Сетевая "полиция"

Результаты тестирования продуктов

Краткие сведения о продуктах

Чтобы ночью к вам не пробрались воришки, повесьте на дверь хороший замок. Хотите чувствовать себя еще спокойнее - живите в хорошо охраняемом районе. Подобными принципами руководствуются и при обеспечении защиты сети. Роль входных замков выполняют средства защиты серверов и такие логические средства, как системы паролей. Но все это - лишь верхушка айсберга под названием "система защиты". Чем сложнее среда, тем больше потенциальных "узких мест" в ее защите. Найти их можно с помощью специальных аудиторских пакетов, которые, действуя в качестве сетевой "полиции", помогают выявить слабые места системы защиты и поддерживать ее на уровне принятых стандартов.

Мы рассмотрели четыре продукта, предназначенных для ревизии системы защиты в операционных системах NetWare и Windows NT. Все они выполняют несколько функций контроля защиты, но совершенно различными способами.

Пакеты LT Auditor+ компании Blue Lance и AuditTrack компании e.g. Software являются программами текущего контроля за событиями в среде NetWare. Они отслеживают события, позволяют отфильтровывать самые серьезные из них и генерируют отчеты на основе журнала регистрации событий. Продукт Kane Security Analyst (KSA) компании Intrusion Detection сопоставляет события и имеющие отношение к безопасности показатели с набором наилучших из когда-либо достигнутых на практике показателей функционирования сети и формирует отчетный лист с анализом состояния сети. Пакет BindView Enterprise Management System (EMS) компании BindView Development предоставляет наиболее полный среди этих продуктов набор отчетов и видов анализа по системе защиты, обладая при этом наилучшим интерфейсом управления. Он позволяет управлять серверами NetWare 3.X, 4.X и Windows NT с одной консоли. BindView EMS способен гораздо на большее, нежели просто проверка защиты, но в данном обзоре мы сосредоточимся только на этой функции.

Пакеты AuditTrack и LT Auditor+ просто предоставляют вам данные, на основе которых вы сможете определить, что произошло, и прийти к каким-либо выводам.

AuditTrack компании e. g. SoftWare

Пакет AuditTrack является наиболее простым с точки зрения установки и запуска. Его консольный компонент позволяет отфильтровывать любые события, составлять по ним отчеты и диаграммы; слежение за событиями выполняется загружаемым модулем NetWare (NLM) AuditTrack, работающим под управлением NetWare 3.X или 4.X.

Во время первой загрузки NLM его необходимо сконфигурировать, в том числе задать пароль Главного ревизора. Последний предназначен для недопущения выгрузки NLM посторонними людьми, даже если они получили доступ к терминалу. С помощью той же консоли сервера можно, конечно, остановить его, а затем запустить снова без выполнения файла AUTOEXEC.NCF, в котором записана строка загрузки модуля наблюдения. Консоль управления также защищена паролем.

Работать с AuditTrack, как и с LT Auditor+, легко. Оба продукта сообщают о таких происходящих на сервере событиях, как открытие файла, запуск программы, удаление файла, добавление пользователя и изменение его прав. Они обеспечивают интерфейс, позволяющий фильтровать и сортировать события. Оба продукта дают возможность задать аудиторские наборы - совокупности событий, подлежащих контролю. Например, можно получать данные лишь по одному пользователю "Kristin" или только по фактам изменения атрибутов файлов.

Больше трудностей вызывает расшифровка огромного количества данных из отчетов. Помните, как DOS ищет программу сначала в текущей директории, а потом по указанным путям - до тех пор, пока не найдет ее? Так вот, каждый раз, когда один из пользователей запускает какую-либо программу, AuditTrack начинает выдавать сообщение "invalid path or file name" (неправильный путь или имя файла) после каждого безуспешного поиска файла в той или иной директории, пока, наконец, не сообщает о запуске исполняемого файла. Таким образом, на каждое сообщение "file run" (запуск файла программы) приходится в среднем три лишних сообщения об ошибке поиска (в текущем каталоге, в локальном корневом каталоге и, возможно, в локальном пути Windows и сетевом пути).

В этом есть и свои плюсы. Вы сможете определить, насколько эффективно осуществляется доступ к приложениям, и соответственно настроить ваши пользовательские меню и пути поиска. Если перед выполнением любой программы вы получаете 8-9 сообщений типа "файл не найден", вам следует изменить пути, с помощью которых пользователи запускают приложения.

Как AuditTrack, так и LT Auditor+ отслеживают все попытки доступа или перехода к другим экранам посредством утилиты NWAdmin системы NetWare. Например, мы воспользовались NWAdmin, чтобы удостовериться, что пользователи могут изменять свои пароли, и AuditTrack сообщал о факте доступа, даже если никаких изменений не вносилось. Положительная сторона этого состоит в том, что если даже кто-то просто "разнюхивает" обстановку с целью возможного взлома, для вас это не останется незамеченным, однако было бы желательно иметь опцию выдачи только сообщений об изменениях.

Любое отслеженное событие может быть представлено в виде отчета или графика простым щелчком мышью по кнопке на экране. AuditTrack дает возможность устанавливать в качестве аудиторского набора совокупность отслеживаемых событий. Этот набор может состоять из событий только одного вида, например открытия файла, или нескольких, например всех операций над каталогами.

AuditTrack можно сконфигурировать так, чтобы он рассылал предупреждения определенному кругу пользователей, однако более сложные предупреждения без использования дополнительных продуктов реализовать нельзя.

Этот продукт не подходит в качестве корпоративного решения, поскольку управление им осуществляется отдельно на каждом сервере.

LT Auditor+ компании Blue Lance

Как и AuditTrack, пакет LT Auditor+ является простой программой просмотра событий для среды NetWare 3.X и 4.X. Он имеет компоненты NLM и консоли и требует запуска на сервере модуля Btrieve.NLM, который загружается им автоматически. Его интерфейс почти так же интуитивно понятен, как и у AuditTrack.

Хотя лицензии на LT Auditor+ приобретаются по количеству установленных серверов, возможности продукта не ограничиваются составлением отчетов только по одному серверу. С консоли администратора вы можете объединять данные с нескольких серверов и создавать единый отчет. В LT Auditor+ существует также возможность экспорта данных в другие программы, например в Microsoft Excel, для их последующего анализа.

Защитой консоли можно управлять с помощью параметров, задаваемых при запуске программы. Запуск файла LTAUDIT. NLM с ключом /U отменяет возможность его выгрузки без выключения сервера. Еще один ключ делает невидимым экран консоли сервера, однако мы не уверены в ценности такой опции. Продукт использует два модуля (второй модуль NLM данного продукта, LTMERGE.NLM, предназначен для объединения данных с нескольких серверов, и его нельзя скрыть с помощью ключа), поэтому злоумышленник, получивший доступ с консоли, все же будет предупрежден, что программа контроля загружена. Точно так же любому серьезному злоумышленнику потребуется использовать MONITOR.NLM для выяснения того, какие процессы загружены, при этом LTAUDIT будет находиться в памяти. Впрочем, ничего страшного - видимый контроль защиты может послужить средством устрашения.

Еще одним аспектом защиты в некоторых средах является отсутствие защиты паролем на консоли управления; это означает, что сервер должен быть защищен физически.

Анализ данных LT Auditor+ может происходить в двух режимах - сетевом и мобильном, при котором данные загружаются и анализируются в автономном режиме. Для составления отчетов в LT Auditor+ используется механизм Crystal Reports, так что форматы отчетов достаточно хороши, однако их трудно читать на экране, где они первоначально появляются. Отчеты можно просматривать в трех различных масштабах. Однако даже при самом большом увеличении на дисплее VGA с разрешением 640х480 пикселей выбранный шрифт был слишком мелким для чтения, что вынуждало нас распечатывать отчет, - неудобный и слишком долгий процесс, когда требуется изобличить преступника в действии. Если вы используете ПО сс:Mail, механизм Crystal Report может автоматически послать любой отчет по электронной почте.

Несмотря на возможность анализировать отчеты в автономном режиме, нам это продукт понравился меньше, чем AuditTrack. Он "съел" примерно 5 Мбайт оперативной памяти сервера, в то время как для AuditTrack требовалось всего 2 Мбайт. В операциях добавления пользователей и поиска каталогов при фильтрации отчета отсутствует кнопка просмотра; значения нужно вводить в текстовом окне, для чего требуется держать в памяти соответствующий длинный путь к каталогам.

Мы также столкнулись с некоторыми ошибками в работе этого приложения, в том числе повышенным использованием памяти и аварийными остановками нашего сервера NetWare 4.1, вызванными модулями NLM. К сожалению, руководство по этому продукту не имеет систематического указателя, и найти нужный пункт при поиске несправностей было трудно.

Kane Security Analyst компании Intrusion Detection

Продукт KSA выпускается в двух версиях - для NetWare и для Windows NT. Каждая версия представляет собой отдельный продукт и не может работать на сервере другого типа, так что нельзя получить оценку всей сети, если она представляет собой сочетание NetWare и NT. Тем не менее продукты KSA действительно имеют разнообразные аналитические функции. При использовании KSA кажется, будто эксперт по защите из Intrusion Detection сделал мгновенный снимок вашей сети и выдал вам лист с отчетом.

Мы тестировали продукт KSA for Windows NT. Поставщик работает над новой версией продукта для NetWare, которая будет включать в себя поддержку 32-разрядных настольных ПК, однако это ПО еще не было готово к моменту проведения наших испытаний.

Intrusion Detection рекомендует работать с версией для NT на процессоре Pentium с частотой не менее 150 МГц, или даже на рабочей станции с симметричной мультипроцессорной обработкой. На нашем компьютере 486/66 с оперативной памятью 32 Мбайт эта программа работала медленно. Консоль управления не защищена паролем, однако работать с ней достаточно просто.

Этот продукт оценивает систему защиты сети, сопоставляя полученные данные с набором наилучших достигнутых на практике характеристик. Хотя набор по умолчанию основан на опыте производителя, вы можете разработать свой собственный набор характеристик и сохранить его как наилучший.

Чтобы начать использовать KSA, нужно запустить функции оценки. Оценка скорее ориентирована на домен NT, чем на сервер. Результаты первоначальной оценки включают в себя список Top Risks с оценкой наиболее рискованных ситуаций и краткую характеристику степени защищенности вашей сети .

За списком Top Risks следует Report Card (Отчетный лист), в котором оценивается процент сетевых объектов, которые неправильно работают в конкретных категориях. Только эти два отчета можно выводить на экран. Их составление может происходить каждый день или каждые х дней, и они могут быть посланы по электронной почте или распечатаны. Механизм предупредительных сообщений отсутствует.

KSA - это единственный из протестированных нами продуктов, который включает в себя функции составления контрольного плана, что позволяет вам оценивать эволюцию "слабых мест" в защите вашей сети по сравнению с их предыдущим состоянием, хотя представители BindView сообщили нам, что тоже разрабатывают функции составления контрольного плана.

Продукт KSA дает вам полный отчет об управлении, правда, тяжело читаемый, который снабжен титульной страницей, оглавлением и заключительным списком рекомендаций. Report Card является одним из компонентов отчета.

Объем полного отчета о небольшой сети составляет примерно 30 страниц. В отличие от трех других рассматриваемых продуктов, это ПО позволяет распечатывать лишь один отчет об управлении, состоящий из конкретных разделов. AuditTrack, LT Auditor+ и BindView EMS позволяют вам создавать свои собственные отчеты по любому набору информации и сохранять их для повторного использования.

Имеются также вопросы относительно точности проверки, выполняемой KSA. В итоговом отчете по проверке нашего домена NT утверждалось, что тесты по категориям "пароль существует" и "пароль трудноподбираем" успешно пройдены, хотя наши пользователи вообще не имели паролей. Получение этих ошибочных данных было частично обусловлено тем, что пользователю, под именем которого мы входили в систему, не были присвоены требуемые права. Нам бы больше понравилось, если бы продукт выдавал сообщение об ошибке, констатирующее, что тесты на пароль не могут быть выполнены ввиду недостаточных прав, или, что еще лучше, если бы во время инсталляции устанавливались полные права.

Хотя и была выполнена целая серия тестов, выяснить многие детали оказалось трудно. Например, из отчета Security Events (События системы защиты) можно узнать адрес пользователя, создавшего на вашем NT-сервере нового пользователя с правами администратора, но невозможно установить, с какого узла этот пользователь входил в систему, - а ведь это ключевая информация. Причем наличие функции определения адреса несколько неуместно, поскольку ограничения на идентификатор узла расматриваются в Report Card как средство защиты.

KSA обеспечивает более скромный архив протоколов контроля, чем три других продукта, но больше возможностей сопоставления полученных данных с предварительно установленным набором характеристик. Следовательно, этот продукт больше всего подходит администраторам, желающим создать основу для дальнейших действий по обеспечению защиты.

BindView EMS Console компании BindView Development

Из всех протестированных нами продуктов BindView EMS Console со встраиваемым модулем NOSadmin for Windows NT Server обладает наиболее полным набором средств для создания архива отслеживания и анализа защиты. BindView позволяет оценивать защиту серверов Windows NT и NetWare 3.X и 4.X с одной консоли - то, о чем мечтают администраторы смешанных сетей.

Мы тестировали уже выпускающийся компонент для NetWare и бета-версию компонента для Windows NT Server. Консоль управления была установлена на нашей системе Windows 95. Интерфейс пользователя является метафорой папки, и вы можете создать свою собственную папку, хранить в ней любой из нескольких заранее подготовленных отчетов или создавать свои собственные отчеты. Вы можете также сделать вашу папку доступной для других пользователей. Поскольку администратор должен входить в систему с рабочей станции, вводя пароль, то можно либо передать поднаборы информации младшим администраторам системы, либо приобрести дополнительные лицензии на консоли (если вы хотите, чтобы у этих администраторов были свои собственные консоли).

Параметры, за которыми вы хотите следить, определяются путем формирования запроса и ограничения его области действия. Области действия могут быть ограничены конкретным ресурсом, таким как сетевая операционная система, домен или часть древа каталогов. Такой подход отражает истинный характер работы по управлению корпоративной сетью.

Экранный отчет по умолчанию имеет вид таблицы, и хотя он не очень красив, но зато удобен в использовании. Двойной щелчок мышью на одной из записей вызывает появление хорошо организованной подробной информации об этой записи. Команда на распечатку любой из таблиц влечет за собой генерацию отчетов с полным контролем за форматированием и размещением данных. Вы можете быстро создать исчерпывающий набор отчетов по параметрам системы защиты, включающих в себя оценки, советы и протокол работы. При форматировании по умолчанию генерируются отчеты презентационного уровня.

Имеются заранее определенные формы отчетов, подходящие для ОС NetWare и NT и предоставляющие массив аналитических данных, например по не соответствующим стандартам наименованиям, невидимым для Novell Directory Services объектам, защите доменов или пользователям, которые последний раз осуществляли вход в систему месяц или более тому назад. Вы можете создать свой собственный запрос, фильтр и область действий, записать эти параметры и запрограммировать их на автоматическую работу.

В отличие от трех других продуктов, BindView ни разу не выдал нам каких-либо ошибочных данных, не были обнаружены и ошибки в программе. Наши единственные - впрочем, небольшие - нарекания были вызваны отсутствием в этом продукте функции минимально возможной конфигурации, а также тем, что структура, являющаяся основой базы данных на консольной рабочей станции, представляет собой Btrieve. Мы предпочли бы нечто более открытое, чтобы гуру баз данных на крупных узлах могли манипулировать данными для объединения их, скажем, с данными отдела снабжения.

Подводя итоги

В целом, мы были разочарованы возможностями всех протестированных продуктов в области контроля защиты. "Зрелый" продукт для контроля за безопасностью должен был бы поддерживать множество серверов и сетевых операционных систем с одной консоли управления, обеспечивать гибкие средства составления отчетов, хранить данные о протоколах работы в открытой базе данных и быть самым защищенным приложением в самой сети. Необходимо, чтобы сервисные процессы, такие как NLM, было трудно выгрузить, а консоль требовала аутентификацию перед разрешением доступа.

BindView - оказался единственным продуктом, чьи возможности приближаются к требованиям, предъявляемым к современным сетям. AuditTrack показался нам "застрявшим" на уровне 1991 г., когда все локальные сети работали под NetWare и обычно имели не больше двух серверов. Единственной его современной чертой является то, что он может отслеживать события служб каталогов. LT Auditor+ плохо работает на сервере, совершая множество связанных с памятью ошибок и внезапных аварийных остановок. Несмотря на это, он на один шаг ближе к современным сетям, чем AuditTrack, поскольку может объединять данные со многих серверов для их просмотра с одной консоли. KSA вообще может лишь продемонстрировать, какие пункты должны быть включены в отчет по защите.

Выбор наиболее приемлемого средства для вашей сети зависит от ваших требований. Если вам необходимо лишь отслеживать события NetWare, то вам вполне подойдет AuditTrack или LT Auditor+. Когда вам требуется возможность анализа работы нескольких серверов, выбирайте LT Auditor+; если же вы больше всего озабочены обеспечением бесперебойной работы, берите AuditTrack. В том случае, если вас волнует точность или кросс-платформная поддержка, то у вас нет другого выбора, кроме BindView. Простота его использования, широкий диапазон методов анализа и подробные отчеты, а также функция распределенного управления делают этот продукт явным лидером.

Результаты тестирования продуктов

Краткие сведения о продуктах