На рубеже XXI века информация стала одним из важнейших "товаров". Обеспечение защиты информации часто становится условием успеха деловых операций. Поэтому проблема обеспечения должной защиты данных достаточно остро встает перед многими организациями. Множество компьютерных специалистов постоянно ломает голову над тем, как исключить возможность проникновения в компьютерные сети профессиональных охотников за секретной информацией и обычных хакеров, воспринимающих "взломы" и проникновения в сети, как путь к вершине "известности".
В начале 90-х гг. компания Internet Security Systems предложила ряд решений в области обеспечения безопасности компьютерных сетей и отдельных компьютеров, выпустив пакет программ Internet Scanner SAFEsuite. Разработанный одним из экспертов по компьютерным системам защиты Кристофером Клаусом, этот пакет должен выявлять "дыры" в системах безопасности Web-серверов, брандмауэров, серверов и рабочих станций на базе ОС Unix, Windows 95 и NT и сообщать о них пользователю. Эти "дыры" SAFEsuite обнаруживает путем имитации всех известных способов, используемых "взломщиками" для проникновения в сеть. Отличительной особенностью пакета SAFEsuite, состоящего из программ Intranet Scanner, Firewall Scanner, Web Security Scanner и System Security Scanner, является его ориентация исключительно на оценку состояния компьютерных систем защиты.
В отличие от известных программ, например SATAN, которая тестирует сеть только "снаружи", или COBS, проверяющей сеть только "внутри", пакет SAFEsuite призван объединить все функции этих программ в единое целое. Одним из результатов работы является перечень обнаруженных недостатков, который, правда, оказывается далеко не полным, когда дело касается перечня "дыр" в системе и способов их устранения. Другим результатом работы является перечень мер, которые необходимо предпринять администратору сети для устранения обнаруженных недостатков. Работать с программами, входящими в этот пакет, довольно просто благодаря удачному графическому интерфейсу (он позволяет осуществлять полный контроль и настройку каждой из входящих в пакет программ-сканеров) а также подробному гипертекстовому описанию, в котором указываются все известные уязвимые места в защитных системах различных компонентов сети.
Особенности пакета SAFEsuite
Данный пакет имеет удобный графический интерфейс и позволяет работать в автоматическом режиме, что дает возможность каждой из программ-сканеров постоянно изучать сеть. Запуск осуществляется путем вызова через cron или sar с одновременным созданием архивов регистрационных файлов. Каждая программа-сканер может быть запрограммирована непосредственно пользователем на определенный режим работы: постоянный, ежедневный и так далее. Сканеры не только выявляют возможные уязвимые места в системах сетевой защиты, но и определяют действия, которые следует предпринять администратору сети для успешной ликвидации подобных "дыр". Сетевому администратору нужно лишь выбрать наиболее действенный способ устранения прорех в системах защиты, благодаря чему экономится много времени, особенно если сканируемая сеть состоит из большого числа компьютеров.
Важно отметить такую особенность сканеров, как отсутствие их обязательной настройки для оценки защиты каждого отдельного компонента сети, - данное программное обеспечение позволяет проводить исследования нескольких компонентов сети одновременно, что значительно увеличивает скорость оценки защиты сети. И наконец, каждый пользователь программного обеспечения SAFEsuite имеет возможность периодически обновлять перечень недостатков, которые каждый из сканеров в состоянии выявить. Такая функция программы особенно актуальна, поскольку, как показывает практика через год после выхода на компьютерный рынок новой программы защиты или появления какой-либо "свежей" версии уже существующей программы все недостатки и пробелы этой программы становятся достоянием "хакеров". Именно поэтому очень важно вовремя позаботиться о пополнении перечня "дыр", которые SAFEsuite призван выявить.
Хотелось бы отдельно остановиться на следующем важном моменте. Программы SAFEsuite распространяются строго по лицензии и работают только при наличии особого ключа-пароля. Это позволяет предотвратить использование программы "хакерами", даже если она попадет к ним в руки. Но, с другой стороны, это затрудняет использование программ по назначению даже в рамках одной компании - подразумевается, что чем меньше людей будут знать пароль, тем лучше. Если технический специалист, занимающийся безопасностью сети, отсутствует на рабочем месте, то никто другой в экстренном порядке не сумеет запустить SAFEsuite в работу, что может привести к неблагоприятным последствиям.
Пакет SAFEsuite работает практически на всех видах операционных систем и платформ: Windows 95, IBM AIX, HP-UX, Sun OS, Sun Solaris, Linux. Для работы сканеров требуется 5 Мбайт пространства на диске и примерно 10 Мбайт для хранения результатов сканирования сети. При этом необходимо иметь в распоряжении минимум 16 Мбайт оперативной памяти, уровень доступа "суперпользователь" и Web-браузер для вывода результатов тестирования на монитор в формате HTML.
Web Security Scanner
В связи с постоянно растущим количеством Web-серверов, созданием коммерческих баз данных и частных разделов на базе Web-страниц становится весьма серьезной проблема обеспечения должной степени защиты подобных информационных источников от несанкционированного доступа. Идентификаторы пользователей, номера кредитных карточек - вот самые простые примеры частной информации, хранящейся на Web-серверах компаний. При этом "хакер" может с легкостью проникнуть в сеть через систему WWW, если уровень защиты сервера будет слишком низким.
Одним из наиболее уязвимых мест системы WWW являются программы CGI, которые часто устанавливаются автоматически вместе с Web-сервером. Даже самая незначительная погрешность в настройке этих программ может привести к появлению реальной угрозы нелегального проникновения в сеть. Поэтому требуется проверять все - от настройки CGI-сценария, до самого содержания каталога cgi-bin, где хранятся все подобные программы. Web Security Scanner последовательно тестирует каждый CGI-сценарий, проверяя все нюансы, связанные с его работой. Так, например, проводится тестирование на предмет обнаружения "дыр", существование которых может привести к активации несанкционированных программ, вызывающих сбои в работе всего сервера.
Кроме того, Web Security Scan-ner осуществляет проверку всей файловой системы Web-сервера, выявляя погрешности в ее структуре и содержании. Очень важным является тот факт, что программа проводит сканирование частных или коммерческих HTML-страниц, доступ к которым защищен паролями. Сканер тестирует сами пароли, с целью выявления "взломанных" и наиболее примитивных паролей (например, состоящих из одной цифры или буквы). При этом все такие пароли помечаются как недостатки в функционировании системы.
И наконец, Web Security Scanner проводит проверку тех версий HTTP-серверов, в которых наиболее вероятно наличие недостатков системы защиты. "C точки зрения" Web Security Scanner тестирование HTTP-серверов заключается в тестировании сценариев CGI.
Firewall Scanner
Данный сканер программного пакета SAFEsuite предназначен для осуществления тщательной проверки настроек системы брандмауэров, контролирующей обмен данными между локальными и внешними сетями, которая в последние годы является основным средством защиты сетей от несанкционированного доступа из глобальных сетей. Брандмауэры, безусловно, являются достаточно надежным средством сетевой безопасности, но хотелось бы упомянуть о двух важных моментах, которые делают необходимым использование дополнительных устройств защиты и порождают объективную необходимость в постоянном контроле за функционированием программ-брандмауэров.
Во-первых, специфика такой программы заключается в том, что она защищает сеть исключительно от проникновения извне через глобальные компьютерные сети. Именно поэтому ни в коем случае нельзя полагаться на брандмауэры как на единственное и уникальное средство защиты компьютерной сети. Разработано и существует большое количество способов "обойти" защитные барьеры. Во-вторых, данное приложение обладает очень существенным недостатком. Дело в том, что при подключении к сети нового компьютера, инсталляции нового сетевого устройства настройки брандмауэров могут существенно "сбиваться". В динамично меняющихся системах сетевой администратор должен периодически отслеживать "сбои" в их настройке, что достаточно трудно осуществить вручную, так как сбой может оказаться малозаметным. И именно здесь на помощь администратору может прийти Firewall Scanner.
Эта программа предназначена для проверки и контроля за состоянием программ-брандмауэров и выявления "дыр" в их структуре. Весь процесс тестирования проходит при полном контроле со стороны пользователя. Как и все программы SAFEsuite, Firewall Scanner имитирует попытку проникновения в сеть через систему брандмауэров. Причем можно настроить работу сканера так, что он либо будет последовательно имитировать все известные ему атаки, либо использует какой-то конкретный способ "взлома" сети. Результатом работы сканера является подробный отчет о проведенном тесте, поэтому администратор сети получает полное представление о проблемах, связанных с используемой программой-брандмауэром.
Intranet Scanner
Intranet Scanner служит для оценки систем безопасности локальных корпоративных сетей, работающих на основе протоколов TCP/IP. Он изучает сеть и систематически ее сканирует на предмет обнаружения уязвимых мест в защите всех компонентов сети, таких как Unix-хост, Windows 95/NT, маршрутизатор, Web-сервер и X-терминалы. Систему безопасности необходимо периодически проверять, иначе она окажется такой же ненадежной, как и самое слабое звено сети.
Вручную сетевые администраторы могут попытаться обеспечить безопасность только тех компьютеров, на которых содержится особо ценная информация (особенно это актуально для сетей с большим количеством машин). "Взломщики" прекрасно знают о подобных проблемах и постоянно ищут лазейки в виде незащищенных компьютеров, например редко используемых факс-серверов и серверов печати. Кроме того, "взломщик" может установить сниферы для перехвата проходящих по сети данных, например паролей. Если хакер использует сетевую машину, то снифер, а также хорошие отношения с сотрудниками компании могут позволить ему получить доступ к компьютерам с ценной информацией. К сожалению, администратор сети просто физически не в состоянии обеспечить контроль за всеми сетевыми устройствами, через которые можно проникнуть в сеть. И здесь администратору может в какой-то мере помочь Intranet Scanner, который позволяет выявить "дыры" и уязвимые места в системах сетевой безопасности.
Процедура тестирования паролей Web в Intranet Scanner несколько отличается от обычного тестирования паролей. Основные сканеры - Intranet, Firewall и Web - тестируют системы защиты "снаружи", используя те способы проникновения в сеть, которые задает администратор. Однако весьма эффективным может оказаться и тестирование паролей извне путем их подбора. Другим способом, применяемым для тестирования паролей и реализованным в System Security Scanner, является настройка на проверку защиты изнутри.
System Security Scanner
Пока эта программа не включена в пакет программ SAFEsuit и распространяется отдельно. Сканер может прилагаться к основному пакету в случае приобретения всех составляющих SAFEsuite. К сожалению, он не включен в графический интерфейс пользователя и поэтому работать с ним приходится из отдельного окна. Это является одним из недостатков SAFEsuite.
Программа System Security Scanner позволяет завершить процесс полной проверки компьютерных систем безопасности. Дело в том, что сканер используется для проверки операционных систем отдельных хостов и компьютеров - программа проводит оценку правильности настройки каждой ОС в отдельности, защиты и уровня доступа к системным и секретным файлам, а также выявляет признаки "взлома" в отдельно взятом сетевом компьютере. В идеале, конечно, было бы весьма полезно проводить анализ ошибок взаимодействия различных сетевых ОС в сети, например, NT- Unix. Возможно, в последующих версиях System Security Scanner эта функция будет предусмотрена.
Отличительной особенностью этой программы является возможность непосредственного выполнения действий по ликвидации уязвимых мест в защитных системах компьютеров и сетей, выявленных в ходе работы каждого из сканеров пакета SAFEsuite. Если сканер настроен на устранение "дыр" в компьютерной защите, то прежде чем начать работать, он создает резервную копию текущих настроек и дополнительно запрашивает разрешение на проведение коррекции системы. После завершения работы программа еще раз тестирует систему, чтобы убедиться в том, что процесс устранения "дыр" прошел успешно. Если же что-то пошло не так как нужно, программа автоматически восстановит сохраненные настройки.
Учитывая, что в последнее время большое распространение получила ОС NT, в ближайшем будущем пакет SAFEsuite будет работать и под управлением этой ОС; скоро появится новая версия, куда будет включен System Security Scanner.
Дмитрий Тимофеев, сотрудник компании NetState. С ним можно связаться по адресу: timosha@web.goldnet.ru.