Информационная безопасность

Функциональные возможности сканеров безопасности

04.06.2008 - 11:48, автор Ilya.Popov

Сканер безопасности – это программное средство для удаленной или локальной диагностики различных элементов сети на предмет выявления в них различных уязвимостей. Основными пользователями таких систем являются профессионалы: администраторы, специалисты по безопасности и т.д. Простые пользователи тоже могут использовать сканеры безопасности, но информация, выдаваемая такими программами, как правило специфична, что ограничивает возможности ее использования неподготовленным человеком. Сканеры безопасности облегчают работу специалистов, сокращая суммарно потраченное время на поиск уязвимостей.

Система анализа защищённости может иметь распределённую архитектуру, в этом случае она состоит как минимум из двух типов компонентов:

 

• Агент (сервер)

 

• Консоль (клиент)

Собственно сканером при этом является серверная часть (агент). Наличие распределённой архитектуры добавляет гибкость и масштабируемость при размещении сканера безопасности в корпоративной сети, особенно в большой, территориально-распределённой. Довольно часто сканирование приходится проводить с разных «точек зрения», например, демилитаризованную зону можно сканировать как снаружи (через межсетевой экран), так и непосредственно из её сегмента.

Управление

 

Этот параметр более всего характеризует возможные варианты запуска процесса сканирования и относится уже ко всем сканерам, а не только к тем, что имеют распределённую архитектуру. Возможны следующие варианты:

 

• Управление через графический интерфейс

 

• Управление при помощи командной строки

 

• Управление через WEB-интерфейс

 

Управление через графический интерфейс наиболее наглядно и удобно. Как правило, значительная часть операций выполняется именно через графический интерфейс. Разумеется, все сравниваемые сканеры поддерживают такую возможность.

Управление при помощи командной строки может дать следующие преимущества:

 

• Более быстрое выполнение операций, поскольку не требуется отображать в графическом виде ход их выполнения;

 

• Возможность создания командных файлов, автоматизирующих определённые последовательности операций (например, запуск сканирования с последующим формированием отчёта);

 

• Возможность выполнения операций по расписанию средствами ОС (например, при помощи Task Scheduler);

 

• Возможность вывода и просмотра отладочной информации при разрешении проблем и

 

выяснении причин сбоев.

Защита собственных данных

 

Сканеры безопасности – это, прежде всего, средства защиты. Тем не менее, они сами нуждаются в защите от несанкционированного доступа. И тому есть несколько причин:

 

1. сканер безопасности может быть не только средством защиты, но и средством нападения, поэтому его использование должно осуществляться только авторизованными пользователями.

 

2. Данные, собираемые сканером об устройствах сети, могут быть конфиденциальными, поэтому доступ к ним должен быть ограничен.

 

3. Для сканеров, имеющих распределённую архитектуру, должна быть предусмотрена защита взаимодействия на сетевом уровне, поскольку появляется угроза перехвата передаваемых по сети данных.

 

Интеграция с другими средствами защиты  Как уже говорилось выше, сканер безопасности – это средство защиты сети. Когда говорят о средствах защиты сетей, обычно называют также средства защиты периметра, средства обнаружения и противодействия атакам. Эффективность использования этих средств будет выше, если они смогут взаимодействовать друг с другом, т. е. работать в комплексе. При этом данные, собранные, например, сканером безопасности, могут быть использованы другими средствами защиты, например, системами обнаружения атак. Всё это приводит к идее централизованного управления всеми средствами защиты, в том числе и сканерами безопасности. Общая консоль управления позволяет выполнять все операции по управлению с одного рабочего места. Хранение данных в единой базе позволяет выполнять корреляцию (сопоставление) данных, собранных из различных источников. Результаты работы сканера безопасности (перечень обнаруженных уязвимостей) и события, обнаруженные системой обнаружения атак, могут быть сопоставлены следующим образом. При обнаружении атаки на узел сети в базе данных просматриваются результаты сканирования узла – объекта атаки. Если уязвимость действительно присутствует, делается заключение об успешности атаки. Фактически, сопоставление информации об уязвимостях и атаках позволяет отличить успешные атаки от неуспешных.

Сама идея интеграции «намекает» на наличие у сканера распределённой архитектуры, но это совсем не обязательно: сканер просто может «уметь» взаимодействовать с другими продуктами.

  Отчёты  Модуль генерации отчётов – важный компонент системы анализа защищённости, не менее важный, чем модуль сканирования. Обычно модуль генерации отчёта встроен непосредственно в сам сканер. Однако, например, для сканера LANguard этот модуль устанавливается отдельно. Обычно отчёты формируются на основе сохранённых результатов, но с таким же успехом они могут быть сформированы непосредственно по окончании сканирования. На основе отчётов могут быть предприняты действия по устранению уязвимостей. Отчёты обычно включают то описание уязвимостей, о котором говорилось выше.

 

 

 

Прикрепленный файлРазмер
сканеры безопасности.doc195.5 кб
‹ Сканер уязвимости компьютерных системВверхСредства анализа защищенности и их классификация ›