Сканирование уязвимостей. Сканирование на уязвимости: как проверить устройство и обезопасить себя от потенциальных угроз. Сканер уязвимости сети: зачем он нужен
Настало время познакомиться с еще одним видом программного обеспечения, предназначенного для защиты от интернет-угроз. Сканеры уязвимости – это комплексные решения, которые могут представлять собой как аппаратные, так и программные средства, предназначеные для постоянного сканирования состояния корпоративной сети, на предмет действия вирусов или подозрительных процессов. Их основной задачей является оценка безопасности процессов и поиск уязвимостей и их устранение.
Vulnerability scanner или сканер уязвимости, дает администратору возможность поиска существующих в сети «дыр» или «бэкдоров», с помощью которых, хакеры и мошенники могут получить доступ к сети компании и конфиденциальным данным. Кроме этого, в состав сканеров входят средства для сканирования запущенных служб и процессоров, а также сканеры портов.
Исходя из этого, можно выделить такие функции сканеров уязвимостей:
- Поиск уязвимостей и их анализ.
- Проверка всех ресурсов в сети, устройства, операционная система, порты, приложения, процессы и т.д.
- Создание отчетов, в которых указывается уязвимость, путь ее распространения и характер.
Как работают сканеры уязвимостей?
В основе сканера лежат два механизма. Первый механизм называется – зондирование . Это не слишком быстрый, но наиболее эффективный инструмент активного анализа. Суть его состоит в том, что он сам запускает атаки, и следит за тем, где эти атаки могут пройти. Во время зондирования, подтверждаются возможные догадки и возможности прохождения атак на определенных направлениях.
Другой механизм – сканирование . В этом случае инструмент работает быстро, но производится только поверхностный анализ сети, по самым частым и возможным «дырам» в безопасности сети. Отличие второго способа в том, что он не подтверждает наличие уязвимости, а только уведомляет администратора о ее возможности, основываясь на косвенных признаках. Например, происходит сканирование портов, определяются их заголовки и затем они сравниваются с эталонными таблицами и правилами. В случае расхождения значений, сканер уведомляет о нахождении потенциальной уязвимости, которые администратор должен проверить более надежными способами.
Основные принципы работы сканеров уязвимостей
Сбор всей информации в сети, идентификация всех служб, устройств и процессов.
Поиск потенциальных уязвимостей
Использование специализированных методов и моделирование атак, для подтверждения уязвимости (существует не во всех сетевых сканерах)
Подборка лучших сканеров уязвимостей
Nessus. Довольно давно, еще с 1998 года, компания Tenable Network Security , начала заниматься разработкой своего сканера уязвимостей, благодаря чему имеет большой опыт и далеко впереди в своей сфере. Многие годы их сканер является коммерческим ПО. Ключевой особенностью сканера Nessus, является возможность расширять функционал с помощью плагинов. Таким образом, мощные тесты, такие как тесты на проникновение или другие, не устанавливаются вместе с главным модулем, а при необходимости подключаются отдельно. Все плагины можно разделить на 42 категории. Это означает, что, например, для проведения пинтеста (теста на проникновение), не обязательно запускать полную проверку, а можно выделить только тесты из определенной категории или выбрать тесты вручную. Кроме этого, Nessus имеет свой специальный скриптовый язык, так что, администраторы могут сами писать необходимые им тесты.
Symantec Security Check. Главными функциями данного сканера является поиск червей, троянов, вирусов, а также сканирование локальной сети, для обнаружения заражений. Данный продукт устанавливается без затруднений, и имеет основной центр управления в браузере. В состав решения входят два модуля: SecurityScan и VirusDetection. Первый - занимается сканирование сети, второй - сканирует и проверяет устройство на наличие вирусов Некоторые специалисты советуют использовать решение от Symantec, для дополнительной проверки.
Xspider. Как заявляется разработчик, их решение способно выявить треть всех возможных уязвимостей, называемых «zero day». Основным преимуществом данного сканера, является возможность выявления максимального числа «дыр» в системе безопасности, до того, как их смогут обнаружить хакеры. Данный сканер не требует дополнительного программного обеспечения. После проведения анализа, он формирует полный отчет с найденными уязвимостями и возможными способами их устранения.
Rapid 7 NeXpose. Rapid 7, по статистике – самая быстрорастущая компания за последнее время. Совершенно недавно, компания купила проект Metaspoilt Fremawork, которая создала такой популярный сейчас NeXpose. Для использования коммерческой версии продукта понадобится выложить не малую сумму за лицензию, но существует и более доступная Community версия, у которой более скудный функционал. Продукт легко интегрируется с Metaspoilt. Схема работы данного решения не простая, для начала требуется запуск NeXpose, после этого консоль управления Metaspoilt, и только после этого, можно начинать сканирование, которое при всем этом, настраивается не через панель управления, а с помощью специальных команд. Особенностью является возможность запускать различные модули Metaspoilt с NeXpose.
Как вы можете убедиться, что было их достаточно и все они очень опасны для подверженных им систем. Важно не только вовремя обновлять систему чтобы защититься от новых уязвимостей но и быть уверенным в том, что ваша система не содержит уже давно устраненных уязвимостей, которые могут использовать хакеры.
Здесь на помощь приходят сканеры уязвимостей Linux. Инструменты анализа уязвимостей - это один из самых важных компонентов системы безопасности каждой компании. Проверка приложений и систем на наличие старых уязвимостей - обязательная практика. В этой статье мы рассмотрим лучшие сканеры уязвимостей, с открытым исходным кодом, которые вы можете использовать для обнаружения уязвимостей в своих системах и программах. Все они полностью свободны и могут использоваться как обычными пользователями, так и в корпоративном секторе.
OpenVAS или Open Vulnerability Assessment System - это полноценная платформа для поиска уязвимостей, которая распространяется с открытым исходным кодом. Программа основана на исходном коде сканера Nessus. Изначально этот сканер распространялся с открытым исходным кодом, но потом разработчики решили закрыть код, и тогда, в 2005 году, на основе открытой версии Nessus был создан OpenVAS.
Программа состоит из серверной и клиентской части. Сервер, который выполняет основную работу по сканированию систем запускается только в Linux, а клиентские программы поддерживают в том числе Windows, к серверу можно получить доступ через веб-интерфейс.
Ядро сканера более 36000 различных проверок на уязвимости и каждый день обновляется с добавлением новых, недавно обнаруженных. Программа может обнаруживать уязвимости в запущенных сервисах, а также искать неверные настройки, например, отсутствие аутентификации или очень слабые пароли.
2. Nexpose Community Edition
Это еще один инструмент поиска уязвимостей linux с открытым исходным кодом, разрабатываемый компанией Rapid7, это та же самая компания, которая выпустила Metasploit. Сканер позволяет обнаруживать до 68000 известных уязвимостей, а также выполнять более 160000 сетевых проверок.
Версия Comunity полностью свободна, но она имеет ограничение, на одновременное сканирование до 32 IP адресов и только одного пользователя. Также лицензию нужно обновлять каждый год. Здесь нет сканирования веб-приложений, но зато поддерживается автоматическое обновление базы уязвимостей и получение информации об уязвимостях от Microsoft Patch.
Программу можно установить не только в Linux, но и в Windows, а управление выполняется через веб-интерфейс. С помощью него вы можете задать параметры сканирования, ip адреса и прочую необходимую информацию.
После завершения проверки вы увидите список уязвимостей, а также информацию об установленном программном обеспечении и операционной системе на сервере. Можно также создавать и экспортировать отчеты.
3. Burp Suite Free Edition
Burp Suite - это сканер веб-уязвимостей, написанный на Java. Программа состоит из прокси-сервера, паука, инструмента для генерации запросов и выполнения стресс тестов.
С помощью Burp вы можете выполнять проверку веб-приложений. Например, с помощью прокси сервера можно перехватывать и просматривать весть проходящий трафик, а также модифицировать его при необходимости. Это позволит смоделировать многие ситуации. Паук поможет найти веб-уязвимости, а инструмент генерации запросов - стойкость веб-сервера.
4. Arachni
Arachni - это полнофункциональный фреймворк для тестирования веб-приложений, написанный на Ruby, который распространяется с открытым исходным кодом. Он позволяет оценить безопасность веб-приложений и сайтов, выполняя различные тесты на проникновение.
Программа поддерживает выполнение сканирования с аутентификацией, настройкой заголовков, поддержкой подмены Aser-Agent, поддержка определения 404. Кроме того, у программы есть веб-интерфейс и интерфейс командной строки, сканирование можно приостановить, а затем снова проложить и в целом, все работает очень быстро.
5. OWASP Zed Attack Proxy (ZAP)
OWASP Zed Attack Proxy - еще один комплексный инструмент для поиска уязвимостей в веб-приложениях. Поддерживаются все, стандартные для такого типа программ возможности. Вы можете сканировать порты, проверять структуру сайта, искать множество известных уязвимостей, проверять корректность обработки повторных запросов или некорректных данных.
Программа может работать по https, а также поддерживает различные прокси. Поскольку программа написана на Java, ее очень просто установить и использовать. Кроме основных возможностей, есть большое количество плагинов, позволяющих очень сильно увеличить функциональность.
6. Clair
Clair - это инструмент поиска уязвимостей linux в контейнерах. Программа содержит список уязвимостей, которые могут быть опасны для контейнеров и предупреждает пользователя, если были обнаружены такие уязвимости в вашей системе. Также программа может отправлять уведомления, если появляться новые уязвимости, которые могут сделать контейнеры небезопасными.
Каждый контейнер проверяется один раз и для его проверки нет необходимости его запускать. Программа может извлечь все необходимые данные из выключенного контейнера. Эти данные сохраняются в кэш, чтобы иметь возможность уведомлять об уязвимостях в будущих.
7. Powerfuzzer
Powerfuzzer - это полнофункциональный, автоматизированный и очень настраиваемый веб-сканер, позволяющий проверить реакцию веб-приложения на некорректные данные и повторные запросы. Инструмент поддерживает только протокол HTTP и может обнаруживать такие уязвимости, как XSS, SQL инъекции, LDAP, CRLF и XPATH атаки. Также поддерживается отслеживание ошибок 500, которые могут свидетельствовать о неверной настройке или даже опасности, например, переполнении буфера.
8. Nmap
Nmap - это не совсем сканер уязвимостей для Linux. Эта программа позволяет просканировать сеть и узнать какие узлы к ней подключены, а также определить какие сервисы на них запущенны. Это не дает исчерпывающей информации про уязвимости, зато вы можете предположить какое из программного обеспечения может быть уязвимым, попытаться перебрать слабые пароли. Также есть возможность выполнять специальные скрипты, которые позволяют определить некоторые уязвимости в определенном программном обеспечении.
Выводы
В этой статье мы рассмотрели лучшие сканеры уязвимостей linux, они позволяют вам держать свою систему и приложения в полной безопасности. Мы рассмотрели программы, которые позволяют сканировать как саму операционную систему или же веб-приложения и сайты.
На завершение вы можете посмотреть видео о том что такое сканеры уязвимостей и зачем они нужны:
Процесс под названием сканирование уязвимостей представляет собой проверку отдельных узлов или сетей на потенциальные угрозы.
А необходимость проверить безопасность возникает у достаточно часто – особенно, если речь идёт о крупных организациях, обладающих ценной информацией, которая может понадобиться злоумышленникам.
Не стоит пренебрегать таким сканированием и администраторам небольших сетей – тем более что в 2017-м году серьёзным атакам со стороны запущенных хакерами подверглись сотни тысяч компьютеров.
Применение сканеров уязвимости
Для сканирования сетей на слабые места в системах их безопасности специалисты по информационной безопасности применяют соответствующее программное обеспечение.
Такие программы называются сканерами уязвимости.
Принцип их работы заключается в проверке приложений, которые работают , и поиске так называемых «дыр», которыми могли бы воспользоваться посторонние для получения доступа к важным сведениям.
Грамотное использование программ, способных обнаружить уязвимость в сети, позволяет ИТ-специалистам избежать проблем с украденными паролями и решать такие задачи:
- поиск попавшего на компьютер вредоносного кода;
- инвентаризация ПО и других ресурсов системы;
- создание отчётов, содержащих информацию об уязвимостях и способах их устранения.
Главным преимуществом второго варианта является не только подтверждение тех проблем, которые могут быть обнаружены простым сканированием, но и обнаружение проблем, поиск которых невозможен с помощью пассивной методики. Проверка выполняется с помощью трёх механизмов – проверки заголовков, активных зондирующих проверок и имитации атак.
Проверка заголовков
Механизм, название которого на английском языке звучит как «banner check » , состоит из целого ряда сканирований и даёт возможность получить определённые выводы на основе данных, передаваемых программе-сканеру в ответ на его запрос.
Примером такой проверки может стать сканирование заголовков с помощью приложения Sendmail , позволяющее и определить версии программного обеспечения, и убедиться в наличии или отсутствии проблем.
Методика считается самой простой и быстрой, но имеет целый ряд недостатков:
- Не слишком высокую эффективность проверки. Тем более что злоумышленники могут изменять информацию в заголовках, удалив номера версий и другие сведения, которые используются сканером для получения выводов. С одной стороны, вероятность такого изменения не слишком высокая, с другой – пренебрегать ею не стоит.
- Невозможность точно определить, являются ли данные, которые содержатся в заголовке, доказательством уязвимости. В первую очередь, это касается программ, которые поставляются вместе с исходным текстом. При устранении их уязвимостей номера версий в заголовках приходится изменять вручную – иногда разработчики просто забывают это сделать.
- Вероятность появления уязвимости в следующих версиях программы , даже после того как она была устранена из предыдущих модификаций.
Между тем, несмотря на определённые минусы и отсутствие гарантии обнаружения «дыр» в системе, процесс проверки заголовков можно назвать не только первым, но и одним из главных этапов сканирования. Тем более что его использование не нарушает работу ни сервисов, ни узлов сети.
Активные зондирующие проверки
Методика, известная ещё и как «active probing check », основана не на проверках в заголовках, а на анализе и сравнении цифровых «слепков» программ с информацией об уже известных уязвимостях.
Принцип её работы немного похож на алгоритм , которые предполагает сравнение отсканированных фрагментов с вирусными базами.
К той же группе методик относится и проверка даты создания сканируемого ПО или контрольных сумм, позволяющая убедиться в подлинности и в целостности программ.
Для хранения сведений об уязвимостях применяются специализированные базы данных, содержащие ещё и сведения, позволяющие устранить проблему и снизить риск угрозы постороннего доступа к сети.
Эта информация иногда применяется и системами анализа защищённости, и программным обеспечением, в задачи которого входит обнаружение атак. В целом, методика активных зондирующих проверок, применяемая такими крупными компаниями как ISS и , работает значительно быстрее других способов – хотя реализовать её труднее, чем проверку заголовков.
Имитация атак
Ещё один метод на английском языке называется «exploit check » , что можно перевести на русский как «имитация атак» .
Выполняемая с его помощью проверка тоже является одним из вариантов зондирования и основана на поиске дефектов программ с помощью их усиления.
Методика имеет такие особенности:
- некоторые «дыры» в безопасности нельзя обнаружить до тех пор, пока не сымитировать настоящую атаку против подозрительных сервисов и узлов;
- программы-сканеры проверяют заголовки программного обеспечения во время фальшивой атаки;
- при сканировании данных уязвимости обнаруживаются значительно быстрее, чем в обычных условиях;
- имитируя атаки, можно найти больше уязвимостей (если они были изначально), чем при помощи двух предыдущих методик – при этом скорость обнаружения достаточно высокая, однако пользоваться таким способом не всегда целесообразно;
- ситуации, которые не позволяют запускать «имитацию атак», делятся на две группы – угроза появления проблем с обслуживанием проверяемого программного обеспечения или принципиальная невозможность атаковать систему.
Нежелательно пользоваться методикой, если объектами проверки являются защищённые сервера с ценной информацией.
Атака таких компьютеров может привести к серьёзным потерям данных и выходу из строя важных элементов сети, а расходы на восстановление работоспособности могут оказаться слишком серьёзными, даже с учётом .
В этом случае желательно воспользоваться другими способами проверки – например, активным зондированием или проверкой заголовков.
Между тем, в списке уязвимостей есть и такие, которые не получится обнаружить без попыток сымитировать атаки – к ним относят, например, подверженность атакам типа «Packet Storm » .
По умолчанию, такие методы проверки отключены в системе.
Пользователю придётся включать их самостоятельно.
К программам-сканерам, которые используют третий метод сканирования на уязвимости, относят системы типа Internet Scanner и CyberCop Scanner . В первом приложении проверки выделяются в отдельную категорию «Denial of service » . При использовании любой функции из списка программа сообщает об опасности выхода из строя или перезагрузки сканируемого узла, предупреждая о том, что ответственность за запуск сканирования лежит на пользователе.
Основные этапы проверки уязвимостей
Большинство программ, выполняющих сканирование на уязвимости, работает следующим образом:
1 Собирает о сети всю необходимую информацию , сначала определяя все активные устройства в системе и работающее на них программное обеспечение. Если анализ проводится только на уровне одного ПК с уже установленным на нём сканером, этот шаг пропускают.
2 Пытается найти потенциальные уязвимости , применяя специальные базы данных для того чтобы сравнить полученную информацию с уже известными видами «дыр» в безопасности. Сравнение выполняется с помощью активного зондирования или проверки заголовков.
3 Подтверждает найденные уязвимости, применяя специальные методики – имитацию определённого типа атак, способных доказать факт наличия или отсутствия угрозы.
4 Генерирует отчёты на базе собранных при сканировании сведений , описывая уязвимости.
Завершающий этап сканирования представляет собой автоматическое исправление или попытку устранения проблем. Эта функция есть практически в каждом системном сканере, и отсутствует у большинства сетевых приложений для проверки уязвимостей.
Отличия в работе разных программ
Некоторые сканеры разделяют уязвимости .
Например, система NetSonar делит их на сетевые, способные воздействовать на роутеры, поэтому более серьёзные, и локальные, влияющие на рабочие станции.
Internet Scanner разделяет угрозы на три степени – низкую, высокую и среднюю.
Эти же два сканера имеют ещё несколько отличий.
С их помощью отчёты не только создаются, но и разбиваются на несколько групп, каждая из которых предназначена для конкретных пользователей – от до руководителей организации.
Причём, для первых выдаётся максимальное количество цифр, для руководства – красиво оформленные графики и диаграммы с небольшим количеством деталей.
В составе создаваемых сканерами отчётов есть рекомендации по устранению найденных уязвимостей.
Больше всего такой информации содержится в данных, которые выдаются программой Internet Scanner , выдающей пошаговые инструкции по решению проблемы с учётом особенностей разных операционных систем.
По-разному реализован в сканерах и механизм устранения неисправностей. Так, в сканере System Scanner для этого существует специальный сценарий, запускаемый администратором для решения проблемы. Одновременно происходит создание второго алгоритма, который может исправить сделанные изменения, если первый привёл к ухудшению работы или выходу из строя отдельных узлов. В большинстве других программ-сканеров возможность вернуть изменения назад не существует.
Действия администратора по обнаружению уязвимостей
Для поиска «дыр» в безопасности администратор может руководствоваться тремя алгоритмами.
Первый и самый популярный вариант – проверка сети на наличие только потенциальных уязвимостей. Она позволяет предварительно ознакомиться с данными системы, не нарушая работу узлов и обеспечивая максимальную скорость анализа.
Второй вариант – сканирование с проверкой и подтверждением уязвимостей. Методика занимает больше времени и может вызвать сбои в работе программного обеспечения компьютеров в сети во время реализации механизма имитации атак.
Способ №3 предполагает использование всех трёх механизмов (причём, с правами и администратора, и пользователя) и попытку устранить уязвимости на отдельных компьютерах. Из-за низкой скорости и риска вывести из строя программное обеспечение применяют этот метод реже всего – в основном, при наличии серьёзных доказательств наличия «дыр».
Возможности современных сканеров
Основными требованиями к программе-сканеру, обеспечивающей проверку системы и её отдельных узлов на уязвимости, являются:
- Кроссплатформенность или поддержка нескольких операционных систем. При наличии такой особенности можно выполнять проверку сети, состоящей из компьютеров с разными платформами. Например, с или даже с системами типа UNIX .
