Комбинированные средства системного аудита

Сканирование и анализ системы

Теперь мы готовы начать сканирование.

1. Щелкните на кнопке Start The Scan в левом нижнем углу закладки Target Selection.
2. В окне состояния, в зависимости от того, как много параллельных процессов разрешено для выполнения, вы сможете увидеть несколько запущенных параллельно тестов уязвимости, как это показано на рис. 12.7.
3. Теперь можно выпить чашечку кофе. Каждое сканирование только трех хостов может потребовать довольно много времени. Когда сканирование завершится, результаты будут готовы для просмотра в окне Nessus Report, показанном на рис. 12.8.

Рис. 12.6. Закладка Target Selection (Выбор цели)

Рис. 12.7. Состояние сканирования

Рис. 12.8. Отчет о проделанной работе

Теперь пришло время анализировать отчет. По умолчанию Nessus сводит все обнаруженные проблемы и разделяет их по портам и хостам. Щелкните на хосте в списке в левой части окна Report, чтобы отобразить список портов на этом хосте. Дважды щелкните на конкретном порте, чтобы посмотреть, какие проблемы с безопасностью этого порта обнаружила программа. На рис. 12.8 видно, что Nessus обнаружил дыру в безопасности с высоким (High) фактором риска, относящимся к SSH-серверу по адресу 192.168.1.100. Nessus также показывает, что он определил тип и версию работающего Web-сервера. Понятно, что это не обязательно проблема безопасности, а полезная информация, которую потенциальный взломщик может легко получить.

Вы можете отсортировать выходную информацию по портам, щелкнув на кнопке Sort By Port. Список портов будет представлен слева, а соответствующие машины и их проблемы безопасности будут представлены справа в окне Report. Это полезно, если вы просматриваете информацию о конкретной уязвимой службе.

Nessus также сортирует хосты в соответствии со сложностью проблем. Красный значок означает, что обнаружена, по крайней мере, одна дыра в безопасности. Белый значок означает, что порт открыт, но не было найдено никаких ошибок.

Если вы хотите сохранить отчет в файле, можно выбрать формат отчета из выпадающего списка между кнопками Save As и Close, а затем щелкнуть на кнопке Save As. Вы можете сохранить отчет в собственном формате Nessus (по умолчанию NSR), чтобы просмотреть его позже. В противном случае, вы можете сохранить отчет в формате HTML или LaTeX, или в виде простого текстового файла. Это не слишком красиво, но, по крайней мере, здесь есть вся информация.

Поддержание тестов на уязвимость в актуальном состоянии

Как уже упоминалось, модули Nessus обновляются ежедневно по мере обнаружения новых уязвимостей. Nessus поставляется со скриптом Nessus-update-plugin, который может автоматически скачивать и устанавливать модули с сайта http://www.nessus.org. Вы можете поместить это приложение в состав заданий демона cron, поскольку оно не требует никакой входной информации на старте. Таким образом, у вас будут наиболее свежие тесты для сканирования.

STAT

Программа STAT - это набор коммерческих программ, поставляемых компанией Harris Corporation (http://www.statonline.harris.com/), который включает в себя STAT Neutralizer, STAT Analyzer и STAT Scanner. STAT Neutralizer размещается на отдельной Windows-машине и выполняет задачи контроля за выполнением правил безопасности, наблюдения за вирусами и проведение активных мероприятий против попыток внедрения. STAT Analyzer обеспечивает интеграцию нескольких других коммерческих сканеров уязвимостей (включая собственный сканер STAT Scanner ), чтобы представить вам более полную и достоверную картину уязвимости вашей сети.

STAT Scanner - современное средство аудита в комплекте STAT, и в этом разделе мы сосредоточимся на нем. Тем не менее, возможности интеграции STAT Analyzer с другими системами аудита, упоминавшиеся в этой лекции, делают его достойным внимания.

STAT Scanner (в оставшейся части раздела - STAT ) использует те же основные настройки, что и другие сканеры уязвимостей. STAT работает на платформе Windows NT/2000, но может быть запущен и на других операционных системах. Наилучшая производительность достигается на Windows-машинах. Если при сканировании вы входите в систему, как администратор домена, у вас есть возможность получить доступ как к машинам для анализа локальной уязвимости, так и анализировать уязвимость с точки зрения удаленного доступа.

STAT не использует архитектуру клиент-сервер. Исполняемая часть и тесты уязвимости должны размещаться на каждом хосте, который необходимо сканировать. STAT еженедельно выпускает новые тесты уязвимости, и их можно скачать с авторизованного Web-сайта.

Щелкнув дважды на каждом сообщении о найденных уязвимостях, можно получить массу информации о найденных проблемах, их сложности, где можно получить дополнительную информацию, и как их устранить. Для некоторых видов уязвимостей у STAT есть уникальная возможность "auto fix", такая, как корректировка системного реестра. Если STAT может устранить их самостоятельно, то становится доступна кнопка AutoFix.

Реализация

После установки STAT у вас сразу запросят регистрационный ключ. Если у вас его нет, вы сможете запускать приложение только в "ознакомительном" режиме, который предоставляет возможность тридцатидневного использования сканера, но с ограниченными возможностями по запуску тестов уязвимости (из конфигурационного файла QuickScan.dat).

Как показано на рис. 12.9, у STAT хорошо организованный интерфейс. Ниже меню и панели инструментов показано текущее состояние выбранной машины и конфигурационный файл (политика или работающие тесты уязвимости). Найденные уязвимости перечисляются в главном окне. Если вы сканируете несколько машин, то можете выбрать найденные уязвимости на конкретной машине или на всех машинах сразу. Каждую колонку можно сохранить. В нижней части окна значки показывают количество найденных уязвимостей и их уровень. Вы также можете отслеживать процесс сканирования, поскольку информация на дисплее обновляется регулярно.

увеличить изображение
Рис. 12.9. Интерфейс STAT