На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

АНАЛИЗ и ОТЧЕТ

Сканируя сеть, состоящую из сотен или тысяч хостов, SATAN может получить огромное количество данных. Не очень-то разумно представлять все эти данные в виде бесконечных таблиц. Вместо этого вы должны воспользоваться всеми преимуществами гипертекстовой технологии.
Для перемещения по своим сетям с помощью программы от вас потребуется минимум усилий. Можно разбить информацию по следующим разделам:
• Домены или подсети
• Сетевые службы
• Тип системы и номер версии
• Надежные взаимоотношения (SA TAN определяет такие отношения как со­вместно используемые файловые системы, надежные хосты и т. д.).
• Тип уязвимости и уровень опасности
Кроме того, можно использовать для разбивки данных о безопасности системы комбинации представленных выше критериев. Таким образом можно существенно уменьшить (или увеличить) размеры отчетов. Благодаря этому можно достаточ­но легко найти нужную вам информацию. Например, вас могут заинтересовать
следующие данные:
• Какие подсети содержат бездисковые рабочие станции
• Какие хосты предоставляют анонимный FTP
• Чьи компьютеры работают под управлением FreeBSD или Linux
• Какие незарегистрированные хосты (без имени DNS) присоединены к ва­шей сети
Для изменения информации достаточно несколько раз щелкнуть
мышью. Так вы сможете получить ответы на конкретные вопросы (вроде тех, что представлены выше). Более того, с помощью SATAN можно распечатать
полученную информацию. НЕСКОЛЬКО ПРОЦЕССОВ SATAN
ускорить сбор данных, можно параллельно запустить несколько процес­сов SATAN. Однако вы должны обеспечить каждый из процессов своей соб­ственной базой данных. (Для изменения имени базы данных нужно использо­вать параметр -а.) Так вы сможете избежать случайного вмешательства одного процесса в записи другого. Многие системные администраторы используют одну базу данных на каждую подсеть (блок, состоящий не более чем из 256 компьюте­ров). После завершения сбора данных можно указать компоненту отчетов объ­единить несколько баз данных в одном отчете.
ПЕРВОЕ СКАНИРОВАНИЕ
Установив SATAN на своей системе, вы должны заставить программу проскани-ровать сеть. Запущенная программа первым делом приступит к испытаниям без­опасности удаленного хоста. SATAN может сканировать огромное количество хостов. К сожалению (или к счастью?), вы не можете просканировать все хос­ты. Поэтому вы не должны сканировать чужие хосты без специального на то разрешения.
Чтобы начать сканирование, проделайте следующие операции:
1. Щелкните мышью по гиперссылке Run SATAN, расположенной в панели управления HTML-интерфейса. В ответ программа попросит вас выбрать первоначальную цель. Введите имя хоста, с которого выполняется SATAN.
2. Щелкните мышью по гиперссылке Scan the target host only, расположен­ной в панели управления программы. Но если у вас есть соответствующие разрешения и много свободного времени, то можете попробовать проскани-
ровать всю подсеть (гиперссылка Scan all hosts in the primary subnet). Стоит
отметить, что сканирование одного хоста может занять несколько минут.
3. Выберите уровень сканирования — Normal. Чем выше уровень, тем больше будет потрачено времени на сканирование. Если же вы запускаете програм­му в первый раз, то вам достаточно будет и этого уровня. Я уверен, что в вашей системе будет выявлено достаточно слабых мест даже на этом уровне.
4. Чтобы начать сканирование, щелкните мышью по гиперссылке Start the scan.
Анлли.  ПОЛУЧЕННЫХ ДАННЫХ
Наиболее трудным аспектом использования программы SATAN является анализ полученных данных. Дело в том, что не существует «корректного» уровня без­опасности для сети. На одних системах вам может потребоваться достаточно умеренный уровень безопасности, а на других — гораздо более высокий. Отмечу
лишь, что уровень безопасности системы зависит от выбранной политики и со­ставляющих ее сайтов или систем.
Кроме того, вам могут быть неизвестны действия параметров SATAN, а также ее методы определения уровня безопасности. Мой совет: потратьте некоторое вре­мя на изучение отчетов программы, чтобы получше разобраться в них. Встретив
в отчете сообщение о некоторой проблеме, постарайтесь выяснить ее происхож­дение и, если можно, избавиться от нее. Возможно, что вместе с решением некоторых понятных вам проблем вы избавитесь от тех, которые не поняли.
Если в отчете Sa TAN рядом с именем хоста стоит красная точка, то это значит, что у него есть уязвимые места. Черная точка означает лишь то, что программа не обнаружила (пока) проблем в системе безопасности хоста. Чтобы отобразить дополнительную информацию о каком-либо хосте, щелкните мышью по соот­ветствующей гиперссылке.
Чтобы сгенерировать отчет прямо в программе, выберите в панели управления гиперссылку SATAN Reporting & Data В ответ программа предложит
выбрать один из пунктов. При первом знакомстве с SATAN наиболее подходя­щим выбором станет секция Vulnerabilities После этого выберите гиперссылку By Approximate Danger Level. Этот отчет содержит информацию об угрожающих системе опасностях (в порядке убывания).
Наилучшим методом изучения программы является ее интенсивное использова­ние. Тщательно изучайте полученные отчеты, экспериментируйте с различны­ми параметрами, и вы в конце концов обнаружите все уязвимые места системы.
ИЗУЧЕНИЕ РЕЗУЛЬТАТОВ
Запустив SATAI в первый раз, вы получите огромный отчет. Для более продук­тивного изучения результатов отсортируйте полученную информацию по трем категориям: Vulnerabilities, Host Information и Trust. SA TAN размещает всю ин­формацию в виде гипертекста. Поэтому можно случайно перейти из одной кате­гории в другую. В таблице 18.4 приводится описания всех трех категорий.
Категория_Описание_
Vulnerabilities Содержит информацию об уязвимых местах системы:
где они расположены, что из себя представляют и т. д.
Host Information       Содержит информацию о местоположении серверов,
исследованных хостах, неисправностях подсетей и т. д.
, Trust Содержит информацию о взаимоотношениях систем.
SATAN определяет хосты, поддерживающие процедуры удаленной регистрации, совместно _использующие файловые системы и т. д._
Категории информации SATAN.
Большая часть отчетов содержит указатель, который позволяет разбить каждую
категорию на подкатегории и определить специфические проблемы сети. Кроме того, в указателе содержится гиперссылка на содержание. Каждое описание уяз­вимого места может содержать гиперссылки на более полное описание проблемы, где приводятся специфические аспекты этой проблемы и возможные решения. Если в SA TAN содержится решение, созданное CERT, то программа отобразит дополнительную гиперссылку на это решение.
УЯЗВИМЫЕ МЕСТА
SA TAN представляет результаты сканирования в виде описания уязвимых мест. Я думаю, что большинство читателей согласится с тем, что эта информация
является наиболее важной. С ее помощью можно обнаружить и решить практи­чески все проблемы. В таблице 18.5 приводятся описания трех основных отчетов
о проблемах системы.
Тип_Описание_
Approximate Danger Level   В результате каждого испытания генерируется
основной уровень опасности найденной
проблемы. Этот отчет сортирует все проблемы
по степени серьезности. Наиболее серьезной
проблемой считается получение хакером прав roof-пользователя. Наименее серьезной проблемой считается возможность удаленного считывания файла.
Type of Vulnerability Содержит информацию о типах проблем каждого
хоста.
Vulnerability Count            Содержит имена хостов с наибольшим _количеством обнаруженных проблем._
Типы отчетов о проблемах системы.
Вы должны тщательно изучать все полученные результаты. Кроме того, попы­тайтесь определить, какой из отчетов показался' вам наиболее информативным. С течением времени вы сможете точно определять, какой из них вам нужен.
РАСПЕЧАТКА ОТЧЕТОВ
Все отчеты программы SA TAN выводятся в окне броузера. С его помощью можно распечатать текущую страницу отчета (точно так же, как и любую другую Web-стра-
ницу).
