Архитектура систем анализа защищенности
Системы анализа защищенности можно поделить на две категории с точки зрения их расположения по отношению к объекту сканирования:
- • локальные;
- • дистанционные.
Системы первой категории устанавливаются на сканируемом узле, как правило (но не всегда) работают от имени учетной записи с максимальными привилегиями и выполняют анализ «изнутри».
Рис. 12.1. Анализ «изнутри», дистанционные проверки защищенности
Системы второй категории выполняют дистанционные проверки.
Кроме того, сама система анализа защищенности может иметь рас пределенную архитектуру:
- • агент (сервер);
- • консоль (клиент).
Для систем первой категории (локальных) это может выглядеть так:
Рис. 12.2. Система анализа защищенности
Системы, выполняющие дистанционные проверки, в случае распре деленной архитектуры могут выглядеть так:
Рис. 12.3. Система дистанционной проверки защищенности
Обзор средств анализа защищенности
Наиболее известные программные продукты для анализа защищенности.
- • Nessus Security Scanner (www.nessus.org);
- • NetRecon 3.0+SU7 (www.axcnt.ru);
- • Internet Scanner (www.iss.net);
- • CyberCop Scanner (www.pgp.com);
- • HackerShicld (www.bindview.com);
- • Security Administrator’s Research Assistant (SARA) (www.www- arc.com/sara/);
- • System Analyst Integrated Network Tool (SAINT) (www.wwdsi.com)
- • Retina (www.eeeye.com);
- • XSpridcr (www.xspider.ru).
Сравнение возможностей перечисленных программных средств производилось в тестовой сети, состоящей из нескольких узлов с пятью популярными ОС. На узлах сети были оставлены 17 известных уязвимостей. Кроме количества обнаруженных уязвимостей, использовались и другие критерии сравнения, например, удобство интерфейса, возможность обновления и др.
Наиболее значимые из них приведены в таблице 12.1.
Табл. 12.1. Сравнение возможностей продуктов для анализа защищенности
|
Программные продукты для анализа защищенности —> |
Net Recon |
HackerShield |
Retina |
Internet Scanner |
Nessus Security Scanner |
CyberCop Scanner |
SARA |
SAINT |
|
Производитель |
Axent Technologies |
Bind View |
eEye Digital Security |
Internet Secu- ritv Systems |
Network Associations |
WW Digital Security |
||
|
Платформа |
Windows NT |
Windows NT |
Windows NT |
Windows NT Workstation |
Unix |
Windows NT |
Unix |
Unix |
|
Возможность обновления |
+ |
+ |
+ |
+ |
+ |
|||
|
Возможность создания собственных проверок |
+ |
+ |
+ |
+ |
||||
|
Работа из командной строки |
+ |
+ |
+ |
+ |
+ |
|||
|
Поддержка CVE |
- |
+ |
- |
+ |
+ |
- |
+ |
+ |
|
Автоматическое устранение уязвимостей |
+ |
+ |
+ |
|||||
|
Открытость кода |
- |
- |
- |
- |
+ |
- |
+ |
+ |
|
Коммерческий или бесплатный |
+ |
+ |
+ |
+ |
+ |
|||
|
Интерфейс (по пятибалльной шкале) |
4,5 |
4 |
4 |
4,5 |
3 |
4,5 |
2,5 |
2,5 |
|
Отчёты (по пятибалльной шкале) |
3,5 |
2,5 |
2,5 |
3,5 |
3,5 |
3 |
2 |
2 |
Лучшие результаты показали два продукта: из бесплатных - Nessus Security Scanner, из коммерческих - Internet Scanner, выполняющие дистанционные проверки и работающие на уровне сети. По типу обнаруживаемых уязвимостей - это системы поиска уязвимостей реализации и эксплуатации.
