Призначення сканера

Сьогодні практично всі локальні мережі мають доступ до ресурсів глобальної мережі Інтернет. У деяких локальних мережах може не бути серверів, до яких надано доступ ззовні і мережа виходить в інтернет за допомогою технології NAT, тобто один комп'ютер забезпечує інтернетом всю мережу. У деяких мережах можуть працювати кілька серверів, до яких надано доступ з Інтернету, а комп'ютери в мережі можуть мати глобальні IP-адреси. У будь-якому випадку завжди є хоча б один комп'ютер, що має пряме підключення до інтернету. Зламування такого комп'ютера поставить під загрозу інформаційну безпеку мережі і може мати сумні наслідки. Якщо в мережі працює кілька серверів з глобальними адресами і вони надають можливість, наприклад, співробітникам компанії отримати доступ до своєї пошти або до корпоративної бази даних з будь-якої точки світу, то забезпечення безпеки такої мережі стає досить складним завданням, якісно вирішувати яке зможе лише співробітник високою кваліфікацією. Основними обов'язками цього фахівця буде відстеження стрічок новин десятків сайтів, що спеціалізуються на безпеці, які публікують відомості про виявлені вразливості, негайне реагування на такі повідомлення та самостійний пошук вразливостей, які ще невідомі чи унікальні. Враховуючи, що між виявленням вразливості і до виходу офіційного виправлення від виробника може проходити досить багато часу, фахівець повинен оперативно закривати можливість використання вразливості. Якщо послуги, що надаються відвідувачам, користуються досить великою популярністю, то чим швидше адміністратор дізнається про виявлення вразливості (в ідеалі, ще до її опублікування на спеціалізованих сайтах), то тим вища ймовірність того, що він встигне закрити виявлений пролом. Деякі вразливості можуть бути унікальними для певного сервісу. Наприклад, помилки у програмуванні скриптів можуть відкрити можливість для хакера встановити на сервері консоль, використовуючи яку він зможе отримати повний контроль над сервером, а потім над іншими ресурсами мережі. Таким чином, забезпечення безпеки мережі, в якій працюють публічні сервіси, дуже складне та важке заняття, допомогти в якому і покликаний XSpider.

XSpider може в повністю автоматичному режимі перевіряти комп'ютери та сервіси в мережі щодо виявлення вразливостей. База вразливостей постійно поповнюється фахівцями, що у сумі з автоматичним оновленням баз та модулів програми постійно підтримує актуальність версії XSpider.

XSpider може виконувати перевірки за розкладом. Таким чином, налаштувавши планувальник XSpider, автоматичне оновлення та надсилання звітів про результати перевірки поштою або їх збереження на мережному диску, можна значно полегшити процес виявлення вразливостей. Це дозволить сконцентрувати свою увагу на боротьбі з вже виявленими вразливістю та на доналаштуванні та оновленні програмного забезпечення. У цьому XSpider надає таку ж неоціненну допомогу, виводячи у звіт про результати перевірки як інформацію про знайдену вразливість, а й посилання, наприклад, статті на сайті Microsoft, які описують виявлену XSpider вразливість і дають рекомендації з її усунення.

Ознайомитись з умовами покупки, дізнатися ціни та замовити XSpider можна у .

Результати перевірки хоста з операційною системою Windows XP без сервіс-пака та з відключеним брандмауером

У другому тесті аудиту було піддано хост з ОС Windows XP без сервіс-пака з відключеним брандмауером. Вкладка Головне вікно XSpider показано на малюнку нижче.

У ході сканування було виявлено кілька критичних уразливостей. У результатах роботи були дані посилання статті в Базі знань Microsoft, які описують виявлену вразливість та посилання для завантаження виправлень, що усувають ці вразливості.

Дякуємо компанії « » за надану для тестування копію продукту.

У кожного з команди ][ - свої уподобання щодо софту і утиліт для
пентесту. Порадившись, з'ясували: вибір так відрізняється, що можна скласти
справжній джентльменський набір із перевірених програм. На тому й вирішили. Щоб
не робити збірну солянку, весь перелік ми розбили на теми. Сьогодні ми торкнемося
свята святих будь-якого пентестера – сканера вразливостей.

Nessus

Сайт:
www.nessus.org/plugins/index.php
Розповсюдження: Free/Shareware
Платформа: Win/*nix/Mac

Якщо хтось і не куштував Nessus, то щонайменше чув про нього.
Один із найвідоміших сканерів безпеки має багату історію: будучи
колись відкритим проектом, програма перестала поширюватися у відкритих
вихідниках. На щастя, залишилася безкоштовна версія, яка спочатку була
сильно обділена в доступі до оновлень для бази вразливостей та нових плагінів,
Проте пізніше розробники зглянулися і лише обмежили їх у періодичності апдейтів.
Плагіни - ключова особливість архітектури програми: будь-який тест на
проникнення не зашивається наглухо всередину програми, а оформляється як
плагіна, що підключається. Аддони розподіляються на 42 різних типи: щоб
провести пентест, можна активувати як окремі плагіни, так і всі плагіни
певного типу - наприклад, для виконання всіх локальних перевірок на
Ubuntu-система. Причому ніхто не обмежує тебе у написанні власних тестів
на проникнення: для цього в Nessus була реалізована спеціальна скриптова мова
- NASL (Nessus Attack Scripting Language), який пізніше
запозичили й інші утиліти.

Ще більшої гнучкості розробники досягли, відокремивши серверну частину сканера,
виконує всі дії, від клієнтської програми, що є не
більш ніж графічний інтерфейс. В останній 4.2 версії демон на 8834 порту
відкриває веб-сервер; з ним можна керувати сканером через зручний інтерфейс на
Flash"е, маючи один лише браузер. Після установки сканера серверна запускається
автоматично, коли вкажеш ключ для активації: ти безкоштовно можеш
запитати його на домашньому сайті Nessus. Щоправда, для входу, та локального,
і віддаленого, потрібно попередньо створити користувача: у вінді це
робиться в два кліки миші через GUI-адмінку Nesus Server Manager, з її ж
можна запускати та зупиняти сервер.

Будь-який тест на проникнення починається зі створення так званих Policies.
правил, яких сканер дотримуватиметься під час сканування. Ось тут і
вибираються види сканування портів (TCP Scan, UDP Scan, Syn Scan тощо),
кількість одночасних підключень, а також типові чисто для Nessus
опції, наприклад, Safe Checks. Остання включає безпечне сканування,
деактивуючи плагіни, які можуть завдати шкоди системі, що сканується. Важливий крок
у створенні правил - це підключення потрібних плагінів: можна активізувати цілі
групи, скажімо, Default Unix Accounts, DNS, CISCO, Slackware Local Security
Checks, Windows і т.д. Вибір можливих атак та перевірок – величезний! Відмінна
Характеристика Nessus - розумні плагіни. Сканер ніколи не скануватиме сервіс тільки
за номером його порту. Перемістивши веб-сервер зі стандартного 80-го порту, скажімо,
на 1234-й, обдурити Nessus не вдасться - він це визначить. Якщо на FTP-сервері
вимкнено анонімний користувач, а частина плагінів використовують його для перевірки,
то сканер не буде їх запускати, свідомо знаючи, що користі від них не буде. Якщо
плагін експлуатує вразливість у Postfix, Nessusне катуватиме
щастя, пробуючи тести проти sendmail"а - і т.д. Зрозуміло, що для виконання
перевірок на локальній системі, необхідно надати сканеру Credentials
(логіни та паролі для доступу) - це завершальна частина налаштування правил.

OpenVAS

Сайт: www.openvas.org
Розповсюдження: Freeware
Платформа: Win/*nix/Mac

Незважаючи на те, що вихідні коди Nessus стали закритими, двигун Nessus 2 і
частина плагінів, як і раніше, поширюються за ліцензією GPL у вигляді проекту
OpenVAS (OpenSource Vulnerability Assessment Scanner). Зараз проект
розвивається абсолютно незалежно від свого старшого брата і робить чималі
успіхи: остання стабільна версія вийшла якраз перед відправкою номера в
печатка. Не дивно що OpenVASтак само використовує клієнт-серверну
архітектуру, де всі операції сканування виконуються серверною частиною – вона
працює лише під ніксами. Для запуску потрібно завантажити пакети
openvas-scanner, а також набір бібліотек openvas-libraries. В якості
клієнтської частини для OpenVAS 3.0 доступна тільки ніксова GUI-програма,
Проте, гадаю, що, як і попередніх версій, скоро з'явиться порт для вінды. В будь-якому
випадку, найпростіше скористатися OpenVASза допомогою відомого
LiveCD Bactrack (4-та версія), в якому він вже встановлений. Усі основні
операції для початку роботи винесені до пунктів меню: OpenVAS Make Cert (створення
SSL-сертифіката для доступу до сервера), Add User (створення користувача для доступу до сервера)
серверу), NVT Sync (оновлення плагінів та баз вразливостей), і, зрештою,
OpenVAS Server (запуск сервера через пункт меню). Далі залишається тільки
запустити клієнтську частину та здійснити підключення до сервера для початку пентесту.

Відкритість та розширюваність OpenVASдозволила сильно прокачати
програму. Крім безпосередньо плагінів для аналізу захищеності, до неї
інтегровано чимало відомих утиліт: Nikto для пошуку вразливих CGI-сценаріїв,
nmap для сканування портів та моря інших речей, ike-scan для виявлення IPSEC
VPN вузли, amap для ідентифікації сервісів на портах, використовуючи fingerprinting,
ovaldi для підтримки OVAL - стандартної мови для опису вразливостей - та
безліч інших.

XSpider 7

Сайт:
www.ptsecurity.ru/xs7download.asp
Розповсюдження: Shareware
Платформа: Win

Перші рядки коду XSpiderбули написані 2 грудня 1998 року, а за
минулі з тих пір 12 років цей сканер став відомий кожному російському
спеціалісту з інформаційної безпеки. Взагалі, Positive Technologies – одна
з небагатьох компаній на вітчизняному ринку інформаційної безпеки, чиї
Співробітники вміють реально щось ламати, а не лише гарно продавати послуги.
Продукт був написаний не програмістами, а фахівцями з ІБ, які знають, як і
що треба перевіряти. Що зрештою? Маємо дуже якісний продукт з одним лише,
але дуже серйозним для нас мінусом: XSpiderплатний! Задарма
розробники пропонують урізану демо-версію, в якій не реалізовано цілу низку
перевірок, у тому числі евристичних, а також онлайн оновлення для бази
уразливостей. Більше того, сили розробників зараз повністю спрямовані на інший
продукт - систему моніторингу інформаційної безпеки MaxPatrol, для
якої, на жаль, немає навіть демки.

Але навіть за всіх обмежень XSpiderє одним із найзручніших
та ефективних інструментів аналізу безпеки мережі та конкретних вузлів.
Налаштування сканування, як і у випадку Nessus, оформлюються у вигляді спеціального
Набір правил, тільки в даному випадку вони називаються не Policies, а профілями.
Налаштовуються як загальні параметри для мережного аналізу, і поведінка сканера
для конкретних протоколів: SSH, LDAP, HTTP. Тип досліджуваного демона на кожному
порту визначається за загальноприйнятою класифікації, і з використанням
евристичних алгоритмів fingerprinting"а - опція включається одним кліком в
профілі сканування. Окремого слова заслуговує на обробку RPC-сервісів (Windows
і *nix) з повною ідентифікацією, завдяки якій вдається визначити вразливість
різних сервісів та детальну конфігурацію комп'ютера загалом. Перевірка
слабкості парольного захисту реалізує оптимізований підбір паролів практично
у всіх сервісах, які потребують аутентифікації, допомагаючи виявити слабкі паролі.
Результат сканування оформляється у вигляді зручного звіту, причому для кожної
знайденої потенційної вразливості видається крихітний опис та зовнішній лінк,
куди можна звернутися за подробицями

GFI LANguard

Сайт:
www.gfi.com/lannetscan
Розповсюдження: Freeware/Shareware
Платформа: Win

За що я особливо люблю цей продукт, так це за набір встановлених
профілів для сканування. Крім повного сканування віддаленої системи,
що має на увазі всі види доступних перевірок (до речі, є спеціальна версія
для повільного коннекту - наприклад, для гальмівного VPN-з'єднання через Штати),
Існує маса окремих груп перевірок. Наприклад, можна швидко перевірити десятки
хостів на наявність уразливостей з Top20, складеної відомою
security-корпорацією SANS. Тут же можна активувати і пошук машин з
невстановленими патчами або сервіс-паками, вибрати профіль для пентесту
веб-застосунків і т.д. Причому, крім профілів, безпосередньо спрямованих на
пошук вразливостей, є і ряд засобів для аудиту: пошук куля, розумний сканер
портів, у тому числі для пошуку відкритих малварью з'єднань, визначення
конфігурації комп'ютера та ін. Виходить, в одному продукті вживаються маса
корисних утиліт.

База вразливостей, що постійно оновлюється GFI LANguardвключає більш ніж
15000 записів, дозволяючи сканувати різні системи (Windows, Mac OS, Linux),
зокрема, встановлені на віртуальних машинах. Сканер автоматично
підтягує оновлення для бази, які у свою чергу формуються за звітами
BugTraq, SANS та інших компаній. Реалізувати свої власні перевірки, як
водиться, можеш і ти сам. Для цього тобі надається спеціальний скриптовий.
мова, сумісна з Python і VBScript (яка зв'язка!), а для повної зручності
ще й зручний редактор з дебагером – виходить справжня IDE. Ще одна
унікальна фішка LANguard"а - можливість визначення того, що машина запущена
у віртуальному оточенні (поки підтримується VMware та Virtual PC) - це одна з
унікальних фішок сканера.

Retina Network Security Scanner

Сайт: www.eeye.com
Розповсюдження: Shareware
Платформа: Win

Головне розчарування цього легендарного сканера спіткало мене відразу після
запуску. Інсталятор останньої версії, вилаявшись, сказав, що запустити
Retinaна Windows 7 або Windows Server 2008 R2 на даний момент не можна. Не
дуже ввічливо, довелося відкривати віртуальну машину, але я знав: воно того
стоїть. Retina- один з найкращих сканерів, який визначає та аналізує
хости локальної мережі. Фізичні та віртуальні сервери, робочі станції та
ноутбуки, маршрутизатори та апаратні брандмауери Retinaпредставить
повний список підключених до мережі пристроїв, виведе інформацію про бездротові
мережах. Кожен із них вона всіляко намагатиметься у пошуку хоч якогось натяку на
вразливість, і робить це дуже спритно. На сканування локальної мережі класу С
йде приблизно 15 хвилин. Продукт Retinaвизначає вразливості ОС,
програм, потенційно небезпечні налаштування та параметри. В результаті можна
отримати оглядовий план мережі з відображенням потенційно вразливих місць. База з
вразливістю, як запевняють розробники, оновлюється щогодини, а інформація про
вразливості потрапляє в базу не пізніше 48 годин після появи про неї першого
багтраку. Втім, сам факт, що це продукт фабрики eEye, вже є своїм.
роду гарантією якості.

Microsoft Baseline Security Analyzer

Сайт: www.microsoft.com
Розповсюдження: Freeeware
Платформа: Win

Що це таке? Аналізатор безпеки від компанії Microsoft, який
перевіряє комп'ютери в мережі на відповідність вимогам Microsoft, яких
набралося чимало. Найголовніший критерій – це, звичайно ж, наявність
на системі всіх встановлених оновлень. Не треба нагадувати, що зробив
Conficker, використовуючи пролом MS08-67, патч для якої вийшов за 2 місяці до
епідемії. Крім відсутніх у системі патчів, MBSA виявляє деякі
поширені проломи у конфігурації. Перед початком сканування програма
завантажує оновлення для своїх баз, тому можна бути впевненим: Microsoft
Baseline Security Analyzerзнає все про апдейти для вінди, що вийшли. за
результатам сканування (домена або діапазону IP-адрес) видається зведений
звіт. І так наочний репорт можна перенести на умовну схему мережі,
відобразивши результати сканування у Visio. Для цього на сайті програми доступний
спеціальний з'єднувач, який відобразить символами різні вузли локалки,
заповнить параметри об'єктів, додавши туди інформацію про сканування, та в
Найзручнішою формі дозволить подивитися, які проблеми є на тому чи іншому комп'ютері.

SAINT

Сайт:
http://www.saintcorporation.com
Розповсюдження: Shareware
Платформа: -nix

Лише дві IP-адреси, на які ти зможеш нацькувати SAINTв
протягом триального періоду, жорстко зашиваються в ключ, і він вирушає тобі на
е-мейл. Ні кроку вліво, ні кроку вправо – але цей продукт обов'язково стоїть
спробувати, навіть із такими драконівськими обмеженнями. Управління сканером
реалізується через веб-інтерфейс, що не дивно - рішення SAINT
продаються, у тому числі, у вигляді серверів для встановлення у стійку (SAINTbox), а тут
потрібно слідувати моді. За допомогою аскетичного веб-інтерфейсу дуже просто можна
запустити тестування та використовувати багаторічні напрацювання для пошуку
потенційно вразливих місць у системі. Скажу більше: один із модулів SAINTexploit
дозволяє не тільки виявити, а ще й експлуатувати вразливість! Візьмемо
горезвісну помилку MS08-67. Якщо сканер виявляє неприкриту дірку і знає,
як її експлуатувати, то прямо поруч із описом уразливості дає посилання з
близьким серцю словом EXPLOIT. В один клік ти отримуєш опис сплоїту і,
більше, - кнопку Run Now для його запуску. Далі, залежно від сплоїту,
вказуються різні параметри, наприклад, точна версія ОС на віддаленому хості,
тип шелла та порт, на якому він буде запущений. Якщо експлуатація мети вдало
завершено, то у вкладці Connections модуля SAINTexploit з'являється IP-адреса
жертви та вибір дій, які стали доступними в результаті запуску
експлоїту: робота з файлами на віддаленій системі, командний рядок тощо!
Уявляєш: сканер, який сам ламає! Недарма слоган товару: "Examine.
Expose. Exploit". Система перевірок найрізноманітніша, причому в останній 7-й
версії з'явився модуль для пентесту веб-додатків та додаткові можливості
для аналізу бази даних. Позначивши мету через веб-інтерфейс, можна спостерігати за
діями сканера з усіма подробицями, точно знаючи, що і як сканер робить у
поточний момент.

X-Scan

Сайт: http://www.xfocus.org
Розповсюдження: Freeware
Платформа: Win

Остання версія цього сканера вийшла ще 2007 року, що зовсім не заважає
використовувати його зараз завдяки системі плагінів і скриптів, що підключаються,
написаних мовою NASL, такою самою, яка використовується в Nessus/OpenVAS. Знайти
і відредагувати наявні скрипти нескладно - усі вони перебувають у папці scripts.
Для запуску сканера необхідно визначити параметри сканування через меню
Config -> Scan Parameter. Як об'єкт сканування може виступати як
конкретний IP, і діапазон адрес, але у разі треба бути морально
готовим до того, що тестування буде тривалим. Сканер, на жаль, не самий
швидкий. На швидкість пропорційно впливає і кількість підключених модулів:
доповнення, що перевіряють стійкість паролів для SSH/VNC/FTP, одні з найбільш
ненажерливих. Зовні X-Scanбільше нагадує саморобку, створену кимось
для потреб і пущену в паблік на вільне плавання. Можливо, він би
і не набув такої популярності, якщо не підтримка скриптів Nessus, які
активуються за допомогою модуля Nessus-Attack-Scripts. З іншого боку, варто
переглянути звіт про сканування, і всі сумніви у корисності сканера відходять на
другий план. Він не буде оформлений за одним із офіційних стандартів ІБ, але
точно розповість багато нового про мережу.

Rapid 7 NeXpose

Сайт: www.rapid7.com
Розповсюдження: Freeeware-версія
Платформа: nix/Win

Rapid 7- одна з найбільш швидко зростаючих компаній, що спеціалізуються
на інформаційну безпеку у світі. Саме вона нещодавно придбала проект
Metasploit Framework, і саме її рук справа – проект NeXpose. Вартість
"входу" для використання комерційної версії становить майже $3000, але
Для ентузіастів є Community-версія з трохи урізаними можливостями.
Така безкоштовна версія легко інтегрується з Metasploit" (потрібна версія не
нижче 3.3.1). Схема роботи досить хитра: спочатку запускається NeXpose, далі
Metasploit Console (msfconsole), після чого можна запускати процес сканування
і налаштовувати його за допомогою низки команд (nexpose_connect, nexpose_scan,
nexpose_discover, nexpose_dos та інші). Прикольно, що можна поєднувати
функціональність NeXposeта інших модулів Metasploit"а. Найпростіший, але
ефективний приклад: шукати комп'ютери з якоюсь вразливістю і відразу
експлуатувати її за допомогою відповідного модуля Metasploit – отримуємо
авторутинг на новому якісному рівні

WARNING

Пентест серверів та ресурсів власника ресурсів без його волі - діяння кримінально
каране. У разі використання отриманих знань у незаконних цілях автор та
редакція відповідальності не несуть.

Процес під назвою сканування вразливостей є перевіркою окремих вузлів або мереж на потенційні загрози.

А необхідність перевірити безпеку виникає у ІТ-фахівців досить часто – особливо, якщо йдеться про великі організації, які мають цінну інформацію, яка може знадобитися зловмисникам.

Не варто нехтувати таким скануванням і адміністраторам невеликих мереж – тим більше що в 2017 році серйозних атак з боку запущених хакерами масштабних вірусів-шифрувальників зазнали сотні тисяч комп'ютерів.

Застосування сканерів уразливості

Для сканування мереж на слабкі місця у системах їх безпеки фахівці з інформаційної безпеки застосовують відповідне програмне забезпечення.

Такі програми називаються сканерами вразливості.

Принцип їх роботи полягає у перевірці додатків, які працюють на комп'ютерах мережі, та пошуку так званих «дір», якими могли б скористатися сторонні для отримання доступу до важливих відомостей.

Грамотне використання програм, здатних виявити вразливість у мережі, дозволяє ІТ-фахівцям уникнути проблем зі вкраденими паролями та вирішувати такі завдання:

• пошук шкідливого коду, що потрапив на комп'ютер;
• інвентаризація ПЗ та інших ресурсів системи;
• створення звітів, що містять інформацію про вразливості та способи їх усунення.

Сканери вразливостей мають особливе значення для тих організацій, у сферу діяльності яких входить обробка та зберігання цінних архівів та конфіденційних відомостей. Такі програми потрібні компаніям, які займаються науковими дослідженнями, медициною, торгівлею, інформаційними технологіями, рекламою, фінансами та виконанням інших завдань, яким може перешкодити витік інформації.

Механізми сканування

Сканування на вразливості виконується за допомогою двох основних механізмів – сканування та зондування.

Перший варіант передбачає, що програма-сканер виконує пасивний аналіз, визначаючи наявність проблем із безпекою лише з низки непрямих ознак, але не мають фактичних доказів.

Цю методику називають «логічним висновком», а її принципи полягають у виконанні наступних кроків:

1. Ідентифікація портів, відкритих кожному з пристроїв у мережі;

2. Збір заголовків, пов'язаних з портами та знайдених у процесі сканування;

3. Порівняння отриманих заголовків зі спеціальною таблицею, що містить правила визначення вразливостей;

4. Отримання висновків про наявність або відсутність у мережі проблем безпеки.

Процес під назвою «зондування» є методикою активної перевірки, що дозволяє практично зі стовідсотковою гарантією переконатися в тому, чи є в мережі вразливості чи ні.

Вона відрізняється порівняно невеликою порівняно зі скануванням швидкістю, однак у більшості випадків є більш точною.

Метод, який також називається «підтвердженням», застосовує отриману під час попередньої перевірки інформацію для того, щоб ще більш ефективно проаналізувати кожен мережний пристрій, підтвердивши або спростувавши наявність загроз.

Головною перевагою другого варіанта є не тільки підтвердження тих проблем, які можуть бути виявлені простим скануванням, але й виявлення проблем, які неможливі за допомогою пасивної методики. Перевірка виконується за допомогою трьох механізмів – перевірки заголовків, активних зондувальних перевірок та імітації атак.

Перевірка заголовків

Механізм, назва якого англійською мовою звучить як "banner check", Складається з цілого ряду сканувань і дає можливість отримати певні висновки на основі даних, що передаються програмі-сканеру у відповідь на його запит.

Прикладом такої перевірки може стати сканування заголовків за допомогою програми Sendmail, що дозволяє і визначити версії програмного забезпечення, і переконатися у наявності чи відсутності проблем.

Методика вважається найпростішою і найшвидшою, але має цілу низку недоліків:

• Не надто висока ефективність перевірки.Тим більше, що зловмисники можуть змінювати інформацію в заголовках, видаляючи номери версій та інші відомості, які використовуються сканером для отримання висновків. З одного боку, ймовірність такої зміни не надто висока, з іншого – нехтувати нею не варто.
• Неможливість точно визначити, чи є дані, що містяться у заголовку, доказом уразливості. Насамперед, це стосується програм, які постачаються разом із вихідним текстом. При усуненні їхніх вразливостей номери версій у заголовках доводиться змінювати вручну – інколи розробники просто забувають це зробити.
• У ймовірність появи вразливості в наступних версіях програминавіть після того, як вона була усунена з попередніх модифікацій.

Тим часом, незважаючи на певні мінуси та відсутність гарантії виявлення «дір» у системі, процес перевірки заголовків можна назвати не лише першим, а й одним із головних етапів сканування. Тим більше, що його використання не порушує роботу ні сервісів, ні вузлів мережі.

Активні зондувальні перевірки

Методика, відома ще й як «active probing check», заснована не на перевірках версій програмного забезпечення в заголовках, а на аналізі та порівнянні цифрових «зліпків» програм з інформацією про вже відомі вразливості.

Принцип її роботи трохи схожий на алгоритм антивірусних програм, які передбачає порівняння відсканованих фрагментів із вірусними базами.

До тієї ж групи методик відноситься і перевірка дати створення сканованого ПЗ або контрольних сум, що дозволяє переконатися в справжності та цілісності програм.

Для збереження відомостей про вразливість застосовуються спеціалізовані бази даних, що містять ще й відомості, що дозволяють вирішити проблему та знизити ризик загрози стороннього доступу до мережі.

Ця інформація іноді застосовується і системами аналізу захищеності, і програмним забезпеченням, завдання якого входить виявлення атак. У цілому нині, методика активних зондуючих перевірок, застосована такими великими компаніями як ISS і Cisco, працює значно швидше інших способів – хоча реалізувати її складніше, ніж перевірку заголовків.

Імітація атак

Ще один метод англійською мовою називається «exploit check», що можна перекласти на російську як «імітація атак».

Перевірка, що виконується з його допомогою, також є одним з варіантів зондування і заснована на пошуку дефектів програм за допомогою їх посилення.

Методика має такі особливості:

• деякі «дірки» в безпеці не можна виявити доти, доки не зімітувати справжню атаку проти підозрілих сервісів та вузлів;
• програми-сканери перевіряють заголовки програмного забезпечення під час фальшивої атаки;
• при скануванні даних уразливості виявляються значно швидше, ніж у звичайних умовах;
• імітуючи атаки, можна знайти більше вразливостей (якщо вони були спочатку), ніж за допомогою двох попередніх методик - при цьому швидкість виявлення досить висока, проте користуватися таким способом не завжди є доцільним;
• ситуації, які не дозволяють запускати «імітацію атак», поділяються на дві групи – загроза виникнення проблем з обслуговуванням програмного забезпечення, що перевіряється, або принципова неможливість атакувати систему.

Небажано користуватися методикою, якщо об'єктами перевірки є захищені сервери з цінною інформацією.

Атака таких комп'ютерів може призвести до серйозних втрат даних і виходу з експлуатації важливих елементів мережі, а витрати на відновлення працездатності можуть виявитися занадто серйозними, навіть з урахуванням підвищення безпеки системи.

У цьому випадку бажано скористатися іншими способами перевірки, наприклад активним зондуванням або перевіркою заголовків.

Тим часом, у списку вразливостей є й такі, які не вдасться виявити без спроб зімітувати атаки – до них відносять, наприклад, схильність до атак типу «Packet Storm».

За промовчанням такі методи перевірки вимкнені в системі.

Користувачеві доведеться включати їх самостійно.

До програм-сканерів, які використовують третій метод сканування на вразливості, відносять системи типу Internet Scannerі CyberCop Scanner. У першому додатку перевірки виділяються в окрему категорію "Denial of service". При використанні будь-якої функції зі списку програма повідомляє про небезпеку виходу з ладу або перезавантаження вузла, що сканується, попереджаючи про те, що відповідальність за запуск сканування лежить на користувачі.

Основні етапи перевірки уразливостей

Більшість програм, що виконують сканування на вразливості, працює наступним чином:

1. Збирає про мережу всю необхідну інформацію, спочатку визначаючи всі активні пристрої в системі та працююче на них програмне забезпечення. Якщо аналіз проводиться лише на рівні одного ПК із уже встановленим на ньому сканером, цей крок пропускають.

2. Намагається знайти потенційні вразливості, застосовуючи спеціальні бази даних для того, щоб порівняти отриману інформацію з вже відомими видами «дір» у безпеці. Порівняння виконується за допомогою активного зондування чи перевірки заголовків.

3. Підтверджує знайдені вразливості, застосовуючи спеціальні методики– імітацію певного типу атак, здатних довести факт наявності чи відсутності загрози.

4. Генерує звіти на базі зібраних під час сканування відомостейописуючи вразливість.

Завершальний етап сканування є автоматичним виправленням або спробою усунення проблем. Ця функція є практично в кожному системному сканері, і відсутня більшість мережевих додатків для перевірки вразливостей.

Відмінності у роботі різних програм

Деякі сканери поділяють вразливість рівня загрози.

Наприклад, система NetSonarділить їх на мережеві, здатні впливати на роутери, тому серйозніші, і локальні, що впливають робочі станції.

Internet Scannerподіляє загрози на три ступені – низький, високий та середній.

Ці два сканери мають ще кілька відмінностей.

З їхньою допомогою звіти як створюються, а й розбиваються кілька груп, кожна з яких призначена для конкретних користувачів – від адміністраторів мережі до керівників організації.

Причому для перших видається максимальна кількість цифр, для керівництва – красиво оформлені графіки та діаграми з невеликою кількістю деталей.

У складі звітів, що створюються сканерами, є рекомендації щодо усунення знайдених уразливостей.

Найбільше такої інформації міститься в даних, які видаються програмою Internet Scanner, що видає покрокові інструкції щодо вирішення проблеми з урахуванням особливостей різних операційних систем.

По-різному реалізований у сканерах та механізм усунення несправностей.Так, у сканері System Scanner для цього існує спеціальний сценарій, який запускає адміністратор для вирішення проблеми. Одночасно відбувається створення другого алгоритму, який може виправити зроблені зміни, якщо перший спричинив погіршення роботи або виходу з ладу окремих вузлів. У більшості інших програм-сканерів можливість повернути зміни назад не існує.

Дії адміністратора з виявлення вразливостей

Для пошуку «дір» у безпеці адміністратор може керуватися трьома алгоритмами.

Перший і найпопулярніший варіант– перевірка мережі на наявність лише потенційних уразливостей. Вона дозволяє попередньо ознайомитись з даними системи, не порушуючи роботу вузлів та забезпечуючи максимальну швидкість аналізу.

Другий варіант– сканування з перевіркою та підтвердженням уразливостей. Методика займає більше часу і може спричинити збої в роботі програмного забезпечення комп'ютерів у мережі під час реалізації механізму імітації атак.

Спосіб №3передбачає використання всіх трьох механізмів (причому, з правами і адміністратора, та користувача) та спробу усунути вразливості на окремих комп'ютерах. Через низьку швидкість і ризик вивести з ладу програмне забезпечення застосовують цей метод найрідше – в основному, за наявності серйозних доказів наявності «дір».

Можливості сучасних сканерів

Основними вимогами до програми-сканера, що забезпечує перевірку системи та її окремих вузлів на вразливості, є:

• Кросплатформність або підтримка кількох операційних систем.За наявності такої особливості можна перевірити мережу, що складається з комп'ютерів з різними платформами. Наприклад, з кількома версіями Windows або навіть із системами типу UNIX.
• Можливість сканувати одночасно кілька портів– така функція помітно зменшує час для перевірки.
• Сканування всіх видів ПЗ, які зазвичай схильні до атак з боку хакерів.До такого програмного забезпечення відносять продукцію компанії Adobe та Microsoft (наприклад, пакет офісних програм MS Office).
• Перевірку мережі загалом та окремих її елементів без необхідності запускати скануваннядля кожного вузла системи.

Більшість сучасних скануючих програм мають інтуїтивно зрозуміле меню і досить легко налаштовуються відповідно до завдань, що виконуються.

Так, практично кожен такий сканер дозволяє скласти список вузлів і програм, що перевіряються, вказати програми, для яких автоматично встановлюватимуться оновлення при виявленні вразливостей, і задати періодичність сканування і створення звітів.

Після отримання звітів сканер дозволяє адміністратору запускати виправлення загроз.

Серед додаткових особливостей сканерів можна відзначити можливість економії трафік, яка виходить при завантаженні лише однієї копії дистрибутива та її розподілі на всіх комп'ютерах мережі. Ще одна важлива функція передбачає збереження історії минулих перевірок, що дозволяє оцінити роботу вузлів у певних часових інтервалах та оцінити ризики нових проблем з безпекою.

Сканери вразливостей мережі

Асортимент програм-сканерів на сучасному ринку ПЗ досить великий.

Всі вони відрізняються один від одного функціональністю, ефективністю пошуку вразливостей та ціною.

Для оцінки можливостей таких програм варто розглянути характеристики та особливості п'яти найпопулярніших варіантів.

GFI LanGuard

Виробник GFI Software вважається одним із лідерів на світовому ринку інформаційної безпеки, а його продукція входить до рейтингів найзручніших та найефективніших при перевірці на вразливості програм.

Одним з таких програм, що забезпечують безпеку мережі та окремих комп'ютерів, є GFI LanGuard, до особливостей якого відносять:

• швидку оцінку стану портів у системі;
• пошук небезпечних налаштувань на комп'ютерах мережі та заборонених для встановлення програм, доповнень та патчів;
• можливість сканування не лише окремих комп'ютерів та серверів, а й віртуальних машин, що входять до системи, і навіть підключених смартфонів;
• складання за результатами сканування докладного звіту із зазначенням уразливостей, їх параметрів та способів усунення;
• інтуїтивно зрозуміле керування та можливість налаштування автоматичної роботи – при необхідності, сканер запускається у певний час, а всі виправлення виконуються без втручання адміністратора;
• можливість швидкого усунення знайдених загроз, зміни налаштувань системи, оновлення дозволеного програмного забезпечення та видалення заборонених програм.

До відмінностей цього сканера від більшості аналогів можна назвати встановлення оновлень та патчів практично для будь-якої операційної системи.

Ця особливість та інші переваги GFI LanGuard дозволяють йому знаходитись на верхніх рядках рейтингів програм для пошуку мережевих уразливостей.

При цьому вартість використання сканера порівняно невелика та доступна навіть невеликим компаніям.

Nessus

Програму Nessus вперше випустили 20 років тому, але лише з 2003 року вона стає платною.

Монетизація проекту не зробила його менш популярним – завдяки ефективності та швидкості роботи кожен шостий адміністратор у світі застосовує саме цей сканер.

До переваг вибору Nessus відносять:

• постійно оновлювану базу вразливостей;
• просте встановлення та зручний інтерфейс;
• ефективне виявлення проблем із безпекою;
• використання плагінів, кожен із яких виконує своє завдання – наприклад, забезпечує сканування ОС Linux або запускає перевірку лише заголовків.

Додаткова особливість сканера- Можливість використання тестів, створених користувачами за допомогою спеціального програмного забезпечення. У той же час у програми є і дві серйозні недоліки. Перший – можливість виходу з експлуатації деяких програм при скануванні за допомогою методу «імітації атак», другий – досить висока вартість.

Symantec Security Check

Програма Security Check є безкоштовним сканером Symantec.

Серед її функцій варто відзначити пошук не тільки вразливостей, а й вірусів – включаючи макровіруси, трояни та інтернет-хробаки. Фактично, програма складається з 2 частин – сканера Security Scan, що забезпечує безпеку мережі, та антивірусу Virus Detection.

До переваг програми відносять просте встановлення та можливість роботи через браузер. Серед мінусів відзначають невисоку ефективність - універсальність продукту, що дозволяє йому шукати ще й віруси, робить його не надто сприятливим для перевірки мережі. Більшість користувачів рекомендують використовувати цей сканер лише для додаткових перевірок.

XSpider

Сканер XSpider випускається компанією Positive Technologies, представники якої стверджують, що програма не тільки виявляє вже відомі вразливості, але й здатна знайти ще не створені загрози.

До особливостей програми відносять:

• ефективне виявлення «дір» у системі;
• можливість віддаленої роботи без встановлення додаткового програмного забезпечення;
• створення докладних звітів з порадами щодо усунення проблем;
• оновлення бази вразливостей та програмних модулів;
• одночасне сканування великої кількості вузлів та робочих станцій;
• збереження історії перевірок для подальшого аналізу проблем.

Також варто відзначити, що вартість використання сканера доступніша в порівнянні з програмою Nessus. Хоча й вище, ніж у GFI LanGuard.

QualysGuard

Сканер вважається багатофункціональним і дозволяє отримати докладний звіт з оцінкою рівня вразливості, часу на їх усунення та рівень впливу «загрози» на бізнес.

Розробник продукту, фірма Qualys, Inc., постачає програму сотням тисяч споживачів, зокрема й половині найбільших компаній світу.

Відмінністю програми є наявність хмарного сховища бази даних та вбудованого набору додатків, що дозволяє не лише підвищити безпеку мережі, а й знизити витрати на її приведення різним вимогам.

Програмне забезпечення дозволяє сканувати корпоративні веб-сайти, окремі комп'ютери та мережу загалом.

Результатом сканування стає звіт, який автоматично надсилається адміністратору і містить рекомендації щодо усунення вразливостей.

Висновки

З урахуванням широкого асортименту додатків для сканування мережі та її вузлів на вразливості істотно полегшується робота адміністратора.

Тепер від нього не потрібно самостійно запускати всі механізми сканування вручну – досить просто знайти відповідний додаток, вибрати спосіб перевірки, налаштувати та скористатися рекомендаціями отриманого звіту.

Вибирати відповідний сканер слід за функціональністю програми, ефективності пошуку загроз (яка визначається за відгуками користувачів) - і, що теж досить важливо, за ціною, яка повинна бути порівнянна з цінністю інформації, що захищається.

Сканер безпеки: виявлення вразливостей у мережі, керування оновленнями та патчами, автоматичне виправлення проблем, аудит програмного та апаратного забезпечення. GFI Мережева безпека">Мережева безпека 2080

Сканер безпеки мережі та централізоване управління оновленнями

GFI LanGuard працює як віртуальний консультант з безпеки:

— Керує оновленнями для Windows ® , Mac OS ® та Linux ®

— Виявляє вразливість на комп'ютерах та мобільних пристроях

— Проводить аудит мережевих пристроїв та програмного забезпечення

GFI Languard - сканер безпеки для мереж будь-яких масштабів: мережевий сканер портів та вразливостей, сканер безпеки, знаходить діри в мережі автоматично

Що таке GFI LanGuard

Більше, ніж сканер уразливостей!

GFI LanGuard – це мережевий сканер безпеки: виявлення, визначення та виправлення вразливостей у мережі. Повне сканування портів, наявність необхідних оновлень програмного забезпечення для захисту мережі, а також аудит програмного та апаратного забезпечення – все це можливо з єдиної панелі керування.

Сканер портів

Декілька заготовлених профілів сканування дозволяють провести як повне сканування всіх портів, так і швидко перевірити лише ті, які зазвичай використовуються небажаним та шкідливим ПЗ. GFI LanGuard сканує відразу кілька вузлів одночасно, помітно скорочуючи необхідний час, а потім порівнює знайдене програмне забезпечення на зайнятих портах з очікуваним.

Оновлення та патчі

До встановлення останніх оновлень ваші вузли абсолютно не захищені, оскільки саме нові вразливості, які закривають актуальні патчі та оновлення, використовуються хакерами для проникнення у вашу мережу. На відміну від вбудованих в ОС інструментів, GFI LanGuard перевірять не тільки саму ОС, але й популярне програмне забезпечення, вразливість якого зазвичай використовується для злому: Adobe Acrobat/Reader, Flash Player, Skype, Outlook, браузери, месенджери.

Аудит вузлів

GFI LanGuard підготує для вас докладний список встановленого програмного та апаратного забезпечення на кожному з комп'ютерів, виявить заборонені або відсутні програми, а також зайві підключені пристрої. Результати кількох сканувань можна порівняти, щоб виявити зміни у наборі програмного та апаратного забезпечення.

Найсвіжіші дані про загрози

Кожне сканування проводиться після оновлення даних про вразливість, кількість яких у базі GFI LanGuard вже перевищила 50.000. Постачальниками інформації про загрози є самі вендори ПЗ, а також списки SANS і OVAL, що зарекомендували себе, - ви завжди захищені від найновіших загроз, включаючи heartbleed, clandestine, shellshock, poodle, sandworm та інших.

Автоматичне виправлення

Після того, як ви отримаєте докладний звіт про результати сканування з описом кожної вразливості та посиланнями на додаткову літературу, ви можете виправити більшість загроз одним натисканням на кнопку «Remediate»: порти будуть закриті, ключі реєстру виправлені, патчі встановлені, програмне забезпечення оновлено, заборонені програми видалені, а програми, що відсутні, — будуть встановлені.

Сканери вразливостей автоматизують аудит безпеки та можуть відігравати важливу роль у вашій ІТ-безпеці, скануючи вашу мережу та веб-сайти для різних ризиків безпеки. Ці сканери також можуть генерувати список пріоритетів тих, які ви повинні виправляти, а також описувати вразливості та надавати заходи щодо їх усунення. Також можливо, що деякі з них можуть автоматизувати процес усунення вразливостей
10 найкращих інструментів для оцінки вразливостей

• Comodo HackerProof
• OpenVAS
• Nexpose Community
• Nikto
• Tripwire IP360
• Wireshark
• Aircrack
• Nessus Professional
• Retina CS Community
• Microsoft Baseline Security Analyzer (MBSA)

1. Comodo HackerProof
   Comodo HackerProof вважається революційним інструментом сканування вразливостей, що дозволяє подолати проблеми безпеки. Нижче наведено деякі основні переваги, які ви можете отримати від HackerProof:

• Щоденне сканування вразливостей
• Увімкнено інструменти сканування PCI
• Запобігання Drive-by attack

• OpenVAS підтримує різні операційні системи
• Механізм сканування OpenVAS постійно оновлюється за допомогою тестів на вразливість мережі
• OpenVAS-сканер - це комплексний інструмент оцінки вразливостей, який визначає проблеми, пов'язані з безпекою на серверах та інших пристроях мережі
• Послуги OpenVAS безкоштовні та зазвичай ліцензуються за ліцензією GNU General Public License (GPL)

• Nexpose може бути вбудований у структуру Metaspoilt
• Він враховує вік уразливості, наприклад, який шкідливий набір використовується в ньому, які переваги він використовує і т. д. І виправляє проблему на основі її пріоритету
• Він здатний автоматично виявляти та сканувати нові пристрої та оцінювати вразливості при доступі до мережі
• Він контролює вразливість у режимі реального часу, ознайомлюючи себе з останніми небезпеками з новими даними
• Більшість сканерів уразливостей зазвичай класифікують ризики, що використовують середній чи високий чи низький масштаб.

• Він також використовується для перевірки застарілих версій сервера, а також для перевірки будь-якої конкретної проблеми, яка впливає на роботу сервера
• Nikto використовується для проведення різних тестів на веб-серверах для сканування різних елементів, таких як кілька небезпечних файлів
• Він не вважається "тихим" інструментом і використовується для тестування веб-сервера за мінімальний час
• Він використовується для сканування різних протоколів, таких як HTTPS, HTTP тощо. Цей інструмент дозволяє сканувати кілька портів певного сервера.

• Він використовує широкомасштабне уявлення мереж виявлення всіх уразливостей, конфігурацій, додатків, мережевих хостів тощо.
• Він використовує відкриті стандарти, щоб допомогти в інтеграції управління ризиками та вразливості у кілька процесів бізнесу

• Wireshark використовується в різних потоках, таких як урядові установи, підприємства, навчальні заклади і т. д., щоб заглядати в мережі на низькому рівні
• Він фіксує проблеми в Інтернеті та виконує аналіз в автономному режимі
• Він працює на різних платформах, таких як Linux, masOS, Windows, Solaris і т.д.

• Інструменти використовуються у мережевому аудиті
• Він підтримує кілька ОС, як-от Linux, OS X, Solaris, NetBSD, Windows тощо.
• Він фокусується на різних сферах безпеки WiFi, таких як моніторинг пакетів і даних, тестування драйверів і карт, повторні атаки, злом і т.д.
• З Aircrack можна отримати втрачені ключі, захопивши пакети даних

• Це запобігає проникненню мереж з хакерів шляхом оцінки вразливостей найближчим часом
• Він може сканувати вразливості, які дозволяють віддалено зламати конфіденційні дані із системи
• Він підтримує широкий спектр ОС, Dbs, додатків та кількох інших пристроїв серед хмарної інфраструктури, віртуальних та фізичних мереж
• Він був встановлений і використовується мільйонами користувачів у всьому світі для оцінки вразливості, проблем зі зміною тощо.

• Завдяки своїм можливостям, таким як звітність про відповідність, виправлення та відповідність конфігурації, Retina CS забезпечує оцінку міжплатформної вразливості
• Він включає автоматичну оцінку вразливості для БД, веб-додатків, робочих станцій та серверів
• Retina CS є додатком з відкритим вихідним кодом, який забезпечує повну підтримку віртуальних середовищ, як-от інтеграція vCenter, сканування віртуальних додатків тощо.

• MBSA дозволяє підвищити рівень безпеки, досліджуючи групу комп'ютерів для будь-якої неправильної конфігурації, відсутніх оновлень та будь-яких патчів безпеки тощо.
• Він може сканувати лише оновлення для системи безпеки, пакети оновлень та накопичувальні пакети оновлень, залишаючи осторонь критичні та додаткові оновлення.
• Він використовується організаціями середнього та малого розміру для управління безпекою своїх мереж
• Після сканування системи MBSA надасть кілька рішень або пропозицій, пов'язаних із усуненням уразливостей