Раздел: Документация

0 ... 69 70 71 72 73 74 75 ... 125

также на основе адресов отправителя и получателя или используемого протокола (TCP, UDP или ICMP). Как и в большинстве хороших пакетных фильтров, имеется также возможность определять правила на основе направления трафика (входящий или исходящий), а также IP-адреса или имени узла.

Поскольку это не коммерческий продукт, он не поддерживается через Internet. Чтобы работать с ним, вы должны быть хорошо знакомы с системным администрированием UNIX (желательно администрированием FreeBSD) и организацией сетей TCP/IP.

Если хотите больше узнать о Drawbridge или загрузить документацию к этому пакету, посетите Web-сайт Drawbridge: drawbridge.tamu.edu/.

Программа SATAN

«Страшное» название утилиты - SATAN - наводит на мысль о хакерской программе, предназначенной для разрушения сети. В действительности же это сокращение от System Administrators Tool for Analyzing Networks (Инструмент системного администратора для анализа сетей). Если такое имя вам не нравится, измените выводимое имя на SANTA, переключив соответствующую опцию. Независимо от ее названия, данная программа использует методы зондирования для поиска возможных проблем безопасности в вашей сети. SATAN - не proxy-сервер и не фильтр пакетов, она вовсе не является компонентом межсетевого экрана. Она упоминается в этой главе просто потому, ее правильное применение может оказать неоценимую помощь при тестировании работоспособности межсетевого экрана.

Статья Improving the Security of your Site by Breaking Into lt»

Так называется статья, написанная Дэном Фармером и Вейтцем Венема, авторами утилиты SATAN. В ней обсуждаются некоторые из известных методов взлома сетей. Вам будет полезно прочитать ее, если вы только начинаете изучение области защиты сетей. Эту статью можно найти во множестве мест, в том числе по адресу http://www.alw.nih.aov/Security/Docs/aclmin-guide-to-cracking. Wl.html.

Как и другие программы, описанные в настоящей главе, SATAN распространяется в виде файлов исходного текста и компилируется на многих системах UNIX. Пакет в основном предназначен для зондирования компьютеров UNIX.

При запуске SATAN лучше выбрать режим легкого или тщательного сканирования. При этом на зондируемых системах выполняется целый ряд проверок, например возможности доступа по протоколам FTP, HTTP, NFS, NIS, Remote Shell Access, sendmail и т.д.

После загрузки кода SATAN и распаковки принятого файла образуется каталог /rules (правила), содержащий несколько подкаталогов, служащих для следующих целей:

---

О /facts - правила, на основе которых делаются выводы из собранных SATAN данных;

О Host type - на базе этих правил SATAN определяет тип компьютера и системы, для чего программа анализирует «заставки», выводимые операционной системой или различными утилитами, например FTP и sendmail;

О /services - правила, посредством которых SATAN определяет тип найденных служб - как клиентских, так и серверных;

О /todo - правила, позволяющие SATAN решать, что делать после сканирования определенных компьютеров;

О /trust - с помощью этих правил SATAN устанавливает, каким типам узлов доверяет зондируемая система;

О /drop - правила, сообщающие SATAN, какие факты следует игнорировать. В настоящее время есть только одно правило, разрешающее программе игнорировать экспортированные NFS каталоги компакт-дисков.

Существуют и другие каталоги, в которых находятся процедуры и программы PERL, исполняемые файлы и документация.

Если вы собираетесь устанавливать эту утилиту для поиска проблем безопасности вашей сети, вам придется потратить некоторое время на чтение документации и настройку правил. Подобная программа - не для неопытных новичков, она предназначена для тех, кто хорошо знает операционную систему UNIX и работу протоколов TCP/IP. Настройка SATAN возможно потребует достаточно длительного времени, однако регулярное применение и обновление этой утилиты приведет к повышению безопасности вашей сети. SATAN автоматизирует многие процессы, которые в противном случае вам пришлось бы выполнять вручную, и создает отчеты, суммирующие найденные факты.

Если вы желаете получить более ясное представление о данной утилите, но вам не хочется возиться с загрузкой и установкой всего пакета целиком, посетите Web-сайт http://www.am.qub.ac.uk/world/documentation/satan doc/ html/docs/ satan reference.html. Этот URL указывает на файл руководства SATAN и подробно описывает работу с утилитой, в том числе редактирование файлов конфигурации, создание правил и т.д.

SATAN - расширяемая утилита

Поскольку в Internet постоянно возникают новые угрозы безопасности, многие инструменты быстро устаревают по мере обнаружения дополнительных уязвимых мест. Но SATAN - расширяемая утилита, адаптируемая к новым событиям в постоянно меняющемся окружении путем добавления в нее дополнительных проверок и настройки управляющих их работой правил. Если вы внимательно изучите документацию SATAN и умеете немного программировать на С, эта утилита послужит вам долго.

---

РЕЗЮМЕ 219

Другое программное обеспечение

В настоящей главе были кратко описаны некоторые программы, доступные для бесплатной загрузки из Internet и служащие для создания межсетевого экрана. Мы также коротко осветили утилиту SATAN, позволяющую составлять отчеты о состоянии безопасности. Данная книга в основном посвящена брандмауэрам, однако мониторинг сети также очень важен, и его следует выполнять, чтобы быть уверенным в том, что брандмауэр действительно защищает вас от известных атак.

В приложении 2 вы найдете справочник, в котором кратко описано много полезных программ - как новых, так и испытанных годами. Большинство из перечисленных там программ тоже бесплатно загружается из Internet. Не забывайте о том, что и хакерам, которых вы пытаетесь остановить, известно об этих утилитах, и они в состоянии получить с их помощью информацию о вашей локальной сети. Я настоятельно рекомендую вам внимательно прочитать это приложение и на досуге изучить некоторые из описанных утилит.

Резюме

Брандмауэры продаются - некоторые стоят дешево, другие покупают за астрономические суммы. Во многих случаях вы действительно получите то, за что заплатили. Но поскольку множество компонентов межсетевого экрана доступны для бесплатной загрузки из Internet, полезно познакомиться с ними, чтобы лучше представлять себе, чего следует ожидать от коммерческого продукта. Если вы обладаете необходимыми навыками системного администрирования UNIX и знанием TCP/IP, вам, возможно, и не понадобится ничего помимо таких бесплатных программ. В следующих главах мы более подробно рассмотрим некоторые из них.

0 ... 69 70 71 72 73 74 75 ... 125