- Возможность сканировать одновременно несколько портов – такая функция заметно уменьшает время на проверку.
- Сканирование всех видов ПО, которые обычно подвержены атакам со стороны хакеров. К такому программному обеспечению относят продукцию компании и (например, пакет офисных приложений MS Office).
- Проверку сети в целом и отдельных её элементов без необходимости запускать сканирование для каждого узла системы.
Большинство современных сканирующих программ имеют интуитивно понятное меню и достаточно легко настраиваются в соответствии с выполняемыми задачами.
Так, практически каждый такой сканер позволяет составить список проверяемых узлов и программ, указать приложения, для которых будут автоматически устанавливаться обновления при обнаружении уязвимостей, и задать периодичность сканирования и создания отчётов.
После получения отчётов сканер позволяет администратору запускать исправление угроз.
Среди дополнительных особенностей сканеров можно отметить возможность экономии трафик, которая получается при скачивании только одной копии дистрибутива и её распределении по всем компьютерам сети. Ещё одна важная функция предполагает сохранение истории прошлых проверок, что позволяет оценить работу узлов в определённых временных интервалах и оценить риски появления новых проблем с безопасностью.
Сканеры уязвимостей сети
Ассортимент программ-сканеров на достаточно большой.
Все они отличаются друг от друга функциональностью, эффективностью поиска уязвимостей и ценой.
Для оценки возможностей таких приложений стоит рассмотреть характеристики и особенности пяти самых популярных вариантов.
GFI LanGuard
Производитель GFI Software считается одним из лидеров на мировом рынке информационной безопасности, а его продукция входит в рейтинги самых удобных и эффективных при проверке на уязвимости программ.
Одним из таких приложений, обеспечивающих безопасность сети и отдельных компьютеров, является GFI LanGuard, к особенностям которого относят:
- быструю оценку состояния портов в системе;
- поиск небезопасных настроек на компьютерах сети и запрещённых для установки программ, дополнений и патчей;
- возможность сканирования не только отдельных компьютеров и серверов, но и входящих в систему виртуальных машин и даже подключённых смартфонов;
- составление по результатам сканирования подробного отчёта с указанием уязвимостей, их параметров и способов устранения;
- интуитивно понятное управление и возможность настройки автоматической работы – при необходимости, сканер запускается в определённое время, а все исправления выполняются без вмешательства администратора;
- возможность быстрого устранения найденных угроз, изменения настроек системы, обновления разрешённого ПО и удаления запрещённых программ.
К отличиям этого сканера от большинства аналогов можно назвать установку обновлений и патчей практически для любой операционной системы.
Эта особенность и другие преимущества GFI LanGuard позволяют ему находиться на верхних строчках рейтингов программ для поиска сетевых уязвимостей.
При этом стоимость использования сканера сравнительно небольшая и доступна даже небольшим компаниям.
Nessus
Программу Nessus впервые выпустили 20 лет назад, но только с 2003-го года она становится платной.
Монетизация проекта не сделала его менее популярным – благодаря эффективности и скорости работы каждый шестой администратор в мире применяет именно этот сканер.
К преимуществам выбора Nessus относят:
- постоянно обновляемую базу уязвимостей;
- простую установку и удобный интерфейс;
- эффективное обнаружение проблем с безопасностью;
- использование плагинов, каждый из которых выполняет свою задачу – например, обеспечивает сканирование ОС Linux или запускает проверку только заголовков.
Дополнительная особенность сканера – возможность использования тестов, созданных пользователями с помощью специального программного обеспечения. В то же время у программы есть и два серьёзных недостатка. Первый – возможность выхода из строя некоторых программ при сканировании с помощью метода «имитации атак», второй – достаточно высокая стоимость.
Symantec Security Check
Программа Security Check является бесплатным сканером компании Symantec.
Среди её функций стоит отметить поиск не только уязвимостей, но и вирусов – включая макровирусы, трояны и интернет-черви. Фактически, приложение состоит из 2 частей – сканера Security Scan , обеспечивающего безопасность сети, и антивируса Virus Detection .
К преимуществам программы относят простую установку и возможность работы через браузер. Среди минусов отмечают невысокую эффективность – универсальность продукта, позволяющая ему искать ещё и вирусы, делает его не слишком подходящим для проверки сети. Большинство пользователей рекомендует применять этот сканер только для дополнительных проверок.
XSpider
Сканер XSpider выпускается компанией Positive Technologies , представители которой утверждают, что программа не только обнаруживает уже известные уязвимости, но способна найти ещё не созданные угрозы.
К особенностям приложения относят:
- эффективное обнаружение «дыр» в системе;
- возможность удалённой работы без установки дополнительного программного обеспечения;
- создание подробных отчётов с советами по устранению проблем;
- обновление базы уязвимостей и программных модулей;
- одновременное сканирование большого количества узлов и рабочих станций;
- сохранение истории проверок для дальнейшего анализа проблем.
Также стоит отметить, что стоимость использования сканера более доступна по сравнению с программой Nessus. Хотя и выше, чем у GFI LanGuard.
