СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС
Проверяем защищенность сети и сервисов сканером DragonSoft Secure Scanner
Сегодня каждый компьютер, подключенный к Интернету, подвергается большому количеству самых разнообразных опасностей. Несмотря на то что инструменты, предназначенные для защиты систем и сетей, постоянно совершенствуются, противостоять всем угрозам – непростая задача.
Основные усилия администраторов направлены на мероприятия, которые можно охарактеризовать как пассивные методы защиты, т.е. использование межсетевых экранов, виртуальных частных сетей, антивирусов, систем обнаружения атак, обновление систем, установка патчей и прочее. Возможно, при постоянном внимании этого бывает достаточно. Но опыт показывает, что отследить все моменты практически невозможно. Особенно это актуально для больших сетей, в которых используется разнообразное программное обеспечение. Программы быстро устаревают, а заплатки можно установить централизованно не для всех. Со временем в используемых сервисах наверняка будут обнаружены уязвимости или сервисы попросту могут быть неправильно настроены, что приведет к образованию слабых участков. Поэтому наряду с пассивными методами защиты необходимо периодически использовать и активные, а попросту говоря, работать с теми же инструментами, что и взломщик, и, получив результат, оценить уровень защищенности. Такой аудит можно провести двумя способами. Первый, нанять специалистов одной из компаний, занимающихся информационной безопасностью. Полученный в этом случае отчет будет наиболее полным, хотя бы потому, что на результат не будет влиять заинтересованность работников компании, к тому же взгляд постороннего всегда более свеж. Но с другой стороны, стоит это отнюдь не дешево, а учитывая, что уязвимости появляются постоянно, то исследования быстро потеряют свою актуальность. Поэтому такой вариант больше подходит для проведения всестороннего аудита всей системы безопасности компании. А для проверки защищенности сетей и сервисов лучше использовать сканеры безопасности, что позволит проводить такие проверки постоянно. Одним из таких сканеров является DragonSoft Secure Scanner тайваньской DragonSoft Security Associates, основанной в 2002 году.
Разработчик позиционирует DSS как комплексное решение для обнаружения уязвимых мест в сети уровня предприятия. Утилита позволяет проверить компьютеры, в качестве операционной системы использующие Windows 9x/NT/2000/XP/2003, Sun Solaris, BSD, Linux и некоторые онлайновые сервисы (HTTP, FTP, POP3, SMTP). На момент написания статьи база DSS содержала информацию о 2145 уязвимостях. Если сравнить с аналогичными продуктами вроде XSpider (http://www.ptsecurity.ru) или Shadow Security Scanner (http://www.safety-lab.com), то в заявленных цифрах DSS явно проигрывает. С другой стороны, охватить все системы и уязвимости довольно тяжело, и в настоящий момент наблюдается «специализация» сканеров безопасности, что позволяет наиболее полно охватить определенный сегмент. Для уменьшения времени сканирования и количества ложных срабатываний используется технология FPP (False Positives Prevention). При этом сначала производится поиск имеющихся сервисов, а затем программа производит проверку ассоциированных уязвимостей. Для определения сервисов используется технология intelligent protocol identification, которая распознает возможный сервис не только по номеру открытого порта, но и дополнительно анализируются входные данные, чтобы подтвердить свои выводы. Для работы DSS потребуется компьютер класса Pentium 266 с 64 Мб ОЗУ (лучше 128 Мб) и 500 Мб свободного места на жестком диске, с установленной Windows NT 4.0 SP3, Windows 2000/XP.
На сайте проекта [1] можно получить 30-дневную ознакомительную версию DSS. Для ее получения необходимо первоначально зарегистрироваться, после чего на указанный почтовый адрес придет ссылка для закачки. Примечательно, что кроме срока действия больше никаких ограничений нет, что позволяет наиболее полно оценить продукт. К тому же этого времени достаточно, чтобы, например, перейдя на новую работу, провести аудит сети и устранить проблемы. При каждом запуске появляется меню (см. рис. 1), позволяющее выбрать вариант предполагаемой работы. Как видите, имеется три варианта тестирования (Vulnerability Scan, Password Check, DoS Test). Четвертый пункт позволяет открыть файл с расширением *.dss, в котором сохранены настройки и результаты ранее проведенного тестирования, что дает возможность например продолжить незаконченную работу. По умолчанию DSS включает 9 политик сканирования (Complete, Database, NetBIOS, PortScan, SANS 20, Normal, BackDoor, UNIX и Windows). Такое разделение позволяет более гибко выбрать действительно необходимый в конкретном случае вариант теста, ведь в больших сетях при использовании всех политик получение результата может затянуться. При необходимости пользователь может отредактировать текущую политику сканирования либо создать на основе имеющихся свою. Так, при помощи редактора политик можно изменить: диапазон сканируемых портов, реакцию на отсутствие пинга, параметры NetBIOS, вид аудита, сканирование по протоколу UDP, файлы с логинами и паролями, которые будут использованы при доступе к ftp, http, NetBIOS, и некоторые другие настройки. Интересно, что для NetBIOS возможно автоматическое занесение данных, исправляющих неправильную настройку, в реестры клиентских машин. Для этого необходимо активировать опцию «Automatic registry bug fix», результат ее работы будет отображен в отчете.
