Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Обзор решений HIP

Майк Фратто

Из всех протестированных продуктов HIP ПО StormWatch компании Okena получило самые высокие оценки, благодаря богатейшему набору средств управления доступом и детализированной регистрации событий, впрочем, соперники - продукты компаний Argus и CA - буквально "наступали ему на пятки".

Как вы поступите, если узнаете, что новоиспеченный "черв" стремительно несется по сети Интернет в направлении вашей корпоративной сети? Скорее всего возведете "защитные стены" с помощью продуктов, предназначенных для поддержания сетевой безопасности. Межсетевые экраны, виртуальные частные сети, антивирусное ПО - все они, безусловно, являются первейшими и необходимыми средствами защиты, равно как и "заплаты", а также соответствующее конфигурирование серверов и приложений, тем не менее, наличие всего лишь одной "трещинки" в вашей "защитной стене" может привести к катастрофе.

Наш совет: преградите "неприятелю" путь, установив защиту именно там, где находятся основные уязвимые места, т. е. на уровне хоста. Продукты, предотвращающие вторжения на хосты (Host Intrusion Prevention - HIP), прикрывают собой ОС, ограничивая список доступных приложениям функций, таких как чтение, запись, исполнение и доступ к сети, защищая тем самым системные ресурсы, в частности, файлы, записи реестра (registry keys), сетевые порты и COM-объекты. В этой статье речь пойдет не о межсетевых экранах для хостов или настольных систем, а о приложениях HIP, обеспечивающих соблюдение правил доступа на уровне ОС. Они позволят вам не опасаться за уязвимость вашего ПО, поскольку ни одно приложение не сможет нарушить ни один пункт установленной для него политики доступа.

В тестировании продуктов HIP мы пригласили поучаствовать следующих поставщиков - компании Argus Systems Group, Armored Server, Computer Associates (CA), Entercept Security Technologies, Harris, Network-1, Okena, Tiny Software, Tivoli (в составе IBM) и WatchGuard. Однако фирма Tiny Software не смогла вовремя предоставить нам свой продукт для испытаний, Network-1 заявила, что у нее нет продукта, отвечающего нашим критериям, а Tivoli просто отказалась "играть в наши игры".

В результате в нашей лаборатории RealWorld Сиракузского университета были протестированы только следующие продукты: PitBull LX и PitBull Protector компании Argus, eTrust Access Control компании CA, Web Server Edition компании Entercept, STAT Neutralizer компании Harris, StormWatch и StormFront компании Okena, ServerLock и AppLock/Web компании WatchGuard.

В них отобразился весь спектр решений HIP - от всеобъемлющих систем, способных защитить многие приложения, таких, как eTrust Access Control компании CA, STAT Neutralizer компании Harris и StormWatch компании Okena, до продуктов, предназначенных для защиты Web-сервера, таких, как PitBull Protector компании Argus и AppLock/Web компании WatchGuard.

Все продукты инсталлируются как модули ядра или, как в случае PitBull LX для ОС Solaris, с заменой ядра и разделяемых библиотек и осуществляют перехват и модификацию системных вызовов. С помощью механизма правил (policy engine) они обрабатывают запросы на доступ до передачи их ОС. Поскольку отвергнутые запросы не попадают в ОС, непотревоженный сервер продолжит свою работу, а несостоявшееся вторжение "уйдет в историю".

Хоть мы и ожидали, что обнаружим различия в функциональности и опциях конфигурирования продуктов в зависимости от поддерживаемой ими ОС, но степень этих отличий удивила нас. Так, Access Control от компании CA позволяет ограничить допустимые действия сервера под управлением ОС Unix, но не под управлением ОС Windows 2000, а продукт PitBull от Argus хорошо поддается конфигурированию в среде Unix, но не в среде Windows 2000. Только некоторые продукты, в том числе продукт компании Entercept, PitBull LX от Argus и Access Control от CA, создают правила доступа на основе концепции пользователя (user-based), что позволило нам сформировать политику, определяющую, какие пользователи (читай - приложения) имеют право записи в файлы, а какие - нет.

Полную версию данной статьи смотрите во 2-ом номере журнала за 2003 год.

