49693 (Защищенные информационные технологии в экономике), страница 2

• атрибуты доступа и использования системных файлов;

• соответствие системных файлов их описаниям в шаблонах безопасности:

• бюджеты пользователей и групп;

• файлы конфигурации системы;

• переменные окружения;

• уровень защиты низкоуровневой конфигурации eeprom;

• уровень защищенности при использовании системы в каче­стве МЭ.

ASET можно использовать как в интерактивном режиме с вы­зовом из командной строки, так и в автоматическом режиме с оп­ределенной периодичностью.

Пакет программ COPS (Computer Oracle and Password System) Д. Фармера — свободно распространяемое средство администра­тора безопасности Unix-систем для обнаружения уязвимостей в подсистеме безопасности ОС SunOS, FreeBSD, IRIX, AIX, 4.3BSD, Ultrix, HP-Unix, NeXT и некоторых других. Ядро системы - это собрание приблизительно десятка программ, каждая из которых находит различные проблемы в Unix-безопасности. Эти програм­мы проверяют:

• файлы, директории и устройства по разрешенному доступу;

• надёжность паролей методом перебора с использованием словаря;

• содержание, формат и безопасность паролей и групп паролей;

• файлы с атрибутом смены идентификатора пользователя;

• программы и файлы, запускаемые в /etc/rc/*;

• наличие root - SUID файлов, возможность их записи, и яв­ляются ли они подлинными;

• контрольные суммы ключевых файлов, чтобы выявлять любые изменения;

• целостность исполнимого кода системных программ;

• возможность записи файлов пользователей и файлов запус­ка (.profile, cshrc и т.д.);

• анонимную установку ftp;

• неограниченный ftp, вымышленное имя в sendmail;

• конфигурации протокола NFS;

• проводит различные проверки root;

• наличие отношений доверия с удаленными системами;

• права доступа к домашним каталогам и стартовым файлам пользователей;

• конфигурации почтовой службы;

• наличие сервисных служб;

• даты ознакомления с материалами CERT по безопасности;

• содержит набор правил и попыток для определения того, как может быть скомпрометирована система.

Результатом работы COPS является отчет, который может быть представлен в виде текстового файла либо автоматически отправ­лен заданному адресату по электронной почте. Устранения обна­руженных уязвимостей данным продуктом не производятся. Вме­сто этого по результатам сканирования создается командный файл, содержащий последовательность команд по ликвидации выявлен­ных уязвимостей.

COPS может быть запущено от лица пользователя, не обла­дающего привилегированными правами, однако в данном случае тестирование системы будет неполным.

Среди недостатков можно отметить следующее. Работа COPS приводит к уменьшению производительности системы. При про­ведении оценки стойкости паролей значительно увеличиваются вычислительные и временные затраты, поэтому запуск COPS ре­комендуется производить в часы наименьшей загрузки системы.

Система System Security Scanner (SSS) фирмы Internet Security Systems Inc. — средство разового или регулярного анали­за степени безопасности ОС Solaris 2.x, SunOS 4.1.x, Linux 1.2/1.3, AIX 3.2.5, HP-UX 9.05, 10.Х (beta) и управления защищенностью этих систем в соответствии с политикой безопасности организа­ции. SSS осуществляет контроль прав доступа к файлам, проверку владельцев файлов, анализ конфигурации сетевых служб, настрой­ку пользовательских и системных бюджетов. Кроме этого, иссле­дуется возможность наличия закладок и других следов проникно­вения злоумышленников. Отчеты о результатах анализа содержат детализированное описание найденных уязвимостей и последова­тельностей действий администратора по их устранению. SSS не производит запуск корректирующего сценария самостоятельно, а только предлагает возможность его применения. Хранение резуль­татов тестирования производится в специальной базе данных, со­держащей информацию об известных уязвимостей (их более 250) и способах их устранения.

Система SSS позволят производить распределенное сканирова­ние нескольких удаленных систем с одной управляющей рабочей станции. При этом, конфигурация механизмов сканирования уда­ленных систем и обработка результатов производится на управ­ляющем ПК, а на удаленных системах запускается только скани­рующий агент. Результаты сканирования удаленных систем пере­даются по протоколу TCP в закодированном виде.

Возможности тестирования системы определяются выбранны­ми для сканирования уязвимостями. SSS позволяет производить сканирование системы с различными специально созданными конфигурациями сканирования, что позволяет заранее настраивать через несколько файлов конфигурации разноуровневое сканирова­ние для периодического тестирования системы. Все обнаруженные уязвимости рассортированы по типам, соответствующим областям системы, и выделены определенным цветом, обозначающим уро­вень важности.[1]

Пакет программ Internet Scanner SAFEsuite (ISS) предназначен для проведения комплексной оценки эффективности политики безопасности на уровне сетевых сервисов. Он предоставляет возможности для идентификации и коррекции более 140 известных слабых мест и постоянного наблюдения за состоянием безопасности для широкого диапазона сетевых устройств - от Web-узлов и брандмауэров до серверов и рабочих станций, работающих в средах UNIX, Windows 95, Windows NT, и всех других устройств, работающих с протоколом TCP/IP.

Пакет ISS состоит из трех программ: Web Security Scanner, Firewall Scanner, Intranet Scanner. Отметим некоторые общие характеристики пакета ISS.

1. Автоматизированное и конфигурируемое сканирование:

• автоматическая идентификация и создание отчетов по слабым местам;

• плановое периодическое сканирование или сканирование после определенных событий;

• конфигурация сканирования по адресам IP, типам слабых мест, рискам и другим устанавливаемым пользователями критериям;

• автоматическая коррекция ключевых слабых мест;

• надежность и повторяемость.

2. Обеспечение безопасности:

• возможность управления рисками;

• инвентаризация всех сетевых устройств и идентификация существующих базовых слабых мест;

• распределение приоритетов по степеням риска (высокий, средний, низкий);

• анализ и сравнение базовых отчетов для использования в будущих оценках;

• создание цепи обратной связи при реализации политики безопасности.

3. Простота пользования:

• графические интерфейсы пользователя Windows NT и Motif UNIX;

• создание отчетов в формате HTML с упорядочением по типам слабых мест, классам рисков, host-именам и адресам IP;

• двухмерная сетевая карта, облегчающая поиск слабых мест;

• централизация процедур сканирования, управления и мониторинга.[5]

Программа Web Secure Scanner предназначена для поиска слабых мест безопасности на Web-серверах. Обеспечивает аудит ОС, под управлением которой работает Web-сервер, программ приложений, установленных на Web-сервере, и сценариев CSI в Web-приложениях. Проводит тестирование конфигурации Web-сервера, оценивает уровень безопасности основной файловой системы и просматривает сценарии CSI на наличие слабых мест. По итогам тестирования создается отчет с описанием обнаруженных слабых мест и рекомендациями по корректирующим действиям.

Программа Firewall Scanner обеспечивает поиск слабых мест в брандмауэрах, прежде всего в их конфигурации, и предоставляет рекомендации по их коррекции. Проводит тестирование реакции брандмауэров на различные типы попыток нарушения безопасности. Выполняет сканирование сервисов – идентификацию всех сетевых сервисов, доступ к которым осуществляется через брандмауэр. Программу Firewall Scanner рекомендуется сделать частью установки брандмауэра и составной частью программы обеспечения безопасности.

Программа Intranet Scanner предназначена для автоматического обнаружения потенциальных слабых мест внутри сетей с использованием различных тестов для проверки реакции на несанкционированные проникновения. Обеспечивает проверку различных сетевых устройств, включая UNIX-компьютеры, системы, работающие под управлением ОС Windows NT/95 фирмы Microsoft, маршрутизаторы, Web-серверs и X-терминалы.

1.3. Защита каналов связи в Internet

В июле 1997 г. вышел руководящий документ "Средства вы­числительной техники. Межсетевые экраны. Защита от несанк­ционированного доступа к информации. Показатели защищенно­сти от несанкционированного доступа" Гостехкомиссии при Пре­зиденте РФ (полный текст можно найти в информационном бюл­летене "Jet Info" № 17-18 1997 г. и на узле http://www.infotecs.ru/gtc/RD_ekran.htm ). В этом документе дана классификация МЭ в зависимости от степени обеспечиваемой ими защиты от НСД. Определение самого МЭ таково: МЭ - это ло­кальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, по­ступающей в автоматизированную систему (АС) и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации ин­формации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.

Устанавливается пять классов защищенности МЭ: 5 (самый низкий) — применяется для безопасного взаимодействия АС клас­са 1 Д с внешней средой, 4 — для 1 Г, 3 — 1 В, 2 — 1 Б, 1 (самый вы­сокий) — для 1А. (Напомним, что Гостехкомиссией РФ установ­лено девять классов защищенности АС от НСД, каждый из кото­рых характеризуется определенной совокупностью требований к средствам защиты. Классы подразделяются на три группы, отли­чающиеся спецификой обработки информации. Класс с цифрой "1" включает многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация разных уровней кон­фиденциальности, и не все пользователи имеют равные права дос­тупа.)

В [2] приведена некоторая справочная информация, где даны описания не­скольких систем МЭ. Список сертифицированных Гостехкомиссией РФ МЭ на июнь 1999 г. состоял из десяти наименований:

1) автоматизированная система разграничения доступа Black Hole (Milkyway Networks) версии BSDI-OS;

2) средство защиты от НСД в сетях передачи данных по про­токолу TCP/IP "ПАНДОРА" на базе Gauntlet 3.1.Н (Trusted Information Systems) и компьютера 02 (Silicon Graphics) под управлением IRIX 6.3;

3) аппаратно-программный комплекс "Застава-Джет" компа­нии Jet Infosystems и ЦНИИ-27 Министерства обороны РФ;

4) МЭ "Застава" FortE+ фирмы ЭЛВИС+;

5) партия средств программного обеспечения межсетевого эк­рана FireWall-1 фирмы Checkpoint Software Technologies;

6) комплекс защиты информации от НСД "Data Guard/24S";

7) программный продукт SKIP для регулирования доступа на интерфейсе локальная/глобальная сеть под управлением ОС Windows 3.11 и Solaris 2.4;

8) единичные образцы программного обеспечения МЭ AltaVista Firewall 97 фирмы AltaVista Internet Software;

9) партия из 20 экземпляров МЭ "Cyber Guard" версия 4.0, по­зволяющего создавать защищенные корпоративные сети на базе протокола Х.25 и Frame Relay;

10) Firewall/Plus фирмы Network-1 Software and Technologies.

Список МЭ, сертифицированных Международной ассоциацией компьютерной безопасности, можно найти по адресу http://www.icsa.net. Ниже более подробно описаны функции одного из них.

Межсетевой экран защиты интрасети ПАНДОРА на базе Gauntlet 3.1.1i фирмы Trusted Information Systems и компьютера 02 фирмы Silicon Graphics под управлением IRIX 6.3 надежно ре­шает проблему безопасности сети и позволяет:

• скрыть от пользователей глобальной сети структуру интра­сети (IP-адреса, доменные имена и т.д.);

• определить, каким пользователям, с каких хостов, в на­правлении каких хостов, в какое время, какими сервисами можно пользоваться;

• описать для каждого пользователя, каким образом он дол­жен аутентифицироваться при доступе к сервису;

• получить полную статистику по использованию сервисов, попыткам НСД, графику через ПАНДОРУ и т.д.

ПАНДОРА устанавливается на компьютер с двумя Ethernet-интерфейсами на выходе между интраеетью и сетью общего поль­зования.

ПАНДОРА построена на серверах протоколов прикладного уровня (proxy) и поддерживает следующие сервисы: TELNET, Riogin (терминалы); FTP (передача данных); SMTP, POP3 (почта);

HTTP (WWW); Gopher; XI 1 (X Window System); LP (сетевая пе­чать); Rsh (удаленное выполнение задач); Finger; NNTP (новости Usenet); Whois; RealAudio. Кроме того, в состав ПАНДОРЫ входит сервер общего назначения TCP-уровня, который позволяет безо­пасно транслировать через ПАНДОРУ запросы от базирующихся на TCP протоколов, для которых нет proxy-серверов, а также сер­вер сетевого доступа, который позволяет запускать различные программы в зависимости от того, откуда пришел запрос.

Для аутентификации пользователей ПАНДОРА позволяет при­менять следующие схемы аутентификации:

• обычный Unix-пароль;

• S/Key, MDauth (одноразовые пароли).

• РОРЗ-ргоху дает возможность использовать АРОР-авторизацию и тем самым избежать передачи по сети открытого пароля.

• FTP-proxy позволяет ограничить применение пользователями отдельных команд (например RETR, STOR и т.д.)

• HTTP-proxy позволяет контролировать передачу через ПАНДОРУ фреймов; описаний на языке Java; описаний на языке JavaScript; html-конструкций, не попадающих под стандарт HTML версии 2 и т.д.

Система сбора статистики и генерации отчетов позволяет со­брать и обработать информацию обо всех соединениях, включая время, количество байт, адрес источника, адрес назначения, ID пользователя (если есть), а также аномалии в самой системе.

ПАНДОРА не требует ни внесения изменений в клиентское ПО, ни использования специального ПО.