Взаимодействие абонентов в любой сети базируется на использовании сетевых протоколов и сервисов, определяющих процедуру обмена информацией между двумя и более узлами. При разработке сетевых протоколов и сервисов к ним предъявляются требования по обеспечению безопасности обрабатываемой информации. С течением времени они становятся недостаточными, поэтому постоянно появляются сообщения об обнаруженных в сетевых протоколах уязвимостях. В результате, возникает потребность в постоянной проверке всех используемых в корпоративной сети протоколов и сервисов.
Системы анализа защищенности выполняют серию тестов по обнаружению уязвимостей. Эти тесты аналогичны применяемым злоумышленниками при осуществлении атак на корпоративные сети.
Сканирование с целью обнаружения уязвимостей начинается с получения предварительной информации о проверяемой системе, в частности о разрешенных протоколах и открытых портах, используемой версии операционной системы и т.п. Заканчивается сканирование попытками имитации проникновения; используются широко известные атаки, например подбор пароля методом полного перебора (brute force – «грубая сила»).
При помощи средств анализа защищенности на уровне сети можно тестировать не только возможность несанкционированного доступа в корпоративную сеть из Internet. Эти же средства могут быть использованы для аналогичной проверки во внутренней сети организации. Системы анализа защищенности на уровне сети могут быть использованы как для оценки уровня безопасности организации, так и для контроля эффективности настройки сетевого программного и аппаратного обеспечения.
В настоящее время известно более десятка различных средств, автоматизирующих поиск уязвимостей сетевых протоколов и сервисов. Одно из первых таких средств – свободно распространяемая система анализа защищенности UNIX-систем SATAN (Security Administrator Tool for Analyzing Networks), разработанная В. Венема и Д. Фармером. Среди коммерческих систем анализа защищенности можно назвать Internet Scanner компании Internet Security Systems Inc. (рис. 9.4), NetSonar компании Cisco, CyberCop Scanner компании Network Associates и ряд других.
Средства анализа защищенности данного класса анализируют уязвимость не только сетевых сервисов и протоколов, но и системного и прикладного программного обеспечения, отвечающего за работу с сетью. К такому обеспечению можно отнести Web-, FTP- и почтовые серверы, межсетевые экраны, браузеры и т.п. Некоторые из предлагаемых на рынке систем проводят не только анализ защищенности программного обеспечения, но и сканирование аппаратных средств. К таким аппаратным средствам относится коммутирующее и маршрутизирующее оборудование.