Тестування захищеності локальних мереж

Мережі давно вже стали звичним явищем в різних організаціях. Нехай у компанії є всього пара комп’ютерів, але і вони часто об’єднані між собою. Що вже говорити про таких фірмах, де комп’ютерів багато більше? І дуже часто ці мережі підключені до Інтернету. Його використання стає необхідним для забезпечення діяльності компанії. Але і збільшує імовірність проникнення в локальну мережу небажаних «відвідувачів» — як вірусів, так і бажаючих поживитися якою-небудь інформацією, а то і просто любителів-зломщиків. Адміністраторами мереж ставляться антивірусні програми, брандмауери, інші засоби захисту. Але це останній етап, на якому фіксуються спроби проникнення. Ці кошти нічого не говорять про те, що ви захистили свою мережу, всі вразливі місця прикрили засобами захисту. Аналогічні проблеми виникають і перед власниками інтернет-проектів, які також піддаються нападам.
Виконувати аналіз надійності мережі або сайту вручну — заняття малоприємне. Тим більше, що помилки в налаштуванні систем безпеки можуть відбуватися не з вини адміністратора, який встановлював їх, а з-за можливих помилок в самих програмах, інформації про яких на момент установки може і не бути. Краще всього доручити процес перевірки надійності спеціальними програмами, які протестують вашу мережу і дадуть об’єктивну інформацію про ступеня її готовності протидіяти та вірусним атакам та спробам злому.
Розробкою програм для тестування мереж і сайтів для визначення ступеня їх захищеності займається компанія Safety Lab. Нею розроблено набір програм, які визначаються одним загальним поняттям — сканери безпеки. Розробники наводять таке порівняння: брандмауери та інші засоби захисту фіксують спроби проникнення в мережу, а сканери перевіряють її на наявність можливих варіантів проникнення, будучи як би консультантами з питань організації захисту.
Завдання систем захисту — запобігти злом, завдання сканера — упередити його можливість.
Компанія Safety Lab пропонує комплексний підхід до тестування. До складу розроблених ними програм входять:
• мережевий сканер (ShadowSecurityScanner — SSS), який перевіряє мережу на наявність вразливих місць і дає докладні роз’яснення щодо способів їх усунення;
• сканер баз даних (ShadowDatabaseScanner — SDS), перевіряючий сервера баз даних;
• сканер для Microsoft IIS (Shadow Web Analyzer — SEWE);
• онлайновий сканер (ShadowOnlineSecurityScanner — SOSS), що забезпечує доступ до можливостей мережевого сканера через Інтернет та призначений в першу чергу для великих фірм.
Налаштування правил сканера безпеки
Як мережевий, так і онлайновий сканери працюють на платформі Windows (при їх тестуванні вони однаково стабільно працювали під управлінням Windows 98, так і Windows 2000, хоча Windows 98 у технічних умовах використання сканера не згадується), і при цьому однаково добре сканували ці операційні системи сімейства Unix (при тестуванні перевірялася система Linux) і мережеві пристрої. Такими можливостями володіє і система Alchemy Eye, але от призначення у неї інше — перевірка працездатності серверів, але не пошук точок уразливості.
Цікаво було перевірити власну мережу, тому перша програма, з якої почалося знайомство з сімейством продуктів Safety Lab, була SSS — сканер мережевої безпеки. Для того щоб програма почала перевірку, було досить задати лише мережевий адресу сервера, всі інші параметри були залишені без змін. Якщо вірити вкрай незначною документації, для нормальної роботи сканера досить 64 Мб пам’яті. Вона ж використовувала всю доступну пам’ять комп’ютера. В результаті всі інші програми в цей час ледь «ворушилося». Порадувало лише одне — особливо значущих помилок в налаштуванні мережі, сервери і системи безпеки знайдено не було.
Оскільки сканер може перевіряти не тільки локальну мережу, але і віддалені машини, наступним етапом була перевірка сайтів. Як добре, що для підключення до Мережі використовувався SDSL, а не модем — навіть при такому з’єднанні на процес перевірки одного невеликого сайту йшло до 20-30 хвилин. Тестувалося кілька машин, але не виявилося жодної, у який програма не виявила б яких-небудь «дірок» — де більше, де менше, але сертифікат безпеки не можна було б видати ні одного з них. (Результати тестування були потім надіслано адміністраторам перевірених сайтів для ознайомлення.)
Налаштування програми не представляє великих труднощів, але все ж шкода, що у програми немає повноцінної документації, якщо не вважати вбудованого довідника. Навіть при наявності непоганого графічного інтерфейсу (програми мають як англійська, так і російський інтерфейс) зовсім не зайвим було б прочитати про правила налаштування. Програма дозволяє створювати правила сканування, де можна визначити, що і як треба перевіряти — це і налаштування портів для перевірки, перевірки типів, використання проксі-сервера та протоколів. Втім, відсутність документації — проблема всіх продуктів компанії Safety Lab.
Але повернемося до процесу тестування. Починати слід з налаштувань програми. Залежно від важливості перевірки можна встановити для неї низький, нормальний або високий пріоритет, задати розклад і події, при яких програма буде сповіщати користувача. Налаштування правил перевірки дозволяють визначити, які саме служби і протоколи будуть перевірятися, зокрема, в список перевіряються за замовчуванням портів можна додати свої. Ви можете вибрати також відомі варіанти проникнення в мережу, захиститися від яких ви хотіли б у першу чергу. Набір варіантів злому або проникнення величезний — у програму закладено близько двох тисяч таких можливостей. Для кожного варіанту є коротка характеристика та заходи, які необхідно вжити для захисту. (В подальшому, при виявленні у вашій мережі таких незахищених місць, ці рекомендації будуть повторені в звіті.
Сканер забезпечує перевірку різноманітних сервісів, серед яких — NetBIOS, HTTP, CGI, FTP, DNS, POP3, SMTP, SNMP, Finger, Ident, IMAP, LDAP, NFS, NNTP, SSH, Telnet, TCP/IP, UDP. Крім того, SSS забезпечує можливість сканування cgi-скриптів через проксі. На сьогоднішній день SSS, мабуть, єдиний сканер, що забезпечує таку можливість. При цьому є можливість налаштування сканування скриптів як одним, так і багатьма потоками. Один з варіантів злому мережі — підбір паролів. Сканер має свій невеликий список найбільш часто зустрічаються слів, що використовуються в якості паролів, але можна скласти такий список самим і підключати його в якості зовнішнього файлу. Виконані налаштування зберігаються, і їх можна використовувати в подальшому.
Купуючи сканер, користувач отримує можливість отримання оновлень, тому у нього завжди буде повна база всіх виявлених способів злому, які може виявляти програма.
Сканер володіє можливістю автоматично коректувати загальні налаштування системи безпеки, включаючи установчі параметри в реєстрі. Коригування можлива не лише локально, але і на віддалених машинах, при наявності доступу до них через мережу. По завершенні роботи програма сформує звіт, який може бути підготовлений у вигляді html-сторінки. Сформовані на початку звіту узагальнені відомості про результати перевірки, представлені у вигляді графіків, надалі конкретизуються. Для виявлених місць уразливості даються не тільки визначення виявленого варіанту і його рівень небезпеки, а також пропозиції по усуненню. Додатково даються посилання на докладний опис цих варіантів уразливості на сайтах SecurityFocus і Common Vulnerabilities and Exposures. Цієї інформації буде цілком достатньо для того, щоб усунути виявлені недоліки захисту вашої системи. Всі перевірки виконувались за допомогою програми SSS п’ятої версії, але вже з’явилася шоста бета-версія, доступна для тестування. Вона більш зручна в налаштуваннях і працює дещо швидше попередньої.
Для системного адміністратора програми сканування безпеки мережі, веб-сайтів, баз даних — необхідний інструмент. А ось для власника власного сайту корисною буде інша програма — Shadow Web Analyzer. Найпростіша в налаштуваннях — достатньо підставити адресу свого сайту, — програма дозволяє перевірити всі наявні посилання в проекті, визначити використовувані протоколи, скласти список всіх включених в проект файлів, побудувати дерево розділів. В процесі перевірки всі посилання перевіряються на доступність, і формується список як хороших, так і поганих посилань. За результатами роботи програма дозволяє підготувати два типи звітів. Один з них — список всіх посилань. Другий — докладний опис кожної посилання або файлу з зазначенням сторінок, де вони згадуються, а для сторінок проекту — список посилань, які є на цих сторінках. Слід попередити, що звіт виходить досить солідний за обсягом. За чотириста з гаком посилань на сайті розмір другого звіту перевищив 3.5 Мб. Але є у нього один недолік — російські літери в коментарях до посилань замінюються спецсимволів, і прочитати їх можна лише за допомогою блокнота від Total Commader. Втім, звіт може бути і не настільки важливий — всю інформацію можна дивитися і в самій програмі, а для виявлених поганих посилань такий варіант роботи навіть зручніше.
Але програму повністю робочої поки назвати не можна. Незрозуміло призначення пункту меню «Дії» — жодних дій при натисканні на цю кнопку відбувається. Команду формування звіту треба ще пошукати — вона з’являється тільки у вікні посилань при натисканні правої клавіші миші. Здогадки здогадками, але хотілося б не шукати, а знати, що і як слід робити. Тим не менше, використання цієї програми для вебмайстра може виявитися корисною.