установленного сетевого программного и аппаратного обеспечения, использующего протоколы стека TCP/IP. Объектами исследования сканера являются рабочие станции, серверы, коммутационное оборудование, межсетевые экраны и другие узлы сети, имеющие IP-адреса.

    В основу «Ревизора сети» положена регулярно обновляемая база уязвимостей, посредством которой сканер умеет находить бреши в операционных системах семейства Linux (Mandriva, Gentoo, Red Hat, Slackware, Fedora Core, Debian, SUSE), а также FreeBSD и Solaris. Задействованные в продукте алгоритмы дают возможность проводить сканирование HTTP-серверов, анализ наиболее распространенных сетевых сервисов (Web, Mail, FTP, SNMP, RPC и прочих), подбор паролей, определение типов ОС, проверки типа «отказ в обслуживании», а также прочие тесты, позволяющие выявить узкие места в защите IT-инфраструктуры организации. Поддерживается взаимодействие с сетевым сканером Nmap.

    «Ревизор сети» имеет сертификат ФСТЭК России и поставляется в рамках лицензии на ограниченное количество IP-адресов. В комплект включены электронные ключи Guardant для USB- или LPT-портов.

    Tweet

    XSpider 7 - сетевой сканер безопасности

    XSpider 7 - сетевой сканер безопасности

    Разрабатывая XSpider, специалисты преследовали цель создать профессиональный продукт, который:

    • отличается бескомпромиссным качеством работы, без которого польза от применения сканера безопасности становится сомнительной, независимо от наличия других достоинств;
    • характеризуется разумной ценой и стоимостью владения, поскольку информационная безопасность призвана предотвращать потери, а не увеличивать их;
    • одинаково удобен в использовании для компании любого масштаба (от единиц до десятков тысяч обслуживаемых узлов).

    Вот почему XSpider создавался в первую очередь не программистами, а экспертами по информационной безопасности, которым был необходим профессиональный инструмент самого высокого качества. С одной стороны, специалисты определяли требования к продукту, главная задача которого - обеспечить максимальную эффективность мониторинга сетевой безопасности. Эффективность этого процесса зависит не только (и даже не столько) от функциональных возможностей, сколько от качества работы сканирующего ядра, которое должно быть на самом высоком уровне. С другой стороны, эксперты проектировали интеллектуальные алгоритмы и механизмы поиска уязвимостей, максимально приближенные к тем, которые используются в реальной жизни для попыток нарушения безопасности сетей.

    XSpider разрабатывается и совершенствуется уже более 5 лет, аккумулируя в себе опыт и знания многих специалистов, занимающихся решением практических задач в области информационной безопасности. Это позволяет иметь продукт, который в максимальной степени соответствует реальным потребностям профессионалов в этой области.

    XSpider - это сетевой сканнер, предназначенный для анализа защищённости сети путём сканирования и зондирования сетевых ресурсов и выявления их уязвимостей. XSpider работает под управлением Microsoft Windows, но при этом он проверяет все возможные уязвимости независимо от программной и аппаратной платформы узлов: начиная от рабочих станций под Windows и кончая сетевыми устройствами Cisco (не исключая, конечно, *nix, Solaris, Novell, AS400 и т.д.).

    XSpider работает с уязвимостями на разном уровне - от системного до прикладного. В частности, XSpider включает мощный и глубокий анализатор защищенности WEB-серверов и WEB-приложений.

    Особенности сканирующего ядра:

    Полная идентификация сервисов на случайных портах (дает возможность проверки на уязвимость серверов со сложной нестандартной конфигурацией, когда сервисы имеют произвольно выбранные порты).
  • Эвристический метод определения типов и имен серверов (HTTP, FTP, SMTP, POP3, DNS, SSH) вне зависимости от их ответа на стандартные запросы (служит для определения настоящего имени сервера и корректной работы проверок в тех случаях, если конфигурация WWW-сервера скрывает его настоящее имя или заменяет его на другое).
  • Обработка RPC-сервисов (Windows и *nix) с их полной идентификацией (обеспечивает возможности определения RPC-сервисов и поиска уязвимостей в них, а также определения детальной конфигурации компьютера в целом).
  • Проверка слабости парольной защиты (производится оптимизированный подбор паролей практически во всех сервисах, требующих аутентификации, помогая выявить слабые пароли).
  • Глубокий анализ контента WEB-сайтов (анализ всех скриптов HTTP-серверов (в первую очередь, пользовательских) и поиск в них разнообразных уязвимостей: SQL инъекций, инъекций кода, запуска произвольных программ, получения файлов, межсайтовый скриптинг (XSS), HTTP Response Splitting).
  • Анализатор структуры HTTP-серверов (позволяет осуществлять поиск и анализ директорий доступных для просмотра и записи, давая возможность находить слабые места в конфигурации).
  • Проведение проверок на нестандартные DoS-атаки (существует возможность включения проверок "на отказ в обслуживании", основанных на опыте предыдущих атак и хакерских методах).
  • Специальные механизмы, уменьшающие вероятность ложных срабатываний (в различных видах проверок используются специально под них разработанные методы, уменьшающие вероятность ошибочного определения уязвимостей).
  • Ежедневной добавление новых уязвимостей и проверок (оригинальная технология обновления программы не только позволяет пользователям каждый день иметь актуальную базу уязвимостей при минимальном трафике и временных затратах не прекращая при этом работы программы, но и обеспечивает регулярный update программных модулей по мере их совершенствования).

