* атрибуты доступа и использования системных файлов;

* соответствие системных файлов их описаниям в шаблонах безопасности:

* бюджеты пользователей и групп;

* файлы конфигурации системы;

* переменные окружения;

* уровень защиты низкоуровневой конфигурации eeprom;

* уровень защищенности при использовании системы в каче-стве МЭ.

ASET можно использовать как в интерактивном режиме с вы-зовом из командной строки, так и в автоматическом режиме с оп-ределенной периодичностью.

Пакет программ COPS (Computer Oracle and Password System) Д. Фармера -- свободно распространяемое средство администра-тора безопасности Unix-систем для обнаружения уязвимостей в подсистеме безопасности ОС SunOS, FreeBSD, IRIX, AIX, 4.3BSD, Ultrix, HP-Unix, NeXT и некоторых других. Ядро системы - это собрание приблизительно десятка программ, каждая из которых находит различные проблемы в Unix-безопасности. Эти програм-мы проверяют:

* файлы, директории и устройства по разрешенному доступу;

* надёжность паролей методом перебора с использованием словаря;

* содержание, формат и безопасность паролей и групп паролей;

* файлы с атрибутом смены идентификатора пользователя;

* программы и файлы, запускаемые в /etc/rc/*;

* наличие root - SUID файлов, возможность их записи, и яв-ляются ли они подлинными;

* контрольные суммы ключевых файлов, чтобы выявлять любые изменения;

* целостность исполнимого кода системных программ;

* возможность записи файлов пользователей и файлов запус-ка (.profile, cshrc и т.д.);

* анонимную установку ftp;

* неограниченный ftp, вымышленное имя в sendmail;

* конфигурации протокола NFS;

* проводит различные проверки root;

* наличие отношений доверия с удаленными системами;

* права доступа к домашним каталогам и стартовым файлам пользователей;

* конфигурации почтовой службы;

* наличие сервисных служб;

* даты ознакомления с материалами CERT по безопасности;

* содержит набор правил и попыток для определения того, как может быть скомпрометирована система.

Результатом работы COPS является отчет, который может быть представлен в виде текстового файла либо автоматически отправ-лен заданному адресату по электронной почте. Устранения обна-руженных уязвимостей данным продуктом не производятся. Вме-сто этого по результатам сканирования создается командный файл, содержащий последовательность команд по ликвидации выявлен-ных уязвимостей.

COPS может быть запущено от лица пользователя, не обла-дающего привилегированными правами, однако в данном случае тестирование системы будет неполным.

Среди недостатков можно отметить следующее. Работа COPS приводит к уменьшению производительности системы. При про-ведении оценки стойкости паролей значительно увеличиваются вычислительные и временные затраты, поэтому запуск COPS ре-комендуется производить в часы наименьшей загрузки системы.

Система System Security Scanner (SSS) фирмы Internet Security Systems Inc. -- средство разового или регулярного анали-за степени безопасности ОС Solaris 2.x, SunOS 4.1.x, Linux 1.2/1.3, AIX 3.2.5, HP-UX 9.05, 10.Х (beta) и управления защищенностью этих систем в соответствии с политикой безопасности организа-ции. SSS осуществляет контроль прав доступа к файлам, проверку владельцев файлов, анализ конфигурации сетевых служб, настрой-ку пользовательских и системных бюджетов. Кроме этого, иссле-дуется возможность наличия закладок и других следов проникно-вения злоумышленников. Отчеты о результатах анализа содержат детализированное описание найденных уязвимостей и последова-тельностей действий администратора по их устранению. SSS не производит запуск корректирующего сценария самостоятельно, а только предлагает возможность его применения. Хранение резуль-татов тестирования производится в специальной базе данных, со-держащей информацию об известных уязвимостей (их более 250) и способах их устранения.

Система SSS позволят производить распределенное сканирова-ние нескольких удаленных систем с одной управляющей рабочей станции. При этом, конфигурация механизмов сканирования уда-ленных систем и обработка результатов производится на управ-ляющем ПК, а на удаленных системах запускается только скани-рующий агент. Результаты сканирования удаленных систем пере-даются по протоколу TCP в закодированном виде.

