0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Сравнение сетевых сканеров безопасности

Сравнение сетевых сканеров безопасности

Архив номеров / 2003 / Выпуск №1 (2) / Сравнение сетевых сканеров безопасности

ДМИТРИЙ НИКСОВ, ПЁТР РУДЕЛЬ

Cравнение сетевых сканеров безопасности

Сканер безопасности – это программное средство для удаленной или локальной диагностики различных элементов сети на предмет выявления в них различных уязвимостей, которые могут быть использованы посторонними лицами для доступа к конфиденциальной информации и нарушения работы системы вплоть до полной потери данных и работоспособности.

Основными пользователями систем аудита безопасности являются профессионалы: сетевые администраторы, специалисты по безопасности и т. д. Простые пользователи тоже могут использовать сканеры, но информация, выдаваемая такими программами, как правило, специфична, что ограничивает возможности ее применения неподготовленным человеком. Сканеры безопасности облегчают работу специалистов, сокращая суммарно потраченное время на поиск уязвимостей.

В принципе любой сканер безопасности не делает ничего сверхъестественного: он просто перебирает все имеющиеся в его базе данных «дырки» (уязвимости) в программном обеспечении и проверяет их наличие на исследуемом компьютере. Конечно, эту работу можно сделать и вручную. Только в этом случае возникает три вопроса.

  • Зачем делать нудную работу вручную, если имеется средство автоматизации?
  • Уверены ли вы, что вам известны все уязвимости, которые следует проверить?
  • Уверены ли вы, что при ручном анализе вы не допустите неточность и не забудете проверить все, что следует?

Эти обстоятельства, на наш взгляд, достаточно убедительны для того, чтобы проголосовать за использование сканера, если вас вообще беспокоит информационная безопасность вашей компьютерной сети. Уверены, что она вам, конечно, небезразлична. Но как показывает практика, и в этом случае у многих остается вопрос:

Зачем честному человеку сканер безопасности?

Не секрет, что сканеры безопасности любят использовать хакеры для поиска «дырок» в сетях своих потенциальных жертв. Хотя можете быть уверены, ни одной компании-производителю никогда бы не пришло в голову делать продукт «под хакеров». Почему – объяснять, конечно, не требуется. Тем не менее частое использование сканеров в неблаговидных целях остается фактом. Отсюда мы можем вывести первый формальный аргумент в пользу использования сканера: тем самым вы можете взглянуть на свою сеть глазами потенциального злоумышленника. Этот аргумент, конечно, может показаться достаточно искусственным и надуманным, отвлекающим от решения прямых задач по обеспечению безопасности сети (настройке сетевых экранов, конфигурированию маршрутизаторов, назначению прав доступа и т. п.). Но это не так, поскольку за ним стоят вполне содержательные идеи.

Главная из них заключается в несовершенстве любого системного и прикладного программного обеспечения. Какие бы многочисленные программно-аппаратные средства ограничения доступа к информации и компонентам сети вы не использовали, вы никогда не можете быть полностью уверены, что сами эти средства свободны от дефектов (уязвимостей, «дырок»), которые могут быть использованы посторонними для нарушения установленного порядка доступа (читай – взлома). Поэтому для полноценной, надежной системы безопасности сети следует не только грамотно планировать ее архитектуру и устанавливать то или иное ПО защиты данных, но и проводить постоянный мониторинг всего сетевого хозяйства на предмет возникающих «дыр».

Именно – возникающих. Уязвимости, по аналогии с живыми объектами, имеют свойство возникать и плодиться даже в рамках одной отдельно взятой сети, и причин этому две. Во-первых, специалисты постоянно выявляют все новые и новые уязвимости в уже существующем ПО. До того момента пока уязвимость не была известна, мы можем, хотя и достаточно условно, полагать ее несуществующей. Но после того как она была опубликована, уже нет никакого разумного оправдания игнорировать ее. Другая причина «плодовитости» уязвимостей заключается в том, что в компьютерной сети достаточно часто может устанавливаться новое ПО. А вместе с ним в сети могут возникать и новые «дыры».

Из всего сказанного следует достаточно очевидный вывод: аудит уязвимостей в сети нужен, причем он должен проводиться на регулярной основе. Как бы обременительно это не звучало, но обеспечение информационной безопасности в сети – это не разовое действие, а постоянный процесс.

К счастью, имеются сканеры безопасности, позволяющие упростить и облегчить этот процесс. Наверное, мы привели достаточно аргументов, чтобы оправдать то время, потраченное вами на изучение приведенного ниже анализа.

Качество работы ядра

Для сравнения были выбраны пять различных сканеров в разном ценовом диапазоне:

Сравнение сетевых сканеров безопасности

Сканер безопасности – это программное средство для удаленной или локальной диагностики различных элементов сети на предмет выявления в них различных уязвимостей. Основными пользователями таких систем являются профессионалы: администраторы, специалисты по безопасности и т.д. Простые пользователи тоже могут использовать сканеры безопасности, но информация, выдаваемая такими программами, как правило специфична, что ограничивает возможности ее использования неподготовленным человеком. Сканеры безопасности облегчают работу специалистов, сокращая суммарно потраченное время на поиск уязвимостей.

Для сравнения были выбраны пять различных сканеров в разном ценовом диапазоне и с разными возможностями: ISS Internet Scanner, XSpider, LanGuard, ShadowSecurityScanner, X-Scan.

Чтобы сравнивать подобные системы недостаточно просто их запустить. Количество якобы проверяемых уязвимостей или их настроек, а также размер программы или её внешний вид не могут являться критериями для оценки качества и фунцкиональных возможностей того или иного сканера. Поэтому для того чтобы создать полноценное представление о работе различных сканеров безопасности, было решено провести их сравнительный тест по выявлению уязвимостей в семи различных операционных системах, часто используемых крупными банками и финансовыми учреждениями: AS/400, Solaris 2.5.1, Compaq/Tandem himalaya K2006 (OS D35), Windows 2000 Server, Windows XP Professional, Linux RedHat 5.2, Bay Networks Router.

Версии тестируемых сканеров (последние доступные на момент проверки):

  • ISS Internet Scanner 6.2.1 с последними апдейтами
  • XSpider 6.01
  • LanGuard 2.0
  • ShadowSecurityScanner 5.31
  • XFocus X-Scan v1.3 GUI

Тестирование каждого сканера проводилось по два раза, тем самым исключая нежелательные возможные ошибки, связанные например, с временной проблемой в сети. Все полученные данные были помещены в таблицу, наглядно показывающую какие уязвимости были найдены тем или иным сканером. Желтым цветом обозначены уязвимости средней тяжести, которые при определенных обстоятельствах могут повлечь за собой серьезные потери, а красным серьезные уязвимости, которые могут привести не только к серьезным потерям, но и к полному разрушению системы. Далее после таблицы идет оценка сканеров с подсчетом результатов сканирования.

Сетевые сканеры безопасности: возможности, принцип работы и передовые решения

Одним из важнейших этапов обеспечения информационной безопасности является идентификация потенциальных рисков. Большинство ИТ-специалистов знают, насколько может быть опасна «брешь» в ОС и приложениях. И чрезвычайно важно найти эти «дыры», или на языке профессионалов — уязвимости, прежде, чем ими смогут воспользоваться недоброжелатели. Для этой цели и были созданы сканеры безопасности.

Сканер уязвимости сети: зачем он нужен?

Продвинутые специалисты по IT-безопасности используют в своей работе специализированное аппаратное или программное обеспечение, сканирующее сеть и ее устройства на предмет обнаружения слабых мест в системе безопасности. Это и есть сканеры уязвимости, или по-другому — безопасности, сети. Они проверяют используемые приложения, ищут «дыры», которыми могли бы воспользоваться хакеры, и предупреждают администратора о зонах риска системы. Грамотно используя сканер уязвимости сети, специалист может значительно усилить сетевую безопасность.

Таким образом, сетевые сканеры направлены на решение следующих задач:

  • идентификация и анализ уязвимостей;
  • инвентаризация ресурсов, таких как операционная система, программное обеспечение и устройства сети;
  • формирование отчетов, содержащих описание уязвимостей и варианты их устранения.

Сканер локальной сети — жизненно необходимое средство для компаний, чья деятельность напрямую связана с хранением и обработкой уникальных баз данных, конфиденциальной информации, ценных архивов. Без сомнения, сканеры сети необходимы организациям в сферах обороны, науки, медицины, торговли, IT, финансов, рекламы, производства, для органов власти и диспетчерских служб — словом, везде, где нежелательна или даже опасна утечка накопленной информации, имеются базы персональных данных клиентов.

Как сетевой сканер локальной сети обеспечивает ее безопасность?

Сканеры уязвимостей сети при своей работе используют два основных механизма. Первый — зондирование — не слишком оперативен, но точен. Это механизм активного анализа, который запускает имитации атак, тем самым проверяя уязвимость. При зондировании применяются методы реализации атак, которые помогают подтвердить наличие уязвимости и обнаружить ранее не выявленные «провалы».

Второй механизм — сканирование — более быстрый, но дает менее точные результаты. Это пассивный анализ, при котором сканер ищет уязвимость без подтверждения ее наличия, используя косвенные признаки. С помощью сканирования определяются открытые порты и собираются связанные с ними заголовки. Они в дальнейшем сравниваются с таблицей правил определения сетевых устройств, ОС и возможных «дыр». После сравнения сетевой сканер безопасности сообщает о наличии или отсутствии уязвимости.

В общем случае алгоритм работы сканеров следующий:

  • Проверка заголовков. Самый простой и быстрый способ на основе сканирования, однако имеющий ряд недостатков. Так, вывод о «провале» делается лишь по результатам анализа заголовков. К примеру, проверяя FTP-сервер, сканер узнает версию обеспечения и на основе этой информации сообщает о возможных уязвимостях. Естественно, специалисты по сетевой безопасности осведомлены о ненадежности этого метода, однако как первый шаг сканирования — это оптимальное решение, не приводящее к нарушению работы сети.
  • Активные зондирующие проверки (active probing check). Это сканирование, при котором не проверяется версия ПО, а сравнивается «цифровой слепок» фрагмента программы со «слепком» уязвимости. По тому же принципу действуют антивирусные программы, сравнивая ПО с имеющимися в базе сигнатурами вирусов. Тоже достаточно быстрый метод, хотя и медленнее первого, с большим коэффициентом надежности.
  • Имитация атак (exploit check). Это зондирование, которое эксплуатирует дефекты в программном обеспечении. Таким образом подается своеобразный импульс некоторым уязвимостям, которые не заметны до определенного момента. Эффективный метод, однако применить его можно не всегда. Так, вероятна ситуация, когда даже имитируемая атака просто отключит проверяемый узел сети.
Читать еще:  Новинки цифрового фото и видео. Июнь 2005

Большинство современных сканеров безопасности сети работает по нижеперечисленным принципам:

  • сбор информации о сети, идентификация всех активных устройств и сервисов, запущенных на них;
  • обнаружение потенциальных уязвимостей;
  • подтверждение выбранных уязвимостей, для чего используются специфические методы и моделируются атаки;
  • формирование отчетов;
  • автоматическое устранение уязвимостей. Не всегда данный этап реализуется в сетевых сканерах безопасности, но часто встречается в сканерах системных. Существует возможность создания резервного сценария, который может отменить произведенные изменения, — например, если после устранения уязвимости будет нарушено полноценное функционирование сети.

