Ahpub - کامپیوتر گام به گام

GFI LanGuard چیست؟ یافتن آسیب پذیری های شبکه به طور موثر با نرم افزار اسکن آسیب پذیری اسکنر Nessus

هر یک از تیم ][ ترجیحات خاص خود را در رابطه با نرم افزار و ابزارهای کمکی دارند
پنتست. پس از مشورت متوجه شدیم: انتخاب آنقدر متفاوت است که امکان انجام آن وجود دارد
مجموعه ای جنتلمن واقعی از برنامه های اثبات شده. در مورد آن تصمیم گرفتند. به
برای ساختن یک هوج‌پنج ترکیبی، کل فهرست را به موضوعات تقسیم کردیم. امروز لمس می کنیم
مقدس از هر pentester - اسکنر آسیب پذیری.

نسوس

سایت اینترنتی:
www.nessus.org/plugins/index.php
توزیع: رایگان/شیرافزار
پلتفرم: Win/*nix/Mac

اگر کسی امتحان نکرده است نسوسسپس حداقل در مورد آن شنیده است.
یکی از معروف ترین اسکنرهای امنیتی تاریخچه ای غنی دارد: بودن
پس از یک پروژه باز، برنامه به صورت باز توزیع نمی شود
منابع خوشبختانه باقی مانده است نسخه رایگان، که در ابتدا بود
به شدت از دسترسی به به روز رسانی برای پایگاه داده آسیب پذیری ها و افزونه های جدید محروم شده است،
اما بعداً توسعه دهندگان ترحم کردند و فقط آن را در دفعات به روز رسانی محدود کردند.
پلاگین ها - ویژگی های کلیدیمعماری برنامه: هر تست در
نفوذ به طور محکم به برنامه دوخته نشده است، اما به شکل ساخته شده است
پلاگین. افزونه ها توسط 42 توزیع می شوند انواع مختلف: به
یک پنتست انجام دهید، می توانید هم افزونه های فردی و هم همه پلاگین ها را فعال کنید
از یک نوع خاص - به عنوان مثال، برای انجام تمام بررسی های محلی
سیستم اوبونتو و هیچ کس شما را در نوشتن تست های خود محدود نمی کند.
در مورد نفوذ: برای این، یک زبان برنامه نویسی ویژه در Nessus پیاده سازی شد
- NASL (زبان برنامه نویسی حمله Nessus) که بعدا
آب و برق دیگر قرض گرفته است.

توسعه دهندگان با جدا کردن بخش سرور اسکنر به انعطاف پذیری بیشتری دست یافته اند.
انجام تمام اقدامات، از برنامه مشتری، که اینطور نیست
بیش از یک رابط گرافیکی در آخرین نسخه 4.2 دیمون در پورت 8834
وب سرور را باز می کند. با استفاده از آن، می توانید اسکنر را از طریق یک رابط کاربری راحت کنترل کنید
فلش "e، داشتن تنها یک مرورگر. پس از نصب اسکنر، سرور شروع به کار می کند
به طور خودکار، به محض ارائه کلید فعال سازی: می توانید
آن را در سایت اصلی درخواست کنید نسوس. درست است، برای ورودی، و محلی،
و از راه دور، ابتدا باید یک کاربر ایجاد کنید: در ویندوز این
با دو کلیک ماوس از طریق پنل مدیریت رابط کاربری گرافیکی Nesus Server Manager انجام می شود
به شما کمک می کند تا سرور را راه اندازی و متوقف کنید.

هر تست نفوذ با ایجاد به اصطلاح سیاست شروع می شود -
قوانینی که اسکنر در حین اسکن به آنها پایبند است. اینجا و
انواع اسکن پورت انتخاب شده است (TCP Scan، UDP Scan، Syn Scan و غیره)،
تعداد اتصالات همزمان، و همچنین معمولی صرفا برای نسوس
گزینه هایی مانند چک های ایمن مورد دوم شامل اسکن ایمن است،
غیرفعال کردن افزونه هایی که ممکن است به سیستم در حال اسکن آسیب برساند. گام مهم
در ایجاد قوانین - این اتصال پلاگین های لازم است: می توانید کل را فعال کنید
گروه‌ها، مثلاً حساب‌های پیش‌فرض یونیکس، DNS، CISCO، امنیت محلی Slackware
چک، ویندوز و غیره انتخاب حملات و چک های احتمالی بسیار زیاد است! متمایز
ویژگی Nessus پلاگین های هوشمند است. اسکنر هرگز فقط سرویس را اسکن نمی کند
با شماره پورت آن فرض کنید با انتقال وب سرور از پورت استاندارد 80
در 1234، فریب نسوس امکان پذیر نخواهد بود - او این را تعیین خواهد کرد. اگر سرور FTP
کاربر ناشناس غیرفعال است، و برخی از افزونه ها از آن برای بررسی،
سپس اسکنر آنها را راه اندازی نمی کند، زیرا مطمئناً می داند که هیچ حسی از آنها نخواهد داشت. اگر یک
این افزونه از یک آسیب پذیری در Postfix سوء استفاده می کند، نسوسشکنجه نخواهد کرد
شادی، امتحان کردن تست ها در مقابل sendmail "a - و غیره. واضح است که به منظور انجام
بررسی سیستم محلی، اعتبارنامه باید به اسکنر ارائه شود
(ورودها و رمزهای عبور برای دسترسی) - این قسمت نهایی تنظیم قوانین است.

OpenVAS

وب سایت: www.openvas.org
توزیع: نرم افزار رایگان
پلتفرم: Win/*nix/Mac

اگرچه کدهای منبع Nessus بسته شده اند، موتور Nessus 2 و
برخی از افزونه ها هنوز تحت مجوز GPL به عنوان یک پروژه توزیع می شوند
OpenVAS (اسکنر ارزیابی آسیب‌پذیری منبع باز). حالا پروژه
کاملا مستقل از برادر بزرگتر خود رشد می کند و قابل توجه است
پیشرفت: آخرین نسخه پایدار درست قبل از ارسال شماره منتشر شد
مهر. جای تعجب نیست که OpenVASهمچنین از سرویس گیرنده-سرور استفاده می کند
معماری که در آن تمام عملیات اسکن توسط سمت سرور انجام می شود - آن
فقط تحت niks کار میکنه برای شروع، باید بسته ها را دانلود کنید
openvas-scanner، و همچنین مجموعه ای از openvas-libraries. مانند
سمت مشتری برای OpenVAS 3.0، فقط یک برنامه nix GUI در دسترس است،
اما من فکر می کنم که مانند نسخه های قبلی، یک پورت برای ویندوز به زودی ظاهر می شود. در هر
در این مورد، استفاده از آن راحت ترین است OpenVASبا کمک ناشناخته ها
LiveCD Bacrack (نسخه 4)، که قبلاً آن را نصب کرده است. همه رشته ها
عملیات برای شروع در آیتم های منو قرار می گیرد: OpenVAS Make Cert (ایجاد
گواهی SSL برای دسترسی به سرور)، افزودن کاربر (یک کاربر برای دسترسی ایجاد کنید
سرور)، NVT Sync (به روز رسانی پلاگین ها و پایگاه های داده آسیب پذیری)، و در نهایت،
سرور OpenVAS (راه اندازی سرور از طریق آیتم منو). علاوه بر این، فقط
بخش کلاینت را راه اندازی کنید و برای شروع پنتست به سرور متصل شوید.

باز بودن و گسترش پذیری OpenVASبگذارید زیاد اجرا شود
برنامه علاوه بر پلاگین های مستقیم برای تجزیه و تحلیل امنیتی، آن را
بسیاری از ابزارهای معروف ادغام شده اند: Nikto برای جستجوی اسکریپت های آسیب پذیر CGI،
nmap برای اسکن پورت و دریایی از چیزهای دیگر، ike-scan برای تشخیص IPSEC
گره های VPN، آمپ برای شناسایی خدمات در پورت ها با استفاده از اثر انگشت،
ovaldi برای پشتیبانی از OVAL - زبان استاندارد برای توصیف آسیب پذیری ها - و
بسیاری دیگر.

X-Spider 7

سایت اینترنتی:
www.ptsecurity.ru/xs7download.asp
توزیع: اشتراک افزار
پلتفرم: ویندوز

اولین خطوط کد XSpiderدر 2 دسامبر 1998 و برای
12 سال از آن زمان می گذرد، این اسکنر برای هر روسی شناخته شده است
متخصص امنیت اطلاعات به طور کلی، Positive Technologies یکی است
یکی از معدود شرکت های موجود در بازار امنیت اطلاعات داخلی که
کارمندان می دانند چگونه واقعاً چیزی را بشکنند و نه اینکه خدمات را به زیبایی بفروشند.
این محصول نه توسط برنامه نویسان، بلکه توسط متخصصان امنیت اطلاعات که می دانند چگونه نوشته شده است
آنچه باید بررسی شود نتیجه چیست؟ ما یک محصول با کیفیت بسیار بالا تنها با یک محصول داریم،
اما یک منفی بسیار جدی برای ما: XSpiderپرداخت شده! برای هیچ چیز
توسعه دهندگان یک نسخه آزمایشی کوتاه شده ارائه می دهند که تعدادی از آنها را پیاده سازی نمی کند
بررسی ها، از جمله بررسی های اکتشافی، و همچنین به روز رسانی های آنلاین برای پایگاه داده
آسیب پذیری ها علاوه بر این، تلاش های توسعه دهندگان اکنون به طور کامل به سمت دیگری معطوف شده است
محصول - سیستم نظارت بر امنیت اطلاعات MaxPatrol، برای
که، افسوس، حتی یک نسخه ی نمایشی نیست.

