Чем больше средств защиты есть на предприятии, тем сложнее уследить за их работой, поэтому эффективность защитных мер падает. Чтобы системы защиты работали эффективно, нужно постоянно проверять их работоспособность и соответствие политике безопасности предприятия
Контроль конфигурации сетевых устройств и средств защиты позволяет определить, насколько защищена сетевая инфраструктура предприятия.
Действия хакеров также можно заметить по изменению конфигурационных файлов, поскольку для закрепления в системе нападающие вынуждены вносить изменения в атакуемую систему. Aудит безопасности сетевого оборудования и средств защиты дает возможность проверить реальное состояние защиты корпоративной инфраструктуры.
Следует отметить, что есть несколько технологий аудита. Наиболее популярными инструментами являются системы активного аудита, которые эмитируют работу хакера в системе. Они проверяют наличие той или иной уязвимости напрямую, посылая соответствующие запросы на уязвимые сервисы. Однако в процессе проверки они посылают огромное количество паразитных запросов по сети и сильно нагружают информационную систему в целом. Поэтому такой аудит сложно проводить часто. К тому же всегда остается опасность, что подобный сканер что-то напортит в сложной корпоративной среде предприятия.
В последнее время начали активно развиваться технологии так называемого пассивного аудита, которые собирают информацию об уязвимостях системы другими способами, без большой нагрузки и выполнения сложных запросов. Одним из методов подобного пассивного сканирования является проверка конфигурационных файлов сетевых устройств и средств защиты. В такой сканер загружаются конфигурационные файлы устройств, а программный комплекс проверяет соответствие их настроек принятой на предприятии политики безопасности. В некоторых случаях ПО может даже сформировать правильный файл, который достаточно загрузить на устройство, и уязвимость будет устранена.
Одним из подобных пассивных сканеров является продукт компании Titania Ltd, который носит название Nipper Studio. Он анализирует конфигурационные файлы различных устройств и выдает по ним рекомендации для улучшения защиты. Кроме того, продукт может сгенерировать исправленные конфигурации, которые соответствуют политике безопасности компании. Сканер также готовит отчет по найденным уязвимостям и формирует необходимую администратору и руководству отчетность о найденных проблемах.
Продукт может прямо из коробки проверять более 80 типов различных устройств таких производителей, как Cisco, Juniper, Check Point и многих других. И этот список постоянно расширяется. Nipper Studio проверяет у этих устройств версию программного обеспечения, используемые методы и сервисы аутентификации, конфигурацию VPN-системы и сервисов администрирования. Также проверяются настройка веб-сервиса, системы журналирования событий, работа DNS-сервиса и правильность настройки времени.
Для систем защиты проверяются правила межсетевого экрана, IPS/IDP, настройки шифрования и беспроводных устройств, таблицы маршрутизации и работа принтеров. Для каждого из поддерживаемых устройств также проверяются и уникальные уязвимости, характерные для данного продукта. Кроме того, у пользователя есть возможность самостоятельно разработать правила проверки с помощью специального сценарного языка, что помогает проверять с помощью того же сканера различные модули и дополнительные продукты.
Проверка конфигурационных файлов выполняется на рабочей станции под управлением Windows, MacOS X или Linux. Поддерживаются дистрибутивы Ubuntu, RedHat (вместе с Fedora), Novell OpenSuSE и CentOS. При этом для всех операционных систем достаточно 512 Мбайт оперативной памяти, а по дисковому пространству требования разные: для Linux достаточно 20 Мбайт, но при установленной графической библиотеке Qt 4.6 для Windows (XP, Vista, 7, 2003 или 2008) требуется 40 Мбайт, а для MacOS X Tiger – 200 Мбайт. Дистрибутив продукта можно скачать с сайта производителя. Для установки сканера под Windows используется стандартная процедура, в которой нужно согласиться с лицензионными требованиями и указать каталог, куда планируется установить продукт.
Когда продукт установлен, можно начинать подготовку отчетов, хотя первым делом нужно зарегистрировать необходимые лицензии по коду активации продукта – эту процедуру следует провести в момент первого запуска программы. В дальнейшем управление лицензиями выполняется с помощью специального компонента программы.
Когда необходимые лицензии зарегистрированы, откроется основное окно программы, в котором можно добавлять новые файлы для подготовки отчетов. Файлы можно загружать по одному или группой, указав директорию, в которой они будут располагаться. После анализа конфигурационных файлов Nipper Studio формирует список устройств, сведения о которых он обнаружил в указанном месте. При выборе устройства нужно сообщить программе, какой тип отчета планируется построить: анализ безопасности, проверка конфигурации или подготовка конфигурации. Каждый из указанных типов действий может быть дополнительно настроен, после чего программа сформирует соответствующий отчет.
Отчеты могут готовиться как по отдельным устройствам, так и групповые. При этом выдается общая статистика по количеству обнаруженных уязвимостей, их уровню опасности и классу, к которому они относятся. Также формируется полная статистика по уязвимости отдельных устройств. Для обнаруженных проблем формируются их описание с рекомендациями по исправлению конфигурации и список устройств, на которых данная уязвимость была обнаружена. Собственно, отчеты имеют следующую структуру:
Такой отчет можно сразу передавать аудитору, конечно, если в нем не обнаружено проблем безопасности. В противном случае стоит обратиться в раздел рекомендаций и попытаться исправить найденные уязвимости.
Следует отметить, что в продукте Nipper Studio предусмотрены две системы рейтингования обнаруженных проблем:
В целом продукт позволяет быстро подготовить отчет по безопасности сетевой инфраструктуры и предоставить его аудитору или руководителю для проверки. Хорошей практикой была бы проверка всех конфигурационных файлов после внесения в них изменений и перед установкой их на устройства. Впрочем, эту же работу с помощью того же продукта может выполнить и администратор безопасности, который проверяет правильность действий системного администратора.
По сравнению с активными сканерами Nipper Studio не производит большой нагрузки на сеть – для его работы достаточно регулярно получать конфигурационные файлы устройств. Нагрузка при этом минимальна, поэтому такие проверки можно проводить значительно чаще, например, раз в час. В результате пассивный анализ конфигураций работает более оперативно, чем традиционный активный сканер, который в лучшем случае можно запускать раз в сутки в ночное время, когда нагрузка на сеть минимальна.
Кроме того, активные сканеры не могут исправить найденную ошибку, но только выдают рекомендации по исправлению. В то же время Nipper Studio позволяет не просто найти проблему, но и предлагает варианты ее исправления. Администратору остается только принять рекомендации и установить соответствующую конфигурацию на устройство. Он может работать и как генератор конфигурационных файлов для различных устройств, конфигурация которых должна соответствовать определенной политике безопасности.
Nipper Studio может пригодиться тем компаниям, где требуется регулярное проведение аудита системы защиты. Это относится к банкам и пользователям платежных систем, которые должны соответствовать требованиями PCI DSS и стандарта банка России.