ОБЗОР

Новая версия Internet Scanner проще в работе, но по набору функций уступает некоторым соперникам

Кевин Янг (PC Week Labs)

Появление версии 6.0 Internet Scanner в очередной раз подтвердило лидирующее положение этого продукта фирмы Internet Security Systems на рынке средств сетевой защиты. Он выгодно отличается от других подобных систем простым и удобным интерфейсом и подробными рекомендациями по устранению выявленных недостатков. Кроме того, пользователи Internet Scanner постоянно ощущают поддержку группы X-Force Internet Scanner - команды экспертов безопасности, которая разрабатывает новые тесты уязвимости и совершенствует их.

Internet Scanner 6.0 вышел в сентябре, стоит этот продукт в версии, обслуживающей 254 устройства, $4995. Как показали испытания в Тестовом центре PC Week Labs, новая версия способна успешно предотвратить множество потенциальных угроз в системе сетевой безопасности. Она не только обнаружила десятки брешей в защите нашей экспериментальной сети, но и, что еще более важно, представила подробные рекомендации по их устранению.

С помощью редактора политики Internet Scanner 6.0 администратор может настроить политику безопасности в своей сети

Главным конкурентом для Internet Scanner является система CyberCop Scanner фирмы Network Associates. В ней предусмотрен ряд специализированных функций, в том числе сканирование брандмауэров, но это стоит недешево - лицензия на 1000 узлов обойдется покупателю в $12 000. Таким образом, CyberCop Scanner лучше всего подойдет тем компаниям, которые предъявляют специфические требования к безопасности своих сетей и готовы хорошо заплатить за их удовлетворение. Internet Scanner 6.0 в отличие от продукта Network Associates рассчитан на тех, кому достаточно базовых функций безопасности. Новая версия этого пакета поможет пользователю отладить защиту сервера и всей сети, предложит подробные рекомендации по устранению выявленных недостатков.

Из других соперников Internet Scanner можно назвать NetRecon фирмы Axent Technologies и Security Analyzer корпорации WebTrends. Последний, правда, в основном нацелен на защиту Web-серверов, но постепенно приобретает все больше функций сканера общего типа.

Что же касается сетевой безопасности в целом, то приходится признать печальный факт: если в бюджете отдела информационных технологий не предусмотрена для этого солидная сумма, на надежную защиту от изощренных атак искусных и целеустремленных хакеров рассчитывать не приходится. К счастью, таких умельцев немного, а уберечь сеть от взломщиков-любителей и излишне любопытных сотрудников вполне смогут Internet Scanner 6.0 и другие подобные системы. В ходе тестирования продукт Internet Security Systems не только успешно вскрыл уязвимые для таких атак места, но и подсказал нам, как устранить выявленные бреши.

Internet Scanner 6.0 оснащен усовершенствованным интерфейсом по типу Проводника с его деревом каталогов. По сравнению с прежними версиями в нем значительно улучшено описание проблем, обнаруженных в системе безопасности, и возможных способов их решения. Теперь Internet Scanner выдает краткую характеристику каждой выявленной бреши и поэтапные рекомендации по ее устранению. Во многих случаях система обеспечивает гиперссылки на Web-узлы производителей, где можно найти дополнительную информацию или получить “заплаты”.

Перед тем как приступить к проверке сети, ее администратор может выбрать уровень сканирования, который в наибольшей степени соответствует требованиям к защищенности сети. Предлагаемые варианты носят кумулятивный характер: мы начали тестирование с низшего уровня, а затем прошлись по всем ступеням вверх, так как наши тестовые серверы оказались пугающе незащищенными.

При необходимости администратор может создать и собственный набор правил сканирования, воспользовавшись для этого редактором политики Policy Editor, входящим в пакет Internet Scanner. С его помощью, например, нам не составило труда предусмотреть проверку “черного хода”, через который действуют такие хакерские продукты, как BackOrifice.

X-Press всегда наготове

Одно из самых многообещающих новшеств в Internet Scanner 6.0 - несомненно X-Press Updates. Эта утилита избавляет администраторов от необходимости дожидаться новых версий продукта, они могут легко обновить список тестов на уязвимость в уже установленной системе. Однако полезность этой функции будет напрямую зависеть от того, насколько четко Internet Security Systems наладит выпуск дополнений к Internet Scanner.

Идеальный сценарий выглядит так: все новые тенденции, угрожающие безопасности систем, постоянно отслеживаются группой X-Force фирмы Internet Security Systems, которая оперативно разрабатывает тесты X-Press Update и уведомляет администраторов о том, что их можно загрузить. Перед тем как приступить к сканированию, администратор каждый раз производит аутентификацию тестов, что сводит к минимуму вероятность заражения “троянскими конями”.

Группа X-Force действует уже несколько лет. За это время она доказала свою способность выявлять уязвимые места сетей и разрабатывать рекомендации по их устранению, которые раньше обновлялись только при выпуске очередных версий Internet Scanner. Теперь работа группы будет перестроена. Правда, за время подготовки нашего обзора никаких обновлений еще не было, поэтому оценить функцию X-Press Update в действии мы не смогли.

В версии Internet Scanner 6.0 расширены возможности механизма сканирования - теперь он позволяет проверять порты UDP. В ходе тестирования этот механизм четко определял службы UDP, включая SNMP, работающие в средах Solaris, Linux и Windows NT. Некоторые трудности возникли из-за того, что протоколом UDP не предусмотрено установление соединений. В результате посылка пакетов, адресованных проверяемым портам, не всегда позволяет определить доступность службы UDP. Правда, в Internet Scanner 6.0 имеется специальный алгоритм, который сначала проверяет, доступен ли сам порт, а затем по таблице известных ему служб пытается определить имя службы, использующей этот порт. Но такой способ вполне может дать ложное заключение о доступности порта и даже неправильно определить службу.

В ходе тестирования Internet Scanner 6.0 в целом успешно справлялся с идентификацией служб, однако в ряде случаев давал сбои. К примеру, Mini-Webserver фирмы Cisco Systems был распознан как машина VAX/VMS. А маршрутизатор Cisco с операционной системой IOS 12.0 сканер вообще не смог определить, хотя тот создавал ряд брешей в системе защиты сети. В то же время устройства Cisco на базе IOS 11.0 были опознаны без проблем.

В Internet Scanner 6.0 существенно повышена скорость работы механизма сканирования, особенно при проверке большого числа узлов. Это достигнуто за счет параллельной обработки данных. Так, при сканировании в режиме Classification проверка одного хост-компьютера заняла у нас 3 мин 37 с, а тестирование 33 хост-компьютеров длилось всего на 9 с дольше.

Чтобы избежать чрезмерной нагрузки на центральный процессор и заторов в сети, администратор может ограничить предельное число параллельных процессов сканирования. Сканер и без этого предъявляет повышенные требования к полосе пропускания, поэтому мы рекомендуем пользоваться им в нерабочее время, когда трафик значительно снижается. Фирма Internet Security Systems предусмотрела возможность планового сканирования сети в автоматическом режиме, однако настройку этого процесса можно провести только средствами командной строки из арсенала Windows NT - в самом сканере такой функции нет. Большинство других служебных функций также доступны только из командной строки.

Как ни прост Internet Scanner 6.0 в работе, он мог бы быть еще проще при использовании двухуровневой архитектуры. Чтобы провести сканирование сети снаружи, из узла, расположенного перед межсетевым экраном, а затем непосредственно изнутри сети, нам приходилось физически перемещать машину. Было бы гораздо лучше распределить агенты сканирования, обеспечив управление ими из центрального узла управления. К сожалению, ни Internet Security Systems, ни конкуренты этой фирмы пока этого не сделали.

В настоящее время Internet Security Systems предлагает своим клиентам годовую лицензию и на другой свой сканер Database Scanner ($995 за каждый сервер баз данных). По принципу работы этот продукт очень похож на Internet Scanner 6.0, однако ищет уязвимые места не в сетях, а в базах данных.

В заключение отметим, что, даже несмотря на простоту работы с Internet Scanner, некоторые корпорации могут все же пойти по пути привлечения консалтинговых фирм, сочтя этот путь более рентабельным. Услуги по оценке безопасности систем уже предлагает ряд компаний. Они не только используют коммерческие сканеры наподобие Internet Scanner 6.0, но и за дополнительную плату моделируют сетевые атаки, чего не может предложить ни один сканер. Так что, даже если вы не собираетесь полностью полагаться на консультантов, мы бы все же порекомендовали периодически обращаться к независимым компаниям, чтобы те проводили ревизию вашей системы безопасности.

С Кевином Янгом можно связаться по адресу: kevin_young@zd.com.

Резюме для руководителей

Internet Scanner 6.0

Новая версия продукта фирмы Internet Security Systems представляет собой надежное и простое в работе средство. Этот сканер позволяет не только выявлять сотни самых разнообразных уязвимых мест в защите сетей, но и предлагает ценные рекомендации по устранению найденных брешей. Конечно, он не делает сеть совершенно безопасной, но помогает закрыть большинство явных лазеек для непрошеных гостей. Обновления X-Press, удобный интерфейс и предустановленные уровни политики безопасности делают Internet Scanner 6.0 лучшим помощником любого администратора, стремящегося своевременно закрыть бреши в системе безопасности своей сети.

Краткосрочные прогнозы для бизнеса. Огромное количество уязвимых мест, выявляемых этим сканером при первой проверке сети, способно обескуражить любого администратора. Однако предустановленные уровни политики и возможность отключения второстепенных проверок помогут ему сосредоточить внимание на самых опасных брешах и быстро закрыть большинство сетевых лазеек.

Долгосрочные прогнозы для бизнеса. Применение Internet Scanner 6.0 особенно эффективно в течение первых месяцев, однако это не должно удерживать администраторов от его приобретения. Оперативное появление обновлений, помогающих своевременно находить все новые бреши в защите сети, а также динамичный характер современных сетей намного продлят активную жизнь сканера фирмы Internet Security Systems.

( + ) Простота использования; автоматическое обновление; подробное и точное объяснение выявленных в системе безопасности уязвимых мест и рекомендации по их устранению.

( - ) Одноуровневая архитектура; отсутствие некоторых дополнительных функций, предлагаемых конкурирующими продуктами.

Internet Security Systems, Атланта, шт. Джорджия, (678) 443-6000, www.iss.net.

Методика оценки: www.pcweek.com/reviews/meth.html.

Версия для печати