Сравнительный анализ сканеров безопасности
ЧАСТЬ 1
ИСПОЛЬЗОВАНИЕ СКАНЕРОВ БЕЗОПАСНОСТИ В ПРОЦЕССЕ ТЕСТИРОВАНИЯ СЕТИ НА УСТОЙЧИВОСТЬ К ВЗЛОМУ
Авторы исследования
Лепихин Владимир Борисович
Заведующий лабораторией сетевой безопасности Учебного центра "Информзащита"
Гордейчик Сергей Владимирович
Ведущий специалист Учебного Центра "Информзащита"
Все материалы отчета являются объектами интеллектуальной собственности Учебного центра "Информзащита". Тиражирование, публикации или репродукции материалов отчета в любой форме запрещены без предварительного письменного согласия Учебного центра "Информзащита".
|
|
Copyright© 2005, Учебный центр "Информзащита" |
Москва, Май-Декабрь 2005 года |
Использование сканеров безопасности в процессе тестирования сети на устойчивость к взлому |
|
Содержание |
|
1. Введение. Место сканеров безопасности в комплексе средств защиты сетей ...................................................................................... |
3 |
2. Классификация сканеров безопасности........................................................................................................................................................ |
4 |
2.1. Расположение по отношению к объекту сканирования ..................................................................................................................... |
4 |
2.2. Классификация сканеров по назначению............................................................................................................................................. |
5 |
3. Задачи для сетевых сканеров безопасности................................................................................................................................................ |
8 |
4. Краткая характеристика участников............................................................................................................................................................... |
9 |
5. Условия сравнения ......................................................................................................................................................................................... |
10 |
5.1. Методология «Penetration Testing»...................................................................................................................................................... |
10 |
5.2. Настройка сканеров безопасности ...................................................................................................................................................... |
11 |
5.3. Объекты сканирования .......................................................................................................................................................................... |
13 |
6. Анализ результатов ........................................................................................................................................................................................ |
15 |
6.1. Сложности (особенности) сравнения сканеров в режиме тестирования сети на устойчивость к взлому............................... |
15 |
6.2. Методика начисления баллов .............................................................................................................................................................. |
15 |
6.3. Пример подсчёта баллов – узел 1.1.1.1 (host1.test) ......................................................................................................................... |
16 |
6.4. Ещё один пример - узел 2.2.2.2 (host2.test)........................................................................................................................................ |
17 |
6.5. Результаты по остальным узлам ......................................................................................................................................................... |
18 |
Узел 3 – 3.3.3.3 (host3.test)...................................................................................................................................................................... |
18 |
Узел 4 – 4.4.4.4 (host4.test)...................................................................................................................................................................... |
19 |
Узел 5 – 5.5.5.5 (host5.test)...................................................................................................................................................................... |
19 |
Узел 6 – 6.6.6.6 (host6.test)...................................................................................................................................................................... |
19 |
Узел 7 – 7.7.7.7 (host7.test)...................................................................................................................................................................... |
20 |
Узел 8 – 8.8.8.8 (host8.test)...................................................................................................................................................................... |
20 |
Узел 9 – 9.9.9.9 (host9.test)...................................................................................................................................................................... |
21 |
Узел 10 – 10.10.10.10 (host10.test) ......................................................................................................................................................... |
21 |
Узел 11 - 11.11.11.11 (host11.test).......................................................................................................................................................... |
22 |
Узел 12 - 12.12.12.12 (host12.test).......................................................................................................................................................... |
23 |
Узел 13 - 13.13.13.13 (host13.test).......................................................................................................................................................... |
