p align="left">ASET выполняет семь основных задач по мониторингу и управлению уровнем безопасности системы. Для каждой из задач производятся свои специфические проверки и модификации, а также генерируются отчеты по обнаруженным уязвимостям и вы-полненным изменениям в системных файлах. Проверке подвер-гаются: * атрибуты доступа и использования системных файлов; * соответствие системных файлов их описаниям в шаблонах безопасности: * бюджеты пользователей и групп; * файлы конфигурации системы; * переменные окружения; * уровень защиты низкоуровневой конфигурации eeprom; * уровень защищенности при использовании системы в каче-стве МЭ. ASET можно использовать как в интерактивном режиме с вы-зовом из командной строки, так и в автоматическом режиме с оп-ределенной периодичностью. Пакет программ COPS (Computer Oracle and Password System) Д. Фармера -- свободно распространяемое средство администра-тора безопасности Unix-систем для обнаружения уязвимостей в подсистеме безопасности ОС SunOS, FreeBSD, IRIX, AIX, 4.3BSD, Ultrix, HP-Unix, NeXT и некоторых других. Ядро системы - это собрание приблизительно десятка программ, каждая из которых находит различные проблемы в Unix-безопасности. Эти програм-мы проверяют: * файлы, директории и устройства по разрешенному доступу; * надёжность паролей методом перебора с использованием словаря; * содержание, формат и безопасность паролей и групп паролей; * файлы с атрибутом смены идентификатора пользователя; * программы и файлы, запускаемые в /etc/rc/*; * наличие root - SUID файлов, возможность их записи, и яв-ляются ли они подлинными; * контрольные суммы ключевых файлов, чтобы выявлять любые изменения; * целостность исполнимого кода системных программ; * возможность записи файлов пользователей и файлов запус-ка (.profile, cshrc и т.д.); * анонимную установку ftp; * неограниченный ftp, вымышленное имя в sendmail; * конфигурации протокола NFS; * проводит различные проверки root; * наличие отношений доверия с удаленными системами; * права доступа к домашним каталогам и стартовым файлам пользователей; * конфигурации почтовой службы; * наличие сервисных служб; * даты ознакомления с материалами CERT по безопасности; * содержит набор правил и попыток для определения того, как может быть скомпрометирована система. Результатом работы COPS является отчет, который может быть представлен в виде текстового файла либо автоматически отправ-лен заданному адресату по электронной почте. Устранения обна-руженных уязвимостей данным продуктом не производятся. Вме-сто этого по результатам сканирования создается командный файл, содержащий последовательность команд по ликвидации выявлен-ных уязвимостей. COPS может быть запущено от лица пользователя, не обла-дающего привилегированными правами, однако в данном случае тестирование системы будет неполным. Среди недостатков можно отметить следующее. Работа COPS приводит к уменьшению производительности системы. При про-ведении оценки стойкости паролей значительно увеличиваются вычислительные и временные затраты, поэтому запуск COPS ре-комендуется производить в часы наименьшей загрузки системы. Система System Security Scanner (SSS) фирмы Internet Security Systems Inc. -- средство разового или регулярного анали-за степени безопасности ОС Solaris 2.x, SunOS 4.1.x, Linux 1.2/1.3, AIX 3.2.5, HP-UX 9.05, 10.Х (beta) и управления защищенностью этих систем в соответствии с политикой безопасности организа-ции. SSS осуществляет контроль прав доступа к файлам, проверку владельцев файлов, анализ конфигурации сетевых служб, настрой-ку пользовательских и системных бюджетов. Кроме этого, иссле-дуется возможность наличия закладок и других следов проникно-вения злоумышленников. Отчеты о результатах анализа содержат детализированное описание найденных уязвимостей и последова-тельностей действий администратора по их устранению. SSS не производит запуск корректирующего сценария самостоятельно, а только предлагает возможность его применения. Хранение резуль-татов тестирования производится в специальной базе данных, со-держащей информацию об известных уязвимостей (их более 250) и способах их устранения. Система SSS позволят производить распределенное сканирова-ние нескольких удаленных систем с одной управляющей рабочей станции. При этом, конфигурация механизмов сканирования уда-ленных систем и обработка результатов производится на управ-ляющем ПК, а на удаленных системах запускается только скани-рующий агент. Результаты сканирования удаленных систем пере-даются по протоколу TCP в закодированном виде. Возможности тестирования системы определяются выбранны-ми для сканирования уязвимостями. SSS позволяет производить сканирование системы с различными специально созданными конфигурациями сканирования, что позволяет заранее настраивать через несколько файлов конфигурации разноуровневое сканирова-ние для периодического тестирования системы. Все обнаруженные уязвимости рассортированы по типам, соответствующим областям системы, и выделены определенным цветом, обозначающим уро-вень важности.[1] Пакет программ Internet Scanner SAFEsuite (ISS) предназначен для проведения комплексной оценки эффективности политики безопасности на уровне сетевых сервисов. Он предоставляет возможности для идентификации и коррекции более 140 известных слабых мест и постоянного наблюдения за состоянием безопасности для широкого диапазона сетевых устройств - от Web-узлов и брандмауэров до серверов и рабочих станций, работающих в средах UNIX, Windows 95, Windows NT, и всех других устройств, работающих с протоколом TCP/IP. Пакет ISS состоит из трех программ: Web Security Scanner, Firewall Scanner, Intranet Scanner. Отметим некоторые общие характеристики пакета ISS. 1. Автоматизированное и конфигурируемое сканирование: · автоматическая идентификация и создание отчетов по слабым местам; · плановое периодическое сканирование или сканирование после определенных событий; · конфигурация сканирования по адресам IP, типам слабых мест, рискам и другим устанавливаемым пользователями критериям; · автоматическая коррекция ключевых слабых мест; · надежность и повторяемость. 2. Обеспечение безопасности: · возможность управления рисками; · инвентаризация всех сетевых устройств и идентификация существующих базовых слабых мест; · распределение приоритетов по степеням риска (высокий, средний, низкий); · анализ и сравнение базовых отчетов для использования в будущих оценках; · создание цепи обратной связи при реализации политики безопасности. 3. Простота пользования: · графические интерфейсы пользователя Windows NT и Motif UNIX; · создание отчетов в формате HTML с упорядочением по типам слабых мест, классам рисков, host-именам и адресам IP; · двухмерная сетевая карта, облегчающая поиск слабых мест; · централизация процедур сканирования, управления и мониторинга.[5] Программа Web Secure Scanner предназначена для поиска слабых мест безопасности на Web-серверах. Обеспечивает аудит ОС, под управлением которой работает Web-сервер, программ приложений, установленных на Web-сервере, и сценариев CSI в Web-приложениях. Проводит тестирование конфигурации Web-сервера, оценивает уровень безопасности основной файловой системы и просматривает сценарии CSI на наличие слабых мест. По итогам тестирования создается отчет с описанием обнаруженных слабых мест и рекомендациями по корректирующим действиям. Программа Firewall Scanner обеспечивает поиск слабых мест в брандмауэрах, прежде всего в их конфигурации, и предоставляет рекомендации по их коррекции. Проводит тестирование реакции брандмауэров на различные типы попыток нарушения безопасности. Выполняет сканирование сервисов - идентификацию всех сетевых сервисов, доступ к которым осуществляется через брандмауэр. Программу Firewall Scanner рекомендуется сделать частью установки брандмауэра и составной частью программы обеспечения безопасности. Программа Intranet Scanner предназначена для автоматического обнаружения потенциальных слабых мест внутри сетей с использованием различных тестов для проверки реакции на несанкционированные проникновения. Обеспечивает проверку различных сетевых устройств, включая UNIX-компьютеры, системы, работающие под управлением ОС Windows NT/95 фирмы Microsoft, маршрутизаторы, Web-серверs и X-терминалы. 1.3. Защита каналов связи в InternetВ июле 1997 г. вышел руководящий документ "Средства вы-числительной техники. Межсетевые экраны. Защита от несанк-ционированного доступа к информации. Показатели защищенно-сти от несанкционированного доступа" Гостехкомиссии при Пре-зиденте РФ (полный текст можно найти в информационном бюл-летене "Jet Info" № 17-18 1997 г. и на узле http://www.infotecs.ru/gtc/RD_ekran.htm ). В этом документе дана классификация МЭ в зависимости от степени обеспечиваемой ими защиты от НСД. Определение самого МЭ таково: МЭ - это ло-кальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, по-ступающей в автоматизированную систему (АС) и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации ин-формации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС. Устанавливается пять классов защищенности МЭ: 5 (самый низкий) -- применяется для безопасного взаимодействия АС клас-са 1 Д с внешней средой, 4 -- для 1 Г, 3 -- 1 В, 2 -- 1 Б, 1 (самый вы-сокий) -- для 1А. (Напомним, что Гостехкомиссией РФ установ-лено девять классов защищенности АС от НСД, каждый из кото-рых характеризуется определенной совокупностью требований к средствам защиты. Классы подразделяются на три группы, отли-чающиеся спецификой обработки информации. Класс с цифрой "1" включает многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация разных уровней кон-фиденциальности, и не все пользователи имеют равные права дос-тупа.) В [2] приведена некоторая справочная информация, где даны описания не-скольких систем МЭ. Список сертифицированных Гостехкомиссией РФ МЭ на июнь 1999 г. состоял из десяти наименований: 1) автоматизированная система разграничения доступа Black Hole (Milkyway Networks) версии BSDI-OS; 2) средство защиты от НСД в сетях передачи данных по про-токолу TCP/IP "ПАНДОРА" на базе Gauntlet 3.1.Н (Trusted Information Systems) и компьютера 02 (Silicon Graphics) под управлением IRIX 6.3; 3) аппаратно-программный комплекс "Застава-Джет" компа-нии Jet Infosystems и ЦНИИ-27 Министерства обороны РФ; 4) МЭ "Застава" FortE+ фирмы ЭЛВИС+; 5) партия средств программного обеспечения межсетевого эк-рана FireWall-1 фирмы Checkpoint Software Technologies; 6) комплекс защиты информации от НСД "Data Guard/24S"; 7) программный продукт SKIP для регулирования доступа на интерфейсе локальная/глобальная сеть под управлением ОС Windows 3.11 и Solaris 2.4; 8) единичные образцы программного обеспечения МЭ AltaVista Firewall 97 фирмы AltaVista Internet Software; 9) партия из 20 экземпляров МЭ "Cyber Guard" версия 4.0, по-зволяющего создавать защищенные корпоративные сети на базе протокола Х.25 и Frame Relay; 10) Firewall/Plus фирмы Network-1 Software and Technologies. Список МЭ, сертифицированных Международной ассоциацией компьютерной безопасности, можно найти по адресу http://www.icsa.net. Ниже более подробно описаны функции одного из них. Межсетевой экран защиты интрасети ПАНДОРА на базе Gauntlet 3.1.1i фирмы Trusted Information Systems и компьютера 02 фирмы Silicon Graphics под управлением IRIX 6.3 надежно ре-шает проблему безопасности сети и позволяет: * скрыть от пользователей глобальной сети структуру интра-сети (IP-адреса, доменные имена и т.д.); * определить, каким пользователям, с каких хостов, в на-правлении каких хостов, в какое время, какими сервисами можно пользоваться; * описать для каждого пользователя, каким образом он дол-жен аутентифицироваться при доступе к сервису; * получить полную статистику по использованию сервисов, попыткам НСД, графику через ПАНДОРУ и т.д. ПАНДОРА устанавливается на компьютер с двумя Ethernet-интерфейсами на выходе между интраеетью и сетью общего поль-зования. ПАНДОРА построена на серверах протоколов прикладного уровня (proxy) и поддерживает следующие сервисы: TELNET, Riogin (терминалы); FTP (передача данных); SMTP, POP3 (почта); HTTP (WWW); Gopher; XI 1 (X Window System); LP (сетевая пе-чать); Rsh (удаленное выполнение задач); Finger; NNTP (новости Usenet); Whois; RealAudio. Кроме того, в состав ПАНДОРЫ входит сервер общего назначения TCP-уровня, который позволяет безо-пасно транслировать через ПАНДОРУ запросы от базирующихся на TCP протоколов, для которых нет proxy-серверов, а также сер-вер сетевого доступа, который позволяет запускать различные программы в зависимости от того, откуда пришел запрос.
Страницы: 1, 2, 3
|