 |
Средства анализа защищённости
|
|
|
|
Арсенал программных средств, посредством которых анализируется защищенность АС, достаточно широк. При этом во многих случаях свободно распространяемые программные продукты ничем не уступают коммерческим. Достаточно сравнить некоммерческий сканер NESSUS с его коммерческими аналогами.
Один из методов автоматизации процессов анализа и контроля защищенности распределенных компьютерных систем состоит в использовании технологии интеллектуальных программных агентов. Система защиты строится на архитектуре консоль/менеджер/агент. На каждую из контролируемых систем устанавливается программный агент, который выполняет соответствующие настройки ПО и проверяет их правильность, контролирует целостность файлов, своевременность установки пакетов программных коррекций, а также выполняет другие полезные задачи контроля защищенности АС. (Управление агентами реализуется по сети программой-менеджером.) Менеджеры являются центральными компонентами подобных систем. Они посылают управляющие команды всем агентам контролируемого ими домена и сохраняют все данные, полученные от агентов в центральной базе данных. Администратор управляет менеджерами при помощи графической консоли, позволяющей выбирать, настраивать и создавать политики безопасности, анализировать изменения состояния системы, ранжировать уязвимости и т.п. Все взаимодействия между агентами, менеджерами и управляющей консолью осуществляются по защищенному клиент-серверному протоколу. Такой подход был применен при построении комплексной системы управления безопасностью организации Symantec ESM.
Другим широко распространенным методом анализа защищенности является активное тестирование механизмов защиты путем эмуляции действий злоумышленника, предпринимающего попытки сетевого вторжения в АС. Для этих целей служат сетевые сканеры, эмулирующие действия потенциальных нарушителей. В основе работы сетевых сканеров лежит база данных, содержащая описание известных уязвимостей ОС, МЭ, маршрутизаторов и сетевых сервисов, а также алгоритмов попыток вторжения (сценариев атак).
|
|
|
Программные средства условно можно разделить на два класса. Первый класс, к которому принадлежат сетевые сканеры, иногда называют средствами анализа защищенности сетевого уровня. Второй класс, к которому относятся все остальные средства, иногда называют средствами анализа защищенности системного уровня. Данные классы средств имеют свои достоинства и недостатки, а на практике взаимно дополняют друг друга.
Для функционирования сетевого сканера необходим только один компьютер, имеющий сетевой доступ к анализируемым системам, поэтому в отличие от продуктов, построенных на технологии программных агентов, нет необходимости устанавливать в каждой анализируемой системе своего (для каждой ОС) агента.
К недостаткам сетевых сканеров можно отнести большие временные затраты, необходимые для сканирования всех сетевых компьютеров из одной системы, и создание большой нагрузки на сеть. Кроме того, в общем случае трудно отличить сеанс сканирования от действительных попыток атак. Сетевыми сканерами также с успехом пользуются злоумышленники.
Системы анализа защищенности, построенные на интеллектуальных программных агентах, потенциально более мощные средства, чем сетевые сканеры. Однако, несмотря на все их достоинства, обращение к программным агентам не может заменить сетевого сканирования, так что эти средства лучше применять совместно. Кроме того, сканеры представляют собой более простое, доступное, дешевое и во многих случаях более эффективное средство анализа защищенности.
|
|
|
Современные сканеры способны обнаруживать сотни уязвимостей сетевых ресурсов, предоставляющих те или иные виды сетевых сервисов. Их предшественниками считаются сканеры телефонных номеров (war dialers), использовавшиеся с начала 80-х годов прошлого века и не потерявшие актуальности по сей день. Первые сетевые сканеры представляли собой простейшие сценарии на языке Shell, сканировавшие различные TCP-порты.
Сегодня они превратились в зрелые программные продукты, реализующие множество различных сценариев сканирования.
Современный сетевой сканер выполняет четыре основные задачи:
- идентификацию доступных сетевых ресурсов;
- идентификацию доступных сетевых сервисов;
- идентификацию имеющихся уязвимостей сетевых сервисов;
- выдачу рекомендаций по устранению уязвимостей.
В функциональность сетевого сканера не входит выдача рекомендаций по использованию найденных уязвимостей для реализации атак на сетевые ресурсы. Возможности сканера по анализу уязвимостей ограничены той информацией, которую могут предоставить ему доступные сетевые сервисы.
Принцип работы сканера заключается в моделировании действий злоумышленника, производящего анализ сети при помощи стандартных сетевых утилит, таких как host, showmount, traceout, rusers, finger, ping и т.п. При этом используются известные уязвимости сетевых сервисов, сетевых протоколов и ОС для реализации удаленных атак на системные ресурсы и осуществляется документирование удачных попыток.
В настоящее время существует большое количество коммерческих и свободно распространяемых сканеров, как универсальных, так и специализированных, предназначенных для выявления только определенного класса уязвимостей. Многие из них можно найти в Internet. Число уязвимостей в базах данных современных сканеров медленно, но уверенно приближается к 1000.
Одним из наиболее «продвинутых» коммерческих продуктов этого класса является сетевой сканер NetRecon компании Symantec, база данных которого содержит около 800 уязвимостей систем UNIX, Windows и NetWare и постоянно обновляется через Web. Рассмотрение его свойств позволит составить представление обо всех продуктах этого класса.
|
|
|
Сканер Symantec NetRecon. Сетевой сканер NetRecon является инструментом администратора безопасности, предназначенным для исследования структуры сетей и сетевых сервисов и анализа защищенности сетевых сред. NetRecon позволяет осуществлять поиск уязвимостей в сетевых сервисах, ОС, МЭ, маршрутизаторах и других сетевых компонентах.
Сканер NetRecon
Программа работает в среде ОС Windows и имеет графический интерфейс, позволяющий определять параметры сканирования, наблюдать за ходом сканирования, генерировать и просматривать отчеты о результатах сканирования. Результаты отображаются в графической и табличной форме в реальном масштабе времени.
Создаваемые NetRecon отчеты содержат информацию о найденных уязвимостях, включая слабость паролей пользователей, подверженность определенных сервисов угрозам отказа в обслуживании, уязвимые для сетевых атак конфигурации ОС и др. Наряду с сообщениями о найденных уязвимостях и их описаниями приводятся рекомендации по их устранению.
Отчет о результатах сканирования позволяет наметить план мероприятий по устранению выявленных недостатков.
Для генерации отчетов в NetRecon используется ПО Crystal Report, предоставляющее средства для просмотра отчетов и их экспорта во все популярные форматы представления данных. Найденные уязвимости ранжируются, при этом каждой из них присваивается числовой рейтинг, что позволяет отсортировать их по степени критичности для облегчения последующего анализа результатов сканирования.
Пример описания уязвимости в отчете, сгенерированном сканером NetRecon, приведен на рисунке. В NetRecon используется следующий формат описания уязвимости (который, однако, является общим для всех остальных сетевых сканеров):
- Vulnerability Name (название уязвимости);
- Risk (уровень риска);
- Description (описание уязвимости);
- Solution (способы ликвидации уязвимости);
- Additional Information (дополнительная информация);
- Links (ссылки на источники информации о данной уязвимости).
NetRecon самостоятельно определяет конфигурацию сети и позволяет выбрать сетевые ресурсы для сканирования. Может осуществляться параллельное сканирование всех сетевых ресурсов, сканирование по диапазону сетевых адресов, сканирование отдельных систем или подсетей. Сеанс сканирования может включать в себя все виды проверок либо отдельные проверки по выбору пользователя. Глубина сканирования определяется продолжительностью сеанса сканирования, которая задается пользователем. Например, проверки, связанные с подбором пользовательских паролей по словарю, сопряжены с существенными временными затратами и не могут быть завершены в течение короткого сеанса сканирования.
|
|
|
Для поиска сетевых уязвимостей в NetRecon используется технология UltraScan. Производимые NetRecon проверки тесно взаимосвязаны и результаты одной проверки используются для выполнения другой. Как и в случае реальных атак, в технологии UltraScan информация об обнаруженных уязвимостях используется для выявления других связанных с ними уязвимостей. Например, если NetRecon удалось получить доступ к файлу, содержащему пароли пользователей, и расшифровать несколько паролей, то эти пароли будут использованы для имитации атак на другие системы, входящие в состав сети.
|
|
|