    • Наглядный и удобный многооконный графический интерфейс
    • Использование концепций "задач" и "профилей" для эффективного управления процессом мониторинга безопасности
    • Гибкий планировщик заданий для автоматизации работы
    • Одновременное сканирование большого числа компьютеров (ограничивается, как правило, скоростью сетевого канала)
    • Ведение полной истории проверок
    • Генерация отчетов с различными уровнями их детализации
    • Встроенная документация, включающая контекстную справку и учебник
    • Работает под управлением Windows NT/2000/XP/2003
    • Низкие аппаратные требования
    Технические характеристики

    У XSpider нет одной характерной скорости сканирования, она зависит от ряда обстоятельств. В частности, использование того или иного профиля (настроек сканирования) может заметно влиять на скорость проверки конкретного хоста. Время сканирования может колебаться от 2 минут до двух часов в зависимости от профиля и конфигурации хоста. В дистрибутив XSpider входят заранее разработанные профили сканирования, полезные в разных типовых ситуациях.

    Имеется два подхода к организации онлайнового обновления XSpider: при помощи встроенных средств и с использованием дополнительного сервера обновлений. Каждый из вариантов имеет свои преимущества. Первый вариант дешевле и не требует дополнительных усилий по установке и настройке системы. Второй вариант предоставляет дополнительную гибкость и дает возможность адаптировать процесс обновления к политике информационной безопасности компании, какой бы строгой она не была.

    Обновление при помощи встроенных средств
    Обновление с использованием дополнительного сервера обновлений

    В любом случае, первоначальным источником обновлений является глобальный сервер обновлений XSpider, расположенный в Интернете по адресу xspiderupdate.ptsecurity.ru. Сервер держит открытым два порта — 2002 и 80 — по любому из которых можно производить обновление. По порту 2002 работает оригинальный шифрованный протокол, поддерживающий проверку лицензий. Этот протокол является базовым для всей системы обновлений XSpider. Порт 80 поддерживает обновление по протоколу HTTP. Шифрование и проверка лицензий поддерживаются и в этом случае, поскольку реально данные передаются на основе базового протокола, преобразованного в пакеты HTTP.

    Как работает сканер безопасности?

    Как работает сканер безопасности? Введение

    В последнее время увеличилось число публикаций (в основном, зарубежных), посвященных такому новому направлению в области защиты информации, как адаптивная безопасность сети. Это направление состоит из двух основных технологий - анализ защищенности (security assessment) и обнаружение атак (intrusion detection). Именно первой технологии и посвящена данная статья.

    Сеть состоит из каналов связи, узлов, серверов, рабочих станций, прикладного и системного программного обеспечения, баз данных и т.д. Все эти компоненты нуждаются в оценке эффективности их защиты. Средства анализа защищенности исследуют сеть и ищут "слабые" места в ней, анализируют полученные результаты и на их основе создают различного рода отчеты. В некоторых системах вместо "ручного" вмешательства со стороны администратора найденная уязвимость будет устраняться автоматически (например, в системе System Scanner). Перечислим некоторые из проблем, идентифицируемых системами анализа защищенности:

    • "люки" в программах (back door) и программы типа "троянский конь";
    • слабые пароли;
    • восприимчивость к проникновению из незащищенных систем;
    • неправильная настройка межсетевых экранов, Web-серверов и баз данных;
    • и т.д.

    Технология анализа защищенности является действенным методом реализации политики сетевой безопасности прежде, чем осуществится попытка ее нарушения снаружи или изнутри организации.

    Очень часто пишут об уникальных возможностях систем анализа защищенности (сканерах), подводя читателей к убеждению, что эти системы являются панацеей от всех бед, и что они позволяют обнаруживать все вновь обнаруживаемые уязвимости. Но когда пользователи сталкиваются с ситуацией, которую можно описать заданным мне недавно вопросом: "Я вчера прочитал в Bugtraq про новую уязвимость в моей операционной системе. Почему сетевой сканер безопасности ее не обнаруживает?", то они начинают обвинять системы анализа защищенности во всех своих бедах. А ответ на заданный вопрос очень прост. В базе данных уязвимостей системы анализа защищенности этой уязвимости пока нет. Это один из аспектов, присущий всем системам анализа защищенности. Они предназначены для обнаружения только известных уязвимостей, описание которых есть у них в базе данных. В этом они подобны антивирусным системам, которым для эффективной работы необходимо постоянно обновлять базу данных сигнатур. Все эти вопросы привели к тому, что я решил поделиться практическим опытом работы с различными системами анализа защищенности и написать о том, как вообще работают сканеры безопасности, что они могут, а что нет. Помимо своего практического опыта, при написании данной статьи я использовал материалы компании Internet Security Systems, Inc. Cisco Systems и Network Associates.

    Функционировать такие средства могут на сетевом уровне (network-based), уровне операционной системы (host-based) и уровне приложения (application-based). Наибольшее распространение получили средства анализа защищенности сетевых сервисов и протоколов. Связано это, в первую очередь, с универсальностью используемых протоколов. Изученность и повсеместное использование таких протоколов, как IP, TCP, HTTP, FTP, SMTP и т.п. позволяют с высокой степенью эффективности проверять защищенность информационной системы, работающей в данном сетевом окружении. Вторыми по распространенности являются средства анализа защищенности операционных систем (ОС). Связано это также с универсальностью и распространенностью некоторых операционных систем (например, UNIX и Windows NT). Однако из-за того, что каждый производитель вносит в операционную систему свои изменения (ярким примером является множество разновидностей ОС UNIX), средства анализа защищенности ОС анализируют в первую очередь параметры, характерные для всего семейства одной ОС. И лишь для некоторых систем анализируются специфичные для нее параметры. Средств анализа защищенности приложений на сегодняшний день не так много, как этого хотелось бы. Такие средства пока существуют только для широко распространенных прикладных систем, типа Web-броузеры (Netscape Navigator, Microsoft Internet Explorer), СУБД (Microsoft SQL Server, Sybase Adaptive Server) и т.п.

    Помимо обнаружения уязвимостей, при помощи средств анализа защищенности можно быстро определить все узлы корпоративной сети, доступные в момент проведения тестирования, выявить все используемые в ней сервисы и протоколы, их настройки и возможности для несанкционированного воздействия (как изнутри корпоративной сети, так и снаружи). Также эти средства вырабатывают рекомендации и пошаговые меры, позволяющие устранить выявленные недостатки.

    Поскольку наибольшее распространение получили средства, функционирующие на уровне сети (системы SATAN, Internet Scanner, CyberCop Scanner, NetSonar и т.д.), то основное внимание будет уделено именно им.

    Механизмы работы

    Существует два основных механизма, при помощи которых сканер проверяет наличие уязвимости - сканирование (scan) и зондирование (probe).

    Сканирование - механизм пассивного анализа, с помощью которого сканер пытается определить наличие уязвимости без фактического подтверждения ее наличия - по косвенным признакам. Этот метод является наиболее быстрым и простым для реализации. В терминах компании ISS данный метод получил название "логический вывод" (inference). Согласно компании Cisco этот процесс идентифицирует открытые порты, найденные на каждом сетевом устройстве, и собирает связанные с портами заголовки (banner), найденные при сканировании каждого порта. Каждый полученный заголовок сравнивается с таблицей правил определения сетевых устройств, операционных систем и потенциальных уязвимостей. На основе проведенного сравнения делается вывод о наличии или отсутствии уязвимости.

    Зондирование - механизм активного анализа, который позволяет убедиться, присутствует или нет на анализируемом узле уязвимость.Зондирование выполняется путем имитации атаки, использующей проверяемую уязвимость. Этот метод более медленный, чем "сканирование", но почти всегда гораздо более точный, чем он. В терминах компании ISS данный метод получил название "подтверждение" (verification). Согласно компании Cisco этот процесс использует информацию, полученную в процессе сканирования ("логического вывода"), для детального анализа каждого сетевого устройства. Этот процесс также использует известные методы реализации атак для того, чтобы полностью подтвердить предполагаемые уязвимости и обнаружить другие уязвимости, которые не могут быть обнаружены пассивными методами, например подверженность атакам типа "отказ в обслуживании" ("denial of service").

    На практике указанные механизмы реализуются следующими несколькими методами.

    "Проверка заголовков" (banner check)

    Указанный механизм представляет собой ряд проверок типа "сканирование" и позволяет делать вывод об уязвимости, опираясь на информацию в заголовке ответа на запрос сканера. Типичный пример такой проверки - анализ заголовков программы Sendmail или FTP-сервера, позволяющий узнать их версию и на основе этой информации сделать вывод о наличии в них уязвимости.

    Наиболее быстрый и простой для реализации метод проверки присутствия на сканируемом узле уязвимости. Однако за этой простотой скрывается немало проблем.

    Эффективность проверок заголовков достаточно эфемерна. И вот почему. Во-первых, вы можете изменить текст заголовка, предусмотрительно удалив из него номер версии или иную информацию, на основании которой сканер строит свои заключения. И хотя такие случаи исключительно редки, пренебрегать ими не стоит. Особенно в том случае, если у вас работают специалисты в области безопасности, понимающие всю опасность заголовков "по умолчанию". Во-вторых, зачастую, версия, указываемая в заголовке ответа на запрос, не всегда говорит об уязвимости программного обеспечения. Особенно это касается программного обеспечения, распространяемого вместе с исходными текстами (например, в рамках проекта GNU). Вы можете самостоятельно устранить уязвимость путем модификации исходного текста, при этом забыв изменить номер версии в заголовке. И в-третьих, устранение уязвимости в одной версии еще не означает, что в следующих версиях эта уязвимость отсутствует.

