17 октября, среда 06:30
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Сканеры безопасности.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сканеры безопасности.

    Коллеги, пользовались ли вы для проверки сети извне, сканерами безопасности типа: Nmap, XSpider, Maxpatrol и т.д? Каковы ваши впечатления, какой понравился больше и почему. Заранее признателен.

  • #2
    Лично я:
    nmap - в качестве сканера безопасности не использовал, так, иногда для начального или уточняющего сбора информации.

    XSPider (то же самое что и MaxPatrol) - использовал. Главное приемущество - русский язык отчётов. К сожалению, иногда подвисал (без сохранения собранной информации).

    Nessus - использовал с платной подпиской. По ощущениям так-же как и xspider, только слабее модуль с поиском XSS. Для него есть очень интересная вещь - это модули и шаблоны с забитыми стандартами по безопасным настройкам и можно проверять на соответствие узлы. Но, к сожалению, на практике не проверил.

    По моему, ещё был Immunitysec Canvas - совмещённый сканер с модулем использования эксплойтов. Честно говоря не очень как-то. Связка любого сканера (xspider/nessus)+Metasploit для меня была гораздо удобнее и гибче.

    Комментарий


    • #3
      Генератор пакетов... для настоящих пацанов ))))
      firewall -ы тестить самое то.

      Комментарий


      • #4
        http://www.ptsecurity.ru/compare2.asp - сравнение сканеров. Не знаю насколько статьи объективны, тем не менее..

        Кто уже пробовал MaxPatrol 8.0? Какие отзывы?
        Лучший сканер в соотношении "качество проверки/минимум загрузки сети"?

        Комментарий


        • #5
          Majestic Кто уже пробовал MaxPatrol 8.0? Какие отзывы?

          Я пробовал. С точки зрения архитектуры и задумок продукт О-О-О-чень неплох. Движок по поиску дыр там и так был отличный. Так что проверять надо уже в конкретной системе, как и что.

          Комментарий


          • #6
            Сообщение от Алексей Лукацкий Посмотреть сообщение
            Majestic Кто уже пробовал MaxPatrol 8.0? Какие отзывы?

            Я пробовал. С точки зрения архитектуры и задумок продукт О-О-О-чень неплох. Движок по поиску дыр там и так был отличный. Так что проверять надо уже в конкретной системе, как и что.
            Завидую. А я вот попробовал его найти в э-э-э... интернете, так нет - покупать надо... :-(

            А, кстати, разница между триальной версией и покупной очень велика?

            Комментарий


            • #7
              Сообщение от Berrimor Посмотреть сообщение
              А, кстати, разница между триальной версией и покупной очень велика?
              А где триальный MaxPatrol взять? Или имеется ввиду XSpider?

              Комментарий


              • #8
                Сообщение от Majestic Посмотреть сообщение
                А где триальный MaxPatrol взять? Или имеется ввиду XSpider?
                Не помню, я просто поиском нашел ссылочку. Их много найдете, Maxpatrol 7.5 demo называется. Чего-то в ней нет, но даже что есть весьма любопытно...

                Комментарий


                • #9
                  Ну то что вы нашли это тот же XSpider. О новом MaxPatrol'е можно здесь почитать http://www.ptsecurity.ru/maxpatrol.asp. Ладно, уже рекламой занимаюсь, просто хотелось бы посмотреть, хотя бы демо новой версии

                  Комментарий


                  • #10
                    Хотелось бы услышать мнение Алексея Лукацкого относительно других сканеров безопасности, тех же Retina, LanGuard, Nessus, IS и др.
                    И еще один вопрос: MaxPatrol реализован как клиент-сервер?

                    Комментарий


                    • #11
                      Majestic Хотелось бы услышать мнение Алексея Лукацкого относительно других сканеров безопасности, тех же Retina, LanGuard, Nessus, IS и др.

                      Ну я сейчас не могу уже выступать в качестве эксперта - я давно сканерами не занимаюсь. Могу только высказать некоторые субъективные оценки. У MaxPatrol один из лучших движков с точки зрения обнаружения дыр. Он еще при спайдере превосходил имеющиеся аналоги, если не брать в расчет Nessus с собственными базами проверок (но таких баз единицы и в широком доступе их нет).

                      IS давно сдал свои позиции ;-( Очень давно продукт не обновлялся с точки зрения обвязки к ядру. Проверки новые выходят конечно, но этого мало.

                      Остальные не смотрел - они не корпоративного класса на мой взгляд. Скорее продукты "сами по себе".

                      Комментарий


                      • #12
                        мнение можно считать предвзятым>
                        Выскажусь как системный архитектор XSpider/MaxPatrol.
                        /мнение можно считать предвзятым>

                        MaxPatrol 7 = XSpider 7

                        Мы объединили русскую и английские версии под именем MaxPatrol 8.0 (или просто MaxPatrol).
                        Публичной демки пока нет, планируем выпустить в этом году.
                        В июле планируем семинар по продукту, если будет интересно - можно будет приехать, посмотреть, послушать, поспрашивать.
                        Если интересно - о сроках и регистрации отпишусь в эту тему.

                        И еще один вопрос: MaxPatrol реализован как клиент-сервер?
                        MaxPatrol имеет распредленную архитектуру в которой выделяются: сканер MP Scanner(активный компонент проводяший сканирование)
                        сервер MP Server (модуль, управляющий сканерами и другими задачами, интерфейс пользователя, генерация отчетов и т.д.)
                        консолидатор MP Consolidator (сбор данных с множества серверов и генерация отчетов)
                        Все это сделано для увеличения возможностей масштабирования. И снижения нагрузки на магистральные каналы связи.

                        модули и шаблоны с забитыми стандартами по безопасным настройкам и можно проверять на соответствие узлы.
                        В MaxPatrol это тоже есть. Называется модуль Compliance (как и в нессусе). Но в отличие от N уже сейчас реализованы чеклисты для Windows, Solaris, Active Directroy, Exchange Server, Check Point FW, Oracle, Cisco (switch, router), SAP R/3 (это было ужасно
                        Набор расширяется...

                        Сравнивать с другими продуктами могу только по конкретным задачам/вопросам. Предвзято, естественно . Будут вопросы - спрашивайте.

                        Лучший сканер в соотношении "качество проверки/минимум загрузки сети"?
                        Загрузка сети - штука сложная. И в большей степени зависит от двух факторов: механизм сканирования + скорость.

                        Например:
                        Чистый "пентест" - (скан портов well known ports + банерные проверки + набор "экплойтов") на стандартном windows узле пораждает сумарный трафик около 5 МБ. Сканирование идет 4-6 минут, соответсвенно нагрузка на сеть - 17 КБ/c.

                        Если к "пентесту" добавить "эвристику" (подбор паролей, фаззинг, Web-сканер), получаем уже от 10 МБ и выше (однажды сканировали Web-сервер 3 суток, трафик > 4 ГБ). Но "нагрузка", т.е. КБ/c практически не меняется, а даже уменьшается.

                        Если использовать механизмы системных проверок (анализ уязвимостей установленного по, версий файлов, конфигурационных параметров) трафик при безагентном сканировании серьезно возрастает. Например у Secunia PCI он составляет около 120 МБ на узел (Windows). У нас 20-40 МБ. Но за счет скорости сканирования все может быть не так страшно. При парралельном сканировании 100 ущлов - около 0,5 МБ/c.
                        А 0,5 МБ/c в локальной сети - это мелочи. Такой трафик порождает сотрудники слушающие MP3 в хорошем качестве с сетевой шары

                        На Unix, кстати, уходит всего 1-2 МБ на узел в режиме системных проверок .

                        Если используется "агентная" технология, то объем данных гораздо меньше, около 100 КБ на узел. Но агентов надо ставить, поддерживать, проверять на совместимость и т.д...

                        Комментарий


                        • #13
                          to Sergey Gordeychik - спасибо за подробный ответ.
                          К Вам 3 вопроса.
                          1. У Вас не очень удобное лицензирование - необходимо указавать конкретные IP на этапе покупки. А если это неизвестно? Если я собираюсь использовать Ваш продукт для тестирования адресов клиентов и какие это будут адреса неизвестно? Как тут быть?
                          2. Если сравнивать функционал Вашего продукта и Nessus 3, как Ваше, пусть предвзятое, мнение?
                          3. Есть ли возможность добавлять в базу Вашего сканера свои эксплойты? Существует ли для этого механизм? Или обновление базы уязвимостей и проверок осуществляется только централизованно?

                          Заранее признателен.

                          Комментарий


                          • #14
                            Добрый день,

                            Автор сообщения Berrimor
                            1. У Вас не очень удобное лицензирование - необходимо указавать конкретные IP на этапе покупки. А если это неизвестно? Если я собираюсь использовать Ваш продукт для тестирования адресов клиентов и какие это будут адреса неизвестно? Как тут быть?
                            В 8ке есть возможность лицензирования на _количество_ IP-адресов. Конкретные адреса добавляются по мере использования их в ходе сканирования. Кроме того, есть MaxPatrol Enterprise-лицензия - в которой ограничений по IP нет.

                            Автор сообщения Berrimor
                            2. Если сравнивать функционал Вашего продукта и Nessus 3, как Ваше, пусть предвзятое, мнение?
                            Наши плюсы (минусы Nessus):
                            - База данных exploit-проверок (нессус практически не добавляет "безопасные" проверки, только DOS)

                            - Анализатор Web (у нессуса в зачаточном состоянии)

                            - Системные проверки (у нессус в основном - Linux/Unix, у нас СУБД, CISCO, Windows, SAP)

                            - Проверка паролей (у нас подключаемые словари, в нессус - хардкод). Кроме того - у нессуса нет RDP и IPSEc (последний мы еще не отрелизили)

                            - Комплайнсы (У нессуса только Unix/Windows)

                            плюсы Nessus (Наши минусы ):

                            - кроссплатформенность
                            - скорость работы (мы - медленней)
                            - быстрый сканнер портов
                            - дополнительные проверки стека IP (у нас будет, но пока в работе)
                            - более широкая интеграция с сторонними продуктами
                            - более широкая поддержка Linux-дистрибутивов и Unix-систем
                            - пассивный сканер (у нас в планах)

                            Автор сообщения Berrimor
                            3. Есть ли возможность добавлять в базу Вашего сканера свои эксплойты? Существует ли для этого механизм? Или обновление базы уязвимостей и проверок осуществляется только централизованно?

                            Технологически - есть. Как "петестовые" проверки в виде dll, так и скриптовые. Но де-факто мы заказчикам подобной возможности не предоставляем.

                            Комментарий


                            • #15
                              Извините, что воскрешу уже довольно погубленную тему, но как обстоят дела в сканерах безопасности, кто-то регулярно ими пользуется? что посоветуете именно для проведения аудита ИБ техническими методами.
                              (сам пользовался еще SSS)
                              Вдогонку опять таки скажу, что все-таки, по моему мнению Spider (он же Patrol) безоговорочно должен использоваться для аудита ИБ web-приложений, Nessus же для сетей.
                              Кто нить пользовался новым Nmap?
                              И еще вопрос из той же стороны. Кто-нить юзает программы снятия отпечатка sam-файла? какие? и в общем то для 64-разрядных систем та же цель.
                              Соответственно чтобы снятие это было удаленно и затем не оставалось в системе как запущенная служба.

                              Заранее спасибо.

                              Комментарий


                              • #16
                                Сообщение от Conspy Посмотреть сообщение
                                ....
                                Вдогонку опять таки скажу, что все-таки, по моему мнению Spider (он же Patrol) безоговорочно должен использоваться для аудита ИБ web-приложений....
                                Для сканирования веб-приложений по-моему гораздо предпочтительнее WebInspect от HP (SPI Dynamics).

                                Комментарий

                                Пользователи, просматривающие эту тему

                                Свернуть

                                Присутствует 1. Участников: 0, гостей: 1.

                                Обработка...
                                X