Internet Scanner: полная картина
Надежная охрана OmniGuard
Stalker в зоне защиты
COPS - сетевой полицейский
Знакомство с новичком
Результаты испытаний
Как проводились испытания
Достоинства и недостатки продуктов

Обеспечение безопасности - ни на минуту не прекращающийся процесс, своего рода борьба за выживание, которую вынуждены вести системные администраторы, препятствуя попыткам вторжения в их систему. И осложняется эта битва тем, что происходит в условиях непрерывного обновления технологий. Мы познакомились с возможностями пяти программных продуктов, анализирующих недостатки защиты сети, и выяснили, что один из них достоен самой высокой оценки.

Предлагаем вам позаботиться о соответствующем орудии защиты. Мы изучили возможности трех наиболее известных коммерческих пакетов и двух программ, принадлежащих к категории условно-бесплатного ПО. Эти программные продукты могут проанализировать структуру вашей системы и найти в ней слабые места, что позволит устранить их прежде, чем лазейками в системе безопасности воспользуется какой-нибудь злонамеренный хакер. Некоторые из рассмотренных продуктов пытаются проникнуть в систему, имитируя действия взломщиков, а затем предоставляют вам протокол результатов. Другие следят за работой пользователей и сообщают администратору о подозрительных действиях.

Коммерческие продукты используют различные способы поиска слабых мест в защите сети. Например, программа Internet Scanner компании Internet Security Systems (ISS) ищет недостатки в системе безопасности, с необычайным правдоподобием имитируя действия хакера. Она выполняет свою задачу настолько хорошо, что заслужила звание продукта "мирового класса" (World Class), присуждаемого еженедельником Network World лучшим продуктам, получившим в испытаниях оценку не ниже девяти баллов.

Другой коммерческий продукт, программа OmniGuard/Enterprise Security Manager (ESM), созданная компанией Axent Technologies, представляет собой очень развитый программный пакет, который не только обнаруживает недостатки в системе защиты корпоративной сети, но и устраняет их.

Программа Stalker, разработанная компанией Trusted Infor-mation Systems (прежде имевшая название Haystack Labs), следит за действиями злоумышленников и сообщает о них администратору сети. Однако она может уведомить вас только об уже произошедших нарушениях, т. е. о том, что кто-то использовал - случайно или целенаправленно - слабое место в защите вашей системы.

Условно-бесплатные программы оказались не столь совершенны, но мы все же решили поработать и с ними, поскольку самые первые продукты для анализа системы защиты сети были выходцами именно из этой категории ПО. Определенные достоинства продемонстрировали программы Com-puter Oracle and Password System (COPS) - один из первых пакетов такого рода - и только что созданная программа Asmo-deus. Оба пакета могут дать некоторое представление о проблемах и принципах защиты сетей.

Компания Milkyway Networks отказалась предоставить нам для испытаний продукт SecurIT Audit. В тот момент она заканчивала работу над новой версией пакета, но еще не была готова передать его для тестирования. Мы собирались проверить и работу Security Admi-nistrator Tool for Analyzing Net-works (SATAN), одного из первых пакетов данной категории, который получил довольно противоречивые оценки пользователей. Однако программа не обновлялась в течение последних двух лет, и нам пришлось отказаться от ее испытаний в связи с отсутствием технической поддержки со стороны разработчиков и проблемами при установке и использовании SATAN.

Internet Scanner: полная картина

Каждый из рассмотренных нами продуктов снабжен базой данных, в которой содержатся подробные сведения о наиболее часто встречающихся недостатках в системе защиты сети. Кроме того, большинство поставщиков программ имеет возможность пополнять базы данных своих продуктов по мере появления новой информации.

Благодаря встроенным в пакет Internet Scanner компании ISS брандмауэру Web и программе анализа интрасети администратор получает детальное представление о всех средствах, имеющихся в сети и противостоящих возможным попыткам несанкционированного проникновения в нее извне. Данную программу часто сравнивают с пакетом SATAN, но обширный набор имеющихся в ней тестов и простота установки выгодно отличают Internet Scanner от этого условно-бесплатного продукта.

Internet Scanner работает на платформах Unix и Windows NT. Продукт нацелен прежде всего на поиск "дыр" в системе безопасности сети, а не на определение слабых мест в операционных системах включенных в сеть устройств. Например, имеется очень обширная база данных по недостаткам IP-адресации, которая может пополняться по мере появления новых сведений.

Установить пакет Internet Scan-ner оказалось очень просто. Тем не менее одна из встроенных в пакет функций безопасности может создать некоторые проблемы. Использующий программу администратор должен заранее получить от компании ISS секретный код, соответствующий IP-адресу сетевого компьютера, безопасность которого администратор собирается проанализировать. Но поскольку пакет Internet Scanner можно получить через Internet, секретные ключи помогают предотвратить попытки хакеров просматривать содержимое чужих компьютеров.

Программа Internet Scanner легко настраивается на поиск именно того типа недостатков в защите, который наиболее характерен для вашей сети, однако мы проводили испытания с теми настройками, которые были заданы по умолчанию. Это позволило более корректно сравнить возможности тестируемых пакетов.

Мы проанализировали свою сеть и получили подробные сведения о ней, включая список обнаруженных программой сетевых служб и результаты целого набора тестов, проведенных ею для проверки работы этих служб. Опытному сетевому администратору будет достаточно беглого взгляда на краткий протокол выполнения тестов. Менее опытным администраторам Internet Scanner может предоставить подробный вариант протокола тестирования. Он содержит детальное описание всех проведенных программой операций, их результаты и перечень возможных последствий, связанных с недостатками в защите сети.

Например, в ходе анализа нашей тестовой сети пакет Internet Scanner определил высокую степень риска в структуре файла вызова удаленных процедур (RPC). Программа сообщила, что поскольку анализируемый файл содержит сведения о прикладных программах и не анализирует информацию, получаемую от других RPC, посторонний пользователь может послать этому файлу собственный вызов RPC и создать либо уничтожить любой файл в системе. Программа также уведомила нас, где можно найти средства коррекции данного недостатка.

Надежная охрана OmniGuard

Пакет OmniGuard/ESM компании Axent предназначен для разработки правил безопасности и контроля за их соблюдением при работе пользователей на различных платформах в сети с архитектурой клиент-сервер. Главное внимание уделяется поиску наиболее уязвимых мест в структуре сети.

ESM оказался самым простым в установке из испытанных нами пакетов. Им способен воспользоваться только уполномоченный администратор сети, который обладает соответствующими правами доступа в сеть. Программный продукт анализирует правила безопасности и стратегию защиты сети, сообщая администратору, насколько полно конфигурация включенных в сеть устройств отвечает этим правилам. Программу можно сравнить с доброжелательным и компетентным коллегой, которому вы решили показать результаты своей работы, чтобы получить ее оценку и квалифицированный совет.

Одно из самых больших достоинств ESM - гибкость настройки. Пакет позволяет разрабатывать стратегии защиты для отдельных платформ и сетевых доменов. Последний вариант предполагает, что все машины должны подчиняться единому набору правил безопасности. Сетевой администратор способен выбрать наилучший способ оценки системы безопасности сети, создавая правила безопасности по своему усмотрению. Например, если вас интересует контроль только за атрибутами файлов и работой системы, то программа легко настраивается так, чтобы она следила лишь за этими параметрами. Имеются также несколько задаваемых по умолчанию вариантов стратегии безопасности, основанных на общих принципах безопасной работы сети. Чтобы результаты работы пакетов оказались сопоставимыми, мы воспользовались именно этими встроенными вариантами и нашли их вполне удовлетворительными.

Результаты проведенного программой анализа оказались чрезвычайно полезными. Она выдала список недостатков, касающихся безопасности операционной системы, на которые администратору следует обратить внимание. Также был обнаружен целый ряд слабых мест в системе, каждое из которых имело разную степень потенциальной опасности. Конечно, опытный администратор способен выявить многие из этих "дыр" и без помощи программы, но быстрый тщательный анализ ESM, несомненно, облегчает процедуру проверки надежности системы защиты. С точки зрения делового процесса, программа экономит время и деньги.

Пакет ESM позволяет ознакомиться с результатами анализа как в интерактивном режиме (непосредственно по окончании его работы), так и спомощью отчета, формат которого может быть задан администратором системы. Предоставляя отчет в интерактивном режиме, программа указывает наиболее существенные недостатки значками красного цвета, менее значимые - желтым цветом, а области, к которым нет никаких претензий, - зеленым.

Просматривая отчет из файла, администратор способен получить подробную информацию о каждом из обнаруженных недостатков. Например, в отчете может быть отмечено, что некоторые бюджеты ссылаются на несуществующие каталоги, и это противоречит принятой стратегии безопасности. Файл отчета содержит также рекомендации по принятию мер для устранения недочетов и описание того, какие последствия возможны, если администратор не предпримет соответствующих действий. Процедура оценки серьезности слабых мест аналогична используемой в программе Internet Scanner.

Одним из больших достоинств пакета OmniGuard/ESM является то, что он в состоянии автоматически устранять обнаруженные недостатки. Можно также сначала провести анализ системы, изучить результаты, и лишь затем отдать программе команду на устранение найденных недостатков. Такая возможность, безусловно, способна облегчить жизнь перегруженному работой администратору.

Хотя программа ESM была очень полезной для поиска "дыр" в обеспечении безопасности операционной системы, она мало что способна предложить, когда дело касается анализа безопасности сети. Если бы мы испытывали возможности продуктов, ориентированных исключительно на поиск уязвимых мест в операционных системах, то ESM получила бы более высокую оценку.

Stalker в зоне защиты

Другой способ выявить уязвимые места - анализ информации о процессе работы, которую генерирует операционная система. В случае использования операционной системы Unix для этой цели может подойти программа TIS Stalker.

Любой, кто хоть раз пытался разобраться в достаточно туманной лексике Unix, быстро оценит достоинства этого продукта. С его помощью анализ протокола работы системы становится значительно проще. Stalker указывает и на возможные бреши в системе защиты. Программу можно настроить на поиск вполне конкретной информации, например на слежение за действиями пользователя в течение указанного времени. Программа способна сообщить администратору и о действиях, предпринятых в отношении указанного объекта (например, сколько раз пользователи пытались открыть защищенный системный файл). Информацию о ходе работы системы можно сохранять в файле для последующего анализа.

Процедура установки Stalker оказалась несложной, хотя некоторые небольшие исправления в программе, помогающей пользователю установить пакет, облегчили бы задачу. Так, программа установки в начале своей работы последовательно подсказывает пользователю, какие действия он должен совершить, но затем внезапно выдает информацию, никак не согласующуюся с тем, что написано в справочной документации. Это оказалось одним из наиболее крупных недостатков пакета - контроль качества исполнения программы оказался не на должном уровне. Помимо недочетов в документации мы обнаружили в Stalker несколько окон (особенно в той части, которая отвечает за установку пакета), на которых изображения и текст умещались не полностью.

Если не считать упомянутых недостатков, Stalker работал неплохо, предоставляя полезную информацию о том, что происходит в системе во время ее работы. Если вы ознакомитесь с двумя примерами, которыми снабжена программа, то быстро поймете, как ей пользоваться. Один из примеров демонстрирует, как с помощью анализа информации о работе системы можно выследить злоумышленника, похитившего электронное сообщение, которое адресовано главному администратору компании. Правда, этот пример - всего лишь учебный, поэтому не позволяет судить о некоторых возможностях анализа, доступных при работе программы в реальных условиях.

В ходе наших испытаний Stal-ker выдал неплохой отчет, включающий в себя анализ обнаруженных подозрительных действий. Обнаруженные программой действия и их авторы были вполне отчетливо обозначены в отчете, генерируемом системой слежения за незаконными действиями ("Misuse Detector Events Report"). Программа также предоставила протокол работы системы, который был бы незаменим в том случае, если бы мы захотели возбудить дело против злоумышленников, пытавшихся вторгнуться в нашу систему.

При работе с программой Stalker следует помнить, что функция слежения за действиями системы должна быть постоянно включена. Это требование кажется вполне разумным, однако многие администраторы отключают функцию слежения, считая, что она поглощает ресурсы системы.

COPS - сетевой полицейский

Если вы не хотите включать функцию слежения в Unix, то основные данные об уязвимых местах вашей системы можно получить с помощью условно-бесплатной программы COPS. Одним из самых крупных недостатков COPS является то, что программа ни разу не обновлялась в течение последних нескольких лет. Тем не менее она способна обнаружить основные недостатки в организации защиты на рабочей станции или сервере и обеспечить неплохой уровень тестирования вашей системы на предмет "дыр" в защите. При этом плата за COPS едва ли превысит затраты на ее загрузку из сети.

В целом, программа представляет собой набор сценариев и программ на языке С, которые проверяют пароли, конфигурацию, операционную систему, наличие двойных идентификаторов пользователя и групповых файлов. COPS также просматривает каталоги пользователей на предмет уязвимых мест, которыми может воспользоваться злоумышленник, и оперативно предоставляет администратору достаточно подробный отчет об анализе системы.

С помощью файлов, загруженных из сети, мы установили программу; настроить ее оказалось несложно. Однако от пользователя требуется, чтобы он имел главный приоритет доступа в сеть и обладал высшими привилегиями при работе с системой.

В ходе тестирования программа обнаружила несколько существенных нарушений правил безопасности, включая открытые системные файлы, что давало злоумышленникам возможность манипулирования всем списком зарегистрированных пользователей. Содержание отчетов, генерируемых COPS, достаточно ограниченно; программа обнаруживает только самые крупные недостатки в системе безопасности платформы Unix. И все же, если вам не по карману более дорогие программы, COPS может оказаться достаточно полезным приобретением.

Знакомство с новичком

Еще одним продуктом для стесненных в средствах администраторов является альфа-версия программы Asmodeus. Этот условно-бесплатный продукт не требует от пользователя никаких особых привилегий при работе с системой, но лишен ограничений, препятствующих несанкционированному анализу системы посторонним лицом. Основные функции программы - сканирование IP-портов сетевых серверов, поиск имеющихся сетевых служб и определение потенциально опасных для целостности информации мест.

При работе на платформе Windows NT установить Asmodeus было несложно, а пользоваться ею - совсем просто, даже несмотря на отсутствие подробной справочной информации. Программа работала очень быстро - независимо от того, велась ли проверка одного IP-адреса или целой группы адресов класса С.

Продукт определял доступные IP-порты и сообщал вполне конкретную информацию о них. Например, программа быстро просканировала порты с 1 по 120, определила связанные с ними службы и сообщила, какие именно службы используются на каждом из портов. Она также способна определить версию ПО такой службы. Например, Asmodeus определила версию утилиты sendmail и выдала предупреждения о потенциальных недостатках ее работы на данном порте. Программа, однако, не пыталась исправить недостатки, предоставив администратору возможность самому заняться этим. Более того, получить отчеты и распечатать результаты анализа оказалось почти невозможно.

Несмотря на отсутствие некоторых основных функций продукт помог быстро оценить готовность нашего испытательного стенда к проведению испытаний других программ. Он позволил нам составить представление о возможностях подобного рода программ и обозначить те недочеты в организации сети, которые должны обнаружить другие испытываемые программы.

Хотя условно-бесплатные программы и получили в наших испытаниях довольно низкие оценки, серьезных недостатков у них почти нет. Кроме того, подобные программы имеют свои преимущества. Стоят они недорого, и получить их можно очень быстро. Однако если вам требуется регулярно проводить анализ системы безопасности сети и получать при этом детальное представление о ее недостатках, следует ориентироваться на коммерческие продукты.

Вполне вероятно, что в ближайшее время на рынке появятся и другие программные пакеты соответствующего назначения. Когда наши испытания уже подходили к концу, стало известно о появлении бета-версий продуктов компаний Netect и WheelGroup, но испытать их мы уже не успели. Можно также ожидать, что функция анализа уязвимых мест системы будет включена в состав брандмауэров и операционных систем.


Джим Кейтс (Jim Kates) - главный специалист по программным технологиям компании Security Experts, специализирующейся на обеспечении безопасности сетевых систем с архитектурой клиент-сервер. Адрес его электронной почты jim@securityexperts.com.

Результаты испытаний

Показатель Весовой коэфф., % Internet Scanner OmniGuard/ESM Stalker COPS Asmodeus
Результаты работы программы 40 10 8 8 5 5
Набор функций 25 9 7 7 5 4
Администрирование 20 9 9 8 4 5
Установка и настройка 15 8 8 6 6 4
Итоговая оценка 9,3 8,0 7,5 5,0 4,6
Примечания. Оценки выставлялись по десятибалльной шкале. Весовой коэффициент указывает на относительную значимость данного критерия и учитывается при выведении итоговой оценки. Знание World Class (продукт "мирового класса") присваивается продуктам, получившим итоговую оценку не ниже 9,0 (его заслужил Internet Scanner).

Как проводились испытания

Для тестирования мы воспользовались сетью крупной телефонной компании во Флориде. В качестве объекта нападений использовалась рабочая станция с архитектурой SPARC, работавшая под управлением операционной системы Sun OS 4. Мы заранее подготовили набор недостатков и уязвимых мест в нашей системе, чтобы проверить, как испытываемые продукты справятся с их идентификацией. Каждый из них определил все недостатки системы безопасности. Продукты, которые смогли найти большее число дополнительных (не созданных заранее) уязвимых мест в нашей тестовой системе, получили более высокие оценки.


Достоинства и недостатки продуктов

Internet Scanner 4.3.3 фирмы Internet Security Systems, www.iss.net/prod/isb.html OmniGuard/Enterprise Security Manager (ESM) 4.4 фирмы Axent Technologies www.axent.com/product/esm/esm.htm Stalker 2.1 фирмы Trusted Information Systems (бывшая Haystack Labs), www.haystack.com/prodfr.htm Computer Oracle and Password Systems (COPS) 1.04 (условно-бесплатное ПО, ftp://cert.org/pub/tools/cops) Asmodeus 0.22 (условно-бесплатное ПО, www.asmodeus.com)
Достоинства
Простота установки
Прекрасно организованные протоколы действий программы и полученных результатов
Хорошо составленные отчеты об обнаруженных недостатках
Самый простой в установке продукт
Очень подробная документация
Возможность коррекции серьезных недостатков в системе безопасности
Хорошие электронные руководства
Быстрый анализ больших объемов информации о работе системы
Возможность настройки на слежение за работой конкретного пользователя или сетевого устройства
Простота настройки и использования
Бесплатное ПО
Простота установки и быстрая работа
Бесплатное ПО
Возможность определения номера версии программных продуктов на IP-портах
Недостатки
Требуется дополнительная программа для определения уязвимых мест в системе Unix
Пользовательский интерфейс нуждается в улучшении
Необходима установка продукта на тестируемой системе
Форматы генерируемых отчетов не очень удобны
Работает только при включенной функции слежения за работой системы
Пользовательский интерфейс "обрезает" изображения и текст на экране монитора
Результаты тестирования системы порою чрезмерно перегружены специальной терминологией
Давно не обновлялся
Мало дополнительных возможностей
Альфа-версия, некоторые функции пока не работают
Ограниченная справочная и техническая документация

Поделитесь материалом с коллегами и друзьями