Проверки в сетях - GFI LANguard

Автор: Майкл Демидов
Опубликовано: 23.04.2009
Источник: SoftKey.info

Без существования локально-вычислительной сети весьма проблематично представить себе ИТ-среду любой компании, если это только не одиноко стоящий павильон, торгующий пирожками или журналами. О том, как выглядит классическая схема ее организации, знают практически все, однако одновременно с централизацией управления у системного администратора возникает проблема аудита этой сети на наличие уязвимостей и ошибок. Сегодня мы рассмотрим, как эта проблема решается с помощью GFI LANguard.

Перед каждым системным администратором постоянно стоит целый комплекс проблем, которые ему необходимо решать ежедневно. Помимо технического обслуживания аппаратной части компьютеров, от сотрудника ИТ-отдела требуется следить также за программным обеспечением, установленным на машины в ЛВС. Не секрет, что именно софт, который используется на компьютере, потенциально представляет собой угрозу стабильности и безопасности работы сети – имеется в виду, что бреши в программах, не закрытые оперативно пакетами обновлений, могут быть использованы злоумышленником для атаки на ЛВС, неправильно сконфигурированные компоненты операционной системы позволят распространиться вирусам по всем компьютерам, а невозможность учета USB-устройств, которые активно используются инсайдерами для кражи конфиденциальных данных, не позволит проанализировать случай утечки. В итоге, системному администратору нужно получить максимально подробную информацию о возможных уязвимостях подконтрольной ему ЛВС, которую весьма затруднительно собирать без специального аудиторского ПО, каким является GFI LANguard.

Приложение LANGuard от компании GFI Software представляет собой консоль с списком модулей, отвечающих за сканирование/обнаружение/исправление уязвимостей сети, и ведущих статистику, на основе которой формируются аналитические отчеты о выявленных проблемах в информационной безопасности компании. Ключевой особенностью решения является использование базы данных оценки уязвимостей ведущих ассоциаций (SANS Institute, OVAL), состоящий из более, чем 15 тысяч критериев. Кроме того, администратор может создавать и собственные скрипты для проверки сети – с этой целью в LANguard есть отладчик сценариев на VBScript.

Начало работы с приложением подразумевает проведение полной проверки компьютеров в ЛВС (как правило, сканируется весь локальный домен или рабочая группа) под учетной записью администратора, после чего полученные результаты анализируются программой и на основании этого анализа, перед сотрудником ИТ-службы появляется отчет о состоянии сети. Следующий шаг – это автоматическое или ручное устранение найденных проблем. Рассмотрим все эти три этапа поподробнее.

Вместо того чтобы сканировать сразу все машины в домене, администратор вправе выбрать только определенные компьютеры, указав или диапазон их IP-адресов, или их имена в сети, или CIDR маски подсети. Проверка может осуществляться как в режиме реального времени, так и отсрочено (как запланированное задание). Доступны несколько вариантов сканирования – быстрое (Quick Scan), которое предназначено для выявления самых опасных брешей в сети; полное (Full Scan), рассчитанное для комплексного анализа сети и инвентаризации установленного программного обеспечения; выборочное (Custom Scan). При выборе последнего типа проверки запускается мастер, в котором необходимо указать дополнительные параметры (например, учетную запись, под которой нужно производить сканирование), область проверки (например, проверку свежеустановленных патчей или malware-портов), а также источник для хранения отчетов (то есть, база данных – на выбор MS SQL/MS Access). Запланированное сканирование также запускается вместе с мастером, с помощью которого администратор может указать действия, которые будут выполняться автоматически после окончания проверки (автоматическая загрузка и установка патчей и обновлений, удаление программ, не относящихся к списку требуемого ПО, а также рассылка уведомлений о выполненных задачах по электронной почте). Для облегчения задачи по сканированию крупной сети, состоящей из компьютеров, имеющих разные системы аутентификации, в GFI LANguard есть возможность создания профилей проверки компьютеров с заранее настроенными данными для входа в систему (поддерживаются, в том числе и SSH-ключи).

Основной интерфейс GFI LANguard

После проверки ЛВС перед сотрудником отображается краткий отчет о состоянии сети (уровень опасности, плюс информация о неустановленных патчах и обновлениях, установленных программах, открытых портах (TCP/UDP), критических и потенциальных уязвимостях). Для выяснения подробностей необходимо перейти на вкладку "Analyze", где взгляду системного администратора откроется не что иное, как исчерпывающая информация о просканированных машинах. Расположение элементов окна достаточно удобное – слева по центру отображаются критерии сканирования, под ними аудиторские сведения о программном обеспечении и оборудовании машин в сети, а справа в древовидной структуру детали каждой записи. Так, например, если выбрать слева показ всех потенциальных уязвимостей, справа отобразятся подробности (название патча, краткое описание уязвимости, номер бюллетеня информационной безопасности, ссылка для скачивания). GFI LANguard анализирует системный реестр, сервисы Windows, FTP ресурсы сети, уязвимости в DNS и почтовых серверах, веб-серверах (поддерживается в том числе и Apache), а также ищет руткиты. Аудит аппаратного обеспечения (как физических устройств, так и виртуальных/программных эмуляторов) компьютеров в ЛВС подразумевает получение информации об их MAC-адресе, IP-адресе, производителе, статусе работы (нельзя сказать, что полученная системная информация исчерпывающая, но для определенных задач в области инвентаризации ее достаточно). Поскольку GFI LANguard является по большей части программным обеспечением для аудита информационной безопасности компьютерных сетей, в нем особое внимание уделяется антивирусному сопровождению (то есть, при построении списка установленного ПО, целых два раздела посвящены именно состоянию антивирусов и антишпионов). Кроме того, в отдельные отчеты включается информация о настройках общего доступа в сети (полный список расшаренных ресурсов с указанием выделенных прав доступа и советами по исправлению потенциальных брешей в безопасности – например, полном доступе к жесткому диску или к системным папкам Windows), политиках безопасности (сложность паролей, настройки входа в систему, программы в автозагрузке, потенциально опасные беспроводные и USB-устройства, неактуальные учетные записи), текущем состоянии системы (список запущенных процессов, удаленных подключений, времени работы компьютера). Все отчеты легко настраиваются (включаются/отключаются элементы) и экспортируются в XML-файл или записываются в базу данных (там хранятся 10 последних результатов сканирования). В GFI LANguard есть встроенный инструмент для сравнивания отчетов – системный администратор, таким образом, может контролировать изменения состояния ЛВС до и после проведенных работ по устранению уязвимостей.

Отчет о сканировании GFI LANguard

Выше мы уже писали о том, что в ходе проверки можно включить возможность автоматического устранения проблем, обнаруженных на компьютерах. Действительно, в GFI LANguard есть встроенный модуль загрузки и удаленной установки патчей и обновлений с возможностью работы по расписанию и протоколированием производимых операций. Он поддерживает не только обновления безопасности, которые выпускает Microsoft, но и настраивается под другие приложения, например, под антивирусное или антишпионское ПО. Его же можно использовать и для удаления программ, не входящих в список обязательных к наличию на рабочих станциях – после получения сведений обо всех установленных программах, системный администратор вправе выбрать те или иные приложения для удаления как сразу, так и по расписанию. Отметим, что таким образом удалить можно только те программы, чьи инсталляторы поддерживают "тихий" режим, то есть не обращаются к пользователю за подтверждениями.

Возвращаясь к статистической информации, получение и отображение которой является смыслом работы GFI LANguard, стоит отметить еще два модуля в программе. Речь идет о разделе Dashboard, на который выводится консолидированная статистика уязвимости ЛВС в целом, уровень угроз (доли потенциальных, высоких, средних и низких проблем в безопасности), динамика изменения уровня безопасности и список самых незащищенных машин в сети. Второй модуль – это расширение ReportPack, которое позволяет генерировать HTML-отчеты.

Дополнительно в GFI LANguard входят несколько дополнительных утилит для работы с сетью. К ним относятся: проверка соответствия IP-адресов DNS (DNS Lookup), трассировка сети (Traceroute), проверка информации о домене или IP-адресе (Whois), построение списка компьютеров в сети и пользователей в Active Directory (Enumerate computers и Enumerate users, соответственно), аудитор сети (проверка доступа к управляемым устройствам и узлам с возможностью использования протокола SNMP, обычно блокирующегося на уровне межсетевого экрана) и менеджера SQL сервера.

Подводя итоги, отметим, что приложение GFI LANguard действительно позволяет получить достоверную информацию о проблемах ЛВС, что позволит системному администратору принять меры по повышению уровня ее защищенности. Тем не менее, GFI LANguard можно использовать в качестве тестового приложения для проверки надежности защитного ПО, прежде всего, межсетевых экранов, поскольку в состав продукта, как мы уже упоминали выше, входит как база уже обнаруженных уязвимостей, так и специальный инструментарий для тестирования пользовательских скриптов. GFI LANguard является shareware-приложением – демонстрационная версия работает в течение 10 дней, после чего пользователь может продолжить работу в бесплатной версии с ограниченной функциональностью (проверка не более 5 IP-адресов, техническая поддержка осуществляется только на форуме производителя) или приобрести лицензию на полную версию.