    Процесс, описанный выше, является первым и очень важным шагом при сканировании сети. Он не приводит к нарушению функционирования сервисов или узлов сети. Однако не стоит забывать, что администратор может изменить текст заголовков, возвращаемых на внешние запросы.

    "Активные зондирующие проверки" (active probing check)

    Также относятся к механизму "сканирования". Однако они основаны не на проверках версий программного обеспечения в заголовках, а на сравнении "цифрового слепка" (fingerprint) фрагмента программного обеспечения со слепком известной уязвимости. Аналогичным образом поступают антивирусные системы, сравнивая фрагменты сканируемого программного обеспечения с сигнатурами вирусов, хранящимися в специализированной базе данных. Разновидностью этого метода являются проверки контрольных сумм или даты сканируемого программного обеспечения, которые реализуются в сканерах, работающих на уровне операционной системы.

    Специализированная база данных (в терминах компании Cisco - база данных по сетевой безопасности) содержит информацию об уязвимостях и способах их использовании (атаках). Эти данные дополняются сведениями о мерах их устранения, позволяющих снизить риск безопасности в случае их обнаружения. Зачастую эта база данных используется и системой анализа защищенности и системой обнаружения атак. По крайней мере, так поступают компании Cisco и ISS.

    Этот метод также достаточно быстр, но реализуется труднее, чем "проверка заголовков".

    "Имитация атак" (exploit check)

    Перевода термина "exploit" в российских публикациях я нигде не встречал и эквивалента в русском языке также не нашел. Поэтому воспользуюсь переводом "имитация атак". Данные проверки относятся к механизму "зондирования" и основаны на эксплуатации различных дефектов в программном обеспечении.

    Некоторые уязвимости не обнаруживают себя, пока вы не "подтолкнете" их. Для этого против подозрительного сервиса или узла запускаются реальные атаки. Проверки заголовков осуществляют первичный осмотр сети, а метод "exploit check", отвергая информацию в заголовках, позволяет имитировать реальные атаки, тем самым с большей эффективностью (но меньшей скоростью) обнаруживая уязвимости на сканируемых узлах. Имитация атак является более надежным способом анализа защищенности, чем проверки заголовков, и обычно более надежны, чем активные зондирующие проверки.

    Однако существуют случаи, когда имитация атак не всегда может быть реализована. Такие случаи можно разделить на две категории: ситуации, в которых тест приводит к "отказу в обслуживании" анализируемого узла или сети, и ситуации, при которых уязвимость в принципе не годна для реализации атаки на сеть.

    Как мы все знаем, многие проблемы защиты не могут быть выявлены без блокирования или нарушения функционирования сервиса или компьютера в процессе сканирования. В некоторых случаях нежелательно использовать имитацию атак (например, для анализа защищенности важных серверов), т.к. это может привести к большим затратам (материальным и временным) на восстановление работоспособности выведенных из строя элементов корпоративной сети. В этих случаях желательно применить другие проверки, например, активное зондирование или, в крайнем случае, проверки заголовков.

    Однако, есть некоторые уязвимости (например, проверка подверженности атакам типа "Packet Storm"), которые просто не могут быть протестированы без возможного выведения из строя сервиса или компьютера. В этом случае разработчики поступают следующим образом, - по умолчанию такие проверки выключены и пользователь может сам включить их, если желает. Таким образом, например, реализованы системы CyberCop Scanner и Internet Scanner. В последней системе такого рода проверки выделены в отдельную категорию "Denial of service" ("Отказ в обслуживании"). При включении любой из проверок этой группы система Internet Scanner выдает сообщение "WARNING: These checks may crash or reboot scanned hosts" ("Внимание: эти проверки могут вывести из строя иди перезагрузить сканируемые узлы").

    Этапы сканирования

    Практически любой сканер проводит анализ защищенности в несколько этапов:

  • Сбор информации о сети. На данном этапе идентифицируются все активные устройства в сети и определяются запущенные на них сервисы и демоны. В случае использования систем анализа защищенности на уровне операционной системы данный этап пропускается, поскольку на каждом анализируемом узле установлены соответствующие агенты системного сканера.

  • Обнаружение потенциальных уязвимостей. Сканер использует описанную выше базу данных для сравнения собранных данных с известными уязвимостями при помощи проверки заголовков или активных зондирующих проверок. В некоторых системах все уязвимости ранжируются по степени риска. Например, в системе NetSonar уязвимости делятся на два класса: сетевые и локальные уязвимости. Сетевые уязвимости (например, воздействующие на маршрутизаторы) считаются более серьезными по сравнению с уязвимостями, характерными только для рабочих станций. Аналогичным образом "поступает" и Internet Scanner. Все уязвимости в нем делятся на три степени риска: высокая (High), средняя (Medium) и низкая (Low).

  • Подтверждение выбранных уязвимостей. Сканер использует специальные методы и моделирует (имитирует) определенные атаки для подтверждения факта наличия уязвимостей на выбранных узлах сети.

