сканер. 5. Сканер-ВС анализ защищенности Руководство пользователя. Руководство пользователя 2 аннотация
Скачать 7.99 Mb.
|
Настройка автоматического поиска эксплойтов (Рисунок 30). Рисунок 30 — Интерфейс настройки и запуска автоматического поиска эксплойтов В поле Цель выберите IP-адрес. Запуск тестирования можно произвести только для одного IP-адреса. Далее укажите критерии поиска эксплойтов: Тип сервиса, Продукт, Версия. Тумблер Строгий поиск добавляет условие, что по выбранным критериям будет проведен поиск эксплойтов, для которых все выбранные параметры поиска будут иметь заданные значения, если тумблер выключен, будет произведен поиск эксплойтов, для которых совпадает хотя бы один параметр поиска. После завершения настройки для запуска тестирования нажмите копку Запустить. После нажатия кнопки Ручной поиск эксплойтов откроется окно Настройка ручного поиска эксплойтов (Рисунок 31). 29 Рисунок 31 — Интерфейс настройки и запуска ручного поиска эксплойтов В поле Цель введите IP-адрес. Запуск тестирования можно произвести только для одного IP-адреса. В многострочное поле Ключевые слова вводятся параметры поиска — фрагменты текста, которые должны обязательно присутствовать в названии, описании и других данных эксплойта из базы эксплойтов. Одна строка многострочного поля должна содержать только одно значение. Когда все параметры будут внесены, нажмите копку Запустить. Поиск будет производиться аналогично строгому поиску. 3.5.4. Сетевой аудит паролей Перейдите на вкладку Сетевой аудит паролей и нажмите на кнопку Новый подбор паролей (Рисунок 32). Рисунок 32 — Интерфейс запуска подбора паролей На вкладке Базовые расположены базовые параметры сетевого аудита паролей (Рисунок 33): тестируемый сервис (протокол), порт (если используется порт не по умолчанию) и цели 30 тестирования: IP-адрес, сеть или подсеть. Цели можно задать вручную, импортировать из поиска целей или загрузить из файла. Для загрузки целей из активов нажмите кнопку Импорт целей из активов, отметьте нужные IP-адреса (если IP-адрес выбран, рядом с ним в пустом квадрате появится галочка) или нажмите кнопку Выделить все (все IP-адреса в поле будут отмечены автоматически). Затем нажмите кнопку Выбрать и отмеченные IP-адреса появятся в поле Цели. Для загрузки целей сканирования из файла подготовьте соответствующий список целей поиска уязвимостей в формате ТХТ, где одна строка документа должна содержать только один IP- адрес. Затем нажмите кнопку Импорт целей из файла и в открывшемся окне выберите файл импортируемого списка. Нажмите кнопку Открыть. Перечень целей появится в поле Цели. Рисунок 33 — Основные настройки подбора паролей Для того, чтобы указать сервис (протокол), нажмите левой кнопкой мыши на выпадающий список напротив надписи Сервис и выберите нужное значение. На вкладке Пользователи необходимо задать идентификаторы (имена, логин) пользователей проверяемых рабочих станций (Рисунок 34). Задать их можно вручную в поле Пользователи или импортировать из файла в формате ТХТ, где одна строка документа должна содержать только одно имя. Дополнительные настройки (Списки по умолчанию, Найденные ранее пользователи) используются оператором при необходимости. 31 Рисунок 34 —Вкладка «Пользователи» На вкладке Пароли в поле Пароли необходимо указать комбинации букв и цифр, которые будут использоваться в качестве аутентификационной информации (Рисунок 35). Каждая комбинация должна находиться на отдельной строке. Настройки программы поддерживают загрузку паролей из файла в формате ТХТ, где одна строка документа должна содержать только один пароль. Дополнительные настройки (Пароли по умолчанию, Найденные ранее пароли и другие) используются оператором при необходимости. Рисунок 35 — Настройка подбора паролей 32 Для завершения подбора паролей при первой подобранной паре имя - пароль перейдите на вкладку Расширенные и активируйте Закончить подбор при первом положительном результате (Рисунок 36). Рисунок 36 — Расширенные настройки подбора паролей На вкладке Задача необходимо задать название и описание для задачи поиска в соответствующие пустые поля. Если поля оставить пустыми, они будут заполнены автоматически, исходя из указанных настроек тестирования. Нажмите кнопку Запустить (Рисунок 36). 3.5.5. Завершение работы После нажатия кнопки Запустить на вкладке Задачи в таблице появится номер задачи, имя и индикатор статуса (Рисунок 37). Желтый цвет индикатора означает процесс сканирования, зеленый — завершение сканирования, красный — процесс сканирования завершен с ошибкой. Рисунок 37 — Таблица задач 33 После завершения сканирования на вкладке Сетевой аудит паролей появятся данные о подобранных паролях (Рисунок 38), а на вкладке Поиск эксплойтов таблица с найденными эксплойтами (Рисунок 39). Рисунок 38 — Информация о подобранных паролях Рисунок 39 — Информация о найденных эксплойтах 3.6. Отчеты 3.6.1. Краткое описание Документирование является неотъемлемой частью анализа защищенности информационной системы. Для объединения результатов всех этапов тестирования в ПК «Сканер- ВС» используется сектор Отчет (Рисунок 12), с помощью которого можно построить отчет с результатами тестирований. 3.6.2. Настройки отчета После того как был выбран сектор Отчет, в нем отображается страница с предварительно построенным полным отчетом, который можно просмотреть и экспортировать в формате PDF или напечатать с помощью кнопки Печать. 34 Для настройки отчета можно воспользоваться конструктором отчета (Рисунок 40), который можно активировать с помощью кнопки Настройки (активирован по умолчанию). Рисунок 40 — Конструктор отчетов Полный отчет состоит из следующих разделов: Резюме, Порты, Уязвимости, Пароли и Эксплойты. Раздел Резюме содержит краткую информацию по всем этапам тестирования в виде диаграмм и общей таблицы распределения уязвимостей по хостам (Рисунок 41). Рисунок 41 — Фрагмент отчета ПК «Сканер-ВС» Раздел Порты соответствует фазе Поиск целей, раздел Уязвимости − фазе Поиск уязвимостей, раздел Пароли и Эксплойты − фазе Эксплуатация. При необходимости любой 35 раздел отчета можно исключить из конечного отчета по тестированию, для этого необходимо с помощью левой кнопки мыши отключить тумблер напротив каждого исключаемого раздела отчета, затем нажать кнопку Применить. Отчет изменится согласно новым условиям. 3.7. Работа с инструментами 3.7.1. Средство аудита ОС Astra Linux Средство аудита ОС Astra Linux предназначено для аудита настроек комплекса средств защиты ОС специального назначения «Astra Linux Serial Edition» по требованиям безопасности. 3.7.1.1. Запуск модуля Модуль запускается из веб-интерфейса Аудит ОС Astra Linux или из подменю стартера приложений (red hat) → Поиск уязвимостей → Аудит ОС Astra Linux. После запуска откроется окно терминала (Рисунок 42). Рисунок 42 — Окно терминала 3.7.1.2. Работа с модулем Для запуска процесса аудита, необходимо запустить скрипт на проверяемой рабочей станции. Для этого в терминале необходимо прописать команду, в которой указаны пользователь и IP-адрес тестируемой рабочей станции и нажать клавишу Enter. Дополнительно можно указать папку для сохранения отчета. На рисунке 43 показан пример команды запуска скрипта на рабочей станции с IP-адресом 192.168.1.57 под учетной записью пользователя root и указанной папкой root для сохранения отчета. 36 Рисунок 43 — Пример команды В терминале будет отображено сообщение о подтверждении проведения аудита на рабочей станции, указанной в команде (Рисунок 44). Введите в терминале yes и нажмите клавишу Enter. Рисунок 44 — Сообщение о подтверждении Для начала аудита необходимо указать пароль пользователя, указанного в команде (Рисунок 45). Если аудит ОС Astra Linux проводится на рабочей станции впервые, пароль будет запрошен дважды. Введите в терминале пароль и нажмите клавишу Enter. 37 Рисунок 45 — Сообщение о запросе пароля В окне терминала будет показан процесс аудита (Рисунок 46). Рисунок 46 — Процесс аудита О завершении процесса аудита в терминале будет выведено сообщение (Рисунок 47). 38 Рисунок 47 — Завершение аудита В папке, указанной для сохранения отчета, после завершения аудита будет расположен архив с файлами отчетов. Для разархивации введите в терминале команду, представленную на рисунке 48, и нажмите Enter. Рисунок 48 — Команда разархивации В папке, указанной для сохранения отчета, после завершения процесса разархивации будут расположены файлы отчета (Рисунок 49). 39 Рисунок 49 — Файлы отчетов В файле «all_errors.log» содержится информация об обнаруженных ошибках (Рисунок 50). Рисунок 50 — Отчет об обнаруженных ошибках В файле «chkconfig.log» содержится список системных служб и их состояния (Рисунок 51). 40 Рисунок 51 — Список системных служб В файле «netstat.log» содержится список портов функционирующих на них процессах (Рисунок 52). Рисунок 52 — Список портов и процессов 41 В файле «other_tests.log» содержится информация о результатах прочих тестов аудита безопасности ОС Astra Linux (Рисунок 53). Рисунок 53 — Список портов и служб В файле «parsec_test.log» содержится информация о результатах тестирования подсистемы безопасности PARSEC (Рисунок 54). Рисунок 54 — Результат аудита 42 В файле «postgresql.log» содержатся результаты тестирования комплекса средств защиты системы управления базами данных PostgreSQL (Рисунок 55). Рисунок 55 — Результаты тестирования В файле «security_updates_1.5.log» содержится информация о результатах аудита по методическим указаниям по нейтрализации угроз эксплуатации уязвимостей ОС специального назначения «Astra Linux Special Edition» (версия 1.5) в информационных системах (Рисунок 56). Рисунок 56 — Результаты аудита 43 3.7.1.3. Завершение работы с модулем Для завершения работы нажмите в верхнем правом углу терминала. 3.7.2. Средство локального аудита паролей Средство локального аудита паролей предназначено для поиска и выявления на локальной рабочей станции неустойчивых к взлому паролей. 3.7.2.1. Запуск модуля Модуль запускается из веб-интерфейса Локальный аудит паролей или из подменю стартера приложений (red hat) → Атаки на пароли → Локальный аудит паролей. После запуска появится рабочее окно средства локального аудита паролей (Рисунок 57). Рисунок 57 — Рабочее окно модуля 3.7.2.2. Работа с модулем Для аудита необходимо импортировать файл с хешами паролей. Для ОС семейства Microsoft Windows необходимо в подменю Файл → Импорт из SAM → указать папку Windows либо указать непосредственно SAM файл. Для ОС семейства Linuxнеобходимо в подменю Файл → Импорт из shadow − указать каталог /etc/. Импорт файлов, находящихся вне директорий по умолчанию, настраивается из подменю Файл → Импорт из файла (Рисунок 58). 44 Примечание. Сопутствующие файлы SYSTEM (для ОС Windows), password (для ОС Linux) должны быть расположены в одном каталоге с файлами SAM и shadow соответственно. Рисунок 58 — Меню «Файл» Импортировать файлы с хешами паролей можно при помощи кнопок, расположенных на панели инструментов модуля: - импорт из файла, - импорт из SAM с указанием папки Windows, - импорт из SAM с непосредственным указанием файла, - импорт из shadow. Перед запуском процедуры аудита необходимо в подменю Аудит указать методы, с помощью которых будет осуществляться анализ (Рисунок 59). Эти методы можно выбрать и на панели инструментов модуля. Метод аудита, основанный на поиске по примитивам, предполагает режим работы, при котором на предмет возможного пароля проверяется известная информация о пользователе. Например, идентификатор пользователя, логин, значения поля Gecos. Поле Gecos (Рисунок 57) содержит вспомогательную информацию: номер телефона, адрес, полное имя пользователя и т.п. 45 Рисунок 59 — Меню «Аудит» Словари и наборы символов, которые будут использованы для последовательного перебора паролей, настраиваются в подменю Файл → Параметры (Рисунок 60). Окно Параметры можно вызвать, нажав на кнопку на панели инструментов модуля. Рисунок 60 — Окно «Параметры» 46 Для запуска процедуры аудита необходимо нажать Старт/Стоп в меню Аудит (Рисунок 59) или воспользоваться кнопкой . Процесс анализа может быть остановлен в любой момент с помощью повторного нажатия Аудит → Старт/Стоп. Результатом работы модуля является список с именами пользователей, не имеющих пароль, а также именами пользователей и паролей, являющихся неустойчивыми к взлому. Для сохранения отчета нужно выбрать Файл → Отчет или нажать на кнопку на панели инструментов модуля. В открывшемся окне необходимо выбрать путь для сохранения файла отчета (Рисунок 61). Рисунок 61 — Сохранение отчета 3.7.2.3. Завершение работы с модулем Для выхода из модуля необходимо воспользоваться подменю Файл → Выход или нажать кнопку 3.7.3. Средство поиска остаточной информации Средство поиска остаточной информации предназначено для поиска по ключевым словам на запоминающем устройстве удаленных данных. 47 3.7.3.1. Запуск модуля Модуль запускается из веб-интерфейса Поиск остаточной информации или из подменю стартера приложений (red hat) → Остальные приложения → Прочие →Поиск остаточной информации. После запуска средства поиска остаточной информации откроется рабочее окно модуля (Рисунок 62). Рисунок 62 — Рабочее окно модуля 3.7.3.2. Работа с модулем Для поиска остаточной информации необходимо в левой части рабочего окна модуля указать устройство, анализ которого будет производиться, фразу для поиска и при необходимости другие параметры. Для запуска процесса поиска остаточной информации необходимо нажать Начать поиск. Процесс поиска может быть приостановлен нажатием на кнопку Приостановить. Результаты поиска остаточной информации выводятся в виде списка, содержащего номер блока и величину смещения (Рисунок 63). Для просмотра найденной информации необходимо дважды нажать левой кнопкой мыши на интересующем секторе. При этом в рабочем окне модуля будет показана информация о выбранном секторе и выделено найденное слово (Рисунок 64). 48 Рисунок 63 — Общие результаты поиска Рисунок 64 — Найденное слово в блоке № 3621 49 Примечание. В силу особенностей файловых систем возможно некорректное отображение информации, удовлетворяющей условиям поиска. Оператор может сохранить полученный отчет, нажав на кнопку Сохранить отчет (Рисунок 63). В появившемся окне необходимо указать формат и директорию сохранения отчета (Рисунок 65). Рисунок 65 — Сохранение отчета Для удаления найденной информации необходимо нажать Удалить найденное с диска (Рисунок 63).Перед удалением появится сообщение с предупреждением (Рисунок 66). Рисунок 66 — Сообщение 50 3.7.3.3. Завершение работы с модулем Для выхода из модуля необходимо нажать в верхнем правом углу рабочего окна. 3.7.4. Средство аудита обновлений ОС Windows 3.7.4.1. Запуск модуля Модуль запускается из веб-интерфейса Аудит обновлений ОС Windows или из подменю стартера приложений (red hat) → Поиск уязвимостей → Аудит обновлений ОС Windows. После запуска средства аудита обновлений ОС Windows откроется рабочее окно модуля (Рисунок 67). Рисунок 67 — Рабочее окно модуля 3.7.4.2. Работа с модулем В рабочем окне модуля необходимо указать имя пользователя и пароль, порт и IP-адрес проверяемой машины. Примечание. При наличии средств антивирусной защиты необходимо убедиться, что они не блокируют доступ по указанному порту. Проверить состояние порта можно, например, в командной строке с помощью утилиты netstat: команда netstat -a (Рисунок 68). Рисунок 68 — Проверка состояния порта 51 Затем необходимо запустить сканирование с помощью кнопки Старт или из панели инструментов с помощью кнопки Процесс сканирования отображается в окне Журнал (Рисунок 69), список доступных обновлений — в окне Обновления Microsoft для различных версий Windows. После завершения сканирования в окне Журнал появится список неустановленных обновлений (Рисунок 69). Сохранить результаты можно с помощью кнопки на панели инструментов. При нажатии на эту кнопку появится окно (Рисунок 70), в котором необходимо указать папку для сохранения отчета. Рисунок 69 — Результат сканирования Рисунок 70 — Сохранение отчета 3.7.4.3. Завершение работы с модулем Для выхода из модуля необходимо нажать в верхнем правом углу рабочего окна. 52 3.7.5. Системный аудитор Системный аудиторпредназначен для инвентаризации программ и аппаратных средств локальной рабочей станции. 3.7.5.1. Запуск модуля Модуль запускается из веб-интерфейса Системный аудитор или из подменю стартера приложений (red hat) → Форензика → Системный аудитор. После запуска модуля откроется рабочее окно (Рисунок 71). Рисунок 71 — Рабочее окно модуля 3.7.5.2. Работа с модулем Для получения отчета об аппаратных комплектующих достаточно запустить сканирование, нажав на кнопку |