Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Устраняйте уязвимые места прежде, чем их атакуют

Джордан Вьенс

Подобно тому как службе охраны банка для обеспечения его безопасности мало просто наблюдать за входной дверью, ваша сеть, помимо установки системы обнаружения вторжений и межсетевого экрана, тоже нуждается в разнообразных мерах защиты. Атаки “червей” в течение последних лет доказали, что для преодоления защиты периметра корпоративной сети взломщики активно используют уязвимые VPN-клиенты, ноутбуки мобильных сотрудников, тайком инсталлированные шпионские программы (spyware) и т. п. Современная стратегия защиты сетей должна иметь последовательный и четко выраженный наступательный характер.

Для обеспечения безопасности всех корпоративных сетевых ресурсов прежде всего необходимо оценить уязвимость сети. При этом вы, конечно, не сможе-те выявить абсолютно все потенциально слабые места, однако сам этап оценки уязвимости (Vulnerability Assessment — VA) — это первый серьезный шаг к ограничению доступности вашей сети для вторжения извне.

Процедура VA, иногда называемая также тестом на вторжение (penetration test), как правило, является составной частью более широкого процесса — аудита си-стемы, например комплексной проверки защиты информационных систем компании на соответствие стандарту ISO 17799. Полный аудит включает в себя также анализ всех возможных источников угроз, правил политики безопасности, интервьюирование персонала, проверку режима его пропуска внутрь и за пределы здания или территории охраняемого объекта. Если ваша организация регулярно проводит такой аудит, имеет смысл ознакомиться со всеми его аспектами, выделив в нем процесс VA и выдачу на основании такой оценки соответствующих рекомендаций.

Готовьсь! Целься! Пли!

Практика показывает, что на этапе подготовки к тестированию на вторжение самое главное — четко сформулировать задачу. Так что, прежде чем вы запустите самый лучший из числа доступных вам сканеров уязвимостей и исследуете с его помощью узлы сети, вам обязательно нужно будет получить необходимые разрешения от начальства и определить область сканирования.

Для этого прежде всего составьте соответствующий запрос и направьте его руководству, ведь процедура сканирования портов может повлечь за собой серьезные последствия — например, аварийные отказы серверов. Поэтому обязательно убедитесь в том, что руководитель осведомлен о возможных рисках. Далее. Определите режим сканирования: будет ли оно осуществляться однократно или периодически в рабочее время или нет, может ли данный процесс представлять опасность для сети и т. п.

К сожалению, многие уязвимые места иногда обнаруживаются только опытным путем. Бывают ситуации, когда вы даже не знаете, что ваш ftp-сервер уязвим по отношению к атаке с переполнением буфера, пока не попытаетесь осуществить ее. Многие проверки позволяют сделать обоснованное заключение о наличии уязвимости на основании анализа заголовков, но очень часто альтернативы реальной атаке попросту нет. Так что имеет смысл заранее оговорить, какие программные компоненты взлома (exploits) вы будете использовать и на каких объектах, а также заручиться согласием на все это руководства и системного администратора.

Обсудите все доводы “за” и “против” в отношении вашего предложения провести сканирование. Очень важно четко обозначить как возможные риски, так и будущие выгоды от тестирования на вторжение, чтобы руководство смогло принять обоснованное решение. Какой смысл говорить о проблемах, если начальство не намерено выделять ресурсы для их решения? Поддержка на уровне корпоративного руководства позволит вам чувствовать себя более уверенно, когда вы начнете тестирование, а у системных администраторов появится мотивация в поддержке VA и локализации уязвимостей.

Пиво даром?

Как только вы определитесь с тем, какие сети сканировать и насколько глубоко, приступайте к выбору соответствующих технических средств. Сейчас на рынке предлагаются сотни различных систем тестирования. Некоторые из них универсальны и позволяют проводить тысячи сканирований, другие ориентированы на проведение специализированных проверок, например идентификации уязвимостей операционной системы, или задействуют один-единственный элемент уязвимо-сти — NetBIOS RPC. Часть VA-сканеров из числа лучших представляют собой ПО с открытым исходным кодом (Open Source Software — OSS) — их можно получить бесплатно, но вам потребуются время и определенные усилия на то, чтобы изучить их. Как говорится, свободно распространяемое ПО — это не дармовое пиво, а свобода слова для желающих высказаться.

Для организаций, у которых нет большого опыта в обеспечении информационной безопасности, возможно, будет дешевле купить коммерческий продукт, чем обучить ИТ-персонал пользоваться свободно распространяемым ПО. Коммерческие продукты сопровождаются поддержкой, что может оказаться критически важным для организаций с повышенными требованиями к готовности и надежности сети. (Для более детального ознакомления с коммерческими VA-продуктами см.: Сети и системы связи. 2003. № 13. С. 74). Можно сказать, что для пользователя общая стоимость ПО Open Source обычно меньше либо сравнима со стоимостью аналогичных коммерческих продуктов. Другим преимуществом свободно распространяемого ПО является тот факт, что ваши ИТ-специалисты, детально разобравшись в том, как оно работает, в последующем легко сумеют самостоятельно осуществлять специализированные режимы сканирования.

Среди сканеров, распространяемых свободно, для подготовки данной статьи мы выбрали Nessus — полнофункциональную утилиту Open Source для оценки уязвимости сети, разработанную Рено Дерайсоном из компании Tenable Network Security. Nessus использует более 7 тыс. плагинов (встраиваемых модулей имитации атаки), имеет графический интерфейс, а также встроенный язык сценариев, который можно использовать для программирования заказных процедур сканирования. Он способен довольно быстро и тщательно просканировать все уязвимые места вашей сети. Следует отметить, что Nessus и nmap (превосходный сканер портов, которым пользовался один из персонажей фантастического кинобоевика “Матрица. Перезагрузка”) — два самых популярных инструмента для VA-проверок.

Если вы Linux-гуру, то наверняка захотите воспользоваться своим излюбленным инструментом. Но даже непосвященному очевидно, как мало усилий требуется для запуска этого сканера в операционной среде Knoppix (www.knopper.net/knoppix/indexen.html), являющейся предтечей большинства дистрибутивов LiveCD, т. е. тех, которые не выполняют инсталляцию ОС на жесткий диск. Несмотря на то что сегодня имеется уже порядка дюжины других LiveCD-дистрибутивов, специально ориентированных на осуществление VA-сканирования, не многие из них обновляются столь регулярно, как Knoppix. При этом важно, что в нем содержатся свежие версии как ПО nmap, так и ПО Nessus.

Я воспользовался версией Knoppix 3.8 CeBIT. Процедура работы с ним следующая: “скачайте” образ диска с сайта Knoppix, запишите его на компакт-диск и вставьте последний в загрузочный привод компьютера, которым вы намерены воспользоваться при осуществлении VA-сканирования. Не беспокойтесь: с вашим жестким диском ничего не произойдет. Ну, может быть, в начале загрузки вам придется выбрать язык интерфейса посредством ввода строки вида: knoppix lang=us.

Первым делом протестируйте ваше сетевое соединение с помощью Web-браузера Konqueror, который запускается сразу после загрузки Knoppix. Если требуется настройка параметров сети, щелкните на изображении пингвина в нижней панели слева и выберите в появившемся меню опцию Network/Internet. Как только вы убедитесь, что сеть работает, выберите в этом же меню опцию Root shell и введите команду nessus-update-plugins. Эта команда сделает ровно то, что вы от нее ожидаете: она обновит набор плагинов Nessus, дополнив его самыми последними VA-тестами. Затем с помощью стартового меню (обозначено буквой “К”) выберите опцию System/Security/Nessus. Следуя дальнейшим указаниям, введите пароль knoppix и выполните регистрацию. Обратите внимание на то, что Nessus использует механизм сертификатов. Фактически Nessus состоит из двух частей: управляющего сканированием клиента и выполняющего сканирование сервера, механизм же сертификатов позволяет размещать клиентскую и серверную части Nessus на разных машинах.

После регистрации на экране появится сообщение о том, что опасные плагины заблокированы. Nessus по умолчанию блокирует тесты, которые могут вызвать фатальные последствия, вроде отказа серверов. Даже при выборе режима Denial-of-Service опция Safe checks позволяет блокировать некоторые особо опасные тесты. В зависимости от уровня полномочий вы можете принять решение о блокировке этой опции для проведения более глубокого тестирования. Полезно поэкспериментировать с установками — с их помощью можно сконфигурировать режим особо тщательного либо, наоборот, быстрого сканирования или нечто среднее.

Одна опция весьма важна при сканировании нескольких хостов — это “Number of hosts to test at the same time” (число одновременно тестируемых хостов). Располагая достаточно мощными аппаратным обеспечением и сетью, вы можете изменить значение этой опции с принятой в Knoppix по умолчанию единицы на более высокое. Но при этом будьте готовы к увеличению нагрузки на сеть.

Если вы сканируете всего несколько хостов в относительно “ненаселенной” сети, вы можете потерять много времени на проверку “пустых” IP-адресов. Для ускорения процесса сначала запустите программу nmap для нахождения работающих хостов, а уже потом инициируйте Nessus для полного сканирования. В командной оболочке, открытой для обновления плагинов, дайте команду nmap -sP -T4 -oG output.txt 192.168.0.0/24. Повторите ее, подставив маску и номер сети, которую вы хотите просканировать. Результаты высветятся на экране и одновременно запишутся в файл output.txt, который можно ввести в программу Nessus. В вышеприведенной команде использованы следующие опции nmap: “Для эхотестирования использовать пакеты ICMP ( -sP)”, “Высокая скорость ( -T4)”, “Помещаемые в сценарий выходные данные записать в файл output.txt (-oG)”.

Применительно к ОС Widows XP SP2, по умолчанию блокирующей эхотестирование по протоколу ICMP, в nmap имеются и другие опции сканирования, которые могут оказаться полезными для определения “живых” хостов. На сайте Nmap (www.insecure.org/nmap) можно найти множество разнообразной информации по разным видам сканирования. Для импорта списка IP-адресов в Nessus используется команда grep ‘Status: Up’ output.txt|awk ‘{print $2}’ > ip-list.txt, которая в файле ip-list.txt создает список IP-адресов всех “отозвавшихся” хостов. (Директория по умолчанию — /ramdisk/home/knoppix.) Открыв закладку Target в графическом интерфейсе пользователя Nessus, нажмите кнопку Read file для доступа к списку адресов. Дайте старт процессу сканирования и... можете идти пить кофе.

По завершении сканирования вы увидите диалоговую панель результатов, которые вы можете экспортировать в файлы различных форматов и выбрать наиболее подходящий. Несмотря на то что подсистема отчетности в Nessus не так совершенна, как в некоторых коммерческих сканерах, она достаточно функциональна, а формат XML позволяет выполнять последующую обработку информации другими программами и использовать данные сканирования для составления заказного отчета.

Чтобы избежать проблем

Когда вы получите окончательные результаты VA-тестирования, немедленно доведите их до сведения вашего руководства и системного администратора, который займется ликвидацией обнаруженных “дыр”. Не осуществляйте новое сканирование, пока не будут устранены уже обнаруженные уязвимости. Ваша цель — помочь администратору, а не завалить его работой. Попробуйте добиться введения технических и организационных ограничений на подключение новых компьютеров к сети без соответствующего сканирования их на предмет уязвимости — это существенно ограничит число возможных инцидентов.

Оценка уязвимости лишь один из компонентов общего плана обеспечения корпоративной безопасности. Предусмотрев в нем процессы сканирования уязвимостей, их устранения и повторного сканирования, вы можете предотвратить взлом вашей сети..





  
11 '2005
СОДЕРЖАНИЕ

инфраструктура

• Недорогие коммутаторы Ethernet

• Сетевая печать — от Windows к Linux и обратно

• Выбираем IP-телефоны

информационные системы

• Архивирование сообщений электронной почты

• Тестируем системы архивирования электронной почты

сети связи

• Реализация программы «Тетрарус»

• По пути либерализации

• Видеосвязь в трех ипостасях

кабельные системы

• Сеть 10-Gigabit Ethernet на базе медной проводки. Реально ли это?

• Кабельные лотки развиваются в соответствии с меняющимися потребностями

защита данных

• Тестируем межсетевые экраны для филиалов компаний

• Content-security силами ISP

• Устраняйте уязвимые места прежде, чем их атакуют


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх