Добавил:

Valeriya Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Липецкий государственный технический университет

Предмет:

Методы и Средства Защиты Информации

Файл:

SecScanPT2

.pdf

Скачиваний:

Добавлен:

20.06.2014

Размер:

1.83 Mб

Скачать

☆

1 / 71 2 3 4 5 6 7 > Следующая >>>

Сравнительный анализ сканеров безопасности

ЧАСТЬ 2

ФУНКЦИОНАЛЬНЫЕ ВОЗМОЖНОСТИ СКАНЕРОВ БЕЗОПАСНОСТИ

Авторы исследования

Лепихин Владимир Борисович

Заведующий лабораторией сетевой безопасности Учебного центра "Информзащита"

Гордейчик Сергей Владимирович

Ведущий специалист Учебного Центра "Информзащита"

Все материалы отчета являются объектами интеллектуальной собственности Учебного центра "Информзащита". Тиражирование, публикации или репродукции материалов отчета в любой форме запрещены без предварительного письменного согласия Учебного центра "Информзащита".


Copyright© 2006, Учебный центр "Информзащита"	Москва, Январь-Март 2006 года

Функциональные возможности сканеров безопасности
Содержание
1. Введение. Общее описание критериев сравнения.........................................................................		4
2.	Краткая характеристика участников ................................................................................................	5
3.	Развёртывание и архитектура .........................................................................................................	6
	3.1. Вариант пробной версии......................................................................................................................................	8
	3.2. Наличие аппаратно-программного варианта ...................................................................................................	10
	3.3. Платформа..........................................................................................................................................................	11
	3.4. Наличие распределённой архитектуры............................................................................................................	12
	3.5. Протокол взаимодействия .................................................................................................................................	13
	3.6. Отношения между клиентской и серверной частями ......................................................................................	14
	3.7. Количество соединений с серверной частью ...................................................................................................	14
	3.8. Управление .........................................................................................................................................................	14
	3.9. Защита собственных данных.............................................................................................................................	15
	3.10. Трудоёмкость развёртывания .........................................................................................................................	17
4.	Сканирование..................................................................................................................................	18
	4.1. Идентификация устройств сети.........................................................................................................................	19
	4.1.1. Обнаружение модемов ..........................................................................................................................................................................	23
	4.1.2. Идентификация открытых портов.........................................................................................................................................................	24
	4.1.3. Идентификация служб и приложений...................................................................................................................................................	26
	4.1.4. Идентификация операционных систем ................................................................................................................................................	30
	4.2. Методы поиска уязвимостей .............................................................................................................................	30
	4.2.1. DoS-атаки ................................................................................................................................................................................................	32
	4.2.2. Динамическое включение/выключение проверок ...............................................................................................................................	33
	4.2.3. Проверки и группы проверок .................................................................................................................................................................	33
	4.2.4. Шаблоны .................................................................................................................................................................................................	35
	4.2.5. Расширение функционала сканера ......................................................................................................................................................	35
	4.2.6. Количество проверок .............................................................................................................................................................................	36
	4.2.7. Учётная запись для подключения к узлу..............................................................................................................................................	36
	4.2.8. Ведение логов сканирования ................................................................................................................................................................	38
	4.2.9. Ведение логов работы компонентов сканера ......................................................................................................................................	40
	4.2.10. Поддержка Wireless..............................................................................................................................................................................	40
	4.2.11. Параллельное сканирование ..............................................................................................................................................................	41
	4.2.12. Сканирование по расписанию .............................................................................................................................................................	42
	4.2.13. Сканирование через сервер-посредник (proxy) .................................................................................................................................	42
	4.3. Управление результатами сканирования и реагирование..............................................................................	43
	4.3.1. Хранение результатов сканирования ...................................................................................................................................................	44
	4.3.2. Вывод результатов.................................................................................................................................................................................	46
	4.3.3. Отчёты .....................................................................................................................................................................................................	49
	4.3.4. Оповещение по электронной почте ......................................................................................................................................................	51
	4.3.5. Автоматическое устранение уязвимостей ...........................................................................................................................................	52
5. Обновление и поддержка .................................................................................................................		53
	5.1. Режимы получения обновлений........................................................................................................................	53
	5.2. Защита обновления............................................................................................................................................	54
	5.3. Отказ от обновления ..........................................................................................................................................	54

Стр. 2 из 70

Функциональные возможности сканеров безопасности
	5.4. Список рассылки.................................................................................................................................................	54
	5.5. База уязвимостей ...............................................................................................................................................	54
	5.6. База знаний.........................................................................................................................................................	55
	5.7. Техническая поддержка .....................................................................................................................................	56
	5.8. Авторизованное обучение .................................................................................................................................	56
6.	Дополнительные критерии ...............................................................................................................	58
	6.1. Интеграция с другими средствами защиты......................................................................................................	58
	6.2. Статус CVE-совместимости...............................................................................................................................	59
	6.3. Сертификат ГТК и другие...................................................................................................................................	59
	6.4. Русификация.......................................................................................................................................................	59
7.	Вместо заключения или мысли об идеальном сканере безопасности..........................................	64
8.	Литература ........................................................................................................................................	70

Стр. 3 из 70

Функциональные возможности сканеров безопасности

1.Введение. Общее описание критериев сравнения

В первой части исследования (http://www.securitylab.ru/analytics/243179.php) было рассмотрено назначение сканеров безопасности, классификация, основные возможности, а также были приведены результаты практических испытаний сканеров в процессе тестирования сети на устойчивость к взлому. Представленный далее материал продолжает начатое исследование и содержит сведения теоретического характера, касающиеся функциональных возможностей сканеров безопасности. Критерии сравнения объединены в группы и охватывают практически все аспекты использования сканеров безопасности: начиная от методов сбора информации и заканчивая стоимостью.

Использование сканера безопасности начинается с планирования развёртывания и собственно развёртывания. Поэтому первая группа критериев касается архитектуры сканеров безопасности, взаимодействия их компонентов, инсталляции, управления.

Следующая группа критериев – наиболее интересная – сканирование. Как известно, процесс сканирования узлов сети с использованием сетевого сканера можно разбить на следующие этапы:

1.Идентификация узлов сети

2.Идентификация открытых портов

3.Идентификация служб

4.Идентификация приложений

5.Идентификация операционных систем

6.Идентификация уязвимостей

Группа критериев «Сканирование» охватывает методы, используемые сравниваемыми сканерами для выполнения перечисленных действий, а также другие параметры, связанные с указанными этапами работы сканера.

Следующая группа критериев касается результатов сканирования. Как хранятся результаты, какие могут быть сформированы отчёты на основе этих результатов – вот некоторые параметры, относящиеся к названной группе.

Критерии группы «Обновление и поддержка» позволяют выяснить такие вопросы, как методы и способы обновления, уровень технической поддержки, наличие авторизованного обучения и т. п.

Наконец, к дополнительным критериям можно отнести такие, как наличие сертификатов, интеграция с другими средствами защиты, стоимость.

Стр. 4 из 70

Функциональные возможности сканеров безопасности

2. Краткая характеристика участников

По каждой группе критериев будут приведены результаты сравнения шести популярных сканеров безопасности сетевого уровня. Данные по ним представлены в Таблице 1.

Таблица 1. Сетевые сканеры безопасности

Название	Версия	Ссылка
Internet Scanner	7.2.21	http://www.iss.net/products_services/enterprise_protection/vulnerabilit
		y_assessment/scanner_internet.php
LANguard Network	7.0.2006.118	http://www.gfi.com/lannetscan/
Security Scanner (N.S.S.)
Nessus	3.0.1	http://www.nessus.org/download
Retina Network Security	5.4.9.1389	http://www.eeye.com/html/products/retina/index.html
Scanner
Shadow Security Scanner	7.80 (Build 157)	http://www.safety-lab.com/en/products/1.htm
(SSS)
XSpider	7.5 (Build 1611)	http://www.ptsecurity.ru/xs7.asp

Стр. 5 из 70

Функциональные возможности сканеров безопасности

3. Развёртывание и архитектура

Первая группа критериев охватывает, как уже было сказано выше, архитектурные особенности сканеров и может учитываться при планировании процесса их развёртывания в сети. Перечень критериев и результаты сравнения выбранных сканеров приведены в Таблице 2.

