Поиск слабых мест
Введение
Администраторы, ответственные за безопасность корпоративных сетей,
вынуждены вести борьбу с численно значительно превосходящими их врагами. В
сети скрывается великое множество потенциальных взломщиков, а времени на
организацию защитных редутов хронически не хватает.
Из исследования проблем компьютерной преступности и безопасности,
проведенного в 2003 г. институтом Computer Security Institute и ФБР,
наглядно виден огромный ущерб от атак в киберпространстве. 250
организаций, принявших участие в восьмом ежегодном исследовании, сообщили
о сумме общих потерь в 202 млн. долл., вызванных самыми разнообразными
причинами - от кражи конфиденциальной информации, отказов от обслуживания
и вирусов до нарушений, допускаемых собственными сотрудниками.
Как повысить свои шансы на успех в этой борьбе? Первый и очевидный шаг
- идентифицировать уязвимые места в системе. Программы поиска не только
автоматически обнаруживают бреши в системе сетевой безопасности, но в
некоторых случаях и устраняют их. Такие инструменты существуют уже в
течение многих лет, но лишь недавно они достигли зрелости, превратившись в
исчерпывающие и дружественные пользователю (хотя по-прежнему сложные)
продукты с функциями подготовки специальных отчетов, распределенной оценки
опасностей и автоматической коррекции потенциальных проблем.
В частности, анализаторы обнаруживают известные программные ошибки,
вирусы и слабые стратегии управления доступом. Наиболее типичные проблемы
рабочих станций - открытые порты NetBIOS для коллективной работы с файлами
и принтерами, а также пользователи, запускающие несанкционированные
Web-серверы или одноранговых клиентов обмена файлами.
С помощью анализаторов уязвимых мест можно найти прикладные программы с
некорректно настроенной конфигурацией, оставляющие сеть незащищенной.
Например, в прошлом сервер Microsoft Exchange в стандартной конфигурации
выполнял роль открытого ретранслятора SMTP и мог быть использован авторами
спама. В результате взломщики захватывали управление сервером и рассылали
миллионы почтовых сообщений, которые выглядели для пользователей
пораженных сетей как легальный трафик.
В некоторых анализаторах есть функции управления <заплатами> и
модернизации программного кода с целью устранения ошибок. <Заплаты>
приходится часто устанавливать на Web-серверах, почтовых серверах и в
базовых операционных системах. В первую очередь это относится к продуктам
Microsoft, которые часто становятся объектами нападений. Однако управление
<заплатами> - слишком сложная задача, чтобы решать ее только с помощью
программ поиска уязвимых мест.
В обзоре рассмотрены шесть анализаторов безопасности, используемых для
обнаружения потенциальных брешей в таких сетевых службах, как HTTP, FTP и
SMTP. С помощью этих инструментов сетевые администраторы могут быстро
приступить к решению проблем безопасности. Развертывать их несложно, так
как не требуется инсталлировать агентов на каждой проверяемой машине.
Однако для анализаторов на базе агентов необходимо инсталлировать
небольшие программы для сбора более подробной информации об уязвимых
местах каждого компьютера. Агенты передают в централизованную базу данных
информацию о системных проблемах (а не об угрозах на уровне приложений и
служб), в том числе о полномочиях доступа к файлам, свойствах учетных
записей пользователей, параметрах Реестра и прикладных программ. Они
генерируют меньше трафика, чем безагентные анализаторы. Один из
рассмотренных анализаторов, Security Analyzer 5.0 фирмы NetIQ, располагает
факультативным компонентом на базе агентов.
В нашем обзоре не представлены онлайновые инструменты анализа уязвимых
мест, такие, как продукты компаний Foundstone и Qualys. Подобные службы
рассматривают сеть извне, сканируя IP-адреса из Интернета с целью
обнаружения внешних опасностей. Однако все больше продуктов обеспечивают
анализ внутренних систем и уязвимых мест.
В обзоре оцениваются функции анализа, подготовки отчетов и в некоторых
случаях - устранения брешей, которые угрожают безопасности вычислительной
среды. Мы также рассмотрели несколько родственных продуктов, в том числе
два бесплатных инструмента сканирования сети, инструмент сетевого аудита и
специализированное аппаратное устройство безопасности.
GFI LANguard Network Security Scanner 3.3
50 IP-адресов, в США цена при прямых поставках 395 долл. GFI
Software Ltd., 888-243-4329. www.gfi.com.
GFI LANguard Network Security Scanner 3.3 - хорошая программа с
базовыми функциями анализа слабых мест, но в ней нет некоторых передовых
функций, имеющихся в продуктах корпоративного уровня, таких, как Retina
Network Security Scanner фирмы eEye и Security Analyzer 5.0 компании
NetIQ. С помощью LANguard нельзя провести углубленный анализ
CGI-сценариев, как в программе Retina, и проверить сетевые аппаратные
средства некоторых типов. Однако цена продукта гораздо ниже, чем у пакетов
eEye и NetIQ.
Для обычного сканирования сети достаточно ввести IP-адрес или диапазон
адресов и нажать кнопку Start. Программа LANguard располагает множеством
готовых профилей исследования безопасности. Например, для обнаружения
слабых мест можно использовать только протокол ICMP (протокол управляющих
сообщений в Интернете), проверять все доступные порты или отыскивать
открытые общедоступные ресурсы и отсутствующие <заплаты>. Кроме того,
администратор может определить и сохранить собственные профили анализа
безопасности.
Имена компьютеров, MAC-адреса, открытые порты, версии операционных
систем и информацию SNMP (простой протокол управления сетью) можно
выяснить, не имея административных полномочий в домене Windows. Результаты
сортируются по IP-адресам и отображаются в древовидной структуре. Имея
административные полномочия, можно собрать значительно больше информации о
каждой машине, в том числе об общих ресурсах, учетных записях
пользователей, службах, стратегии парольной защиты, Реестре и
установленных <заплатах>. В процессе сканирования можно выявить опасные
CGI-программы и уязвимые места FTP, DNS, почты, служб и Реестра.
Результаты группируются по категориям и дополняются рекомендациями по
устранению брешей или ссылками на библиотеки BugTraq, CVE либо бюллетени
безопасности Microsoft.
С помощью генератора отчетов можно подготовить и сохранить
специализированные отчеты о конкретных проблемах безопасности. Например,
можно генерировать отчет обо всех машинах с открытым портом 80 (Web) или
21 (FTP). С помощью поставляемой вместе с инструментом утилиты, как и в
программах Retina и SAINT 5, можно сравнить два отчета в поисках новых,
удаленных или измененных записей, а также изменений в предупреждениях и
<заплатах>.
Компания GFI рекламирует LANguard также как инструмент для управления
<заплатами> и их развертывания. Благодаря сотрудничеству GFI с Microsoft в
процессе анализа Windows-сети программа определяет инсталлированные и
отсутствующие <заплаты>. LANguard обеспечивает развертывание как <заплат>,
так и пакетов модернизации.
Управление <заплатами> - сложный и многогранный процесс, поэтому
неразумно полагаться лишь на анализатор безопасности, чтобы определить
объекты модернизации одним щелчком мыши. Крупные компании применяют
существующие инструменты распространения программ, такие, как Unicenter
фирмы Computer Associates и IBM Tivoli, чтобы установить <заплаты> на
своих машинах.
Самое надежное решение для малых компаний, не располагающих такими
программами, - запустить Windows Update на каждом сетевом компьютере. Мы
также рекомендуем компаниям любого масштаба исследовать и анализировать
каждую <заплату> перед развертыванием, чтобы избежать конфликтов с ранее
инсталлированными программами или службами.
LANguard можно бесплатно опробовать в течение 30 дней. В испытательной
версии отключен ряд компонентов продукта, в том числе генератор отчетов,
функции сканирования по расписанию, сравнения результатов, модернизации
через Интернет и развертывания <заплат> безопасности.
Продукт будет хорошим выбором для администраторов, нуждающихся в
быстродействующем, простом и недорогом анализаторе.
MegaPing
50 IP-адресов, в США цена при прямых поставках 325 долл. Magneto
Software Inc., 650-494-3031. www.magnetosoft.com.
Как и LANguard, программа MegaPing компании Magneto Software - хороший
инструмент анализа сетей с базовыми возможностями, особенно если принять
во внимание ее низкую цену. Но число типов сканирования ограниченно, а в
компьютерах Linux и UNIX можно обнаружить лишь уязвимые порты.
MegaPing располагает отдельными инструментами для поиска конкретной
информации. IP-сканер проверяет диапазон IP-адресов, определяет, какие из
них активны, преобразует имена компьютеров, если выбран соответствующий
режим. Соответственно с помощью сканера NetBIOS можно проверить диапазон
IP-адресов и отдельные узлы - или весь домен - и получить имена NetBIOS
сетевых узлов, зарегистрированных пользователей и MAC-адреса.
Инструмент Share Scanner обнаруживает открытые общедоступные ресурсы в
домене или диапазоне IP-адресов. Последний индивидуальный анализатор -
сканер портов. С помощью этого инструмента можно сканировать диапазон
портов, в том числе авторизованные порты (в их число входят широко
известные, зарегистрированные, динамические и частные), а также враждебные
порты (чаще всего используемые взломщиками).
По итогам сканирования составляется список портов, обнаруженных на
целевых машинах, и перечень потенциально законных и враждебных применений
этих портов. Каждый модуль сканирования располагает функцией подготовки
отчетов в форматах HTML или TXT. Но в отличие от LANguard, Retina и SAINT
5 в MegaPing нет утилиты для сравнения результатов нескольких сеансов
анализа или подготовки, скажем, списка машин с открытым портом 25
(SMTP).
Отдельные проверки отнимают довольно много времени, особенно если
требуется получить общее представление о безопасности сети. К счастью, в
состав MegaPing входит анализатор безопасности, который запускает каждый
модуль сканирования в рамках отдельного теста и сообщает результаты.
В отличие от некоторых продуктов обзора MegaPing отображает состояние
портов TCP и UDP каждой машины. Большинство анализаторов безопасности
исследуют отдаленные машины, но полезно также знать, какие порты открыты и
ожидают сигнала на локальном компьютере.
Обладая соответствующими полномочиями, с помощью MegaPing можно
отыскивать и развертывать <заплаты> Windows. Но как уже отмечалось в
сообщении о LANguard, мы не рекомендуем сетевым администраторам
использовать для управления <заплатами> только анализатор
безопасности.
Кроме того, в состав MegaPing входит набор других сетевых утилит, не
имеющих отношения к проверке безопасности. Программы преобразования DNS,
Finger, эхо-тестирования, трассировки сетевого маршрута, Whois, сетевого
времени и набор инструментов для подготовки отчетов о процессах, похожий
на расширенный Windows Task Manager, будут полезны каждому администратору.
Из Сети можно загрузить 30-дневную испытательную версию программы, которая
обеспечивает мониторинг и анализ безопасности только для пяти машин.
Как и LANguard, программа MegaPing будет удачным выбором для
администраторов, нуждающихся в недорогом, базовом анализаторе. Этот
продукт больше подходит администраторам, которые предпочитают набор
отдельных специализированных утилит широкому охвату LANguard.
Retina Network Security Scanner
64 IP-адреса, в США цена при прямыхпоставках 2550 долл. eEye
Digital Security, 866-339-3732. www.eeye.com.
Retina Network Security Scanner фирмы eEye Digital Security - гибкий,
хорошо организованный и полнофункциональный анализатор безопасности. С его
помощью можно обнаруживать уязвимые места на платформах Linux, UNIX и
Windows, многие из которых автоматически устраняются при обнаружении, и
готовить собственные аудиторские проверки. Благодаря этим достоинствам
продукт удостоен отличия <Редакция советует>.
Единственная в обзоре функция автоматического устранения проблем - одно
из самых впечатляющих достоинств Retina. Администратор с соответствующими
правами доступа может одним щелчком мыши исправить Реестр и устранить
проблемы с полномочиями на отдаленных сетевых машинах.
Столь же впечатляет уникальная функция аудита, с помощью которой можно
составить специальные запросы об уже известных слабых звеньях сетевой
системы безопасности. Такие программы, как StealthAudit фирмы Stealthbit
Technologies (см. врезку <Устранение известных пробелов безопасности>),
предназначены специально для работы с этой функцией, но Retina -
единственный анализатор в обзоре, располагающий такой возможностью.
Чтобы организовать аудиторскую проверку, можно выбирать критерии из
различных категорий, в том числе потенциально уязвимые места многих широко
используемых служб, серверов и даже программ электронной коммерции.
Администратор может подготовить собственные аудиторские проверки, вставить
их в процедуру сканирования и выполнять на выбранных целевых машинах. Они
применимы для проверки конкретных версий программных продуктов, сценариев
CGI, <заплат> и элементов Реестра.
Процедура инсталляции проста, и базы данных сигнатур Retina немедленно
синхронизируются с сервером eEye. Сразу после запуска программы из ее
главного интерфейса открывается доступ к четырем модулям: браузеру,
трассировщику, минеру (miner) и сканеру. Все элементы страницы показаны в
древовидной структуре во встроенном Web-браузере, а трассировщик строит
путь трассировки и отображает время отклика. Однако мозг программы -
модули минера и сканера. Благодаря фирменному механизму искусственного
интеллекта минер имитирует действия взломщика, атакующего уязвимые места
сети.
Модуль сканирования - один из лучших в обзоре как по быстродействию,
так и по точности результатов. После того как пользователь выбирает машину
или диапазон IP-адресов, сканер сначала обнаруживает все откликнувшиеся
машины, а затем проводит назначенные проверки целевых объектов. Результаты
представлены в чрезвычайно удобном для навигации виде, со списком сетевых
узлов в одной панели и потенциально уязвимых мест - в другой. К сожалению,
данные нельзя сортировать по типу.
Результаты сканирования группируются по уровню опасности для каждого
сетевого узла и, как в Security Analyzer 5.0 фирмы NetIQ и SAINT 5,
содержат очень подробную информацию об обнаруженных проблемах и возможных
способах их устранения. В программе приводятся идентификационные номера и
представлены ссылки для всех уязвимых мест, перечисленных в библиотеках
BugTraq, CVE и бюллетенях безопасности Microsoft.
Механизм подготовки отчетов выдает материалы трех заранее определенных
типов: полные, для руководящего персонала и технических специалистов.
Отчет можно настроить на конкретное применение (эта функция отсутствует во
всех остальных продуктах обзора, кроме SAINT 5).
В целом пакет Retina выделяется среди продуктов обзора непревзойденным
балансом функциональности, мощности, удобства в эксплуатации и
быстродействия.
Nessus
Бесплатная загрузка из Сети. Renaud Deraison, www.nessus.com.
Цена этого дистанционного анализатора безопасности непревзойденна: он
распространяется бесплатно. По словам его автора, Рено Дерисона, цель
открытого проекта Nessus - предоставить Интернет-сообществу бесплатный,
мощный, современный и удобный в использовании дистанционный анализатор
безопасности.
Многочисленные параметры конфигурирования и анализа Nessus могут
показаться слишком сложными для некоторых пользователей. Возможно,
администраторам придется уделить значительное время освоению тонкостей
программы, чтобы работать с нею наиболее эффективно.
В программе используется архитектура клиент-сервер, и процедуры
сканирования запускаются с административной консоли; базы данных хранятся
не на сервере, а на локальном компьютере. Благодаря версиям внешнего
интерфейса клиента для Java, Win32 и X11, программа Nessus - истинно
многоплатформный инструмент для анализа машин Linux, Windows и UNIX.
Поражает число специализированных модулей Nessus. В них реализованы
интересные функции обследования маршрутизаторов Cisco и других компаний,
сценариев CGI, соединений дистанционного доступа, протоколов RPC (вызов
удаленных процедур) и SNMP (простой протокол управления сетью), поиска
переполнений буферов и выявления лазеек в системе защиты компьютеров (back
door).
Мы инсталлировали Nessus на рабочей станции Red Hat Linux 9 и были
приятно удивлены простотой, с которой был выполнен сценарий инсталляции -
нетипичный случай для открытого ПО. После инсталляции мы ввели первого
пользователя и сгенерировали клиентский сертификат с помощью утилит
командной строки. После этого запустили исполняемый файл Nessus и без
проблем зарегистрировались в пользовательском интерфейсе X11.
Для настройки процедуры проверки можно использовать стандартные
параметры или назначить специальный режим, хотя рядовому администратору
для этого потребуется немало времени (в зависимости от сложности сети).
Существует несколько уровней анализа портов с учетом брандмауэров и систем
обнаружения попыток несанкционированного доступа.
Чтобы получить более точную и подробную информацию о машинах Windows в
одноименном домене, мы рекомендуем сформировать в домене группу и учетную
запись с правами дистанционного доступа к Реестру. После этого
администратор может получить доступ не только к основным параметрам
Реестра, но и к <заплатам> пакета модернизации, уязвимым местам Internet
Explorer и службам, выполняемым на сетевых машинах.
Результаты анализа распределяются по доменам, сетевым компьютерам и
проблемам безопасности. Сведения об уязвимых местах дополняются множеством
рекомендаций, с объяснением причин и перечислением возможных способов их
устранения. Ссылки на словарь CVE (Common Vulnerabilities and Exposures;
www.cve.mitre.org), в котором перечислены известные слабые звенья в
системе безопасности, и на оперативный ресурс для ИТ-администраторов
Microsoft TechNet (www.microsoft.com/technet) обеспечивают доступ к
дополнительным информационным ресурсам и существующим <заплатам>.
Однако итоговые сводки не отличаются гибкостью. Результаты не
группируются по различным критериям - например, по конкретным проблемам,
типам машин или уровню опасности, как в программах Security Analyzer 5.0
фирмы NetIQ и SAINT 5.
Предусмотрено шесть различных форматов отчетов, в том числе круговая
диаграмма и таблица, с помощью которых можно получить иногда необходимое
представление более высокого уровня. Однако преимущества гибких форматов
снижаются из-за невозможности группировать результаты по типам.
Программа Nessus понравится в первую очередь администраторам, желающим
получить не только исчерпывающий инструмент анализа, но и глубокое
понимание проблем сетевой безопасности.
SAINT 5
50 IP-адресов, в США цена при прямых поставках 1835 долл. SAINT
Corp. www.saintcorporation.com.
Программа SAINT 5 предназначена только для платформ Linux и UNIX. Это
один из самых сложных анализаторов в обзоре. Конфигурацию инструмента
можно настраивать в широких пределах, приспосабливая его к характеристикам
сети и задавая глубину проверки. Можно даже назначать специальные проверки
баз данных, служб и прикладных программ.
Самое крупное достоинство SAINT 5 - исчерпывающее представление
результатов анализа. В частности, в детальных отчетах приводятся ссылки на
соответствующие источники, в которых можно получить дополнительные
сведения. Кроме того, результаты можно сортировать по имени компьютера,
типам проблем и степени опасности.
Считается, что прикладные программы Linux и UNIX трудно устанавливать,
но мы обнаружили, что процедура инсталляции очень проста. После
инсталляции и запуска консоль SAINT 5 работает в стандартном окне браузера
с тесным, но хорошо структурированным интерфейсом. Параметры конфигурации
проверок сохраняются в базах данных, сформированных в файловой системе
консоли. В каждой БД хранятся сведения о конфигурации, результаты и
соответствующий отчет, что упрощает процесс объединения данных.
В SAINT 5 имеется удобная процедура регистрации в доменах Microsoft
Windows (достаточно указать административное имя пользователя и пароль)
для тестов, требующих доменной аутентификации.
Точно так же, как Security Analyzer фирмы NetIQ, анализатор SAINT 5
располагает рядом заранее подготовленных операций проверки - эта полезная
функция экономит время администратора. Хороший пример - процедура SANS Top
20 Most Critical Internet Security Vulnerabilities. Она обнаруживает на
всех выбранных объектах 20 самых опасных и типичных для сетей Интернета
уязвимых мест, список которых составлен специалистами Института
администрирования, аудита и сетевой безопасности (SysAdmin, Audit,
Network, Security Institute - SANS).
Поставляемая вместе с продуктом уникальная программа SAINTwriter
генерирует превосходные отчеты, ориентированные на нужды руководителей или
техников. С помощью функции обнаружения закономерностей SAINTwriter можно
сравнивать результаты из двух или нескольких отчетов. К сожалению, в
программе нет функций запросов или группирования данных внутри отчетов, с
помощью которых пользователь мог бы отыскать сведения по конкретным
проблемам.
Отчеты SAINT 5 гораздо глубже, чем у любого другого продукта обзора, но
объем информации может быть слишком большим, особенно при анализе крупных
сетей.
В целом SAINT - полнофункциональный продукт с широкими аналитическими
возможностями. Он, безусловно, заслуживает внимания, особенно для сетей с
большим числом машин Linux и UNIX.
Security Analyzer 5.0
50 IP-адресов, в США цена при прямых поставках 3000 долл. NetIQ
Corp., 888-323-6768. www.netiq.com.
Программа Security Analyzer 5.0 фирмы NetIQ будет идеальным выбором для
предприятий, в которых используется только операционная система Windows.
Хорошо организованный анализатор выполняет исчерпывающую проверку
известных пробелов безопасности из обширной библиотеки, а также новых
угроз, информация о которых регулярно поступает от компании NetIQ через
Интернет.
Security Analyzer - единственный анализатор в обзоре, в котором
используются агенты. Можно разместить агентов на проверяемых машинах и
получить о них более глубокую информацию.
Благодаря применению агентов удается распределить операции сканирования
между целевыми машинами, шифровать данные, передаваемые между исследуемой
машиной и консолью анализатора, а также отказаться от уязвимой модели
Microsoft DCOM (Distributed Object Component Model - распределенная модель
составных объектов). Существует множество типов нападений через DCOM, в
ходе которых хакеры запускают вредоносные программы на удаленных машинах.
Поэтому администраторы часто отключают эту функцию, если она не требуется
для важных систем в сети.
Процесс развертывания агентов Security Analyzer очень прост. Необходимо
указать порт, генерировать ключ шифрования и сохранить этот ключ в файле
DAT для связи между сетевым компьютером и консолью. Кроме того, агент
может быть скрытно установлен на целевой машине с помощью сценария
регистрации. Тесты можно запускать по требованию или воспользоваться
планировщиком для запуска профилей сканирования через определенные
промежутки времени.
Security Analyzer поставляется вместе с набором готовых профилей
сканирования для регулярного использования, таких, как бюллетени Microsoft
Security Bulletin, Common Vulnerabilities and Exposures, а также
рекомендательные и аналитические материалы CERT и BugTraq. Альтернативный
вариант - построить собственные профили сканирования из 21 различной
категории.
Результаты сканирования отображаются в хорошо организованном, понятном
окне с тремя панелями. С помощью закладок левой панели можно просматривать
данные по IP-адресу машины, уровню опасности, уязвимым местам, активным
службам, пользователям, необходимым <заплатам> (ранжированным по степени
риска) и использованным политикам тестирования. В правой панели приводится
подробная информация об элементе данных, выделенном в левой панели. В
панели вдоль нижнего края экрана отображается описание проблемы со
ссылками на дополнительные источники информации и рекомендации по
устранению со ссылками на <заплаты>, если они существуют.
Как Retina и SMART 5, программа Security Analyzer генерирует
исчерпывающие отчеты. Можно получить отчеты о результатах текущего и
предшествующего сканирования или сравнительные итоги последнего и
предшествующих сеансов сканирования, чтобы определить эффективность
принятых мер. Отчеты можно отправлять по электронной почте из
программы.
Многочисленные режимы и функции Security Analyzer будут полезны для
организаций с <чистой> средой Windows. Если вы сомневаетесь в
целесообразности покупки продукта, то на Web-узле NetIQ имеется
ограниченная испытательная версия.
Выбор редакции
Retina Network Security Scanner
Гибкость инструментария, быстродействие и точность анализа,
обеспечиваемые программой Retina Network Security Scanner фирмы eEye
Security, производят сильное впечатление. В подробных отчетах приводятся
не только уязвимые места, но и их номера в списках BugTraq, CVE и
бюллетенях безопасности Microsoft. Исключительно хорошо организованные
отчеты не перегружают пользователя избыточными данными. С помощью Retina
администраторы не только проверяют множество уязвимых мест, но и могут
устранить обнаруженные в процессе анализа проблемы Реестра одним щелчком
мыши. Благодаря непревзойденным в обзоре инструментам аудита
администраторы могут сосредоточиться на известных недостатках своих сетей.
Мы надеемся, что функции аудита появятся и в продуктах других поставщиков.
С их помощью легко составить узкоспециализированные проверки.
Retina - одна из немногих программ, в которых сложные функции
сочетаются с удобством работы, и пользователя не тревожит опасность
пропустить операцию или сделать неправильный выбор в процессе
конфигурирования или анализа данных.
Почетного упоминания достойна бесплатная открытая программа Nessus,
подготовленная Рено Дерисоном. Это полнофункциональный и исчерпывающий
анализатор с гибкой конфигурацией (число настраиваемых параметров подчас
слишком велико). Она, безусловно, заслуживает внимания пользователей с
ограниченным бюджетом, которых не отпугивает шероховатый пользовательский
интерфейс.
Инструменты с базовыми функциями: MBSA и Nmap
Наряду с рассмотренными анализаторами уязвимых мест существует
несколько бесплатных базовых инструментов, таких, как Microsoft Baseline
Security Analyzer и Network Mapper (Nmap). С их помощью можно собрать
ценную информацию, хотя освоить Nmap довольно сложно.
Microsoft Baseline Security Analyzer (MBSA), Version 1.1.1 (бесплатная
загрузка), специализированный анализатор для Windows, обеспечивает поиск
уязвимых конфигураций, нуждающихся в модернизации и <заплатах>. Программа
предназначена для поиска ошибок в Windows NT 4.0, 2000 и XP, а также в
важнейших службах и некоторых программах Microsoft (в том числе Internet
Explorer, Office и Windows Media Player). Учитывая, насколько уязвима
незащищенная машина Windows, программа MBSA может стать ценным
инструментом для ИТ-администраторов, которым недоступны рассмотренные
анализаторы других поставщиков.
Хотя MBSA обеспечивает сканирование до 10 тыс. машин, заметим, что
интерфейс программы, похожий на многооконный сайт Windows Update, лучше
всего подходит для анализа малых сетей и отдельных ПК. Результаты
распределяются по трем основным группам, состоящим из подразделов, в
которых перечислены потенциальные опасности и даны ссылки на всплывающие
окна с описаниями проверенных компонентов и советами по устранению
потенциальных проблем. Информация отличается полнотой, хотя при проверке
достаточно большого числа машин массив данных становится слишком
громоздким.
Первая и самая элементарная группа отчетов, Security Update Scan
Results - наименее полезная из трех. Из нее можно узнать, установлены ли
новейшие <заплаты> для ОС и основных служб, таких, как IIS. Нас удивили
некоторые ненужные и бесполезные сообщения, например, о том, что <заплаты>
на нашей машине <новее, чем ожидалось>. Мы считаем, что служба Windows
Update остается лучшим способом решения проблем этой категории.
Результаты из группы Windows Scan Results более полезны, особенно из
раздела Vulnerabilities, в котором собраны типичные ошибки конфигурации.
Имеется ли открытая учетная запись Guest? Активизирован ли режим Restrict
Anonymous? Специалисты по безопасности самостоятельно разбираются в этом
списке (обычному домашнему пользователю это не по плечу), но в разделе
Vulnerabilities есть ссылки на рекомендации по защите машины. Информация в
разделе Additional System Information может быть сложной и запутанной.
Так, новичкам будет трудно отключить общие административные ресурсы
Windows, следуя советам программы.
На странице Desktop Application Scan Results приведен список
потенциальных источников опасности и простых решений. Конечно, большинству
пользователей будет утомительно открывать все эти всплывающие окна и
отслеживать данные. Было бы гораздо удобнее, если бы фирма Microsoft
предложила графический пользовательский интерфейс, работающий подобно
Windows Update, из которого можно выбирать и применять нужные
исправления.
В программе используются TCP-порты 138 и 445, а также UDP-порты 137 и
138 для анализа отдаленных сетей и машин. До тех пор пока продукт не будет
дополнен функциями проверки других открытых портов, а в подмножестве
тестов безопасности не будет автоматизирован этап устранения проблем, MSBA
останется незаменимым инструментом только для тех, кому недоступны более
качественные программы. (Microsoft Corp., www.microsoft.com/security.)
Константинос Карагианнис.
Nmap (бесплатная загрузка) - анализатор портов с развитыми
возможностями. Существуют версии для платформ Linux, UNIX и Windows.
(Работа над версией для Windows еще не закончена, и она менее устойчива,
чем версии для Linux и UNIX.)
Nmap распространяется в соответствии с условиями лицензии GNU General
Public License (GPL). Его механизм сканирования такой же, как во многих
коммерческих инструментах выявления уязвимых мест на базе Linux и UNIX, в
том числе Retina Network Security Scanner фирмы eEye Digital и Nessus.
В программе Nmap явно заметны следы интерфейса с командной строкой;
продукт NmapFE (бесплатная загрузка) располагает сложным, но интуитивно
понятным ГИП, и в настоящее время поставляется с большинством
дистрибутивов Linux.
Несмотря на обширную функциональность, главным достоинством Nmap
остается сканирование портов. Например, с помощью программы можно
выполнять сканирование с полуоткрытыми SYN-пакетами (half-open TCP SYN),
позволяющее увидеть, какую информацию получит хакер, использующий этот
прием.
В Nmap также реализованы скрытое сканирование TCP FIN и даже более
потайные методы, с помощью которых можно определить слабо защищенные от
нападений взломщиков участки сети, если SYN-сканирование блокировано. В
процессе сканирования TCP FIN предпринимается попытка обойти брандмауэры и
системы обнаружения несанкционированного доступа. Оба метода можно
усовершенствовать, используя фрагментарное сканирование (fragmentation
scanning) - прием, заключающийся в разделении заголовка TCP между
несколькими пакетами. В результате труднее разгадать намерения взломщика с
помощью фильтров пакетов.
Используя служебную базу данных Nmap, можно попытаться определить
номера версий служб, работающих через любой заданный порт в сети. Это
полезно для обнаружения уязвимых мест, возникающих из-за устаревших или
содержащих ошибки редакций служб. Например, версии OpenSSH до 3.7.1
уязвимы из-за ошибки в функции управления буфером и могут быть
использованы взломщиками. Кроме того, администраторы (а также лица,
пытающиеся запускать несанкционированные программы или службы) часто
применяют нестандартные порты (например, запускают демона telnet через
порт 22, обычно отводимый для SSH), чтобы не привлечь внимания хакера и
обойти брандмауэр. Для опроса портов в поисках служб и версий используется
база данных Nmap, поэтому программа может выявлять такие ситуации.
Nmap не только обнаруживает машины в сети, но располагает функциями
идентификации TCP/IP, с помощью которых можно дистанционно определять виды
операционных систем, а также типы брандмауэров и протоколов. Nmap -
непревзойденный инструмент для самого низкоуровневого сканирования портов.
(Открытый проект, www.insecure.org.)
Оливер Кейвен
Foundstone FS1000 Appliance
Администраторам больших и сложных, территориально распределенных сетей,
которые должны обслуживать множество подсетей и могут потратить на решение
задачи 34 200 долл., следует обратить внимание на готовое аппаратное
средство анализа безопасности Foundstone FS1000 Appliance.
Самые ценные достоинства FS1000 - не впечатляющий механизм
сканирования, а функции подготовки отчетов и корреляции опасностей. После
анализа слабых звеньев в сетевой защите устройство генерирует данные,
представляемые различными способами, начиная от очень общих обзоров до
чрезвычайно подробных отчетов.
Рейтинг FoundScore - еще один способ более удобного представления
данных. FoundScore особенно полезен для отслеживания безопасности сети в
течение некоторого промежутка времени. Оценка выставляется после каждой
проверки. Сеть без серьезных проблем безопасности получает оценку 100
баллов. Баллы вычитаются за обнаруженные уязвимые места, в зависимости от
степени угрозы. Среди формируемых программой высокоуровневых представлений
данных - Risk by Platform (распределение серьезных проблем по операционным
системам) и Risk by Vulnerability (распределение риска по типам
проблем).
С помощью модуля корреляции можно связать потенциальные источники
опасности с сетевыми объектами, используя несколько критериев: ОС, порты,
доступные службы и баннерную информацию, полученную из системы. Каждому
сетевому объекту можно присвоить оценку <критичного> риска, от 0
(отсутствует) до 5 (высокий). Обнаруженные уязвимые места с высокой
степенью риска будут перечислены в верхней части списка слабых звеньев
сетевой защиты. Таким образом можно идентифицировать и присвоить
приоритеты важнейшим сетевым объектам. Желательно, чтобы такие функции
были реализованы во всех анализаторах.
Устройство FS1000 построено на базе устанавливаемого в стойку сервера в
корпусе высотой 1U (4,44 см) с двумя процессорами Intel Xeon и
операционной системой Microsoft Small Business Server 2001. На устройстве
инсталлируется пакет Foundstone Enterprise, состоящий из трех компонентов.
Внутренняя база данных SQL используется для хранения всех данных, в том
числе настроечных параметров, результатов и отчетов сканирования.
Центральный компонент устройства, механизм сканирования, обеспечивает
настройку параметров сканирования из программы на базе Win32. И наконец,
удобный Web-портал Foundstone предоставляет доступ ко всем параметрам
устройства, в том числе конфигурирования сканирования, управления
ресурсами, подготовки отчетов и оценки потенциальной опасности; он может
функционировать и как центральный интерфейс доступа при использовании
нескольких механизмов анализа от сторонних поставщиков, которые передают
отчеты в централизованную базу данных. В модуле Web-портала есть даже
функция <просеивания программного кода> (code sifting) для обнаружения
потенциально опасного контента, например почтовых адресов и имен в
исходном тексте HTML.
Несмотря на высокую цену устройства FS1000, его достоинства производят
потрясающее впечатление. Оно располагает всеми важными функциями анализа и
зрелым, удобным интерфейсом. В состав протестированной конфигурации (в США
цена при прямых поставках 34 200 долл.) входят аппаратные средства (6700
долл.), программное обеспечение Foundstone Enterprise (25 000 долл.;
обслуживает 500 активных устройств) и компоненты Threat Correlation and
Remediation (2500 долл.). (877-913-6863, www.foundstone.com.)
Анализаторы сетевой безопасности
Специалисты лаборатории PC Magazine Labs всесторонне протестировали
шесть анализаторов сетевой безопасности, представленных в обзоре, а также
инструменты, о которых рассказано во врезках (Foundstone FS1000 Appliance,
Microsoft Baseline Security Analyzer (MBSA), Nmap и StealthAudit компании
Stealthbits Technologies). Все сканеры успешно обнаруживали типичные
сетевые проблемы. Но качество - и самое важное, удобство генерируемых
продуктами отчетов - существенно различались.
Наша тестовая сеть состояла из маршрутизатора Linksys BEFVP41 и
смешанного набора клиентов и серверов Microsoft Windows (Windows 98, 2000
Workstation, 2000 Advanced Server и XP). Были развернуты также машины
Linux (Red Hat 8 и 9 Professional, SuSE Enterprise Server 8 и SuSE 8.1
Professional), чтобы оценить кроссплатформные возможности каждого
продукта.
Мы инсталлировали на каждой машине все нужные <заплаты>, но не
устраняли определенное число критических уязвимых мест на целевых
компьютерах. На машинах Windows были оставлены бреши, описанные в
бюллетенях Microsoft Security Bulletins MS03-039 (Buffer Overrun ln RPCSS
Service - переполнение буфера в службе RPCSS - CAN-2003-0715,
CAN-2003-0528 и CAN-2003-0605) и MS03-041 (Vulnerability in Authenticode
Verification - пробелы безопасности в Authenticode Verification -
CAN-2003-0660). При определенных условиях взломщики могут воспользоваться
любым из этих слабых звеньев для запуска произвольных программ на целевых
машинах.
Угроза для машин Linux исходила от уязвимых версий служб OpenSSH
(CAN-2003-0682, CAN-2003-0693 и CAN-2003-0695), возможности экспорта
общего каталога (/usr) без ограничений доступа (CAN-2003-0554) и отказа от
обслуживания в Unix Domain Name Service BIND 9.1.3 (CAN-2003-0400). Эти
пробелы Linux представляют серьезную опасность для данных и сетей.
Все продукты правильно определили уязвимые места Windows, и в их
отчетах были приведены ссылки на соответствующие бюллетени безопасности
Microsoft. Но пробелы Linux стали трудной задачей для некоторых
анализаторов Windows.
В процессе тестирования функций автоматизированного управления
<заплатами> для машин Windows два анализатора, располагающие этим режимом
(GFI LANGuard и MegaPing), показали результаты, отличающиеся (как и у
бесплатного инструмента MBSA) от информации, полученной нами от службы
Microsoft Windows Update. Причиной некоторых различий были методы,
используемые в каждой программе для оповещения о проблемах, например
применение разных выпусков бюллетеней безопасности. В результате
анализатор может сообщить об отсутствии <заплаты>, хотя на самом деле она
была заменена более новой версией. Чтобы избежать таких ошибок, мы
рекомендуем использовать для этой цели специализированные продукты
управления <заплатами>.
И наконец, оценивались способы представления данных и удобство отчетов,
генерируемых анализаторами. Большинство продуктов обрушивает на
администраторов лавину информации в формате, непригодном для сортировки,
группирования и поиска. В механизмах подготовки отчетов и выдачи
результатов должны быть функции выбора определенного критерия, например
имени компьютера, IP-адреса, проблемы или уровня опасности. Очень хорошие
функции корреляции результатов есть в программе Retina, удостоенной
отличия <Редакция советует>, и в пакете SAINT 5. Однако самое лучшее
впечатление произвел очень дорогостоящий продукт Foundstone FS1000
Appliance.
Устранение известных пробелов безопасности
Большинство продуктов обзора построены по одному принципу:
администратор нацеливает инструмент на сеть или часть сети, которую нужно
исследовать в поисках уязвимых мест. Результаты работы программы
представляют собой массив информации о потенциальных проблемах всех типов
на всех участках сети.
Но тем, кто уже знает о конкретных слабых звеньях в защите своей сети,
советуем для их устранения воспользоваться таким инструментом, как
StealthAudit компании Stealthbits Technologies. Направляя запросы
программе StealthAudit, можно сузить круг поиска проблем. Например, если
известно, что на некоторых узлах сети не инсталлированы важные <заплаты>,
перечисленные в бюллетене Microsoft Security Bulletin MS03-039, и
требуется отыскать эти машины, то можно обратиться к StealthAudit с
соответствующим запросом. Это позволяет отказаться от полного, занимающего
несколько часов процесса сканирования, который сильно нагружает сеть и
выдает массу лишней информации.
StealthAudit - исчерпывающая и чрезвычайно глубоко настраиваемая
безагентская программа аудита для сетей Windows. С помощью StealthAudit
можно не только определить необходимые <заплаты>; программа выдает также
разнообразную информацию о сетевых узлах. Интерфейс продукта прост и
чрезвычайно интуитивен.
StealthAudit функционирует на основе заданий (jobs), в которые входят
запрос, результаты и сопутствующий отчет. Запрос можно построить вручную
или с помощью <мастера>. Запросы, выполняемые с использованием таких
ресурсов, как дистанционный доступ к Реестру, WMI (Windows Management
Instrumentation), perfmon statistics, Active Directory и журнал событий,
могут охватывать бесконечное число проблем. В частности, с помощью
запросов можно выяснить параметры регистрации и полномочия пользователей
Windows, обнаружить некорректное закрытие системы, отобразить
блокированные учетные записи и даты истечения пароля. Кроме того, запросы
позволяют идентифицировать Web-серверы, защищенные с использованием
инструмента блокировки IIS, службы, выполнение которых на сетевых
компьютерах связано с серьезным риском, а также уязвимые места NetBIOS.
Для настройки запросов можно даже вручную редактировать исходный текст
XML, что полезно в сложной сетевой среде.
Любые запросы могут применяться для генерации отчетов, которые затем
публикуются на Web-сервере с указанием имени заказавшего отчет
пользователя и гиперссылки на отчет. В программе имеются шаблоны для
подготовки отчетов.
StealthAudit - незаменимый инструмент для сетей любых размеров,
особенно если администратору приходится часто собирать заданную информацию
со многих узлов. На наших импровизированных тестах программа работала
быстро, не перегружая сетевые каналы связи. (Лицензия для 50 узлов,
рекомендуемая изготовителем цена 3000 долл. за один сервер, 3 долл. за
один настольный ПК; для сетей Microsoft Exchange, 300 долл. за один узел,
3 долл. за один почтовый ящик или общедоступную папку. Stealthbits
Technologies, 650-357-2513, www.stealthbits.com.)
www.pcmag.ru
|