Программные средства анализа локальных сетей на предмет уязвимостей

Программные средства анализа локальных сетей на предмет уязвимостей

Александр Кульков, генеральный директор компании "ИнфоОборона"

В НАСТОЯЩЕЕ время практически все компании и организации компьютеризированы и имеют собственные локальные сети с выходом в Интернет. Сотрудники фирм в повседневной работе используют различное программное обеспечение (ПО), которое установлено на рабочих станциях (операционные системы, приложения для работы в Интернет, офисные приложения, различные сетевые сервисы и т.п.). Однако всегда существует опасность, что ПО будет взломано извне. Одной из причин является человеческий фактор: разработкой компьютерных решений занимаются люди, которые по своей природе склонны допускать ошибки. В результате в ПО появляются незащищенные места, которыми пользуются злоумышленники, несанкционированно проникая в систему.

Самостоятельный поиск администратором уязвимостей в сети занимает крайне много времени. Поэтому возникает потребность в использовании программных автоматизированных средств поиска, локализации и анализа локальных сетей - так называемых сканеров безопасности.

Сканеры безопасности

XSpider, компания Positive Technologies

Данный программный продукт предоставляет сетевым администраторам широкие возможности по поиску уязвимостей в безопасности компьютерной сети организации. Однако этот сканер больше подходит для анализа не компьютеров конечных пользователей сети, а серверов баз данных - узлов, на которых происходит хранение и обработка большого объема конфиденциальных данных, а также почтовых и Web-серверов.

XSpider практически полностью идентифицирует сервисы, работающие на различных портах операционной системы, что позволяет выявлять уязвимые версии и контролировать установку последних обновлений ПО. Он проверяет стойкость серверов компании к атакам типа "отказ в обслуживании" (DoS-атака) и ищет уязвимости в парольной защите. Для наглядной иллюстрации можно привести пример из практики, когда один из руководителей компании по разработке Web-сайтов решил проверить уязвимые места одного из созданных Интернет-магазинов с помощью XSpider. Сканер смог подобрать пароль к панели администратора сайта в течение нескольких секунд.

Стоит отметить, что базы данных уязвимостей и механизмов проверок сканера регулярно обновляются. При этом сетевой администратор может самостоятельно планировать сканирование системы - составлять расписание для автоматизированного анализа.

Nessus, компания Tenable Network Security

Данный сканер безопасности имеет клиент-серверную архитектуру. Серверная часть функционирует на Unix-подобных системах и предназначена для проведения проверок, хранения и обновления базы данных уязвимостей, интерпретации отчетов, выдачи рекомендаций. Клиентская часть предназначена для настройки параметров сканирования сети и просмотра результатов анализа.

Благодаря клиент-серверной архитектуре сканер может быть установлен на стратегических узлах сети, что позволяет проводить анализ ее различных участков.

Особенностью Nessus является возможность написания собственных сценариев компьютерных атак с помощью специального языка NASL (Nessus Attack Scripting Language). Таким образом, новая обнаруженная ошибка может быть тут же описана на данном языке и сохранена в базе данных уязвимостей.

Также стоит отметить, что после идентификации установленных на сканируемом объекте сервисов сканер проводит активное воздействие на каждый из них путем имитации компьютерной атаки (активное сканирование), что позволяет наиболее точно сделать вывод о найденной уязвимости.

ISS Internet Scanner, компания Internet Security Systems (IBM)

Решение предназначено для выявления потенциально опасных уязвимостей в программном обеспечении узлов сети и имеет модульную архитектуру, в которую входит сканер, постоянно обновляемая база уязвимостей, консоль и плагины.

Комплекс производит пассивное и активное сканирование, ищет в сети неправильно сконфигурированное коммутационное оборудование, межсетевые экраны, серверы, уязвимости в парольной защите с помощью перебора по словарю (словарь задается на этапе конфигурирования сканера).

При этом сканер может работать в режиме домена, то есть производить проверку сети изнутри, анализируя правильность выставленных разрешений на файлы, папки и ветви реестра, может проверять установленные критические обновления для ПО, создавать собственные правила сканирования на основе уже имеющихся правил или с нуля.

ISS Internet Scanner можно использовать вместе с системами обнаружения и предотвращения компьютерных атак (СОПКА), разработанными компанией Internet Security Systems (в частности, Real Secure). Сканером можно управлять посредством ПО Site Protector, с помощью которого происходит администрирование сенсоров СОПКА.

Shadow Security Scanner, компания SafetyLab

SafetyLab Shadow Security Scanner (далее - SSS) представляет собой активный сканер безопасности сети, имеющий в своем составе более 5000 различных проверок уязвимостей. Данное средство способно проводить анализ таких сервисов, как FTP, SSH, Telnet, SMTP, DNS, Finger, HTTP, POP3, IMAP, NetBIOS, NFS, NNTP, SNMP, Squid, LDAP, HTTPS, SSL, TCP/IP, UDP. Поскольку архитектура данного продукта базируется на ActiveX (технология связывания и внедрения объектов), профессионалы, которые владеют языками программирования VC++, C++ Builder или Delphi, могут с легкостью расширять возможности SSS, разрабатывая новые модули. В то же время сканер предоставляет доступ к своему ядру с помощью специального API (application programming in terfaces - интерфейс программирования приложений), который позволяет изменять его свойства и наращивать функционал.

К другим особенностям продукта следует отнести высокую скорость работы, возможность создания собственных проверок на уязвимости с помощью специального менеджера, возможность сохранения отчетов в форматах HTML, PDF, XML, RTF и CHM.

Комментарий эксперта

Валерий Андреев, директор по науке и развитию компании ИВК

В данной статье поднимается важная и своевременная тема. Действительно, сегодня наблюдается определенная несанкционированная активность сотрудников по установке и настройке различного программного обеспечения (ПО), не удовлетворяющего общекорпоративным стандартам (правилам). Это весьма распространенное явление, как и полное отсутствие каких-либо стандартов на предприятиях. Несанкционированная установка недоверенного ПО плюс неправильная его настройка расценивается обычно как внутренняя угроза, чаще всего осуществляемая умышленно.

Совершенно верно в статье подмечается тот факт, что часто устанавливается не только недоверенный, но просто плохо написанный и неизвестно где БЕСПЛАТНО скачанный софт. Именно он является основой для осуществления успешной внешней атаки, так как может содержать неизвестные автору, но известные внешнему нарушителю недокументированные возможности.

Таким образом, получается типичная атака с внутренним "инсайдером", которую непросто отразить. Для этого и применяются указанные программные средства, обеспечивающие мониторинг и сигнализацию администратору о несанкционированной прикладной (и сетевой) деятельности внутреннего нарушителя. Особое значение приобретают такие средства, как сканеры безопасности, имеющие возможность пресекать такую деятельность, которые работают в контексте межсетевого экранирования. Самым известным открытым пакетом, как уже отмечалось в статье, является, безусловно, ХSpider. Залог успеха его использования состоит не в помощи тех же хакеров, а в умении с ним работать и регулярном обновлении необходимых для его работы баз данных.