Чего мы хотим на самом деле?

В нашем представлении идеальный продукт HIP должен позволять централизованно управлять политикой безопасности хостов, ограничивающей доступ приложений только теми системными ресурсами, которые требуются им (приложениям) для работы. Например, Web-серверам нужно считывать конфигурационные файлы, записи реестра, документы webroot, исполнять сценарии cgi-bin и осуществлять привязку к портам 80 и 443. Вам необходимо средство, блокирующее возможность модифицирования критически важных файлов ОС, за исключением случаев, когда это требуется для нормального функционирования системы, и все протестированные нами продукты обеспечивают такую блокировку.

Нам также хотелось бы иметь возможность самим формировать политику доступа для любого серверного приложения. Решение с "предустановленной" политикой удобно для развертывания, но в этом случае множество корпоративных приложений, в том числе и средства поддержки коллективной работы, приложения Web и ERP, потенциально становятся угрозой для базовой ОС и могут предоставить злоумышленнику плацдарм для атаки. Впрочем, прежде чем вы приступите к формированию собственной политики, вам придется разработать профили ресурсов и доступа приложений к каждому из них, а для этого необходимо провести доскональное испытание каждого приложения, зафиксировав все требуемые ему ресурсы. Только компания Okena предоставляет средство, отслеживающее деятельность приложений и генерирующее разумную, на его взгляд, политику на базе зарегистрированных событий. Но и в этом случае нам пришлось пройти несколько этапов "подгонки" и тестирования сгенерированной политики, впрочем, обнаруженные продуктом StormFront ресурсы позволили значительно сократить сроки ее разработки.

Чрезвычайно важны тип объектов, доступ к которым вы хотите контролировать, а также режим доступа для каждого такого объекта - ведь злоумышленники могут нападать как удаленно, так и локально. Если вы ограничите свободу серверов при реализации функций чтения, записи и исполнения файлов, то предотвратите возможность запуска ими командной оболочки (shell) и самих команд (shell commands). Но это не помешает злоумышленнику подойти к консоли и запустить "троянца" с дискеты. Вам необходимо контролировать доступ к файловой системе, сетевым портам, портам ввода/вывода и прочим средствам коммуникации ОС с внешними ресурсами. Помимо этого, дополнительный уровень защиты обеспечит вам возможность блокирования переполнения буфера стека и "кучи" (динамически распределяемой области памяти, heap). Только ПО StormWatch компании Okena, PitBull LX компании Argus и Access Control для ОС Unix компании CA позволили нам регулировать файловый и сетевой доступы, и наряду с продуктами всех прочих производителей, за исключением Harris, обеспечили защиту от переполнения буфера.

Чем точнее мы определим требуемый приложениям доступ к системным ресурсам, тем вернее предотвратим атаку на ОС. А для этого нам нужна возможность поставить доступ в зависимость от имени пользователя (приложения) или его принадлежности к той или иной группе. Продукты для ОС Unix PitBull LX компании Argus и Access Control компании CA позволили нам контролировать доступ на основе концепции пользователя - мы создали группу, имеющую право модифицировать или создавать только файлы webroot и никакие другие. При этом администраторы Web-сервера вошли в группу, которая не имела прав доступа на запись файлов HTML, ASL, PHP и CGI.

После полутора месяцев тестирования победил продукт StormWatch компании Okena. Он сложный, поэтому приготовьтесь провести немало времени, изучая его различные опции, но в результате будете вознаграждены - он удовлетворит практически все ваши требования. Вот только жаль, что StormWatch не умеет управлять доступом на основе идентификатора (ID) пользователя; хотя эта возможность вроде бы и не входит в задачи, которые Okena ставит перед своим продуктом, но наличие ее было бы весьма кстати.

Если вам не нужно всеобъемлющее решение, какое предоставляют продукты StormWatch, Access Control или PitBull LX для ОС Unix, и вы хотите иметь более специализированное HIP-приложение, то хорошим выбором для вас станут продукты Entercept, PitBull Protector или STAT Neutralizer. В то же время в ПО ServerLock компании WatchGuard не хватает многих средств, которые имеются в продуктах конкурентов, включая управление доступом на чтение и исполнение файлов, поддержку нескольких приложений и сетевой контроль.

StormWatch 3.0 и StormFront 2.0 компании Okena

Продукт StormWatch занял первое место, главным образом, благодаря разнообразию опций конфигурирования. Чем больше таких опций, тем надежней вы сможете ограничить свободу приложений и служб, - в чем и заключается смысл использования продуктов HIP. Прибавьте к этом еще защиту от переполнения буфера, добротную систему управления, включая обновление правил и ПО, детальную регистрацию событий и аудит и вы получите цельный и мощный HIP-продукт. Но фирма Okena должно быть уже почувствовала, что ей "в затылок дышат" компании Argus и CA, - помимо управления доступом на уровне хостов они предлагают также контроль на уровне пользователей. Да и отсутствие в ПО фирмы Okena поддержки ОС Linux - следствие недальновидного подхода к его разработке.

Защищаемые ПО StormWatch серверы объединяются в группы, и к каждой из них применяется один или несколько наборов правил. Например, для групп по умолчанию - как для Unix-, так и для Windows-серверов - действуют правила, защищающие не только критически важные системные ресурсы, общие для данной платформы, но и сами файлы StormWatch. Если вы хотите защитить, скажем, сервер IIS, то просто добавьте соответствующий набор правил к исходной группе.

Главное внимание в ПО StormWatch уделено защите системных ресурсов. Его наборы правил определяют, к каким ресурсам приложения могут иметь доступ и какой именно. Политика задается для каждого приложения и содержит правила, разрешающие или отказывающие в доступе к ресурсам или группам ресурсов. В качестве системных ресурсов могут выступать файлы, записи реестра, сетевые адреса, сервисы и объекты COM. Группы определяются посредством наборов ресурсов (resource sets). Определения могут содержать как полный маршрут и имя файла, например, c:\winnt\system32\cmd.exe, и такому описанию будет соответствовать только этот конкретный файл, так и символы маски (wild card), например, в маршруте - **\winnt\system*\*, - и имени файла - *.dll, и такому описанию будут отвечать все DLL-файлы, расположенные на любом диске, маршрут к которым начинается с **\winnt\system. У объектов других типов, разумеется, будут свой синтаксис определений и свои правила применения символов маски.

Классы приложений задаются аналогично наборам ресурсов. Например, класс системных приложений определяется набором системных ресурсов - исполняемых файлов. Результатом проверки правила может быть разрешение, запрет, либо запрос пользователя на разрешение/запрет на выполнение того или иного действия. Итак, классы приложений, наборы ресурсов и действия используются при формировании политики для определения ресурсов, к которым приложение может или не может иметь доступ. ПО StormWatch автоматически сортирует правила, и при обработке системных событий "просматривает" их список с самого начала. Реакция на событие обуславливается первым встретившимся соответствующим правилом.

Определение требуемых приложению ресурсов - дело сложное. Например, на протяжении своей работы приложение может динамически открывать и закрывать файлы и сетевые порты. Редко используемые ресурсы, такие, как записи реестра, вообще могут быть задействованы только однажды. Для создания профиля приложение важно испытать всесторонне: начав с запуска, проделать с ним все возможные действия и завершить его работу, регистрируя каждое событие. Только после этого можно приступать к составлению правил. В отличие от других поставщиков продуктов, также позволяющих настраивать политику доступа, Okena предлагает специальный продукт StormFront, который осуществляет мониторинг и регистрацию деятельности приложений, а затем генерирует правила. Просматривая их, вы, в случае необходимости, вносите изменения и поправки, а затем производите тестирование политики. Вы тестируете и правите ее до тех пор, пока она не будет должным образом сконфигурирована. Благодаря продукту StormFront экономится масса усилий по обнаружению запрашиваемых ресурсов, - все, что вам остается сделать, это внести небольшую правку, степень которой будет зависеть от описываемого приложения. Поход StormFront к созданию политики можно считать строго буквальным. При создании нами профиля сервера SSH, сгенерированная политика разрешала пользователям доступ только на чтение и запись - и то только в "домашнем" каталоге. Разумеется, нам пришлось смягчить это ограничение.

Программа-менеджер StormWatch хорошо спроектирована и обеспечивает быстрый и легкий доступ ко всем элементам управления. Просматривая набор правил, вы можете, щелкнув кнопкой мыши на ссылке, увидеть, к каким группам они применяются. Вы также можете легко перемещаться между элементами с помощью "всплывающих" диалоговых окон (dialog pop-ups) и ниспадающих меню (drop-down menus). Журнал регистрации чрезвычайно детализирован и включает ссылки, позволяющие узнать подробности по каждому событию или правилу, на основании которого в журнал была внесена данная запись. При просмотре данные журнала можно фильтровать, включая или исключая события в зависимости от контекста. Кроме того, имеется отдельный контрольный журнал для подробного отображения событий в процессе администрирования.

Компания Okena "высоко держит планку" своего продукта, главным образом, за счет наличия в нем добротных средств разработки правил политики доступа, автоматического обнаружения ресурсов, простого в использовании механизма управления и детальной регистрации событий. Если бы StormWatch поддерживал больше операционных систем и умел контролировать доступ на основе концепции пользователя, он стал бы своего рода шедевром. В ближайшие годы мы ждем "великих свершений" от компании Okena.

eTrust Access Control 5.1 компании Computer Associates

Продукт Access Control прочно занимает второе место главным образом благодаря наличию в нем механизма управления доступом на основе концепции пользователя и широте спектра поддерживаемых платформ. Однако нам не удалось обеспечить адекватную блокировку сервера Microsoft IIS и прочих служб, работающих с правами System\Local, поскольку такая блокировка помешала бы функционированию ОС Windows NT. Особую силу пакету Access Control для ОС Unix придает то, что вы можете очень жестко "ограничить свободу" служб и при этом позволить администраторам вносить изменения в конфигурацию системы. Управление этим продуктом продумано не столь хорошо, как управление StormWatch компании Okena, а регистрация событий в нем несколько перегружена деталями. Для пуристов Unix в Access Control имеется интерфейс командной строки, предоставляющий доступ ко всем опциям графического интерфейса, помимо этого вы можете зайти в локальную систему и запускать команды.

В основу ПО Access Control положена "пользовательская" концепция управления доступом. Пользователей можно импортировать из локальной системы, первичного контроллера домена или справочника Active Directory этого домена, или их можно вносить в учетную БД Access Control напрямую. Собственно говоря, если вы собираетесь применять его для управления пользователями, то вам следует добавлять их через сам Access Control, который в свою очередь внесет их в список пользователей локальной системы. В ОС Unix службы, как правило, работают под уникальными пользовательскими идентификаторами, что позволяет управлять режимами доступа для них. Например, если Web-сервер Apache работает под именем пользователя apache, то вы можете импортировать этого пользователя в Access Control, определить для него права, ограничив тем самым доступ сервера HTTPD к системным ресурсам. Если вам приходится использовать службы, работающие в привилегированном режиме (root), или запускать несколько служб под одним и тем же идентификатором, то Access Control может назначить данной конкретной программе виртуальный пользовательский идентификатор и ограничить ее доступ к системным ресурсам в соответствии с заданной политикой. К сожалению, для платформы Windows такая возможность в продукте отсутствует.

Используемые приложением ресурсы определяются вручную, что потребует от вас знания, по крайней мере, имени файла и маршрута к нему. Чтобы справиться с этой задачей, администратор должен сначала реализовать на сервере политику "предупреждения" - это значит, что любой доступ будет разрешен и зарегистрирован в журнале. Затем нужно исследовать деятельность пользователя, запустившего данный процесс. Например, для создания профиля Web-сервера Apache, мы проверяли деятельность пользователя apache, начиная с момента запуска сервера, потом в процессе загрузки страниц и вплоть до остановки этой службы. Мы проштудировали журнал аудита, после чего составили правила доступа к тем файлам и каталогам, к которым этот пользователь обращался. По завершении конфигурирования политики мы пытались запустить Apache. Если попытка проваливалась, мы вновь проверяли журнал аудита на предмет сообщений об ошибках, корректировали политику и опять пытались запустить Web-сервер. Мы делали это до тех пор, пока он не начал нормально работать. На обнаружение всех необходимых Apache ресурсов и создание политики у нас ушло примерно 2 ч. Мы также разработали профиль для сервера WU-FTP, и это отняло у нас около 6 ч. Неплохо для одного рабочего дня, но с ПО StormFront от Okena все было значительно проще.

Продукт Access Control компании CA - весьма подходящий кандидат на приобретение, особенно если вы работаете с какой-нибудь не очень распространенной ОС. Собственно говоря, если это не с ОС Windows, Solaris или Linux, то вам только и остается, что использовать его. Если Access Control для платформы Windows снабдить теми же функциями, которые имеет его версия для ОС Unix, то лидерство продукта Okena окажется под угрозой.

STAT Neutralizer 1.2 компании Harris

Как в ПО StormWatch и Access Control, в продукте Neutralizer предлагается добротный набор средств защиты, причем по весьма низкой стартовой цене. В нем плохо лишь то, что он поддерживает только ОС Windows NT/2000, зато может защитить любое приложение и поставляется с готовыми наборами правил. Вы можете разработать и собственные правила, хотя в данном случае, как и в случае Access Control, обнаружение требуемых приложению ресурсов становится пугающе трудоемкой задачей.

В отличие от построения правил в продуктах компаний Okena и CA, в Neutralizer каждое правило приходится создавать вручную. Вы можете определить переменные окружения или записи реестра, но для всех прочих объектов вам придется задавать значения или пытаться отыскать их в реестре. Правила ограничивают доступ процессов и пользователей к объектам файловой системы и записям реестра. Процедура определения правила проста, если вы знакомы с регулярными выражениями (хорошую информацию по этой теме вы найдете на http://etext.lib.virginia.edu/helpsheets/regex.html).

Определив политику, мы применили ее к программным агентам и предприняли несколько атак, к нашему удивлению увенчавшихся успехом. После повторного тестирования, долгого чесания в затылке и звонка в компанию Harris, мы узнали, что не следовало перезагружать компьютер после инсталляции агента. Но, позвольте, ведь нам пришлось так поступить, поскольку этот агент должен был проконтролировать старт сервиса, чтобы отследить все обращения к ресурсам. Компания Harris пообещала разобраться с этим. После перезагрузки, мы без проблем модифицировали политику.

Создание правил для приложений оказалось делом сложным. Например, на нашей тестовой машине мы инсталлировали SQL Server 2000 и пожелали ограничить его доступ только необходимыми ему службами. Поскольку шаблонная политика для SQL Server отсутствовала, нам пришлось выполнить мониторинг всей его деятельности, начиная с перезагрузки, зарегистрировав при этом более 600 событий. Многие из них имели отношение к реестру, но поскольку регистрация не была детальной, мы не сразу поняли, что это за события - чтение, запись или что-то еще. Значительно ухудшало положение отсутствие способа фильтрации записей в журнале - мы могли только визуально отыскивать нужные события. Компании Harris следовало бы добавить к регистрации некоторые функции фильтрации. Не лишним стало бы и наличие средства автоматического обнаружения требуемых приложению ресурсов.

После инсталляции и должного конфигурирования ПО Neutralizer работает хорошо. Однако, хочется отметить, что создание правил для него отнимает много часов. Впрочем, при цене в 25,95 долл. за одного агента рабочей станции вы можете позволить себе потратить на разработку политики доступа несколько больше времени.

Web Server Edition 2.5 компании Entercept Security Technologies

Продукт компании Entercept можно считать уникальным по нескольким причинам. Во-первых, для обнаружения и блокировки атак в нем применяются и модель "нормы поведения", и сигнатуры. Во-вторых, его стандартный агент защищает ОС и блокирует распространенные атаки, использующие переполнение буфера и эскалацию полномочий. Он также защищает Web-серверы IIS, Apache, Netscape Enterprise и iPlanet. Однако в работе вы будете ограничены только теми приложениями, которые он поддерживает, если только не захотите заплатить за услуги профессионала, способного разработать для вас специализированную политику. Но каждый день его работы стоит 1850 долл., следовательно такое решение обойдется вам недешево.

Мы инсталлировали стандартный вариант ПО Entercept на компьютер с ОС Windows 2000, и запустили ряд атак на общеизвестные элементы уязвимости IIS. Отметим, что благодаря встроенной в продукт защите стека все атаки с переполнением буфера провалились. Напротив, как мы и ожидали, атаки на прикладном уровне, включая directory traversal и unicode directory traversal, вполне удались. Впрочем, после инсталляции версии продукта Web Server Edition нам не удалось провести ни одной успешной атаки против IIS. Но если автоматическая защита Entercept заблокирует доступ, который нам хотелось бы разрешить, то с помощью программы-мастера придется создавать исключение из правил.

В отличие от продукта Okena, ПО Entercept позволило нам определить пользователей, которым разрешено модифицировать конфигурацию IIS. Для этого мы сначала создали в ОС Windows 2000 новую группу с названием Web Admins и внесли туда пользователей, а затем описали эту группу пользователей как авторизованных операторов IIS и внесли серию исключений во все защитные сигнатуры IIS, чтобы пользователи из группы Web Admins могли модифицировать конфигурацию сервера.

Подведем итог тестирования продукта Web Server Edition компании Entercept: хотя он и не может "похвастаться" столь же богатым набором средств, какие имеются у его соперников, но он четко нацелен на работу с конкретными приложениями, прост в инсталляции и управлении.

PitBull LX 1.1 и PitBull Protector for IIS компании Argus

Наборы средств у ПО PitBull разных версий - для ОС Unix и Windows - существенно отличаются. Поэтому, как и в случае с Access Control компании CA, мы оценивали их отдельно. Версия для ОС Unix, поддерживающая среды Solaris и Linux, обеспечивает детализированный контроль не хуже, чем Access Control. В то же время PitBull Protector под управлением ОС Windows 2000 обладает значительно более ограниченным набором средств, которые, правда, защищают не только каталоги и файлы, но и буфер стека. К сожалению в PitBull Protector не поддерживается создание специализированной политики, как это делается в PitBull LX и StormWatch компании Okena.

PitBull LX инсталлируется как загружаемый модуль, и требует перекомпиляции ядра Linux с перекомпоновкой модулей. В случае ОС Solaris он заменяет ядро и разделяемые библиотеки. PitBull модифицирует функции обработки системных вызовов таким образом, чтобы проверка на соответствие правилам безопасности проводилась до собственно выполнения системного вызова. Protector под управлением ОС Windows 2000 - это модуль уровня ядра, загружаемый во время выполнения соответствующего процесса и перехватывающий системные вызовы.

Хотя PitBull LX можно использовать для контроля доступа пользователей, но если говорить точнее, то контроль доступа в нем реализован на базе домена. Домен - это "ярлык", навешиваемый на системные объекты, такие, как файлы. Пользователям и процессам соответствующие домены назначаются в момент их регистрации системой. Пользователь или процесс может получить доступ к объекту, при условии, что его домен включает в себя домен целевого объекта. Объекты, процессы и пользователи могут быть членами многих доменов, что позволяет вам создать весьма детальную и сложную схему контроля доступа для всей системы. PitBull LX сложен в изучении, а для тех, кто не любит интерфейс командной строки, отсутствие графического интерфейса и централизованного управления может стать в этом случае серьезным препятствием. Вы можете задать политику для множества серверов, используя сценарии, но тогда все системы должны быть практически идентичными.

PitBull Protector - это относительно простое в конфигурировании приложение. Инсталлируйте его на сервере, выберите режим "обучения", а затем запустите IIS и хорошенько поработайте с ним. Protector отследит все действия IIS и сгенерирует соответствующие правила для операций записи и исполнения. Отключите обучающий режим, и процесс inetinfo.exe отныне сможет делать только то, что зарегистрировал Protector. Если вам требуется более точная настройка политики доступа, то для этого предусмотрена расширенная конфигурация правил, позволяющая задавать индивидуальные режимы записи для отдельных каталогов и файлов.

Если вы опытный администратор Unix, то PitBull LX станет для вас хорошим выбором, поскольку является очень надежным продуктом. PitBull Protector предназначен для ОС Windows 2000 и Web-сервера IIS, прост в использовании, хотя и не обладает таким богатым набором средств, как продукт Web Server Edition компании Entercept.

ServerLock и AppLock/Web компании WatchGuard Technologies

ServerLock и AppLock/Web - это простые приложения, контролирующие процедуры создания и модифицирования файлов и записей реестра. Хотя возможности ServerLock и AppLock/Web ("урезанная" версия ServerLock, предназначенная для ПО IIS) нельзя сравнивать с возможностями других продуктов данного обзора, они защитят вас от распространенных типов атак, включая Web defacement, и от любого элемента уязвимости, для использования которого требуется доступ на запись в файловую систему, - при условии, что эта часть файловой системы защищена от записи. Известно, что если нападающий сумеет добиться, чтобы сервер записывал файлы по его желанию, он сможет вторгнуться в систему. Все же уровень защиты при этом минимален, поскольку отсутствуют возможности блокирования операций чтения и исполнения файлов.

У данного продукта мы обнаружили также потенциальную проблему с защитой от переполнения буфера стека. Для тестирования защиты стека мы воспользовались двумя программами, использующими элемент уязвимости .printer ISAPI Extension Buffer Overflow (см. Bugttraq id 2674). Если программа Jill.c от dark spirit была моментально блокирована, то программа iishack2000.exe от eEye Digital Security успешно сработала несколько раз. Средство защиты стека WatchGuard не блокирует собственно переполнение буфера, вместо этого блокируется выполнение операций, например таких, как исполнение внешнего кода. Поставщик сразу высказал предположение, что вместо исполнения программы из стека iishack2000.exe просто заставляет IIS записывать файл на жесткий диск.

Те деньги, которые вы отдадите за ServerLock, лучше потратить на какой-нибудь другой продукт данного обзора.

Коротко о продуктах

StormWatch 3.0
Цена: 1800 долл. за сервер, 85 долл. за настольную систему
StormFront 2.0

Цена: 220 долл. за сервер, 10 долл. за настольную систему
Фирма: Okena
http://www.okena.com

eTrust Access Control 5.1
Цена: 3500 долл. за сервер
Фирма: Computer Associates International
http://www.ca.com

STAT Neutralizer 1.2
Цена: 2595 долл. за 100 агентов для рабочих станций, 7650 долл. за 10 агентов для серверов
Фирма: Harris
http://www.statonline.com

Entercept Web Server Edition 2.5
Цена: от 1295 до 2995 долл. за агента, 4995 долл. за консоль
Фирма: Entercept Security Technologies
http://www.entercept.com

PitBull LX 1.1
Цена: от 3000 долл.
PitBull Protector for IIS
Цена: 795 долл.
Фирма: Argus Systems Group
http://www.argus-systems.com

ServerLock NT/2000 2.0
Цена: 1295 долл.
ServerLock for Solaris
Цена: 1695 долл.
ServerLock Manager
Цена: от 4995 до 14995 долл.
Фирма: WatchGuard Technologies
http://www.watchguard.com





  
2 '2003
СОДЕРЖАНИЕ

бизнес

• Юридические аспекты хранения электронных данных

инфраструктура

• Технология Hyper-Threading повышает производительность серверов

• Новое в RSVP

• "Песочницы" для Web-серверов

• Тестируем регулировщики трафика территориально распределенных сетей

информационные системы

• Абонентские сервисы в контакт-центре

• Обращаем ошибки себе на пользу

• На все руки мастер

сети связи

• Обеспечение безопасности сетей ОКС-7

• "Софтсвич" - это по-нашему!

кабельные системы

• Развитие стандарта на кабельные системы жилых зданий

• Сети Industrial Ethernet

защита данных

• Обзор решений HIP

новые продукты

• "Дэйтлайнер" соединяет

только на сервере

• ETM сделает менее уязвимой телефонную сеть вашей компании


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх