CC BY
464
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
удк 681.3 В.Е.ВОЛКОВ
в. г. шлхов
Омский государственный университет путей сообщения
СРАВНИТЕЛЬНЫЙ АНАЛИЗ СЕТЕВЫХ СКАНЕРОВ БЕЗОПАСНОСТИ
В статье рассматртаются наиболее часто используемые в России сканеры безопасности, приводятся их характеристики и рекомендации по использованию.
Защита компьютерных сетей является неотъемлемой частью любой 1Т-инфраструктуры и в силу увеличения значимости информации важность этого направления будет только увеличиваться. Между тем решение этой задачи требует комплексного подхода, включающего разработку политики безопасности предприятия, использование всевозможных программно-аппаратных средств, обучение персонала и т. д. Кроме того, после выполнения этих мер необходимо контролировать и поддерживать состояние защищенности компьютерной сети. Одним из инструментов, позволяющих следить за уровнем защищенности сети являются так называемые системы анализа защищенности или сканеры безопасности. Цель работы — определение основных характеристик сканеров безопасности, а также сравнение наиболее часто используемых из них в России.
По сравнению с другими средствами защиты сетей, сканеры безопасности имеют несколько отличительных особенностей [ 1 ]. Во-первых, они могут быть использованы к двух противоположных назначениях,
т.е. быть как инструментом контроля и обеспечения безопасности, так и средством сбора информации злоумышленником для последующего нападения. Во-вторых, сканеры безопасности могут оказывать нежелательное воздействие на сканируемый объект. Например, во время работы сканер может генерировать большой объем трафика в сети. В случае проведения проверок на некоторые виды уязвимостей (например, подверженность ООБ-атакам) может происходить выход из строя некоторой службы или всей операционной системы. И наконец, в отличие от других средств, сканер безопасности не является средством противодействия атакам в реальном времени, как, например, брандмауэр или система обнаружения атак (СОА), а лишь определяет уязвимые места для потенциально возможных атак. Кроме того, вероятность использования некоторых уязвимостей может быть довольно низкой.
С точки зрения расположения по отношению к объекту сканирования системы анализа защищенности можно разделить ня 1 группы:
— локальные (host-based);
— дистанционные (network-based).
Сканеры «host-based» устанавливаются непосредственно на сканируемом узле, работают от имени учетной записи с максимальными привилегиями и выполняют проверки исключительно по косвенным признакам. Сканеры такого типа еще называют системными. Сканеры второго типа выполняют проверки дистанционно, т. е. по сети. Обычно такой сканер устанавливается на отдельный узел, одной из основных функции которого является периодическое сканирование. Такие сканеры называют сетевыми.
Поскольку сетевые сканеры выполняют проверки по сети, то это существенно влияет па скорость сканирования (примером может служить локальный или удаленный подбор пароля) и на достоверность результатов (ресурс просто может быть недоступен) Кроме того, между сканирующим и сканируемым узлами могут находиться устройства, осуществляющие фильтрацию трафика, что также сказывается на достоверности результатов.
Еще один вариант классификации сканеров — по их назначению:
— сканеры общего характера;
— специализированные сканеры.
Пояснить это можно следующим образом. Проверки, выполняемые сетевыми сканерами безопасности, направлены, прежде всего, на сетевые службы. Конечно, при этом осуществляется поиск уязви-мостей не только сетевых служб, но и операционных систем, а также некоторых приложений, установленных на сканируемом узле. Однако проверки, встроенные в сетевые сканеры, носят общий характер, а если и направлены в отношении приложений, опять-таки, это наиболее распространенные приложения и наиболее известные уязвимости. Та же ситуация и со сканерами уровня узла. Их проверки, может быть, чуть более направлены на операционную систему узла, где установлен агент, они могут быть направлены и на конкретные приложения, но предпочтение опять-таки не отдается какому-то одному.
Необходимость специализированных сканеров безопасности продиктована тем обстоятельством, что для детальной проверки используемого в корпоративной сети приложения возможностей обычных сетевых сканеров может не хватить. Здесь на помощь приходят специализированные сканеры, учитывающие специфику конкретного приложения и имеющие гораздо более полную информацию об уязвимос-тях. Вот перечень приложений, при анализе защищенности которых могут потребоваться специализированные сканеры:
— Web-приложения;
— СУБД и приложения их использующие;
— системы электронного документа оборота (например, Lotus Domino);
— системы управления предприятием, так называемые ERP-системы (например, SAP R/3, Oracle Application)
В общем случае сетевые сканеры безопасности могут быть использованы для решения следующих задач.
1. Инвентаризация ресурсов сети: узлов, сетевых служб, приложений. Инвентаризационное сканирование предоставляет обобщенную (базовую) информацию о сети. Параллельно решается задача обнаружения несанкционированно подключенных устройств.
2. Тестирование сети на устойчивость к взлому. Такое тестирование может осуществляться как изнутри сети, так и снаружи. В последнем случае это
XSpider
Inlsmrt 2%SSS Sijaier Rt-tiir.i
Рис. Результв-ib: oupocj по использованию сетевых сканеров безопасности
часто называют а^ылизом защищенности периметра. В протесте прокел,ени:ч такого исследования могут быть использованы л дополнительные инструменты.
3. Аудит безопасности сети или отдельных ее областей на соответствие заданным требованиям. Осуществляется периодически, например, с целью проверки правильн* ci".! и своевременности установки обновлений.
Задачи 1 и 3 чаще всего выполняю тся силами самой организации. Для решения второй задачи, как правило, привлекаются внешние ресурсы. Соответственно задачи 1 и 3 решаются чаще, тестирование сети на устойчивость к взлому осуществляется реже. Для выполнения этих задач перед предприятием возникает проблема выбора конкретного продукта, максимально удовлетворяющего требованиям предприятия и учитывающего его специфику.
По данным опроса, проведенного на сайте www. securitylab.ru, следующие 6 сетевых сканеров общего назначения наиболее часто используются в России.
Приведем сравнение характеристик 4-х наиболее популярных из них. Данные по ним приведены ниже:
— Internet Scanner 7.2.21;
— LanGuard Network Security Scanner (N. S. S.) 7.0.2006.118;
— Nessus 3.0.1;
— XSpider7.5 (Build 1611).
Использование сканера безопасности начинается с планирования развертывания и собственно развертывания. Поэтому первая группа критериев касается архитектуры сканеров безопасности, взаимодействия их компонентов, инсталляция, управления, Перечень критериев и результаты сравнения выбранных сканеров приведены в таблице 1.
Прежде чем приобретать продукт, имеет смысл оценить его, скачав пробную версию. Для всех сравниваемых сканеров данная возможность имеется. Необходимо только учитывать ограничения, имеющиеся в пробных версиях. Как видно из таблицы 2, все сканеры, кроме Nessus, имеют ограничения. Nessus отличается от своих «собратьев» тем, что является бесплатным, и поэтому для него нет смысла создавать ознакомительную версию. Что касается ограничений, то они могут быть временными, в случае Internet Scanner и LANGuard, или функциональными, как у XSpider.
Nessus, а точнее его серверная часть, устанавливается только на Linux-подобные ОС (клиентская часть существует как для Lin их, так и для Windows), в то время как остальные сканеры поддерживают только линейку Windows. Сточки зрения управления, все сканеры поддерживают как командный, так и графический интерфейс, что дает возможность пользователю выбирать более удобный способ «общения».
Немаловажным фактором является поддержка распределенной архитектуры, которая подразумевает установку на отдельный компьютер серверной части, т. р. самого сканера, а на любой другой — кли-
Критерий сравнения Internet Scanner IANGuard Nessus XSpider
Вариант пробной версии Полная с врем, ключ. Полная с врем, огран. Бесплатная Ограниченная
Платформа Windows windows unix windows
Управление Командная строка + + + +
Графический интерфейс + + + +
Аутентификация пользователей при запуске - - + -
Распределенная архитектура + - + -
Протокол взаимодействия клиекг/сервер Транспортный уровень TCP TCP
Прикладной уровень Собственный с шифрован. SSL (TLS)
Режим «несколько клиентов — один сервер» С ограничен. +
Режим «несколько серверов — один клиент» + +
Таблица 2 Сравнение сканеров по критерию сканирования
Критерий сравнения Internet Scanner IANGuard Nessus XSpider
Метод - идентификации устройств сети ICMP Ping + + + +
TCP Ping + с ограничен. + с ограничен.
UDP Discovery - - + -
ARP - - - -
Параллельная идентификация (sweet) + - + +
Обнаружение модемов + + - +
Методы идентификации открытых портов TCP Connect () + + + +
SYNScan + - + -
UDP Scan + + + +
Скрытые методы + - + -
Идентификация служб - - + +
Идентификация приложений - - + +
Идентификация ОС + + + +
Разные методы проверки одной уязвимости + - + -
Возможность отключения опасных проверок + + + +
Возможность вкл./выкл. отдельных проверок + + + -
Готовые шаблоны (политики сканирования) + + - +
Механизмы расширения Язык написания проверок - - + +
API/SDK - + - -
Ведение журналов сканирования + + + +
Параллельное сканирование + • + +
Сканирование по расписанию + + +
Таблица 3
Сравнение сканеров по критерию результатов
Критерий сравнения Internet Scanner IANGuard 1 Nessus J XSpider
Хранение резулы гатов сканирования MSDE, MSSQL MSDE, Access Собственная база С мбственная база
Вывод; результатов Описание уязвимости + +
Ссылки CVE + - 1 - - ! + +
Варианты использов. уязвимости - ■ ■ +
Рекомендации по устр. уязвимостей + г +
Форматы отчетов html, pdf, rtf txt. html, pif, rtf txt, .lim], pdf html, rtf
Наличие функций сортировок, группировки ■i. + - +
Оповещение по электронной почте - + +
Таблица 4
Итоговый результат срарнення сканеров
Критерий сравнения Internet Scanner . IANGuard Nessus XSpider
Режимы г получения обновлений Автоматически через Интернет + + + +
Вручную + + + +
Защита обновлений - - - +
Отказ от обновления + - + -
Тех. поддержка на русском языке 24'7 - 5'8
Стоимость, 32 IP 2195 (10 IP) 795 0 692
64 IP 7743 (50 IP) 575 0 971
12В IP 12050 (100 IP) 750 0 1317
256 IP 21537 (250 IP) . 1425 0 1737
Неограниченная Нет данных ' Договорная 0 Нет данных
ентскую часть, позволяющую осуществлять управление. Этот критерий очень важен для большой тер-риториально-распределенной сети, когда для качественного анализа необходимо осуществлять сканирование с большого количества разных точек. Эту конфигурацию поддерживают только 2 сканера: 1п-ternetScanner и Nessus. При этом оба они поддерживают безопасный режим обмена информацией между клиентом и сервером.
Следующая группа критериев — сканирование. Результаты сравнения характеристик относящихся к этой группе приведены в таблице 2,
Перед тем как искать уязвимости, сканер безопасности должен убедиться в доступности узла. Эта задача называется идентификацией узла сети и может быть выполнена несколькими методами:
— ICMP Ping;
— TCP Ping (SYN Scan);
— UDP Discovery;
— ARP Scan.
Метод ICMP Ping является самым простым и легко реализуемым, поэтому он используется всеми сканерами. Однако, если узел блокирует ICMP ECHO или защищен брандмауэром, то данный метод может быть неэффективен. Следующий метод TCP Ping подразумевает посылку на некоторые наиболее часто используемые порты SYN пакета, являющегося за-
просом на соединение. Этот метод очень эффективен, поскольку даже если порт закрыт, узел все равно посылает пакет сброса соединения, тем самым выдавая себя. Метод, основанный на протоколе ARP, тоже является очень эффективным, однако ни один из этих сканеров его не использует.
Следующим этапом сканирования является идентификация открытых портов, которая может осуществляться следующими методами:
— TCP Connect));
— SYN Scan;
— UDP Scan;
— скрытые методы.
Метод TCP Connect() используется всеми сканерами и представляет собой попытку установления соединения с каждым портом с последующим «штатным» разрывом соединения. Метод SYN Scan является более быстрым, поскольку при получении первого же ответа происходит разрыв процедуры установления соединения посылкой пакета сброса. Скрытые методы основаны на посылке пакетов с нестандартным сочетанием флагов (например, SYN + АСК или FIN не в контексте соединения). Всеми методами сканирования портов обладают только сканеры 1п-temetScanner и Nessus.
Перед последним этапом определения уязвимостей производится идентификация запущенных сетевых
служб, приложений и операционной системы. Хотя этапы идентификации служб и приложений имеют большое значение, эти механизмы реализованы только в сканерах Ыеэзиэ и ХБр1с1ег.
И наконец, критерии, относящиеся к процессу сканирования, т. е. к тому, для чего, собственно говоря, сканер и предназначен. Все проверки, выполняемые сканером безопасности, можно разделить на 2 категории:
• Выводы — проверки, выполняемые по косвенным признакам (без использования уязвимости);
• Тесты — проверки, выполняемые путем атаки в отношении узла.
Первый способ определяет уязвимость, например, по «баннеру» сканируемой службы или по версии какого-либо файла. Второй основан на использовании какой-либо уязвимости и в некоторых случаях может приводить к выведению из строя тестируемой службы или узла. В этой ситуации существуют опции настройки процесса сканирования, например:
— разные методы проверки одной уязвимости;
— возможность отключения опасных проверок;
— возможность включения/выключения отдельных проверок.
Кроме того, сканер может иметь механизмы создания собственных, дополнительных проверок.
Результатом работы любого сканера является перечень найденных уязвимостей, однако кроме этого может предоставляться всевозможная дополнительная информация. От объема этой информации, а также от возможностей ее хранения существенно зависит качество анализа защищенности сети. Таблица 3 содержит характеристики, связанные с предоставлением результатов работы сканеров.
Из таблицы видно, что наибольший объем информации предоставляет Х5р1с1ег.
В заключение приведем таблицу, содержащую дополнительные характеристики, касающиеся обновлений, технической поддержки и стоимости программных продуктов.
Поскольку обновление для данного типа программного обеспечения связано с качеством его работы, то и автоматическое обновление через Интернет, и ручной режим реализованы во всех четырех сканерах. Однако под видом обновлений из Интернета можно получить все, что угодно, и желательно наличие какой либо защиты процесса обновления. Данная возможность предусмотрена только у сканера XSpider.
Обобщая все приведенные выше таблицы можно сказать, что хорошими возможностями обладает сканер Nessus, а в сочетании с тем, что он распространяется бесплатно, его использование дает большие возможности в области защиты компьютерных сетей. Примерно одинаковыми возможностями обладают сканеры XSpider и IntemetScanner, но существенное отличие в стоимости последнего резко сужает возможности его использования. Хотя сканер безопасности является отличным инструментом построения защищенной сети, он должен быть грамотно использован в совокупности с другими средствами защиты.
Библиографический список
1. Internet Security Systems, Inc. Руководство по выбору технологии анализ защищенности, (www.infosec.ru).
2. Лукацкий А. В. Обнаружение атак. — СПб.: БХВ-Петербург,
2001. - 624 с.
3. Лукацкий А. В. Как работает сканер безопасности? iwww.bugtracf.ru).
ВОЛКОВ Виктор Евгеньевич, аспирант кафедры автоматики и системы управления. ШАХОВ Владимир Григорьевич, кандидат технических наук, профессор кафедры автоматики и системы управления.
Поступила в редакцию 17.05.06. © Волков В. С., Шахов В. Г.
Электронные ресурсы
На сайте издательства "Научная книга" 1тр://wvw.sbook.fu размещено информационное сообщение о проведении XII Международной открытой научной конференции "Современные проблемы информатизации".
Сборники трудов предыдущих конференций доступны на сайте Ь1! р:/Лууу\у,аЬиок.п1/ар1 в разделе "Архивы".
Обратите внимание на проекты издательства "Научная книга"/Международный научно-технический журнал "Информационные технологии моделирования и управления" - 1Ш.р:/Лу\ул'. sbook.ru/itmu
