про спроби підбора паролів для TELNET і FTP, про сканування портів і про сканування мережі з використанням знаменитої програми вилученого пошуку відомих уразливостей мережних ОС - SATAN. Тому, якщо адміністратор IP-мережі не бажає залишатися байдужим і задовольнятися роллю простого статиста при вилучених атаках на його мережу, то йому бажано використовувати мережний монітор безпеки IP Alert-1. До речі, Цутому Шимомура зміг запротоколювати атаку Кевіна Митника, багато в чому, видимо, завдяки програмі tcpdump - найпростішому аналізатору ІР-трафіка.
3.6 Засоби автоматизованого контролю безпеки
Ми вже говорили про корисність засобу автоматизованого контролю безпеки окремого комп'ютера, а також усієї подмережі, за якої він відповідає, для системного адміністратора. Природно, що такі засоби вже з'являлися, і частіше інших зустрічаються назви ISS (Internet Security Scaner), COPS (Computer Oracle and Password System) і, звичайно, SATAN (Security Administrator Tool for Analizyng Networks). На жаль, їм звичайно властиві наступні недоліки:*
системозалежність - звичайно вони розраховані на цілком конкретну ОС чи
навіть її версію;
ненадійність і неадекватність - якщо ці програми повідомляють, ще всі
"О'кеу", це зовсім не виходить, що так насправді і є; і навпаки - деяка
"уразливість" , з їхнього погляду, може виявитися спеціальним варіантом
конфігурації системи;
малий час життя - тому що з моменту виявлення уразливості до її
викорінювання проходить не дуже великий час (порядку року), програма
швидко застаріває;
не актуальність - більш того, з моменту виходу програми у світ всі нові
(тому самі небезпечні) уразливості виявляються невідомими для неї, і її
цінність швидко зводиться до нуля. Цей недолік є самим серйозним;
нарешті, це можливість їхнього використання з прямо протилежними
нарешті, це можливість їхнього використання з прямо протилежними
цілями - для пошуку вад у вашій системі.
Можна помітити явну аналогію цих програм з антивірусними сканерами першого покоління - ті знали лише строго визначений набір вірусів, нозі віруси додавалися тільки в наступному випуску програми. Якщо подивитися ка можливості сучасних антивірусних програм - це й оперативне лікування вірусів автоматизоване поповнення бази вірусів самим користувачем, і пошук невідомі вірусів, - то можна побажати, щоб гарний сканер Інтернету зміг запозичити деякі з них. У першу чергу - це можливість поповнення бази новими уразливостями. Причому в наші дні це нескладно зробити - коштує лише переписувати інформацію з джерел, що займаються саме збором таких зведень, типу CERT чи СІАС.
3.7 Програма SATAN
SATAN вважається самою небезпечною програмою з абиколи написаних, починаючи від своєї лиховісної назви до можливості влізти чи ледве не в самий захищений комп'ютер. А що стосується влізання в комп'ютер - якщо подібна програма і мається в зломщиків чи спецслужб, то вона ніколи не стала б вільно поширюватися по Інтернету, як це відбувається з SATAN.
Насправді SATAN - це добротно зроблена, із сучасним інтерфейсом, програма для пошуку проломів у вашої підмережі (Intranet, як модно говорити останнім часом), написана на машинно-незалежних мовах Perl і 3, тому вона в деякій мері переборює перший з вищеописаних недоліків. Вона навіть допускає можливість для розширення і вставки нових модулів. На жаль, у всім іншому їй властиві зазначені недоліки, у т.ч. і самий головний - вона вже застаріла, і не може зараз серйозно використовуватися ні адміністраторами, ні зломщиками. Однак на момент виходу це була досить актуальна програма. Вона містила в собі пошук більшості уразливостей. Зокрема, програма шукає уразливості в:
FTP і TFTP;
NFS і NIS;
rexd;
sendmail;
r-службах;
X-Window.
Існують також більш пізні версії SaTaN'a, у які включений пошук і інших уразливостей. Для цього вона спочатку всіляким образом збирає інформацію про вашу систему, причому рівень цього конфігурується користувачем і може бути: легкий, нормальний і твердий. Легкий рівень, за твердженням авторів програми, не може бути ніяк виявлений стороною, що атакується, (принаймні, така активність програми ніяк не може бути прийнята за ворожу) і містить у собі DNS-запити для з'ясування версії операційної системи й іншої подібної інформації, що може бути легально отримана з використанням DNS. Далі вона надсилає запит на службу RPC (remote procedure call) для з'ясування, які грс-сервіси працюють. Нормальний рівень розвідки містить у собі всі ці запити, а також доповнює їхньою посилкою запитів (скануванням) деяких строго визначених портів, таких як FTP, telnet, SMTP, NNTP, UUCP і ін. для визначення встановлених служб. Нарешті, твердий рівень містить у собі всі попередні рівні, а також доповнюється повним скануванням усіх (можливих) UDP- і ТСР-портів для виявлення нестандартних служб чи служб на нестандартних портах. Автори застерігають, що таке сканування може бути легко зафіксовано навіть без спеціальних програм - наприклад, на консолі можуть з'являтися повідомлення від вашого Fire Wall..
Іншою важливою опцією, що задається при настроюванні SaTaN'a, є глибина перегляду підмереж (proximity). Значення 0 означає тільки один хост, 1 -підмережу, у яку він входить, 2 - усі підмережі, у які входить підмережа даного хосту, і т.д. Автори підкреслюють, що ні при яких обставинах це число не повинне бути більш 2, інакше SATAN вийде з-під контролю і просканує занадто багато зовнішніх підмереж.
Власне, нічим більш страшним, крім як скануванням портів і виявленням працюючих служб і їхньої конфігурації, SATAN не займається. При цьому, якщо знаходяться потенційні уразливості, він сповіщає про це. Як пишуть самі автори, фаза проникнення у вилучену систему не була реалізована.
Користувач може відсортувати знайдені уразливості (по типі, серйозності і т.п.) і відразу одержати розгорнуту інформацію з кожній з них.
