1998 г
Система анализа защищенности Internet Scanner
Информация предоставлена НИП "Информзащита"
Что такое система анализа защищенности?
При построении любой современной информационной системы практически невозможно обойтись без разработки и реализации некоторых механизмов защиты. Это могут быть как простые механизмы (например, фильтрация пакетов), так и достаточно сложные (например, применение в межсетевых экранах технологии Stateful Inspection). Таких механизмов может и не быть. В этом случае обеспечение информационной безопасности проектируемой системы возлагается на саму операционную систему или какие-либо дополнительные средства защиты. Однако во всех этих случаях перед отделами защиты информации и управлениями автоматизации возникает задача проверки, насколько реализованные или используемые механизмы защиты информации соответствует положениям принятой в организации политики безопасности. И такая задача будет периодически возникать при изменении обновлении компонентов информационной системы, изменении конфигурации операционной системы и т.п.
Однако, администраторы сетей не имеют достаточно времени на проведение такого рода проверок для всех узлов корпоративной сети. Следовательно, специалисты отделов защиты информации и управлений автоматизации нуждаются в средствах, облегчающих анализ защищенности используемых механизмов обеспечения информационной безопасности. Автоматизировать этот процесс помогут средства анализа защищенности, называемые также сканирующим программным обеспечением (scanning software) или сканерами безопасности (security scanner). Использование этих средств поможет определить уязвимости на узлах корпоративной сети и устранить их до тех пор, пока ими воспользуются злоумышленники.
Что такое Internet Scanner?
Система анализа защищенности Internet Scanner&153; разработана американской компанией Internet Security Systems, Inc. и предназначена для решения одного из важных аспектов управления сетевой безопасностью - обнаружения уязвимостей. При помощи данной системы можно проводить регулярные всесторонние или выборочные тесты сетевых сервисов, операционных систем, распространенного прикладного программного обеспечения, маршрутизаторов, межсетевых экранов, Web-серверов и т.п. На основе проведенных тестов система Internet Scanner&153; вырабатывает отчеты, содержащие подробное описание каждой обнаруженной уязвимости, ее расположение на узлах Вашей корпоративной сети и рекомендации по их коррекции или устранению.
Система Internet Scanner&153; может быть использована для анализа защищенности любых систем, основанных на стеке протоколов TCP/IP. Это могут быть как компьютеры, подключенные к локальной или глобальной сети (Internet), так и автономные компьютеры с установленной поддержкой TCP/IP.
Постоянная уверенность в том, что в Вашей сети отсутствуют известные уязвимости, достигается путем периодического сканирования функционирующих сетевых устройств и используемого программного обеспечения. Эти профилактические меры помогут Вам своевременно обнаружить потенциальные уязвимости и устранить их до того момента, как ими воспользуются злоумышленники.
Достоинства системы Internet Scanner&153; были по праву оценены более чем 1800 компаниями во всем мире (в т.ч. и в России), использующими ее как основной компонент системы обеспечения сетевой безопасности. Кроме того, система Internet Scanner&153; имеет множество наград от различных организаций и журналов, работающих в области информационной безопасности. Кроме того, система Internet Scanner&153; содержит обширный список потенциальных уязвимостей операционной системы Windows NT, что выгодно отличает ее от других конкурирующих продуктов.
Сертификация системы Internet Scanner
2 сентября 1998 г. система Internet Scanner&153; получила сертификат Государственной технической комиссии при Президенте РФ № 195 и стала первой в России системой анализа защищенности признанной этой авторитетной в области защиты информации организацией.
Сертификация проводилась по техническим условиям (ТУ № 19-98), поскольку Руководящий документ, в котором приводятся требования к средства анализа защищенности в настоящий момент не разработан.
Применение сертифицированной системы Internet Scanner дает два преимущества по сравнению с другими аналогичными средствами.
Во-первых, "информационные системы, органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации" (Федеральный Закон РФ от 25.01.95 "Об информации, информатизации и защите информации", ст.19). Сертификация системы Internet Scanner позволяет применять ее в государственных организациях.
Во-вторых, сертификат выдается по результатам сертификационных испытаний, проводимых независимой испытательной лабораторией, назначаемой Гостехкомиссией России. В процесс испытаний осуществляется большое число тестов, которые гарантируют отсутствие "недекларированных возможностей" (Сертификат соответствия Гостехкомиссии России № 195).
Компоненты системы Internet Scanner
Система Internet Scanner&153; состоит из трех основных подсистем, предназначенных для тестирования сетевых устройств и систем (Intranet Scanner), межсетевых экранов (Firewall Scanner) и Web-серверов (Web Security Scanner).
Подсистема Intranet Scanner
Подсистема Intranet Scanner&153; - средство анализа сетевой безопасности, разработанное для автоматического обнаружения уязвимостей, использующее обширное число тестов на проникновение. Эта простая в использовании система, позволяет достоверно оценить эффективность и надежность конфигурации рабочих станций Вашей корпоративной сети.
К сетевым системам, тестируемым Intranet Scanner, относятся:
- UNIX(r)-хосты;
- Операционные системы Microsoft Windows NT&153;, Windows(r) 95 и другие, поддерживающие стек протоколов TCP/IP;
- Интеллектуальные принтеры, имеющие IP-адрес;
- X-терминалы;
- И т.п.
Администраторы безопасности, как правило, защищают только те компьютеры, на которых обрабатывается критичная информация. Однако общий уровень безопасности сети равен уровню безопасности самого слабого ее звена. Поэтому недооценка в защите нечасто используемых служб типа сетевой печати или сетевого факса могут быть использованы злоумышленниками для проникновения в Вашу корпоративную сеть или компрометации ее информационных ресурсов. Подсистема Intranet Scanner&153; поможет быстро обнаружить такие слабые места и порекомендовать меры по их коррекции или устранению.
Подсистема Firewall Scanner
Межсетевой экран - необходимое средство для защиты информационных ресурсов корпоративной сети. Но обеспечить необходимый уровень сетевой безопасности можно только при правильной настройке межсетевого экрана. Установка межсетевого экрана без проведения необходимого обследования и имеющиеся уязвимости в сетевых сервисах и протоколах - приглашение для любого осведомленного злоумышленника.
Подсистема Firewall Scanner&153; поможет максимизировать уровень защищенности Вашего межсетевого экрана путем его тестирования на наличие известных уязвимостей и неправильной конфигурации. Простота использования подсистемы Firewall Scanner&153; гарантирует достоверный анализ конфигурации межсетевых экранов, защищающих Вашу корпоративную сеть.
Подсистема Firewall Scanner&153; используется при испытаниях межсетевых экранов, проводимых практически всеми независимыми лабораториями и компьютерными изданиями. В т.ч. при помощи подсистемы Firewall Scanner&153; в 27 ЦНИИ МО РФ тестировался межсетевой экран "Застава-Джет".
Подсистема Web Security Scanner
Незащищенный Web-сервер - удобная цель для злоумышленника. Подсистема Web Security Scanner&153; поможет Вам выявить все известные уязвимости и неправильную конфигурацию Web-сервера и предложит рекомендации по повышению уровня его защищенности.
Подсистема Web Security Scanner&153; проводит анализ операционной системы, под управлением которой работает Web-сервер, самого приложения, реализующего функции Web-сервера, и CGI-скриптов. В процессе тестирования оценивается безопасность файловой системы, поиски сценариев CGI с известными уязвимостями и анализ пользовательских CGI-скриптов. Уязвимости Web-сервера идентифицируются и описываются в отчете с рекомендациями по их устранению.
Возможности системы Internet Scanner
Система Internet Scanner&153; обеспечивает высокий уровень анализа защищенности за счет проведения всесторонних проверок и следующих ключевых возможностей:
- большое число проводимых проверок;
- задание степени глубины сканирования;
- тестирование межсетевых экранов и Web-серверов;
- централизованное управление процессом сканирования;
- параллельное сканирование до 128 сетевых устройств и систем;
- запуск процесса сканирования по расписанию;
- возможность работы из командной строки;
- мощная система генерации отчетов;
- использование протокола ODBC;
- различные уровни детализации отчетов;
- различные форматы отчетов;
- функционирование под управлением многих операционных систем;
- мощная система подсказки;
- простота использования и интуитивно понятный графический интерфейс;
- невысокие системные требования к программному и аппаратному обеспечению.
Большое число обнаруживаемых уязвимостей
Текущая версия системы Internet Scanner (версия 5.4) обнаруживает более 400 уязвимостей, что почти в 1.5 раза превышает число обнаруживаемых уязвимостей у ближайших конкурентов. Система Internet Scanner проводит 20 различных категорий проверок, к которым можно отнести:
- Получение информации о сканируемой системе
- Проверки FTP
- Проверки сетевых устройств
- Проверки электронной почты
- Проверки RPC
- Проверки NFS
- Проверки возможности осуществления атак типа "отказ в обслуживании" ("Denial of Service")
- Проверки паролей
- Проверки Web-серверов
- Проверки Web-броузеров
- Проверки возможности осуществления атак типа "подмена" ("Spoofing")
- Проверки межсетевых экранов
- Проверки удаленных сервисов
- Проверки DNS
- Проверки файловой системы ОС Windows NT
- Проверки учетных записей ОС Windows NT
- Проверки сервисов ОС Windows NT
- Проверки системного реестра ОС Windows NT
- Проверки установленных patch'ей системы безопасности ОС Windows NT
Периодическое обновление базы данных уязвимостей позволяет поддерживать уровень защищенности Вашей корпоративной сети на необходимом уровне.
Глубина сканирования
Администратор безопасности, проводящий анализ защищенности Вашей корпоративной сети, может использовать либо один из четырех изначально устанавливаемых шаблонов, определяющих степень детализации сканирования (Heavy, Medium, Light, OS Identification), либо создавать на их основе свои собственные шаблоны, учитывающие специфику используемого сетевого окружения. Все вновь созданные шаблоны могут быть сохранены для последующего использования.
Централизованное управление
Централизованное управление процессом анализа защищенности всех узлов сети с одного рабочего места, а также отсутствие специальных программ-агентов на сканируемых узлах, делает систему Internet Scanner&153; незаменимым помощником специалистов отделов технической защиты информации или управлений автоматизации любой организации.
Параллельное сканирование
Система Internet Scanner&153; позволяет параллельно сканировать до 128 узлов сети, которые могут принадлежать разным диапазонам IP-адресов. Такая возможность дает администратору безопасности более гибко проводит анализ защищенности больших сетей, состоящих из нескольких сегментов с разными требованиями по защищенности.
Выбор сканируемых узлов может осуществляться тремя способами:
- задание одного или нескольких диапазонов сканируемых узлов в текстовом файле;
- задание одного или нескольких диапазонов сканируемого узлов в диалоговом режиме;
- использование всего диапазона сканируемых узлов, заданного в ключе авторизации системы Internet Scanner&153;.
Запуск процесса сканирования по расписанию
Для периодического (в заданное время) проведения анализа защищенности существует возможность запуска системы Internet Scanner&153; по расписанию. Для этого можно использовать службу AT (для ОС Windows NT) или утилиту CRON (для ОС UNIX).
Система генерации отчетов
Система Internet Scanner&153; обладает очень мощной подсистемой генерации отчетов, позволяющей легко создавать различные формы отчетов. Возможность детализации данных о сканировании облегчает чтение подготовленных документов как руководителями организации, так и техническим специалистами.
Создаваемые отчеты могут содержать как подробную текстовую информацию об уязвимостях и методах их устранения, так и графическую информацию, позволяющую наглядно продемонстрировать уровень защищенности узлов Вашей корпоративной сети.
К концу 1998 года планируется завершить русификацию системы Internet Scanner, и в частности системы генерации отчетов.
Вся информация в создаваемых отчетах может быть отсортирована по различным признакам:
- по сканируемым устройствам;
- по типу и версии операционной системы;
- по сетевым сервисам;
- по номерам портов;
- по именам пользователей;
- по уязвимостям;
- по IP-адресам;
- по DNS-именам;
- по степени риска.
Использование протокола ODBC
Вся информация о процессе сканирования сохраняется в базе данных. Это позволяет эффективно организовать всю информацию и обеспечить быстрый доступ к данным при создании различных отчетов. При помощи подсистемы настройки возможно подключение любой базы данных, имеющей ODBC-драйвер. Эта возможность позволит использовать именно ту систему управления базами данных, которая применяется в Вашей организации (например, Microsoft SQL Server, Microsoft Access и т.п.). Кроме того, данная возможность позволяет Вам использовать всю информацию о проведенных сеансах сканирования в Ваших собственных системах.
Уровни детализации отчетов
Подсистема генерации отчетов позволяет создавать документы нескольких уровней детализации:
- Executive - для высшего руководства компании;
- Line Management - для руководителей или менеджеров среднего звена;
- Technician - для технических специалистов.
Отчеты уровня Executive содержат краткую информацию об обнаруженных в корпоративной сети проблемах. В случае необходимости от кратких отчетов можно перейти к подробному описанию каждой обнаруженной уязвимости. Отличительной особенность данного уровня отчетов является возможность проведения сравнительного анализа уровня защищенности сети, в разные промежутки времени, а также анализа тенденций изменения состояния безопасности Вашей корпоративной сети.
Отчеты уровня Line Management содержат более подробную, чем в отчетах уровня Executive, информацию о найденных уязвимостях с указанием степени их риска.
Отчеты уровня Technician содержат не только подробную информацию о найденных уязвимостях, но и подробные поэтапные инструкции по устранению обнаруженных проблем. В некоторых случаях указываются ссылки на сервера производителей программного обеспечения, содержащие patch'и и т.п. (например, ссылки на статьи Microsoft Knowledge Base).
Кроме указанных трех типов отчетов администратор может создавать свои собственные формы отчетов при помощи программного обеспечения Seagate Crystal Report 6.0.
Форматы отчетов
Подсистема генерации отчетов позволяет создавать документы в нескольких форматах:
- текстовом;
- DIF (Data Interchange Format);
- HTML;
- Microsoft Word.
В зависимости от версии системы Internet Scanner&153; дополнительно возможен экспорт отчетов в форматах:
- Lotus 1-2-3;
- RTF;
- CSV;
- Microsoft Excel;
- и многие другие.
Возможно создание графической карты сети (Network Map), содержащей данные об узлах сети и имеющихся на них уязвимостях.
Функционирование под управлением многих операционных систем
Система Internet Scanner&153; позволяет проводить анализ защищенности любых сетевых устройств и операционных систем, поддерживающих стек протоколов TCP/IP. Это связано с тем, что при тестировании имитируются атаки, использующие уязвимости протоколов TCP/IP, независимо от платформы, на которой они реализованы. Однако за счет поиска уязвимостей, присущих конкретным системам, максимальной эффективности можно достигнуть при сканировании следующих операционных систем:
- Windows NT;
- Windows 95;
- SunOS;
- Solaris;
- HP UX;
- AIX;
- Linux.
Простота использования
Процесс проведения анализа защищенности очень прост и заключается в выполнении всего 4-х операций:
- задание глубины сканирования;
- выбор сканируемых узлов;
- запуск процесса сканирования;
- генерация и анализ отчета.
Система подсказки
Система Internet Scanner&153; обладает мощной системы подсказки, которая поможет Вам эффективно и надлежащим образом проводить анализ защищенности Вашей корпоративной сети. Секция описания уязвимостей содержит не только подробную информацию об уязвимости и пошаговых инструкциях по ее устранению, но и гипертекстовые ссылки на Web- и FTP-сервера производителей программного обеспечения, на которых можно получить последние версии ПО или изменения и обновления, устраняющие найденные проблемы.
К концу 1998 года планируется завершить русификацию системы Internet Scanner (системы подсказки, документации, системы генерации отчетов и т.п.).
Системные требования
Требования к аппаратному обеспечению:
- Процессор - Pentium 133 МГц;
- ОЗУ - 64 Мб + 8 Мб на каждые 1000 сканируемых узлов;
- НЖМД - не менее 10 Мб + 2.5 Мб на каждые 100 сканируемых узлов;
- Сетевой интерфейс - Ethernet, Fast Ethernet, Token Ring (в последнем случае нет возможности проводить скрытое сканирование, UDP-bomb и SYN-flood);
- Монитор - 800х600, не менее 256 цветов.
Требования к программному обеспечению:
- Операционная система
- Windows NT 4.0 с SP3 и выше,
- SunOS - 4.1.3 и выше;
- Solaris - 2.3 и выше + Motif 1.2.2 и выше + X11R5 и выше;
- HP UX - 10.10 и выше;
- AIX - 4.1.5 и выше;
- Linux - ядро 2.0.24 и выше;
- Файловая система - желательно NTFS(для ОС Windows NT);
- Дополнительные сведения - для использования системы необходимы права администратора рабочей станции (желательно права администратора домена). Для повышения производительности установку лучше производить на Windows NT WorkStation (для ОС Windows NT).
Функционирование системы Internet Scanner
Система Internet Scanner&153; выполняет серию тестов по обнаружению уязвимостей, аналогичных тем, которые применяют злоумышленники при осуществлении атаки на корпоративные сети. Сканирование начинается с получения предварительной информации о сканируемой системе, например, разрешенных протоколах и открытых портах, версии операционной системы и т.п., и заканчивая попытками имитации проникновения, используя широко известные атаки, например, "подбор пароля".
Для увеличения скорости проведения анализа защищенности крупной сети могут быть инициированы несколько параллельных процессов сканирования. Ответы от сканируемых узлов обрабатываются специальным процессом, после чего данные об уязвимостях записываются в специальную базу данных. На основе собранной информации система генерации отчетов создает отчет, содержащий различную информацию в зависимости от выбранной степени детализации.