ماسحات ضوئية أمن الشبكة: إمكانيات ومبدأ التشغيل والحلول المتقدمة. نقاط الضعف المسح الضوئي: كيفية التحقق من الجهاز وتأمين نفسك من التهديدات المحتملة البحث عن نقاط الضعف في الشبكة المحلية

مشكلة وباء ديدان الشبكة ذات صلة بأي شبكة محلية. عاجلا أم آجلا، قد يحدث الوضع عند اختراق شبكة أو دودة بريدي في الشبكة المحلية، والتي لم يتم الكشف عنها بواسطة مكافحة الفيروسات المستخدمة. فيروس الشبكة ينتشر عبر الشبكة المحلية من خلال غير مغلق في وقت الإصابة بضعف نظام التشغيل أو من خلال التسجيل الموارد المشتركةوبعد ينطبق الفيروس البريدي، على النحو التالي من الاسم، على البريد الإلكتروني شريطة عدم حظره من قبل مكافحة الفيروسات العميل والمراد الفيدروجر على خادم البريد. بالإضافة إلى ذلك، يمكن تنظيم وباء في الشبكة المحلية من الداخل نتيجة من الداخل. في هذه المقالة، سننظر في طرق عملية للتحليل التشغيلي لأجهزة الكمبيوتر LAN باستخدام مختلف الأموال، ولا سيما بمساعدة فائدة مؤلف AVZ.

صياغة المشكلة

في حالة اكتشاف وبائي أو نشاط أقحم معين في الشبكة، يجب أن يحل المسؤول بسرعة ما لا يقل عن ثلاث مهام:

• كشف أجهزة الكمبيوتر المصابة على الشبكة؛
• ابحث عن عينات من برنامج ضار لإرسالها إلى مختبر مكافحة الفيروسات وتطوير استراتيجية المطابقة؛
• اتخاذ تدابير لمنع انتشار الفيروس في LAN وتدميرها على أجهزة الكمبيوتر المصابة.

في حالة وجود نشاط من الداخل، تكون الخطوات الرئيسية للتحليل متطابقة وغالبا ما تقلل إلى الحاجة إلى اكتشاف من الداخل تأسيس البرامج الخارجية على أجهزة الكمبيوتر LAN. كمثال، يمكن استدعاء هذا البرنامج إلى مرافق الإدارة عن بعد، جواسيس لوحة المفاتيح ومختلف أحصنة طروادة الإشارات المرجعية.

النظر في حل كل من المهام المحددة.

البحث عن أجهزة الكمبيوتر المصابة

للبحث عن أجهزة الكمبيوتر المصابة في الشبكة، يمكنك استخدام ثلاث تقنيات على الأقل:

• التحليل البعيد التلقائي للكمبيوتر - تلقي المعلومات حول العمليات الجارية والمكتبات والبرامج التشغيلية التي تم تنزيلها، والبحث عن الخصائص - على سبيل المثال، العمليات أو الملفات ذات الأسماء المحددة؛
• امتحان حركة مرور الكمبيوتر بمساعدة Sniffer - هذه الطريقة فعالة للغاية لجمع روبوتات البريد العشوائي والديدان البريدية والشبكة، ومع ذلك، فإن التعقيد الرئيسي في استخدام الشم، يرتبط بحقيقة أن LAN الحديثة تستند إلى مفاتيح ، نتيجة لذلك، لا يمكن للمسؤول مراقبة مراقبة حركة المرور جميع الشبكة. تم حل المشكلة بطريقتين: تشغيل Sniffer على جهاز التوجيه (الذي يسمح لك بمراقبة تبادل بيانات بيانات الكمبيوتر مع الإنترنت) واستخدام وظائف المراقبة للمفاتيح (تتيح لك العديد من المفاتيح الحديثة تعيين منفذ مراقبة التي حركة مرور واحد أو أكثر من منافذ التبديل المحددة من قبل مراسلات المسؤول؛
• التحميل على الشبكة - في هذه الحالة، من المريح للغاية استخدام مفاتيح ذكية لا تتيح فقط لتقييم الحمل، ولكن أيضا لتعطيل المنافذ المحددة عن بعد عن بعد. هذه العملية يتم تبسيطه بشكل أساسي إذا كان مسؤول بطاقة الشبكة لديه بيانات مثبتة على منافذ التبديل المقابلة وأين تقع عليها؛
• إن استخدام الفخاخ (HoneyPot) - على الشبكة المحلية يوصى بشدة بإنشاء العديد من الفخاخ التي ستسمح للمسؤول بالكشف عن الوباء في الوقت المناسب.

تحليل الكمبيوتر التلقائي على الشبكة

يمكن تخفيض تحليل الكمبيوتر التلقائي إلى ثلاث مراحل رئيسية:

• إجراء دراسة كاملة للكمبيوتر الشخصي - عمليات التشغيل، المكتبات والبرامج التشغيلية التي تم تنزيلها، Autorun؛
• إجراء مسح تشغيلي - على سبيل المثال، بحث عن العمليات أو الملفات المميزة؛
• كائنات الحجر الصحي وفقا لمعايير معينة.

يمكن حل جميع المهام المدرجة باستخدام أداة مساعدة AVZ للمؤلف، والتي تم تصميمها للتشغيل من مجلد الشبكة على الخادم وتدعم لغة البرمجة النصية لفحص الكمبيوتر التلقائي. لبدء AVZ على أجهزة كمبيوتر المستخدم تحتاج:

1. ضع AVZ في Open لقراءة مجلد شبكة على الخادم.
2. قم بإنشاء الدلائل الفرعية سجل وقرنطين في هذا المجلد وتسمح للمستخدمين بتسجيل الدخول فيها.
3. قم بتشغيل AVZ على أجهزة كمبيوتر LAN باستخدام الأداة المساعدة Rexec أو البرنامج النصي لتسجيل الدخول.

يجب أن يتم إطلاق AVZ في الخطوة 3 مع هذه المعلمات:

\\\\ my_server \\ avz \\ avz.exe الأولوية \u003d -1 NW \u003d y nq \u003d y hiddenmode \u003d 2 script \u003d \\\\ my_server \\ avz \\ my_script.txt

في هذه الحالة، فإن الأولوية \u003d -1 المعلمة تقلل من أولوية عملية AVZ، المعلمات NW \u003d Y و NQ \u003d Y قم بتبديل الحجر الصحي إلى وضع "بدء تشغيل الشبكة" (في هذه الحالة، يتم إنشاء اسم دليل فرعي في الحجر الصحي المجلد لكل كمبيوتر، يتزامن اسمه مع اسم شبكة الكمبيوتر الشخصي)، ويوضح HIDDENMODE \u003d 2 لحظر الوصول إلى المستخدم إلى إدارة واجهة المستخدم الرسومية و AVZ، وأخيرا، فإن المعلمة البرنامج النصي الأكثر أهمية تعين اسم البرنامج النصي الكامل مع أوامر سيتم تشغيل AVZ على كمبيوتر المستخدم. لغة البرمجة النصية AVZ بسيطة للغاية للاستخدام وتركز فقط على حل مهام مسح الكمبيوتر ومعالجتها. لتبسيط عملية كتابة البرنامج النصي، يمكنك استخدام محرر برنامج نصي متخصص، يحتوي على نصيحة تشغيلية، معالج إنشاء البرامج النصية النموذجية وسيلة للتحقق من البرنامج النصي الكتابي مكتوب دون بدء تشغيله (الشكل 1).

تين. 1. AVZ سيناريو محرر

النظر في ثلاث نصوص نموذجية يمكن أن تكون مفيدة خلال مكافحة الوباء. أولا، سنحتاج إلى نص لدراسة الكمبيوتر الشخصي. مهمة البرنامج النصي هي دراسة النظام وإنشاء بروتوكول مع النتائج في معينة مجلد الشبكةوبعد يحتوي البرنامج النصي على النموذج التالي:

ActivateWatchdog (60 * 10)؛

// بدء المسح والتحليل

// دراسة النظام

Executesyscreck (GetavzDirectory +

'\\ log \\' + getcomputername + '_ log.htm')؛

// الانتهاء من أفز

أثناء تنفيذ هذا البرنامج النصي في مجلد السجل (يفترض أنه يتم إنشاؤه في دليل AVZ على الخادم وهو متاح لمستخدمي المستخدمين) سيتم إنشاؤه بواسطة ملفات HTML مع نتائج بحث الكمبيوتر، ولضمان التفرد في اسم البروتوكول، يتم تنشيط اسم الكمبيوتر قيد الدراسة. في بداية البرنامج النصي، هناك أمر لتشغيل مؤقت الحرس، مما سيجبر PCCC AVZ في 10 دقائق إذا حدث البرنامج النصي أثناء تنفيذ البرنامج النصي.

بروتوكول AVZ مناسب للدراسة يدويا، ومع ذلك، فهو صغير للتحليل الآلي. بالإضافة إلى ذلك، غالبا ما يعرف المسؤول اسم ملف البرنامج الضار والتحقق فقط من وجود أو عدم وجود هذا الملف، إذا كان لديك - وضعت في الحجر الصحي للتحليل. في هذه الحالة، يمكنك تطبيق البرنامج النصي للنوع التالي:

// تحول الموقت watchdog لمدة 10 دقائق

ActivateWatchdog (60 * 10)؛

// البحث عن البرنامج الضار اسمه

الحجر الصحي ('٪ windir٪ \\ smss.exe'، 'الشك على ldpinch.gen')؛

SureantineFile ('٪ Windir٪ \\ Csrss.exe'، 'شكوك LDPinch.gen')؛

// الانتهاء من أفز

يتم تنشيط هذا البرنامج النصي بواسطة وظيفة SUREATINEINFILE، مما يجعل محاولة بواسطة الحجر الصحي لهذه الملفات. يبقى المسؤول فقط لتحليل محتويات الحجر الصحي (مجلد الحجر الصحي \\ Network_word \\ Date_carachina \\) لوجود الملفات الموضوعة في الحجر الصحي. تجدر الإشارة إلى أن وظيفة SureantineFile تقوم تلقائيا بحظر الغرفة في ملفات الحجر الصحي المحددة بواسطة قاعدة بيانات AVZ الآمنة أو بناء على Microsoft EDS. للحصول على تطبيق عملي، يمكن تحسين هذا البرنامج النصي - تنظيم أسماء الملفات من ملف نصي خارجي، والتحقق من الملفات التي تم العثور عليها من قواعد AVZ وتشكل بروتوكول نصي مع نتائج العمل:

// ملف البحث مع الاسم المحدد

وظيفة CheckbyName (FNAME: سلسلة): منطقية؛

النتيجة: \u003d feleexists (fname)؛

إذا النتيجة ثم تبدأ

case CheckFile (FNAME) من

1: S: \u003d ''، تم حظر الوصول إلى الملف؛

1: S: \u003d '، تم تحديده كبرامج ضارة (' + GetLastCheckTXT + ')'؛

2: S: \u003d "، يشتبه في مشتبهظي بواسطة ماسح ضوئي ملف ('+ getlastchecktxt +') '؛

3: الخروج؛ // الملفات الآمنة تجاهل

addtolog ('file' + normalfilename (fname) + 'لديه اسم مشبوه' + s)؛

/ / إضافة ملف محدد للحجر الصحي

sureantinefile (fname، "ملف مشبوه" + ق)؛

السام: tstringlist؛ // قائمة أسماء الملفات المشبوهة

/ / تحقق من الملفات في قاعدة البيانات المحدثة

إذا قام Fileexists (GetavzDirectory + 'files.db')

Sampnames: \u003d Tstringlist.Create؛

sampnames.loadfromfile ('files.db')؛

addtolog ("تنزيل قاعدة التنزيلات - عدد السجلات \u003d '+ inttostr (sampnames.count))؛

// دورة البحث

لأني: \u003d 0 إلى sampnames.count - 1 القيام به

CheckByName (Sampnames [i])؛

addtolog ('' خطأ تحميل قائمة اسم الملف ')؛

Savelog (GetavzDirectory + '\\ Log \\' +

getcomputername + '_ files.txt')؛

للعمل هذا البرنامج النصي، يجب أن تنشئ في مجلد AVZ المتاح للمستخدمين لتسجيل درجات الحجر الصحي ودليل السجل، بالإضافة إلى ملفات الملفات النصية .DB - سيحتوي كل سطر من هذا الملف على اسم ملف مشبوه. قد تتضمن أسماء الملفات وحدات الماكرو، وهو الأكثر فائدة منها٪ Windir٪ (المسار إلى مجلد Windows) و٪ SystemRoot٪ (المسار إلى مجلد System32). يمكن أن يكون اتجاه التحليل آخر دراسة تلقائية لقائمة العمليات التي تعمل على أجهزة كمبيوتر المستخدمين. المعلومات الموجودة في العمليات الجارية هي في بروتوكول أبحاث النظام، ولكن بالنسبة للتحليل التلقائي، يكون الأمر أكثر ملاءمة لتطبيق جزء البرنامج النصي التالي:

إجراءات مسح الإجراءات؛

S: \u003d ''؛ S1: \u003d ''؛

// تحديث قائمة العمليات

RefreshProcessList؛

addtolog ('عدد العمليات \u003d' + inttostr (getprocesscount))؛

/ / تلقى دورة تحليل القائمة

لأني: \u003d 0 إلى getprocesscount - 1 تبدأ

S1: \u003d S1 + '،' '+ ExtractName (I)؛

// عملية البحث بالاسم

إذا كان نقاط البيع ('trojan.exe'، صغيرة (getprocessname (i)))\u003e 0 ثم

S: \u003d S + GetProcessName (I) + '،'؛

إذا س.<> '' ثم.

AddlinetOtxFile (GetAVZDirectory + '\\ Log _alarm.txt'، datetimetoststr (الآن) + '' + getcomputername + ':' + s)؛

AddlinetOtxFile (GetAVZDirectory + '\\ log _all_process.txt'، datetimetoststr (الآن) + '' '+ getcomputername +': '+ s1)؛

يتم إجراء دراسة العمليات في هذا البرنامج النصي في شكل إجراء فحص منفصل، لذلك من السهل وضعه في البرنامج النصي الخاص بك. يقوم إجراء ScanProcess بإنشاء قائمة من العمليات: القائمة الكاملة العمليات (للتحليل اللاحق) وقائمة العمليات التي، من وجهة نظر المسؤول، تعتبر خطيرة. في هذه الحالة، تعتبر العملية المسماة "Trojan.exe" أنها خطيرة. تتم إضافة معلومات حول العمليات الخطرة إلى الملف النصي _alarm.txt، البيانات حول جميع العمليات هي ملف _all_process.txt. من السهل ملاحظة أنه يمكنك تعقيد البرنامج النصي، مضيفا إليه، على سبيل المثال، التحقق من العمليات بناء على قاعدة بيانات الملفات الآمنة أو التحقق من أسماء الملفات القابلة للتنفيذ للعمليات في القاعدة الخارجية. يستخدم هذا الإجراء في البرامج النصية AVZ المستخدمة في Smolenskenergo: يدرس المسؤول بشكل دوري المعلومات التي تم جمعها وتعديل البرنامج النصي، مما يضيف عمليات العمليات المحظورة بواسطة سياسات أمان البرنامج، مثل ICQ و Mailru.Agent، مما يسمح لك بالتحقق بسرعة وجود برنامج محظور على الكمبيوتر المدروس. تطبيق آخر من قائمة العمليات هو بحث كمبيوتر شخصي، والذي لا يحتوي على عملية إلزامية، على سبيل المثال، مكافحة الفيروسات.

في الختام، اعتبر آخر النصوص التحليل المفيدة - برنامج نصي الحجر الصحي التلقائي لجميع الملفات غير المعروفة على أساس AVZ الآمن وعلى أساس EDS Microsoft:

/ / أداء الأوتوكارنتين

exiteautoquarantine؛

يتم فحص الحجر الصحي الأوتوماتيكي من خلال عمليات تشغيل عمليات تشغيل المكتبات والخدمات والبرامج التشغيلية التي تم تنزيلها وحوالي 45 طريقة لتوطارات وحدات توسيع المتصفح والموصل، ومعالجات SPI / LSP، ومهام الجدول، ومعالجات نظام الطباعة، وما شابه ذلك. خصوصية الحجر الصحي هي أن الملفات تضاف إلى عنصر التحكم المتكرر، لذلك يمكن استدعاء وظيفة أوتوكارتين بشكل متكرر.

إن ميزة الحجر الصحي الأوتوماتيكي هي أنه بمساعدتها، يمكن للمسؤول جذب الملفات المشبوهة المحتملة من جميع أجهزة كمبيوتر الشبكة لدراسةها. أبسط (ولكن فعالة جدا في الممارسة العملية) قد يكون شكل دراسة الملفات اختبار الحجر الصحي الناتج من خلال العديد من مكافحة الفيروسات الشعبية في وضع الاستدلال القصوى. تجدر الإشارة إلى أن الإطلاق المتزامن للأوتوكارتين في عدة مئات من أجهزة الكمبيوتر يمكن أن يخلق حمولة عالية على الشبكة وعلى خادم الملفات.