Рисунок 1. Вначале необходимо выбрать тип будущей работы
В утилите удобно реализован импорт IP-адресов. Эту операцию можно проделать тремя способами: непосредственным введением, заданием диапазона или использованием текстового файла, в котором помещен список. Естественно, в программе такого рода необходимо периодически обновлять базы, содержащие описание новых уязвимостей. Зайдя в «Tools Options Update», можно установить автоматическое обновление баз. Здесь же в пункте Protection можно защитить настройки программы паролем.
Следующий тест Password Check позволяет проверить устойчивость паролей в таких сервисах: ftp, http, pop3, imap, telnet, MSSQL и MySQL. Для этого указывается IP-адрес, опционально порт и файлы с логинами и паролями и количество потоков сканирования. Готовые файлы с паролями и логинами можно найти в подкаталоге Dic. Состояние текущей проверки можно сохранить и продолжить в любое удобное время. Так как DSS является утилитой аудита, одним из требований к которой скорость сканирования, а не скрытость, то паузу между попытками перебора пароля устанавливать нельзя. Практически также легко использовать и DoS Test, который имитирует одноименную атаку. Кроме указанных тестов дополнительно в руки администратора попадают полезные утилиты с графическим интерфейсом вроде DNS Lookup, IP Reverse, Traceroute. Для удобства можно использовать встроенный планировщик и проводить проверку автоматически, например ночью, когда сеть не загружена. В этом случае результат сканирования дополнительно можно отправить и по почте, для чего в подпункте Config Alert заполняются параметры SMTP сервера и заголовок письма.
Кроме того, DSS позволяет запускать тест с командной строки. Для этого первоначально создается шаблон проверки, а затем набирается команда dss_winnt.exe *.dss scan.
Сильной стороной DSS всегда были отчеты. После сканирования администратор получит полную информацию обо всех найденных узлах и работающих на них серверах, программах и их версиях (если возможно), включая МАС-адрес, NetBIOS-имя, имена пользователей и прочее. Если будут найдены уязвимости, то будут указаны степень опасности (Info, Low, Medium, High) и краткое описание со ссылками на ресурсы BugTraq, DragonSoft, ISS XForce и CVE-ID (Common Vulnerability and Exposure), где можно найти более подробное объяснение. При оценке риска программа следует стандарту BS7799.
На отдельных страницах будет доступна сборная информация, выводящая общее количество уязвимостей по адресам (см. рис. 2), по уровню опасности, категориям, а также список обнаруженных операционных систем и открытых портов. Всю информацию можно сохранить в файл формата html, к сожалению, импорт в pdf, более удобный для печати, не поддерживается. В этом случае DSS предлагает три типа отчетов: Complete, Executive и Technician. При этом каждый может иметь три стиля: Default, Modern и Lite. Отчет Complete содержит всю информацию. Отчет Executive предназначен для неспециалистов и содержит информацию о просканированных узлах, «TOP 6» самых уязвимых узлов, обобщенные результаты о защищенности сети. Графики, представленные этим отчетом, будут хорошим аргументом при разговоре с начальством. Отчет Technician предназначен для специалистов безопасности и системных администраторов и содержит описание уязвимостей и рекомендации к их устранению. При желании, зайдя в «Report Configure», можно изменить параметры отчетов, добавить свой логотип и заголовок. Кроме отчетов, всю информацию можно занести в базу данных. По умолчанию в качестве источника установлен DSS2_DB использующий Microsoft Access Driver и сохраняющий информацию в файл scandb.mdb. Как вариант для хранения информации можно использовать файлы Microsoft Excel или dBASE (*.dbf).
Рисунок 2. Отчеты DSS позволяют оценить общую обстановку
Сканер безопасности DragonSoft Secure Scanner является удобным инструментом, позволяющим оценить защищенность сети и избежать проблем. Выдаваемые отчеты помогут не только убедить начальство в реальности проблем, но и оказать помощь в их устранении.
Ссылка:
- Сайт DragonSoft Security Associates – http://www.dragonsoft.com.