Escáneres de seguridad de red: posibilidades, principio de operación y soluciones avanzadas. Vulnerabilidades de escaneo: cómo verificar el dispositivo y asegurarte de las amenazas potenciales buscar vulnerabilidades en la red local

El problema de la epidemia de los gusanos de la red es relevante para cualquier red local. Tarde o temprano, la situación puede ocurrir cuando una red o un gusano postal penetran en LAN, que no se detecta por un antivirus utilizado. Virus de red se extiende a través de la LAN a través de no cerrada en el momento de la infección de la vulnerabilidad del sistema operativo o a través de la grabación recursos compartidos. El virus postal, de la siguiente manera desde el nombre, se aplica al correo electrónico siempre que no esté bloqueado por el antivirus y antivirus del cliente en el servidor de correo. Además, la epidemia en la LAN se puede organizar desde el interior como resultado de un interno. En este artículo, consideraremos métodos prácticos de análisis operativo de las computadoras LAN utilizando diversos fondos, en particular con la ayuda de la utilidad del autor de AVZ.

Formulación del problema

En el caso de una detección epidémica o cierta actividad de inserción en la red, el administrador debe resolver rápidamente el mínimo de tres tareas:

• detectar PC infectadas en la red;
• encontrar muestras de un programa malicioso para enviar al laboratorio antivirus y desarrollar una estrategia de contraataque;
• tome medidas para bloquear la propagación del virus en la LAN y su destrucción en las computadoras infectadas.

En el caso de una actividad privilegiada, los pasos principales del análisis son idénticos y con mayor frecuencia reducidos a la necesidad de detectar una información privilegiada establecida de software extranjero en las computadoras LAN. Como ejemplo, este software se puede llamar utilidades de administración remotas, espías de teclado Y varios marcadores de troyanos.

Considere la solución de cada una de las tareas establecidas.

Buscar PC infectadas

Para buscar PC infectadas en la red, puede usar al menos tres técnicas:

• análisis remoto automático de la PC: recibir información sobre los procesos de ejecución, las bibliotecas y los controladores descargados, buscar características, por ejemplo, procesos o archivos con nombres específicos;
• examen de tráfico de PC con la ayuda de un sniffer: este método es muy eficaz para la recopilación de bots de spam, los gusanos postal y de la red, sin embargo, la principal complejidad en el uso de Sniffer está relacionada con el hecho de que la LAN moderna se basa en los interruptores y Como resultado, el administrador no puede monitorear el monitoreo del tráfico a toda la red. El problema se resuelve de dos maneras: ejecutar un sniffer en el enrutador (que le permite monitorear el intercambio de datos de los datos de PC con Internet) y el uso de funciones de monitoreo de los interruptores (muchos interruptores modernos le permiten asignar un puerto de monitoreo a lo que el tráfico de uno o más puertos de cambio especificado por el administrador duplica;
• cargando en la red: en este caso, es muy conveniente usar interruptores inteligentes que permitan no solo evaluar la carga, sino también para deshabilitar de forma remota los puertos especificados por el administrador. Esta operacion Es esencialmente simplificado si el administrador de la tarjeta de red tiene datos en los que las PC están conectadas a los puertos de conmutador correspondientes y dónde están ubicados;
• el uso de trampas (Honeypot): en la red local, se recomienda encarecidamente crear varias trampas que permitan al administrador detectar la epidemia de manera oportuna.

Análisis automático de PC en la red.

El análisis automático de PC se puede reducir a tres etapas principales:

• realización de un estudio completo de PC: procesos de ejecución, bibliotecas y controladores descargados, Autorun;
• realización de una encuesta operativa, por ejemplo, una búsqueda de procesos o archivos característicos;
• objetos de cuarentena según ciertos criterios.

Todas las tareas enumeradas se pueden resolver utilizando la utilidad del autor de AVZ, que está diseñado para ejecutarse desde la carpeta de red en el servidor y admite el idioma de scripting para el examen automático de PC. Para iniciar AVZ en las computadoras de usuario, necesita:

1. Coloque AVZ en abierto para leer una carpeta de red en el servidor.
2. Cree subdirectorios de registro y Qurantine en esta carpeta y permita que los usuarios graben en ellos.
3. Ejecute AVZ en las computadoras LAN utilizando la utilidad REXEC o el script de inicio de sesión.

El lanzamiento AVZ en el paso 3 debe hacerse con tales parámetros:

\\\\ my_server \\ avz \\ avz.exe priority \u003d -1 nw \u003d y nq \u003d y hiddenmode \u003d 2 script \u003d \\\\ my_server \\ avz \\ my_script.txt

En este caso, el parámetro prioridad \u003d 1 reduce la prioridad del proceso AVZ, los parámetros NW \u003d Y y NQ \u003d Y cambian la cuarentena al modo "Inicio de red" (en este caso, se crea un nombre de subdirectorio en la cuarentena Carpeta para cada computadora, el nombre de que coincide con el nombre de la red de PC), HiddenMode \u003d 2 prescribe para prohibir el acceso del usuario a la administración de GUI y AVZ, y, finalmente, el parámetro Script más importante establece el nombre completo con comandos que AVZ se ejecutará en la computadora del usuario. El lenguaje de scripts AVZ es bastante simple para su uso y se enfoca únicamente en la solución de las tareas de la encuesta de la computadora y su tratamiento. Para simplificar el proceso de escritura de scripts, puede usar un editor de script especializado, que contiene una punta operativa, un asistente de crear guiones típicos y medios de verificación del script escrito escrito sin iniciarlo (Fig. 1).

Higo. 1. Editor de script AVZ

Considere tres scripts típicos que pueden ser útiles durante la lucha contra la epidemia. Primero, necesitaremos un script para el estudio de PC. La tarea del script es estudiar el sistema y crear un protocolo con resultados en un determinado carpeta de red. El script tiene el siguiente formulario:

Activadowatchdog (60 * 10);

// Iniciar escaneo y análisis

// Estudio del sistema

Ejecutesyscheck (getAvzDirectory +

'\\ Log \\' + getcomputername + '_ log.htm');

// Finalización de AVZ

Durante la ejecución de este script en la carpeta de registro (se supone que se crea en el directorio AVZ en el servidor y está disponible para los usuarios de usuarios), se crearán los archivos HTML con los resultados de la investigación de la computadora de la red y para garantizar Singularidad en el nombre del protocolo, se activa el nombre de la computadora en estudio. Al comienzo del script, hay un comando para encender el temporizador de guardia, lo que obligará a la PCCC AVZ en 10 minutos si el script se produce durante la ejecución del script.

El protocolo AVZ es conveniente para estudiar manualmente, sin embargo, es pequeño para el análisis automatizado. Además, el administrador a menudo se conoce el nombre del archivo del programa malicioso y solo verifique la presencia o ausencia este archivo, Si tiene - Poner en cuarentena para su análisis. En este caso, puede aplicar el script para el siguiente tipo:

// Encendiendo el temporizador de vigilancia durante 10 minutos

Activadowatchdog (60 * 10);

// buscar el programa malicioso llamado

Pila de cuarentena ('% windir% \\ smss.exe', 'sospecha en ldpinch.gen');

Pila de cuarentena ('% windir% \\ csrss.exe', 'sospecha de ldpinch.gen');

// Finalización de AVZ

Este script está activado por la función de cuarentena, lo que hace un intento por cuarentena de estos archivos. El administrador sigue siendo solo para analizar los contenidos de la cuarentena (Cuarentena \\ Network_Word carpeta \\ date_carachina \\) para la presencia de archivos colocados en cuarentena. Cabe señalar que la función de cuarentena del archivo de cuarentena bloquea automáticamente la sala en los archivos de cuarentena identificados por la base de datos Safe AVZ o según Microsoft EDS. Para la aplicación práctica, este script se puede mejorar: para organizar nombres de archivos desde un archivo de texto externo, verifique los archivos encontrados de las bases AVZ y formule un protocolo de texto con los resultados del trabajo:

// Buscar archivo con nombre especificado

función CheckbyName (FNAME: STRING): BOOLEAN;

Resultado: \u003d FileExistas (FNAME);

si el resultado, comienza

placa de control del caso (FNAME) de

1: S: \u003d ', el acceso al archivo está bloqueado';

1: S: \u003d ', identificado como malware (' + getlastchecktxt + ')';

2: S: \u003d ', sospechoso por un escáner de archivos (' + getlastchecktxt + ')';

3: salida; // Archivos seguros Ignorar

Addtolog ('File' + NormalFileName (FNAME) + 'tiene un nombre sospechoso' s);

// Agregar un archivo especificado a cuarentena

Pila de cuarentena (FNAME, 'archivo sospechoso' + s);

Spanames: tstringlist; // Lista de nombres de archivos sospechosos

// Consultar archivos en la base de datos actualizada

si FileExists (getAvzDirectory + 'Files.db'), entonces comience

Spanames: \u003d tstringlist.create;

Spanames.loadfromFile ('Files.db');

Addtolog ('Descargas de la base de nombre - Número de registros \u003d' + inttostruc (sospName.count));

// ciclo de búsqueda

por i: \u003d 0 a sosptnames.count - 1 do

CheckbyName (spanames [I]);

AddTolog ('' Error Descargar la lista de nombres de archivo ');

SAVELOG (getAvzDirectory + '\\ Log \\' +

GetComputername + '_ archivos.txt');

Para trabajar este script, debe crear en la carpeta AVZ disponible para los usuarios para registrar los directorios de cuarentena y registrar, así como el archivo de texto File.db: cada línea de este archivo contendrá el nombre de un archivo sospechoso. Los nombres de los archivos pueden incluir macros, los más útiles de los cuales es% en% WINDIR% (ruta a la carpeta de Windows) y% Systemroot% (Ruta a la carpeta System32). Otra dirección de análisis puede ser un estudio automático de la lista de procesos que se ejecutan en las computadoras de los usuarios. La información sobre los procesos de ejecución se encuentra en el protocolo de investigación del sistema, pero para el análisis automático, es más conveniente aplicar el siguiente fragmento de script:

procedimiento ScanProcess;

S: \u003d ''; S1: \u003d '';

// Actualizar la lista de procesos

Refreshprocresslist;

Addtolog ('Número de procesos \u003d' + inttostruc (GetProcessCount));

// Ciclo de análisis de la lista recibida

por i: \u003d 0 a GetProcessScount - 1 comienza

S1: \u003d S1 + ',' + extractName (I);

// Búsqueda de procesos por nombre

si POS ('troyan.exe', minúscula (GetProcessName (I)))\u003e 0 Luego

S: \u003d S + GetProcessName (i) + ',';

si s.<> '' Luego.

AddLineTotxtFile (getAvzDirectory + '\\ log _alarm.txt', Datetimetostrestr (ahora) + '' + getComputername + ':' S);

AddLineTotxtFile (getAvzDirectory + '\\ log _all_process.txt', Datetimetostrestr (ahora) + '' + getComputername + ':' + S1);

El estudio de los procesos en este script se realiza en forma de un procedimiento de escaneo separado, por lo que es fácil colocar en su propio script. El procedimiento de ScanProcess construye dos listas de procesos: lista llena Los procesos (para el análisis posterior) y una lista de procesos que, desde el punto de vista del administrador, se consideran peligrosos. En este caso, el proceso llamado 'Trojan.exe' se considera que demuestra como un peligroso. La información sobre los procesos peligrosos se agrega al archivo de texto _alarm.txt, los datos sobre todos los procesos son el archivo _all_process.txt. Es fácil notar que puede complicar el script, agregándolo, por ejemplo, revisando los procesos según la base de datos de archivos seguros o verifique los nombres de los archivos ejecutables de los procesos en la base externa. Este procedimiento se utiliza en los scripts AVZ utilizados en Smolenskenergo: el administrador estudia periódicamente la información recopilada y modifica el script, agregando los procesos de los procesos prohibidos por las políticas de seguridad del programa, como ICQ y MailRu.Agent, lo que le permite verificar rápidamente el Presencia de software prohibido en la PC estudiada. Otra aplicación de la lista de procesos es una búsqueda de PC, que no tiene un proceso obligatorio, por ejemplo, antivirus.

En conclusión, considere el último de los scripts de análisis útiles: la secuencia de comandos de la cuarentena automática de todos los archivos que no se reconocen en función de la base de AVZ segura y sobre la base de los EDS de Microsoft:

// realizando autocarentino

EXECONAUTAUTINANTE;

La cuarentena automática se examina mediante la ejecución de procesos y las bibliotecas, servicios y controladores descargados, alrededor de 45 formas de automóviles, módulos de expansión del navegador, manejadores de SPI / LSP, tareas de programación, manipuladores de sistemas de impresión y similares. Una peculiaridad de cuarentena es que los archivos se agregan al control de repetición, por lo que la función de autocarrina se puede llamar repetidamente.

La ventaja de la cuarentena automática es que con su ayuda, el administrador puede recopilar rápidamente archivos potencialmente sospechosos de todas las computadoras de la red para estudiarlas. La forma más sencilla (pero muy efectiva en la práctica), la forma de estudiar los archivos puede ser la prueba de la cuarentena resultante por varios antivirus populares en el modo máximo de heurísticas. Cabe señalar que el lanzamiento simultáneo de autocargeno en varios cientos de computadoras puede crear una carga alta en la red y en el servidor de archivos.

Estudio de tráfico

El estudio del tráfico se puede realizar de tres maneras:

• manualmente con la ayuda de Sniffs;
• en modo semiautomático, en este caso, el sniffer recopila información, y luego sus protocolos se procesan manualmente o algún software;
• uso automático de los sistemas de detección de intrusos (IDS) Type Snort (http://www.snort.org/) o sus análogos de software o hardware. En el caso más sencillo, las IDS consisten en un sniffer y el sistema que analiza la información recopilada por el snuffer.

El sistema de detección de intrusos es el medio óptimo, ya que le permite crear conjuntos de reglas para detectar una anomalía en la actividad de la red. La segunda ventaja es la siguiente: la mayoría de las ID modernas le permiten colocar agentes de monitoreo de tráfico en varios nodos de los agentes de red, recopilan la información y la transmiten. En el caso del uso del sniffer, es muy conveniente usar la consola Unix-Sniffer TCPDUMP. Por ejemplo, para monitorear la actividad por puerto 25 (protocolo SMTP), es suficiente para iniciar un sniffer con una línea de comandos de la especie:

tcpdump -i em0 -l puerto TCP 25\u003e SMTP_LOG.TXT

En este caso, los paquetes se capturan a través de la interfaz EM0; La información sobre los paquetes capturados se guardará en el archivo SMTP_LOG.TXT. El protocolo se analiza relativamente simplemente manualmente, en este ejemplo, el análisis de la actividad por Puerto 25 le permite calcular una PC con bots de spam activos.

Aplicación Honeypot

Como una trampa (Honeypot), puede usar una computadora desactualizada, cuyo rendimiento no permite que se utilice para resolver las tareas de producción. Por ejemplo, en la red del autor como una trampa utilizó con éxito Pentium Pro C 64 MB memoria de acceso aleatorio. Para esta PC, debe instalar el sistema operativo más común en la LAN y seleccione una de las estrategias:

• Instale el sistema operativo sin paquetes de actualización: será un indicador de la aparición de un gusano de red activo en la red que opera cualquiera de las vulnerabilidades conocidas para este sistema operativo;
• instale el sistema operativo con actualizaciones instaladas en otra red de PC: Honeypot será análoga a cualquiera de las estaciones de trabajo.

Cada una de las estrategias tiene tanto sus ventajas como en desventajas; El autor básicamente aplica la opción sin actualizaciones. Después de crear un honeypot, debe crear una imagen de disco para restaurar rápidamente el sistema después de dañar los programas maliciosos. Alternativamente, se puede usar una imagen de disco para retroceder los cambios de Shadowuser y sus análogos. Buing Honeypot, se debe tener en cuenta que una serie de gusanos de red están buscando computadoras infectadas escaneando un rango de IP, contado desde la dirección IP de una PC infectada (estrategias típicas comunes - XXX *, XXX + 1. *, XXX-1 *) - En consecuencia, idealmente, el honeypot debe estar en cada una de las subredes. Como elementos adicionales de preparación, debe abrir el acceso a varias carpetas en el sistema Honeypot, y se deben colocar varios archivos de muestra de varios formatos en estas carpetas, el conjunto mínimo es EXE, JPG, MP3.

Naturalmente, al crear Honeypot, el administrador debe realizar un seguimiento de su trabajo y responder a los anomalías detectados en esta computadora. Como medio de registro de cambios, los auditores se pueden aplicar, se puede usar un sniffer para registrar la actividad de la red. Un punto importante Es que la mayoría de los inyectores tienen la capacidad de configurar el envío de la alerta del administrador en caso de detección de una actividad de red dada. Por ejemplo, en el sniffer de CommView, la regla implica las instrucciones de "Fórmula", que describe el paquete de red, o la tarea de los criterios cuantitativos (enviando un número más específico de paquetes o bytes por segundo, enviando paquetes a direcciones IP o MAC no identificadas ) - Higo. 2.

Higo. 2. Creación y configuración de la actividad de la actividad de red

Como advertencia, es más conveniente usar los mensajes de correo electrónico enviados al buzón del administrador, en este caso, puede obtener alertas operativas de todas las trampas en la red. Además, si el sniffer le permite crear varias advertencias, tiene sentido diferenciar actividad de red, destacando el trabajo con correo electrónico, FTP / HTTP, TFTP, Telnet, MS NET, aumento del tráfico más de 20-30 paquetes por segundo en cualquier protocolo (Fig. 3).

Higo. 3. Letra-Notificación enviada
En caso de detección de paquetes correspondientes a los criterios especificados.

Al organizar una trampa, no es malo colocar varios servicios de red vulnerables en la red o establecer su emulador. El más simple (y libre) es la autoría de la utilidad APS, que no está instalada. El principio de APS se reduce a escuchar el conjunto de puertos TCP y UDP descritos en su base de datos y emitiendo una respuesta predeterminada o generada al azar (Fig. 4) en el momento de la conexión.

Higo. 4. Utilidades principales de las ventanas APS

La figura muestra el disparo de captura de pantalla durante la respuesta real de los APS en la LAN "Smolenskenergo". Como se puede ver en la figura, se registra un intento de conectar una de las computadoras cliente por Puerto 21. Un análisis de los protocolos ha demostrado que los intentos son periódicos, fijados por varias trampas en la red, lo que hace posible concluir una Escaneo de red para buscar y hackear servidores FTP seleccionando contraseñas. APS realiza protocolos y puede enviar a los administradores de mensajes con informes sobre conexiones registradas a puertos controlados, que es conveniente para la detección de escaneo de red de operaciones.

Al crear Honeypot, también es útil leer los recursos en línea sobre este tema, en particular con el sitio http://www.honeynet.org/. En la sección Herramientas de este sitio web (http://www.honeynet.org/tools/index.html), puede encontrar una serie de herramientas para registrar y analizar ataques.

Eliminación remota de programas maliciosos

Idealmente, después de detectar muestras de malware, el administrador los envía al laboratorio antivirus, donde se estudian con prontitud por analistas y las firmas correspondientes se aplican a la base antivirus. Estas firmas a través de actualización automática Encuentre en PC de usuario, y AntiVirus realiza la eliminación automática de programas maliciosos sin intervención de administrador. Sin embargo, esta cadena no siempre funciona como debería ser, en particular, las siguientes causas de falla son posibles:

• para una serie de personas independientes del administrador, las causas de la imagen pueden no alcanzar el laboratorio antivirus;
• la eficiencia insuficiente del laboratorio antivirus, idealmente para el estudio de las muestras y su introducción a la base no va más de 1-2 horas, es decir, dentro del día de trabajo, puede obtener bases de datos de firmas actualizadas. Sin embargo, no todos los laboratorios antivirus trabajan tan rápidamente, y las actualizaciones pueden ser esperadas durante varios días (en casos raros, incluso semanas);
• alto rendimiento del antivirus: una serie de programas maliciosos después de la activación destruyen antivirus o violan su trabajo de todas las formas posibles. Ejemplos clásicos: ingresando a los archivos de hosts que bloquean el funcionamiento normal del sistema de actualización automática antivirus, elimine los procesos, los servicios y los impulsores de los antivirus, daños a sus ajustes, etc.

