4.1. Принципы работы систем анализа защищенности
Для понимания принципов работы систем анализа защищенно-сти, необходимо обозначить некоторые термины и определения. Клю-чевое понятие данного занятия – это «уязвимость». Под уязвимостью защиты ОС понимается такое ее свойство ( недостаток), которое может быть использовано злоумышленником для осуществления несанкцио-нированного доступа (НСД) к информации. Системы анализа защи-щенности способны обнаруживать уязвимости в сетевой инфраструк-туре, анализировать и выдавать рекомендации по их устранению, а
162
также создавать различного рода отчеты. К типичным уязвимостям можно отнести:
отсутствие обновлений системы безопасности ОС;
неправильные настройки систем безопасности ОС;
несоответствующие пароли;
восприимчивость к проникновению из внешних систем;
программные закладки;
неправильные настройки системного и прикладного ПО, уста-
новленного на ОС.
Большинство систем анализа защищенности (XSpider, Internet Scanner, LanGuard, Nessus) обнаруживают уязвимости не только в операционных системах, но и в наиболее распространенном приклад-ном ПО. Существуют два основных подхода, при помощи которых системы анализа защищенности обнаруживают уязвимости: сканиро-вание и зондирование[4]. Из-за первого подхода системы анализа за-щищенности еще называют «сканерами безопасности» или просто «сканерами».
При сканировании система анализа защищенности пытается оп-ределить наличие уязвимости по косвенным признакам, т.е. без фак-тического подтверждения ее наличия – это пассивный анализ . Данный подход является наиболее быстрым и простым в реализации. При зон-дировании система анализа защищенности имитирует ту атаку, кото-рая использует проверяемую уязвимость, т.е. происходит активный анализ. Данный подход медленнее сканирования , но позволяет убе-диться , присутствует или нет на анализируемом компьютере уязви-мость,
На практике эти два подхода реализуются в сканерах безопас-ности через следующие методы проверки [4]:
Проверка заголовков (Banner check);
Активные зондирующие проверки (Active probing check);
Имитация атак (Exploit check).
Первый метод основан на подходе «сканирование» и позволяет де-лать вывод об уязвимостях, опираясь на информацию в заголовке от-вета на запрос сканера безопасности. Примером такой проверки мо-жет быть анализ заголовков почтовой программы Sendmail, в резуль-тате которого можно узнать её версию и сделать вывод о наличии в ней уязвимости.
Активные зондирующие проверки также основаны на подходе «сканирование». Данный метод сравнивает фрагменты сканируемого программного обеспечения с сигнатурой известной уязвимости, хра-
163
нящейся в базе данных системы анализа защищенности. Разновидно-стями этого метода являются, например, проверки контрольных сумм или даты сканируемого программного обеспечения.
Метод имитации атак основан на использовании различных дефек-тов в программном обеспечении, и реализует подход зондирования. Существуют уязвимости, которые не могут быть обнаружены без бло-кирования или нарушения функционирования сервисов операционной системы в процессе сканирования. При сканировании критичных сер-веров корпоративной сети нежелательно использование данного ме-тода, т.к. он может вывести их из строя. И в таком случае сканер безо-пасности успешно реализует атаку «Denial of service» (отказ в обслу-живании). Поэтому в большинстве систем анализа защищенности по умолчанию такие проверки, основанные на имитации атак, выключе-ны. При их включении в процесс сканирования обычно выдается пре-дупредительное сообщение (рис. 4.1).
Рис. 4.1. Предупредительное сообщение сканера безопасности XSpider 7.0 о включении опасных проверок в процесс сканирования.