Опубликован: 20.02.2007 | Доступ: свободный | Студентов: 3481 / 786 | Оценка: 4.42 / 4.03 | Длительность: 40:03:00
Лекция 12:

Комбинированные средства системного аудита

Internet Scanner

Еще один коммерческий сканер для удаленной работы - Internet Security Systems (ISS) - набор инструментов для сканирования, включающий Internet Scanner. Он осуществляет сканирование уязвимостей и ошибок конфигурирования в запускаемых вами приложениях. Он дорого стоит, но тестовые версии некоторых утилит доступны для загрузки по адресу: http://www.iss.net/download/.

Как большинство других сканеров, ISS поставляется с регулярно обновляемой базой данных методов аудита и тестов уязвимостей, которые могут быть выполнены при сканировании системы. Internet Scanner поддерживает те же основные функции, что и Retina, STAT и Nessus. Вопрос в том, делает ли он это лучше?

Реализация

Запустив Internet Scanner, вы увидите, что он загружает все доступные в базе данных тесты уязвимости и проверки на возможность проникновения в систему. Затем вы можете работать над созданием новой ISS-сессии, используя New Session Wizard. После того как вы настроите ISS-сессию, вы можете задать хосты и IP-адреса, которые вы хотите сканировать, а также типы тестов уязвимостей, которые вы хотите запустить. Сессия также использует ключевой файл, в котором задаются возможности по сканированию (например, какое количество машин позволяет сканировать ваша ISS-лицензия). Тестовая версия сканера может сканировать только локальный интерфейс (localhost). Тем не менее, когда вас попросят выбрать тип тестов уязвимостей, вы увидите, что у ISS множество стандартных политик сканирования, которые можно выбрать. По крайней мере, одна должна содержать тот тип машины, который вы сканируете.

Примечание. ISS-политики представляют собой то же самое, что и DAT-файлы STAT. Они позволяют производить сканирование на предмет обнаружения уязвимостей определенного типа и уровня опасности в зависимости от того, какие типы хостов вы сканируете.

При первом запуске Internet Scanner запускается вместе с мастером создания новой сессии (New Session Wizard), который показан на следующей иллюстрации. Поскольку мы все равно ничего не сканируем, мы можем выбрать политику Evaluation, чтобы получить представление о возможностях сканера.


Конфигурирование политики

Выбрав политику, мы можем просмотреть параметры в специальном редакторе Policy Editor. Выберите Choose Policy/Edit Current, чтобы открыть окно Policy Editor, которое показано на рис. 12.18.

Окно Policy Editor

увеличить изображение
Рис. 12.18. Окно Policy Editor

Наиболее сложно в использовании Internet Scanner - это понять, что вы перед собой видите. Вы можете потратить часы, изучая различные типы тестов и приемы получения информации. Вы можете даже выбрать различные представления конфигурации вашей политики.

На рис. 12.19 показан тот же редактор политик Policy Editor, но в другом представлении. Выбрав Risk View из ниспадающего списка вверху, вы можете перестроить список уязвимостей в порядке убывания риска, в отличие от стандартной организации по категориям на рис. 12.18.

Вид редактора Policy Editor в конфигурации по уровню риска

увеличить изображение
Рис. 12.19. Вид редактора Policy Editor в конфигурации по уровню риска

Редактор политик в обязательном порядке заставляет вас выбрать тип тестов уязвимости, который вы хотите включить в сканирование. Вы можете щелкнуть на поле выбора, следующем за списком элементов, чтобы включить или отключить конкретный тест. Вы также можете отключить целую группу тестов. Если вы хотите отключить сканирование всех уязвимостей среднего уровня, вы можете щелкнуть в окне рядом с полем Medium (304) на левой панели, показанной на рис. 12.19, чтобы очистить поле. Так будут отключены все 304 теста со средним уровнем риска. Вновь щелкнув, можно заново задействовать 304 теста уязвимостей со средним уровнем риска.

Как только вы закончили модификацию политики, щелкните на значке с диском для сохранения политики или просто закройте Policy Editor (он должен спросить, хотите ли вы сохранить сделанные изменения). С этого момента вы должны вернуться в главное окно ISS.

Запуск сканирования

После работы с мастером New Session Wizard в начале сессии у вас уже должны быть заданы IP-адреса, которые вы хотите сканировать. Как только вы настроили политику сканирования в соответствии со своими предпочтениями, можно начинать работу.

  1. Выберите Scan/Scan Now.
  2. Чтобы просканировать одну машину, потребуется несколько минут. Значок в верхнем правом углу окна будет двигаться в процессе сканирования, и вы можете щелкнуть на закладке Status, чтобы посмотреть, как происходить сканирование.
  3. Когда сканирование завершится, вы увидите окно результатов, показанное на рис. 12.20.
Результаты ISS-сканирования

увеличить изображение
Рис. 12.20. Результаты ISS-сканирования

Откройте закладку Vulnerabilities и просмотрите, что нашел ISS ( рис. 12.21). Каждая найденная уязвимость содержит информацию об уровне риска (такую как Warning, High, Low и т.д.) и описание.

Сканер может находить ошибки конфигурации политик Windows и ошибки конфигурации служб. Например, уязвимость identdresp показывает, что мы запустили демон identd, который может использоваться удаленной машиной для определения имен пользователей в системе.

Открытая закладка Services, показанная на рис. 12.22, показывает какие Internet- и Windows-службы запущены на машине. Все службы, которым не следует работать, не должны работать. Используя Internet Scanner, вы можете с одного места определить все службы, работающие на всех ваших машинах.

Уязвимости, обнаруженные при сканировании

увеличить изображение
Рис. 12.21. Уязвимости, обнаруженные при сканировании
Проверка запущенных служб

увеличить изображение
Рис. 12.22. Проверка запущенных служб

Internet Scanner позволяет даже произвести ревизию пользовательских профилей в системе, к которым вы можете получить доступ на закладке Accounts, показанной на рис. 12.23. Это легко сделать на Windows-машине, где у вас есть полномочия администратора.

Закладка Accounts

увеличить изображение
Рис. 12.23. Закладка Accounts

Закладки слева от окна Session обеспечивают различные способы представления информации о сканировании. Вы можете не только посмотреть информацию по конкретному хосту, но и быстро просмотреть, какие из машин имеют конкретные уязвимости, на каких из них запущены конкретные службы, и на каких активны конкретные пользователи.