 |
Internet Scanner фирмы Internet Security Systems
|
|
|
|
Фирма ISS выпускает комплект прикладных программ SafeSuite, позволяющий выявлять незащищенные участки совместной работы МЭ, Web-серверов, сети и ПК и немедленно устраняющего обнаруженные дефекты [139, НО]. В комплект входят такие средства, как Internet Scanner и программа Taurus, автоматически восстанавливающая защиту. Используя те же технологии, которые применяют хакеры для проникновения в сети компаний, Internet Scanner позволяет выявить до 250 уязвимых точек сети, снижающих эффективность защиты информации [141]. В отличие от известных программ, например SATAN, которая тестирует сеть только "снаружи", или COPS, проверяющей сеть только "внутри", пакет SAFEsuite призван объединить все функции этих программ в единое целое. Одним из результатов работы является перечень обнаруженных недостатков. Для своей работы она использует библиотеку, в которой содержится описание различных уязвимостей информационных систем, а также возможных путей решения проблем безопасности. Другой результат работы - перечень мер, которые необходимо предпринять администратору сети для устранения обнаруженных недостатков.
Internet Scanner поддерживает такие ОС, как AIX 3.2.5, HP-UX 9.0.5, SunOS 4.1.x, Solaris 2.x, Linux 1.2/1.3, а также Windows NT 3.51 (только версии младше 4.3.2) и 4.0 (от версии 4.3.2 и старше), причем компьютер должен иметь не менее чем 16 Мбайт оперативной памяти. Для применения системы Internet Scanner в целях оценки защищенности узлов сети необходим специальный ключевой файл с лицензиями на сканирование определенных IP-адресов. Без этого ключа система работает только в отношении того компьютера, на котором оно установлено.
Текущая версия Internet Scanner позволит администраторам сетей усилить контроль за локальными и удаленными ПК. Internet Scanner представляет собой средство диагностирования, которое имитирует способы нарушения защиты, взятые на вооружение хакерами в Internet. Пакет Internet Scanner обеспечивает пользователей поддержкой и периодически дополняет пакет средствами обнаружения новых уязвимых мест Internet Scanner непосредственно проверяет программы, реализующие протокол IP, МЭ и другие устройства, через которые возможно проникновение хакеров на Web-серверы. Еще эта программа ищет слабые места в защите систем электронной почты, терминалов X Window, сетевой файловой системы. Internet Scanner автоматически тестирует сеть и выводит отчет, который можно просмотреть с помощью Web-браузера. Отчет может быть представлен как в формате HTML, так и текстовом формате. В этом отчете содержатся сведения о конфигурации проверяемых узлов сети, выявленных уязвимостях, а также рекомендации по их устранению.
|
|
|
Internet Scanner можно применять вместе с МЭ и другими средствами фильтрации пакетов, чтобы определять правильность их конфигурирования и соответствие новейшим требованиям защиты.
Список уязвимостей, наличие которых контролирует данная система, охватывает слабые места ПО и АО, которые может использовать как локальный, так и удаленный злоумышленник для воздействия на сеть. По мере появления информации о новых уязвимостях, компания ISS выпускает новую версию пакета, содержащую описания новых уязвимостей. В течение первого года после приобретения Internet Scanner обновление версий производится бесплатно либо через WWW-узел компании ISS (http://www.iss.net), либо через регионального представителя компании ISS.
Любое сканирование уязвимостей производится на основании списка тестов, называемого шаблоном. В поставке системы Internet Scanner существует три типовых уровня (шаблона) тестирования, легкое, среднее и полное. Каждый из этих шаблонов содержит свой список тестов. Пользователь может самостоятельно создавать новые шаблоны, варьируя список тестев по своему усмотрению, Легкое тестирование проводится для выявления основных уязвимостей в сети, например, наличие ресурсов, используемых совместно без аутентификации, и требует для своего выполнения несколько минут. Средний уровень подразумевает тe же действия, что и на легком уровне тестирования, но с добавлением некоторых новых правил. Например, если при легком сканировании РТР-сервиса проводится проверка на наличие только анонимного входа в систему, то на среднем уровне проводится проверка на наличие анонимного входа и доступность к использованию протокола TFTP, Полное тестирование узлов сети проводится а отношении всех уязвимостей, описание которых имеется а библиотеке, занимает достаточно длительный промежуток времени. Например, сеть из четырех компьютеров под управлением сетевой ОС Windows NT 4.0, при наличии Web сервера и МЭ, тестировалась в течение пяти минут в режиме легкого сканирования и двадцати минут в режиме полного сканирования.
|
|
|
Система Internet Scanner включает в себя три компонента, Intranet Scanner, Firewall Scanner и Web Scanner.
Intranet Scanner разработан для тестирования всех серверов и рабочих станций во внутренней сети организации, и осуществляет проверку наличия более чем 140 различного рода уязвимостей системы безопасности в отношении таких служб, как е-mail, FTP, Network File System и NNTP. Например, Intranet Scanner проверит все FTP-серверы внутренней сети на наличие возможности анонимного входа и сообщит администратору системы, тестирующему сеть, о существовании такой возможности. Кроме того, он так же проверит все серверы и рабочие станции, работающие под управлением Windows NT и Windows95, маршрутизаторы и X-терминалы на предмет наличия уязвимостей в системах безопасности.
Intranet Scanner также включает в себя возможность осуществления атак типа "подбор пароля" (Brute Force) и "отказ в обслуживании" (Denial of Service).
Web Security Scanner. Идентификаторы пользователей, номера кредитных карточек - вот самые простые примеры частной информации, хранящейся на Web-серверах компаний.
Одним из наиболее уязвимых мест системы WWW, как уже было отмечено в главе 3, являются программы CGI, которые часто устанавливаются автоматически вместе с Web-сервером. Даже самая незначительная погрешность в настройке этих программ может привести к появлению реальной угрозы нелегального проникновения в сеть. Поэтому требуется проверять все; от настройки CGI-сценария до самого содержания каталога cgi-bin, где хранятся все подобные программы. Web Security Scanner последовательно тестирует каждый CGI-сценарий, проверяя все нюансы, связанные с его работой. Так проводится тестирование на предмет обнаружения несанкционированных входов в систему, существование которых может привести к активации несанкционированных программ, вызывающих сбои в работе всего сервера.
|
|
|
Кроме того, Web Security Scanner осуществляет проверку всей файловой системы Web-сервера, выявляя погрешности в ее структуре и содержании. Очень важным является тот факт, что программа проводит сканирование частных или коммерческих HTML-страниц, доступ к которым защищен паролями. Сканер тестирует сами пароли, с целью выявления "взломанных" и наиболее примитивных паролей (например, состоящих из одной цифры или буквы). При этом все такие пароли помечаются как недостатки в функционировании системы.
Web Security Scanner также проводит проверку тех версий HTTP-серверов, в которых наиболее вероятно наличие недостатков системы защиты. Например, реализации Microsoft IIS версий до 2.0 имеют ошибку, использовав которую можно запускать программы на компьютере, на котором запущен Web-сервер. С точки зрения Web Security Scanner, тестирование HTTP-серверов заключается в отладке сценариев CGI.
Firewall Scanner. Данный сканер программного пакета SAFEsuite предназначен для осуществления тщательной проверки настроек системы МЭ, контролирующей обмен данными между локальными и внешними сетями.
МЭ являются достаточно надежным средством сетевой безопасности, но есть два важных момента, которые делают необходимым использование дополнительных устройств защиты и порождают объективную необходимость в постоянном контроле за функционированием МЭ. Во-первых, специфика такой программы заключается в том. что она защищает сеть исключительно от проникновения извне через глобальные компьютерные сети. Именно поэтому ни в коем случае нельзя полагаться на МЭ как на единственное и уникальное средство защиты компьютерной сети. Разработано и существует большое количество способов "обойти" защитные барьеры. Во-вторых, данное приложение обладает очень существенным недостатком. Дело в том, что при подключении к сети нового компьютера, инсталляции нового сетевого устройства настройки МЭ могут существенно "сбиваться". В динамично меняющихся системах сетевой администратор должен периодически отслеживать "сбои" в их настройке, что достаточно трудно осуществить вручную, так как сбой может оказаться малозаметным. И именно здесь на помощь администратору может прийти Firewall Scanner.
|
|
|
Эта программа предназначена для проверки и контроля за состоянием программных МЭ и выявления слабых мест в их структуре. Весь процесс тестирования проходит при полном контроле со стороны пользователя. Как и все программы SAFEsuite, Firewall Scanner имитирует попытку проникновения в сеть через систему МЭ. Причем можно настроить работу сканера так, что он либо будет последовательно имитировать все известные ему атаки, либо использует какой-то конкретный способ "взлома" сети. Результатом работы сканера является подробный отчет о проведенном тесте, поэтому администратор сети получает полное представление о проблемах, связанных с используемым МЭ.
Пример отчета о сканировании системы приведен ниже:
========== Start of Report ==========
Internet Security Scanner (C) 1992-1997
ISS SAFEsuite Version 4.3.4
By Internet Security Systems, Inc.
Analysis Report
Report of Vulnerabilities
Information by Vulnerability
Admind [High Risk]
Admind allows an intruder to change the password file.
Admind may be running insecurely. To increase security, append '-S 2' to the admind entry in the /etc/inetd.conf file. Restart the inetd process. Solaris Patch ID #: 101384-XX
Was found on the following hosts:
IP Address: xxx.yyy.zzz.sss Hostname: Solaris.host.name
TCP Sequence Predictable [Medium Risk]
If the TCP Sequence is predictable, an intruder can send packets that are forged to appear to come from trusted machines and compromise such services such as Rsh and Rlogin because their authentication is based on IP addresses. The percentage guessed is the likelihood that an intruder could predict the sequence and compromise the system.
Ask your vendor for patches to correct TCP Sequence Prediction.
CERT Advisory: CA-96.21.
Was found on the following hosts:
IP Address: xxx.yyy.zzz.www Hostname: vvindows-nt.host.name
TrivialGuess: 4 out of 4 (100.00%)
Chargen Service [Medium Risk]
Chargen service can be exploited to pass packets back and forth against other services to create a denial of service attack. The attack can eat increasing amounts of network bandwidth causing lose of performance or even total shutdown of the affected network segments.
Disable the chargen service by commenting out the chargen entry in the
/etc/inetd.conf file, then restarting the inetd process.
Was found on the following hosts:
IP Address: xxx.yyy.zzz.fff Hostname: free-bsd.host.name
========== End of Report ==========
В указанном примере были обнаружены и объяснены следующие уязвимости: некорректное использование сервиса Admind на узле, работающем под управлением ОС Solaris, возможность предсказания начального последовательного номера TCP-соединения на компьютере Windows NT и возможность реализации атак, вызывающих отказ в обслуживании, направленных на службы Chargen на хосте под управлением FreeBSD (в приведенном отчете по понятным причинам не указаны реальные IP-адреса).
|
|
|
SATAN
SATAN реализован в виде скрипта к системе WWW и может быть задействован через интерфейсы Mosaic или Netscape. Обычно эти программы действуют по принципу антивирусных программ, проверяя большинство известных слабых мест. Если даже тестирование не покажет проблем, то не стоит обольщаться. Злоумышленники - люди неглупые, а любое ПО содержит ошибки.
Созданная Дэном Фармером и Витсе Венема одна их первых некоммерческая программа защиты SATAN (Security Administrator Tool for Analyzing Networks - инструмент ответственного за безопасность для анализа сетей) работает под управлением ОС Unix и осуществляет проверку любой компьютерной сети, подключенной к Internet [142]. SATAN сообщает пользователю этой сети об уязвимых местах в ее защитных механизмах и предлагает способы их устранения.
SATAN свободно распространяется в Internet, создавая режим свободного доступа к информации по вопросам сетевой безопасности. Она имеет удобный пользовательский интерфейс. Панель управления облегчает доступ ко всем сервисным возможностям программы. До запуска программы необходимо установить параметры проверки, заполнив несколько простых форм (например, имя файла для хранения собранных данных; компьютеры, подлежащие проверке т.п.). Важной частью SATAN являются конфигурационные файлы, позволяющие настроить программу для работы на конкретном виде оборудования. Программа проверяет такие сервисы, как FTPD, NFS, NIS, RSH, sendmail, X server.
Проведению тестирования предшествует выявление каналов информационного воздействия, идентификация типа системы и версий сетевых сервисных служб. Полученные сведения используются для извлечения из базы данных об известных уязвимостях соответствующих информационных воздействий, что позволяет обеспечить эффективность тестирования.
При разработке программы использован модульный принцип, при котором пользователь для повышения эффективности имеет возможность добавлять новые тестовые программы. В этом ее слабость - как только выявляется проблема в обеспечении защиты, сразу дается ссылка на соответствующее место в документации, разъясняющее, каким образом хакер может воспользоваться этой слабостью.
В 1996 г, с помощью программы SATAN Дэн Фармер изучил известные узлы (около 2000), принадлежащие банкам, федеральным ведомствам и коммерческим предприятиям. В результате получилось, что были найдены самые известные и самые распространенные пробелы в безопасности, сущность и способы исправления которых описаны много лет назад (с результатами анализа можно ознакомиться ftp://ftp.win.tue.nl/pub/security).
Программа SATAN продолжает использоваться по настоящее время – новая версия этого продута, SATAN Extensions, имеет расширенный набор сканируемых уязвимостей и позволяет проводить более серьезный анализ сетевых сервисов.
3. Программа тестирования Netprobe фирмы Qualix Group
Netprobe является средством администратора безопасности, предназначенным для обнаружения программных уязвимостей в сетевых сервисах в соответствии с поддерживаемой политикой безопасности и выдачи рекомендаций по устранению уязвимостей.
Netprobe обладает следующими возможностями:
• обнаружение, идентификация и исправление уязвимостей в сетевых сервисах;
• оценка уязвимости МЭ и других защитных средств;
• выдача рекомендаций по обеспечению требуемого уровня безопасности.
Netprobe функционирует на рабочей станции Sun SPARC под управлением ОС Scaris 2.x, подключенной к интрасети. Поиск и идентификация уязвимостей в сетевом ПО удаленных систем осуществляется посредством посылки на тестируемые системы соответствующих запросов и анализа ответов. Netprobe позволяет производить параллельное сканирование нескольких систем одновременно, что ускоряет процесс поиска уязвимостей в сети в целом. Процедуру сканирования можно производить в автоматическом режиме периодически, с последующим сравнением отчетов и выявлением изменений в конфигурации сетевых сервисов.
Поиск уязвимостей основывается на базе данных, поддерживаемой Netprobe. Эта база данных содержит широко известные уязвимости сетевых сервисных программ, заключающиеся в некорректной либо небезопасной конфигурации эксплуатируемого программного обеспечения. Netprobe поддерживает обновление базы данных, что подразумевает возможность добавления:
• новых уязвимостей;
• набора запросов, обнаруживающих уязвимости,
• рекомендаций по устранению уязвимостей.
По результатам анализа защищенности сетевых сервисов Netprobe создает подробные отчеты, включающие в себя список обнаруженных уязвимостей, описание возможных угроз и рекомендации по их устранению. Отчеты могут создаваться в форматах текст и HTML. Отчеты в формате HTML содержат ссылки на бюллетени безопасности, описывающие обнаруженные уязвимости, а также ссылки на исправления эксплуатируемого ПО, разработанные его производителями. Механизм просмотра отчетов позволяет фильтровать результаты анализа по адресу определенного компьютера, сети, и другим параметрам. Общение с программой Netprobe производится через графический интерфейс X Window.
NetSonar фирмы WheelGroup
Сканер NetSonar [143] способен не просто идентифицировать IP-адреса в сети, но распознавать хосты (в том числе их ОС) и сетевые устройства, такие как коммутаторы или маршрутизаторы. Категории распознаваемых сетевых устройств таковы: Unix-хосты; Windows NT-хосты; Web-серверы; РТР-серверы; Mail-серверы; МЭ; маршрутизаторы; коммутаторы. Классы тестируемых уязвимостей включают: уязвимости Web, FTP, Mail-серверов; уязвимости по отношению к атакам типа "отказ в обслуживании"; уязвимости, специфичные для конкретных сетевых операционных систем - BSD, AIX, HP-UX, IRIX, Linux, SCO, Solans, Ultrix, UnixWare, Windows NT; уязвимости NFS; уязвимости сервисов
удаленного доступа.
Тестируемые адреса задаются диапазоном (к примеру 198.100.0.2 - 198.100.0.80) и должны быть доступны хосту, с которого производится тестирование. Причем не имеет принципиального значения, каким образом осуществляется доступ к тестируемым хостам: по интрасети или с использованием соединений с глобальной сетью. Такая возможность принципиально важна, поскольку позволяет администратору крупной территориально распределенной корпоративной сети производить ее централизованное тестирование.
В соответствии с одним из сценариев сканирования, предопределенных в системе или заданных пользователем, при тестировании может осуществляться поиск либо всех, либо части уязвимостей. Поскольку процесс тестирования одного хоста занимает лишь несколько минут, имеет смысл использовать режим полного тестирования. Более того, администратор может посредством специализированного языка описания уязвимостей (Vulnerability Description Language) самостоятельно моделировать атаки.
Просмотр результатов тестирования возможен в интерактивном режиме непосредственно из графической оболочки. Данные могут быть представлены в различных проекциях - например, можно просмотреть все уязвимости конкретного хоста, просмотреть все хосты с определенной уязвимостью, либо просмотреть хосты, на которых запущен определенный сервис (к примеру, такой небезопасный сервис, как Telnet).
По результатам тестирования формируется отчет, содержащий всю необходимую информацию об обнаруженных уязвимостях и рекомендации по их устранению. При формировании отчетов возможна различная степень их детализации, так что полученные по итогам проверки защищенности сети документы могут быть полезны как техническому специалисту, так и менеджеру. Определенные сложности могут возникнуть при интерпретации результатов тестирования - насколько серьезны выявленные уязвимости непосредственно для обследуемой информационной системы, могут ли они реально быть использованы для получения несанкционированного доступа или нарушения штатного функционирования конкретной системы. В этом случае вполне обоснованным будет обращение за помощью к специализированным фирмам для проведения совместной оценки защищенности сети.
Сканирование сети производится как изнутри, так и снаружи. Первый вариант позволяет оценить защищенность сети (прежде всего межсетевого экрана) по отношению к атакам, исходящим из внешней сети. Второй – дает возможность выявить уязвимости, доступные злоумышленникам, находящимся в защищаемой сети. Таким образом, подлежат проверке два уровня защиты:
1) внешний - МЭ (proxy-сервер, маршрутизатор), служащий в качестве точки входа из внешней сети;
2) внутренний - защита на уровне сетевых сервисов. Продукт прост в инсталляции и использовании и обладает интуитивно понятным графическим интерфейсом.
5. NetScanTools
NetScanTools – это прикладная программа, которая переносит многие классические сетевые Unix-утилиты в широко распространенную Windows-среду. Перечень этих утилит таков: поиск имен (Nslookup), Ping, Traceroute, Finger, Whois, Time Sync, Daytime, Quote, Chargen, Echo, Ident Server, Winsock Info, проверка баз данных сервисов и протоколов, простой TCP-терминал, NetScanner с интегрированным Whois и устройством проверки действий порта, управление хост-файлом и "Что нового на NWPSW" - просмотрщик исходного текста URL (хост-файл – файл для преобразования компьютерных главных имен в IP-адреса без обращения на сервер имен сетевого провайдера).
Основные функции NetScanTools сводятся к следующему:
• трансляция IP-адреса в имя хоста (hostname), или наоборот (IP должен быть в DNS или WINS);
• нахождение авторизированной DNS для домена;
• выдача списка всех компьютеров, зарегистрированных в домене;
• диагностика сетевых проблем связи с помощью Ping и Traceroute;
• проверка использования имени домена;
• нахождение ответственных людей в домене;
• передача IP-адреса, ищущего активные компьютеры;
• синхронизация компьютерных часов с сетевыми серверами;
• использование TCP-терминала для проверки услуг и по стандартным и по нестандартным TCP-портам.
Основные достоинства NetScanTools таковы:
1. Не нужна MS DOS – ping, traceroute и nslookup берутся из NetScanTools, затем печатают результаты или даже сохраняют их как текстовые файлы на диске.
2. Поддержка рыночных Winsocks – NetScanTools работает со стандартными Windows 95 и NT Winsocks и другими, такими как Trumpet™, Moment Internet™ Twtnsock™.
3. Мультиплатформа – NetScanTools устанавливается под Windows 95, Windows NT 3.51 и 4.0, а также под Windows 98 и NT 5.
4. Недорогая система. Можно преобразовывать испытательную версию в полную версию через Internet.
5. Собирает информацию – полезно в прослеживании источника спэма.
6. Решение многих сетевых проблем – NetScanTools, например, может решать DNS-проблемы.
7. Надежность программы.
Круг пользователей программы NetScanTools довольно широк и может быть определен следующими категориями:
• любой, кто получил спэм и хочет с ним бороться;
• сетевые администраторы;
• Internet-провайдеры и их клиенты – персонал отделов технической поддержки;
• OEM-изготовители ПО, которые хотят, чтобы комплект их собственных инструментальных средств поставлялся с вспомогательным ПО;
• большие компании, которые нуждаются в доступном комплекте инструментальных средств на каждом компьютере с установленной ОС Windows 95/NT;
• те, кто имеет полномочия монопольного использования программы и определения реального расположения различных Internet-серверов.
NetScanTools требуеч активного сетевого соединения (TCP/IP) с системой с сервером DNS или сервером WINS. Работает с dial-in PPP/SLIP соединениями или сетевыми платами. Для его установки требуется 1.25Мб дискового пространства.
6. Программа COURTNEY
Чтобы противостоять угрозе НСД, также создана программа COURTNEY (ftp://ciac.llnl.gov/pub/ciac/sectors/iinix/courtney). Она использует утилиту tepdump (ftp://ftp.ee.lbl.gov/.), которая настраивает пользовательский терминал, подключенный к сети, таким образом, чтобы фиксировать передачу информации. Однако для малоскоростных компьютеров и в сетях с большим трафиком (обменом пакетами) может остаться без внимания прохождение некоторых информационных пакетов. Тем не менее COURTNEY обеспечивает первый рубеж обороны.
ПРИЛОЖЕНИЕ 3 Серверы аутентификации
|
|
|