ИНФОРМАЦИЯ о ХОСТАХ
В этом разделе мы подробнее поговорим о категории Host Information. Обычно в
ней располагаются номера хостов и ссылки на более подробную информацию о
хосте или список всех просканированных хостов.
Если рядом с именем хоста стоит красная точка, то это значит, что SATAN
обнаружил на нем какую-либо проблему. Обращаю ваше внимание: программа
SATAN указывает на возможные проблемы. Не обязательно, что эта проблема уже использовалась (или используется) хакерами. Например, наличие ТСР-обер-
тки Wietse, фильтра пакетов, брандмауэра или иных средств безопасности (да и
просто недостаток информации) может привести к тому, что программа будет
обнаруживать несуществующие проблемы.
Если рядом с именем хоста стоит черная точка, то это значит, что программа не обнаружила у хоста никаких недостатков. Однако не следует думать, что хост АБСОЛЮТНО надежен. Сканирование на более высоком уровне может указать на некоторые дополнительные проблемы, не выявленные в предыдущих сеансах работы SATAN. Кроме того, просмотрите базу данных программы: возможно испытание было прекращено из-за недостатка времени. В этом случае нужно запустить программу повторно.
Расположенные в категории Host Information ссылки ведут к более подробной информации о соответствующем хосте, сети или проблеме. В таблице 18.6 при­водится описание подкатегорий Host Information.
Подкатегория
Описание
Class of Service
System Type
Internet Domain
Subnet
Host Name
Эти отчеты содержат информацию о различных сетевых службах, предоставляемых исследованными хостами. Для получения подобной информации программа SATAN проверяет порты rpcinfo и TCP.
Эти отчеты подразделяют хосты по типам аппаратного обеспечения (Sun, SGI, Ultrix и т. д.). Затем все хосты подразделяются по типам операционных систем (если программа сможет определить их).
Эти отчеты содержат информацию о хостах,
распределенных по доменам DNS. С их помощью можно определить, какие из доменов должны быть зоной
особого внимания. Критерием такого выбора может
послужить количество машин в домене, количество серверов и/или хостов в подсети и т. д.
Эти отчеты содержат информацию о подсетях. В SATAN подсетью считается блок, состоящий не более чем
из 256 последовательных сетевых адресов, у которых первые три октета (первые три числа в представлении «десятичное с точкой») совпадают с октетами исследуемого хоста. Подсети — это наиболее широко используемая в небольших организациях конфигурация сетей. Чаще всего она определяет группу из нескольких рядом стоящих хостов в рамках более обширной системы. Поэтому такие отчеты могут помочь вам в определении слабых мест отдельных разделов вашей сети. В этих отчетах содержатся имена хостов, а также вся „полученная о них информация._
Подкатегории Host Information.
ОГРАНИЧЕНИЯ ПРОГРАММЫ SATAN
Вы должны четко понимать, что программа SATAN не является идеальным инст­рументом. Не стоит успокаиваться, если программа выдала сообщение «clean bill of health» — это не значит, что ваша система АБСОЛЮТНО защищена от постороннего вмешательства. Скорее всего, вам нужно провести более тщатель­ное сканирование. Далее приводится список действий, которые помогут вам определить дополнительные проблемы системы:
Испытайте хосты из какого-либо места, расположенного за пределами си­стемы. Как правило, это помогает определить проблемы, связанные с
брандмауэрами. Но если даже в вашей сети нет брандмауэра, то вы все
равно должны провести такое испытание.
• Протестируйте хосты как можно жестче. Воспользуйтесь параметром high $proximity_descent(npncBome ему значение 2 или 3).
• Используйте очень низкий уровень $тахjroximityjevel. Обычно егозна'-чение не должно превышать 3. Однако если вы находитесь с внешней
стороны брандмауэра, можете присвоить этой переменной окружения боль­шее значение. Однако не увлекайтесь: значение не должно превышать 10.
Начните с простых испытаний и постепенно увеличивайте их уровень. Постоян­но проверяйте полученные результаты. С помощью переменных $only_attack_these и $dont_attackjheseуправляйте направленностью атак SATAN.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика