ОБЗОР

Кен Филлипс (для PC Week Labs)

NetSonar фирмы Cisco Systems можно сравнить с пятидолларовым запором для кладовки: дверь закрыта, но если внутри есть что-то очень ценное, то замок нужен понадежнее.

По результатам проведенного в Тестовом центре PC Week Labs испытания можно сказать, что NetSonar 2.0 представляет собой недорогое инструментальное средство начального уровня, способное обнаруживать многие хакерские атаки и выявлять причины отказов в обслуживании. Однако большинству компаний все же требуется более совершенный инструментарий.

Главное достоинство NetSonar - низкая цена: он стоит всего $495. Компании, которым необходимо средство поиска уязвимых мест системы, едва ли найдут что-нибудь дешевле, разве что бесплатное ПО без всякой технической поддержки. Более того, Cisco уже заявила о своем намерении безвозмездно предоставлять версию NetSonar на 256 узлов покупателям Pix Firewall, Security Manager и NetRanger.

Нельзя не упомянуть и еще об одной привлекательной особенности нового продукта. Лицензия Cisco ограничивает количество компьютеров, на которых может быть установлен NetSonar, но не накладывает никаких ограничений на число контролируемых хостов. Таким образом, установив NetSonar на свой переносной компьютер, консультант по безопасности может сканировать сколько угодно сетей. А за один сеанс этот сканер способен проверять до 2,5 тыс. работающих хостов.

NetSonar устанавливается в среде NT. Он самостоятельно обнаруживает сетевые устройства, проверяет уровень их безопасности и готовит первоклассные отчеты формата HTML. Программа способна выявлять различные слабые места системы, включая отсутствие заплат и сетевые службы с плохой конфигурацией.

Правда, в отличие от сканеров, размещаемых на хостах, NetSonar не находит многих брешей на уровне операционной системы в правах пользователей, системной политике и файловой системе. Не выявляет он и атак на сеть в реальном времени.    

 

Лучшие из простых

Главным конкурентом NetSonar является HackerShield корпорации BindView Development, также относящийся к классу недорогих продуктов. Стоит он $695, т. е. всего на две сотни дороже, чем NetSonar, однако использовать его можно только для тех диапазонов IP-адресов, которые оговорены в лицензии.

HackerShield способен обнаруживать гораздо больше брешей в системе безопасности, чем NetSonar. Еще одним его достоинством является возможность автоматического обновления, тогда как для NetSonar такой процесс приходится проводить вручную. Кроме того, HackerShield может устранять многие вскрытые недостатки автоматически. Если, например, администратор опасается проникновения в систему NT с помощью Back Orifice 2000, BindView поможет ему своевременно обнаружить присутствие этого опасного продукта на сервере. NetSonar такой возможности не предоставляет.

Мы провели сравнительное тестирование обоих продуктов на серверах Unix и Windows, на маршрутизаторах Cisco серии 1600, на клиентах Windows, а также на разнообразных сетевых устройствах. В конечном итоге оказалось, что HackerShield вскрыл на 25% больше брешей, чем NetSonar.

В чем NetSonar превзошел своего соперника, так это в отчетах: они выглядят гораздо лучше. Да и работает он быстрее: последняя версия HackerShield даже на простое сканирование системы затрачивает слишком много времени.

У NetSonar есть и другие, более дорогостоящие соперники; NetRecon фирмы Axent Technologies, Internet Scanner фирмы Internet Security Systems и CyberCop Scanner фирмы Network Associates. Все они довольно сложны и способны озадачить начинающего администратора, однако сканируют системы намного тщательнее, чем NetSonar.

Internet Scanner, к примеру, проверяет целый ряд позиций, на которые NetSonar практически не обращает внимания, - пароли, системный реестр NT, Web-службы, брандмауэры, лазейки, отказы в обслуживании и возможную подмену IP-адресов.

Мы установили NetSonar на сервере NetServer E50 компании Hewlett-Packard, работающем под управлением NT Server 4.0. В процессе тестирования было проведено несколько сканирований сети и активных “подтверждающих” зондирований. Все тесты основывались на операционной системе и службах, способных в реальных условиях блокировать работу слабых серверов.

NetSonar использует стандартный набор тестов, не позволяя выборочно применять их для каждого из хостов, поэтому отдельные тесты содержали избыточную информацию.

Отчеты в формате HTML, составляемые NetSonar, отличались полнотой, ясностью и были полностью готовы к представлению руководству.

К сожалению, и эта функция имеет недостатки. Утилита создания отчетов не позволяет копировать заказные формы для распространения между группами сканирования. Графики она выдает в цвете, но даже несмотря на это разобраться в них довольно сложно, да и пользы они дают мало. Не предусмотрен в NetSonar и анализ трендов, который очень пригодился бы для выявления отклонений параметров от нормы. Но как бы то ни было, отчет этой программы оказался одним из лучших виденных нами.

Пробная версия NetSonar 2.0 доступна на Web-странице www.cisco.com/public/sw-center/internet/netsonar.shtml.

С внештатным редактором Кеном Филлипсом можно связаться через Интернет по адресу kenp@wtp.net.

Перспективы для бизнеса

Как и другие продукты начального уровня, NetSonar 2.0 может не устроить тех менеджеров по информатизации, которые хотят тщательно проверить защиту своих систем. Им лучше не пожалеть денег на более сложный продукт.

     Краткосрочные прогнозы

NetSonar пригодится для поиска в сетевых службах брешей, требующих немедленного устранения. Продукт недорогой, но он способен предупредить атаки на сеть с весьма дорогостоящими последствиями.

     Долгосрочные прогнозы

Применение продуктов данного типа гарантирует целостность защиты по периметру сети, но не способно остановить злоумышленников и хакеров, действующих изнутри. А ведь именно они представляют наибольшую угрозу безопасности. Но даже несмотря на это, компании, стремящиеся сохранить свой имидж и добрые отношения с инвесторами, должны обязательно обзавестись инструментарием такого рода.

Взгляд из PC Week Labs: Камерон Стардевант

О брешах в системе безопасности сети нельзя забывать никогда, но лучше все же своевременно избавляться от них. Не уделяя должного внимания сетевой конфигурации, вы рискуете нажить большие неприятности. Вот только возникает вопрос: а соответствует ли дешевый NetSonar требованиям менеджеров по информатизации с точки зрения предотвращения хакерских атак?

В данном случае все зависит от ответа на другой вопрос: а какова ценность защищаемых данных? Если они стоят больше $500, позабудьте о NetSonar и обратите внимание на полнофункциональные системы аудита и обнаружения таких атак в реальном масштабе времени.

Конечно, никакой инструментарий подобного рода не может закрыть все бреши в защите сети, но большую их часть он выявит. Прикиньте: если недорогое средство не заметит слабого места, через которое затем проникнет хакер, то нужна ли такая экономия? Даже для небольших сетей ответ, скорее всего, будет отрицательным.

Нельзя забывать и о том, что у большинства сетевых менеджеров хватает времени на изучение и освоение только одного инструментального средства защиты. Конечно, NetSonar стоит недорого, но его соперники предлагают множество дополнительных функций, и об этом не мешает хорошенько задуматься.

С техническим аналитиком Камероном Стардевантом можно связаться по адресу: cameron_sturdevant@zd.com.

Резюме для руководителей

NetSonar 2.0

На новую версию NetSonar следует обратить внимание тем компаниям, которые пока не защитили периметр своей сети от хакеров, действующих через Интернет и интрасети. Правда, нужно иметь в виду, что конкурирующие продукты обеспечивают более тщательное сканирование.

( + ) Невысокая цена; наличие обширной базы данных с фиксированными инструкциями; возможность генерации заказных отчетов в формате HTML; лицензия не ограничивает число сканируемых хостов.

( - ) Обнаруживает лишь часть брешей и не устраняет их; отсутствует автоматическое обновление; проводит избыточные тесты.    

Методика оценки: www.pcweek.com/reviews/meth.html.

.Фирма Cisco Systems, Сан-Хосе, шт. Калифорния, (800) 553-6387, www.cisco.com/netsonar.