EntradaEscáneres de seguridad de red: características, principio de funcionamiento y soluciones avanzadas. Escaneo de vulnerabilidades: cómo verificar su dispositivo y protegerse de posibles amenazas Buscar vulnerabilidades en la red local
El problema de la epidemia de gusanos de red es relevante para cualquier red local. Tarde o temprano, puede surgir una situación en la que un gusano de red o de correo penetre en la LAN, que no sea detectado por el antivirus utilizado. virus de red se propaga a través de la LAN a través de vulnerabilidades del sistema operativo que no estaban cerradas en el momento de la infección o a través de permisos de escritura recursos compartidos. virus de correo, como sugiere su nombre, se distribuye por correo electrónico siempre que no esté bloqueado por el antivirus del cliente y el antivirus en servidor de correo. Además, la epidemia en la LAN puede organizarse desde dentro como resultado de las actividades de un infiltrado. En este artículo, consideraremos métodos prácticos para el análisis operativo de computadoras LAN usando varias herramientas, en particular, usando el autor. Utilidades AVZ.
Formulación del problema
En caso de que se detecte una epidemia o alguna actividad anormal en la red, el administrador deberá resolver oportunamente al menos tres tareas:
- detectar PCs infectadas en la red;
- encontrar muestras de malware para enviar al laboratorio antivirus y desarrollar una estrategia de contramedidas;
- tomar medidas para bloquear la propagación del virus en la LAN y destruirlo en las computadoras infectadas.
En el caso de la actividad de un interno, los principales pasos de análisis son idénticos y, en la mayoría de los casos, se reducen a la necesidad de detectar el software de terceros instalado por el interno en las computadoras de la LAN. Un ejemplo de dicho software son las utilidades. administración remota, registradores de teclas y varios marcadores troyanos.
Consideremos con más detalle la solución de cada una de las tareas.
Buscar PC infectadas
Se pueden usar al menos tres métodos para buscar PC infectadas en la red:
- análisis automático de PC remoto: obtención de información sobre procesos en ejecución, bibliotecas y controladores cargados, búsqueda de patrones característicos, por ejemplo, procesos o archivos con nombres dados;
- estudio del tráfico de PC usando un sniffer - este método muy efectivo para atrapar bots de spam, correo y gusanos de red, sin embargo, la principal dificultad para usar un sniffer se debe al hecho de que una LAN moderna se construye sobre la base de conmutadores y, como resultado, el administrador no puede monitorear el tráfico de toda la red. El problema se resuelve de dos maneras: ejecutando un sniffer en el enrutador (que le permite monitorear el intercambio de datos de la PC con Internet) y usando las funciones de monitoreo de los conmutadores (muchos conmutadores modernos le permiten asignar un puerto de monitoreo al cual el se duplica el tráfico de uno o más puertos de switch especificados por el administrador);
- estudio de la carga de la red: en este caso, es muy conveniente usar interruptores inteligentes que permitan no solo estimar la carga, sino también deshabilitar de forma remota los puertos especificados por el administrador. Esta operacion se simplifica mucho si el administrador tiene un mapa de red en el que hay datos sobre qué PC están conectadas a los puertos correspondientes del conmutador y dónde están ubicadas;
- uso de trampas (honeypot): se recomienda encarecidamente crear varias trampas en la red local que permitan al administrador detectar la epidemia de manera oportuna.
Análisis automático de PCs en la red
El análisis automático de PC se puede reducir a tres pasos principales:
- realizando un estudio completo de la PC - Procesos corriendo, bibliotecas y controladores cargados, ejecución automática;
- realizar una encuesta operativa, por ejemplo, buscar procesos o archivos característicos;
- objetos en cuarentena de acuerdo con ciertos criterios.
Todas las tareas anteriores se pueden resolver utilizando la utilidad de autor AVZ, que está diseñada para iniciarse desde una carpeta de red en el servidor y admite un lenguaje de secuencias de comandos para el examen automático de PC. Para ejecutar AVZ en las computadoras de los usuarios, debe:
- Coloque AVZ en una carpeta de red legible en el servidor.
- Cree subdirectorios LOG y Qurantine en esta carpeta y permita que los usuarios escriban en ellos.
- Inicie AVZ en computadoras LAN utilizando la utilidad rexec o un script de inicio de sesión.
El inicio de AVZ en el paso 3 debe hacerse con los siguientes parámetros:
\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt
En este caso, el parámetro Priority=-1 reduce la prioridad del proceso AVZ, los parámetros nw=Y y nq=Y cambian la cuarentena al modo "iniciar red" (en este caso, se crea un subdirectorio en la carpeta de cuarentena para cada computadora, cuyo nombre coincide con el nombre de la red de la PC), HiddenMode=2 instruye para denegar el acceso del usuario a la GUI y al control AVZ y, finalmente, la mayoría parámetro importante Script especifica el nombre completo del script con los comandos que AVZ ejecutará en la computadora del usuario. El lenguaje de programación AVZ es bastante simple de usar y está enfocado únicamente a resolver los problemas de examinar una computadora y tratarla. Para simplificar el proceso de escritura de guiones, puede usar un editor de guiones especializado que contiene un indicador, un asistente para crear guiones típicos y herramientas para verificar la corrección de un guión escrito sin ejecutarlo (Fig. 1).
Arroz. 1. Editor de secuencias de comandos AVZ
Consideremos tres guiones típicos que pueden ser útiles en la lucha contra la epidemia. Primero, necesitamos un script de investigación de PC. La tarea del script es estudiar el sistema y crear un protocolo con los resultados en un determinado carpeta de red. El guión se ve así:
Activar perro guardián (60 * 10);
// Comenzar a escanear y analizar
// Explora el sistema
EjecutarSysCheck(GetAVZDirectory+
‘\LOG\’+GetComputerName+’_log.htm’);
//Apagar AVZ
Durante la ejecución de este script, en la carpeta LOG (se supone que se creó en el directorio AVZ en el servidor y está disponible para que los usuarios escriban), se crearán archivos HTML con los resultados del estudio de las computadoras de la red, y el nombre de la computadora en estudio se incluye en el nombre del protocolo para garantizar la unicidad. Al comienzo de la secuencia de comandos, hay un comando para activar el temporizador de vigilancia, que finalizará por la fuerza el proceso AVZ después de 10 minutos en caso de que haya fallas durante la ejecución de la secuencia de comandos.
