Тема 26: Средства анализа защищенности сетей

Контроль эффективности системы защиты

Перед подразделениями защиты информации и управлениями автоматизации организации периодически возникает задача проверки, насколько реализованные или используемые механизмы защиты соответствует положениям принятой в организации политики безопасности.

Контроль эффективности защиты осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации или нарушение нормального функционирования средств обработки и передачи информации.

Средства анализа защищенности, так называемые сканеры безопасности ( security scanners ), помогают определить факт наличия уязвимости на узлах корпоративной сети и своевременно устранить их (до того, как ими воспользуются злоумышленники).

Средства анализа защищенности выполняют серию тестов по обнаружению уязвимостей, аналогичных тем, которые применяют злоумышленники при подготовке и осуществлении атак на корпоративные сети. Поиск уязвимостей основывается на использовании базы данных, которая содержит признаки известных уязвимостей сетевых сервисных программ и может обновляться путем добавления новых описаний уязвимостей. Сканирование начинается с получения предварительной информации о системе, например, о разрешенных протоколах и открытых портах, о версиях операционных систем и т.п., и может заканчиваться попытками имитации проникновения, используя широко известные атаки, например, "подбор пароля" (" brute force ").

Далее перечислены наиболее известные программные продукты, содержащие указанные функции.

• Security Administrator's Research Assistant (SARA) (www.www- arc.com/sara/)

Далее в таблице приведены результаты сравнения возможностей перечисленных программных средств. Сравнение производилось в тестовой сети, состоящей из нескольких узлов с пятью популярными ОС. На узлах сети были оставлены 17 известных уязвимостей. Кроме количества обнаруженных уязвимостей из этих 17, использовались и другие критерии сравнения, например, удобство интерфейса возможность обновления и др.

Наиболее значимые из них приведены в следующей таблице:

 

Net Recon

 

Hacker Shield

 

Retina

Internet Scanner

Nessus Security Scanner

CyberCop Scanner

SARA

 

SAINT

Производитель

Axent Technologies

BindView

EEye Digital Security

Internet Security Systems

 

Network Associations

 

WWDigital Security

Платформа

Windows NT

Windows NT

Windows NT

Windows NT Workstation

Unix

Windows NT

Unix

Unix

ВОЗМОЖНОСТЬ

обновления

+

+

+

+

+

+

-

-

Возможность создания собственных проверок

-

-

-

-

+

+

+

+

Работа из командной строки

-

-

-

+

+

+

+

+

Поддержка CVE

-

+

-

+

+

-

+

+

Автоматическое устранение уязвимостей

-

+

+

-

-

+

-

-

Открытость кода

-

-

-

-

+

-

+

+

Коммерческий или бесплатный

+

+

+

+

-

+

-

-

Интерфейс (по пятибалльной шкале)

4,5

4

4

4,5

3

4,5

2,5

2,5

Отчёты (по пятибалльной шкале)

3,5

2.5

2,5

3,5

3,5

3

2

2

Лучшие результаты показали два продукта: из бесплатных - Nessus Security Scanner , из коммерческих - Internet Scanner ,

Функционировать средства анализа защищённости могут на сетевом уровне, уровне операционной системы (ОС), уровне СУБД или на уровне приложения

Средства анализа защищенности сетевых сервисов (служб)

Наибольшее распространение получили средства анализа защищенности сетевых сервисов (служб) и протоколов. Связано это, в первую очередь, с универсальностью используемых протоколов. Изученность и повсеместное использование таких протоколов, как IP , TCP , HTTP , FTP , SMTP и т.п. позволяют с высокой степенью эффективности проверять защищенность информационной системы, работающей в сетевом окружении.

Использование в сетях Internet / Intranet протоколов TCP/IP, которые характеризуются наличием в них неустранимых уязвимостей, привело к появлению в последнее время новых разновидностей информационных воздействий на сетевые службы и представляющих реальную угрозу защищенности информации. Средства анализа защищенности сетевых служб применяются для оценки защищенности компьютерных сетей по отношению к внутренним и внешним атакам. По результатам анализа защищенности сетевых сервисов этими средствами генерируются отчеты, включающие в себя список обнаруженных уязвимостей, описание связанных с ними возможных угроз и рекомендации по их устранению. К числу средств анализа данного класса относится программа SATAN (автор В.Венема), Netprobe фирмы Qualix Group и Internet Scanner фирмы Internet Security System Inc .

Средства анализа защищенности операционных систем

Вторыми по распространенности являются средства анализа защищенности операционных систем (например, UNIX и Windows NT ). Однако, из-за того, что каждый производитель вносит в операционную систему свои изменения (ярким примером является множество разновидностей ОС UNIX ), средства анализа защищенности ОС анализируют в первую очередь общие параметры, характерные для всего семейства одной ОС. И лишь для некоторых систем анализируются специфичные для нее параметры.

Средства этого класса предназначены для проверки настроек операционных систем, влияющих на их защищенность. К таким настройкам можно отнести параметры учетных записей пользователей ( account ), например длину пароля и срок его действия, права пользователей на доступ к критичным системным файлам, уязвимые системные файлы, установленные patch 'и («заплаты») и т.п.

Данные системы в отличие от средств анализа защищенности сетевого уровня проводят сканирование не снаружи, а изнутри анализируемой системы и не предполагают имитацию атак внешних злоумышленников. Кроме возможностей по обнаружению уязвимостей некоторые системы анализа защищенности на уровне ОС (например, System Scanner компании Internet Security Systems ) позволяют автоматически устранять часть обнаруженных проблем или корректировать параметры системы, не удовлетворяющие политике безопасности, принятой в организации.

Средства анализа защищенности операционных систем позволяют осуществлять ревизию механизмов разграничения доступа, идентификации и аутентификации, средств мониторинга, аудита и других компонентов операционных систем с точки зрения соответствия их настроек правилам, установленным в организации. Кроме этого, средствами данного класса проводится контроль целостности и неизменности программных средств и системных установок и проверка наличия уязвимостей системных и прикладных служб. Как правило, такие проверки проводятся с использованием базы данных уязвимостей операционных систем и сервисных служб, которые могут обновляться по мере выявления новых уязвимостей. Системы анализа защищенности на уровне ОС могут быть использованы не только отделами защиты информации, но и управлениями автоматизации для контроля конфигурации операционных систем.

К числу средств анализа данного класса относятся:

• программное средство администратора ОС Solaris ASET ( Automated Security Tool ), которое входит в состав ОС Solaris ;

• пакет программ COPS (Computer Oracle and Password System) для администраторов Unix- систем ;

• система System Scanner (SS) фирмы Internet Security System Inc. для анализа и управления защищенность операционных систем Unix и Windows NT/95/98.

Анализ защищённости СУБД ( Database Scanner )

Система анализа защищенности Database Scanner разработана американской компанией Internet Security Systems , Inc . и предназначена для решения одного из важных аспектов управления.сетевой безопасностью - обнаружения уязвимостей. Система Database Scanner обнаруживает различные проблемы, связанные с безопасностью баз данных: "слабые" пароли, права доступа к объектам БД Встроенная база знаний ( Knowledge Base ), доступная непосредственно из создаваемых отчетов, рекомендует корректирующие действия, которые позволяют устранить обнаруженные уязвимости.

Система Database Scanner может быть использована для анализа защищенности систем управления базами данных (СУБД) Microsoft SQL Server , Oracle и Sybase Adaptive Server .

Большинство нарушений безопасности связано с неправильной конфигурацией или нарушениями принятой политики безопасности. Поэтому система Database Scanner , обеспечивающая контроль настроек и политики безопасности баз данных, является важной составляющей комплексной системы безопасности организации.

Возможности системы DATABASE SCANNER

Система Database Scanner обеспечивает высокий уровень анализа защищенности за счет проведения всесторонних проверок и следующих ключевых возможностей:

• большое число проводимых проверок;

• анализ и выявление "слабых" паролей;

• задание шаблонов для различных серверов баз данных;

• централизованное управление процессом сканирования;

• параллельное сканирование нескольких серверов баз данных;

• запуск процесса сканирования по расписанию;

• возможность работы из командной строки;

• мощная система генерации отчетов;

• мощная система подсказки;

• простота использования и интуитивно понятный графический интерфейс;

Уязвимости, выявляемые DataBase Scanner

Все уязвимости, выявляемые программой DataBase Scanner в процессе сканирования, делятся на три категории

• Authentication Settings ( параметры аутентификации ).

• Authorization Settings ( параметры авторизации ).

• System Integrity Settings (системно-зависимые параметры).

Типы сканирования DataBase Scanner позволяет выполнить следующие типы сканирования:

  • Тест на проникновение
  • Полное сканирование
  • Оценка стойкости паролей

Сетевой сканер Nessus - пример средства анализа защищённости

Введение

Сетевой сканер N essus -это свободно распространяемое и надежное средство удаленного анализа защищённости узлов сети. Его последняя версия (1.0.6) содержит чуть более 500 проверок и встроенный язык их написания.

Архитектура

Nessus состоит из клиентской ( nessus ) и серверной ( nessusd ) частей. Сервер nessusd предназначен для анализа защищенности сети от сетевых угроз путем осуществления тестовых попыток несанкционированного доступа с использованием уязвимостей или брешей тех или иных сервисов в защите операционной системы.

Для использования серверной части Nessus требуется наличие ОС Unix (например. Linux или Solans).

С целью повышения безопасности функционирования сканера обмен данными между клиентом и сервером кодируется.

Характеристики

Далее рассматриваются некоторые наиболее важные характеристики сканера Nessus . Модульная архитектура

Все тесты оформлены как внешние подключаемые модули ( Plug - in ). Поэтому можно легко добавлять новые тесты без изменения демона Nessusd .

NASL

Nessus включает язык описания атак NASL ( Nessus Attack Scripting Language ), позволяющий создавать новые тесты на уязвимость. Тесты могут быть также написаны и на языке С.

Идентификация служб

Сканер Nessus не использует предположение, что службы имеют стандартные номера портов. Таким образом, web -сервер будет идентифицирован, даже если он использует, например, порт 8080.

Система отчётов

Отчёты, генерируемые сканером Nessus , содержат описание обнаруженных уязвимостей и меры по их устранению. Отчёты могут быть экспортированы в форматы ASCII text , LaTeX , HTML

Техническая поддержка

Имеется возможность использования коммерческой технической поддержки. Информацию по этой теме можно найти по адресу: http :// www . nessus . com .

Параллельное сканирование

Возможен параллельный запуск процессов сканирования нескольких узлов сети. Количество сканируемых узлов ограничено лишь мощностью узла, производящего сканирование.

Регулярное обновление

База данных уязвимостей регулярно пополняется, информация может быть получена по адресу: http :// www . nessus . org / scripts . html .