Использование сканеров безопасности в процессе тестирования сети на устойчивость к взлому
Уязвимости |
Риск |
CVE |
XSpider |
IS |
Retina |
Nessus |
Реально |
|
|
|
|
|
|
|
|
Apache-SSL Client Certificate Forging |
низкий |
CVE-2004-0009 |
0 |
0 |
-1 |
0 |
0 |
Итого |
|
|
4 |
2 |
0 |
3 |
4 |
Узел 23 - 23.23.23.23 (host23.test)
Найденные открытые порты TCP |
21, 25, 80, 995 |
|
|
Найденные открытые порты UDP |
53 |
|
|
Таблица 26. Уязвимости узла 23.23.23.23
Уязвимости |
Риск |
|
|
Поиск пользователей |
средний |
CVE |
XSpider |
IS |
Retina |
Nessus |
Реально |
|
1 |
-1 |
-1 |
-1 |
1 |
Повышение привилегий (Apache) |
средний |
|
1 |
|
|
-1 |
|
|
-1 |
|
1 |
|
1 |
||
доступен метод TRACE |
низкий |
|
1 |
|
1 |
|
|
1 |
|
|
-1 |
|
1 |
||
Анонимный вход FTP |
низкий |
CAN-1999-0497 |
1 |
|
1 |
|
|
-1 |
|
1 |
|
1 |
|||
EhloCheck: SMTP daemon supports EHLO |
низкий |
CAN-1999-0531 |
|
-1 |
|
1 |
|
|
-1 |
|
|
-1 |
|
1 |
|
IcmpTstamp: ICMP timestamp requests |
низкий |
CAN-1999-0524 |
|
-1 |
|
1 |
|
|
-1 |
|
|
-1 |
|
1 |
|
Apache-SSL Client Certificate Forging |
низкий |
CVE-2004-0009 |
0 |
|
0 |
|
|
-1 |
|
0 |
|
0 |
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
two vulnerabilties in Postfix which may allow an |
высокий |
CAN-2003-0540, |
|
-1 |
|
|
-1 |
|
|
-1 |
|
1 |
|
1 |
|
attacker to remotely disable it |
CAN-2003-0468 |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
It is possible to force the FTP server to connect to |
низкий |
CVE-1999-0017 |
0 |
|
0 |
|
0 |
|
|
-1 |
|
0 |
|||
third parties hosts, by using the PORT command. |
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итого |
|
|
4 |
|
4 |
|
0 |
|
2 |
|
7 |
||||
Copyright© 2005, Учебный центр "Информзащита" |
Стр. 31 из 34 |
Использование сканеров безопасности в процессе тестирования сети на устойчивость к взлому
7. Итоги, выводы
7.1. Суммарные итоги по узлам
Итоги по всем 23-м узлам приведены в Таблицы 27.
Таблица 27. Итоги по всем узлам
Итоги |
XSpider |
IS |
Retina |
Nessus |
|
|
|
|
|
Итого баллов |
116 |
49 |
24 |
41 |
|
|
|
|
|
Найдено уязвимостей, всего |
122 |
57 |
56 |
87 |
|
|
|
|
|
Ложные срабатывания (False Positives) |
3 |
4 |
16 |
23 |
|
|
|
|
|
Найдено уязвимостей (за вычетом ложных срабатываний) |
119 |
53 |
40 |
64 |
|
|
|
|
|
Пропуски (False Negatives) |
0 |
15 |
30 |
34 |
|
|
|
|
|
Пропуски (False Negatives) по причине отсутствия проверки в базе |
47 |
98 |
96 |
68 |
|
|
|
|
|
Количество баллов (первая строка таблицы) следует считать показателем качества сканера или показателем его пригодности для решения данной задачи (тест периметра сети на устойчивость к взлому). Второй положительный показатель – количество найденных уязвимостей за вычетом ложных срабатываний. Оба эти показателя приведены на графике (Рис. 10).
Рис. 10. Сравнение сканеров по «положительным» показателям.
Copyright© 2005, Учебный центр "Информзащита" |
Стр. 32 из 34 |
Использование сканеров безопасности в процессе тестирования сети на устойчивость к взлому
Таким образом, наивысший показатель качества оказался у сканера XSpider (116). Второе место, можно сказать, поделили между собой два сканера: Internet Scanner (49) и Nessus (41).
Соотношение отрицательных показателей приведено на Рис. 11.
Рис. 11. Сравнение сканеров по «отрицательным» показателям.
По количеству ложных срабатываний сканеры XSpider и Internet Scanner выглядят примерно одинаково. Больше остальных «ошибался» Nessus.
Показатель «Пропуски», обозначенный красным, показывает количество ошибочно пропущенных уязвимостей. Это не очень важный показатель, поскольку, как уже говорилось выше, сравнение производилось на реальных узлах, и в момент сканирования уязвимости действительно могло не быть.
А вот показатель «Пропуски по причине отсутствия проверки в базе» (обозначен зелёным) достаточно интересен, поскольку характеризует полноту базы проверок сканера безопасности с точки зрения применимости для решения данной задачи (сканирование на устойчивость к взлому). Т. е. набор проверок в сканерах XSpider и Nessus наиболее оптимально подходит для тестирования сети на устойчивость к взлому.
7.2. Заключение
Итак, какой же сканер более подходит для того, чтобы оценить защищённость периметра сети. Как было указано выше, для решения этой задачи лучше использовать как минимум два сканера. На основе приведённых результатов сравнения можно порекомендовать XSpider и Nessus. Почему XSpider оказался лидером? Если проанализировать результаты сканирования, можно заметить две основных характеристики сканера XSpider, обеспечившие его преимущество:
•Расширенные возможности идентификации служб и приложений
•Расширенные возможности по анализу защищённости Web-приложений.
Copyright© 2005, Учебный центр "Информзащита" |
Стр. 33 из 34 |
Использование сканеров безопасности в процессе тестирования сети на устойчивость к взлому
Как видно по результатам, возможность идентификации служб на нестандартных портах пригодилась при поиске, например, удалённого управления. А поскольку Web-сервисы часто являются неотъемлемой частью периметра, «пригодилась» вторая из названных выше характеристик сканера XSpider. Кроме того, следует отметить и качество идентификации служб и приложений. Ведь от него зависит принятие решения о наличии на узле той или иной уязвимости. Сканеры Retina и Internet Scanner более ориентированы на поиск уязвимостей служб, работающих на стандартных портах или, по крайней мере, заранее заданных. Многие проверки сканера Internet Scanner (более одной трети) рассчитаны на наличие административных привилегий на сканируемом узле, а это не очень применимо при тестировании сети на устойчивость к взлому. Также немаловажен и такой показатель, как полнота базы проверок. Потому и получается, XSpider и Nessus лучше остальных сканеров подходят для оценки сети на устойчивость к взлому.
Это была только первая часть исследования сканеров безопасности. В следующих частях будут приведены результаты сравнения сканеров по:
•Функциональным показателям;
•Применимости для проведения инвентаризации;
•Применимости для проведения аудита безопасности.
Кроме того, планируется провести сравнение сканеров по группам проверок (например, поиск троянцев, поиск уязвимостей DNS, FTP, WEB и т. д.)
Copyright© 2005, Учебный центр "Информзащита" |
Стр. 34 из 34 |