Аудит IT инфраструктуры — это не разовая проверка по требованию регулятора, а базовая практика безопасности. Большинство компаний узнают об открытых сервисах только после инцидента: утечки данных, шифровальщика или звонка из «службы безопасности». IVRE — open-source фреймворк, который позволяет провести аудит IT инфраструктуры самостоятельно: увидеть собственную сеть глазами злоумышленника, бесплатно, на своём сервере, без отправки данных в облако.

В статье — как развернуть IVRE v0.9.21 за 15 минут, запустить первое сканирование и что именно стоит искать в результатах.

IVRE (Instrument de veille sur les réseaux extérieurs — «Инструмент наблюдения за внешними сетями») — открытый фреймворк для разведки сетевой инфраструктуры. Проект развивается с 2011 года, последняя стабильная версия — 0.9.21, доступна в Kali Linux, PyPI и Docker Hub.

По возможностям IVRE сопоставим с коммерческими сервисами Shodan, ZoomEye и Censys, но работает полностью локально: данные остаются в вашей инфраструктуре. Это принципиально важно для компаний с требованиями к конфиденциальности данных и закрытым периметром.

Что умеет IVRE:

• Импортирует результаты сканирования из Nmap, Masscan, ZGrab2, httpx
• Хранит данные в MongoDB с индексацией по IP, порту, сервису, версии
• Предоставляет веб-интерфейс для фильтрации и анализа результатов
• Обогащает данные из внешних источников: GeoIP, BGP-префиксы, данные RIPE
• Поддерживает пассивный мониторинг через Zeek и p0f без активного сканирования
• Интегрируется через Python API и CLI для автоматизации аудита

Два режима работы: активное сканирование (IVRE сам отправляет пакеты в сеть) и пассивный мониторинг (анализ трафика без зондирования хостов). Первый даёт полную картину быстро, второй подходит для production-окружений, где нежелательна дополнительная нагрузка на сеть.

Самый простой способ запустить IVRE — через Docker Compose. Требования: Docker Engine 24+, Docker Compose v2 (команда docker compose, не legacy docker-compose), минимум 4 ГБ RAM, 20 ГБ свободного места на диске.

Клонируем репозиторий и запускаем стек:

Перечисленные ниже находки — не абстрактные страшилки, а задокументированные CVE с подтверждёнными инцидентами. IVRE помогает обнаружить именно их до того, как это сделает автоматический сканер злоумышленника.

MongoDB без аутентификации (порт 27017)

В декабре 2025 года CISA добавила CVE-2025-14847 («MongoBleed») в каталог Known Exploited Vulnerabilities. Уязвимость позволяет извлекать credentials и пользовательские данные из памяти сервера без аутентификации через специально сформированные сетевые пакеты с Zlib-компрессией. По данным Censys, на январь 2026 в интернете обнаружено 87 000 открытых инстанций MongoDB — большинство уязвимы.

IVRE покажет любой хост с открытым портом 27017, включая те, что оказались в DMZ или стали доступны после изменения сетевых правил.

OpenSSH устаревших версий (порт 22)

В феврале 2025 года Qualys опубликовала две критические уязвимости OpenSSH. CVE-2025-26465 позволяет выполнить атаку «человек посредине» на SSH-клиент при включённой опции VerifyHostKeyDNS — без взаимодействия с пользователем. CVE-2025-26466 даёт возможность DoS-атаки до аутентификации. Затронуты версии 6.8p1–9.9p1. Исправление — в OpenSSH 9.9p2.

IVRE с ключом -sV определяет точную версию OpenSSH на каждом хосте. Запрос в веб-интерфейсе version:OpenSSH с сортировкой покажет все устаревшие экземпляры одним списком.

RDP открыт наружу (порт 3389)

По данным Sophos за 2025 год: RDP участвует в 90% расследованных инцидентов с шифровальщиками. В октябре 2025 GreyNoise зафиксировал свыше 100 000 уникальных IP-адресов, непрерывно сканирующих порт 3389. В июле 2025 опубликована CVE-2025-48817 — RCE через RDP-клиент при подключении к вредоносному серверу.

Любой хост с портом 3389, доступным из интернета или из DMZ без дополнительной защиты — немедленная точка внимания. IVRE покажет его в первом же скане.

