Главная

Новости

Статьи и обзоры
  Горожанин
  Обнинск в Internet
  Web Design
  Hardware
  Software
  Безопасность
  Серфинг
  Игродром
  Relax
  Технологии
  Web-обзор
  Интернет-ликбез
  Опросник
  УП-Технологии
  ART.net

Ссылки

Архив

О нас

Контакты

Форумы

POPULAR.RU

ЧТО ТАКОЕ СКАНЕР БЕЗОПАСНОСТИ И ДЛЯ ЧЕГО ОН НУЖЕН

miller miller@bratva.ru

Сеть состоит из каналов связи, узлов, серверов, рабочих станций, прикладного и системного программного обеспечения, баз данных и т.д. Все они нуждаются в защите и оценке их защищенности.

Защита исследуется, и создаются отчеты. В некоторых системах вместо "рукопашного" вмешательства со стороны сисадмина найденная уязвимость (далее баг или дыра, в зависимости от обстоятельств) будет устраняться автоматом. Вот лишь некоторые проблемы, с которыми можно столкнуться:

· бэкдоры-трояны;

· простые passwd;

· незапароленность;

· неправильная настройка межсетевых экранов, веб-серверов и баз данных;

· и т.д.

Часто народу рассказывают об уникальных сканерах, убеждая, что они, дескать, спасут от всего и позволят обнаруживать все новые и новые дыры. Но когда им (авторам чудо-сканера) говорят что-нибудь типа "Я вчера прочитал в Bugtraq про новую дыру в моей ОСе. Чё твой сканер ее не обнаруживает?", то они начинают обвинять свои сканеры в своих же(!) багах и недоделках. Ответ на заданный вопрос очень прост. В базе данных уязвимостей сканера этой дыры пока нет. Это один из аспектов, присущий всем сканерам. Они предназначены для обнаружения только известных дыр, описание которых есть у них в базе. Они, как антивирусы, которые для эффективной работы постоянно обновляют свою базу данных. Все ЭТО заставило меня поделиться практическим опытом работы с различными сканерами безопасности и написать об их работе: чего они могут, а чего - нет.

Сканеры могут функционировать на сетевом уровне (network-based), уровне ОСи (host-based) и уровне приложения (application-based). Наибольшее распространение получили сканеры сетевых сервисов и протоколов. Это связано, в первую очередь, с универсальностью используемых протоколов. Изученность и повсеместное применение таких протоколов, как IP, TCP, HTTP, FTP, SMTP и т.п., позволяет с высокой степенью эффективности проверять защищенность системы, работающей в данном сетевом окружении. Вторыми по распространенности являются сканеры защищенности ОС. Это связано с распространением некоторых популярных ОСей (*nix и Win). Нередко компания вносит в собственные ОСи свои новшества (ярким примером является множество разновидностей UNIX), в то время как сканер защищенности ОС анализирует параметры, характерные для всего семейства одной ОС. И лишь для некоторых анализируются специфичные для нее параметры. Сканеров защищенности приложений на сегодняшний день не так много, как хотелось бы, но все же. Такие средства пока существуют лишь для широко распространенных программ, типа браузеров (Netscape, IE, Opera и т.п.), СУБД (SQL Server, Sybase Adaptive Server) и т.п.

Помимо обнаружения дырок, при помощи сканеров можно быстро определить все узлы корпоративной сети, доступные в момент проведения тестирования, выявить все используемые в ней сервисы и протоколы, их настройки и возможности для несанкционированного воздействия (как изнутри корпоративной сети, так и снаружи). Также они помогают устранить выявленные недостатки в своей системе безопасности.

Есть два способа нахождения уязвимостей - сканирование (scan) и зондирование (probe).

Сканирование: cканер пытается определить наличие уязвимости без фактического подтверждения ее наличия. Этот метод является наиболее быстрым и простым для реализации. В терминах компании ISS данный метод получил название "логический вывод" (inference) - этот процесс находит открытые порты, найденные на каждом сетевом устройстве, и собирает связанные с портами заголовки (banner), найденные при сканировании каждого порта. Каждый полученный заголовок сравнивается с таблицей правил определения сетевых устройств, операционных систем и потенциальных дыр. На основе проведенного сравнения делается вывод о наличии или отсутствии дыры.

Зондирование: активный анализ, позволяющий убедиться в присутствии(или отсутствии) на сканируемом узле(компе) дыры. Зондирование выполняется путем имитации атаки, использующей проверяемую дыру. Этот метод более медленный, чем "сканирование", но всегда более точный. Данный метод получил название "подтверждение" (verification) - этот процесс использует информацию, полученную в процессе сканирования ("логического вывода"), для детального анализа каждого сетевого устройства. Этот процесс также использует известные методы реализации атак для того, чтобы полностью подтвердить предполагаемые дыры и обнаружить другие дыры, которые не могут быть обнаружены пассивными методами, например подверженность атакам типа DoS ("отказ в обслуживании" - "denial of service").

Перевода термина "exploit" я нигде не нашел и синонима в русском языке не нашел также. Поэтому воспользуюсь термином "имитация атак". Данные проверки относятся к механизму "зондирования" и основаны на эксплуатации различных дефектов в ПО.

Некоторые дыры не обнаруживают себя, пока вы не "подтолкнете" их. Для этого против подозрительного сервиса или узла запускаются реальные атаки. Проверки заголовков осуществляют первичный осмотр сети, а метод "exploit check", отвергая информацию в заголовках, позволяет тем самым имитировать реальные атаки с большей эффективностью, но с меньшей скоростью обнаруживать уязвимости на сканируемых узлах. Имитация атак является более надежным способом анализа защищенности, нежели проверки заголовков, и обычно более надежна, чем активные зондирующие проверки.

Однако случается, когда имитация атак не всегда может быть реализована. Такие случаи можно разделить на две категории: ситуации, в которых тест приводит к "отказу в обслуживании" анализируемого узла или сети, и ситуации, при которых дыра в принципе не годна для реализации атаки на сеть.

Как мы все знаем, многие проблемы защиты не могут быть выявлены без блокирования или нарушения функционирования сервиса или компьютера в процессе сканирования. В некоторых случаях нежелательно использовать имитацию атак (например, для анализа защищенности важных серверов), т.к. это может привести к большим затратам (материальным и временным) на восстановление работоспособности выведенных из строя элементов корпоративной сети. В этих случаях желательно применить другие проверки, например, активное зондирование или, в крайнем случае, проверки заголовков.

Использовать такого рода средства надо. Но хочу еще раз заметить, что не стоит считать их панацеей. Они ни в коем случае не смогут заменить специалистов в области безопасности. Они всего лишь автоматизируют их работу, помогая быстро проверить сотни узлов, в т.ч. и находящиеся на других территориях. Они помогут вам обнаружить практически все известные уязвимости и порекомендовать меры для их устранения. Они автоматизируют этот процесс, а с учетом возможности описания своих собственных проверок, помогут эффективно их применять в сети любой организации, учитывая именно вашу специфику.

Необходимо помнить, что сканер - это всего лишь часть эффективной политики безопасности сети, которая складывается не только из различных технических мер защиты (средств анализа защищенности, систем обнаружения атак, межсетевых экранов и т.п.), но и из различных организационных и законодательных мер.

P.S. Спасибо читателям за присланные письма и отзывы о первой статье. Обещаю продолжать в том же духе:)) Ежели что - пишите, задавайте вопросы.