На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

АНАЛИЗ СЕТЕЙ   WINDOWS NT и NOVELL NETWARE

В предыдущих разделах главы рассказывалось о том, как с помощью SATAN определить уязвимые места систем Unix. Далее мы поговорим об одном из луч­ших средств анализа систем Windows NT и Novell NetWare — программе Капе
Security Analyst (KSA). Она производит практически те же действия, что и SATAN.
Если вы являетесь администратором сетей Windows NT или Novell NetWare, то по достоинству оцените эту программу.
В следующих разделах я научу вас основам работы с KSA. Кроме того, мы поговорим об анализе полученных с помощью программы результатов.
ПРОБНАЯ ВЕРСИЯ KSA
На поставляемом вместе с этой книгой компакт-диске есть Щ тридцатидневная пробная версия KSA. Перейдите в каталоги KSAvl запустите программу setup. При появлении соответствую­щего приглашения программы установки введите Intrusion Обратите внимание: эта программа на работу под управлением операционных систем Windows 95, Windows NT 3.51 или выше.
Кроме того, на компакт-диске расположена тридцатидневная пробная копия Капе Security Monitor (KSM). С се помощью можно наблюдать за работой
сервера Windows NT в реальном времени. Эта программа анализирует формацию, полученную средствами аудита, и сообщает вам о возможных-нападениях хакеров. Чтобы установить KSM, запустите программу setup, рас-., положенную в каталоге KSM При появлении соответствующего приглаше­ния программы установки введите Капе Security.
За более подробной информацией о программах KSA и KSM обратитесь на;| Web-сайт компании Kane Security Systems, расположенный по адресу http://www.intrusion.corn.
ЗАПУСК KSA
После запуска программа установки попросит вас ввести ключ для деблокировки пробной версии. Чтобы разблокировать программу наберите Intrusion Detection. После этого программа будет установлена либо на сервере, либо на присоеди­ненной к серверу рабочей станции (что более предпочтительно). Установка на рабочей станции позволит вам исследовать системы безопасности сервера не из­нутри, а снаружи — так, как должны проводиться все нормальные атаки.
Установив программу, зарегистрируйтесь в сети на правах администратора (или супервизора). После этого откройте меню Пуск и выберите в нем пункт Программы. В появившемся меню выберите пункт Intrusion Detection, а в нем -
пиктограмму KSA.
Во время первого запуска программа попросит вас указать, должна ли она про­верять все машины в сети (2).
Sam for       N1 machines now?
Диалоговое окно Search for Machines.
Время сканирования сети зависит от ее размеров. В среднем работа программы занимает около 20 минут.
После завершения первоначального поиска остальных машин Windows NT, про­грамма отобразит свое основное окно (3).
Основное окно программы KSA.
Все расположенные в этом окне пиктограммы связаны с выполнением опреде­ленной задачи. Однако наиболее часто мы будем использовать четыре огромные кнопки, расположенные в нижней части окна.
УСТАНОВКА  СТАНДАРТА БЕЗОПАСНОСТИ
Прежде чем начать поиски уязвимых мест сети, укажите какие проблемы
вас интересуют. Для этого щелкните мышью по кнопке Set Security Standard. На экране должно появиться соответствующее диалоговое окно (4).
В левой части окна расположено шесть кнопок. Далее я расскажу о предназна­чении каждой из них.
Установи  ОГРАНИЧЕНИЙ НА УЧЕТНЫЕ ЗАПИСИ
Кнопка Account Restrictions отображает несколько флажков. Каждый из них свя­зан с некоторой процедурой проверки сети. Лучше всего использовать установ­ки по умолчанию. Однако, если в вашей сети только одна рабочая станция и сервер, можно отключить этот параметр.
Ограничение учетных записей является одним из наилучших средств управления сетью. С его помощью вы сможете не дать хакерам зарегистрироваться в сети. Поэтому я настоятельно рекомендую вам воспользоваться этим параметром.
Проверка паролей
Кнопка Password Strength отвечает за проверку используемых в системе паро­лей. Если щелкнуть по ней мышью, то на экране появится соответствующее диалоговое окно (5).
Диалоговое окно Password Strength.
С помощью этого окна можно указать программе, какие параметры паролей она должна проверять. Если вы хотите, чтобы ksa попыталась взломать пароли, нужно изменить один из элементов реестра. С помощью редактора regeditnanjyaте параметр ACT_AS_OPEMTING_SYSTEMOpiicBome ему значение 1. Теперь KSA сможет провести атаку против установленных на сервере паролей. Завершив программу, обязательно верните параметр в первоначальное состояние (при­свойте ему значение 0).
УПРАВЛЕНИЕ ДОСТУПОМ
С помощью кнопки Access Control можно проверять права доступа пользовате­лей. В результате своей работы KSA отобразит список прав, которые, по мне­нию программы, представляют опасность для системы.
Как правило, вам достаточно использовать установки по умолчанию. Поработав некоторое время с программой, вы и сами сможете определить, какие установ­ки не так важны для вашей системы. Например, если вы не используете сервер удаленного доступа (RAS — Remote Access Server) и не загрузили никаких про­грамм на сервере, то вам не нужно проверять, выполняются ли какие-нибудь
сетевые службы.
ПАРАМЕТРЫ МОНИТОРИНГА СИСТЕМЫ
Четвертая кнопка позволяет вам управлять политикой аудита, просматривать журнал событий и заставлять систему блокировать пользователей после несколь­ких неудачных попыток регистрации. Если вы обслуживаете распределенную сеть, то вам наверняка захочется проверить, отвечает ли она хотя бы минимальным требованиям безопасности. Однако администратор может и ужесточить правила управления сетью. Например, он захочет регистрировать все попытки доступа к объектам и файлам. О том, как это сделать, мы говорили в главе 12.
ПРОВЕРКА   ЦЕЛОСТНОСТИ ДАННЫХ
С помощью кнопки Data Integrity можно провести анализ защищенности разме­щенных в системе данных. Например, KSA проверяет, установлены ли в сети источники бесперебойного питания. Если их нет, то ШЛсообщит вам об этом.
Кроме того, с помощью этого параметра можно указать программе искать служ­бы, которые могут быть использованы хакером для проникновения в сеть. Па­раметры целостности данных совместно с параметром ограничений на учетные записи позволят вам проверить права доступа таких служб.
КОНФИДЕНЦИАЛЬНОСТЬ ДАННЫХ
Кнопка Data Confidentiality позволяет определить, насколько хорошо защищены ваши данные. Основной проблемой здесь может стать использование в корневом-каталоге файловой системы FAT16 или FAT32 (вместо NTFS). Кроме того, с по­мощью этой кнопки можно проверить, не хранит ли система пароли в файле реестра, а также убедиться в том, что система не поддерживает автоматическую регистрацию.
Последний параметр может показаться вам достаточно странным; немногие ком­пании предупреждают своих пользователей (и хакеров) о возможности наказа­ния. Однако в связи с недавними решениями суда эта обязанность возлагается на компании. Поэтому программа проверяет наличие таких предупреждений. Отсутствие подобного предупреждения не представляет никакой опасности для системы. Однако в главе 21 вы узнаете о том, что лучшим оружием против хакеров является их наказание. Поэтому будьте последовательны до конца.
Установив параметры всех кнопок, щелкните мышью по кнопке ОК. В ответ ksa отобразит свое основное окно, В следующих разделах мы немного погово­рим о работе программы.
НАЧАЛО АНАЛИЗА
Чтобы начать анализ системы, щелкните мышью по кнопке Run Security Audit. На экране появится соответствующее диалоговое окно (6).
Диалоговое окно Run Security Audit.
С помощью этого окна можно определить действия программы, а также указать имена компьютеров, подлежащих проверке. В нашем примере программа дол­жна обследовать машины, расположенные в домене JP. Если у вас достаточно большой домен, то работа программы может занять около часа и даже более.
Если же вы хотите обследовать только одну машину, дважды щелкните мышью по списку с именами доменов. В ответ программа отобразит список всех машин. Дважды щелкните мышью по необходимому компьютеру. После этого щелкните по кнопке Start.
Во время работы программа отобразит панель хода выполнения. С ее помощью можно примерно оценить, сколько времени осталось до завершения работы. Окончив сканирование, KSA отобразит на экране отчет о результатах проделан­ной работы.
Report Card
Отчет о результатах проделанной работы.
АНАЛИЗ ОТЧЕТА
Отчет о результатах проделанной работы показывает (в процентах) степень соот­ветствия системы установкам программы. Как показано 7, в отче­те содержится шесть разделов, а также средний результат, полученный по всем этим разделам. В нашем примере машина на 95 процентов удовлетворяет требова­ниям ограничений на учетные записи и достаточно неплохо справляется с управ­лением доступом. Однако во всех остальных разделах она получила достаточно низкие оценки. Поэтому KSA сделала вывод о том, что система достаточно под­вержена нападениям извне. После устранения недостатков системы запустите программу снова, и вы получите справедливую оценку своей работы.
Как видно, программа достаточно точно определяет состояние системы. Кроме того, KSA предоставляет информацию о том, как исправить недостатки безопас­ности системы.
список   уязвимых мест
Чтобы получить более подробную информацию о проблемах системы, щелкните мышью по кнопке List Risks. В ответ программа отобразит соответствующее
диалоговое окно.
1- Account
Большая часть этой информации достаточно понятна и не требует дополнитель­ных пояснений. Например, опасностью номер один программа считает тот факт,
что администратор не подключил средства блокировки учетных записей. Чтобы исправить этот недостаток, воспользуйтесь программой Диспетчер пользователей доменов. Как уже говорилось в главе 12, с помощью этой программы администра­тор может также подключить средства аудита (их отсутствие программа указала во втором пункте списка). Чтобы запустить эту программу, щелкните мышью по кнопке Пуск и выберите пункт Программы. В появившемся подменю выберите пункт Администрирование (общее), а затем — Диспетчер пользователей доменов.
ПРОЧИЕ ПАРАМЕТРЫ
После того как программа определит основные недостатки вашей системы, вы наверняка захотите их исправить. Отмечу, однако, что с помощью программы можно просматривать и некоторые другие параметры системы. Эта информация различается для сетей Windows NT и Novell NetWare. Например, в Windows NT можно просматривать диалоговое окно с информацией о реестре (9).
В сетях Novell NetWare вместо просмотра реестра вам предоставляется возмож­ность просмотра файлов связей и привилегий доступа к контейнеру. Однако я не
могу дать вам здесь никаких советов. Какой из параметров программы должен
быть задействован, определяет только конечный пользователь. ОТЧЕТЫ KSA
Программа предоставляет различные диаграммы и диалоговые окна с инфор­мацией о системе (10). Однако она лишена средств для вывода отчетов на принтер.
Каждый пункт этого отчета содержит информацию о конкретном недостатке си­стемы. В нашем примере сервер WWW неиспользует средства блокировки учет­ных записей. В связи с этим следующие три пункта вообще не были проверены.
Четвертый пункт указывает на то, что сервер не обладает политикой аудита.
Поэтому в следующей строке программа сообщила о неправильной конфигурации политики аудита сервера. Благодаря этой информации вы сможете исправить недостатки системы.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика