ISSN 1991-3087

Свидетельство о регистрации СМИ: ПИ № ФС77-24978 от 05.07.2006 г.

ISSN 1991-3087

Подписной индекс №42457

Периодичность - 1 раз в месяц.

Вид обложки

Адрес редакции: 305008, г.Курск, Бурцевский проезд, д.7.

Тел.: 8-910-740-44-28

E-mail: jurnal@jurnal.org

Рейтинг@Mail.ru Rambler's Top100
Яндекс.Метрика

Опыт внедрения сканеров безопасности для контроля защищенности локальных вычислительных сетей

 

Акулов Никита Витальевич,

студент Национального исследовательского университета «Московский институт электронной техники.

 

К основным причинам возникновения уязвимостей локальной вычислительной сети, позволяющим понять уязвимость сетей и отдельных компьютеров, можно отнести [1]:

·                    уязвимость основных протоколов (базовым протоколом является TCP и UDP, сервисные программы, которых не гарантируют безопасности);

·                    большая протяженность линий связи;

·                    модель «клиент/сервер» объединяет разнообразное программное и аппаратное обеспечение, которое может иметь «дыры» для проникновения злоумышленников;

·                    «утечка» информации о топологии и конфигурации ЛВС из секретных источников, а также доступность информации о средствах защиты;

·                    незашифрованность передаваемой по ЛВС информации, что дает возможность наблюдения за каналами передачи данных;

·                    работа в ЛВС обслуживается большим число информационных служб и сетевых протоколов, контролировать работу которых одному человеку в лице администратора весьма сложно;

·                    сложность настройки и недостаточная эффективность средств управления доступом зачастую приводит к несанкционированному доступу;

·                    негативная деятельность вредоносных программ;

·                    человеческий фактор в лице:

а) пользователей, имеющих доступ к сети, которые готовы за соответствующую плату либо найти секретную информацию, либо предоставить доступ в сеть злоумышленников, которые сами найдут в ней то, что их более всего интересует (инсайдеры);

б) пользователей, работающих за компьютером, которые считают, что средства защиты им вообще не нужны, или неправильно сконфигурируют эти средства.

При этом основными целями сетевых атак являются [2]:

·                    перехват (и, возможно, модификация) данных, передаваемых через сеть от одного узла другому;

·                    имперсонация (обезличивание, spoofing) (узел злоумышленника выдает себя за другой узел, чтобы воспользоваться какими-либо привилегиями имитируемого узла);

·                    несанкционированное подключение к сети;

·                    несанкционированная передача данных (обход правил фильтрации IP-трафика в сетях, защищенных брандмауэрами);

·                    принуждение узла к передаче данных на завышенной скорости;

·                    приведение узла в состояние, когда он не может нормально функционировать, передавать и принимать данные (так называемый DoS — denial of service, отказ в обслуживании).

Методы и инструменты сетевых атак [2]:

1.                  Прослушивание сети.

2.                  Сканирование сети.

3.                  Генерация пакетов.

4.                  Перехват данных.

Существует три вида защитных механизмов [3]:

1.                  Превентивные – предотвращают использование уязвимости.

2.                  Детективные – позволяют своевременно обнаруживать факт использования уязвимости (атаку).

3.                  Коррективные – позволяют за приемлемый срок восстановить систему в случае атаки.

Контроль состояния защищенности относится к категории так называемых превентивных защитных механизмов. Его главное назначение – своевременно «заметить» слабость (уязвимость) в защищаемой системе, тем самым предотвратить возможные атаки с ее использованием. Поиск уязвимостей можно осуществлять вручную или с помощью автоматизированных инструментов – сканеров безопасности. В настоящее время наибольшее распространение получили сетевые сканеры безопасности, выполняющие проверки дистанционно, по сети. Проверки, выполняемые сетевыми сканерами безопасности, направлены, прежде всего, на сетевые службы. Но сегодня значительная часть сетевых сканеров безопасности, используя различные способы подключения к исследуемым узлам, может осуществлять поиск уязвимостей операционных систем, а также некоторых приложений, установленных на сканируемом узле [2].

Сканеры безопасности (системы анализа защищенности) – это специальные средства защиты, которые предназначены для анализа защищенности сети путем сканирования и зондирования сетевых ресурсов. Основная целью сканеров безопасности – выявление уязвимостей ЛВС.

Сканеры безопасности выполняют следующие основные задачи [3, 4]:

·                    инвентаризация ресурсов, включающих устройства сети, ОС, службы и ПО и др;

·                    идентификация и анализ уязвимостей;

·                    тестирование сети на устойчивость к взлому;

·                    аудит безопасности сети или отдельных её областей на соответствие заданным требованиям;

·                    подготовка отчетных материалов, возможно, с описанием проблем и вариантами их устранения.

Для проверки эффективности используется методика начисления баллов каждому из сравниваемых продуктов за отдельный тип проверки. Для определения порядка начисления используется специальная шкала оценок.

Стоит отметить, что сравнительная оценка сканеров безопасности должна проводится при их выборе для конкретной ЛВС организации, так как для разных сетей могут быть получены разные результаты.

По результатам работы сканеров может наблюдаться, в определенной степени, либо положительный, либо отрицательный результат. Для положительной или отрицательной тенденции хорошо подходит шкала с диапазоном противоположных числовых значений (биполярная шкала).

Такие шкалы позволяют определить степень важности совершенного события, а также степень его соответствия или несоответствия реальной действительности.

Событие, которому ставится максимальное по модулю значение со знаком «-», является самым грубым несоответствием действительности.

Событие, которому ставится максимальное по модулю значение со знаком «+», является самым правильным соответствием действительности.

Значение 0 говорит о том, что мы не можем получить никакой информации. Соответствующий результат не дает ни ложной, ни истинной информации.

Величина баллов в дальнейшем зависит от величины истинной или ложной информации полученной при проверке.

Таким образом, за ошибки начисляются «штрафные баллы», которые вычитаются из общего числа имеющихся уязвимостей (обнаруженных всеми сканерами). Получившееся значение - показатель качества сканера.

Проведения оценки эффективности сканеров безопасности состоит из четырех составляющих:

1.                  Оценка качества сканирования портов и возможности идентификации сервисов.

2.                  Оценка возможностей обнаружения уязвимостей.

3.                  Анализ удобства интерфейса и полноты формирования отчетов.

4.                  Оформление отчетной документации.

Процедура оценки качества сканирования портов и возможности идентификации сервисов разбита на следующие проверки:

·                    идентификация открытых портов;

·                    идентификация сервисов и приложений;

·                    идентификация ОС.

Перечисленные составляющие характеризуют «пригодность» сканера для решения поставленной перед ним задачи.

Идентификация портов должна проводиться при фиксированной конфигурации сети, затем результаты сопоставляются с реальным перечнем открытых портов, полученных с использованием штатных средств соответствующей ОС.

Экспертные оценки качества идентификации открытых портов выставляются по результатам сканирования в баллах по следующей шкале:

+1 балл – правильно определенный открытый порт;

-1балл – закрытый порт, ошибочно определенный как открытый, или открытый порт, ошибочно определенный как закрытый.

Идентификация ОС – это базовая задача при сборе информации об удаленном компьютере. Качество идентификации ОС служит хорошим показателем возможностей идентификации сервисов в целом, поскольку определение точной версии ОС требует достаточно сложных комплексных методов.

Экспертные оценки качества идентификации ОС выставляются по результатам сканирования в баллах по следующей шкале:

+3 балла – точно идентифицированная ОС (с точностью до версии);

+1 балл – правильно идентифицированное семейство ОС;

0 - выдача списка возможных семейств, в котором содержится правильный ответ;

-1 балл – правильно идентифицированное семейство ОС, но ошибочно определенная версия;

-3 балла – неправильно идентифицированное семейство ОС;

Идентификация сервисов – одна из основных задач любого сканера, так как без корректного определения версий активных сетевых служб невозможно выполнить анализ их уязвимостей. Возможности идентификации сервисов анализировались путем сканирования компьютеров из тестовой подсети, на которых были сконфигурированы дополнительные серверные компоненты. Результаты сканирования сравнивались с реальным перечнем.

Экспертные оценки качества идентификации сервисов выставляются по результатам сканирования в баллах по следующей шкале:

+3 балла – точно идентифицированный сервис (с точностью до версии);

+1 балл – точно идентифицированное семейство сервисов;

-1 балл – неидентифицированный сервис;

-3 балла – ошибочно идентифицированный сервис.

После проведения процедуры оценки качества сканирования портов и возможности идентификации сервисов по каждой из трех составляющих (идентификация открытых портов, идентификация сервисов и приложений, идентификация ОС) полученные результаты суммируются с учетом знака для каждого сканера безопасности. В результате этого суммирования, для каждого сканера безопасности будет получено число набранных им баллов. По этому числу можно судить о качестве работы того или иного продукта.

При оценке возможностей обнаружения уязвимостей оцениваются следующим четырем показателя:

·                    количество найденных уязвимостей;

·                    число ложных срабатываний;

·                    число пропусков;

·                    полнота базы проверок.

Все найденные сканером уязвимости проверяются: существует ли данная уязвимость в действительности. По результатам проверки составляется отчет, в котором для каждой уязвимости должна быть отметка о возможности ее осуществления.

Далее проводится оценка качества поиска уязвимости каждым сканером. Если сканер нашел уязвимость и ее наличие было подтверждено вручную, то в соответствующей ячейке – единица. Если сканер нашел уязвимость и ее наличие не подтверждено вручную, то это ложное срабатывание, оно обозначается единичкой на красном фоне. Остальные ситуации – это пропуски. Пропуски могут быть по следующим причинам:

·                    сканер не выполняет такой проверки (проверка отсутствует в базе сканера);

·                    ошибка реализации (проверка есть в базе, но сделана «небрежно», в некоторых случаях могут быть пропуски);

·                    требуется аутентификация (для выполнения проверки сканеру необходимо подключение с использованием учетной записи);

·                    другие причины.

По каждому узлу имеется такой показатель, как общее число имеющихся уязвимостей. Он определяется как сумма всех подтверждённых уязвимостей, найденных всеми сканерами. Это своего рода идеал, степень близости к которому и должна сравниваться.

При анализе функционирования учитываются следующие факторы:

·                    наличие планировщика (для проведения тестирования по расписанию);

·                    возможность создания профилей проверок (пользовательских наборов проверок);

·                    возможность генерации отчета для технического специалиста, содержащего подробную информацию о проведенных проверках и их результатах;

·                    возможность генерации отчета для руководителя, содержащего обобщенную высокоуровневую информацию об исследованной системе и о результатах проверок;

·                    возможность приостановки сканирования;

·                    возможность пересканирования отдельных сервисов (что может быть полезно, например, в случае перезагрузки целевого компьютера);

·                    качество предоставленного отчета;

·                    наличие дополнительных функций по оценке защищенности.

В процессе тестирования удобства интерфейса уделяется внимание трем основным областям:

·                    информационная архитектура;

·                    рабочие процессы и взаимодействие;

·                    графический дизайн.

 

Литература

 

1.                  Олифер В.Г., Олифер Н.А. Безопасность компьютерных сетей // Горячая линия – Телеком. – М.: 2014.– 644c.

2.                  Петренко С. А. Методы информационно-технического воздействия на киберсистемы и возможные способы противодействия // Сборник научных трудов. Российская Академия Наук (М.), Институт системного анализа; ред. Д. С. Черешкин [и др.]. – М.: Ленанд, 2009. – C. 104 – 146.

3.                  Макаров А. С., Миронов С. В., Цирлов В. Л. Опыт тестирования сетевых сканеров уязвимостей // Информационное противодействие угрозам терроризма. 2005. № 5. С. 109–122.

4.                  Применение сканеров для анализа защищенности компьютерных сетей // Материалы курса. М.: Учебный центр «Информзащита», 2006.

 

Поступила в редакцию 17.04.2015 г.

2006-2018 © Журнал научных публикаций аспирантов и докторантов.
Все материалы, размещенные на данном сайте, охраняются авторским правом. При использовании материалов сайта активная ссылка на первоисточник обязательна.