Робота з XSpider


XSpider 7 full version

XSpider - платна (з версії 7, раніше була безкоштовною) пропріетарна програма-сканер вразливостей. Випускається російською фірмою Positive Technologies.

XSpider сильно відрізняється від примітивного сканера мережевої безпеки, який просто виконує сканування і показує результати.

Багатовіконний інтерфейс XSpider і вбудовані засоби автоматизації орієнтовані на те, щоб організувати логічний і структурований процес моніторингу безпеки, що вимагає мінімального втручання в процес роботи програми.

Центральної концепцією XSpider є "Завдання". Вона включає в себе перш за все набір перевірених хостів. В Завдання має сенс об'єднувати хости, які слід перевіряти подібним чином (ніщо не заважає мати в Завданні і всього один хост). Як тільки Завдання сформоване, йому можна присвоїти Профіль - набір налаштувань, які визначають нюанси сканування. Якщо ви цього не зробите то буде використовуватися профіль за замовчуванням. Виконання Завдання можна автоматизувати, тобто присвоїти йому розклад, за яким воно буде виконуватися без вашого втручання. Крім того, для кожного Завдання зберігається повна історія всіх сканувань. Результати будь-якого з них ви можете завантажити і працювати з ними, як зі "свіжими". Це зручно і для аналізу розвитку ситуації, і для того, щоб випадково не втратити якісь результати роботи.

Коли створюється робоче вікно XSpider - це вікно поточного Завдання. Створення нового вікна створює нове Завдання зі стандартним ім'ям, яке при збереженні Завдання краще замінити на щось більш виразне. Завдання, як файли, можна відкривати, зберігати і т.п. Кожному Завданню  відповідає файл на диску, що знаходиться за замовчуванням в стандартному каталозі XSpider (Tasks).

Одночасно Xspider може обробляти багато Завдань, кожна з яких може містити багато хостів. Єдине, про що вам при цьому варто турбуватися - пропускна здатність каналу, який зв'язує XSpider з комп'ютерами, що перевіряються. Швидкість і надійність перевірки може сильно падати, якщо канал перевантажений. З огляду на те, що трафік, створюваний XSpider на один хост, невеликий, то перевантаження каналу можливе або при дуже великому (сотні) числі одночасно сканованих хостів, або, якщо канал дуже вузький. Регулювати максимальне число хостів, що перевіряються, на одне Завдання можна через настройки. Тобто, навіть якщо в Завданні, скажімо, 100 хостів, ви можете вказати, що одночасно повинні скануватися 50. При цьому інші будуть стояти в черзі і перевірятися послідовно.

За результатом кожного сканування XSpider може згенерувати звіт, причому в автоматичному режимі вони можуть доставлятися вам по email (або викладатися на доступний мережевий диск). Якщо один раз витратити час на налаштування режиму автоматичної роботи, то потім досить буде тільки регулярно перевіряти свою поштову скриньку, щоб відстежувати безпеку всієї мережі (або мереж).

XSpider навіть в ранніх, некомерційних версіях відрізнявся високою якістю пошуку та ідентифікації вразливостей. Тут досить складно вдаватися в технічні подробиці, які пояснюють, як XSpider домагається максимально точної роботи, тим більше, що багато механізмів є конфіденційною інформацією. Так чи інакше, всі реальні уразливості знаходяться в переважній більшості випадків, а помилкові спрацьовування буваю вкрай рідко.

Хотілося б згадати тільки евристичні алгоритми, що використовуються XSpider. Він не тільки займається простим перебором вразливостей з бази, а й виконує додатковий аналіз по ходу роботи, виходячи з особливостей поточної ситуації. Завдяки цьому, Xspider може іноді виявити специфічну вразливість, інформація про яку ще не була опублікована.

База вразливостей постійно поповнюється фахівцями Positive Technologies, що в сумі з автоматичним оновленням баз і модулів програми постійно підтримує актуальність версії XSpider.

Також XSpider виводить до звіту про результати перевірки не тільки інформацію про знайдену уразливість, а й посилання, наприклад, на статті на сайті Microsoft, які описують виявлену XSpider вразливість і дають рекомендації по її усуненню.

Переваги даного програмного продукту:

  • Контроль змін на сканованих вузлах дозволяє отримати повну картину захищеності в динаміці.
  • Повна ідентифікація сервісів на випадкових портах для виявлення вразливостей серверів з нестандартною конфігурацією.
  • Евристичний метод визначення типів і імен серверів (HTTP, FTP, SMTP, POP3, DNS, SSH і ін.) для визначення справжнього імені сервера і коректної роботи перевірок.
  • Обробка RPC-сервісів (Windows і * nix) з повною ідентифікацією, включаючи визначення детальної конфігурації комп'ютера.
  • Перевірка слабкості парольного захисту: оптимізований підбір паролів практично у всіх сервісах, що вимагають аутентифікації.
  • Глибокий аналіз контенту веб-сайтів, включаючи виявлення вразливостей в скриптах: SQLi, XSS, запуск довільних програм і ін.
  • Аналіз структури HTTP-серверів для пошук слабких місць в конфігурації.
  • Розширена перевірка вузлів під управлінням Windows.
  • Проведення перевірок на нестандартні DoS-атаки.

Робота зі сканером

Після встановлення і запуску XSpider на екран буде виведено головне вікно програми, яке показано на рисунку 1.1.

 

9-11


Рисунок 1.1 – Головне вікно програми

 

У список сканованих хостів потрібно додати адреси для сканування. Можна додати відразу діапазон адрес. Після того, як список хостів сформований, потрібно вибрати профіль перевірки або з існуючих, або створити новий профіль виходячи з власних уподобань. Існуючі профілі показані на рисунку 1.2.

9-12


Рисунок 1.2 – Профілі сканувань

 

Будь-який з існуючих профілів можна налаштувати або створити новий профіль, що показано на рисунку 1.3.

9-13


Рисунок 1.3 – Налаштування власного профілю

Після того, як завдання налаштоване, його можна зберегти, щоб надалі не доводилося налаштовувати все заново.

Запуск створених і збережених завдань можна запланувати, налаштувавши Планувальник, який зображено на рисунку 1.4.

9-14


Рисунок 1.4 – Загальний вид Планувальника

 

Планувальник XSpider налаштовується досить просто, по аналогії з планувальником Windows. Уваги заслуговує останній етап налаштування завдання, приклад якого показаний на рисунку 1.5.

9-15


Рисунок 1.5 – Останній етап налаштування завдання

На цій вкладці майстра створення нового завдання планувальника XSpider можна налаштувати відправку звіту на поштову адресу або зберегти його в певній папці.

Кожне налаштоване завдання зберігається в файлі. Якщо запланований запуск завдання по планувальнику, то результат його виконання буде збережений у файлі .tsk, який може бути відкритий в будь-який час за допомогою XSpider. У файлі зберігається результат не тільки останньої перевірки хоста або хостів, а вся історія перевірок. Таким чином, можна контролювати зміни рівня безпеки після ліквідації виявлених раніше вразливостей і оновлення операційних систем та сервісів.

Приклад завантаженого завдання показаний на рисунку 1.6.

what

Рисунок 1.6 – Приклад завантаженого завдання

 

У результатах перевірки, крім інформації про виявлені вразливості, були наведені посилання на опис уразливості на сайтах, що спеціалізуються на безпеці і надані посилання на завантаження оновлених версій програмного забезпечення, що зображено на рисунку 1.7.

what

Рисунок 1.7 – Опис знайденої вразливості

 

XSpider пропонує на вибір кілька стандартних типів звітів про результати перевірки, що зображено на рисунку 1.8.

what

Рисунок 1.8 – Типи звітів

Робота з XSpider 7.7 Demo version

Для порівняння розглянемо можливості більш новішої версії програми, яка доступна лише в демонстраційному режимі (Версія 7.7 Bипуск 3100. Кількість перевірок 7237).

Обмеження демонстраційної версії:

  • Відсутня система щоденного онлайнового поновлення;
  • Відсутні потенційно небезпечні перевірки на DoS-уразливості;
  • Перевірки вмісту веб серверів на предмет SQL ін'єкцій, ін'єкцій коду, отримання файлів і т.д. не містять деталі;
  • Відсутня цілий ряд перевірок, які використовують оригінальні евристичні механізми;
  • Відсутні перевірки, пов'язані з використанням різних словників;
  • Планувальник завдань має повноцінний інтефейс, але не зберігає створені розклади;
  • Звіти, що генеруються містять тільки резюме по реальному скануванню, в тілі звіту - стандартний демонстраційний фрагмент;
  • Історія сканувань доступна тільки для загального перегляду, старі результати не можна використовувати для подальшої роботи.

В версії 7.7 більше видів звітів, а також є можливість змінювати формат звіту (для демоверсії  результати в звіті не відображаються). Типи звітів демоверсії зображено на рисунку 1.9.

what

Рисунок 1.9 – Типи звітів демоверсії

 

Також є можливість створювати власний шаблон для звіту (рисунок 1.10).

what

Рисунок 1.10 – Створення власного шаблону для звіту

 

Даний сканер вразливості можна завантажити за посиланням: http://www.ex.ua/93068288