Nipper Studio. Аудит безопасности сетевых устройств

 ВИТАЛИЙ ИВАНОВ, специалист по информационной безопасности

Nipper Studio
Аудит безопасности сетевых устройств

Чем больше средств защиты есть на предприятии, тем сложнее уследить за их работой, поэтому эффективность защитных мер падает. Чтобы системы защиты работали эффективно, нужно постоянно проверять их работоспособность и соответствие политике безопасности предприятия

Контроль конфигурации сетевых устройств и средств защиты позволяет определить, насколько защищена сетевая инфраструктура предприятия.

Действия хакеров также можно заметить по изменению конфигурационных файлов, поскольку для закрепления в системе нападающие вынуждены вносить изменения в атакуемую систему. Aудит безопасности сетевого оборудования и средств защиты дает возможность проверить реальное состояние защиты корпоративной инфраструктуры.

Активный и пассивный аудит

Следует отметить, что есть несколько технологий аудита. Наиболее популярными инструментами являются системы активного аудита, которые эмитируют работу хакера в системе. Они проверяют наличие той или иной уязвимости напрямую, посылая соответствующие запросы на уязвимые сервисы. Однако в процессе проверки они посылают огромное количество паразитных запросов по сети и сильно нагружают информационную систему в целом. Поэтому такой аудит сложно проводить часто. К тому же всегда остается опасность, что подобный сканер что-то напортит в сложной корпоративной среде предприятия.

В последнее время начали активно развиваться технологии так называемого пассивного аудита, которые собирают информацию об уязвимостях системы другими способами, без большой нагрузки и выполнения сложных запросов. Одним из методов подобного пассивного сканирования является проверка конфигурационных файлов сетевых устройств и средств защиты. В такой сканер загружаются конфигурационные файлы устройств, а программный комплекс проверяет соответствие их настроек принятой на предприятии политики безопасности. В некоторых случаях ПО может даже сформировать правильный файл, который достаточно загрузить на устройство, и уязвимость будет устранена.

Одним из подобных пассивных сканеров является продукт компании Titania Ltd, который носит название Nipper Studio. Он анализирует конфигурационные файлы различных устройств и выдает по ним рекомендации для улучшения защиты. Кроме того, продукт может сгенерировать исправленные конфигурации, которые соответствуют политике безопасности компании. Сканер также готовит отчет по найденным уязвимостям и формирует необходимую администратору и руководству отчетность о найденных проблемах.

Продукт может прямо из коробки проверять более 80 типов  различных устройств таких производителей, как Cisco, Juniper, Check Point и многих других. И этот список постоянно расширяется. Nipper Studio проверяет у этих устройств версию программного обеспечения, используемые методы и сервисы аутентификации, конфигурацию VPN-системы и сервисов администрирования. Также проверяются настройка веб-сервиса, системы журналирования событий, работа DNS-сервиса и правильность настройки времени.

Для систем защиты проверяются правила межсетевого экрана, IPS/IDP, настройки шифрования и беспроводных устройств, таблицы маршрутизации и работа принтеров. Для каждого из поддерживаемых устройств также проверяются и уникальные уязвимости, характерные для данного продукта. Кроме того, у пользователя есть возможность самостоятельно разработать правила проверки с помощью специального сценарного языка, что помогает проверять с помощью того же сканера различные модули и дополнительные продукты.

Возможности Nipper Studio

Проверка конфигурационных файлов выполняется на рабочей станции под управлением Windows, MacOS X или Linux. Поддерживаются дистрибутивы Ubuntu, RedHat (вместе с Fedora), Novell OpenSuSE и CentOS. При этом для всех операционных систем достаточно 512 Мбайт оперативной памяти, а по дисковому пространству требования разные: для Linux достаточно 20 Мбайт, но при установленной графической библиотеке Qt 4.6 для Windows (XP, Vista, 7, 2003 или 2008) требуется 40 Мбайт, а для MacOS X Tiger – 200 Мбайт. Дистрибутив продукта можно скачать с сайта производителя. Для установки сканера под Windows используется стандартная процедура, в которой нужно согласиться с лицензионными требованиями и указать каталог, куда планируется установить продукт.

Когда продукт установлен, можно начинать подготовку отчетов, хотя первым делом нужно зарегистрировать необходимые лицензии по коду активации продукта – эту процедуру следует провести в момент первого запуска программы. В дальнейшем управление лицензиями выполняется с помощью специального компонента программы.

