Одна из задач системных администраторов — контроль конфигурации различных сетевых устройств и средств защиты. Конечно, если сеть небольшая, то можно справиться вручную — подключиться к удаленному устройству, просмотреть ключевые настройки и подправить что-то, если в этом есть необходимость. Однако когда устройств становится все больше и больше, ручная проверка превращается в сложную задачу и откладывается на потом. В результате может оказаться, что устройство остается без присмотра и в его настройках могут образоваться слабые места с точки зрения безопасности. Чтобы этого не произошло, лучше использовать хотя бы минимальные средства автоматизации и анализа настройки. Конечно, существуют сложные продукты для системного управления крупными инфраструктурами с модулями проверки безопасности выполняемых действий, однако само их внедрение — дело достаточно трудоемкое, а для работы с ними требуется квалифицированный персонал. В то же время некоторые задачи системного администрирования вполне можно решать и без применения подобных сложных программных комплексов. В частности, продукт компании Titania под названием Nipper Studio позволяет контролировать настройки сетевых устройств и анализировать их с точки зрения безопасности. Собственно, продукт относится к классу пассивных сканеров безопасности, который разрабатывался для оценки защищенности сетевых устройств и надежности средств защиты, однако он предназначен и для регулярного сканирования и выявления несанкционированных модификаций настроек. Его могут использовать как системные администраторы для оценки защищенности устройств, так и специалисты по безопасности для проверки действий системных администраторов. Он же генерирует отчеты о найденных уязвимых местах в настройках для предоставления руководству или аудиторам. Так что данный продукт может помочь пройти оценку соответствия на соблюдение требований ISO 27001, PCI DSS, стандарта ЦБ РФ и других регламентирующих документов.
Возможности Nipper Studio
Проверка конфигурационных файлов выполняется на рабочей станции под управлением Windows, Mac OS X или Linux. Поддерживаются дистрибутивы Ubuntu, Red Hat (вместе с Fedora), Novell OpenSuSE и CentOS. При этом для всех операционных систем достаточно 512 Мбайт оперативной памяти, а по дисковому пространству требования разные: для Linux достаточно 20 Мбайт, но при установленной графической библиотеке Qt 4.6, для Windows (XP, Vista, 7, 2003 или 2008) требуется 40 Мбайт, а для Mac OS X Tiger — 200 Мбайт. Дистрибутив продукта можно загрузить с сайта производителя. Для установки сканера под Windows используется стандартная процедура, в которой нужно принять лицензионные требования и указать, куда планируется установить продукт.
Когда продукт установлен, можно начинать подготовку отчетов, хотя первым делом следует зарегистрировать необходимые лицензии с помощью кода активации продукта — эту процедуру нужно провести в момент первого запуска программы. В дальнейшем управление лицензиями осуществляется с помощью специального компонента программы. Когда необходимые лицензии будут зарегистрированы, откроется основное окно программы, в котором можно добавлять новые файлы для подготовки отчетов (экран 1). Файлы можно загружать по одному или группой, указав папку, в которой они будут располагаться. После анализа конфигурационных файлов Nipper Studio формирует список устройств, сведения о которых он обнаружил в указанном месте. При выборе устройства следует сообщить программе, какой тип отчета планируется построить: анализ безопасности, проверка настроек или подготовка настроек. Каждый из указанных типов действий может быть настроен дополнительно, после чего программа сформирует соответствующий отчет (экран 2).
Экран 1. Создание отчета по аудиту безопасности |
Экран 2. Отчет о состоянии системы безопасности |
Отчеты могут готовиться как по отдельным устройствам, так и по группам. При этом выдается общая статистика по количеству обнаруженных уязвимых мест, их уровню опасности и классу, к которому они относятся. Также формируется полная статистика уязвимости отдельных устройств. Для обнаруженных проблем формируется их описание с рекомендациями по исправлению настроек и список устройств, на которых данная уязвимость была обнаружена. Сами отчеты имеют следующую структуру:
- титульный лист с названием компании или логотипом;
- нетехническое резюме со статистикой и графиками;
- содержание отчета, в котором перечислены разделы, таблицы и графики;
- введение, включая информацию обо всех оцениваемых системах и условных обозначениях в формате отчета;
- детальный аудит безопасности, включающий оценку обнаруженных уязвимостей, их влияние на системы, насколько легко можно ими воспользоваться злоумышленнику и рекомендации, которые содержат необходимые команды для решения проблемы;
- выводы по аудиту безопасности, которые выделяют обнаруженные уязвимые места и обобщенный раздел рекомендаций;
- итоговый отчет, в котором подробно описываются настройки каждого сетевого устройства и объясняется значение их параметров;
- приложение, включающее в себя объяснения аббревиатур, используемых в отчете, вместе с другими рекомендациями.
Такой отчет можно сразу передавать аудитору, конечно если в нем не обнаружено недочетов с точки зрения безопасности. В противном случае стоит обратиться в раздел рекомендаций и попытаться исправить ошибки.
Необходимо отметить, что в продукте Nipper Studio предусмотрены две системы построения рейтинга обнаруженных проблем.
- Стандартная (CVSS v2), которая позволяет настраивать оценку результатов систем безопасности под требования конкретной организации. Например, если важнее целостность и конфиденциальность, чем доступность системы, Nipper Studio уделит больше внимания уязвимостям, которые ухудшают целостность и конфиденциальность, а проблемы, приводящие к снижению доступности, будут идти с низким приоритетом.
- Классическая рейтинговая система, которая принята и в Nipper Studio. С ее помощью проблемы оцениваются на основании традиционно принятых уровней опасности — их в продукте предусмотрено пять: критический, высокий, средний, низкий и минимальный уровень, который называется информационным. Если CVSS v2 нужно предварительно настраивать в соответствии с приоритетами компании, то классическая методика основана на подходе «лучших практик» и работает «из коробки».
В целом продукт позволяет быстро подготовить отчет о безопасности сетевой инфраструктуры и предоставить его аудитору или руководителю для проверки. Следовало бы взять за правило проверять все файлы настроек после внесения в них изменений и перед установкой на устройства. Впрочем, эту же работу с помощью того же продукта может выполнить и администратор безопасности, который проверяет корректность действий системного администратора. Скачать бесплатную пробную 30-дневную версию продукта можно на сайте официального дистрибьютора в России, компании TopSecurity www.tsecure.ru.
Виталий Иванов — эксперт по информационной безопасности