На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

ПРОЦЕССОР политики

После загрузки программы выберите в панели управления гиперссылку SATAN Target Selection. С ее помощью нужно указать, какие серверы должны быть прове­рены. После этого компонент выбора целей начнет проводить атаки на эти серве­ры. Процессор политики определяет, какие хосты будут подвергнуты испытаниям.
Чтобы определить, насколько удачно прошла атака, SATAN использует значе­ние интенсивности испытания. Интенсивность испытания зависит I уровня бли­зости хоста. Обычно уровень близости хоста определяет расстояние от началь­ного хоста до хоста-цели. Например, если SATAN атакует хост вашей локальной сети, а затем пытается провести такую же атаку на хосте, расположенном через три, четыре и более подсетей (т. е. в одном из доменов, присоединенных к вашей то атака будет происходить более интенсивно на ближнем хосте и
менее интенсивно — на дальних. Программа уменьшает значение интенсивности испытания для более удаленных хостов. По умолчанию предполагается, что с увеличением расстояния между хостами риск взлома сети уменьшается. Во время испытания удаленных хостов скорость программы резко убывает.
С помощью файла конфигурации SATAN можно указать интенсивность испыта­ний и ограничения на них. Изменив значения переменных, можно заставить программу работать только в определенных доменах Internet или, наоборот, не работать в некоторых из них. Кроме того, можно указать программе вычислять интенсивность испытаний для всех сканируемых подсетей.
УРОВНИ БЛИЗОСТИ
Собирая информацию о начальных целях (указанных в файле конфигурации),
программа может узнать о существовании других хостов. Примерами таких сис­тем являются:
• Хосты, информацию о которых SATAN обнаружил в журналах регистра­ции команды finger, расположенной на хосте-цели
Хосты, которые импортируют файловые системы с помощью команды showmount
Для каждого хоста программа создает и поддерживает значение близости. Бли­зость первого хоста равна нулю. Хостам, обнаруженным при проверке первого хоста, присваивается значение 1, второго — 2 и т. д. По умолчанию SATAN старается не использовать хосты с ненулевым значением уровня близости. Однако вы легко можете изменить политику программы, отредактировав соответствую­щим образом файл конфигурации. Кроме того, можно изменять политику и с помощью гипертекстового пользовательского интерфейса или параметров ко­мандной строки.
ПОЧЕМУ        ДЕРЖАТЬ SA TAN ПОДАЛЬШЕ от ДРУГИХ СЕТЕЙ
По умолчанию инструментальное средство SATAN сканирует только одну сеть или часть этой сети. Будьте осторожны при расширении зоны поиска этой программы. Дело в том, что администратор исследуемой сети может зарегистрировать вашу деятельность и принять вас за хакера. После этого он может отключить свою сеть и даже попытаться наказать вас.
Если такое случится, то можно подвергнуться серьезному наказанию. Дело в том, что ваши действия будут расценены как попытка обнаружить уя; мые места чужой сети. И если политика безопасности этой компании пред усматривает обнаружение и наказание хакеров, то вам не избежать неприят­ностей. О политиках мы подробно поговорим в главе 21.
сбор целей
SATAN может собирать данные и об одном хосте, и о нескольких хостах подсети сразу. (Подсетью называется блок, состоящий не более чем из 256 соседних сетевых адресов или адресов Internet.) Процесс обследования нескольких хостов называется сканированием подсети. Хосты-цели определяются пользователем либо генерируются логическим процессором на основании данных, полученных от модуля сбора данных.
Шкалирование подсети
Если вы укажете'* SA /ИЛ'обследовать все хосты подсети, то прежде всего программа попытается определить, какие из хостов доступны для сканирования. Для этого используется утилита fping. Она представляет собой измененную утилиту ping, которая последовательно проверяет все хосты. С помо-щью^/л^программа SA TAN определяет, какие из хостов не существуют или выключены, и не тратит время на их исследование, Кроме того, эта утилита может определить незарегистрированные системы, присоединенные к сети без разрешения администратора.
процессор сбора данных
Процессор сбора данных принимает информацию от компонента сбора целей и выполняет указанные испытания. Но прежде, чем провести испытание, он све­ряется с процессором политики: возможно, пользователь запретил проведение подобного испытания на этом хосте. Файл конфигурации SA TAN содержит ин­формацию о том, какие инструменты могут быть применены процессором сбора данных на определенных уровнях сканирования. Чтобы не делать ненужной ра­боты, программа хранит запись о каждой проделанной пробе. В результате пользователю предоставляется список новых фактов, полученных на протяжении текущего сеанса работы.