El protocolo AVZ es conveniente para el estudio manual, pero es de poca utilidad para el análisis automatizado. Además, el administrador a menudo sabe el nombre del archivo de malware y solo necesita verificar la presencia o ausencia de archivo dado, y si está presente, cuarentena para análisis. En este caso, puede utilizar el siguiente script:
// Habilitar el temporizador de vigilancia durante 10 minutos
Activar perro guardián (60 * 10);
// Buscar malware por nombre
QuarantineFile('%WinDir%\smss.exe', 'LdPinch.gen sospechoso');
QuarantineFile('%WinDir%\csrss.exe', 'LdPinch.gen sospechoso');
//Apagar AVZ
Este script usa la función QuarantineFile, que intenta poner en cuarentena los archivos especificados. El administrador solo necesita analizar el contenido de la cuarentena (carpeta Quarantine\network_PC_name\quarantine_date\) para los archivos en cuarentena. Tenga en cuenta que la función QuarantineFile bloquea automáticamente la cuarentena de los archivos identificados por la base de datos segura AVZ o la base de datos Microsoft EDS. Para aplicación práctica este script se puede mejorar: organice la carga de nombres de archivo desde un archivo de texto externo, verifique los archivos encontrados con las bases de datos AVZ y forme un protocolo de texto con los resultados del trabajo:
// Busca un archivo con el nombre especificado
función CheckByName(Fname: cadena) : booleano;
Result:= FileExists(FName) ;
si el resultado entonces comienza
case CheckFile(FName) de
1: S:= ', acceso al archivo bloqueado';
1: S:= ', identificado como Malware ('+GetLastCheckTxt+')';
2: S:= ', sospechado por el escáner de archivos ('+GetLastCheckTxt+')';
3: salida; // Ignorar archivos seguros
AddToLog('El archivo '+NormalFileName(FName)+' tiene un nombre sospechoso'+S);
//Agregando archivo especificado en cuarentena
QuarantineFile(FName,'archivo sospechoso'+S);
SuspNombres: TStringList; // Lista de nombres de archivos sospechosos
// Comprobación de archivos con la base de datos actualizada
si FileExists (GetAVZDirectory + 'files.db') entonces comience
SuspNames:= TStringList.Crear;
SuspNames.LoadFromFile('archivos.db');
AddToLog('Base de datos de nombres cargada - número de entradas = '+inttostr(SuspNames.Count));
// Bucle de búsqueda
para i:= 0 a SuspNames.Count - 1 hacer
CheckByName(SuspNombres[i]);
AddToLog('Error al cargar la lista de nombres de archivo');
SaveLog(GetAVZDirectory+'\LOG\'+
GetComputerName+'_files.txt');
Para que este script funcione, es necesario crear en la carpeta AVZ los directorios Quarantine y LOG accesibles a los usuarios para escribir, así como Archivo de texto files.db: cada línea de este archivo contendrá el nombre del archivo sospechoso. Los nombres de archivo pueden incluir macros, las más útiles son %WinDir% (la ruta a la carpeta de Windows) y %SystemRoot% (la ruta a la carpeta System32). Otra dirección de análisis puede ser un estudio automático de la lista de procesos que se ejecutan en las computadoras de los usuarios. La información sobre los procesos en ejecución está disponible en el protocolo de investigación del sistema, pero para el análisis automático es más conveniente usar el siguiente fragmento de script:
procedimiento ScanProcess;
S:=''; S1:='';
// Actualizar lista de procesos
Actualizar lista de procesos;
AddToLog('Número de procesos = '+IntToStr(GetProcessCount));
// Ciclo de análisis de la lista recibida
for i:= 0 to GetProcessCount - 1 empieza
S1:= S1 + ',' + NombreExtraerArchivo(ObtenerNombreProceso(i));
// Buscar un proceso por nombre
si pos('trojan.exe', LowerCase(GetProcessName(i))) > 0 entonces
S:= S + ObtenerNombreProceso(i)+',';
si S<>''entonces
AddLineToTxtFile(GetAVZDirectory+'\LOG\_alarm.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S);
AddLineToTxtFile(GetAVZDirectory+'\LOG\_all_process.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S1);
El examen de los procesos en este script se realiza como un procedimiento de ScanProcess separado, por lo que es fácil colocarlo en su propio script. El procedimiento ScanProcess crea dos listas de procesos: Lista llena procesos (para su posterior análisis) y una lista de procesos que, desde el punto de vista del administrador, se consideran peligrosos. En este caso, para demostración, un proceso llamado 'trojan.exe' se considera peligroso. La información sobre procesos peligrosos se agrega al archivo de texto _alarm.txt, los datos sobre todos los procesos se agregan al archivo _all_process.txt. Es fácil ver que puede complicar la secuencia de comandos agregando, por ejemplo, la verificación de los archivos de proceso con la base de datos de archivos seguros o la verificación de los nombres de los archivos ejecutables de proceso con fondo externo. Se utiliza un procedimiento similar en los scripts AVZ utilizados en Smolenskenergo: el administrador examina periódicamente la información recopilada y modifica el script agregando el nombre de los procesos de los programas prohibidos por la política de seguridad, por ejemplo, ICQ y MailRu.Agent, que permite le permite verificar rápidamente la presencia de software prohibido en las PC bajo estudio. Otro uso de la lista de procesos es encontrar PC a las que les falta un proceso requerido, como un antivirus.
En conclusión, consideremos el último de los scripts de análisis útiles: el script para la cuarentena automática de todos los archivos que no son reconocidos por la base de datos segura AVZ y la base de datos Microsoft EDS:
// Ejecutar cuarentena automática
EjecutarAutoCuarentena;
La cuarentena automática examina los procesos en ejecución y las bibliotecas, los servicios y los controladores cargados, unos 45 métodos de inicio automático, los módulos de extensión del navegador y del explorador, los controladores SPI/LSP, los trabajos del programador, los controladores del sistema de impresión, etc. Una característica de la cuarentena es que los archivos se agregan con control de reintento, por lo que la función de cuarentena automática se puede llamar varias veces.
La ventaja de la cuarentena automática es que, con su ayuda, el administrador puede recopilar rápidamente archivos potencialmente sospechosos de todas las computadoras de la red para su estudio. La forma más simple (pero muy efectiva en la práctica) de estudiar archivos puede ser verificar la cuarentena recibida con varios antivirus populares en el modo de máxima heurística. Cabe señalar que el lanzamiento simultáneo de Auto-Quarantine en varios cientos de computadoras puede crear una gran carga en la red y en el servidor de archivos.
Investigación de tráfico
La investigación del tráfico se puede hacer de tres maneras:
- manualmente usando sniffers;
- en modo semiautomático: en este caso, el rastreador recopila información y luego sus protocolos se procesan manualmente o mediante algún software;
- automáticamente utilizando sistemas de detección de intrusos (IDS) como Snort (http://www.snort.org/) o sus contrapartes de software o hardware. En el caso más simple, un IDS consta de un sniffer y un sistema que analiza la información recopilada por el sniffer.
Un sistema de detección de intrusos es la mejor herramienta porque le permite crear conjuntos de reglas para detectar anomalías en la actividad de la red. Su segunda ventaja es la siguiente: la mayoría de los IDS modernos le permiten colocar agentes de monitoreo de tráfico en varios nodos de la red: los agentes recopilan información y la transmiten. En el caso de utilizar un sniffer, es muy conveniente utilizar el sniffer de la consola tcpdump UNIX. Por ejemplo, para monitorear la actividad en el puerto 25 (protocolo SMTP), simplemente ejecute el sniffer con una línea de comando como esta:
tcpdump -i em0 -l tcp puerto 25 > smtp_log.txt
En este caso, los paquetes se capturan a través de la interfaz em0; la información sobre los paquetes capturados se almacenará en el archivo smtp_log.txt. El protocolo es relativamente fácil de analizar manualmente, en este ejemplo, el análisis de actividad en el puerto 25 le permite calcular la PC con bots de spam activos.
Aplicación Honeypot
Como trampa (Honeypot), puede usar una computadora obsoleta, cuyo rendimiento no permite que se use para resolver problemas de producción. Por ejemplo, en la red del autor, un Pentium Pro con 64 MB se usa con éxito como trampa. memoria de acceso aleatorio. En esta PC, debe instalar el sistema operativo más común en la LAN y seleccionar una de las estrategias:
- Instale un sistema operativo sin paquetes de servicio: será un indicador de la aparición de un gusano de red activo en la red que explota cualquiera de las vulnerabilidades conocidas para este sistema operativo;
- instale un sistema operativo con actualizaciones que estén instaladas en otras PC en la red: Honeypot será un análogo de cualquiera de las estaciones de trabajo.
Cada una de las estrategias tiene sus pros y sus contras; el autor aplica principalmente la opción de no actualizaciones. Después de crear el Honeypot, debe crear una imagen de disco para restaurar rápidamente el sistema después de que haya sido dañado por malware. Como alternativa a una imagen de disco, puede usar sistemas de reversión de cambios como ShadowUser y sus análogos. Habiendo construido un Honeypot, se debe tener en cuenta que una serie de gusanos de red buscan equipos infectados escaneando el rango de IP, contado a partir de la dirección IP del PC infectado (las estrategias típicas comunes son XXX*, XXX+1.*, XXX-1.*), - por lo tanto, idealmente debería haber un Honeypot en cada una de las subredes. Como elementos de preparación adicionales, es necesario abrir el acceso a varias carpetas en el sistema Honeypot, y en estas carpetas se deben colocar varios archivos de muestra de varios formatos, el conjunto mínimo es EXE, JPG, MP3.
Naturalmente, habiendo creado un Honeypot, el administrador debe monitorear su funcionamiento y responder a las anomalías detectadas en este computador. Los auditores se pueden usar como un medio para registrar cambios, y un sniffer se puede usar para registrar la actividad de la red. un punto importante es que la mayoría de los sniffers brindan la posibilidad de configurar el envío de una alerta al administrador en caso de detección de una determinada actividad en la red. Por ejemplo, en el sniffer de CommView, la regla implica especificar una "fórmula" que describe un paquete de red o establecer criterios cuantitativos (enviar más cantidad dada paquetes o bytes por segundo, enviando paquetes a direcciones IP o MAC no reconocidas) - fig. 2.
Arroz. 2. Crear y configurar una alerta de actividad de red
Como advertencia, es más conveniente utilizar mensajes de correo electrónico enviados a buzón administrador: en este caso, puede recibir notificaciones en tiempo real de todas las trampas en la red. Además, si el sniffer le permite crear múltiples alertas, tiene sentido diferenciar actividad de la red, destacando el trabajo con Email, FTP/HTTP, TFTP, Telnet, MS Net, aumentaron el tráfico de más de 20-30 paquetes por segundo sobre cualquier protocolo (Fig. 3).
Arroz. 3. Carta de notificación enviada
si se encuentran paquetes que coinciden con los criterios especificados
Al organizar una trampa, es una buena idea colocar en ella varias vulnerables utilizadas en la red. servicios de red o instalar su emulador. La más simple (y gratuita) es la utilidad APS del autor, que funciona sin instalación. El principio de funcionamiento de APS se reduce a escuchar un conjunto de puertos TCP y UDP descritos en su base de datos y emitir una respuesta predefinida o generada aleatoriamente en el momento de la conexión (Fig. 4).
Arroz. 4. La ventana principal de la utilidad APS.
La figura muestra una captura de pantalla tomada durante una operación APS real en la LAN de Smolenskenergo. Como puede ver en la figura, se intentó conectar una de las computadoras cliente en el puerto 21. Un análisis de los protocolos mostró que los intentos son periódicos, solucionados por varias trampas en la red, lo que nos permite concluir que la red está siendo escaneado para encontrar y piratear servidores FTP adivinando contraseñas. APS registra y puede enviar mensajes a los administradores informando sobre las conexiones registradas a los puertos monitoreados, lo cual es útil para la detección rápida de escaneos de red.
Al crear un Honeypot, también es útil buscar recursos en línea sobre el tema, como http://www.honeynet.org/. En la sección Herramientas de este sitio (http://www.honeynet.org/tools/index.html) puede encontrar una serie de herramientas para registrar y analizar ataques.
Eliminación remota de malware
Idealmente, después de detectar muestras de malware, el administrador las envía al laboratorio antivirus, donde los analistas las estudian rápidamente y las firmas correspondientes se agregan a las bases de datos antivirus. Estas firmas a través de Actualización automática entrar en la PC de los usuarios, y el antivirus produce eliminación automática malware sin la intervención del administrador. Sin embargo, esta cadena no siempre funciona como se esperaba, en particular, son posibles las siguientes razones para la falla:
- por una serie de razones independientes del administrador de la red, es posible que las imágenes no lleguen al laboratorio antivirus;
- eficiencia insuficiente del laboratorio antivirus: idealmente, no lleva más de 1 a 2 horas estudiar muestras y agregarlas a las bases de datos, es decir, dentro de un día hábil, puede obtener bases de datos de firmas actualizadas. Sin embargo, no todos los laboratorios antivirus funcionan tan rápido, y se pueden esperar actualizaciones durante varios días (en casos excepcionales, incluso semanas);
- alto rendimiento del antivirus: una serie de programas maliciosos, después de la activación, destruyen los antivirus o interrumpen su trabajo. Ejemplos clásicos: incorporar archivo anfitrión entradas que bloquean el funcionamiento normal del sistema de actualización automática antivirus, eliminan procesos, servicios y controladores antivirus, dañan su configuración, etc.
Por lo tanto, en estas situaciones, tendrá que lidiar con el malware manualmente. En la mayoría de los casos, esto no es difícil, ya que se sabe que los resultados del análisis de las computadoras son PC infectadas, así como los nombres completos de los archivos de malware. Solo queda realizar su eliminación remota. Si el programa malicioso no está protegido contra la eliminación, puede destruirse con un script AVZ de la siguiente forma:
// Borrar archivo
DeleteFile('nombre de archivo');
EjecutarSysClean;
Este script elimina un archivo específico (o varios archivos, ya que puede haber un número ilimitado de comandos DeleteFile en el script) y luego limpia automáticamente el registro. En un caso más complejo, un programa malicioso puede protegerse de la eliminación (por ejemplo, recreando sus archivos y claves de registro) o disfrazarse usando tecnología de rootkit. En este caso, el script se vuelve más complicado y se verá así:
// Antirootkit
BuscarRootkit(verdadero, verdadero);
// Control AVZGuard
SetAVZGuardStatus(verdadero);
// Borrar archivo
DeleteFile('nombre de archivo');
// Habilitar el registro de BootCleaner
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
// Importar a la tarea BootCleaner una lista de archivos eliminados por el script
BC_ImportDeletedList;
// Activar Limpiador de Arranque
// Limpieza heurística del sistema
EjecutarSysClean;
Reiniciar Windows (verdadero);
Este script incluye la resistencia activa a los rootkits, el uso del sistema AVZGuard (este es un bloqueador de actividad de malware) y el sistema BootCleaner. BootCleaner es un controlador que elimina objetos específicos de KernelMode durante el reinicio, en una etapa temprana del inicio del sistema. La práctica demuestra que un script de este tipo puede destruir la gran mayoría del malware existente. La excepción es el malware que cambia los nombres de sus archivos ejecutables con cada reinicio; en este caso, los archivos encontrados durante el estudio del sistema pueden cambiar de nombre. En este caso, deberá desinfectar la computadora manualmente o crear sus propias firmas de malware (en la ayuda de AVZ se describe un ejemplo de un script que implementa una búsqueda de firmas).
Conclusión
En este artículo, analizamos algunas técnicas prácticas para hacer frente a la epidemia de LAN de forma manual, sin el uso de productos antivirus. La mayoría de las técnicas descritas también se pueden usar para buscar una PC ajena y marcadores de troyanos en las computadoras de los usuarios. Si tiene dificultades para encontrar malware o crear scripts de desinfección, el administrador puede usar la sección "Ayuda" del foro http://virusinfo.info o la sección "Combatir virus" del foro http://forum.kaspersky.com/ index.php?showforum= dieciocho. El estudio de protocolos y la asistencia en el tratamiento se realizan en ambos foros de forma gratuita, el análisis de PC se realiza de acuerdo con los protocolos AVZ y, en la mayoría de los casos, el tratamiento se reduce a ejecutar un script AVZ en PC infectados, compilado por especialistas experimentados de estos foros.
Le he presentado en detalle los diferentes tipos de vulnerabilidades, pero ahora es el momento de familiarizarse con los escáneres de estas vulnerabilidades.
Los escáneres de vulnerabilidades son herramientas de software o hardware que se utilizan para diagnosticar y monitorear computadoras en red, lo que le permite escanear redes, computadoras y aplicaciones para la detección Posibles problemas en el sistema de seguridad, evaluar y eliminar vulnerabilidades.
Los escáneres de vulnerabilidades le permiten verificar varias aplicaciones en el sistema en busca de "agujeros" que puedan ser explotados por atacantes. Las herramientas de bajo nivel, como un escáner de puertos, también se pueden usar para identificar y analizar posibles aplicaciones y protocolos que se ejecutan en el sistema.
Por lo tanto, los escáneres están destinados a resolver los siguientes problemas:
- identificación y análisis de vulnerabilidades;
- un inventario de recursos como el sistema operativo, el software y los dispositivos de red;
- generación de informes que contengan una descripción de las vulnerabilidades y opciones para su eliminación.
¿Cómo funciona?
Los escáneres de vulnerabilidad utilizan dos mecanismos principales en su trabajo.
Primero- sonando - no demasiado rápido, pero preciso. Este es un mecanismo de análisis activo que lanza ataques simulados, probando así la vulnerabilidad. Al sondear, se utilizan métodos de implementación de ataques que ayudan a confirmar la presencia de una vulnerabilidad y detectar "brechas" no detectadas previamente.
Segundo mecanismo - escaneo - más rápido, pero da resultados menos precisos. Este es un análisis pasivo, en el que el escáner busca una vulnerabilidad sin confirmar su presencia, utilizando señales indirectas. El escaneo determina puertos abiertos y se recopilan las cabeceras asociadas a ellos. Se comparan además con la tabla de reglas para determinar dispositivos de red, sistema operativo y posibles "agujeros". Después de la comparación escáner de red seguridad informa de la presencia o ausencia de una vulnerabilidad.
La mayoría de los escáneres de seguridad de red modernos funcionan según los siguientes principios:
- recopilación de información sobre la red, identificación de todos los dispositivos activos y servicios que se ejecutan en ellos;
- detección de vulnerabilidades potenciales;
- confirmación de vulnerabilidades seleccionadas, para lo cual se utilizan métodos específicos y se simulan ataques;
- generar informes;
- eliminación automática de vulnerabilidades. No siempre este escenario implementado en escáneres de seguridad de red, pero a menudo visto en escáneres de sistema.
Los mejores escáneres de vulnerabilidad
Ahora echemos un vistazo a los escáneres más relevantes que lideran las calificaciones de los expertos.
nessus
El proyecto se lanzó en 1998 y, en 2003, el desarrollador Tenable Network Security comercializó un escáner de seguridad de red. Una base de datos de vulnerabilidades actualizada regularmente, facilidad de instalación y uso, un alto nivel de precisión son sus ventajas sobre los competidores. Una característica clave es el uso de complementos. Es decir, cualquier prueba de penetración no está estrechamente ligada al programa, sino que se realiza en forma de complemento. Los complementos se distribuyen por 42 varios tipos: para realizar una prueba de penetración, puede activar complementos individuales y todos los complementos de cierto tipo, por ejemplo, para realizar todas las pruebas locales en un sistema Ubuntu. Un punto interesante es que los usuarios podrán escribir sus propias pruebas utilizando un lenguaje de programación especial.
Nessus es un excelente escáner de vulnerabilidades. Pero también tiene dos inconvenientes. La primera es que cuando la opción "cheques seguros" está deshabilitada, algunas pruebas de vulnerabilidad pueden conducir a violaciones en el funcionamiento de los sistemas escaneados. El segundo es el precio. Una licencia anual puede costar 114 mil rublos.
Comprobación de seguridad de Symantec
Escáner gratuito del mismo fabricante. Funciones principales: detección de virus y troyanos, gusanos de Internet, malware, búsqueda de vulnerabilidades en la red local. Este es un producto en línea que consta de dos partes: escaneo de seguridad , que comprueba la seguridad del sistema, y Detección de virus que realiza un escaneo completo de su computadora en busca de virus. Se instala rápida y fácilmente, funciona a través del navegador. Según revisiones recientes, este escáner de red se utiliza mejor para verificación adicional.
XSaraña
El programa XSpider, que, según el desarrollador, puede revelar un tercio de las vulnerabilidades del mañana. La característica clave de este escáner es la capacidad de detectar el número máximo de "fallas" en la red incluso antes de que los piratas informáticos las detecten. Al mismo tiempo, el escáner funciona de forma remota sin requerir la instalación de software adicional. Después de trabajar, el escáner envía un informe completo al especialista en seguridad y consejos sobre cómo eliminar los "agujeros". El costo de una licencia para este escáner comienza desde 11 mil rublos para cuatro hosts por año.
QualysGuard
Escáner de vulnerabilidades multifuncional. Proporciona extensos informes que incluyen:
- evaluar el nivel de criticidad de las vulnerabilidades;
- una estimación del tiempo requerido para eliminarlos;
- comprobar el grado de su impacto en el negocio;
- Análisis de tendencias de seguridad.
La plataforma en la nube QualysGuard y el conjunto de aplicaciones integradas permiten a las empresas simplificar el proceso de seguridad y reducir los costos de cumplimiento al tiempo que brindan información importante sobre seguridad y automatización de toda la gama de tareas de auditoría, control complejo y protección de sistemas de TI y aplicaciones web. Con la ayuda de este software puede escanear sitios web corporativos y recibir alertas e informes automatizados para detectar y eliminar amenazas de manera oportuna.
Rápido 7 NeXpose
Rapid 7 es una de las empresas de más rápido crecimiento especializada en seguridad de información en el mundo. Fue ella quien recientemente adquirió el proyecto Metasploit Framework, y es su obra: el proyecto NeXpose. El costo de "entrada" para usar la versión comercial es de casi $3000, pero para los entusiastas existe una versión Community con características ligeramente reducidas. Semejante versión gratuita se integra fácilmente con Metasploit. El esquema de trabajo es bastante complicado: primero, se inicia NeXpose, luego Metasploit Console (msfconsole), después de lo cual puede iniciar el proceso de escaneo y configurarlo usando una serie de comandos (nexpose_connect, nexpose_scan, nexpose_discover, nexpose_dos y otros). Puede combinar la funcionalidad de NeXpose y otros módulos de Metasploit.
escaneo X
Exteriormente, el X-Scan se parece más a un producto casero creado por alguien para sus propias necesidades y puesto al público para nadar gratis. Quizás no habría ganado tanta popularidad si no fuera por el soporte de los scripts de Nessus, que se activan mediante el módulo Nessus-Attack-Scripts. Por otro lado, vale la pena mirar el informe del escaneo, y todas las dudas sobre la utilidad del escáner se desvanecen en un segundo plano. No se diseñará de acuerdo con uno de los estándares oficiales de seguridad de la información, pero definitivamente dirá mucho sobre la red.
Cada miembro del equipo de ][ tiene sus propias preferencias con respecto al software y las utilidades para
pentest Después de consultar, descubrimos: la elección varía tanto que es posible hacer
un verdadero conjunto de programas probados para caballeros. En eso decidieron. A
Para no hacer una mezcolanza combinada, dividimos toda la lista en temas. hoy tocamos
el santo de los santos de cualquier pentester - escáner de vulnerabilidad.
nessus
Sitio:
www.nessus.org/plugins/index.php
Distribución: Gratis/Shareware
Plataforma: Win/*nix/Mac
Si alguien no ha probado nessus entonces al menos oído hablar de él.
Uno de los escáneres de seguridad más famosos tiene una rica historia: ser
una vez que un proyecto abierto, el programa ha dejado de distribuirse en abierto
fuentes. Afortunadamente, se mantiene la versión gratuita, que originalmente era
severamente privado de acceso a actualizaciones para la base de datos de vulnerabilidades y nuevos complementos,
pero luego los desarrolladores se compadecieron y solo lo limitaron en la frecuencia de las actualizaciones.
Los complementos son una característica clave de la arquitectura de la aplicación: cualquier prueba para
la penetración no está bien cosida en el programa, sino que se hace en la forma
enchufar. Los complementos se dividen en 42 tipos diferentes: para
realizar un pentest, puede activar complementos individuales y todos los complementos
de cierto tipo - por ejemplo, para realizar todas las comprobaciones locales en
Sistema Ubuntu. Y nadie te limita a escribir tus propias pruebas.
en la penetración: para esto, se implementó un lenguaje de scripting especial en Nessus
- NASL (Lenguaje de secuencias de comandos de ataque Nesus), que luego
prestado otros servicios públicos.
Los desarrolladores han logrado una flexibilidad aún mayor al separar parte del servidor escáner,
realizar todas las acciones, desde el programa cliente, que no es
más que interfaz gráfica de usuario. En la última versión 4.2 daemon en el puerto 8834
abre el servidor web; con él puedes controlar el escáner a través de interfaz amigable sobre el
Flash "e, teniendo solo un navegador. Después de instalar el escáner, el servidor se inicia
automáticamente, tan pronto como proporcione la clave de activación: puede
solicitarlo en el sitio de inicio nessus. Es cierto, para la entrada, y local,
y remoto, primero deberá crear un usuario: en Windows esto
se realiza con dos clics del mouse a través del panel de administración de la GUI del Nesus Server Manager, con su propio
ayuda puede iniciar y detener el servidor.
Cualquier prueba de penetración comienza con la creación de las llamadas Políticas:
reglas a las que se adherirá el escáner durante el escaneo. Aquí y
se seleccionan tipos de escaneo de puertos (TCP Scan, UDP Scan, Syn Scan, etc.),
el número de conexiones simultáneas, así como las típicas puramente para nessus
opciones como Safe Checks. Este último incluye escaneo seguro,
desactivar complementos que pueden dañar el sistema que se está escaneando. Paso importante
en la creación de reglas: esta es la conexión de los complementos necesarios: puede activar todo
grupos, digamos Cuentas Unix Predeterminadas, DNS, CISCO, Seguridad Local Slackware
Cheques, ventanas, etc. ¡La elección de posibles ataques y controles es enorme! distintivo
La característica de Nessus son complementos inteligentes. El escáner nunca escaneará el servicio solo
por su número de puerto. Al mover el servidor web del puerto estándar 80, digamos
el 1234, no será posible engañar a Nessus; él lo determinará. Si el servidor FTP
usuario anónimo deshabilitado, y algunos complementos lo usan para verificar,
entonces el escáner no los lanzará, sabiendo con certeza que no tendrán ningún sentido. Si
el complemento explota una vulnerabilidad en Postfix, nessus no torturará
felicidad, probando pruebas contra sendmail "a - etc. Está claro que para poder realizar
comprobaciones en el sistema local, se deben proporcionar credenciales al escáner
(inicios de sesión y contraseñas de acceso): esta es la parte final de la configuración de las reglas.
OpenVAS
Sitio web: www.openvas.org
Distribución: Programa gratuito
Plataforma: Win/*nix/Mac
Aunque los códigos fuente de Nessus se han cerrado, el motor de Nessus 2 y
algunos complementos todavía se distribuyen bajo la licencia GPL como un proyecto
OpenVAS (Escáner de evaluación de vulnerabilidades de código abierto). Ahora el proyecto
se desarrolla completamente independiente de su hermano mayor y hace considerable
progreso: la última versión estable salió justo antes de que se enviara el número a
foca. No es de extrañar que OpenVAS también usa cliente-servidor
arquitectura donde todas las operaciones de escaneo son realizadas por el lado del servidor -
funciona solo bajo niks. Para empezar, necesitas descargar paquetes.
openvas-scanner, así como un conjunto de bibliotecas openvas. Como
lado del cliente para OpenVAS 3.0, solo está disponible un programa GUI nix,
pero creo que como Versión anterior, pronto habrá un puerto para Windows. En cualquier
caso, es más fácil de usar OpenVAS con la ayuda de lo desconocido
LiveCD Bactrack (Versión 4), que ya lo tiene instalado. Todos mayores
Las operaciones para comenzar se colocan en los elementos del menú: OpenVAS Make Cert (crear
certificado SSL para acceder al servidor), Add User (crear un usuario para acceder
servidor), NVT Sync (actualización de complementos y bases de datos de vulnerabilidades) y, finalmente,
Servidor OpenVAS (inicio del servidor a través del elemento de menú). Además, sólo
inicie la parte del cliente y conéctese al servidor para iniciar el pentest.
Apertura y extensibilidad OpenVAS déjalo correr mucho
programa. Además de complementos directos para el análisis de seguridad,
muchas utilidades conocidas están integradas: Nikto para buscar scripts CGI vulnerables,
nmap para escaneo de puertos y un mar de otras cosas, ike-scan para detección de IPSEC
Nodos VPN, amap para identificar servicios en puertos usando huellas dactilares,
ovaldi para admitir OVAL, el lenguaje estándar para describir vulnerabilidades, y
muchos otros.
X-Araña 7
Sitio:
www.ptsecurity.ru/xs7download.asp
Distribución: shareware
Plataforma: Ventanas
Primeras líneas de código XSaraña fueron escritas el 2 de diciembre de 1998, y por
Han pasado 12 años desde entonces, este escáner se ha hecho conocido por todos los rusos.
especialista en seguridad de la información. En general, Positive Technologies es una
una de las pocas empresas en el mercado nacional de seguridad de la información cuya
los empleados saben cómo realmente romper algo, y no solo vender servicios maravillosamente.
El producto no fue escrito por programadores, sino por especialistas en seguridad de la información que saben cómo
lo que hay que comprobar. Cual es el resultado? Tenemos un producto de muy alta calidad con solo uno,
pero una desventaja muy seria para nosotros: XSaraña¡pagado! para nada
los desarrolladores ofrecen una versión de demostración truncada, que no implementa una serie de
verificaciones, incluidas las heurísticas, así como actualizaciones en línea para la base de datos
vulnerabilidades. Además, los esfuerzos de los desarrolladores ahora están completamente dirigidos a otra
producto - sistema de monitoreo de seguridad de la información MaxPatrol, para
que, por desgracia, ni siquiera es una demostración.
Pero incluso con todas las restricciones. XSaraña es uno de los mas convenientes
y herramientas efectivas análisis de la seguridad de la red y nodos específicos.
La configuración de escaneo, como en el caso de Nessus, se realiza en forma de un especial
conjunto de reglas, solo que en este caso no se llaman Políticas, sino perfiles.
Ambos parámetros generales para el análisis de red y el comportamiento del escáner están configurados
para protocolos específicos: SSH, LDAP, HTTP. Tipo de demonio investigado en cada
el puerto no está determinado por la clasificación generalmente aceptada, pero usando
algoritmos heurísticos de huellas dactilares "a - la opción se activa con un clic en
perfil de escaneo. Una palabra aparte merece el procesamiento de servicios RPC (Windows
y *nix) con identificación completa, gracias a la cual es posible identificar vulnerabilidades
diversos servicios y configuración detallada del equipo en su conjunto. Examen
debilidades en la protección de contraseñas implementa una adivinación optimizada de contraseñas prácticamente
en todos los servicios que requieren autenticación, ayudando a identificar contraseñas débiles.
El resultado del escaneo se presenta en forma de un informe conveniente, y para cada
fundar vulnerabilidad potencial se proporciona una pequeña descripción y un enlace externo,
dónde ir para obtener más detalles.
GFI LANguard
Sitio:
www.gfi.com/lannetscan
Distribución: Freeware/Shareware
Plataforma: Ventanas
Lo que más me gusta de este producto es el conjunto de funciones preinstaladas.
perfiles para escanear. Además de un escaneo completo del sistema remoto,
lo que implica todo tipo de cheques disponibles (por cierto, hay una versión especial
para una conexión lenta, por ejemplo, para una conexión VPN lenta a través de los Estados),
hay muchos grupos separados de cheques. Por ejemplo, puede comprobar rápidamente decenas
hosts para vulnerabilidades del Top20 compilado por el conocido
corporación de seguridad SANS. Aquí también puede activar la búsqueda de coches con
parches o paquetes de servicio desinstalados, seleccione un perfil para pentest
aplicaciones web, etc Además, además de los perfiles directamente dirigidos a
busque vulnerabilidades, también hay una serie de herramientas de auditoría: bola de búsqueda, escáner inteligente
puertos, incluso para buscar conexiones abiertas por malware, determinar
configuración de la computadora, etc Resulta que en un producto se lleva la masa.
utilidades útiles.
Base de datos de vulnerabilidades constantemente actualizada GFI LANguard incluye más de
15.000 registros, lo que le permite escanear la mayoría diferentes sistemas(Windows, Mac OS, Linux)
incluidos los instalados en máquinas virtuales. Escáner automáticamente
extrae actualizaciones para la base de datos, que a su vez se generan de acuerdo con los informes
BugTraq, SANS y otros. Implemente sus propios controles como
Por supuesto, tú también puedes. Para hacer esto, se le proporciona un script especial.
un lenguaje compatible con Python y VBScript (¡qué montón!), y para una comodidad total
también un editor conveniente con un depurador: resulta un IDE real. Uno mas
La característica única de LANguard es la capacidad de determinar que la máquina está funcionando
en un entorno virtual (siempre que se admitan VMware y Virtual PC) es uno de los
chips de escáner únicos.
Escáner de seguridad de la red Retina
Sitio web: www.eeye.com
Distribución: shareware
Plataforma: Ventanas
La principal decepción de este legendario escáner me llegó inmediatamente después.
lanzamiento. Instalador ultima versión, maldiciendo, dijo que corriera
retina en Windows 7 o Windows Server 2008 R2 actualmente no es posible. No
muy educado, tuvo que abrir máquina virtual, pero sabía que
costos retina- uno de los mejores escáneres que detecta y analiza
anfitriones de la red local. Físico y Servidores virtuales, estaciones de trabajo y
computadoras portátiles, enrutadores y firewalls de hardware - retina presentara
una lista completa de dispositivos conectados a la red, muestra información sobre la conexión inalámbrica
redes Torturará a cada uno de ellos de todas las formas posibles en busca de al menos algún indicio de
vulnerabilidad, y lo hace muy inteligentemente. Para escanear una red local de clase C
tarda unos 15 minutos. Producto retina determina las vulnerabilidades del sistema operativo,
aplicaciones, configuraciones y opciones potencialmente peligrosas. Como resultado, es posible
obtenga una descripción general de la red que muestre las posibles vulnerabilidades. Base con
vulnerabilidades, según aseguran los desarrolladores, se actualiza cada hora, y la información sobre
la vulnerabilidad se agrega a la base de datos a más tardar 48 horas después de la primera
camión de carga Sin embargo, el hecho mismo de que este sea un producto de la fábrica eEye ya es
tipo de aseguramiento de la calidad.
Analizador de seguridad de línea base de Microsoft
Sitio web: www.microsoft.com
Distribución: Programa gratuito
Plataforma: Ventanas
¿Lo que es? Analizador de seguridad de Microsoft
verifica que las computadoras en la red cumplan con los requisitos de Microsoft, lo que
acumuló un gran número. Más criterio principal es, por supuesto, la presencia
en el sistema de todas las actualizaciones instaladas. No necesitas que te recuerden lo que hiciste
Conficker usando MS08-67, que fue parcheado 2 meses antes
epidemias Además de los parches que faltan en el sistema, MBSA también detecta algunos
lagunas comunes en la configuración. Antes de iniciar el escaneo, el programa
descarga actualizaciones para sus bases de datos, por lo que puede estar seguro: microsoft
Analizador de seguridad de línea base sabe todo acerca de las actualizaciones publicadas para Windows. Por
se resumen los resultados del escaneo (dominio o rango de direcciones IP)
reporte. Un informe ya visual se puede transferir a un diagrama de red condicional,
mostrando los resultados del escaneo en Visio. Para ello se dispone de la web del programa
un conector especial que mostrará varios nodos locales con símbolos,
completará los parámetros de los objetos, agregando información sobre el escaneo allí, y en
La forma más conveniente le permitirá ver qué problemas hay en una computadora en particular.
SMO
Sitio:
http://www.saintcorporation.com
Distribución: shareware
Plataforma: -nix
Solo dos direcciones IP a las que puede acceder SMO v
durante el período de prueba, se conectan a la llave y se la envían para
Email. Ni un paso a la izquierda, ni un paso a la derecha, pero este producto definitivamente vale la pena
intentarlo, incluso con restricciones tan draconianas. Control de escáner
implementado a través de una interfaz web, lo cual no es sorprendente - soluciones SMO
se venden, incluso en forma de servidores para instalación en rack (SAINTbox), y aquí
tienes que seguir la moda. Con la ayuda de una interfaz web ascética, es muy fácil
comience a probar y use muchos años de experiencia para buscar
vulnerabilidades potenciales en el sistema. Diré más: uno de los módulos SAINTexploit
permite no solo detectar, sino también explotar la vulnerabilidad. Echemos
el notorio error MS08-67. Si el escáner detecta un agujero descubierto y sabe
cómo explotarlo, luego justo al lado de la descripción de la vulnerabilidad da un enlace con
cerrar la palabra del corazón EXPLOTAR. En un clic obtienes una descripción del sploit y,
además, - el botón Ejecutar ahora para iniciarlo. Además, dependiendo de la división,
se especifican varios parámetros, por ejemplo, la versión exacta del sistema operativo en el host remoto,
tipo de shell y puerto en el que se ejecutará. Si la explotación del objetivo tiene éxito
completado, la pestaña Conexiones del módulo SAINTexploit muestra la dirección IP
víctimas y la elección de las acciones que estuvieron disponibles como resultado del lanzamiento
exploit: trabajar con archivos en un sistema remoto, línea de comando etc!
Imagínese: ¡un escáner que se rompe solo! No es de extrañar el eslogan del producto: "Examinar.
exposición. Exploit". El sistema de cheques es el más diverso, y en los últimos 7
versión, apareció un módulo para pentesting de aplicaciones web y características adicionales
para el análisis de bases de datos. Al designar un objetivo a través de la interfaz web, puede monitorear
acciones del escáner con todo detalle, sabiendo exactamente qué y cómo hace el escáner en
este momento.
escaneo X
Sitio web: http://www.xfocus.org
Distribución: Programa gratuito
Plataforma: Ventanas
La última versión de este escáner se lanzó en 2007, lo que no interfiere en absoluto.
úsalo ahora gracias al sistema de complementos y scripts,
escrito en NASL, el mismo lenguaje utilizado por Nessus/OpenVAS. Encontrar
y editar guiones existentes es fácil: todos están ubicados en la carpeta de guiones.
Para iniciar el escáner, debe designar los parámetros de escaneo a través del menú
Configuración -> Parámetro de escaneo. El objeto a escanear puede ser
una IP específica y un rango de direcciones, pero en este último caso uno debe ser moralmente
preparados para el hecho de que las pruebas serán largas. El escáner, por desgracia, no es lo más
rápido. El número de módulos conectados afecta proporcionalmente a la velocidad:
complementos que comprueban la seguridad de las contraseñas para SSH/VNC/FTP, uno de los más
voraz. Externamente escaneo X más como un producto casero creado por alguien
para sus propias necesidades y poner en el público para la natación libre. Tal vez lo haría
y no obtuvo tanta popularidad, si no el apoyo de los scripts de Nessus, que
se activan mediante el módulo Nessus-Attack-Scripts. Por otro lado, vale la pena
ver el informe del escáner, y todas las dudas sobre la utilidad del escáner ir a
segundo plano No se emitirá de acuerdo con uno de los estándares oficiales de IS, pero
definitivamente dirá mucho sobre la red.
Rápido 7 NeXpose
Sitio web: www.rapid7.com
Distribución: Versión freeeware
Plataforma: nix/Win
Rápido 7 es una de las empresas de más rápido crecimiento especializada en
sobre la seguridad de la información en el mundo. Fue ella quien recientemente adquirió el proyecto.
Metasploit Framework, y es obra de ella: el proyecto Nexponer. Precio
"entrada" para usar la versión comercial es de casi $3000, pero
para los entusiastas hay una versión comunitaria con características ligeramente reducidas.
Esta versión gratuita se integra fácilmente con Metasploit (necesita una versión que no
debajo de 3.3.1). El esquema de trabajo es bastante complicado: primero, se lanza NeXpose, luego
Metasploit Console (msfconsole), después de lo cual puede iniciar el proceso de escaneo
y configurarlo con una serie de comandos (nexpose_connect, nexpose_scan,
nexpose_discover, nexpose_dos y otros). Es bueno poder combinar.
funcionalidad Nexponer y otros módulos Metasploit "a. El más simple, pero
ejemplo práctico: buscar equipos con una determinada vulnerabilidad e inmediatamente
explotarlo usando el módulo Metasploit apropiado - obtenemos
autorouting a un nuevo nivel de calidad.
ADVERTENCIA
Penetrar los servidores y recursos del dueño de los recursos sin su voluntad es un acto delictivo
castigable. En el caso de utilizar los conocimientos adquiridos con fines ilícitos, el autor y
los editores no son responsables.
El escáner de seguridad es herramienta de software para el diagnóstico remoto o local de varios elementos de la red con el fin de identificar diversas vulnerabilidades en ellos. Los principales usuarios de este tipo de sistemas son profesionales: administradores, especialistas en seguridad, etc. Usuarios ordinarios también pueden utilizar escáneres de seguridad, pero la información proporcionada por dichos programas suele ser específica, lo que limita la posibilidad de su uso por parte de una persona no preparada. Los escáneres de seguridad facilitan el trabajo de los especialistas al reducir el tiempo total dedicado a buscar vulnerabilidades.
A modo de comparación, se seleccionaron cinco escáneres diferentes en diferentes rangos de precios y con diferentes capacidades: Escáner de Internet de la ISS, XSaraña, LanGuard, SombraSeguridadEscáner, escaneo X.
Comparar sistemas similares no basta con ejecutarlos. El número de vulnerabilidades supuestamente comprobadas o sus configuraciones, así como el tamaño del programa o su apariencia no pueden ser criterios para evaluar la calidad y la funcionalidad de un escáner en particular. Por lo tanto, para crear una imagen completa del funcionamiento de varios escáneres de seguridad, se decidió realizarlos prueba de comparación para identificar vulnerabilidades en siete diferentes sistemas operativos comúnmente utilizado por grandes bancos e instituciones financieras: AS/400, Solaris 2.5.1, Compaq/Tandem himalaya K2006 (OS D35), Windows 2000 Server, Windows XP Professional, Linux RedHat 5.2, Bay Networks Router.
Versiones de los escáneres probados (la última disponible en el momento de la prueba):
- ISS Internet Scanner 6.2.1 con las últimas actualizaciones
- XSpider 6.01
- LanGuard 2.0
- Escáner de seguridad en la sombra 5.31
- Interfaz gráfica de usuario de XFocus X-Scan v1.3
La prueba de cada escáner se llevó a cabo dos veces, excluyendo así posibles errores no deseados asociados, por ejemplo, con un problema de red temporal. Todos los datos obtenidos se colocaron en una tabla que muestra claramente qué vulnerabilidades encontró uno u otro escáner. El amarillo indica vulnerabilidades de gravedad media, que en determinadas circunstancias pueden provocar pérdidas graves, y el rojo indica vulnerabilidades graves que pueden provocar no solo pérdidas graves, sino también la destrucción total del sistema. Después de la tabla se encuentra la evaluación de los escáneres con el cálculo de los resultados del escaneo.
Tabla de vulnerabilidades encontradas:
| EEI | XSaraña | LanGuard | SSS | XF | |
| COMO/400 | |||||
| Total de puertos encontrados | 16 | 25 | 6 | 15 | 8 |
| 21/tcp: ftp | X | X | X | X | |
| X | X | X | |||
| 23/tcp: telnet | X | X | X | X | X |
| 25/tcp:smtp | X | X | X | X | X |
| 80/tcp:httpd IBM-HTTP-SERVER/1.0 |
X | X | X | X | X |
| 81/tcp:httpd IBM-HTTP-SERVER/1.0 |
X | ||||
| 80/tcp: httpd - ver secuencias de comandos | X | ||||
| 139/tcp:netbios | X | X | X | X | X |
| 449/tcp: as-servermap - ver el mapa del puerto | X | ||||
| 2001/tcp: httpd IBM-HTTP-SERVER/1.0 |
X | X | |||
| 2001/tcp: httpd - ver secuencias de comandos | X | ||||
| 9090/tcp: httpd JavaWebServer/1.1 |
X | X | |||
| 9090/tcp: httpd - directorios del sistema | X | ||||
| 500/udp: isakmp | X | ||||
| marca de tiempo icmp | X | ||||
| Solaris 2.5.1 | EEI | XSaraña | LanGuard | SSS | XF |
| Total de puertos encontrados | 18 | 47 | 13 | 27 | 9 |
| 7/tcp:eco | X | X | X | X | |
| 7/udp:eco | X | X | |||
| 9/tcp: descartar | X | X | X | X | |
| 13/tcp: durante el día | X | X | X | X | X |
| 13/udp:día | X | X | |||
| 19/tcp: cargo | X | X | X | X | |
| 19/udp:cargado | X | X | X | ||
| 21/tcp: ftp | X | X | X | X | X |
| 21/tcp: ftp - fuerza bruta de contraseña | X | X | X | ||
| 23/tcp: telnet | X | X | X | X | X |
| 25/tcp:smtp | X | X | X | X | X |
| X | X | ||||
| 37/tcp:tiempo | X | X | X | X | |
| 53/udp: dns | X | ||||
| 53 /udp:dns - el servidor admite la recursividad | X | ||||
| 162/tcp: trampa snmp | X | X | X | ||
| 161/udp: snmp | X | X | |||
| 161/udp: snmp - acceso por cualquier comunidad | X | ||||
| 161/udp: snmp - Obtener interfaz | X | ||||
| 161/udp: snmp - Obtener rutas | X | ||||
| 512/tcp:exec | X | X | X | X | |
| 513/tcp:iniciar sesión | X | X | X | X | |
| 514/tcp:cáscara | X | X | X | X | |
| 515/tcp: impresora | X | X | X | X | |
| X | |||||
| 540/tcp:uucp | X | X | X | X | |
| 2049/tcp:nfsd | X | X | X | X | |
| 4045/tcp: nfsd - identificación | X | ||||
| 6000/tcp:X | X | X | X | ||
| 6790/tcp: httpd Rompecabezas/1.0a |
X | ||||
| 10000/tcp: httpd MiniServ/0.01 |
X | X | |||
| 32771 / tcp: estado - identificación | X | ||||
| 32772/tcp: rusersd - identificación | X | ||||
| 32773 /tcp: ttdbserverd: identificación y obtención de privilegios de raíz | X | ||||
| 32774 /tcp: kcms_server - autenticación | X | ||||
| 32780/tcp: mountd - identificación y obtención de una lista de recursos | X | ||||
| 32781 / tcp: bootparam - identificación | X | ||||
| 65363/tcp:RPC | X | ||||
| marca de tiempo icmp | X | ||||
| Falsos positivos | |||||
| 32771 /tcp: estado - obtener privilegios de root | X | ||||
| Dedo: desbordamiento de búfer | X | ||||
| X | |||||
| Compaq/Tándem himalaya K2006 (OS D35) |
EEI | XSaraña | LanGuard | SSS | XF |
| Total de puertos encontrados | 4 | 5 | 3 | 5 | 4 |
| 7/tcp:eco | X | X | X | X | |
| 21/tcp: ftp | X | X | X | X | X |
| 23/tcp: telnet | X | X | X | X | X |
| 23/tcp: telnet - solo contraseña de inicio de sesión | X | ||||
| 79/tcp: dedo | X | X | X | X | X |
| máscara de red icmp | X | ||||
| marca de tiempo icmp | X | ||||
| Servidor Windows 2000 | EEI | XSaraña | LanGuard | SSS | XF |
| Total de puertos encontrados | 9 | 9 | 7 | 7 | 8 |
| 21/tcp: ftp | X | X | X | X | X |
| X | |||||
| 21/tcp: ftp - inicio de sesión anónimo | X | X | X | X | X |
| 21/tcp: ftp - fuerza bruta de contraseña | X | X | X | ||
| 21/tcp: ftp - tiene acceso de escritura | X | X | |||
| 21/tcp: ftp - puede recopilar estadísticas | X | X | |||
| 80/tcp:httpd MS IIS/5.0 |
X | X | X | X | X |
| 80/tcp: httpd - desbordamiento de búfer | X | ||||
| 135/tcp: Rpc | X | X | X | X | X |
| 500/udp: isakmp | X | ||||
| 1027 /tcp: sqlserver.exe - identificación | X | ||||
| 1433/tcp: Ms SQL | X | X | X | X | |
| 3389/tcp: Sra. RDP | X | X | X | X | |
| marca de tiempo icmp | X | ||||
| Falsos positivos | |||||
| 1433/tcp: MsSQL - intercepción de sesión administrativa | X | ||||
| Profesional de Windows XP | EEI | XSaraña | LanGuard | SSS | XF |
| Total de puertos encontrados | 20 | 15 | 4 | 11 | 8 |
| 7/tcp:eco | X | X | X | X | |
| 7/udp:eco | X | X | |||
| 9/tcp: descartar | X | X | X | X | |
| 9/udp: descartar | X | ||||
| 13/tcp: durante el día | X | X | X | X | X |
| 13/udp:día | X | X | |||
| 17/tcp:qotd | X | X | X | X | |
| 17/udp:qotd | X | X | |||
| 19/tcp: cargo | X | X | X | X | |
| 19/udp:cargado | X | X | |||
| 135/tcp: Rpc | X | X | X | X | X |
| 139/tcp: NetBios | X | X | X | X | X |
| 139/tcp: NetBios - información | X | ||||
| 445/tcp: MS D | X | X | X | X | X |
| 500/udp: isakmp | X | ||||
| 540/udp:enrutador | X | ||||
| 1025/tcp: Rpc | X | X | X | ||
| ClienteIcq | X | ||||
| 1900/udp: upnp - desbordamiento de búfer | X | ||||
| 123/udp:ntp | X | X | |||
| 5000/tcp: httpd | X | X | |||
| marca de tiempo icmp | X | ||||
| Falsos positivos | |||||
| 19/tcp:chargen - posible ataque DOS | X | X | |||
| Linux RedHat 5.2 | EEI | XSaraña | LanGuard | SSS | XF |
| Total de puertos encontrados | 14 | 14 | 12 | 12 | 10 |
| 21/tcp: ftp | X | X | X | X | X |
| 21/tcp: ftp - desbordamiento de búfer | X | X | X | ||
| 21/tcp: ftp - cuenta predeterminada con acceso completo | X | X | |||
| 23/tcp: telnet | X | X | X | X | X |
| 23/tcp: telnet - cuenta predeterminada con acceso completo | X | ||||
| 25/tcp:smtp | X | X | X | X | X |
| 25/tcp: smtp - envío de correo no autorizado | X | ||||
| 25/tcp: smtp - captura de socket local | X | X | |||
| 53/tcp:dns | X | X | X | X | |
| 53/tcp:dns - detección de versión de enlace | X | X | |||
| 110/tcp:httpd | X | X | |||
| 139/tcp: NetBios | X | X | X | X | |
| 139/tcp: NetBios - obteniendo información | X | ||||
| 513/tcp:iniciar sesión | X | X | X | ||
| 513/udp: rwhod | X | X | X | ||
| 514/tcp:cáscara | X | X | X | ||
| 515/tcp: impresora | X | X | X | ||
| 2049/tcp:nfsd | X | X | X | ||
| 7000/tcp: httpd Sala de conferencias/IRC |
X | X | X | ||
| 8080/tcp: httpd Apache/1.3.3 (Unix) (Red Hat/Linux) |
X | X | X | X | |
| 8080/tcp: httpd - lista de directorios | X | X | |||
| 54321/tcp: httpd Sala de conferencias/IRC |
X | X | |||
| marca de tiempo icmp | X | ||||
| Falsos positivos | |||||
| 513/udp: rwhod - desbordamiento de búfer | X | ||||
| 515/tcp: impresora - desbordamiento de búfer | X | ||||
| Enrutador de redes de la bahía | EEI | XSaraña | LanGuard | SSS | XF |
| Total de puertos encontrados | 3 | 3 | 2 | 2 | 3 |
| 7/udp:eco | X | X | |||
| 21/tcp: ftp | X | X | X | X | X |
| 23/tcp: telnet | X | X | X | X | X |
| Falsos positivos | |||||
| 9/udp: descartar | X | ||||
| 21/tcp: ftp - desbordamiento de búfer | X | ||||
| 69/udp:tftp | X | ||||
| 123/udp:ntp | X | ||||
| 161/udp: snmp | X | ||||
| 520/udp: enrutado | X | ||||
| Tierra DOS | X | ||||
Para comprender los resultados y llegar a alguna conclusión, se propone siguiente sistema puntuación, que es más o menos óptima (hay otras opciones posibles, pero todas son similares): por cada vulnerabilidad encontrada, se sumará una cierta cantidad de puntos dependiendo de la gravedad de esta vulnerabilidad, y viceversa, se restarán puntos por emitir una vulnerabilidad falsa:
- vulnerabilidad severa (+3 puntos)
- vulnerabilidad moderada (+2 puntos)
- información (+1 punto)
- vulnerabilidad grave falsa (-3 puntos)
- vulnerabilidad falsa de gravedad media (-2 puntos)
- información falsa (-1 punto)
Mesa final:
| EEI | XSaraña | LanGuard | SSS | escaneo X | |
| COMO/400 | 9 | 14 | 6 | 9 | 7 |
| Solaris 2.5.1 | 26 | 39-(3) | 11-(2) | 23-(2) | 11 |
| Compaq/Tándem himalaya K2006 (OS D35) | 9 | 5 | 4 | 5 | 5 |
| Servidor Windows 2000 | 9 | 16-(2) | 6 | 8 | 7 |
| Profesional de Windows XP | 19-(2) | 18 | 5 | 10-(2) | 7 |
| Linux RedHat 5.2 | 24-(3) | 24-(2) | 7 | 21 | 12 |
| Enrutador de redes de la bahía | 4-(8) | 4 | 3 | 3 | 3 |
| 100-(13) | 120-(7) | 42-(2) | 79-(4) | 52 | |
| Total | 87 | 113 | 40 | 75 | 52 |
Cual es el resultado?
ISS Internet Scanner no necesita descripción. Se mostró como siempre a un gran nivel, aunque esta vez perdió la palma ante XSpider.
XSpider resultó ser el líder indiscutible, muy por delante de la competencia, especialmente en la búsqueda de vulnerabilidades en Windows y Solaris, lo cual es especialmente bueno dado su pequeño tamaño y distribución gratuita. Hay un gran inconveniente: se muestra muy poca información al emitir una lista de vulnerabilidades, lo que implica un alto nivel de conocimiento y profesionalismo de un especialista que usa este programa.
LanGuard difícilmente puede llamarse un escáner de seguridad. Funciona muy bien con NetBios, listando recursos, servicios y usuarios. Esta habilidad distingue mucho al escáner del resto, pero eso es solo este. Aquí es donde terminan los beneficios de LanGuard.
ShadowSecurityScanner prácticamente no se ha quedado atrás de ISS. Y esto es con una diferencia tan grande en su precio. El programa tiene una interfaz simple similar a la de un escáner Retina. Los consejos y trucos detallados para corregir vulnerabilidades facilitan la solución de problemas. Contras: pocas vulnerabilidades reconocibles, consumo mucho mayor los recursos del sistema en comparación con otros escáneres.
X-Scan es un escáner gratuito similar en características a LanGuard, pero ligeramente superior. Contras: la interfaz del programa no es muy legible, la ausencia de comentarios sobre las vulnerabilidades encontradas.