Защита облачных технологий

Средства анализа защищенности сетей

сетевых сервисных


Перед подразделениями защиты информации и управлениями автоматизации организации периодически возникает задача проверки, насколько реализованные или используемые механизмы защиты соответствует положениям принятой в организации политики безопасности.


Контроль эффективности защиты осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации или нарушение нормального функционирования средств обработки и передачи информации.


Средства анализа защищенности, так называемые сканеры безопасности ( security scanners ), помогают определить факт наличия уязвимости на узлах корпоративной сети и своевременно устранить их (до того, как ими воспользуются злоумышленники).


Средства анализа защищенности выполняют серию тестов по обнаружению уязвимостей, аналогичных тем, которые применяют злоумышленники при подготовке и осуществлении атак на корпоративные сети. Поиск уязвимостей основывается на использовании базы данных, которая содержит признаки известных уязвимостей сетевых сервисных программ и может обновляться путем добавления новых описаний уязвимостей.

Сканирование начинается с получения предварительной информации о системе, например, о разрешенных протоколах и открытых портах, о версиях операционных систем и т.п., и может заканчиваться попытками имитации проникновения, используя широко известные атаки, например, подбор пароля ( brute force ).


Далее перечислены наиболее известные программные продукты, содержащие указанные функции.


• Security Administrator#39s Research Assistant (SARA) (www.www- arc.com/sara/)


Далее в таблице приведены результаты сравнения возможностей перечисленных программных средств. Сравнение производилось в тестовой сети, состоящей из нескольких узлов с пятью популярными ОС. На узлах сети были оставлены 17 известных уязвимостей. безопасность web сервера Кроме количества обнаруженных уязвимостей из этих 17, использовались и другие критерии сравнения, например, удобство интерфейса возможность обновления и др.


Наиболее значимые из них


Nessus Security Scanner
EEye Digital Security
Internet Security Systems
Windows NT Workstation
Возможность создания собственных проверок
Работа из командной строки
Автоматическое устранение уязвимостей
Коммерческий или бесплатный
Интерфейс (по пятибалльной шкале)
Отчёты (по пятибалльной шкале)


Лучшие результаты показали два продукта: из бесплатных - Nessus Security Scanner , из коммерческих - Internet Scanner ,


Функционировать средства анализа защищённости могут на сетевом уровне, уровне операционной системы (ОС), уровне СУБД или на уровне приложения


Средства анализа защищенности сетевых сервисов (служб)


Наибольшее распространение получили средства анализа защищенности сетевых сервисов (служб) и протоколов. Связано это, в первую очередь, с универсальностью используемых протоколов. безопасность серверов баз данных Изученность и повсеместное использование таких протоколов, как IP , TCP , HTTP , FTP , SMTP и т.п. позволяют с высокой степенью эффективности проверять защищенность информационной системы, работающей в сетевом окружении.


Использование в сетях Internet / Intranet протоколов TCP/IP, которые характеризуются наличием в них неустранимых уязвимостей, привело к появлению в последнее время новых разновидностей информационных воздействий на сетевые службы и представляющих реальную угрозу защищенности информации.

Средства анализа защищенности сетевых служб применяются для оценки защищенности компьютерных сетей по отношению к внутренним и внешним атакам. проверить безопасность По результатам анализа защищенности сетевых сервисов этими средствами генерируются отчеты, включающие в себя список обнаруженных уязвимостей, описание связанных с ними возможных угроз и рекомендации по их устранению.

К числу средств анализа данного класса относится программа SATAN (автор В.Венема), Netprobe фирмы Qualix Group и Internet Scanner фирмы Internet Security System Inc .


Средства анализа защищенности операционных систем


Вторыми по распространенности являются средства анализа защищенности операционных систем (например, UNIX и Windows NT ). безопасность веб сервера Однако, из-за того, что каждый производитель вносит в операционную систему свои изменения (ярким примером является множество разновидностей ОС UNIX ), средства анализа защищенности ОС анализируют в первую очередь общие параметры, характерные для всего семейства одной ОС. И лишь для некоторых систем анализируются специфичные для нее параметры.


Средства этого класса предназначены для проверки настроек операционных систем, влияющих на их защищенность.

К таким настройкам можно отнести параметры учетных записей пользователей ( account ), например длину пароля и срок его действия, права пользователей на доступ к критичным системным файлам, уязвимые системные файлы, установленные patch и (заплаты) и т.п.


Данные системы в отличие от средств анализа защищенности сетевого уровня проводят сканирование не снаружи, а изнутри анализируемой системы и не предполагают имитацию атак внешних злоумышленников. Кроме возможностей по обнаружению уязвимостей некоторые системы анализа защищенности на уровне ОС (например, System Scanner компании Internet Security Systems ) позволяют автоматически устранять часть обнаруженных проблем или корректировать параметры системы, не удовлетворяющие политике безопасности, принятой в организации.


Средства анализа защищенности операционных систем позволяют осуществлять ревизию механизмов разграничения доступа, идентификации и аутентификации, средств мониторинга, аудита и других компонентов операционных систем с точки зрения соответствия их настроек правилам, установленным в организации. средства защиты мобильных устройств Кроме этого, средствами данного класса проводится контроль целостности и неизменности программных средств и системных установок и проверка наличия уязвимостей системных и прикладных служб.

Как правило, такие проверки проводятся с использованием базы данных уязвимостей операционных систем и сервисных служб, которые могут обновляться по мере выявления новых уязвимостей. Системы анализа защищенности на уровне ОС могут быть использованы не только отделами защиты информации, но и управлениями автоматизации для контроля конфигурации операционных систем.


К числу средств анализа данного класса относятся:


• программное средство администратора ОС Solaris ASET ( Automated Security Tool ), которое входит в состав ОС Solaris
• пакет программ COPS (Computer Oracle and Password System) для администраторов Unix- систем
• сис System Scanner (SS) фирмы Internet Security System Inc. для анализа и управления защищенность операционных систем Unix и Windows NT/95/98.


   Database Scanner разработана американской компанией Internet Security Systems , Inc . и предназначена для решения одного из важных аспектов управления.сетевой безопасностью - обнаружения уязвимостей.

Сис Database Scanner обнаруживает различные проблемы, связанные с безопасностью баз данных: слабые пароли, права доступа к объектам БД Встроенная база знаний ( Knowledge Base ), доступная непосредственно из создаваемых отчетов, рекомендует корректирующие действия, которые позволяют устранить обнаруженные уязвимости.


Сис Database Scanner может быть использована для анализа защищенности систем управления базами данных (СУБД) Microsoft SQL Server , Oracle и Sybase Adaptive Server .
Большинство нарушений безопасности связано с неправильной конфигурацией или нарушениями принятой политики безопасности. Поэтому сис Database Scanner , обеспечивающая контроль настроек и политики безопасности баз данных, является важной составляющей комплексной системы безопасности организации.


Сис Database Scanner обеспечивает высокий уровень анализа защищенности за счет проведения всесторонних проверок и следующих ключевых возможностей:


• большое число проводимых проверок
• анализ и выявление слабых паролей
• задание шаблонов для различных серверов баз данных
• централизованное управление процессом сканирования
• параллельное сканирование нескольких серверов баз данных
• запуск процесса сканирования по расписанию
• возможность работы из командной строки
• мощная сис генерации отчетов
• мощная сис подсказки
• простота использования и интуитивно понятный графический интерфейс
Все уязвимости, выявляемые программой DataBase Scanner в процессе сканирования, делятся на три категории
• Authentication Settings ( параметры аутентификации ).
• Authorization Settings ( параметры авторизации ).
• System Integrity Settings (системно-зависимые параметры).


Типы сканирования DataBase Scanner позволяет выполнить следующие типы сканирования:

    • Тест на проникновение

    • Полное сканирование

    • Оценка стойкости паролей

    Сетевой сканер Nessus - пример средства анализа защищённости


    Сетевой сканер N essus -это свободно распространяемое и надежное средство удаленного анализа защищённости узлов сети. Его последняя версия (1.0.6) содержит чуть более 500 проверок и встроенный язык их написания.


    Nessus состоит из клиентской ( nessus ) и серверной ( nessusd ) частей. Сервер nessusd предназначен для анализа защищенности сети от сетевых угроз путем осуществления тестовых попыток несанкционированного доступа с использованием уязвимостей или брешей тех или иных сервисов в защите операционной системы.
    Для использования серверной части Nessus требуется наличие ОС Unix (например. Linux или Solans).


    С целью повышения безопасности функционирования сканера обмен данными между клиентом и сервером кодируется.
    Далее рассматриваются некоторые наиболее важные характеристики сканера Nessus .

    Модульная архитектура


    Все тесты оформлены как внешние подключаемые модули ( Plug - in ). безопасность сайта Поэтому можно легко добавлять новые тесты без изменения демона Nessusd .
    Nessus включает язык описания атак NASL ( Nessus Attack Scripting Language ), позволяющий создавать новые тесты на уязвимость. Тесты могут быть также написаны и на языке С.
    Сканер Nessus не использует предположение, что службы имеют стандартные номера портов.

    Таким образом, web -сервер будет идентифицирован, даже если он использует, например, порт 8080.


    Отчёты, генерируемые сканером Nessus , содержат описание обнаруженных уязвимостей и меры по их устранению. Отчёты могут быть экспортированы в форматы ASCII text , LaTeX , HTML
    Возможен параллельный запуск процессов сканирования нескольких узлов сети. Количество сканируемых узлов ограничено лишь мощностью узла, производящего сканирование.

    Похожие статьи Pentest