Технологии защиты информации в сети

Примеры
Задачи

Возрождение

Лекции
Чертеж

Использование сканера безопасности начинается с планирования развёртывания и собственно развёртывания. Поэтому первая группа критериев касается архитектуры сканеров безопасности, взаимодействия их компонентов, инсталляции, управления.

Следующая группа критериев – наиболее интересная – сканирование. Как известно, процесс сканирования узлов сети с использованием сетевого сканера можно разбить на следующие этапы:

1. Идентификация узлов сети

2. Идентификация открытых портов

3. Идентификация служб

4. Идентификация приложений

5. Идентификация операционных систем

6. Идентификация уязвимостей

Группа критериев «Сканирование» охватывает методы, используемые сравниваемыми сканерами для выполнения перечисленных действий, а также другие параметры, связанные с указанными этапами работы сканера.

Следующая группа критериев касается результатов сканирования. Как хранятся результаты, какие могут быть сформированы отчёты на основе этих результатов – вот некоторые параметры, относящиеся к названной группе.

Критерии группы «Обновление и поддержка» позволяют выяснить такие вопросы, как методы и способы обновления, уровень технической поддержки, наличие авторизованного обучения и т. п.

Наконец, к дополнительным критериям можно отнести такие, как наличие сертификатов, интеграция с другими средствами защиты, стоимость.

Таким образом, получилось пять групп критериев. Теперь несколько слов об участниках сравнения.

Краткая характеристика участников

По каждой группе критериев будут приведены результаты сравнения шести популярных сканеров безопасности сетевого уровня. Данные по ним представлены в таблице 1.

Таблица 1. Сетевые сканеры безопасности

Название

Версия

Ссылка

XSpider

7.5 (Build 1611)

http://www.ptsecurity.ru/xs7.asp

Internet Scanner

7.2.21

http://www.iss.net/products_services/enterprise_protection/vulnerability_assessment/scanner_internet.php

Nessus

3.0.1

http://www.nessus.org/download

Развёртывание и архитектура

Первая группа критериев охватывает, как уже было сказано выше, архитектурные особенности сканеров и может учитываться при планировании процесса их развёртывания в сети. Перечень критериев и результаты сравнения выбранных сканеров приведены в табл. 2.

Вариант пробной версии

Прежде чем приобретать продукт, имеет смысл оценить его, скачав пробную версию. Для всех сравниваемых сканеров данная возможность имеется. Пожалуй, стоит лишь выяснить, чем пробная версия отличается от полноценной.

Как видно из таблицы 2, большая часть пробных версий сканеров безопасности имеет ограничения. Например, пробные дистрибутивы сканеров Shadow, Retina и LANguard имеют ограничение по времени использования (15 дней для сканеров Shadow и Retina и 30 дней для сканера LANguard). При этом если перед скачиванием дистрибутива сканера LANguard при заполнении регистрационной формы вы указали адрес E-mail, высылается лицензия, позволяющая продлить использование продукта ещё на 30 дней.

Демо-версия сканера Retina кроме ограничения по времени использования имеет и другие отличия от полной версии (рис. 1), например:

1. В отчётах не показываются варианты устранения найденных уязвимостей.

2. Отсутствует возможность одновременного сканирования сразу нескольких узлов сети.

3. Не работает автоматическое обновление.

4. Нет возможности удалённого управления (построения распределённой архитектуры).

5. Нет возможности создавать свои проверки.

Рис. 1. Ограничения пробной версии сканера Retina.

Некоторые функциональные ограничения имеются и у сканера Shadow, например, невозможность формирования отчётов по результатам сканирования. Пробная версия Internet Scanner ничем не отличается от полноценной, но для её использования необходимо заказать временный лицензионный ключ (обычно на 15 или 30 дней)1. Кроме ограничения по времени, ключ ограничивает и количество сканируемых узлов. Стоит также иметь ввиду, что для оценки продукта потребуется скачать в общей сложности:

1. Дистрибутив (размером 130 Мб).

2. Обновления, вышедшие с момента появления дистрибутива2.

Демо-версия сканера XSpider не имеет ограничения по времени использования, но имеет следующие функциональные ограничения:

1. Отсутствуют потенциально опасные проверки на DoS-уязвимости.

2. Проверки содержимого WWW-серверов на предмет SQL инъекций, инъекций кода, получения файлов и т.д. не содержат детали.

3. Отсутствует целый ряд проверок, использующих оригинальные эвристические механизмы.

4. Отсутствуют проверки, связанные с использованием различных словарей.

5. Планировщик заданий имеет полноценный интерфейс, но не сохраняет созданные расписания.

6. Генерируемые отчеты содержат только резюме по реальному сканированию, в теле отчета — стандартный демонстрационный фрагмент.

7. История сканирований доступна только для общего просмотра, старые результаты нельзя использовать для последующей работы.

Кроме того, демо-версия XSpider, доступная для скачивания с сайта, обновляется достаточно редко (последний раз это было 6 декабря 2005 года), поэтому может не включать проверок, выпущенных с момента её появления3.

Сканер Nessus версии 3 остаётся бесплатным, как и его предшественники. Скачивая Nessus версии 3, вы получаете:

• «Nessus 3 scanning engine» (собственно сам сканер)

• «Static version of the Tenable Registered Feed Plugins» (фиксированный набор проверок)

Дополнительно потребуется скачать графического клиента для Windows или UNIX (кому что нравится). Ситуация с проверками обстоит следующим образом. Существует два варианта получения новых проверок:

• Direct Feed

• Registered Feed

Первый вариант предполагает платную подписку на получение новых проверок (1200$ в год). Второй вариант не предполагает платы за получение проверок, но новые проверки вы получаете через 7 дней после их выхода. В любом случае для получения обновлений требуется регистрация, которую можно сделать после установки продукта.

Краткое резюме: Наиболее значительные отличия пробной версии от полноценной у сканеров XSpider и Retina, самый большой размер дистрибутива – у Internet Scanner.

Наличие аппаратно-программного варианта

В области средств защиты в последнее время наметилась устойчивая тенденция перехода от чисто программных реализаций к программно-аппаратным. Программно-аппаратный вариант продукта включает в себя:

1. Аппаратное обеспечение (компьютер с чётко описанной спецификацией).

2. Установленная и настроенная операционная система (ОС). Обычно это «усечённый» вариант ОС Linux.

3. Собственно сам продукт, в данном случае, сканер безопасности.

Это даёт следующие преимущества:

• Выигрыш по времени (устройство готово к работе сразу после приобретения)

• Надёжность (исключение из используемой ОС ненужных функций)

• Снижение затрат на внедрение, поддержку, обучение и т. п.

И если для межсетевых экранов и систем обнаружения атак программно-аппаратные решения – теперь уже не редкость, то для сканеров безопасности это направление только-только начинает вырисовываться. Из представленных в табл. 2 сканеров только для двух планируется появление программно-аппаратного решения: XSpider и Internet Scanner.

Платформа

В случае выбора в пользу программно-аппаратного решения не возникает вопросов ни по выбору аппаратуры, ни по выбору ОС (и это одно из преимуществ такого решения). Но, поскольку в области сканеров безопасности пока что преобладают программные решения, возникает вопрос выбора ОС. Задача эта тривиальна и не требует подробного рассмотрения (достаточно изучить системные требования).

Что касается сравниваемых сканеров, то все они, за исключением сканера Nessus, работают в среде Windows (в случае распределённой архитектуры речь идёт о серверной части, т. е., собственно о сканере). Отдельно следует сказать об Internet Scanner. Он является самым «разборчивым» и работает только в следующих ОС:

• Windows 2000 Professional SP4

• Windows XP Professional SP1

• Windows 2003 Server

Обсуждение причин выбора именно этих ОС выходит за рамки данного обзора. Дополнительную информацию на этот счёт можно получить в базе знаний компании ISS по адресу: http://iss.custhelp.com/.

Отдельно следует сказать о поддержке Windows XP Professional SP2. На данный момент сложилась странная ситуация: некоторые производители сканеров безопасности не советуют её использовать. Например, в базе знаний компании ISS сказано, что если использовать Windows XP Professional SP2 в качестве платформы для Internet Scanner, то его производительность снизится в 4 раза, а 40% проверок могут не работать вообще.4

Похожая ситуация сложилась и со сканером Retina. Вот фрагмент документации, говорящий не в пользу Windows XP Professional SP2:

«XP SP2 – And finally the stack changes in XP SP2 will cause Connect scans to slow down greatly because of the 10 incomplete connection limit».

Что касается сканера Nessus, то его серверная часть работает в следующих ОС:

• Red Hat Enterprise Server,

• Red Hat Fedora Core,

• SuSE Linux,

• Debian,

• FreeBSD,

а клиентская часть есть как для UNIX, так и для Windows.

Краткое резюме: Вопрос выбора платформы тривиален, тем не менее, следует заметить, что сканеры в процессе работы могут устанавливать большое количество соединений с другими узлами. Поэтому при прочих равных условиях лучше делать выбор в пользу

«клиентских» вариантов ОС: Professional, Workstation и т. п. Кроме того, на данный момент следует брать в расчёт поддержку Windows XP SP2 и Windows 2003 Server SP1.

Наличие распределённой архитектуры

Это, пожалуй, самый главный параметр данной группы. Система анализа защищённости может иметь распределённую архитектуру, в этом случае она состоит как минимум из двух типов компонентов:

• Агент (сервер)

• Консоль (клиент)

Собственно сканером при этом является серверная часть (агент). Наличие распределённой архитектуры добавляет гибкость и масштабируемость при размещении сканера безопасности в корпоративной сети, особенно в большой, территориально-распределённой. Довольно часто сканирование приходится проводить с разных «точек зрения», например, демилитаризованную зону можно сканировать как снаружи (через межсетевой экран), так и непосредственно из её сегмента. Возникают ситуации, когда для проведения сканирования «ноутбук» со сканерами безопасности «путешествует» от филиала к филиалу. Часто само перемещение компьютера со сканером и его подключение – целая проблема, не столько техническая, сколько организационная (получение разрешения на доступ в серверную и т. п.). Решением в данном случае следует считать наличие у сканера распределённой архитектуры.

Это настолько важный критерий, что следует остановиться на его описании несколько подробнее. Прежде всего, этот критерий важен для большой сети. Сканирование огромного числа узлов, сканирование с разных точек зрения с последующим сравнением результатов – здесь вряд ли удастся обойтись одним ноутбуком со сканером. В принципе, сам сканер может и не иметь распределённой архитектуры. В этом случае он может иметь возможность подключения к какой-нибудь системе централизованного управления типа NetForensics или SiteProtector5 . Кстати, ни один из рассматриваемых сканеров такой возможности не имеет. Что касается распределённой архитектуры, то, например, сканеры XSpider, Shadow и LANguard её не имеют, а сканер Nessus был «клиент-серверным» фактически с момента появления.

В процессе установки Internet Scanner–а предлагается выбрать два компонента: собственно сканер (сенсор) и локальную консоль. От установки локальной консоли можно отказаться. В этом случае управление может осуществляться с помощью системы SiteProtector (рис. 2). Такую конфигурацию собственно и следует считать распределённой архитектурой.

Наличие распределённой архитектуры и централизованного управления – довольно значительное преимущество. Поскольку не все сравниваемые сканеры его имеют, в процессе подведения итогов критерии, относящиеся к этой области, не учитывались.

Следующие несколько критериев относятся к сканерам, имеющим распределённую архитектуру.

Ланшафтный дизайн