Использование сканеров безопасности для получения информации о сети

Сетевые сканеры безопасности – программные средства, позволяющие проверить уровень уязвимости сетей. Они имитируют различные обращения к сетевым узлам, выявляя операционные системы компьютеров, запущенные сервисы, имеющиеся уязвимости. В некоторых случаях сканеры безопасности также имитируют реализацию различных атак, чтобы проверить уровень подверженности им компьютеров защищаемой сети.

При проведении анализа рисков сканеры безопасности могут использоваться как в процессе инвентаризации ресурсов, так и для оценки уровня уязвимости узлов сети.

В данной лабораторной работе используется ПО Shadow Security Scanner разработки компании Safety-Lab, ознакомительная версия которого бесплатно доступна на сайте http://www.safety-lab.ru или http://www.safety-lab.com.

После запуска сканера надо начать новую сессию (нажав соответствующую кнопку на панели инструментов). Затем следует выбрать тип проводимых проверок, описываемый правилом (рис. 4.1). К определению проверяемых параметров надо относиться достаточно внимательно. Например, проведение на работающей в штатном режиме информационной системе имитации атак на отказ в обслуживании (DoS tests) может привести к сбою в работе системы, что зачастую недопустимо. Другой пример – сканирование всех TCP и UDP портов (а не только "стандартных") приведет к большим затратам времени, но позволит выявить запушенные службы, использующие нестандартные порты (подробнее об этом см. ниже).

Рис. 4.1. Определение набора проводимых проверок

Далее определяется перечень проверяемых объектов. Это может быть отдельный компьютер, задаваемый именем или IP-адресом; группакомпьютеров, определяемая диапазоном IP-адресов (рис. 4.2) или перечнем имен из заранее подготовленного файла; виртуальные http-узлы, задаваемые именами.

Рис. 4.2. Диапазон проверяемых узлов

Когда параметры сессии определены, проверка запускается кнопкой "Запустить сканирование".

Результаты проверки позволяют получить достаточно полную информацию об узлах сети. На рис. 4.3 представлен фрагмент описания результатов сканирования компьютера – указаны имя компьютера, версия операционной системы, перечислены открытые TCP и UDP порты и т.д. Относительно использующихся сетевыми службами портов хотелось бы отметить, что даваемые сканером пояснения не всегда достаточно подробны. В качестве дополнительной информации можно, в частности, порекомендовать техническую статью "Службы и сетевые порты в серверных системах Microsoft Windows " доступную по ссылке http://support.microsoft.com/?kbid=832017. В качестве справочного материала она приложена к описанию данной лабораторной работы.

Рис. 4.3. Результаты сканирования

Также приводится информация об обнаруженных уязвимостях и степени их критичности, даются ссылки позволяющие найти более подробную информацию и исправления. Ссылки приводятся как на материалы компании-разработчика, так на описания уязвимостей в специализированных каталогах – CVE и bugtraq (рис. 4.4).

Рис. 4.4. Описание обнаруженных уязвимостей

К сожалению, опция формирования отчетов в бесплатной версии программы недоступна. Поэтому при выполнении лабораторной, эту работу придется делать вручную, перенося описания через буфер из окна программы, например, в тестовый редактор Word.

Задание

1. Перечислите и охарактеризуйте стандартные правила, определяющие параметры сессии сканирования. На базе одного из них создайте собственное правило.

2. Проведите сканирование указанных преподавателем компьютеров в учебной лаборатории. При сканировании надо учитывать, что часть имеющихся уязвимостей может быть закрыта путем использования встроенного межсетевого экрана (брандмауэра Windows), появившегося в ОС семейства Windows, начиная Windows XP. Чтобы получить более полную информацию об исследуемых узлах, лучше провести одно сканирование при включенном, другое – при отключенном межсетевом экране (изменение настройки доступно черезПанель управления —> Брандмауэр Windows). Аналогичная ситуация возникает и при использовании других межсетевых экранов.

Опишите результаты проверки – полученные данные о компьютере и сетевых службах, наиболее серьезные из обнаруженных уязвимостей и пути их устранения. Охарактеризуйте уровень безопасности проверенных компьютеров.

Лабораторная работа 5