2. Обнаружение уязвимостей и управление патчами и настройками

2.1 Сканеры уязвимостей

2.1.1 Введение в обнаружение уязвимостей

Сканеры безопасности (security scanners), сканеры портов, сканеры общих ресурсов, цели сканирования сети

Один из самых неприятных моментов в работе администратора заключается в том, что в обслуживаемом им программном обеспечении постоянно обнаруживаются уязвимости. Очень часто вскоре после обнаружения таких уязвимостей появляются программные продукты, которые их используют в своих целях - черви, троянские программы и т.п. Поэтому очень важно вовремя обнаруживать уязвимости в своих системах (например, компьютеры, на которые не поставлен патч или неправильно сконфигурированные) и устранять их. В этом модуле речь пойдет о средствах автоматизированного обнаружения уязвимостей на компьютерах локальной сети - сканерах безопасности.

Сканеры безопасности можно условно разделить на несколько категорий:

·        сканеры портов - те, которые просто просматривают открытые порты и создают их список (например, NMAP или SuperScan). Они удобны тем, что работают очень быстро;

·        сканеры общих ресурсов - позволяют пройтись по общим каталогам на компьютерах организации, а часто и провести по ним поиск, и (если ресурсы лежат на компьютерах под управлением Windows 95/98/ME) подобрать к ним пароль. Примеры - Shared Resource Scanner, SMB Scanner, LANSearch;

·        сканеры уязвимостей. Самая ценная категория для администратора. Позволяет найти уязвимости (обычно отсутствие патча или неправильная конфигурация компьютера) на компьютерах под управлением Windows, прочитать для них описание и (не во всех сканерах) установить патч/исправить настройки прямо из окна сканера. К таким сканерам относятся, например, Microsoft Baseline Security Analyzer, GFI Languard Network Security Scanner, MegaPing, RetinaNetwork Security Scanner, XSpider. Мы в основном будем рассматривать именно такие сканеры безопасности.

Мониторинг чего есть смысл производить:

·        установлены все необходимые патчи на компьютерах (возможно, когда устанавливался важный патч, какой-то компьютер был недоступен, или на каком-то компьютере недавно переустанавливалась новая операционная система, или в сети появился ноутбук, принесенный из дома, или был установлен виртуальный компьютер под VMWAre/Virtual PC). В современных суровых условиях даже один непропатченный компьютер (особенно принесенный из дома поработавший в сети ноутбук) может принести администраторам большие неприятности. Это относится не только к патчам операционных систем, но и других программных продуктов, например, SQL Server;

·        мониторинг появления новых общих ресурсов, особенно на клиентских компьютеров. Очень часто такие несанкционированные сервера становятся источником проблем (поскольку пользователи обычно не утруждают себя назначением каких-либо разрешений или аудита) - через них может "уйти" важная информация, или данные в этом общем ресурсе могут быть стерты другим пользователем (а резервное копирование рабочих станций производится далеко не везде);

·        появление дополнительных служб и открытых портов (особенно относящихся к удаленному администрированию). Это вполне могут троянские программы или незащищенные средства удаленного администрирования. Троянские программы, конечно, лучше обнаруживать не только при помощи сканеров безопасности, но и при помощи антивирусов;

·        появление неизвестных администратору пользователей. Многие сканеры (например, LANGuard) показывают количество входов в сеть и время последнего входа в сеть для каждого пользователя. При помощи этой возможности иногда можно определить, когда появился тот или иной пользователь;

·        ошибки в конфигурации компьютера. Ошибки допускаются всеми и иногда в сети организации можно найти сервер Oracle с паролями привилегированных пользователей, установленными по умолчанию, или SQL Server, для которой учетной записи SA назначен пустой пароль, или другие продукты с оставленными по умолчанию паролями. Использовать такие ошибки для получения полного контроля над системой (а иногда и доменом) совсем несложно, поэтому есть смысл регулярно проверять сеть на предмет наличия таких проблем в настройках.

Получить учебные материалы по этому курсу