دراسة المرور

يمكن إجراء دراسة حركة المرور بثلاث طرق:

• يدويا بمساعدة sniffers؛
• في الوضع شبه التلقائي - في هذه الحالة، يقوم Sniffer بجمع المعلومات، ثم تتم معالجة بروتوكولاتها إما يدويا أو بعض البرامج؛
• تلقائيا باستخدام أنظمة الكشف عن التسلل (IDS) نوع الشخير (http://www.snort.org/) أو البرامج أو التناظرية البرامج الخاصة بهم. في أبسط القضية، تتكون المعرفات من Sniffer ونظام تحليل المعلومات التي تم جمعها بواسطة Snaffer.

نظام كشف التسلل هو الوسائل المثلى، حيث يسمح لك بإنشاء مجموعات من القواعد للكشف عن شذوذ في نشاط الشبكة. الميزة الثانية هي كما يلي: تسمح لك معظم المعرفات الحديثة بوضع وكلاء مراقبة المرور على عدة عقود من الشبكة - وكلاء يجمعون المعلومات ونقلها. في حالة استخدام الشم، فمن المريح للغاية استخدام وحدة التحكم UNIX-Sniffer Tcpdump. على سبيل المثال، مراقبة النشاط حسب المنفذ 25 (بروتوكول SMTP)، فهو كاف لبدء استنشاف سطر أوامر من النوع:

tCPDump -I EM0 -L TCP Port 25\u003e SMTP_LOG.TXT

في هذه الحالة، يتم التقاط الحزم من خلال واجهة EM0؛ سيتم حفظ معلومات حول الحزم الملتقطة في ملف smtp_log.txt. يتم تحليل البروتوكول نسبيا نسبيا يدويا، في هذا المثال، يتيح لك تحليل النشاط عن طريق المنفذ 25 حساب جهاز كمبيوتر مع روبوتات البريد العشوائي النشطة.

تطبيق Honeypot

كصخ (Honeypot)، يمكنك استخدام جهاز كمبيوتر قديم، وهو الأداء الذي لا يسمح به لاستخدامه لحل مهام الإنتاج. على سبيل المثال، في شبكة المؤلف كأداة تم استخدامها بنجاح Pentium Pro C 64 MB ذاكرة الوصول العشوائيوبعد إلى هذا الكمبيوتر، يجب عليك تثبيت نظام التشغيل الأكثر شيوعا في شبكة LAN وحدد إحدى الاستراتيجيات:

• قم بتثبيت نظام التشغيل دون تحديث حزم - سيكون مؤشرا على ظهور دودة شبكة نشطة في الشبكة التي تعمل أي من نقاط الضعف المعروفة لنظام التشغيل هذا؛
• تثبيت نظام التشغيل مع التحديثات المثبتة على شبكة الكمبيوتر الأخرى - ستكون HoneyPOT مماثلة لأي من محطات العمل.

لكل من الاستراتيجيات بمزاياها وعيوبها؛ ينطبق المؤلف بشكل أساسي الخيار دون تحديثات. بعد إنشاء مصالصيبوت، يجب عليك إنشاء صورة قرص لاستعادة النظام بسرعة بعد تلف البرامج الضارة. بدلا من ذلك، يمكن استخدام صورة القرص لتسجيل التغييرات Shadowuser وانشاءاتها. Buing HoneyPOT، تجدر الإشارة إلى أن عددا من الديدان الشبكة تبحث عن أجهزة كمبيوتر مصابة عن طريق مسح نطاق IP، عد من عنوان IP الخاص ب PC المصاب (استراتيجيات نموذجية مشتركة - XXX *، XXX + 1. *، XXX-1 *) - بناء على ذلك، يجب أن يكون Honeypot في كل مكان من الشبكات الفرعية. كعناصر إضافية من الإعداد، يجب عليك فتح الوصول إلى مجلدات متعددة على نظام Honeypot، وعلى عدة ملفات من تنسيقات مختلفة يجب وضعها في هذه المجلدات، والحد الأدنى للمجموعة IXE، JPG، MP3.

بطبيعة الحال، من خلال إنشاء Honeypot، يجب على المسؤول تتبع عملها والرد على أي شاذة تم اكتشافها على هذا الكمبيوتر. كوسيلة لتسجيل التغييرات، يمكن تطبيق مراجعي الحسابات، يمكن استخدام Sniffer لتسجيل نشاط الشبكة. ونقطة مهمة هذا هو أن معظم Sniffers لديها القدرة على تكوين إرسال تنبيه المسؤول في حالة اكتشاف نشاط شبكة معين. على سبيل المثال، في CommView Sniffer، تنطوي القاعدة على تعليمات "الصيغة"، والتي تصف حزمة الشبكة، أو مهمة المعايير الكمية (إرسال عدد أكثر تحديدا من الحزم أو البايتات في الثانية، وإرسال الحزم إلى عناوين IP أو MAC مجهولة الهوية ) - تين. 2.

تين. 2. إنشاء وتكوين تحذير نشاط الشبكة

كتحذير، يكون الأمر أكثر ملاءمة لاستخدام رسائل البريد الإلكتروني المرسلة إلى صندوق بريد المسؤول - في هذه الحالة، يمكنك الحصول على تنبيهات تشغيلية من جميع الفخاخ على الشبكة. بالإضافة إلى ذلك، إذا كان Sniffer يتيح لك إنشاء العديد من التحذيرات، فمن المنطقي التمييز نشاط الشبكة، تسليط الضوء على العمل مع بريد إلكتروني، FTP / HTTP، TFTP، Telnet، MS Net، زيادة حركة المرور أكثر من 20-30 حزم في الثانية الواحدة في أي بروتوكول (الشكل 3).

تين. 3. رسالة الإخطار المرسلة
في حالة اكتشاف الحزم المقابلة للمعايير المحددة

عند تنظيم فخ ليس سيئا لوضع العديد من خدمات الشبكات الضعيفة على الشبكة أو إنشاء محاكيها. أبسط (مجانا) هي تأليف الأداة المساعدة APS، والتي لم يتم تثبيتها. يتم تقليل مبدأ APS إلى الاستماع إلى مجموعة من موانئ TCP و UDP الموضحة في قاعدة بياناتها وإصدار استجابة محددة مسبقا أو التي تم إنشاؤها عشوائيا (الشكل 4) في لحظة الاتصال.

تين. 4. النافذة الرئيسية المرافق APS

يظهر الشكل لقطة لقطة أثناء الاستجابة الحقيقية من APS في LAN "Smolenskenergo". كما يمكن أن ينظر إليه في الشكل، يتم تسجيل محاولة توصيل أحد أجهزة الكمبيوتر العميلة بواسطة المنفذ 21. وقد أظهر تحليل البروتوكولات أن المحاولات دورية، ثابتة من قبل العديد من الفخاخ على الشبكة، مما يجعل من الممكن إبرام مسح الشبكة للبحث واختراق خوادم FTP عن طريق تحديد كلمات المرور. تقوم APS بإجراء البروتوكولات ويمكن أن ترسل مسؤولي الرسائل مع تقارير عن الاتصالات المسجلة بالمنافذ التي يتم التحكم فيها، وهي مريحة للكشف عن مسح الشبكة التشغيلية.

عند إنشاء HoneyPot، من المفيد أيضا قراءة الموارد عبر الإنترنت في هذا الموضوع، ولا سيما مع الموقع http://www.honeynet.org/. في قسم أدوات هذا الموقع (http://www.honeynet.org/tools/index.html)، يمكنك العثور على عدد من الأدوات لتسجيل الهجمات والتحليل.

إزالة عن بعد البرامج الضارة

من الناحية المثالية، بعد اكتشاف عينات من البرامج الضارة، يرسل المسؤولون إلى مختبر مكافحة الفيروسات، حيث يتم دراستهم على الفور من قبل المحللين وتطبيق التوقيعات المقابلة على قاعدة مكافحة الفيروسات. هذه التواقيع من خلال تحديث أوتوماتيكي ابحث عن أجهزة كمبيوتر المستخدمين، ويحقق مكافحة الفيروسات إزالة البرامج الخبيثة دون تدخل المسؤول. ومع ذلك، لا تعمل هذه السلسلة دائما لأنها يجب أن تكون، على وجه الخصوص، الأسباب التالية للفشل ممكنة:

• لعدد من الأشخاص المستقلين عن المسؤول، قد لا تصل أسباب الصورة إلى مختبر مكافحة الفيروسات؛
• عدم كفاءة عدم كفاية مختبر مكافحة الفيروسات - من الناحية المثالية لدراسة العينات وإدخالها في القاعدة لا يذهب أكثر من ساعة واحدة، أي داخل يوم العمل، يمكنك الحصول على قواعد بيانات توقيع محدثة. ومع ذلك، لا يعمل جميع مختبرات مكافحة الفيروسات بسرعة، ويمكن تنتظر التحديثات لعدة أيام (في حالات نادرة - حتى أسابيع)؛
• الأداء العالي لمكافحة الفيروسات - عدد من البرامج الضارة بعد التنشيط يدمر مكافحة الفيروسات أو تنتهك عملهم بكل طريقة ممكنة. الأمثلة الكلاسيكية - إدخال ملفات المضيفين حظر التشغيل العادي لنظام التحديث التلقائي المضاد للفيروسات، حذف العمليات والخدمات والبرامج التشغيلية من مكافحة الفيروسات والأضرار التي لحقت إعداداتها، إلخ.

وبالتالي، سيكون في المواقف المذكورة للقتال من أجل البرامج الخبيثة يدويا. في معظم الحالات، من السهل، لأن أجهزة الكمبيوتر الملوثة معروفة من نتائج دراسة أجهزة الكمبيوتر، وكذلك الأسماء الكاملة لملفات البرامج الضارة. لا يزال فقط لإنتاج إزالة المسافة الخاصة بهم. إذا لم يتم حماية برنامج ضار من الإزالة، فمن الممكن تدميره باستخدام البرنامج النصي AVZ التالي:

// حذف ملف.

deletefile ('اسم الملف')؛

execivelessclean؛

يزيل هذا البرنامج النصي ملف واحد محدد (أو عدة ملفات، نظرا لأن الأوامر DeleteFile في البرنامج النصي قد يكون رقما غير محدود) ثم قم بتنظيف السجل تلقائيا. في حالة أكثر تحدا، يمكن حماية البرنامج الضار من الحذف (على سبيل المثال، إعادة تشويه ملفاتها ومفاتيح التسجيل) أو مقنعة من تقنية Rootkit. في هذه الحالة، يكون البرنامج النصي معقدا ولديه النموذج التالي:

// لمكافحة المحكمة

SearchRotkit (صحيح، صحيح)؛

// مكتب avzguard.

setavzguardstatus (صحيح)؛

// حذف ملف.

deletefile ('اسم الملف')؛

/ / تمكين تسجيل التشغيل BootCleaner

bc_logfile (getavzdirectory + 'boot_clr.log')؛

/ / استيراد إلى قائمة BootCleaner قائمة الملفات النصوص عن بعد

bc_importdledlist قائمة؛

// تنشيط bootcleaner.

// نظام التنظيف الزراعي

execivelessclean؛

إعادة التشغيل (صحيح)؛

يتضمن هذا البرنامج النصي مواجهة Roottam بنشاط، واستخدام نظام AvzGuard (هذا كتلة نشاط برنامج ضار) ونظام BootCleaner. BootCleaner هو برنامج تشغيل يزيل الكائنات المحددة من kernelmode أثناء إعادة التشغيل، في مرحلة تحميل النظام المبكر. توضح الممارسة أن برنامج نصي مماثل قادر على تدمير الأغلبية الساحقة من البرامج الضارة الحالية. الاستثناء هو البرامج الضارة، وتغيير أسماء الملفات القابلة للتنفيذ مع كل إعادة تشغيل، - في هذه الحالة، يمكن إعادة تسمية الملفات المكتشفة أثناء الدراسة. في هذه الحالة، يكون الكمبيوتر ضروريا لوجود يدويا أو إنشاء توقيعات البرامج الضارة الخاصة بك (مثال على برنامج نصي بحث إشارة موجود موضح في مساعدة AVZ).

استنتاج

في هذه المقالة، نظرنا في بعض الأساليب العملية لمكافحة وباء الشبكة المحلية يدويا، دون استخدام منتجات مكافحة الفيروسات. يمكن أيضا استخدام معظم التقنيات الموصوفة للبحث عن أجهزة الكمبيوتر الأجنبية وأحصنة طروادة على أجهزة كمبيوتر المستخدمين. إذا كنت تواجه صعوبة في العثور على برامج ضارة أو إنشاء نصوص علاجية، فيمكن للمسؤول استخدام قسم "المساعدة" من المنتدى http://virusinfo.info أو قسم "مكافحة الاحترار" من المنتدى http://forum.kaspersky.com /index.php؟showforum\u003d ثمانية عشر. تتم دراسة بروتوكولات ومساعدة العلاج في كل من منتديات مجانية، يتم إجراء تحليل الكمبيوتر الشخصي وفقا لبروتوكولات AVZ، وفي معظم الحالات يتم تخفيض العلاج إلى جهاز الكمبيوتر المصاب في البرنامج النصي AVZ، الذي تم تجميعه من قبل متخصصي بيانات المنتدى ذوي الخبرة.

قدمت بالتفصيل مع أنواع مختلفة من نقاط الضعف، ولكن الآن حان الوقت للتعرف على ماسحات الضعف هذه.

الماسحات الضوئية هي البرامج أو الأجهزة التي تعمل على تشخيص ومراقبة أجهزة كمبيوتر الشبكة التي تتيح لك مسح الشبكات وأجهزة الكمبيوتر والتطبيقات للكشف عن المشكلات المحتملة في نظام الأمان وتقييم نقاط الضعف وإخراج الأخطاء وإصلاحها.

تتيح لك ماسحات التأثر عدم التحقق من التطبيقات المختلفة في النظام لحضور "الثقوب" التي يمكن للمهاجمين الاستفادة منها. يمكن أيضا استخدام الوسائل المنخفضة المستوى، مثل ماسحات الممنزات، لتحديد وتحليل التطبيقات والبروتوكولات المحتملة التي تعمل في النظام.

وبالتالي، تهدف الماسحات الضوئية إلى حل المهام التالية:

• تحديد وتحليل نقاط الضعف؛
• مخزون الموارد مثل نظام التشغيل والبرامج وجهاز الشبكة؛
• تشكيل التقارير التي تحتوي على وصف لنقاط الضعف وخيارات القضاء.

كيف تعمل؟

استخدم ماسحات التأثر مع عملهم آلتين رئيسيين.
أولا - السبر ليس موجودا جدا، ولكن دقيقة. هذه آلية تحليل نشطة تطلق هجمات تقليدية، وبالتالي التحقق من مشكلة عدم الحصانة. أثناء التحقيق، يتم تطبيق أساليب تنفيذ الهجمات التي تساعد على تأكيد وجود الضعف والكشف عن "إخفاقات" غير محددة سابقا.

ثانية آلية - المسح - أسرع، ولكنها تعطي نتائج أقل دقة. هذا تحليل سلبي يبحث فيه الماسح الضوئي عن مشكلة عدم حصانة دون تأكيد وجوده باستخدام علامات غير مباشرة. يتم تحديد المسح الضوئي المنافذ المفتوحة وجمع عناوين ذات صلة. يتم مقارنة مع جدول قواعد التعريف أجهزة الشبكة، نظام التشغيل ومحتمل "الثقوب". بعد المقارنة ماسحة الشبكة تقارير أمنية عن وجود أو عدم وجود الضعف.

معظم ماسحات ضوئية أمن الشبكة الحديثة تعمل على المبادئ:

• مجموعة من معلومات الشبكة، وتحديد جميع الأجهزة والخدمات النشطة التي تعمل عليها؛
• الكشف عن نقاط الضعف المحتملة؛
• تأكيد نقاط الضعف المختارة، والتي يتم استخدام طرق محددة وهجمات محاكاة؛
• الإبلاغ
• القضاء التلقائي لنقاط الضعف. ليس دائما هذه المرحلة يتم تنفيذها في ماسحات ضوئية أمن الشبكة، ولكن غالبا ما تحدث في ماسحات ضوئيا النظام.

أفضل ماسحات الضعف

الآن دعونا نحلل الماسحات الضوئية الأكثر صلة بتوجيه تقييمات الخبراء.

نيسوس.

تم إطلاق المشروع في عام 1998، وفي عام 2003، قام مطور أمن الشبكة في عام 2003 بإجراء ماسح ضوئي أمن الشبكة. قاعدة محدثة بانتظام عن نقاط الضعف والبساطة في التثبيت والاستخدام، مستوى عال من الدقة هي مزاياه على المنافسين. ميزة رئيسية هي استخدام الإضافات. وهذا هو، أي اختبار اختراق لا يخيط بإحكام داخل البرنامج، ولكن يتم وضعه في شكل مكون إضافي مكون إضافي. يتم توزيع الإضافات على 42 من أنواع مختلفة: لإجراء القضوع، يمكنك تنشيط كل من الإضافات منفصلة وجميع الإضافات المحددة - على سبيل المثال، لتنفيذ جميع الشيكات المحلية على نظام Ubuntu. نقطة مثيرة للاهتمام - سيتمكن المستخدمون من كتابة اختباراتهم الخاصة باستخدام لغة نصية خاصة.

نيسوس هو ماسح ثلاجة فائدة ممتازة. ولكن لديه اثنين من العيوب. الأول - عند تعطيل خيار "الشيكات الآمنة"، يمكن أن تؤدي اختبارات نقاط الضعف إلى اضطرابات في تشغيل الأنظمة الممسوحة ضوئيا. والثاني هو الثمن. يمكن أن يكلف الترخيص السنوي 114 ألف روبل.

سيمانتيك الأمن تحقق.

الماسح الضوئي للشركة المصنعة لنفس الاسم. المهام الرئيسية هي الكشف عن الفيروسات وأحصنة طروادة، وديدان الإنترنت، والبرامج الضارة، والبحث عن نقاط الضعف على الشبكة المحلية. هذا منتج عبر الإنترنت يتكون من جزأين: مسح الأمن. الذي يتحقق من نظام الأمان و كشف الفيروسات.إجراء فحص كمبيوتر كامل للفيروسات. تم تثبيته بسرعة وسهولة، يعمل من خلال المتصفح. وفقا لآخر التعراض، يكون ماسح الشبكة هذا أفضل استخدام لفحص إضافي.

Xspider.

يمكن لبرنامج Xspider، الذي، وفقا لتطبيق المطور، تحديد ثلث ضعف غدا. الميزة الرئيسية لهذا الماسح الضوئي هي القدرة على اكتشاف الحد الأقصى لعدد "الفشل" على الشبكة حتى قبل أن ينظر إليهم المتسللين. في هذه الحالة، يعمل الماسح الضوئي عن بعد دون الحاجة إلى برنامج إضافي. بعد أن عملت، يرسل الماسح الضوئي تقريرا كاملا ونصائح حول القضاء على "الثقوب". يبدأ تكلفة الترخيص لهذا الماسح الضوئي من 11 ألف روبل لأربعة مضيفين في السنة.

qualysguard.

الماسح الضوئي متعدد الوظائف لمكافحة الضعف. يوفر تقارير شاملة تشمل:

• تقييم مستوى ضعف نقاط الضعف؛
• تقدير الوقت اللازم للقضاء عليها؛
• التحقق من درجة تأثيرها على العمل؛
• تحليل الاتجاهات الأمنية.

يتيح منصة CourySguard Cloud و STALE-COMPLE المدمجة من التطبيقات للمؤسسات بتبسيط عملية الأمان وتقليل تكلفة الامتثال لمتطلبات مختلفة، أثناء العطاء معلومات مهمة حول الأمن وأتمتة مجموعة كاملة من مهام التدقيق، والسيطرة المعقدة وحماية أنظمة تكنولوجيا المعلومات وتطبيقات الويب. مع هذا البرمجيات يمكنك مسح مواقع الويب الخاصة بالشركات واستقبال الإخطار الآلي والتقارير عن اكتشاف التهديدات والتخلص منها في الوقت المناسب.

رابيد 7 نيكسين

Rapid 7 هي واحدة من أسرع الشركات نموا متخصصة في أمن المعلومات فى العالم. كانت هي التي اكتسبت مؤخرا إطار مشروع MetaSploit المشروع، وكان يدها أن مشروع Nexpose. تبلغ تكلفة "الدخول" لاستخدام الإصدار التجاري بدون 3000 دولار صغير، ولكن بالنسبة لعشاق هناك نسخة مجتمعية مع إمكانيات قليلة قليلا. مثل نسخة مجانية يدمج بسهولة مع metasploit. مخطط العمل صعب للغاية: يبدأ Nexpion أولا، ثم وحدة التحكم MetaSploit (MSFCONSOLE)، وبعد ذلك يمكنك تشغيل عملية المسح الضوئي وضبطها بعدد من الأوامر (Nexpose_Connect، Nexpose_scan، Nexpose_Discover، Nexpose_DOS وغيرها). يمكنك الجمع بين وظائف Nexpose وحدات metasploit الأخرى.

X-Scan.

خارجيا، يتم تذكير X-Scan أكثر بسعادة مصنوعة بذاتها ذاتيا كشخص لاحتياجاتهم ودفعت إلى عام في السباحة المجانية. قد لا يكون قد تلقى مثل هذه الشعبية إذا لم تدعم البرامج النصية Nessus التي يتم تنشيطها باستخدام الوحدة النمطية النصية للهجوم Nessus. من ناحية أخرى، فإن الأمر يستحق تقرير المسح، ويتم غادر جميع الشكوك حول فائدة الماسحة الضوئية في الخلفية. لن يتم إصدارها وفقا لأحد المعايير الرسمية ل IB، ولكن بالتأكيد سوف تخبر الكثير عن الشبكة.

كل فريق] [- تفضيلاتها من حيث البرامج والمرافق
بنتست. بعد أن تألفت، اكتشفت: الاختيار يختلف الكثير مما يمكنك القيام به
مجموعة حقيقية Gentlemansky من البرامج التي تم التحقق منها. على ذلك وقرر. ل
لا تفعل فريق Solunka، وكسرنا القائمة بأكملها على الموضوعات. اليوم سوف نل
قدم مقدور لأي Pengester ماسح ضوئي للحصول على نقاط الضعف.

نيسوس.

موقع إلكتروني:
www.nessus.org/plugins/index.php.
التوزيع: مجاني / Shareware
منصة: WIN / * NIX / MAC

إذا لم يحاكم شخص ما نيسوس.، على الأقل سمع عنه.
واحدة من أشهر ماسحات الأمن لديها تاريخ غني: يجري
بمجرد فتح المشروع، توقف البرنامج عن الانتشار مفتوحا
مصدر الرمز. لحسن الحظ، ظلت النسخة المجانية، والتي كانت في الأصل
إنه محروم للغاية من الوصول إلى تحديثات لقاعدة الضعف والمكونات الإضافية الجديدة،
ولكن في وقت لاحق، تم ضغط المطورين وقتص بهم فقط في تواتر التحديثات.
الإضافات - الميزة الرئيسية في بنية التطبيق: أي اختبار على
لا يخيط الاختراق بإحكام داخل البرنامج، ولكن يتم إصداره
المكونات البرنامج المساعد. يتم توزيع الإضافات على 42 نوعا مختلفا:
Pentend، يمكنك تنشيط كل من الإضافات منفصلة وجميع الإضافات.
نوع معين - على سبيل المثال، لأداء جميع الشيكات المحلية
نظام أوبونتو. ولا أحد يحدك لك في كتابة الاختبارات الخاصة بك.
عند الاختراق: لهذا، تم تنفيذ لغة البرمجة النصية الخاصة في Nessus
- Nasl. (نيسوس هجوم البرمجة النصية) في وقت لاحق
استعار المرافق الأخرى.

أكثر مرونة أكبر، وقد حقق المطورون، يفصلون الجزء الخادم من الماسح الضوئي،
إجراء جميع الإجراءات من برنامج العميل الذي لا يمثل
أكثر من واجهة الرسموبعد في الإصدار التالي 4.2 من Demon على منفذ 8834
يفتح خادم الويب يمكنك التحكم في الماسح الضوئي من خلال واجهة مريحة
فلاش "ه، وجود متصفح واحد فقط. بعد تثبيت الماسح الضوئي، يبدأ الخادم
تلقائيا بمجرد تحديد مفتاح التنشيط: يمكنك المجانية
طلب ذلك على موقع الويب نيسوس.وبعد صحيح، للمدخل، والمحلي
وعاد عن بعد، ستحتاج إلى إنشاء مستخدم مسبق: في Windows IT
يتم ذلك في اثنين من نقرات الماوس من خلال Manager Nesus Server Gui-Admin، معها
يمكنك البدء وإيقاف الخادم.

أي اختبار اختراق يبدأ بإنشاء السياسات المزعومة -
القواعد التي ستلتزم الماسح الضوئي أثناء المسح. هنا و
مسح المنفذ المحدد (مسح TCP، مسح UDP، Scan Scan، إلخ)،
عدد الاتصالات المتزامنة، وكذلك النقي النموذجي ل نيسوس.
خيارات، مثل الشيكات الآمنة. هذا الأخير يشمل المسح الضوئي الآمن،
إلغاء تنشيط الإضافات التي يمكن أن تضر بالنظام الممسوح ضوئيا. خطوة مهمة
في إنشاء القواعد هو اتصال المكونات الإضافية اللازمة: يمكنك تنشيط الأعداد الصحيحة
مجموعات، قل، حسابات يونيكس الافتراضية، DNS، سيسكو، Slackware الأمن المحلي
الشيكات والنوافذ، إلخ. اختيار الهجمات المحتملة والشيكات - ضخمة! متميز
ميزة Nessus هي الإضافات الذكية. Scanner لن تفحص الخدمة أبدا
بواسطة رقم ميناءه. نقل خادم الويب من منفذ 80 القياسي، دعنا نقول
في 1234، لن يتمكن خداع نيسوس - سيحدد ذلك. إذا على خادم FTP
يتم تعطيل مستخدم مجهول، وجزء من الإضافات استخدامه للتحقق،
لن يقوم هذا الماسح الضوئي بتشغيلها، مع العلم عن قصد أنه لن يكون أي معنى. اذا كان
البرنامج المساعد يستغل الضعف في Postfix "E، نيسوس. لن تعذيب
السعادة، تحاول الاختبارات ضد sendmail "أ -، إلخ. من الواضح أن التنفيذ
يتحقق من النظام المحلي، تحتاج إلى تقديم ماسحة بيانات الاعتماد
(تسجيلات تسجيل وكلمات المرور للوصول) هي الجزء الأخير من إعداد القواعد.

Openvas.

الموقع: www.openvas.org.
التوزيع: مجانية.
منصة: WIN / * NIX / MAC

على الرغم من حقيقة أن رموز نيسوس الأصلية أصبحت مغلقة، محرك نيسوس 2 و
لا تزال جزء من الإضافات موزعة تحت ترخيص GPL في شكل مشروع.
Openvas. (الماسح الضوئي لتقييم الضعف مفتوح). الآن المشروع
يتطور بشكل مستقل تماما من أخيه الأكبر ويجعل
النجاحات: خرجت النسخة المستقرة الأخيرة قبل إرسال الرقم مباشرة
مطبعة. لا عجب بذلك Openvas. يستخدم أيضا خادم العميل
الهندسة المعمارية حيث يتم تنفيذ جميع عمليات المسح من قبل جزء الخادم - IT
يعمل فقط تحت niksami. لبدء ستحتاج إلى تنزيل الحزم.
OpenVas-Scanner، بالإضافة إلى مجموعة من مكتبات Openvas Libraries. مثل
جزء العميل ل Openvas. 3.0 فقط برنامج GUI Nixic هو متاح،
ولكن، أعتقد، مثل الإصدارات السابقةقريبا سوف يظهر المنفذ لنظام التشغيل Windows. في أي
القضية، الأسهل للاستفادة Openvas. بمساعدة غير مكلفة
LiveCD Bactrack (الإصدار الرابع) الذي تم تثبيته بالفعل. جميع التخصصات
يتم إجراء عمليات بدء العمل في عناصر القائمة: Openvas جعل Cert
شهادة SSL للوصول إلى الخادم)، إضافة مستخدم (إنشاء Jouzer للوصول إلى
الخادم)، NVT مزامنة (تحديث المكونات الثغرات الأمنية والقاعدة)، وفي النهاية
خادم OpenVas (خادم البدء عبر عنصر القائمة). لا يزال التالي فقط
قم بتشغيل جزء العميل والاتصال بالخادم لبدء تشغيل Pentest.

الانفتاح والتوسع Openvas. يسمح لضخ الصعب
برنامج. بالإضافة إلى الإضافات مباشرة لتحليل الأمان، في ذلك
يتم دمج العديد من المرافق المعروفة: Nikto للبحث عن سيناريوهات CGI الضعيفة،
NMAP لمسح الموانئ والبحر الأشياء الأخرى، والمسح الضوئي للكشف عن IPSec
العقد VPN، AMAP لتحديد الخدمات على المنافذ باستخدام البصمات،
ovaldi لدعم اللغة البيضاوية - اللغة القياسية لوصف نقاط الضعف - و
آخرين كثر.

Xspider 7.

موقع إلكتروني:
www.ptsecurity.ru/xs7download.asp.as.
التوزيع: كومبيوتري.
منصة: الفوز.

الخطوط الأولى من التعليمات البرمجية Xspider. كتبت في 2 ديسمبر 1998، ول
منذ ذلك الحين 12 سنة، أصبح هذا الماسح الضوئي معروفا لكل روسي
أخصائي أمن المعلومات. بشكل عام، التقنيات الإيجابية - واحد
من الشركات القليلة في سوق أمن المعلومات المحلية، التي
يمكن للموظفين فعلا كسر شيء ما، وليس فقط خدمات البيع بشكل جميل.
لم يكن المنتج مكتوبا من قبل المبرمجين، ولكن من قبل خبراء IB الذين يعرفون، مثل
ما يجب التحقق منه. ما هي النتيجة؟ لدينا منتج جودة عالية جدا مع واحد،
لكن خطيرة جدا بالنسبة لنا ناقص: Xspider. بليز! مهمة
يقدم المطورون نسخة تجريبية قلصة لم يتم تنفيذ مجموعة كاملة.
الشيكات، بما في ذلك الإغراء، وكذلك التحديثات عبر الإنترنت للقاعدة
نقاط الضعف. علاوة على ذلك، فإن قوى المطورين موجهة تماما إلى آخر
المنتج - نظام مراقبة أمن المعلومات Maxpatrol ل
الذي، للأسف، لا يوجد حتى تجريبي.

ولكن حتى مع كل القيود Xspider.هو واحد من أكثر ملاءمة
وأدوات تحليل أمن الشبكة الفعالة وعقد محددة.
إعدادات المسح الضوئي، كما في حالة نيسوس، مصنوعة في شكل خاص
مجموعة القواعد، فقط في هذه الحالة، لا تسمى السياسات، ولكن الملفات الشخصية.
تخصيص كل من المعلمات العامة لتحليل الشبكة وسلوك الماسح الضوئي
للحصول على بروتوكولات محددة: SSH، LDAP، HTTP. نوع الخفي المدروس على كل منهما
يتم تحديد منفذ ليس حسب التصنيف المقبول عموما، ولكن باستخدام
يتم تضمين الخوارزميات اليورانية "A - الخيار" مع نقرة واحدة في
ملف تعريف المسح الضوئي. كلمات منفصلة يستحق معالجة خدمة RPC (Windows
و * NIX) مع تحديد كامل، بفضل ما هو ممكن لتحديد نقاط الضعف
خدمات مختلفة وتكوين كمبيوتر مفصل ككل. الشيك
ضعف حماية كلمة المرور تنفذ الاختيار الأمثل لكلمات المرور عمليا
في جميع الخدمات التي تتطلب المصادقة، مما يساعد على تحديد كلمات المرور ضعيفة.
يتم وضع نتيجة المسح في شكل تقرير مناسب، ولكل منها
وجدت الضعف المحتمل يتم إصدار وصف صغير وصلة خارجية،
حيث يمكنك البحث عن التفاصيل.

GFI languard.

موقع إلكتروني:
www.gfi.com/lannetscan.
التوزيع: Freeware / Shareware
منصة: الفوز.

التي أحبها بشكل خاص هذا المنتج مخصص لمجموعة من المثبتة مسبقا
ملفات التعريف للمسح الضوئي. بالإضافة إلى المسح الكامل للنظام البعيد،
مما يعني أن جميع أنواع الشيكات المتاحة (بالمناسبة، هناك نسخة خاصة
للاتصال البطيء - على سبيل المثال، للحصول على اتصالات الفرامل VPN عبر الدول)،
هناك الكثير من الفئات المنفصلة من الشيكات. على سبيل المثال، يمكنك التحقق بسرعة عشرات
المضيفين لوجود نقاط الضعف من Top20 التي جمعها الشهيرة
SANS الأمنية. فورا يمكنك تنشيط والبحث عن الآلات مع
بقع مجهولة الهوية أو حزم الخدمة، اختر ملف تعريف pentests
تطبيقات الويب، إلخ. علاوة على ذلك، باستثناء ملفات التعريف الموجهة مباشرة إلى
البحث عن نقاط الضعف، وهناك عدد من وسائل التدقيق: البحث في الكرة، الماسح الضوئي الذكي
الموانئ، بما في ذلك للعثور على المركبات مفتوحة من قبل سيارة صغيرة
تكوينات الكمبيوتر، إلخ. اتضح في منتج واحد الكتلة
المرافق المفيدة.

