| |
За последние несколько лет число инструментальных средств защиты для Windows и UNIX резко возросло. Интересен факт, что большинство из них является свободно доступными в Internet. Я буду описывать только свободные инструментальные средства, так как большинство коммерческих инструментальных средств смехотворно дорого, не имеют открытых исходников и во многих случаях содержат сильные дефекты защиты (подобно сохранению паролей в чистом тексте после установки). Любой серьезный cracker/hacker будет иметь эти инструментальные средства в их распоряжении, так, почему не должен Вы?
Имеются несколько основных категорий инструментальных средств, одни просматривают хосты с одного из них, другие сообщают о том, какая OS используется (технология TCP-IP fingerprinting), перечисляют сервисы, которые являются доступными и так далее, наиболее сложными являются средства для вторжения, которые фактически пытаются вторгнуться в систему и формируют отчет о найденных дырках. К тому же, есть эксплойты (exploits).
Имеются также много свободных инструментальных средств и методы, которые Вы можете использовать, чтобы провести проверку. Утилиты вроде nmap, nessus, crack и им подобных могут быстро использоваться, чтобы просмотреть Вашу сеть и ее хосты, быстро находя любые очевидные проблемы.
Хост-сканеры представляют собой программы, которые запускаются на локальной системе в поисках проблем.
Cops чрезвычайно устаревший сканер. Упомянут только для исторической точности.
Tiger все еще в разработке, хотя кое-где уже начал использоваться (например, в Texas Agricultural and Mechanical University). Скачать можно с ftp://net.tamu.edu/pub/security/TAMU.
check.pl хорошая программа на Perl которая проверяет права доступа к каталогам и файлам и сообщает обо всех странностях и несоответствиях, которые найдет. Скачать можно с http://opop.nols.com/proggie.html.
Сетевые сканеры предназначены для изучения открытых сервисов. Имейте в виду, что многие хакеры используют их для поиска дырок в защите Вашей системы, так что лучше бы Вам найти эти дырки первым.
Strobe один из старых сканеров портов. Он просто пытается соединяться с различными портами на машине и сообщает результат. Прост в использовании и очень быстр, но не имеет свойств, которые имеют более новые сканеры портов. Strobe доступен для почти всех дистрибутивов, исходники есть на ftp://suburbia.net/pub.
Nmap более новый и намного более функциональный инструмент сканирования хостов. Использует продвинутые методы типа TCP-IP fingerprinting, в котором тип ОС удаленного хоста определяется путем анализа возвращаемых пакетов TCP-IP на предмет наличия в них особенностей реализации TCP-IP стека конкретной системы. Nmap также поддерживает разные методы сканирования от обычного TCP-сканирования (просто пробует открыть подключение как обычно) connection as normal) до невидимого сканирования и полуоткрытого SYN сканирования (разваливает ненадежные стеки TCP-IP). Это, возможно, одна из самых лучших программ просмотра портов. Nmap доступен на http://www.insecure.org/nmap/index.html. Есть интересная статья на http://raven.genome.washington.edu/security/nmap.txt по nmap и использованию некоторых его хитрых возможностей.
http://members.tripod.de/linux_progz
Portscanner очень маленькая утилита с настраиваемыми уровнями вывода, что делает его удобным для использования в скриптах. Имеет открытые исходники и свободен, скачать можно с http://www.ameth.org/~veilleux/portscan.html.
Queso не сканер, но сообщит Вам с довольно хорошей степенью точности под какой ОС работает удаленный компьютер. При использовании ряда допустимых и ошибочных пакетов tcp он сравнивает получаемые ответы со списком известных ответов для разных ОС. Скачать Queso можно с http://www.apostols.org/projectz/queso.
Сканеры вторжения представляют собой следующий шаг в развитии сетевых сканеров. Эти пакеты программ идентифицируют уязвимость, и в некоторых случаях позволяют Вам активно пробовать атаковать систему. Если Ваши машины восприимчивы к этим нападениям, Вы должны принять меры защиты, поскольку любой нападаюший может получить эти программы и использовать их.
Nessus относительно нов, но быстро движется к позиции самого лучшего пакета такого назначения. Он имеет архитектуру client/server, сервер пока работает под Linux, FreeBSD, NetBSD и Solaris, клиенты есть для Linux и Windows, есть также Java-клиент. Связь между клиентом и сервером зашифрована. Nessus поддерживает просмотр портов и нападение, основанное на адресах IP или именах. Может также прерывать сеть DNS-информация и нападать на связанные хосты в сети. Nessus работает относительно медленно в режиме нападения, но имеет более 200 вариантов атаки и язык для написания plug-in, так что можно писать свои сценарии атаки. Nessus доступен на http://www.nessus.org.
Saint продолжение Satan, сетевой сканер защиты. Saint также использует архитектуру client/server, но с www-интерфейсом вместо клиентской программы. Saint производит очень простой в чтении и понимании вывод с описанием проблем защиты, градуируемыми приоритетом (хотя не всегда правильными) и также поддерживает add-in модули сканирования, делающих его очень гибким. Saint доступен на http://www.wwdsi.com/saint.
Вообще-то, это не сканер, но позволяет быстро определить тип ОС на большом числе машин. Cheops представляет собой усиленный вариант "network neighborhood", он создает образ домена или IP-блока с указанием ОС и подобной инофрмации. Это чрезвычайно полезно для подготовки начального просмотра, поскольку Вы можете быстро найти интересные элементы (HP-принтеры, Ascend-роутеры и тому подобное). Cheops доступен на http://www.marko.net/cheops.
Две простых утилиты, которые сканируют серверы ftp и mail. Доступны на http://david.weekly.org/code.
Security Auditors Research Assistant (SARA) похож на SATAN и Saint. SARA поддерживает многопоточное сканирование, хранит свои данные в базе данных для простого доступа и строит хорошие HTML-отчеты. SARA свободна для использования и доступна с http://home.arc.com/sara.
BASS is the Bulk Auditing Security Scanner позволяет просмотреть internet на предмет известных эксплойтов. Скачать можно с http://www.securityfocus.com/data/tools/network/bass-1.0.7.tar.gz
Имеется также ряд программ, которые выполняют просмотр firewalls и другие тесты проникновения, чтобы выяснить, как firewall конфигурирован.
Firewalk программа, которая использует traceroute стиль пакетов, чтобы просмотреть firewall и пытаться выводить правила этого firewall. Не имеется никакой реальной защиты против этого кроме тихого отрицания пакетов вместо того, чтобы посылать сообщения отклонения. Я советую использовать этот инструмент против Ваших систем, поскольку результаты могут помочь Вам усилить защиту. Firewalk есть на http://www.packetfactory.net/firewalk.
Я не буду рассматривать эксплойты специально (их сотни, если не тысячи для Linux). Я только перечислю основные сайты, где их можно найти.
Один из главных архивных сайтов эксплойтов, имеет удобный поиск.
Written by Kurt Seifried |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |