Коллеги, добрый день!
Мы с вами продолжаем знакомиться с системой контроля защищенности и соответствия стандартам MaxPatrol 8 от Positive Technologies .
На вкладке Сканирование существуют задачи, профили и учетные записи. Вкладка Учетные записи служит для задания учетных данных, используемых при проведении проверок в режимах сканирования Audit и Compliance.
При заведении учетной записи в систему следует сразу настраивать ее на использование только с необходимыми транспортами.
Профиль — определенный набор параметров сканирования, используемых в рамках задачи, которой этот профиль назначен. В профиле выбираются и тонко настраиваются режимы сканирования и подвязываются созданные учетные записи.
Вкладка Задачи состоит из двух областей: активные сканы и настройки.
Своеобразная “единица работы” для сканера — это задача. В ней сопоставляются профили сканирования с возможностью переопределения и активы (узлы).
Сканирования запускаются со вкладки Задачи, но желательно создавать расписания сканирования на вкладке Планировщик.
Теперь поговорим о настройке профилей и выборе режима сканирования Режимов сканирования 3: Pentest, Audit и Compliance. Включаются они независимо друг от друга в настройке профиля.
Pentest
Сканирование в режиме PenTest направлено на получение оценки защищенности со стороны внешнего злоумышленника. Основные характеристики данного режима:
- Использование минимальных привилегий по отношению к тестируемой системе (анонимный доступ или доступ уровня пользователя)
- Идентификация и анализ уязвимостей серверного программного обеспечения
- Расширенная проверка нестандартных портов
- Эвристические алгоритмы идентификации типов и версий сетевых служб по особенностям протоколов
- Поиск уязвимостей и отсутствующих обновлений Microsoft Windows без использования учетной записи
- Эвристический анализ веб-приложений
- Эвристический механизм определения операционной системы
- Проверка стойкости паролей
Существуют преднастроенные профили сканирования Pentest
(Pentest) Bruteforce — основное предназначение это подбор учетных записей, сканирует только стандартные порты сервисов. (Pentest) DoS scan — профиль включает максимально полный набор проверок, включая и DoS-атаки. Использовать его необходимо с осторожностью. (Pentest) Fast Scan — профиль предназначен для быстрой проверки на наличие уязвимостей и выполняет только безопасные проверки. (Pentest) Inventory — описан в предыдущей статье. (Pentest) PCI DSS ASV — предназначен для проверки на соответствия требованиям PCI DSS. Сканирование занимает длительное время, увеличено время ожидания ответов от сканируемого актива, сканирование происходит в безопасном режиме и само по себе достаточно длительное по времени. (Pentest) Safe scan — профиль очень похож на Fast Scan за исключением того, что тут задан более широкий диапазон портов. (Pentest) Service Discovery — предназначен для быстрого обнаружения работающих узлов, открытых на них портов и определения служб. Не настроен на поиск уязвимостей. (Pentest) Web Scan — предназначен для сканирования веб-ресурсов. Сканирование занимает значительное время, задействует небезопасные проверки, проверке подлежат только стандартные HTTP-порты.
Вы можете детально ознакомиться с параметрами каждого их преднастроенных профилей. Если вам необходимо изменить конкретные параметры в данных профилях, то необходимо клонировать необходимый профиль и уже в него вносить изменения. Также естественно существует возможность создать новый профиль самому и тонко его настроить. Описывать все галочки не вижу смысла, о них вы можете прочитать в замечательной справке по продукту (это как раз тот редкий случай, когда справка по продукту очень полезная и содержит в себе всю необходимую информацию)
Вы можете добавлять необходимые записи в уже существующие справочники или создавать свои:
Audit
Сканирование в режиме Audit используется для контроля обновлений, анализа конфигурации, локальной оценки стойкости паролей и т.д. Сканирование производится посредством удаленного доступа к объектам сканирования с использованием сетевых транспортов и учетных данных, при этом MaxPatrol 8 не требует наличия агента на сканируемом узле. Сканирование в режиме Audit позволяет собрать наиболее полные данные об активах и установленных на них ПО и благодаря проверке с использованием учетной записи с необходимыми привилегиями выдает намного больше уязвимостей актива чем в сканирование в режиме Pentest. Также в режиме Audit можно собирать данные о контроле целостности конкретных файлов и производить подбор учетных записей с помощью справочников аналогично сканированию в режиме Pentest. Стоит отметить, что список поддерживаемых систем, которые можно просканировать режимом Audit большой, но есть и неподдерживаемые системы.
Compliance
Сканирование в режиме Compliance позволяет проводить проверки на соответствие требованиям различных стандартов. При этом могут быть учтены как простые технические проверки (длина или возраст паролей), так и более сложные, например, отсутствие устаревшего программного обеспечения. Режим Compliance предусматривает обработку результатов сканирования, выполненных в режимах PenTest и Audit, а также добавляет проверки, специфичные для данного режима. В MaxPatrol 8 существует достаточно большой перечень встроенных стандартов, которые содержат в себе рекомендации компетентных организаций (Best Practice) и международные или государственные стандарты (требования регуляторов).
Также режим Compliance может быть дополнительно настроен с учетом требований корпоративных стандартов. В системе MaxPatrol предусмотрено три механизма адаптации стандартов под корпоративные нужды:
- Добавление/удаление «требований»
- Переопределение параметров «требований»
- Создание пользовательских проверок
Добавление/удаление «требований» позволяет сформировать необходимый набор требований «с нуля» или путем создания копии стандартного списка с последующим внесением изменений в него. Переопределение параметров «требований» позволяет выполнить более тонкую настройку параметров некоторых требований. Изменение параметров можно осуществлять для отдельных требований. Создание пользовательских проверок осуществляется с помощью добавления «универсальных проверок» С помощью универсальных проверок можно проверить:
- Состояние службы
- Допуски к файлу
- Контрольную сумму файла
- Допуски к ключу реестра
- Наличие или отсутствие определенной строки в файле конфигурации
- Значение элемента реестра
Отчеты
На вкладке Отчеты мы можем либо воспользоваться стандартными отчетами, присутствующие в системе, либо настроить свои собственные шаблоны.
В системе существуют несколько типов отчетов:
- Информация
- Дифференциальный
- Аналитический
- Сравнительный аналитический
- Динамический аналитический
Отчет типа Информация Самый простой и наиболее используемый тип отчета – «Информация». К этому типу относится большинство стандартных шаблонов. Отчеты, сформированные на основе шаблона указанного типа, обычно содержат результаты одного или нескольких сканирований. Например, отчет, сформированный на основе стандартного шаблона «Отчет по скану в режиме PenTest» содержит результаты одного сканирования.
Дифференциальный отчет Дифференциальный отчет предназначен для сравнения результатов двух сканирований и определения различий. Соответственно, при формировании такого отчета указываются эталонные и изучаемые данные. Это, например, могут быть два отдельных скана, выбираемые при генерации отчета. Способ выбора исходных данных (по скану или по задачам) указывается при настройке шаблона.
Аналитические отчеты Отчет «Сравнительный аналитический» позволяет получить картину состояния защищенности, выраженную в количественных показателях – метриках. При настройке шаблона или при формировании отчета указываются требуемые метрики.
Отчет Динамический аналитический позволяет увидеть динамику изменений названных показателей с течением времени.
Все отчеты могут быть сформированы в трех форматах:
- web-archive (MHT)
- XML
Также стоит отметить, что для формата XML существует несколько типовых шаблонов, некоторые из которые открываются с помощью Excel. Также можно бесплатно запросить разработку кастомного шаблона под свои нужды. Пример отчета по шаблону paf_by_host_report:
Следует заметить, что вкладка «Отчеты» содержит не сами отчеты, а шаблоны для их формирования. Поскольку шаблон обычно используется многократно для формирования отчетов на основе различных данных, то при его настройке поля, предназначенные для выбора данных, оставляют пустыми. Эти поля заполняются пользователем непосредственно в момент генерации отчета. С другой стороны, в ряде случаев требуется заполнение всех обязательных полей, например, при выпуске отчетов по расписанию. Отчеты также можно гибко настраивать фильтрами, добавляя или удаляя необходимые вам данные, Осуществлять фильтрацию только по определенным версиям ПО, ОС, рейтингу CVSS и т.д.
Например для вывода только уязвимостей, в которых присутствует идентификатор BDU необходимо осуществить фильтрацию по полю “fstec” со значением “exists”.
Сформированный пользователем отчет при необходимости может быть сохранен в виде файла на диске. Однако в некоторых случаях эту процедуру желательно автоматизировать, например, при запуске задач по расписанию. Для этой цели в MaxPatrol предусмотрены так называемые доставки, которые можно осуществлять через сетевой каталог или через электронную почту.
Предисловие. Я ранее публиковал статью Битва «Титанов». Сравнение двух лучших отечественных сканеров уязвимостей. MaxPatrol 8 и RedCheck Enterprise однако в ходе общения с разработчиками часть выводов переосознал, поэтому специально для Кодебай пишу дополненное сравнение.
В последние месяцы в киберпространстве развернулась настоящая война, отчего незащищенные информационные активы значительно пострадали, а пользователи защитного инструментария от западных «партнеров» столкнулись с серьезнейшими санкциями, ограничивающими использование их ПО. Поэтому мы решили посмотреть на рынок отечественного ПО, разработанного для усиления «инфобеза».
Обычно на вопрос «Какой сканер безопасности купить?» вспоминаются лишь OpenVas и Nessus (Tenable). Но есть и другие достойные отечественные продукты, о которых мы сегодня и поговорим – это продукты для корпоративного сегмента, полностью лицензированные под все российские требования безопасности и имеющие сертификаты ФСТЭК и ФСБ:
Интерфейс и управление
Оба продукта работают только на машине с Windows. Но если окно MaxPatrol наводит на воспоминания о временах Word 2003, то RedCheck выглядит более современно и «легко»:
При этом, если необходимо запустить одновременно несколько экземпляров сканера под разными учетками, то MaxPatrol позволит сделать это «из коробки», а вот RedCheck потребует установки дополнительного пакета, реализующего web-интерфейс. Зато в этом случае работа с приложением будет происходить через обычный браузер, а потому возможна и с Linux-машины, подключившейся по IP и порту сервера RedCheck.
Предложенный функционал и лицензирование
MaxPatrol 8 и RedCheck Enterprise не имеют ограничений по количеству сканируемых активов, однако отличаются по вариантам покупки. Так MaxPatrol 8 имеет 3 отдельно оплачиваемых модуля:
- Pentest — c помощью модуля Пентест, помимо сканирования хостов и портов, можно контролировать защиту периметра от сетевых уязвимостей (шифровальщики, DOS, получение привилегированных прав внутри сети и т.д.), по сути, весь функционал сетевого сканера уязвимостей XSpider .
- Audit — модуль Аудит решит задачи по контролю ПО на рабочих станциях, как с точки зрения разрешенного к установке (инвентаризации), так и появлению уязвимостей в нем, делать оперативные обновления. Функционал реализуется путем сканирования хоста «изнутри».
- Complience — модуль Комплаенс интересен как вспомогательный инструмент в разборе настройки правильной конфигурации на сетевых устройствах и серверах в соответствии со стандартами. Помогает настроить устройства безопасно путем получения настроек конфигураций и сравнения их с эталонным стандартом.
RedCheck Enterprise имеет аналогичный MaxPatrol 8 инструментарий, но продается полным пакетом со всеми функциями.
С заявленным функционалом определились, теперь сделаем детальный обзор модулей / профилей обоих сканнеров и первым будет режим «Пентест».
У компании Positive Technologies этот модуль появился еще до появления самого MaxPatrol 8 и корни его начинаются с продукта Xspider. По сути это и есть Xspider, а соответственно мы имеем профессиональный сканер уязвимостей, позволяющий оценить реальное состояние защищенности IT-инфраструктуры. Решение быстро и точно определяет компоненты сети, сканирует сетевые ресурсы на наличие уязвимостей и выдает рекомендации по их устранению. Базы уязвимостей автоматически обновляются из нескольких источников (БДУ ФСТЭК, CVE, WASC Threat Classification, OWASP Top 10 и собственных баз данных уязвимостей Positive Technologies).
Так выглядит профиль с настройками указанного режима в MaxPatrol 8.
Из опыта использования скажу, что модуль умеет сканировать диапазоны IP адресов, находить UDP и TCP порты, смотреть маршруты. Если, вдруг, встроенный сетевой сканер вызвал сомнения, то запросто можно подключить Nmap, хотя, лично я разницы не заметил. Модуль устанавливает службы и по их версии или конфигурации выдает установленные уязвимости. Здесь есть возможность осуществить анализ на устойчивость к атакам типа BruteForce тех сервисов, которые имеют авторизацию (SSH, FTP, POP3 и т.д.) словари составлены из дефолтных и ТОП встречающихся, можно добавить свои. Умеет применять для анализа скрипты в целях проверки на уязвимости конфигураций, например к возможности реализации DOS на уровне приложений.
Теперь посмотрим что из себя представляет режим «Пентест» в RedCheck Enterprise.
Здесь он реализован полностью через интегрированный Nmap. С помощью здешнего интерфейса можно настраивать лишь параметры запуска этого сетевого сканера. Для удобства, «из коробки» в RedCheck задано огромное количество скриптов «на все случаи жизни».
Интерфейс профиля аудит в режиме «Пентест»
По сути, по умолчанию, мы с помощью RedCheck запускаем интегрированный Nmap со следующими параметрами:
Эффективен ли профиль? Эффективен ровно также как и бесплатный Nmap. Да у Nmap есть возможность использовать различные скрипты и «нарастить» функционал до XSpider, ведь здесь есть и скрипты для сканирования уязвимостей, эксплойты, возможность протестировать сервисы на BruteForce, но нет мульти-функциональности полноценного сканера уязвимостей. Мы, либо заранее должны знать что будем сканировать и подбирать под это дело скрипты, либо запускаем огромный, перегруженный список скриптов, как по дефолту в RedCheck и ждем «вечность», когда просканируется наша сеть. Стоит все-же сказать, что Алтекс-Софт сделали работу с нмап максимально простой из-за Gui. Начинающим зайдет.
На модули посмотрели, теперь предлагаю их протестировать.
В качестве тестового стенда для сканирования взята одна и таже машина, условия идентичные у обоих сканеров, режимы включены по рекомендованному профилю производителя.
В режиме просмотра результата сканирования в самом интерфейсе MaxPatrol 8 строит дерево из узла/порта(установленной службы)/ уязвимостей и характеристик, например транспортов и заголовков ответа. При нажатии на любую сущность древа мы видим подробное описание.
Отчет MaxPatrol8 может формировать в разных форматах(.xml, .mht, SIEM integration file (.xml), MPX improt (.xml)), но наиболее наглядный и читаемый в PDF, выглядит он так.
Инструмент рабочий, находит множество уязвимостей как потенциальных (в версии ПО) так и реальных, на которые есть даже опубликованные эксплойты. Понять это можно по приставке к уязвимости — (подозрение) или ее отсутствие. Так, мы нашли в нашем сегменте сети достаточно много проблемных мест в критически-важных «активах» и, благодаря этому сканеру, их устранили. Отрабатывает уязвимости хорошо, но есть свои недостатки. За время тестирования сканер не увидел критические уязвимости в moodle, RCE в poolkit о чем информация отправлена разработчику. Разработчик поблагодарил нас за обнаруженные проблемы и обещал в новом обновлении устранить их. В связи с этим говорить о том, что MaxPatrol 8 100% найдет все критические уязвимости в сети нельзя, но существует ли такой сканер в принципе? Я тестировал Greenbone (OpenVas) и Tenable (Nessus) и не могу сказать, что они «на порядок» эффективнее. Могу лишь авторитетно заявить, что сканер модуля «Пентест» MaxPatrol 8 лучшее отечественное решение, причем для реального поиска уязвимостей, а не закрытия «модели угроз».
Теперь сравним возможности сканирования Nmap в оболочке RedCheck Enterprise.
Что и следовало ожидать Nmap нашел все открытые порты и идентифицировал службы. Все предоставлено в удобочитаемом виде в самом интерфейсе сканера.
А это список обнаруженных уязвимостей.
RedCheck Enterprise умеет формировать отчет в формате PDF, выглядит он так.
В RedCheck реализован функционал Nmap с красивым графическим выводом результата. Смотреть удобно, а особенно удобно демонстрировать. Знающие «сетевики» скажут, что у Nmap есть ZenMap, который также умеет выводить результаты скана в удобочитаемом виде и они будут правы. Преимущество RedCheck Enterprise в том, что этот функционал идет как-бы «бонусом», он встроен в любую версию продукта и позволяет удобно разбирать результаты сканирования. Однако, по функциональным возможностям есть вопросы. Я не считаю Nmap полноценным сканнером сетевых уязвимостей, идеологически — это сетевой сканер с возможностями подключать скрипты для локальных проверок уязвимостей.
Перейдем к выводам по тестированию функционала «Пентест» в сканерах:
Однозначно можно сказать, что модуль «Пентест» у MaxPatrol 8 лучше. Он, помимо возможностей Nmap (ведь и в MaxPatrol 8 и RedCheck можно использовать его), осуществляет сканирование по «умному алгоритму». Сначала строит список сетевых активов, затем применяет скрипты, относящиеся именно к идентифицированным сервисам, а не все подряд к каждому. Очевидно, что такой подход ускоряет процесс сканирования в десятки раз. Кроме того, у модуля «Пентест» от MaxPatrol 8 актуализируется база данных уязвимостей быстрее, функциональность и мультизадачность модуля выше.
В подтверждение вывода возьмем результаты сканирования. MaxPatrol 8 установил устаревшую версию Nginx 1.12.2 и установил в ней критическую уязвимость, согласно новой CVE-2021-23017.
RedCheck нашел только старую уязвимость CVE-2011-3192 в этой версии Nginx.
Если с режимом «Пентест», то есть сканированием сети «снаружи» результаты были очевидны, то с режимами Аудит уязвимостей и Комплаенс получилась интересная картина.
У обоих продуктов эти модули работают по принципу «изнутри». Мы создаем учетные записи для удаленного подключения в хосту. В Windows — RDP, в Linux — SSH. Пользователь должен иметь привилегированные права на чтение конфигураций, то есть по сути Sudo. Redcheck Enterprise, помимо учетки, требуется еще установка агента на Windows хосты. Таким образом сканер подключается к хосту, сканирует конфигурации и реестр установленных ПО, после чего анализирует мисконфигурации и уязвимости в версиях ПО.
Рассмотрим реализацию модулей подробнее.
В MaxPatrol 8 результаты сканирования Windows машины в режиме Аудит выглядят так.
Аналогичный отчет но хоста на Linux
В режиме Комплаенс MaxPatrol 8 в зависимости от выбранной политики безопасности предлагает ряд критериев настройки безопасной конфигурации. Мы увидим отчет по каждому пункту настройки по критерию Ок не ОК и как именно можно настроить безопаснее. Сразу отмечу, что можно делать и свои корпоративные политики.
Аналогичный отчет, но машины на Linux ОС.
По сути, эти модули MaxPatrol 8 нужны как прикладной инструмент для поддержания политики информационной безопасности в компании. Мы можем проводить периодические сканирования рабочих машин сотрудников, серверов и сетевых устройств. В автоматическом режиме обнаруживать необходимость обновить устаревшие/ уязвимые версии ПО на огромном спектре устройств, включающем маршрутизаторы, сервера с базами данных, виртуальными средами. Модуль комплаенс имеет предустановленные международные политики безопасности (CIS) и все это экономит человеческие ресурсы кратно, тем более, что при большом штате системных администраторов, вариант мисконфигурации возрастает. Max Patrol 8 решает эту проблему.
Теперь посмотрим на реализацию аудитов уже в RedCheck Enterprise.
По реализации функционала аудит и комплаенс отличается так, как заместо двух как у MaxPatrol 8 — имеет целый арсенал аудитов. Здесь есть аудит уязвимостей, аналог режима аудит у MaxPatrol 8 и аудит конфигураций, аналог режима комплаенс у MaxPatrol 8, а также ряд других аудитов.
На первый взгляд список богаче чем у MaxPatrol 8, но дело в том, что в последнем все аудиты интегрированы в один модуль и все настраивается с помощью одного профиля и это не единственное преимущество MaxPatrol 8. Так в RedCheck есть очень серьезная недоработка, на мой взгляд, связанная с конфигурацией профилей. RedCheck умеет подключаться только к одному типу сервисов в рамках одной задачи. Если в MaxPatrol 8 мы можем сделать профиль, в котором внесем учетные данные как на RDP так и на SSH и базы данных, после чего сканнер сам определит какие учетные данные вводить конкретному узлу, то есть настроил один профиль со всеми учетными данными и начал сканировать в один клик. В RedCheck же нужно явно указывать какие учетные данные он будет использовать. Для нас при тестировании продукта это была большая проблема, ведь, к примеру, есть 24 подсеть IP адресов, которая отведена под рабочие станции сотрудников. В этой подсети есть как Linux так и Windows машины. В MaxPatrol 8 мы вносим всю подсеть и сканируем. Результат в одном отчете и в одной задаче. В случае с RedCheck у нас две задачи и два отчета под Windows и Linux хосты соответственно. Если потребуется сканировать еще и базы данных, то это еще одна задача и еще один отчет и так по нарастающей. Жутко напрягающая вещь. Частично проблему с RedCheck можно решить вручную внося креды каждому хосту, а потом запускать задачу, но, а если хостов будет 1000 или 10 000? В целом проблему не решает
Результаты сканирования Windows машины в режиме Аудит уязвимостей у RedCheck Enterprise.
Результаты сканирования Linux машины в режиме Аудит уязвимостей
В режиме Аудит конфигураций RedCheck Enterprise демонстрирует список безопасных настроек системы и показывает какие настройки включены, а какие нет. Здесь нет различных политик (стандартов безопасности) как в MaxPatrol 8, а лишь одна «best practics», которую мы, кстати, можем настраивать сами.
Плохо это или нет трудно ответить. Разумному специалисту по информационной безопасности важнее реальная безопасность настройки конфигураций, а не соответствие международному стандарту CIS, хотя на то и разработаны стандарты, что это гарантированные сообществом «best practics».
Выглядит отчет с Windows машины так
И соответственно Linux OS.
Режимы аудитов RedCheck — это то, для чего его собственно и приобретают. Аудит уязвимостей — самая сильная сторона этого продукта. RedCheck решит вопрос с постоянным мониторингом уязвимостей ПО, а также может автоматически сам обновлять программы, если ему предоставить дистрибутивы. В этом режиме придирка к нему только в неудобстве формирования задач из-за ограничения в одну учетную запись на одну задачу. Режим Аудит когфигураций простой и понятный, но в случае с MaxPatrol 8 мы можем «козырять» словами, что соответствуем безопасности по OWASP или CIS, а с RedCheck лишь именно ему.
Основные режимы рассмотрели, теперь перейдем к их тестам!
В качестве тестового стенда взята одна и таже машина, условия идентичные у обоих сканеров, режимы включены по рекомендованному профилю производителя.
Режим Аудит / Аудит уязвимостей
В указанном режиме просканировали рабочую машину Windows в одинаковом состоянии.
По результатам тестирования MaxPatrol 8 нашел в общей сложности 1398 уязвимостей
RedCheck нашел 1444 уязвимостей
Аналогично просканирована Linux машина:
По результатам тестирования MaxPatrol 8 нашел в общей сложности 516 уязвимостей
RedCheck и здесь преуспел и нашел 585 уязвимостей.
По количеству найденных уязвимостей RedCheck обошел MaxPatrol 8 хоть и с небольшим отрывом.
Встает резонный вопрос. Уязвимости уязвимостям рознь. Есть ли критические уязвимости, которые на нашел MaxPatrol 8, но нашел RedCheck? Естественно, что в большинстве уязвимости аналогичные, например:
И аналогичная уязвимость в RedCheck
Однако MaxPatrol 8 не обнаружил достаточно серьезные уязвимости о который я говорил ранее (на которые мы завели заявки на доработку разработчикам positive technologies).
Вполне эксплуатируемая уязвимость в polkit, позволяющая получить привилегированные права в системе
Ссылка скрыта от гостей
А RedCheck справился с ее обнаружением.
Не нашел MaxPatrol 8 и свежую уязвимость CVE-2022-21898 в DirectX
RedCheck отлично справился и со «свежей» критической уязвимостью.
И несмотря на результаты все не однозначно. В этом тесте нет явных победителей. Лучше находит уязвимости в режиме аудит уязвимостей, как мы уже поняли — RedCheck. Этот продукт смог обнаружить больше уязвимостей в том числе и критических. Удобнее в использовании оказался MaxPatrol 8. Нам не нужно создавать несколько задач под разные операционные системы и профили сканирования. Реальность такова, что в больших компаниях рабочие машины появляются еженедельно, меняются IP адреса. C RedCheck придется постоянно мониторить эти изменения и вносить в новые задачи. MaxPatrol 8 сделает это все за вас. В одной задаче просканирует и базы данных и Linux с Windows машинами и сам выберет учетные данные, которые нужно применить к объекту исследования. Так что MaxPatrol 8 интереснее для постоянно развивающегося сегмента сети, а RedCheck для более статичного, например серверного.
Касательно тестирования модуля Комплаенс от MaxPatrol 8 или режима «Аудит конфигураций» возникли трудности. Тестировать в этих режимах «влоб» не получится, поскольку MaxPatrol 8 ориентирован на разные стандарты безопасности, в каждом из которых свои критерии. RedCheck имеет один стандарт. Исходя из этого, если мы хотим быть «модными» в мире информационной безопасности, то настроить все под стандарты CIS или OWASP с помощью MaxPatrol 8 интереснее. Если нам это не важно, то и RedCheck поможет настроить нормально целый спектр устройств в том числе и сетевых. Дополню. Еще один нюанс. В RedCheck нужно на стадии задачи ставить политику, по которой будет идти сканирование комплайнс, а в MP8 реализован алгоритм автоматического подбора исходя из относимости к ПО хоста.
Теперь перейдем к заключению
Однозначно сказать, что один продукт хуже другого нельзя. MaxPatrol 8 удивил своим сетевым сканером, но слегка расстроил режимом аудит. Так совпало, что он не смог обнаружить серьезные уязвимости в нашей системе, когда их мы смогли обнаружить и проэксплуатировать вручную. И да, разработчики обещали исправить ситуацию, но осадок все-же остался. RedCheck Enterprise, несмотря на свою эффективность в аудите, оказался неудобнее MaxPatrol 8 в эксплуатации. Причем это не просто придирка, а реальная проблема в функционале сканера, которую не так просто исправить и которая будет постоянно отнимать время у системных администраторов (ведь перед запуском задачи потребуется ручная сверка установленных ОС на хостах). По стоимости на данный момент MaxPatrol 8 с тремя модулями стоит дороже RedCheck Enterprise, однако модуль Комплаенс MaxPatrol 8 не всегда нужен. Нам достаточно сделать эталонную конфигурацию и применить ее на множестве одинаковых систем. Для этого можно приобрести RedCheck обычной версии с лимитированным количеством активов. Такая комбинация выйдет дешевле. В тоже время можно приобрести RedCheck Enterprise и не иметь никаких ограничений, правда тогда пострадает внешнее сканирование сети. Если заключение резюмировать кратко, то:
- MaxPatrol 8 имеет лучший внешний сетевой сканер и более удобные конфигурационные настройки.
- RedCheck Enterprise находит больше уязвимостей в режиме аудит и при прочих равных стоит дешевле, однако плохо подходит для очень крупных систем из-за негибкости.
Исходя из вышесказанного оба эти сканера имеют свои преимущества и недостатки, а какой из них выбрать решать только вам. Удачи.
С апреля 2017 года владельцы ru-доменов установили более 220 тысяч SSL-сертификатов: статистика по ссылке. В 2018 подробно описывать необходимость SSL излишне. Он нужен для безопасности личных данных. Подробнее в статье: Для чего необходим SSL-сертификат.
Если на сайте установлен SSL, страница открывается по безопасному https-протоколу:
Зеленый цвет в адресной строке сигнализирует пользователям: здесь не украдут персональные данные (номер банковской карты, почтовый аккаунт, пароль).
Досадно, когда зеленый сигнал светофора не вовремя сменяется красным. Вдвойне досадно, если вместо защищенного соединения вы вдруг видите на сайте — ошибку протокола SSL. Почему так вышло и как исправить и убрать ошибку подключения SSL, читайте ниже:
Предварительно проверьте
Убедитесь, что вы не перепутали ошибку подключения SSL с другими проблемами. Если в браузере перестал открываться ваш сайт, сначала проверьте:
- Правильно ли установлен SSL-сертификат.
- Настроен ли редирект с http на https для Linux-хостинга/Хостинга для ASP.NET.
- На какой домен установлен SSL-сертификат. SSL-cертификат регистрируется на конкретный домен. То есть если сертификат установлен на домен faq-reg.ru, а вы зашли через адрес shop.faq-reg.ru, то будет показана ошибка SSL.
Если у вас установлен бесплатный SSL-сертификат, его действие распространяется только на сам домен и поддомен «www»: faq-reg.ru и www.faq-reg.ru. Для остальных поддоменов он не работает. Если вам необходим SSL-сертификат на поддомене, закажите отдельный сертификат для поддомена: Как купить SSL-сертификат?