Тем не менее каждый сканер из множества представленных сейчас на рынке выделяется своими функциями и возможностями. О них мы и поговорим далее.

Возможности современных программных решений

Одним из главных требований к современным сетевым сканерам уязвимостей, помимо собственно безопасности, является поддержка различных операционных систем. Большинство популярных сканеров — кроссплатформенные (включая мобильные и виртуальные ОС).

Сканеры сети исследуют сразу несколько портов, что снижает время на проверку. И конечно, сканер должен проверить не только операционную систему, но и программное обеспечение, особое внимание уделяя популярным в хакерской среде продуктам Adobe Flash Player, Outlook, различным браузерам.

К полезной функции сканеров нужно отнести и проверку раздробленной сети, что избавляет администратора от необходимости оценивать каждый узел в отдельности и несколько раз задавать параметры сканирования.

Современные сканеры просты в использовании, их работу можно настроить в соответствии с потребностями сети. Например, они позволяют задать перечень проверяемых устройств и типов уязвимостей, указать разрешенные для автоматического обновления приложения, установить периодичность проверки и предоставления отчетов. Получив подробный отчет об уязвимостях, одним нажатием кнопки можно задать их исправление.

Из дополнительных возможностей стоит выделить анализ «исторических» данных. Сохраненная история нескольких сканирований позволяет оценить безопасность узла в определенном временном интервале, оптимально настроить работу программного и аппаратного обеспечения.

Историческая справка

Первый сканер уязвимостей сети появился более 20-ти лет назад, в 1992 году. Он носил имя SATAN и поначалу встретил огромное сопротивление специалистов, не понимающих его истинного предназначения. С тех пор технологии шагнули далеко вперед: сканеры, в отличие от «прародителя», стали кроссплатформенными, менее требовательными к системным ресурсам, более простыми в установке и использовании.

Сравнение сканеров уязвимостей сети

Российский рынок сканеров сейчас огромен, и каждый производитель пытается привлечь на свою сторону большую часть пользователей, обещая широкие возможности при низких ценах. К сожалению, далеко не все ожидания оправдываются. Разберем сильные и слабые стороны сетевых сканеров, возглавляющих экспертные рейтинги.

GFI LanGuard

Одна из компаний-лидеров на рынке информационной безопасности — GFI Software. Компания работает с 1992 года и за это время заслужила репутацию надежной организации, производящей профессиональные продукты для решения широкого спектра ИТ-задач.

GFI LanGuard — программное средство, обеспечивающее централизованную проверку на уязвимости во всей сети. Достоинство сканера в том, что, помимо обнаружения открытых портов, небезопасных настроек и запрещенного к установке ПО, он проверяет обновления и патчи не только ОС (десктопных и мобильных, физических и виртуальных), но и установленного ПО. Сканер уязвимости проверяет все: от серверов до сетевого аппаратного обеспечения, от виртуальных машин до смартфонов.

Закончив сканирование, GFI LanGuard отправляет пользователю полный отчет с характеристиками всех уязвимостей и инструкциями по их ликвидации в ручном режиме. Дружелюбный интерфейс позволяет сразу же закрыть «провал» в защите, исправить настройки, обновить ПО (включая установку недостающих элементов), «снести» запрещенные программы. Сканер сетевой безопасности можно настроить на полностью автономный режим работы, в этом случае он будет запускаться по таймеру, а исправления, разрешенные администратором, будут выполняться автоматически.

Данный сканер уязвимостей сети имеет очень важное отличие от множества конкурентов. Он может автоматически обновлять устаревшее программное обеспечение и устанавливать обновления и патчи на разные операционные системы.

Множество ИТ-специалистов в России выбирают именно GFI LanGuard: не случайно он занимает верхние строчки в рейтингах сетевых сканеров.

Стоимость владения лицензией GFI LanGuard обойдется от 900 рублей на один узел в год. Цена вполне доступна даже для небольшой организации, особенно учитывая, сколько трудовых ресурсов экономит сетевой сканер безопасности.

Nessus

Проект был запущен еще в 1998 году, а в 2003 разработчик Tenable Network Security сделал сетевой сканер безопасности коммерческим. Но популярность продукта не упала. Согласно статистике более 17% пользователей предпочитают именно Nessus. Регулярно обновляемая база уязвимостей, простота в установке и использовании, высокий уровень точности — его преимущества перед конкурентами. А ключевой особенностью является использование плагинов. То есть любой тест на проникновение не зашивается наглухо внутрь программы, а оформляется в виде подключаемого плагина. Аддоны распределяются на 42 различных типа: чтобы провести пентест, можно активировать как отдельные плагины, так и все плагины определенного типа — например, для выполнения всех локальных проверок на Ubuntu-системе. Интересный момент — пользователи смогут написать собственные тесты с помощью специального скриптового языка.

Количество загрузок (а их уже более пяти миллионов) говорит за все отзывы. Nessus — отличный сканер уязвимостей сетей. Но есть у него и два недостатка. Первый — при отключенной опции «safe checks» некоторые тесты на уязвимости могут привести к нарушениям в работе сканируемых систем. Второй — цена. Годовая лицензия может вам обойтись в 114 тысяч рублей.

Symantec Security Check

Бесплатный сканер одноименного производителя. Основные функции — обнаружение вирусов и троянов, интернет-червей, вредоносных программ, поиск уязвимостей в локальной сети. Это онлайн-продукт, состоящий из двух частей: Security Scan, которая проверяет безопасность системы, и Virus Detection, выполняющей полную проверку компьютера на вирусы. Устанавливается быстро и просто, работает через браузер. К сожалению, по итогам многих тестов уступает большинству конкурентов, хотя все свои основные функции выполняет. Согласно последним отзывам, этот сканер сети лучше использовать для дополнительной проверки.

XSpider

Компания Positive Technologies работает на рынке более 10-ти лет и обладает одним из крупнейших исследовательских центров безопасности. У этой корпорации тоже есть свой сетевой сканер — программа XSpider, которая, по заявлению разработчика, может выявить треть уязвимостей завтрашнего дня. Ключевой особенностью этого сканера является возможность обнаружения максимального количества «провалов» в сети еще до того, как их увидят хакеры. При этом сканер работает удаленно, не требуя установки дополнительного ПО. Отработав, сканер отправляет специалисту по безопасности полный отчет и советы по устранению «дыр».

Отдельно отметим систему обновления программных модулей и базы уязвимостей, функции одновременного сканирования большого числа рабочих станций и сетевых узлов, ведение полной истории проверок, встроенную документацию и механизм генерации детализированных отчетов. Также стоит отметить, что XSpider сертифицирован Минобороны и ФСТЭК России.

Стоимость лицензии на этот сканер начинается от 11 тысяч рублей на четыре хоста в год.

QualysGuard

Многофункциональный сканер уязвимостей. Он предоставляет обширные отчеты, которые включают:

  • оценку уровня критичности уязвимостей;
  • оценку времени, необходимого для их устранения;
  • проверку степени их воздействия на бизнес;
  • анализ тенденций в области проблем безопасности.

Фирма-разработчик продукта, Qualys, Inc., широко известна в мировой среде ИТ-специалистов, у которых этот сканер пользуется доверием. Достаточно сказать, что около 50-ти компаний из списка Forbes «Global 100» используют данный продукт.

Облачная платформа QualysGuard и встроенный набор приложений позволяют предприятиям упростить процесс обеспечения безопасности и снизить затраты на соответствие различным требованиям, при этом предоставляя важную информацию о безопасности и автоматизируя весь спектр задач аудита, комплекс-контроля и защиту ИТ-систем и веб-приложений. С помощью данного ПО можно сканировать корпоративные веб-сайты и получать автоматизированное оповещение и отчеты для своевременного выявления и устранения угроз.

Итак, при выборе сетевого сканера безопасности учитывайте перечень его возможностей, но не забывайте соизмерять функционал продукта с потребностями своей организации и ее материальными возможностями. Основное, что нужно в работе сканера, — широкий охват сети проверяемых устройств и узлов, простота в использовании и точность настроек, возможность автоматической работы, которая не будет отвлекать специалистов от повседневных задач. Однако, чтобы обеспечить сохранность данных компании, необходим комплекс мер. В частности, владельцам бизнеса стоит обратить внимание и на программы для корпоративного управления паролями, которые не только помогают надежно хранить данные, но и обеспечивают безопасный обмен информацией между сотрудниками.

Какой корпоративный менеджер паролей выбрать

Большинство современных программных комплексов имеют централизованное управление, т.е. у сотрудника-администратора есть доступ ко всей базе данных — это, несомненно, представляет угрозу безопасности компании. Так что стоит обращать внимание на системы, в которых каждому сотруднику доступны только его записи. Таким решением является корпоративный менеджер паролей KeepKeys: при его использовании увидеть записи без разрешения владельца не сможет даже администратор программы. Это минимизирует риск утраты всех ценных доступов по вине одного или нескольких сотрудников.

В отличие от существующих систем, которые ориентированы на индивидуальное использование, KeepKeys дает возможность предоставить пароль другому пользователю на определенное время или позволить ему управлять своими записями.

Защиту данных KeepKeys обеспечивает благодаря мониторингу сложности паролей, отслеживанию истории изменений, к тому же корпоративные данные защищены ассиметричным алгоритмом RSA 3072, симметричным AES 512.

К другим преимуществам KeepKeys относятся:

  • удобный доступ к личным данным;
  • возможность полной передачи данных от одного сотрудника к другому;
  • возможность коллективного использования доступов;
  • кроссплатформенность.

Выбор сетевого сканера для анализа защищенности сети

>Алексей Марков, к. т. н., доцент,
Сергей Миронов, Валентин Цирлов
ЗАО «НПП «Безопасные информационные технологии»
http://www.npp-bit.ru

Читать еще:  Apple представила 6K-монитор Pro Display XDR стоимостью $4999

Сегодня развитие информационных систем и технологий сопровождается ростом доли угроз, связанных с наличием уязвимостей программных ресурсов. Широкое распространение средств реализации таких угроз, в том числе вирусного типа, делает чрезвычайно актуальным применение различных систем анализа защищенности. При аудите безопасности, аттестации и сертификации информационных систем широко используются сетевые сканеры уязвимостей (vulnerability scanner), позволяющие проводить инвентаризацию сети и идентификацию уязвимостей [1]. В настоящее время на рынке программных средств представлено достаточно много подобных сканеров: от условно-бесплатных и с открытым кодом до специализированных комплексов аудитора информационной безопасности. В данной статье рассмотрены особенности сетевых сканеров, функционирующих в среде Windows.

Возможности сетевых сканеров

Сетевые сканеры — это средства анализа защищенности сети путем сканирования и зондирования сетевых ресурсов с целью выявления их уязвимостей. Применение сканеров позволяет прежде всего решать следующие задачи:

  • инвентаризация ресурсов, включающих устройства сети, ОС, службы и ПО;
  • идентификация и анализ уязвимостей;
  • подготовка отчетных материалов, возможно, с описанием проблем и вариантами их устранения [2-4].

Чтобы проанализировать эффективность решения этих задач, мы выбрали пять сканеров:

  1. «Ревизор сети» 1.2.1.0 («ЦБИ-сервис», http://www.cbi-info.ru);
  2. XSpider 7.0 (Positive Technologies, http://www.ptsecurity.ru);
  3. Retina 4.9.221 (eEye Digital Security, http://www.eeye.com);
  4. Tenable NeWT 2.0 (Tenable Network Security, http://www.tenablesecurity.com);
  5. Internet Scanner 7.0 (Internet Security Systems, http://www.iss.net).

Предпочтение при выборе отдавалось отечественным сканерам, проходящим сертификацию в нашей стране, — XSpider и «Ревизор сети». Выбор Internet Scanner (IS) обусловлен его лидирующим положением по объему продаж и декларируемому количеству обнаруживаемых уязвимостей [5]. Из стоимостных соображений в список был включен широко известный и доступный на некоммерческой основе сканер NeWT (Windows-порт Nessus). Кроме того, был добавлен достаточно распространенный сканер Retina [5, 6]. Все сканеры функционируют в среде Windows и имеют нераспределенную архитектуру (табл. 1).

Таблица 1. Характеристики сравниваемых сетевых сканеров

Отметим, что при испытаниях не ставилась цель провести всестороннее академическое исследование сканеров; не проверялись также возможности сканеров как инструмента хакерских атак. Поэтому в качестве среды испытаний были выбраны типовые объекты информационных систем, в реальности часто подлежащие проверкам по безопасности. Испытательный стенд включал подсеть класса C с рабочими станциями, функционирующими под управлением ОС Microsoft Windows 95/98/NT 4.0 SP1 Server/2000 Professional/Server 2003, MCBC 3.0, Red Hat Linux 7.1. Выбор отечественной защищенной МСВС не случаен — эта ОС рекомендована для построения автоматизированных систем в защищенном исполнении по линии госзаказа. Помимо стандартных служб, использовались почтовые серверы Kerio 5.5.0, Merak 4.4.1, Web-серверы Apache 2.0.50, IIS 2.0, IIS 6.0, FTP-сервер BlackMoon 2.2.3, Microsoft SQL Server 8.00.760. Установка всех средств и систем выполнялась в режимах по умолчанию. Нестандартные серверные компоненты и средства межсетевого экранирования отсутствовали, параметры протоколов стека TCP/IP были установлены в значения по умолчанию.

В ходе тестов некоторые параметры настройки подсистем защиты изменяли в сторону снижения степени безопасности, с тем чтобы контролировать возможности сканеров, позволяющие выявлять ошибки администрирования.

К основным проверкам были отнесены следующие:

  1. Оценка качества сканирования портов и возможности идентификации ОС и сервисов;
  2. Оценка возможности обнаружения уязвимостей;
  3. Анализ удобства интерфейса и полноты формирования отчетов.

Методика оценки

Процедура оценки качества инвентаризации ресурсов была разбита на следующие проверки:

  • сканирование TCP- и UDP-портов;
  • идентификация ОС;
  • идентификация TCP- и UDP-сервисов.

Для первой проверки удобнее использовать сканеры портов (например, nmap), однако сканеры уязвимости определяют активные сетевые сервисы, используя результаты, полученные на этапе сканирования портов. Поэтому данная проверка представляется важной.

Сканирование TCP- и UDP-портов проводилось при фиксированной конфигурации испытательного стенда, затем результаты были сопоставлены с реальным перечнем открытых портов, полученных с использованием штатных средств соответствующей ОС. Экспертные оценки выставлялись следующим образом: +1 балл — правильно определенный открытый порт; -1 — закрытый порт, ошибочно определенный как открытый, или открытый порт, ошибочно определенный как закрытый.

Идентификация ОС — это базовая задача при сборе информации об удаленном компьютере. Качество идентификации ОС служит хорошим показателем возможностей идентификации сервисов в целом, поскольку определение точной версии ОС требует достаточно сложных комплексных методов.

Качество идентификации ОС оценивалось по результатам сканирования в баллах по следующей шкале: +3 балла за точно идентифицированную ОС (с точностью до версии); +1 балл за правильно идентифицированное семейство ОС; 0 за выдачу списка возможных семейств (например, Windows и HP), в котором содержится правильный ответ; -1 балл за неправильно идентифицированную ОС.

Дополнительно был проведен анализ возможностей идентификации ОС с нестандартным набором сетевых сервисов и нестандартными параметрами протоколов стека TCP/IP.

Идентификация сервисов — одна из основных задач любого сканера, так как без корректного определения версий активных сетевых служб невозможно выполнить анализ их уязвимостей. Возможности идентификации сервисов анализировались путем сканирования компьютеров из тестовой подсети, на которых были сконфигурированы дополнительные серверные компоненты. Результаты сканирования сравнивались с реальным перечнем.

Качество идентификации сервисов оценивалось в соответствии со следующей градацией: +3 балла за точно идентифицированный сервис (с точностью до версии); +1 балл за точно идентифицированное семейство сервисов; -1 балл за неидентифицированный сервис; -3 балла за ошибочно идентифицированный сервис.

Выбор системы баллов обусловлен тем, что практическое значение может иметь только точная идентификация TCP- или UDP-сервиса. Идентификация семейства сервисов, наверное, в ряде случаев полезна, однако явно недостаточна.

Качество обнаружения уязвимостей — это основная характеристика сканера безопасности, но она труднее всего поддается формальной оценке. Для анализа были отобраны хорошо известные уязвимости для данных версий продуктов. Оценки выставлялись по следующим правилам: + 2 балла за точно идентифицированную уязвимость; -1 балл за ложное срабатывание; -2 балла за существующую, но не идентифицированную уязвимость.

Было решено не учитывать степень критичности уязвимостей по причине условности такого деления, а также их различия для разных продуктов. При этом очевидно, что любая некорректность при идентификации уязвимостей нежелательна.

При анализе удобства работы учитывались следующие факторы:

  • наличие планировщика (для проведения тестирования по расписанию);
  • возможность создания профилей проверок (пользовательских наборов проверок);
  • возможность генерации отчета для технического специалиста, содержащего подробную информацию о проведенных проверках и их результатах;
  • возможность генерации отчета для руководителя, содержащего обобщенную высокоуровневую информацию об исследованной системе и о результатах проверок;
  • возможность приостановки сканирования;
  • возможность пересканирования отдельных сервисов (что может быть полезно, например, в случае перезагрузки целевого компьютера).

Помимо этого, для каждого из сканеров эксперты выставляли субъективную оценку удобства интерфейса пользователя.

Результаты

Сканирование портов

При сканировании TCP-портов все сканеры, за исключением Internet Scanner, в целом справились со сканированием портов; незначительно лидировал в этом тесте XSpider (табл. 2). В лабораторных условиях продукт ISS показал неожиданно низкий результат.

Результаты сканирования UDP-портов оказались неудовлетворительными для всех сканеров. Лучше других показали себя «Ревизор сети» и Internet Scanner, однако оба сканера выдали ошибочные сообщения при сканировании рабочих станций в среде МСВС. Таким образом, победителей в данном тесте просто нет.

Сравнение сетевых сканеров безопасности

Safety & Security of Software Resource

Сканер-ВС — первый по версии журнала «Безопасность информационных технологий»

В свежем журнале «Безопасность информационных технологий», который издает Федеральное государственное унитарное предприятие «Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации», опубликован анализ трех сканеров тестирования защищенности сетей:

  • Мобильное место специалиста по безопасности «Сканер-ВС»
  • Сетевой сканер безопасности «XSpider»
  • Средство «BackTrack»

В качестве среды (испытательного стенда) тестирования средств контроля защищенности выбирается типовая сеть некоторого объекта информатизации, включающая подсеть класса C с рабочими станциями, функционирующими под управлением распространенных операционных систем: Microsoft Windows XP SP1, Microsoft Windows XP SP2, Microsoft Windows 2003 Server, Slackware Linux. Помимо их стандартных сервисов целесообразно дополнительно использовать веб-сервер Apache, серверы баз данных MySQL, Postgres, ftp-сервер TFTPD, VNC Server, веб-сервер IIS. Установка всех средств и систем выполняется в режимах по умолчанию.

Сравнение проводилось по четырем группам критериев: Сканирования портов, Идентификация ОС, Идентификация сервисов, Идентификация уязвимостей.

Сканер-ВС уверено опередил конкурентов по всем параметрам, с единственным не высоким балом по критерию «Идентификация сервисов».

Эксперты отмечают очень точную идентификацию уязвимостей, а также гибкую политику продаж Сканер-ВС. В частности стоимость средства XSpider выше более чем в два раза — 78 тыс. рублей против 30 тыс. рублей у Сканера-ВС для сети 256 хостов. Кроме того «Сканер-ВС» имеет русскоязычный интерфейс, обладает возможностью планирования проверок и создания профилей проверок, поддерживает обновления баз уязвимостей.

Однако, если рассматривать не только 1 (один) модуль сетевого сканера безопасности из состава Сканер-ВС,а все возможности, то картина в корне меняется. Во-первых Сканер-ВС -это комплексное средство для организации мобильного рабочего места специалиста по безопасности. Сканер-ВС не требует установки на компьютер, он загружается непосредственно с DVD или Flash-носителя по технологии Live. Соответственно никаких влияний на рабочий компьютер не оказывается и не требуется наличие сертифицированной версии ОС. Во-вторых Сканер-ВС обладает практически исчерпывающим списком возможностей для обеспечения функционирования службы информационной безопасности:

  • исследование топологии сети,
  • инвентаризацию сетевых сервисов,
  • сетевой и локального аудит паролей,
  • поиск остаточной информации,
  • гарантированное удаление остаточной информацией,
  • анализ сетевого трафика,
  • контрольное суммирование файлов и папок,
  • аудит обновлений ОС Windows,
  • анализ защищенности беспроводных (WiFi) сетей,
  • антивирусную защиту файлов и папок,
  • аудит общесистемной информации, истории подключений USB-устройств, посещения веб-страниц и других активностей пользователя.

Выбор сетевого сканера для анализа защищенности сети

Алексей Марков, Сергей Миронов, Валентин Цирлов,

Сотрудники НПП «Безопасные информационные технологии» (www.npp-bit.ru)

С развитием информационных систем и технологий растет и число уязвимостей программных ресурсов. Широкое распространение средств реализации угроз, в том числе вирусного типа, обуславливает актуальность различных систем анализа защищенности. При аудите безопасности, аттестации и сертификации автоматизированных систем (АС) часто используются сетевые сканеры уязвимостей, позволяющие проводить инвентаризацию сети и идентификацию брешей. На рынке программных средств представлено довольно много подобных сканеров — от условно бесплатных и с открытым кодом до специализированных комплексов аудитора информационной безопасности. В этой статье рассматриваются особенности сетевых сканеров, работающих в среде Windows.

Читать еще:  HTC Desire S: робовладельцам, без фанатизма

Диаграмма результатов сравнительного анализа сканеров

Общие возможности сетевых сканеров уязвимостей

Сетевые сканеры служат для анализа защищенности сети путем сканирования и зондирования сетевых ресурсов и выявления их уязвимостей. Применение сканеров позволяет решить следующие задачи:

— инвентаризация ресурсов, включающих устройства сети, ОС, службы и ПО;

— идентификация и анализ уязвимостей;

— формирование отчетов, в том числе с описанием проблем и вариантами устранения.

Для оценки эффективности решения этих задач мы исследовали пять сканеров:

— «Ревизор сети» 1.2.1.0 («ЦБИ-сервис»);

— XSpider 7.0 (Positive Technologies);

— Retina 4.9.221 (eEye Digital Security);

— Tenable NeWT 2.0 (Tenable Network Security);

— Internet Scanner 7.0 (Internet Security Systems).

Отбирая продукты на тестирование, мы отдали предпочтение отечественным сканерам, прошедшим сертификацию в нашей стране, — XSpider и «Ревизор сети». Выбор Internet Scanner (IS) обусловлен его лидирующим положением по объему продаж и декларируемому количеству обнаруживаемых уязвимостей (см.: Snyder J. We tested five VA scanners to see how well they illuminate holes in your systems. How Vulnerable? Information Security, March 2003). Из стоимостных соображений был взят для исследования широко известный и доступный на некоммерческой основе сканер NeWT (Windows-порт Nessus). И кроме того, к этому списку был добавлен распространенный сканер Retina (см., например, www.ptsecurity.ru/compare2.asp). Все сканеры функционируют в среде Windows и имеют нераспределенную архитектуру (см. табл. 1).

Таблица 1. Сетевые сканеры

Следует отметить, что в наши цели не входило академическое всестороннее исследование сканеров; не проверяли мы их возможности и как инструмента хакерских атак. Поэтому в качестве среды испытаний были выбраны типовые объекты АС, подлежащие частым проверкам на предмет безопасности в реальной жизни. Испытательный стенд включал подсеть класса C с рабочими станциями, функционирующими под управлением MS Windows 95/98/NT 4.0 SP1 Server/2000 Professional/2003 Server, MCBC 3.0 и Red Hat Linux 7.1. Выбор отечественной защищенной ОС МСВС не случаен, так как она рекомендована для построения АС в защищенном исполнении по линии госзаказа. Помимо стандартных служб дополнительно использовались почтовые серверы Kerio 5.5.0, Merak 4.4.1, Web-серверы Apache 2.0.50, IIS 6.0, IIS 2.0, FTP-сервер BlackMoon 2.2.3 и MS SQL Server 8.00.760. Установка всех средств и систем выполнялась в режимах по умолчанию. Нестандартные серверные компоненты и средства межсетевого экранирования отсутствовали, параметры протоколов стека TCP/IP были установлены в значения по умолчанию.

Для контроля возможностей сканеров по выявлению ошибок администрирования некоторые параметры настройки подсистем защиты в ходе тестов изменялись в сторону снижения степени безопасности.

К основным проверкам были отнесены следующие: 1) оценка качества сканирования портов и возможности идентификации ОС и сервисов; 2) оценка возможностей обнаружения уязвимостей; 3) анализ удобства интерфейса и полноты формирования отчетов.

Методика оценки результатов исследования

1. Оценка качества инвентаризации ресурсов была разбита на следующие проверки:

— сканирование TCP- и UDP-портов;

— идентификация TCP- и UDP-сервисов.

Несмотря на то что для первой проверки удобны сканеры портов (такие, как nmap), сканеры уязвимости определяют активные сетевые сервисы, используя результаты, полученные на этапе сканирования портов. Поэтому данная проверка представляется очень важной.

Сканирование TCP- и UDP-портов проводилось для фиксированной конфигурации испытательного стенда, и затем результаты были сопоставлены с реальным перечнем открытых портов, полученных с помощью штатных средств соответствующей ОС. При этом давались следующие экспертные оценки: +1 за правильно определённый открытый порт; -1, если закрытый порт ошибочно определялся как открытый или открытый — как закрытый.

Задача идентификации ОС является базовой при сборе информации об удалённом компьютере. Качество её выполнения — хороший показатель возможностей по идентификации сервисов в целом, поскольку определение точной версии ОС требует применения сложных комплексных методов.

Качество идентификации ОС оценивалось по результатам сканирования по следующим правилам: +3 балла за точно идентифицированную ОС (с точностью до версии); +1 балл за правильно идентифицированное семейство ОС; 0 баллов за результат выдачи списка возможных семейств (например, Windows и HP), в котором содержится правильный ответ; -1 балл за неправильно идентифицированную ОС.

Таблица 2. Сканирование портов

Дополнительно были проанализированы возможности сканеров по идентификации ОС с нестандартным набором сетевых сервисов и нестандартными параметрами протоколов стека TCP/IP.

Идентификация сервисов является одной из основных задач любого сканера, так как без корректного определения версий активных сетевых служб нельзя выполнить анализ их уязвимостей. Анализ правильности идентификации сервисов проводился путём сканирования компьютеров из тестовой подсети, на которых были сконфигурированы дополнительные серверные компоненты. Результаты сканирования сравнивались с реальным перечнем.

Качество идентификации сервисов оценивалось в соответствии со следующей градацией: +3 балла за точно идентифицированный сервис (с точностью до версии); +1 балл за точно идентифицированное семейство сервисов; -1 балл за неидентифицированный сервис; -3 балла за ошибочно идентифицированный сервис.

Таблица 3. Идентификация ОС

Выбор такой оценочной системы мотивирован тем, что практическое значение может иметь только точная идентификация TCP- или UDP-сервиса. Идентификация семейства сервисов, наверное, в ряде случаев полезна, однако её явно недостаточно.

2. Качество обнаружения уязвимостей — основная характеристика сканера безопасности, но она наиболее трудно поддаётся формальной оценке. Для анализа были отобраны хорошо известные для данных версий продуктов уязвимости. Оценки выставлялись по следующим правилам: +2 балла за точно идентифицированную уязвимость; -1 балл за ложное срабатывание; -2 балла за существующую, но не идентифицированную уязвимость.

Степень критичности уязвимостей по причине условности такого деления, а также их различия для разных продуктов было решено не учитывать. При этом очевидно, что любая некорректность при идентификации уязвимостей нежелательна.

Таблица 4. Идентификация сервисов

3. При анализе удобства работы учитывались наличие планировщика (для проведения тестирования по расписанию), а также возможности:

— создания профилей проверок (пользовательских наборов проверок);

— генерации отчёта для технического специалиста, содержащего подробную информацию о проведенных проверках и их результатах;

— генерации отчёта, содержащего обобщённую высокоуровневую информацию об исследованной системе и о результатах проверок (предназначен для руководителя);

— повторного сканирования отдельных сервисов (что может быть полезно, например, при перезагрузке целевого компьютера).

Помимо этого для каждого сканера эксперты выставляли субъективную оценку удобства интерфейса пользователя.

Результаты сравнительного анализа

По итогам проведенных испытаний были получены следующие результаты.

1. При сканировании TCP-портов все сканеры, за исключением IS, при незначительном лидерстве XSpider в целом справились со сканированием портов. В лабораторных условиях продукт фирмы ISS показал неожиданно низкий результат.

Результаты сканирования UDP-портов у всех сканеров оказались неудовлетворительными. Относительно лидировали здесь «Ревизор сети» и IS, однако и тот и другой выдали ошибочные сообщения при сканировании рабочих станций под МСВС: победителей в данном тесте просто нет.

2. При идентификации ОС сканеры удовлетворительно определили операционную систему линейки Windows, показав менее точные результаты по Linux. Лучшие результаты были у NeWT, который определил все системы с точностью до версии или версии ядра. XSpider стабильно определил семейство ОС. Недостаточно высокие результаты оказались у «Ревизора сети».

Таблица 5. Анализ возможностей по обнаружению уязвимостей

3. При идентификации TCP-сервисов лидерами стали XSpider и NeWT (более 80% правильных откликов). Весьма низкий результат показал IS: ни один сервис не был идентифицирован с точностью до версии.

Результаты идентификации UDP-сервисов были неудовлетворительны для всех сканеров: не идентифицировано и половины сервисов. Значительное количество ошибочно определенных несуществующих сервисов продемонстрировал «Ревизор сети». «Лидерство» XSpider всё же вряд ли можно признать удовлетворительным результатом (победителя в данном тесте опять-таки нет).

4. По результатам анализа уязвимостей в лучшую сторону выделились NeWT, XSpider и Retina при лидерстве первого. Сканер IS в целом показал недостаточно высокие результаты, однако существенно лучше остальных справился с анализом конфигураций механизмов безопасности Windows (некорректные настройки политики паролей и разделяемые ресурсы).

Меньше всего ложных срабатываний отмечено у XSpider и IS. Весьма много их было у «Ревизора сети», обнаружившего уязвимости несуществующих сервисов. Так, даже после корректной идентификации Web-сервера сканер нашёл уязвимости у совершенно другого сервера.

5. Сравнительный анализ генераторов отчетов показал, что все сканеры обеспечивают формирование отчётных форм и экспорт их в HTML, однако наиболее полно этот механизм реализован у IS: отчёт содержит подробные пошаговые инструкции по устранению выявленных уязвимостей, имеет удобную структуру и может быть экспортирован во все распространённые форматы. Чрезвычайно лаконично организован отчёт NeWT.

Относительно интерфейса следует указать, что удобная возможность повторного сканирования отдельного сервиса присутствует только у XSpider. Из наиболее досадных недостатков интерфейса отметим трудно интерпретируемые переводы на русский язык названий служб в «Ревизоре сети», например: «Протокол загрузки сервера», «Протокол пересылки файлов» и др.

Таблица 6. Анализ удобства и полноты интерфейса

Следует отметить недостатки, присущие всем сканерам, а именно: отсутствие возможностей автоматизации исправлений и добавления собственных проверок, а также отсутствие автоматизированного контроля изменений в ресурсах сети после последнего сканирования. Демоверсии продуктов имеются только для XSpider, NeWT и IS.

Полученные в нашем исследовании оценки сканеров проиллюстрированы на диаграмме.

Трудно выделить безусловно лучший сканер безопасности — все они по-разному справляются с различными задачами. Однако можно сделать некоторые выводы.

Все сканеры недостаточно хорошо идентифицируют UDP-сервисы, что, очевидно, связано с особенностями метода UDP-сканирования.

Сканеры лучше работают с ОС линейки Windows NT, нежели Linux. Возможно, этот результат объясняется большей стандартизованностью ОС Microsoft.

Самый дорогостоящий сканер — IS — продемонстрировал в ряде случаев не слишком высокие результаты, тогда как некоммерческий представитель семейства Nessus оказался одним из лучших.

В лабораторных условиях NeWT и XSpider обеспечили наилучшие показатели (разница между ними находится в пределах статистической погрешности), Retina — хорошие результаты, несколько отстают IS и «Ревизор сети».

Таким образом, проведенное исследование позволяет говорить о целесообразности использования нескольких сканеров уязвимостей при аудите безопасности или в ходе аттестационных и сертификационных испытаний АС и межсетевых систем защиты информации.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector