Перше, що спадає на думку багатьом системним адміністраторам, коли вони думають про захист своїх мереж від атак зловмисників з Інтернету, це слово "брандмауер". Брандмауери (мережеві екрани) - невід'ємна частина інфраструктури захисту мережі, однак просто встановити брандмауер і сподіватися на краще - небезпечно і нерозумно. Якщо не вибрати належну конфігурацію серверів і не дотримуватися сильної стратегії захисту, то шанси на успіх у атакуючих вашу мережу значно підвищуються. Як вже неодноразово писалося, більшість зловмисників нападає з внутрішньої сторони брандмауера. Це незадоволені співробітники фірми або хакери, що знайшли лазівку в системі. З цієї причини до захисту кожної мережі потрібно підходити дуже уважно і не обмежуватися запобіганням доступу з Інтернету.
Ще одна небезпечна помилка полягає в тому, що сервери нібито вже поставляються з необхідними засобами забезпечення безпеки. Між тим, у захисті кожної мережевої операційної системи є численні прогалини, і щоб вважати свій сайт справді захищеною, їх необхідно ліквідувати. Відсутність суворої стратегії забезпечення безпеки інтрамережі і серверів Інтернету може погіршити ситуацію. Щоб отримати безсоння, адміністратору мережі досить спробувати встановити останні поправки до системи захисту мережевої ОС.
Зробити життя співробітників, відповідальних за роботу мережі, більш спокійною допоможуть інструментальні засоби сканування мережевої та системного захисту в поєднанні з добре спланованою стратегією безпеки, ПЗ виявлення порушників. Ці продукти сканують мережні сервери за заданим розкладом і автоматично виводять звіти, дозволяючи швидко виявити помилки в конфігурації, неправильно інстальовані (з точки зору захисту) серверне ПЗ та прогалини в захисті (навмисні чи ні), і прийняти необхідні заходи.
У лабораторії ZD Internet Lab були випробувані три інструментальні засоби захисту на базі Windows NT. На жаль, компанія Network Associates не змогла вчасно представити останню версію свого сканера CyberCop Scanner (колишня назва Ballista), Axent Technologies відмовилася взяти участь в огляді, пославшись на майбутнє оновлення свого продукту, а фірма Netect не підготувала NT-версію продукту Netective (до часу написання огляду вона проходила бета-тестування, але версія для ОС Solaris вже існує).
Підсумковий аналіз
Продукт ISS Internet Scanner 5.2 ми вибрали з багатьох причин. Він виявився найбільш повним в плані пошуку проблем в системі захисту і пропонував найбільш вичерпні рішення кожної проблеми. Це ПО виявило всі недоліки в захисті, виявлені іншими двома продуктами, і доповнило їх десятками інших знайдених прогалин. Функціональні можливості виведення звітів в Internet Scanner 5.2 виявилися просто феноменальними, а самі звіти детальні і легко читані. Вони призначені не тільки для технічних фахівців. У зведених звітах для керівника питання захисту мережі пояснюються і стають набагато зрозуміліше. Сканування мережі в Internet Scanner 5.2 проводиться швидко і повно, а результати ми змогли використати для генерації безлічі звітів і, при необхідності, звертатися до оригінальних даними.
Слабкі місця систем
Існують наступні, найбільш поширені, слабкі місця, характерні для багатьох мережевих операційних систем:
1) Слабкий захист за паролем.
2) Доступ через анонімний FTP.
3) неіндексовані каталоги WWW.
4) Дозволена функція Finger.
5) Дозволені банери Telnet / sendmail.
6) Дозволена обліковий запис Guest.
7) Неправильна конфігурація RPC.
8) Помилки в IIS. Bat і. Cmd.
9) Уразливість TFTP.
10) Невірна конфігурація NFS.
ПО Internet Scanner 5.2 компанії Internet Security Systems (Атланта) - найдавніший з протестованих нами продуктів оцінки захисту, і великий досвід позитивно позначається на його роботі. На нас справили враження простота установки даної програми, чудові засоби виведення звітів і широка підтримка платформ. Internet Scanner - компонент захисту сімейства продуктів SAFEsuite компанії Internet Security Systems. Крім цього, SAFEsuite включає в себе компоненти виявлення вторгнення RealSecure та інструмент для детального аналізу конфігурацій серверів Unix System Security Scanner (S3). Розробляється версія S3 для Windows NT. Internet Scanner функціонує в мережах Windows NT 4.0, AIX, HP-UX, Solaris і Linux. Продукт може виявляти "діри" в захисті, недоліки в конфігурації Windows NT Server і Workstation, машин Windows 95 і серверів Unix. Всі перевірки системи і сканування виконуються через TCP / IP в локальній мережі.
Встановити ПЗ Internet Scanner виявилося неважко. Ми завантажили саму останню його версію з веб-сайту ISS і легко виконали процес інсталяції. Після встановлення ПЗ на нашому сервері Windows NT нам потрібно тільки скопіювати файл ключа ISS в каталог Internet Scanner, після чого можна було починати сканування. Сервер ключа ISS передав нам ліцензійний ключ по електронній пошті. Цей ключ визначає, які саме компоненти Internet Scanner будуть доступні користувачеві. Таким чином, додавання функціональних можливостей (таких, як сканування брандмауера) представляє собою просту і швидку онлайнову процедуру.
Користувальницький інтерфейс Internet Scanner сподобався нам більше за всіх. "Майстер" створення сеансу значно спрощує настройку і запуск процедури сканування. Основне вікно з вкладками спроектовано настільки ясно, що ми змогли відразу легко завантажити декілька сеансів, прискоривши тим самим процес сканування. Виконання поверхневого тесту сканування нашого сервера Windows NT Server зайняло у Internet Scanner всього 21 секунду, після чого ми отримали сторінку з результатами - детальним списком виявлених проблем і пропонованих рішень. У цьому тесті Internet Scanner виявив на нашому сервері 113 помилок конфігурації та прогалин захисту. З них було виділено п'ять проблем високого ступеня ризику, 10 - середньої та 98 - низькою.
Не усуваючи жодної з виявлених проблем, ми продовжили процес, виконавши сканування середнього рівня того ж сервера Windows NT Server. На цей раз сканування зайняло трохи більше трьох хвилин, і було знайдено 114 уразливих місць. П'ять проблем продукт відніс до високого ризику, 11 - до середнього та 98 - до низького.
Нарешті, глибоке сканування нашого сервера Windows NT зайняло більше 5 хвилин і показало наявність в нашій конфігурації 115 помилок. На цей раз число проблем високого ризику зросла до шести, проблем із середнім ризиком як і раніше налічувалося 11, а проблем низького ризику - 98. Потім ми зайнялися своїм сервером RedHat Linux 5.1, також почавши з поверхневого сканування. Як і у випадку аналогічного тесту Windows NT, цей процес зайняв 20 секунд. Як не дивно, він знайшов тільки одну проблему в захисті: у нас була включена функція Finger. Ця проблема була віднесена до категорії низького ризику.
Сканування середнього рівня сервера RedHat 5.1 зажадало близько чотирьох хвилин і виявило дев'ять прогалин у захисті: одну середнього ступеня ризику (дозволений доступ через анонімний FTP) і вісім проблем низького ступеня ризику. Під час тесту з поглибленим скануванням продукт знайшов 15 проблем, на що пішло приблизно 7 хвилин. Дві проблеми були віднесені до середнього ступеня ризику, а решта 13 - до низької.
Засоби виведення звітів в Internet Scanner справили на нас дуже сильне враження. Генеруються у форматі Crystal Reports або HTML, різноманітні готові форми звітів Internet Scanner повинні задовольнити вимоги будь-якого мережевого адміністратора. Якщо ж буде потрібно створити свої власні форми, то в Internet Scanner для них легко побудувати шаблони. У технічних звітах про уразливість системи захисту перераховані проблеми, вказані машини, на які вони впливають, пропонуються рішення і навіть даються посилання на місця в Інтернеті, де можна знайти відповідні поправки і коректування. У звітах для керівників підсумовуються характеристики захисту всієї мережі.
Internet Scanner 5.2 поєднує в собі чудовий користувальницький інтерфейс, сильні засоби створення сеансів і велика кількість стандартних звітів. Дворівнева схема ліцензування (795 $ за ліцензію на сканування 10 серверів і 4995 $ за ліцензію на сканування всієї підмережі класу C) робить пакет Internet Security Systems доступним як для малих, так і для великих компаній.
Інструмент оцінки захисту NetGuard компанії Network Guardians позиціонується як додаток, повністю засноване на Java. Між тим, коли ми встановив його на своєму сервері Windows NT, то виявили, що програмний код для сканування Windows NT Workstation і Server насправді є "рідним" кодом Windows і може працювати тільки в Windows NT. У файлі README пояснюється, що інструменти сканування на Java для платформи Windows NT будуть доступні найближчим часом. Звичайно, Java - чудовий інструмент для додатків, які повинні працювати на різних платформах, але ми не впевнені, що це актуально для даної категорії продуктів. Нам здається, що адміністраторів набагато більше цікавлять реалізовані в них засоби сканування і можливість виконання з будь-якої мережевої робочої станції.
NetGuard виявився єдиним з розглянутих продуктів, здатним виявляти вразливі місця в захисті Macintosh. Як і Internet Scanner, NetGuard використовує для сканування (локального і віддаленого) хост-систем протокол TCP / IP. Між тим, NetGuard не виявив такої кількості прогалин у захисті, як Internet Scanner, хоча основні "діри" від нього не вислизнули.
Ми завантажили NetGuard з веб-сайту Network Guardians Website, одержавши код аутентифікації, який дозволяє ввійти в захищену область вузла з завантажуваним програмним забезпеченням. Такий підхід дозволяє компанії регулярно оновлювати свій продукт. Крім того, ми завантажили звідти останню версію (1.16) Java Runtime Edition (JRE) для Windows NT. Після інсталяції обох компонентів можна було приступати до сканування. Користувальницький інтерфейс NetGuard справив на нас приємне враження. Він добре продуманий і працює як будь-яке інше Windows-додаток, хоча і реалізований на основі Java. Всі його елементи, включаючи командні кнопки, таблиці і вкладки, функціонували правильно.
NetGuard завершив поверхневе сканування нашого сервера Windows NT менш ніж за 30 секунд, виявивши три пробіли в захисті. Всі вони були віднесені до проблем низького ступеня ризику. Сканування середнього рівня зайняло 3,5 хвилини, а кількість виявлених проблем збільшилася до п'яти. Чотири з них були віднесені до низького ступеня ризику, а одна - до високої. При виконанні детального сканування сервера Windows NT (виконується більше чотирьох хвилин) NetGuard повідомив про тих же п'яти проблемах.
Поверхневе сканування сервера RedHat 5.1 зажадало 30 секунд і дало інформацію про чотири слабких місцях в системі захисту. Три проблеми були віднесені до низького ризику, а одна - до високого. Сканування середнього рівня (4 хвилини) сервера RedHat 5.1 виявило вже шість проблем: одну - високого ступеня ризику, одну - середньої, і чотири - низькою. Поглиблене сканування сервера RedHat 5.1 зайняло цілих 9 хвилин (найбільший час у всіх наших випробуваннях). На цей раз виявилося 11 проблем у захисті: дві - високого ступеня ризику, три - середньої і шість - низькою.
Засоби виведення звітів у NetGuard нам сподобалися. У правій частині екрана виводиться наочний список проблем з посиланнями на рекомендації щодо їх усунення. До цього ж звіту можна звернутися і в форматі HTML. NetGuard - найдешевший з протестованих нами продуктів. За 199 $ ви отримуєте можливість сканувати 16 хост-систем, а за 2499 $ надається ліцензія на необмежену сканування. Оскільки інструмент працює практично на будь-якій апаратній платформі, це чудовий вибір для компаній, що застосовують різні апаратні конфігурації.
Нам сподобався GUI-інтерфейс NetGuard на базі Java, але пропоновані даним продуктом засоби сканування слід було б посилити. Між тим, якщо вам потрібні захищені сервери Macintosh, то NetGuard залишається єдино доступним варіантом.
Kane Security Analyst 4.04
Продукт Kane Security Analyst компанії Security Dynamics Technologies входить в сімейство інструментів захисту SecurSight. Kane Security Analyst може оцінювати захист автономного сервера Windows NT або, якщо придбати розширену ліцензію, всього домену Windows NT. На відміну від двох інших протестованих нами продуктів, Kane Security Analyst призначений тільки для сканування серверів Windows NT і Novell NetWare. Сканування серверів Unix або машин Windows 95/98 він не виконує.
Ми завантажили пакет Kane Security Analyst на своєму сервері Windows NT з інсталяційного диску CD-ROM, після чого можна було приступати до роботи. При першому запуску програми вона виконала пошук доменів і серверів нашої мережі Windows NT. Потім на екрані з'явилося головне вікно. Користувальницький інтерфейс Kane Security Analyst спроектований вдало. Кожна з чотирьох кнопок в нижній частині екрана виконує один з чотирьох кроків по оцінці захисту системи: встановлює стандарт захисту, перевіряє її, аналізує ступінь ризику і виводить звіт. Крім того, передбачені кнопки швидкого виклику більшості функцій Kane Security Analyst, таких, як оцінка на відповідність стандарту захисту C2 (C2 Security Evaluation), висновок на екран карти звіту і т.д.
ПО Kane Security Analyst не передбачає поверхневого, середнього і поглибленого сканування, як Internet Scanner і NetGuard. Програма поставляється з одним заданим за умовчанням шаблоном сканування, що має назву Best Default Practices. Цей шаблон порівнює захист вашого сервера з практикуються в галузі методами захисту. Природно, можна створити і власний шаблон, який відповідає спеціальним вимогам.
Швидкість сканування справила на нас приємне враження. Аналіз всієї системи, включаючи тест розкриття пароля, зажадав менше 30 секунд, після чого нам була представлена "карта звіту" зі списком виконаних тестів і оцінкою для нашого сервера. За обмеження облікових записів наш сервер Windows NT отримав 85%, за довжину пароля - 56%, за контроль доступу - 86%, за моніторинг системи - 42%, а за цілісність і конфіденційність даних - 50%. У цілому наша система отримала середню оцінку, рівну 63%, і потрапила до "критичного" діапазон.
Після завершення сканування можна отримати набір детальних звітів (у форматі Crystal Reports). Вибравши звіт (або всі звіти), його неважко згенерувати, роздрукувати або зберегти у файлі (в різних форматах), однак ми були розчаровані тим, що Kane Security Analyst не пропонує коштів виведення звітів безпосередньо у форматі HTML.
Kane Security Analyst виявився найдорожчим з розглянутих нами продуктів: 695 $ за сервер. Оскільки він може сканувати сервери тільки тієї платформи, на якій виконується, це досить висока ціна. Звичайно, навряд чи це зупинить компанію, яку хвилює уразливість захисту, проте не слід забувати про те, що даний продукт не сканує хост-системи Unix.
У цілому Kane Security Analyst можна вважати чудовим інструментальним засобом для сканування серверів Windows, але в неоднорідному мережевому середовищі він не може конкурувати з Internet Scanner 5.2.
Як відганяють хакерів в Microsoft
Директор корпорації Microsoft із захисту інформації Говард Шмідт (Howard Schmidt) цілком задоволений функціональними характеристиками ПЗ Internet Scanner компанії Internet Security Systems (ISS). Після чотиримісячного періоду оцінки Microsoft вибрала Internet Scanner з трьох причин: через надійності продукту, його постійного оновлення та сильного персоналу підтримки. "Internet Scanner зміг виявити більше вразливих місць, ніж деякі інші оцінювані нами продукти, - зазначив Шмідт. - У цього продукту сильна підтримка, і він постійно оновлюється відповідно до знову виявляються" дірками "в захисті, а співробітники компанії завжди готові відповісти на питання і виявляють потенційні проблеми раніше, ніж наші власні фахівці ".
Технічний персонал ISS продовжує працювати в тісному контакті зі співробітниками Microsoft. Вони загальними зусиллями споруджують заслін для хакерів. На Шмідта справили сильне враження і засоби виведення звітів, пропоновані Internet Scanner: "Звичайно, є хороші інструменти, здатні ідентифікувати вразливі місця в системі, але можливість зібрати інформацію воєдино і представити в осмисленої формі - одне з чудових якостей саме цього продукту".
Internet Scanner був встановлений на всіх системах Microsoft в кінця травня, хоча його тестування завершилося ще в 1997 році. Тепер Microsoft має потребу в повному комплекті захисту і розглядає Internet Scanner як один з основних його елементів. "Для нас велику цінність представляють продукти, здатні взаємодіяти з ISS. Наприклад, вкрай бажана система виявлення порушників, яка могла б виводити звіти для цього продукту, з тим, щоб можна було отримувати осмислені висновки".
Internet Scanner пропонує чудові звіти за результатами сканування. Вони легко читаються і відразу дають чітку картину стану захисту сервера. У Kane Security Analyst незвичайний інтерфейс адміністрування та структура звітів, але він виявив не всі прогалини в захисті нашого сервера Windows NT.