Сибирская автомобильно-дорожная академия
Опубликован: 11.08.2008 | Доступ: свободный | Студентов: 4231 / 973 | Оценка: 4.29 / 4.12 | Длительность: 13:02:00
ISBN: 978-5-94774-850-5
Лекция 7:

Системы анализа защищенности корпоративной сети (обнаружения уязвимостей) на примере продуктов: Microsoft Baseline Security Analyzer и XSpider

< Лекция 6 || Лекция 7: 123 || Лекция 8 >
Аннотация: От эффективности защиты операционных систем напрямую зависит уровень безопасности сетевой инфраструктуры организации в целом. Системы анализа защищенности способны обнаруживать уязвимости в сетевой инфраструктуре, анализировать и выдавать рекомендации по их устранению, а также создавать различного рода отчеты. В данной лекции мы познакомимся с такими программными средствами для анализа защищенности ОС, как Microsoft Baseline Security Analyzer и сканер безопасности XSpider 7.0

Одними из главных элементов информационной безопасности сетевой инфраструктуры являются операционные системы компьютеров, так как в них аккумулируется подавляющая часть используемых механизмов защиты: средства разграничения доступа к ресурсам, аутентификация пользователей, аудит событий и др. От эффективности защиты операционных систем напрямую зависит уровень безопасности сетевой инфраструктуры организации в целом.

На этом занятии будут рассмотрены программные средства для анализа защищенности операционных систем Microsoft, такие как:

  • Microsoft Baseline Security Analyzer (MBSA);
  • Сканер безопасности XSpider 7.0 (производитель ООО "Позитив Технолоджиз", Россия).

Прежде всего

Для выполнения лабораторных работ данного занятия необходимо иметь два компьютера (можно виртуальные машины). На одном компьютере под управлением ОС Windows XP Professional необходимо установить следующие программные продукты:

  • Microsoft Baseline Security Analyzer (MBSA);
  • XSpider 7.0;
  • Microsoft SQL Server 2000;
  • Программный комплекс Magnum v. 1.0.4, состоящий из следующих программ: сервер MySQL, Web-сервер Apache, среда разработки Web-приложений PHP.

Последние два программных продукта устанавливаются для обнаружения в них уязвимостей и не являются обязательными. На втором компьютере (сервере) под управлением ОС Windows 2003 Server необходимо добавить роли файлового сервера и WINS-сервера.

6.1. Принципы работы систем анализа защищенности

Для понимания принципов работы систем анализа защищенности необходимо обозначить некоторые термины и определения. Ключевое понятие данного занятия – это " уязвимость ". Под уязвимостью защиты ОС понимается такое ее свойство (недостаток), которое может быть использовано злоумышленником для осуществления несанкционированного доступа (НСД) к информации. Системы анализа защищенности способны обнаруживать уязвимости в сетевой инфраструктуре, анализировать и выдавать рекомендации по их устранению, а также создавать различного рода отчеты. К типичным уязвимостям можно отнести:

  • отсутствие обновлений системы безопасности ОС;
  • неправильные настройки систем безопасности ОС;
  • несоответствующие пароли;
  • восприимчивость к проникновению из внешних систем;
  • программные закладки;
  • неправильные настройки системного и прикладного ПО, установленного на ОС.

Большинство систем анализа защищенности (XSpider, Internet Scanner, LanGuard, Nessus) обнаруживают уязвимости не только в операционных системах, но и в наиболее распространенном прикладном ПО. Существуют два основных подхода, при помощи которых системы анализа защищенности обнаруживают уязвимости: сканирование и зондирование [ [ 6.4 ] ]. Из-за первого подхода системы анализа защищенности еще называют "сканерами безопасности" или просто "сканерами".

При сканировании система анализа защищенности пытается определить наличие уязвимости по косвенным признакам, т.е. без фактического подтверждения ее наличия – это пассивный анализ. Данный подход является наиболее быстрым и простым в реализации. При зондировании система анализа защищенности имитирует ту атаку, которая использует проверяемую уязвимость, т.е. происходит активный анализ. Данный подход медленнее сканирования, но позволяет убедиться, присутствует или нет на анализируемом компьютере уязвимость.

На практике эти два подхода реализуются в сканерах безопасности через следующие методы проверки [ [ 6.4 ] ]:

  1. Проверка заголовков (Banner check);
  2. Активные зондирующие проверки (Active probing check);
  3. Имитация атак (Exploit check).

Первый метод основан на подходе "сканирование" и позволяет делать вывод об уязвимостях, опираясь на информацию в заголовке ответа на запрос сканера безопасности. Примером такой проверки может быть анализ заголовков почтовой программы Sendmail, в результате которого можно узнать ее версию и сделать вывод о наличии в ней уязвимости.

Активные зондирующие проверки также основаны на подходе "сканирование". Данный метод сравнивает фрагменты сканируемого программного обеспечения с сигнатурой известной уязвимости, хранящейся в базе данных системы анализа защищенности. Разновидностями этого метода являются, например, проверки контрольных сумм или даты сканируемого программного обеспечения.

Метод имитации атак основан на использовании различных дефектов в программном обеспечении и реализует подход зондирования. Существуют уязвимости, которые не могут быть обнаружены без блокирования или нарушения функционирования сервисов операционной системы в процессе сканирования. При сканировании критичных серверов корпоративной сети нежелательно применение данного метода, т. к. он может вывести их из строя – и в таком случае сканер безопасности успешно реализует атаку "Denial of service" (отказ в обслуживании). Поэтому в большинстве систем анализа защищенности по умолчанию такие проверки, основанные на имитации атак, выключены. При их включении в процесс сканирования обычно выдается предупредительное сообщение (рис. 6.1).

Предупредительное сообщение сканера безопасности XSpider 7.0 о включении опасных проверок в процесс сканирования

Рис. 6.1. Предупредительное сообщение сканера безопасности XSpider 7.0 о включении опасных проверок в процесс сканирования

6.2. Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) – свободно распространяемое средство анализа защищенности операционных систем Windows и ряда программных продуктов компании Microsoft (Internet Information Services, SQL Server, Internet Explorer и др.). Термин " Baseline " в названии MBSA следует понимать как некоторый эталонный уровень, при котором безопасность ОС можно считать удовлетворительной. MBSA позволяет сканировать компьютеры под управлением операционных систем Windows на предмет обнаружения основных уязвимостей и наличия рекомендованных к установке обновлений системы безопасности. Критически важно знать, какие обновления установлены, а какие еще следует установить на вашей ОС. MBSA обеспечивает подобную проверку, обращаясь к постоянно пополняемой Microsoft базе данных в формате XML, которая содержит информацию об обновлениях, выпущенных для каждого из программных продуктов Microsoft [ [ 6.8 ] ]. Работать с программой MBSA можно через графический интерфейс и командную строку. На данном занятии будет рассмотрен только первый вариант работы.

Интерфейс MBSA выполнен на основе браузера Internet Explorer. Главное окно программы разбито на две области (рис. 6.2). Так как сеанс работы с MBSA настраивается с помощью мастера, то в левой области представлены шаги мастера, а в правой – основное окно с описанием действий каждого шага.

Главное окно программы Microsoft Baseline Security Analyzer 2.0

увеличить изображение
Рис. 6.2. Главное окно программы Microsoft Baseline Security Analyzer 2.0

На первом шаге "Welcome" необходимо выбрать одно из действий (см. рис. 6.2):

  • Сканировать данный компьютер (Scan a computer);
  • Сканировать несколько компьютеров (Scan more than one computer);
  • Просмотреть существующие отчеты, сделанные MBSA ранее (View existing security reports).

При первом запуске MBSA необходимо выбрать первый или второй вариант. На следующем шаге мастера в основном окне нужно задать параметры сканирования компьютера(ов) под управлением ОС Windows (рис. 6.3). Можно ввести имя или IP-адрес сканируемого компьютера (по умолчанию выбирается компьютер, на котором был запущен MBSA).

Пользователь, запустивший MBSA, должен обладать правами администратора данного компьютера или входить в группу администраторов системы. В случае сканирования нескольких компьютеров пользователь должен обладать правами администратора на каждом из компьютеров, а лучше – правами администратора домена.

Выбор компьютера и опций сканирования в программе MBSA 2.0

Рис. 6.3. Выбор компьютера и опций сканирования в программе MBSA 2.0

Выбрав компьютер(ы) для сканирования, необходимо задать опции сканирования:

  • проверка ОС Windows;
  • проверка паролей;
  • проверка служб IIS;
  • проверка сервера SQL;
  • проверка установленных обновлений безопасности.

Более подробную информацию о проверках MBSA можно получить на официальном сайте Microsoft [ [ 6.1 ] ]. Например, когда задана опция "проверка паролей", MBSA проверяет на компьютере учетные записи локальных пользователей, которые используют пустые или простые пароли (эта проверка не выполняется на серверах, выступающих в роли контроллеров домена) из следующих комбинаций:

  • пароль пустой;
  • пароль совпадает с именем учетной записи пользователя;
  • пароль совпадает с именем компьютера;
  • паролем служит слово "password";
  • паролем служат слова "admin" или "administrator".

Данная проверка также выводит сообщения о заблокированных учетных записях.

После того как все опции будут заданы, необходимо нажать на ссылку внизу "Start scan" (см. рис. 6.3). При первом сканировании MBSA необходимо подключение к Интернету, чтобы скачать с сайта Microsoft Download Center (http://www.microsoft.com/downloads) XML-файл, содержащий текущую справочную базу уязвимостей. MBSA сначала скачивает этот файл в архивированном cab-файле, затем, проверив его подпись, разархивирует его на компьютер, с которого будет запускаться.

Возможна также работа MBSA без подключения к Интернету в автономном режиме. Для этого нужно скачать выше описанный файл и разместить в соответствующем каталоге. Более подробную информацию об этой процедуре смотрите в Упражнении 1 Лабораторной работы № 1.

После того как cab-файл будет разархивирован, MBSA начнет сканировать заданный компьютер(ы) на предмет определения операционной системы, наборов обновлений и используемых программ. Затем MBSA анализирует XML-файл и определяет обновления системы безопасности, которые доступны для установленного ПО [ [ 6.9 ] ]. Для того чтобы MBSA определил, какое обновление установлено на сканируемом компьютере, ему необходимо знать три пункта: ключ реестра, версию файла и контрольную сумму для каждого файла, установленного с обновлением.

В случае если какие-либо данные на сканируемом компьютере не совпадут с соответствующими пунктами в XML-файле, MBSA определит соответствующее обновление как отсутствующее, что будет отражено в итоговом отчете.

После сканирования единственного компьютера MBSA автоматически запустит окно "View security report" и отобразит результаты сканирования. Если было выполнено сканирование нескольких компьютеров, то следует выбрать режим "Pick a security report to view", чтобы увидеть результаты сканирования. Создаваемый MBSA отчет разбивается на пять секций:

  • Security Update Scan Results,
  • Windows Scan Results,
  • Internet Information Services (IIS) Scan Results,
  • SQL Server Scan Results,
  • Desktop Application Scan Results.

Некоторые секции разбиваются еще на разделы, посвященные определенным проблемам безопасности компьютера, и предоставляют системную информацию по каждой из проверок, указанных в таблице 6.1. Описание каждой проверки операционной системы отражается в отчете вместе с инструкцией по устранению обнаруженных уязвимостей.

Таблица 6.1. Описание проверок, выполняемых MBSA
Проверка Описание
Administrators Выводит список учетных записей локальных администраторов компьютера
Auditing Выводит настройки аудита на локальном компьютере
Autologon Проверяет, включена ли функция Autologon
Domain Controller Test Проверяет, не запущена ли служба IIS на контроллере домена (DC)
Exchange Server Security Updates Проверяет пропущенные исправления для системы безопасности Exchange Server
File System Проверяет тип файловой системы (например, NTFS)
Guest Account Проверяет, не активирована ли учетная запись Guest
IE Zones Выводит зоны безопасности IE для каждого пользователя
IIS Admin Virtual Directory Просматривает виртуальный каталог IISADMPWD
IIS Lockdown Tool Проверяет, проведена ли процедура защиты IIS Lockdown
IIS Logging Enabled Выдает рекомендации по журналированию сайтов HTTP и FTP
IIS Security Updates Проверяет пропущенные исправления для системы безопасности IIS
Local Account Password Test Проверяет наличие пустых или слабых паролей для локальных учетных записей
Macro Security Выводит установки для макросов Office по пользователям
Msadc and Scripts Virtual Directories Просматривает виртуальный каталог MSADC и Scripts
Outlook Zones Выводит зоны безопасности Outlook для каждого пользователя
Parent Paths Выводит информацию о наличии ссылок на каталоги верхнего уровня от Web-узлов или виртуальных каталогов
Password Expiration Выводит учетные записи с неограниченным сроком действия паролей, не перечисленные в NoExpireOk.txt
Restrict Anonymous Выводит настройки реестра, запрещающие анонимным пользователям просмотр списка учетных записей
Sample Applications Выводит установленные примеры приложений для IIS (например, Default Web Site, IISHelp)
Services Выводит список несущественных служб (например, FTP, SMTP, Telnet, WWW), которые могут ослабить безопасность
Shares Проверяет и выводит список общих ресурсов, а также их списки ACL
SQL Server Security Updates Проверяет пропущенные исправления для системы безопасности SQL Server
SQL: CmdExec role Проверяет ограничение на запуск CmdExec только для SysAdmin
SQL: Domain Controller Test Проверяет, не запущен ли SQL Server на DC
SQL: Exposed SQL Password Проверяет, не присутсвует ли пароль администратора (SA) в текством файле (например, setup.iss или sqlstp.log)
SQL: Folder Permissions Проверяет разрешения файлов в каталоге установки SQL Server
SQL: Guest Account Выводит базы данных с активной учетной записью гостя
SQL: Registry Permissions Проверяет разрешения реестра на разделы SQL Server
SQL: Service Accounts Проверяет членство в группах учетных записей SQL Server и SQL Server agent
SQL: SQL Account Password Test Проверяет на пустые или слабые пароли локальных учетных записей SQL
SQL: SQL Server Security Mode Проверяет, запущен SQL Server в режиме Windows Only или Mixed
SQL: SysAdmin Role Members Выводит членов роли SysAdmin
SQL: SysAdmins Выводит количество SysAdmins
Windows Media Player Security Updates Проверяет пропущенные исправления для системы безопасности WMP
Windows Security Updates Проверяет пропущенные исправления для системы безопасности Windows
Windows Version Выводит версию Windows
< Лекция 6 || Лекция 7: 123 || Лекция 8 >
Наталья Шульга
Наталья Шульга

Курс "информационная безопасность" .

Можно ли на него записаться на ПЕРЕПОДГОТОВКУ по данному курсу? Выдается ли диплом в бумажном варианте и высылается ли он по почте?

Мария Архипова
Мария Архипова