Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Тестируем сканеры уязвимости

Кевин Новак

Протестировав без малого дюжину сканеров уязвимости, мы установили, что все они имеют свои плюсы и минусы. Больше всего нам понравился продукт FoundScan компании Foundstone — главным образом своими детальными отчетами и масштабируемостью.

Наиважнейшей составляющей процесса управления безопасностью является идентификация областей потенциального риска. Хотя последний может принимать различные формы, вряд ли кто-нибудь станет оспаривать тот факт, что уязвимое приложение или ОС представляют собой значительную “брешь” в информационной системе предприятия. Сканеры оценки уязвимости (Vulnerability-Assessment — VA) уровня сети играют критически важную роль в процессе идентификации “дыр” в ПО, позволяя администраторам выявлять слабые места в системе защиты, прежде чем это сделают злоумышленники.

Разумеется, использование инструментальных средств для решения проблем безопасности не приведет к полному исчезновению последних, однако владение приемами и эффективной технологией оценки уязвимости существенно облегчит вашу жизнь. VA-средства позволят заметно снизить риск вторжения в корпоративную сеть непрошеных гостей, а это означает, что спать вы сможете дольше и спокойнее.

Полную версию данной статьи смотрите в 13-ом номере журнала за 2003 год.

Принять участие в нашем тестировании VA-сканеров мы предложили многим компаниям: Beyond Security, BindView, eEye Digital Security, eSecurityOnline, Foundstone, Harris, Internet Security Systems, nCircle, NetIQ, Network Associates, Qualys, Rapid7, SAINT, Symantec, Tenable, The Advanced Research и Vigilante.com. Но фирмы ISS и Symantec отклонили наше предложение, сославшись на незавершенность текущих версий их продуктов, а компании eSecurityOnline, NetIQ, Network Associates и The Advanced Research вообще не ответили на наше предложение.

Сканеры от 11 остальных компаний мы инсталлировали в самую уязвимую сеть, которую только сумели создать (см. “Как мы тестировали сканеры уязвимости”), и испытали на предмет точной идентификации ими критических элементов уязвимости, формирования ясных и лаконичных отчетов о выявленных слабых местах и эффективного выполнения указанных задач без каких бы то ни было нарушений работы сети. По собственному опыту зная о том, насколько сложно использовать эти средства в больших организациях, мы также приняли во внимание дизайн их пользовательских интерфейсов и возможности управления.

Мы установили, что, хотя рынок инструментальных VA-средств весьма перспективен, эти продукты являются все еще недостаточно зрелыми. Все протестированные нами сканеры имели те или иные недостатки. FoundScan компании Foundstone, QualysGuard фирмы Qualys и Retina компании eEye предоставляют самые лучшие возможности управления и генерации отчетов, однако не могут выявлять некоторые элементы уязвимости. Продукты SecureScan, SAINT и Nessus регистрируют больше изъянов ПО, чем оста-льные участники испытаний, зато не так сильны по части управления и генерации отчетов. Ни один из сканеров не идентифицировал более двух третей имевшихся в тестовой сети уязвимых мест. Кроме того, сетевым администраторам следует быть настороже: мы установили, что сканеры, с которыми мы имели дело, далеко не так безобидны, как хотелось бы: все они оказывали негативное воздействие на наши тестовые серверы. Самыми большими “вредителями” в ряду протестированных нами продуктов, безусловно, являются VA-сканеры компаний Qualys и Vigilante.com — каждый из них вывел из строя по меньшей мере полдесятка наших серверов. Три системы понесли от них самый большой урон — это Novell NetWare с работающими Web-сервисами, SuSE Linux Groupware с инсталлированной уязвимой версией ПО Lotus Notes и Windows NT 4.0 с ПО Exchange и IIS.

И все же, несмотря на то что ни один из прошедших через наши руки VA-сканеров не был, с нашей точки зрения, полностью зрелым, мы не представляем себе, как можно обходиться вовсе без них. По результатам испытаний победителем, хотя и с небольшим отрывом, стал продукт FoundScan компании Foundstone — благодаря своим детальным отчетам, масштабируемости и достаточно широкому диапазону целевых ОС и приложений. Продукту Retina фирмы eEye мы присудили второе место, а некоторыми “продвинутыми” возможностями, обнаруженными нами в продуктах компаний nCircle и Harris, мы были даже заинтригованы.