Административные веб-интерфейсы без TLS

Роутеры, NAS, панели управления серверами на нестандартных портах (8080, 8443, 10000, 9090) без HTTPS передают учётные данные в открытом виде. IVRE через ZGrab2 индексирует HTTP-заголовки, сертификаты и баннеры — всё, что помогает идентифицировать незащищённые интерфейсы управления.

Нет времени разбираться в результатах самостоятельно? Аудит инфраструктуры и закрытие выявленных проблем входят в нашу услугу Администрирование серверов под ключ.

Активное сканирование — не единственный режим IVRE. Пассивный мониторинг анализирует реальный сетевой трафик через Zeek (bro) и p0f без отправки каких-либо пакетов в сеть. Это принципиально другой подход.

Когда пассивный режим предпочтительнее:

• В production-окружениях, где активный скан может вызвать ложные срабатывания IDS или нагрузить критичные сервисы
• При непрерывном мониторинге — пассивный датчик работает постоянно и фиксирует новые хосты по мере их появления в трафике
• Для обнаружения сервисов, которые активный скан мог пропустить из-за firewall-правил

Как это работает: сенсор Zeek устанавливается на точку зеркалирования трафика (SPAN-порт на коммутаторе или network tap). Он анализирует соединения и отправляет структурированные данные в базу IVRE. Результаты попадают в тот же веб-интерфейс, что и данные активных сканов.

Пассивный режим требует отдельного деплоя сенсора и настройки зеркалирования трафика — это занимает больше времени, чем запуск Docker Compose. Зато после настройки инфраструктура сканирует себя сама.

Если выстраивать полноценный мониторинг инфраструктуры, включая uptime, доступность портов и аномалии — посмотрите на нашу услугу Комплексного мониторинга.

Честная оценка инструмента важна для принятия решений. Вот что IVRE не умеет и о чём стоит знать заранее:

• IVRE — инструмент видимости, не защиты. Он показывает открытые порты и версии сервисов. Устранение уязвимостей — отдельная работа.
• IVRE не CVE-сканер. Он не проверяет, уязвим ли конкретный сервис к конкретной CVE — для этого нужен OpenVAS / Greenbone. IVRE показывает версию, вывод «уязвим или нет» делает администратор.
• Активный скан в production без согласования — риск. Nmap с ключом -sV создаёт нагрузку на сеть и может вызвать ложные срабатывания IDS. Согласуйте скан с командой и проведите его в нерабочее время или на изолированном сегменте.
• MongoDB backend требует ресурсов. Для сети от 1000 хостов планируйте хранилище от 20 ГБ+. При регулярных сканах объём растёт.
• Веб-интерфейс без аутентификации по умолчанию. Это не баг — так задумано для гибкости. Но перед использованием обязательно настройте nginx basic auth или ограничьте доступ по IP. Доступный из интернета IVRE — это база данных вашей инфраструктуры в открытом виде.

Дополнительный материал по аудиту конфигурации серверных сервисов: Проверка конфигурации Nginx — обзор линтеров. По безопасности Active Directory-инфраструктуры — подробный технический разбор: Безопасная архитектура и защита Active Directory.

После первого скана у вас будет список хостов с открытыми портами и версиями сервисов. Вот последовательность действий:

1. Инвентаризация. Проверьте, все ли найденные хосты вам известны. Незнакомый хост с открытым портом — первый приоритет.
2. Закрыть лишнее. Всё, что не должно быть доступно снаружи или из DMZ — закрыть на firewall. RDP, MongoDB, административные интерфейсы — минимум: за VPN.
3. Обновить OpenSSH. Версии ниже 9.9p2 содержат CVE-2025-26465 и CVE-2025-26466. Обновление на большинстве дистрибутивов — apt upgrade openssh-server или dnf upgrade openssh-server.
4. Включить аутентификацию MongoDB. Если MongoDB запущена без аутентификации — это MongoBleed (CVE-2025-14847) в незащищённом виде. Минимальный шаг: включить security.authorization: enabled в конфигурации и bind к 127.0.0.1.
5. RDP — за VPN или NLA. Если RDP нужен для удалённой работы — перенесите его за WireGuard или включите Network Level Authentication + ограничение по IP.
6. Повторный скан через 30 дней. Инфраструктура меняется: новые сервисы, обновления, изменение правил firewall. Регулярный скан — способ убедиться, что ничего не «открылось» случайно.