6.3. Сканер безопасности XSpider

В последнее время в России все большую популярность среди специалистов по защите информации набирает сканер безопасности XSpider версии 7.0, выпускаемый отечественной компанией Positive Technologies.

Есть ряд особенностей, которые дают преимущества сканеру XSpider как системе анализа защищенности над другими продуктами данного класса. Как подчеркивают сами разработчики, главная особенность XSpider 7 - это его сканирующее ядро, которое способно имитировать сценарий поведения потенциального злоумышленника. Также следует отметить мощную "интеллектуальную начинку" XSpider 7, которая реализуется во встроенных эвристических алгоритмах, позволяющих надежно идентифицировать еще не опубликованные новые уязвимости.

Надежные и исчерпывающие проверки XSpider 7 базируются, в частности, на следующих интеллектуальных подходах [ [ 6.5 ] ]:

• полная идентификация сервисов на случайных портах;
• эвристический метод определения типов и имен серверов (HTTP, FTP, SMTP, POP3, DNS, SSH) вне зависимости от их ответа на стандартные запросы;
• обработка RPC-сервисов с их полной идентификацией;
• проведение проверок на нестандартные DoS-атаки.

С момента выхода первой версии сканера XSpider прошло уже более 6 лет. Версия 7.0, с которой мы познакомимся на этом занятии, является коммерческой в отличие от предыдущих свободно распространяемых версий (6.5 и ранее). У компании Positive Technologies существует гибкая система лицензирования сканера XSider 7. Стоимость лицензии зависит от количества проверяемых IP-адресов, количества рабочих мест, с которых проводится сканирование, и срока действия подписки на обновления. Более подробную информацию по приобретению продукта можно получить на странице компании: http://www.ptsecurity.ru/xs7rates.asp.

Для изучения возможностей сканера XSider 7 достаточно приобрести версию XSpider 7 Professional Edition с числом сканируемых IP-адресов от 4 до 16. Устанавливается XSpider 7 на любую операционную систему Microsoft Windows в режиме мастера.

При запуске XSpider 7 на экран будет выведено главное окно программы (рис. 6.4), в котором отобразится информация о текущей версии сканера и лицензии.

увеличить изображение
Рис. 6.4. Главное окно сканера XSpider 7.0, появляющееся при его запуске

В нижней части главного окна, в разделе "Документация" имеются ссылки на встроенные учебник и справочник по продукту XSpider. Данные разделы документации тоже можно отнести к важным преимуществам XSpider. Во-первых, учебник и справочник написаны на русском языке, что имеется далеко не во всех подобных системах. Во-вторых, автор учебника - директор по развитию Positive Technologies Евгений Киреев - изложил достаточно интересно и понятно весь материал, с расчетом на обычных пользователей-непрофессионалов в области информационной безопасности.

Далее, чтобы не дублировать содержимое встроенного учебника, будут изложены основные концепции, на которых базируется организация работы сканера безопасности XSpider 7.

XSpider 7 имеет многооконный интерфейс. Важно отметить, что каждое окно служит интерфейсом определенной задаче XSpider. Понятие "задача" является центральной концепцией сканера безопасности XSpider 7, она позволяет организовать и систематизировать процесс сканирования сети. Любое сканирование хостов всегда происходит в рамках определенной задачи, даже если для этого ничего специально не делалось: при первоначальном запуске XSpider всегда создается пустая задача.

Любая задача в XSpider определяется следующими атрибутами:

• список проверяемых хостов (в задачу объединяют хосты, которые планируется проверять сходным образом);
• журнал историй сканирований данной задачи;
• профиль сканирования.

Задача может быть сохранена в виде файла (по умолчанию каталог Program Files\Positive Technologies\XSpider 7.0\Tasks), и первые два атрибута - список хостов и журнал истории сканирований - будут записаны в ее структуру данных.

Профиль сканирования - это еще одна концепция сканера XSpider, представляющая набор настроек, которые определяют параметры сканирования хостов. Профиль можно назначить задаче, как только она сформирована. Если этого не сделать, то будет использоваться профиль по умолчанию (Default - Стандартный). После установки сканера безопасности XSpider 7 пользователю доступны 14 базовых профилей (рис. 6.5). Важно понимать, что с профилями можно работать независимо от задач, их можно редактировать, создавать новые и сохранять в отдельные файлы (по умолчанию каталог Program Files\Positive Technologies\XSpider 7.0\Profiles). В задаче хранится ссылка только на тот профиль, из которого ей нужно брать параметры сканирования.

Рис. 6.5. Базовые профили, доступные в XSPider 7.0

6.4. Лабораторная работа 1. Работа с Microsoft Baseline Security Analyzer 2.0

На этой лабораторной работе вы научитесь работать со средством анализа защищенности MBSA 2.0. Сначала вы выполните настройки на компьютере под управлением ОС Windows XP Professional, позволяющие работать MBSA без подключения к Интернету, а затем выполните сканирование и сгенерируете отчет о проделанной работе.

6.4.1. Упражнение 1. Подготовка компьютера под управлением ОС Windows XP Professional для работы MBSA в автономном режиме

Упражнение выполняется на виртуальной машине с ОС Windows XP Professional. Цель этого упражнения - обеспечить решение последующих задач по работе с MBSA 2.0 в автономном режиме, поэтому нам необходимо подключение к Интернету. Более подробную информацию о настройке MBSA в автономном режиме смотрите в источнике [ [ 6.2 ] ].

1. Запустите виртуальную машину с ОС Windows XP Professional.
2. Зарегистрируйтесь в системе как пользователь с правами администратора.
3. Запустите Internet Explorer и наберите следующий адрес в адресной строке: http://download.windowsupdate.com/v6/windowsupdate/redist/standalone/windowsupdateagent20-x86.exe.
4. Скачайте автономный установщик обновленного агента обновления Windows и установите его на компьютер с ОС Windows XP Professional.
5. Далее необходимо скачать базу уязвимостей Wsusscn2.cab, доступную по адресу: http://go.microsoft.com/fwlink/?LinkID=74689.
6. Сохраните скачанный файл в следующую папку: C:\Documents and Settings\<username>\Local Settings\Application Data\Microsoft\MBSA \2.0\ Cache\wsusscn2.cab. В указанном пути под папкой <username> имеется в виду имя папки, содержащей профиль пользователя с администраторскими правами, под которым вы зарегистрировались в системе.
7. Установите средство MBSA 2.0. Ссылки на текущие версии MBSA содержатся на странице: http://www.microsoft.com/technet/security/tools/mbsahome.mspx.
8. На рабочем столе должен появиться ярлык программы Microsoft Baseline Security Analyzer 2.0

6.4.2. Упражнение 2. Проверка локального компьютера с помощью MBSA 2.0

Упражнение выполняется на виртуальной машине с ОС Windows XP Professional.

1. Зарегистрируйтесь в системе как пользователь с правами администратора.
2. На рабочем столе щелкните дважды на ярлык программы MBSA 2.0.
3. MBSA запустится в графическом режиме в режиме мастера, и появится первое окно "Welcome to the Microsoft Baseline Security Analyzer". Нажмите на ссылку "Scan a computer".
4. Загрузится следующее окно мастера MBSA, где необходимо задать опции сканирования. По умолчанию в поле "Computer name" отобразится имя текущего компьютера, на котором вы запустили MBSA. В опциях сканирования снимите флажок "Check for IIS administrative vulnerabilities" (проверка служб IIS).
5. Нажмите ссылку внизу "Start scan".
6. Так как соединение с Интернетом отсутствует, то под индикатором процесса выполнения сканирования сначала появится надпись "Filed to download security update database". Через несколько секунд MBSA начнет процесс сканирования в автономном режиме, при этом изменится надпись "Curently scanning <Имя компьютера>".
7. После окончания сканирования загрузится отчет с результатами.
8. Внимательно изучите отчет.