Программа SATAN поставляется с несколькими взаимосвязанными инструменталь­ными средствами/Каждое из них реализует один из типов испытаний. Существует договоренность, по которой имя каждого такого средства заканчивается символа­ми .satan. Обычно средство представляет собой небольшую программу, написан­ную на языке программирования PERL или каком-либо другом языке разработки сценариев. Все инструментальные средства генерируют информацию в соответ­ствии с общим форматом записей. Мощь программы SATANзаключается в исполь­зовании концепции «ящика инструментов». Благодаря ей можно и самим добав­лять новые инструменты к программе.
УРОВНИ СКАНИРОВАНИЯ
программа SATAN может испытывать хосты с различными уровнями ин­тенсивности. Уровень сканирования определяется элементами файла конфигура­ции. Однако можно изменить эти установки с помощью параметров командной
строки или изменив соответствующим образом сам файл конфигурации. В табли­це 18.2 приведены допустимые установки интенсивности уровней сканирования.
Уровень Описание
Light Наименее тщательное сканирование. SATAN
воспользуется информацией, полученной от DNS,
попытается установить, какую из служб RPC (Remote Procedure Call) может предоставить хост и какая из файловых систем используется хостом совместно со всей оставшейся сетью. Благодаря этой информа­ции SA TAN определит общую характеристику хоста (файл-сервер, бездисковая рабочая станция и т.д.).
Normal На этом уровне SA TAN попытается обнаружить
присутствие основных сетевых служб, вроде finger,
службы удаленной регистрации в сети, Web, Gopher и т. д. Полученная информация будет использована
для определения типа операционной системы _и (если возможно) номера версии продукта._
Уровни сканирования (продолжение таблицы на следующей странице).
Уровень.
Описание
Heavy
На этом уровне программа будет использовать информацию, полученную на уровне Normal. Кроме того, она проведет более тщательное сканирование сетевых служб исследуемого хоста. sa ГЛ/Уопределит, обладает ли каталог анонимного пользователя FTP правами на запись, в каком состоянии находятся средства управления доступом сервера X-Windows, используются ли символы шаблона в файле /etc/hosts.equn и т. д._
Уровни сканирования (окончание).
Недостатки защиты сети могут обнаружиться каждом из этих уровней. В SA ТА N используется консервативный подход к определению уязвимых мест сис­темы: программа не пытается их использовать.
логический процессор
Сердцем программы SATAN является набор небольших логических процессоров. Каждый их них обладает базой данных, содержащей некоторые правила поведе­ния процессора. Все они используются во время работы процессора. Каждый процессор генерирует список новых данных, новых испытаний (для процессора
сбора данных) и новых целей (для процессора сбора целей). В таблице 18.3
приведены описания баз данных с правилами.
Расположение,
rules/todo
Описание
rules/hosttype
rules/facts
Правила этой базы данных определяют, какое из испытаний будет проведено следующим.
Например, если исследуемый хост предоставляет службу FTP, то SATAN попытается определить,
поддерживает ли хост анонимного пользователя FTP и может ли этот пользователь записывать информацию
в свой домашний каталог.
Правила этой базы данных определяют тип иссле­дуемой системы (например, DEC, HP или SUN). Если возможно, то программа попытается определить номер версии продукта (с помощью Telnet, FTP
и других служб).
Правила этой базы данных определяют потенциально слабые места системы. Например, некоторые версии демонов FTP или sendmail предоставляют хакерам дополнительные возможности проникновения в систему. SA TAN определяет версии этих демонов.
Базы правил SATAN (продолжение таблицы на следующей странице).
Расположение Описание
rules/services Правила этой базы данных определяют преобразование
скрытых заголовков демонов и номеров сетевых портов в более понятные для пользователя названия, вроде «Web server» или «diskless NFS client».
rules/trust Как и предыдущая база правил, эта база помогает
программе определить данные, связанные со службой NFS, DNS, NIS и других надежных субъектов системы.
rules/drop Правила этой базы данных определяют, какие данные
должны быть проигнорированы. Чаще всего эти правила используются, чтобы заставить SATAN не выводить сообщения о не очень важных (по вашему мнению) деталях системы. Правила _реализуются модулем drop Jact.pl.
Базы правил SATAN (продолжение).

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика