Системы анализа защищенности на уровне сети

Взаимодействие абонентов в любой сети базируется на использовании сете­вых протоколов и сервисов, определяющих процедуру обмена информацией между двумя и более узлами. При разработке сетевых протоколов и сервисов в начале 1970-х гг. к ним практически не предъявлялись требования по обеспечению безопасности обрабатываемой информации. Вследствие чего постоянно появляются сообщения об уязвимостях, обнаруженных в различ­ных реализациях этих компонентов сетевого взаимодействия. Поэтому существует необходимость в постоянной проверке всех используемых в корпоративной сети протоколов и сервисов.

Системы анализа защищенности выполняют серию дистанционных тестов по обнаружению уязвимостей, аналогичных тем, которые применяют злоумышленники при осуществлении атак на корпоративные сети. Сканирование начинается с получения предварительной информации о сканируемой системе, например, разрешенных протоколах и открытых портах, версии операционной системы, нередко включающего попытки имитации проник­новения с использованием широко известных атак, например, "подбора па­роля" ("brute force").

Но не стоит думать, что при помощи средств анализа защищенности на уровне сети можно тестировать только возможность несанкционированного доступа в корпоративную сеть из сетей открытого доступа (например, Inter­net). Эти средства с не меньшим успехом могут быть использованы для ана­лиза некоторых сегментов или узлов внутренней сети организации. Системы анализа защищенности на уровне сети могут найти применение как в отде­лах защиты информации — для оценки уровня безопасности организации, так и в управлениях информатизации — для контроля эффективности на­стройки сетевого программного и аппаратного обеспечения. Это два наиболее распространенных типа внедрения систем анализа защищенности. Од­нако, есть и другие варианты. Например, внешними аудиторскими и консалтинговыми компаниями, осуществляющими информационные обследования сетей своих заказчиков. Есть и более интересные возможности — например, для тестирования и сертификации того или иного программно-аппаратного обеспечения. Этот вариант очень популярен "на Западе" при оценке качества сетевого оборудования, межсетевых экранов и т. п. различ­ными тестовыми лабораториями. В России такая практика пока не получила широкого распространения. Однако и у нас зафиксированы факты приме­нения средств анализа защищенности. Гостехкомиссия России использует систему Internet Scanner в процессе сертификации межсетевых экранов на соответствие требованиям руководящих документов [Jet l-99]. В настоящий момент существует более сотни различных программ, автоматизирующих поиск уязвимостей сетевых протоколов и сервисов. Одни средства ориентированы на обнаружение целого спектра различных уязвимостей, другие — только на определенную их категорию. Например, система Internet Scanner является одним из самых известных инструментов поиска "дыр" и обнаруживает более 900 различных уязвимостей, принадлежащих различным категориям: Denial of Service, Brute Force, FTP, LDAP, RPC, NIS, NFS, DNS и т. д. А система Whisker была создана специально для сканирования Web-серверов и позволяет выявлять уязвимые CGI-сценариев [Шипли 1-00].

Первые средства анализа защищенности на уровне сети появились в начале 1990-х гг. "на заре" широкого распространения сетей, построенных на базе стека протоколов TCP/IP. Одним из первых по популярности среди них является свободно распространяемая система анализа защищенности Unix систем — SATAN (Security Administrator Tool for Analyzing Networks), выпущенная 5 апреля 1995 года двумя специалистами в области информационной безопасности Витсом Венема и Дэном Фармером [Freiss l-98]. Из других аналогичных средств можно назвать Internet Security Scanner (затем переименованный в Internet Scanner), Nmap, Queso.

Средства анализа защищенности уровня сети анализируют уязвимости сетевых сервисов и протоколов, существующих в системном и прикладном программном и программно-аппаратном обеспечении, отвечающем за работу с сетью. К такому обеспечению можно отнести Web-, FTP- и почтовые серверы, межсетевые экраны, браузеры, маршрутизаторы, коммутаторы и т. п.

Типичная схема реализации анализа защищенности (на примере системы Internet Scanner) приведена на рис. 6.7.

Преимущества и слабые стороны систем данного класса сведены в табл. 6.4.

Таблица 6.4.Достоинства и недостатки систем анализа

защищенности на уровне сети