Майкл Суркан (PC Week Labs)
Новая версия продукта компании ISS распознает свыше 500 дефектов защиты
За четыре года, прошедшие с момента выхода Internet Scanner, на рынке средств защиты появилось много конкурирующих продуктов, однако последняя версия этого замечательного продукта доказывает, что фирма Internet Security Systems (www.iss.net) отнюдь не теряла времени даром.
Как показали испытания в Тестовом центре PC Week Labs, Internet Scanner 5.8 бесспорно остается на голову выше любых других предлагаемых средств обнаружения уязвимых мест в защите сетей.
Способность Internet Scanner находить свыше 500 дефектов защиты не поддается никакому сравнению. А если еще учесть, что он распознает проблемы безопасности, связанные с настройками протоколов LDAP (Lightweight Directory Access Protocol) и SNMP, а также маршрутизаторов, то Internet Scanner, безусловно, следует поставить на первое место среди аналогичных продуктов и присвоить ему почетный титул PC Week Labs “Выбор аналитика”.
Хотя такие конкурирующие продукты, как CyberCop фирмы Network Associates и NetRecon фирмы Axent Technologies, стали проще в использовании, они не находят того количества потенциально уязвимых мест, которое определяет Internet Scanner.
К тому же интерфейс Internet Scanner, устроенный по образцу интерфейса утилиты “проводника”, по нашему мнению, является самым понятным и практичным из всех виденных нами инструментов контроля безопасности. Он позволяет настолько легко просматривать перечень выявленных сетевых проблем, которые можно отсортировать либо по степени серьезности, либо по именам компьютеров, что нам практически не требовалось обращаться к прекрасно отформатированным отчетам Internet Scanner.
Internet Scanner поставляется с мая этого года. Лицензия, позволяющая осуществлять проверку до 30 хост-машин, стоит 2795 долл. Полная лицензия C-класса с возможностью сканирования 254 IP-адресов обойдется в 4995 долл. Пользователи могут получить по электронной почте легко инсталлируемый ключ защиты, позволяющий сканировать адреса лишь из заданного набора.
Конечно, возможности Internet Scanner по обнаружению проблем безопасности не безграничны, поскольку он обследует хост-машины на наличие уязвимых мест лишь известных типов и притом извне. Существует немало продуктов на базе хост-компьютеров, обеспечивающих более высокие уровни безопасности машин, на которые они непосредственно установлены.
Такие продукты, как Kane Security Analyst фирмы RSA Data Security, предоставляют более подробную информацию о проблемах безопасности своей машины и в отличие от Internet Scanner способны исследовать файлы регистрации событий, извещая администраторов о реальных атаках. Хотя ISS предлагает собственное ПО для защиты System Scanner на базе хост-машин, в этой области у фирмы гораздо больше сильных и опытных конкурентов.
Тем не менее реальные результаты использования Internet Scanner оказываются весьма впечатляющими. Чтобы идентифицировать потенциальные проблемы сети и обеспечить надежную передовую линию ее защиты, совсем не нужно возиться с установкой продукта на большом числе компьютеров. В отличие от продуктов, путем анализа пакетов в режиме реального времени выявляющих попытки вторжения, Internet Scanner может обследовать как главную сеть, так и субсети без дополнительных инсталляций.
Скопировав Internet Scanner 5.8 с Web-узла ISS (это можно сделать бесплатно, однако без дополнительного ключа защиты возможности продукта очень ограниченны), мы без труда установили его на настольный ПК под управлением Windows NT 4.0 Workstation.
Существуют варианты Internet Scanner для Unix-систем, однако ISS не обновляла их с версии 5.3 и у них нет опций контроля защиты, специфичных для NT.
Помимо новых опций контроля безопасности, связанных с LDAP-доступом, Internet Scanner 5.8 позволяет обнаруживать более 60 новых проблем Unix-компьютеров. Например, он выявляет учетные записи Linux-серверов, которые задействованы по умолчанию, и находит слабые места серверов Samba.
Число проблем, обнаруженных Internet Scanner в наших NT-системах, оказалось поистине устрашающим. Однако нас несколько успокоило четкое и понятное описание обнаруженных дефектов и степени их серьезности (по большей части они оказались не такими уж опасными). В результате всестороннего обследования нашей тестовой сети отыскались еще и дыры в SNMP-конфигурации коммутаторов Cisco Systems, причем Internet Scanner предложил и способы их устранения.
Версия 5.8 Internet Scanner теперь уже не требует отдельной функции проверки надежности брандмауэра, она включена в обычный профиль сканирования. Как и раньше, перед сканированием администраторы легко могут выбирать интересующие их типы дефектов защиты с возможностью сохранения специализированных профилей.
Опция настройки процесса сканирования пригодится многим организациям, так как активизация всех опций сильно замедляет проверку. Несмотря на то что Internet Scanner допускает режим многозадачности (когда параллельно проверяются несколько хостов), всестороннее обследование только 11 хост-машин заняло у нас более 24 ч.
Многим администраторам сетей понравится, что Internet Scanner 5.8 можно дополнять собственными методами контроля безопасности. Используя простые окна диалога, мы задавали сценарии и указывали исполнимые файлы, которые подключаются ко встроенным процедурам сканирования. Правда, несмотря на возможность заполнения полей с пояснительной информацией, Internet Scanner сообщает о результатах заказных проверок только при обнаруженных проблемах и не способен классифицировать последние по уровню опасности.
Чтобы воспользоваться опцией заказных проверок, администраторам потребуется создать собственные Perl-сценарии или программы на языке Си. Однако ISS предоставляет начинающим несколько примеров.
Особая функция SmartScan, впервые появившаяся в версии 5.6, позволяет Internet Scanner сохранять протоколы проверок и сравнивать их результаты. К сожалению, эта отличная идея реализована не полностью, так как данная функция применима лишь к NT-доменам.