ДМИТРО Нікс, ПЕТРО Рудель

Cравненіе мережевих сканерів безпеки

Введення по-науковому

Сканер безпеки - це програмний засіб для віддаленої або локальної діагностики різних елементів мережі на предмет виявлення в них різних вразливостей, які можуть бути використані сторонніми особами для доступу до конфіденційної інформації і порушення роботи системи аж до повної втрати даних і працездатності.

Основними користувачами систем аудиту безпеки є професіонали: мережеві адміністратори, фахівці з безпеки і т. Д. Прості користувачі теж можуть використовувати сканери, але інформація, що видається такими програмами, як правило, специфічна, що обмежує можливості її застосування непідготовленою людиною. Сканери безпеки полегшують роботу фахівців, скорочуючи сумарно витрачений час на пошук вразливостей.

Введення по-людськи

В принципі будь-який сканер безпеки не робить нічого надприродного: він просто перебирає всі наявні в його базі даних «дірки» (уразливості) в програмному забезпеченні і перевіряє їх наявність на досліджуваному комп'ютері. Звичайно, цю роботу можна зробити і вручну. Тільки в цьому випадку виникає три питання.

• Навіщо робити нудну роботу вручну, якщо є засіб автоматизації?
• Чи впевнені ви, що вам відомі всі уразливості, які слід перевірити?
• Чи впевнені ви, що при ручному аналізі ви не допустите неточність і не забудете перевірити все, що слід?

Ці обставини, на наш погляд, досить переконливі для того, щоб проголосувати за використання сканера, якщо вас взагалі турбує інформаційна безпека вашої комп'ютерної мережі. Впевнені, що вона вам, звичайно, небайдужа. Але як показує практика, і в цьому випадку у багатьох залишається питання:

Навіщо чесній людині сканер безпеки?

Не секрет, що сканери безпеки люблять використовувати хакери для пошуку «дірок» в мережах своїх потенційних жертв. Хоча можете бути впевнені, жодної компанії-виробнику ніколи б не спало на думку робити продукт «під хакерів». Чому - пояснювати, звичайно, не потрібно. Проте часте використання сканерів в непристойних цілях залишається фактом. Звідси ми можемо вивести перший формальний аргумент на користь використання сканера: тим самим ви можете поглянути на свою мережу очима потенційного зловмисника. Цей аргумент, звичайно, може здатися досить штучним і надуманим, відволікаючим від рішення прямих задач по забезпеченню безпеки мережі (налаштування мережевих екранів, конфігурації маршрутизаторів, призначенням прав доступу і т. П.). Але це не так, оскільки за ним стоять цілком змістовні ідеї.

Головна з них полягає в недосконалості будь-якого системного і прикладного програмного забезпечення. Які б численні програмно-апаратні засоби обмеження доступу до інформації та компонентів мережі ви не використали, ви ніколи не можете бути повністю впевнені, що самі ці кошти вільні від дефектів (вразливостей, «дірок»), які можуть бути використані сторонніми для порушення встановленого порядку доступу (читай - злому). Тому для повноцінної, надійної системи безпеки мережі слід не тільки грамотно планувати її архітектуру і встановлювати ту чи іншу ПО захисту даних, а й проводити постійний моніторинг всього мережевого господарства на предмет виникають «дірок».

Саме - виникають. Уразливості, за аналогією з живими об'єктами, мають властивість виникати і плодитися навіть в рамках однієї окремо взятої мережі, і причин цьому дві. По-перше, фахівці постійно виявляють все нові і нові уразливості в уже існуючому ПЗ. До того моменту поки вразливість була відома, ми можемо, хоча і досить умовно, вважати її неіснуючою. Але після того як вона була опублікована, вже немає ніякого розумного виправдання ігнорувати її. Інша причина «плодючості» вразливостей полягає в тому, що в комп'ютерній мережі досить часто може встановлюватися нове ПЗ. А разом з ним в мережі можуть виникати і нові «дірки».

З усього сказаного випливає досить очевидний висновок: аудит вразливостей в мережі потрібен, причому він повинен проводитися на регулярній основі. Як би обтяжливо це не звучало, але забезпечення інформаційної безпеки в мережі - це не разова дія, а постійний процес.

На щастя, є сканери безпеки, що дозволяють спростити і полегшити цей процес. Напевно, ми навели достатньо аргументів, щоб виправдати той час, витрачений вами на вивчення наведеного нижче аналізу.

Якість роботи ядра

Для порівняння були обрані п'ять різних сканерів в різному ціновому діапазоні:

сканер

Виробник

Розмір

Ціна

ISS Internet Scanner

Internet Security Systems, USA, http://www.iss.net

32,3 Мб

Від 1439 $ до 84600 $

LanGuard

GFI, USA, http://www.languard.com

1,71 Мб

99 $ (для некомерційного використання безкоштовно)

ShadowSecurityScanner

Safety-Lab,

http: // www .safety -lab .com

3,48 Мб

100 $

X-Scan

X-Scan Xfocus, http://www.xfocus.org

1,57 Мб

безкоштовно

XSpider

Positive Technologies, Росія, http://www.ptsecurity.ru

1,07 Мб

безкоштовно

Обмовимося відразу, що сюди увійшли не всі з найбільш відомих на ринку продуктів (немає, наприклад, продуктів Retina від «eEye Digital Security» і NetRecon від «Symantec»), але вибірка, тим не менш, є досить представницькою. Крім того, може виникнути питання про правомірність порівняння комерційних і безкоштовних продуктів. Тут ми хотіли б підкреслити, що в цій частині порівняння ми фокусуємо увагу на змістовній частині роботи сканерів - як багато вразливостей знаходить той чи інший сканер, як багато він дає помилкових спрацьовувань (що також досить суттєво, оскільки вимагає додаткового часу на відсів помилкових діагностик) . Обговорення питань регулярності оновлення та інших аспектів підтримки та супроводу ми залишимо на потім.

Щоб порівнювати системи, подібні сканерів безпеки, недостатньо просто їх запустити. Кількість нібито перевіряються вразливостей, велика кількість налаштувань, а також розмір програми або її зовнішній вигляд не можуть бути критеріями для оцінки якості змістовної роботи того чи іншого сканера. Тому для того щоб створити повноцінне уявлення про роботу різних сканерів безпеки, було вирішено провести їх порівняльний тест по виявленню вразливостей в семи різних операційних системах, часто використовуваних, зокрема, великими банками і фінансовими установами:

• Solaris 2.6.1
• Windows 2000 Server
• Windows XP Professional
• Linux RedHat 5.2
• Compaq / Tandem Himalaya K2006 (OS D35)
• Bay Networks Router
• AS / 400

Версії тестованих сканерів (останні доступні на момент перевірки):

• ISS Internet Scanner 6.2.1 з останніми апдейтами
• LanGuard 2.0
• ShadowSecurityScanner 5.31
• XFocus X-Scan v1.3 GUI
• XSpider 6.01

Тестування кожного сканера проводилося по два рази, тим самим виключаючи небажані можливі помилки, пов'язані, наприклад, з тимчасовою проблемою в мережі. Всі отримані дані були інтегровані в таблицю 1, яка показує, яка інформація була отримана тим чи іншим сканером. Жовтим кольором позначені уразливості середньої тяжкості, які при певних обставинах можуть спричинити за собою серйозні втрати, а червоним - серйозні уразливості, які можуть привести не тільки до серйозних втрат, але і до повного руйнування системи. Решта рядків відносяться до нейтральної інформації про систему, отриманої сканерами.

Таблиця 1. Дані тестування мережевих сканерів для різних операційних систем

На основі таблиць була проведена інтегральна оцінка сканерів за наступною схемою:

• серйозна уразливість: +3 бали
• вразливість середньої тяжкості: +2 бали
• інформація: +1 бал
• помилкова серйозна уразливість: -3 бали
• помилкова вразливість середньої тяжкості: -2 бали
• помилкова інформація: -1 бал

Результат представлений в таблиці 2. Залишаючи осторонь докладні коментарі щодо окремих виявленим уязвимостям, наведемо остаточні дані у вигляді діаграми.

Таблиця 2. Інтегральні результати тестування мережевих сканерів для різних операційних систем

коротке резюме

ISS Internet Scanner - найбільш титулований представник в сімействі розглянутих продуктів - показав себе як завжди на високому рівні, посівши почесне друге місце.

LanGuard з натяжкою можна назвати сканером безпеки. Він дуже добре працює з NetBios, видаючи список ресурсів, сервісів і користувачів. Ця здатність сильно відрізняє сканер від інших, але ось саме тільки ця. На цьому переваги LanGuard закінчуються.

ShadowSecurityScanner практично не відстав від ISS. І це при настільки великій різниці в їх ціні. У програми простий інтерфейс, схожий на інтерфейс сканера Retina. Докладні поради та рекомендації щодо усунення вразливостей легко дозволяють впоратися з проблемами. Мінуси: невелика кількість розпізнаваних вразливостей, набагато більше споживання системних ресурсів при роботі в порівнянні з іншими сканерами. X-Scan - безкоштовний сканер, за можливостями схожий на LanGuard, але трохи його перевершує. Мінуси: не надто читабельний інтерфейс програми, відсутність будь-яких коментарів про знайдені вразливості.

XSpider виявився безперечним лідером, сильно відірвавшись від конкурентів, особливо при пошуку вразливостей в Windows і Solaris. Є у XSpider і істотний мінус: при видачі списку вразливостей виводиться дуже мало пояснювальній інформації, що передбачає високий рівень знань і професіоналізму у фахівця, який використовує цю програму. Ймовірно, це пояснюється тим, що розробник програми - російська компанія Positive Technologies, професійно спеціалізується на послугах із забезпечення безпеки комп'ютерних мереж, робила продукт, виходячи зі своїх внутрішніх потреб, і не особливо піклувалася про масове користувача. Правда, треба віддати їй належне, грошей вона за свій продукт не просить, що дуже приємно, враховуючи його відмінну якість роботи.

думка користувачів

Нещодавно стали доступні дані опитування професійних користувачів, проведені сайтом з інформаційної безпеки SecurityLab.RU, щодо популярності сканерів безпеки (див. http://www.securitylab.ru/_Services/Vote.asp?Archive=109&Poll_ID=4 ). Нам здалося цікавим порівняти результати цього опитування з об'єктивними даними нашого аналізу. Результати опитування наведені в таблиці:

Таблица3. Який сканера язвімостейв и віддаєте перевагу використовувати?

Xspider

56%

Nessus Security Scanner

9%

Retina

7%

Internet Scanner (ISS)

7%

CyberCop Scanner

3%

Typhon II

2%

NSAT

1%

N-Stealth

1%

HackShild

0%

Перелік сканерів помітно відрізняється від протестованих в огляді, але три провідних за даними нашого аналізу представлені і тут. Сканер від ISS поступився другим місцем (мабуть, в силу своєї високої ціни) ShadowSecurityScaner. На першому ж місці залишився XSpider, набравши більше очок, ніж всі конкуренти разом узяті. Ці дані можна розглядати як непряме підтвердження справедливості наведених вище результатів аналізу.

висновок

Підкреслимо ще раз, що в даному матеріалі проводилося порівняння тільки базової функціональності сканерів безпеки. За рамками обговорення залишилися питання, пов'язані з інтерфейсом, зручністю роботи і додатковими можливостями. Ми плануємо звернутися до них в одному з наступних матеріалів.