Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Средства контроля безопасности на базе протокола IP

Грег Шипли

У сетевого администратора в городе N был несчастливый день. За что бы он ни брался, все казалось ему непосильной задачей. Весьма смутно представляя себе, как обеспечить регулярную архивацию 40 Гбайт данных в ночное время, администратор все же нашел «спасательный круг», воспользовавшись корпоративной системой архивации с записью на магнитную ленту DLT.

Это ненадолго помогло ему избавиться от чувства надвигающейся угрозы. На свое счастье, наш герой работал с хорошо управляемой системой и использовал сравнительно небольшой набор тщательно подобранных программ. Переведя дух, он наконец взялся за решение главной проблемы, связанной с опасностью атаки на систему защиты данных предприятия.

В свое время он добился от руководства установки межсетевого экрана, но это только частично решало проблему. Система обнаружения несанкционированного доступа не была реализована в полной мере. Позвонив продавцу firewall-системы, администратор поинтересовался, можно ли получить дополнения и обновления, но в ответ услышал лишь нечто невразумительное...

Не правда ли, знакомая картина? Даже при использовании в сети только одной ОС работа по устранению «дыр» в ней отнимает почти все рабочее время. А в том случае, когда речь идет о полудюжине операционных систем и нескольких видах маршрутизаторов, даже у гения голова пойдет кругом в предчувствии объема предстоящей работы.

Вам поможет комплект средств безопасности нового поколения, к которым относятся протестированные нами «сканеры безопасности» (security scanners). Появившиеся в результате совершенствования таких средств, как SATAN и ISS, эти пакеты анализируют данные о настройке вашей системы безопасности, а затем, используя собственный алгоритм проверки, определяют имеющиеся «дыры» в системе безопасности или недостатки ее конфигурации.

Мы испытали четыре таких сканера: NetSonar Vulnerability Scanner фирмы Cisco Systems, Internet Scanner 5.0 фирмы Internet Security Systems (ISS), Netective Site 1.0 фирмы NETECT и Ballista Security Auditing System 2.4 фирмы Secure Networks.

Работа всех перечисленных продуктов произвела на нас хорошее впечатление, но мы с сожалением должны отметить и их недостатки. Каждый сканер хорошо работал в какой-либо одной среде, чего никак нельзя сказать об их функционировании в других. Продукт Netective единственный выполнял проверку программных кодов и обеспечивал эффективное обновление версий ПО. Кроме того, процедуры лицензирования Netective и Internet Scanner оказались весьма сложными и у большинства протестированных продуктов механизм формирования отчетов являлся недостаточно гибким. Если бы объединить интерфейс Internet Scanner с тщательностью проверки и гибкостью Ballista, а также с имеющимися возможностями Netective по принудительному обновлению программ с проверкой работоспособности системы и добавить к этому гибкость настройки генератора отчетов NetSonar, то это было бы просто здорово!

Internet Scanner получил наш приз Editor Choice по одной-единственной причине: он находил «дыры» там, где мы и ожидали, а также обнаруживал и те, о которых мы не подозревали. Кроме того, работал он более аккуратно, чем другие сканеры. Данный продукт содержит наиболее качественный и полный набор средств проверки для Windows NT, начиная от определения возможности атаки типа «отказ в обслуживании» до проверки уязвимости режима администрирования системы. С его помощью также можно исключить использование очевидных паролей. При наличии в арсенале Internet Scanner ряда средств для проверки Unix-систем, низкоуровневого IP-тестирования, а также информации о «дырах» в системах VAX/VMS, он представляется достаточно хорошим и законченным продуктом.

Internet Scanner 5.0 фирмы ISS

Занимающаяся уже продолжительное время созданием средств обеспечения безопасности компания ISS привнесла свой многолетний опыт в новую разработку — «сканер безопасности». Данный программный инструмент обеспечивает проведение самых разных проверок и предоставляет сетевому администратору детальные отчеты. Internet Scanner — наиболее тщательно разработанный продукт из тех, которые мы протестировали. Конкуренцию ему может составить только сканер Ballista производства Secure Networks. Тем не менее, как и другие продукты, Internet Scanner имеет недостатки, заключающиеся в неспособности обнаруживать некоторые «дыры» в защите сети и в медленной процедуре обновления ПО, осуществляемой вручную.

Мы испытывали Internet Scanner на сервере Windows NT с процессором Intel (данный продукт также поддерживает ОС AIX, HP-UX, Linux и Solaris). По завершении инсталляции программа предложила нам выбрать один из трех возможных вариантов сканирования: упрощенный, обычный и интенсивный. Последний мы и выбрали. После указания нами соответствующих IP-адресов сканер начал «прощупывать» сеть с помощью команды ping. Сформировав список сетевых узлов, мы запустили процедуру интенсивного тестирования.

Internet Scanner оказался единственным из испытывавшихся нами продуктов, который смог обнаружить известную «прореху» в программе NetWare Web-Server 2.5. Используя некорректную CGI-программу, злоумышленник мог получить доступ практически ко всем файлам системы, в частности к файлу AUTOEXEC.NCF, который обычно содержит пароль для команды RCONSOLE. И хотя Internet Scanner не до конца справился с другой проблемой, он все же привлек к ней наше внимание, выдав предупреждение общего характера «./../», чему причиной оказалась «дыра» в ПО Internet Information Server.

Подобно продукту Ballista, Internet Scanner осуществляет несколько процессов сканирования одновременно, что весьма позитивно отражается на общей производительности. В тестируемой нами сети программа просканировала 20 узлов менее чем за 15 мин. Только в самом конце испытаний у нас возникла проблема. Во время сканирования третьей по счету сети процесс «завис» на машине с ОС Windows NT. Даже после того, как тестирование других узлов было закончено и мы собрались просматривать отчеты, Internet Scanner все еще продолжал работу на этой машине.

Мы попытались приостановить процесс, чтобы изучить результаты работы программы на других машинах, но не смогли. Когда же мы попытались вообще завершить процедуру сканирования, программа «закрылась» и утратила все полученные данные.

Весьма примечателен во многих отношениях механизм генерации отчетов, имеющийся в Internet Scanner. Используя готовые формы, вы можете получить любой отчет — от иллюстрированных графиками сводок для руководства до подробных технических данных по каждому возможному месту взлома с рекомендациями по его устранению. Особенно нам понравился детальный технический отчет. Пытаясь решить проблему, связанную с удаленным запросом учетных имен в операционной системе Windows NT, мы получили точные инструкции по изменению системного реестра и ссылки на статьи в MS Knowledge Base для доступа к дополнительной информации. К сожалению, механизм генерации отчетов тоже не лишен некоторых недостатков. Во время подготовки отчетов неудовлетворительно работала функция сортировки по IP-адресам. Принятый компанией ISS график выпуска обновленных версий продукта (всего лишь несколько раз в году) тоже представляется недостаточно продуманным.

Ballista Security Auditing System 2.4 фирмы Secure Networks

Мы протестировали продукт Ballista Security Auditing System, воспользовавшись аппаратной платформой Intel с ОС Windows NT и Linux. ПО Ballista предоставляет собой развитый комплекс средств для углубленной проверки сетевой безопасности с возможностью его адаптации к нуждам пользователя. Проводя обновление ПО каждые две недели, Ballista устраняет тем самым недостаток, присущий программе Internet Scanner.

Во время нашего тестирования программа Ballista обнаружила, что в конфигурации Secure Shell (SSH) нескольких узлов сети установлены доверительные отношения с удаленными хостами. В противоположность этому программа Internet Scanner полностью проигнорировала информацию о SSH. Если Secure Networks сумеет обеспечить в своем продукте боўльшую функциональность механизма генерации отчетов, добавив к нему, например, рекомендации по устранению проблем и ссылки на дополнительные источники информации, а также придаст больше гибкости процедуре сканирования, тогда можно будет говорить о нем как о хорошем конкуренте Internet Scanner. Ballista обнаруживает большинство «дыр», но не предлагает решений по их устранению, вынуждая вас самостоятельно искать пути их ликвидации.

Ballista предлагает вам несколько весьма интересных функций, включая активный подбор паролей. Эта функция наверняка придется по душе опытным пользователям Unix-систем, которых не устраивают функциональные возможности системы парольной защиты Windows NT.

Ballista располагает широкими возможностями для индивидуальной настройки ПО. С помощью инструмента CAPE мы добавили несколько своих сценариев в ходе тестирования на предмет предполагаемых атак типа «отказ в обслуживании». Мы также с удовлетворением отметили тот факт, что Ballista поддерживает самые разные платформы, включая все, какие только есть, реализации Unix на основе Intel.

Следует все же отметить основные недостатки программы Ballista. Не предоставляя вам простых способов сортировки данных, Ballista может вызвать у вас чувство обреченности.

Еще одним недостатком Ballista является избыточность предупреждений об угрозах с небольшой степенью вероятности. Нас особенно позабавил случай, когда Internet Scanner выдал 9 предупреждающих сообщений об одном из Unix-узлов, а Ballista — целых 19! Одно из предупреждений, выданных Ballista, касалось информации, распространяемой через Telnet. Разобравшись, мы обнаружили причину появления данного предупреждения. Подозрительный узел выдавал каждому пытавшемуся обратиться к нему следующую строчку: «Всем незарегистрированным пользователям устроим “темную”!». Получив от Ballista такого рода «сюрпризы» и не имея дополнительной информации, слабо подготовленные в вопросах безопасности системные администраторы долго чесали бы затылки, прежде чем поняли, что это просто шалость.

И еще: вопреки тому, что программа обеспечивает значительно более детализированную проверку серверов DNS по сравнению с другими продуктами, она все же «не заметила» некоторые серьезные «дыры», включая возможность атаки типа «Red Button».

NetSonar Vulnerability Scanner фирмы Cisco Systems

Первый официальный релиз программы NetSonar вошел в номенклатуру продукции фирмы Cisco после приобретения ею компании WheelGroup. В настоящее время NetSonar поддерживает только ОС Solaris (как для Intel, так и SPARC). Продукт обеспечивает широкие возможности в части сканирования сети, генерации отчетов и настройки конфигурации. Тем не менее его отчеты недостаточно детально проработаны. Общее впечатление от NetSonar хорошее, но в какой-либо отдельной области он не выделяется.

Во время тестирования NetSonar обнаружил большинство «дыр», но его производительность была заметно ниже, чем у остальных продуктов. Требования к объему памяти компьютера — минимум 64 Мбайт ОЗУ в сочетании с размером файла подкачки в 384 Мбайт — явились первым признаком того, что в продукте имеются какие-то недоработки. Поначалу мы думали, что всему причиной была наша рабочая станция SPARC-5, но, после того как понаблюдали за работой программы Netective на этой же системе, сделали вывод, что алгоритм работы у NetSonar недостаточно эффективен. Мы доставили в лабораторию компьютер на базе процессора Pentium и установили на него ОС Solaris для Intel, но это не решило проблему. Значит, если вам потребуется большая производительность, придется приобретать дополнительные комплектующие.

Отставив в стороне вопрос о производительности, отметим, что NetSonar предлагает хороший комплекс процедур проверки безопасности систем и выполняет углубленный поиск «дыр». Во время тестирования программа предложила нам задать расписание множественных сеансов сканирования. В дополнение к этому NetSonar обеспечивает очень гибкое формирование отчетов с помощью схем, графиков и обобщенного представления полученных данных.

Аналогично Internet Scanner данная программа может формировать отчеты для специалистов разного уровня — от руководителей до инженеров. Продукт NetSonar может занять прочные позиции в своем секторе рынка, если будет снабжен более подробными рекомендациями. В отличие от Internet Scanner, который всегда отсылал нас к источникам с детальным описанием проблем и их решений, большинство сообщений NetSonar об обнаруженных ошибках представляли собой несколько рекомендаций с изредка встречающимися ссылками на другие источники.

Хотя недостаток детализации вызвал у нас чувство неудовлетворения, мы отдали должное гибкой политике лицензирования NetSonar. Нам была предоставлена лицензия для класса С, позволяющая работать с любым количеством адресов, начиная с 255. Для администраторов сетей среднего класса с фиксированной конфигурацией это может и не иметь значения. Но независимые консультанты наверняка такую возможность одобрят. В отличие от Cisco фирма ISS предлагает посетить ее Web-узел, и после указания серийного номера продукта вы должны будете выбрать фиксированный диапазон IP-адресов (которые Internet Scanner все равно воспринимает не полностью), загрузить соответствующий текстовый ключ, а затем ввести его в вашу программу. Что же касается продукта Ballista, то в нем для аналогичных целей используется процедура интерактивной генерации ключа.

Наши главные нарекания в отношении NetSonar касаются недостаточной интерактивности продукта. Вначале мы ошибочно установили диапазон проверки, и, вместо того чтобы выдать предупреждение о возникшей проблеме, NetSonar начал работу, которая завершилась аварийно, и не оставил никакой информации об ошибках. Кроме того, когда срок действия нашей лицензии закончился, NetSonar не смог заранее «предупредить» нас о необходимости его продления.

Netective Site 1.0 фирмы NETECT

Явно выделяясь среди протестированных программ скоростью своей работы, продукт Netective Site производства фирмы NETECT все же выглядит «недорослем». Созданный на базе очень мощного алгоритма, он тем не менее не обеспечивает той тщательности проверки, какая характерна для Ballista и Internet Scanner. Во время лабораторных испытаний эта программа не смогла обнаружить значительное количество серьезных «дыр» в защите сетей.

Для проверки серверов Solaris мы применили Netective Site на базе процессоров SPARC. Подобно NetSonar, Netective Site проверяет все ОС, но работает только на компьютерах фирмы Sun Microsystems. Компания NETECT почти все внимание сконцентрировала на обновлении версий и на функции проверки программных кодов. По нашему мнению, фирма-разработчик должна приложить больше усилий в области поддержки базы данных для процедур проверки, иначе продукт будет неизбежно проигрывать по основным направлениям тестирования. Во время наших испытаний Netective Site полностью игнорировал «дыры» в службах DNS и «не обращал никакого внимания» на проблемы, связанные с нижним уровнем IP, уязвимыми местами маршрутизации, равно как и с выполнением команды admin ОС Solaris, и на другие аналогичные критические места в области безопасности. Отметим также, что программа не могла верно определять типы серверов.

Netective Site предоставляет ссылки для обращения за дополнительной информацией, хотя здесь не обошлось без курьеза. С одной стороны, когда мы разбирались с поступавшими сообщениями Netective Site во время проверки им сервера Samba, то обнаружили ссылку на прекрасный Web-ресурс, посвященный проблемам SMB/CIFS. Наличие такой функции у всех программ можно было бы только приветствовать. С другой стороны, Netective Site принял наш маршрутизатор Cisco 3000 за некий «гибрид» Unix и Windows NT, указав при этом, что служба Samba запущена на нем одновременно с Netscape Web Server. Эта досадная ошибка вообще не имеет смысла, поскольку IOS фирмы Cisco даже и не предполагает самой возможности такой работы.

Netective Site выгодно отличается от других продуктов своими функциями в части обновления версий ПО. Одно из самых существенных наших нареканий к большинству программ заключалось в том, что их обновление осуществляется очень редко. Компания NETECT учла этот недостаток и исправила его в своем продукте. Используя простую почтовую программу SMTP, Netective Site получает необходимое обновление с Web-узла компании. Следует отметить, что NETECT — единственный разработчик, обеспечивший такую возможность. Проводя испытания, мы автоматически получили с Web-узла новый файл с дополнениями и с удовольствием наблюдали, как наша программа самостоятельно производила обновление. Данный процесс требует использования цифровой подписи, благодаря чему можно своевременно получить полный, безопасный и качественный пакет. Нельзя не отметить и хороший дизайн интерфейса. Короче — вся процедура обновления вызвала наше полное одобрение.

Функция контроля целостности программных кодов Netective Site значительно превосходит по своей действенности такие же функции, имеющиеся во всех остальных программах. Если вы знакомы с пакетом программ Unix Tripwire, вы наверняка согласитесь с нашим мнением. Взломщики довольно часто заменяют основные файлы и программы их модифицированными версиями, открывающими доступ ко всей вашей системе. Избавиться от последствий таких атак на важнейшие программы в большинстве случаев можно только путем полной переустановки системы. Чтобы бороться с подобными вторжениями, встроенная утилита Netective Scanner «опрашивает» все файлы и проверяет их подлинность на уровне двоичного кода. Благодаря такому алгоритму почти невозможно обмануть сканер, внося изменения в файлы.

Мы проверили это на сервере Netra фирмы Sun, работающем под управлением операционной системы Solaris 2.6. Используя процедуру обновления Netective и имеющийся дистрибутив, мы получили набор подписей для проверки подлинности программ. Затем мы заменили программу ping на ее модифицированную версию, имеющую скрытую функцию, которая предоставляет полный доступ к ресурсам машины. Вновь запустив Netective, мы получили предупреждение и рекомендацию проверить подозрительную программу.

Netective оказался единственным продуктом, обеспечивающим такую высококачественную проверку. К сожалению, он работает только на платформе Solaris. В следующей версии продукта компания NETECT планирует дополнить вышеуказанную процедуру программой-агентом, которая будет направлять информацию главной программе — сканеру Netective.





  
10 '1998
СОДЕРЖАНИЕ

колонка редактора

• Наперегонки со светом

локальные сети

• Недорогие серверы на базе Pentium II

• Экранировать или не экранировать?..

• Интеграция NetWare и Windows NT

• Локальная сеть - кварц или медь?

• RAID: концепция живет и развивается

• Новые программные средства закрывают брешь в управлении Windows NT

бизнес

• NT-серверы IBM вырываются вперед

• SMCC расширяет каналы сбыта

• Слияние двух надежд

интернет и интрасети

• Ingram - поставщик услуг электронной коммерции

• Лоцманы в море информации

корпоративные сети

• Бум пропускной способности

• Технология ATM и современные корпоративные сети

• Хвала Общей информационной модели

• Объектное расширение реляционной СУБД: зачем и как (Часть II. Как?)

• Выбираем пограничный коммутатор ATM

услуги сетей связи

• Интернет и ТфОП: вопросы подключения маршрутизаторов к городским АТС

• Проблемы внедрения технологии DSL

защита данных

• Средства контроля безопасности на базе протокола IP

• Резервирование в централизованных системах бесперебойного электропитания

системы учрежденческой связи

• Аспекты техобслуживания цифровых УПАТС



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх