Функциональные возможности сканеров безопасности
Рис. 42. Англоязычный интерфейс сканера Shadow.
Рис. 43. Русифицированный интерфейс сканера Shadow.
Copyright© 2006, Учебный центр "Информзащита" Стр. 61 из 70
Функциональные возможности сканеров безопасности
Вторая составляющая русификации – документация. На русском языке, она, разумеется, есть у XSpider-а, и представляет собой учебник, написанный простым (очень простым) языком, а также справочник (Рис. 44)13.
Рис. 44. Доступ к документации в сканере XSpider.
В принципе, Справочник «честно» описывает возможности кнопок и пунктов меню программы, как это и должна делать справочная система.
Ещё один сканер, имеющий документацию на русском языке – Internet Scanner. Её можно загрузить по адресу: http://www.infosec.ru/themes/default/content.asp?folder=2058. Но при беглом взгляде на неё становится ясно, что использовать её совершенно невозможно. Следующий фрагмент не требует комментариев, всё предельно ясно:
«Запуск Internet Scanner под внесистемной учетной записью»,
что в оригинале выглядит как
«Running Internet Scanner under a Non-System Account».
А это пояснение (вначале идёт английский вариант, который тоже, кстати говоря, не идеален):
«Setting up Domain Administrator credentials Internet Scanner version 7.0 does not run with the credentials of the user who is logged in at the Internet Scanner console. Instead, Internet Scanner runs as the system account».
Затем русский:
«Настройка мандата администратора домена Internet Scanner версии 7.0 не запускается с мандатом пользователя, который зарегистрировался на консоли Internet Scanner. Вместо этого, Internet Scanner выполняется как системная учетная запись».
Разумеется, такая документация вряд ли поможет разобраться с продуктом.
Наконец, последняя составляющая русификации – отчёты. Это как раз самая важная составляющая. Отчёт, содержащий информацию по устранению уязвимостей, рассчитан на специалиста, и может быть на английском, но общие отчеты, рассчитанные на руководителей, просто обязаны представлять информацию на русском языке. К сожалению, именно эта составляющая русификации менее всего
13 В новой версии 7.5 справочник был переработан.
Copyright© 2006, Учебный центр "Информзащита" |
Стр. 62 из 70 |
Функциональные возможности сканеров безопасности
представлена в сравниваемых сканерах, тут просто нет альтернативы: только сканер XSpider предоставляет отчёты на русском языке.
Краткое резюме. Наличие русифицированного интерфейса или документации на русском языке на данный момент не является серьёзным преимуществом продукта. Сделать грамотный перевод информации, содержащей технические подробности, довольно сложно, всё равно, что перевести книгу с английского на русский. Здесь требуется участие и квалифицированного переводчика, и технического специалиста, а также технического писателя. Перевод документации, сделанный в компании с автопереводчиком, вряд ли будет полезен пользователям. Совсем другое дело отчёты – здесь требуется поддержка нескольких языков (и она есть, например, у Internet Scanner, к сожалению, за исключением русского). Следует признать, что отчёты на русском языке пока предоставляет только XSpider.
Copyright© 2006, Учебный центр "Информзащита" |
Стр. 63 из 70 |
Функциональные возможности сканеров безопасности
7. Вместо заключения или мысли об идеальном сканере безопасности
Рассмотренные выше параметры позволяют посмотреть на сканеры безопасности с разных точек зрения. Какие-то из них важнее, другие менее важны. Параметры, не имеющие значения для одного пользователя, могут быть важны для другого. Как же должен выглядеть идеальный сканер безопасности в свете перечисленных критериев сравнения?
Если начинать с самой первой группы критериев – развёртывание и архитектура, то, прежде всего, сканер должен идеально вписываться в сетевую инфраструктуру, быть гибким и масштабируемым. Следовательно, наличие распределённой архитектуры – довольно важный параметр. И дело здесь не только в масштабах сети и количестве сканируемых узлов.
Для сетевого сканера важный момент его использования - выбор местоположения по отношению к объекту сканирования. Здесь, как известно, есть два решения:
•Мобильное. Ноутбук со сканером просто переезжает с места на место. Это решение вполне приемлемо, например, для тестирования сети на устойчивость к взлому. Иногда такой вариант применяется для инвентаризации ресурсов сети.
•Распределённая установка. Несколько сканеров, расположенные в разных областях сети, выполняют сканирование, при этом управление процессом сканирования, а также сбор, хранение и анализ результатов выполняются централизованно. Такой вариант подходит для проведения инвентаризации и периодического аудита внутренней сети. Здесь значительное преимущество будут иметь сканеры с распределённой архитектурой.
Вдополнение к распределённой архитектуре можно отметить такой параметр, как управление. Здесь, помимо графического интерфейса, очень желательно наличие интерфейса командной строки.
Практически для любого сетевого окружения важна защита данных, поэтому аутентификация, разграничение доступа, защита сетевого взаимодействия между компонентами сканера – всё это также необходимые атрибуты идеального сканера. Перечисленные архитектурные особенности сравниваемых сканеров приведены в Таблице 9, а в строке «Итого» приведён параметр, характеризующий близость к идеалу.
Copyright© 2006, Учебный центр "Информзащита" |
Стр. 64 из 70 |
Функциональные возможности сканеров безопасности
Таблица 9. Развёртывание и архитектура
|
|
|
|
LANGuard |
|
|
|
Retina Network |
|
Shadow Security |
|
|
|
Критерий сравнения |
Internet Scanner |
|
Network |
|
Nessus |
|
|
|
XSpider |
||
|
|
Security |
|
|
Security Scanner |
|
Scanner |
|
||||
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
Scanner |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Наличие распределённой архитектуры |
+ |
|
– |
+ |
+ |
|
– |
|
– |
||
|
Управление (Командная строка) |
+ |
+ |
+ |
+ |
|
– |
+ |
||||
|
Управление (Графический интерфейс) |
+ |
+ |
+ |
+ |
+ |
+ |
|||||
|
Аутентификация пользователя при запуске (для |
– |
+ |
+ |
|
– |
|
– |
|
– |
||
|
автономного варианта) |
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
При установке |
|
|
|
|
|
|
|
|
|
|
|
|
корректируются |
|
|
|
|
|
|
|
|
|
|
|
Разграничение доступа |
ACL файловой |
|
– |
|
– |
|
– |
|
– |
|
– |
|
|
системы и ключей |
|
|
|
|
|
|
|
|
|
|
|
|
реестра |
|
|
|
|
|
|
|
|
|
|
|
Итого (из 5) |
3 |
3 |
4 |
3 |
1 |
2 |
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
Вторая группа критериев – самая важная. Фактически, она характеризует модуль сканирования.
Вплане идентификации узлов желательна поддержка методов:
•ICMP Ping
•ТСР Ping
•ARP Scan.
Этот перечень автоматически подтягивает сюда механизм генерации пакетов. Он также должен присутствовать в сетевом сканере.
Для идентификации открытых портов вполне достаточно поддержки трёх методов:
•TCP connect();
•SYN Scan;
•UDP Scan.
При этом для метода UDP Scan должны быть предусмотрены меры по защите от ложных срабатываний.
Что касается идентификации служб, приложений и ОС, то здесь – чем точнее, тем лучше.
Для процесса идентификации уязвимостей должны быть предусмотрены:
•Поддержка разных методов идентификации уязвимостей с возможностью переключения между ними.
•Возможность выключения «опасных» проверок.
•Возможность настройки политики сканирования с точностью до проверки.
•Наличие удобного инструмента для создания и подключения собственных проверок
•Ведение логов сканирования
Copyright© 2006, Учебный центр "Информзащита" |
Стр. 65 из 70 |
Функциональные возможности сканеров безопасности
•Сканирование по расписанию
Отдельно следует остановиться на возможности задания учётной записи для подключения к узлу в ходе сканирования. Если речь идёт о Windows, то эта учётная запись используется для подключения к файловой системе (ресурсы ADMIN$, C$ и т. п.) и реестру. Если речь идёт о UNIX, то имеется ввиду учётная запись для подключения по протоколу SSH. Фактически, это позволяет сетевым сканерам выполнять функции сканеров уровня узла. Нельзя сказать, хорошо это или плохо, видимо, при выборе сканера этот момент нужно обсуждать отдельно. Перечисленные критерии и ситуация с ними в сравниваемых сканерах представлены в Таблице 10.
Таблица 10. Сканирование
|
|
|
|
LANGuard |
|
|
|
|
|
|
|
|
|
Критерий сравнения |
Internet Scanner |
|
Network |
|
Nessus |
|
Retina Network |
|
Shadow Security |
|
XSpider |
|
|
Security |
|
|
Security Scanner |
|
Scanner |
|
||||
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
Scanner |
|
|
|
|
|
|
|
|
|
ICMP Ping |
+ |
+ |
+ |
+ |
+ |
+ |
|||||
|
TCP Ping |
+ |
|
– |
+ |
+ |
|
– |
|
– |
||
|
ARP Scan |
– |
|
– |
|
– |
|
– |
|
– |
|
– |
|
Механизм генерации пакетов |
собственный |
|
– |
|
libpcap |
|
собственный |
|
– |
|
«сырые» |
|
драйвер |
|
|
|
драйвер |
|
|
сокеты |
||||
|
|
|
|
|
|
|
|
|
|
|||
|
TCP connect() |
+ |
+ |
+ |
+ |
+ |
+ |
|||||
|
SYN Scan |
+ |
|
– |
+ |
+ |
|
– |
|
– |
||
|
UDP Scan |
+ |
+ |
+ |
+ |
+ |
+ |
|||||
|
Защита от ложных срабатываний при сканировании |
+ |
|
– |
|
– |
|
– |
|
– |
+ |
|
|
портов UDP |
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Идентификация служб |
– |
|
– |
+ |
|
– |
+ |
+ |
|||
|
Идентификация приложений |
– |
|
– |
+ |
|
– |
|
– |
+ |
||
|
Простейшие методы идентификации ОС |
+ |
+ |
+ |
+ |
+ |
+ |
|||||
|
TCP Stack Fingerprint (nmap) |
+ |
|
– |
+ |
+ |
|
– |
+ |
|||
|
Использование ICMP для идентификации ОС |
+ |
+ |
+ |
+ |
+ |
+ |
|||||
|
Использование RTO для идентификации ОС |
– |
|
– |
|
– |
|
– |
|
– |
|
– |
|
Исследование порта 0 для идентификации ОС |
– |
|
– |
|
– |
|
– |
|
– |
|
– |
|
Эвристические методы идентификации ОС |
– |
|
– |
|
– |
+ |
|
– |
+ |
||
|
Разные методы проверки одной и той же уязвимости |
+ |
|
– |
+ |
|
– |
|
– |
|
– |
|
|
Возможность отключения опасных проверок |
+ |
+ |
+ |
|
– |
+ |
+ |
||||
|
Возможность включения/выключения групп проверок |
+ |
+ |
+ |
+ |
+ |
+ |
|||||
|
Возможность включения/выключения отдельных |
+ |
+ |
+ |
+ |
+ |
|
– |
||||
|
проверок |
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Язык написания проверок |
– |
+ |
+ |
+ |
|
– |
|
– |
|||
|
Заданная учётная запись для подключения к узлу |
+ |
+ |
+ |
+ |
+ |
+ |
|||||
|
(Windows) |
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Учётная запись для подключения к узлу в ходе |
– |
+ |
+ |
+ |
|
– |
|
– |
|||
|
сканирования (Unix, SSH) |
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ведение логов сканирования |
+ |
+ |
+ |
+ |
+ |
+ |
|||||
|
Сканирование по расписанию (встроенными |
Только в |
|
|
|
|
|
|
|
|
|
|
|
распределённом |
+ |
|
– |
+ |
+ |
+ |
|||||
|
средствами) |
|
||||||||||
|
варианте |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итого (из 25) |
16 |
13 |
19 |
17 |
12 |
16 |
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
Следующая группа критериев – управление результатами.
Для хранения результатов сканирования должна быть предусмотрена база данных. Всё–таки, лучше, если есть возможность хранения результатов не в собственной базе, а с использованием какой–либо СУБД.
Copyright© 2006, Учебный центр "Информзащита" |
Стр. 66 из 70 |
Функциональные возможности сканеров безопасности
Вывод результатов сканирования должен содержать:
1.Описание уязвимости (краткое и подробное)
2.Ссылки CVE
3.Другие ссылки
4.Возможные причины ложных срабатываний
5.Варианты использования уязвимости
6.Рекомендации по устранению уязвимости
Отчёты должны формироваться в форматах:
•HTML
•RTF
Атакже должна быть предусмотрена процедура экспорта отчёта в формат CSV (или подобный). Должны поддерживаться следующие разновидности отчётов:
•Сравнительные
•Графические
•Для разных категорий пользователей
Наличие большого числа механизмов реагирования для сканера не особенно актуально. Об этом уже говорилось выше. Вполне достаточно, если имеется оповещение по электронной почте для контроля сканирования по расписанию. Ситуация с этой группой критериев приведена в Таблице 11.
Таблица 11. Управление результатами
|
|
|
|
|
LANGuard |
|
|
|
|
|
|
|
|
|
Критерий сравнения |
|
Internet Scanner |
|
Network |
|
Nessus |
|
Retina Network |
|
Shadow Security |
|
XSpider |
|
|
|
Security |
|
|
Security Scanner |
|
Scanner |
|
||||
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
Scanner |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ODBC– |
|
|
|
Использование СУБД |
MSDE, MSSQL |
MSDE, Access |
– |
совместимая |
– |
– |
|
|
|
|
|
СУБД |
|
|
|
Описание уязвимости |
+ |
+ |
+ |
+ |
+ |
+ |
|
Ссылки CVE |
+ |
– |
+ |
+ |
+ |
+ |
|
Другие ссылки |
+ |
+ |
+ |
+ |
+ |
+ |
|
Причины ложных срабатываний |
+ |
– |
+ |
– |
– |
+ |
|
Варианты использования уязвимости |
– |
– |
– |
– |
– |
+ |
|
Рекомендации по устранению уязвимости |
+ |
+ |
+ |
+ |
+ |
+ |
|
Отчёты HTML |
+ |
+ |
+ |
+ |
+ |
+ |
|
Отчёты PDF |
+ |
+ |
+ |
– |
+ |
– |
|
Отчёты RTF |
+ |
+ |
– |
+ |
– |
+ |
|
Экспорт в CSV (NSR, NBE) |
Только в |
– |
+ |
– |
– |
– |
|
распределённом |
||||||
|
|
|
|
|
|
|
Copyright© 2006, Учебный центр "Информзащита" Стр. 67 из 70
Функциональные возможности сканеров безопасности
|
|
LANGuard |
|
|
|
|
|
Критерий сравнения |
Internet Scanner |
Network |
Nessus |
Retina Network |
Shadow Security |
XSpider |
|
Security |
Security Scanner |
Scanner |
|||||
|
|
|
|
||||
|
|
Scanner |
|
|
|
|
|
|
варианте |
|
|
|
|
|
|
Сравнительные отчёты |
+ |
+ |
– |
– |
– |
+ |
|
Графические отчёты |
+ |
+ |
– |
+ |
– |
+ |
|
Отчёты для разных категорий пользователей |
+ |
+ |
– |
+ |
– |
+ |
|
Оповещение по электронной почте |
– |
+ |
– |
– |
+ |
+ |
|
Итого (из 15) |
12 |
11 |
8 |
9 |
7 |
12 |
|
|
|
|
|
|
|
|
Из группы критериев «обновление и поддержка» следует отметить:
•Процедуру автоматического обновления. Это довольно удобно.
•Наличие базы знаний. Как показывает практика, часто база знаний – последняя инстанция, куда можно обратиться при решении проблем с продуктом.
•Качественная техническая поддержка в России (на русском языке).
Как выглядят сканеры с этой точки зрения, иллюстрирует Таблица 12. |
|
|
|
||||
Таблица 12. Обновление и поддержка |
|
|
|
|
|
||
|
|
LANGuard |
|
|
|
|
|
Критерий сравнения |
Internet Scanner |
Network |
Nessus |
Retina Network |
Shadow Security |
XSpider |
|
Security |
Security Scanner |
Scanner |
|||||
|
|
|
|
||||
|
|
Scanner |
|
|
|
|
|
Автоматическое обновление через Интернет |
+ |
+ |
+ |
+ |
+ |
+ |
|
База знаний |
+ |
+ |
– |
+ |
– |
– |
|
Тех.поддержка в России (на русском языке) Phone |
24х7 |
– |
– |
– |
– |
5x8 |
|
Тех.поддержка в России (на русском языке) Email |
+ |
– |
– |
– |
+ |
+ |
|
Итого (из 4) |
4 |
2 |
1 |
2 |
2 |
3 |
|
Дополнительные критерии – вещь субъективная. Тем не менее, желательно видеть в сканере:
•Возможность интеграции с системами обнаружения атак (IDS)
•Отчёты на русском языке
•Качественную документацию на русском языке
Таблица 13 иллюстрирует ситуацию с этой группой критериев.
