Сторонние средства обеспечения безопасности
Рекомендуемые дополнительные средства повышения уровня безопасности
Мы рассмотрели основные технологии, необходимые для создания надежной и безопасной среды для сервера IIS. Теперь проведем короткий обзор некоторых средств и служб, облегчающих соблюдение безопасности сервера, а, следовательно, делающих его более эффективным.
Интернет-сканеры безопасности
При нынешних темпах появления новых угроз поддержка достойного уровня безопасности сайта IIS становится очень трудной задачей. Одним из полезных средств является сканер безопасности (или сканер уязвимых мест), который, помимо прочих функций, предотвращает действия потенциального злоумышленника, выявляя некоторые слабые места, используемые хакерами. Сканер уязвимых мест поможет вам оставаться в курсе всех угроз безопасности и возможных мер по их предотвращению. После выявления угрозы можно разобраться в ее сути и в том, как ее устранить. Хорошие сканеры уязвимых мест сопровождаются документацией о природе слабых мест со ссылками на другие источники информации и средства защиты от угроз.
Сканер располагается на узле, отправляя с него зондирующие пакеты, затем собирает результирующие данные, сопоставляя их с информацией базы данных признаков уязвимых мест. В этом смысле сканер безопасности аналогичен сканеру вирусов, однако является более интроспективным устройством, так как определяет, соответствуют ли устройства установленной политике безопасности. Как и сканер вирусов, хороший сканер безопасности должен содержать регулярно обновляемые признаки уязвимых мест.
Программа System Scanner (см. рис. 9.9) от компании Internet Security Systems (ISS) является самым известным продуктом в рассматриваемой категории. System Scanner осуществляет проверку безопасности и выполняет симулированные атаки на сервер-жертву для подтверждения эффективности проведенной блокировки. ISS содержит компонент отслеживания в режиме реального времени RealSecure, который обнаруживает любые "бреши" в безопасности и сообщает сотрудникам о типе вторжения, а также выдает рекомендации по устранению уязвимых мест. Для получения более подробной информации по ISS или Database Scanner (программа доступа к параметрам безопасности баз данных), посетите сайт http://www.iss.net.
увеличить изображение
Рис. 9.9. Рекомендуем опробовать программу System Scanner от ISS, имеющуюся на компакт-диске Windows 2000 SDK
Для получения информации о других сканерах безопасности обратите внимание на следующие продукты: CyberCop Scanner от Network Associates (http://www.pgp.com/products/cybercop-scanner/); Security Analystот Intrusion, Inc. (http://www.intrusion.com); WebTrends Security Analyzer от WebTrends, более известной по выпускаемому ей программному обеспечению для веб-анализа (http://www.webtrends.com). Стоимость наиболее дорогих сканеров уязвимых мест довольно велика, однако существуют общедоступные сканеры, например, ShieldsUP! на сайте www.grc.com или nmapNT на сайте http://www.eeye.com/html/Research/Tools/nmapNT.html.
При обеспечении безопасности системы нельзя полагаться только на патчи и обновления, необходимо использовать систему обнаружения вторжений, и хороший сканер безопасности, несомненно, поможет в этом. Даже если системы изначально установлены в идеально безопасном и неизвестном месте, с течением времени уровень их защищенности будет падать. Чем больше людей имеют доступ к этим системам, тем быстрее снижается уровень безопасности. Из этого следует, что чем больше у вас системных администраторов, тем чаще следует проводить аудит. Сканирование безопасности помогает осуществлять аудит системы для подтверждения того, что примененная изначально конфигурация не была изменена.
Совет. Группа разработки ICAT (сокр. от Internet Categorization and Analysis of Threats) отдела компьютерной безопасности NIST (http://icat.nist.gov/icat.cfm) создала базу данных уязвимых мест ICAT, предназначенную для общего пользования. Наиболее важной информацией в базе данных ICAT являются гиперссылки в Перечне общих уязвимых мест и опасностей (CVE), с помощью которых можно перейти к справочной информации других IT-производителей и компаний, занимающихся информационной безопасностью. CVE представляет собой список стандартизированных названий уязвимых мест и другие сведения. Для получения более подробной информации посетите сайт http://cve.mitre.org. На сайте ICAT имеется также список производителей программного обеспечения, имен продуктов и номеров версий для каждого уязвимого места.
Средства определения производительности
Право, замечательно было бы выяснить, как другие специалисты в области безопасности настроили свои веб-серверы IIS, и затем сравнить соответствие ваших настроек самым лучшим рекомендациям. Центр интернет-безопасности (CIS) (http://www.cisecurity.org/) определяет среднестатистические рекомендуемые настройки для компьютеров, подключенных к интернету. Имеющиеся на сайте средства измерения уровня безопасности Benchmark и Scoring для Windows 2000 (см. рис. 9.10) обеспечивают простой и быстрый способ определения мощности системы и сравнение ее уровня безопасности с минимальными требованиями CIS.
Рис. 9.10. С уровнем безопасности, значение которого составляет всего лишь 3,3, администратору сервера необходимо прочесть эту книгу и выяснить, как достичь большего уровня безопасности!
Различные отчеты объяснят вам, как повысить стойкость новых и уже работающих систем, а также проведут отслеживание параметров безопасности для проверки соответствия конфигурации, указанной в Benchmark. Покажите своему начальству уровень безопасности своей системы по сравнению со стандартом, тем самым защитив себя от наказания или финансовых санкций. Проверьте, соответствуют ли данные в отчете о безопасности ваших партнеров по бизнесу приемлемому уровню в программе Benchmark.
Измерители безопасности CIS
Измерители безопасности CIS собирают сведения о параметрах безопасности и действиях, укрепляющих систему. Многие организации, запускающие измерительные средства CIS, констатируют тот факт, что соответствие даже уровню измерений 1 CIS обеспечило значительное усиление системы безопасности на их компьютерах. Измерители CIS уровня 2 определяют разумный уровень безопасности, превышающий минимальные требования, однако требуют от администратора более обширных знаний в области безопасности для применения параметров к конкретной среде. Имеется измеритель CIS уровня 2 для веб-сервера Windows IIS 5.
Измерители безопасности разрабатываются с учетом среднестатистических сведений о глобальных процессах обеспечения безопасности. Они соответствуют знаниям и рекомендациям многих специалистов в области безопасности. Аналогичный подход используется в Национальном бюро страхования от преступлений США, сотрудники которого общими усилиями противостоят опасностям. Измерители безопасности постоянно обновляются после появления новых уязвимых мест, о которых становится известно из различных источников, например, из Interent Storm Center (http://www.incidents.org) и CERT Coordination Center (http://www.cert.org).
Программа оценки CIS
Средство CIS Benchmark and Scoring для Windows 2000 является централизованной программой для анализа и сканирования, доступной бесплатно на сайте CIS по адресу http://www.cisecurity.org/, содержащей руководство и пошаговые инструкции по оценке, анализу, настройке и конфигурации программы. Критерий оценки также включает в себя определение состояния "горячих" исправлений, выпускаемых Microsoft. Вам и вашему серверу IIS будут полезны знания, оценка и опыт, объединенные в этой бесплатной программе, поэтому советуем не упускать такой возможности.