Что пишут в блогах

Подписаться

Онлайн-тренинги

Конференции

Что пишут в блогах (EN)

Разделы портала

Про инструменты

.
Тестирование защищенности локальных сетей
02.10.2008 22:24

Автор: Михаил Брод

Материал впервые опубликован в рамках проекта .hostinfo: Консультант по безопасности и публикуется с согласия автора.


Сети давно уже стали обычным явлением в различных организациях. Пусть в компании есть всего пара компьютеров, но и они зачастую объединены между собой. Что уж говорить о таких фирмах, где компьютеров много больше? И очень часто эти сети подключены к Интернету. Его использование становится необходимым для обеспечения деятельности компании. Но и увеличивает вероятность проникновения в локальную сеть нежелательных «посетителей» — как вирусов, так и желающих поживиться какой-либо информацией, а то и просто любителей-взломщиков. Администраторами сетей ставятся антивирусные программы, брандмауэры, иные средства защиты. Но это последний этап, на котором фиксируются попытки проникновения. Эти средства ничего не говорят о том, хорошо ли вы защитили свою сеть, все ли уязвимые места прикрыли средствами защиты. Аналогичные проблемы возникают и перед владельцами интернет-проектов, которые также подвержены нападениям.

Выполнять анализ надежности сети или сайта вручную — занятие малоприятное. Тем более что ошибки в настройке систем безопасности могут происходить не по вине администратора, устанавливавшего их, а из-за возможных ошибок в самих программах, информации о которых на момент установки может и не быть. Лучше всего поручить процесс проверки надежности специальным программам, которые протестируют вашу сеть и дадут объективную информацию о степени ее готовности противодействовать и вирусным атакам, и попыткам взлома.

Разработкой программ для тестирования сетей и сайтов для определения степени их защищенности занимается компания Safety Lab. Ею разработан набор программ, определяемых одним общим понятием — сканеры безопасности. Разработчики приводят такое сравнение: брандмауэры и иные средства защиты фиксируют попытки проникновения в сеть, а сканеры проверяют ее на наличие возможных вариантов проникновения, являясь как бы консультантами по вопросам организации защиты.

  Задача систем защиты — предотвратить взлом, задача сканера — упредить его возможность.

Компания Safety Lab предлагает комплексный подход к тестированию. В состав разработанных ими программ входят:

  • сетевой сканер (ShadowSecurityScanner — SSS), который проверяет сеть на наличие незащищенных мест и дает подробные разъяснения по способам их устранения;
  • сканер баз данных (ShadowDatabaseScanner — SDS), проверяющий сервера баз данных;
  • сканер для Microsoft IIS (Shadow Web Analyzer — SEWE);
  • онлайновый сканер (ShadowOnlineSecurityScanner — SOSS), обеспечивающий доступ к возможностям сетевого сканера через Интернет и предназначенный в первую очередь для крупных фирм.

Настройка правил сканера безопасности

Как сетевой, так и онлайновый сканеры работают на платформе Windows (при их тестировании они одинаково стабильно работали как под управлением Windows 98, так и Windows 2000, хотя Windows 98 в технических условиях по использованию сканера не упоминается), и при этом одинаково хорошо сканировали как эти операционные системы, так и системы семейства Unix (при тестировании проверялась система Linux) и сетевые устройства. Подобными возможностями обладает и система Alchemy Eye, но вот назначение у нее иное — проверка работоспособности серверов, но не поиск точек уязвимости.

Интересно было проверить собственную сеть, поэтому первая программа, с которой началось знакомство с семейством продуктов Safety Lab, была SSS — сканер сетевой безопасности. Для того чтобы программа начала проверку, было достаточно задать лишь сетевой адрес сервера, все остальные настройки были оставлены без изменений. Если верить крайне незначительной документации, для нормальной работы сканера достаточно 64 Мб памяти. Она же использовала всю доступную память компьютера. В результате все остальные программы в это время едва «шевелились». Порадовало лишь одно — особо значимых ошибок в настройке сети, сервера и системы безопасности найдено не было.

Поскольку сканер может проверять не только локальную сеть, но и удаленные машины, следующим этапом была проверка сайтов. Как хорошо, что для подключения к Сети использовался SDSL, а не модем — даже при таком соединении на процесс проверки одного небольшого сайта уходило до 20-30 минут. Тестировалось несколько машин, но не оказалось ни одной, в которй программа не обнаружила бы каких-нибудь «дыр» — где больше, где меньше, но сертификат безопасности нельзя было бы выдать ни одному из них. (Результаты тестирования были затем высланы администраторам проверенных сайтов для ознакомления.)

Настройка программы не представляет больших затруднений, но все же жаль, что у программы нет полноценной документации, если не считать встроенного справочника. Даже при наличии неплохого графического интерфейса (программы имеют как английский, так и русский интерфейс) совсем нелишне было бы прочитать о правилах настройки. Программа позволяет создавать правила сканирования, где можно определить, что и как надо проверять — это и настройка портов для проверки, типов проверки, использование прокси-серверов и протоколов. Впрочем, отсутствие документации — проблема всех продуктов компании Safety Lab.

Но вернемся к процессу тестирования. Начинать следует с настроек программы. В зависимости от важности проверки можно установить для нее низкий, нормальный или высокий приоритет, задать расписание и события, при которых программа будет оповещать пользователя. Настройки правил проверки позволяют определить, какие службы и протоколы будут проверяться — в частности, в список проверяемых по умолчанию портов можно добавить свои. Вы можете выбрать также известные варианты проникновения в сеть, защититься от которых вы хотели бы в первую очередь. Набор вариантов взлома или проникновения огромный — в программу заложено около двух тысяч таких возможностей. Для каждого варианта имеются краткая характеристика и меры, которые необходимо принять для защиты. (В дальнейшем, при обнаружении в вашей сети таких незащищенных мест, эти рекомендации будут повторены в отчете.)

Сканер обеспечивает проверку разнообразных сервисов, среди которых — NetBIOS, HTTP, CGI, FTP, DNS, POP3, SMTP, SNMP, Finger, Ident, IMAP, LDAP, NFS, NNTP, SSH, Telnet, TCP/IP, UDP. Кроме того, SSS обеспечивает возможность сканирования cgi-скриптов через прокси. На сегодняшний день SSS, пожалуй, единственный сканер, обеспечивающий такую возможность. При этом имеется возможность настройки сканирования скриптов как одним, так и многими потоками. Один из вариантов взлома сети — подбор паролей. Сканер имеет свой небольшой список наиболее часто встречающихся слов, используемых в качестве паролей, но можно такой список составить самим и подключать его в качестве внешнего файла. Выполненные настройки сохраняются и их можно использовать в дальнейшем.

  Приобретая сканер, пользователь получает возможность получения обновлений, поэтому у него всегда будет полная база всех выявленных способов взлома, которые может выявлять программа.

Сканер обладает возможностью автоматически корректировать общие настройки системы безопасности, включая установочные параметры в реестре. Корректировка возможна не только локально, но и на удаленных машинах, при наличии доступа к ним через сеть. По завершении работы программа сформирует отчет, который может быть подготовлен в виде html-страницы. Сформированные в начале отчета обобщенные сведения о результатах проверки, представленные в виде графиков, в дальнейшем конкретизируются. Для выявленных мест уязвимости даются не только определения выявленного варианта и его уровень опасности, но и предложения по устранению. Дополнительно даются ссылки на подробное описание этих вариантов уязвимости на сайтах SecurityFocus и Common Vulnerabilities and Exposures. Этой информации будет вполне достаточно для того, чтобы устранить выявленные недостатки защиты вашей системы. Все проверки выполнялись с помощью программы SSS пятой версии, но уже появилась шестая бета-версия, доступная для тестирования. Она более удобна в настройках и работает несколько быстрее предыдущей.

Для системного администратора программы сканирования безопасности сети, сайтов, баз данных — необходимый инструмент. А вот для владельца собственного сайта полезна будет другая программа — Shadow Web Analyzer. Простейшая в настройках — достаточно подставить адрес своего сайта, — программа позволяет проверить все имеющиеся ссылки в проекте, определить используемые протоколы, составить список всех включенных в проект файлов, построить дерево разделов. В процессе проверки все ссылки проверяются на доступность, и формируется список как хороших, так и плохих ссылок. По результатам работы программа позволяет подготовить два типа отчетов. Один из них — список всех ссылок. Второй — подробное описание каждой ссылки или файла с указанием страниц, где они упоминаются, а для страниц проекта — список ссылок, которые имеются на этих страницах. Следует предупредить, что отчет получается весьма солидным по объему. При четырехстах с лишним ссылок на сайте размер второго отчета превысил 3.5 Мб. Но есть у него один недостаток — русские буквы в комментариях к ссылкам заменяются спецсимволами, и прочитать их оказалось возможно лишь с помощью блокнота от Total Commader. Впрочем, отчет может быть и не столь важен — всю информацию можно смотреть и в самой программе, а для обнаруженных плохих ссылок такой вариант работы даже удобнее.

Но программу полностью рабочей пока назвать нельзя. Непонятно назначение пункта меню «Действия» — никаких действий при нажатии на эту кнопку не происходит. Команду формирования отчета надо еще поискать — она появляется только в окне ссылок при нажатии правой клавиши мыши. Догадки догадками, но хотелось бы не искать, а знать, что и как следует делать. Тем не менее, использование этой программы для вебмастера может оказаться полезной.