Стр. 6 из 70

Функциональные возможности сканеров безопасности

Таблица 2. Архитектурные особенности сканеров

LANGuard

Retina Network

Shadow Security

Критерий сравнения

Internet Scanner

Network Security

Nessus

XSpider

Security Scanner

Scanner

Полная, для

Полная,

Неприменимо,

С ограничениями,

использования

ограничениями,

Демонстрационная

Вариант пробной версии

ограниченная по

т.к. система

в т.ч. и по

требуется заказать

в т.ч. и по

с ограничениями

времени

бесплатная

времения

временный ключ

времения

Наличие аппаратно-программного варианта

Планируется

–

Планируется

Платформа

Windows

UNIX

Windows

Командная строка

–

Графический

интерфейс

Управление

Только в

распределенном

Web-интерфейс

варианте и только

–

распределенном

–

—

для просмотра

варианте

результатов

Разграничение

При установке

корректируются

доступа

ACL файловой

–

—

(автономный

системы и ключей

Защита собственных

вариант)

регистра

данных

Аутентификация

пользователя при

запуске (в т.ч. и для

–

автономного

варианта)

Наличие и возможности распределенной

–

архитектуры

Протокол

Транспортный

TCP

уровень

взаимодействия

клиентской и

Прикладной уровень

Собственный с

SSL (TLS)

серверной частей

шифрованием

Работа в режиме «несколько клиентов —

С ограничениями

один сервер»

Работа в режиме «несколько серверов —

один клиент»

Количество соединений между

компонентами управления и агентом в

процессе работы

Аутентификация

Неприменимо,

Аутентификация

между клиентской и

Открытые/закрытые

так как нет

сервера

Нет данных

Неприменимо, так как нет

серверной частями

ключи

распределенной

(сертификат

распределенной архитектуры

(на уровне

архитектуры

SSL)

компьюетера)

Аут Аутентификация

между клиентской и

Средствами ОС или

Имя, пароль,

серверной частями

Нет данных

Защита собственных

сертификат

(на уровне

данных

пользователя)

Шифрование

взаимодействия

компонентов

Разграничение

доступа

(распределенный

вариант)

Стр. 7 из 70

Функциональные возможности сканеров безопасности

3.1. Вариант пробной версии

Прежде чем приобретать продукт, имеет смысл оценить его, скачав пробную версию. Для всех сравниваемых сканеров данная возможность имеется. Пожалуй, стоит лишь выяснить, чем пробная версия отличается от полноценной.

Как видно из Таблицы 2, большая часть пробных версий сканеров безопасности имеет ограничения. Например, пробные дистрибутивы сканеров Shadow, Retina и LANguard имеют ограничение по времени использования (15 дней для сканеров Shadow и Retina и 30 дней для сканера LANguard). При этом если перед скачиванием дистрибутива сканера LANguard при заполнении регистрационной формы вы указали адрес E-mail, высылается лицензия, позволяющая продлить использование продукта ещё на 30 дней.

Демо-версия сканера Retina кроме ограничения по времени использования имеет и другие отличия от полной версии (Рис. 1), например:

1.В отчётах не показываются варианты устранения найденных уязвимостей.

2.Отсутствует возможность одновременного сканирования сразу нескольких узлов сети.

3.Не работает автоматическое обновление.

4.Нет возможности удалённого управления (построения распределённой архитектуры).

5.Нет возможности создавать свои проверки.

Рис. 1. Ограничения пробной версии сканера Retina.

Стр. 8 из 70

Функциональные возможности сканеров безопасности

Некоторые функциональные ограничения имеются и у сканера Shadow, например, невозможность формирования отчётов по результатам сканирования. Пробная версия Internet Scanner ничем не отличается от полноценной, но для её использования необходимо заказать временный лицензионный ключ (обычно на 15 или 30 дней)1. Кроме ограничения по времени, ключ ограничивает и количество сканируемых узлов. Стоит также иметь ввиду, что для оценки продукта потребуется скачать в общей сложности:

1.Дистрибутив (размером 130 Мб).

2.Обновления, вышедшие с момента появления дистрибутива2.

Демо-версия сканера XSpider не имеет ограничения по времени использования, но имеет следующие функциональные ограничения:

1.Отсутствуют потенциально опасные проверки на DoS-уязвимости.

2.Проверки содержимого WWW-серверов на предмет SQL инъекций, инъекций кода, получения файлов и т.д. не содержат детали.

3.Отсутствует целый ряд проверок, использующих оригинальные эвристические механизмы.

4.Отсутствуют проверки, связанные с использованием различных словарей.

5.Планировщик заданий имеет полноценный интерфейс, но не сохраняет созданные расписания.

6.Генерируемые отчеты содержат только резюме по реальному сканированию, в теле отчета — стандартный демонстрационный фрагмент.

7.История сканирований доступна только для общего просмотра, старые результаты нельзя использовать для последующей работы.

Кроме того, демо-версия XSpider, доступная для скачивания с сайта, обновляется достаточно редко (последний раз это было 6 декабря 2005 года), поэтому может не включать проверок, выпущенных с момента её появления3.

Сканер Nessus версии 3 остаётся бесплатным, как и его предшественники. Скачивая Nessus версии 3, вы получаете:

•«Nessus 3 scanning engine» (собственно сам сканер)

1 Ключ для оценки продукта можно заказать в компании «Информзащита», обратившись по адресу market@infosec.ru.

2 На момент подготовки материала имелось 21 обновление (суммарный размер 420 Мб, т. е. вместе с дистрибутивом получается 550 Мб).

3 В связи с выходом комплексного обновления (до версии 7.5) сканера XSpider в ближайшее время планируется также обновление и демонстрационной версии, в которую будут включены многие возможности коммерческой версии 7.5.

Стр. 9 из 70

Функциональные возможности сканеров безопасности

•«Static version of the Tenable Registered Feed Plugins» (фиксированный набор проверок)

Дополнительно потребуется скачать графического клиента для Windows или UNIX (кому что нравится). Ситуация с проверками обстоит следующим образом. Существует два варианта получения новых проверок:

•Direct Feed

•Registered Feed

Первый вариант предполагает платную подписку на получение новых проверок (1200$ в год). Второй вариант не предполагает платы за получение проверок, но новые проверки вы получаете через 7 дней после их выхода. В любом случае для получения обновлений требуется регистрация, которую можно сделать после установки продукта.

Краткое резюме. Наиболее значительные отличия пробной версии от полноценной у сканеров XSpider и Retina, самый большой размер дистрибутива – у Internet Scanner.

3.2. Наличие аппаратно-программного варианта

В области средств защиты в последнее время наметилась устойчивая тенденция перехода от чисто программных реализаций к программно-аппаратным. Программно-аппаратный вариант продукта включает в себя:

1.Аппаратное обеспечение (компьютер с чётко описанной спецификацией).

2.Установленная и настроенная операционная система (ОС). Обычно это «усечённый» вариант ОС Linux.

3.Собственно сам продукт, в данном случае, сканер безопасности.

Это даёт следующие преимущества:

•Выигрыш по времени (устройство готово к работе сразу после приобретения)

•Надёжность (исключение из используемой ОС ненужных функций)

•Снижение затрат на внедрение, поддержку, обучение и т. п.

Иесли для межсетевых экранов и систем обнаружения атак программно-аппаратные решения – теперь уже не редкость, то для сканеров безопасности это направление только-только начинает вырисовываться. Из представленных в Таблице 2 сканеров только для двух планируется появление программно-аппаратного решения: XSpider и Internet Scanner.

Стр. 10 из 70

1 / 71 2 3 4 5 6 7 > Следующая >>>

Соседние файлы в папке ПР_1

#
20.06.2014800.17 Кб36secscanpt.pdf
#
20.06.20141.83 Mб36SecScanPT2.pdf
#
20.06.201482.43 Кб29ПР_1.doc