Если с этим нет проблем, продолжите чтение статьи.
Почему возникает ошибка SSL
- сбились настройки системных часов или календаря,
- ваша антивирусная программа сканирует данные передаваемые по HTTPS-протоколу и может блокировать некоторый трафик,
- изменились настройки самого браузера,
- срабатывает вредоносный скрипт.
Ошибка протокола SSL, что делать
Системные настройки часов и календаря
Если на компьютере сбились настройки времени, браузер предупредит:
Решить просто: установите верную дату. Чтобы ошибка не повторялась, включите синхронизацию с сервером времени в сети Интернет (системные настройки Даты и времени).
Настройки антивирусной программы
Если с часами все в порядке, а ошибка SSL на месте, проверьте настройки антивирусной программы. Скорее всего, в нем включена «проверка протокола https». Проверьте, если она включена, программа не примет самоподписанный бесплатный SSL-сертификат или сертификат, защищенный Let’s Encrypt. Попробуйте отключить функцию и зайти на сайт вновь.
Если ошибка SSL не пропала, отключите антивирусную программу и откройте сайт. Это решило проблему? Поможет смена утилиты.
Если не помогло, не забудьте включить антивирусную программу и поищите решение ниже.
- Откройте сайт в другом браузере.
- Проверьте, используете ли вы последнюю версию браузера. Если нет, обновите его до последней и откройте сайт вновь.
- Вероятно, это сбой браузера. В таком случае, перезагрузите браузер и попробуйте зайти на сайт вновь.
- Если проблема осталась, отключите антивирусные веб-компоненты в разделе Расширения.
Радикальный способ — сброс настроек до первоначальных. Используйте его в крайнем случае.
Также вы можете сменить браузер на Intenet Explorer, пока проблема не будет решена. В этом браузере отсутствует ошибка SSL.
Вредоносные скрипты/фишинг/рекламные вирусы
Иногда ошибка SSL свидетельствует о реальной угрозе: браузер защищает вас от интернет-мошенников. Вероятно, в браузере открывается сайт-клон, на который вас переадресовывает.
Если подозреваете вражеское вмешательство, просканируйте компьютер с помощью антивирусной программы и удалите имеющиеся вирусы.
Если проблема осталась после перечисленных вариантов, обратитесь к специалисту, который продиагностирует конкретный случай, выявит что значит ошибка подключения ssl и исправит её.
Нет ничего более неприятного, чем ошибка сертификата SSL, как для владельцев веб-сайтов, так и для пользователей. Если вы уверены, что выполнили все необходимые шаги по установке SSL-сертификата только для того, чтобы Chrome сообщил вам, что что-то не так с безопасностью вашего сайта, у вас может возникнуть соблазн поднять руки и полностью сдаться.
Пользователей раздражает попытка получить доступ к сайту только для того, чтобы получить сообщение «Ваше соединение не защищен» вместе с предупреждением «» в адресной строке. Здесь следует подчеркнуть, что это сообщение предназначено исключительно для вашей защиты и в большинстве случаев является законным. Тем не менее, иногда на стороне пользователя может возникнуть проблема, которая может вызвать это предупреждение. К счастью, решить эти проблемы не так уж сложно. Иногда на самом деле это довольно просто. В этой статье блога вы узнаете, почему в Google Chrome может отображаться сообщение об ошибке сертификата SSL, а также о том, как их исправить, независимо от того, являетесь ли вы владельцем веб-сайта или пользователем.
Исправление ошибок SSL в Google Chrome для владельцев сайтов
Существует ряд причин, по которым SSL-сертификат вашего веб-сайта может считаться недействительным в Google Chrome. Некоторые причины:
- Ошибки в процессе установки сертификата, нехватает промежуточного сертификата, например;
- Срок действия вашего SSL-сертификата истек;
- Ваш SSL-сертификат действителен только для основного домена, а не для поддоменов;
- У вас установлен самозаверенный SSL-сертификат, или вы не приобрели его в доверенном Центре сертификации;
Как исправить ошибки сертификата SSL в Chrome для пользователей
Для тех, кто пытается получить доступ к веб-сайту, есть несколько вещей, которые вы можете сделать в своем браузере и операционной системе, чтобы решить проблему:
- Проверьте время и дату: нет, только не на ваших наручных часах или календаре, а на операционной системе вашего устройства. Это может показаться незначительным соображением, но если время вашего устройства полностью расходится со сроком действия сертификата SSL, он будет считаться устревшим. Если это проблема, сообщение может также сказать «NET :: ERR_CERT_DATE_INVALID».
- Очистить кеш для этого веб-сайта: файлы cookie веб-сайта могут вызывать появление сообщения об ошибке, если, например, в вашем браузере, есть кэшированный старый сертификат SSL для этого веб-сайта. Вы также можете встретить «» как часть вашего сообщения об ошибке.
Очистить файлы cookie в Chrome очень просто, нажмите Ctrl + Shift + Del или:
- Откройте Chrome и щелкните меню (три вертикальные точки в правом верхнем углу браузера).
- В раскрывающемся меню щелкните Параметры. В конце страницы нажмите «Дополнительно».
- В поле «Конфиденциальность и безопасность» выберите «Очистить данные просмотра».
- Здесь вы можете удалить все данные о просмотре или только файлы cookie, относящиеся к сайту, который вы пытаетесь посетить.
- Обновите Chrome и вашу операционную систему. Иногда ошибка сертификата SSL может быть просто связана с использованием устаревшей версии Chrome. Чтобы убедиться, что у вас последняя версия, щелкните меню. Если у вас старая версия браузера, вы увидите кнопку «Обновить Google Chrome». Пока вы работаете, убедитесь, что на вашем устройстве установлена самая последняя версия операционной системы, так как это также может способствовать появлению сообщений об ошибках (например, когда не установлены, обновлены корневые сертификаты центров сертификации).
- Отключить расширения Chrome: иногда настройки определенных расширений браузера могут мешать доступу к веб-странице. Чтобы узнать, работает ли это, когда вы отключите свои расширения, снова зайдите в настройки. Щелкните Расширения в меню слева. Отключите ваши расширения и перезапустите браузер.
- Проверьте брандмауэр / антивирусное программное обеспечение: иногда настройки антивирусного программного обеспечения могут рассматривать определенный трафик HTTPS, как подозрительный. Чтобы узнать, не мешает ли это вашему доступу к определенным сайтам, вы можете либо полностью отключить брандмауэр или антивирус, либо (если он имеет этот параметр) отключить сканирование SSL. Этот вариант следует использовать только в том случае, если вы уверены, что веб-сайт, к которому вы пытаетесь получить доступ, действительно .
Если вы попробовали все эти исправления и ничего не помогло, скорее всего, это реальная проблема с сертификатом SSL самого веб-сайта, как описано в предыдущем разделе. В этом случае вы также можете получить одно из следующих сообщений:
Эта страница недоступна —
- NET :: ERR_CERT_COMMON_NAME_INVALID;
- NET :: ERR_CERT_REVOKED;
- NET :: ERR_CERT_AUTHORITY_INVALID;
Если вы все еще хотите получить доступ к сайту, у вас есть два варианта:
- Свяжитесь с веб-мастером или владельцем веб-сайта и сообщите им, что с их сертификатом SSL возникла проблема.
- (Мы категорически не рекомендуем этот.) Продолжайте переходить на сайт с небезопасным соединением на свой страх и риск.
ИТОГ
Сообщения об ошибках сертификата SSL Chrome могут быть проблемой, но очень часто можно быстро найти решение, особенно со стороны пользователя. Если вы недавно приобрели и установили SSL-сертификат для своего веб-сайта у нас, который вызывает сообщения об ошибках в Chrome и не можете понять причину, обратитесь в нашу службу технической поддержки.
Компания Positive Technologies приняла стратегическое решение о целенаправленном развитии MaxPatrol VM на смену MaxPatrol 8 в начале 2021 года. MaxPatrol VM реализует новый подход к работе с уязвимостями: система позволяет не только выявлять уязвимости, но и приоритизировать задачи по их закрытию.
Преимущества MaxPatrol VM
О сертификации MaxPatrol VM
На текущий момент запущен процесс сертификации MaxPatrol VM 1.5 (R25.0). Плановый срок получения отдельного сертификата ФСТЭК России на MaxPatrol VM — Q4 2023.При этом доступен сертификат на SIEM, в составе которого указан MaxPatrol VM. Более того, обновленный объединенный сертификат на SIEM и VM R25.0 будет в Q4 2022г. Так что переходить с сертифицированного MaxPatrol 8 на сертифицированный MaxPatrol VM можно уже сейчас.
Об использовании сертифицированной ОС AstraLinux для MaxPatrol VMНачиная с версии MaxPatrol VM 1.5 (R25.0) доступна поддержка сертифицированной ОС AstraLinux.
Об окончании срока действия сертификата MaxPatrol 8Срок действия сертификата на MaxPatrol 8 закончится 08.07.2024. Повторной сертификации MaxPatrol 8 в 2024 году не будет, продлить сертификат также не получится из-за работы MaxPatrol 8 только на ОС семейства Windows, которые лишились сертификатов ФСТЭК России.
Убедитесь, что заказали хостинг в REG
Прежде чем приступить к установке SSL-сертификата на сайт, закажите хостинг.
В инструкции описана установка SSL в интерфейсе REG.RU. Она не подойдет, если вы используете услугу другого хостинг-провайдера.
Закажите хостинг в REG.RU
Как сделать сайт защищенным? Протокол HTTPS: как подключить его к сайту? Пошаговая инструкция приведена в статье: Как перевести сайт на HTTPS? В этой статье мы расскажем об одном из этапов — установке SSL-сертификата.
Также вы можете заказать услугу «Расширенная техподдержка хостинга», в которую входит помощь в установке SSL-сертификата.
Перед установкой SSL перейдите к списку услуг в Личном кабинете, кликните по строке нужного SSL-сертификата и убедитесь, что статус услуги «Активна».
Если услуга неактивна, используйте инструкции в зависимости от типа сертификата:
Установка SSL-сертификата
В статье описан процесс установки сертификата на хостинг. Если вы хотите установить SSL на услуги другого типа, воспользуйтесь справочными статьями:
В REG.RU вы можете установить SSL-сертификат на хостинг двумя способами:
Автоматическая установка в ЛК
Если вы заказывали бесплатный SSL-сертификат, то можете автоматически установить его через карточку услуги SSL. Если у вас другой SSL-сертификат и ваш хостинг находится в REG.RU, установите SSL через карточку хостинга. В других случаях вам подойдет ручная установка сертификата.
- В личном кабинете перейдите в карточку нужного SSL-сертификата:
- Нажмите Установить на вкладке «Управление»:
- В личном кабинете перейдите в карточку нужного хостинга:
- На вкладке «Операции» нажмите Установить SSL-сертификат:
Ручная установка в панели хостинга
Чтобы установить SSL-сертификат, войдите в вашу панель управления (ISPmanager, cPanel или Plesk) и следуйте соответствующей инструкции ниже:
Обратите внимание! Если внешний вид вашей панели управления отличается от представленного в инструкции, кликните в левом нижнем углу «Попробовать новый интерфейс».
- Перейдите в раздел «SSL-сертификаты» и нажмите Добавить сертификат:
- Выберите тип сертификата «Существующий» и нажмите Далее:
- Заполните поля на открывшейся странице. Данные для установки сертификата высылаются на почту после активации услуги: Где взять данные для установки SSL-сертификата.— Имя SSL-сертификата — введите любое имя, под которым сертификат будет отображаться в панели управления (можно использовать только латиницу);— SSL-сертификат — вставьте данные SSL-сертификата (в информационном письме он находится после слов «Ваш сертификат предоставлен ниже»);— Ключ SSL-сертификата — вставьте приватный ключ сертификата;— Цепочка SSL-сертификатов — вставьте сначала промежуточный сертификат, а затем с новой строки без пробела — корневой.
Нажмите Завершить: - После завершения установки перейдите в раздел «Сайты», дважды кликните по домену, для которого выпускался сертификат:
- Поставьте галочку напротив Защищенное соединение (SSL). В раскрывающемся списке напротив SSL-сертификат выберите имя SSL-сертификата, установленного в 4 шаге. Затем нажмите Оk внизу страницы:Готово, SSL-сертификат установлен. Проверка сертификата (HTTPS) на корректность установки осуществляется по инструкции ниже.
Обратите внимание: если вид вашей панели управления отличается от представленного в статье, в разделе «Основная информация» переключите тему с paper_lantern на jupiter.
- В блоке «Безопасность» нажмите SSL/TLS:
- Нажмите Управление SSL-сайтами:
- Пролистайте до блока «Установить SSL-сайт». В раскрывающемся списке выберите домен, для которого устанавливаете SSL-сертификат:
- Заполните поля. Данные для установки сертификата высылаются на почту после активации услуги: Где взять данные для установки SSL-сертификата.— Сертификат: (CRT) — вставьте SSL-сертификат (в информационном письме он находится после слов «Ваш сертификат предоставлен ниже»);— Закрытый ключ (KEY) — вставьте приватный ключ сертификата;— Пакет центра сертификации: (CABUNDLE) — вставьте сначала промежуточный сертификат, а затем с новой строки без пробела — корневойНажмите кнопку Установить сертификат:
- Чтобы завершить установку, нажмите OК в появившемся окне:Готово, SSL-сертификат установлен. Как проверить сертификат сайта онлайн?
Обратите внимание! Если внешний вид вашей панели управления отличается от представленного в инструкции, перейдите в раздел «Сайты и домены» и в правом верхнем углу измените вид на «Активный».
- В разделе «Сайты и домены» выберите блок того домена, для которого выпускался SSL-сертификат, и нажмите SSL/TLS-сертификаты:
- Нажмите Добавить SSL/TLS-сертификат:
- Заполните поля на открывшейся странице. Данные для установки сертификата высылаются на почту после активации услуги: Где взять данные для установки SSL-сертификата?— Имя сертификата — введите любое имя, под которым сертификат будет отображаться в панели управления (можно использовать только латиницу);— Закрытый ключ (.key) — вставьте приватный ключ сертификата;— Сертификат (.crt) — вставьте сам SSL-сертификат (в информационном письме он находится после слов «Ваш сертификат предоставлен ниже»);— Корневой сертификат (-ca.crt) — вставьте сначала промежуточный сертификат, а затем с новой строки без пробела — корневой.Нажмите Загрузить сертификат:
- После установки сертификата в панели появится уведомление о том, что нужно привязать SSL-сертификат к домену. Чтобы сделать это, вернитесь в раздел «Сайты и домены» и нажмите Настройки хостинга:
- В блоке «Безопасность» поставьте галочку напротив Поддержка SSL/TLS. Выберите в выпадающем списке имя сертификата, установленного в 4 шаге. Нажмите Применить внизу страницы:Готово, SSL-сертификат установлен. Проверить наличие SSL-сертификата на сайте можно по инструкции.
Как проверить правильность установки SSL-сертификата
Проверка SSL-сертификата на корректность установки производится с помощью сервиса sslshopper.com.
Проверить SSL-сертификат сайта онлайн можно по инструкции ниже:
- Введите имя вашего домена и нажмите Check SSL. Если у вас кириллический домен, то его надо ввести в формате Punycode.
- При корректной установке SSL-сертификата вы увидите примерно такой результат:
Если сертификат установлен некорректно, свяжитесь со службой технической поддержки.
Что дальше?
После установки SSL-сертификата сайт становится доступным как по http://, так и по https://. Но по умолчанию сайт открывается по небезопасному протоколу http://. Чтобы сайт всегда открывался по защищённому протоколу, настройте переадресацию на https://. Следуйте инструкциям, чтобы узнать, как подключить HTTPS на сайте:
Как продлить платный SSL-сертификат
Процедура продления платного сертификата безопасности заключается в заказе нового SSL-сертификата, его активации и установке на сайт вместо истекшего, а также можно включить Автопродление услуги.
При выпуске нового сертификата стоит учитывать, что его действие начинается с момента его активации в центре сертификации, а не с момента окончания текущего сертификата. Например, если ваш текущий SSL заканчивается 18.12.2019, а новый был активирован 15.11.2019, дата выдачи нового считается 15.11.2019 и он будет действовать по 15.11.2020. А с 15 ноября по 18 декабря 2019 года у вас будет два активных SSL-сертификата. Чтобы не переплачивать за лишний месяц, мы рекомендуем заказывать новый сертификат в конце срока действия текущего сертификата.
Если вы будете приобретать новый сертификат, то:
- Воспользуйтесь инструкцией Как купить SSL-сертификат, чтобы запустить издание нового сертификата.
- Затем активируйте SSL-сертификат.
- На заключительном этапе вам потребуется установка SSL на хостинг. Подробную информацию об установке вы можете найти в разделе Установка SSL-сертификата.
Однако мы рекомендуем воспользоваться Автопродлением SSL-сертификата.
Как включить или отключить Автопродление SSL-сертификата
- доступно только для SSL-сертификатов Начального уровня от компании GlobalSign,
- при автопродлении сертификат продлевается по цене нового сертификата,
- если все услуги приобретены в REG.RU, то переустановка на хостинг не требуется,
- автопродление происходит за 9 дней до окончания срока действия предыдущего сертификата.
Первая попытка списания происходит с баланса аккаунта. Если средств недостаточно, то с привязанной карты. Карта в этом случае должна быть привязана к аккаунту: Как привязать к аккаунту банковскую карту.
Как включить автопродление SSL:
- Перейдите к услуге SSL в Личном кабинете:
- Поставьте переключатель в нужное положение:ON ― функция включена,OFF ― функция выключена:
- ON ― функция включена,
- OFF ― функция выключена:
Готово, вы настроили Автопродление SSL-сертификата.