Правила применение сканера безопасности xSpider

Подразумевается, что у Вас имеется установленный сканер безопасности XSpider. В статье описаны технологические установки и методы работы с со сканером безопасности xspider, от компании Positive Technologies.

Сканирование

Для проведения сканирования необходимо создать задачу, указать сканируемые узлы, настроить профиль сканирования и запустить сканирование.

Все основные операции по управлению сканированием осуществляются из вкладки «Сканирования».

Вкладка Сканирования предназначена для отображения информации об активных сканах и управления ими, а также для управления профилями сканирования, которые задают настройки, используемые при сканировании.

Создание задачи

Основные операции по управлению задачами осуществляется из вкладки Задачи, открываемой по умолчанию при переходе на вкладку «Сканирования». В панели «Задачи» во вкладке «Задачи» отображается список имеющихся в системе задач.

Существует два метода создания задачи: добавление новой и копирование существующей.

Для создания новой задачи:

1. Нажмите кнопку (Добавить задачу) в панели «Задачи».
2. Укажите название задачи в поле «Название» диалогового окна «Создать» новую задачу. Только этот параметр является обязательным.
3. Нажмите кнопку OK.

Для создания задачи на основе существующей:

1. Выделите копируемую задачу в списке задач.
2. Нажмите кнопку (Копировать задачу) в панели «Задачи».
3. Задайте необходимые параметры в диалоговом окне «Редактировать» задачу.
4. Нажмите кнопку ОК.

После выполнения этих операций задача появится в списке задач и активируется в окне Параметры задачи.

Настройка профиля сканирования

Настройка профиля сканирования осуществляется в списке «Узлы» панели «Параметры задачи». Для выбора профиля необходимо нажать на ссылку «Добавить» профиль.

Отображаемые в списке профили сканирования создаются на вкладке «Сканирования» — «Профили». Детальная информация по настройке профиля приведена в разделе «Настройка профиля сканирования».

В случае необходимости значения профиля могут быть переопределены для всей задачи или для отдельных узлов/группы узлов. Для добавления переопределения необходимо  нажать  на  кнопку  «Добавить  переопределение»  .  После этого откроется окно редактора профиля и появится возможность модифицировать параметры сканирования. Для удаления переопределений профиля и возвращения к настройкам, указанным в профиле, необходимо нажать кнопку «Удалить переопределение» .

После переопределения профиля и добавления узлов сохраните изменения, нажав на кнопку Применить.

Список узлов

Ввод сканируемых узлов осуществляется в списке «Узлы» панели «Параметры задачи».

Для выбора узла нужно нажать на ссылку «Добавить узел»

Для ввода подсетей или диапазонов IP-адресов используется разделитель «-»,

например, 192.168.0.1-192.168.0.25.

Для  удаления  узла  или  диапазона адресов  необходимо нажать  кнопку  «Удалить узел» .

После переопределения профиля и добавления узлов сохраните изменения, нажав на кнопку «Применить».

Запуск задачи

В системе XSpider существует несколько режимов запуска задач на выполнение:

• Собственно, запуск задачи;
• Сканирование выбранных узлов;
• Режим Host discovery.

Для запуска задачи необходимо выбрать её в списке «Задачи» и нажать на кнопку «Запустить задачу» . После этого задача появится в панели «Активные сканы».

Внимание!

Обратите внимание: идентификация узлов крайне важна при построении отчетов!

Доступны следующие способы именования узлов в результатах сканирования: как в задаче, по главному правилу. Главное правило – это одно из правил, которые связаны с задачей (для настройки используется закладка «Конфигурация» — «Правила»).

При установке новой версии для всех задач, у которых был установлен способ именования узлов в результатах сканирования, соответствующее правило автоматически назначается главным (IP, NetBIOS, FQDN). Например, для задачи со способом именования узлов по IP-адресу будет установлено главное правило «IP». Обратите внимание, что остальные правила по умолчанию не применимы к задаче. Для того чтобы сделать их применимыми, следует явно установить настроить применимость в интерфейсе правил (панель Задачи, закладка Конфигурация-Правила). Обратите внимание: если правило не применимо к задаче, то ее узлы не могут быть идентифицированы по этому правилу, и отчет с такой идентификацией будет пуст.

Планировщик задач

Для формирования запланированных действий используется вкладка Планировщик. Возможно выполнить следующие сценарии запуска задачи:

• Последовательный запуск;
• Выпуск отчета;
• Host Discovery.

Для создания нового расписания необходимо на панели инструментов выбрать кнопку    «Создать». Откроется новое диалоговое окно Создание расписания, в котором можно выбрать необходимый сценарий запуска и указать параметры его запуска.

Анализ результатов

Для анализа результатов можно использовать историю сканирования или механизм генерации отчетов.

История сканирования

Для просмотра истории сканирования необходимо перейти на вкладку «История». В этой вкладке отображается список задач, календарь сканирований и список сканирований для выбранных задач.

Для просмотра результатов необходимо выбрать нужный скан в списке сканов и дважды щелкнуть на нем левой кнопкой мыши, либо выбрать пункт Документ сканирования в контекстном меню.

Существует возможность сформировать отчет по текущему скану непосредственно из вкладки История. Для этого на выбранном скане необходимо щелкнуть правой кнопкой мыши и указать в контекстном меню пункт «Отчеты».

После генерации отчета отобразится диалоговое окно, позволяющее просмотреть или доставить отчет.

Генерация отчетов

Система XSpider предоставляет пользователю два способа работы с результатами сканирования. Во-первых, для каждого скана создается документ сканирования, который содержит все подробные данные о результатах сканирования без предварительной обработки, группировки или фильтрации; этот документ динамически обновляется в процессе сканирования.

Отчет строится на основании данных сканирования. Пользователь может выбрать необходимый ему тип отчета.

Информационный отчет

Это отчет по скану или задаче (задачам). Отчет типа «Информация» является наиболее простым. Это презентативный отчет, который позволяет выделить из документов сканирования указанного скана (сканов) только требуемые данные. Следующие задачи можно решить с помощью этого типа отчетов:

узнать о состоянии транспортов при сканировании;

провести инвентаризацию с выводом  сводной информации или с фильтрацией данных по контрольным спискам, по узлам;

вывести данные по уязвимостям с различными фильтрами и группировками.

Дифференциальный отчет

Этот тип отчетов применяется для сравнения данных одного или нескольких сканирований и отображения изменений в состоянии узлов. Ключевой параметр данного типа отчетов – выбор способа идентификации узлов в сканах, т.е. механизма, с помощью которого делается вывод о том, что два скана относятся к одному и тому же узлу или к разным узлам. В процессе построения отчета этого типа система XSpider определяет состояние узла в двух заданных интервалах эталонном и изучаемом и выводит запрошенную информацию. Дифференциальный отчет позволяет решать следующие задачи:

• вывод результатов сравнения с различными группировками и фильтрами:
• например, только не устранённые уязвимости;
• вывод результатов сравнения с указанием новых данных, изменившихся, устраненными или оставшихся без изменений.

Выпуск отчетов по расписанию и доставки

XSpider позволяет создавать расписания, по которым будут запускаться сканирования. Когда сканирование завершено, системный планировщик может направить отчет по указанному электронному адресу или сохранить его в указанную сетевую папку. Отчет задается шаблоном, в который планировщик подставляет полученные данные.

Создание фильтров в отчете

Фильтрацию узлов возможно осуществить, включив в отчет результаты по выбранному уровню достоверности, а также можно применить дополнительный фильтр, указав узел или диапазон узлов, которые необходимо будет включить или исключить из отчета. После окончания редактирование нужно сохранить настройки отчета.

Общая схема построения отчетов

Для создания отчета по сканированию необходимо перейти в раздел «Отчеты».

XSpider предусматривает следующие типы построения отчетов: системные и пользовательские шаблоны. Раздел Отчеты делится на две вкладки: Отчеты и Доставки.   Во вкладке Отчеты представлен список, как системных шаблонов, так и пользовательских шаблонов, существующих в системе. Во вкладке Доставки отображается список существующих в системе доставок. Доставки могут осуществляться как на заданный ящик электронной почты, так и в сетевую папку.

Системные шаблоны отчетов

Во вкладке «Отчеты» выбрать необходимый отчет и открыть параметры отчета. Для системных шаблонов отчета необходимо заполнить поля с указанием периода времени и задачи, для которой необходимо построить отчет. В зависимости от типа и назначения отчета нужно будет указать дополнительные параметры. Например, эталонный скан.

Пользовательские шаблоны отчетов

Пользовательские шаблоны отчетов можно создавать новые или на примере уже существующих шаблонов.

Сканирование различных систем

Профиль сканирования определяет логику работы системы. В связи с этим достоверность получаемых результатов в большой степени зависит от корректности его настроек. В большинстве случаев можно использовать готовые шаблоны профиля, входящие в стандартную поставку системы, модифицируя некоторые параметры (например, учетные записи для сканирования).

Редактирование профилей

Основные операции по управлению профилями осуществляется из вкладки «Сканирования» — «Профили». В панели «Профили» отображается список имеющихся в системе профилей. Панель «Навигатор» позволяет быстро перемещаться между элементами профиля. В панели «Параметры» отображается текущее значение элементов профиля и осуществляется их изменение.

Сканирование. Общие настройки.

Сканирование направлено на получение оценки защищенности со стороны внешнего злоумышленника. Ниже приведены основные характеристики этого процесса:

• использование минимальных привилегий по отношению к тестируемой системе (анонимный доступ или доступ уровня пользователя);
• идентификация и анализ уязвимостей серверного программного обеспечения;
• эвристические алгоритмы идентификация типов и версий сетевых служб по особенностям протоколов;
• механизмы защиты от ложных срабатываний и уточнения наличия уязвимостей;
• поиск уязвимостей и отсутствующих обновлений Microsoft Windows без использования учетной записи;
• эвристический анализ веб-приложений;
• проверка стойкости паролей.

Ниже приведены подробные описания некоторых настроек профиля сканирования.

Сканер портов

Основой сканирования является сканер портов, который позволяет идентифицировать доступные на узле сетевые службы. Пользователь имеет возможность настраивать параметры производительности, а также указывать сканируемый диапазон.

Для оптимизации сканирования можно задействовать внешние сканеры, такие как Nmap. Использование Nmap позволяет значительно ускорить сканирование портов в ходе инвентаризации. Для работы этой функции на узле, на котором установлен сканер XSpider, должен располагаться сканер Nmap, путь к которому указывается в профиле сканирования. При необходимости можно задавать и дополнительные опции. Nmap нельзя использовать для поиска портов на локальном узле. Nmap может работать некорректно, если сетевому интерфейсу назначено несколько IP-адресов. Данное ограничение связано с тем, что Nmap пытается использовать только первый IP-адрес сетевого интерфейса.

Для идентификации доступных UDP-служб используются специализированные эвристические алгоритмы. Необходимость применения этих алгоритмов связана с особенностями протокола UDP, не позволяющего определить доступность порта в рамках протокола транспортного уровня.

Для уменьшения времени сканирования можно ограничивать список проверяемых сервисов UDP.

Сканирование может вызвать временный отказ в обслуживании плохо сконфигурированных систем, рекомендуется проводить предварительную подготовку.

Как правило, процесс сканирования разбивается на два этапа: инвентаризационный и производственный.

В ходе инвентаризационного сканирования отключаются все эвристические механизмы, подбор паролей и потенциально опасные проверки. Это позволяет получить базовую информацию о системах с минимальным риском возникновения негативных последствий.

Как правило, в ходе инвентаризационного сканирования рекомендуется использовать следующие настройки:

• Не производить сканирование сетевых принтеров – включено;
• Проверять на известные DoS-атаки – отключено;
• Проверять на новые DoS-атаки (эвристический метод) – отключено.
• HTTP — Включить анализатор контента – отключено;
• HTTP — Включить анализатор директорий – отключено;
• Подбор учетных записей – подбирать учетные записи – отключено.

В ходе производственного сканирования данные опции могут быть задействованы с учетом возможных негативных последствий.

Подбор паролей

XSpider поддерживает подбор паролей для следующих групп сетевых служб и протоколов:

• Протоколы электронной почты (SMTP, POP3)
• Службы передачи файлов (SMB, FTP, HTTP)
• Протоколы удаленного управления (Telnet, SNMP, Microsoft RDP, SSH, VNC, Radmin)
• Базы данных (Microsoft SQL, Oracle, Oracle SID/ SERVICE_NAME, MySQL)

Настройки профиля

Чтобы задействовать механизм подбора паролей той или иной службы необходимо явно указать это в профиле сканирования. Для этого в разделе «Профиль сканирования – «Настройки сканирования» – «Подбор учетных записей» профиля сканирования выбирается соответствующий протокол. Если функции подбора паролей для него реализованы, то в окне настройки будут присутствовать связанные опции, например, «использовать словарь». В случае необходимости, подбор паролей может быть   отключен   для   всех   протоколов   с   помощью отключения опции «Подбирать учетные записи».

Расширенные словари представляют собой текстовые файлы, содержащие имена пользователей и пароли. Словари сохраняются в разделе «Справочники» закладки «Сканирования».

Определено три типа словарей:

• логины – содержит имена учетных записей;
• пароли – содержит пароли;
• комбинированный – содержит сочетание имен пользователей и паролей.

В стандартную поставку входят различные справочники распространенных паролей, включая стандартные пароли для различных систем и популярные пароли, полученные командой Positive Technologies в ходе тестов на проникновение и аудитов безопасности.

Для большинства протоколов справочники учетных записей и паролей разнесены. Исключением являются SNMP (в протоколе не предусмотрено использование имени пользователя) и Oracle в связи со спецификой работы данной группы проверок.

Работа системы

Если в ходе идентификации приложений XSpider обнаруживает сетевую службу, для которой реализован механизм подбора паролей, система строит список учетных записей, подлежащих перебору. Список учетных записей формируется на основе встроенных данных, файлов словарей (если эта опция задействована) и ранее обнаруженных логинов.

Для поиска учетных записей пользователей используются различные механизмы, такие как «NULL Session» в Windows.

Затем определяется поддерживаемый сервером механизм аутентификации. Если сервер поддерживает несколько методов, выбирается наиболее эффективный с точки зрения подбора.

Следующим этапом является непосредственно подбор пароля. В результате в отчете могут появляться подобранные имена пользователей и паролей. В некоторых случаях XSpider снижает степень риска, связанного с уязвимостью. Это означает, что по тем или иным причинам аутентификация была успешна, но войти в систему не удалось.

Результаты проверок передаются между модулями подбора для различных протоколов. Например, если при работе с NetBIOS был получен список пользователей и подобран пароль пользователя user, эти данные будут использованы в ходе подбора паролей к службе RDP данного сервера.

Безопасность сканирования

Использование подбора паролей в ходе сканирования может вызывать негативные последствия. Наиболее распространенной ситуацией является блокирование учетных записей в доменах Active Directory. Если сканер сумел получить список пользователей, и количество тестируемых паролей превышает максимальное число неудачных входов в систему, то заблокированными могут оказаться все учетные записи кроме учетной записи администратора.

В сканер встроены механизмы, позволяющие определить, что в системе задействован механизм блокировки учетных записей. Несмотря на это, в подобной ситуации рекомендуется отключать функции подбора паролей.