Что нужно для внутренней защиты

При необходимости обеспечить внутреннюю безопасность ситуация еще более усложняется. В предельном случае все внутренние компьютеры должны рассматриваться как потенциально уязвимые со всеми вытекающими последствиями: отслеживанием их конфигурации и постоянным мониторингом уязвимостей. К счастью, эту задачу, хороший сканер безопасности позволяет сильно упростить и в значительной степени автоматизировать.

Кроме того, тут сразу возникает еще как минимум пара задач:

1) создание грамотной архитектуры внутренней сети (кроме единовременного повышения защищенности она к тому же позволяет минимизировать усилия на дальнейшее обеспечение безопасности)

2) разработка и соблюдение так называемой политики (или нескольких политик) безопасности, то есть набора правил, касающихся различных вопросов работы сети (создание и модификация паролей, регламент доступа к тем или иным ресурсам).

Первый пункт можно сделать, что называется, "за раз", а вот вторым надо заниматься постоянно, и именно он оказывается, как правило, самым тяжелым — главным образом, в организационном плане. Самое неприятное, что его реализацию невозможно в значительной степени автоматизировать.

Но, несмотря на то, что достичь идеально работающей архитектуры и политики безопасности достаточно трудно, можно построить сеть с очень высокой степенью защищенности. В этих обстоятельствах ключевым оказывается опять-таки постоянный мониторинг уязвимостей отдельных компьютеров. В принципе, даже далекая от идеала сеть, в которой каждый отдельный компьютер является неуязвимым, может рассматриваться как хорошо защищенная. Другими словами, грамотное решение задачи аудита сетевой безопасности (которая хорошо автоматизируется) позволяет в значительной степени компенсировать недоработки в тех областях, где решение проблем более трудоемко или затруднено по тем или иным причинам.

Уязвимости

Термин "уязвимости" в нашем случае включает собственно уязвимости и дефекты, поскольку и те, и другие обнаруживаются, как правило, при помощи специальных программ, называемых сканерами безопасности. "Классические" уязвимости — это ошибки в программном обеспечении (например, переполнение буфера), которые могут быть использованы взломщиками для получения несанкционированного доступа. "Дефект" (более точно, но более длинно "подверженность постороннему воздействию") — это нарушение безопасности, вызванное неправильной настройкой или конфигурацией программы, то есть вина администраторов. Типичный явный дефект — пустой или легко угадываемый пароль доступа куда-либо.

Итак, уязвимости — это опасные ошибки либо в программе, либо в ее конфигурации. Они обладают тем свойством, что при отсутствии постоянного контроля их число растет, и рано или поздно достигает совершенно неприемлемого уровня.

"Плодовитость" уязвимостей, имеет вполне конкретные и понятные причины. Первая — появление в сети нового программного обеспечения со своими собственными "тараканами" и спорадические изменения настроек, которые не всегда проводятся достаточно аккуратно. Вторая, более принципиальная, с которой невозможно бороться организационно — обнаружение новых "дыр" в существующем программном обеспечении. Существует целая информационная индустрия, занимающаяся сбором, публикацией и анализом обнаруживаемых уязвимостей. Регулярные бюллетени (багтраки) о новых уязвимостях получают информацию как от разработчиков ПО, так и от независимых экспертов, специалистов и даже от хакеров, которые стремятся прославиться. К сожалению, многие серьезные хакеры не стремятся афишировать обнаруженные ими уязвимости, желая как можно дольше использовать их в своих целях. В этом контексте можно сказать, что любая база уязвимостей по определению неполна. Это плохо, но с этим можно отчасти бороться.

Сканеры безопасности

Большинство сканеров безопасности не делает ничего сверхъестественного: они просто автоматизируют в той или иной степени поиск известных в данный момент уязвимостей. Но это уже само по себе немало, поскольку:

- экономит время, выполняя рутинные задачи

- делает проверку более методичной, поскольку программа не может "забыть" что-то проверить

В то же время у сканеров есть и ряд недостатков:

- они могут давать ложные срабатывания (находить уязвимости, которых нет), поскольку не всегда удается автоматически получить точную информацию о конфигурации проверяемого хоста

- могут не найти определенные уязвимости как в силу своего технического несовершенства, так и случае, если их база уязвимостей неполна

Последний недостаток может иметь две причины. Первая (которой может и не быть) — большая периодичность обновления базы сканера. Вторая (которая есть всегда) — принципиальная неполнота любой базы уязвимости, о чем уже говорилось ранее.

В любом случае, ни один сканер безопасности не сможет устранить найденные уязвимости, это задача, которую автоматизировать сложно и опасно. Сканеры — программы, которые собирают и организуют информацию, а использовать ее — задача специалиста.

Для того, чтобы сканер безопасности имело смысл использовать, его достоинства должны перевешивать его недостатки — и чем больше, тем лучше.

Особенности XSpider 7

Программа XSpider, как и любой продукт, имеет свои достоинства и недостатки и использование ее в качестве материала для лабораторной работы никоим образом не говорит о том, что это единственное или исключительное средство. Однако эта программ является перспективной отечественной разработкой, а демонстрационная версия этого продукта распространяется бесплатно.

XSpider 7 отличается от примитивного сканера сетевой безопасности, который просто выполняет сканирование и показывает результаты. Многооконный интерфейс XSpider 7 и встроенные средства автоматизации ориентированы на то, чтобы организовать логичный и структурированный процесс мониторинга безопасности, требующий минимального вмешательства в процесс работы программы.

Центральной концепцией XSpider 7 является "Задача". Она включает в себя, прежде всего набор проверяемых хостов. В Задачу имеет смысл объединять хосты, которые следует проверять сходным образом. Как только Задача сформирована, ей можно присвоить Профиль — набор настроек, которые определяют нюансы сканирования. Выполнение Задачи можно автоматизировать, то есть присвоить ей расписание, по которому она будет выполняться без вмешательства человека. Кроме того, для каждой Задачи хранится полная история всех сканирований. Это удобно и для анализа развития ситуации, и для того, чтобы случайно не потерять какие-то результаты работы.

Одновременно Xspider 7 может обрабатывать много Задач, каждая из которых может содержать много хостов. Единственное, о чем при этом стоит беспокоиться — пропускная способность канала, связывающего XSpider с проверяемыми компьютерами. Скорость и надежность проверки может сильно падать, если канал перегружен. Учитывая, что трафик, создаваемый XSpider на один хост, невелик, то перегрузка канала возможна либо при очень большом (сотни) числе ОДНОВРЕМЕННО сканируемых хостов, либо, если канал очень узкий. Регулировать максимальное число проверяемых хостов на одну Задачу можно через настройки. То есть, даже если в Задаче, скажем, 100 хостов, вы можете указать, что одновременно должны сканироваться 50. При этом остальные будут стоять в очереди и проверятся последовательно.

По результату каждого сканирования XSpider может сгенерировать отчет, причем в автоматическом режиме они могут доставляться вам по email (или выкладываться на доступный сетевой диск). Если один раз потратить время на грамотную настройку режима автоматической работы, то потом достаточно будет только регулярно проверять свой почтовый ящик, чтобы отслеживать безопасность всей сети (или сетей).

Еще один положительный момент XSpider 7 заключается в том, что его база уязвимостей, которая ежедневно обновляется при помощи онлайнового механизма, состоит не только из блоков данных, но и программных модулей, каждый из которых может содержать особую логику и алгоритмы. Таким образом, по мере использования XSpider 7 не устаревает, а наоборот, становится все "умнее" и "умнее".

Работа с программой