  • Генерация отчетов. На основе собранной информации система анализа защищенности создает отчеты, описывающие обнаруженные уязвимости. В некоторых системах (например, Internet Scanner и NetSonar) отчеты создаются для различных категорий пользователей, начиная от администраторов сети и заканчивая руководством компании. Если первых в первую очередь интересуют технические детали, то для руководства компании необходимо представить красиво оформленные с применением графиков и диаграмм отчеты с минимумом подробностей. Немаловажным аспектом является наличие рекомендаций по устранению обнаруженных проблем. И здесь по праву лидером является система Internet Scanner, которая для каждой уязвимости содержит пошаговые инструкции для устранения уязвимостей, специфичные для каждой операционной системы. Во многих случаях отчеты также содержат ссылки на FTP- или Web-сервера, содержащие patch'и и hotfix'ы, устраняющие обнаруженные уязвимости.

  • Автоматическое устранение уязвимостей. Этот этап очень редко реализуется в сетевых сканерах, но широко применяется в системных сканерах (например, System Scanner). При этом данная возможность может реализовываться по-разному. Например, в System Scanner создается специальный сценарий (fix script), который администратор может запустить для устранения уязвимости. Одновременно с созданием этого сценария, создается и второй сценарий, отменяющий произведенные изменения. Это необходимо в том случае, если после устранения проблемы, нормальное функционирование узла было нарушено. В других системах возможности "отката" не существует.
  • В любом случае у администратора, осуществляющего поиск уязвимостей, есть несколько вариантов использования системы анализа защищенности:

    Запуск сканирования только с проверками на потенциальные уязвимости (этапы 1,2 и 4). Это дает предварительное ознакомление с системами в сети. Этот метод является гораздо менее разрушительным по сравнению с другими и также является самым быстрым.

    • Запуск сканирования с проверками на потенциальные и подтвержденные уязвимости. Этот метод может вызвать нарушение работы узлов сети во время реализации проверок типа "exploit check".
    • Запуск сканирования с вашими пользовательскими правилами для нахождения конкретной проблемы.
    • Все из вышеназванного.
    Особенности применения

    Если сканер не находит уязвимостей на тестируемом узле, то это еще не значит, что их нет. Просто сканер не нашел их. И зависит это не только от самого сканера, но и от его окружения. Например, если Вы тестируете сервис Telnet или FTP на удаленной машине, и сканер сообщает Вам, что уязвимостей не обнаружено - это может значить не только, что уязвимостей нет, а еще и то, что на сканируемом компьютере установлен, например, TCP Wrapper. Да мало ли еще чего? Вы можете пытаться получить доступ к компьютеру через межсетевой экран или попытки доступа блокируются соответствующими фильтрами у провайдера и т.д. Для ОС Windows NT характерен другой случай. Сканер пытается дистанционно проанализировать системный реестр (registry). Однако в случае запрета на анализируемом узле удаленного доступа к реестру, сканер никаких уязвимостей не обнаружит. Существуют и более сложные случаи. И вообще различные реализации одного итого же сервиса по-разному реагируют на системы анализа защищенности. Очень часто на практике можно увидеть, что сканер показывает уязвимости, которых на анализируемом узле нет. Это относится к сетевым сканерам, которые проводят дистанционный анализ узлов сети. И удаленно определить, существует ли в действительности уязвимость или нет, практически невозможно. В этом случае можно порекомендовать использовать систему анализа защищенности на уровне операционной системы, агенты которой устанавливаются на каждый контролируемый узел и проводят все проверки локально.

    Для решения этой проблемы некоторые компании-производители пошли по пути предоставления своим пользователям нескольких систем анализа защищенности, работающих на всех указанных выше уровнях, - сетевом, системном и уровне приложений. Совокупность этих систем позволяет с высокой степенью эффективности обнаружить практически все известные уязвимости. Например, компания Internet Security Systems предлагает семейство SAFEsuite, состоящее из четырех сканеров: Internet Scanner, System Scanner, Security Manager и Database Scanner. В настоящий момент это единственная компания, которая предлагает системы анализа защищенности, функционирующие на всех трех уровнях информационной инфраструктуры. Другие компании предлагают или два (Axent) или, как правило, один (Network Associates, NetSonar и др.) сканер.

    Компания Cisco, предлагающая только систему анализа защищенности на уровне сети пошла другим путем для устранения проблемы ложного срабатывания. Она делит все уязвимости на два класса:

    • Потенциальные - вытекающие из проверок заголовков и т.н. активных "подталкиваний" (nudge) анализируемого сервиса или узла. Потенциальная уязвимость возможно существует в системе, но активные зондирующие проверки не подтверждают этого.
    • Подтвержденные - выявленные и существующие на анализируемом хосте.

    Проверки на потенциальную уязвимость проводятся через коллекцию заголовков и использование "несильных подталкиваний". "Подталкивание" используется для сервисов, не возвращающих заголовки, но реагирующих на простые команды, например, посылка команды HEAD для получения версии HTTP-сервера. Как только эта информация получена, система NetSonar использует специальный механизм (rules engine), который реализует ряд правил, определяющих, существует ли потенциальная уязвимость.

    Таким образом, администратор знает, какие из обнаруженных уязвимостей действительно присутствуют в системе, а какие требуют подтверждения.

    Однако в данном случае остаются уязвимости, с трудом обнаруживаемые или совсем не обнаруживаемые через сеть. Например, проверка "слабости" паролей, используемых пользователями и другими учетными записями. В случае использования сетевого сканера вам потребуется затратить очень много времени на удаленную проверку каждой учетной записи. В то же время, аналогичная проверка, осуществляемая на локальном узле, проводится на несколько порядков быстрее. Другим примером может служить проверка файловой системы сканируемого узла. Во многих случаях ее нельзя осуществить дистанционно.

    Достоинства сканирования на уровне ОС кроются в прямом доступе к низкоуровневым возможностям ОС хоста, конкретным сервисам и деталям конфигурации. Тогда как сканер сетевого уровня имитирует ситуацию, которую мог бы иметь внешний злоумышленник, сканер системного уровня может рассматривать систему со стороны пользователя, уже имеющего доступ к анализируемой системе и имеющего в ней учетную запись. Это является наиболее важным отличием, поскольку сетевой сканер по определению не может предоставить эффективного анализа возможных рисков деятельности пользователя.

    Многие сканеры используют более чем один метод проверки одной и той же уязвимости или класса уязвимостей. Однако в случае большого числа проверок использование нескольких методов поиска одной уязвимости привносит свои проблемы. Связано это со скоростью проведения сканирования.

    Например, различие между системами CyberCop Scanner и Internet Scanner в том, что разработчики из NAI никогда не добавят в свой продукт проверку, если не могут с уверенностью сказать, что проверка надежно обнаруживает уязвимость. В то время как разработчики ISS пополняют свою базу даже в том случае, если их проверка обнаруживает уязвимость с некоторой точностью. Затем, уже после выпуска системы, происходит возврат к разработанным проверкам, их улучшение, добавление новых механизмов осуществления проверок той же уязвимости для повышения достоверности, и т.д. Достаточно спорный вопрос, что лучше. С одной стороны лучше, когда вы с уверенностью можете сказать, что на анализируемом узле определенной уязвимости нет. С другой, даже если существует хоть небольшой шанс, что вы можете обнаружить уязвимость, то надо этим шансом воспользоваться. В любом случае наиболее предпочтительным является проверка типа "имитация атак", которая обеспечивает наибольший процент точного обнаружения уязвимостей.

    Не все проверки, разработанные в лабораторных условиях, функционируют так, как должны. Даже, несмотря на то, что эти проверки тестируются, прежде чем будут внесены в окончательную версию сканера. На это могут влиять некоторые факторы:

    • Особенности конфигурации пользовательской системы.
    • Способ, которым был скомпилирован анализируемый демон или сервис.
    • Ошибки удаленной системы.
    • И т.д.

    В таких случаях автоматическая проверка может пропустить уязвимость, которая легко обнаруживается вручную и которая может быть широко распространена во многих системах. Проверка заголовка в совокупности с активным зондированием в таком случае может помочь определить подозрительную ситуацию, сервис или узел. И хотя уязвимость не обнаружена, еще не значит, что ее не существует. Необходимо другими методами, в т.ч. и неавтоматизированными, исследовать каждый подозрительный случай.

    Разница в реализации

    Системы различных производителей могут использовать различные методы поиска одной и той же уязвимости, что может привести к ее нахождению в случае использования одного средства и ненахождения - в случае другого. Хорошую ассоциацию приводит ведущий разработчик системы Internet Scanner Девид ЛеБлан. "Если вы спросите меня - дома мой товарищ или нет, я просто позвоню ему. Если его телефон не отвечает, то я позвоню вам и сообщу, что его нет дома. Затем вы идете к нему домой, стучите в дверь и он отвечает. Не называйте меня лжецом только из-за того, что то, что я пытался сделать не сработало. Возможно, я был не прав или необходимо было использовать другие методы, но я пытался сделать то, что считал нужным". Так и со средствами поиска уязвимостей.

    Кроме того, если в созданном отчете не сказано о той или иной уязвимости, то иногда стоит обратиться к журналам регистрации (log) системы анализа защищенности. В некоторых случаях, когда сканер не может со 100%-ой уверенностью определить наличие уязвимости, он не записывает эту информацию в отчет, однако сохраняет ее в логах. Например, анализ и разбор поля sysDescr в журнале регистрации системы Internet Scanner существенно помогает во многих спорных случаях.

    Существуют различия и между тем, как влияет одна и та же проверка на различные версии сервисов в различных операционных системах. Например, использование учетной записи halt для демона Telnet на некоторых компьютерах под управлением Unix или Windows NT не приведет к плачевным последствиям, в то время как на старых версиях Unix это вызовет запуск команды /bin/halt при попытке доступа к удаленной системе с использованием этой учетной записи.

    Перспективы развития

    С 1992 года, когда появился первый сканер SATAN, существенно изменились требования к такого рода средствам. Сейчас уже недостаточно, чтобы система анализа защищенности обладала только обширной базой уязвимостей. Поэтому производители стали расширять функциональность своих продуктов за счет добавления следующих возможностей.

    Автоматическое обновление уязвимостей

    До недавнего времени пополнение сканера новыми уязвимостями проводилось достаточно редко (1 раз в месяц и реже). При этом под пополнением понималось обновление всей системы анализа защищенности, т.е. получение новой версии программного обеспечения.

    Сейчас ситуация меняется. В некоторых системах, например, HackerShield существует возможность автоматического обращения через Internet к Web-серверу компании-производителя и загрузка с него новых уязвимостей. При этом соединение с сервером может производиться как по требованию оператора системы, так и по заданному расписанию.

    Единый формат базы уязвимостей

    В целях унификации и возможной интеграции систем анализа защищенности в настоящий момент ведутся работы по созданию единого для всех сканеров формата базы уязвимостей. И хотя работа эта только началась и ей далеко до своего завершения, первые шаги уже сделаны. Например, лаборатория COAST в университете Purdue разработала проект такой базы данных. Одна из проблем, с которой пришлось столкнуться исследователям, - это описание уязвимостей и их проверок (атак).

    Языки описания уязвимостей и проверок

    Попытки добавить механизмы описания уязвимостей и проверок в системы анализа защищенности велись давно. Они предпринимались практически всеми компаниями-разработчиками. Первая такая попытка была предпринята Витсом Венема и Деном Фармером - разработчиками системы SATAN. Описание новых уязвимостей, точнее их проверок, осуществлялось при помощи языка Perl. Это достаточно нетривиальная задача требовала обширных знаний как языка Perl, так и архитектуры стека протоколов TCP/IP и сканируемой операционной системы. По этому же пути (использование Perl) пошли разработчики системы WebTrends Security Analyzer. В приложении 1 приведен пример проверки, позволяющей определить тип операционной системы сканируемого узла. Язык Perl, наряду с языком C, используется и в системе Internet Scanner. Причем помимо возможностей, встроенных в саму систему Internet Scanner, компания ISS поставляет отдельную систему описания атак APX (Advanced Packets eXchange).

    Другим языком, используемым при описании осуществляемых проверок, стал Tcl. Модификации этого языка используются в системах APX (бесплатное приложение к системе Internet Scanner), Security Manager и CyberCop Scanner. Компания Network Associates последовала примеру компании ISS и выделила механизм описания уязвимостей в отдельную систему CyberCop CASL (Custom Audit Scripting Language). Также как и APX, система CyberCop CASL может функционировать под управлением ОС Windows NT и Unix (Linux для CASL и Solaris для APX).

    В системах APX и CASL описываются параметры сетевых пакетов, при помощи которых моделируются различные атаки. К таким параметрам можно отнести флаги в заголовке IP-пакета, номера портов в заголовке TCP-пакета, поля данных в пакетах различных протоколов и т.д. В качестве примера (Приложение 2) можно привести проверку возможности осуществления подмены пакетов (Spoofing).

    Однако наиболее удобным с точки зрения конечного пользователя (не программиста) является язык VDL (Vulnerability Descriptive Language) и VEL (Vulnerability Exploit Language), разработанный компанией Cisco. Проверки, описываемые этими языками, основаны на простых логических утверждениях, и пользователь может добавлять правила, если он видит, что они необходимы. Примером такого правила может быть:

    # Секция описания сервисов: На анализируемом узле найден netstat
    port 15 using protocol tcp => Service:Info-Status:netstat

    Данная проверка описывает правило, которое определяет наличие сервиса netstat на 15-ом TCP-порту анализируемого узла. Более сложное следующее правило определяет наличие запущенного приложения SuperApp устаревшей версии по заголовку, возвращаемому на запрос, обращенный к портам 1234 или 1235.

    # Пользовательская проверка: Приложение SuperApp 1.0 запущено на сканируемом хосте.
    (scanfor "SuperApp 1.0" on port 1234) || (scanfor "SuperApp 1.0 Ready" on port 1235) => VULp:Old-Software:Super-App-Ancient:10003

    Данная потенциальная уязвимость (VULp) относится к типу "устаревшее (потенциально уязвимое) программное обеспечение" (Old-Software) и носит название Supper-App-Ancient, задаваемое пользователем. Число 10003 определяет уникальный номер записи в базе данных уязвимостей системы NetSonar (NSDB).

    Механизм описания своих проверок и уязвимостей является очень полезной возможностью для администраторов, отслеживающих уязвимости, описанные в Bugtraq и иных списках рассылки.Эта возможность позволяет быстро записать новое правило и использовать его в своей сети. Однако можно заметить, что язык, используемый в системе NetSonar и описывающий эти правила, достаточно элементарен и может помочь только в самых простых случаях. В сложных ситуациях, когда проверку нельзя записать одним правилом, необходимо использовать более сложные сценарии, которые достигаются применением языков Perl, Tcl и C.

    Необходимо заметить, что хотя данная возможность и является полезной, ее эффективность достаточно эфемерна. В своей практической деятельности мне не приходилось встречаться с организациями, которые могли бы себе позволить содержать целый штат или одного сотрудника, занимающихся исследованиями в области новых проверок и уязвимостей (я не беру в расчет силовые ведомства и иные организации, работающие в области защиты информации). Как правило, человек, отвечающий за обеспечение безопасности, не обладает глубокими познаниями в программировании. Кроме того, помимо анализа защищенности на нем "висит" еще много других задач (контроль пользователей, установка прав доступа и т.д.), и он просто не имеет времени для такой творческой работы, как описание новых проверок.

