Статьи
Вибір мережевого сканера для аналізу захищеності мережі
ІНСТРУМЕНТИ
Олексій Марков, Сергій Миронов, Валентин Цирль,
Співробітники НПП "Безпечні інформаційні технології" (www.npp-bit.ru)
З розвитком інформаційних систем і технологій зростає і число вразливостей програмних ресурсів. Широке розповсюдження засобів реалізації загроз, в тому числі вірусного типу, обумовлює актуальність різних систем аналізу захищеності. При аудиті безпеки, атестації та сертифікації автоматизованих систем (АС) часто використовуються мережеві сканери вразливостей, що дозволяють проводити інвентаризацію мережі і ідентифікацію проломів. На ринку програмних засобів представлено досить багато подібних сканерів - від умовно безкоштовних і з відкритим кодом до спеціалізованих комплексів аудитора інформаційної безпеки. У цій статті розглядаються особливості мережевих сканерів, що працюють в середовищі Windows.
Діаграма результатів порівняльного аналізу сканерів
Загальні можливості мережевих сканерів вразливостей
Мережеві сканери служать для аналізу захищеності мережі шляхом сканування і зондування мережевих ресурсів і виявлення їх вразливостей. Застосування сканерів дозволяє вирішити такі завдання:
- інвентаризація ресурсів, що включають пристрої мережі, ОС, служби і ПО;
- ідентифікація і аналіз вразливостей;
- формування звітів, в тому числі з описом проблем і варіантами усунення.
Для оцінки ефективності рішення цих задач ми досліджували п'ять сканерів:
- "Ревізор мережі" 1.2.1.0 ( "ЦБІ-сервіс");
- XSpider 7.0 (Positive Technologies);
- Retina 4.9.221 (eEye Digital Security);
- Tenable NeWT 2.0 (Tenable Network Security);
- Internet Scanner 7.0 (Internet Security Systems).
Відбираючи продукти на тестування, ми віддали перевагу вітчизняним сканерів, які пройшли сертифікацію в нашій країні, - XSpider і "Ревізор мережі". Вибір Internet Scanner (IS) обумовлений його лідируючим положенням за обсягом продажів і декларованому кількості виявлених вразливостей (див .: Snyder J. We tested five VA scanners to see how well they illuminate holes in your systems. How Vulnerable? Information Security, March 2003) . З вартісних міркувань був узятий для дослідження широко відомий і доступний на некомерційній основі сканер NeWT (Windows-порт Nessus). І крім того, до цього списку було додано поширений сканер Retina (див., Наприклад, www.ptsecurity.ru/compare2.asp). Всі сканери функціонують в середовищі Windows і мають нерозподілений архітектуру (див. Табл. 1).
Таблиця 1. Мережеві сканери
Слід зазначити, що в наші цілі не входило академічне всебічне дослідження сканерів; не перевіряли ми їх можливості і як інструменту хакерських атак. Тому в якості середовища випробувань були обрані типові об'єкти АС, що підлягають частим перевіркам на предмет безпеки в реальному житті. Випробувальний стенд включав підмережа класу C з робочими станціями, що функціонують під управлінням MS Windows 95/98 / NT 4.0 SP1 Server / 2000 Professional / 2003 Server, MCBC 3.0 і Red Hat Linux 7.1. Вибір вітчизняної захищеної ОС МСВС не випадковий, так як вона рекомендована для побудови АС в захищеному виконанні по лінії держзамовлення. Крім стандартних служб додатково використовувалися поштові сервери Kerio 5.5.0, Merak 4.4.1, Web-сервери Apache 2.0.50, IIS 6.0, IIS 2.0, FTP-сервер BlackMoon 2.2.3 і MS SQL Server 8.00.760. Установка всіх засобів і систем виконувалася в режимах за замовчуванням. Нестандартні серверні компоненти і засоби міжмережевого екранування були відсутні, параметри протоколів стека TCP / IP були встановлені в значення за замовчуванням.
Для контролю можливостей сканерів по виявленню помилок адміністрування деякі параметри налаштування підсистем захисту в ході тестів змінювалися в бік зниження ступеня безпеки.
До основних перевірок були віднесені наступні: 1) оцінка якості сканування портів і можливості ідентифікації ОС і сервісів; 2) оцінка можливостей виявлення вразливостей; 3) аналіз зручності інтерфейсу і повноти формування звітів.
