Dziura na radarze
-
- Wojciech Dworakowski,
- 26.01.2004
Niektóre ze skanerów umożliwiają instalację agenta testującego sieć na innej stacji niż konsola administratora. Umożliwia to umieszczenie agentów w różnych miejscach sieci lub w różnych sieciach i kontrolowanie ich za pomocą jednej konsoli administracyjnej. Ta własność może znacznie podnieść wydajność skanowania i umożliwić testowanie z wielu punktów. Skaner sieciowy generuje duży ruch, potrzebuje więc dobrego łącza do testowanej sieci. Agenta skanowania można umieścić w punkcie z dobrą łącznością z testowaną siecią, a konsolę zarządzającą, np. na stacji roboczej przy biurku administratora.
Wyniki uzyskane przez agenty działające z wielu różnych punktów mogą być ze sobą korelowane, co może się przyczynić do trafniejszej oceny bezpieczeństwa.
Najważniejsze możliwości skanerów sieciowych
Rozpoznanie aktywnych adresów. Po wskazaniu zakresu adresów IP narzędzie najpierw sprawdza, które z nich są aktywne. Może to czynić na różne sposoby. Oprócz standardowych pakietów ICMP-echo (ping) może próbować nawiązać połączenie TCP (pakiety z flagą SYN) lub z popularnymi usługami (WWW, SMTP, FTP).
Skanowanie portów. Po wykryciu systemów, z którymi można się komunikować przez TCP/IP, skaner przystępuje z reguły do skanowania portów TCP, a czasami również UDP. Wszystkie skanery stosują tutaj metodę polegającą na próbie nawiązania połączenia kolejno ze wszystkimi portami lub tylko tzw. niskich portów (od 1 do 1023) związanych z popularnymi usługami. Niektóre skanery mogą używać innych, bardziej zaawansowanych metod, takich jak niepełne połączenie TCP, skanowanie przy wykorzystaniu stacji zaufanej, skanowanie przy użyciu serwera FTP i inne.
Numer otwartego portu z reguły jednoznacznie identyfikuje usługę nasłuchującą na danym porcie (np. WWW na porcie 80). Są jednak usługi uruchamiane na portach innych niż standardowe, np. aplikacja zarządzająca urządzeniem sieciowym przez WWW może się komunikować przez port 8888. Typowy skaner wykryje, że port jest otwarty, ale nie będzie w stanie zidentyfikować wykorzystującej go usługi. Są jednak i takie, które będą próbować nawiązać połączenie na otwartym porcie.
Rozpoznawanie systemów operacyjnych. Niektóre skanery przy okazji skanowania portów są w stanie rozpoznać system operacyjny skojarzony z danym adresem IP. Robią to za pomocą techniki stack fingerprinting. Wykorzystuje ona drobne różnice w implementacji stosu TCP/IP na różnych systemach operacyjnych. Te drobne różnice identyfikują system mniej więcej tak, jak odcisk palca identyfikuje człowieka.
Skanowanie zdalne. Następnym krokiem po zdobyciu listy aktywnych portów w sieci jest sprawdzenie, czy udostępniane na tych portach usługi są podatne na znane skanerowi ataki. Stosuje się tutaj dwa podejścia. Pierwsze - pasywne, polega na próbie zdobycia informacji o wersji oprogramowania obsługującego dany serwis. Jeżeli skaner rozpozna wersję oprogramowania, to może sprawdzić w swoich bazach, jakie słabości są z nią związane. Test pasywny na tym się kończy. Test aktywny polega na próbie wykorzystania zidentyfikowanej słabości, co jednak może być niebezpieczne.
Bazy sygnatur. O wartości użytkowej skanera zabezpieczeń stanowią jakość i aktualność bazy sygnatur. Niektórzy producenci uaktualniają bazy na bieżąco, inni - zbiorczo, raz na kilka tygodni. Przed zakupieniem skanera warto sprawdzić, jak często jego producent aktualizuje bazy i jak szybko reaguje na pojawienie się informacji o nowych słabościach.
Niektóre ze skanerów podają tylko lakoniczną informację o błędzie, przeważnie wraz z wagą problemu. Są jednak i takie, które potrafią podawać bardzo szczegółowy opis błędu wraz z informacją, jak dany błąd usunąć. To bardzo użyteczne, zwłaszcza jeżeli operator skanera jest "jedynie" administratorem, a nie ekspertem w dziedzinie bezpieczeństwa systemów. Pożądaną właściwością skanera jest także podawanie numeru błędu w bazach dostępnych w Internecie. Współczesne skanery podają zwykle indeksy CVE (Common Vulnerabilities & Exposures) i BID (Bugtraq ID).
Kilka uwag na koniec
Największą zaletą skanerów zabezpieczeń jest to, że sprawdzają one faktyczny stan bezpieczeństwa przez wykrywanie podatności, a nie tylko przez sprawdzanie zainstalowanych poprawek czy przeglądy konfiguracji. Oddają obraz środowiska informatycznego z punktu widzenia intruza, a przy tym nie wymagają od administratora zaawansowanej wiedzy technicznej dotyczącej metod ataku.
Mimo to wynikom pracy skanera nie należy przesadnie ufać. Automat sprawdza istnienie tylko tych błędów, które zna i nie potrafi wyciągać zaawansowanych wniosków. Ważne jest przystosowanie skanera do testowanego środowiska informatycznego w celu wyeliminowania fałszywych alarmów, co zwykle jest procesem ciągłym. I jeszcze jedno: nawet najdoskonalsze narzędzie testujące nie podniesie poziomu bezpieczeństwa środowiska - to zadanie dla człowieka.
Skanery sieciowe
- ISS Internet Scanner -http://www.iss.net
- eEye Retina -http://www.eeye.com
- Symantec NetRecon -http://www.symantec.com
- Nessus (open source) -http://www.nessus.org
- SARA (darmowe) -http://www.arc.com/sara/Skanery">Skanery"http://www.arc.com/sara/Skanery">Skanery" rel="nofollow"Skanery" target="_blank" class="link">http://www.arc.com/sara/Skanery">Skanery" target="_blank" >http://www.arc.com/sara/
- ISS System Scanner/ISS Database Scanner -http://www.iss.net
- Symantec Enterprise Security Manager -http://www.symantec.com
- GFI LANguard Network Security Scanner (Windows) -http://www.gfi.com
- AppDetective (Oracle, MSSQL, Lotus Notes) -http://www.appsecinc.com
- Microsoft Baseline Security Analyzer (Windows, darmowy) -http://www.microsoft.com/technet/security/tools/mbsawp.as
Wojciech Dworakowski jest kierownikiem projektów w firmie SecuRing w Krakowie.
