Test di prestazioni - Scanner di vulnerabilità
La rete usata per le prove comprendeva un router Linksys BEFVP41 e un mix di client e server Windows (Windows 98, 2000 Workstation, 2000 Advanced Server e Xp). Abbiamo anche collegato un certo numero di host Linux (Red Hat 8 e 9 Professional, SuSE Enterprise Server 8 e SuSE 8.1 Professional) per verificare le funzionalità cross-platform di ciascuna applicazione.
Abbiamo aggiornato tutti i sistemi con le patch appropriate, evitando però di risolvere alcune vulnerabilità selezionate. Più precisamente, sugli host Windows abbiamo mantenuto le vulnerabilità descritte nei bollettini di sicurezza Microsoft MS03-39 (buffer overrun nel servizio Rpcss, CAN-2003-0715, CAN-2003-0528, CAN-2003-0605) e MS03-041 (Vulnerabilità nel sistema di verifica Authenticode, CAN-2003-0660). Entrambe, in determinate circostanze, permettono a un attaccante di eseguire un codice arbitrario sul sistema aggredito.
Abbiamo lasciato sui sistemi Linux una versione attaccabile di OpenSSH (CAN-2003-0682, CAN-2003-0693 e CAN-2003-0695), uno share di file (/usr) esportato senza restrizioni d’accesso (CAN-1999-0554) e una vulnerabilità di tipo denial-of-service nel servizio Dns BIND 9.13 (CAN-2002-0400). Anche queste falle sono decisamente gravi e tali da mettere a repentaglio la sicurezza della rete e dei suoi dati. Tutti i prodotti hanno identificato senza fatica le vulnerabilità dei sistemi Windows, inserendo nei report generati i riferimenti ai corrispondenti bollettini di sicurezza Microsoft. Le falle in ambiente Linux hanno rappresentato una sfida più ardua per gli scanner che lavorano su piattaforma Windows.
Durante la verifica dei sistemi di gestione automatica delle patch per i sistemi Windows, i due scanner che offrono questa funzionalità hanno fornito risultati che differivano da quelli di Windows Update. Parte delle discrepanze derivano dal modo in cui ciascuna applicazione segnala i problemi di sicurezza - ad esempio il rilascio di una versione aggiornata di un bollettino di sicurezza. Può capitare, quindi, che uno scanner indichi l’assenza di una patch invece di limitarsi a segnalare che la patch stessa è stata sostituita da una nuova versione. Per questo il nostro consiglio è di rivolgersi a un prodotto specifico per la gestione delle patch.
I test hanno previsto anche la verifica dell’usabilità e della qualità dei rapporti generati dai prodotti in prova. Molte applicazioni di questa categoria tendono a sommergere l’amministratore con una enorme quantità di dati che non possono essere ordinati, raggruppati o estratti con una ricerca. I motori di produzione dei report dovrebbero permettere agli utenti di effettuare selezioni basate su criteri specifici, quali nomi degli host, indirizzi Ip, vulnerabilità e gravità delle falle rilevate. Retina, il prodotto che ha conquistato il titolo di Vip, svolge un ottimo lavoro nel correlare i risultati, e lo stesso si può dire di SAINT 5.
• Scarica la tabella delle caratteristiche (.pdf, 20 KByte)
• Scarica la tabella dei piunteggi (.pdf, 19 KByte)
Ancora nessun commento.