Возможности тестирования системы определяются выбранны-ми для сканирования уязвимостями. SSS позволяет производить сканирование системы с различными специально созданными конфигурациями сканирования, что позволяет заранее настраивать через несколько файлов конфигурации разноуровневое сканирова-ние для периодического тестирования системы. Все обнаруженные уязвимости рассортированы по типам, соответствующим областям системы, и выделены определенным цветом, обозначающим уро-вень важности.[1]

Пакет программ Internet Scanner SAFEsuite (ISS) предназначен для проведения комплексной оценки эффективности политики безопасности на уровне сетевых сервисов. Он предоставляет возможности для идентификации и коррекции более 140 известных слабых мест и постоянного наблюдения за состоянием безопасности для широкого диапазона сетевых устройств - от Web-узлов и брандмауэров до серверов и рабочих станций, работающих в средах UNIX, Windows 95, Windows NT, и всех других устройств, работающих с протоколом TCP/IP.

Пакет ISS состоит из трех программ: Web Security Scanner, Firewall Scanner, Intranet Scanner. Отметим некоторые общие характеристики пакета ISS.

1. Автоматизированное и конфигурируемое сканирование:

· автоматическая идентификация и создание отчетов по слабым местам;

· плановое периодическое сканирование или сканирование после определенных событий;

· конфигурация сканирования по адресам IP, типам слабых мест, рискам и другим устанавливаемым пользователями критериям;

· автоматическая коррекция ключевых слабых мест;

· надежность и повторяемость.

2. Обеспечение безопасности:

· возможность управления рисками;

· инвентаризация всех сетевых устройств и идентификация существующих базовых слабых мест;

· распределение приоритетов по степеням риска (высокий, средний, низкий);

· анализ и сравнение базовых отчетов для использования в будущих оценках;

· создание цепи обратной связи при реализации политики безопасности.

3. Простота пользования:

· графические интерфейсы пользователя Windows NT и Motif UNIX;

· создание отчетов в формате HTML с упорядочением по типам слабых мест, классам рисков, host-именам и адресам IP;

· двухмерная сетевая карта, облегчающая поиск слабых мест;

· централизация процедур сканирования, управления и мониторинга.[5]

Программа Web Secure Scanner предназначена для поиска слабых мест безопасности на Web-серверах. Обеспечивает аудит ОС, под управлением которой работает Web-сервер, программ приложений, установленных на Web-сервере, и сценариев CSI в Web-приложениях. Проводит тестирование конфигурации Web-сервера, оценивает уровень безопасности основной файловой системы и просматривает сценарии CSI на наличие слабых мест. По итогам тестирования создается отчет с описанием обнаруженных слабых мест и рекомендациями по корректирующим действиям.

Программа Firewall Scanner обеспечивает поиск слабых мест в брандмауэрах, прежде всего в их конфигурации, и предоставляет рекомендации по их коррекции. Проводит тестирование реакции брандмауэров на различные типы попыток нарушения безопасности. Выполняет сканирование сервисов - идентификацию всех сетевых сервисов, доступ к которым осуществляется через брандмауэр. Программу Firewall Scanner рекомендуется сделать частью установки брандмауэра и составной частью программы обеспечения безопасности.

Программа Intranet Scanner предназначена для автоматического обнаружения потенциальных слабых мест внутри сетей с использованием различных тестов для проверки реакции на несанкционированные проникновения. Обеспечивает проверку различных сетевых устройств, включая UNIX-компьютеры, системы, работающие под управлением ОС Windows NT/95 фирмы Microsoft, маршрутизаторы, Web-серверs и X-терминалы.

В июле 1997 г. вышел руководящий документ "Средства вы-числительной техники. Межсетевые экраны. Защита от несанк-ционированного доступа к информации. Показатели защищенно-сти от несанкционированного доступа" Гостехкомиссии при Пре-зиденте РФ (полный текст можно найти в информационном бюл-летене "Jet Info" № 17-18 1997 г. и на узле http://www.infotecs.ru/gtc/RD_ekran.htm ). В этом документе дана классификация МЭ в зависимости от степени обеспечиваемой ими защиты от НСД. Определение самого МЭ таково: МЭ - это ло-кальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, по-ступающей в автоматизированную систему (АС) и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации ин-формации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.

Устанавливается пять классов защищенности МЭ: 5 (самый низкий) -- применяется для безопасного взаимодействия АС клас-са 1 Д с внешней средой, 4 -- для 1 Г, 3 -- 1 В, 2 -- 1 Б, 1 (самый вы-сокий) -- для 1А. (Напомним, что Гостехкомиссией РФ установ-лено девять классов защищенности АС от НСД, каждый из кото-рых характеризуется определенной совокупностью требований к средствам защиты. Классы подразделяются на три группы, отли-чающиеся спецификой обработки информации. Класс с цифрой "1" включает многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация разных уровней кон-фиденциальности, и не все пользователи имеют равные права дос-тупа.)

В [2] приведена некоторая справочная информация, где даны описания не-скольких систем МЭ. Список сертифицированных Гостехкомиссией РФ МЭ на июнь 1999 г. состоял из десяти наименований:

1) автоматизированная система разграничения доступа Black Hole (Milkyway Networks) версии BSDI-OS;

2) средство защиты от НСД в сетях передачи данных по про-токолу TCP/IP "ПАНДОРА" на базе Gauntlet 3.1.Н (Trusted Information Systems) и компьютера 02 (Silicon Graphics) под управлением IRIX 6.3;

3) аппаратно-программный комплекс "Застава-Джет" компа-нии Jet Infosystems и ЦНИИ-27 Министерства обороны РФ;

4) МЭ "Застава" FortE+ фирмы ЭЛВИС+;

5) партия средств программного обеспечения межсетевого эк-рана FireWall-1 фирмы Checkpoint Software Technologies;

6) комплекс защиты информации от НСД "Data Guard/24S";

7) программный продукт SKIP для регулирования доступа на интерфейсе локальная/глобальная сеть под управлением ОС Windows 3.11 и Solaris 2.4;

8) единичные образцы программного обеспечения МЭ AltaVista Firewall 97 фирмы AltaVista Internet Software;

9) партия из 20 экземпляров МЭ "Cyber Guard" версия 4.0, по-зволяющего создавать защищенные корпоративные сети на базе протокола Х.25 и Frame Relay;

10) Firewall/Plus фирмы Network-1 Software and Technologies.

Список МЭ, сертифицированных Международной ассоциацией компьютерной безопасности, можно найти по адресу http://www.icsa.net. Ниже более подробно описаны функции одного из них.

Межсетевой экран защиты интрасети ПАНДОРА на базе Gauntlet 3.1.1i фирмы Trusted Information Systems и компьютера 02 фирмы Silicon Graphics под управлением IRIX 6.3 надежно ре-шает проблему безопасности сети и позволяет:

* скрыть от пользователей глобальной сети структуру интра-сети (IP-адреса, доменные имена и т.д.);

* определить, каким пользователям, с каких хостов, в на-правлении каких хостов, в какое время, какими сервисами можно пользоваться;

* описать для каждого пользователя, каким образом он дол-жен аутентифицироваться при доступе к сервису;

* получить полную статистику по использованию сервисов, попыткам НСД, графику через ПАНДОРУ и т.д.

ПАНДОРА устанавливается на компьютер с двумя Ethernet-интерфейсами на выходе между интраеетью и сетью общего поль-зования.

ПАНДОРА построена на серверах протоколов прикладного уровня (proxy) и поддерживает следующие сервисы: TELNET, Riogin (терминалы); FTP (передача данных); SMTP, POP3 (почта);

HTTP (WWW); Gopher; XI 1 (X Window System); LP (сетевая пе-чать); Rsh (удаленное выполнение задач); Finger; NNTP (новости Usenet); Whois; RealAudio. Кроме того, в состав ПАНДОРЫ входит сервер общего назначения TCP-уровня, который позволяет безо-пасно транслировать через ПАНДОРУ запросы от базирующихся на TCP протоколов, для которых нет proxy-серверов, а также сер-вер сетевого доступа, который позволяет запускать различные программы в зависимости от того, откуда пришел запрос.

Страницы: 1, 2, 3