En consecuencia, en las situaciones enumeradas tendrán que luchar por los programas maliciosos manualmente. En la mayoría de los casos, es fácil, ya que las PC contaminadas se conocen a partir de los resultados del estudio de las computadoras, así como los nombres completos de los archivos de malware. Sólo permanece para producir su eliminación de distancia. Si un programa malicioso no está protegido de la eliminación, entonces es posible destruirlo con el siguiente guión AVZ:

// Borrar archivo.

Deletefile ('nombre de archivo');

Ejecutoresclén;

Este script elimina un archivo específico (o varios archivos, ya que los comandos de FileFile en el script pueden ser un número ilimitado) y luego limpiar automáticamente el registro. En un caso más desafiado, el programa malicioso puede protegerse de la eliminación (por ejemplo, volver a manchar sus archivos y claves de registro) o disfrazaron con la tecnología Rootkit. En este caso, el script es complicado y tendrá el siguiente formulario:

// anti-tribunal

SearchRotkit (verdadero, verdadero);

// Office Avzguard

Setavzguardstatus (verdadero);

// Borrar archivo.

Deletefile ('nombre de archivo');

// habilitar el registro de BootCleaner

Bc_logfile (getAvzDirectory + 'boot_clr.log');

// Importar al trabajo BootCleaner Lista de archivos Script Remote

Bc_importdeletedlist

// Activation BootCleaner

// Sistema de limpieza heurística

Ejecutoresclén;

Reiniciaciones (verdaderas);

Este script incluye la contrarreste activamente a Roottam, el uso del sistema AvzGuard (este es un bloque de actividad de programa malicioso) y el sistema de BootCleaner. BootCleaner es un controlador que elimina los objetos especificados de KernelMode durante un reinicio, en una etapa de carga temprana del sistema. La práctica muestra que un script similar es capaz de destruir la abrumadora mayoría de los programas maliciosos existentes. La excepción es malware, cambiando los nombres de sus archivos ejecutables con cada reinicio, en este caso, se pueden cambiar el nombre de los archivos detectados durante el estudio. En este caso, la computadora es necesaria para crear manualmente o crear sus propias firmas de malware (un ejemplo de un script de búsqueda de señales existente se describe en AVZ Ayuda).

Conclusión

En este artículo, consideramos algunos métodos prácticos para combatir la epidemia de LAN manualmente, sin utilizar productos antivirus. La mayoría de las técnicas descritas también se pueden usar para buscar PC y troyanos extranjeros en las computadoras de los usuarios. Si tiene dificultades para encontrar un malware o crear scripts de tratamiento, el administrador puede usar la sección "Ayuda" del foro http://virusinfo.info o la sección "Calentamiento de lucha" del foro http://forum.kaspersky.com /index.php?showforum\u003d dieciocho. El estudio de los protocolos y la asistencia del tratamiento se lleva a cabo en ambos foros de forma gratuita, el análisis de PC se realiza de acuerdo con los protocolos AVZ, y en la mayoría de los casos, el tratamiento se reduce al Script AVZ PC infectado, compilado por especialistas en datos de foros experimentados.

Presentí en detalle con varios tipos de vulnerabilidades, pero ahora es el momento de familiarizarse con los escáneres de estas vulnerabilidades.

Los escáneres de vulnerabilidad son software o hardware que sirven para diagnosticar y monitorear las computadoras de la red que le permiten escanear redes, computadoras y aplicaciones para detectar posibles problemas en el sistema de seguridad, evaluar y solucionar problemas de vulnerabilidades.

Los escáneres de vulnerabilidad le permiten verificar varias aplicaciones en el sistema para la presencia de "agujeros" que los atacantes pueden aprovechar. También se pueden usar medios de bajo nivel, como los escáneres de puertos, para identificar y analizar posibles aplicaciones y protocolos que se ejecutan en el sistema.

Por lo tanto, los escáneres están dirigidos a resolver las siguientes tareas:

• identificación y análisis de vulnerabilidades;
• inventario de recursos, como sistema operativo, software y dispositivo de red;
• formación de informes que contienen una descripción de las vulnerabilidades y las opciones de eliminación.

¿Cómo funciona?

Los escáneres de vulnerabilidad con su trabajo utilizan dos mecanismos principales.
Primero - El sonido no es demasiado rápido, pero preciso. Este es un mecanismo de análisis activo que lanza ataques de imitación, revisando así la vulnerabilidad. Durante la sonda, los métodos para implementar ataques que ayudan a confirmar la presencia de vulnerabilidad y detectar previamente no se aplican "fallas" anteriormente.

Segundo Mecanismo: escaneo, más rápido, pero da resultados menos precisos. Este es un análisis pasivo en el que el escáner está buscando una vulnerabilidad sin confirmar su presencia con signos indirectos. El uso de escaneo se determina puertos abiertos y recopilados titulares relacionados. Se comparan aún más con la tabla de reglas de definición. dispositivos de red, sistema operativo y posibles "agujeros". Después de la comparación escáner de red Informes de seguridad sobre la presencia o ausencia de vulnerabilidad.

La mayoría de los escáneres de seguridad de red modernos trabajan en los principios:

• colección de información de la red, identificación de todos los dispositivos y servicios activos que se ejecutan en ellos;
• detección de vulnerabilidades potenciales;
• confirmación de vulnerabilidades seleccionadas, para las cuales se utilizan métodos específicos y se simulan los ataques;
• informes;
• eliminación automática de vulnerabilidades. No siempre este escenario Se implementa en los escáneres de seguridad de la red, pero a menudo ocurre en los escáneres del sistema.

Los mejores escáneres de vulnerabilidades.

Ahora analicemos los escáneres más relevantes que encabezan las calificaciones de expertos.

Nessus

El proyecto se lanzó en 1998, y en 2003, el desarrollador de la Seguridad de la Red Tenable hizo un anuncio de escáner de seguridad de red. Una base de vulnerabilidades actualizadas regularmente, la simplicidad en la instalación y el uso, un alto nivel de precisión son sus ventajas sobre los competidores. Una característica clave es el uso de complementos. Es decir, cualquier prueba de penetración no se cose firmemente dentro del programa, sino que se elabora en forma de un plug-in un complemento. Los complementos se distribuyen en 42. de varios tipos: Para realizar un pensture, puede activar ambos complementos separados y todos los complementos definidos, por ejemplo, para realizar todas las verificaciones locales en el sistema Ubuntu. Un punto interesante: los usuarios podrán escribir sus propias pruebas utilizando un lenguaje especial de scripting.

Nessus es un excelente escáner de vulnerabilidad. Pero él tiene dos inconvenientes. La primera, cuando la opción "Cheques seguros" está deshabilitada, algunas pruebas de vulnerabilidades pueden llevar a trastornos en la operación de los sistemas escaneados. El segundo es el precio. La licencia anual puede costar 114 mil rublos.

Cheque de seguridad de Symantec.

Escáner gratuito del fabricante del mismo nombre. Las funciones principales son la detección de virus y troyanos, gusanos de Internet, programas maliciosos, busque vulnerabilidades en la red local. Este es un producto en línea que consta de dos partes: Escaneo de seguridad. que comprueba el sistema de seguridad y Detección de virus.Realización de una comprobación de computadora completa para virus. Se instala de forma rápida y sencilla, funciona a través del navegador. De acuerdo con las últimas revisiones, este escáner de red es mejor para usar para verificar su cheque.

Xspider.

El programa XSPider, que, de acuerdo con la aplicación del desarrollador, puede identificar un tercio de la vulnerabilidad del mañana. La característica clave de este escáner es la capacidad de detectar el número máximo de "fallas" en la red, incluso antes de que sean vistas a piratas informáticos. En este caso, el escáner funciona de forma remota sin requerir un software adicional. Habiendo trabajado, el escáner envía un informe completo y consejos sobre la eliminación de "Agujeros". El costo de la licencia para este escáner comienza a partir de 11 mil rublos por cuatro hosts por año.

Clasificador

Escáner multifuncional de vulnerabilidades. Proporciona informes extensos que incluyen:

• evaluación del nivel de criticidad de vulnerabilidades;
• estimando el tiempo requerido para eliminarlos;
• revisando el grado de su impacto en el negocio;
• análisis de las tendencias de seguridad.

La plataforma de la nube de QualysGuard y el conjunto incorporado de aplicaciones permiten a las empresas simplificar el proceso de seguridad y reducir el costo del cumplimiento de varios requisitos, mientras dan información importante Acerca de la seguridad y automatización de todo el espectro de tareas de auditoría, el control complejo y la protección de los sistemas de TI y las aplicaciones web. Con este software Puede escanear sitios web corporativos y recibir notificaciones e informes automatizados para detección y eliminación de amenazas oportunas.

Rápido 7 nexponer

Rapid 7 es una de las empresas de más rápido crecimiento especializadas en seguridad de información en el mundo. Fue ella quien recientemente adquirió el marco de Metasploit del proyecto, y fue su mano que el proyecto nexponer. El costo de la "entrada" para el uso de la versión comercial es sin un pequeño $ 3000, pero para los entusiastas hay una versión comunitaria con posibilidades ligeramente recortadas. Semejante. versión gratuita Se integra fácilmente con metasploit. El esquema de trabajo es bastante complicado: Nexponer comienza primero, luego la consola de Metasploit (MSFConsole), después de lo cual puede ejecutar el proceso de escaneo y ajustarlo con una serie de comandos (nexpose_connect, nexpose_scan, nexpose_discover, nexpose_dos y otros). Puede combinar la funcionalidad de nexpose y otros módulos metásticos.

X-Scan.

Externamente, X-Scan es más recordado por uno mismo hecho a sí mismo como alguien por sus propias necesidades y empujado a un público en la natación libre. Puede que no haya recibido dicha popularidad si no es compatible con los scripts NESSUS que se activan utilizando el módulo Nessus-Attack-Scripts. Por otro lado, vale la pena un informe de escaneo, y todas las dudas sobre la utilidad del escáner se apartan al fondo. No se emitirá de acuerdo con uno de los estándares oficiales de IB, sino que definitivamente le dirá mucho sobre la red.

Cada uno de los equipos] [- sus preferencias en términos de software y utilidades para
Pentest. Habiendo consistido, se enteró: la selección varía tanto que puedes hacer
Real gentlemansky conjunto de programas verificados. Sobre eso y decidido. A
No hagas el equipo de Solunka, rompimos toda la lista sobre los temas. Hoy tocaremos
El Santo de Santa de cualquier Pengester es un escáner de vulnerabilidades.

Nessus

Sitio web:
www.nessus.org/plugins/index.php.
Distribución: Gratis / Shareware
Plataforma: Win / * NIX / MAC

Si alguien no ha intentado Nessus, al menos escuchado sobre él.
Uno de los escáneres de seguridad más famosos tiene una rica historia: ser
Una vez abierto el proyecto, el programa ha dejado de extenderse en abierto.
código fuente. Afortunadamente, la versión gratuita permaneció, que originalmente fue
Está muy privado de acceso a las actualizaciones de la base de vulnerabilidades y nuevos complementos,
Pero más tarde, los desarrolladores se comprimieron y solo lo limitaron en la frecuencia de las actualizaciones.
Plugins: característica clave de la arquitectura de la aplicación: cualquier prueba en
La penetración no se cose firmemente dentro del programa, pero se emite como
Plugin de plug-in. Los complementos se distribuyen en 42 tipos diferentes:
Pentend, puede activar ambos complementos separados y todos los complementos.
un cierto tipo, por ejemplo, para realizar todos los cheques locales en
Sistema Ubuntu. Y nadie te limita al escribir tus propias pruebas.
En la penetración: para esto, se implementó un lenguaje especial de scripting en Nessus
- Nasol (Nessus Attack Scripting Language) quien más tarde
Otras utilidades prestadas.

Una mayor flexibilidad, los desarrolladores han logrado, separando la parte del servidor del escáner,
Realizar todas las acciones del programa cliente que representa no
más que interfaz gráfica. En la última versión 4.2 del demonio en 8834 Port
abre un servidor web; Puede controlar el escáner a través de una interfaz conveniente en
Flash "E, teniendo solo un navegador. Después de instalar el escáner, comienza el servidor
Automáticamente tan pronto como especifique la clave para activar: puede liberar
Solicítelo en un sitio web de inicio Nessus. Es cierto, para la entrada, y local.
y remoto, deberá pre-crear un usuario: en Windows es
Se realiza en dos clics del mouse a través del administrador GUI-Administrador de Nesus Server, con ella
Puede iniciar y detener el servidor.

Cualquier prueba de penetración comienza con la creación de las llamadas políticas:
Reglas de que el escáner se quedará durante el escaneo. Aquí y
Escaneo de puertos seleccionado (Escaneo TCP, escaneo UDP, Syn Scan, etc.),
el número de conexiones simultáneas, así como típicas puras para Nessus
Opciones, como cheques seguros. Este último incluye un escaneo seguro,
Desactivación de los complementos que pueden dañar el sistema escaneado. Un paso importante
En la creación de reglas es la conexión de los complementos necesarios: puede activar enteros
Grupos, digamos, predeterminados Cuentas Unix, DNS, Cisco, Slackware Local Security
Cheques, Windows, etc. Elegir posibles ataques y cheques - ¡Enorme! Distintivo
La característica de Nessus es complementos inteligentes. El escáner nunca escaneará el servicio solamente
Por su número de puerto. Mover un servidor web desde el puerto 80 estándar, digamos
En el 1234, para engañar a Nessus no podrá, lo determinará esto. Si en el servidor FTP
Un usuario anónimo está deshabilitado, y parte de los complementos lo usan para verificar,
Ese escáner no los ejecutará, sabiendo a sabiendas que no tendrá ningún sentido. Si un
El plugin explota la vulnerabilidad en el postfix "E, Nessus No te torturará
Felicidad, probando pruebas contra Sendmail "A, etc., está claro que para la ejecución
Cheques en el sistema local, debe proporcionar al escáner de Credenciales
(Inicio de sesión y contraseñas para el acceso) es la parte final de la configuración de reglas.

OpenVas.

Sitio: www.openvas.org.
DISTRIBUCIÓN: Freeware.
Plataforma: Win / * NIX / MAC

A pesar de que los códigos originales de Nessus se cerraron, el motor Nessus 2 y
Parte de los complementos aún se distribuyen bajo la licencia GPL en forma de un proyecto.
OpenVas. (Escáner de evaluación de vulnerabilidad de OpenSource). Proyecto ahora
Se desarrolla completamente independientemente de su hermano mayor y hace considerable.
Éxitos: la última versión estable salió justo antes de enviar el número en
Impresión. No es de extrañar que OpenVas. también utiliza cliente-servidor
Arquitectura donde todas las operaciones de escaneo son realizadas por la parte del servidor:
Funciona solo bajo Niksami. Para empezar, deberá descargar paquetes.
OpenVas-Scanner, así como un conjunto de bibliotecas de bibliotecas de OpenVas. Como
Parte del cliente para OpenVas. 3.0 Solo un programa GUI Nixic está disponible,
Pero, creo, como versión anteriorPronto el puerto aparecerá para Windows. En cualquier
Caso, el más fácil de aprovechar. OpenVas. Con la ayuda de no caro
LiveCD Bactrack (4ª versión) en la que ya está instalada. Todos mayores
Las operaciones para comenzar a trabajar se realizan en los elementos del menú: OpenVAS HACER CERT
Certificado SSL para acceder al servidor), agregue usuario (creando un jouzer para acceder a
servidor), NVT SYNC (actualizar los complementos y las vulnerabilidades de la base), y al final
Servidor de OpenVAS (servidor de inicio a través del elemento del menú). Siguiente sigue siendo solo
Ejecute la parte del cliente y conecte al servidor para iniciar el Pentest.

Apertura y expansión OpenVas. permitido bombear duro
programa. Además de los complementos directamente para analizar la seguridad, en ella
Muchas utilidades conocidas están integradas: Nikto para buscar escenarios vulnerables de CGI,
Nmap para escanear puertos y otras cosas del mar, Ike-scan para detectar IPsec
Nodos VPN, AMAP para identificar servicios en puertos usando huellas dactilares,
Ovaldi para apoyar el lenguaje óvalo - estándar para describir las vulnerabilidades, y
Muchos otros.

Xspider 7.

Sitio web:
www.ptsecurity.ru/xs7download.asp
DISTRIBUCIÓN: Shareware.
Plataforma: ganar.

Primeras líneas de código Xspider. fueron escritos el 2 de diciembre de 1998 y para
Desde entonces, 12 años, este escáner se ha conocido por cada ruso.
Especialista en seguridad de la información. Generalmente, tecnologías positivas - una
De las pocas empresas en el mercado de seguridad doméstica de la información, cuyo
El personal puede realmente romper algo, y no solo los servicios de bellamente vendan.
El producto no fue escrito por programadores, sino por expertos de IB que saben, como
Qué verificar. Cual es el resultado? Tenemos un producto de muy alta calidad con uno,
Pero muy serio para nosotros menos: Xspider. ¡Capa! Tarea
Los desarrolladores ofrecen una versión demo recortada en la que no se ha implementado una gama completa.
Cheques, incluyendo actualizaciones heurísticas, así como actualizaciones en línea para la base.
Vulnerabilidades. Además, las fuerzas de los desarrolladores ahora están dirigidas por completo a otra.
Producto - Sistema de Monitoreo de Seguridad de Información MaxPatrol para
Que, ay, ni siquiera hay demostraciones.

Pero incluso con todas las restricciones. Xspider.es uno de los más convenientes
y herramientas efectivas de análisis de seguridad de la red y nodos específicos.
La configuración de escaneo, como en el caso de Nessus, se realiza en forma de un especial
El conjunto de reglas, solo en este caso, no se les llama políticas, sino perfiles.
Personalice tanto los parámetros generales para el análisis de red y el comportamiento del escáner.
Para protocolos específicos: SSH, LDAP, HTTP. Tipo de demonio estudiado en cada
El puerto está determinado no por la clasificación generalmente aceptada, pero utilizando
Algorithms Euristic Huellas digitales "A - opción se incluye con un clic en
Perfil de escaneo. Palabras separadas Merece el procesamiento del servicio RPC (Windows
y * nix) con una identificación completa, gracias a la cual es posible determinar las vulnerabilidades
Diferentes servicios y configuración detallada de la computadora en su conjunto. Cheque
La debilidad de la protección de contraseña implementa la selección optimizada de contraseñas prácticamente
En todos los servicios que requieren autenticación, ayudando a identificar contraseñas débiles.
El resultado de escaneo se elabora en forma de un informe conveniente, y para cada
encontró vulnerabilidad potencial Se emite una pequeña descripción y un enlace externo,
Donde puedes buscar detalles.

Gfi longard

Sitio web:
www.gfi.com/lannetscan.
Distribución: Freeware / Shareware
Plataforma: ganar.

Para lo cual me encanta especialmente este producto es para un conjunto de preinstalado
Perfiles para escanear. Además del escaneo completo del sistema remoto,
implicando todo tipo de cheques disponibles (por cierto, hay una versión especial
Para la conexión lenta, por ejemplo, para las conexiones VPN de freno a través de los estados),
Hay muchos grupos de cheques separados. Por ejemplo, puedes revisar rápidamente las decenas.
anfitriones para la presencia de vulnerabilidades del Top20 compilado por los famosos
Sans Security Corporation. Inmediatamente puedes activar y buscar máquinas con
Parches no identificados o paquetes de servicio, elige un perfil para Pentests
Aplicaciones web, etc. Además, excepto por los perfiles directamente dirigidos a
Búsqueda de vulnerabilidades, hay una serie de medios para la auditoría: Búsqueda de bola, escáner inteligente
Puertos, incluyendo encontrar los compuestos abiertos por un automóvil pequeño.
Configuraciones de computadora, etc. Resulta en un producto la masa.
Utilidades útiles.

Base constantemente actualizada de vulnerabilidades. Gfi longard Incluye más de
15000 entradas, lo que le permite escanear más diferentes sistemas (Windows, Mac OS, Linux),
Incluyendo instalado en máquinas virtuales. Escáner automáticamente
Tire de las actualizaciones de la base, que a su vez están formadas por informes
Bugtraq, Sans y otras empresas. Implementa tus propios controles como
Fui, tú puedes y tú mismo. Para ello se le proporciona un script especial.
Idioma compatible con Python y VBScript (¡Qué manojo!), Y para servicios completos
Incluso un editor conveniente con un debagógrafo, se obtiene un IDE real. Uno mas
El chip único "A, la capacidad de determinar que la máquina se lanza
en un entorno virtual (mientras que la VMware y la PC virtual se admiten), esta es una de
Chips de escáner únicos.

Scanner de seguridad de red retina

Sitio: www.eeye.com.
DISTRIBUCIÓN: Shareware.
Plataforma: ganar.

La principal decepción de este escáner legendario me ha sufrido inmediatamente después
lanzamiento. Instalador de la última versión, robando, dijo que se ejecuta
Retina. En Windows 7 o Windows Server 2008 R2 es actualmente imposible. No
Muy educadamente, tuve que abrir máquina virtualPero supe: fue
vale la pena. Retina. - Uno de los mejores escáneres que definen y analizan.
Anfitriones de hosts locales. Físico I. servidores virtuales, estaciones de trabajo y
Laptops, enrutadores y firewalls de hardware - Retina. regalo
Una lista completa de dispositivos conectados a la red mostrará información sobre Wireless
redes. Cada uno de ellos estará en todos los sentidos de Tootte en la búsqueda al menos algún indicio de
Vulnerabilidad, y lo hace muy inteligente. En escanear una clase de red local con
Se tarda unos 15 minutos. Producto Retina. determina las vulnerabilidades del sistema operativo,
Aplicaciones, ajustes y parámetros potencialmente peligrosos. Como resultado, puedes
Obtenga un plan de red de revisión con una pantalla de lugares potencialmente vulnerables. Base C.
Las vulnerabilidades, según los desarrolladores, se actualizan por hora y la información sobre
Las vulnerabilidades caen en la base de datos a más tardar 48 horas después de la primera aparición.
Bagratrica. Sin embargo, el hecho de que este es un producto de fábrica EEYE ya es su
Garantía de calidad.

Analizador de seguridad de Microsoft Baseline

Sitio: www.microsoft.com.
DISTRIBUCIÓN: Freeware.
Plataforma: ganar.

¿Lo que es? Analizador de seguridad de Microsoft, que
Comprueba las computadoras en la red para el cumplimiento de los requisitos de Microsoft, que
Pasé una cantidad considerable. El criterio más importante es, por supuesto, la disponibilidad.
En el sistema de todas las actualizaciones instaladas. No recuerdes lo que hice
Conficker usando MS08-67 Break, el parche para el que salió 2 meses antes
epidemias. Además de los parches faltantes, MBSA detecta algunos
Barras comunes en configuración. Antes de escanear el programa
Descarga actualizaciones de sus bases, para que pueda estar seguro: Microsoft.
Analizador de seguridad de línea de base Él sabe todo acerca de las actualizaciones publicadas para Windows. Por
Se emiten los resultados de la exploración (dominio o rango de direcciones IP)
informe. Ya se puede transferir un informe visual a un esquema de red condicional,
Muestra los resultados de escaneo en Visio. Para esto, el programa tiene acceso a
Conector especial que mostrará caracteres diferentes nodos bloqueados,
Llene los parámetros del objeto agregando información sobre el escaneo y
Hermosa forma le permitirá ver qué problemas están en una computadora en particular.

Santo

Sitio web:
http://www.saintcorporation.com
DISTRIBUCIÓN: Shareware.
Plataforma: -NIX

Solo dos direcciones IP a las que puedes subir Santo. en
El curso del período de prueba está rígidamente aislado a la llave, y él va a usted en
Correo electrónico. Ni paso a la izquierda ni a paso a la derecha, pero este producto es necesariamente valioso
Intente, incluso con restricciones tan dracónicas. Gestión del escáner
implementado a través de una interfaz web que no es sorprendente - soluciones Santo.
Se vende, incluyendo, en forma de servidores para la instalación en un bastidor (Saintbox), y aquí
Necesitas seguir la moda. Con la ayuda de una interfaz web ascética, es muy fácil.
Ejecutar pruebas y utilizar la búsqueda a largo plazo de búsqueda
Áreas potencialmente vulnerables en el sistema. Yo diré más: uno de los módulos SaintExPloit
¡Permite no solo detectar, sino también para explotar la vulnerabilidad! Llevar
MS08-67 Error notorio. Si el escáner detecta un agujero sin complicaciones y sabe
Cómo explotarlo, entonces justo al lado de la descripción de la vulnerabilidad da un enlace con
Al corazón cercano a la palabra explotación. En un clic, obtienes una descripción de sólido y,
Además, el botón Ejecutar ahora para iniciarlo. A continuación, dependiendo de la división,
Se especifican diferentes parámetros, por ejemplo, una versión precisa del sistema operativo en el host remoto,
Tipo de concha y puerto en el que se lanzará. Si la explotación de objetivos es exitosa
Completado, luego aparece una dirección IP en la sección Conexiones del módulo SaintExPloit
Víctimas y selección de acciones que se han vuelto accesibles como resultado del lanzamiento.
Exploit: Trabajar con archivos en un sistema remoto, línea de comando ¡Etc!
Imagínese: escáner, que se rompe! No es de extrañar que el producto de eslogan: "Examine.
Exponer. Explotar ". El sistema de inspecciones es el más diverso, y en el último séptimo.
Versión apareció Módulo para Penzets de aplicaciones web y características adicionales
Para analizar las bases de datos. Recordando la meta a través de la interfaz web, puedes ver
las acciones del escáner con todos los detalles, sabiendo exactamente qué y cómo hace el escáner en
este momento.

X-Scan.

Sitio: http://www.xfocus.org.
DISTRIBUCIÓN: Freeware.
Plataforma: ganar.

La última versión de este escáner salió en 2007, que no interfiere con
Úsalo ahora gracias al sistema de complementos y scripts,
Escrito en el idioma NASL, como se usa en Nessus / OpenVas. Encontrar
Y editar los scripts disponibles es fácil, todos ellos están en la carpeta Scripts.
Para iniciar el escáner, debe designar la configuración de escaneo a través del menú
Config -\u003e parámetro de escaneo. Como un objeto de escaneo puede actuar como
IP específico y el rango de direcciones, pero en este último caso es necesario ser moral
Listo para las pruebas será largo. Escáner, alas, no más
rápido. El número de módulos conectados también es proporción a la velocidad:
Suplementos que verifiquen la resistencia de contraseña para SSH / VNC / FTP, uno de los más
Voraz. Externamente X-Scan. Más recordamiento de los caseros creados por alguien.
Por sus propias necesidades y se empujan a un público en la natación libre. Tal vez lo haría
y no recibió tal popularidad si no apoyaba los scripts de Sessus que
Activar utilizando el módulo Nessus-Attack-Scripts. Por otro lado, vale la pena.
Ver informe de escaneo, y todas las dudas sobre la utilidad del escáner se marchitan en
Segundo plan. No se emitirá de acuerdo con uno de los estándares oficiales de IB, sino
Definitivamente le dirá mucho nuevo en la red.

Rápido 7 nexponer

Sitio: www.rapid7.com
Distribución: versión gratuita
Plataforma: Nix / Win

Rápido 7. - Una de las empresas de más rápido crecimiento especializada en
Sobre la seguridad de la información en el mundo. Fue ella quien recientemente adquirió el proyecto.
Marco de MetaSploit, y es sus manos, un proyecto. Nexponer. Costo
"Entrada" para usar la versión comercial es sin un pequeño $ 3000, pero
Para los entusiastas hay una versión comunitaria con posibilidades ligeramente recortadas.
Esta versión gratuita es fácil de integrar con Metasploit "Ohm (la versión no es necesaria
por debajo de 3.3.1). El esquema de trabajo es suficiente truco: primero se lanza nexpose, luego
MetaSploit Console (MSFConsole), después de lo cual puede ejecutar el proceso de escaneo
y configúrelo con una serie de comandos (nexpose_connect, nexpose_scan,
Nexpose_discover, nexpose_dos y otros). Genial que puedas combinar
funcionalidad Nexponer y otros módulos metásticos "a. Los más fáciles, pero
Un ejemplo efectivo: busque computadoras con alguna vulnerabilidad e inmediatamente
OPERARLO UTILIZANDO CON EL MÓDULO DE METASPLOIT correspondiente: obtener
Auto sirviendo a un nuevo nivel de calidad.

Advertencia

Pentest of Servers y recursos del propietario de recursos sin su voluntad - Act ACT Criminal
perforado. En caso de uso del conocimiento obtenido con fines ilegales, el autor y
El editor de responsabilidad no se lleva a cabo.

El escáner de seguridad es software Para diagnósticos remotos o locales de varios elementos de red, se detectan varias vulnerabilidades en ellas. Los principales usuarios de tales sistemas son profesionales: administradores, especialistas en seguridad, etc. Los usuarios simples también pueden usar escáneres de seguridad, pero la información emitida por dichos programas suele ser específica, lo que limita las posibilidades de su uso por una persona no preparada. Los escáneres de seguridad facilitan el trabajo de especialistas, lo que reduce el tiempo total empleado en la búsqueda de vulnerabilidades.

Para comparación, se seleccionaron cinco escáneres diferentes en un rango de precios diferente y con diferentes capacidades: Escáner de Internet ISS., Xspider., Languario, ShadowsecurityScanner., X-Scan..

Para comparar tales sistemas que no son suficientes para ejecutarlos. El número de vulnerabilidades supuestamente verificadas o su configuración, así como el tamaño del programa o su apariencia No se pudieron ser criterios para evaluar las capacidades de calidad y funkional de un escáner. Por lo tanto, para crear una idea completa de la labor plena de los diversos escáneres de seguridad, se decidió realizar su prueba comparativa para identificar vulnerabilidades en siete diferentes sistemas operativos, Utilizado con frecuencia por grandes bancos e instituciones financieras: AS / 400, Solaris 2.5.1, Compaq / Tandem Himalaya K2006 (OS D35), servidor de Windows 2000, Professional de Windows XP, Linux Redhat 5.2, enrutador de redes de bahías.

Versiones de los escáneres de prueba (los últimos disponibles en el momento de la verificación):

• ISS Internet Scanner 6.2.1 con las últimas actualizaciones
• Xspider 6.01
• LANDERALD 2.0
• ShadowsecurityScanner 5.31
• XFOCUS X-Scan v1.3 GUI

La prueba de cada escáner se celebró dos veces, excluyendo así los posibles errores no deseados relacionados, por ejemplo, con un problema temporal en la red. Todos los datos obtenidos se colocaron en una tabla, mostrando claramente qué vulnerabilidades fueron encontradas por uno u otro escáner. El color amarillo indica la vulnerabilidad de la gravedad media, que bajo ciertas circunstancias pueden conllevar graves pérdidas, y vulnerabilidades serias rojas que pueden llevar no solo a pérdidas graves, sino también a la destrucción completa del sistema. A continuación, después de la tabla, los escáneres se evalúan con resultados de escaneo.

Tabla de vulnerabilidades encontradas:

Para comprender los resultados y llegar a cualquier conclusión. siguiente sistema El cálculo de los puntos, que es menos óptimo (otras opciones son posibles, pero son todas similares): para cada vulnerabilidad encontrada, se agregará una cierta cantidad de puntos dependiendo del grado de peligro de esta vulnerabilidad, y viceversa para emitir Se deducirán un falso puntajes de vulnerabilidad:

• vulnerabilidad seria (+3 puntos)
• vulnerabilidad de la gravedad media (+2 puntos)
• información (puntuación +1)
• falsa vulnerabilidad seria (-3 puntos)
• falsa vulnerabilidad de la gravedad media (-2 puntos)
• información falsa (-1 Puntaje)

TABLA TOTAL:

¿Qué como resultado?

ISS Internet Scanner no necesita una descripción. Se mostró a sí mismo como siempre en un nivel alto, aunque esta vez dando a la palma del campeonato XSPider-Y.

El XSPider resultó ser un líder indiscutible, se separó severamente de los competidores, especialmente cuando busque vulnerabilidades en Windows y Solaris, que es especialmente agradable con su tamaño pequeño y su distribución gratuita. Hay un gran mínimo: hay muy poca información al emitir una lista de vulnerabilidades, lo que implica un alto nivel de conocimiento y profesionalismo de un especialista utilizando este programa.

Languijand With Stretch se puede llamar a un escáner de seguridad. Funciona muy bien con NetBIOS, emitiendo una lista de recursos, servicios y usuarios. Esta habilidad está muy distinguida por el escáner del resto, pero esto es solo esto. En esta ventaja de Langued Fin.

ShadowsecurityScanner prácticamente soñó con ISS. Y esto es una gran diferencia en su precio. El programa tiene una interfaz simple similar a la interfaz del escáner de Retina. Asesoramiento y recomendaciones detalladas para eliminar las vulnerabilidades facilitando fácilmente hacer frente a problemas. Contras: una pequeña cantidad de vulnerabilidades reconocibles, un consumo mucho mayor de los recursos del sistema al trabajar en comparación con otros escáneres.

Escáner libre de escaneo X para LANGNARD similar a LANGNALD, pero un poco superior. Contras: Interfaz de programa no muy legible, la ausencia de comentarios sobre las vulnerabilidades encontradas.