QualysGuard
Сканер считается многофункциональным и позволяет получить подробный отчёт с оценкой уровня уязвимости, времени на их устранение и уровень воздействия «угрозы» на бизнес.
Разработчик продукта, фирма Qualys, Inc., поставляет программу сотням тысяч потребителей, в том числе и половине крупнейших компаний мира.
Выводы
С учётом широкого ассортимента приложений для сканирования сети и её узлов на уязвимости, существенно облегчается работа администратора.
Теперь от него не требуется самостоятельно запускать все механизмы сканирования вручную – достаточно просто найти подходящее приложение, выбрать способ проверки, настроить и воспользоваться рекомендациями полученного отчёта.
Выбирать подходящий сканер следует по функциональности приложения, эффективности поиска угроз (которая определяется по отзывам пользователей) – и, что тоже достаточно важно, по цене, которая должна быть сопоставима с ценностью защищаемой информации.
Сканер безопасности – это программное средство для удаленной или локальной диагностики различных элементов сети на предмет выявления в них различных уязвимостей. Основными пользователями таких систем являются профессионалы: администраторы, специалисты по безопасности и т.д. Простые пользователи тоже могут использовать сканеры безопасности, но информация, выдаваемая такими программами, как правило специфична, что ограничивает возможности ее использования неподготовленным человеком. Сканеры безопасности облегчают работу специалистов, сокращая суммарно потраченное время на поиск уязвимостей.
Для сравнения были выбраны пять различных сканеров в разном ценовом диапазоне и с разными возможностями: ISS Internet Scanner , XSpider , LanGuard , ShadowSecurityScanner , X-Scan .
Чтобы сравнивать подобные системы недостаточно просто их запустить. Количество якобы проверяемых уязвимостей или их настроек, а также размер программы или её внешний вид не могут являться критериями для оценки качества и фунцкиональных возможностей того или иного сканера. Поэтому для того чтобы создать полноценное представление о работе различных сканеров безопасности, было решено провести их сравнительный тест по выявлению уязвимостей в семи различных операционных системах, часто используемых крупными банками и финансовыми учреждениями: AS/400, Solaris 2.5.1, Compaq/Tandem himalaya K2006 (OS D35), Windows 2000 Server, Windows XP Professional, Linux RedHat 5.2, Bay Networks Router.
Версии тестируемых сканеров (последние доступные на момент проверки):
- ISS Internet Scanner 6.2.1 с последними апдейтами
- XSpider 6.01
- LanGuard 2.0
- ShadowSecurityScanner 5.31
- XFocus X-Scan v1.3 GUI
Тестирование каждого сканера проводилось по два раза, тем самым исключая нежелательные возможные ошибки, связанные например, с временной проблемой в сети. Все полученные данные были помещены в таблицу, наглядно показывающую какие уязвимости были найдены тем или иным сканером. Желтым цветом обозначены уязвимости средней тяжести, которые при определенных обстоятельствах могут повлечь за собой серьезные потери, а красным серьезные уязвимости, которые могут привести не только к серьезным потерям, но и к полному разрушению системы. Далее после таблицы идет оценка сканеров с подсчетом результатов сканирования.
Таблица найденных уязвимостей:
| ISS | XSpider | LanGuard | SSS | XF | |
| AS/400 | |||||
| Всего найдено портов | 16 | 25 | 6 | 15 | 8 |
| 21/tcp: ftp | X | X | X | X | |
| X | X | X | |||
| 23/tcp: telnet | X | X | X | X | X |
| 25/tcp: smtp | X | X | X | X | X |
| 80/tcp: httpd IBM-HTTP-SERVER/1.0 |
X | X | X | X | X |
| 81/tcp: httpd IBM-HTTP-SERVER/1.0 |
X | ||||
| 80/tcp: httpd - просмотр скриптов | X | ||||
| 139/tcp: netbios | X | X | X | X | X |
| 449/tcp: as-servermap - просмотр карты портов | X | ||||
| 2001/tcp: httpd IBM-HTTP-SERVER/1.0 |
X | X | |||
| 2001/tcp: httpd - просмотр скриптов | X | ||||
| 9090/tcp: httpd JavaWebServer/1.1 |
X | X | |||
| 9090/tcp: httpd - системные директории | X | ||||
| 500/udp: isakmp | X | ||||
| Icmp timestamp | X | ||||
| Solaris 2.5.1 | ISS | XSpider | LanGuard | SSS | XF |
| Всего найдено портов | 18 | 47 | 13 | 27 | 9 |
| 7/tcp: echo | X | X | X | X | |
| 7/udp: echo | X | X | |||
| 9/tcp: discard | X | X | X | X | |
| 13/tcp: daytime | X | X | X | X | X |
| 13/udp: daytime | X | X | |||
| 19/tcp: chargen | X | X | X | X | |
| 19/udp: chargen | X | X | X | ||
| 21/tcp: ftp | X | X | X | X | X |
| 21/tcp: ftp – перебор паролей | X | X | X | ||
| 23/tcp: telnet | X | X | X | X | X |
| 25/tcp: smtp | X | X | X | X | X |
| X | X | ||||
| 37/tcp: time | X | X | X | X | |
| 53/udp: dns | X | ||||
| 53/udp: dns – сервер поддерживает рекурсию | X | ||||
| 162/tcp: snmptrap | X | X | X | ||
| 161/udp: snmp | X | X | |||
| 161/udp: snmp – доступ по любому комьюнити | X | ||||
| 161/udp: snmp – получение Interface | X | ||||
| 161/udp: snmp – получение Routes | X | ||||
| 512/tcp: exec | X | X | X | X | |
| 513/tcp: login | X | X | X | X | |
| 514/tcp: shell | X | X | X | X | |
| 515/tcp: printer | X | X | X | X | |
| X | |||||
| 540/tcp: uucp | X | X | X | X | |
| 2049/tcp: nfsd | X | X | X | X | |
| 4045/tcp: nfsd - идентификация | X | ||||
| 6000/tcp: X | X | X | X | ||
| 6790/tcp: httpd Jigsaw/1.0a |
X | ||||
| 10000/tcp: httpd MiniServ/0.01 |
X | X | |||
| 32771/tcp: status – идентификация | X | ||||
| 32772/tcp: rusersd – идентификация | X | ||||
| 32773/tcp: ttdbserverd – идентификация и получение привилегий root | X | ||||
| 32774/tcp: kcms_server – идентификация | X | ||||
| 32780/tcp: mountd – идентификация и получения списка ресурсов | X | ||||
| 32781/tcp: bootparam – идентификация | X | ||||
| 65363/tcp: RPC | X | ||||
| Icmp timestamp | X | ||||
| Ложные срабатывания | |||||
| 32771/tcp: status – получение привилегий root | X | ||||
| Finger – переполнение буфера | X | ||||
| X | |||||
| Compaq/Tandem himalaya K2006
(OS D35) |
ISS | XSpider | LanGuard | SSS | XF |
| Всего найдено портов | 4 | 5 | 3 | 5 | 4 |
| 7/tcp: echo | X | X | X | X | |
| 21/tcp: ftp | X | X | X | X | X |
| 23/tcp: telnet | X | X | X | X | X |
| 23/tcp: telnet – вход только по паролю | X | ||||
| 79/tcp: finger | X | X | X | X | X |
| Icmp netmask | X | ||||
| Icmp timestamp | X | ||||
| Windows 2000 Server | ISS | XSpider | LanGuard | SSS | XF |
| Всего найдено портов | 9 | 9 | 7 | 7 | 8 |
| 21/tcp: ftp | X | X | X | X | X |
| X | |||||
| 21/tcp: ftp – анонимный вход | X | X | X | X | X |
| 21/tcp: ftp – перебор паролей | X | X | X | ||
| 21/tcp: ftp – есть доступ на запись | X | X | |||
| 21/tcp: ftp – возможен сбор статистики | X | X | |||
| 80/tcp: httpd MS IIS/5.0 |
X | X | X | X | X |
| 80/tcp: httpd – переполнение буфера | X | ||||
| 135/tcp: Rpc | X | X | X | X | X |
| 500/udp: isakmp | X | ||||
| 1027/tcp: sqlserver.exe – идентификация | X | ||||
| 1433/tcp: Ms SQL | X | X | X | X | |
| 3389/tcp: Ms RDP | X | X | X | X | |
| Icmp timestamp | X | ||||
| Ложные срабатывания | |||||
| 1433/tcp: MsSQL – перехват административной сессии | X | ||||
| Windows XP Professional | ISS | XSpider | LanGuard | SSS | XF |
| Всего найдено портов | 20 | 15 | 4 | 11 | 8 |
| 7/tcp: echo | X | X | X | X | |
| 7/udp: echo | X | X | |||
| 9/tcp: discard | X | X | X | X | |
| 9/udp: discard | X | ||||
| 13/tcp: daytime | X | X | X | X | X |
| 13/udp: daytime | X | X | |||
| 17/tcp: qotd | X | X | X | X | |
| 17/udp: qotd | X | X | |||
| 19/tcp: chargen | X | X | X | X | |
| 19/udp: chargen | X | X | |||
| 135/tcp: Rpc | X | X | X | X | X |
| 139/tcp: NetBios | X | X | X | X | X |
| 139/tcp: NetBios - информация | X | ||||
| 445/tcp: MS Ds | X | X | X | X | X |
| 500/udp: isakmp | X | ||||
| 540/udp: router | X | ||||
| 1025/tcp: Rpc | X | X | X | ||
| IcqClient | X | ||||
| 1900/udp: upnp – переполнение буфера | X | ||||
| 123/udp: ntp | X | X | |||
| 5000/tcp: httpd | X | X | |||
| Icmp timestamp | X | ||||
| Ложные срабатывания | |||||
| 19/tcp: chargen – возможна DOS-атака | X | X | |||
| Linux RedHat 5.2 | ISS | XSpider | LanGuard | SSS | XF |
| Всего найдено портов | 14 | 14 | 12 | 12 | 10 |
| 21/tcp: ftp | X | X | X | X | X |
| 21/tcp: ftp – переполнение буфера | X | X | X | ||
| 21/tcp: ftp – дефолтный аккаунт с полным доступом | X | X | |||
| 23/tcp: telnet | X | X | X | X | X |
| 23/tcp: telnet - дефолтный аккаунт с полным доступом | X | ||||
| 25/tcp: smtp | X | X | X | X | X |
| 25/tcp: smtp – неавторизованная отправка почты | X | ||||
| 25/tcp: smtp – локальный перехват сокета | X | X | |||
| 53/tcp: dns | X | X | X | X | |
| 53/tcp: dns – определение версии bind | X | X | |||
| 110/tcp: httpd | X | X | |||
| 139/tcp: NetBios | X | X | X | X | |
| 139/tcp: NetBios – получение информации | X | ||||
| 513/tcp: login | X | X | X | ||
| 513/udp: rwhod | X | X | X | ||
| 514/tcp: shell | X | X | X | ||
| 515/tcp: printer | X | X | X | ||
| 2049/tcp: nfsd | X | X | X | ||
| 7000/tcp: httpd ConferenceRoom/IRC |
X | X | X | ||
| 8080/tcp: httpd Apache/1.3.3 (Unix) (Red Hat/Linux) |
X | X | X | X | |
| 8080/tcp: httpd – листинг директорий | X | X | |||
| 54321/tcp: httpd ConferenceRoom/IRC |
X | X | |||
| Icmp timestamp | X | ||||
| Ложные срабатывания | |||||
| 513/udp: rwhod – переполнение буфера | X | ||||
| 515/tcp: printer – переполнение буфера | X | ||||
| Bay Networks Router | ISS | XSpider | LanGuard | SSS | XF |
| Всего найдено портов | 3 | 3 | 2 | 2 | 3 |
| 7/udp: echo | X | X | |||
| 21/tcp: ftp | X | X | X | X | X |
| 23/tcp: telnet | X | X | X | X | X |
| Ложные срабатывания | |||||
| 9/udp: discard | X | ||||
| 21/tcp: ftp – переполнение буфера | X | ||||
| 69/udp: tftp | X | ||||
| 123/udp: ntp | X | ||||
| 161/udp: snmp | X | ||||
| 520/udp: routed | X | ||||
| Land DOS | X | ||||
Чтобы осмыслить результаты и придти к какому-либо выводу предлагается следующая система подсчета баллов, которая является более менее оптимальной (возможны и другие варианты, но они все похожи): за каждую найденную уязвимость будет добавляться определенное количество баллов в зависимости от степени опасности данной уязвимости, и наоборот за выдачу ложной уязвимости баллы будут вычитаться:
- серьезная уязвимость (+3 балла)
- уязвимость средней тяжести (+2 балла)
- информация (+1 балл)
- ложная серьезная уязвимость (-3 балла)
- ложная уязвимость средней тяжести (-2 балла)
- ложная информация (-1 балл)
Итоговая таблица:
| ISS | XSpider | LanGuard | SSS | X-Scan | |
| AS/400 | 9 | 14 | 6 | 9 | 7 |
| Solaris 2.5.1 | 26 | 39-(3) | 11-(2) | 23-(2) | 11 |
| Compaq/Tandem himalaya K2006 (OS D35) | 9 | 5 | 4 | 5 | 5 |
| Windows 2000 Server | 9 | 16-(2) | 6 | 8 | 7 |
| Windows XP Professional | 19-(2) | 18 | 5 | 10-(2) | 7 |
| Linux RedHat 5.2 | 24-(3) | 24-(2) | 7 | 21 | 12 |
| Bay Networks Router | 4-(8) | 4 | 3 | 3 | 3 |
| 100-(13) | 120-(7) | 42-(2) | 79-(4) | 52 | |
| Итого | 87 | 113 | 40 | 75 | 52 |
Что в результате?
ISS Internet Scanner в описании не нуждается. Он показал себя как всегда на высоком уровне, правда на этот раз уступив пальму первенства XSpider-у.
XSpider оказался бесспорным лидером, сильно оторвавшись от конкурентов особенно при поиске уязвимостей в Windows и Solaris, что особенно приятно при его небольшом размере и бесплатном распространении. Есть большой минус: очень мало выводится информации при выдаче списка уязвимостей, что предполагает высокий уровень знаний и профессионализма у специалиста использующего эту программу.
LanGuard с натяжкой можно назвать сканером безопасности. Он очень хорошо работает с NetBios, выдавая список ресурсов, сервисов и пользователей. Эта способность сильно отличает сканер от остальных, но вот именно только эта. На этом преимущества LanGuard заканчиваются.
ShadowSecurityScanner практически не отстал от ISS. И это при столь большой разнице в их цене. У программы простой интерфейс похожий на интерфейс сканера Retina. Подробные советы и рекомендации по устранению уязвимостей легко позволяют справиться с проблемами. Минусы: небольшое количество распознаваемых уязвимостей, гораздо большее потребление системных ресурсов при работе по сравнении с другими сканерами.
X-Scan бесплатный сканер по возможностям похожий на LanGuard, но немного его превосходящий. Минусы: не очень читабельный интерфейс программы, отсутствие каких-либо комментариев про найденные уязвимости.