Выработка критериев

Как всегда при тестировании, мы исходили из практических аспектов работы сканеров в реальной жизни, а потому, выбирая критерии их оценки, ориентировались прежде всего на проблемы, вызывающие самое большое беспокойство специалистов по сетевой безопасности.

Управление. Приложение, которое трудно инсталлировать, конфигурировать, контролировать и обслуживать, как правило, используется с недозагрузкой. Мы знаем, что есть организации, владеющие лицензионными правами на ПО Tivoli, Unicenter TNG и другие продукты сетевого управления, но в силу значительной трудоемкости их развертывания и технического обслуживания никогда не использовавшие их.

Мы также понимаем, что, будучи скомпрометированными, данные, выдаваемые VA-сканером, могут стать для предприятия источником огромного риска — следовательно, сканер должен запрашивать аутентификацию пользователя. Еще лучше, если он будет поддерживать многоуровневую аутентификацию, которая позволяет ограничивать полномочия администратора только той областью, за которую он отвечает, и не более того.

Средства генерации отчетов. На протяжении вот уже нескольких лет мы тестируем межсетевые экраны, системы обнаружения вторжений и другие системы безопасности масштаба предприятия. Результаты этих тестов и наш опыт в данной области позволяют нам заключить, что, хотя генерация отчетов имеет первостепенную важность для специалистов по безопасности, производители соответствующих продуктов не всегда уделяют ей должное внимание. Системы IDS, VA-сканеры и ПО агрегирования журналов регистрации событий поддерживают огромные массивы данных, однако эти массивы оказываются бесполезными, если не используются теми, для кого они, собственно, и создаются. Учитывая то, что в процессе сканирования генерируются тысячи записей, которые должны быть тщательно проанализированы специалистами по информационной безопасности, такой критерий, как “средства генерации отчетов”, являлся в наших испытаниях самым значимым.

Каждый продукт мы оценивали по содержанию отчетов, возможностям их сортировки и экспорта, наличию механизма перекрестных ссылок. Кроме того, мы тестировали способность продуктов агрегировать результаты текущего и предыдущих сканирований.

Диапазон целевых ОС, приложений и платформ. Принимая во внимание тот факт, что сканер уязвимых мест может быть хорош лишь настолько, насколько эффективно он позволяет обнаруживать эти уязвимые места, мы оценивали “умение” каждого продукта с достаточной степенью точности идентифицировать уязвимость приложений, выполняющихся на разных платформах под управлением разных ОС. Результаты, которые показал каждый продукт, мы проанализировали на предмет точности идентифика-ции ОС, ошибочной идентификации несуществующей уязвимости (false positive) и неспособности идентифицировать известную уязвимость (false negative).

Производительность и масштабируемость. Производительность VA-сканера позволяет судить о том, насколько он будет полезен администраторам. Сканер, обнаруживающий уязвимость следом за взломщиком, является бесполезным, равно как и сканер, который поражает тестируемый им сервер атакой типа “отказ в обслуживании” (Denial of Service — DoS).

Мы проанализировали возможности тонкой настройки параметров каждого VA-сканера — в частности, можно ли регулировать число потоков и интервалы между пакетами. Здесь мы обнаружили огромные расхождения, поскольку одни продукты по умолчанию выполняли сканирование на скорости порядка 50 Кбит/с, тогда как другие “молотили” по цели со скоростью 3,5 Мбит/с. И хотя последнее не причина для увеличения пропускной способности корпоративной сети, выявленные расхождения помогли нам понять, почему некоторые сканеры выполняли наши тесты часами, а другие проходили их за считанные минуты. Мы думаем, что это также объясняет, почему во время таких простых тестов, как просмотр Web-узла (Web crawling), одни сканеры выводили из строя цели чаще остальных. Сравнивая результаты сканирования разных продуктов, мы установили, что все они использовали практически одинаковую полосу пропускания, просто некоторые из них настраивались по умолчанию на более высокую скорость.

Конечно, число пакетов было не единственным фактором, влияющим на выход целевой системы из строя. Такие, скажем “агрессивные”, тесты, как взлом пользовательских учетных записей прямым подбором пароля и развертывание DoS-атак, также могли вызывать крах целевой системы.

Идентификация ОС. Сканеры отправляют на целевые системы неправильно сформированные IP-запросы, пытаясь добиться от них ответа. Форма полученного ответа позволяет сканеру идентифицировать целевую ОС. В зависимости от запроса, а также степени надежности IP-стека ОС целевая система может случайно выйти из строя. Например, метод идентификации ОС, реализованный в продукте Nessus, способен вызвать отказ старых систем, в то время как более “дружественный” подход продукта FoundScan редко приводит к этому.

Помимо прочего, мы протестировали работу каждого продукта на предмет его стабильности при сканировании множества IP-адресов. Хотя наша тестовая среда содержала менее 30 машин, VA-сканер должен просматривать любое число систем, включенных в его базу целей. Наша сеть была разбита на четыре подсети класса С, и все ее адреса сканировались. Многие продукты делали это без труда, однако сканер компании Beyond Security так и не справился с данной нагрузкой, а продукт SecureScan NX компании Vigilante.com, прежде чем представить нам результаты, неоднократно выходил из строя.

Распределенные инсталляции сканеров в корпоративных сетях могут оказаться более полезными, нежели использование центрального сканирующего устройства. Предприятиям незачем растрачивать драгоценную полосу пропускания сети WAN на передачу трафика сканирования, да и сами сканеры нередко сталкиваются с проблемами при идентификации систем, расположенных позади множества промежуточных маршрутизаторов, серверов-посредников и межсетевых экранов.

В самом деле, мы обнаружили, что один из сегментов нашей тестовой среды был особенно труднопреодолимым для некоторых из протестированных нами продуктов — NeXpose компании Rapid7 и SecureScan компании Vigilante.com регистрировали отклик... несуществующих систем! Точнее сказать, наш межсетевой экран Cisco PIX (работающий в данном случае как простой маршрутизатор) сообщал сканеру о том, что позади него нет никакого хоста. Сканер же интерпретировал ответ PIX как положительный результат поиска. Такая ошибочная идентификация хоста приводила к огромным накладным расходам из-за того, что сканеры тратили часы, пытаясь идентифицировать сервисы, выполняющиеся на несуществующих серверах. Это как раз тот самый случай, когда полезными могут оказаться продукты Retina компании eEye и Lightning компании Tenable — они позволяют развернуть в разных точках сети множество сканеров, информация с которых поступает на единое устройство агрегирования результатов.

Цена. Мы поинтересовались ценами на наши продукты лишь тогда, когда испытания их были почти закончены, поскольку хотели, чтобы тестирование было корректным и стоимость продуктов не повлияла на наше мнение о них, несмотря на то, какими возможностями каждый конкретный продукт обладал. Мы установили, что цена их в точности соответствовала их характеристикам, правда не без некоторых исключений, например: устройство Nessus компании Tenable стоит 20 тыс. долл.; лицензия на ПО Lightning с расчетом на пять пользователей оценена в 12 тыс. долл.; продукт Automated Scanning Server компании Beyond Security продается за 12 тыс. долл.; начальная цена ПО NeXpose компании Rapid7 — 8750 долл. за 64 сканируемых IP-адреса. Нам кажется, все перечисленные продукты немного дороговаты.

Ниже мы приводим обзор семи лучших VA-сканеров из тех, которые мы протестировали. Сведения об остальных четырех продуктах вы найдете в сопутствующих тексту таблицах.

Foundstone Enterprise и FoundScan Engine 2.6 компании Foundstone

Продукт FoundScan оказался одним из наиболее “отшлифованных” производителем VA-сканеров. Его управляющий интерфейс является наглядным, понятным и относительно стабильным в работе. Правда, несколько раз во время особенно интенсивного сканирования он все же оказывался заблокированным. Нам особенно понравилось то, что FoundScan позволяет ограничивать доступ пользователей посредством механизма многоуровневой аутентификации. Эта возможность вполне сопоставима с предоставляемой продуктом системой регистрации идентифицированных уязвимостей (ticketing system).

Хотя возможности экспорта данных Foundstone несколько ограничены, его отчеты в формате HTML наглядны, относительно просты для понимания и предоставляют самые разные способы сортировки данных, позволяя администраторам эффективно анализировать полученную информацию. Кроме этого, факт, что данный сканер записывает результаты своих поисков непосредственно в БД Microsoft SQL Server, дает возможность администраторам создавать свои собственные отчеты.

Отсутствие у FoundScan некоторых возможностей генерации отчетов с лихвой восполняет его механизм регистрации обнаруженных элементов уязвимости — с его помощью можно распределять ответственность между сетевыми, системными администраторами и администраторами БД и систем безопасности. Единственным продуктом с аналогичным механизмом является сканер Retina компании eEye. К сожалению, в обоих продуктах эти механизмы не интегрируются с другим ПО технической поддержки и рассылки сообщений о возникающих проблемах.

Foundstone предоставляет целый ряд гибких возможностей для настройки производительности. Администраторы VA-сканеров могут изменять общее число одновременно выполняемых потоков, регулировать скорость процесса сканирования, варьировать интервалы между пакетами и число объектов сканирования. Хотя настройки по умолчанию мы нашли вполне соответствующими сканируемой нами тестовой группировке, производительность FoundScan можно подрегулировать таким образом, чтобы он эффективно сканировал и более многочисленную группу устройств.

БД элементов уязвимости продукта Foundstone содержит более 2 тыс. записей, однако он обнаружил лишь около половины всех оставленных нами “дыр”. Тем не менее результат, достигнутый Foundstone, оказался не таким уж скромным на фоне “успехов”, продемонстрированных его соперниками: ни один из продуктов так и не смог достаточно близко подойти к заветной цели — полному обнаружению всех имеющихся дефектов тестовой сети.

Заметим по ходу дела, что, так же как и другие продукты, Foundstone предоставляет несколько заранее сконфигурированных шаблонов сканирования для тех или иных целей. Шаблон “безопасного сканирования” (safe scan) предназначен для предотвращения выхода из строя целевой системы во время сканирования. Жаль только, что, используя этот шаблон, мы все-таки ухитрились “сломать” сервер NetWare. По существу, этот отказ был инициирован функцией поиска уязвимых мест Web-служб. Однако не стоит слишком сильно расстраиваться по этому поводу — у компании Novell уже имеется “заплата”, которую можно будет использовать в подобной ситуации. Здесь важно отметить лишь то, что ни один автоматизированный сканер не является полностью безопасным, и, используя любой из них, следует соблюдать меры предосторожности.

В целом интуиция подсказывала нам, что Foundstone предоставляет за свою цену не так уж мало полезных возможностей. В следующей версии этого продукта с большим или меньшим успехом производители улучшат средства генерации отчетов, примут меры к стабилизации систем во время “агрессивного” сканирования и, возможно, даже оба специализированных управляющих интерфейса интегрируют в один — полнофункциональный. Кроме того, нам хотелось бы увидеть более тесную интеграцию этого продукта со средствами классификации ресурсов организации. Если классификация ресурсов осуществляется с учетом их уязвимости, предприятие наиболее важным участкам своего бизнеса сможет выделять наименее уязвимые ресурсы. Эти возможности компания Foundstone планирует реализовать в будущих версиях своего сканера.

Retina Network Security Scanner компании eEye Digital Security

Единственное, в чем продукт Retina, что называется, подкачал, так это в своей способности к обнаружению элементов уязвимости, которыми были буквально нашпигованы наши целевые системы.

К сожалению, данный его недостаток заметно повлиял на нашу оценку, которую мы выставили ему в баллах. Зато он выгодно отличается от своих соперников своей корпоративной версией, реализующей распределенную модель сканирования, в которой используются

БД Microsoft SQL для хранения данных и сервер агрегирования отчетов и управления удаленными сканерами. Кроме того, компания eEye включила в свой продукт масштаба предприятия более эффективные процедуры аутентификации, нежели те, какие имеются в некорпоративной версии, средства генерации отчетов (хотя возможности экспорта по-прежнему оставляют желать лучшего) и поистине прекрасную систему регистрации уязвимостей, аналогичную той, что предоставляет продукт Foundstone.

Совершенно очевидно, что корпоративная версия Retina разрабатывалась с расчетом на масштабирование, и это делает ее особенно полезной для использования в относительно крупных организациях. Мы горим нетерпением узнать, чем же компания eEye порадует нас в будущем. Хотя характеристики продукта Retina, касающиеся сканирования Unix-систем, являются весьма ограниченными, он обнаруживал достаточно высокий процент элементов уязвимости Windows-систем, в результате чего его суммарный показатель детектирования составил около 55%.

Еще нам хотелось бы увидеть более тесную интеграцию Retina со средствами классификации корпоративных ресурсов, более совершенные возможности обнаружения элементов уязвимости и некоторые дополнительные опции экспорта отчетов.

QualysGuard Intranet Scanner компании Qualys

Сканирующее интрасети устройство компании Qualys представляет собой шлюз к ее же Интернет-службе. Такая структура очень сильно напоминает структуру продукта IP360 компании nCircle, в которой несколько устройств сканирования обращаются за всевозможной конфигурационной информацией и сигнатурами элементов уязвимости к единому управляющему серверу. Однако в случае, о котором пойдет речь, сервер управления и агрегирования данных размещается не на территории заказчика, а на территории фирмы Qualys.

Организации инсталлируют в своих корпоративных сетях устройства QualysGuard и администрируют их посредством Web-интерфейса. Шлюзы отправля-ют зашифрованные с помощью протокола SSL запросы на серверы Qualys, чтобы определить, имеются ли для них задания на сканирование. Если устройство обнаруживает задание, оно начинает выполнять его. Словом, на локальном устройстве QualysGuard не хранится никакой информации. Запросы на сканирование, отчеты и даже БД сигнатур размещаются исключительно на серверах, установленных в компании Qualys. Хотя такая модель может показаться несколько странной, на деле это означает, что вам не нужно беспокоиться об обновлении сигнатур элементов уязвимости. Такая конструкция системы QualysGuard делает ее прекрасным выбором для крупных предприятий, собирающихся развернуть сканеры во всей своей сети.

Отчеты продукта Qualys можно настраивать, а его способность обнаруживать уязвимости является вполне приемлемой. Вместе с тем мы надеемся, что в будущем компания расширит диапазон целевых ОС и приложений в своем продукте. Многоуровневая схема авторизации приводится в соответствие с потребностями той или иной организации, а установки по выбору пользователя настраиваются на поиск доступных хостов в сети, обнаружение распределителей нагрузки и даже на прямой подбор паролей. Чтобы добавлять уровни сегрегации устройств, сетевые хосты разделяются на группы, тем самым позволяя администраторам по безопасности создавать детализированные отчеты, основанные, например, на критичности тех или иных хостов для поддержания бизнес-процессов.

Наши пожелания компании Qualys сводятся к тому, чтобы она расширила возможности экспорта (в настоящее время данные экспортируются только в форматы XML, HTML и MHT), интегрировала свой продукт с системой выдачи рекомендаций и реализовала более тесную интеграцию его со средствами классификации корпоративных ресурсов.

SAINT 4.3 компании SAINT

Продукт SAINT 4.3 довольно-таки серьезно претендовал на победу, но, к сожалению, как и многие сканеры, он легко преодолевал одни тесты и безнадежно застревал в других. Диапазон выявляемых этим продуктом элементов уязвимости несколько шире, чем у остальных, и цена его вполне соответствует его возможностям, однако нам кажется, что средства управления и генерации отчетов ему не мешало бы улучшить.

Хотя у компании SAINT больше “фирменных секретов”, чем у компаний Foundstone, Qualys и nCircle, ее продукт работает в стандартной Linux-среде и предоставляет самый простой (из всех известных нам) сценарий инсталляции посредством интерфейса командной строки. Мы настоятельно рекомендуем пользователям применять вместе с SAINT подключаемый модуль Express (http://www.saintcorporation.com/products/saint_express.html), без которого процедура обновления этого продукта становится сущим наказанием, и надеемся, что в будущем компания SAINT встроит Express в свой продукт.

Больше всего мы “бились” с проблемой добавления IP-адресов. Мы думали, что это обычная, довольно простая задача, да не тут-то было! Чтобы ввести диапазоны адресов для нескольких сетевых сегментов, вы должны буквально выуживать их из текстового файла. Если какой-нибудь адрес оказывается неверным, то насмарку идет весь процесс сканирования, причем, что совсем уже плохо, необязательно сразу. В ряде случаев нам приходилось ждать до получаса, пока SAINT продолжал упорно “долбить” адрес, который, на свою беду, мы ввели неправильно. Продукт SAINT заметно выиграл бы, если бы его наделить более интуитивным интерфейсом для добавления адресов.

Хотя возможности экспорта отчетов SAINT 4.3 далеко не идеальны, он предоставляет несколько хорошо разработанных готовых отчетов и позволяет создавать заказные отчеты. В отчетах SAINT широко используются гиперссылки, что позволяло нам легко и быстро получать нужную справочную информацию. К сожалению, очень скоро мы заблудились. Полагаем, что динамический интерфейс для просмотра отчетов был бы куда более эффективным, чем простые гиперссылки. В заключение же скажем, что SAINT — это хорошее решение для небольших и среднего масштаба организаций, но оно лишено возможностей агрегирования результатов сканирования, немаловажных для больших предприятий.

SecureScan NX 2.6.50 компании Vigilante.com

SecureScan NX 2.6.50 предоставляет интуитивный и простой в использовании интерфейс и несколько интересных функций, таких, как немедленный анализ выявленных в процессе сканирования уязвимостей и возможность выбора типа сканирования в соответствии с уровнем агрессивности, целевыми сервисами, платформами, БД CVE и некоторыми другими факторами.

Тем не менее при одновременном сканировании нескольких сетей мы столкнулись-таки с проблемами. Иногда приложение блокировалось до нормального завершения процесса сканирования. Чаще всего это происходило тогда, когда мы пытались идентифицировать работающие хосты не как обычно — посредством эхотестирования, а путем TCP- и UDP-сканирования. Однако, после того как были устранены все ошибки, мы получили хороший результат: SecureScan NX обнаруживал самый большой процент элементов уязвимости (65%) всей нашей тестовой группы хостов.

Хотя средства генерации отчетов продукта SecureScan NX нам в целом понравились, пользователей, наверное, больше бы устроило, если бы информация, касающаяся “латания дыр”, находилась в основной части отчета, а не на Web-сайте компании Vigilante, куда мы, например, были вынуждены обращаться, пользуясь гиперссылкой.

STAT Scanner Professional Edition 5 компании Harris

Похоже на то, что компания Harris в отношении своего продукта STAT Scanner имеет большие планы — он не только выявляет множество элементов уязвимости, но и поддерживает соблюдение политики безопасности и коррекцию ПО. Этот продукт позволяет администратору настраивать системный реестр, журнал регистрации и правила для пользователей, которые можно обновлять вручную или автоматически после обнаружения в них ошибок.

Одной немаловажной характеристикой, которая выделяет STAT Scanner среди других протестированных нами продуктов, является неразрушающий характер его сканирования. Этот продукт не предо-ставляет шаблона безопасного сканирования, потому что он ему просто не нужен. Однако такая конструкция имеет как преимущества, так и недостатки. Поскольку STAT Scanner не производит опасных сканирований, риск выхода из строя целевой системы практически сводится к нулю (и все же мы рекомендуем соблюдать осторожность, поскольку нам приходилось сталкиваться с некоторыми проблемами, возникавшими при применении этого сканера). Однако продукт требует аутентификации для каждой целевой системы, и несоблюдение данного условия может привести, с одной стороны, к ложным срабатываниям, с другой — к неспособно-сти идентифицировать известную уязвимость.

Мы пытались сканировать отдельные хосты без аутентификации — система выдавала сообщение о том, что открытый порт может быть “лазейкой”. Это обернется серьезной проблемой для крупных организаций, особенно для тех из них, где имеются распределенные зоны администрирования. Данное ограничение осложнит сканирование разнотипных сетей, вовлекая в процесс большое число администраторов и подразделений. Хотя можно создавать административные группы и назначать им имена и пароли доступа, мы все же считаем, что требование обязательной аутентификации является вредным.

И наконец, STAT оказался неспособным оценивать на уязвимость наши серверы NetWare. Хотя продукт будет пытаться оценивать и другие типы систем, лучше всего он подойдет для сред Windows и Unix.

Что касается средств генерации отчетов, то STAT Scanner предоставляет самый широкий набор опций экспорта, который нам когда-либо приходилось видеть. По умолчанию результаты сканирования STAT Scanner можно экспортировать в формат MDB, причем со всеми таблицами БД и даже парой таблиц запросов, заранее сформатированных для пакета Microsoft Access. Кроме того, STAT Scanner предоставляет несколько отчетов на выбор, каждый из которых экспортируется в различные форматы, включая CSV, Excel, Word, Lotus и HTML.

В дополнение к STAT Scanner компания Harris предоставляет анализатор STAT Analyzer. Для осуществления системного мониторинга и инвентаризации в нем задействовано ПО What’sUpGold компании Ipswich, он также позволяет запускать и контролировать работу ПО Nessus Vulnerability Scanner и STAT Scanner и импортировать результаты сканирования продукта Internet Security Scanner компании ISS. Результатом такого импорта является исчерпывающий отчет, содержащий данные, собранные несколькими сканерами, и, вероятно, обеспечивающий самый высокий процент обнаружения уязвимых мест по сравнению с любым другим продуктом.

Tenable Nessus Appliance 1.0 с Tenable Lightning 1.1 компании Tenable Network Security

Tenable Lightning является коммерческим клиентом с поддержкой корреляции для популярного сканера с открытым исходным кодом Nessus. Продукт Lightning предоставляет некоторые дополнительные возможности сканирования и генерации отчетов, выдает рекомендации по устранению обнаруженных элементов уязвимости, позволяет развернуть сенсоры сканирования по всему предприятию и обеспечивает интеграцию выходных данных, сгенерированных Nessus и разнообразными сетевыми системами обнаружения вторжений, такими, как Bro, Dragon, RealSecure и Snort. Комбинируя VA-сканеры с IDS-системами, можно получить детальную картину потенциального вторжения.

Хотя мы и нашли в новом клиенте Nessus компании Tenable отдельные усовершенствования, в нем обнаружились и недостатки. Например, теперь администраторы лишены возможности наблюдать процесс сканирования в реальном масштабе времени и попытка остановить выполняющееся задание завела нас в дебри интерфейса командной строки, где нам пришлось удалять активный файл сканирования вручную. Нельзя не признать, что так или иначе, но этот продукт является новым, и для его успешного использования необходимо хорошо разбираться в его серверной ОС, т. е. в Linux.

Продукт Lightning продемонстрировал не такие уж плохие результаты. Если его отчеты будут более полными, повысится степень детализации полномочий пользователей, а пользовательский интерфейс станет дружественнее, то предложение компании Tenable сможет претендовать на более высокое место в нашей таблице результатов тестирования..





  
13 '2003
СОДЕРЖАНИЕ

бизнес

• Десять «смертных грехов» инженера по беспроводному доступу

• Новое предложение на рынке услуг ИТ-аутсорсинга

• Рецепты Cisco

• Для малого бизнеса по российским меркам

инфраструктура

• Тестируем серверы начального уровня

информационные системы

• Федеративное управление идентификацией пользователей

сети связи

• Новинки аудиоконференц-связи

• Архитектура конвергированных радиосетей будущего

• Телекоммуникации в Самарской области

• Управление сетью УАТС

электронная коммерция

• Стойки нового поколения упрощают инсталляцию сетей

• Подача электропитания по кабелям сети Ethernet

• Выбор оптимального типа кабеля для систем видеонаблюдения

защита данных

• Контроль уязвимости корпоративной сети

• Тестируем сканеры уязвимости

• Защита корпоративного почтового документооборота

новые продукты

• FSO-системы Alcatel


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх