ИНСТРУМЕНТЫ
Программа оценки безопасности вскрывает слабые места
NetWare-сетей, классифицирует потенциальные угрозы и рекомендует меры по совершенствованию защиты
Kane Security Analyst 4.0, выпущенный фирмой Intrusion Detection в декабре прошлого года, способен взять на себя обязанности опытного консультанта в области сетевой безопасности. Пакет обнаруживает слабые места в защите сервера и дает советы по их устранению.
KSA проводит анализ системы по шести параметрам: ограничение счетов, надежность паролей, контроль за доступом в сеть, системный мониторинг, целостность данных и, наконец, их защищенность. Он обслуживает серверы под управлением NetWare 4.x с установленной Службой каталогов NDS или NetWare 3.1x. Для среды Windows NT выпускается отдельная версия продукта.
Серьезной конкуренции на рынке средств NetWare новый анализатор не встречает, что делает честь его создателю - фирме Intrusion Detection. Конечно, такие пакеты, как AuditWare for NDS фирмы Preferred Systems или BindView EMS и BindView NDS корпорации BindView Development, предлагают больше возможностей по сбору информации и проведению ревизии системы. Однако ни один из них не может сравниться с KSA по разнообразию возможностей анализа данных, касающихся безопасности хранящейся на сервере информации.
Версия 4.0 снабжена рядом новых функций, упрощающих работу с анализатором. В их числе: выявление пользователей “группы риска”, пакетный режим работы для проведения операций в ночное время, различные виды анализа архивных данных, дополнительные виды отчетности, просмотр прав доступа без пометки дисководов буквами, подключение собственных файлов к словарю Password Cracker (“Взломщик паролей”). В целом PC Week Labs рекомендует новую инструментальную программу, хотя результаты тестирования показали, что она пока не свободна от ошибок.
Сохранились в новом продукте и некоторые недостатки прежних версий. Так, “взломщик паролей” Password Cracker, входящий в KSA, все еще не способен работать в среде ОС NetWare 4.x, его возможности ограничены NetWare 3.1x. Сам пакет по-прежнему не может оценить ни уровень безопасности в Internet, в средах Unix и Notes корпорации Lotus Development, ни степень защищенности СУБД корпорации Oracle, серверов под управлением OS/2 и брандмауэров. Фирма Intrusion Detection планирует частично устранить этот недостаток к концу года. Отметим также, что продукт не совместим с аппаратными средствами Alpha.
KSA 4.0 продается по цене $495 за один сервер, предусмотрена система оптовых скидок, в соответствии с которой при лицензировании ста и более серверов за каждый из них нужно будет заплатить всего $295. Фирма также предлагает лицензии на узел предприятия и “кочующие лицензии” (travelling license). Последние позволяют консультантам и специалистам по ревизии системы устанавливать KSA одновременно в нескольких местах, но для запуска каждой из его копий необходима так называемая “ключевая дискета”.
KSA демонстрирует, как можно повысить безопасность Netware-сервера
Мы инсталлировали KSA на рабочей станции под управлением Windows 3.1 с ОЗУ емкостью 16 Мб. Анализатор поддерживает также платформы Windows 95 и Windows NT. Единственный сбой в процессе установки произошел из-за конфликта с имевшимся в системе драйвером Crystal Reports (KSA также использует этот генератор отчетов). Чтобы исправить положение, нам пришлось воспользоваться предыдущей его версией.
Анализатор не загружает на файловые серверы никаких своих компонентов, проводя все операции проверки дистанционно. В ходе тестирования мы проанализировали работу серверов под управлением NetWare 4.1 с установленной NDS и под управлением NetWare 3.12.
После выбора объекта исследования на консоли KSA появились четыре большие пронумерованные кнопки, каждая из которых соответствовала определенному этапу анализа. Прежде всего нам пришлось привести KSA в соответствие с правилами обеспечения безопасности нашей ЛВС. Если этого не сделать, пакет будет производить оценку по критерию “лучший образец индустрии”, заложенному в него по умолчанию.
Сама по себе такая оценка может оказаться полезной администратору, продемонстрировав многообразие потенциальных опасностей и помогая создать собственные правила, если этого еще не сделано. Правда, установить их на сервере с помощью пакета KSA нельзя, для этого нужен обычный административный инструментарий NetWare.
На втором этапе мы выбрали сервер и приступили к проверке уровня его защиты. Через несколько минут анализатор вывел на экран сводную таблицу, где был отображен процент сбоев по шести категориям, перечисленным выше. Щелкнув мышью на третьей кнопке, мы смогли детально изучить каждый из полученных результатов. Четвертая кнопка представляет на экране изменение параметров безопасности системы во времени.
РУТИННЫЕ ПОДРОБНОСТИ
Сбор данных в среде NetWare проходил далеко не однозначно. На сервере под управлением NetWare 4.1 мы достаточно успешно провели оценку конкретных контейнеров NDS, но когда приступили к проверке возможностей проникновения “с черного хода” на сервер под управлением NetWare 3.12, анализатор “завис”, и этот тест нам пришлось отключить. Данная ошибка досталась анализатору в наследство от предыдущих версий и связана с учетными записями, а также с последствиями работы продуктов резервного копирования, антивирусной защиты, учета лицензий и многими другими, мимо которых никак не может пройти KSA.
Для просмотра полученных данных мы могли воспользоваться несколькими различными методами, среди которых пролистывание, разбивка информации на мелкие группы, создание графиков и отчетов.
Для простоты восприятия каждый элемент обеспечения безопасности снабжен цветными ярлыками “Pass” (“Норма”), “Fail” (“Сбой”) и “NA” (“Отсутствует”). Кроме того, на экран выводятся количественные результаты тестов, а если получены отрицательные результаты - объясняются причины этого. Описание некоторых пунктов представляется нам не совсем понятным, их следовало бы изложить более ясно.
Отличной функцией пакета KSA является Password Cracker. С ее помощью мы получили перечень пользователей, пароли которых входили в список легко угадываемых. К сожалению, на сегодняшний день эта утилита работает лишь на серверах под управлением NetWare 3.x, но, по словам представителей Intruder Detection, готовится ее версия и для среды NetWare 4.x. Дата выпуска пока не определена.
Понравилась нам и входящая в KSA компактная утилита File Rights, пришедшая на смену одноименному компоненту NWADMIN, не столь удобному в работе. Она позволяет администратору выбрать конкретный каталог или файл и быстро определить, кто имеет право на работу с ним. Можно провести и обратную операцию: просмотреть все объекты, к которым имеет доступ конкретный пользователь.
Еще одна функция KSA осуществляет проверку файлов и выявляет случаи несанкционированного внесения изменений в системные программы.
Новые средства архивации вполне работоспособны, хотя удобными их не назовешь. Так, когда мы попытались сохранить полученные результаты в области совместного использования, в ответ получили сообщение об ошибке, после которого нам оставалось только закрыть KSA. После нашего сообщения фирма Intrusion Detection поместила на своем узле WWW “заплату”, устраняющую эту ошибку. Вызов прежних результатов оказался процессом довольно длительным, поскольку KSA пришлось просматривать весь дисковод. Причина проста: мы не смогли ввести в пакет имя конкретного каталога.
Модуль создания отчетов представил нам прекрасно выполненную подробную сводку данных по безопасности системы. Она оказалась вполне пригодной как для представления высшему руководству, не имеющему должной подготовки в области безопасности, так и для работы администратора ЛВС. Для подстройки отчета под конкретные требования необходим Crystal Report Writer. Пакет KSA также снабжен средствами создания заказных отчетов с использованием собственной базы данных, однако и здесь нельзя обойтись без Crystal Report.
В KSA включены три новых отчета по пользовательским счетам, один из которых представляет собой сводку, а другой - их подробный реестр. Третий отображает текущие ограничения, определенные для каждого пользователя.
Один недостаток KSA связан не с тестированием, а с использованием стандартной памяти. На нашей системе под управлением Windows 3.1 он отхватил ее так много, что нам едва удалось провести обычный сеанс MS-DOS. Администраторам, использующим большое количество TSR-программ, придется изменить программу работы системы, если они хотят применить KSA или генерировать отчеты.
Кен Филлипс, PC Week Labs
С внештатным редактором Кеном Филлипсом можно связаться через Internet по адресу: http://kenp@sunrise.alpinet.net.
ИТОГОВЫЙ БЮЛЛЕТЕНЬ
Kane Security Analyst 4.0 (версия для NetWare)
Пакет Kane Security Analyst 4.0, выпущенный фирмой Intrusion Detection, необходим каждому администратору ЛВС для оценки безопасности NetWare-серверов. Однако если вам нужно провести анализ защищенности серверов Internet, Unix-серверов, брандмауэров, Lotus Notes, баз данных Oracle и других сетевых систем - поищите другое средство.
Нет - неприменимо к данному продукту, А - отлично, В - хорошо,
С - приемлемо
+ Анализирует уровень безопасности в среде NetWare в считанные минуты и в минимальной конфигурации; способен проводить заказной анализ безопасности системы и сравнивать текущий ее уровень с “лучшими образцами отрасли”; генерирует отчеты, пригодные для представления руководству; не требует модификации операционной среды сервера.
Утилита Password Cracker работает только в среде NetWare 3.x; модули KSA могут мешать работе других программ рабочей станции; ограниченные возможности из-за ряда ошибок.
Фирма Intrusion Detection (Нью-Йорк), (800) 408-6104, http://www.intrusion.com