Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 18
Решение хорошее, пользовались, но сравнение в заголовке не достаточно корректное.
GFI LANguard в данном случае более мощное средство, т.к. помимо общедоступных уязвимостей «по словарю» может проверять наличие (и автоматически устанавливать) обновлений и патчей, т.к. именно неактуальное ПО в большинстве случаев является целью для атакующих, а также проводить подробную инвентаризацию аппаратного и программного обеспечения с возможностью сравнивать результат с предыдущими отчетами для выявления несанкционированно установленного ПО или внешних устройств передачи данных.
GFI LANguard в данном случае более мощное средство, т.к. помимо общедоступных уязвимостей «по словарю» может проверять наличие (и автоматически устанавливать) обновлений и патчей, т.к. именно неактуальное ПО в большинстве случаев является целью для атакующих, а также проводить подробную инвентаризацию аппаратного и программного обеспечения с возможностью сравнивать результат с предыдущими отчетами для выявления несанкционированно установленного ПО или внешних устройств передачи данных.
Да, самое сладкое, это подождать когда LANguard постучится на твою рабочку с SMBAuth, и про релееть на другую тачку 8)
Как аналог вектора: dsecrg.ru/pages/vul/show.php?id=318 // vimeo.com/25424029
Как аналог вектора: dsecrg.ru/pages/vul/show.php?id=318 // vimeo.com/25424029
Это я к тому, что запускать клевые сканеры, не значит делать что-то «защищенее», а иногда даже наоборот — делать что-то более уязвимым, и как примеры все эти навороты с «автоапдейтами» ЛанГуарда, Касперским или DLP системами, которые настроены на использование доменной учетки с привелегиями локального админа для рабочек/серверов в сети с NTLM 8)
Поэтому иногда лучше без этих изысков с «автообновлениями». Тем более, что никто, по хорошему, не даст ставить автоапдейты на продакшн сервера 8)
Поэтому иногда лучше без этих изысков с «автообновлениями». Тем более, что никто, по хорошему, не даст ставить автоапдейты на продакшн сервера 8)
Потому и нужно использовать открытые операционные системы. Лучше Linux =)
Там нет NTLM, протоколы управления шифруются, ровно как и обновления проходят проверку при помощи PGP.
И можно держать свой локальный репозиторий, полностью контролируя сборку и версию различных пакетов.
Там нет NTLM, протоколы управления шифруются, ровно как и обновления проходят проверку при помощи PGP.
И можно держать свой локальный репозиторий, полностью контролируя сборку и версию различных пакетов.
Так и делают хорошие люди 8) Но это оффтопик. Тут про средства сканирования разговор. Пункт 3.2 — дыра. Автор сам ее создает.
Если по подсетке пойдет, в которой возможна подстава в виде SMBRelay…
Вы имеете в виду отсутствие гетерогенности?))
Со связкой семерка-ХР, вроде решили вопрос.
Как сейчас обстоят дела, если честно, не совсем в курсе.
Со связкой семерка-ХР, вроде решили вопрос.
Как сейчас обстоят дела, если честно, не совсем в курсе.
Кстати, мы можем банально совершить arp spuffing и потом, поймав хендшейк, побрутить хеш.
Это я про тот же 3.2.
Это открывает неплохое поле для деятельности злоумышленника.
Это я про тот же 3.2.
Это открывает неплохое поле для деятельности злоумышленника.
Linux это хорошо :)
Но вот задал я вопрос одному товарищу с over 2000 линуксовых тачек в корпоративной сети такой вопрос.
Допустим где-нибуть у юзера заведется маленький несанкционированный самописный исполняемый модуль, будет сидеть себе полезное дело делать.
Что-то есть, что отреагирует на такую ситуацию?
Под винду, например, полуавтоматизированных систем антируткитового и поведенческого анализа хватает. (в силу того что ней традиционно повышен интерес).
Что используете на таком количестве linux-ов?
Ответ был удручающий…
Но вот задал я вопрос одному товарищу с over 2000 линуксовых тачек в корпоративной сети такой вопрос.
Допустим где-нибуть у юзера заведется маленький несанкционированный самописный исполняемый модуль, будет сидеть себе полезное дело делать.
Что-то есть, что отреагирует на такую ситуацию?
Под винду, например, полуавтоматизированных систем антируткитового и поведенческого анализа хватает. (в силу того что ней традиционно повышен интерес).
Что используете на таком количестве linux-ов?
Ответ был удручающий…
В силу четко очерченных прав пользователя, его самописный скрипт максимум в пределах его домашней папки порезвится. Насколько я знаком с Linux, права настраиваются более гибко и надежно нежели в винде. Имхо, конечно.
Чего удручающий?
Если в любом случае ставится пассивный сканер, какая ему разница что за операционная система?
Ну и правильно было сказано ниже, запрет на запуск из домашней директории решит все вопросы =)
Если в любом случае ставится пассивный сканер, какая ему разница что за операционная система?
Ну и правильно было сказано ниже, запрет на запуск из домашней директории решит все вопросы =)
Уважаемый товарищ, сливший мне карму, поясните ниже, пожалуйста, что вас не устроило.
Что пассивный сканер в сети распознает подозрительную активность вне зависимости от операционной системы?
Или то что запрет на запуск из директории пользователя решает большинство проблем?
Я очень хочу почитать мнение эксперта в данном вопросе.
Что пассивный сканер в сети распознает подозрительную активность вне зависимости от операционной системы?
Или то что запрет на запуск из директории пользователя решает большинство проблем?
Я очень хочу почитать мнение эксперта в данном вопросе.
Я например выборочно сканирую по отдельным известным адресам с включением локальных проверок… Сканировать все подряд таким способом, все-таки слишком долго. А так как набор ПО на рабочих станциях и серверах стандартизирован. Если найдется проблема на 1, то она будет присутствовать и на других с большой вероятностью.
Что касается самого вектора атаки. То уж если случилось такое событие как проникновение хакера, и закрепление его в сети, такое что он сможет подкачивать себе спец софт на взломанную тачку. То это тушите свет. Способов и без релея найдется вагон и тележка, даже если не будет активных сканеров в сети.
Что касается самого вектора атаки. То уж если случилось такое событие как проникновение хакера, и закрепление его в сети, такое что он сможет подкачивать себе спец софт на взломанную тачку. То это тушите свет. Способов и без релея найдется вагон и тележка, даже если не будет активных сканеров в сети.
Можно категорически не согласиться с настройками сканирования?
Вы используете только ICMP Ping, но отключаете даже TCP.
Админы часто отключают ICMP Echo-Request и вы рискуете исключить все важные объекты из списка сканирования.
При тестировании на проникновение хорошим тоном считается сканировать именно через nmap и не сканировать через ICMP.
Вы используете только ICMP Ping, но отключаете даже TCP.
Админы часто отключают ICMP Echo-Request и вы рискуете исключить все важные объекты из списка сканирования.
При тестировании на проникновение хорошим тоном считается сканировать именно через nmap и не сканировать через ICMP.
Сегодня ставил копию сканера под любимым debian-ом.
При первом старте комманды openvas-certdata-sync выскочил косячок
cannot open /usr/share/openvas/cert/cert_db_init.sql: No such file
Решение простое
blog.hikerell.com/index.php?load=read&id=4
При первом старте комманды openvas-certdata-sync выскочил косячок
cannot open /usr/share/openvas/cert/cert_db_init.sql: No such file
Решение простое
blog.hikerell.com/index.php?load=read&id=4
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Использование сканера уязвимостей OpenVAS