Методика оцінки результатів дослідження
1. Оцінка якості інвентаризації ресурсів була розбита на наступні перевірки:
- сканування TCP- і UDP-портів;
- ідентифікація ОС;
- ідентифікація TCP- і UDP-сервісів.
Незважаючи на те що для першої перевірки зручні сканери портів (такі, як nmap), сканери уразливості визначають активні мережеві сервіси, використовуючи результати, отримані на етапі сканування портів. Тому дана перевірка є досить важливою.
Сканування TCP- і UDP-портів проводилося для фіксованої конфігурації випробувального стенду, і потім результати були зіставлені з реальним переліком відкритих портів, отриманих за допомогою штатних засобів відповідної ОС. При цьому давалися такі експертні оцінки: +1 за правильно певний відкритий порт; -1, якщо закритий порт помилково визначався як відкритий або відкритий - як закритий.
Завдання ідентифікації ОС є базовою при зборі інформації про віддаленому комп'ютері. Якість її виконання - хороший показник можливостей по ідентифікації сервісів в цілому, оскільки визначення точної версії ОС вимагає застосування складних комплексних методів.
Якість ідентифікації ОС оцінювалося за результатами сканування за такими правилами: +3 бали за точно ідентифіковану ОС (з точністю до версії); +1 бал за правильно ідентифіковане сімейство ОС; 0 балів за результат видачі списку можливих сімейств (наприклад, Windows і HP), в якому міститься правильну відповідь; -1 бал за неправильно ідентифіковану ОС.
Таблиця 2. Сканування портів
Додатково були проаналізовані можливості сканерів по ідентифікації ОС з нестандартним набором мережевих сервісів і нестандартними параметрами протоколів стека TCP / IP.
Ідентифікація сервісів є одним з основних завдань будь-якого сканера, так як без коректного визначення версій активних мережевих служб можна виконати аналіз їх вразливостей. Аналіз правильності ідентифікації сервісів проводився шляхом сканування комп'ютерів з тестової підмережі, на яких були сконфігуровані додаткові серверні компоненти. Результати сканування порівнювалися з реальним переліком.
Якість ідентифікації сервісів оцінювалася відповідно до такої градації: +3 бали за точно ідентифікований сервіс (з точністю до версії); +1 бал за точно ідентифіковане сімейство сервісів; -1 бал за неідентифікованих сервіс; -3 бали за помилково ідентифікований сервіс.
Таблиця 3. Ідентифікація ОС
Вибір такої оціночної системи мотивований тим, що практичне значення може мати тільки точна ідентифікація TCP- або UDP-сервісу. Ідентифікація сімейства сервісів, напевно, в ряді випадків корисна, однак її явно недостатньо.
2. Якість виявлення вразливостей - основна характеристика сканера безпеки, але вона найбільш важко піддається формальної оцінки. Для аналізу були відібрані добре відомі для даних версій продуктів уразливості. Оцінки виставлялися за такими правилами: +2 бали за точно ідентифіковану вразливість; -1 бал за помилкове спрацьовування; -2 бали за існуючу, але не ідентифіковану вразливість.
Ступінь критичності вразливостей через умовності такого поділу, а також їх відмінності для різних продуктів було вирішено не враховувати. При цьому очевидно, що будь-яка некоректність при ідентифікації вразливостей небажана.
Таблиця 4. Ідентифікація сервісів
3. При аналізі зручності роботи враховувалися наявність планувальника (для проведення тестування за розкладом), а також можливості:
- створення профілів перевірок (власного набору перевірок);
- генерації звіту для технічного фахівця, що містить докладну інформацію про проведені перевірки та їх результати;
- генерації звіту, що містить узагальнену високорівневу інформацію про дослідженою системі і про результати перевірок (призначений для керівника);
- призупинення сканування;
- повторного сканування окремих сервісів (що може бути корисно, наприклад, при перезавантаженні цільового комп'ютера).
Крім цього для кожного сканера експерти виставляли суб'єктивну оцінку зручності інтерфейсу користувача.
Результати порівняльного аналізу
За підсумками проведених випробувань були отримані наступні результати.
1. При скануванні TCP-портів все сканери, за винятком IS, при незначному лідерство XSpider в цілому впоралися зі скануванням портів. У лабораторних умовах продукт фірми ISS показав несподівано низький результат.
Результати сканування UDP-портів у всіх сканерів виявилися незадовільними. Щодо лідирували тут "Ревізор мережі" і IS, однак і той і інший видали помилкові повідомлення при скануванні робочих станцій під МСВС: переможців в даному тесті просто немає.
2. При ідентифікації ОС сканери задовільно визначили операційну систему лінійки Windows, показавши менш точні результати по Linux. Кращі результати були у NeWT, який визначив все системи з точністю до версії або версії ядра. XSpider стабільно визначив сімейство ОС. Недостатньо високі результати виявилися у "Ревізора мережі".
Таблиця 5. Аналіз можливостей по виявленню вразливостей
3. При ідентифікації TCP-сервісів лідерами стали XSpider і NeWT (більше 80% правильних відгуків). Вельми низький результат показав IS: жоден сервіс не був ідентифікований з точністю до версії.
Результати ідентифікації UDP-сервісів були незадовільні для всіх сканерів: чи не ідентифіковано і половини сервісів. Значна кількість помилково певних неіснуючих сервісів продемонстрував "Ревізор мережі". "Лідерство" XSpider все ж навряд чи можна визнати задовільним результатом (переможця в даному тесті знову-таки немає).
4. За результатами аналізу вразливостей в кращу сторону виділилися NeWT, XSpider і Retina при лідерстві першого. Сканер IS в цілому показав недостатньо високі результати, однак істотно краще за інших впорався з аналізом конфігурацій механізмів безпеки Windows (некоректні налаштування політики паролів і колективні ресурси).
Найменше помилкових спрацьовувань відзначено у XSpider і IS. Вельми багато їх було у "Ревізора мережі", який знайшов уразливості неіснуючих сервісів. Так, навіть після коректної ідентифікації Web-сервера сканер знайшов уразливості у зовсім іншого сервера.
5. Порівняльний аналіз генераторів звітів показав, що всі сканери забезпечують формування звітних форм і експорт їх в HTML, однак найбільш повно цей механізм реалізований у IS: звіт містить докладні покрокові інструкції щодо усунення виявлених вразливостей, має зручну структуру і може бути експортований в усі поширені формати. Надзвичайно лаконічно організований звіт NeWT.
Щодо інтерфейсу слід вказати, що зручна можливість повторного сканування окремого сервісу присутній тільки у XSpider. З найбільш прикрих недоліків інтерфейсу відзначимо важко інтерпретуються переклади на російську мову назв служб в "Ревізорі мережі", наприклад: "Протокол завантаження сервера", "Протокол пересилки файлів" і ін.
Таблиця 6. Аналіз зручності і повноти інтерфейсу
Слід зазначити недоліки, властиві всім сканерів, а саме: відсутність можливостей автоматизації виправлень і додавання власних перевірок, а також відсутність автоматизованого контролю змін в ресурсах мережі після останнього сканування. Демоверсії продуктів є тільки для XSpider, NeWT і IS.
Отримані в нашому дослідженні оцінки сканерів проілюстровані на діаграмі.
висновок
Важко виділити безумовно кращий сканер безпеки - всі вони по-різному справляються з різними завданнями. Однак можна зробити деякі висновки.
Всі сканери недостатньо добре ідентифікують UDP-сервіси, що, очевидно, пов'язано з особливостями методу UDP-сканування.
Сканери краще працюють з ОС лінійки Windows NT, ніж Linux. Можливо, цей результат пояснюється більшою стандартизованность ОС Microsoft.
Найдорожчий сканер - IS - продемонстрував у ряді випадків не надто високі результати, тоді як некомерційний представник сімейства Nessus виявився одним з кращих.
У лабораторних умовах NeWT і XSpider забезпечили найкращі показники (різниця між ними знаходиться в межах статистичної похибки), Retina - хороші результати, дещо відстають IS і "Ревізор мережі".
Таким чином, проведене дослідження дозволяє говорити про доцільність використання декількох сканерів вразливостей при аудиті безпеки або в ході атестаційних та сертифікаційних випробувань АС і міжмережевих систем захисту інформації.
Тільки зареєстровані користувачі можуть залишати коментарі.
How Vulnerable?