1. Анализаторы протоколов (снифферы)

Анализаторы протоколов (снифферы) позволяют перехватывать весь сетевой трафик и являются утилитами двойного назначения. С одной стороны снифферы при использовании с сетевыми ЭДС позволяют фиксировать весь входящий и исходящий трафик и тем самым дают информацию о содержимом пакетов, которые не попали в поле зрения эдс. Кроме того, анализаторы протоколов позволяют наблюдать системному администратору за деятельностью пользователей, использованием сетевых ресурсов, выполнять исследования производительности сети, а так же поиск ошибок в сети. С другой стороны, снифферы могут использоваться для незаконного получения конфиденциальной информации, циркулирующей в сети (например паролей). Обычно процесс анализа протоколов включает в себя следующие этапы:

1. Захват данных

2. Просмотр захваченных данных

3. Анализ данных

4. Действия, необходимые в результате анализа данных (поиск ошибок в сети, исследование производительности и т. д.)

Анализаторы протоколов делятся на программные и программно-аппаратные. Программные снифферы представляют собой программы, которые устанавливаются на компьютер с обычной сетевой платой. Такой сниффер может анализировать только то, что проходит через его сетевую карту, которую он переводит в беспорядочный режим (promiscious). Как правило, снифферы перехватывают не все пакеты, а только те, которые удовлетворяют критериям фильтрации (например по ip-адресу, по типу вышестоящего протокола, по содержимому пакета и т. д.). На характеристиках программного сниффера сказывается вычислительная мощность компьютера, количество памяти, возможности сетевого адаптера и степень загруженности сети. Когда необходима высокая производительность и подробный анализ протокола и траффика, используют программно-аппаратные анализаторы протоколов, которые могут выполняться либо в виде отдельного прибора, либо в виде системной платы, подключаемой к компьютеру. Отличить аппаратный анализатор от программного можно по месту сбора и обработки данных. Защитой от злоумышленного использования анализатора протоколов являются коммутируемые сети и шифрование. Существуют также программы антиснифферы, позволяющие обнаруживать и/или нейтрализовывать сниффера.

2. Сканеры уязвимостей

(системы анализа защищенности,

сканеры безопасности)

(security assessment systems,

security scanners)

Существуют системы поиска уязвимостей проектирования, системы поиска уязвимостей реализации и системы поиска уязвимостей эксплуатации. Первые 2 вида сканеров уязвимостей применяются при сертификации ПО и в дальнейшем в данной лекции рассматриваться не будут. Возможности сканеров уязвимостей:

1. Поиск слабых мест в системе защиты корпоративной сети (сканирование рабочих станций, серверов, сетевого оборудования, МСЭ, IDS и т. д.)

2. Инвентаризация и построение карты сети

3. Обнаружение неизвестных устройств

4. Контроль эффективности работы IT подразделений, анализ защищённости удалённых офисов

При проведении анализа защищённости сканеры уязвимостей реализуют 2 основные стратегии:

1. Пассивная (сканирование) — когда сканер пытается определить наличие уязвимостей без фактического подтверждения её наличия. Например, идентифицируются открытые порты, найденные на каждом сетевом устройстве, собираются связанные с портами заголовки, найденные при сканировании каждого порта и на основании этих данных делается вывод о наличии или отсутствии уязвимостей.

2. Активная (зондирование) — ...

Помимо деления на активное и пассивное тестирование, все сканеры безопасности могут проводить локальные и удалённые проверки. Первые запускаются на том же узле, на котором установлен компонент сканер безопасности, а вторые предназначены для удалённых узлов. Сетевые сканеры безопасности и сканеры безопасности на уровне узла выполняют анализ защищённости в несколько этапов:

1. Сбор информации о сети или системе

2. Обнаружение потенциальных уязвимостей

3. Подтверждение выбранных уязвимостей (при необходимости, т. к. может привести к краху системы)

4. Генерация отчётов с наличием рекомендаций по устранению обнаруженных проблем

5. Автоматическое устранение уязвимостей (для системных сканеров)

Существуют несколько вариантов использования сканеров уязвимостей:

1. Запуск сканирования только с проверками на потенциальные уязвимости (этапы 1, 2 и 4)

2. Метод сканирования с проверками на потенциальные и подтверждённые уязвимости

3. Сканирование с пользователскими правилами для находения конкретной проблемы

4. Всё из вышесказанного

Сетевые сканеры безопасности выполняют серию дистационных тестов по обнаружению уязвимостей. Сканирование начинается с получения предварительной информации о сканируемой системе, например разрешенных протоколах и открытых портах, версии операционной системы и нередко включает попытки имитации проникновения с помощью широко известных атак, например подбора пароля.

Системные сканеры безопасности предназначены для проверки настроек операционной системы, влияющих на её защищённость (учётные записи пользователей, права пользователей на доступ к критичным системным файлам, параметры системного реестра, пароли, установленные обновления и т. д.). Данные системы проводят сканирование не снаружи, а изнутри анализируемой системы, то есть иммитируют не внешних, по отношению к сканируемому узлу, а внутренних злоумышленников, проникших через сетевую линию обороны. Для этого на каждый анализируемый узел устанавливается специальный агент, который проводит проверки системы. Всё управление осуществляется с центральной консоли, на которую так же передаются и все сигналы тревоги в случае обнаружения той или иной уязвимости. Для всех сканеров уязвимостей критично наличие современной базы данных уязвимостей.