اما حتی با تمام محدودیت ها XSpiderیکی از راحت ترین است
و ابزارهای موثر برای تجزیه و تحلیل امنیت یک شبکه و گره های خاص.
تنظیمات اسکن، مانند مورد Nessus، در قالب یک ویژه انجام می شود
مجموعه ای از قوانین، فقط در این مورد آنها سیاست نامیده نمی شوند، بلکه پروفایل هستند.
هر دو پارامتر کلی برای تحلیل شبکه و رفتار اسکنر پیکربندی شده اند
برای پروتکل های خاص: SSH، LDAP، HTTP. نوع دیو تحقیق شده بر هر کدام
پورت توسط طبقه بندی پذیرفته شده عمومی تعیین نمی شود، بلکه با استفاده از
الگوریتم های انگشت نگاری اکتشافی "a - گزینه با یک کلیک روشن می شود
اسکن پروفایل یک کلمه جداگانه مستحق پردازش خدمات RPC (ویندوز).
و *nix) با شناسایی کامل که به لطف آن می توان آسیب پذیری ها را شناسایی کرد
خدمات مختلف و پیکربندی دقیق رایانه به عنوان یک کل. معاینه
ضعف در حفاظت از رمز عبور، حدس بهینه رمز عبور را عملا پیاده سازی می کند
در تمام سرویس هایی که نیاز به احراز هویت دارند، به شناسایی رمزهای عبور ضعیف کمک می کند.
نتیجه اسکن در قالب یک گزارش مناسب و برای هر یک ارائه می شود
آسیب پذیری بالقوه یافت شده یک توضیح کوچک و یک پیوند خارجی داده می شود،
برای جزئیات به کجا بروید

GFI LANguard

سایت اینترنتی:
www.gfi.com/lannetscan
توزیع: نرم افزار رایگان/شیرافزار
پلتفرم: ویندوز

چیزی که من به خصوص در مورد این محصول دوست دارم مجموعه از پیش نصب شده است
پروفایل ها برای اسکن علاوه بر اسکن کامل سیستم از راه دور،
به معنای انواع چک های موجود (به هر حال، یک نسخه ویژه وجود دارد
برای اتصال آهسته - به عنوان مثال، برای اتصال آهسته VPN از طریق ایالات)،
تعداد زیادی گروه جداگانه چک وجود دارد. به عنوان مثال، می توانید به سرعت ده ها را بررسی کنید
میزبان آسیب‌پذیری‌ها از Top20 که توسط افراد مشهور گردآوری شده است
شرکت امنیتی SANS. در اینجا می توانید جستجوی خودروها را نیز با آن فعال کنید
وصله ها یا بسته های سرویس حذف شده، یک نمایه را برای تست پنل انتخاب کنید
برنامه های تحت وب و غیره علاوه بر این، علاوه بر پروفایل به طور مستقیم با هدف
در جستجوی آسیب‌پذیری‌ها، تعدادی ابزار حسابرسی نیز وجود دارد: توپ جستجو، اسکنر هوشمند
پورت ها، از جمله برای جستجوی اتصالات باز شده توسط بدافزار، تعیین
پیکربندی کامپیوتر و غیره به نظر می رسد که در یک محصول در امتداد جرم قرار بگیرید
ابزارهای مفید

پایگاه داده آسیب پذیری ها به طور مداوم به روز می شود GFI LANguardشامل بیش از
15000 ورودی که به شما امکان می دهد طیف گسترده ای از سیستم ها (ویندوز، سیستم عامل مک، لینوکس) را اسکن کنید.
از جمله مواردی که روی ماشین های مجازی نصب شده اند. اسکنر به صورت خودکار
به روز رسانی هایی را برای پایگاه داده می کشد که به نوبه خود بر اساس گزارش ها تولید می شوند
BugTraq، SANS و دیگران. اجرای چک های خود را مانند
البته شما هم می توانید. برای این کار یک اسکریپت ویژه در اختیار شما قرار می گیرد
یک زبان سازگار با Python و VBScript (چه دسته ای!) و برای راحتی کامل
همچنین یک ویرایشگر راحت با دیباگر - به نظر می رسد یک IDE واقعی است. یکی دیگه
ویژگی منحصر به فرد LANguard این است که می تواند تشخیص دهد که دستگاه در حال کار است
در یک محیط مجازی (تا زمانی که VMware و Virtual PC پشتیبانی می شوند) یکی از موارد است
تراشه های اسکنر منحصر به فرد

اسکنر امنیتی شبکه شبکیه چشم

وب سایت: www.eeye.com
توزیع: اشتراک افزار
پلتفرم: ویندوز

ناامیدی اصلی این اسکنر افسانه ای بلافاصله بعد به سراغ من آمد
راه اندازی. نصاب آخرین نسخه، فحش دادن گفت فرار کن
شبکیه چشمدر ویندوز 7 یا ویندوز سرور 2008 R2 در حال حاضر امکان پذیر نیست. نه
خیلی مؤدبانه، مجبور شدم یک ماشین مجازی باز کنم، اما می دانستم که اینطور است
هزینه ها شبکیه چشم- یکی از بهترین اسکنرهایی که شناسایی و تجزیه و تحلیل می کند
میزبان شبکه های محلی سرورهای فیزیکی و مجازی، ایستگاه های کاری و
لپ تاپ ها، روترها و فایروال های سخت افزاری - شبکیه چشمارائه خواهد کرد
لیست کاملی از دستگاه های متصل به شبکه، اطلاعاتی را در مورد بی سیم نمایش می دهد
شبکه های. او هر یک از آنها را به هر طریق ممکن شکنجه می کند تا حداقل اشاره ای به آن پیدا کند
آسیب پذیری، و آن را بسیار هوشمندانه انجام می دهد. برای اسکن یک شبکه محلی کلاس C
حدود 15 دقیقه طول می کشد. تولید - محصول شبکیه چشمآسیب پذیری های سیستم عامل را تعیین می کند،
برنامه ها، تنظیمات و گزینه های بالقوه خطرناک. در نتیجه امکان پذیر است
یک نمای کلی از شبکه که آسیب پذیری های احتمالی را نشان می دهد، دریافت کنید. پایه با
آسیب پذیری ها، طبق اطمینان توسعه دهندگان، هر ساعت به روز می شوند و اطلاعات مربوط به
آسیب پذیری حداکثر 48 ساعت پس از اولین مورد به پایگاه داده اضافه می شود
کامیون. با این حال، این واقعیت که این محصول کارخانه eEye است، در حال حاضر وجود دارد
نوعی تضمین کیفیت

مایکروسافت Baseline Security Analyzer

وب سایت: www.microsoft.com
توزیع: نرم افزار رایگان
پلتفرم: ویندوز

آن چیست؟ تحلیلگر امنیتی مایکروسافت
رایانه های موجود در شبکه را از نظر مطابقت با الزامات مایکروسافت بررسی می کند
تعداد زیادی را جمع کرده است. مهمترین معیار البته حضور است
در سیستم تمام به روز رسانی های نصب شده. لازم نیست به شما یادآوری شود که چه کاری انجام داده اید
Conficker با استفاده از MS08-67 که 2 ماه قبل وصله شده است
اپیدمی ها علاوه بر وصله های گم شده در سیستم، MBSA برخی را نیز شناسایی می کند
شکاف های رایج در پیکربندی قبل از شروع اسکن، برنامه
به‌روزرسانی‌های پایگاه داده خود را دانلود می‌کند، بنابراین می‌توانید مطمئن باشید: مایکروسافت
تحلیلگر امنیت پایههمه چیز را در مورد به روز رسانی های منتشر شده برای ویندوز می داند. توسط
نتایج اسکن (دامنه یا محدوده آدرس های IP) خلاصه می شود
گزارش. یک گزارش تصویری از قبل می تواند به یک نمودار شبکه مشروط منتقل شود،
نمایش نتایج اسکن در Visio برای انجام این کار، وب سایت برنامه موجود است
یک رابط ویژه که گره های محلی مختلف را با نمادها نمایش می دهد،
پارامترهای اشیاء را پر می کند و اطلاعات مربوط به اسکن را در آنجا اضافه می کند
راحت ترین فرم به شما این امکان را می دهد که ببینید چه مشکلاتی در یک رایانه خاص وجود دارد.

قدیس

سایت اینترنتی:
http://www.saintcorporation.com
توزیع: اشتراک افزار
پلت فرم: -nix

فقط دو آدرس IP می توانید ضربه بزنید قدیسکه در
در طول دوره آزمایشی، به کلید متصل می شوند و برای شما ارسال می شود
پست الکترونیک. نه یک قدم چپ، نه یک قدم به راست - اما این محصول قطعا ارزشش را دارد
تلاش کنید، حتی با چنین محدودیت های شدید. کنترل اسکنر
از طریق یک رابط وب پیاده سازی شده است، که تعجب آور نیست - راه حل قدیس
فروخته می شوند، از جمله در قالب سرور برای نصب رک (SAINTbox)، و اینجا
شما باید مد را دنبال کنید با کمک یک رابط وب زاهدانه، بسیار آسان است
شروع به آزمایش کنید و از تجربه چندین ساله برای جستجو استفاده کنید
آسیب پذیری های احتمالی در سیستم من بیشتر می گویم: یکی از ماژول های SAINTexploit
اجازه می دهد تا نه تنها برای شناسایی، بلکه برای سوء استفاده از آسیب پذیری! بگیریم
خطای بدنام MS08-67. اگر اسکنر یک سوراخ بدون پوشش را تشخیص دهد و بداند
چگونه از آن بهره برداری کنیم، سپس درست در کنار توضیحات آسیب پذیری، پیوندی با
کلمه قلب نزدیک EXPLOIT. با یک کلیک، توضیحاتی در مورد اسپلویت دریافت می کنید،
علاوه بر این، - دکمه Run Now برای راه اندازی آن. علاوه بر این، بسته به تقسیم،
پارامترهای مختلفی مشخص شده است، به عنوان مثال، نسخه دقیق سیستم عامل در میزبان راه دور،
نوع پوسته و پورتی که روی آن اجرا خواهد شد. اگر بهره برداری از هدف موفقیت آمیز باشد
به پایان رسید، تب Connections ماژول SAINTexploit آدرس IP را نمایش می دهد
قربانیان و انتخاب اقداماتی که در نتیجه پرتاب در دسترس قرار گرفت
اکسپلویت: کار با فایل ها روی یک سیستم راه دور، خط فرمان و غیره!
تصور کنید: اسکنر که خودش می شکند! جای تعجب نیست که شعار محصول: "بررسی کنید.
نمایشگاه بهره برداری».سیستم چک ها متنوع ترین است و در هفتم آخر
نسخه، یک ماژول برای آزمایش برنامه های کاربردی وب و ویژگی های اضافی ظاهر شد
برای تجزیه و تحلیل پایگاه داده با تعیین یک هدف از طریق رابط وب، می توانید نظارت داشته باشید
اقدامات اسکنر با جزئیات کامل، دانستن اینکه اسکنر دقیقاً چه کاری و چگونه انجام می دهد
این لحظه.

اسکن ایکس

وب سایت: http://www.xfocus.org
توزیع: نرم افزار رایگان
پلتفرم: ویندوز

آخرین نسخه این اسکنر در سال 2007 منتشر شد که هیچ تداخلی ندارد
اکنون به لطف سیستم پلاگین ها و اسکریپت ها از آن استفاده کنید،
نوشته شده در NASL، همان زبان مورد استفاده توسط Nessus/OpenVAS. پیدا کردن
و ویرایش اسکریپت های موجود آسان است - همه آنها در پوشه اسکریپت ها قرار دارند.
برای شروع اسکنر، باید پارامترهای اسکن را از طریق منو تعیین کنید
پیکربندی -> پارامتر اسکن. شیئی که باید اسکن شود می تواند باشد
یک IP خاص و طیف وسیعی از آدرس ها، اما در مورد دوم باید از نظر اخلاقی باشد
آماده برای این واقعیت است که آزمایش طولانی خواهد بود. اسکنر، افسوس، بیشتر نیست
سریع تعداد ماژول های متصل به تناسب بر سرعت تأثیر می گذارد:
افزونه هایی که قدرت گذرواژه ها را برای SSH / VNC / FTP بررسی می کنند، یکی از بهترین ها
حریص. خارجی اسکن ایکسبیشتر شبیه یک محصول خانگی است که توسط شخصی ساخته شده است
برای نیازهای خود و در اختیار عموم برای شنای رایگان. شاید او این کار را انجام دهد
و اگر از اسکریپت‌های Nessus پشتیبانی نشود، چنین محبوبیتی کسب نکرد
با استفاده از ماژول Nessus-Attack-Scripts فعال می شوند. از طرفی ارزش دارد
گزارش اسکن را مشاهده کنید و تمام شک و تردیدها در مورد مفید بودن اسکنر به سراغ آن بروید
طرح دوم طبق یکی از استانداردهای رسمی IS صادر نخواهد شد، اما
قطعا چیزهای زیادی در مورد شبکه خواهد گفت.

Rapid 7 NeXpose

وب سایت: www.rapid7.com
توزیع: نسخه رایگان
پلتفرم: nix/Win

Rapid 7یکی از سریع ترین شرکت های در حال رشد متخصص در
در مورد امنیت اطلاعات در جهان این او بود که اخیراً این پروژه را به دست آورد
Metasploit Framework، و این کار دست اوست - پروژه Nexpose. قیمت
"ورودی" برای استفاده از نسخه تجاری تقریبا 3000 دلار است، اما
برای علاقه مندان یک نسخه انجمن با ویژگی های کمی کاهش یافته وجود دارد.
این نسخه رایگان به راحتی با Metasploit ادغام می شود (شما به نسخه ای نیاز دارید که ندارد
زیر 3.3.1). طرح کار بسیار مشکل است: ابتدا NeXpose راه اندازی می شود، سپس
کنسول Metasploit (msfconsole)، پس از آن می توانید فرآیند اسکن را شروع کنید
و آن را با یک سری دستورات پیکربندی کنید (expose_connect، expose_scan،
nexpose_discover، nexpose_dos و دیگران). خوب است که می توانید ترکیب کنید.
عملکرد Nexposeو سایر ماژول های Metasploit "a. ساده ترین، اما
مثال عملی: به دنبال رایانه هایی با آسیب پذیری خاص و بلافاصله بگردید
با استفاده از ماژول Metasploit مناسب از آن بهره برداری کنید - دریافت می کنیم
autoouting در سطح کیفی جدید

هشدار

پنداشتن سرورها و منابع صاحب منابع بدون اراده او عمل مجرمانه است
قابل مجازات در صورت استفاده از دانش کسب شده برای مقاصد غیرقانونی، نویسنده و
سردبیران مسئولیتی ندارند

مشکل اپیدمی کرم شبکه برای هر شبکه محلی مرتبط است. دیر یا زود، زمانی که یک کرم شبکه یا پست الکترونیکی به LAN نفوذ می کند، ممکن است وضعیتی ایجاد شود که توسط آنتی ویروس مورد استفاده شناسایی نمی شود. ویروس شبکه از طریق آسیب‌پذیری‌های سیستم‌عاملی که در زمان آلودگی بسته نشده‌اند یا از طریق منابع مشترک که قابل نوشتن هستند، از طریق یک شبکه LAN پخش می‌شود. ویروس ایمیلهمانطور که از نام آن پیداست، از طریق ایمیل توزیع می شود به شرطی که توسط آنتی ویروس مشتری و آنتی ویروس روی سرور ایمیل مسدود نشده باشد. علاوه بر این، اپیدمی در LAN می تواند از درون در نتیجه فعالیت های یک خودی سازماندهی شود. در این مقاله، روش های عملی برای تجزیه و تحلیل عملیاتی رایانه های LAN با استفاده از ابزارهای مختلف، به ویژه با استفاده از ابزار AVZ نویسنده را در نظر خواهیم گرفت.

فرمول بندی مسئله

در صورتی که یک بیماری همه گیر یا فعالیت غیرعادی در شبکه شناسایی شود، مدیر باید به سرعت حداقل سه کار را حل کند:

  • شناسایی رایانه های شخصی آلوده در شبکه؛
  • نمونه های بدافزار را برای ارسال به آزمایشگاه آنتی ویروس پیدا کنید و یک استراتژی مقابله ای ایجاد کنید.
  • اقداماتی را برای جلوگیری از انتشار ویروس در شبکه محلی و از بین بردن آن در رایانه های آلوده انجام دهید.

در مورد فعالیت یک خودی، مراحل اصلی تجزیه و تحلیل یکسان است و اغلب به نیاز به شناسایی نرم افزار شخص ثالث نصب شده توسط خودی در رایانه های LAN می رسد. نمونه ای از این نرم افزارها Utilities هستند مدیریت از راه دور، کی لاگرها و نشانک های مختلف تروجان.

اجازه دهید راه حل هر یک از وظایف را با جزئیات بیشتری در نظر بگیریم.

جستجو برای رایانه های شخصی آلوده

حداقل از سه روش می توان برای جستجوی رایانه های شخصی آلوده در شبکه استفاده کرد:

  • تجزیه و تحلیل کامپیوتر از راه دور خودکار - به دست آوردن اطلاعات در مورد فرآیندهای در حال اجرا، کتابخانه های بارگذاری شده و درایورها، جستجوی الگوهای مشخصه - به عنوان مثال، فرآیندها یا فایل هایی با نام های مشخص.
  • مطالعه ترافیک رایانه شخصی با استفاده از sniffer - این روش برای گرفتن ربات های هرزنامه، ایمیل و کرم های شبکه بسیار مؤثر است، با این حال، مشکل اصلی در استفاده از sniffer به این دلیل است که یک LAN مدرن بر اساس سوئیچ ها ساخته شده است. در نتیجه، مدیر نمی تواند ترافیک کل شبکه را نظارت کند. مشکل به دو صورت حل می شود: با اجرای یک sniffer بر روی روتر (که به شما امکان می دهد تبادل داده های رایانه شخصی را با اینترنت نظارت کنید) و با استفاده از عملکردهای نظارتی سوئیچ ها (بسیاری از سوئیچ های مدرن به شما امکان می دهند یک پورت نظارت را به آن اختصاص دهید. ترافیک یک یا چند پورت سوئیچ مشخص شده توسط مدیر تکراری است.
  • مطالعه بار شبکه - در این مورد، استفاده از سوئیچ های هوشمند بسیار راحت است که نه تنها بار را تخمین می زنند، بلکه پورت های مشخص شده توسط مدیر را نیز از راه دور غیرفعال می کنند. اگر مدیر نقشه شبکه ای داشته باشد که حاوی داده هایی باشد که رایانه های شخصی به پورت های مربوطه سوئیچ و محل قرارگیری آنها وصل شده اند، این عملیات بسیار ساده می شود.
  • استفاده از تله ها (honeypot) - اکیداً توصیه می شود که چندین تله در شبکه محلی ایجاد کنید که به مدیر امکان می دهد اپیدمی را به موقع تشخیص دهد.

تجزیه و تحلیل خودکار رایانه های شخصی در شبکه

تجزیه و تحلیل خودکار رایانه شخصی را می توان به سه مرحله اصلی کاهش داد:

  • انجام یک مطالعه کامل از رایانه شخصی - فرآیندهای در حال اجرا، کتابخانه ها و درایورهای بارگذاری شده، autorun.
  • انجام یک بررسی عملیاتی - به عنوان مثال، جستجوی فرآیندها یا فایل های مشخصه.
  • قرنطینه را طبق معیارهای خاص انجام دهید.

تمام کارهای فوق را می توان با استفاده از ابزار نویسنده AVZ که برای راه اندازی از یک پوشه شبکه روی سرور طراحی شده است و از یک زبان برنامه نویسی برای بررسی خودکار رایانه شخصی پشتیبانی می کند، حل کرد. برای اجرای AVZ بر روی رایانه کاربران، باید:

  1. AVZ را در یک پوشه شبکه قابل خواندن روی سرور قرار دهید.
  2. زیرشاخه های LOG و Qurantine را در این پوشه ایجاد کنید و به کاربران اجازه دهید برای آنها بنویسند.
  3. با استفاده از ابزار rexec یا یک اسکریپت ورود، AVZ را در رایانه های LAN راه اندازی کنید.

راه اندازی AVZ در مرحله 3 باید با پارامترهای زیر انجام شود:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

در این حالت، پارامتر Priority=-1 اولویت فرآیند AVZ را کاهش می‌دهد، پارامترهای nw=Y و nq=Y قرنطینه را به حالت "شروع شبکه" تغییر می‌دهند (در این حالت یک زیر شاخه در پوشه قرنطینه ایجاد می‌شود. برای هر رایانه ای که نام آن با نام شبکه رایانه شخصی مطابقت دارد) HiddenMode=2 به کاربر دستور می دهد تا دسترسی کاربر به رابط کاربری گرافیکی و کنترل AVZ را ممنوع کند و در نهایت مهمترین پارامتر Script نام کامل اسکریپت را با دستورات مشخص می کند. که AVZ روی کامپیوتر کاربر اجرا خواهد کرد. استفاده از زبان برنامه نویسی AVZ بسیار ساده است و صرفاً بر حل مشکلات بررسی رایانه و درمان آن متمرکز است. برای ساده‌تر کردن فرآیند نوشتن اسکریپت، می‌توانید از یک ویرایشگر اسکریپت تخصصی استفاده کنید که حاوی یک اعلان، یک جادوگر برای ایجاد اسکریپت‌های معمولی و ابزارهایی برای بررسی صحت یک اسکریپت نوشته شده بدون اجرای آن است (شکل 1).

برنج. 1. ویرایشگر اسکریپت AVZ

بیایید سه فیلمنامه معمولی را در نظر بگیریم که می توانند در مبارزه با همه گیری مفید باشند. ابتدا به یک اسکریپت تحقیق کامپیوتری نیاز داریم. وظیفه اسکریپت بررسی سیستم و ایجاد یک پروتکل با نتایج در یک پوشه شبکه داده شده است. اسکریپت به این شکل است:

ActivateWatchDog (60 * 10)؛

// شروع به اسکن و تجزیه و تحلیل کنید

// سیستم را کاوش کنید

ExecuteSysCheck(GetAVZDirectory+

'\LOG\'+GetComputerName+'_log.htm');

//خاموش کردن AVZ

در حین اجرای این اسکریپت، در پوشه LOG (فرض می شود که در پوشه AVZ روی سرور ایجاد شده و برای نوشتن در دسترس کاربران است)، فایل های HTML با نتایج مطالعه رایانه های شبکه ایجاد می شود. و نام کامپیوتر مورد مطالعه برای اطمینان از منحصر به فرد بودن در نام پروتکل گنجانده شده است. در ابتدای اسکریپت دستور روشن کردن تایمر Watchdog وجود دارد که در صورت بروز اشکال در اجرای اسکریپت، پس از 10 دقیقه فرآیند AVZ به اجبار پایان می یابد.

پروتکل AVZ برای مطالعه دستی مناسب است، اما برای تجزیه و تحلیل خودکار کاربرد کمی دارد. علاوه بر این، مدیر اغلب نام فایل برنامه مخرب را می داند و فقط باید وجود یا عدم وجود این فایل را بررسی کند و در صورت وجود، آن را برای تجزیه و تحلیل قرنطینه کند. در این حالت می توانید از اسکریپت زیر استفاده کنید:

// تایمر نگهبان را به مدت 10 دقیقه فعال کنید

ActivateWatchDog (60 * 10)؛

// بدافزار را با نام جستجو کنید

QuarantineFile('%WinDir%\smss.exe', 'LdPinch.gen مشکوک');

QuarantineFile('%WinDir%\csrss.exe', 'LdPinch.gen مشکوک');

//خاموش کردن AVZ

این اسکریپت از تابع QuarantineFile استفاده می کند که سعی می کند فایل های مشخص شده را قرنطینه کند. مدیر فقط باید محتویات قرنطینه (پوشه Quarantine\network_PC_name\quarantine_date\) را برای فایل‌های قرنطینه شده تجزیه و تحلیل کند. لطفاً توجه داشته باشید که عملکرد QuarantineFile به طور خودکار قرنطینه فایل های شناسایی شده توسط پایگاه داده امن AVZ یا پایگاه داده Microsoft EDS را مسدود می کند. برای استفاده عملی، این اسکریپت را می توان بهبود بخشید - بارگذاری نام فایل ها را از یک فایل متنی خارجی سازماندهی کنید، فایل های یافت شده را در برابر پایگاه های داده AVZ بررسی کنید و یک پروتکل متنی با نتایج کار تشکیل دهید:

// فایلی را با نام مشخص شده جستجو کنید

تابع CheckByName(Fname: string): boolean;

نتیجه:= FileExists(FName) ;

اگر نتیجه پس از آن شروع کنید

case CheckFile(FName) of

1: S:= '، دسترسی به فایل مسدود شده است';

1: S:= '، شناسایی شده به عنوان بدافزار ('+GetLastCheckTxt+')';

2: S:= '، مشکوک به اسکنر فایل ('+GetLastCheckTxt+')';

3: خروج؛ // فایل های امن را نادیده بگیرید

AddToLog('فایل '+NormalFileName(FName)+' یک نام مشکوک دارد'+S);

//افزودن فایل مشخص شده به قرنطینه

QuarantineFile (FName، 'فایل مشکوک'+S);

SuspNames: TStringList; // لیست نام فایل های مشکوک

// بررسی فایل ها در برابر پایگاه داده به روز شده

اگر FileExists (GetAVZDirectory + 'files.db') سپس شروع کنید

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('نام پایگاه داده بارگیری شد - تعداد ورودی ها = '+inttostr(SuspNames.Count));

// حلقه جستجو

برای i:= 0 به SuspNames.Count - 1 انجام دهید

CheckByName(SuspNames[i]);

AddToLog('خطا در بارگیری لیست نام فایل ها');

SaveLog(GetAVZDirectory+'\LOG\'+

GetComputerName+'_files.txt');

برای اینکه این اسکریپت کار کند، لازم است که در پوشه AVZ فهرست های Quarantine و LOG موجود برای نوشتن کاربران و همچنین فایل متنی files.db ایجاد شود - هر خط از این فایل حاوی نام فایل مشکوک است. نام فایل ها می تواند شامل ماکروها باشد که مفیدترین آنها %WinDir% (مسیر به پوشه ویندوز) و %SystemRoot% (مسیر به پوشه System32) می باشد. جهت دیگر تحلیل می تواند مطالعه خودکار لیست فرآیندهای در حال اجرا بر روی رایانه کاربران باشد. اطلاعات مربوط به فرآیندهای در حال اجرا در پروتکل تحقیق سیستم موجود است، اما برای تجزیه و تحلیل خودکار استفاده از قطعه اسکریپت زیر راحت تر است:

رویه ScanProcess.

S:=''; S1:='';

// لیست فرآیند را به روز کنید

RefreshProcessList;

AddToLog('تعداد فرآیندها = '+IntToStr(GetProcessCount));

// چرخه تحلیل لیست دریافتی

برای i:= 0 تا GetProcessCount - 1 شروع کنید

S1:= S1 + ',' + ExtractFileName(GetProcessName(i));

// یک فرآیند را با نام جستجو کنید

اگر pos('trojan.exe', LowerCase(GetProcessName(i))) > 0 سپس

S:= S + GetProcessName(i)+',';

اگر اس<>''سپس

AddLineToTxtFile(GetAVZDirectory+'\LOG\_alarm.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S);

AddLineToTxtFile(GetAVZDirectory+'\LOG\_all_process.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S1);

بررسی فرآیندها در این اسکریپت به عنوان یک رویه ScanProcess جداگانه انجام می شود، بنابراین به راحتی می توان آن را در اسکریپت خود قرار داد. روش ScanProcess دو لیست از فرآیندها را ایجاد می کند: یک لیست کامل از فرآیندها (برای تجزیه و تحلیل بعدی) و یک لیست از فرآیندهایی که از دیدگاه مدیر، خطرناک در نظر گرفته می شوند. در این مورد، برای نمایش، فرآیندی به نام "trojan.exe" خطرناک در نظر گرفته می شود. اطلاعات مربوط به فرآیندهای خطرناک به فایل متنی _alarm.txt، اطلاعات مربوط به همه فرآیندها به فایل _all_process.txt اضافه می شود. به راحتی می توان فهمید که می توانید اسکریپت را با اضافه کردن، به عنوان مثال، بررسی فایل های فرآیند در برابر پایگاه داده فایل های امن یا بررسی نام فایل های اجرایی فرآیند در برابر یک پایگاه داده خارجی پیچیده کنید. یک روش مشابه در اسکریپت های AVZ مورد استفاده در Smolenskenergo استفاده می شود: مدیر به طور دوره ای مطالعه می کند اطلاعات جمع آوری شدهو اسکریپت را تغییر می دهد و نام فرآیندهای برنامه های ممنوعه توسط سیاست امنیتی را به آن اضافه می کند، به عنوان مثال، ICQ و MailRu.Agent، که به شما امکان می دهد به سرعت وجود نرم افزار ممنوعه را در رایانه های شخصی تحت مطالعه بررسی کنید. یکی دیگر از کاربردهای لیست فرآیندها، یافتن رایانه‌های شخصی است که فرآیند مورد نیاز مانند آنتی ویروس را ندارند.

در پایان، بیایید آخرین اسکریپت تجزیه و تحلیل مفید را در نظر بگیریم - اسکریپت قرنطینه خودکار همه پرونده هایی که توسط پایگاه داده ایمن AVZ و پایگاه داده Microsoft EDS شناسایی نمی شوند:

// قرنطینه خودکار را اجرا کنید

اجرای خودکار قرنطینه؛

قرنطینه خودکار فرآیندهای در حال اجرا و کتابخانه‌های بارگذاری شده، خدمات و درایورها، حدود 45 روش شروع خودکار، ماژول‌های برنامه افزودنی مرورگر و کاوشگر، کنترل‌کننده‌های SPI/LSP، کارهای زمان‌بندی، کنترل‌کننده‌های سیستم چاپ و غیره را بررسی می‌کند. یکی از ویژگی های قرنطینه این است که فایل ها با کنترل مجدد به آن اضافه می شوند، بنابراین عملکرد قرنطینه خودکار را می توان چندین بار فراخوانی کرد.

مزیت قرنطینه خودکار این است که با کمک آن مدیر می تواند به سرعت فایل های مشکوک بالقوه را از همه رایانه های موجود در شبکه برای مطالعه جمع آوری کند. ساده ترین (اما در عمل بسیار موثر) شکل مطالعه فایل ها می تواند بررسی قرنطینه دریافتی با چندین آنتی ویروس محبوب در حالت حداکثر اکتشافی باشد. لازم به ذکر است که راه اندازی همزمان Auto-Quarantine بر روی چند صد کامپیوتر می تواند بار بالایی را در شبکه و سرور فایل ایجاد کند.

تحقیق در مورد ترافیک

تحقیقات ترافیکی را می توان به سه روش انجام داد:

  • به صورت دستی با استفاده از sniffers.
  • در حالت نیمه اتوماتیک - در این حالت، ردیابی اطلاعات را جمع آوری می کند و سپس پروتکل های آن به صورت دستی یا توسط برخی نرم افزارها پردازش می شود.
  • به طور خودکار با استفاده از سیستم‌های تشخیص نفوذ (IDS) مانند Snort (http://www.snort.org/) یا نرم‌افزار یا همتایان سخت‌افزاری آن‌ها. در ساده ترین حالت، یک IDS شامل یک sniffer و یک سیستم است که اطلاعات جمع آوری شده توسط Sniffer را تجزیه و تحلیل می کند.

سیستم تشخیص نفوذ بهترین ابزار است زیرا به شما امکان می دهد مجموعه ای از قوانین را برای تشخیص ناهنجاری ها در فعالیت شبکه ایجاد کنید. مزیت دوم آن به شرح زیر است: اکثر IDS های مدرن به شما امکان می دهند عوامل نظارت بر ترافیک را در چندین گره شبکه قرار دهید - عامل ها اطلاعات را جمع آوری و انتقال می دهند. در مورد استفاده از sniffer، استفاده از sniffer کنسول tcpdump UNIX بسیار راحت است. به عنوان مثال، برای نظارت بر فعالیت در پورت 25 ( پروتکل SMTP) فقط Sniffer را با اجرا کنید خط فرماننوع:

tcpdump -i em0 -l tcp پورت 25 > smtp_log.txt

در این مورد، بسته ها از طریق رابط em0 ضبط می شوند. اطلاعات مربوط به بسته های ضبط شده در فایل smtp_log.txt ذخیره می شود. تجزیه و تحلیل دستی پروتکل نسبتاً آسان است، در این مثال، تجزیه و تحلیل فعالیت در پورت 25 به شما امکان می دهد رایانه شخصی را با ربات های اسپم فعال محاسبه کنید.

اپلیکیشن Honeypot

به عنوان یک تله (Honeypot) می توانید از یک رایانه قدیمی استفاده کنید که عملکرد آن اجازه نمی دهد از آن برای حل مشکلات تولید استفاده شود. به عنوان مثال، در شبکه نویسنده، یک پنتیوم پرو با 64 مگابایت رم به عنوان یک تله با موفقیت استفاده می شود. در این رایانه شخصی، باید متداول ترین سیستم عامل را روی LAN نصب کنید و یکی از استراتژی ها را انتخاب کنید:

  • نصب یک سیستم عامل بدون بسته های خدماتی - این نشانگر ظاهر یک کرم شبکه فعال در شبکه خواهد بود که از هر یک از آسیب پذیری های شناخته شده برای این سیستم عامل سوء استفاده می کند.
  • نصب یک سیستم عامل با به روز رسانی هایی که روی رایانه های شخصی دیگر در شبکه نصب شده است - Honeypot آنالوگ هر یک از ایستگاه های کاری خواهد بود.

هر یک از استراتژی‌ها هم مزایا و هم معایب خود را دارند. نویسنده بیشتر از گزینه بدون به روز رسانی استفاده می کند. پس از ایجاد Honeypot، باید یک تصویر دیسک ایجاد کنید تا به سرعت سیستم را پس از آسیب دیدگی توسط بدافزار بازیابی کنید. به عنوان جایگزینی برای تصویر دیسک، می توانید از سیستم های تغییر بازگشت مانند ShadowUser و آنالوگ های آن استفاده کنید. پس از ساخت Honeypot، باید در نظر گرفت که تعدادی از کرم‌های شبکه با اسکن محدوده IP، که از آدرس IP رایانه آلوده محاسبه می‌شود، به دنبال رایانه‌های آلوده می‌گردند (استراتژی‌های معمول معمولی X.X.X.*، X.X.X+1.* هستند. ، X.X.X-1.*)، - بنابراین، در حالت ایده آل، باید یک Honeypot در هر یک از زیرشبکه ها وجود داشته باشد. به عنوان عناصر آماده سازی اضافی، لازم است دسترسی به چندین پوشه در سیستم Honeypot باز شود و چندین فایل نمونه با فرمت های مختلف در این پوشه ها قرار داده شود، حداقل مجموعه EXE، JPG، MP3 است.

به طور طبیعی، با ایجاد Honeypot، مدیر باید عملکرد آن را نظارت کند و به هر گونه ناهنجاری که در این رایانه یافت می شود پاسخ دهد. حسابرسان می توانند به عنوان وسیله ای برای ثبت تغییرات استفاده شوند و از sniffer می توان برای ثبت فعالیت شبکه استفاده کرد. یک نکته مهماین است که اکثر sniffer ها توانایی پیکربندی ارسال یک هشدار به مدیر را در صورت شناسایی فعالیت شبکه داده شده ارائه می دهند. به عنوان مثال، در CommView Sniffer، این قانون شامل تعیین یک "فرمول" است که یک بسته شبکه را توصیف می کند، یا تعیین معیارهای کمی (ارسال بیش از تعداد مشخصی بسته یا بایت در ثانیه، ارسال بسته ها به آدرس های IP یا MAC ناشناس) - شکل. 2.

برنج. 2. یک هشدار فعالیت شبکه ایجاد و پیکربندی کنید

به عنوان یک هشدار، استفاده از پیام های ایمیل ارسال شده به آن راحت تر است صندوق پستیمدیر - در این صورت، می توانید اعلان های بلادرنگ را از تمام تله های موجود در شبکه دریافت کنید. علاوه بر این، اگر sniffer به شما اجازه ایجاد چندین هشدار را می دهد، منطقی است که فعالیت شبکه را با برجسته کردن کار با آن متمایز کنید. پست الکترونیک FTP / HTTP، TFTP، Telnet، MS Net، ترافیک بیش از 20-30 بسته در ثانیه را در هر پروتکل افزایش داد (شکل 3).

برنج. 3. نامه اطلاع رسانی ارسال شد
اگر بسته هایی یافت شوند که با معیارهای داده شده مطابقت دارند

هنگام سازماندهی یک تله، ایده خوبی است که چندین سرویس شبکه آسیب پذیر مورد استفاده در شبکه را روی آن قرار دهید یا شبیه ساز آنها را نصب کنید. ساده ترین (و رایگان) ابزار نویسنده APS است که بدون نصب کار می کند. اصل عملکرد APS به گوش دادن به مجموعه ای از پورت های TCP و UDP که در پایگاه داده آن توضیح داده شده و یک پاسخ از پیش تعریف شده یا تولید شده به طور تصادفی در زمان اتصال کاهش می یابد (شکل 4).

برنج. 4. پنجره اصلی ابزار APS

شکل اسکرین شات گرفته شده در حین عملیات APS واقعی در Smolenskenergo LAN را نشان می دهد. همانطور که در شکل مشاهده می کنید، تلاشی برای اتصال یکی از رایانه های مشتری در پورت 21 انجام شد. تجزیه و تحلیل پروتکل ها نشان داد که تلاش ها دوره ای هستند و توسط چندین تله در شبکه ثابت می شوند، که به ما امکان می دهد نتیجه بگیریم که شبکه برای یافتن و هک کردن سرورهای FTP با حدس زدن رمزهای عبور، اسکن می شود. APS ثبت می‌کند و می‌تواند پیام‌هایی را برای مدیران ارسال کند که اتصالات ثبت‌شده را به پورت‌های نظارت شده گزارش می‌دهند، که برای تشخیص سریع اسکن‌های شبکه مفید است.

هنگام ساختن هانی پات، نگاهی به منابع آنلاین در مورد این موضوع، مانند http://www.honeynet.org/ نیز مفید است. در بخش ابزار این سایت (http://www.honeynet.org/tools/index.html) می توانید تعدادی ابزار برای ضبط و تجزیه و تحلیل حملات پیدا کنید.

حذف بدافزار از راه دور

در حالت ایده آل، پس از یافتن نمونه ها بد افزارمدیر آنها را به آزمایشگاه ضد ویروس می فرستد، جایی که آنها به سرعت توسط تحلیلگران مورد مطالعه قرار می گیرند و امضاهای مربوطه در پایگاه داده های ضد ویروس وارد می شوند. این امضاها از طریق به روز رسانی خودکاربه رایانه های شخصی کاربران دسترسی پیدا کنید و آنتی ویروس به طور خودکار بدافزارها را بدون دخالت سرپرست حذف می کند. با این حال، این زنجیره همیشه همانطور که انتظار می رود کار نمی کند، به ویژه، دلایل زیر برای شکست ممکن است:

  • به دلایلی مستقل از مدیر شبکه، تصاویر ممکن است به آزمایشگاه آنتی ویروس نرسند.
  • راندمان ناکافی آزمایشگاه ضد ویروس - در حالت ایده آل، مطالعه نمونه ها و افزودن آنها به پایگاه های داده بیش از 1-2 ساعت طول نمی کشد، یعنی در یک روز کاری می توانید پایگاه های داده امضا به روز شده را دریافت کنید. با این حال، همه آزمایشگاه‌های آنتی ویروس به این سرعت کار نمی‌کنند و می‌توان به‌روزرسانی‌ها را برای چند روز (در موارد نادر، حتی هفته‌ها) انتظار داشت.
  • عملکرد بالای آنتی ویروس - تعدادی از برنامه های مخرب، پس از فعال سازی، آنتی ویروس ها را از بین می برند یا در غیر این صورت کار آنها را مختل می کنند. نمونه‌های کلاسیک عبارتند از ایجاد ورودی‌هایی در فایل میزبان که مانع از عملکرد عادی سیستم به‌روزرسانی خودکار آنتی‌ویروس می‌شود، فرآیندهای آنتی‌ویروس، سرویس‌ها و درایورها را حذف می‌کند، به تنظیمات آن‌ها آسیب می‌زند و غیره.

بنابراین در این مواقع باید به صورت دستی با بدافزارها مقابله کنید. در بیشتر موارد، این کار دشواری نیست، زیرا نتایج تجزیه و تحلیل رایانه ها به عنوان رایانه های شخصی آلوده و همچنین نام کامل فایل های بدافزار شناخته شده است. تنها برای انجام حذف از راه دور آنها باقی مانده است. اگر برنامه مخرب از حذف محافظت نشده باشد، می توان آن را با یک اسکریپت AVZ به شکل زیر از بین برد:

// حذف فایل

DeleteFile ('نام فایل');

ExecuteSysClean;

این اسکریپت یک فایل مشخص شده (یا چندین فایل را حذف می کند، زیرا می تواند تعداد نامحدودی از دستورات DeleteFile در اسکریپت وجود داشته باشد) و سپس به طور خودکار رجیستری را پاک می کند. در یک مورد پیچیده تر، یک برنامه مخرب می تواند از خود در برابر حذف محافظت کند (مثلاً با ایجاد مجدد فایل ها و کلیدهای رجیستری) یا با استفاده از فناوری rootkit خود را پنهان کند. در این حالت، اسکریپت پیچیده تر می شود و به شکل زیر خواهد بود:

// آنتی روت کیت

SearchRootkit (درست، درست)؛

// کنترل AVZGuard

SetAVZGuardStatus(true);

// حذف فایل

DeleteFile ('نام فایل');

// ورود BootCleaner را فعال کنید

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// لیستی از فایل های حذف شده توسط اسکریپت را به وظیفه BootCleaner وارد کنید

BC_ImportDeletedList;

// BootCleaner را فعال کنید

// پاکسازی اکتشافی سیستم

ExecuteSysClean;

RebootWindows (true);

این اسکریپت شامل مقاومت فعال در برابر روت کیت ها، استفاده از سیستم AVZGuard (این یک مسدود کننده فعالیت بدافزار است) و سیستم BootCleaner است. BootCleaner درایوری است که در مرحله راه اندازی مجدد سیستم، اشیاء مشخص شده را از KernelMode حذف می کند. تمرین نشان می دهد که چنین اسکریپتی قادر است اکثریت قریب به اتفاق بدافزارهای موجود را از بین ببرد. استثناء بدافزاری است که با هر بار راه‌اندازی مجدد نام فایل‌های اجرایی خود را تغییر می‌دهد - در این حالت، فایل‌هایی که در طول مطالعه سیستم یافت می‌شوند را می‌توان تغییر نام داد. در این مورد، باید رایانه را به صورت دستی ضد عفونی کنید یا امضاهای بدافزار خود را ایجاد کنید (نمونه ای از اسکریپتی که جستجوی امضا را اجرا می کند در راهنمای AVZ توضیح داده شده است).

نتیجه

در این مقاله چند تکنیک عملی برای مقابله با اپیدمی LAN به صورت دستی و بدون استفاده از محصولات آنتی ویروس را بررسی کردیم. بسیاری از تکنیک های توصیف شده را می توان برای جستجوی یک رایانه شخصی خارجی و نشانک های تروجان در رایانه های کاربران نیز استفاده کرد. اگر در یافتن بدافزار یا ایجاد اسکریپت‌های ضدعفونی مشکل دارید، مدیر می‌تواند از بخش «راهنما» فروم http://virusinfo.info یا بخش «مبارزه با ویروس‌ها» در انجمن http://forum.kaspersky.com/ استفاده کند. index.php?showforum= هجده. مطالعه پروتکل ها و کمک در درمان در هر دو انجمن به صورت رایگان انجام می شود، تجزیه و تحلیل رایانه شخصی طبق پروتکل های AVZ انجام می شود و در بیشتر موارد، درمان به اجرای اسکریپت AVZ بر روی رایانه های شخصی آلوده خلاصه می شود که توسط مجرب تدوین شده است. متخصصان این انجمن ها

اسکنر امنیتی: آسیب‌پذیری‌های شبکه را شناسایی می‌کند، به‌روزرسانی‌ها و وصله‌ها را مدیریت می‌کند، به طور خودکار مشکلات را برطرف می‌کند، نرم‌افزار و سخت‌افزار را ممیزی می‌کند. GFI امنیت شبکه"> امنیت شبکه 2080

اسکنر امنیت شبکه و مدیریت به روز رسانی متمرکز

GFI LanGuard به عنوان یک مشاور امنیت مجازی کار می کند:

- به‌روزرسانی‌های Windows®، Mac OS® و Linux® را مدیریت می‌کند

- آسیب پذیری های رایانه ها و دستگاه های تلفن همراه را شناسایی می کند

- ممیزی دستگاه های شبکه و نرم افزار

GFI Languard - اسکنر امنیتی برای شبکه‌ها در هر مقیاسی: پورت شبکه و اسکنر آسیب‌پذیری، اسکنر امنیتی، حفره‌ها را به طور خودکار در شبکه پیدا می‌کند.

GFI Languard - اسکنر امنیتی برای شبکه‌ها در هر مقیاسی: پورت شبکه و اسکنر آسیب‌پذیری، اسکنر امنیتی، حفره‌ها را به طور خودکار در شبکه پیدا می‌کند.

GFI LanGuard چیست؟

بیشتر از یک اسکنر آسیب پذیری!

GFI LanGuard یک اسکنر امنیتی شبکه است: آسیب‌پذیری‌های شبکه را شناسایی، شناسایی و رفع می‌کند. اسکن کامل پورت، به‌روزرسانی‌های نرم‌افزار حفاظت از شبکه، و ممیزی نرم‌افزار و سخت‌افزار همگی از طریق یک کنترل پنل در دسترس هستند.

اسکنر پورت

چندین پروفایل اسکن از پیش تعیین شده به شما این امکان را می دهد که اسکن کامل همه پورت ها را انجام دهید و همچنین به سرعت فقط آنهایی را که معمولاً توسط نرم افزارهای ناخواسته و مخرب استفاده می شود بررسی کنید. GFI LanGuard چندین هاست را به طور همزمان اسکن می کند و زمان مورد نیاز را به میزان قابل توجهی کاهش می دهد و سپس نرم افزار یافت شده در پورت های شلوغ را با نرم افزار مورد انتظار مقایسه می کند.

به روز رسانی ها و وصله ها

تا زمانی که آخرین به‌روزرسانی‌ها نصب نشوند، گره‌های شما کاملاً محافظت نمی‌شوند، زیرا این آخرین آسیب‌پذیری‌ها هستند که توسط وصله‌ها و به‌روزرسانی‌های فعلی بسته می‌شوند که توسط هکرها برای نفوذ به شبکه شما استفاده می‌شوند. برخلاف ابزارهای تعبیه شده در سیستم عامل، GFI LanGuard نه تنها خود سیستم عامل، بلکه نرم افزارهای محبوبی را که آسیب پذیری های آن معمولاً برای هک استفاده می شود را بررسی می کند: Adobe Acrobat / Reader، Flash Player، Skype، Outlook، مرورگرها، پیام رسان های فوری.

حسابرسی گره

GFI LanGuard لیست دقیقی از نرم افزارها و سخت افزارهای نصب شده بر روی هر یک از رایانه های شما را ارائه می دهد، برنامه های ممنوعه یا گم شده و همچنین دستگاه های متصل غیر ضروری را شناسایی می کند. نتایج حاصل از اسکن های متعدد را می توان برای شناسایی تغییرات در نرم افزار و سخت افزار.

آخرین داده های تهدید

هر اسکن پس از به روز رسانی داده ها در مورد آسیب پذیری ها انجام می شود که تعداد آنها در پایگاه داده GFI LanGuard از 50000 فراتر رفته است. اطلاعات تهدید توسط خود فروشندگان نرم‌افزار و همچنین لیست‌های SANS و OVAL ارائه می‌شود، بنابراین شما همیشه در برابر آخرین تهدیدات، از جمله خونریزی، مخفیانه، صدف، پودل، کرم شنی و غیره محافظت می‌شوید.

تعمیر خودکار

پس از دریافت گزارش اسکن دقیق با شرح هر آسیب‌پذیری و پیوندهایی به ادبیات اضافی، می‌توانید با یک کلیک روی دکمه «Remediate» اکثر تهدیدات را برطرف کنید: پورت‌ها بسته می‌شوند، کلیدهای رجیستری رفع می‌شوند، وصله‌ها نصب می‌شوند، نرم‌افزار به‌روزرسانی می‌شود، ممنوع می‌شود. برنامه ها حذف شده و برنامه های از دست رفته نصب خواهند شد.

هدف اسکنر

امروزه تقریباً تمام شبکه های محلی به منابع اینترنت جهانی دسترسی دارند. در برخی شبکه های محلیممکن است سرورهایی وجود نداشته باشند که از خارج به آنها دسترسی داشته باشند و شبکه با استفاده از فناوری NAT به اینترنت دسترسی داشته باشد، یعنی یک رایانه کل شبکه را با اینترنت فراهم می کند. برخی از شبکه ها ممکن است چندین سرور داشته باشند که می توان از طریق اینترنت به آنها دسترسی داشت و رایانه های موجود در شبکه ممکن است دارای آدرس IP جهانی باشند. در هر صورت، همیشه حداقل یک کامپیوتر وجود دارد که مستقیماً به اینترنت متصل باشد. هک کردن چنین رایانه ای امنیت اطلاعات شبکه را به خطر می اندازد و می تواند عواقب ناگواری داشته باشد. اگر چندین سرور با آدرس های جهانی در شبکه کار کنند و به عنوان مثال، این فرصت را برای کارمندان شرکت فراهم کنند تا به ایمیل یا پایگاه داده شرکتی خود از هر نقطه از جهان دسترسی داشته باشند، اطمینان از امنیت چنین شبکه ای کار نسبتاً دشواری می شود. فقط یک کارمند با صلاحیت بالا وظایف اصلی این متخصص نظارت بر فیدهای خبری ده ها سایت امنیتی است که اطلاعاتی در مورد آسیب پذیری های کشف شده منتشر می کنند، بلافاصله به چنین پیام هایی پاسخ می دهند و به طور مستقل برای آسیب پذیری هایی که هنوز ناشناخته یا منحصر به فرد هستند جستجو می کند. با توجه به اینکه زمان زیادی بین کشف یک آسیب‌پذیری و انتشار یک تعمیر رسمی از فروشنده نرم‌افزار می‌گذرد، یک متخصص باید فوراً امکان سوء استفاده از آسیب‌پذیری را ببندد. اگر خدمات ارائه شده به بازدیدکنندگان بسیار پرطرفدار باشد، پس هر چه سریعتر مدیر از کشف یک آسیب پذیری مطلع شود (در حالت ایده آل، حتی قبل از انتشار آن در سایت های تخصصی)، احتمال اینکه او زمان بیشتری برای بستن شکاف کشف شده داشته باشد، بیشتر می شود. . برخی از آسیب پذیری ها ممکن است مختص یک سرویس خاص باشد. به عنوان مثال، خطا در برنامه نویسی اسکریپت می تواند این امکان را برای هکر ایجاد کند تا کنسولی را روی سرور نصب کند که با استفاده از آن می تواند کنترل کامل سرور و سپس بقیه منابع شبکه را در اختیار بگیرد. بنابراین، تضمین امنیت شبکه ای که خدمات عمومی در آن فعالیت می کنند، کاری بسیار دشوار و دشوار است و XSpider برای کمک به این امر طراحی شده است.

XSpider می تواند رایانه ها و سرویس های موجود در شبکه را برای آسیب پذیری ها در حالت کاملاً خودکار اسکن کند. پایگاه داده آسیب پذیری ها به طور مداوم توسط متخصصان به روز می شود که همراه با به روز رسانی خودکار پایگاه های داده و ماژول های برنامه، نسخه XSpider را دائما به روز نگه می دارد.

XSpider می تواند اسکن های برنامه ریزی شده را انجام دهد. بنابراین، با پیکربندی زمان‌بندی XSpider، به‌روزرسانی خودکار و ارسال گزارش‌های نتایج اسکن از طریق پست یا ذخیره آنها در یک درایو شبکه، می‌توانید روند یافتن آسیب‌پذیری‌ها را تا حد زیادی تسهیل کنید. این به ما این امکان را می‌دهد که روی مبارزه با آسیب‌پذیری‌های کشف‌شده و بهینه‌سازی و به‌روزرسانی نرم‌افزار تمرکز کنیم. در این مورد، XSpider همچنین کمک ارزشمندی ارائه می‌کند و در گزارش نتایج اسکن نه تنها اطلاعات مربوط به آسیب‌پذیری یافت شده را نمایش می‌دهد، بلکه پیوندهایی را نیز به عنوان مثال به مقالاتی در وب‌سایت مایکروسافت نشان می‌دهد که آسیب‌پذیری شناسایی شده توسط XSpider را توصیف می‌کند و توصیه‌هایی در مورد نحوه حذف ارائه می‌دهد. آی تی.

می توانید با شرایط خرید آشنا شوید، از قیمت ها مطلع شوید و XSpider را سفارش دهید.

نتایج بررسی هاست با سیستم عامل ویندوز XP بدون سرویس پک و فایروال غیرفعال

در آزمایش دوم، یک هاست ویندوز XP را بدون سرویس پک با فایروال غیرفعال بررسی کردیم. Tab پنجره اصلی XSpider در شکل زیر نشان داده شده است.

در طول اسکن، چندین آسیب پذیری حیاتی پیدا شد. به نتایج کار پیوندهایی به مقالاتی در پایگاه دانش مایکروسافت داده شد که آسیب‌پذیری کشف‌شده را توصیف می‌کنند و پیوندهایی برای رفع رفع این آسیب‌پذیری‌ها برای دانلود.

ما از شرکت "" برای ارائه یک نسخه از محصول برای آزمایش تشکر می کنیم.

فرآیندی به نام پویش آسیب‌پذیری، بررسی میزبان‌ها یا شبکه‌ها برای تهدیدات بالقوه است.

و نیاز به بررسی امنیت اغلب برای متخصصان فناوری اطلاعات ایجاد می شود - به خصوص وقتی صحبت از سازمان های بزرگی می شود که اطلاعات ارزشمندی دارند که مهاجمان ممکن است به آن نیاز داشته باشند.

مدیران شبکه های کوچک نباید از چنین اسکنی غافل شوند، به خصوص که در سال 2017، صدها هزار رایانه در معرض حملات جدی باج افزارهای بزرگ مقیاس قرار گرفتند که توسط هکرها راه اندازی شد.

استفاده از اسکنرهای آسیب پذیری

متخصصان امنیت اطلاعات برای بررسی نقاط ضعف در سیستم های امنیتی شبکه ها از نرم افزارهای مناسب استفاده می کنند.

به چنین برنامه هایی اسکنر آسیب پذیری می گویند.

اصل کار آنها بررسی برنامه هایی است که روی رایانه های موجود در شبکه اجرا می شوند و به اصطلاح "حفره هایی" را جستجو می کنند که افراد خارجی می توانند از آنها برای دسترسی به اطلاعات مهم استفاده کنند.

استفاده صحیح از برنامه‌هایی که می‌توانند آسیب‌پذیری‌های شبکه را شناسایی کنند به متخصصان فناوری اطلاعات اجازه می‌دهد تا از مشکلات مربوط به رمزهای عبور دزدیده شده جلوگیری کنند. حل چنین کارهایی:

  • جستجوی کد مخرب وارد شده به رایانه؛
  • موجودی نرم افزار و سایر منابع سیستم؛
  • ایجاد گزارش هایی حاوی اطلاعاتی در مورد آسیب پذیری ها و راه های رفع آنها.

اسکنرهای آسیب‌پذیری برای آن دسته از سازمان‌هایی که فعالیت‌هایشان شامل پردازش و ذخیره‌سازی آرشیوهای ارزشمند و اطلاعات محرمانه است، اهمیت ویژه‌ای دارد. چنین برنامه هایی مورد نیاز شرکت هایی است که در تحقیقات علمی، پزشکی، تجارت، فناوری اطلاعات، تبلیغات، امور مالی و سایر وظایفی که ممکن است با نشت اطلاعات از آنها جلوگیری شود.

مکانیسم های اسکن

اسکن آسیب پذیری با استفاده از دو مکانیسم اصلی انجام می شود - اسکن و کاوش

گزینه اول فرض می کند که برنامه اسکنر یک تجزیه و تحلیل غیرفعال انجام می دهد و وجود مشکلات امنیتی را تنها با تعدادی از علائم غیر مستقیم، اما بدون شواهد واقعی تعیین می کند.

این تکنیک "استنتاج منطقی" نامیده می شود اصول آن پیروی از مراحل زیر است:

1. شناسایی پورت های باز در هر یک از دستگاه های موجود در شبکه.

2. مجموعه ای از هدرهای مرتبط با پورت ها و یافت شده در حین اسکن.

3. مقایسه سرصفحه های دریافتی با جدول ویژه ای حاوی قوانین تعیین آسیب پذیری ها.

4. کسب نتیجه در مورد وجود یا عدم وجود مشکلات امنیتی در شبکه.

فرآیندی به نام "کاوشگر" یک تکنیک تست فعال است که به شما امکان می دهد با اطمینان تقریباً صد در صد بررسی کنید که آیا آسیب پذیری در شبکه وجود دارد یا خیر.

در مقایسه با سرعت اسکن نسبتا کند است، اما در بیشتر موارد دقیق تر است.

این روش که «تأیید» نیز نامیده می‌شود، از اطلاعات به‌دست‌آمده در حین اسکن اولیه استفاده می‌کند تا هر دستگاه شبکه را حتی موثرتر تجزیه و تحلیل کند، وجود تهدیدها را تأیید یا رد کند.

مزیت اصلی گزینه دوم نه تنها تأیید مشکلاتی است که با یک اسکن ساده قابل شناسایی هستند، بلکه همچنین تشخیص مشکلاتی است که با استفاده از تکنیک غیرفعال نمی توان آنها را پیدا کرد. بررسی با استفاده از سه مکانیسم انجام می شود - بررسی هدر، بررسی کاوش فعال و حملات شبیه سازی شده.

بررسی سرصفحه

مکانیسمی که نام آن در انگلیسی به نظر می رسد "بررسی بنر"، از تعدادی اسکن تشکیل شده است و نتیجه گیری خاصی را بر اساس داده های ارسال شده به برنامه اسکنر در پاسخ به درخواست آن ممکن می سازد.

نمونه ای از چنین چکی اسکن سرصفحه ها است با استفاده از برنامه Sendmail، که به شما امکان می دهد هم نسخه های نرم افزار را تعیین کنید و هم بررسی کنید که آیا مشکلی وجود دارد یا خیر.

این تکنیک ساده ترین و سریع ترین در نظر گرفته می شود، اما یک سری معایب دارد:

  • راندمان راستی آزمایی خیلی بالا نیست.علاوه بر این، مهاجمان می توانند اطلاعات موجود در هدرها را تغییر دهند، شماره نسخه و سایر اطلاعاتی را که توسط اسکنر برای به دست آوردن خروجی استفاده می شود حذف کنند. از یک طرف احتمال چنین تغییری خیلی زیاد نیست، از طرف دیگر نباید از آن غافل شد.
  • ناتوانی در تعیین دقیق اینکه آیا داده های موجود در هدر شواهدی از آسیب پذیری است یا خیر. اول از همه، این برای برنامه هایی که با کد منبع ارائه می شوند صدق می کند. هنگام رفع آسیب‌پذیری‌ها، شماره نسخه‌ها در هدرها باید به صورت دستی تغییر داده شوند - گاهی اوقات توسعه‌دهندگان به سادگی این کار را فراموش می‌کنند.
  • AT احتمال بروز یک آسیب پذیری در نسخه های بعدی برنامه، حتی پس از حذف آن از تغییرات قبلی.

در همین حال، با وجود معایب خاص و عدم وجود تضمینی برای تشخیص "سوراخ" در سیستم، فرآیند بررسی هدرها را می توان نه تنها اولین، بلکه یکی از مراحل اصلی اسکن نامید. علاوه بر این، استفاده از آن در عملکرد سرویس ها یا گره های شبکه اختلال ایجاد نمی کند.

بررسی های کاوشگر فعال

این تکنیک که به عنوان «بررسی فعال کاوشگر» نیز شناخته می‌شود، بر اساس بررسی نسخه‌های نرم‌افزار در هدرها نیست، بلکه مبتنی بر تجزیه و تحلیل و مقایسه «کست‌های» دیجیتالی برنامه‌ها با اطلاعات مربوط به آسیب‌پذیری‌های از قبل شناخته شده است.

اصل کارش کمی شبیه الگوریتم برنامه های آنتی ویروس است، که شامل مقایسه قطعات اسکن شده با پایگاه داده های ویروس است.

همین گروه از تکنیک‌ها همچنین شامل بررسی تاریخ ایجاد نرم‌افزار یا چک‌سام‌های اسکن‌شده است که به شما امکان می‌دهد صحت و یکپارچگی برنامه‌ها را تأیید کنید.

برای ذخیره اطلاعات در مورد آسیب پذیری ها، از پایگاه های داده تخصصی استفاده می شود که همچنین حاوی اطلاعاتی است که به شما امکان می دهد مشکل را برطرف کنید و خطر تهدید دسترسی غیرمجاز به شبکه را کاهش دهید.

این اطلاعات گاهی هم توسط سیستم های تحلیل امنیتی و هم توسط نرم افزارهایی که وظیفه آنها شناسایی حملات است، استفاده می شود. به طور کلی، تکنیک کاوش فعال که توسط شرکت‌های بزرگی مانند ISS و Cisco استفاده می‌شود، بسیار سریع‌تر از روش‌های دیگر است - اگرچه اجرای آن از بازرسی هدر دشوارتر است.

تقلید از حملات

روش دیگری در زبان انگلیسی نام دارد "بررسی بهره برداری"، که می تواند به روسی ترجمه شود "تقلید حمله".

تأیید انجام شده با کمک آن نیز یکی از گزینه های کاوشگر است و بر اساس جستجوی عیوب برنامه با تقویت آنها است.

این تکنیک دارای ویژگی های زیر است:

  • برخی از حفره های امنیتی را نمی توان تا زمانی که یک حمله واقعی علیه سرویس ها و گره های مشکوک شبیه سازی شود، کشف کرد.
  • برنامه‌های اسکنر هدرهای نرم‌افزار را در طول یک حمله جعلی بررسی می‌کنند.
  • هنگام اسکن داده ها، آسیب پذیری ها بسیار سریعتر از شرایط عادی شناسایی می شوند.
  • با شبیه‌سازی حملات، می‌توانید آسیب‌پذیری‌های بیشتری را (در صورتی که در ابتدا بودند) نسبت به استفاده از دو روش قبلی پیدا کنید - در حالی که نرخ تشخیص بسیار بالا است، اما استفاده از این روش همیشه توصیه نمی‌شود.
  • موقعیت هایی که اجازه راه اندازی "حملات تقلید" را نمی دهند به دو گروه تقسیم می شوند - تهدید مشکلات مربوط به نگهداری نرم افزار در حال بررسی یا عدم امکان اساسی حمله به سیستم.

اگر موارد تأیید سرورهای امن با اطلاعات ارزشمند باشند، استفاده از این تکنیک نامطلوب است.

حمله به چنین رایانه‌هایی می‌تواند منجر به از دست رفتن داده‌های جدی و خرابی عناصر مهم شبکه شود و هزینه بازیابی عملکرد ممکن است بسیار جدی باشد، حتی با در نظر گرفتن افزایش امنیت سیستم.

در این مورد، مطلوب است که از روش های دیگر تأیید استفاده کنید - به عنوان مثال، کاوش فعال یا بررسی هدرها.

در همین حال، در لیست آسیب‌پذیری‌ها مواردی وجود دارد که بدون تلاش برای شبیه‌سازی حملات قابل شناسایی نیستند - مثلاً شامل موارد زیر است: حساسیت به حملاتی مانند "طوفان بسته".

به طور پیش فرض، چنین روش های تأیید در سیستم غیرفعال هستند.

کاربر باید خودش آنها را فعال کند.

اسکنرهایی که از روش سوم اسکن برای آسیب پذیری ها استفاده می کنند، شامل سیستم هایی مانند اسکنر اینترنتو اسکنر CyberCop. در برنامه اول، چک ها برجسته می شوند به یک دسته جداگانه "انکار خدمات". هنگام استفاده از هر تابعی از لیست، برنامه در مورد خطر خرابی یا راه اندازی مجدد گره اسکن شده هشدار می دهد و هشدار می دهد که کاربر مسئول شروع اسکن است.

مراحل اصلی تست آسیب پذیری

اکثر نرم افزارهایی که اسکن آسیب پذیری را انجام می دهند اینگونه کار می کند:

1. تمام اطلاعات لازم در مورد شبکه را جمع آوری می کندابتدا تمامی دستگاه های فعال در سیستم و نرم افزارهای در حال اجرا بر روی آنها را شناسایی کنید. اگر تجزیه و تحلیل فقط در سطح یک رایانه شخصی با اسکنر از قبل نصب شده روی آن انجام شود، این مرحله نادیده گرفته می شود.

2. سعی می کند آسیب پذیری های احتمالی را پیدا کند، با استفاده از پایگاه های داده ویژه برای مقایسه اطلاعات دریافتی با انواع شناخته شده "حفره" در امنیت. مقایسه با استفاده از کاوش فعال یا بررسی هدر انجام می شود.

3. آسیب پذیری های یافت شده را با استفاده از تکنیک های خاص تأیید می کند- تقلید از نوع خاصی از حمله که می تواند وجود یا عدم وجود تهدید را ثابت کند.

4. گزارش هایی را بر اساس اطلاعات جمع آوری شده در حین اسکن تولید می کندتشریح آسیب پذیری ها

مرحله آخر اسکن یک رفع خودکار یا تلاش برای رفع مشکلات است. این ویژگی تقریباً در هر اسکنر سیستم موجود است و در اکثر برنامه های شبکه برای بررسی آسیب پذیری ها وجود ندارد.

تفاوت در کار برنامه های مختلف

برخی از اسکنرها آسیب پذیری ها را بر اساس سطح تهدید دسته بندی می کنند.

مثلا، سیستم نت سونارآنها را به شبکه‌هایی تقسیم می‌کند که می‌توانند روی روترها، بنابراین جدی‌تر، و محلی‌هایی که بر ایستگاه‌های کاری تأثیر می‌گذارند، تأثیر بگذارند.

اسکنر اینترنتتهدیدها را به سه سطح کم، زیاد و متوسط ​​تقسیم می کند.

این دو اسکنر چند تفاوت دیگر با هم دارند.

با کمک آنها، گزارش ها نه تنها ایجاد می شوند، بلکه به چندین گروه نیز تقسیم می شوند که هر کدام برای کاربران خاصی در نظر گرفته شده است - از مدیران شبکه تا رهبران شرکت.

علاوه بر این، برای اولین بار، حداکثر تعداد اعداد صادر می شود، برای دفترچه راهنما - نمودارها و نمودارهای زیبا با مقدار کمی جزئیات طراحی شده است.

به عنوان بخشی از گزارش های تولید شده توسط اسکنرها، توصیه هایی برای از بین بردن آسیب پذیری های یافت شده وجود دارد.

بیشتر این اطلاعات در داده هایی وجود دارد که توسط برنامه Internet Scanner صادر شده است دستورالعمل های گام به گامبرای حل مشکل با در نظر گرفتن ویژگی های سیستم عامل های مختلف.

مکانیسم عیب یابی در اسکنرها به صورت متفاوتی اجرا می شود.بنابراین در System Scanner یک اسکریپت مخصوص برای این وجود دارد که توسط مدیر راه اندازی می شود تا مشکل را حل کند. در همان زمان، یک الگوریتم دوم در حال ایجاد است که می تواند تغییرات ایجاد شده را در صورتی که الگوریتم اول منجر به بدتر شدن عملکرد یا شکست گره های جداگانه شود، اصلاح کند. در اکثر برنامه های اسکنر دیگر، هیچ راهی برای برگرداندن تغییرات وجود ندارد.

اقدامات مدیر برای شناسایی آسیب پذیری ها

برای جستجوی "حفره" در امنیت، مدیر می تواند توسط سه الگوریتم هدایت شود.

اولین و محبوب ترین گزینه- فقط شبکه را برای آسیب‌پذیری‌های احتمالی بررسی کنید. این امکان را به شما می دهد تا پیش نمایش داده های سیستم را بدون ایجاد اختلال در عملکرد گره ها و ارائه حداکثر سرعت تجزیه و تحلیل انجام دهید.

گزینه دوم- اسکن با تأیید و تأیید آسیب پذیری ها. این تکنیک زمان بیشتری می‌برد و ممکن است باعث خرابی نرم‌افزار رایانه‌های روی شبکه در حین اجرای مکانیسم شبیه‌سازی حمله شود.

روش شماره 3شامل استفاده از هر سه مکانیسم (علاوه بر این، با حقوق مدیر و کاربر) و تلاش برای از بین بردن آسیب پذیری ها در رایانه های فردی است. به دلیل سرعت کم و خطر شکستن نرم افزار، این روش به ندرت مورد استفاده قرار می گیرد - عمدتاً هنگامی که شواهد جدی از "سوراخ" وجود دارد.

قابلیت های اسکنرهای مدرن

الزامات اصلی برای یک برنامه اسکنر که سیستم و گره های جداگانه آن را از نظر آسیب پذیری بررسی می کند هستند:

  • کراس پلتفرم یا پشتیبانی از چندین سیستم عامل.با استفاده از این قابلیت می توانید شبکه ای متشکل از کامپیوترهایی با پلتفرم های مختلف را اسکن کنید. به عنوان مثال، با چند نسخه های ویندوزیا حتی با سیستم هایی مانند یونیکس.
  • امکان اسکن چندین پورت به طور همزمان- این ویژگی زمان تأیید را به میزان قابل توجهی کاهش می دهد.
  • اسکن انواع نرم افزارهایی که معمولا توسط هکرها مورد حمله قرار می گیرند.چنین نرم‌افزاری شامل محصولاتی از ادوبی و مایکروسافت است (به عنوان مثال، مجموعه برنامه‌های آفیس MS Office).
  • بررسی شبکه به عنوان یک کل و عناصر جداگانه آن بدون نیاز به اجرای اسکنبرای هر گره در سیستم

اکثر برنامه های اسکن مدرن دارای یک منوی بصری هستند و پیکربندی آنها مطابق با وظایف انجام شده بسیار آسان است.

بنابراین، تقریباً هر اسکنر این امکان را به شما می دهد تا لیستی از گره ها و برنامه های اسکن شده را جمع آوری کنید، برنامه هایی را مشخص کنید که در صورت شناسایی آسیب پذیری ها، به روز رسانی ها به طور خودکار برای آنها نصب شود، و تعداد دفعات اسکن و گزارش را تنظیم کنید.

پس از دریافت گزارش‌ها، اسکنر به مدیر اجازه می‌دهد تا اصلاح تهدید را اجرا کند.

از جمله ویژگی های اضافی اسکنرها می توان به امکان صرفه جویی در ترافیک اشاره کرد که تنها با دانلود یک نسخه از توزیع و توزیع آن در تمام رایانه های موجود در شبکه به دست می آید. یکی دیگر از ویژگی های مهم شامل ذخیره تاریخچه بررسی های گذشته است که به شما امکان می دهد عملکرد گره ها را در بازه های زمانی مشخص ارزیابی کنید و خطرات مشکلات امنیتی جدید را ارزیابی کنید.

اسکنرهای آسیب پذیری شبکه

دامنه برنامه های اسکنر در بازار نرم افزار مدرن بسیار زیاد است.

همه آنها از نظر عملکرد، اثربخشی یافتن آسیب پذیری ها و قیمت با یکدیگر متفاوت هستند.

برای ارزیابی قابلیت های چنین برنامه هایی، ارزش دارد که ویژگی ها و ویژگی های پنج گزینه محبوب را در نظر بگیرید.

GFI LanGuard

تولید کننده نرم افزار GFI یکی از پیشروان در بازار جهانی امنیت اطلاعات محسوب می شود و محصولات آن در رتبه بندی راحت ترین و موثرترین برنامه ها برای بررسی آسیب پذیری ها گنجانده شده است.

یکی از این برنامه ها که شبکه و کامپیوترهای فردی را ایمن می کند GFI LanGuard است. که ویژگی های آن عبارتند از:

  • ارزیابی سریع وضعیت پورت ها در سیستم؛
  • جستجوی تنظیمات ناامن در رایانه‌های شبکه و برنامه‌ها، افزونه‌ها و وصله‌های ممنوعه برای نصب؛
  • امکان اسکن نه تنها رایانه ها و سرورهای فردی، بلکه ماشین های مجازی موجود در سیستم و حتی تلفن های هوشمند متصل.
  • تهیه گزارش دقیق بر اساس نتایج اسکن، نشان دادن آسیب پذیری ها، پارامترهای آنها و راه های رفع آنها.
  • کنترل بصری و توانایی پیکربندی عملکرد خودکار - در صورت لزوم، اسکنر در زمان مشخصی شروع به کار می کند و تمام اصلاحات بدون دخالت مدیر انجام می شود.
  • توانایی حذف سریع تهدیدات یافت شده، تغییر تنظیمات سیستم، به روز رسانی نرم افزار مجاز و حذف برنامه های ممنوعه.

تفاوت این اسکنر با اکثر آنالوگ ها نصب به روز رسانی ها و وصله ها برای تقریبا هر سیستم عاملی است.

این ویژگی و سایر مزایای GFI LanGuard آن را در صدر فهرست نرم افزارهای اسکن آسیب پذیری شبکه قرار می دهد.

در عین حال هزینه استفاده از اسکنر حتی برای شرکت های کوچک نیز نسبتا کم و مقرون به صرفه است.

نسوس

برنامه Nessus برای اولین بار 20 سال پیش منتشر شد، اما تنها از سال 2003 تبدیل به پول شد.

درآمدزایی این پروژه باعث نشد که محبوبیت کمتری داشته باشد - به دلیل کارایی و سرعت کار، هر ششمین مدیر در جهان از این اسکنر خاص استفاده می کند.

مزایای انتخاب Nessus عبارتند از:

  • پایگاه داده آسیب پذیری ها به طور مداوم به روز می شود.
  • نصب ساده و رابط کاربر پسند؛
  • تشخیص موثر مشکلات امنیتی؛
  • استفاده از پلاگین ها، که هر کدام وظیفه خود را انجام می دهد - به عنوان مثال، اسکن سیستم عامل لینوکس را فراهم می کند یا شروع به بررسی فقط هدرها می کند.

ویژگی اضافی اسکنر- امکان استفاده از تست های ایجاد شده توسط کاربران با استفاده از نرم افزارهای خاص. در عین حال، این برنامه دو اشکال جدی دارد. اولین مورد احتمال شکست برخی از برنامه ها هنگام اسکن با استفاده از روش "تقلید حمله" است، دومی هزینه نسبتاً بالایی است.

بررسی امنیتی سیمانتک

Security Check یک اسکنر رایگان از Symantec است.

در میان عملکردهای آن، شایان ذکر است جستجو نه تنها برای آسیب پذیری ها، بلکه برای ویروس ها - از جمله ویروس های ماکرو، تروجان ها و کرم های اینترنتی. در واقع، برنامه از 2 بخش تشکیل شده است - اسکن امنیتی که امنیت شبکه را تضمین می کند و آنتی ویروس تشخیص ویروس.

از مزایای این برنامه می توان به نصب ساده و قابلیت کار از طریق مرورگر اشاره کرد. در میان معایب، راندمان پایین ذکر شده است - تطبیق پذیری محصول، که به آن اجازه می دهد به دنبال ویروس ها نیز بگردد، باعث می شود برای بررسی شبکه چندان مناسب نباشد. اکثر کاربران استفاده از این اسکنر را فقط برای بررسی های اضافی توصیه می کنند.

XSpider

اسکنر XSpider توسط Positive Technologies تولید شده است که نمایندگان آن ادعا می کنند که این برنامه نه تنها آسیب پذیری های شناخته شده را شناسایی می کند، بلکه می تواند تهدیدهایی را که هنوز ایجاد نشده اند نیز پیدا کند.

ویژگی های برنامه عبارتند از:

  • تشخیص موثر "سوراخ" در سیستم؛
  • توانایی کار از راه دور بدون نصب نرم افزار اضافی؛
  • ایجاد گزارش های دقیق با مشاوره در مورد عیب یابی؛
  • به روز رسانی پایگاه داده آسیب پذیری ها و ماژول های برنامه؛
  • اسکن همزمان تعداد زیادی گره و ایستگاه های کاری؛
  • ذخیره تاریخچه چک ها برای تجزیه و تحلیل بیشتر مشکلات.

همچنین شایان ذکر است که هزینه استفاده از اسکنر در مقایسه با برنامه Nessus مقرون به صرفه تر است. اگرچه بالاتر از GFI LanGuard.

QualysGuard

این اسکنر چند منظوره در نظر گرفته می شود و به شما امکان می دهد گزارش دقیقی را با ارزیابی سطح آسیب پذیری، زمان حذف آنها و میزان تأثیر "تهدید" بر تجارت دریافت کنید.

توسعه‌دهنده محصول، Qualys، Inc.، نرم‌افزار را به صدها هزار مشتری، از جمله نیمی از بزرگترین شرکت‌های جهان، تحویل می‌دهد.

تفاوت این برنامه وجود یک فضای ذخیره سازی پایگاه داده ابری و مجموعه ای داخلی از برنامه ها است که به شما امکان می دهد نه تنها امنیت شبکه را افزایش دهید، بلکه هزینه رساندن آن به نیازهای مختلف را نیز کاهش دهید.

این نرم افزار به شما امکان می دهد وب سایت های شرکتی، رایانه های فردی و کل شبکه را اسکن کنید.

نتیجه اسکن گزارشی است که به طور خودکار برای مدیر ارسال می شود و حاوی توصیه هایی برای از بین بردن آسیب پذیری ها است.

نتیجه گیری

با توجه به طیف گسترده ای از برنامه های کاربردی برای اسکن شبکه و گره های آن برای آسیب پذیری ها، کار مدیر تا حد زیادی تسهیل می شود.

اکنون او نیازی به راه اندازی دستی تمام مکانیسم های اسکن به تنهایی ندارد - فقط برنامه مناسب را پیدا کنید، روش اسکن را انتخاب کنید، پیکربندی کنید و از توصیه های گزارش دریافتی استفاده کنید.

انتخاب اسکنر مناسب باید بر اساس عملکرد برنامه، اثربخشی جستجوی تهدیدات (که با بازخورد کاربر تعیین می شود) باشد - و، که بسیار مهم است، با قیمتی که باید با ارزش آن قابل مقایسه باشد. اطلاعات در حال محافظت

بارگذاری...