Аудит безопасности сетевых устройств с Nipper Studio

Виталий Иванов

Активный и пассивный аудит

Что дает аудит

 

Сейчас средства защиты имеют практически все, однако атаки по-прежнему продолжаются. Проблема в том, что чем больше средств защиты на предприятии, тем сложнее контролировать их работу, поэтому эффективность защитных мер падает. Чтобы системы защиты были эффективными, необходимо постоянно проверять их работоспособность и соответствие политике безопасности предприятия. Контроль конфигурации сетевых устройств и средств защиты позволяет определить, насколько защищена сетевая инфраструктура предприятия. Действия хакеров также можно заметить по изменению конфигурационных файлов, поскольку для закрепления в системе нападающие вынуждены вносить изменения в атакуемую систему. Таким образом, аудит безопасности сетевого оборудования и средств защиты дает возможность проверить реальное состояние защиты корпоративной инфраструктуры.

Кроме того, различные стандарты безопасности требуют наличия систем мониторинга и аудита защитных механизмов. Подобные требования содержатся как в стандарте ЦБ РФ, так и в законе «О персональных данных». Регулярный аудит и мониторинг предполагается и в стандарте безопасности платежных систем PCI DSS. В этих стандартах также усматриваются регулярные проверки сторонними аудиторами функционирования средств защиты, а развертывание системы мониторинга и аудита упрощает проведение подобных проверок. В некоторых случаях они вообще могут проводиться удаленно, без выезда аудитора на место.

Активный и пассивный аудит

Существует несколько технологий аудита. Наиболее популярными инструментами являются системы активного аудита, которые имитируют работу хакера. Они проверяют наличие той или иной уязвимости напрямую, посылая соответствующие запросы на уязвимые сервисы. Но поскольку в процессе такой проверки необходимо посылать огромное количество паразитных запросов по сети, и информационная система в целом сильно перегружается. В связи с этим подобный аудит сложно проводить часто. К тому же всегда остается опасность, что такой сканер что­то напортит в сложной корпоративной среде предприятия.

В последнее время начали активно развиваться технологии так называемого пассивного аудита, которые собирают информацию об уязвимостях системы другими способами, не предполагающими большой нагрузки и выполнения сложных запросов. Одним из методов подобного пассивного сканирования является проверка конфигурационных файлов сетевых устройств и средств защиты. В такой сканер загружаются конфигурационные файлы устройств, а программный комплекс проверяет соответствие их настроек принятой на предприятии политики безопасности. В некоторых случаях ПО может даже сформировать правильный файл, который достаточно загрузить на устройство — и уязвимость будет устранена.

Одним из подобных пассивных сканеров является продукт компании Titania Ltd — Nipper Studio. Он анализирует конфигурационные файлы различных устройств и выдает по ним рекомендации для улучшения защиты. Кроме того, продукт может сгенерировать и исправленные конфигурации, которые соответствуют политике безопасности компании. Сканер также готовит отчет по найденным уязвимостям и формирует необходимую администратору и руководству отчетность о найденных проблемах. Для формирования статистики продукт может использовать две формы представления сведений об уязвимостях: стандартную CVSS 2 и собственную. Правда, метрики CVSS нужно предварительно настраивать, чтобы они максимально соответствовали сетевой инфраструктуре компании. Собственная методика оценки Titania более близка к общепринятой с разделением уязвимостей по уровням критичности.

Продукт может прямо из коробки проверять различные устройства таких производителей, как Cisco, Juniper, Check Point, и многих других. И этот список постоянно расширяется. Nipper Studio проверяет у этих устройств версию программного обеспечения, используемые методы и сервисы аутентификации, конфигурацию VPN-системы и сервисов администрирования. Кроме того, контролируются настройка веб­сервиса, системы журналирования событий, работа DNS-сервиса и правильность настройки времени. Для систем защиты предусмотрена проверка правил межсетевого экрана, IPS/IDP, настроек шифрования и беспроводных устройств, таблиц маршрутизации и работы принтеров. Для каждого из поддерживаемых устройств также проверяются и уникальные уязвимости, характерные для данного продукта. Кроме того, у пользователя есть возможность самостоятельно разработать правила проверки с помощью специального сценарного языка, что позволяет с помощью того же сканера следить за правильностью работы различных модулей и дополнительных продуктов.

Что дает аудит

В отличие от активных сканеров, Nipper Studio не сильно нагружает сеть: для его работы достаточно регулярно получать конфигурационные файлы устройств. Поскольку нагрузка при этом минимальна, такие проверки можно проводить гораздо чаще, например каждый час. В результате пассивный анализ конфигураций работает более оперативно, чем традиционный активный сканер, который в лучшем случае можно запускать раз в сутки в ночное время, когда нагрузка на сеть минимальна.

Кроме того, активные сканеры не могут исправить найденную ошибку — они только выдают рекомендации по исправлению, в то время как Nipper Studio не просто позволяет найти проблему, но и предлагает варианты ее исправления. Администратору остается только принять рекомендации и установить соответствующую конфигурацию на устройство. Nipper Studio способен работать и как генератор конфигурационных файлов для различных устройств, конфигурация которых должна соответствовать определенной политике безопасности.

Nipper Studio может пригодиться тем компаниям, в которых предусмотрена необходимость регулярного проведения аудита системы защиты. Это относится к банкам и пользователям платежных систем, которые должны соответствовать требованиям PCI DSS и стандарта банка России. Впрочем, более широкое применение пассивные сканеры уязвимостей могут получить в рамках закона «О персональных данных», одним из требований которого является установка у оператора системы мониторинга и аудита средств защиты. Под действие этих требований подпадает гораздо большее число компаний — потенциально Nipper Studio может пригодиться практически в любой российской фирме. Скачать бесплатную пробную 30-дневную версию продукта можно на сайте компании TopSecurity, официального дистрибьютора компании Titania Ltd в России: www.tsecure.ru.

 

В начало В начало

КомпьютерПресс 11'2011