Programy do wykrywania luk w systemach ochrony
- Józef Muszyński,
- 01.06.2002
Każda organizacja podłączająca swoją sieć do Internetu otwiera się na możliwość jej penetracji przez hakerów czy też różnego rodzaju złośliwe programy. W miarę rozbudowy sieci wzrasta również prawdopodobieństwo pojawienia się w niej coraz większej liczby błędów oprogramowania i luk w systemach ochrony.
Każda organizacja podłączająca swoją sieć do Internetu otwiera się na możliwość jej penetracji przez hakerów czy też różnego rodzaju złośliwe programy. W miarę rozbudowy sieci wzrasta również prawdopodobieństwo pojawienia się w niej coraz większej liczby błędów oprogramowania i luk w systemach ochrony.
Skanowanie typu VA jest procesem kontroli wszystkich potencjalnych luk wykorzystywanych przez hakerów do atakowania systemów komputerowych. Analizując typ oprogramowania funkcjonującego w sieci i jego ustawienia konfiguracyjne, skanery mają możliwość określenia, czy poszczególne typy ataków są możliwe do przeprowadzenia w danym systemie. Wyniki uzyskane w czasie takich procesów pozwalają na formułowanie zaleceń dla użytkowników oraz ustanowienie prawidłowych reguł polityki ochrony.
Skanery do wyszukiwania słabych punktów w systemach komputerowych znane są na rynku od prawie 10 lat. Nie osiągnęły one jednak takiego stopnia dojrzałości, jakiego życzyliby sobie administratorzy sieci. Często raportują fałszywe rozpoznania i odnosi się wrażenie, że ich twórcy wychodzą z bezpodstawnego założenia, iż sama liczba zidentyfikowanych słabych punktów - niezależnie od precyzji rozpoznania - określa wartość produktu.
Pomimo tych mankamentów znaczenie skanerów w systemie ochrony dużych sieci korporacyjnych stale rośnie. IDC spodziewa się na tym rynku obrotów w wysokości 657 mln USD w 2004 r. (359 mln w 2002 r.).
Rozwiązania z tej kategorii oprogramowania, noszące także nazwę produktów oceny ryzyka (risk assesment), dzielą się na dwa rodzaje: skanery pasywne i aktywne.
Skanery pasywne
Zwane też skanerami hostowymi, pozwalają zazwyczaj na definiowanie reguł polityki ochrony dla maszyn pracujących w sieci. Skanery tego rodzaju przeprowadzają audyt każdej maszyny automatycznie, tworząc raporty szczegółowo specyfikujące odchylenia od przyjętych reguł polityki ustawień konfiguracyjnych na poszczególnych maszynach oraz zalecające kroki, jakie w związku z tym należy podjąć.
Skanery hostowe identyfikują słabe punkty na poziomie systemowym w obszarach, takich jak: uprawnienia do plików, właściwości kont użytkowników czy ustawienia rejestrów. Wymagają zazwyczaj rozmieszczenia modułów agentów instalowanych w systemach działających w sieci. Agenci przekazują informacje do centralnej bazy danych, z której użytkownik może generować raporty i administrować systemem. Ponieważ moduły agentów są instalowane w każdym systemie funkcjonującym w sieci, administratorzy mają szerszy zakres kontroli nad systemem niż w przypadku skanerów drugiego rodzaju - skanerów sieciowych. Wiele tego typu rozwiązań integruje się z systemami zarządzania w sposób pozwalający na modyfikowanie reguł polityki ochrony i wspomagający prawidłowe konfigurowanie maszyn w sieci, spełniając wymagania przyjętej polityki ochrony.
Skanery aktywne
Zwane też sieciowymi, to rozwiązania proaktywne, pełniące rolę swego rodzaju "hakera na uwięzi", zapewniające mechanizmy symulowania pewnych znanych ataków (np. DoS), z pomocą których administrator może sondować zasoby sieciowe pod kątem odporności na te ataki. Sondując sieć skanerem sieciowym administrator może często uzyskiwać wyraźny obraz potencjalnych luk w systemie, a także wskazówki, jak je uszczelnić. Niektóre z tych systemów dokonują wielokrotnych przebiegów sondujących w sieci, używając informacji zgromadzonych we wcześniejszych przebiegach do wzmocnienia siły ataków w kolejnych próbach.
Skanery sieciowe skupiają się na identyfikacji problemów w usługach dostępnych w systemach funkcjonujących w sieci, takich jak HTTP, FTP czy SMTP. Nadają się one przede wszystkim do rozpoznawania systemów pracujących w sieci, usług funkcjonujących w tych systemach i słabych punktów istniejących w usługach. Skanery sieciowe zazwyczaj nie zapewniają szczegółowej informacji ani też tak szczegółowej kontroli specyficznych systemów jak skanery hostowe, natomiast dostarczają bardziej szczegółowej informacji o usługach i sieci. Ponadto nie wymagają instalowania agentów na wszystkich maszynach w sieci, co jest konieczne w przypadku systemów hostowych.
Linia podziału pomiędzy skanerami hostowymi a sieciowymi często nie jest zbyt wyraźna. Wiele skanerów sieciowych zawiera funkcje dostępne w systemach hostowych (mechanizm autopoprawek, analiza uprawnień w rejestrach i właściwości kont użytkowników).
Nowym elementem przy ocenie słabych punktów systemów jest pojawienie się usług online w tym zakresie, świadczonych przez wyspecjalizowanych usługodawców. Usługi te zapewniają automatyczny i kosztowo efektywny sposób kontroli podatności urządzeń obwodowych sieci na potencjalne ataki, a nawet w niektórych przypadkach skanowanie systemów wewnętrznych.