На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Слабые места вашей системы

На протяжении всей книги мы говорили о том, как хакеры могут проникнуть фактически в любую сеть. Кроме того, я рассказал вам о том, как зашиппь истему от подобных вторжений. Однако самым лучшим методом защиты явля-тся испытание средств безопасности. Другими словами, администратор дол-:ен сам попытаться проникнуть в свою сеть извне и тем самым выявить все ее едостатки. Чтобы упростить задачу, некоторые разработчики программного обес-ечения создали специальные программы проверки надежности сети. Цель этих рограмм — проникнуть в сеть и сообщить администратору о пути проникнове-ия. В этой главе я познакомлю вас с двумя такими программами: Security dministrator Tool for Analyzing Networks (SATAN) и Kane Security Analyst (KSA). [ервая из них разработана для проверки безопасности систем Unix, а вторая -т сетей Windows NT и Novell NetWare. Далее я расскажу вам о том, как пользо-
этими программами и как интерпретировать полученную [рочитав главу, вы узнаете следующее:
* SATAN и KS/. — это инструментальные средства проверки безопасности сетей. С их помощью вы сможете обнаружить большинство слабых мест вашей системы.
» Программа SATANявляется бесплатной; ее можно найти на многих Internet-сайтах. Кроме того, эта программа есть на компакт-диске, поставляемом вместе с книгой. В отличие от A N программа не является бесплат­ной, а распространяется компанией Kane Security Systems. На компакт-диске располагается тридцатидневная пробная копия этой программы.
« И SATAN, и KSA предоставляют полную информацию обо всех уязвимых местах системы, уровнях доверия и т. д. С их помощью вы сможете «заш­топать» все «дыры» вашей системы.
» Комитет CIAC разработал программу Courtney, с помощью которой мож­но защитить систему от неавторизованного использования программы SATAN.
* Запускать программу KSA может только администратор (Windows NT) или супервизор (Novell NetWare).
» Многие уязвимые места сетей являются результатом использования не­подходящих паролей, средств управления доступом и недостатков самой
операционной системы.


ЗНАКОМЬТЕСЬ: SATAN
Чтобы упростить работу администраторов систем Unix, Дэн Фармер и Wietse Venema разработали инструментальное средство SATAN. Эта программа прово­дит серию тестов и посредством HTML-страниц сообщает о слабых местах сети (запускать ее нужно с помощью броузера).
Кроме определения проблемы, данная программа предоставляет ее подробное описание, а также перечисляет связанные с ней потенциальные опасности. Бо­лее того, SATANпоможет вам исправить ошибку: с помощью корректировки фай­лов конфигурации, установки дополнительных программ, запрещения опреде­ленных прав доступа и т. д.
SA собирает информацию обо всех возможных атаках, производимых с раз­личными уровнями доступа к системе. Если в вашей системе установлен бранд­мауэр, то это резко сократит количество информации, доступной внешним пользователям. Для более продуктивного использования программы прежде всего запустите ее внутри брандмауэра, а затем — с внешней стороны брандмауэра. Что же касается больших систем с несколькими серверами, то SATAN обязатель­но обнаружит какую-либо проблему. Наиболее часто она сообщает о таких про­блемах:
•Файловая система NFS экспортирована произвольным хостам.
• Файловая система NFS экспортирована программам без соответствующих привилегий.
• Файловая система       экспортирована с помощью распределителя портов.
• Файл паролей N IS (Network Information System) доступен произвольным хостам.
• Просроченные версии демоналак/лин/.
• REXD доступен произвольным хостам.
• Отключены средства управления доступом Х-сервера.
• Различные файлы доступны через протокол TFTP.
• Удаленная оболочка доступна произвольным хостам.
• Найден каталог анонимного пользователя FTP с правами записи.
Как вы уже догадались, эта хорошо известна и администраторам си-
стем, и хакерам. Большинство перечисленных выше недостатков сети обсужда­лось в предыдущей 'главе. Кроме того, многие из них были рассмотрены одним из подразделений CIAC — группой CERT (Computer Emergency Response Team). С другой стороны, все эти проблемы давно известны и постоянно используются хакерами. Таким образом, SA TAN представляет собой «палку о двух концах». В руках администратора она является незаменимым средством для обеспечения безопасности системы. Для хакера она представляет одну из лучших программ взлома сетей. К сожалению, для взлома чужих систем злоумышленники использу­ют не только SATAN, но и другие, специально разработанные программы. Однако
только SATAN предоставляет информацию о том, как устранить проблему.
УСТАНОВКА  SA TAN
Исходный текст программы расположен на компакт-диске (он хранится в виде tar-файла) в каталоге главы 18. Чтобы уста­новить программу, распакуйте файл и поместите его в ката­логе satan-1.1.1. Для распаковки файла воспользуйтесь следу­ющей командой:
compress |  tar xvf - <Enter>
Кроме того, у вас должен быть PERL 5.0 или выше (только не используйте рег15-альфа). Он также находится на компакт-диске. И наконец, у вас дол­жен быть установлен Web-броузер. Распаковав файл с исходным текстом программы, проделайте следующие операции:
1. Отредактируйте файлы path.ps и paths.sk так, чтобы они указывали рас­положение утилит. Эти файлы расположены в каталоге config.
* 2. Отредактируйте файл config/satan.cf-хгщюбы он отвечал вашим требо­ваниям. В частности, добавьте необходимые элементы к строкам $only_attack_theset\ $dont_attack_these Обе эти переменные среды указы­вают, какие хосты будут проверены. Например, вам нужно проверить только те системы, что расположены в jxoMsnejamsa.com. Для этого нужно воспользоваться переменной $only_attackjhese.
3. Запустите сценарий reconflg. Он изменит сценарии так, чтобы они ука­зывали на PERL5.00X и Web-броузер. Если сценарий выбрал не тот бро­узер, отредактируйте надлежащим образом файл config/path.pl.UepeMCH-ная Web-броузера называется SMOSAIC.
4. Перейдите в каталог satan-l.ll и запустите команду токе. Кроме того, необходимо указать тип системы, например
Сбросьте все переменные среды сервера-посредника и связанные с ним установки броузера. <
6. Воспользуйтесь командой su или войдите в систему как root.
7. Запустите сценарий SATAN. Если не указано никаких аргументов ко­мандной строки, то сценарий вызовет небольшой Web-сервер (html.pl). После этого он установит соединение этим сервером посредством вы­бранного вами Web-броузера.
Использовани SA TAN в  система LINUX
Программа SATAN прекрасно может выполняться на большин­стве Unix-систем. Однако можно столкнуться с некоторыми трудностями при выполнении программы в среде Linux. Дело в том, что разработчики SA TAN неверно оценили поведение команды select в этой операционной системе. Чтобы исправить ошибку, нужно установить специальное дополнение к базе правил SATAN. Для приобретения дополнения посетите FTP-сайт Университета Северной Калифорнии, расположенный по адресу ftp://sunsiteMnc.edu. Отмечу ЛИШЬ, что это дополнение создано для программы SATAN
Кроме того, при выполнении программы fping операционная система Linux может заполнить буферы сокетов целой подсети. Для устранения подобной ситуации укажите    TAN определенные хосты, а не всю подсеть.
И наконец, чтобы запустить SATANтв. управлением Linux, нужно восполь­зоваться командой perl reconflg.
ОБЗОР АРХИТЕКТУРЫ SATAN
SATAN обладает расширяемой архитектурой. Благодаря этому можно добавлять
к этому средству дополнительные программы и тем самым расширять его воз­можности. В центре этой системы находится достаточно небольшое ядро, прак­тически не зависящее от типа системы, имен сетевых служб и деталей.
