Решая написать эту статью, я столкнулся с дилеммой - существование двух независимых друг от друга семейств операционных систем. Конечно, вы все догадались, что речь идет о *NIX и Windows. Естественно, слово «безопасность» актуально для обоих этих направлений, но я взял на себя риск предположить, что человек, работающий на *NIX платформе - это не зеленый новичок в компьютерном мире. Поэтому я посчитал, что Unix-оиды, как люди более искушенные, находятся в несколько привилегированных условиях касательно темы нашего сегодняшнего разговора. Вот почему данная статья (да простят меня UNIX-оиды) будет посвящена проверке системы безопасности для Windows платформ, хотя Unix системы тоже не останутся без внимания и в свое время подобная статья, я надеюсь, появится и для них.
Итак, начнем.
Известный математический закон гласит: «Надежность любой системы обратно пропорциональна количеству входящих в нее элементов». Иными словами, перефразируя это высказывание ближе к теме нашего с вами разговора, чем сложнее ваша система, тем большее количество возможностей теоретически существует для того, чтобы нарушить работу/пробраться в вашу систему. Как ни парадоксально, но из этого высказывания следует, что если вы установили firewall, то есть добавили дополнительный компонент в систему, то в ней появилось больше возможностей к уязвимости. На самом деле ничего странного в этом нет, а объяснение очень простое. Если поставить, пусть даже самый хороший и надежный firewall, но по незнанию или из-за халатности неграмотно его настроить, то вы получите самую что ни на есть дыру в защите, наравне с усыплением вашей бдительности, т.к. вы будете продолжать думать, что ваша система неприступна, как Форд Нокс.
Необходимый Soft
Теперь давайте рассмотрим способы тестирования вашей системы на безопасность. Для начала надо определиться с программным обеспечением, которое пригодится для подобных целей. Подобных программ во всем мире множество, но мне хотелось бы остановить ваше внимание на двух из них. Это Shadow Security Scanner (SSS) производства Red Shadow (рис. 1) http://www.rsh.kiev.ua
Рис. 1. Shadow Security Scanner (SSS).
и Xspider (рис. 2), ссылку, на которую вы найдете по адресу http://www.xspider.ru .
Пару слов о том, почему именно этот софт. Во-первых, обе программы разработаны нашими программистами. Правда SSS, к сожалению, не обладает русским интерфейсом, поэтому, если на вопрос: «Do you speak English?» вы отвечаете «Дую, но плохо»,  , то воспользуйтесь XSpider, который русскоязычный полностью. Во-вторых, обе эти программы распространяются абсолютно бесплатно для русскоязычного населения нашей планеты, что делает вас обладателями зарегистрированных программ с возможностью дальнейшего обновления списков уязвимостей.
Рис. 2. Xspider.
Сканер в руки и вперед
Итак, необходимый софт у нас уже есть, теперь давайте разберемся с тем, какую информацию с помощью него можно получить. Для начала предстоит разобраться с методом, с помощью которого мы будем тестировать нашу систему. Под последней фразой подразумевалось следующее: будете ли вы проверять безопасность вашей системы непосредственно с вашей системы, или у вас есть возможность произвести подобную проверку с удаленного хоста. Второй способ, естественно, более желателен. Почему, спросите вы? Да все очень просто, если вы уж собрались делать проверку, так надо делать это максимально приближенно к настоящим атакам, а не создавать искусственную среду и пытаться в ней производить какие-либо действия. Хотя я прекрасно понимаю, что не всегда есть возможность для предпочтительного варианта, поэтому для таких случаев в этой статье (ниже) будет приведено несколько полезных советов и описано несколько проблем, с которыми вам, возможно, придется столкнуться!
Вариант А «Удаленное сканирование»
Главное правило - если тесты показывают, что ваша машина абсолютно неуязвима и полностью анонимна, то проверьте, не забыли ли вы ее включить
Используем SSS
Для начала необходимо произвести настройку программы под соответствующие условия. Вот здесь хочется сказать авторам программы: «Большое спасибо», т.к. они позаботились и об англо неговорящих пользователях и приложили русский Help. Тем ни менее хочется обратить ваше внимание на некоторые тонкости настроек. В опциях в пункте General, параметры Threads, Modules и Priority подберите исходя из мощностей вашей (с которой будете сканить) машины, а вот параметры Ping Timeout и Data Timeout зависят от характеристик сетевого соединения, которое вы используете (рис. 3).
Рис. 3. Настройка параметров Threads, Modules и Priority в SSS.
Главное - это найти золотую середину между загруженностью вашей системы и скоростью работы сканера. Но больший интерес для нас представляет опция под названием Policies (рис. 4).
Рис. 4. Настройка опции Policies в SSS.
Вот уж поистине есть, где развернуться! Здесь вашему вниманию предлагается богатейший выбор всевозможных уязвимостей и тестов, и уж тут только вам решать, что именно необходимо проверить. Осмелюсь лишь дать некоторые рекомендации по этому поводу. Если необходимо провести полное тестирование системы, вполне достаточно стандартного набора тестов (Complete Scan), а если необходимо протестировать вашу систему только на какой-то отдельный тест, к примеру, на надежность cgi-скрипты, то создайте новое Policy, пометив галочками необходимые вам тесты.
Теперь давайте рассмотрим результат работы программы, то есть те сведения, которые вы получите после окончания сканирования, а также анализ этой информации.
Этап № 1 - запускаем сканер. Для этого нажимаем иконку (с изображением 3-х кубиков) с названием Scan и выбираем одну из уже созданных Policy. По умолчанию всегда присутствует Complete Scan (рис 5).
Рис. 5. Начало сканирования в SSS.
Нажав кнопку Next, вы увидите окно, где сможете ввести комментарий для будущего сканирования. Идем далее, где нам предлагают ввести имя хоста (который будем тестить) или диапазон адресов (рис. 6).
Рис. 6. Определение имени хоста или диапазона IP-адресов для сканирования.
На этом приготовления закончены и можно приступать непосредственно к сканированию. Во время сканирования программа проверяет те порты, которые вы предварительно выбрали, и проводит, помеченные галочками тесты. По результатам исследований выдается отчет в очень удобной форме. Все найденные уязвимости группируются отдельно и для них можно почитать дополнительную информацию. Притом для удобства порты, на которых была обнаружена брешь выделяются различными цветами, согласно уровню опасности, который представляет собой обнаруженная уязвимость (рис. 7).
Рис. 7. Отчет о сканировании программы Shadow Security Scanner.
Выберите любую из найденных уязвимостей, и внизу появится информация по ней. Но главная фишка программы заключается в том, что на основе проведенных тестов выдается и информация по устранению найденных дырок в системе, если это возможно (рис. 8).
Рис. 8. Анализ обраруженной уязвимости программой Shadow Security Scanner.
Плетем паутину с помощью Xspider
Для начала необходимо произвести настройку программы под соответствующие условия. Программа полностью на русском языке и обладает, что очень приятно, красивым и интуитивно-понятным интерфейсом. Также радует богатое обилие настроек (рис. 9), хотя тут есть один нюанс.
Рис. 9. Настройка программы Xspider.
Дело в том, что по умолчанию в настройках включена проверка на DOS атаку, что может привести к зависанию системы (в случае, если она подвержена таким атакам), и вы не сможете определить, какая именно уязвимость привела к таким последствиям. Поэтому рекомендую проводить DOS тесты отдельно от всех остальных, при том прогоняя их по очереди, а не все сразу. Это позволит определить все недостатки вашей системы, а не только первый (после которого машина зависнет). Программа довольно функциональна и содержит массу полезной информации. В случае нахождения уязвимости XSpider запускает тест на ее проверку, а также выдает гиперссылку на статью в Интернет, посвященную данной проблеме и способу ее устранения (рис. 10).
Рис. 10. Отчет о сканировании программы Xspider.
Вариант B «Локальное сканирование»
В целом процесс подобен предыдущему, за исключением некоторых особенностей.
Внимание тем, у кого установлен Norton Internet Security! Перед началом сканирования обязательно включите свой firewall, в противном случае через несколько секунд после начала сканирования процесс SYMPROXYSVC.EXE начнет есть все 100 % мощностей вашего процессора (система зависнет до тех пор, пока не будет убит вышеуказанный процесс).
Второй особенностью, как вы понимаете, является некоторая некорректность полученной информации о безопасности вашей системы, т.к. в данном случае все ваши firewalls необходимо перенастраивать под новые условия работы.
Какие внешние действия следует считать подозрительными, с какого момента начинать беспокоиться
Любое оружие можно использовать как для защиты, так и для нападения - тезис, пришедший к нам, наверное, еще из каменного века. То же самое можно сказать и про вышерассмотренные программы-сканеры. Как уберечься от внешних деструктивных действий, направленных в негативное русло? Давайте попробуем разобраться в этой проблеме.
Чтобы создать эффективную защиту, необходимо самому хорошо представлять те способы, с помощью которых вас могут попытаться атаковать. Как мы уже видели раньше, чтобы проанализировать систему, ее сначала необходимо просканировать, что мы и делали. Попробуем выбить из рук противника этот козырь. Для этого нам понадобится firewall, снабженный функцией «Port Scan Detection». Вкратце об ее действии.
Сетевой монитор постоянно следит за всеми IP адресами, к которым и от которых производятся подключения, и если он замечает, что некий IP адрес начинает создавать подключения по большому количеству портов за короткий промежуток времени, то такой адрес мгновенно блокируется на определенный срок. В этот момент программа-сканер на экране у злобного хакера выдаст подобную информацию (рис. 11).
Рис. 11. Результат работы firewall-a с функцией «Port Scan Detection».
Существует также возможность запоминания (ведения логов) всех хостов, с которых велись подобные действия. Рекомендуется, в случае повторения сканирования с того же адреса несколько раз, полностью запретить ему доступ к вашей машине. Для этих целей не жалко будет даже создать отдельное правило доступа.
По каким действиям еще можно определить, что вас пытаются взломать? Очень полезно в таких случаях заглядывать во всевозможные логи, например, логи Web серверов. Допустим, если вы заметили, что Error Log изрядно увеличился в размере, и в нем присутствует что-либо в этом роде:
|
[Tue Apr 16 20:15:16 2002] [error] [client 127.0.0.1] File does not exist: e:/apacheroot/home/yourdomain/www/_vti_cnf/..АЇ/..АЇ/..АЇ/wint/system32/cmd.exe
[Tue Apr 16 20:15:16 2002] [error] [client 127.0.0.1] (2)No such file or directory: script not found or unable to stat: e:/apacheroot/home/ yourdomain /cgi/..АЇ
[Tue Apr 16 20:15:16 2002] [error] [client 127.0.0.1] (2)No such file or directory: script not found or unable to stat: e:/apacheroot/home/ yourdomain /cgi/..АЇ
[Tue Apr 16 20:15:16 2002] [error] [client 127.0.0.1] File does not exist: e:/apacheroot/home/yourdomain /www/samples/..АЇ/..АЇ/..АЇ/winnt35/system32/cmd.exe
[Tue Apr 16 20:15:16 2002] [error] [client 127.0.0.1] File does not exist: e:/apacheroot/home/yourdomain /www/_vti_cnf/..АЇ/..АЇ/..АЇ/winnt35/system32/cmd.exe
[Tue Apr 16 20:15:16 2002] [error] [client 127.0.0.1] File does not exist: e:/apacheroot/home/ yourdomain /www/..АЇ/..АЇ/..АЇ/winnt351/system32/cmd.exe
|
то это говорит о том, что вас уже успели просканить, и притом вы (система) не оказывали этому особого сопротивления. В такой ситуации попробуйте последовать по пути атаковавшего (просканируйте себя) и попытайтесь выяснить, что же удалось получить вашему недоброжелателю. Если все ваши попытки разобьются о защиту вашей системы, то можно относительно спокойно себя чувствовать, но если вам все же удалось обнаружить брешь в собственной защите, то немедленно приложите все усилия для ее устранения. Ведь велика вероятность, что если этого не сделать, то ей сможет воспользоваться ваш недоброжелатель.
P.S. И напоследок хотелось бы в качестве постскриптума сказать пару фраз. Помните, что систем с совершенной защитой не существует, и единственной панацеей от сетевых атак остается отсутствие самой сети.
|
