ВхідМережеві сканери безпеки: можливості, принцип роботи і передові рішення. Сканування на уразливості: як перевірити пристрій і убезпечити себе від потенційних загроз Пошук вразливостей в локальній мережі
Проблема епідемії мережевих черв'яків актуальна для будь-якої локальної мережі. Рано чи пізно може виникнути ситуація, коли в ЛВС проникає мережевий або поштовий черв'як, яка не детектується застосовуваним антивірусом. Мережевий вірус поширюється по ЛВС через не закриті на момент зараження уразливості операційної системи або через доступні для запису загальні ресурси. Поштовий вірус, як випливає з назви, поширюється по електронній пошті за умови, що він не блокується клієнтським антивірусом і антивірусом на поштовому сервері. Крім того, епідемія в ЛВС може бути організована зсередини в результаті діяльності інсайдера. У даній статті ми розглянемо практичні методики оперативного аналізу комп'ютерів ЛВС із застосуванням різних засобів, зокрема за допомогою авторської утиліти AVZ.
Постановка задачі
У разі виявлення епідемії або якоїсь нештатної активності в мережі адміністратор повинен оперативно вирішити мінімум три завдання:
- виявити заражені ПК в мережі;
- знайти зразки шкідливої \u200b\u200bпрограми для відправки в антивірусну лабораторію і вироблення стратегії протидії;
- вжити заходів для блокування поширення вірусу в ЛВС і його знищення на заражених комп'ютерах.
У разі діяльності інсайдера основні кроки аналізу ідентичні і найчастіше зводяться до необхідності виявлення встановленого інсайдером стороннього ПО на комп'ютерах ЛВС. Як приклад такого ПО можна назвати утиліти віддаленого адміністрування, клавіатурні шпигуни і різні троянські закладки.
Розглянемо більш докладно рішення кожної з поставлених завдань.
Пошук заражених ПК
Для пошуку заражених ПК в мережі можна застосовувати як мінімум три методики:
- автоматичний віддалений аналіз ПК - отримання інформації про запущені процеси, завантажених бібліотеках і драйвери, пошук характерних закономірностей - наприклад процесів або файлів з заданими іменами;
- дослідження трафіку ПК за допомогою сніффер - даний метод дуже ефективний для вилову спам-ботів, поштових і мережевих черв'яків, однак основна складність в застосуванні сніффер пов'язана з тим, що сучасна ЛВС будується на базі комутаторів і, як наслідок, адміністратор не може здійснювати моніторинг трафіку всій мережі. Проблема вирішується двома шляхами: запуском сніффер на маршрутизаторі (що дозволяє здійснювати моніторинг обміну даними ПК з Інтернетом) і застосуванням моніторингових функцій комутаторів (багато сучасних комутатори дозволяють призначити порт моніторингу, на який дублюється трафік одного або декількох портів комутатора, зазначених адміністратором);
- дослідження навантаження на мережу - в даному випадку дуже зручно застосовувати інтелектуальні комутатори, які дозволяють не тільки оцінювати навантаження, але і віддалено відключати зазначені адміністратором порти. Дана операція істотно спрощується при наявності у адміністратора карти мережі, на якій є дані про те, які ПК підключені до відповідних портів комутатора і де вони розташовані;
- застосування пасток (honeypot) - в локальній мережі настійно рекомендується створити декілька пасток, які дозволять адміністратору своєчасно виявити епідемію.
Автоматичний аналіз ПК в мережі
Автоматичний аналіз ПК можна звести до трьох основних етапів:
- проведення повного дослідження ПК - запущені процеси, завантажені бібліотеки і драйвери, автозапуск;
- проведення оперативного обстеження - наприклад пошук характерних процесів або файлів;
- карантин об'єктів за певними критеріями.
Всі перераховані завдання можна вирішити за допомогою авторської утиліти AVZ, яка розрахована на запуск з мережевої папки на сервері і підтримує скриптова мова для автоматичного обстеження ПК. Для запуску AVZ на комп'ютерах користувачів необхідно:
- Помістити AVZ в відкриту для читання мережеву папку на сервері.
- Створити в цій папці підкаталоги LOG і Qurantine і дозволити користувачам запис в них.
- Запустити AVZ на комп'ютерах ЛВС за допомогою утиліти rexec або логон-скрипта.
Запуск AVZ на кроці 3 повинен здійснюватися при таких параметрах:
\\\\ my_server \\ AVZ \\ avz.exe Priority \u003d -1 nw \u003d Y nq \u003d Y HiddenMode \u003d 2 Script \u003d \\\\ my_server \\ AVZ \\ my_script.txt
В даному випадку параметр Priority \u003d -1 знижує пріоритет процесу AVZ, параметри nw \u003d Y і nq \u003d Y перемикають карантин в режим «мережевий запуск» (в цьому випадку в папці карантину для кожного комп'ютера створюється підкаталог, ім'я якого збігається з мережевим ім'ям ПК) , HiddenMode \u003d 2 наказує заборонити йому доступ до GUI і управління AVZ, і, нарешті, найважливіший параметр Script задає повне ім'я скрипта з командами, які AVZ виконає на комп'ютері користувача. Скриптова мова AVZ досить простий для використання і орієнтований виключно на рішення задач обстеження комп'ютера і його лікування. Для спрощення процесу написання скриптів можна використовувати спеціалізований редактор скриптів, який містить оперативну підказку, майстер створення типових скриптів і засоби перевірки коректності написаного скрипта без його запуску (рис. 1).
Мал. 1. Редактор скриптів AVZ
Розглянемо три типових скрипта, які можуть стати в нагоді в ході боротьби з епідемією. По-перше, нам потрібно скрипт для дослідження ПК. Завдання скрипта - провести дослідження системи і створити протокол з результатами в заданій мережевий папці. Скрипт має наступний вигляд:
ActivateWatchDog (60 * 10);
// Запуск сканування та аналізу
// Дослідження системи
ExecuteSysCheck (GetAVZDirectory +
'\\ LOG \\' + GetComputerName + '_ log.htm');
// Завершення роботи AVZ
В ході виконання даного скрипта в папці LOG (передбачається, що вона створена в каталозі AVZ на сервері і доступна користувачам для запису) будуть створюватися HTML-файли з результатами дослідження комп'ютерів мережі, причому для забезпечення унікальності в ім'я протоколу включається ім'я досліджуваного комп'ютера. На початку скрипта розташовується команда включення сторожового таймера, який примусово завершить процеcc AVZ через 10 хвилин у разі, якщо в ході виконання скрипта виникнуть збої.
Протокол AVZ зручний для вивчення вручну, однак для автоматизованого аналізу він мало придатний. Крім того, адміністратору часто відомо ім'я файлу шкідливої \u200b\u200bпрограми і потрібно тільки перевірити наявність або відсутність даного файлу, А при наявності - помістити в карантин для аналізу. В цьому випадку можна застосувати скрипт такого вигляду:
// Включення сторожового таймера на 10 хвилин
ActivateWatchDog (60 * 10);
// Пошук шкідливої \u200b\u200bпрограми по імені
QuarantineFile ( '% WinDir% \\ smss.exe', 'Підозра на LdPinch.gen');
QuarantineFile ( '% WinDir% \\ csrss.exe', 'Підозра на LdPinch.gen');
// Завершення роботи AVZ
В цьому скрипті задіюється функція QuarantineFile, яка здійснює спробу карантину зазначених файлів. Адміністратору залишається тільки проаналізувати вміст карантину (папка Quarantine \\ сетевое_імя_ПК \\ дата_каратіна \\) на наявність поміщених в карантин файлів. Слід врахувати, що функція QuarantineFile автоматично блокує приміщення в карантин файлів, упізнаних по базі безпечних AVZ або по базі ЕЦП Microsoft. Для практичного застосування даний скрипт можна вдосконалити - організувати завантаження імен файлів з зовнішнього текстового файлу, перевіряти знайдені файли по базах AVZ і формувати текстовий протокол з результатами роботи:
// Пошук файлу з вказаним ім'ям
function CheckByName (Fname: string): boolean;
Result: \u003d FileExists (FName);
if Result then begin
case CheckFile (FName) of
1: S: \u003d ', доступ до файлу блокується';
1: S: \u003d ', пізнаний як Malware (' + GetLastCheckTxt + ')';
2: S: \u003d ', підозрюється файловим сканером (' + GetLastCheckTxt + ')';
3: exit; // Безпечні файли ігноруємо
AddToLog ( 'Файл' + NormalFileName (FName) + 'має підозріле ім'я' + S);
// Додавання вказаного файлу в карантин
QuarantineFile (FName, 'підозрілий файл' + S);
SuspNames: TStringList; // Список імен підозрілих файлів
// Перевірка файлів по оновлюваної бази даних
if FileExists (GetAVZDirectory + 'files.db') then begin
SuspNames: \u003d TStringList.Create;
SuspNames.LoadFromFile ( 'files.db');
AddToLog ( 'База імен завантажена - кількість записів \u003d' + inttostr (SuspNames.Count));
// Цикл пошуку
for i: \u003d 0 to SuspNames.Count - 1 do
CheckByName (SuspNames [i]);
AddToLog ( 'Помилка завантаження списку імен файлів');
SaveLog (GetAVZDirectory + '\\ LOG \\' +
GetComputerName + '_ files.txt');
Для роботи даного скрипта необхідно створити в папці AVZ доступні користувачам для запису каталоги Quarantine і LOG, а також текстовий файл files.db - кожен рядок даного файлу буде містити ім'я підозрілого файлу. Імена файлів можуть включати макроси, найбільш корисні з яких -% WinDir% (шлях до папки Windows) і% SystemRoot% (шлях до папки System32). Іншим напрямком аналізу може стати автоматичне дослідження списку процесів, запущених на комп'ютерах користувачів. Інформація про запущених процесах є в протоколі дослідження системи, але для автоматичного аналізу зручніше застосовувати наступний фрагмент скрипта:
procedure ScanProcess;
S: \u003d ''; S1: \u003d '';
// Оновлення списку процесів
RefreshProcessList;
AddToLog ( 'Кількість процесів \u003d' + IntToStr (GetProcessCount));
// Цикл аналізу отриманого списку
for i: \u003d 0 to GetProcessCount - 1 do begin
S1: \u003d S1 + ',' + ExtractFileName (GetProcessName (i));
// Пошук процесу по імені
if pos ( 'trojan.exe', LowerCase (GetProcessName (i)))\u003e 0 then
S: \u003d S + GetProcessName (i) + ',';
if S<> '' Then
AddLineToTxtFile (GetAVZDirectory + '\\ LOG \\ _alarm.txt', DateTimeToStr (Now) + '' + GetComputerName + ':' + S);
AddLineToTxtFile (GetAVZDirectory + '\\ LOG \\ _all_process.txt', DateTimeToStr (Now) + '' + GetComputerName + ':' + S1);
Дослідження процесів в даному скрипті виконано у вигляді окремої процедури ScanProcess, тому її нескладно помістити в власний скрипт. Процедура ScanProcess будує два списки процесів: повний список процесів (для подальшого аналізу) і список процесів, які, з точки зору адміністратора, вважаються небезпечними. В даному випадку для демонстрації в якості небезпечного розглядається процес з ім'ям 'trojan.exe'. Інформація про небезпечні процеси додається в текстовий файл _alarm.txt, дані про всі процеси - в файл _all_process.txt. Легко помітити, що можна ускладнити скрипт, додавши в нього, наприклад, перевірку файлів процесів по базі безпечних файлів або перевірку імен виконуваних файлів процесів по зовнішній базі. Подібна процедура застосовується в скриптах AVZ, використовуваних в «Смоленськенерго»: адміністратор періодично вивчає зібрану інформацію і модифікує скрипт, додаючи в нього ім'я процесів заборонених з політики безпеки програм, наприклад ICQ і MailRu.Agent, що дозволяє оперативно перевірити наявність забороненого ПО на досліджуваних ПК . Інше застосування списку процесів - пошук ПК, на яких відсутній обов'язковий процес, наприклад антивірус.
На завершення розглянемо останній з корисних скриптів аналізу - скрипт автоматичного карантину всіх файлів, що не орієнтуються по базі безпечних AVZ і по базі ЕЦП Microsoft:
// Виконання автокарантіна
ExecuteAutoQuarantine;
Автоматичний карантин вивчає запущені процеси і завантажені бібліотеки, служби і драйвери, близько 45 способів автозапуску, модулі розширення браузера і провідника, обробники SPI / LSP, завдання планувальника, обробники системи друку і т.п. Особливістю карантину є те, що файли в нього додаються з контролем повторів, тому функцію автокарантіна можна викликати багаторазово.
Гідність автоматичного карантину полягає в тому, що з його допомогою адміністратор може оперативно зібрати потенційно підозрілі файли з усіх комп'ютерів мережі для їх вивчення. Найпростішою (але досить ефективною на практиці) формою вивчення файлів може бути перевірка отриманого карантину декількома популярними антивірусами в режимі максимальної евристики. Слід зазначити, що одночасний запуск автокарантіна на кількох сотнях комп'ютерів може створити високе навантаження на мережу і на файловий сервер.
дослідження трафіку
Дослідження трафіку можна проводити трьома способами:
- вручну за допомогою сніфферов;
- в напівавтоматичному режимі - в даному випадку сниффер збирає інформацію, і потім його протоколи обробляються або вручну, або деяким ПО;
- автоматично за допомогою систем виявлення вторгнень (IDS) типу Snort (http://www.snort.org/) або їх програмних або апаратних аналогів. У найпростішому випадку IDS складається з сніффер і системи, яка аналізувала збирається сніффером інформацію.
Система виявлення вторгнень є оптимальним засобом, так як дозволяє створювати набори правил для виявлення аномалії в мережеву активність. Друге її перевага полягає в наступному: більшість сучасних IDS дозволяють розміщувати агенти моніторингу трафіку на декількох вузлах мережі - агенти збирають інформацію і передають її. У разі ж застосування сніффер дуже зручно користуватися консольним UNIX-сніффером tcpdump. Наприклад, для моніторингу активності по порту 25 (протокол SMTP) досить запустити сниффер з командним рядком виду:
tcpdump -i em0 -l tcp port 25\u003e smtp_log.txt
В даному випадку ведеться захоплення пакетів через інтерфейс em0; інформація про захоплених пакетах буде зберігатися в файлі smtp_log.txt. Протокол порівняно просто аналізувати вручну, в даному прикладі аналіз активності по порту 25 дозволяє обчислити ПК з активними спам-ботами.
застосування Honeypot
Як пастки (Honeypot) можна використовувати застарілий комп'ютер, продуктивність якого не дозволяє застосовувати його для вирішення виробничих завдань. Наприклад, в мережі автора в якості пастки успішно застосовується Pentium Pro c 64 Мбайт оперативної пам'яті. На цей ПК слід встановити найбільш поширену в ЛВС операційну систему і вибрати одну із стратегій:
- Встановити операційну систему без пакетів оновлень - вона буде індикатором появи в мережі активного мережного хробака, що експлуатує будь-яку з відомих вразливостей для даної операційної системи;
- встановити операційну систему з оновленнями, які встановлені на інших ПК мережі - Honeypot буде аналогом будь-який з робочих станцій.
Кожна зі стратегій має як свої плюси, так і мінуси; автор в основному застосовує варіант без оновлень. Після створення Honeypot слід створити образ диска для швидкого відновлення системи після її пошкодження шкідливими програмами. В якості альтернативи образу диска можна використовувати системи відкату змін типу ShadowUser і його аналогів. Побудувавши Honeypot, слід врахувати, що ряд мережевих черв'яків шукають заражає комп'ютер шляхом сканування діапазону IP, який починається від IP-адреси зараженого ПК (поширені типові стратегії - XXX *, XXX + 1. *, XXX-1. *), - отже, в ідеалі Honeypot повинен бути в кожній з підмереж. В якості додаткових елементів підготовки слід обов'язково відкрити доступ до декількох папок на Honeypot-системі, причому в дані папки слід покласти кілька файлів-зразків різного формату, мінімальний набір - EXE, JPG, MP3.
Природно, що, створивши Honeypot, адміністратор повинен відслідковувати його роботу і реагувати на будь-які аномалії, виявлені на даному комп'ютері. Як засоби реєстрації змін можна застосовувати ревізори, для реєстрації мережевої активності можна використовувати сниффер. важливим моментом є те, що у більшості сніфферов передбачена можливість настройки відправки оповіщення адміністратору в разі виявлення заданої мережеву активність. Наприклад, в сніффером CommView правило передбачає вказівку «формули», яка описує мережевий пакет, або завдання кількісних критеріїв (відправка більш заданої кількості пакетів або байт в секунду, відправка пакетів на непізнані IP- або MAC-адреси) - рис. 2.
Мал. 2. Створення та налагодження попередження про мережеву активність
Як попередження найзручніше використовувати повідомлення електронної пошти, що відправляються на поштову скриньку адміністратора, - в цьому випадку можна отримувати оперативні оповіщення від всіх пасток в мережі. Крім того, якщо сниффер дозволяє створювати кілька попереджень, є сенс диференціювати мережеву активність, Виділивши роботу з електронною поштою, FTP / HTTP, TFTP, Telnet, MS Net, підвищений трафік більше 20-30 пакетів в секунду з будь-якого протоколу (рис. 3).
Мал. 3. Лист-оповіщення, висилаємо
в разі виявлення пакетів, які відповідають заданим критеріям
При організації пастки непогано розмістити на ній кілька застосовуваних в мережі вразливих мережевих служб або встановити їх емулятор. Найпростішим (і безкоштовним) є авторська утиліта APS, що працює без інсталяції. Принцип роботи APS зводиться до прослуховування безлічі описаних в її базі портів TCP і UDP і видачу в момент підключення заздалегідь заданого або випадково генерується відгуку (рис. 4).
Мал. 4. Головне вікно утиліти APS
На малюнку наведено скріншот, знятий під час реального спрацьовування APS в ЛВС «Смоленськенерго». Як видно на малюнку, зафіксована спроба підключення одного з клієнтських комп'ютерів по порту 21. Аналіз протоколів показав, що спроби періодичні, фіксуються декількома пастками в мережі, що дозволяє зробити висновок про скануванні мережі з метою пошуку і злому FTP-серверів шляхом підбору паролів. APS веде протоколи і може відправляти адміністраторам повідомлення зі звітами про зареєстрованих підключених до контрольованих портів, що зручно для оперативного виявлення сканування мережі.
При створенні Honeypot корисно також ознайомитися з онлайн-ресурсами з даної теми, зокрема з сайтом http://www.honeynet.org/. У розділі Tools даного сайту (http://www.honeynet.org/tools/index.html) можна знайти ряд інструментів для реєстрації і аналізу атак.
Дистанційне видалення шкідливих програм
В ідеальному випадку після виявлення зразків шкідливих програм адміністратор відправляє їх в антивірусну лабораторію, де вони оперативно вивчаються аналітиками і в бази антивіруса вносяться відповідні сигнатури. Ці сигнатури через автоматичне оновлення потрапляють на ПК користувачів, і антивірус виробляє автоматичне видалення шкідливих програм без втручання адміністратора. Однак цей ланцюжок не завжди працює як належить, зокрема можливі наступні причини збою:
- по ряду незалежних від адміністратора мережі причин образи можуть не дійти до антивірусної лабораторії;
- недостатня оперативність антивірусної лабораторії - в ідеалі на вивчення зразків і їх внесення до бази йде не більше 1-2 годин, тобто в межах робочого дня можна отримати оновлені сигнатурні бази. Однак не всі антивірусні лабораторії працюють настільки оперативно, і поновлення можна чекати кілька днів (в окремих випадках - навіть тижнів);
- висока працездатність антивіруса - ряд шкідливих програм після активації знищують антивіруси або всіляко порушують їх роботу. Класичні приклади - внесення в файл hosts записів, які блокують нормальну роботу системи автоматичного оновлення антивіруса, видалення процесів, служби і драйверів антивірусів, пошкодження їх налаштувань і т.п.
Отже, в перерахованих ситуаціях доведеться боротися зі шкідливими програмами вручну. У більшості випадків це нескладно, так як за результатами дослідження комп'ютерів відомі заражені ПК, а також повні імена файлів шкідливих програм. Залишається тільки зробити їх дистанційне видалення. Якщо шкідлива програма не захищається від видалення, то знищити її можна скриптом AVZ такого вигляду:
// Видалення файлу
DeleteFile ( 'ім'я файлу');
ExecuteSysClean;
Даний скрипт видаляє один заданий файл (або кілька файлів, так як команд DeleteFile в скрипті може бути необмежена кількість) і потім проводить автоматичну чистку реєстру. У більш складному випадку шкідлива програма може захищатися від видалення (наприклад, пересоздавая свої файли і ключі реєстру) або маскуватися по руткит-технології. В цьому випадку скрипт ускладнюється і матиме такий вигляд:
// Антируткіт
SearchRootkit (true, true);
// Управління AVZGuard
SetAVZGuardStatus (true);
// Видалення файлу
DeleteFile ( 'ім'я файлу');
// Включення протоколювання BootCleaner
BC_LogFile (GetAVZDirectory + 'boot_clr.log');
// Імпорт в завдання BootCleaner списку файлів, видалених скриптом
BC_ImportDeletedList;
// Активація BootCleaner
// Евристична чистка системи
ExecuteSysClean;
RebootWindows (true);
Даний скрипт включає активну протидію руткитам, застосування системи AVZGuard (це блокіратор активності шкідливих програм) і системи BootCleaner. BootCleaner - це драйвер, який виконує видалення заданих об'єктів з KernelMode в ході перезавантаження, на ранній стадії завантаження системи. Практика показує, що подібний скрипт в змозі знищити переважна більшість існуючих шкідливих програм. Виняток становлять malware, що змінюють імена своїх виконуваних файлів при кожному перезавантаженні, - в даному випадку виявлені в ході дослідження системи файли можуть бути перейменовані. У цьому випадку буде потрібно лікування комп'ютера вручну або створення власних сигнатур шкідливої \u200b\u200bпрограми (приклад реалізує сигнатурний пошук скрипта описаний в довідці AVZ).
висновок
У даній статті ми розглянули деякі практичні методики боротьби з епідемією ЛВС вручну, без використання антивірусних продуктів. Більшість описаних методик також можуть застосовуватися для пошуку стороннього ПК і троянських закладок на комп'ютерах користувачів. При виникненні труднощів з пошуком шкідливих програм або створенням скриптів лікування адміністратор може скористатися розділом «Допоможіть» форуму http://virusinfo.info або розділом «Боротьба з вірусами» форуму http://forum.kaspersky.com/index.php?showforum\u003d 18. Вивчення протоколів і допомогу в лікуванні здійснюються на обох форумах безкоштовно, аналіз ПК ведеться по протоколам AVZ, і в більшості випадків лікування зводиться до виконання на заражених ПК скрипта AVZ, складеного досвідченими фахівцями даних форумів.
Я детально познайомив вас з різними видами вразливостей, але а тепер прийшов час познайомитися зі сканерами цих вразливостей.
Сканери вразливостей - це програмні або апаратні засоби, що служать для здійснення діагностики та моніторингу мережевих комп'ютерів, що дозволяють сканувати мережі, комп'ютери та програми на предмет виявлення можливих проблем у системі безпеки, оцінювати і усувати уразливості.
Сканери вразливостей дозволяють перевірити різні додатки в системі на предмет наявності «дірок», якими можуть скористатися зловмисники. Також можуть бути використані низькорівневі засоби, такі як сканер портів, для виявлення та аналізу можливих додатків і протоколів, що виконуються в системі.
Таким чином, сканери спрямовані на вирішення наступних завдань:
- ідентифікація та аналіз вразливостей;
- інвентаризація ресурсів, таких як операційна система, програмне забезпечення та пристрої мережі;
- формування звітів, що містять опис вразливостей і варіанти їх усунення.
Як це працює?
Сканери вразливостей при своїй роботі використовують два основних механізми.
перший - зондування - не дуже оперативний, але точний. Це механізм активного аналізу, який запускає імітації атак, тим самим перевіряючи вразливість. При зондуванні застосовуються методи реалізації атак, які допомагають підтвердити наявність уразливості і виявити які раніше не виявлені «провали».
другий механізм - сканування - більш швидкий, але дає менш точні результати. Це пасивний аналіз, при якому сканер шукає вразливість без підтвердження її наявності, використовуючи непрямі ознаки. За допомогою сканування визначаються відкриті порти і збираються пов'язані з ними заголовки. Вони надалі порівнюються з таблицею правил визначення мережевих пристроїв, Операційної системи і можливих «дірок». після порівняння мережевий сканер безпеки повідомляє про наявність чи відсутність уразливості.
Більшість сучасних сканерів безпеки мережі працює за принципами:
- збір інформації про мережу, ідентифікація всіх активних пристроїв і сервісів, запущених на них;
- виявлення потенційних вразливостей;
- підтвердження обраних вразливостей, для чого використовуються специфічні методи і моделюються атаки;
- формування звітів;
- автоматичне усунення вразливостей. Не завжди даний етап реалізується в мережевих сканерах безпеки, але часто зустрічається в системних сканерах.
Кращі сканери вразливостей
Тепер давайте розберемо найактуальніші сканери, які очолюють експертні рейтинги.
Nessus
Проект був запущений ще в 1998 році, а в 2003 розробник Tenable Network Security зробив мережевий сканер безпеки комерційним. Регулярно оновлювана база вразливостей, простота в установці і використанні, високий рівень точності - його переваги перед конкурентами. А ключовою особливістю є використання плагінів. Тобто будь-який тест на проникнення НЕ зашивається наглухо всередину програми, а оформляється у вигляді підключається плагіна. Аддони розподіляються на 42 різних типи: Щоб провести пентест, можна активувати як окремі плагіни, так і всі плагіни певного типу - наприклад, для виконання всіх локальних перевірок на Ubuntu-системі. Цікавий момент - користувачі зможуть написати власні тести за допомогою спеціального скриптового мови.
Nessus - відмінний сканер вразливостей. Але є у нього і два недоліки. Перший - при відключеній опції «safe checks» деякі тести на уразливості можуть привести до порушень в роботі сканованих систем. Другий - ціна. Річна ліцензія може обійтися в 114 тисяч рублів.
Symantec Security Check
Безкоштовний сканер однойменного виробника. Основні функції - виявлення вірусів і троянів, інтернет-хробаків, шкідливих програм, пошук вразливостей в локальній мережі. Це онлайн-продукт, що складається з двох частин: Security Scan , Яка перевіряє безпеку системи, і Virus Detection, Яка виконує повну перевірку комп'ютера на віруси. Встановлюється швидко і просто, працює через браузер. Згідно з останніми відгуками, цей сканер мережі краще використовувати для додаткової перевірки.
XSpider
Програма XSpider, яка, за заявою розробника, може виявити третину вразливостей завтрашнього дня. Ключовою особливістю цього сканера є можливість виявлення максимальної кількості «провалів» в мережі ще до того, як їх побачать хакери. При цьому сканер працює віддалено, не вимагаючи установки додаткового ПЗ. Відпрацювавши, сканер відправляє фахівця з безпеки повний звіт і поради щодо усунення «дірок». Вартість ліцензії на цей сканер починається від 11 тисяч рублів на чотири хоста в рік.
QualysGuard
Багатофункціональний сканер вразливостей. Він надає великі звіти, які включають:
- оцінку рівня критичності вразливостей;
- оцінку часу, необхідного для їх усунення;
- перевірку ступеня їх впливу на бізнес;
- аналіз тенденцій в області проблем безпеки.
Хмарна платформа QualysGuard і вбудований набір додатків дозволяють підприємствам спростити процес забезпечення безпеки і знизити витрати на відповідність різним вимогам, при цьому надаючи важливу інформацію про безпеку і автоматизуючи весь спектр завдань аудиту, комплекс-контролю і захист ІТ-систем і веб-додатків. За допомогою даного програмного забезпечення можна сканувати корпоративні веб-сайти і отримувати автоматизоване оповіщення та звіти для своєчасного виявлення і усунення загроз.
Rapid 7 NeXpose
Rapid 7 - одна з найбільш швидко зростаючих компаній, що спеціалізуються на інформаційної безпеки в світі. Саме вона нещодавно придбала проект Metasploit Framework, і саме її рук справа - проект NeXpose. Вартість "входу" для використання комерційної версії становить без малого $ 3000, але для ентузіастів є Community-версія з трохи урізаними можливостями. така безкоштовна версія легко інтегрується з Metasploit'ом. Схема роботи досить хитра: спочатку запускається NeXpose, далі Metasploit Console (msfconsole), після чого можна запускати процес сканування і налаштовувати його за допомогою ряду команд (nexpose_connect, nexpose_scan, nexpose_discover, nexpose_dos і інші). Можна поєднувати функціональність NeXpose і інших модулів Metasploit'а.
X-Scan
Зовні X-Scan більше нагадує саморобку, створену кимось для власних потреб і пущену в паблік на вільне плавання. Можливо, він би і не отримав такої популярності, якщо не підтримка скриптів Nessus, які активуються за допомогою модуля Nessus-Attack-Scripts. З іншого боку, варто подивитися звіт про сканування, і всі сумніви в корисності сканера відходять на другий план. Він не буде оформлений по одному з офіційних стандартів ІБ, але точно розповість багато нового про мережу.
У кожного з команди] [- свої переваги по частині софта і утиліт для
пентеста. Порадившись, з'ясували: вибір так різниться, що можна скласти
справжній джентльменський набір з перевірених програм. На тому і вирішили. щоб
не робити збірну солянку, весь список ми розбили на теми. Сьогодні ми торкнемося
святая святих будь-якого пентестера - сканера вразливостей.
Nessus
сайт:
www.nessus.org/plugins/index.php
Поширення: Free / Shareware
Платформа: Win / * nix / Mac
Якщо хтось і не пробував Nessus, То, щонайменше, чув про нього.
Один з найвідоміших сканерів безпеки має багату історію: будучи
колись відкритим проектом, програма перестала поширюватися в відкритих
исходниках. На щастя, залишилася безкоштовна версія, яка спочатку була
сильно обділена в доступі до оновлень для бази вразливостей і новим плагинам,
але пізніше розробники зглянулися і лише обмежили її в періодичності апдейтів.
Модулі - ключова особливість архітектури програми: будь-який тест на
проникнення НЕ зашивається наглухо всередину програми, а оформляється у вигляді
підключається плагіна. Аддони розподіляються на 42 різних типи: щоб
провести пентест, можна активувати як окремі плагіни, так і всі плагіни
певного типу - наприклад, для виконання всіх локальних перевірок на
Ubuntu-системі. Причому ніхто не обмежує тебе в написанні власних тестів
на проникнення: для цього в Nessus був реалізований спеціальний скриптова мова
- NASL (Nessus Attack Scripting Language), Який пізніше
запозичили і багато інших програм.
Ще більшої гнучкості розробники домоглися, відокремивши серверну частину сканера,
виконує всі дії, від клієнтської програми, що представляє собою не
більш ніж графічний інтерфейс. В останній 4.2 версії демон на 8834 порту
відкриває веб-сервер; з ним можна керувати сканером через зручний інтерфейс на
Flash "е, маючи один лише браузер. Після установки сканера серверна запускається
автоматично, як тільки вкажеш ключ для активації: ти безкоштовно можеш
запросити його на домашньому сайті Nessus. Правда, для входу, і локального,
і віддаленого, знадобиться попередньо створити користувача: в винде це
робиться в два кліка миші через GUI-адмінку Nesus Server Manager, з її ж
допомогою можна запускати і зупиняти сервер.
Будь-тест на проникнення починається зі створення так званих Policies -
правил, яких сканер буде дотримуватися під час сканування. Тут-то і
вибираються види сканування портів (TCP Scan, UDP Scan, Syn Scan і т.д.),
кількість одночасних підключень, а також типові чисто для Nessus
опції, як, наприклад, Safe Checks. Остання включає безпечне сканування,
деактивувавши плагіни, які можуть завдати шкоди сканируемой системі. важливий крок
в створенні правил - це підключення потрібних плагінів: можна активізувати цілі
групи, скажімо, Default Unix Accounts, DNS, CISCO, Slackware Local Security
Checks, Windows і т.д. Вибір можливих атак і перевірок - величезний! Відмітна
риса Nessus - розумні плагіни. Сканер ніколи не буде сканувати сервіс тільки
за номером його порту. Перемістивши веб-сервер зі стандартного 80-го порту, скажімо,
на +1234-й, обдурити Nessus не вдасться - він це визначить. Якщо на FTP-сервері
відключений анонімний користувач, а частина плагінів використовують його для перевірки,
то сканер не буде їх запускати, свідомо знаючи, що толку від них не буде. якщо
плагін експлуатує уразливість в Postfix "е, Nessus не буде намагатися
щастя, пробуючи тести проти sendmail "а - і так далі Зрозуміло, що для виконання
перевірок на локальній системі, необхідно надати сканеру Credentials
(Логіни та паролі для доступу) - це завершальна частина настройки правил.
OpenVAS
Сайт: www.openvas.org
Поширення: Freeware
Платформа: Win / * nix / Mac
Незважаючи на те, що вихідні коди Nessus стали закритими, движок Nessus 2 і
частина плагінів і раніше поширюються за ліцензією GPL у вигляді проекту
OpenVAS (OpenSource Vulnerability Assessment Scanner). зараз проект
розвивається абсолютно незалежно від свого старшого брата і робить чималі
успіхи: остання стабільна версія вийшла якраз перед відправкою номера в
печатка. Не дивно що OpenVAS так само використовує клієнт-серверну
архітектуру, де всі операції сканування виконуються серверної частиною - вона
працює тільки під Нікс. Для запуску потрібно закачати пакети
openvas-scanner, а також набір бібліотек openvas-libraries. В якості
клієнтської частини для OpenVAS 3.0 доступна тільки ніксовая GUI-програма,
але, думаю, що, як у попередніх версій, Скоро з'явиться порт для вінди. В будь-якому
випадку, найпростіше скористатися OpenVAS за допомогою відомого
LiveCD Bactrack (4-а версія), в якому він вже встановлений. всі основні
операції для початку роботи винесені в пункти меню: OpenVAS Make Cert (створення
SSL-сертифіката для доступу до сервера), Add User (створення користувача для доступу до
сервера), NVT Sync (оновлення плагінів і баз вразливостей), і, врешті-решт,
OpenVAS Server (запуск сервера через пункт меню). Далі залишається тільки
запустити клієнтську частину та з'єднуватись з сервером для початку пентеста.
Відкритість і розширюваність OpenVAS дозволила сильно прокачати
програму. Крім безпосередньо плагінів для аналізу захищеності, в неї
інтегровано чимало відомих утиліт: Nikto для пошуку вразливих CGI-сценаріїв,
nmap для сканування портів і моря інших речей, ike-scan для виявлення IPSEC
VPN вузлів, amap для ідентифікації сервісів на портах, використовуючи fingerprinting,
ovaldi для підтримки OVAL - стандартного мови для опису вразливостей - і
безліч інших.
XSpider 7
сайт:
www.ptsecurity.ru/xs7download.asp
Поширення: Shareware
Платформа: Win
Перші рядки коду XSpider були написані 2 грудня 1998 року, а за
що минули з тих пір 12 років цей сканер став відомий кожному російському
фахівця з інформаційної безпеки. Взагалі, Positive Technologies - одна
з небагатьох компаній на вітчизняному ринку інформаційної безпеки, чиї
співробітники вміють реально щось ламати, а не тільки красиво продавати послуги.
Продукт був написаний не програмістами, а фахівцями з ІБ, що знають, як і
що треба перевіряти. Що в підсумку? Маємо дуже якісний продукт з одним лише,
але вельми серйозним для нас мінусом: XSpider платний! задарма
розробники пропонують урізану демо-версію, в якій не реалізований цілий ряд
перевірок, в тому числі евристичних, а також онлайн-поновлення для бази
вразливостей. Більш того, сили розробників зараз цілком спрямовані на інший
продукт - систему моніторингу інформаційної безпеки MaxPatrol, для
якої, на жаль, немає навіть і демки.
Але навіть при всіх обмеженнях XSpiderє одним з найбільш зручних
і ефективних інструментів аналізу безпеки мережі і конкретних вузлів.
Налаштування сканування, як і в разі Nessus, оформляються у вигляді спеціального
набору правил, тільки в даному випадку вони мають назви не Policies, а профілями.
Налаштовуються як загальні параметри для мережевого аналізу, так і поведінку сканера
для конкретних протоколів: SSH, LDAP, HTTP. Тип досліджуваного демона на кожному
порту визначається не за загальноприйнятою класифікацією, а з використанням
евристичних алгоритмів fingerprinting "а - опція включається одним кліком у
профілі сканування. На окреме слово заслуговує обробка RPC-сервісів (Windows
і * nix) з повною ідентифікацією, завдяки якій вдається визначити уразливості
різних сервісів і детальну конфігурацію комп'ютера в цілому. Перевірка
слабкості парольного захисту реалізує оптимізований підбір паролів практично
у всіх сервісах, які потребують аутентифікації, допомагаючи виявити слабкі паролі.
Результат сканування оформляється у вигляді зручного звіту, причому для кожної
знайденої потенційної уразливості видається крихітне опис і зовнішній лінк,
куди можна звернутися за подробицями.
GFI LANguard
сайт:
www.gfi.com/lannetscan
Поширення: Freeware / Shareware
Платформа: Win
За що я особливо люблю цей продукт, так це за набір попередньо
профілів для сканування. Крім повного сканування віддаленої системи,
який передбачає всі види доступних перевірок (до речі, є спеціальна версія
для повільного конекту - наприклад, для гальмівного VPN-з'єднання через Штати),
є маса окремих груп перевірок. Наприклад, можна швидко перевірити десятки
хостів на наявність вразливостей з Top20, складеної відомої
security-корпорацією SANS. Тут же можна активувати і пошук машин з
невстановленими патчами або сервіс-паками, вибрати профіль для пентеста
веб-додатків і т.д. Причому, крім профілів, безпосередньо спрямованих на
пошук вразливостей, є і ряд засобів для аудиту: пошук куля, розумний сканер
портів, в тому числі для пошуку відкритих малваре з'єднань, визначення
конфігурації комп'ютера і т.д. Виходить, в одному продукті уживаються маса
корисних утиліт.
Постійно оновлювана база вразливостей GFI LANguard включає більш ніж
15000 записів, дозволяючи сканувати самі різні системи (Windows, Mac OS, Linux),
в тому числі, встановлені на віртуальних машинах. сканер автоматично
підтягує поновлення для бази, які в свою чергу формуються за звітами
BugTraq, SANS та інших компаній. Реалізувати свої власні перевірки, як
водиться, можеш і ти сам. Для цього тобі надається спеціальний скриптова
мова, сумісний з Python і VBScript (яка зв'язка!), а для повної зручності
ще й зручний редактор з дебагером - виходить справжня IDE. Ще одна
унікальна фішка LANguard "а - можливість визначення того, що машина запущена
в віртуальному оточенні (поки підтримується VMware і Virtual PC) - це одна з
унікальних фішок сканера.
Retina Network Security Scanner
Сайт: www.eeye.com
Поширення: Shareware
Платформа: Win
Головне розчарування цього легендарного сканера спіткало мене відразу після
запуску. Установник останньої версії, вилаявшись, сказав, що запустити
Retina на Windows 7 або Windows Server 2008 R2 на поточний момент не можна. Чи не
дуже-то ввічливо, довелося відкривати віртуальну машину, Але я-то знав: воно того
варто. Retina - один з кращих сканерів, який визначає і аналізує
хости локальної мережі. фізичні та віртуальні сервери, Робочі станції і
ноутбуки, маршрутизатори і апаратні брандмауери - Retina представить
повний список підключених до мережі пристроїв, виведе інформацію про бездротові
мережах. Кожен з них вона всіляко катувати в пошуку хоч якогось натяку на
вразливість, і робить це дуже спритно. На сканування локальної мережі класу С
йде приблизно 15 хвилин. продукт Retina визначає уразливості ОС,
додатків, потенційно небезпечні налаштування і параметри. В результаті можна
отримати оглядовий план мережі з відображенням потенційно уразливих місць. база з
уразливими, по завіреннях розробників, оновлюється щогодини, а інформація про
уразливості потрапляє в базу не пізніше 48 годин після появи про неї першого
багтрака. Втім, сам факт, що це продукт фабрики eEye, вже є свого
роду гарантією якості.
Microsoft Baseline Security Analyzer
Сайт: www.microsoft.com
Поширення: Freeeware
Платформа: Win
Що це таке? Аналізатор безпеки від компанії Microsoft, який
перевіряє комп'ютери в мережі на відповідність вимогам Microsoft, яких
набралося чимала кількість. Найголовніший критерій - це, звичайно ж, наявність
на системі всіх встановлених оновлень. Не треба нагадувати, що зробив
Conficker, використовуючи пролом MS08-67, патч для якої вийшов за 2 місяці до
епідемії. Крім відсутніх в системі патчів, MBSA виявляє і деякі
поширені проломи в конфігурації. Перед початком сканування програма
викачує оновлення для своїх баз, тому можна бути впевненим: Microsoft
Baseline Security Analyzer знає все про що вийшли апдейтах для вінди. за
результатами сканування (домену або діапазону IP-адрес) видається зведений
звіт. І без того наочний репорт можна перенести на умовну схему мережі,
відобразивши результати сканування в Visio. Для цього на сайті програми доступний
спеціальний з'єднувач, який відобразить символами різні вузли локалки,
заповнить параметри об'єктів, додавши туди інформацію про сканування, і в
зручної формі дозволить подивитися, які проблеми є на тому чи іншому компі.
SAINT
сайт:
http://www.saintcorporation.com
Поширення: Shareware
Платформа: -nix
Всього лише два IP-адреси, на які ти зможеш нацькувати SAINT в
Протягом тріального періоду, жорстко зашиваються в ключ, і він відправляється тобі на
е-мейл. Ні кроку вліво, ні кроку вправо - але цей продукт обов'язково варто
спробувати, навіть з такими драконівськими обмеженнями. управління сканером
реалізується через веб-інтерфейс, що не дивно - рішення SAINT
продаються, в тому числі, у вигляді серверів для установки в стійку (SAINTbox), а тут
потрібно слідувати моді. За допомогою аскетичного веб-інтерфейсу дуже просто можна
запустити тестування і використовувати багаторічні напрацювання для пошуку
потенційно уразливих місць в системі. Скажу більше: один з модулів SAINTexploit
дозволяє не тільки виявити, але ще і експлуатувати уразливість! візьмемо
горезвісну помилку MS08-67. Якщо сканер виявляє неприховану дірку і знає,
як її експлуатувати, то прямо поруч з описом уразливості дає посилання з
близьким серцю словом EXPLOIT. В один клік ти отримуєш опис сплоітов і,
більш того, - кнопку Run Now для його запуску. Далі, в залежності від сплоітов,
вказуються різні параметри, наприклад, точна версія ОС на віддалений хост,
тип шелла і порт, на якому він буде запущений. Якщо експлуатування мети вдало
завершено, то у вкладці Connections модуля SAINTexploit з'являється IP-адреса
жертви і вибір дій, які стали доступними в результаті запуску
експлойтів: робота з файлами на віддаленій системі, командний рядок і т.д!
Уявляєш: сканер, який сам ламає! Недарма слоган продукту: "Examine.
Expose. Exploit ". Система перевірок найрізноманітніша, причому в останній 7-й
версії з'явився модуль для пентеста веб-додатків і додаткові можливості
для аналізу баз даних. Позначивши мета через веб-інтерфейс, можна спостерігати за
діями сканера з усіма подробицями, точно знаючи, що і як сканер робить в
поточний момент.
X-Scan
Сайт: http://www.xfocus.org
Поширення: Freeware
Платформа: Win
Остання версія цього сканера вийшла ще в 2007 році, що зовсім не заважає
використовувати його зараз завдяки системі додаткових плагінів і скриптів,
написаних на мові NASL, такому ж, який використовується в Nessus / OpenVAS. знайти
і відредагувати наявні скрипти нескладно - всі вони знаходяться в папці scripts.
Для запуску сканера необхідно позначити параметри сканування через меню
Config -\u003e Scan Parameter. Як об'єкт сканування може виступати як
конкретний IP, так і діапазон адрес, але в останньому випадку треба бути морально
готовим до того, що тестування буде тривалим. Сканер, на жаль, не самий
швидкий. На швидкість пропорційно впливає і кількість підключених модулів:
доповнення, перевіряючі стійкість паролів для SSH / VNC / FTP, одні з найбільш
ненажерливих. зовні X-Scan більше нагадує саморобку, створену кимось
для власних потреб і пущену в паблік на вільне плавання. Можливо, він би
і не отримав такої популярності, якщо не підтримка скриптів Nessus, які
активуються за допомогою модуля Nessus-Attack-Scripts. З іншого боку, варто
подивитися звіт про сканування, і всі сумніви в корисності сканера відходять на
другий план. Він не буде оформлений по одному з офіційних стандартів ІБ, але
точно розповість багато нового про мережу.
Rapid 7 NeXpose
Сайт: www.rapid7.com
Поширення: Freeeware-версія
Платформа: nix / Win
Rapid 7 - одна з найбільш швидко зростаючих компаній, що спеціалізуються
на інформаційну безпеку в світі. Саме вона нещодавно придбала проект
Metasploit Framework, і саме її рук справа - проект NeXpose. вартість
"Входу" для використання комерційної версії становить без малого $ 3000, але
для ентузіастів є Community-версія з трохи урізаними можливостями.