Таблица 13. Дополнительные критерии
|
|
|
|
|
LANGuard |
|
|
|
|
|
Shadow |
|
|
|
|
|
|
|
|
Network |
|
|
|
Retina Network |
|
|
|
|
|
|
Критерий сравнения |
|
Internet Scanner |
|
|
Nessus |
|
|
Security |
|
XSpider |
|
||
|
|
|
Security |
|
|
Security Scanner |
|
|
|
|||||
|
|
|
|
|
|
|
|
|
Scanner |
|
|
|
||
|
|
|
|
|
Scanner |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Только в |
|
|
Только в |
|
|
|
Интеграция с IDS |
распределённом |
– |
– |
распределённом |
– |
– |
|
|
варианте |
|
|
варианте |
|
|
|
Документация на русском языке |
+ |
– |
– |
– |
– |
+ |
|
Отчёты на русском языке |
– |
– |
– |
– |
– |
+ |
|
|
|
|
|
|
|
|
Copyright© 2006, Учебный центр "Информзащита" |
Стр. 68 из 70 |
Функциональные возможности сканеров безопасности
|
|
LANGuard |
|
|
Shadow |
|
|
|
|
Network |
|
Retina Network |
|
||
Критерий сравнения |
Internet Scanner |
Nessus |
Security |
XSpider |
|||
Security |
Security Scanner |
||||||
|
|
|
Scanner |
|
|||
|
|
Scanner |
|
|
|
||
|
|
|
|
|
|
||
Итого (из 3) |
1 |
0 |
0 |
0 |
0 |
2 |
Если теперь подвести итоги, то близость каждого из сканеров к идеалу представлена в Таблице 14 и на Рисунке 45.
Таблица 14. «Близость к идеалу»
|
|
LANGuard |
|
|
Shadow |
|
|
|
|
Network |
|
Retina Network |
|
||
Критерий сравнения |
Internet Scanner |
Nessus |
Security |
XSpider |
|||
Security |
Security Scanner |
||||||
|
|
|
Scanner |
|
|||
|
|
Scanner |
|
|
|
||
|
|
|
|
|
|
||
Итого (из 52) |
36 |
29 |
32 |
31 |
22 |
35 |
Рис. 45. «Близость к идеалу».
В принципе, «внешний» вид и функциональные возможности сканеров безопасности примерно одинаковы. Наибольший результат (с небольшим отрывом) получился у Internet Scanner–а. Близкие результаты у сканеров XSpider, Retina, LANguard и Nessus. «Отстал» от остальных сканер Shadow.
И всё же, нет идеального сканера безопасности. У каждого есть свои сильные и слабые стороны. Окончательный выбор зависит от конкретной ситуации. Целью второй части сравнения сканеров было освещение отдельных аспектов их функционирования. Следует отметить, что выбранные критерии носят общий характер, и, например, не охватывают конкретных проверок (или, хотя бы, групп проверок), выполняемых сканерами. В силу того, что количество проверок достаточно велико (Таблица 3), а сами они очень разнообразны, эта тема будет обсуждаться отдельно. Кроме того, итоги подводились без учёта распределённой архитектуры, которая открывает массу новых возможностей.
В следующей, третьей, части будет представлено сравнение сканеров в процессе решения задачи инвентаризации сетевых ресурсов.
Copyright© 2006, Учебный центр "Информзащита" |
Стр. 69 из 70 |
Функциональные возможности сканеров безопасности
8. Литература
1.Internet Security Systems, Inc. Анализ защищенности. Сетевой или системный уровень? Руководство по выбору технологии анализа защищенности. (http://www.infosec.ru/themes/default/publication.asp?folder=1988&matID=1670)
2.DRAFT Guideline on Network Security Testing. NIST Special Publication 800–42.
3.Лукацкий А. В. Обнаружение атак. – СПб.: БХВ–Петербург, 2001. – 624 с.: ил.
Copyright© 2006, Учебный центр "Информзащита" |
Стр. 70 из 70 |