Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 4 След.
RSS
Сравнение сетевых сканеров безопасности
 
Цитата
Luka пишет:
Когда я писал "грамотный", то я имел ввиду то, что админ знает, что и где у него находится. Он не полагается полностью на софтину.

Ну не может всегда амин знать все и вся, особенно в больших сетях. Админ по безопасности проверяет безопасность сети, а системные администраторы следят серверами и клинтами. Покажите мне такую сеть в которой админ по БЕЗОПАСНОСТИ может 100%  удтверждать какие службы запущены на всех машинах? Нафига такому вообще сканер нужен, если он все и ТАК знает? Я не предлагаю полностью полагаться на софитину, я предлагаю
 
Цитата
Гость пишет:

А вот для этого и существует передача дел. Если новый админ грамотный, то он сам проведет инвентаризацию сети и узнает, что и где у него находится. А для случая "забыл", нормальный админ (по крайней мере в крупных сетях, где эта проблема актуальна) должен иметь карту сети, на которой эти моменты помечены.

А эта задача никак не связана со способностью идентифицировать сервисы на нестандартных портах. Как раз это и делает любой обычный сканер - определяет все открытые на узле порты. Если эти порты не входят в список разрешенных для данного узла, то начинается процесс разбирательства.

Какая передача дел? У нас все делается как должно делаться? Человек по своей природе ленив (с). Если бы все делалось так как положено, мир бы сильно изменился!
 
Цитата
Cold Ring пишет:

Гм. А разве ISS определят сервис только по порту без дополнительных проверок? А почему бы не включать такие проверки для сервисов на других портах?

А зачем излишняя нагрузка на сканер?  

Цитата
Cold Ring пишет:

А когда у меня сеть из 500 машин, я что обязан записывать все работающие сервисы на всех машинах и проверять, работают ли они на "стандартных портах"?

Записывать тоже неплохо. Чтобы в случае "разбора полетов" всегда иметь эталонные значения, не подверженные никакой модификации со стороны "плохих парней".

Что касается конкретного вопроса, то ситуация такова, что многие сканеры, в т.ч. и XSpider использует такое понятие, как "задача" (у Internet Scanner - это "шаблон" или "политика"). Так вот в этом шаблоне ты прописываешь проверки для конкретного узла/группы узлов. А потом просто по расписанию запускаешь данную задачу. Сканер должен сам отслеживать все отклонения от эталонных значений. Например, "после последнего сканирования появился новый открытый порт". Все, точка. Дальше начинается расследование, а накой там появился этот порт и нужен ли он там.

Кроме того, не надо забывать, что XSpider, как и Internet Scanner, и другие сканеры, всего лишь первый, но далеко не единственный инструмент проверки защищенности узлов. Существуют еще и host-based scanners (например, System Scanner от ISS), которые ставятся на наиболее критичные узлы и более глубоко и всесторонне контролируют настройки узла. Нельзя все фичи навешивать на один продукт, пусть даже и хороший. Помните о принципе эшелонированности; иными словами "не кладите все яйца в одну корзину".
 
Сорри за оборваный пост.

...  Вобщем то, что спидер способен определять службы на нестандартных портах, это значительное преимущество над ISS.
 
АГа, интересно на сколько дороже стоит комбинация ISS + System Scanner и Xspider?
А разве спидер не умеет сравнивать результаты с предыдущим сканированием?
 
Цитата
Cold пишет:

Ну не может всегда амин знать все и вся, особенно в больших сетях. Админ по безопасности проверяет безопасность сети, а системные администраторы следят серверами и клинтами. Покажите мне такую сеть в которой админ по БЕЗОПАСНОСТИ может 100%  удтверждать какие службы запущены на всех машинах? Нафига такому вообще сканер нужен, если он все и ТАК знает? Я не предлагаю полностью полагаться на софитину, я предлагаю

А сканер безопасности нужен не для того, чтобы следить за службами на машинах (эту функцию замечательно выполнит сетевой сканер, например, NMap). Сканер безопасности нужен для отслеживания ДЫР. Не меньше, но и не больше. Если он еще и заничается инвентаризацией - хорошо, но эта задача для него вторична, т.к. инвентаризацию можно возложить на специально предназначенные для этого средства, которыми располагают сетевые администраторы (в крайнем случае можно юзать cheops).
 
Цитата
Cold Ring пишет:
АГа, интересно на сколько дороже стоит комбинация ISS + System Scanner и Xspider?
А разве спидер не умеет сравнивать результаты с предыдущим сканированием?

А никто и не говорит, что безопасность должна стоить дешево [IMG]http://www.securitylab.ru/forum/smileys/smiley19.gif[/IMG]

Что касается непосредственно XSpider и Internet Scanner, то они в принципе находятся в разных нишах. IS - это продукт для корпоративного использования, которые интегрируется с системами обнаружения атак, позволяет коррелировать данные с IDS и firewall, хранит данные в SQL, обеспечивает распределенное сканирование, позволяет делать откат последнего обновления и кучу других фишек, которые отсутствуют у XSpider (и надеюсь, что у него они появятся).

XSpider, несмотря на любые заявления, пока не может конкурировать с IS на корпоративном рынке, даже если и ядро сканирования у него лучше (это не только мое мнение, но и мнение многих наших заказчиков).

А что касается сравнения, то оно может быть реализовано по разному, хотя в рекламных материалах будет называться именно так  [IMG]http://www.securitylab.ru/forum/smileys/smiley19.gif[/IMG]
 
Цитата
Luka пишет:

А сканер безопасности нужен не для того, чтобы следить за службами на машинах (эту функцию замечательно выполнит сетевой сканер, например, NMap). Сканер безопасности нужен для отслеживания ДЫР. Не меньше, но и не больше. Если он еще и заничается инвентаризацией - хорошо, но эта задача для него вторична, т.к. инвентаризацию можно возложить на специально предназначенные для этого средства, которыми располагают сетевые администраторы (в крайнем случае можно юзать cheops).

А что nmap способен идентифицировать запущенные службы?
По мойму их как раз и должен идентифицировать сканер безопасности.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
Цитата
Luka пишет:

Я уже написал свое мнение на тему любого тестирования. КОгда речь идет о продвижении продукта (т.е. о маркетинговых целях), то такое тестирование идет "на ура". А вот когда речь идет о реальном сравнении функционала, то его сделать может только сам заказчик и только в своей сети. Ни одна, даже самая крутая тестовая лаборатория не в состоянии выполнить эту задачу. Повторюсь лишний раз. Лучшее, что можно сделать - это выработать единые критерии выбора сканеров с указанием их приоритетов для потребителей разных категорий. А для этого никаких финансов не нужно [IMG]http://www.securitylab.ru/forum/smileys/smiley16.gif[/IMG]
Я отлично понял Вашу позицию и на 90% с ней согласен. Однако выбор сканера уязвимостей для руководителя безопасности становится не менее простой задачей, чем "выбор систем обнаружения атак". А объективных сравнительных обзоров как бы и нет. Да, Вы правы, что не справится даже "самая крутая тестовая лаборатория". Но дать ориентиры такое независимое тестирование все таки сможет. И именно на основе тестирования можно "выработать единые критерии выбора сканеров с указанием их приоритетов для потребителей разных категорий".
Хотя, если Вы сможете выработать критерии без тестирования, Вам только все будут благодарны. Но будут ли они объективными?
 
Цитата
Inck-Vizitor пишет:
Я отлично понял Вашу позицию и на 90% с ней согласен. Однако выбор сканера уязвимостей для руководителя безопасности становится не менее простой задачей, чем "выбор систем обнаружения атак". А объективных сравнительных обзоров как бы и нет. Да, Вы правы, что не справится даже "самая крутая тестовая лаборатория". Но дать ориентиры такое независимое тестирование все таки сможет. И именно на основе тестирования можно "выработать единые критерии выбора сканеров с указанием их приоритетов для потребителей разных категорий".

 Как раз наоборот. Обычно вначале создаются критерии, а потом по ним проводится тестирование.

Цитата
Inck-Vizitor пишет:

Хотя, если Вы сможете выработать критерии без тестирования, Вам только все будут благодарны. Но будут ли они объективными?

Почему нет? В своей книжке "Обнаружение атак" (пишу скромно потупив взор [IMG]http://www.securitylab.ru/forum/smileys/smiley1.gif[/IMG] ) я привел список критериев, по которым может выбираться система обнаружения атак. И мне кажется, что он достаточно объективен. Их прекрасно можно взять за основу списка критериев для сканеров, разумеется немного приспособив под специфику области. Для этого даже не надо проводить дорогих тестирований.
 
Цитата
Luka пишет:

Что касается непосредственно XSpider и Internet Scanner, то они в принципе находятся в разных нишах. IS - это продукт для корпоративного использования, которые интегрируется с системами обнаружения атак, позволяет коррелировать данные с IDS и firewall, хранит данные в SQL, обеспечивает распределенное сканирование, позволяет делать откат последнего обновления и кучу других фишек, которые отсутствуют у XSpider (и надеюсь, что у него они появятся).

XSpider, несмотря на любые заявления, пока не может конкурировать с IS на корпоративном рынке, даже если и ядро сканирования у него лучше (это не только мое мнение, но и мнение многих наших заказчиков).

Насколько я понял, с ISS никто не может конкурировать, если есть связка CheckPoint FW1 - ISS RealSecure.
Если же в компании используется другая связка, например, Cisco PIX - Cisco IDS, все преемущество Internet Scanner'а как бы отпадает. И вот тут то стоит подумать у какого сканнера лучше ядро? [IMG]http://www.securitylab.ru/forum/smileys/smiley16.gif[/IMG]
Кроме того, у меня всегда было желание поддержать отечественного производителя!
 
Цитата
Luka пишет:

Почему нет? В своей книжке "Обнаружение атак" (пишу скромно потупив взор [IMG]http://www.securitylab.ru/forum/smileys/smiley1.gif[/IMG] ) я привел список критериев, по которым может выбираться система обнаружения атак. И мне кажется, что он достаточно объективен. Их прекрасно можно взять за основу списка критериев для сканеров, разумеется немного приспособив под специфику области. Для этого даже не надо проводить дорогих тестирований.

Читали, читали, а то как же!?
Лука! А почему бы Вам не зарегистрироваться? А то все гость, да гость?[IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG]
 
Цитата
Luka пишет:
В своей книжке "Обнаружение атак" (пишу скромно потупив взор [IMG]http://www.securitylab.ru/forum/smileys/smiley1.gif[/IMG] ) я привел список критериев, по которым может выбираться система обнаружения атак. И мне кажется, что он достаточно объективен.

Указанная книга - одна из моих настольных. Держу ее сейчас в руках. Правильно ли я понимаю, что критерии выбора -это то, что изложено на стр.84-87?
 
Цитата
Inck-Vizitor пишет:

Насколько я понял, с ISS никто не может конкурировать, если есть связка CheckPoint FW1 - ISS RealSecure.
Если же в компании используется другая связка, например, Cisco PIX - Cisco IDS, все преемущество Internet Scanner'а как бы отпадает. И вот тут то стоит подумать у какого сканнера лучше ядро? [IMG]http://www.securitylab.ru/forum/smileys/smiley16.gif[/IMG]
Кроме того, у меня всегда было желание поддержать отечественного производителя!

Я писал именно о сканерах, как самостоятельных продуктах. На сегодняшний день Internet Scanner и XSpider находятся в разных нишах.

Если брать интеграцию в комплексную систему обеспечения информационной безопасности, то, разумеется, Internet Scanner эффективнее будет работать, если защита сети построена на ISS'овских решениях. Это логично.

Что касается связки RealSecure + CheckPoint, то это несколько из другой оперы. К тому же RealSecure может быть связан и с cisco'овским оборудованием. Ну и наконец, Internet Scanner может коррелировать данные не только от RealSecure или Check Point Firewall-1, но и от Cisco Pix.
 
Цитата
Паффи пишет:

Указанная книга - одна из моих настольных. Держу ее сейчас в руках. Правильно ли я понимаю, что критерии выбора -это то, что изложено на стр.84-87?

Приятно слышать [IMG]http://www.securitylab.ru/forum/smileys/smiley16.gif[/IMG] . Речь идет уже о втором издании (оно более полное, особенно в части критериев). Там критериям посвящены стр. 297 - 380 (в первом издании - стр. 313-389).
 
Цитата
Luka пишет:
По адресу http://www.infosec.ru/press/pdf/ScannersPT.pdf находится краткий комментарий к данному сравнению. Автор - Алексей Лукацкий.

Кому лениво закачивать этот файл к себе (160 К), могу кинуть по электронной почте. Обращаться на luka@infosec.ru.

Хотелось бы услышать комментарии Позитива на коментарии Лукацкого. :)
Лично мне кажется, что в третьем пункте автор тоже сЛУКАвил [IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG]
 
Цитата
Inck-Vizitor пишет:

Хотелось бы услышать комментарии Позитива на коментарии Лукацкого. :)
Лично мне кажется, что в третьем пункте автор тоже сЛУКАвил [IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG]

Мы считаем, что Алексей Лукацкий человек компетентный, опытный и порядочный. К его мнению стоит прислушиваться (по крайней мере мы так делаем). Но комментарий, конечно, почитаем. [IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG]
 
Цитата
Inck-Vizitor пишет:

Хотелось бы услышать комментарии Позитива на коментарии Лукацкого. :)
Лично мне кажется, что в третьем пункте автор тоже сЛУКАвил [IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG]

В чем? Я действительно считаю, что число уязвимостей (и атак, и вирусов) не может служить критерием выбора. Я всегда привожу такой пример. Есть задача выбрать антивирус из 2-х систем: AVP и AntiDIR (кто помнит). На первый взгляд первая система предпочтительнее во всех смыслах. Однако стоит уточнить условия задачи:
 - компьютер только один
 - на компьютере может быть только один вирус - DIR,
и выбор становится не столь очевидным. Тоже и со сканерами.

В идеальном случае, сканер дыр не обнаружит вообще, так что, мне его выкидывать?
Luka
 
Цитата
Паффи пишет:

Мы считаем, что Алексей Лукацкий человек компетентный, опытный и порядочный. К его мнению стоит прислушиваться (по крайней мере мы так делаем). Но комментарий, конечно, почитаем. [IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG]

Трудно мне с вашими никами [IMG]http://www.securitylab.ru/forum/smileys/smiley19.gif[/IMG] Когда я общался с Дмитрием и Евгением, то мы пришли к единому мнению (не скажу какому). Тоже самое говорят и наши заказчики, в т.ч. числе и те, кто был на конференции по факту выхода 7-ки.

Если бы вначале статьи было написано, что статья не претендует на независимость и полноту, то я бы вообще "молчал в тряпочку". А так... пришлось защиищать честь и достоинство Internet Scanner.
Luka
 
Цитата
Inck-Vizitor пишет:

Хотелось бы услышать комментарии Позитива на коментарии Лукацкого. :)
Лично мне кажется, что в третьем пункте автор тоже сЛУКАвил [IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG]

При беглом прочтении документа, складывается впечатление, что, действительно, пункт 3 самый неоднозначный. Остальное написано красиво, солидно - как раз подходит для того, чтобы убедить целевую аудиторию компании в том, что они обратились по адресу, что "от добра добра не ищут" и поиски решений должны на этом же сайте и завершиться [IMG]http://www.securitylab.ru/forum/smileys/smiley1.gif[/IMG] (Тут я тоже немного ерничаю, простите)
Более содержательный, технический ответ будет добавлен моим коллегой ниже.
Страницы: Пред. 1 2 3 4 След.
Читают тему (гостей: 1)