Аттестация без проблем

Аттестация без проблем

Об использовании сетевых сканеров безопасности при аттестации АС

Алексей Марков, к.т.н., доцент,
Сергей Миронов, Валентин Цирлов

Аттестационные и сертификационные испытания современных развивающихся АС в условиях роста количества уязвимостей программных ресурсов требуют колоссальных затрат денежных средств и массу времени для получения достоверных оценок. Одним из путей автоматизации этого процесса является применение современных систем анализа защищенности, поддерживающих актуализированные базы дефектов, уязвимостей и атак.

Возможность использования сканеров безопасности

При проведении аттестационных и сертификационных испытаний АС и сетевых средств защиты информации (СЗИ) следует обратить внимание на два основных момента.

1. Основным недостатком результатов аттестации АС остается сложность сохранения неизменности аттестационных условий при эксплуатации АС на фоне постоянного обнаружения уязвимостей и появления различных средств несанкционированного вторжения и вредоносных программ [1, 2]. Кроме того, неизбежны технические изменения в составе и структуре сети, прикладном программном обеспечении, информационных потоках и т.д.
2. Как показывает опыт, протоколирование испытаний СЗИ на соответствие нормативным документам сводится к фиксированию заданного числа проверокна заранее определенных входных данных. Это — в том числе — аргументируется необходимостью повторять результаты работы испытательной лаборатории или органа по аттестации. Таким образом, о системе судят по результатам демонстрации (как правило, с помощью сетевых утилит) ее работы на ограниченном наборе входных данных в строго определенных условиях эксплуатации. Нередко оказывается, что диктуемые жизнью (а также теорией надежности и безопасности систем) проверки (например, в условиях перегрузок системы) на известные уязвимости, а также при искаженных и редко используемых входных данных зачастую игнорируются. Следует констатировать: современные руководящие документы даже не требуют проверки системы на наличие известных уязвимостей систем и сетей.

Сканеры безопасности: впечатляющие возможности

Для исключения указанных недостатков логично использовать сетевые сканеры безопасности, позволяющие проводить анализ уязвимости ресурсов сети, генерировать злонамеренный тестовый трафик и фиксировать изменения структуры и состава АС.

К числу основных возможностей сетевых сканеров безопасности при проведении аттестации или сертификации следует отнести:

• идентификацию объекта испытаний, а также последующий контроль изменений;
• выполнение проверок на типовые уязвимости и эмулирование нестандартных ситуаций путем генерации трафика различной природы;
• формирование отчетных материалов.

Для оценки реализуемого потенциала приборов по указанным параметрам было проведено исследование наиболее известных сетевых сканеров безопасности.

Цель и содержание исследований

В качестве объектов испытаний были выбраны следующие сканеры безопасности, функционирующие в среде Windows:

• Internet Scanner 7.0 (ISS);
• Retina 4.9.221 (eEye Digital Security);
• Tenable NeWT 2.0 (Tenable Network Security);
• XSpider 7.0 (Positive Technologies);
• «Ревизор сети» 1.2.1.0 («ЦБИ-сервис»).

Интерес в первую очередь вызывали отечественные сканеры, проходящие сертификацию в нашей стране: XSpider и «Ревизор сети». Выбор Internet Scanner (IS) обусловлен его лидерством по объему продаж и декларируемому количеству обнаруживаемых уязвимостей. Из соображений стоимости был исследован широко известный и доступный на некоммерческой основе сканер NeWT (Windows-порт Nessus). Кроме того, к числу тестируемых был добавлен достаточно распространенный сканер — Retina.

Следует отметить, что целью испытания не стало проведение академического всестороннего исследования указанных сканеров [3] — в качестве среды испытаний были выбраны типовые объекты АС, подлежащие аттестации в реальной жизни. Испытательный стенд включал подсеть класса C с рабочими станциями, функционирующими под управлением ОС: MS Windows 95/98/NT 4.0 SP1 Server/2000 Professional/2003 Server/MCBC 3.0/RedHat Linux 7.1. Выбор отечественной защищенной ОС МСВС не случаен, так как ОС рекомендована для построения АС в защищенном исполнении по линии госзаказа. Помимо стандартных служб дополнительно использовались: почтовые серверы Kerio 5.5.0, Merak 4.4.1, Web-серверы Apache 2.0.50, IIS 6.0, ISS 2.0, FTP-сервер BlackMo-on 2.2.3, MS SQL Server 8.00.760. Установка средств и систем выполнялась в режиме по умолчанию. Таким образом, методики проверок сканеров разрабатывались исходя из задач аттестационных испытаний АС. К основным целям проверок отнесены:

• оценка качества сканирования портов и возможностей по идентификации ОС и TCP- и UDP-сервисов;
• оценка возможностей по обнаружению уязвимостей;
• анализ удобства интерфейса и полноты отчетов.

Результаты исследований

По итогам проведенных испытаний были получены следующие результаты.

1. При сканировании TCP-портов в целом все сканеры, за исключением IS, с незначительным преимуществом XSpider справились со сканированием портов (правильно определено около 80% портов). В лабораторных условиях продукт IIS показал неожиданно низкий результат (от 0 до 40% в зависимости от ОС рабочей
   станции).
2. Результаты сканирования UDP-портов оказались неудовлетворительны для всех сканеров. Относительное лидерство получили «Ревизор сети» и IS, однако оба устройства выдали ошибочные сообщения при сканировании рабочих станций под МСВС.
3. При идентификации ОС сканеры удовлетворительно определили ОС линейки Windows, показав менее точные результаты относительно Linux. Лучше всего справился с заданием NeWT, который определил все системы с точностью до версии или версии ядра. XSpider стабильно определил семейство ОС. Недостаточно высокие результаты показал «Ревизор сети». Пример результатов сканирования приведен в таблице.
4. При идентификации TCP-сервисов вперед вырвались XSpider и NeWT (более 80% правильной идентификации). Весьма низкий результат был показан IS — ни один сервис не был опознан с точностью до версии.
5. Результаты идентификации UDP-сервисов были неудовлетворительны для всех сканеров: не идентифицировано и половины сервисов. Значительное количество ошибочно определенных несуществующих сервисов продемонстрировал «Ревизор сети».
6. Анализ уязвимостей проводился при условии установки ОС и сервисов по умолчанию без обновлений. В итоге сканирования наиболее достойно выглядели NeWT, Retina, XSpider при лидерстве первого. IS показал в целом недостаточно высокие результаты, однако существенно лучше остальных справился с анализом конфигураций механизмов безопасности Windows (некорректные настройки политики паролей и разделяемые ресурсы). Относительно много ложных срабатываний продемонстрировал «Ревизор сети», обнаруживший уязвимости несуществующих сервисов.
7. Удобство и дружественность в той или иной мере присущи всем сканерам, все они реализуют достаточные для протоколирования возможности. Наиболее удобные инструкции по устранению уязвимостей, по мнению авторов, предоставляет IS.

Подводя итоги

В заключение следует сказать, что трудно выделить универсальный сканер безопасности — протестированные приборы по-разному справляются с различными задачами. В то же время можно сделать некоторые выводы.

1. Все сканеры недостаточно качественно идентифицируют UDP-сервисы.
2. Сканеры лучше работают с ОС линейки Windows, чем с Linux.
3. Самый дорогостоящий сканер IS проявил в ряде случаев довольно посредственные возможности, тогда как представитель семейства Nessus, вполне доступный по цене, отмечен как один из лучших.
4. В лабораторных условиях NeWT и XSpider продемонстрировали наилучшие показатели, Retina — хорошие результаты, несколько отстают IS и «Ревизор сети».

Таким образом, проведенное исследование позволяет говорить о целесообразности использования нескольких сканеров безопасности в ходе аттестационных и сертификационных испытаний АС и межсетевых СЗИ.