قاعدة محدثة باستمرار من نقاط الضعف GFI languard. يتضمن أكثر من
15000 مداخل، مما يتيح لك مسح أكثر أنظمة مختلفة (Windows، نظام التشغيل Mac، Linux)،
بما في ذلك تثبيت على الأجهزة الافتراضية. الماسح الضوئي تلقائيا
سحب تحديثات للقاعدة، والتي يتم تشكيلها بدورها من خلال التقارير
Bugtraq، بلا ولاية وغيرها من الشركات. تنفيذ الشيكات الخاصة بك كما
ذهب، يمكنك وأنت نفسك. لذلك، يتم تزويدك برصين نصي خاص
لغة متوافقة مع Python و VBScript (ما هي حفنة!)، والمرافق الكاملة
حتى محرر مناسب مع Debager - يتم الحصول على IDE الحقيقي. مرة اخرى
Languard's Chip "A - القدرة على تحديد أن الجهاز يتم إطلاقه
في بيئة افتراضية (في حين يتم دعم VMware و Virtual PC) - هذا هو واحد من
رقائق الماسح الضوئي الفريد.

شبكية الشبكة الأمن الماسح الضوئي

الموقع: www.eeye.com.
التوزيع: كومبيوتري.
منصة: الفوز.

خيبة أمل الرئيسية لهذا الماسحة الماسحة الأسطورية عانت مني مباشرة بعد
إطلاق. المثبت من أحدث إصدار، سرقة، وقال هذا المدى
شبكية العين. على Windows 7 أو Windows Server 2008 R2 مستحيل حاليا. لا
بأدب للغاية، كان علي أن أفتح آلة افتراضيةلكنني أعرف: كان
يستحق كل هذا العناء. شبكية العين. - واحدة من أفضل الماسحات الضوئية التي تحدد وتحليلها
المضيف المضيف المحلي. المادة المادية الخوادم الافتراضيةومحطات العمل و
أجهزة الكمبيوتر المحمولة، أجهزة التوجيه والأجهزة جدران الحماية - شبكية العين. الحالي
ستعرض قائمة كاملة من الأجهزة المتصلة بالشبكة معلومات حول اللاسلكي
الشبكات. كل منهم سيكون في كل شيء لتووت في البحث على الأقل بعض تلميح
الضعف، ويجعلها ذكية للغاية. عند مسح فئة شبكة محلية مع
يستغرق حوالي 15 دقيقة. منتج شبكية العين. يحدد نقاط ضعف نظام التشغيل،
التطبيقات، الإعدادات والمعلمات الخطرة المحتملة. نتيجة لذلك، يمكنك
الحصول على خطة شبكة مراجعة مع عرض الأماكن المعرضة للخطر. قاعدة جيم
نقاط الضعف، وفقا للمطورين، يتم تحديث كل ساعة، ومعلومات حول
نقاط الضعف تقع في قاعدة البيانات في موعد لا يتجاوز 48 ساعة بعد المظهر الأول
bagratrica. ومع ذلك، فإن حقيقة أن هذا هو منتج مصنع Eeye هو بالفعل
ضمان الجودة.

Microsoft Baseline Security Analyzer

الموقع: www.microsoft.com.
التوزيع: مجانية.
منصة: الفوز.

ما هو؟ محلل أمان Microsoft، الذي
يتحقق أجهزة الكمبيوتر على الشبكة للامتثال لمتطلبات Microsoft، والتي
قضى كمية كبيرة. المعيار الأكثر أهمية هو، بالطبع، توافر
على نظام جميع التحديثات المثبتة. لا تذكر ما فعلته
كونكيكي باستخدام استراحة MS08-67، والرقعة التي خرجت من شهرين من قبل
الأوبئة. بالإضافة إلى التصحيحات المفقودة، يكتشف MBSA البعض
الحانات الشائعة في التكوين. قبل مسح البرنامج
تنزيلات التحديثات لقواعدها، حتى تتمكن من التأكد من: مايكروسوفت.
محلل الأمن الأساسي إنه يعرف كل شيء عن التحديثات المنشورة لنظام التشغيل Windows. بواسطة
يتم إصدار نتائج المسح (المجال أو نطاق عناوين IP)
أبلغ عن. بالفعل يمكن نقل تقرير مرئي إلى نظام شبكة شرطي،
يعرض نتائج المسح الضوئي في Visio. لهذا، يحتوي البرنامج على الوصول إلى
موصل خاص من شأنه أن يعرض الأحرف المختلفة عقد مقفلة،
املأ معلمات الكائن عن طريق إضافة معلومات حول المسح، و
سوف يسمح لك النموذج الجميل برؤية المشاكل في كمبيوتر معين.

القديس.

موقع إلكتروني:
http://www.saintcorporation.com.
التوزيع: كومبيوتري.
منصة: -Nix.

فقط عناوين IP التي يمكنك رفعها القديس. في
إن مسار الفترة التجريبية معزولة بشكل صارم بالمفتاح، ويذهب إليك
بريد إلكتروني. لا خطوة اليسار أو خطوة إلى اليمين - ولكن هذا المنتج يستحق بالضرورة
حاول، حتى مع القيود المفروضة على هذه. إدارة الماسح الضوئي
نفذت من خلال واجهة ويب ليست مفاجئة - الحلول القديس.
تم بيعها، بما في ذلك، في شكل خوادم للتثبيت في رف (Saintbox)، وهنا
تحتاج إلى متابعة الأزياء. بمساعدة واجهة الويب الزهدية، من السهل جدا
تشغيل اختبار واستخدام البحث طويل الأجل للبحث
المناطق المعرضة للخطر في النظام. سأقول المزيد: واحدة من وحدات SaintExploit
لا يسمح فقط بالكشف فقط، ولكن أيضا لاستغلال الضعف! يأخذ
خطأ MS08-67 سيئة السمعة. إذا كشف الماسح الضوئي عن حفرة غير معقدة ويعرف
كيفية استغلالها، ثم بجانب وصف الضعف يعطي رابطا
إلى القلب الوثيق إلى كلمة استغلال. في نقرة واحدة، تحصل على وصف الصلبة،
علاوة على ذلك، فإن الزر Run Now لبدء تشغيله. بعد ذلك، اعتمادا على الانقسام،
يتم تحديد المعلمات المختلفة، على سبيل المثال، إصدار دقيق من نظام التشغيل على المضيف البعيد،
نوع شل والمنفذ الذي سيتم إطلاقه. إذا كان استغلال الهدف ناجحا
أكملت، ثم يظهر عنوان IP في قسم الاتصالات من وحدة SaintExploit
ضحايا واختيار الإجراءات التي أصبحت يمكن الوصول إليها كنتيجة للإطلاق
استغلال: العمل مع الملفات على نظام بعيد، سطر الأوامر إلخ!
تخيل: الماسح الضوئي، الذي يكسر نفسه! لا عجب المنتج شعار: "فحص.
تعرض. استغلال ". نظام التفتيش هو الأكثر تنوعا، وفي السابعة الماضية
ظهرت النسخة الوحدة النمطية ل Penzets تطبيق الويب والميزات الإضافية
لتحليل قواعد البيانات. إذ يشير إلى الهدف من خلال واجهة الويب، يمكنك مشاهدة
تصرفات الماسح الضوئي بكل التفاصيل، ومعرفة ما يفعله الماسح الضوئي بالضبط
هذه اللحظة.

X-Scan.

الموقع: http://www.xfocus.org.
التوزيع: مجانية.
منصة: الفوز.

أحدث إصدار من هذا الماسح الضوئي خرج في عام 2007، والذي لا يتداخل
استخدمها الآن بفضل نظام المكونات الإضافية والبرامج النصية،
مكتوبة في لغة NASL، كما هو مستخدم في Nessus / Openvas. لايجاد
وتحرير البرامج النصية المتاحة سهلة - كلها في مجلد البرامج النصية.
لبدء الماسح الضوئي، يجب عليك تعيين إعدادات المسح الضوئي من خلال القائمة
التكوين -\u003e المسح الضوئي المعلمة. ككائن المسح يمكن أن يتصرف كما
عنوان IP محدد ومجموعة العناوين، ولكن في الحالة الأخيرة، من الضروري أن تكون أخلاقية
على استعداد للاختبار سيكون طويلا. الماسح الضوئي، للأسف، وليس أكثر
سريع. عدد الوحدات المتصلة هو أيضا نسبة إلى السرعة:
المكملات الغذائية التي تحقق من مقاومة كلمة المرور ل SSH / VNC / FTP، واحدة من أكثر
شره. خارجيا X-Scan. أكثر تذكرنا من محلية الصنع التي أنشأها شخص ما
لاحتياجاتك الخاصة ودفعت إلى عام في السباحة المجانية. ربما هو سوف
ولم تحصل على مثل هذه الشعبية إذا لم تدعم البرامج النصية لسيسوس
تنشيط باستخدام الوحدة النمطية النصية للهجوم Nessus. من ناحية أخرى، فإن الأمر يستحق
عرض تقرير المسح، وجميع الشكوك حول فائدة الماسح الضوئي
الخطة الثانية. لن يتم إصدارها وفقا لأحد المعايير الرسمية ل IB، ولكن
بالتأكيد سوف تخبر الكثير من الجديد على الشبكة.

رابيد 7 نيكسين

الموقع: www.rapid7.com.
التوزيع: نسخة مجانية
منصة: نيكس / فوز

سريع 7. - واحدة من أسرع الشركات نموا متخصصة في
على أمن المعلومات في العالم. كانت هي التي اكتسبت مؤخرا المشروع
إطار metasploit، وهي يديها - مشروع nexpose.وبعد كلفة
"الإدخال" لاستخدام الإصدار التجاري بدون 3000 دولار صغير، ولكن
بالنسبة لعشاق، هناك نسخة مجتمعية مع إمكانيات قلص قليلا.
هذه النسخة المجانية سهلة الاندماج مع metasploit "أوم (الإصدار غير ضروري
أقل من 3.3.1). مخطط العمل هو خدعة كافية: أولا تطلق Nexpose، ثم
وحدة التحكم MetaSploit (MSFConsole)، وبعد ذلك يمكنك تشغيل عملية المسح الضوئي
وإعداده مع عدد من الأوامر (Nexpose_Connect، Nexpose_Scan،
nexpose_discover، nexpose_dos وغيرها). بارد أنه يمكنك الجمع
وظائف nexpose. وحدات metasploit الأخرى "أ. الأسهل، ولكن
مثال فعال: ابحث عن أجهزة الكمبيوتر مع بعض الضعف وعلى الفور
تشغيله باستخدام وحدة metasploit المناسبة - الحصول عليها
التشغيل التلقائي على مستوى جودة جديدة.

تحذير

بنتست من خوادم وموارد مالك الموارد دون إرادته - ACT جنائية
اللكم. في حالة استخدام المعرفة المكتسبة في أغراض غير قانونية، المؤلف و
لم يتم تنفيذ تحرير المسؤولية.

ماسح الأمن هو البرمجيات بالنسبة للتشخيص عن بعد أو المحلي لعناصر الشبكة المختلفة، يتم اكتشاف نقاط الضعف المختلفة فيها. المستخدمون الرئيسيون لهذه الأنظمة هم المهنيون: المسؤولون وأخصائيي الأمن، إلخ. يمكن للمستخدمين البسيط أيضا استخدام ماسحات الأمن أيضا، ولكن المعلومات الصادرة عن هذه البرامج عادة ما تكون محددة، مما يحد من إمكانيات استخدامها من قبل شخص غير مستعد. تسهل ماسحات السلامة عمل متخصصين، مما يقلل من الوقت الإجمالي الذي يقضيه في البحث عن نقاط الضعف.

للمقارنة، تم اختيار خمسة مخصصات مختلفة في نطاق أسعار مختلف ومع إمكانات مختلفة: الماسح الضوئي ISS للإنترنت., Xspider., languard., shadowsecurityscanner., X-Scan..

لمقارنة هذه الأنظمة لا تكفي لتشغيلها. عدد نقاط الضعف المزعومة أو إعداداتها، وكذلك حجم البرنامج أو مظهر خارجي لا يمكن أن يكون معايير لتقييم إمكانيات الجودة والفحمية للماسح الضوئي. لذلك، من أجل إنشاء فكرة كاملة عن عمل ماسحات الأمن المختلفة، تقرر إجراء اختبارها المقارن لتحديد نقاط الضعف في سبعة مختلفة أنظمة التشغيل، والتي تستخدم بشكل متكرر من قبل البنوك الكبيرة والمؤسسات المالية: AS / 400، Solaris 2.5.1، Compaq / Tandem Himalaya K2006 (OS D35)، Windows 2000 Server، Windows XP Professional، Linux Redhat 5.2، راوتر شبكات الخليج.

إصدارات ماسحات الضوئية الاختبار (الأحدث المتاحة في وقت التحقق):

• ISS Internet Scanner 6.2.1 مع أحدث التحديثات
• Xspider 6.01.
• Languard 2.0.
• shadowsecuritysscanner 5.31.
• Xfocus X-Scan V1.3 واجهة المستخدم الرسومية

تم إجراء اختبار كل ماسح ضوئي مرتين، مما يستبعد الأخطاء المحتملة غير المرغوب فيها المتعلقة بمثال، مع مشكلة مؤقتة على الشبكة. تم وضع جميع البيانات التي تم الحصول عليها في جدول، والتي تم عرض نقاط الضعف التي تم العثور عليها من قبل واحد أو آخر ماسح ضوئي. يشير اللون الأصفر إلى ضعف الجاذبية المتوسطة، والتي بموجب ظروف معينة قد تستلزم خسائر خطيرة، وأضعف نقاط الضعف الخطيرة الحمراء التي لا يمكنها فقط الخسائر الخطيرة، ولكن أيضا إلى التدمير الكامل للنظام. بعد ذلك، بعد الطاولة، يتم تقييم الماسحات الضوئية مع نتائج المسح.

جدول نقاط الضعف الموجود:

لفهم النتائج وتأتي إلى أي استنتاج النظام التالي حساب النقاط، التي تكون أقل الأمثل (خيارات أخرى ممكنة، ولكنها كلها مماثلة): لكل مشكلة من الضعف، سيتم إضافة كمية معينة من النقاط اعتمادا على درجة خطر هذه الضعف، والعكس بالعكس لإصدار سيتم خصم درجات الضعف الخاطئة:

• ضعف خطيرة (+3 نقاط)
• تعرض الثقل المتوسطة (+2 نقطة)
• المعلومات (+1 درجة)
• ضعف خطيرة كاذبة (-3 نقاط)
• الضعف الخاطئ للجاذبية المتوسطة (-2 نقطة)
• معلومات كاذبة (-1 درجة)

الجدول الكلي:

ماذا نتيجة؟

لا يحتاج ISS Internet Scanner إلى وصف. وأظهر نفسه كما هو الحال دائما على مستوى عال، على الرغم من أن هذه المرة تعطي لبطولة راحة Xspider-y.

تحولت Xspids إلى أن مادة Xspids هي قائد بلا منازع، بعيدا عن المنافسين، خاصة عند البحث عن نقاط الضعف في Windows و Solaris، وهو لطيف بشكل خاص مع حجمها الصغير والتوزيع المجاني. هناك ناقص كبير: هناك القليل من المعلومات عند إصدار قائمة من نقاط الضعف، والتي تنطوي على مستوى عال من المعرفة والكفاءة المهنية من متخصص باستخدام هذا البرنامج.

يمكن أن يسمى languard مع الإمتداد ماسحة أمان. يعمل بشكل جيد للغاية مع NetBIOS، وإصدار قائمة بالموارد والخدمات والمستخدمين. تتميز هذه القدرة بشدة من قبل الماسح الضوئي من البقية، ولكن هذا هو هذا فقط. في هذه الميزة من نهاية languard.

حلم ShadowsecuritySscanner عمليا من ISS. وهذا في هذا الفرق الكبير في سعره. يحتوي البرنامج على واجهة بسيطة مشابهة لواجهة Scanner Retina. نصيحة مفصلة وتوصيات للقضاء على نقاط الضعف بسهولة تجعل من الممكن التعامل مع المشاكل. سلبيات: كمية صغيرة من نقاط الضعف المعروفة، استهلاك أكبر بكثير من موارد النظام عند العمل مقارنة بالماسحات الضوئية الأخرى.

X-Scan Free Scanner ل Languard مماثلة ل Languard، ولكن متفوق قليلا. سلبيات: ليست واجهة البرنامج قابلة للقراءة للغاية، وعدم وجود أي تعليقات حول نقاط الضعف التي تم العثور عليها.