    Заключение

    Использовать такого рода средства надо. Но хочу еще раз заметить, что не стоит считать их панацеей от всех бед. Они ни в коем случае не заменяют специалистов в области безопасности. Они всего лишь автоматизируют их работу, помогая быстро проверить сотни узлов, в т.ч. и находящихся на других территориях. Они помогут вам обнаружить практически все известные уязвимости и порекомендовать меры, их устраняющие. Они автоматизируют этот процесс, а с учетом возможности описания своих собственных проверок, помогут эффективно применять их в сети любой организации, учитывая именно вашу специфику.

    Надо помнить, что сканер - это всего лишь часть эффективной политики безопасности сети, которая складывается не только из применения различных технических мер защиты (средств анализа защищенности, систем обнаружения атак, межсетевых экранов и т.п.), но и из применения различных организационных и законодательных мер.

    Приложение 1. Пример проверки, осуществляемой системой WebTrends Security Analyzer

    <TestAuthor> WebTrends Corporation </TestAuthor>
    <TestCopyright> Copyright 1998, WebTrends Corporation, All Rights Reserved. </TestCopyright>
    <TestVersion> 2.0 </TestVersion>

    <TestTitle>Query OS Type via Netbios</TestTitle>

    <TestVulnerabilityDescription>
    This test attempts to determine the operating system type and version running on
    the specified hosts.
    </TestVulnerabilityDescription>

    # osdetectnt.pl
    # attempt to detect OS using a netbios over tcp/ip call

    $theTargetNetbiosName = GetStringParam($crowbar::WTDB_NetbiosName);
    crowbar::WTDebugOutput("OSDetect -- the target netbios name is $theTargetNetbiosName");

    if($theTargetNetbiosName)<
    $a = crowbar::WTGetNTOSInfo($theTargetNetbiosName);
    if($a)<
    $a =

    /^OSTYPE (.*):VERSION (.*)/;
    $type = $1;
    $version = $2;
    crowbar::WTDebugOutput("Type is $type, version is $version\n");
    if($version =

    m/OSVersion_Unknown/)<
    crowbar::WTAddRecord( $crowbar::WTDB_OSVersion, length("Unknown") + 1, "Unknown", -1);
    >
    elsif($version =

    m/OSVersion_WindowsNT_3_5_0/)<
    crowbar::WTAddRecord( $crowbar::WTDB_OSVersion, length("Version 3.5") + 1, "Version 3.5", -1);
    >
    elsif($version =

    m/OSVersion_WindowsNT_3_5_1/)<
    crowbar::WTAddRecord( $crowbar::WTDB_OSVersion, length("Version 3.51") + 1, "Version 3.51", -1);
    >
    elsif($version =

    m/OSVersion_WindowsNT_4_0/)<
    crowbar::WTAddRecord( $crowbar::WTDB_OSVersion, length("Version 4.0") + 1, "Version 4.0", -1);
    >
    elsif($version =

    m/OSVersion_WindowsNT_5_0/)<
    crowbar::WTAddRecord( $crowbar::WTDB_OSVersion, length("Version 5.0") + 1, "Version 5.0", -1);
    >

    m/OSType_Unknown/)<
    crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Unknown") + 1, "Unknown", -1);
    >
    elsif($type =

    m/OSType_Unix/)<
    crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Unix Server") + 1, "Unix Server", -1);
    >
    elsif($type =

    m/OSType_WindowsNTServer/)<
    crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Windows NT Server") + 1, "Windows NT Server", -1);
    >
    elsif($type =

    m/OSType_WindowsNTPDC/)<
    crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Windows NT Primary Domain Controller") + 1, "Windows NT Primary Domain Controller", -1);
    >
    elsif($type =

    m/OSType_WindowsNTBDC/)<
    crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Windows NT Backup Domain Controller") + 1, "Windows NT Backup Domain Controller", -1);
    >
    elsif($type =

    m/OSType_WindowsNTWorkstation/)<
    crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Windows NT Workstation") + 1, "Windows NT Workstation", -1);
    >
    elsif($type =

    m/OSType_WindowsNT/)<
    crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Windows NT") + 1, "Windows NT", -1);
    >
    elsif($type =

    m/OSType_Windows95/)<
    crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Windows 95/98") + 1, "Windows 95/98", -1);
    >
    elsif($type =

    m/OSType_Windows98/)<
    crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Windows 98") + 1, "Windows 98", -1);
    >
    >
    >
    </Test>

    Приложение 2. Пример проверки, осуществляемой системой CyberCop CASL

    # this script is used by the built-in filter checks
    # please do not modify it
    ip
    ip_version=4
    ip_proto=IPPROTO_UDP
    ip_flags=0
    ip_id=42
    ip_done

    udp
    udp_sport=6834
    udp_dport=5574
    udp_done