Администратор может запрограммировать ряд действий, вы-полняемых в случае обнаружения в системе несанкционированно-го пользователя или попыток ее "взлома", к которым относятся за-прет дальнейшей работы с БД и активизация аварийной процедуры.
Программный модуль Audit Manager предназначен для про-смотра аудиторских журналов. При этом возможно наложение фильтра просмотра и определение порядка сортировки записей в журналах. Дополнительно можно описать критические события и действия, которые должны выполняться в случае их возникновения.
Secure Network Services фирмы Oracle -- набор сервисных средств, предназначенный для работы с продуктом SQL*Net кор-порации Oracle и поддерживающий стандарт шифрования инфор-мации R4 компании RSA Data Security. Аппаратные платформы -- DEC, Hewlett-Packard, Silicon Graphics и др.
Для анализа защищенности ОС разрабатываются специализи-рованные средства. Средства данного класса позволяют произво-дить ревизию перечисленных выше механизмов защиты ОС: под-системы разграничения доступа, механизмов идентификации и ау-тентификации, средств мониторинга, аудита и других компонент с точки зрения соответствия их конфигурации требуемому уровню защищенности системы. Кроме этого, производится контроль це-лостности ПО (включая неизменность программного кода и сис-темных установок с момента предыдущего анализа) и проверка наличия уязвимостей системных и прикладных служб. Такая про-верка производится с использованием базы данных об уязвимостях сервисных служб или определенных версий программного обеспе-чения, которая входит в состав средств анализа.
Кратко рассмотрены в [2] некоторые средства анализа защищенности ОС.
ASET (Automated Security Tool) -- это программное средство администратора ОС Solaris, обеспечивающее автоматизированное выполнение задач мониторинга и контроля уровня безопасности указанной ОС.
ASET поддерживает три уровня безопасности, накладывающие определенные требования к защищенности системы в целом: низ-кий, средний и высокий. Низкий уровень после последовательных проверок гарантирует, что атрибуты всех системных файлов соот-ветствуют стандартным установкам. ASET выдает отчет о потен-циальных уязвимостях системы, но на данном уровне не произво-дит каких-либо действий по устранению обнаруженных уязвимо-стей. Средний уровень обеспечивает контроль большинства объек-тов системного окружения. ASET модифицирует некоторые атри-буты системных файлов и переменных окружения, а также ограничивает доступ в систему, уменьшая таким образом возможность успешного проведения атак. ASET выдает отчет об обнару-женных уязвимостях, о произведенных изменениях атрибутов файлов и об введенных ограничениях доступа в систему. Измене-ния сервисных служб на данном уровне не производятся. При вы-соком уровне гарантируется высокая защищенность системы и мо-дифицируются атрибуты всех системных файлов и переменных окружения. Большинство системных приложений и команд про-должает функционировать в обычном режим, но задачи обеспече-ния безопасности обладают наивысшим приоритетом над систем-ными и пользовательскими задачами.
ASET выполняет семь основных задач по мониторингу и управлению уровнем безопасности системы. Для каждой из задач производятся свои специфические проверки и модификации, а также генерируются отчеты по обнаруженным уязвимостям и вы-полненным изменениям в системных файлах. Проверке подвер-гаются:
* атрибуты доступа и использования системных файлов;
* соответствие системных файлов их описаниям в шаблонах безопасности:
* бюджеты пользователей и групп;
* файлы конфигурации системы;
* переменные окружения;
* уровень защиты низкоуровневой конфигурации eeprom;
* уровень защищенности при использовании системы в каче-стве МЭ.
ASET можно использовать как в интерактивном режиме с вы-зовом из командной строки, так и в автоматическом режиме с оп-ределенной периодичностью.
Пакет программ COPS (Computer Oracle and Password System) Д. Фармера -- свободно распространяемое средство администра-тора безопасности Unix-систем для обнаружения уязвимостей в подсистеме безопасности ОС SunOS, FreeBSD, IRIX, AIX, 4.3BSD, Ultrix, HP-Unix, NeXT и некоторых других. Ядро системы - это собрание приблизительно десятка программ, каждая из которых находит различные проблемы в Unix-безопасности. Эти програм-мы проверяют:
* файлы, директории и устройства по разрешенному доступу;
* надёжность паролей методом перебора с использованием словаря;
* содержание, формат и безопасность паролей и групп паролей;
* файлы с атрибутом смены идентификатора пользователя;
* программы и файлы, запускаемые в /etc/rc/*;
* наличие root - SUID файлов, возможность их записи, и яв-ляются ли они подлинными;
* контрольные суммы ключевых файлов, чтобы выявлять любые изменения;
* целостность исполнимого кода системных программ;
* возможность записи файлов пользователей и файлов запус-ка (.profile, cshrc и т.д.);
* анонимную установку ftp;
* неограниченный ftp, вымышленное имя в sendmail;
* конфигурации протокола NFS;
* проводит различные проверки root;
* наличие отношений доверия с удаленными системами;
* права доступа к домашним каталогам и стартовым файлам пользователей;
* конфигурации почтовой службы;
* наличие сервисных служб;
* даты ознакомления с материалами CERT по безопасности;
* содержит набор правил и попыток для определения того, как может быть скомпрометирована система.
Результатом работы COPS является отчет, который может быть представлен в виде текстового файла либо автоматически отправ-лен заданному адресату по электронной почте. Устранения обна-руженных уязвимостей данным продуктом не производятся. Вме-сто этого по результатам сканирования создается командный файл, содержащий последовательность команд по ликвидации выявлен-ных уязвимостей.
COPS может быть запущено от лица пользователя, не обла-дающего привилегированными правами, однако в данном случае тестирование системы будет неполным.
Среди недостатков можно отметить следующее. Работа COPS приводит к уменьшению производительности системы. При про-ведении оценки стойкости паролей значительно увеличиваются вычислительные и временные затраты, поэтому запуск COPS ре-комендуется производить в часы наименьшей загрузки системы.
Система System Security Scanner (SSS) фирмы Internet Security Systems Inc. -- средство разового или регулярного анали-за степени безопасности ОС Solaris 2.x, SunOS 4.1.x, Linux 1.2/1.3, AIX 3.2.5, HP-UX 9.05, 10.Х (beta) и управления защищенностью этих систем в соответствии с политикой безопасности организа-ции. SSS осуществляет контроль прав доступа к файлам, проверку владельцев файлов, анализ конфигурации сетевых служб, настрой-ку пользовательских и системных бюджетов. Кроме этого, иссле-дуется возможность наличия закладок и других следов проникно-вения злоумышленников. Отчеты о результатах анализа содержат детализированное описание найденных уязвимостей и последова-тельностей действий администратора по их устранению. SSS не производит запуск корректирующего сценария самостоятельно, а только предлагает возможность его применения. Хранение резуль-татов тестирования производится в специальной базе данных, со-держащей информацию об известных уязвимостей (их более 250) и способах их устранения.
Система SSS позволят производить распределенное сканирова-ние нескольких удаленных систем с одной управляющей рабочей станции. При этом, конфигурация механизмов сканирования уда-ленных систем и обработка результатов производится на управ-ляющем ПК, а на удаленных системах запускается только скани-рующий агент. Результаты сканирования удаленных систем пере-даются по протоколу TCP в закодированном виде.
Возможности тестирования системы определяются выбранны-ми для сканирования уязвимостями. SSS позволяет производить сканирование системы с различными специально созданными конфигурациями сканирования, что позволяет заранее настраивать через несколько файлов конфигурации разноуровневое сканирова-ние для периодического тестирования системы. Все обнаруженные уязвимости рассортированы по типам, соответствующим областям системы, и выделены определенным цветом, обозначающим уро-вень важности.[1]
Пакет программ Internet Scanner SAFEsuite (ISS) предназначен для проведения комплексной оценки эффективности политики безопасности на уровне сетевых сервисов. Он предоставляет возможности для идентификации и коррекции более 140 известных слабых мест и постоянного наблюдения за состоянием безопасности для широкого диапазона сетевых устройств - от Web-узлов и брандмауэров до серверов и рабочих станций, работающих в средах UNIX, Windows 95, Windows NT, и всех других устройств, работающих с протоколом TCP/IP.
Пакет ISS состоит из трех программ: Web Security Scanner, Firewall Scanner, Intranet Scanner. Отметим некоторые общие характеристики пакета ISS.
1. Автоматизированное и конфигурируемое сканирование:
· автоматическая идентификация и создание отчетов по слабым местам;
· плановое периодическое сканирование или сканирование после определенных событий;
· конфигурация сканирования по адресам IP, типам слабых мест, рискам и другим устанавливаемым пользователями критериям;
· автоматическая коррекция ключевых слабых мест;
· надежность и повторяемость.
2. Обеспечение безопасности:
· возможность управления рисками;
· инвентаризация всех сетевых устройств и идентификация существующих базовых слабых мест;
· распределение приоритетов по степеням риска (высокий, средний, низкий);
Страницы: 1, 2, 3, 4
