Опубликован: 20.02.2006 | Уровень: специалист | Доступ: платный
Лекция 5:

Сканеры уязвимостей

Вкладка Scan Options (Опции сканирования)

В отличие от отдельных тестов на вкладке предпочтений, эта вкладка содержит настройки, влияющие на весь процесс сканирования (рис. 5.4).

Вкладка Scan Options в Nessus

Рис. 5.4. Вкладка Scan Options в Nessus

Port range (Диапазон портов)

Данный параметр контролирует фазу сканирования портов, задавая целевой диапазон (по умолчанию - 1-15000, что должно охватить большинство обычных сервисов). Если вы желаете поискать "троянские" программы и другие сервисы, действующие на необычно больших номерах портов, подразумеваемый диапазон необходимо расширить и сканировать все 65535 портов TCP и UDP. Следует регулярно (ежемесячно или ежекваратально, в зависимости от размеров сети) выполнять полное сканирование портов всех машин.

Consider unscanned ports as closed (Считать несканированные порты закрытыми)

Данная опция заставляет Nessus объявлять несканированные порты закрытыми. Вы можете что-то пропустить, если (посредством предыдущей опции) не задали достаточно широкий диапазон портов, но зато сканирование выполнится быстрее и с меньшим сетевым трафиком.

Number of hosts to test at the same time (Число одновременно тестируемых хостов)

Задается число хостов, которые Nessus тестирует параллельно. В большой сети возникает соблазн завысить данный параметр и тестировать все хосты одновременно. Однако с некоторого момента это становится контрпродуктивным - в действительности сканирование будет длиться дольше, а может и вообще не закончиться, если завязнет на каком-то одном хосте. На самом деле, на средних серверных машинах (до 2 ГГц) я рекомендую задавать это значение равным 10 хостам вместо подразумеваемого значения 30. Для большинства сканирований это представляется оптимальным значением. Однако, если в вашем распоряжении суперсервер, а сеть очень большая, можно пытаться наращивать это значение, пока это дает видимый эффект.

Number of checks to perform at the same time (Число одновременно выполняемых проверок)

Nessus поддерживает многозадачность не только в смысле одновременного тестирования нескольких хостов, но и в смысле одновременного выполнения нескольких проверок. Подразумеваемое значение 10 представляется разумным, однако, в зависимости от производительности сервера Nessus, можно увеличивать или уменьшать его.

Path to the CGIs (Маршрут к CGI)

Подразумеваемое место, где Nessus будет искать на удаленной системе CGI-процедуры для их тестирования. Если вы используете на машине необычную конфигурацию, то необходимо задать правильный маршрут, чтобы Nessus проверил CGI-процедуры.

Do a reverse lookup on the IP before testing it (Выполнять обратный поиск IP-адреса перед тестированием)

При использовании данной настройки перед проверкой делается попытка выполнить обратный поиск DNS и определить имя хоста для каждого IP-адреса. Это существенно замедляет сканирование и по умолчанию отключено.

Optimize the test (Оптимизировать тестирование)

По умолчанию при выполнении тестов Nessus пытается поступать разумно и не делать проверок, неприменимых к конкретному хосту. Здесь эту опцию можно отключить, чтобы Nessus выполнял все тесты на всех хостах, независимо от того, что покажет сканирование портов.

Safe checks (Безопасные проверки)

По умолчанию всегда устанавливается данный режим. Это значит, что Nessus не будет выполнять никаких небезопасных проверок, которые могут вызвать аварию или как-то иначе повредить серверу. По заголовкам и другой информации определяется, имеет ли хост определенную уязвимость. Я рекомендую всегда выбирать безопасный режим, даже если это приводит к увеличению числа ложных срабатываний.

Designate hosts by their MAC address (Обозначать хосты адресами доступа к среде передачи)

Включите эту опцию, если хотите, чтобы в отчете Nessus хосты обозначались их MAC-адресами, а не адресами IP, как делается по умолчанию. Если в вашей сети имеется хорошая база данных MAC-адресов и если вам трудно соотносить IP-адреса с определенными хостами в связи с применением протокола динамического конфигурирования хостов, подобный выбор поможет вам получить более полезный отчет.

Detached scan (Обособленное сканирование)

Данная возможность позволяет Nessus выполнять сканирование без соединения с клиентом, что полезно для сканирования в необычное время без вмешательства человека. Можно указать, чтобы отчет о сканировании направлялся по определенному адресу электронной почты.

Continuous scan (Непрерывное сканирование)

При использовании этой возможности сканирование запускается на регулярной основе, что полезно для автоматического сканирования сети по расписанию. Задайте интервал между сканированиями в секундах (86400 - для ежедневного сканирования, 604800 - для еженедельного и примерно 2592000 - для ежемесячного). Организовать регулярное сканирование можно и более удобным способом, например при помощи Командного центра Nessus (Nessus Command Center, NCC), описанного в "Средства анализа и управления" . Однако, если вы не хотите устанавливать Web-сервер и базу данных, требующиеся для NCC, рассматриваемая возможность позволяет легко и просто организовать регулярное сканирование.

Port scanner (Сканер портов)

Здесь содержится несколько глобальных настроек для фазы сканирования портов:

  • tcp connect() scan: В этом случае вместо Nmap применяется встроенный в Nessus сканер портов. Он быстрее и требует значительно меньше памяти, однако создает больше шума в сети и будет запротоколирован на большинстве сканируемых машин. Кроме того, над его настройками значительно меньше контроля, чем для Nmap.
  • Nmap: В этом случае применяется Nmap и соответствующие настройки, заданные во вкладке предпочтений для сканирования портов.
  • SYN Scan: Данная возможность была реализована в версии 2.0. Предлагается встроенное сканирование SYN в упомянутом выше режиме tcp connect. Это делает сканирование несколько менее шумным, но недостаток детального контроля по сравнению с Nmap все же остается.
  • Ping the remote host: До всех проверок выполняется эхо-тестирование хостов в целевом диапазоне, чтобы проверить, работают ли они.
  • scan for LaBrea Tar-pitted hosts: Хосты La Brea Tar-pitted служат для обнаружения сканирования портов и затягивания его до бесконечности, что может замедлить или вызвать аварию сканирования. Данная опция делает попытку обнаружить и обойти хосты с подобной защитой.
Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Александр Путятинский
Александр Путятинский

Добрый день по окончании данного курса выдается сертификат?

Елена Гогонова
Елена Гогонова
Россия, Магнитогорск
Алина Архипова
Алина Архипова
Россия, г белорецк