Добавлен: 05.07.2023
Просмотров: 127
Скачиваний: 1
Введение
Сканер безопасности – это программное средство для удаленной или локальной диагностики различных элементов сети на предмет выявления в них различных уязвимостей, которые могут быть использованы посторонними лицами для доступа к конфиденциальной информации и нарушения работы системы вплоть до полной потери данных и работоспособности.
Основными пользователями систем аудита безопасности являются профессионалы: сетевые администраторы, специалисты по безопасности и т. д. Простые пользователи тоже могут использовать сканеры, но информация, выдаваемая такими программами, как правило, специфична, что ограничивает возможности ее применения неподготовленным человеком. Сканеры безопасности облегчают работу специалистов, сокращая суммарно потраченное время на поиск уязвимостей.
Несмотря на повышающийся интерес к области защиты информации, сетевых сканеров безопасности не так уж и много. Несмотря на это, задача выбора оптимального продукта подобного класса непроста, поскольку при анализе нужно учитывать много факторов.
Главный критерий качества работы сканера безопасности - это, конечно, количество обнаруживаемых им уязвимостей. Но не то количество, которое заявлено производителем, а то, какое реально сканер может найти. Например, немаловажным является умение идентифицировать сервисы, установленные на нестандартных портах, поскольку в противном случае известные сканеру уязвимости не будут реально обнаружены.
Второй критерий - это количество ложных срабатываний. Несомненно, всегда лучше перестраховаться, но когда количество ложных срабатываний высоко, то специалист по безопасности или системный администратор начинает тратить огромное количество времени, чтобы все это проверить и отсеять ненужное.
Третий критерий - это удобство пользования сканером. Хотя им и можно пренебречь на фоне предыдущих характеристик, в конечном счете удобство также обеспечивает экономию времени и усилий, минимизацию возможных оплошностей.
Просмотрим итоги двух тестирований.
Тестирование №1
Качество работы ядра
Для сравнения были выбраны пять различных сканеров в разном ценовом диапазоне:
Сканер |
Производитель |
Размер |
Цена |
ISS Internet Scanner |
Internet Security Systems, USA, http://www.iss.net |
32,3 Мб |
От 1439$ до 84600$ |
LanGuard |
GFI, USA, http://www.languard.com |
1,71 Мб |
99$ (для некоммерческого использования бесплатно) |
ShadowSecurityScanner |
Safety-Lab, http://www.safety-lab.com |
3,48 Мб |
100$ |
X-Scan |
X-Scan Xfocus, http://www.xfocus.org |
1,57 Мб |
Бесплатно |
XSpider |
Positive Technologies, Россия, http://www.ptsecurity.ru |
1,07 Мб |
Бесплатно |
ISSInternetScanner - Система анализа защищенности Internet Scanner&153; разработана американской компанией Internet Security Systems, Inc. и предназначена для решения одного из важных аспектов управления сетевой безопасностью - обнаружения уязвимостей. При помощи данной системы можно проводить регулярные всесторонние или выборочные тесты сетевых сервисов, операционных систем, распространенного прикладного программного обеспечения, маршрутизаторов, межсетевых экранов, Web-серверов и т.п.
GFI LanGuard предоставляет подробный анализ состояния вашей сети. Сюда входят приложения или конфигурации по умолчанию, представляющие угрозу безопасности. GFI LanGuard также дает вам полную картину установленных приложений; оборудования в вашей сети; мобильные устройства, которые подключаются к серверам Exchange; состояние приложений безопасности (антивирус, антиспам, брандмауэры и т. д.); открытые порты; и любые существующие акции и услуги, запущенные на ваших машинах.
XSpider. Единственный в мире сканер уже сегодня определяющий более трети уязвимостей, которые принесет завтрашний день. Основная задача сканера XSpider – обнаружить уязвимости в сетевых ресурсах до того, как это будет сделано злоумышленниками, а также выдать чёткие и понятные рекомендации по устранению обнаруженных уязвимостей.
Shadow Security Scanner - сканер сетевой безопасности который благодаря уникальным методам позволит надежно проверить Ваш сайт или сеть на наличие дыр и позволит надежно защитить Вашу сеть от проникновения хакеров.Shadow Security Scanner сканирует не только машины на которых стоят операционные системы Windows, но так же разные операционные системы Unix (Linux,*BSD,Solaris, etc) роутеры, файрволы и системные устройства. В него входит аудит таких модулей как TCP/IP, UDP, FTP, DNS, SMTP, POP3, HTTP, CGI, NetBIOS, Registry, Users accounts, Password checks, Services, LDAP, DoS атаки, и многое другое.
Чтобы сравнивать системы, подобные сканерам безопасности, недостаточно просто их запустить. Количество якобы проверяемых уязвимостей, обилие настроек, а также размер программы или её внешний вид не могут являться критериями для оценки качества содержательной работы того или иного сканера. Поэтому для того чтобы создать полноценное представление о работе различных сканеров безопасности, было решено провести их сравнительный тест по выявлению уязвимостей в семи различных операционных системах, часто используемых, в частности, крупными банками и финансовыми учреждениями:
- Solaris 2.6.1
- Windows 2000 Server
- Windows XP Professional
- Linux RedHat 5.2
- Compaq/Tandem Himalaya K2006 (OS D35)
- Bay Networks Router
- AS/400
Версии тестируемых сканеров (последние доступные на момент проверки):
- ISS Internet Scanner 6.2.1 с последними апдейтами
- LanGuard 2.0
- ShadowSecurityScanner 5.31
- XFocus X-Scan v1.3 GUI
- XSpider 6.01
Тестирование каждого сканера проводилось по два раза, тем самым исключая нежелательные возможные ошибки, связанные, например, с временной проблемой в сети. Все полученные данные были интегрированы в таблицу 1, показывающую, какая информация была получена тем или иным сканером. Желтым цветом обозначены уязвимости средней тяжести, которые при определенных обстоятельствах могут повлечь за собой серьезные потери, а красным – серьезные уязвимости, которые могут привести не только к серьезным потерям, но и к полному разрушению системы. Остальные строки относятся к нейтральной информации о системе, полученной сканерами.
Таблица 1. Данные тестирования сетевых сканеров для различных операционных систем
На основе таблиц была проведена интегральная оценка сканеров по следующей схеме:
- серьезная уязвимость: +3 балла
- уязвимость средней тяжести: +2 балла
- информация: +1 балл
- ложная серьезная уязвимость: -3 балла
- ложная уязвимость средней тяжести:-2 балла
- ложная информация: -1 балл
Результат представлен в таблице 2. Оставляя в стороне подробные комментарии по отдельным обнаруженным уязвимостям, приведем окончательные данные в виде диаграммы номер 1.
Таблица2. Интегральные результаты тестирования сетевых сканеров для различных операционных систем
Диаграмма №1
Краткое резюме
ISS Internet Scanner – наиболее титулованный представитель в семействе рассматриваемых продуктов – показал себя как всегда на высоком уровне, заняв почетное второе место.
LanGuard с натяжкой можно назвать сканером безопасности. Он очень хорошо работает с NetBios, выдавая список ресурсов, сервисов и пользователей. Эта способность сильно отличает сканер от остальных, но вот именно только эта. На этом преимущества LanGuard заканчиваются.
ShadowSecurityScanner практически не отстал от ISS. И это при столь большой разнице в их цене. У программы простой интерфейс, похожий на интерфейс сканера Retina. Подробные советы и рекомендации по устранению уязвимостей легко позволяют справиться с проблемами. Минусы: небольшое количество распознаваемых уязвимостей, гораздо большее потребление системных ресурсов при работе по сравнению с другими сканерами. X-Scan – бесплатный сканер, по возможностям похожий на LanGuard, но немного его превосходящий. Минусы: не очень читабельный интерфейс программы, отсутствие каких-либо комментариев про найденные уязвимости.
XSpider оказался бесспорным лидером, сильно оторвавшись от конкурентов, особенно при поиске уязвимостей в Windows и Solaris. Есть у XSpider и существенный минус: при выдаче списка уязвимостей выводится очень мало пояснительной информации, что предполагает высокий уровень знаний и профессионализма у специалиста, использующего эту программу. Вероятно, это объясняется тем, что разработчик программы – российская компания PositiveTechnologies, профессионально специализирующаяся на услугах по обеспечению безопасности компьютерных сетей, делала продукт, исходя из своих внутренних потребностей, и не особенно заботилась о массовом пользователе. Правда, надо отдать ей должное, денег она за свой продукт не просит, что очень приятно, учитывая его отличное качество работы.
Мнение пользователей
Недавно стали доступны данные опроса профессиональных пользователей, проведенные сайтом по информационной безопасности SecurityLab.RU, относительно популярности сканеров безопасности (см. http://www.securitylab.ru/_Services/Vote.asp?Archive=109&Poll_ID=4). Нам показалось интересным сравнить результаты этого опроса с объективными данными нашего анализа. Результаты опроса приведены в таблице:
Перечень сканеров заметно отличается от протестированных в обзоре, но три ведущих по данным нашего анализа представлены и здесь. Сканер от ISS уступил второе место (видимо, в силу своей высокой цены) ShadowSecurityScaner. На первом же месте остался XSpider, набрав больше очков, чем все конкуренты вместе взятые. Эти данные можно рассматривать как косвенное подтверждение справедливости приведенных выше результатов анализа.
Тестирование №2
Протестированные продукты
В данном обзоре протестированы следующие сканеры:
№ Продукт Производитель
1 Internet Scanner 7.0 Internet Security Systems
2 LanGuard 3.2 GFI
3 Nessus 2.0.6 Renaud Deraison
4 NetRecon 3.6 Symantec
5 Retina 4.9.97 eEye Digital Security
6 XSpider 7.0 PositiveTechnologies
Каждый сканер на момент тестирования был обновлен через Интернет до последней версии баз уязвимостей.
Объекты проверки
С помощью сканеров были проверены сервера со следующими операционными системами:
RedHat Linux 7.2 (Enigma) 2.4.18 SMP
Sun Solaris 7 (SPARC)
Windows XP Professional
Windows 2000 Server
Windows 2000 Server (сустановленнымипроброшеннымипортамиот (FreeBSD 4.7, RedHat Linux 8 и Windows XP Professional)
Windows 2000 Professional (сустановленным HoneyPot иэмулированнымисервисами FTP, SSH, HTTP, POP3, NNTP)
Последний сервер был сконфигурирован особым образом, чтобы затруднить его анализ. При подключении ко всем сервисам кроме HTTP, выдается баннер сервиса и на любой последующий запрос выдается один тот же положительный ответ. Сервис HTTP при запросе выдает один и тот же ответ, чередуя в случайном порядке "200 OK" и "404 Not Found".
Методика сравнения
Качество поиска уязвимостей оценивается в баллах по следующей схеме.
Уязвимость Определена Определена ошибочно
критическая +3 -1.5
средняя +2 -1
доступная информация +1 -0.5
За каждое ложное срабатывание из суммы баллов вычитается 50% от бонуса за правильное определение, поскольку ложное срабатывание не так критично, но замедляет работу по устранению уязвимостей.
Пользовательский интерфейс и удобство использования продуктов оценивалось по следующим критериям:
- возможность обновления сканера и баз уязвимостей через Интернет
- встроенный планировщик сканирований
- наличие различных профилей сканирования и их создание под определенную задачу
- возможность приостановления сканирования при временных проблемах с сетью, чтобы не приходилось начинать все заново (особенно актуально при сканировании больших сетей)
- различные варианты отчетов рассчитанных как на администраторов, так и на управляющий персонал
- возможность использования сканера удаленно через клиентскую часть подключаемую к серверу сканирования.
Итоговые результаты
Суммарные показатели таковы:
|
LanGuard |
Nessus |
NetRecon |
Retina |
XSpider |
|
Сумма положительных баллов |
74 |
39 |
111 |
39 |
89 |
133 |
С учетом "штрафа" за ложные срабатывания |
67 |
37.5 |
95 |
32.5 |
81.5 |
131.5 |