Несмотря на повышающийся интерес к области защиты информации, сетевых сканеров безопасности не так уж и много. Несмотря на это, задача выбора оптимального продукта подобного класса непроста, поскольку при анализе нужно учитывать много факторов.
Сравнение сетевых сканеров безопасности
1 июля 2003 года
name="sec1">
Введение
Несмотря на повышающийся интерес к области защиты информации, сетевых сканеров безопасности не так уж и много. Несмотря на это, задача выбора оптимального продукта подобного класса непроста, поскольку при анализе нужно учитывать много факторов.
Главный критерий качества работы сканера безопасности - это, конечно, количество обнаруживаемых им уязвимостей. Но не то количество, которое заявлено производителем, а то, какое реально сканер может найти. Например, немаловажным является умение идентифицировать сервисы, установленные на нестандартных портах, поскольку в противном случае известные сканеру уязвимости не будут реально обнаружены.
Второй критерий - это количество ложных срабатываний. Несомненно, всегда лучше перестраховаться, но когда количество ложных срабатываний высоко, то специалист по безопасности или системный администратор начинает тратить огромное количество времени, чтобы все это проверить и отсеять ненужное.
Третий критерий - это удобство пользования сканером. Хотя им и можно пренебречь на фоне предыдущих характеристик, в конечном счете удобство также обеспечивает экономию времени и усилий, минимизацию возможных оплошностей.
name="sec2">
Протестированные продукты
В данном обзоре протестированы следующие сканеры:
Каждый сканер на момент тестирования был обновлен через Интернет до последней версии баз уязвимостей.
name="sec3">
Объекты проверки
С помощью сканеров были проверены сервера со следующими операционными системами:
- RedHat Linux 7.2 (Enigma) 2.4.18 SMP
- Sun Solaris 7 (SPARC)
- Windows XP Professional
- Windows 2000 Server
- Windows 2000 Server (с установленными проброшенными портами от (FreeBSD 4.7, RedHat Linux 8 и Windows XP Professional)
- Windows 2000 Professional (с установленным HoneyPot и эмулированными сервисами FTP, SSH, HTTP, POP3, NNTP)
Последний сервер был сконфигурирован особым образом, чтобы затруднить его анализ. При подключении ко всем сервисам кроме HTTP, выдается баннер сервиса и на любой последующий запрос выдается один тот же положительный ответ. Сервис HTTP при запросе выдает один и тот же ответ, чередуя в случайном порядке "200 OK" и "404 Not Found".
name="sec4">
Методика сравнения
Качество поиска уязвимостей оценивается в баллах по следующей схеме.
Уязвимость | Определена | Определена ошибочно |
критическая | +3 | -1.5 |
средняя | +2 | -1 |
доступная информация | +1 | -0.5 |
За каждое ложное срабатывание из суммы баллов вычитается 50% от бонуса за правильное определение, поскольку ложное срабатывание не так критично, но замедляет работу по устранению уязвимостей.
Пользовательский интерфейс и удобство использования продуктов оценивалось по следующим критериям:
- возможность обновления сканера и баз уязвимостей через Интернет
- встроенный планировщик сканирований
- наличие различных профилей сканирования и их создание под определенную задачу
- возможность приостановления сканирования при временных проблемах с сетью, чтобы не приходилось начинать все заново (особенно актуально при сканировании больших сетей)
- различные варианты отчетов рассчитанных как на администраторов, так и на управляющий персонал
- возможность использования сканера удаленно через клиентскую часть подключаемую к серверу сканирования.
name="sec5">
Итоговые результаты
Подробные таблицы с результатами сканирование приведены в
Приложении А . Суммарные показатели таковы:
| IS | LanGuard | Nessus | NetRecon | Retina | XSpider |
Сумма положительных баллов | 74 | 39 | 111 | 39 | 89 | 133 |
С учетом "штрафа" за ложные срабатывания | 67 | 37.5 | 95 | 32.5 | 81.5 | 131.5 |
Более наглядно эти данные можно представить в виде диаграммы:
Результаты сравнения по функциональным возможностям приведены в следующей таблице:
| IS | LanGuard | Nessus | NetRecon | Retina | XSpider |
Обновление | + | + | + | + | + | + |
Планировщик | + | - | - | - | - | + |
Профили | + | - | + | - | + | + |
Приостановление сканирования | + | - | - | + | + | + |
Различные варианты отчетов | + | + | + | - | + | + |
Клиент-сервер | + | - | + | - | - | - |
Видно, что все сканеры кроме LanGuard и NetRecon приблизительно одинаковы по удобству и имеют большинство полезных функций.
name="sec6">
Выводы
Первое место однозначно занимает XSpider 7. Не так уж сильно от него отстает Nessus. Самый большой его минус - это огромное количество ложных срабатываний, доходящих порой до абсурда. Например: сначала он говорит, что на 25 порту SMTP не стоит, а потом выдает сообщение, что на этом "SMTP" сервере обнаружено антивирусное программное обеспечение и делает он такой вывод, потому, что он не смог отправить через этот сервер zip файл (что неудивительно, учитывая, что SMTP-сервиса там нет). Несколько удивляет заметное отставание Internet Scanner-а последней версии. Такое впечатление, что его развитие несколько заморозилось, несмотря на смену версии 6 на версию 7.
Так же было неожиданным сильное отставание NetRecon-а, который сравнялся с LanGuard. Зато приятное впечатление оставила Retina, обогнавшая Internet Scanner (IS). Учитывая её высокую скорость сканирования, можно однозначно говорить о ее превосходстве над IS.
Если говорить о скорости работы продуктов, то самый медленный - Internet Scanner. Далее идут XSpider и Nessus. В тройку лидеров по скорости входят LanGuard, Retina и NetRecon. Конечно, такое качество как скорость работы для сканеров безопасности является одним из последним критериев, которые следует учитывать. Первым и самым главным было и остается качество поиска уязвимостей.