Сравнение сетевых сканеров безопасности

ДМИТРИЙ НИКСОВ, ПЁТР РУДЕЛЬ 

Cравнение сетевых сканеров безопасности

Сканер безопасности – это программное средство для удаленной или локальной диагностики различных элементов сети на предмет выявления в них различных уязвимостей, которые могут быть использованы посторонними лицами для доступа к конфиденциальной информации и нарушения работы системы вплоть до полной потери данных и работоспособности.

Основными пользователями систем аудита безопасности являются профессионалы: сетевые администраторы, специалисты по безопасности и т. д. Простые пользователи тоже могут использовать сканеры, но информация, выдаваемая такими программами, как правило, специфична, что ограничивает возможности ее применения неподготовленным человеком. Сканеры безопасности облегчают работу специалистов, сокращая суммарно потраченное время на поиск уязвимостей.

Введение по-человечески

В принципе любой сканер безопасности не делает ничего сверхъестественного: он просто перебирает все имеющиеся в его базе данных «дырки» (уязвимости) в программном обеспечении и проверяет их наличие на исследуемом компьютере. Конечно, эту работу можно сделать и вручную. Только в этом случае возникает три вопроса.

• Зачем делать нудную работу вручную, если имеется средство автоматизации?
• Уверены ли вы, что вам известны все уязвимости, которые следует проверить?
• Уверены ли вы, что при ручном анализе вы не допустите неточность и не забудете проверить все, что следует?

Эти обстоятельства, на наш взгляд, достаточно убедительны для того, чтобы проголосовать за использование сканера, если вас вообще беспокоит информационная безопасность вашей компьютерной сети. Уверены, что она вам, конечно, небезразлична. Но как показывает практика, и в этом случае у многих остается вопрос:

Зачем честному человеку сканер безопасности?

Не секрет, что сканеры безопасности любят использовать хакеры для поиска «дырок» в сетях своих потенциальных жертв. Хотя можете быть уверены, ни одной компании-производителю никогда бы не пришло в голову делать продукт «под хакеров». Почему – объяснять, конечно, не требуется. Тем не менее частое использование сканеров в неблаговидных целях остается фактом. Отсюда мы можем вывести первый формальный аргумент в пользу использования сканера: тем самым вы можете взглянуть на свою сеть глазами потенциального злоумышленника. Этот аргумент, конечно, может показаться достаточно искусственным и надуманным, отвлекающим от решения прямых задач по обеспечению безопасности сети (настройке сетевых экранов, конфигурированию маршрутизаторов, назначению прав доступа и т. п.). Но это не так, поскольку за ним стоят вполне содержательные идеи.

Главная из них заключается в несовершенстве любого системного и прикладного программного обеспечения. Какие бы многочисленные программно-аппаратные средства ограничения доступа к информации и компонентам сети вы не использовали, вы никогда не можете быть полностью уверены, что сами эти средства свободны от дефектов (уязвимостей, «дырок»), которые могут быть использованы посторонними для нарушения установленного порядка доступа (читай – взлома). Поэтому для полноценной, надежной системы безопасности сети следует не только грамотно планировать ее архитектуру и устанавливать то или иное ПО защиты данных, но и проводить постоянный мониторинг всего сетевого хозяйства на предмет возникающих «дыр».

Именно – возникающих. Уязвимости, по аналогии с живыми объектами, имеют свойство возникать и плодиться даже в рамках одной отдельно взятой сети, и причин этому две. Во-первых, специалисты постоянно выявляют все новые и новые уязвимости в уже существующем ПО. До того момента пока уязвимость не была известна, мы можем, хотя и достаточно условно, полагать ее несуществующей. Но после того как она была опубликована, уже нет никакого разумного оправдания игнорировать ее. Другая причина «плодовитости» уязвимостей заключается в том, что в компьютерной сети достаточно часто может устанавливаться новое ПО. А вместе с ним в сети могут возникать и новые «дыры».

Из всего сказанного следует достаточно очевидный вывод: аудит уязвимостей в сети нужен, причем он должен проводиться на регулярной основе. Как бы обременительно это не звучало, но обеспечение информационной безопасности в сети – это не разовое действие, а постоянный процесс.

К счастью, имеются сканеры безопасности, позволяющие упростить и облегчить этот процесс. Наверное, мы привели достаточно аргументов, чтобы оправдать то время, потраченное вами на изучение приведенного ниже анализа.

Качество работы ядра

Для сравнения были выбраны пять различных сканеров в разном ценовом диапазоне:

Оговоримся сразу, что сюда вошли не все из наиболее известных на рынке продуктов (нет, например, продуктов Retina от «eEye Digital Security» и NetRecon от «Symantec»), но выборка, тем не менее, является достаточно представительной. Кроме того, может возникнуть вопрос о правомерности сравнения коммерческих и бесплатных продуктов. Тут мы хотели бы подчеркнуть, что в этой части сравнения мы фокусируем внимание на содержательной части работы сканеров – как много уязвимостей находит тот или иной сканер, как много он дает ложных срабатываний (что также достаточно существенно, поскольку требует дополнительного времени на отсев ошибочных диагностик). Обсуждение вопросов регулярности обновления и других аспектов поддержки и сопровождения мы оставим на потом.

Чтобы сравнивать системы, подобные сканерам безопасности, недостаточно просто их запустить. Количество якобы проверяемых уязвимостей, обилие настроек, а также размер программы или её внешний вид не могут являться критериями для оценки качества содержательной работы того или иного сканера. Поэтому для того чтобы создать полноценное представление о работе различных сканеров безопасности, было решено провести их сравнительный тест по выявлению уязвимостей в семи различных операционных системах, часто используемых, в частности, крупными банками и финансовыми учреждениями:

• Solaris 2.6.1
• Windows 2000 Server
• Windows XP Professional
• Linux RedHat 5.2
• Compaq/Tandem Himalaya K2006 (OS D35)
• Bay Networks Router
• AS/400

Версии тестируемых сканеров (последние доступные на момент проверки):

• ISS Internet Scanner 6.2.1 с последними апдейтами
• LanGuard 2.0
• ShadowSecurityScanner 5.31
• XFocus X-Scan v1.3 GUI
• XSpider 6.01

Тестирование каждого сканера проводилось по два раза, тем самым исключая нежелательные возможные ошибки, связанные, например, с временной проблемой в сети. Все полученные данные были интегрированы в таблицу 1, показывающую, какая информация была получена тем или иным сканером. Желтым цветом обозначены уязвимости средней тяжести, которые при определенных обстоятельствах могут повлечь за собой серьезные потери, а красным – серьезные уязвимости, которые могут привести не только к серьезным потерям, но и к полному разрушению системы. Остальные строки относятся к нейтральной информации о системе, полученной сканерами.

Таблица 1. Данные тестирования сетевых сканеров для различных операционных систем

На основе таблиц была проведена интегральная оценка сканеров по следующей схеме:

• серьезная уязвимость: +3 балла
• уязвимость средней тяжести: +2 балла
• информация: +1 балл
• ложная серьезная уязвимость: -3 балла
• ложная уязвимость средней тяжести: -2 балла
• ложная информация: -1 балл

Результат представлен в таблице 2. Оставляя в стороне подробные комментарии по отдельным обнаруженным уязвимостям, приведем окончательные данные в виде диаграммы.

Таблица2. Интегральные результаты тестирования сетевых сканеров для различных операционных систем

Краткое резюме

ISS Internet Scanner – наиболее титулованный представитель в семействе рассматриваемых продуктов – показал себя как всегда на высоком уровне, заняв почетное второе место.

LanGuard с натяжкой можно назвать сканером безопасности. Он очень хорошо работает с NetBios, выдавая список ресурсов, сервисов и пользователей. Эта способность сильно отличает сканер от остальных, но вот именно только эта. На этом преимущества LanGuard заканчиваются.

ShadowSecurityScanner практически не отстал от ISS. И это при столь большой разнице в их цене. У программы простой интерфейс, похожий на интерфейс сканера Retina. Подробные советы и рекомендации по устранению уязвимостей легко позволяют справиться с проблемами. Минусы: небольшое количество распознаваемых уязвимостей, гораздо большее потребление системных ресурсов при работе по сравнению с другими сканерами. X-Scan – бесплатный сканер, по возможностям похожий на LanGuard, но немного его превосходящий. Минусы: не очень читабельный интерфейс программы, отсутствие каких-либо комментариев про найденные уязвимости.

XSpider оказался бесспорным лидером, сильно оторвавшись от конкурентов, особенно при поиске уязвимостей в Windows и Solaris. Есть у XSpider и существенный минус: при выдаче списка уязвимостей выводится очень мало пояснительной информации, что предполагает высокий уровень знаний и профессионализма у специалиста, использующего эту программу. Вероятно, это объясняется тем, что разработчик программы – российская компания Positive Technologies, профессионально специализирующаяся на услугах по обеспечению безопасности компьютерных сетей, делала продукт, исходя из своих внутренних потребностей, и не особенно заботилась о массовом пользователе. Правда, надо отдать ей должное, денег она за свой продукт не просит, что очень приятно, учитывая его отличное качество работы.

Мнение пользователей

Недавно стали доступны данные опроса профессиональных пользователей, проведенные сайтом по информационной безопасности SecurityLab.RU, относительно популярности сканеров безопасности (см. http://www.securitylab.ru/_Services/Vote.asp?Archive=109&Poll_ID=4). Нам показалось интересным сравнить результаты этого опроса с объективными данными нашего анализа. Результаты опроса приведены в таблице:

Таблица3. Какой сканеру язвимостейв ы предпочитаете использовать?

Перечень сканеров заметно отличается от протестированных в обзоре, но три ведущих по данным нашего анализа представлены и здесь. Сканер от ISS уступил второе место (видимо, в силу своей высокой цены) ShadowSecurityScaner. На первом же месте остался XSpider, набрав больше очков, чем все конкуренты вместе взятые. Эти данные можно рассматривать как косвенное подтверждение справедливости приведенных выше результатов анализа.

Заключение

Подчеркнем еще раз, что в данном материале проводилось сравнение только базовой функциональности сканеров безопасности. За рамками обсуждения остались вопросы, связанные с интерфейсом, удобством работы и дополнительными возможностями. Мы планируем обратиться к ним в одном из следующих материалов.