спроб здійснення вилучених атак на ваш сегмент мережі залишиться приховано від ваших очей. Жоден з відомих FireWall не займається подібним інтелектуальним аналізом минаючих по мережі повідомлень на предмет виявлення різного роду вилучених атак, обмежуючи, у кращому випадку, веденням журналу, у який заносяться зведення про спроби підбора паролів для TELNET і FTP, про сканування портів і про сканування мережі з використанням знаменитої програми вилученого пошуку відомих уразливостей мережних ОС - SATAN. Тому, якщо адміністратор IP-мережі не бажає залишатися байдужим і задовольнятися роллю простого статиста при вилучених атаках на його мережу, то йому бажано використовувати мережний монітор безпеки IP Alert-1. До речі, Цутому Шимомура зміг запротоколювати атаку Кевіна Митника, багато в чому, видимо, завдяки програмі tcpdump - найпростішому аналізатору IP-трафіка.
Рис. 3.2. Мережний монітор безпеки IP Alert-1.
3.6. Засоби автоматизованого контролю безпеки.
Ми вже говорили про корисність засобу автоматизованого контролю безпеки окремого комп'ютера, а також усієї подмережі, за якої він відповідає, для системного адміністратора. Природно, що такі засоби вже з'являлися, і частіше інших зустрічаються назви ISS (Internet Security Scaner), COPS (Computer Oracle and
Password System) і, звичайно, SATAN (Security Administrator Tool for Analizyng Networks). На жаль, їм звичайно властиві наступні недоліки:
системозалежність - звичайно вони розраховані на цілком конкретну ОС чи навіть її версію;
ненадійність і неадекватність - якщо ці програми повідомляють, що всі "О'кеу", це зовсім не виходить, що так насправді і є; і навпаки - деяка "уразливість" , з їхнього погляду, може виявитися спеціальним варіантом конфігурації системи;
малий час життя - тому що з моменту виявлення уразливості до її викорінювання проходить не дуже великий час (порядку року), програма швидко застаріває;
не актуальність - більш того, з моменту виходу програми у світ всі нові (тому самі небезпечні) уразливості виявляються невідомими для неї, і її цінність швидко зводиться до нуля. Цей недолік є самим серйозним;
нарешті, це можливість їхнього використання з прямо протилежними цілями - для пошуку вад у вашій системі.
Можна помітити явну аналогію цих програм з антивірусними сканерами першого покоління - ті знали лише строго визначений набір вірусів, нові віруси додавалися тільки в наступному випуску програми. Якщо подивитися на можливості сучасних антивірусних програм - це й оперативне лікування вірусів, і автоматизоване поповнення бази вірусів самим користувачем, і пошук невідомих вірусів, - то можна побажати, щоб гарний сканер Інтернету зміг запозичити деякі з них. У першу чергу - це можливість поповнення бази новими уразливостями. Причому в наші дні це нескладно зробити - коштує лише переписувати інформацію з джерел, що займаються саме збором таких зведень, типу CERT чи CIAC.
3.7 Програма SATAN.
SATAN, іноді вважається чи ледве ні самою небезпечною програмою з абиколи написаних, починаючи від своєї лиховісної назви до можливості влізти чи ледве не в самий захищений комп'ютер. А що стосується влізання в комп'ютер - якщо подібна програма і мається в зломщиків чи спецслужб, то вона ніколи не стала б вільно поширюватися по Інтернету, як це відбувається з SATAN.
Насправді SATAN - це добротно зроблена, із сучасним інтерфейсом, програма для пошуку проломів у вашої підмережі (Intranet, як модно говорити останнім часом), написана на машинно-незалежних мовах Perl і З, тому вона в деякій мері переборює перший з вищеописаних недоліків. Вона навіть допускає можливість для розширення і вставки нових модулів. На жаль, у всім іншому їй властиві зазначені недоліки, у т.ч. і самий головний - вона вже застаріла, і не може зараз серйозно використовуватися ні адміністраторами, ні зломщиками. Однак на момент виходу це була досить актуальна програма. Вона містила в собі пошук більшості уразливостей. Зокрема, програма шукає уразливості в:
FTP і TFTP;
NFS і NIS;
rexd;
sendmail;
r-службах;
X-Window.
Існують також більш пізні версії SаTаN'а, у які включений пошук і інших уразливостей. Для цього вона спочатку всіляким образом збирає інформацію про вашу систему, причому рівень цього конфігурується користувачем і може бути: легкий, нормальний і твердий. Легкий рівень, за твердженням авторів програми, не може бути ніяк виявлений стороною, що атакується, (принаймні, така активність програми ніяк не може бути прийнята за ворожу) і містить у собі DNS-запити для з'ясування версії операційної системи й іншої подібної інформації, що може бути легально отримана з використанням DNS. Далі вона надсилає запит на службу RPC (remote procedure call) для з'ясування, які rpc- сервіси працюють. Нормальний рівень розвідки містить у собі всі ці запити, а також доповнює їхньою посилкою запитів (скануванням) деяких строго визначених портів, таких як FTP, telnet, SMTP, NNTP, UUCP і ін. для визначення встановлених служб. Нарешті, твердий рівень містить у собі всі попередні рівні, а також доповнюється повним скануванням усіх (можливих) UDP- і TCP-портів для виявлення нестандартних служб чи служб на нестандартних портах. Автори застерігають, що таке сканування може бути легко зафіксовано навіть без спеціальних програм - наприклад, на консолі можуть з'являтися повідомлення від вашого FireWall..
Іншою важливою опцією, що задається при настроюванні SаTаN'а, є глибина перегляду підмереж (proximity). Значення 0 означає тільки один хост, 1 - підмережу, у яку він входить, 2 - усі підмережі, у які входить підмережа даного хосту, і т.д. Автори підкреслюють,