Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 4 След.
RSS
Сравнительный анализ сканеров безопасности
 
Цитата
kutkh пишет:
Win 2000 SP4 без патчей в не которых случаях путает с Win XP (Win XP в сети вообще нет).

Если чистый OS fingerprint, т.е. характеристики стека TCP, как делает nmap - то большей точности не получишь.
Если только сочетать с проверкой версий служб, но это не всегда дает однозначный вариает (например при NAT).
У IS есть проверка Windows Service Pack - которая может уточнить версию Windows, правда на основе Netbios.
 
Еще раз повторим - в сканировании участвовали РЕАЛЬНЫЕ серверы различных российских компаний ДОСТУПНЫЕ ИЗ ИНТЕРНЕТ.
С этим связанна и специфика доступных служб - SMTP. POP, DNS, HTTP.
Т.е. попросту, с разрешения (точнее по просьбе) владельцев ресурсов сканировались Internet-адреса их сетей, и то, что вы видите - это наша реальность. (Конкретно в Вашей сети просто наверняка – гораздо лучше, но что делать, такие нам попались пациенты).
Реально было просканированно не 23узла а около 100, но вошли только те узлы, на которых сканнеры обнаружили уязвимости, чтобы было что сравнивать :-)

И ещё раз повторим:
1. Проводилась оценка возможности сканеров для решения задач pen-test периметра сети (т.е. сканирование внешних узлов с минимальными начальными знаниями о сети). Поэтому сканнеры настраивались на поиск "всего". Заодно проверялась их интеллектуальность.
2. Сейчас идут работы по аналогичному сравнению для решения задачи инвентаризации.
3. В ближайшем будущем предполагается реализация аналогичных работ по задаче «аудита», т.е. сканирования внутренней сети с максимальными привилегиями.  

Цитата
Знающий пишет:
во всех случаях при этом есть веб сервер и на 80 порту а в случае теста такового нет вот так

Т.е. вы говорите, что сервера на котором запущен HTTP на порту 8080 и не запущен на 80 - не бывает в природе?
Позвольте с вами не согласиться.

Цитата
Гость пишет:
ведь было же на этом форуме тестирование - безымянных авторов , они быстро и просто все просканировали
Цитата
Гость пишет:
том что они с мая по декабрь эти хосты тестировали

Отличие от тестирования "безымянных авторов" в том, что эти проверки осуществлялись по заказу владельцев ресурсов. Т.е. по поступлению материала. А с публикацией действительно затянули, отчет был готов уже около полугода, решались административные вопросы.  Бюрократия :-(
 
насчет 8081 порта... вы с ИСА сталкивались? =)
 
Цитата
XYZ_ пишет:
А сравнимать продукты годовалой давности - это вобще !

Они и сравнивались год назад. С уязвимостями годовалой давности.
 
Ок - проводилось сканирование реальных сетей с реальными адресами. Тогда возникает вопрос - процентного соотношения серверов  и клиентских машин. Ну может быть в табличках и неинтересно показывать закрытые порты, но для общей картины все равно совсем не лишне показать  сколько есть серверов, а сколько клиентских хостов. Я вот о чем. На клиентских машинах нет sql сервера, наверняка прикрыты и 25 и 21 порты, но это еще совсем не значит что машины не подвержены уязвимостям. И много их машин-то таких (может я ошибаюсь .... но мне кажестся их большинство). А на них icq, всяческие mail ru агенты, skype и прочая дрянь (без оскорбления людей которые используют данные сервисы, но будем откровенны - которые мягко говоря головная боль любого человевка занимающегося безопасностью).  
да как факт уже появились и используются новые сервисы, отказаться от которых сложно, по разным причинам, а значит появились новые угрозы, и их приходиться учитывать при оценке. Хотим мы того или нет. А если мы огромными кусками отбрасывам то что не подходит под наш конкретный анализатор, ну мы и получаем то что получаем.

Я к чему веду - сеть составаляют все хосты - клиентские, серверные, сетевое оборудование. И угрозы для конкретной реальной сети исходят от всех этих источников. Могу согласиться что в неравной степени. Тестирование клиентских хостов внутри сети... да это актуально, но вопрос тестирования клиентских машин из вне (на мой взгляд не менее актуален).

Почему - попытаюсь объяснить. Что защищается в первую очередь - правильно - конфиденциальная информация (либо стратегические ресурсы которые являются важнейшим фактором существования конкретной компании). Вопрос второй где она .... - ? Те кто работает по этой теме знают. От кого защищаем - то? Если стоимость защиты высока ( а она высока - даже если сканер полностью беплатный) - то тоже ясно от кого. Задача то какая - по максимому прикрыть наиболее чувствительные места, и так чтобы не было точек обхода защиты (смысл строить стены которые можно рядом обойти). Ну проанализировали мы и прикрыли мы вэб сервер ( и т.п.) можно после этого сказать - все задача выполнена?  Если да, то ок, мы достигли искомой цели, значит все хорошо, значит и авторам 5 баллов.

Может это и не прозвучало, тогда хочу отметить особо.
Да, конечно я хочу выразить авторам статьи благодарность, по крайней мере за то, что они её написали. Да, бесспорно провести легальное исследование в нашей стране всегда труднее чем сделать это так (как поступают другие) по этому оценка выше. Спасибо вам. И надеюсь те замечания которые здесь прозвучали помогут вам эффективнее двигаться вперед. Удачи.

цитата "... конкретно в вашей сети наверное все гораздо лучше...."

и другая цитата "... нельзя построить коммунизм в отдельно взятой стране...."

это к тому - если где то плохо, в плане безопасности это на нас на всех влияет,  да можно отказываться от части сервисов, можно отгораживаться, и т.д. ( в краткосрочном периоде это несомненно эффективно) - но оно все равно будет влиять на всех, и чем дальше тем хуже.

и последнее - реально только что сработавшая атака. Некто x задел ногой шнурок питания пилота ведущего к компу у. Да конечно можно минимизировать последствия, но у по любому пошел курить... и настроение у него.... "отменное". А если это происходит на длительном промежутке времени неоднократно....
 
Цитата
Гость пишет:
процентного соотношения серверов и клиентских машин.

Сканировался _периметр_ сети.
Как правило, сетевые службы клиентских машин в Интернет не выставляются.
И как правило, для оценки уязвимостей клиентских рабочих мест сканеры запускаются в режиме аудита - т.е. с использованием служб удаленного управления и с максимальными привелегиями. Тогда они в состоянии оценить _технические_ проблемы в безопасности ПО.
А про запуск всяких нехороших програм на рабочих местах очень хорошо подходит сбор и анализ журналов аудита. И никакие сканнеры тут не нужны.

Цитата
Гость пишет:
Некто x задел ногой шнурок питания пилота ведущего к компу

Давайте не будем смешивать в кучу. Сетевой сканер не сможет определить уязвимость типа "тетя маша, запускающая экзешники из интернет" (разве что последствия в виде трояна). Надо четко понимать что умеет то или иное средство защиты и не требовать от него невозможного.
 
Хоть на свой вопрос ответа я так и не получил, но, тем не менее, сканер защищённости это очень хороший помощник, собственно, как и антивирус. Если есть возможность автоматизировать какой-либо процесс - то почему бы и нет - это +.
Обеспечить защищённость локальной сети, обеспечив защищённый режим public служб и создав грамотный внешний периметр (с прибамбасами) конечно НЕЛЬЗЯ и сами авторы это понимают, почитайте другие статьи. Но избавиться от ряда угроз, связанных с уязвимостями во внешнем периметре и publiс службах - можно, они показали как. Стоит отметить, что они, весьма, уважаемые и преувеличивать не будут.
 
Цитата
Гость пишет:
заинтересованность цискорей в этом тоже понятна - у них нет ниединого сертификата

Мда... Информированность поражает ;-(  На сегодняшний день у нас 162 сертификата ФСТЭК. К слову сказать, такого числа нет ни у кого в России - ни у западной, ни у зарубежной компании.
Luka
 
Цитата
Гость пишет:
ISS-то как сканер уязвимостей, мало кому инетерсен, так как у него другие задачи и сканирование на предмет уязвимостей, далеко не профильная

Можно поподробнее?
Luka
 
Цитата
Гость пишет:
а ведущие эксперты кормят нас статьями 6-ти месячной давности

В защиту авторов могу сказать, что идея данного сравнения появилась больше года назад. Просто, как писал Сергей, работа проводилась в свободное время и времени было "не очень"...
Luka
 
Неправильная терминология:
Вы обсуждаете the scanning tools, not a penetration test

“A penetration test is the authorized, scheduled and systematic process of using
known vulnerabilities in an attempt to perform an intrusion into host, network or
application resources. The penetration test can be conducted on internal (a building
access or host security system) or external (the company connection to the Internet)
resources. It normally consists of using an automated or manual toolset to test company
resources”.

http://www.sans.org/rr/whitepapers/testing/
 
Гость,

Цитата
Гость пишет:
Неправильная терминология:
Вы обсуждаете the scanning tools, not a penetration test

“A penetration test is the authorized, scheduled and systematic process of using
known vulnerabilitie......

http://www.sans.org/rr/whitepapers/testing/

Терминология правильная, неправильное понимание вами использования терминологии.

Сканер безопасности в режиме "пенетрейшн тест" это не тоже самое, что и сам пенетрейшн тест.
На примере:
Мы знаем, что мясорубка это устройство для измельчения мяса. Мы знаем, что морковка это овощ богатый витаминами и т.д. и т.п. и совсем не похожа на мясорубку. НО в тоже время, если мы говорим, что используем мясорубку в режиме измельчения морковки, это еще не значит, что мы не владеем терминологией.

Если серьезно, то работа сканера в режиме "пенетрейшн тест" означает исследование удаленного хоста при отсутствии какой-либо информации о хосте кроме его адреса. Или иными словами это аудит методом "черного ящика".
 
Отличный анализ сканеров!
Авторам огромная благодарность!
Пусть он вышел несколько позднее, чем предполагалось, но как говорится - лучше поздно, чем никогда.
 
Хочу ответить сразу на несколько вопросов, возникших в ходе обсуждения.
Очень мне понравилось высказывание про мясорубки. Собственно, представим, что есть задача – приготовить котлеты. Для этого надо прокрутить мясо в мясорубке. И вот перед вами семь мясорубок разных моделей, при этом разрешено взять любые две. Вопрос: какие именно? При этом следует учитывать, что, прокрутив мясо, надо ещё суметь приготовить из него котлеты (ведь мясорубка этого не делает). Теперь распространим эту идею на сканеры. Получим следующее: задача – Pen Test внешнего периметра. Вам надо выбрать из семи сканеров любые два. Ведь даже в приведённом выше определении сказано:  It normally consists of using an automated or manual toolset to test company resources. Теперь можно перейти и к котлетам: их сканер за вас не приготовит. Тут нужны руки и голова. Так что, задача этого сравнения – выбор двух мясорубок (извините, сканеров безопасности) для приготовления котлет. На мой взгляд, она решена.
Что касается определения сканера, то тут можно сказать так. Сканер безопасности, он же сканер уязвимостей, он же vulnerability scanner, он же security scanner, он же vulnerability assessment tool – это средство защиты, реализующее механизм защиты «выявление уязвимостей», относящийся к категории превентивных.
ISS – это не сканер безопасности, а компания «Internet Security Systems» (www.iss.net).
IS – это, наоборот, сканер безопасности «Internet Scanner».
Nmap – это не сканер безопасности, а утилита для сбора информации о сети (на основе собранной информации можно сделать предположение об имеющихся уязвимостях, но это делает не nmap, а человек, его запускающий, или сканер, которому на вход подали результаты работы nmap).
То, что результатам сравнения уже год – это не страшно. Никаких революций в этой области не было, наиболее значительные изменения произошли с Internet Scanner-ом. Вышел 3-й Nessus, но это буквально недавно. Ещё появился 7-й LANGuard, научившийся сканировать UNIX. В принципе, уже есть повод обновить результаты.  
То, что уязвимостям уже год, и они устарели, так это вообще не критично, потому что, уж точно, не ставилась задача получить состояние защищённости узлов периметра. Ещё раз хочу добавить, что сканировалась не одна сеть, а несколько, и узлы были выбраны из разных сетей совершенно произвольным образом. Поэтому предположение, что всё это узлы одной сети, совершенно не верно.
Почему сравнивались именно сканеры общего характера, а не специализированные? Это вопрос из разряда: почему сравнивались холодильники, а не телевизоры. Сегодня сравнили холодильники, завтра сравним телевизоры.
 
Кто бы сомневался, что выиграет именно спайдер. Сомнений не было с самого начала.
Неприкрытая реклама.
Ретина лучше.
 
Цитата
Vladimir Cogut пишет:
Кто бы сомневался, что выиграет именно спайдер. Сомнений не было с самого начала.
Неприкрытая реклама.
Ретина лучше.
ой, ну я не могу! :)
ретина лучше
лучше чем мясорубка?
дети идут в детскую
 
Отчет, безусловно, хорош!  Вот если бы авторы учли  еще и стоимость. Тогда  уж точно победил бы один Nessus.
 
Цитата
Павел Ковалев пишет:
Отчет, безусловно, хорош! Вот если бы авторы учли еще и стоимость. Тогда уж точно победил бы один Nessus.
Как говорится на халяву и хлорка творжок.  :D
 
Цитата
Павел Ковалев пишет:
Отчет, безусловно, хорош! Вот если бы авторы учли еще и стоимость. Тогда уж точно победил бы один Nessus.

если бы сравнивали с учетом стоимости (с учетом коммерциализации Nessus 3), то он точно бы никогда не победил.
 
Цитата
kutkh пишет:
Как говорится на халяву и хлорка творжок.
:D
Страницы: Пред. 1 2 3 4 След.
Читают тему (гостей: 2)