Одна из задач системных администраторов — контроль конфигурации различных сетевых устройств и средств защиты. Конечно, если сеть небольшая, то можно справиться вручную — подключиться к удаленному устройству, просмотреть ключевые настройки и подправить что-то, если в этом есть необходимость. Однако когда устройств становится все больше и больше, ручная проверка превращается в сложную задачу и откладывается на потом. В результате может оказаться, что устройство остается без присмотра и в его настройках могут образоваться слабые места с точки зрения безопасности. Чтобы этого не произошло, лучше использовать хотя бы минимальные средства автоматизации и анализа настройки. Конечно, существуют сложные продукты для системного управления крупными инфраструктурами с модулями проверки безопасности выполняемых действий, однако само их внедрение — дело достаточно трудоемкое, а для работы с ними требуется квалифицированный персонал. В то же время некоторые задачи системного администрирования вполне можно решать и без применения подобных сложных программных комплексов. В частности, продукт компании Titania под названием Nipper Studio позволяет контролировать настройки сетевых устройств и анализировать их с точки зрения безопасности. Собственно, продукт относится к классу пассивных сканеров безопасности, который разрабатывался для оценки защищенности сетевых устройств и надежности средств защиты, однако он предназначен и для регулярного сканирования и выявления несанкционированных модификаций настроек. Его могут использовать как системные администраторы для оценки защищенности устройств, так и специалисты по безопасности для проверки действий системных администраторов. Он же генерирует отчеты о найденных уязвимых местах в настройках для предоставления руководству или аудиторам. Так что данный продукт может помочь пройти оценку соответствия на соблюдение требований ISO 27001, PCI DSS, стандарта ЦБ РФ и других регламентирующих документов.
Возможности Nipper Studio
Проверка конфигурационных файлов выполняется на рабочей станции под управлением Windows, Mac OS X или Linux. Поддерживаются дистрибутивы Ubuntu, Red Hat (вместе с Fedora), Novell OpenSuSE и CentOS. При этом для всех операционных систем достаточно 512 Мбайт оперативной памяти, а по дисковому пространству требования разные: для Linux достаточно 20 Мбайт, но при установленной графической библиотеке Qt 4.6, для Windows (XP, Vista, 7, 2003 или 2008) требуется 40 Мбайт, а для Mac OS X Tiger — 200 Мбайт. Дистрибутив продукта можно загрузить с сайта производителя. Для установки сканера под Windows используется стандартная процедура, в которой нужно принять лицензионные требования и указать, куда планируется установить продукт.
Когда продукт установлен, можно начинать подготовку отчетов, хотя первым делом следует зарегистрировать необходимые лицензии с помощью кода активации продукта — эту процедуру нужно провести в момент первого запуска программы. В дальнейшем управление лицензиями осуществляется с помощью специального компонента программы. Когда необходимые лицензии будут зарегистрированы, откроется основное окно программы, в котором можно добавлять новые файлы для подготовки отчетов (экран 1). Файлы можно загружать по одному или группой, указав папку, в которой они будут располагаться. После анализа конфигурационных файлов Nipper Studio формирует список устройств, сведения о которых он обнаружил в указанном месте. При выборе устройства следует сообщить программе, какой тип отчета планируется построить: анализ безопасности, проверка настроек или подготовка настроек. Каждый из указанных типов действий может быть настроен дополнительно, после чего программа сформирует соответствующий отчет (экран 2).
![]() |
Экран 1. Создание отчета по аудиту безопасности |
![]() |
Экран 2. Отчет о состоянии системы безопасности |
Отчеты могут готовиться как по отдельным устройствам, так и по группам. При этом выдается общая статистика по количеству обнаруженных уязвимых мест, их уровню опасности и классу, к которому они относятся. Также формируется полная статистика уязвимости отдельных устройств. Для обнаруженных проблем формируется их описание с рекомендациями по исправлению настроек и список устройств, на которых данная уязвимость была обнаружена. Сами отчеты имеют следующую структуру:
- титульный лист с названием компании или логотипом;
- нетехническое резюме со статистикой и графиками;
- содержание отчета, в котором перечислены разделы, таблицы и графики;
- введение, включая информацию обо всех оцениваемых системах и условных обозначениях в формате отчета;
- детальный аудит безопасности, включающий оценку обнаруженных уязвимостей, их влияние на системы, насколько легко можно ими воспользоваться злоумышленнику и рекомендации, которые содержат необходимые команды для решения проблемы;
- выводы по аудиту безопасности, которые выделяют обнаруженные уязвимые места и обобщенный раздел рекомендаций;
- итоговый отчет, в котором подробно описываются настройки каждого сетевого устройства и объясняется значение их параметров;
- приложение, включающее в себя объяснения аббревиатур, используемых в отчете, вместе с другими рекомендациями.
Такой отчет можно сразу передавать аудитору, конечно если в нем не обнаружено недочетов с точки зрения безопасности. В противном случае стоит обратиться в раздел рекомендаций и попытаться исправить ошибки.
Необходимо отметить, что в продукте Nipper Studio предусмотрены две системы построения рейтинга обнаруженных проблем.
- Стандартная (CVSS v2), которая позволяет настраивать оценку результатов систем безопасности под требования конкретной организации. Например, если важнее целостность и конфиденциальность, чем доступность системы, Nipper Studio уделит больше внимания уязвимостям, которые ухудшают целостность и конфиденциальность, а проблемы, приводящие к снижению доступности, будут идти с низким приоритетом.
- Классическая рейтинговая система, которая принята и в Nipper Studio. С ее помощью проблемы оцениваются на основании традиционно принятых уровней опасности — их в продукте предусмотрено пять: критический, высокий, средний, низкий и минимальный уровень, который называется информационным. Если CVSS v2 нужно предварительно настраивать в соответствии с приоритетами компании, то классическая методика основана на подходе «лучших практик» и работает «из коробки».
В целом продукт позволяет быстро подготовить отчет о безопасности сетевой инфраструктуры и предоставить его аудитору или руководителю для проверки. Следовало бы взять за правило проверять все файлы настроек после внесения в них изменений и перед установкой на устройства. Впрочем, эту же работу с помощью того же продукта может выполнить и администратор безопасности, который проверяет корректность действий системного администратора. Скачать бесплатную пробную 30-дневную версию продукта можно на сайте официального дистрибьютора в России, компании TopSecurity www.tsecure.ru.
Виталий Иванов — эксперт по информационной безопасности