Xspider обновление

Сканер безопасностиXSpiderявляется разработкой фирмы Positive Technologies. В отличии от сканераNMap, сканерXSpiderимеет удобный графический интерфейс, более интеллектуальные алгоритмы поиска уязвимостей, большую обновляемую базу уязвимостей, а также возможность создания полноценных отчетов по безопасности системы и многое другое.

Особо стоит упомянуть эвристические алгоритмы, использующиеся в XSpider. Он не только занимается простым перебором уязвимостей из базы, но и выполняет дополнительный анализ по ходу работы, исходя из особенностей текущей ситуации. Благодаря этому, XSpiderможет иногда обнаружить специфическую уязвимость, информация о которой еще не была опубликована.

Центральной концепцией XSpider является Задача. Она включает в себя набор проверяемых хостов. В одну Задачу имеет смысл объединять хосты, которые следует проверять сходным образом. Как только Задача сформирована, ей можно присвоитьПрофиль– набор настроек, которые определяют нюансы сканирования. Если этого не сделать – будет использоваться Профиль по умолчанию.

Выполнение Задачи можно автоматизировать, то есть присвоить ей расписание, по которому она будет выполняться. Для каждой Задачи хранится полная история всех сканирований. Результаты любого из них можно загрузить и работать с ними, как со «свежими». Это удобно и для анализа развития ситуации, и для того, чтобы случайно не потерять какие-то результаты работы. Задачи, как файлы, можно открывать, сохранять и т.п. Каждой Задаче соответствует файл на диске, находящийся по умолчанию в стандартном каталоге XSpider (Tasks).

Одновременно XSpider может обрабатывать много Задач, каждая из которых может содержать много хостов. Единственное, что стоит учесть – пропускную способность канала, связывающего XSpider с проверяемыми компьютерами. Учитывая, что трафик, создаваемый XSpider на один хост, невелик, то перегрузка канала возможна либо при очень большом (сотни) числе одновременно сканируемых хостов, либо, если канал очень узкий. Через настройки можно регулировать максимальное число проверяемых хостов на одну Задачу. То есть, даже если в Задаче, например, 100 хостов, можно указать, что одновременно должны сканироваться 50. При этом остальные будут стоять в очереди и проверятся последовательно.

Примечание

Более подробно о сканере безопасности XSpiderчитайте в файле-приложении к лабораторной работе:

Киреев_XSpider_7_5_2006.chm

Объекты исследования, оборудование, инструмент.

Программное обеспечение: сканер безопасности NMap 4.2, сканер безопасности XSpider 7.5 Demo, стандартные средства администрирования Windows.

Подготовка к работе.

4.1. Изучить теоретические сведения (п. 2).

4.2. Включить пк. Установить сканер безопасности nMap 4.2, сканер безопасностиXSpider7.5Demo.

Программа работы.

Лабораторная работа предполагает использование двух сканеров безопасности: NMap 4.2 иXSpider7.5Demo. Если на вашей ЭВМ они отсутствуют, установите их из каталога\DATA\SOFT\данной лабораторной работы. В качестве цели сканирования использовать только компьютеры локальной сети лаборатории. Не использовать потенциально опасные команды без разрешения преподавателя. После окончания работы привести все настройки компьютера в исходное состояние.

1. Выяснить IP-адрес вашего компьютера, маску подсети и основной шлюз. Данную информацию можно получить, посмотрев свойства протоколаTCP/IP(Сетевое окружение – Свойства). Или выполнив командуipconfigв командной строке (Пуск – Выполнить –cmd).

2. Выберите компьютер-жертву среди компьютеров лаборатории. Определите его IP-адрес. Его можно узнать либо у других студентов, либо уточнить у лаборанта.

3. Откройте консоль (Пуск – Выполнить – cmd). Запустите сканерNMap. Используя приведенный в лабораторной работе перечень стандартных опций определите, если возможно:

– имя сканируемого компьютера,

– количество открытых портов,

– имена открытых портов и названия сервисов, соответствующих им.

В отчет внести также использованные для этих целей команды или группу команд.

4. Используя маску, продемонстрируйте возможности NMap при сканировании диапазона ЭВМ в лаборатории. Использовать не менее трех команд (произвольных, не использованных ранее). В отчет внесите маску, команды для сканера и полученные результаты с пояснением.

5. Запустить сканер безопасности XSpiderи войти в модуль Сканеры (Вид – Сканирование). Ввести адрес сканируемой Вами ЭВМ в окне вводаIPадреса (Правка – Добавить хост) и осуществить сканирование безопасности (Сканирование – Старт).

– Внесите в отчет открытые порты и сервисы обнаруженные XSpider. Сравните результаты с полученными отNMap.

– Возможна ли удаленная DoS-атака на ЭВМ? Если да, внесите в отчет порт, номер и имя сервиса.

6. После окончания сканирования сгенерируйте отчет средствами Xspider. Проанализируйте его.

– Какие обнаружены уязвимости?

– Какие рекомендации по их устранению выдает XSpider?.

Выполните указанные действия по устранению уязвимостей. Для исправления ошибок реестра используйте команду Пуск – Выполнить – regedt32. Кроме того возможно придется использовать средства администрирования Windows(Панель управления – Администрирование – Службы, Управление компьютером и т.д.), а также средства аудита пользователей (Панель управления – Учетные записи пользователей). Просканируйте систему заново. Есть ли изменения?

– Внесите в отчет уязвимости, которые вам удалось исправить, а также ваши действия по их устранению.

7. Опираясь на опыт лабораторной работы, внесите в отчет ваши рекомендации по более надежной защите сетевого узла.

  • Назначение сканера
  • Установка XSpider
  • Интерфейс
  • Поиск уязвимостей
    • Результаты проверки хоста с работающими Web, Mail серверами, системой удаленного администрирования
    • Результаты проверки хоста с операционной системой Windows XP без сервис-пака и с отключенным брандмауэром
  • Примеры отчетов
    • Примеры отчетов о результатах первого тестирования
    • Примеры отчетов о результатах второго тестирования
  • Вывод

Назначение сканера

Сегодня практически все локальные сети имеют доступ к ресурсам глобальной сети интернет. В некоторых локальных сетях может не быть серверов, к которым предоставлен доступ извне и сеть выходит в интернет при помощи технологии NAT, то есть, один компьютер обеспечивает интернетом всю сеть. В некоторых сетях могут работать несколько серверов, к которым предоставлен доступ из интернета, а компьютеры в сети могут иметь глобальные IP-адреса. В любом случае, всегда есть хотя бы один компьютер, имеющий прямое подключение к интернету. Взлом такого компьютера поставит под угрозу информационную безопасность сети и может иметь печальные последствия. Если в сети работает несколько серверов с глобальными адресами и они предоставляют возможность, например, сотрудникам компании получить доступ к своей почте или к корпоративной базе данных из любой точки мира, то обеспечение безопасности такой сети становится достаточно сложной задачей, качественно решать которую сможет лишь сотрудник с высокой квалификацией. Основными обязанностями этого специалиста будет отслеживание новостных лент десятков сайтов, специализирующихся на безопасности, которые публикуют сведения об обнаруженных уязвимостях, немедленном реагировании на такие сообщения и самостоятельный поиск уязвимостей, которые еще неизвестны или уникальны. Учитывая, что между обнаружением уязвимости и до выхода официального исправления от производителя ПО может проходить достаточно много времени, специалист должен оперативно закрывать возможность использования уязвимости. Если сервисы, предоставляемые посетителям, пользуются достаточно большой популярностью, то чем быстрее администратор узнает об обнаружении уязвимости (в идеале, еще до ее опубликования на специализированных сайтах), то тем выше вероятность того, что он успеет закрыть обнаруженную брешь. Некоторые уязвимости могут быть уникальными для определенного сервиса. Например, ошибки в программировании скриптов могут открыть возможность для хакера установить на сервере консоль, используя которую он сможет получить полный контроль над сервером, а затем и над остальными ресурсами сети. Таким образом, обеспечение безопасности сети, в которой работают публичные сервисы, весьма сложное и тяжелое занятие, помочь в котором и призван XSpider.

XSpider может в полностью автоматическом режиме проверять компьютеры и сервисы в сети на предмет обнаружения уязвимостей. База уязвимостей постоянно пополняется специалистами Positive Technologies, что в сумме с автоматическим обновлением баз и модулей программы постоянно поддерживает актуальность версии XSpider.

XSpider может выполнять проверки по расписанию. Таким образом, настроив планировщик XSpider, автоматическое обновление и отправку отчетов о результатах проверки по почте или их сохранение на сетевом диске, можно значительно облегчить процесс обнаружения уязвимостей. Это позволит сконцентрировать свое внимание на борьбе с уже обнаруженными уязвимостями и на донастройке и обновлении программного обеспечения. В этом XSpider оказывает так же неоценимую помощь, выводя в отчет о результатах проверки не только информацию о найденной уязвимости, но и ссылки, например, на статьи на сайте Microsoft, которые описывают обнаруженную XSpider уязвимость и дают рекомендации по её устранению.

Ознакомится с условиями покупки, узнать цены и заказать XSpider можно в разделе Как купить сайта Positive Technologies.

К оглавлениюУстановка XSpider

XSpider может быть установлен на любую ОС семейства Windows. Он проверяет все возможные уязвимости независимо от программной и аппаратной платформы узлов: начиная от рабочих станций под Windows и заканчивая сетевыми устройствами Cisco, в том числе, *nix, Solaris, Novell, AS400 и так далее. Сам процесс установки XSpider полностью автоматизирован. После запуска инсталлятора нужно согласиться с условиями лицензионного соглашения, выбрать папку, куда будет установлена программа и ввести имя папки в меню Пуск. После этого файлы XSpider будут скопированы и по окончании копирования XSpider может быть сразу запущен, без перезагрузки компьютера.

К оглавлениюИнтерфейс

После установки и запуска XSpider на экран будет выведено главное окно программы, которое показано на рисунке ниже.

В список сканируемых хостов нужно добавить адреса для сканирования. Можно добавить сразу диапазон адресов. После того, как список хостов сформирован, нужно выбрать профиль проверки либо из существующих, либо создать новый профиль исходя из собственных предпочтений. Существующие профили показаны на рисунке ниже.

Любой из существующих профилей можно настроить или создать новый профиль.

После того, как задача настроена, её можно сохранить, чтобы в дальнейшем не приходилось настраивать все заново.

Запуск созданных и сохраненных задач можно запланировать, настроив Планировщик.

Планировщик XSpider настраивается достаточно просто, по аналогии с планировщиком Windows. Внимания заслуживает последний этап настройки задания, пример которого показан ниже.

На этой вкладке мастера создания нового задания планировщика XSpider можно настроить отправку отчета на почтовый адрес или сохранить его в определенной папке.

К оглавлениюПоиск уязвимостей

Результаты проверки хоста с работающими Web, Mail серверами, системой удаленного администрирования

Каждое настроенное задание сохраняется в файле. Если запланирован запуск задачи по Планировщику, то результат её выполнения будет сохранен в файле .tsk, который может быть открыт в любое время при помощи XSpider. В файле сохраняется результат не только последней проверки хоста или хостов, а вся история проверок. Таким образом, можно контролировать изменения уровня безопасности после ликвидации обнаруженных ранее уязвимостей и обновления операционных систем и сервисов.

Пример загруженной задачи показан на рисунке ниже.

В данном примере на Windows XP SP2 с включенным файрволом был установлен Apache, PHP, mySQL, бесплатный скрипт для подписки на новости, демоверсия почтового сервера MERAK Mail Server (SMTP/ESMTP/POP3/IMAP4) с модулем удаленного управления и настройками по умолчанию, Remote Administrator 2.2 от компании FamaTech. Для этой проверки был создан профиль, в котором было включено сканирование всех портов хоста и поиск всех возможных уязвимостей. В результате аудита было выявлено много нареканий к скрипту подписки на новости и был обнаружен паблик-релей на почтовом сервере (так как настройка сервера после его установки не выполнялась). Все остальные сервисы, работающие на тестовом компьютере, были безошибочно обнаружены и идентифицированы.

В результатах проверки, помимо информации об обнаруженных уязвимостях, были приведены ссылки на описание уязвимости на сайтах, специализирующихся на безопасности и даны ссылки на загрузку обновленных версий программного обеспечения.

Результаты проверки хоста с операционной системой Windows XP без сервис-пака и с отключенным брандмауэром

Во втором тесте аудиту был подвергнут хост с ОС Windows XP без сервис-пака с отключенным брандмауэром. Вкладка Уязвимости главного окна XSpider показана на рисунке ниже.

В ходе сканирования было обнаружено несколько критических уязвимостей. В результатах работы были даны ссылки статьи в Базе знаний Microsoft, которые описывают обнаруженную уязвимость и ссылки для загрузки исправлений, устраняющих эти уязвимости.

К оглавлениюПримеры отчетов

XSpider предлагает на выбор несколько стандартных типов отчетов о результатах проверки.

Примеры отчетов приведены по ссылкам ниже.

Примеры отчетов о результатах первого тестирования

  • Отчет для системного администратора: развернутая информация по хостам, сервисам, уязвимостям
  • Отчет для руководителя: общая статистика информационной безопасности
  • Руководство по устранению уязвимостей: список работ по устранению уязвимостей

Примеры отчетов о результатах второго тестирования

  • Отчет для системного администратора: развернутая информация по хостам, сервисам, уязвимостям
  • Отчет для руководителя: общая статистика информационной безопасности
  • Руководство по устранению уязвимостей: список работ по устранению уязвимостей

Вывод

7-ая версия XSpider, по сравнению с 6-й, вышла на новый уровень развития и приобрела уникальную функциональность. Теперь сканер может работать в полностью автоматическом режиме. Автообновление баз и модулей сканера, созданные и запланированные к исполнению задачи сканирования, автоматическое создание отчетов позволяет сконцентрировать свои усилия на устранении найденных уязвимостей. Запланированные проверки на новые уязвимости будут выполняться вновь и вновь сразу после добавления их описания в базы специалистами Positive Technologies. Профили позволяют гибко настроить сканирование: от регулярного аудита до выполнения комплексных проверок. Настройками каждой задачи можно регулировать загрузку сети во время проведения проверок. XSpider может проверить код, созданный веб-программистами, проверить почтовые, веб-сервера, операционные системы, сервера баз данных и другие сервисы, работающие в сети на наличие в них уязвимостей, простых или пустых паролей, ошибок в настройках и так далее. В ходе анализа безопасности могут быть выполнены сотни проверок неограниченного количества хостов, проведение которых в ручном режиме заняло бы очень много времени, а в некоторых случаях, часть таких проверок никогда не была бы выполнена. Подробные отчеты помогут оперативно устранять обнаруженные недочеты не теряя времени на поиск описаний обнаруженных уязвимостей. Хранимая история проверок позволяет оценить объем проделанной работы и быть в курсе текущей безопасности сети. Справочная система XSpider написана простым языком и дает полное понимание всех настроек и принципов работы сканера. Все это делает XSpider универсальным инструментом для поддержания информационной безопасности сети на высоком уровне.

Благодарим компанию «Positive Technologies» за предоставленную для тестирования копию продукта.