Для того чтобы программа различала особенности испытываемой системы, ее
разработчики создали ряд средств и баз правил. За поведение программы отве­чает файл конфигурации satan.cf. В этом файле расположены различные пере­менные среды. В таблице 18.1 приводится описание различных компонентов ядра SATAN.
Компонент_Описание_
Генератор При запуске SATAN   интерактивном режиме
магической строки     генератор магической строки создает некоторую псевдослучайную строку. Эта строка должна быть послана броузером серверу SATAN в составе всех команд.
Процессор политики   Процессор политики следит за выполнением
наложенных вами ограничений, указанных в файле конфигурации.  Например, он определяет, должна ли программа проверять некоторый хост и на каком уровне.
Сбор целей Этот компонент работает со списком хостов,
используемым в процессоре политики, для создания списка испытаний, которые программа должна провести на этих хостах. Полученный список используется компонентом сбора данных. Кроме того, компонент сбора целей отслеживает уровень
близости хоста и обрабатывает так называемые
_расширения подсети._
Основные компоненты ядра SATAN (продолжение таблицы на следующей странице).
Компонент Описание
Сбор данных Компонент сбора данных использует список,
полученный компонентом сбора целей, для запуска соответствующих средств сбора данных и создания дополнительной информации о сканируемом хосте. Полученные результаты используются логическим процессором.
Логический процессор Этот компонент использует результаты, полученные компонентом сбора данных, для создания новых
хостов-целей, новых испытаний и получения
дополнительной информации. Новые хосты-цели являются входными данными для компонента сбора целей. Новые испытания поступают в подсистему сбора. Дополнительная информация обрабатывается логическим процессором.
Анализ и отчет Этот компонент использует собранные данные
для создания нескольких Web-страниц с отчетами. Эти страницы можно просмотреть с помощью любого _Web-броузера._
Основные компоненты ядра SATAN (окончание).
После того как SATAN начнет обработку первого хоста, компоненты сбора це­лей, сбора данных и логического процессора начнут генерировать ко­торые будут использошны остальными компонентами. Этот процесс завершит­ся лишь после того, как логический процессор исчерпает все хосты. Если же SATAN не закончил просмотр всех хостов и зашел в «тупик», то он приступит к исследованию следующего хоста, указанного в файле конфигурации.
ГЕНЕРАТОР маги чес ко, СТРОКИ
После своего запуска SA TAN совершает следующие операции:
• SA TAN запускает демона SATAN httpd. Этот демон содержит очень ограни­ченное подмножество возможностей обычного демона httpd и необходим лишь для успешного выполнения программы.
• SATAN генерирует 32-байтную криптографическую контрольную сумму -«магическую строку». Для ее создания программа использует демонов систе­мы и функцию создания смешанных значений MD5 (4). Web-броу­зер должен указывать эту строку в конце каждого URL, отправляемого запущенному программой демону httpd. Данная строка указывает демону выполнять некоторые нужные программе действия, а не возвращать ресур­сы, указанные в
• Если хакер когда-либо сможет заполучить магическую строку, то он сможет
запустить любую программу, выполняемую программой SATAN. При этом
он будет обладать теми же привилегиями, что и пользователь, запускающий
SATAN. Чтобы избежать подобного явления, в SATAN встроен генератор магической строки, который создает новую строку при каждом следую­щем запуске программы. SATAN броузер должны всегда выполняться на одном хосте. Поэтому вам не придется пересылать магическую строку по сети.
• Инициализировав демона и создав магическую строку, SATAN загрузит данные, полученные в предыдущем сеансе работы. По умолчанию они расположены в базе данных Ssatan data. Параллельно с проверкой этой базы SATAN запускает Web-броузер. Однако он не передает ему данные до тех пор, пока не загрузит всю базу. Этот процесс может занять от не­скольких секунд до нескольких минут (в зависимости от размера базы дан­ных, скорости машины и т. д.).

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика