Функциональные возможности сканеров безопасности
2.Возможность поиска беспроводных устройств (клиентов, точек доступа). Эта возможность может сопровождаться заданием списка «разрешённых» беспроводных устройств с целью обнаружения несанкционированных.
3.Проведение проверок беспроводных устройств путём явного подключения к ним. Например, это может быть возможность подключения к точке доступа и получение адреса IP у DHCP-сервера.
Что касается сравниваемых продуктов, то полноценная поддержка сканирования беспроводных сетей имеется у сканера Retina. Компания ISS до недавнего времени предлагала специализированный инструмент для анализа защищённости беспроводных сетей – Wireless Scanner. Однако на данный момент его поддержка прекращена, и, возможно, он будет «возрождён» в ближайшем будущем.
Краткое резюме. Возможности сканеров безопасности в плане сканирования беспроводных сетей на данный момент весьма скромны. Для анализа защищённости беспроводных сетей следует использовать специализированные средства.
4.2.11. Параллельное сканирование
С помощью сканера безопасности можно провести обследование целой сети, при этом скорость сканирования будет выше, если сканирование будет проходить одновременно, т. е. параллельно. Сканер, как правило, представляет собой многопоточное приложение, позволяющее ускорить процедуру сканирования большой сети. Практически все сравниваемые сканеры позволяют производить сканирование параллельно. Типичное значение одновременно сканируемых устройств – 128-256. Хуже остальных выглядит в этом плане LANguard, позволяющий одновременно сканировать только 3 узла
(Рис. 32).
Рис. 32. Параллельное сканирование в сканере LANguard.
Copyright© 2006, Учебный центр "Информзащита" |
Стр. 41 из 70 |
Функциональные возможности сканеров безопасности
4.2.12. Сканирование по расписанию
Анализ защищённости сети – это процедура, которая должна периодически повторяться. После проведения инвентаризации ресурсов сети и первых сканирований становится ясно, какие именно узлы следует подвергать сканированию, с какой политикой, и с какой периодичностью. Появляется понятие сессии сканирования или задачи, которая должна быть выполнена в заданное время. Т. е. возникает потребность в задании расписания сканирования. Да и вообще, довольно удобно, если сканер запускается в заданное время, без участия пользователя, а по окончании сканирования создаёт отчёт и сохраняет его в каком-либо формате. Остаётся только периодически просматривать отчёты о сканировании.
Конечно, если сканер поддерживает управление из командной строки, для запуска сканирования по расписанию всегда можно воспользоваться возможностями операционной системы. Однако гораздо удобнее пользоваться встроенными возможностями самого сканера.
Из сравниваемых сканеров все, за исключением Internet Scanner9, имеют такие возможности. При этом Internet Scanner позволяет задавать расписание сканирования при управлении им из командной строки (в этом случае используются возможности операционной системы) или через консоль системы
SiteProtector.
4.2.13. Сканирование через сервер-посредник (proxy)
При сканировании Web-сервера (да и не только Web-сервера) объект сканирования может находиться за сервером посредником (proxy). При этом сканер должен поддерживать возможность выполнять часть проверок, пользуясь услугами посредника, если это посредник прикладного уровня. Эта возможность имеется в сканере Shadow (Рис. 33).
Рис. 33. Настройка сканирования через сервер-посредник в сканере Shadow.
9 Расписание сканирования для Internet Scanner может быть задано с помощью системы централизованного управления SiteProtector.
Copyright© 2006, Учебный центр "Информзащита" |
Стр. 42 из 70 |
Функциональные возможности сканеров безопасности
В принципе, для сетевого сканера это не такая уж важная опция, она более важна для специализированного Web-сканера.
4.3. Управление результатами сканирования и реагирование
Результат работы сетевого сканера безопасности – перечень найденных уязвимостей. Но эти результаты должны как-то храниться, на их основе должны формироваться отчёты. Кроме того, по окончании сканирования (а также при наступлении определённых условий) сканер может выполнить какие-либо действия, например, оповестить по электронной почте.
Следующая группа критериев, характеризующая управление результатами, представлена в Таблице 4.
Таблица 4. Управление результатами сканирования и реагирование
|
|
LANGuard |
|
|
|
|
|
Критерий сравнения |
Internet Scanner |
Network |
Nessus |
Retina Network |
Shadow Security |
XSpider |
|
Security |
Security Scanner |
Scanner |
|||||
|
|
|
|
||||
|
|
Scanner |
|
|
|
|
|
|
|
|
|
|
|
Собственная |
|
|
|
|
|
|
MSDE, MSSQL |
MSDE, Access |
Собственная |
база, ODBC- |
Собственная |
Собственная |
|
Хранение результатов сканирования |
||||||||
|
база |
совместимая |
база |
база |
|||||
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
СУБД |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Описание уязвимости |
+ |
+ |
+ |
+ |
+ |
+ |
|
|
|
Ссылки CVE |
+ |
— |
+ |
+ |
+ |
+ |
|
|
|
Другие ссылки |
+ |
+ |
+ |
+ |
+ |
+ |
|
Вывод результатов |
|
Причины ложных |
+ |
— |
+ |
– |
– |
+ |
|
|
срабатываний |
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
Варианты использования |
– |
— |
– |
– |
– |
+ |
|
|
|
уязвимости |
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
Рекомендации по устранению |
+ |
+ |
+ |
+ |
+ |
+ |
|
|
|
уязвимостей |
|
|
|
|
|
|
|
|
|
TXT (ASCII) |
– |
+ |
+ |
– |
– |
– |
|
|
|
HTML |
+ |
+ |
+ |
+ |
+ |
+ |
|
|
|
+ |
+ |
+ |
– |
+ |
– |
|
|
Форматы отчетов |
|
RTF |
+ |
+ |
– |
+ |
– |
+ |
|
|
|
Crystal |
+ |
— |
– |
– |
– |
– |
|
|
|
CHM |
– |
— |
– |
– |
+ |
– |
|
|
|
Latex |
– |
— |
+ |
– |
– |
– |
|
|
|
XML |
– |
— |
+ |
– |
+ |
+ |
|
|
|
СУБД |
– |
— |
+ |
– |
– |
– |
|
|
|
|
Только в |
|
|
|
|
|
|
Экспорт отчетов |
|
CSV (NSR, NBE) |
распределенном |
— |
+ |
– |
– |
– |
|
|
|
|
варианте |
|
|
|
|
|
|
|
|
SQL-сценарий |
– |
— |
+ |
– |
– |
– |
|
|
|
MS Excel |
– |
+ |
– |
– |
– |
– |
|
|
|
Сравнительные |
+ |
+ |
– |
– |
– |
+ |
|
Разновидности отчетов |
|
Графические |
+ |
+ |
– |
+ |
– |
+ |
|
|
|
Для разных категорий |
+ |
+ |
– |
+ |
– |
+ |
|
|
|
пользователей |
||||||
|
|
|
|
|
|
|
|
|
|
|
Возможность создания собственных отчетов |
+ |
– |
+ |
– |
– |
+ |
||
|
Наличие в отчетах функций сортировки, группировки данных |
+ |
+ |
– |
– |
+ |
+ |
||
|
Оповещение по электронной почте |
– |
+ |
– |
– |
+ |
+ |
||
|
Запуск исполняемого файла |
|
|
– |
– |
– |
– |
+ |
— |
|
Автоматическое устранение уязвимостей |
– |
+ |
– |
Только в |
– |
— |
||
Copyright© 2006, Учебный центр "Информзащита" Стр. 43 из 70
Функциональные возможности сканеров безопасности
|
|
LANGuard |
|
|
|
|
|
Критерий сравнения |
Internet Scanner |
Network |
Nessus |
Retina Network |
Shadow Security |
XSpider |
|
Security |
Security Scanner |
Scanner |
|||||
|
|
|
|
||||
|
|
Scanner |
|
|
|
|
распределенном
варианте
4.3.1. Хранение результатов сканирования
Прежде всего, результаты сканирования должны быть где-то сохранены, потому что на их основе в дальнейшем могут быть сформированы отчёты, а также потому, что их бывает нужно кому-то передавать, архивировать и т. п. Для хранения результатов может быть использована стандартная СУБД, например, MSSQL Server или база собственного формата. И тот, и другой варианты имеют свои преимущества и недостатки. При этом база собственного формата – это фактически сохранение результатов сканирования в виде файла (аналогично сохранению документа, например, в текстовом редакторе). Просто те сканеры, которые не имеют возможности «общаться» со стандартной СУБД, сохраняют результаты сканирования вместе с параметрами «задачи» на сканирование (диапазон сканируемых узлов, шаблон сканирования и т. п.). Сканеры, взаимодействующие с какой-либо СУБД, как правило, автоматически сохраняют результаты в базе, при этом поддерживая возможность отдельного сохранения задачи (сессии) сканирования.
Преимущества использования стандартной СУБД:
•Возможность использования механизмов СУБД для обработки результатов (например, формирование SQL-запросов для получения различных отчётов)
•Возможность использования механизмов СУБД для защиты и архивирования результатов сканирования.
Недостатки использования стандартной СУБД:
•Необходимость приобретения, установки и обслуживания СУБД
Преимущества использования собственной базы:
•Лёгкость при передаче результатов сканирования (обычно простое копирование файла)
Недостатки использования собственной базы:
•Отсутствие средств манипуляции данными, которые обычно имеются в стандартной СУБД
•Как правило, отсутствие автоматического сохранения результатов сканирования
Теперь о сравниваемых сканерах.
Всканере XSpider используется собственный формат хранения результатов. При этом результаты сканирования необходимо сохранять явно в виде так называемой задачи (по умолчанию в каталоге
....\Tasks). При этом создаётся файл с расширением .tsk, который можно копировать, перемещать и т. п. Очень удобно, что это всего лишь один файл, неудобно то, что не происходит автоматического сохранения результатов сканирования, необходимо всякий раз их сохранять явно.
Всканере Internet Scanner результаты сканирования автоматически сохраняются в базе на локальном сервере SQL (MSDE). При этом каждое нажатие кнопки «Сканировать» делает запись в базе. В
Copyright© 2006, Учебный центр "Информзащита" |
Стр. 44 из 70 |
Функциональные возможности сканеров безопасности
распределённом варианте для целей хранения результатов используется MSSQL Server. Разумеется, допускается и сохранение так называемой сессии сканирования, что аналогично понятию задачи в сканере XSpider. Просто в Internet Scanner параметры сессии сохраняются отдельно от результатов.
Сканер Nessus использует собственный формат базы для хранения результатов сканирования (детали могут отличаться в зависимости от используемого клиента).
В сканере Retina также используется собственный формат базы для хранения результатов. В процессе сканирования в каталоге C:\Program Files\eEye Digital Security\Retina 5\Scans автоматически создаётся два файла (Рис. 34):
•<имя>.ldb
•<имя>.rtd
Рис. 34. Хранение результатов в сканере Retina.
При этом результаты сканировании попадают в rtd-файл. Кроме того, ссылки на эти результаты сохраняются в каталогах Jobs и ScanRequests в виде файлов XML. Отдельного сохранения сессии сканирования в сканере Retina не предусмотрено, сохранение происходит автоматически.
Результаты сканирования могут быть сохранены и в любой ODBC-совместимой СУБД. Для этого необходимо создать DSN специально для сканера Retina и перенаправить туда результаты сканирования
(Рис. 35).
Рис. 35. Выбор варианта хранения результатов в сканере Retina
Copyright© 2006, Учебный центр "Информзащита" |
Стр. 45 из 70 |
Функциональные возможности сканеров безопасности
Предварительно с помощью SQL-сценария необходимо создать базу на используемой СУБД. Сценарий вместе с инструкцией находятся в папке ..\Retina5\Help\SQL\.
Shadow Security Scanner сохраняет результаты сканирования в виде файла – сессии сканирования аналогично задаче в сканере XSpider.
Наконец, в сканере LANguard результаты сохраняются автоматически в базе Access или MSSQL. Сохранение сессий предусмотрено отдельно в виде XML-файлов (Рис. 36).
Рис. 36. Сохранение результатов в сканере LANguard.
4.3.2. Вывод результатов
Сохранённые результаты сканирования могут быть использованы для формирования отчётов, но прежде результаты сканирования появляются на консоли сканера. Результаты сканирования могут (и должны) содержать:
•Название и обозначение уязвимости (обычно при этом используется система обозначений, выбранная самим разработчиком)
•Описание уязвимости
•Уязвимые платформы (приложения)
•Ссылка (ссылки) на каталог CVE (если имеются)
•Другие ссылки, в частности Bugtraq ID
•Причины ложных срабатываний (или описание ситуаций, когда уязвимость не следует считать таковой)
•Варианты использования уязвимости (как уязвимость может быт использована нарушителем)
•Рекомендации по устранению уязвимости (желательны пошаговые инструкции по устранению уязвимости)
Что касается сравниваемых сканеров, то в качестве иллюстрации далее приводятся описания одной и той же уязвимости в разных сканерах (Таблице 5).
Copyright© 2006, Учебный центр "Информзащита" |
Стр. 46 из 70 |
Функциональные возможности сканеров безопасности
Таблица 5. Вывод результатов для уязвимости CAN-2003-0717 (отсутствие обновления MS03043)
|
|
Название уязвимости |
|
|
|
|
Internet Scanner |
Microsoft Windows Messenger Service popup buffer overflow (WinMessengerPopupBo) |
|
LANGuard Network Security Scanner |
Security Update for Microsoft Windows Server 2003 (KB828035) |
|
Nessus |
Buffer Overrun in Messenger Service (real test) |
|
Retina Network Security Scanner |
Windows Messenger Service Buffer Overrun |
|
Shadow Security Scanner |
NetBIOS : Microsoft Messenger Service Buffer Overrun Vulnerability |
|
XSpider |
удаленное выполнение команд (ms03-043) |
|
|
Описание уязвимости |
|
|
|
|
|
Microsoft Windows is vulnerable to a buffer overflow in the Messenger Service, caused by improper bounds checking. "Net send" messages that |
|
Internet Scanner |
are sent through the Alerter service are transmitted by the Messenger Service. A remote attacker could send a specially-crafted message to |
|
|
overflow a buffer and execute arbitrary code on the system with Local System privileges or cause the service to fail. |
|
|
A security issue has been identified that could allow an attacker to remotely compromise a computer running Microsoft Windows Server 2003 and |
|
LANGuard Network Security Scanner |
gain complete control over it. You can help protect your computer by installing this update from Microsoft. After you install this item, you may have |
|
|
to restart your computer. |
|
|
A security vulnerability exists in the Messenger Service that could allow arbitrary code execution on an affected system. An attacker who |
|
Nessus |
successfully exploited this vulnerability could be able to run code with Local System privileges on an affected system, or could cause the |
|
|
Messenger Service to fail. Disabling the Messenger Service will prevent the possibility of attack. |
|
Retina Network Security Scanner |
A buffer overrun vulnerability exists within the Microsoft Windows Messenger Service because it does not properly validate the length of the |
|
message before it is passed to an allocated buffer. This may allow for an attacker to remotely execute arbitrary code on a vulnerable machine. |
|
|
|
|
|
|
Microsoft Messenger Service is prone to a remotely exploitable buffer overrun vulnerability. This is due to insufficient bounds checking of messages |
|
Shadow Security Scanner |
before they are passed to an internal buffer. Exploitation could result in a denial of service or in execution of malicious code in Local System |
|
|
context, potentially allowing for full system compromise. |
|
|
Уязвимость службы Messenger, имеющейся в составе многих ОС семейства Windows. Уязвимость является следствием недостаточной |
|
|
проверки длины передаваемого сообщения и приводит к возможности выполнения произвольного кода на узле – объекте атаки с |
|
|
привилегиями учётной записи SYSTEM. |
|
|
Служба Messenger была разработана для отправки и получения административных оповещений (например, отправленных командой NET |
|
|
SEND или службой Alerter). Сетевой администратор может использовать эту службу для оповещения пользователей. Служба может быть |
|
XSpider |
использована операционной системой для оповещения, например, о выполнении задания на печать. Сообщения передаются службе |
|
|
Messenger с использованием протоколов NetBIOS или RPC (порты 137 -139). |
|
|
Причина уязвимости - некорректная проверка длины обрабатываемого службой сообщения перед помещением его в выделенный буфер. |
|
|
Возникающая ситуация переполнения буфера приводит к запуску произвольного кода в памяти узла - объекта атаки с привилегиями |
|
|
учётной записи SYSTEM, от имени которой работает служба Messenger. Использование уязвимости нарушителем приводит к получению |
|
|
полного контроля над объектом атаки или к аварийному завершению службы Messenger. |
|
|
Уязвимые платформы (приложения) |
|
|
|
|
|
Windows 2000: Any version, Windows NT: Any version, Windows NT: 4.0 Server TSE SP6, Windows Server 2003: 64-Bit Edition, Windows XP: |
|
Internet Scanner |
Gold SP1, Windows 2000: SP4, Windows XP: 64-bit Edition, Windows XP: 64-bit Edition 2003, Windows NT: 4.0 Workstation SP6a, Windows NT: |
|
|
4.0 Server SP6a, Windows 2003: Server, Windows 2000: SP3, Windows 2000: SP2 |
|
LANGuard Network Security Scanner |
Windows Server 2003, Windows Server 2003, Datacenter Edition |
|
Nessus |
|
|
Retina Network Security Scanner |
|
|
Shadow Security Scanner |
|
|
XSpider |
Windows 2000: все версии, Windows NT: все версии, Windows XP: SP1 и ниже, Windows 2003 Server |
|
|
Ссылка (ссылки) на каталог CVE |
|
|
|
|
Internet Scanner |
CVE CAN-2003-0717 |
|
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0717 |
|
|
|
|
|
LANGuard Network Security Scanner |
|
|
Nessus |
CVE : CAN-2003-0717 |
|
|
CAN-2003-0717 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0717) |
|
Retina Network Security Scanner |
- The Messenger Service for Windows NT through Server 2003 does not properly verify the length of the message, which allows remote attackers |
|
|
to execute arbitrary code via a buffer overflow attack. |
|
Shadow Security Scanner |
CAN-2003-0717 |
|
XSpider |
CVE (CAN-2003-0717): http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0717 |
|
|
Другие ссылки |
|
|
|
|
Internet Scanner |
Microsoft Security Bulletin MS03-043 |
|
Buffer Overrun in Messenger Service Could Allow Code Execution (828035) |
|
|
|
Copyright© 2006, Учебный центр "Информзащита" Стр. 47 из 70
Функциональные возможности сканеров безопасности
|
|
http://www.microsoft.com/technet/security/bulletin/ms03-043.mspx |
|
|
CERT Vulnerability Note VU#575892 |
|
|
Buffer overflow in Microsoft Messenger Service |
|
|
http://www.kb.cert.org/vuls/id/575892 |
|
|
CERT Advisory CA-2003-27 |
|
|
Multiple Vulnerabilities in Microsoft Windows and Exchange |
|
|
http://www.cert.org/advisories/CA-2003-27.html |
|
|
SecuriTeam Mailing List, Security Holes & Exploits 16 Nov 2003 |
|
|
Microsoft Windows Messenger Heap Overflow Exploit (MS03-043, Shell) |
|
|
http://www.securiteam.com/exploits/6X00F1P8VW.html |
|
|
CIAC Information Bulletin O-004 |
|
|
Microsoft Buffer Overrun in Messenger Service Could Allow Code Execution |
|
|
http://www.ciac.org/ciac/bulletins/o-004.shtml |
|
|
Core Security Technologies Advisory CORE-2003-12-05 |
|
|
DCE RPC Vulnerabilities New Attack Vectors Analysis |
|
|
http://archives.neohapsis.com/archives/bugtraq/2003-12/0166.html |
|
|
Packet Storm Web site |
|
|
ms03-043v2.c |
|
|
http://www2.packetstormsecurity.org/cgi-bin/search/search.cgi?searchvalue=ms03- |
|
|
043v2.c&type=archives&%5Bsearch%5D.x=20&%5Bsearch%5D.y=6 |
|
|
Packet Storm Web site |
|
|
ms03-043.c |
|
|
http://www2.packetstormsecurity.org/cgi-bin/search/search.cgi?searchvalue=ms03- |
|
|
043.c&type=archives&%5Bsearch%5D.x=8&%5Bsearch%5D.y=3 |
|
|
ISS X-Force |
|
|
Microsoft Windows Messenger Service popup buffer overflow |
|
|
http://www.iss.net/security_center/static/13413.php |
|
LANGuard Network Security Scanner |
http://go.microsoft.com/fwlink/?LinkId=19859 |
|
Nessus |
BID : 8826 |
|
Other references : IAVA:2003-A-0028 |
|
|
|
|
|
|
CAN-2003-0717 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0717) |
|
Retina Network Security Scanner |
- The Messenger Service for Windows NT through Server 2003 does not properly verify the length of the message, which allows remote attackers |
|
|
to execute arbitrary code via a buffer overflow attack. |
|
Shadow Security Scanner |
BugtraqID: 8826 |
|
Related Links: Microsoft Security Bulletin MS03-043 |
|
|
|
|
|
|
Bugtraq (Bid 8826): http://www.securityfocus.com/bid/8826 |
|
XSpider |
CERT (VU#575892): http://www.kb.cert.org/vuls/id/575892 |
|
|
Сайт производителя (MS03-043): http://www.microsoft.com/technet/security/bulletin/ms03-043.asp |
|
|
|
|
|
Причины ложных срабатываний |
|
|
|
|
|
|
Internet Scanner |
This check may result in a False Negative on Windows NT platforms. |
|
|
LANGuard Network Security Scanner |
|
|
|
Nessus |
This plugin actually checked for the presence of this flaw |
|
|
Retina Network Security Scanner |
|
|
|
Shadow Security Scanner |
|
|
|
XSpider |
Уязвимость обнаружена путём явной атаки в отношении сканируемого узла. Вероятность ложного обнаружения уязвимости |
|
|
|
минимальна. |
|
|
|
Варианты использования уязвимости |
|
|
|
|
|
|
Internet Scanner |
|
|
|
LANGuard Network Security Scanner |
|
|
|
Nessus |
|
|
|
Retina Network Security Scanner |
|
|
|
Shadow Security Scanner |
|
|
|
|
Для использования уязвимости необходимо отправить службе Messenger на узле - объекте атаки некорректное сообщение, приводящее к |
|
|
|
переполнению буфера. Эксплойты доступны по адресам: http://www.securityfocus.com/bid/8826/exploit |
|
|
XSpider |
http://marc.theaimsgroup.com/?l=bugtraq&m=106666713812158&w=2 |
|
|
|
Имеется соответсвующий модуль для продукта CORE IMPACT: |
|
|
|
http://support.coresecurity.com/impact/exploits/e0ab9e2ff25b6fb63a982461246b10f1.html |
|
|
|
Рекомендации по устранению уязвимости |
|
|
|
|
|
|
Internet Scanner |
Apply the appropriate patch for your system, as listed in Microsoft Security Bulletin MS03-043. See References. |
|
|
LANGuard Network Security Scanner |
http://www.download.windowsupdate.com/msdownload/update/v3-19990518/cabpool/windowsserver2003-kb828035-x86- |
|
Copyright© 2006, Учебный центр "Информзащита" Стр. 48 из 70
Функциональные возможности сканеров безопасности
|
|
enu_d1df77e311740d6c012bcda5a7f821f.exe |
|
Nessus |
http://www.microsoft.com/technet/security/bulletin/ms03-043.mspx |
|
Retina Network Security Scanner |
Не доступно в пробной версии |
|
Shadow Security Scanner |
Microsoft has released the patch. |
|
|
Рекомендуется установить соответствующее обновление, которое можно найти по адресу: |
|
|
http://www.microsoft.com/technet/security/bulletin/MS03-043.asp |
|
|
2. Для защиты от атак с использованием данной уязвимости можно использовать Internet Connection Firewall, имеющийся в составе ОС |
|
XSpider |
Windows XP и Windows Server 2003. |
|
|
|
|
|
3. В качестве временного решения можно выключить службу Messenger, если она не используется. Отключение службы может повлиять |
|
|
на приложения, которым необходимо пересылать сообщения между отдельными узлами или другим приложениям. Для сведения: данная |
|
|
служба не имеет отношения к программам Windows Messenger и MSN Messenger, следовательно, выключение службы не повлияет на их |
|
|
работу. |
|
|
|
Краткое резюме. Наиболее полно вывод результатов сканирования представлен в сканере Internet Scanner, наименее полно – в сканере LANguard, кроме того, в сканере LANguard отсутствуют ссылки на каталог CVE, что часто бывает неудобно. Довольно подробно результаты сканирования представлены в сканере Retina. Следует отметить, что только в сканере XSpider результаты выводятся на русском языке и только у него есть рекомендации
по использованию уязвимости10, что бывает необходимо, например, для подтверждения возможности использования уязвимости при проведении тестирования на устойчивость к взлому.
4.3.3. Отчёты
Модуль генерации отчётов – важный компонент системы анализа защищённости, не менее важный, чем модуль сканирования. Обычно модуль генерации отчёта встроен непосредственно в сам сканер. Однако, например, для сканера LANguard этот модуль устанавливается отдельно. Обычно отчёты формируются на основе сохранённых результатов, но с таким же успехом они могут быть сформированы непосредственно по окончании сканирования. На основе отчётов могут быть предприняты действия по устранению уязвимостей. Отчёты обычно включают то описание уязвимостей, о котором говорилось выше.
Формат
Отчёт – это, вобщем-то, отдельный файл определённого типа (формата). В сканерах безопасности имеется небольшая путаница между форматом отчёта и экспортом отчёта. Например, в сканере Internet Scanner сами отчёты формируются с использованием системы Crystal, и предусмотрена процедура экспорта отчётов в форматы HTML, RFT, PDF (Рис. 37).
10 В настоящее время ведутся работы по модификации описаний уязвимостей в базе сканера XSpider и приведения их к формату, представленному в Таблице 5.
Copyright© 2006, Учебный центр "Информзащита" |
Стр. 49 из 70 |
Функциональные возможности сканеров безопасности
Рис. 37. Экспорт отчётов в сканере Internet Scanner.
Чтобы избежать путаницы, положим, что формат характеризует уже готовый («читабельный») отчёт, а процедура экспорта позволяет передать данные в другое приложение, например, Lotus, Excel, Exchange.
Прежде всего, обратим внимание на формат. Самый популярный - это, как правило, HTML. Его поддерживают все сканеры. Менее распространены PDF, RTF (DOC). Поддержка остальных форматов видна из Таблицы 4.
Экспорт отчёта
Отчёты могут быть экспортированы в другие приложения, например, в СУБД, или в промежуточный формат, к числу которых можно отнести CSV, XML. Возможности сравниваемых сканеров в этом плане представлены в Таблице 4.
Разновидности отчётов
Не менее важен и характер отчёта. Например, отчёты должны быть рассчитаны на разные категории пользователей: от технических специалистов до руководителей. Кроме того, отчёты могут быть текстовыми и графическими, не менее важна и возможность сравнения, например, результатов текущего и предыдущего сканирований.
В некоторых случаях имеющихся отчётов недостаточно. В этом случае поможет наличие механизма подключения собственных отчётов. Вообще, для получения собственного отчёта есть три пути:
1.Формирование отчётов на основе результатов непосредственно из базы, например, при помощи языка SQL
2.Формирование отчёта в формате HTML, CSV или XML с последующей доработкой. Эти форматы легко могут быть доработаны с помощью, например, программы Excel.
3.Создание и подключение собственного отчёта.
Из сравниваемых сканеров возможность создания и подключения собственного отчёта имеется только у
Internet Scanner.
Copyright© 2006, Учебный центр "Информзащита" |
Стр. 50 из 70 |