Комбинированные средства системного аудита

Retina

Retina - это удаленный сканер уязвимостей, который работает под управлением Windows. Это самостоятельное приложение (т.е. оно не использует модель клиент/сервер) и оно распространяется на коммерческой основе, но вы можете загрузить 15-и дневную тестовую версию по адресу: http://www.eeye.com/html/Products/Retina/index.html.

Как и STAT, Retina работает не по модели клиент/сервер. Полное приложение (включая проверку безопасности) должно быть установлено на всех машинах, с которых вы хотите производить сканирование. У Retina есть дополнительные утилиты и модули, которые можно использовать для получения дополнительной информации о машинах, которые вы сканируете. Тем не менее, концептуально, Nessus, STAT и Retina не отличаются друг от друга.

Реализация

При первом запуске Retina позволяет использовать мастер помощи настроек и выполнения первого сканирования. Однако мастер не так подробен, как этого можно было бы ожидать. Он действительно несколько больше, чем "мастер помощи", объясняющий, как произвести настройки и первое сканирование. Такая последовательность действий может быть предпочтительнее, поскольку это заставляет вас изучить процесс, вместо того, чтобы действовать методом тыка. После того как вы воспользовались услугами мастера, вы готовы к работе. Вы увидите окно, изображенное на рис. 12.16.

увеличить изображение
Рис. 12.16. Главное окно Retina

1. Перед началом сканирования вы можете изучить некоторые параметры и настройки. Выберите Tools/Options, чтобы открыть окно Options, показанное далее.
   

   
   
2. В этом окне вы можете управлять настройками сканирования, параметрами вывода сообщений и предупреждений и даже расписанием, так что вы можете сканировать уязвимости на постоянной основе, что весьма полезно.
   

   
   
3. Выберите Tools/Reports, чтобы открыть окно Reports. Вы можете настроить отчеты, создаваемые Retina.
   

   
   

Меню Tools также содержит параметры, которые позволяют сконфигурировать различные политики, которые использует Retina в процессе сканирования. Вы можете управлять интервалами портов, которые просматривает программа, а также типами аудита (или тестов уязвимостей), которые она реализует.

Запустим пример сканирования уязвимости.

1. В главном окне программы (см. рис. 12.16) выберите параметр Scanner на левой панели и задайте IP-адрес в поле Address, расположенном в верхней части окна. Полная версия программы позволяет сканировать интервал IP-адресов.
2. Выберите меню Action/Start, чтобы начать сканирование. Вы увидите отображение процесса сканирования в левом нижнем углу окна ( рис. 12.17). Сначала Retina сканирует открытые порты и пытается получить информацию об этих портах (аналогично программе Nessus ).
3. После того как программа просмотрит систему, она показывает, какие тесты уязвимости можно использовать, и запускает их выполнение на исследуемой машине.
4. Несколько минут спустя, после того как программа закончит сканирование, вы сможете просмотреть результаты. В программе имеется функция устранения проблем "fix it", аналогичная функции AutoFix в программе STAT, которая позволяет автоматически обновить системный реестр Windows и т. п. Когда вы будете готовы создать отчет, выбирите меню Tools/Reports для доступа к параметрам отчетов.

Рис. 12.17. Процесс сканирования

Retina поддерживает дополнительные модули (в левой панели главного окна), которые помогут вам в процессе сканирования.

• Browser. Мини Web-броузер, который позволяет перемещаться по сайту, расположенному по выбранному IP-адресу. Это полезно для проверки Web-серверов на сканируемых хостах.
• Miner. Пытается найти скрытые HTML-файлы или журналы в стандартных, защищенных паролем местах на сайте, перебирая при этом имена пользователей и пароли, хранящиеся в файле.
• Tracer. Графический трассировщик, показывающий путь между вами и машиной, которую вы проверяете.