Тестування захищеності локальних мереж

Мережі давно вже стали звичайним явищем в різних організаціях. Хай в компанії є всього пара комп'ютерів, але і вони часто об'єднані між собою. Що вже говорити про такі фірми, де комп'ютерів багато більше? І дуже часто ці мережі підключені до Інтернету. Його використання стає необхідним для забезпечення діяльності компанії. Але і збільшує вірогідність проникнення в локальну мережу небажаних "відвідувачів" — як вірусів, так і охочих поживитися якою-небудь інформацією, а то і просто любителів-зломщиків. Адміністраторами мереж ставляться антивірусні програми, брандмауери, інші засоби захисту. Але це останній етап, на якому фіксуються спроби проникнення. Ці засоби нічого не говорять про те, чи добре ви захистили свою мережу, чи всі вразливі місця прикрили засобами захисту. Аналогічні проблеми виникають і перед власниками інтернет-проектів, які також схильні до нападів. Виконувати аналіз надійності мережі або сайту уручну — заняття малоприємне. Тим більше що помилки в налаштуванні систем безпеки можуть відбуватися не по провині адміністратора, що встановлював їх, а із-за можливих помилок в самих програмах, інформації про яких на момент установки може і не бути. Краще всього доручити процес перевірки надійності спеціальним програмам, які протестують вашу мережу і дадуть об'єктивну інформацію про ступінь її готовності протидіяти і вірусним атакам, і спробам злому. Розробкою програм для тестування мереж і сайтів для визначення ступеня їх захищеності займається компанія Safety Lab. Нею розроблений набір програм, визначуваних одним загальним поняттям, — сканери безпеки. Розробники приводять таке порівняння: брандмауери і інші засоби захисту фіксують спроби проникнення в мережу, а сканери перевіряють її на наявність можливих варіантів проникнення, будучи як би консультантами по питаннях організації захисту. Завдання систем захисту — запобігти злому, завдання сканера — попереджувати його можливість. Компанія Safety Lab пропонує комплексний підхід до тестування. До складу розроблених ними програм входять: мережевий сканер (Shadowsecurityscanner — SSS), який перевіряє мережу на наявність незахищених місць і дає докладні роз'яснення по способах їх усунення; сканер баз даних (Shadowdatabasescanner — SDS), перевіряючий сервера баз даних; сканер для Microsoft IIS (Shadow Web Analyzer — SEWE); онлайновий сканер (Shadowonlinesecurityscanner — SOSS), що забезпечує доступ до можливостей мережевого сканера через інтернет і призначений насамперед для крупних фірм. Налаштування правил сканера безопасностікак мережевий, так і онлайновий сканери працюють на платформі Windows (при їх тестуванні вони однаково стабільно працювали як під управлінням Windows 98, так і Windows 2000, хоча Windows 98 в технічних умовах по використанню сканера не згадується), і при цьому однаково добре сканували як ці операційні системи, так і системи сімейства Unix (при тестуванні перевірялася система Linux) і мережеві пристрої. Подібними можливостями володіє і система Alchemy Eye, але призначення у неї інше — перевірка працездатності серверів, але не пошук точок уразливості. Цікаво було перевірити власну мережу, тому перша програма, з якою почалося знайомство з сімейством продуктів Safety Lab, була SSS — сканер мережевої безпеки. Для того, щоб програма почала перевірку, було досить задати лише мережеву адресу сервера, решта всіх налаштувань була залишена без змін. Якщо вірити украй незначній документації, для нормальної роботи сканера достатній 64 Мб пам'яті. Вона ж використовувала всю доступну пам'ять комп'ютера. В результаті решта всіх програм в цей час ледве "ворушилася". Порадувало лише одне — особливо значущих помилок в налаштуванні мережі, сервера і системи безпеки знайдено не було. Оскільки сканер може перевіряти не тільки локальну мережу, але і видалені машини, наступним етапом була перевірка сайтів. Як добре, що для підключення до Мережі використовувався SDSL, а не модем — навіть при такому з'єднанні на процес перевірки одного невеликого сайту йшло до 20-30 хвилин. Тестувалося декілька машин, але не виявилося жодним, в которй програма не виявила б яких-небудь "дірок" — де більше, де менше, але сертифікат безпеки не можна було б видати жодному з них. (Результати тестування були потім вислані адміністраторам перевірених сайтів для ознайомлення.) Налаштування програми не представляє великих утруднень, але все таки шкода, що у програми немає повноцінної документації, якщо не рахувати вбудованого довідника. Навіть за наявності непоганого графічного інтерфейсу (програми мають як англійський, так і російський інтерфейс) зовсім незайве було б прочитати про правила налаштування. Програма дозволяє створювати правила сканування, де можна визначити, що і як треба перевіряти — це і налаштування портів для перевірки, типів перевірки, використання проксі-серверів і протоколів. Втім, відсутність документації — проблема всіх продуктів компанії Safety Lab. Але повернемося до процесу тестування. Починати слід з налаштувань програми. Залежно від важливості перевірки можна встановити для неї низький, нормальний або високий пріоритет, задати розклад і події, при яких програма оповіщатиме користувача. Налаштування правил перевірки дозволяють визначити, які служби і протоколи перевірятимуться — зокрема, в список портів, що перевіряються за умовчанням, можна додати свої. Ви можете вибрати також відомі варіанти проникнення в мережу, захиститися від яких ви хотіли б насамперед. Набор варіантів злому або проникнення величезний — в програму закладено близько двох тисяч таких можливостей. Для кожного варіанту є коротка характеристика і заходи, які необхідно прийняти для захисту. (Надалі, при виявленні у вашій мережі таких незахищених місць, ці рекомендації будуть повторені в звіті.)Сканер забезпечує перевірку різноманітних сервісів, серед яких, — NETBIOS, HTTP, CGI, FTP, DNS, Pop3, SMTP, SNMP, Finger, Ident, IMAP, LDAP, NFS, NNTP, SSH, Telnet, Tcp/ip, UDP. Крім того, SSS забезпечує можливість сканування cgi-скриптов через проксі. На сьогоднішній день SSS, мабуть, єдиний сканер, що забезпечує таку можливість. При цьому є можливість налаштування сканування скриптів як одним, так і багатьма потоками. Одін з варіантів злому мережі — підбір паролів. Сканер має свій невеликий список найбільш слів, що часто зустрічаються, використовуваних як паролі, але можна такий список скласти самим і підключати його як зовнішній файл. Виконані налаштування зберігаються і їх можна використовувати надалі. Набуваючи сканера, користувач дістає можливість отримання оновлень, тому у нього завжди буде повна база всіх виявлених способів злому, які може виявляти програма. Сканер володіє можливістю автоматично коректувати загальні налаштування системи безпеки, включаючи настановні параметри в реєстрі. Коректування можливе не тільки локально, але і на видалених машинах, за наявності доступу до них через мережу. Після закінчення роботи програма сформує звіт, який може бути підготовлений у вигляді html-страницы. Сформовані на початку звіту узагальнені відомості про результати перевірки, представлені у вигляді графіків, надалі конкретизуються. Для виявлених місць уразливості даються не тільки визначення виявленого варіанту і його рівень небезпеки, але і пропозиції по усуненню. Додатково даються посилання на докладний опис цих варіантів уразливості на сайтах Securityfocus і Common Vulnerabilities and Exposures. Цю інформацію буде цілком досить для того, щоб усунути виявлені недоліки захисту вашої системи. Всі перевірки виконувалися за допомогою програми SSS п'ятій версії, але вже з'явилася шоста бета-версія, доступна для тестування. Вона зручніша в налаштуваннях і працює декілька швидше попередньою. Для системного адміністратора програми сканування безпеки мережі, сайтів, баз даних — необхідний інструмент. А ось для власника власного сайту корисна буде інша програма — Shadow Web Analyzer. Проста в налаштуваннях — досить підставити адресу свого сайту, — програма дозволяє перевірити все наявні посилання в проекті, визначити використовувані протоколи, скласти список всіх включених в проект файлів, побудувати дерево розділів. В процесі перевірки всі посилання перевіряються на доступність, і формується список як хороших, так і поганих посилань. За наслідками роботи програма дозволяє підготувати два типи звітів. Одін з них — список всіх посилань. Другий — докладний опис кожного посилання або файлу з вказівкою сторінок, де вони згадуються, а для сторінок проекту — список посилань, які є на цих сторінках. Слід попередити, що звіт виходить вельми солідним за об'ємом. При чотирьохстах з гаком посилань на сайті розмір другого звіту перевищив 3.5 Мб. Але є у нього один недолік — російські букви в коментарях до посилань замінюються спецсимволами, і прочитати їх опинилося можливо лише за допомогою блокнота від Total Commader. Втім, звіт може бути і не такий важливий — всю інформацію можна дивитися і в самій програмі, а для виявлених поганих посилань такий варіант роботи навіть зручніше. Але програму повністю робочою поки назвати не можна. Незрозуміло призначення пункту меню "Дії" — ніяких дій при натисненні на цю кнопку не відбувається. Команду формування звіту треба ще пошукати — вона з'являється тільки у вікні посилань при натисненні правої клавіші миші. Припущення припущеннями, але хотілося б не шукати, а знати, що і як слід робити. Проте, використання цієї програми для вебмастера може виявитися корисним.