Сравнительный обзор
Internet Scanner лучше всех выявляет изъяны систем защиты сети
Инструменты для поиска изъянов систем защиты сетей TCP/IP, завоевавшие популярность после появления программы SATAN весной прошлого года, быстро становятся существенными компонентами систем защиты корпоративных ЛВС. С тех пор была выпущена целая группа коммерческих продуктов для проверки систем защиты, предоставляющих более глубокий анализ защищенности сети и более полные функции выдачи отчетов.
Тестовый центр PC Week Labs провел исследование трех инструментов проверки систем защиты сетей TCP/IP, а также продукта SATAN (Security Administrator Tool for Analyzing Networks) 1.1.1. Лучше всех оказалась программа Internet Scanner 3.2 фирмы Internet Security System, которая производит поиск большего числа потенциальных источников опасности, чем продукты SATAN, NetProbe 1.2 фирмы Qualix Group и Pingware 2.0.1 фирмы Bellcore.
На самом деле из всех четырех программ только Internet Scanner 3.2 может выйти за рамки среды Unix: он может находить изъяны защиты совместно используемых файлов Windows 95, а также запрещать системным службам проводить определенные действия (мы рекомендуем пользоваться этой функцией с максимальной осторожностью, потому что она может вызвать сбой важных служб или целых компьютерных систем). Internet Scanner 3.2 с отличным новым графическим интерфейсом, выпущенный в январе, завоевал звание "Выбор аналитика".
С помощью Internet Scanner 3.2 администраторы
могут проводить глубокие проверки сети
Чтобы увидеть картинку в натуральном размере дважды щелкните мышкой по этой строке.
Хотя набор дефектов систем защиты, обнаруживаемых продуктом Pingware 2.0.1, не так широк, он все же точно выявлял известные изъяны системы защиты на тестовых хост-компьютерах под ОС Unix и Windows NT NFS (сетевая файловая система). Новый графический интерфейс пользователя (ГИП) для X Window-терминалов пакета Pingware 2.0, появившийся в сентябрьской версии, расширил область применения этой программы.
В декабре был выпущен пакет NetProbe 1.2 с внушительным списком выявляемых дефектов систем защиты (хотя и не таким полным, как у Internet Scanner), однако он не смог обнаружить ошибку NFS на тестовых машинах, которую нашел даже SATAN. Поскольку NetProbe не выдает сообщений о производимых проверках, у нас возникло неприятное ощущение, что мы работаем вслепую. Было бы неплохо хотя бы получать сообщения о том, какие службы хост-компьютера прошли проверку.
Несмотря на шумиху вокруг демонстрации пакета SATAN в апреле прошлого года, связанную отчасти с его многозначительным названием, а отчасти с тем, что его авторы Дэн Фармер и Виетсе Венема организовали его свободное распространение, коммерческие продукты для проверки систем защиты присутствовали на рынке с начала 90-х годов. В общем и целом коммерческие продукты намного лучше бесплатного SATAN, хотя сетевым администраторам все же следовало бы отвести SATAN место под солнцем, если только они не готовятся к нападению хакеров, которые сами применяют SATAN.
Однако вам следует знать прежде всего, что SATAN ужасно трудно заставить работать, поскольку для проведения его компиляции необходимо знакомство с основами программирования на языке Си в среде Unix.
Pingware имеет жесткую цену $5000 за лицензию на неограниченное число тестируемых хост-систем. Цена Internet Scanner составляет $795 за лицензию на 10 хост-систем, $4000 - за лицензию на 100 хост-систем и $20 000 - на 1000 хост-систем. Цена NetProbe составляет $2500 за лицензию на 50 хост-систем и $4995 - на целую подсеть класса C (254 адреса хост-компьютеров).
По мере обнаружения новых недостатков систем необходимо периодически проводить корректировки. Поэтому каждый из трех производителей предлагает разнообразные программы для обслуживания систем с учетом результатов последних проверок.
АНАЛИТИЧЕСКИЕ ФУНКЦИИ
Ключевой момент при создании хорошей программы для проверки системы защиты сети - наличие исчерпывающего списка известных сетевых проблем, которые нужно искать. Однако этот список постоянно расширяется, по мере того как хакеры находят новые пути в обход системных служб.
Хорошее впечатление на нас произвел длинный список проводимых тестов системы защиты, поставляемый с программой Internet Scanner 3.2. Наоборот, список проблем, выявляемых продуктом Pingware, довольно скромен. SATAN занимает промежуточное положение: он проводит более полную проверку, чем Pingware, но все же не настолько всеобъемлющую, как Internet Scanner 3.2.
Мы были весьма разочарованы тем, что NetProbe не смог обнаружить ни одного изъяна в нашей сети и определенно сошел с ума, прозевав ошибку программы Portmapper с совместно используемыми томами NFS (наша система принимала анонимные запросы на доступ к файловым системам Unix или Windows NT). Даже "пожилой" SATAN обнаружил эту брешь.
Все эти пакеты для сканирования проводят стандартные проверки на такие хорошо известные дефекты, как Unix’овская утилита sendmail. Более того, Internet Scanner 3.2 использует один из первых модулей для поиска изъянов одноранговых служб Windows 95 для совместного использования файлов; с его помощью он нашел имена NetBIOS на сервере Windows NT 3.51 и даже указал нам на известный изъян с совместно используемыми файлами на портативном компьютере под Windows 95 (мы подключили его к сети с помощью PC-карты GoCard ET/MODEM фирмы Olicom USA).
Internet Scanner 3.2 - это, возможно, первая программа, которая реализует поиск изъянов брандмауэров (системы защиты от несанкционированного доступа) и отслеживает подделку IP-адресов и адресов портов (когда пакеты, пришедшие в сеть извне, "делают вид", что они были посланы безопасным хост-компьютером).
Однако за дополнительные возможности Internet Scanner придется заплатить: некоторые из этих тестов защиты весьма небезобидны и могут, по сути дела, привести к краху сканируемых систем. По этой причине другие поставщики намеренно отказались от служебных проверок, таких, как отслеживание сбоев протокола User Datagram Protocol и утилиты Finger, проводимое для проверки работоспособности систем при повышенной нагрузке.
Конечно, эти деструктивные сканирования хороши только в том случае, если вы намерены дождаться их завершения. В наших тестах сканирование двух хост-систем с помощью Internet Scanner с проведением всех проверок заняло большую часть ночи. Проводить такую исчерпывающую проверку на всей крупной сети было бы нерационально. K счастью, такие рискованные сканирования являются необязательными и могут быть отключены.
В связи с этим возникает проблема: инструменты для сканирования системы защиты сети могут сами по себе вызвать неприятности. Например, группа CERT (Computer Emergency Response Team - команда реагирования на аварии вычислительных систем) опубликовала многочисленные рекомендации по поводу проблем, порождаемых программой SATAN, связанных, например, с тем, что после сканирования системы становятся более уязвимыми к внешнему "нападению". ПО для сканирования может быть полезным, но администраторам следует внимательно читать документацию.
Отчеты
Все четыре продукта для проверки сетей, которые мы тестировали, выдают простые отчеты о найденных дефектах на незамысловатом английском языке и предлагают элементарные способы их устранения. Другими словами, для того чтобы понять их, не нужно быть сетевым "гуру", но реальное устранение изъянов может оказаться значительно сложнее.
Продукты SATAN, Internet Scanner и NetProbe используют гипертекст и программы просмотра World-Wide Web, что позволяет им выдавать в известной степени интерактивные отчеты. Щелчок на имени хост-машины обычно приводит к выдаче списка проблем, обнаруженных при сканировании. Internet Scanner и NetProbe пошли еще дальше: они устанавливают онлайновое соединение через Internet с сервером CERT и получают последнюю сводку информации о заданной проблеме.
Опять-таки Internet Scanner обладает наиболее полными функциями предоставления отчетов: он выдал нам список всех служб, найденных в тестовой сети, включая уже защищенные. По сути дела, до тех пор пока мы не увидели отчеты Internet Scanner, нам не было известно, что на нашей рабочей станции SPARC 10 компании Sun Microsystems Computer в данный момент работали некоторые системные службы Unix, например программа Unix to Unix Copy Program.
Программа Pingware выдала нам описательные отчеты о всех проведенных тестах. Однако было бы очень полезно перечислить в начале отчета все обнаруженные проблемы; иначе приходится читать обширные отчеты о 20 - 30 тестах, чтобы найти тот, в котором сообщается об обнаруженной проблеме.
С помощью графического интерфейса Pingware 2.0.1
легко создать и просмотреть отчеты
Чтобы увидеть картинку в натуральном размере дважды щелкните мышкой по этой строке.
С другой стороны, отчеты NetProbe иногда были настолько краткими, что пользы от них не было почти никакой; например, если при сканировании не было обнаружено никаких проблем, NetProbe просто сообщает этот факт без всякого обсуждения. Даже SATAN сообщает о системных службах, работающих на просканированных хост-системах.
Internet Scanner и NetProbe выдают еще один полезный отчет об изменениях, произошедших в сети с момента последнего сканирования, называемый сравнительным отчетом (progression report). В сочетании с регулярными ежемесячными сканированиями систем защиты сравнительные отчеты могут быть полезны для отслеживания возникающих проблем.
K сожалению, ни один из тестировавшихся продуктов для сканирования не дает пользователю возможность самому выбрать желаемую форму отчетов. Все эти продукты могут использовать дополнительные средства для экспортирования данных, с помощью которых сетевые администраторы могут переводить данные в формат электронных таблиц или баз данных.
Простота использования и установки
Новые ГИП для X Window-продуктов Pingware фирмы Bellcore и Internet Scanner фирмы ISS представляют собой серьезный шаг вперед по сравнению с системами текстовых меню своих предшественников, особенно когда речь идет о выдаче отчетов. Нам больше не приходилось возиться с прокручивающимся текстом в маленьких окнах.
NetProbe 1.2 все еще использует текстовый интерфейс на базе меню, однако Qualix планирует в течение нескольких месяцев реализовать ГИП.
Интерфейс NetProbe на базе меню позволяет
легко выбрать параметры сканирования
SATAN - это единственная программа, которая может использовать просмотрщики Web для всех аспектов своей деятельности. Это хорошая концепция, однако наше восхищение омрачилось тем, что для изменения каких-либо неосновных параметров сканирования нам приходилось перекомпилировать исходный код на языке Си.
Просмотрщик World-Wide Web позволяет легко конфигурировать
программу SATAN
Все рассмотренные программы для сканирования сетей работают на платформах Unix.
Кроме NetProbe, который сейчас работает только в средах SunOS и Solaris, все продукты имеют версии для Unix-сред HP/UX компании Hewlett-Packard, AIX фирмы IBM, SunOS и Solaris. Internet Scanner и SATAN поддерживают еще больше Unix-платформ, а также Linux.
Конечно, SATAN можно запустить почти на любой Unix-системе, потому что он поставляется в виде исходного кода, который все равно нужно компилировать, а это ставит перед непосвященными целый ряд новых проблем.
Документация, поставляемая с этими продуктами, содержит только элементарную информацию, однако ни один из этих пакетов для сканирования не вызывает особых сложностей при использовании. ISS предоставляет документацию по Internet Scanner на своем узле Web, причем по требованию фирма высылает своим покупателям соответствующие HTML-файлы.
Самое сложное при работе со всеми изучаемыми инструментами для сканирования - это заставить их работать. Они поставляются в виде стандартных для Unix сжатых tar-файлов, так что нам приходилось редактировать конфигурационные файлы пользователей, чтобы установить новые пути поиска и переменные среды.
SATAN, однако, обрекает потенциальных пользователей на особые мучения. Скопировать исходный Си-код SATAN из Internet было довольно легко, но после этого мы обнаружили, что нам нужен еще исполняемый модуль Perl 5 (язык сценариев для Unix), так что нам пришлось копировать исходный код и для него.
Кроме того, поскольку ОС Solaris 2.4 на наших машинах SPARC поставлялась без компиляторов (Sun перестала включать компиляторы Си в комплект поставки после выпуска Solaris), нам пришлось разыскивать и их, а затем конфигурировать для них среду ОС.
После этого изменить параметры в двух Си-модулях было уже несложно (в файле README программы SATAN написано, как это сделать), и все встало на свои места.
Майкл Суркан
Внимание!
ПО для проверки системы защиты серьезно помогает в поиске проблем, однако весьма существенно проявить бдительность и ужесточить корпоративную политику в отношении защиты сети
КОНТРОЛЬНЫЙ СПИСОК ИЗЪЯНОВ СИСТЕМЫ ЗАЩИТЫ СЕТИ TCP/IP
Изъяны брандмауэра
Определение порта источника: Некоторые узлы доступа или порты предоставлены для использования выделенной службе и могут быть узурпированы для других целей.
Определение маршрута источника: Если параметры маршрута в ПО, осуществляющем защитную маршрутизацию, определены небрежно, то поддельный IP-пакет может "обмануть" его и проникнуть в сеть.
Предсказание последовательности пакетов TCP: Внешние IP-пакеты могут "делать вид", что они были посланы защищенным хост-компьютером, расположенным в защищенном сегменте.
Протоколы, не требующие установления соединения:
Системам защиты от несанкционированного доступа трудно отслеживать пакеты, используемые службами, которые не требуют установления соединений, например User Datagram Protocol в NFS.
Внутренние изъяны сети
Проблемы доверия: Службы типа NFS и rhost, предоставляющие неограниченный доступ выделенным компьютерам, уязвимы для пакетов, которые "делают вид", что они исходят от защищенной машины.
Затирание данных в буферах: Завалив плохо написанные службы запросами и вызвав их крах, можно послать нелегальные команды. Против такого нападения уязвимы утилиты send mail, ftp, finger и первый сервер Web NCSA.
Незашифрованные пароли: Если пароли не зашифрованы, то их можно легко "прощупать" из сети.
Широковещательные служебные сообщения: Компьютеры и службы хост-систем, которые объявляют себя доступными для общего пользования, являются первыми кандидатами на взлом. (Сложно взломать то, чего нельзя найти.)
Пароли и пользовательские имена, назначенные по умолчанию:
Если в системе имеются пользовательские имена с обычными названиями, то компьютер защитить уже мало что может.
Совместное использование файлов в Windows 95: Одноранговые службы для совместного использования файлов Win 95 предоставляют доступ ко всему жесткому диску, даже если для совместного использования отведен только один каталог.