Така безкоштовна версія легко інтегрується з Metasploit "ом (потрібна версія не
нижче 3.3.1). Схема роботи досить хитра: спочатку запускається NeXpose, далі
Metasploit Console (msfconsole), після чого можна запускати процес сканування
і налаштовувати його за допомогою ряду команд (nexpose_connect, nexpose_scan,
nexpose_discover, nexpose_dos і інші). Прикольно, що можна поєднувати
функціональність NeXpose і інших модулів Metasploit "а. Найпростіший, але
дієвий приклад: шукати комп'ютери з якоїсь вразливістю і тут же
експлуатувати її за допомогою відповідного модуля Metasploit - отримуємо
авторутінг на новому якісному рівні.
WARNING
Пентест серверів і ресурсів власника ресурсів без його волі - діяння кримінально
каране. У разі використання отриманих знань в незаконних цілях автор і
редакція відповідальності не несуть.
Сканер безпеки - це програмний засіб для віддаленої або локальної діагностики різних елементів мережі на предмет виявлення в них різних вразливостей. Основними користувачами таких систем є професіонали: адміністратори, фахівці з безпеки і т.д. Прості користувачі теж можуть використовувати сканери безпеки, але інформація, що видається такими програмами, як правило специфічна, що обмежує можливості її використання непідготовленою людиною. Сканери безпеки полегшують роботу фахівців, скорочуючи сумарно витрачений час на пошук вразливостей.
Для порівняння були обрані п'ять різних сканерів в різному ціновому діапазоні і з різними можливостями: ISS Internet Scanner, XSpider, LanGuard, ShadowSecurityScanner, X-Scan.
Щоб порівнювати подібні системи недостатньо просто їх запустити. Кількість нібито перевіряються вразливостей або їх налаштувань, а також розмір програми або її зовнішній вигляд не можуть бути критеріями для оцінки якості і фунцкіональних можливостей того чи іншого сканера. Тому для того щоб створити повноцінне уявлення про роботу різних сканерів безпеки, було вирішено провести їх порівняльний тест по виявленню вразливостей в семи різних операційних системах, Часто використовуваних великими банками і фінансовими установами: AS / 400, Solaris 2.5.1, Compaq / Tandem himalaya K2006 (OS D35), Windows 2000 Server, Windows XP Professional, Linux RedHat 5.2, Bay Networks Router.
Версії тестованих сканерів (останні доступні на момент перевірки):
- ISS Internet Scanner 6.2.1 з останніми апдейтами
- XSpider 6.01
- LanGuard 2.0
- ShadowSecurityScanner 5.31
- XFocus X-Scan v1.3 GUI
Тестування кожного сканера проводилося по два рази, тим самим виключаючи небажані можливі помилки, пов'язані наприклад, з тимчасовою проблемою в мережі. Всі отримані дані були поміщені в таблицю, що наочно показує які уразливості були знайдені тим чи іншим сканером. Жовтим кольором позначені уразливості середньої тяжкості, які при певних обставинах можуть спричинити за собою серйозні втрати, а червоним серйозні уразливості, які можуть привести не тільки до серйозних втрат, але і до повного руйнування системи. Далі після таблиці йде оцінка сканерів з підрахунком результатів сканування.
Таблиця знайдених вразливостей:
| ISS | XSpider | LanGuard | SSS | XF | |
| AS / 400 | |||||
| Всього знайдено портів | 16 | 25 | 6 | 15 | 8 |
| 21 / tcp: ftp | X | X | X | X | |
| X | X | X | |||
| 23 / tcp: telnet | X | X | X | X | X |
| 25 / tcp: smtp | X | X | X | X | X |
| 80 / tcp: httpd IBM-HTTP-SERVER / 1.0 |
X | X | X | X | X |
| 81 / tcp: httpd IBM-HTTP-SERVER / 1.0 |
X | ||||
| 80 / tcp: httpd - перегляд скриптів | X | ||||
| 139 / tcp: netbios | X | X | X | X | X |
| 449 / tcp: as-servermap - перегляд карти портів | X | ||||
| 2001 / tcp: httpd IBM-HTTP-SERVER / 1.0 |
X | X | |||
| 2001 / tcp: httpd - перегляд скриптів | X | ||||
| 9090 / tcp: httpd JavaWebServer / 1.1 |
X | X | |||
| 9090 / tcp: httpd - системні директорії | X | ||||
| 500 / udp: isakmp | X | ||||
| Icmp timestamp | X | ||||
| Solaris 2.5.1 | ISS | XSpider | LanGuard | SSS | XF |
| Всього знайдено портів | 18 | 47 | 13 | 27 | 9 |
| 7 / tcp: echo | X | X | X | X | |
| 7 / udp: echo | X | X | |||
| 9 / tcp: discard | X | X | X | X | |
| 13 / tcp: daytime | X | X | X | X | X |
| 13 / udp: daytime | X | X | |||
| 19 / tcp: chargen | X | X | X | X | |
| 19 / udp: chargen | X | X | X | ||
| 21 / tcp: ftp | X | X | X | X | X |
| 21 / tcp: ftp - перебір паролів | X | X | X | ||
| 23 / tcp: telnet | X | X | X | X | X |
| 25 / tcp: smtp | X | X | X | X | X |
| X | X | ||||
| 37 / tcp: time | X | X | X | X | |
| 53 / udp: dns | X | ||||
| 53 / udp: dns - сервер підтримує рекурсію | X | ||||
| 162 / tcp: snmptrap | X | X | X | ||
| 161 / udp: snmp | X | X | |||
| 161 / udp: snmp - доступ з будь-якого ком'юніті | X | ||||
| 161 / udp: snmp - отримання Interface | X | ||||
| 161 / udp: snmp - отримання Routes | X | ||||
| 512 / tcp: exec | X | X | X | X | |
| 513 / tcp: login | X | X | X | X | |
| 514 / tcp: shell | X | X | X | X | |
| 515 / tcp: printer | X | X | X | X | |
| X | |||||
| 540 / tcp: uucp | X | X | X | X | |
| 2049 / tcp: nfsd | X | X | X | X | |
| 4045 / tcp: nfsd - ідентифікація | X | ||||
| 6000 / tcp: X | X | X | X | ||
| 6790 / tcp: httpd Jigsaw / 1.0a |
X | ||||
| 10000 / tcp: httpd MiniServ / 0.01 |
X | X | |||
| 32771 / tcp: status - ідентифікація | X | ||||
| 32772 / tcp: rusersd - ідентифікація | X | ||||
| 32773 / tcp: ttdbserverd - ідентифікація та отримання привілеїв root | X | ||||
| 32774 / tcp: kcms_server - ідентифікація | X | ||||
| 32780 / tcp: mountd - ідентифікація та отримання списку ресурсів | X | ||||
| 32781 / tcp: bootparam - ідентифікація | X | ||||
| 65363 / tcp: RPC | X | ||||
| Icmp timestamp | X | ||||
| помилкові спрацьовування | |||||
| 32771 / tcp: status - отримання привілеїв root | X | ||||
| Finger - переповнення буфера | X | ||||
| X | |||||
| Compaq / Tandem himalaya K2006 (OS D35) |
ISS | XSpider | LanGuard | SSS | XF |
| Всього знайдено портів | 4 | 5 | 3 | 5 | 4 |
| 7 / tcp: echo | X | X | X | X | |
| 21 / tcp: ftp | X | X | X | X | X |
| 23 / tcp: telnet | X | X | X | X | X |
| 23 / tcp: telnet - вхід тільки по паролю | X | ||||
| 79 / tcp: finger | X | X | X | X | X |
| Icmp netmask | X | ||||
| Icmp timestamp | X | ||||
| Windows 2000 Server | ISS | XSpider | LanGuard | SSS | XF |
| Всього знайдено портів | 9 | 9 | 7 | 7 | 8 |
| 21 / tcp: ftp | X | X | X | X | X |
| X | |||||
| 21 / tcp: ftp - анонімний вхід | X | X | X | X | X |
| 21 / tcp: ftp - перебір паролів | X | X | X | ||
| 21 / tcp: ftp - є доступ на запис | X | X | |||
| 21 / tcp: ftp - можливий збір статистики | X | X | |||
| 80 / tcp: httpd MS IIS / 5.0 |
X | X | X | X | X |
| 80 / tcp: httpd - переповнення буфера | X | ||||
| 135 / tcp: Rpc | X | X | X | X | X |
| 500 / udp: isakmp | X | ||||
| Тисячі двадцять сім / tcp: sqlserver.exe - ідентифікація | X | ||||
| 1433 / tcp: Ms SQL | X | X | X | X | |
| 3389 / tcp: Ms RDP | X | X | X | X | |
| Icmp timestamp | X | ||||
| помилкові спрацьовування | |||||
| 1433 / tcp: MsSQL - перехоплення адміністративної сесії | X | ||||
| Windows XP Professional | ISS | XSpider | LanGuard | SSS | XF |
| Всього знайдено портів | 20 | 15 | 4 | 11 | 8 |
| 7 / tcp: echo | X | X | X | X | |
| 7 / udp: echo | X | X | |||
| 9 / tcp: discard | X | X | X | X | |
| 9 / udp: discard | X | ||||
| 13 / tcp: daytime | X | X | X | X | X |
| 13 / udp: daytime | X | X | |||
| 17 / tcp: qotd | X | X | X | X | |
| 17 / udp: qotd | X | X | |||
| 19 / tcp: chargen | X | X | X | X | |
| 19 / udp: chargen | X | X | |||
| 135 / tcp: Rpc | X | X | X | X | X |
| 139 / tcp: NetBios | X | X | X | X | X |
| 139 / tcp: NetBios - інформація | X | ||||
| 445 / tcp: MS Ds | X | X | X | X | X |
| 500 / udp: isakmp | X | ||||
| 540 / udp: router | X | ||||
| 1025 / tcp: Rpc | X | X | X | ||
| IcqClient | X | ||||
| 1900 / udp: upnp - переповнення буфера | X | ||||
| 123 / udp: ntp | X | X | |||
| 5000 / tcp: httpd | X | X | |||
| Icmp timestamp | X | ||||
| помилкові спрацьовування | |||||
| 19 / tcp: chargen - можлива DOS-атака | X | X | |||
| Linux RedHat 5.2 | ISS | XSpider | LanGuard | SSS | XF |
| Всього знайдено портів | 14 | 14 | 12 | 12 | 10 |
| 21 / tcp: ftp | X | X | X | X | X |
| 21 / tcp: ftp - переповнення буфера | X | X | X | ||
| 21 / tcp: ftp - дефолтний аккаунт з повним доступом | X | X | |||
| 23 / tcp: telnet | X | X | X | X | X |
| 23 / tcp: telnet - дефолтний аккаунт з повним доступом | X | ||||
| 25 / tcp: smtp | X | X | X | X | X |
| 25 / tcp: smtp - неавторизована відправка пошти | X | ||||
| 25 / tcp: smtp - локальний перехоплення сокета | X | X | |||
| 53 / tcp: dns | X | X | X | X | |
| 53 / tcp: dns - визначення версії bind | X | X | |||
| 110 / tcp: httpd | X | X | |||
| 139 / tcp: NetBios | X | X | X | X | |
| 139 / tcp: NetBios - отримання інформації | X | ||||
| 513 / tcp: login | X | X | X | ||
| 513 / udp: rwhod | X | X | X | ||
| 514 / tcp: shell | X | X | X | ||
| 515 / tcp: printer | X | X | X | ||
| 2049 / tcp: nfsd | X | X | X | ||
| 7000 / tcp: httpd ConferenceRoom / IRC |
X | X | X | ||
| 8080 / tcp: httpd Apache / 1.3.3 (Unix) (Red Hat / Linux) |
X | X | X | X | |
| 8080 / tcp: httpd - лістинг директорій | X | X | |||
| 54321 / tcp: httpd ConferenceRoom / IRC |
X | X | |||
| Icmp timestamp | X | ||||
| помилкові спрацьовування | |||||
| 513 / udp: rwhod - переповнення буфера | X | ||||
| 515 / tcp: printer - переповнення буфера | X | ||||
| Bay Networks Router | ISS | XSpider | LanGuard | SSS | XF |
| Всього знайдено портів | 3 | 3 | 2 | 2 | 3 |
| 7 / udp: echo | X | X | |||
| 21 / tcp: ftp | X | X | X | X | X |
| 23 / tcp: telnet | X | X | X | X | X |
| помилкові спрацьовування | |||||
| 9 / udp: discard | X | ||||
| 21 / tcp: ftp - переповнення буфера | X | ||||
| 69 / udp: tftp | X | ||||
| 123 / udp: ntp | X | ||||
| 161 / udp: snmp | X | ||||
| 520 / udp: routed | X | ||||
| Land DOS | X | ||||
Щоб осмислити результати і прийти до якого-небудь висновку пропонується наступна система підрахунку балів, яка є більш менш оптимальної (можливі й інші варіанти, але вони все схожі): за кожну знайдену уразливість буде додаватися певну кількість балів залежно від ступеня небезпеки даної уразливості, і навпаки за видачу неправдивої уразливості бали будуть відніматися:
- серйозна уразливість (+3 бали)
- вразливість середньої тяжкості (+2 бали)
- інформація (+1 бал)
- помилкова серйозна уразливість (-3 бали)
- помилкова вразливість середньої тяжкості (-2 бали)
- помилкова інформація (-1 бал)
Підсумкова таблиця:
| ISS | XSpider | LanGuard | SSS | X-Scan | |
| AS / 400 | 9 | 14 | 6 | 9 | 7 |
| Solaris 2.5.1 | 26 | 39-(3) | 11-(2) | 23-(2) | 11 |
| Compaq / Tandem himalaya K2006 (OS D35) | 9 | 5 | 4 | 5 | 5 |
| Windows 2000 Server | 9 | 16-(2) | 6 | 8 | 7 |
| Windows XP Professional | 19-(2) | 18 | 5 | 10-(2) | 7 |
| Linux RedHat 5.2 | 24-(3) | 24-(2) | 7 | 21 | 12 |
| Bay Networks Router | 4-(8) | 4 | 3 | 3 | 3 |
| 100-(13) | 120-(7) | 42-(2) | 79-(4) | 52 | |
| Разом | 87 | 113 | 40 | 75 | 52 |
Що в результаті?
ISS Internet Scanner в описі не потребує. Він показав себе як завжди на високому рівні, правда на цей раз поступившись пальмою першості XSpider-у.
XSpider виявився безперечним лідером, сильно відірвавшись від конкурентів особливо при пошуку вразливостей в Windows і Solaris, що особливо приємно при його невеликому розмірі і безкоштовне розповсюдження. Є великий мінус: дуже мало виводиться інформації при видачі списку вразливостей, що передбачає високий рівень знань і професіоналізму у фахівця використовує цю програму.
LanGuard з натяжкою можна назвати сканером безпеки. Він дуже добре працює з NetBios, видаючи список ресурсів, сервісів і користувачів. Ця здатність сильно відрізняє сканер від інших, але ось саме тільки ця. На цьому переваги LanGuard закінчуються.
ShadowSecurityScanner практично не відстав від ISS. І це при настільки великій різниці в їх ціні. У програми простий інтерфейс схожий на інтерфейс сканера Retina. Докладні поради та рекомендації щодо усунення вразливостей легко дозволяють впоратися з проблемами. Мінуси: невелика кількість розпізнаваних вразливостей, набагато більше споживання системних ресурсів при роботі по порівнянні з іншими сканерами.
X-Scan безкоштовний сканер за можливостями схожий на LanGuard, але трохи його перевершує. Мінуси: не надто читабельний інтерфейс програми, відсутність будь-яких коментарів про знайдені вразливості.