Когда необходимые лицензии зарегистрированы, откроется основное окно программы, в котором можно добавлять новые файлы для подготовки отчетов. Файлы можно загружать по одному или группой, указав директорию, в которой они будут располагаться. После анализа конфигурационных файлов Nipper Studio формирует список устройств, сведения о которых он обнаружил в указанном месте. При выборе устройства нужно сообщить программе, какой тип отчета планируется построить: анализ безопасности, проверка конфигурации или подготовка конфигурации. Каждый из указанных типов действий может быть дополнительно настроен, после чего программа сформирует соответствующий отчет.

Отчеты могут готовиться как по отдельным устройствам, так и групповые. При этом выдается общая статистика по количеству обнаруженных уязвимостей, их уровню опасности и классу, к которому они относятся. Также формируется полная статистика по уязвимости отдельных устройств. Для обнаруженных проблем формируются их описание с рекомендациями по исправлению конфигурации и список устройств, на которых данная уязвимость была обнаружена. Собственно, отчеты имеют следующую структуру:

• Титульный лист с названием компании или логотипом.
• Нетехническое резюме со статистикой и графиками.
• Содержание отчета, в котором перечислены разделы, таблицы и графики.
• Введение, включая информацию о всех оцениваемых системах и условных обозначениях в формате отчета.
• Детальный аудит безопасности, который включает оценку обнаруженных уязвимостей, их влияния на системы, насколько легко ими может воспользоваться злоумышленник, и рекомендации, которые содержат необходимые команды для решения проблемы.
• Выводы по аудиту безопасности, которые выделяют обнаруженные уязвимости и обобщенный раздел рекомендаций.
• Конфигурационный отчет, в котором подробно описываются настройки каждого сетевого устройства и объясняется значение их параметров.
• Приложение, которое включает в себя объяснения аббревиатур, используемых в отчете, вместе с другими рекомендациями.

Такой отчет можно сразу передавать аудитору, конечно, если в нем не обнаружено проблем безопасности. В противном случае стоит обратиться в раздел рекомендаций и попытаться исправить найденные уязвимости.

Следует отметить, что в продукте Nipper Studio предусмотрены две системы рейтингования обнаруженных проблем:

• Стандартная (CVSS v2), которая позволяет настраивать оценку результатов систем безопасности под требования конкретной организации. Например, если более важны целостность и конфиденциальность, чем доступность системы, Nipper Studio уделит больше внимания уязвимостям, которые ухудшают целостность и конфиденциальность, а проблемы, приводящие к снижению доступности, будут идти с низким приоритетом.
• Классическая рейтинговая система, которая также принята и в Nipper Studio. С ее помощью проблемы оцениваются на основании традиционно принятых уровней опасности – их в продукте предусмотрено пять: критический, высокий, средний, низкий и самый минимальный уровень, который называется информационным. Если CVSS v2 нужно предварительно настраивать под приоритеты компании, то классическая методика построена на подходе «лучших практик» и работает из коробки.

В целом продукт позволяет быстро подготовить отчет по безопасности сетевой инфраструктуры и предоставить его аудитору или руководителю для проверки. Хорошей практикой была бы проверка всех конфигурационных файлов после внесения в них изменений и перед установкой их на устройства. Впрочем, эту же работу с помощью того же продукта может выполнить и администратор безопасности, который проверяет правильность действий системного администратора.

Что дает аудит

По сравнению с активными сканерами Nipper Studio не производит большой нагрузки на сеть – для его работы достаточно регулярно получать конфигурационные файлы устройств. Нагрузка при этом минимальна, поэтому такие проверки можно проводить значительно чаще, например, раз в час. В результате пассивный анализ конфигураций работает более оперативно, чем традиционный активный сканер, который в лучшем случае можно запускать раз в сутки в ночное время, когда нагрузка на сеть минимальна.

Кроме того, активные сканеры не могут исправить найденную ошибку, но только выдают рекомендации по исправлению. В то же время Nipper Studio позволяет не просто найти проблему, но и предлагает варианты ее исправления. Администратору остается только принять рекомендации и установить соответствующую конфигурацию на устройство. Он может работать и как генератор конфигурационных файлов для различных устройств, конфигурация которых должна соответствовать определенной политике безопасности.

Nipper Studio может пригодиться тем компаниям, где требуется регулярное проведение аудита системы защиты. Это относится к банкам и пользователям платежных систем, которые должны соответствовать требованиями PCI DSS и стандарта банка России.

Впрочем, более широкое применение пассивные сканеры уязвимостей могут получить в рамках закона «О персональных данных», одним из требований которого является установка у оператора системы мониторинга и аудита средств защиты. Под действие этих требований подпадает значительно больше компаний – потенциально Nipper Studio может пригодиться практически в любой российской компании. Скачать бесплатную пробную 30-дневную версию продукта можно на сайте официального дистрибьютора в России – компании TopSecurity www.tsecure.ru.

Комментарии могут оставлять только зарегистрированные пользователи