24 |
Узел 14 - 14.14.14.14 (host14.test).......................................................................................................................................................... |
25 |
Узел 15 - 15.15.15.15 (host15.test).......................................................................................................................................................... |
25 |
Узел 16 - 16.16.16.16 (host16.test).......................................................................................................................................................... |
26 |
Узел 17 - 17.17.17.17 (host17.test).......................................................................................................................................................... |
26 |
Узел 18 - 18.18.18.18 (host18.test).......................................................................................................................................................... |
28 |
Узел 19 - 19.19.19.19 (host19.test).......................................................................................................................................................... |
29 |
Узел 20 - 20.20.20.20 (host20.test).......................................................................................................................................................... |
29 |
Узел 21 - 21.21.21.21 (host21.test)......................................................................................................................................................... |
30 |
Узел 22 - 22.22.22.22 (host22.test).......................................................................................................................................................... |
30 |
Узел 23 - 23.23.23.23 (host23.test).......................................................................................................................................................... |
31 |
7. Итоги, выводы.................................................................................................................................................................................................. |
32 |
7.1. Суммарные итоги по узлам................................................................................................................................................................... |
32 |
7.2. Заключение.............................................................................................................................................................................................. |
33 |
Copyright© 2005, Учебный центр "Информзащита" |
Стр. 2 из 34 |
Использование сканеров безопасности в процессе тестирования сети на устойчивость к взлому
1.Введение. Место сканеров безопасности в комплексе средств защиты сетей
Среди средств защиты сетей сканеры безопасности (системы анализа защищённости) занимают особое место. Во-первых, потому что они могут быть как средством обеспечения безопасности, так и средством нападения1. Данные об обнаруженных уязвимостях, предоставляемые сетевым сканером безопасности, могут быть одинаково полезны и администратору безопасности, контролирующему состояние защищённости узлов сети, и нарушителю, осуществляющему поиск наименее защищённых сетевых служб.
Во-вторых, далеко не во всех случаях очевидна польза от применения сканеров безопасности, или, как выразился один из потребителей, от средств анализа защищённости «не видно отдачи». В этих словах есть доля истины. Например, польза от межсетевого экрана очевидна – он осуществляет фильтрацию трафика и не пропускает в защищаемую им сеть «ничего лишнего». Или, например, система обнаружения сетевых атак. Её роль тоже предельно ясна – непрерывный мониторинг трафика и обнаружение в нём признаков атак. Т. е. результат её работы виден сразу – события, происходящие в данный момент времени, часть из которых требует немедленного реагирования. Основной результат работы сканера безопасности – перечень уязвимостей, которые могут быть использованы при проведении атак. Но ведь в данном случае речь идёт лишь о потенциальной возможности атаки, а не о свершившемся факте реализации угрозы. К тому же, в некоторых случаях возможность использования обнаруженной уязвимости может быть маловероятна.
И, в-третьих, сканеры безопасности могут оказывать нежелательное влияние на объекты защиты. Например, сетевой сканер в процессе работы может порождать значительное количество сетевого трафика, существенно повышая нагрузку на сеть. К тому же, некоторые проверки, выполняемые сетевым сканером, могут привести к выведению из строя сканируемого узла или отдельной службы.
И всё же, сканер безопасности – это средство защиты, реализующее механизм защиты «выявление уязвимостей». Этот механизм относится к категории превентивных2.
1 Речь в данном случае идёт о сетевых сканерах безопасности, выполняющих проверки дистанционно.
2Защитные механизмы можно поделить на три группы:
•Превентивные. Предотвращают использование уязвимости.
•Детективные. Позволяют своевременно обнаруживать факт использования уязвимости (атаку).
•Коррективные. Позволяют за приемлемый срок восстановить систему в случае атаки.
Copyright© 2005, Учебный центр "Информзащита" |
Стр. 3 из 34 |
Использование сканеров безопасности в процессе тестирования сети на устойчивость к взлому
2. Классификация сканеров безопасности
2.1. Расположение по отношению к объекту сканирования
Системы анализа защищённости можно поделить на две категории с точки зрения их расположения по отношению к объекту сканирования:
•локальные (host-based)
•дистанционные (network-based)
Сканеры «host-based» устанавливаются непосредственно на сканируемом узле, работают от имени учётной записи с максимальными привилегиями и выполняют проверки исключительно по косвенным признакам. За сканерами такого рода прочно закрепилось название «системные».
Вторая группа сканеров выполняет проверки дистанционно, по сети. Обычно такой сканер устанавливается на выделенный узел, предназначенный для целей сканирования. Сканеры такого типа называют сетевыми.
Этот вариант классификации сканеров безопасности можно назвать основным, поскольку деление сканеров на сетевые и системные широко распространено.
Однако в действительности грань между сетевым и системным сканером весьма тонка. Например, для выявления уязвимости к атаке на службу RPCSS (описание уязвимости содержится в бюллетене MS03039) системный сканер, установленный на сканируемом узле, проверит версии и атрибуты следующих файлов:
•%SYSTEMROOT%\system32\ole32.dll
•%SYSTEMROOT%\system32\rpcrt4.dll
•%SYSTEMROOT%\system32\rpcss.dll
Впринципе, то же самое может сделать и сетевой сканер, подключившись удалённо к ресурсу ADMIN$.
Тем не менее, сетевые и системные сканеры имеют существенные отличия, перечисленные далее:
•Сетевые сканеры выполняют проверки дистанционно, т. е. по сети. Это накладывает
отпечаток и на скорость сканирования (сравните, например, удалённый подбор пароля и локальный), и на достоверность результатов3. Между сканирующим и сканируемым узлами могут находиться устройства, осуществляющие фильтрацию трафика, что также сказывается на достоверности результатов сканирования.
•Сетевые сканеры могут использовать разные методы для выявления одной и той же уязвимости. Сканеры уровня узла руководствуются только косвенными признаками наличия уязвимости (например, проверка версий файлов, как было указано выше). Сканеры сетевого
3 В некоторых случаях получение результатов вообще невозможно, например, нет доступа к ресурсу ADMIN$ - проверка выполнена не будет.
Copyright© 2005, Учебный центр "Информзащита" |
Стр. 4 из 34 |
Использование сканеров безопасности в процессе тестирования сети на устойчивость к взлому
уровня часть проверок выполняют путём проведения реальных атак в отношении сканируемого узла.
•Сетевые сканеры могут использовать различные учётные записи для подключения к службам сканируемого узла. Системные сканеры, как правило, представляют собой службу (демона), работающую от имени учётной записи с максимальными привилегиями.
2.2. Классификация сканеров по назначению
Ещё один вариант классификации сканеров – по их назначению. Здесь опять возникают две категории:
•сканеры общего характера
•специализированные сканеры Пояснить это можно следующим образом.
Проверки, выполняемые сетевыми сканерами безопасности, направлены, прежде всего, на сетевые службы. Конечно, при этом осуществляется поиск уязвимостей не только сетевых служб, но и операционных систем, а также некоторых приложений, установленных на сканируемом узле. Но следует признать, что проверки, встроенные в сетевые сканеры, носят общий характер, а если и направлены в отношении приложений, опять-таки, это наиболее распространенные приложения и наиболее известные уязвимости. Та же ситуация и со сканерами уровня узла. Их проверки, может быть, чуть более направлены на операционную систему узла, где установлен агент, они могут быть направлены и на конкретные приложения, но предпочтение опять-таки не отдаётся какому-то одному. Это и есть сканеры общего характера. Если можно так выразиться, в них «всего понемногу». Часть проверок, например, направлена, на поиск уязвимостей в почтовой службе Sendmail, другая часть – в HTTP-сервере Apache и т. д. Иногда, правда, бывают «перекосы» в сторону какого-либо приложения. Например, сканер XSpider имеет довольно много проверок, направленных в отношении Web-приложений, а сканер NeXpose компании Rapid7 имеет много проверок для Lotus Domino. Но в целом, сканеры общего характера содержат «универсальный» набор проверок.
Необходимость специализированных сканеров безопасности продиктована тем обстоятельством, что для проверки используемого в корпоративной сети приложения возможностей обычных сетевых сканеров может не хватить. Например, перечень проверок для Lotus Domino, встроенных в Internet Scanner, приведён на рис. 1.
Copyright© 2005, Учебный центр "Информзащита" |
Стр. 5 из 34 |
Использование сканеров безопасности в процессе тестирования сети на устойчивость к взлому
Рис. 1. Перечень проверок для Lotus Domino в Internet Scanner.
Беглого взгляда достаточно, чтобы понять, что они носят чересчур общий характер. В то же время, их количество и набор достаточно типичны для сетевого сканера.
Ещё пример. Система управления предприятием SAP R/3. Для неё практически нет проверок ни в одном из сетевых сканеров безопасности. В то же время так называемый “check list” в самом простейшем случае содержит 47 пунктов.
Разумеется, разработчикам сетевых сканеров безопасности нет смысла встраивать детальные проверки для одного (двух) приложений. Зачем потребителю платить за неиспользуемый функционал? С другой стороны, если перед администратором или аудитором стоит задача оценки защищённости определённого приложения, могут помочь специализированные сканеры безопасности. Вот перечень приложений, при анализе защищённости которых могут потребоваться специализированные сканеры:
•Web-приложения
•СУБД и приложения, их использующие
•Системы электронного документооборота (например, Lotus Domino)
•Системы управления предприятием, так называемые ERP-системы (например, SAP R/3, Oracle Applications)
Можно возразить, что приложения такого рода содержат типовые компоненты, и, в принципе, для оценки их защищённости можно использовать чёткую методологию и несколько обычных сканеров безопасности общего характера. И всё же, если приложение широко распространено, методология анализа его безопасности сформировалась, почему бы не использовать для оценки его защищённости специализированные инструменты. Несколько примеров специализированных сканеров приведено в Таблицы 1,2.
Copyright© 2005, Учебный центр "Информзащита" |
Стр. 6 из 34 |
Использование сканеров безопасности в процессе тестирования сети на устойчивость к взлому
Таблица 1. Системы анализа защищённости Lotus Notes Domino
Название |
Ссылка |
AppDetective http://www.appsecinc.com/products/appdetective/domino/
DominoScan II |
http://www.ngssoftware.com |
NeXpose |
http://www.rapid7.com/nexpose-resources.htm |
|
|
Таблица 2. Системы анализа защищённости SAP R/3
Название |
Ссылка |
|
SAP Security Optimization |
http://www.sap.com/services/support/optimization.epx |
|
Service |
||
|
||
bv-Control for SAP Systems |
http://www.bindview.com/products/bvControl/SAPSystems.cfm |
|
Controls Tracker |
http://www.controlstracker.com/Products/CT_for_SAP/CT_for_SAP.htm |
|
eQSmart |
http://www.deloitte.com/dtt/article/0,1002,sid%253D19706%2526cid%253D49210,00.html |
|
|
|
Далее речь пойдёт о сетевых сканерах общего характера.
Copyright© 2005, Учебный центр "Информзащита" |
Стр. 7 из 34 |
Использование сканеров безопасности в процессе тестирования сети на устойчивость к взлому
3. Задачи для сетевых сканеров безопасности
Сетевые сканеры безопасности могут быть использованы для решения следующих задач.
1.Инвентаризация ресурсов сети: узлов, сетевых служб, приложений. Инвентаризационное сканирование предоставляет обобщённую (базовую) информацию о сети. Параллельно решается задача обнаружения несанкционированно подключенных устройств.
2.Тестирование сети на устойчивость к взлому. Такое тестирование может осуществляться как изнутри сети, так и снаружи. В последнем случае это часто называют анализом защищённости периметра. В процессе проведения такого исследования могут быть использованы и другие
инструменты (сетевые анализаторы, «троянцы», «руткиты» и пр.), но сканеры уязвимостей, как правило, используются всегда.4
3.Аудит безопасности сети или отдельных её областей на соответствие заданным требованиям.
Осуществляется периодически с целью, например, проверки правильности и своевременности установки обновлений.
Задачи 1 и 3 чаще всего выполняются силами самой организации. Для решения 2-й задачи, как правило, привлекаются внешние ресурсы. Соответственно, задачи 1 и 3 решаются чаще, тестирование сети на устойчивость к взлому осуществляется реже.
Сканеры безопасности могут быть использованы как в крупных, территориально-распределённых, так и в небольших, офисных сетях. Например, в крупной сети сетевой сканер безопасности может помочь в решении задачи инвентаризации сетевых ресурсов, в небольшой сети – помочь оценить защищённость её периметра. Потребителями систем анализа защищённости могут быть администраторы безопасности сетей, а также сотрудники организаций, оказывающих услуги по оценке защищённости сетей. В любом случае, перед потребителями возникает проблема выбора «подходящего инструмента» и оценки того, насколько выбранный сканер безопасности подходит для решения поставленной перед ним задачи.
Данное исследование содержит сравнительный анализ нескольких сетевых сканеров безопасности общего характера с точки зрения их пригодности для тестирования сети на устойчивость к взлому. Это первая часть исследования, всего же оно содержит четыре части:
•Сравнение сканеров по функциональным возможностям
•Сравнение сканеров в режиме тестирования сети на устойчивость к взлому
•Инвентаризация ресурсов сети
•Аудит безопасности сети или отдельных её областей
Насколько хорошо справляются сканеры с этими задачами? Далее приведены результаты сравнения нескольких сканеров при тестировании сети на устойчивость к взлому.
4 Для проведения такого тестирования рекомендуется использовать не менее двух сканеров безопасности.
Copyright© 2005, Учебный центр "Информзащита" |
Стр. 8 из 34 |
Использование сканеров безопасности в процессе тестирования сети на устойчивость к взлому
4. Краткая характеристика участников
Согласно результатам опроса, проведённого на сайте www.securitylab.ru, следующие семь сетевых сканеров общего характера наиболее популярны среди российских потребителей (Рисунок 2, Таблица 3).
В процессе сравнения сканеров в режиме тестирования сети на устойчивость к взлому были использованы четыре:
•XSpider
• Internet Scanner |
Рис. 2. Популярность сканеров безопасности в России. |
•Nessus
•Retina Network Security Scanner
Версии и состояние обновлений сравниваемых сканеров – ноябрь 2004 г.
Таблица 3. Сетевые сканеры безопасности
Название |
Ссылка |
|
XSpider |
http://www.ptsecurity.ru/xs7.asp |
|
Internet Scanner |
http://www.iss.net/products_services/enterprise_protection/vulnerability_ |
|
|
assessment/scanner_internet.php |
|
Nessus |
http://www.nessus.org |
|
Retina Network Security Scanner |
http://www.eeye.com/html/products/retina/index.html |
|
Shadow Security Scanner (SSS) |
http://www.safety-lab.com/en/products/1.htm |
|
LANguard Network Security Scanner (N.S.S.) |
http://www.gfi.com/lannetscan/ |
|
NetRecon |
http://enterprisesecurity.symantec.com/Content/promotions.cfm?pdfID=3 |
|
0&EID=0 |
||
|
||
|
|
Copyright© 2005, Учебный центр "Информзащита" |
Стр. 9 из 34 |
Использование сканеров безопасности в процессе тестирования сети на устойчивость к взлому
5. Условия сравнения
5.1. Методология «Penetration Testing»
Методология тестирования сети на устойчивость к взлому (Penetration Testing или Ethical hacking) подразумевает, что субъект, выполняющий оценку, опирается на собственное понимание того, как реализована тестируемая система. Цель такого теста – поиск способов получения доступа к системе с помощью инструментов и приёмов, используемых нарушителями. Схема Penetration Testing приведена на Рис.3.
Рис. 3. Схема тестирования на устойчивость к взлому.
В процессе планирования определяются цели и задачи тестирования. На этом этапе не предпринимается никаких попыток тестирования сети.
Следующий этап – сбор информации. На этом этапе используются различные методы сбора информации о сети, например:
•сбор информации регистрационного характера;
•получение диапазона адресов, соответствующего домену (доменам), так называемый «Foot Printing»;
•идентификация доступных сетевых устройств;
Copyright© 2005, Учебный центр "Информзащита" |
Стр. 10 из 34 |