Ключевые слова:ubuntu, linux, security, (найти похожие документы)
From: Сергей Яремчук
Newsgroups: email
Date: Mon, 18 Feb 2009 17:02:14 +0000 (UTC)
Subject: nUbuntu - дистрибутив для тестирования защищенности
Материал предоставлен редакцией журнала Системный администратор.
Опубликовано в журнале "Системный администратор" N 1 2009
Популярный дистрибутив Ubuntu Linux традиционно ассоциируется с
простотой в использовании и поэтому в первую очередь рекомендуется
начинающим. Но среди его многочисленных клонов имеется специальное
решение nUbuntu, ориентированное на специалистов.
Выбор решения
Пик популярности специальных дистрибутивов, ориентированных на
специалистов в области безопасности, пришелся приблизительно на 2003
год. Как раз в этот период появились первые LiveCD-дистрибутивы, самым
ярким представителем которых стал KNOPPIX. Простота сборки своего
решения, работа прямо с привода компакт-дисков без предварительной
установки на жесткий диск и автоматическая настройка под любое
оборудование были оценены как обычными пользователями, так и группами и
организациями, в задачу которых входила оценка защищенности сетей и
компьютеров.
Как результат, за относительно короткий срок появился целый ряд решений
- Whoppix (чуть позже WHAX), KNOPPIX-NSM, PHLAK, Auditor Security
Linux, Hakin9 Live и другие. Положительной стороной таких сборок было
то, что специалист получал в свои руки готовый инструмент, содержащий
весь необходимый софт, который быстро приводился в "боевое"
положение.
Минусы, конечно, тоже были. Учитывая количество программ в
дистрибутиве, уже через некоторое время сама сборка практически
полностью требовала обновления. Это было неудобно как разработчикам,
так и пользователям.
Это ли было причиной, но через некоторое время интерес к специальным
дистрибутивам стал постепенно угасать.
В результате некоторые проекты практически перестали выпускать
обновления (Hakin9 Live) или совсем исчезли, другие проекты
объединились. Например, команды Auditor Security Linux и WHAX на основе
своих разработок создали довольно неплохой дистрибутив BackTrack.
Появились и новые решения вроде Samurai, разработка которого
сегодня идет весьма активно.
Но как только Linux "научился" нормально загружаться и работать с
USB-флеш-устройств и появился целый подкласс небольших сетевых
компьютеров - нетбуков, интерес у специалистов к дистрибутивам,
предназначенным для проверки безопасности, снова начал расти.
Поиск "своего" решения нужно начинать с сайта http://securitydistro.com/
Назначение большинства представленных там дистрибутивов совпадает, но
основа, начинка и, главное, их возможности существенно отличаются. В
итоге без подбора нужного решения здесь не обойтись.
Например, задачей BackTrack является обеспечение пользователя
инструментами, позволяющими провести тестирование на проникновение
(penetration test), и он, кроме многочисленных сетевых сканеров,
анализаторов протоколов, сниферов и другого сопутствующего софта, под
завязку набит эксплойтами от SecurityFocus, PacketStorm, Metaspl0it
Framework 2/3 и другими. Его основой является SLAX.
Практически аналогичное назначение - у Samurai, построенного на Debian.
Только ориентирован он на web pen-testing environment, то есть
тестирование веб-приложений.
Дистрибутив grml, также построенный на Debian, предназначен для
решения более широкого круга задач - от восстановления системы и
редактирования системных файлов до анализа структуры сети.
Не остались в стороне достижения Ubuntu на десктопах. В итоге
предложено, как минимум, два решения на его основе - Protech ONE и
nUbuntu (Network Ubuntu). Проект Protech ONE после нескольких тестовых
релизов представил (в сентябре 2007 года) лишь единственную версию, и о
его дальнейшем развитии информации в настоящее время нет.
Дистрибутив nUbuntu
Проект nUbuntu появился в конце декабря 2005 года. Основной его задачей
было создание LiveCD-версии набиравшего тогда популярность дистрибутива
Ubuntu (в то время он не имел LiveCD-варианта), оснащенного утилитами
для тестирования сетей и систем. На распространенный вопрос "Зачем еще
один дистрибутив?" разработчики отвечают, что им интересен в первую
очередь сам процесс его создания, а использовать результат их работы
или нет - это выбор каждого.
Первая стабильная версия была анонсирована сразу же после выхода Ubuntu
6.06, с тех пор дистрибутив по мере появления новых версий Ubuntu
несколько раз обновлялся. В настоящее время актуальной является
Alpha-версия 8.10.
В качестве графической среды в nUbuntu вместо KDE или GNOME использован
легкий Fluxbox, плюс убраны все "лишние" приложения вроде
OpenOffice.org, почтовые клиенты, игры и так далее. Это позволило
уменьшить размер дистрибутива до 430 Мб.
Также стоит отметить, что в отличие от остальных подобных решений
интерфейс nUbuntu локализован, хотя и частично. Выбор языка системы
производится стандартно для LiveCD Ubuntu - в загрузочном меню.
Конечно, отсутствие интерфейса на родном языке не должно останавливать
пользователя, на которого рассчитаны специальные дистрибутивы, но такая
функциональность лишней не будет.
Тестирование показало, что nUbuntu хорошо себя чувствует на самом
разном оборудовании и на виртуальных машинах. Например,
сконфигурированный вручную сетевой интерфейс в дистрибутиве BackTrack 3
может запросто "исчезнуть" вне зависимости от виртуальной машины:
VirtualBox или VMware.
Запуск LiveCD происходит быстро из-за того, что графическая подсистема
по умолчанию не загружается. В процессе обнаруживаются и автоматически
настраиваются все устройства, включая проводные и беспроводные сетевые
карты.
По окончании в консоли выдается краткий список рекомендаций по
дальнейшим действиям. В отличие от большинства решений, все действия в
nUbuntu производятся от имени непривилегированного пользователя
nubuntu.
Для выполнения задач, требующих прав администратора, используется sudo,
что является стандартом в Ubuntu. Хотя при выборе некоторых меню для
запуска утилит (Nmap, например) сразу открывается рутовская консоль.
Чтобы загрузить Fluxbox, достаточно набрать "startx".
Кроме инструментов безопасности, дистрибутив содержит некоторые
стандартные приложения:
* текстовые редакторы - VIM, Gvim и GNU/Nano;
* сетевые приложения - XChat, irssi, gFTP;
* клиенты удаленного рабочего стола - RDesktop и VNC Viewer;
* файловый менеджер - Thunar.
Веб-браузер Mozilla Firefox 3.0.3 содержит несколько специфических
расширений, позволяющих проверить открытую страницу на наличие
уязвимостей или отредактировать заголовки HTTP или Cookies: Access Me,
SQL Inject Me, XSS Me, HackBar, Tamper Data, User Agent Switcher и
другие. Почему-то не включены в состав популярный файловый менеджер
Midnight Commander и консольные веб-браузеры links/lynx.
nUbuntu - дистрибутив для подготовленного пользователя. Каких-либо
дополнительных утилит для настройки сервисов или оборудования не
предусмотрено, большая часть настроек, если таковые понадобятся,
осуществляется правкой конфигурационных файлов.
До версии 8.10 программа установки дистрибутива на жесткий диск
ubiquity не входила в комплект поставки, теперь ее дополнительно
устанавливать не нужно. Ее работа не отличается от аналогичной в
Ubuntu. Для установки необходимых приложений можно использовать
apt-get. При вызове меню Install то USB появляется ошибка:
Could not open /cdrom/.disk/info
Please run this application on a Ubuntu live system|
or mount a Ubuntu live ISO to /cdrom
После чего программа прекращает дальнейшую работу. Судя по сообщениям
на форуме проекта, эта ошибка уже известна разработчикам и будет
исправлена в дальнейших релизах. Поэтому будем надеяться, что установка
на флешку не будет вызывать проблем, это только добавит плюсов nUbuntu.
Основной арсенал средств проверки безопасности собран в отдельном меню
- Security Tools, в котором насчитывается 13 подпунктов. Большая часть
находящихся здесь утилит находится в подкаталоге ~/Tools (его размер
150 Мб), только утилиты, доступные в официальном репозитарии Ubuntu
(Nmap, Amap, Wireshark), вызываются из /usr/bin.
Список основных утилит приведен в документе "List of Tools included in
nUbuntu 8.10", доступном на WiKi проекта. Здесь есть все что
необходимо для проверки сетей и систем:
* сканеры - Nmap, Amap, Nessus, Nikto, w3af, wapiti;
* снифферы - Ettercap, Wireshark, DSniff, SSHow, MailSnarf, URLSnarf;
* спуфферы - ARPSpoof, DNSSpoof;
* анализ Bluetooth и Wi-Fi - Bluetooth Audit, Blue Snarfer, ObexFTP,
Kismet, Wicrawl, coWPAtty;
* проверки сервисов на предмет переполнения буфера (fuzzers) - BED
(Bruteforce Exploit Detector), CIRT Fuzzer, ZZUF;
* Cisco - Asleap, Cisco Explorer, Cisco Auditing Tools.
А еще инструментарий для взлома и подбора паролей, Honeypot-система
Nepenthes, утилиты для поиска уязвимостей в базах данных и так далее.
Работа с эксплойтами в nUbuntu, как мне кажется, организована удобнее
по сравнению с BackTrack. В подменю Exploits находим ссылку на
Metasploit Framework 3.1, которые можно запускать из командной строки,
при помощи веб-интерфейса или обновлять одним нажатием клавиши. Хотя в
BackTrack, к слову, есть и GUI к Metasploit, а количество самих
эксплойтов больше.
Поиск и обновление эксплойтов лучше производить через пункт Exploit
Tree. Запустить скрипт FastTrack, который позволяет произвести
автоматическое тестирование системы на наличие уязвимостей (написан
хакером ReL1K из SecureState), из меню Fluxbox не удается. Скрипту
необходимо задать режим работы, а настройки меню этого не
предусматривают. Поэтому необходимо самостоятельно перейти в консоли в
каталог ~/tools/exploits/fasttrack и затем вызвать скрипт
fast-track.py, указав один из режимов. По мере необходимости будет
запрошена загрузка из Интернета дополнительных модулей.
Заключение
Естественно, nUbuntu - дистрибутив, не рассчитанный на широкий круг
пользователей, и в отличие от своего прародителя требует некоторого
уровня подготовки для его настройки и использования большинства утилит.
Специалисты, занимающиеся безопасностью, по достоинству оценят его
возможности.