Сканеры безопасности. Проведи глобальное сканирование незаметно!

Xakep, номер #030, стр. 030-058-1

BlueTooth (rhady@rsu.ru)

Бастион

Однажды в выпуске своей электронной газеты Брюс Шнайер, специалист по сетевой безопасности, технический директор Counterpane Systems Inc и просто крутой чувак, сравнил сисдамина и локальные сетки с неприступными бастионами древности Also Known As средневековыми замками, а хакеров - с воинствующими завоевателями, осаждающими стены этих замков. Атакующий и защищающий находятся в неравном положении. Защищающий должен обороняться везде, прикрывая каждый уязвимый участок территории, атакующему же достаточно найти одно слабое место и вторгнуться в чужие владения. В Сети все работает немножко по-другому. Виртуальные обороняющийся и атакующий могут использовать одни и те же инструменты. При условии, что первый - для обороны, второй - для атаки. Многие админы используют сетевые сканеры, чтобы своевременно находить бреши в своих системах. Именно такими сканерами мы сейчас и займемся.

Самые популярные сканеры написаны под Unix системы и используются наиболее активно там же по одной простой причине. Системные возможности любой Unix благодаря Berkeley Software Distribution и куче других разработчиков обладают сверхъестественными возможностями по работе с сетью и сетевыми пакетами. А любая сетевая атака в конце концов подразумевает написание соответствующих программ, которые будут заниматься эквилибристикой с сетевыми протоколами. Поскольку Unix наиболее дружелюбна в этом, то и пользуются в основном ею.

Под Unix существует множество различных сканеров. Самыми популярными из них, на мой взгляд, стали S.A.T.A.N., nmap и Nessus. Разберемся, в чем отличия каждого из них.

Дьявол или Святой?

Первый из них, S.A.T.A.N., использовал еще Кевин Митник. С тех пор он сильно вырос и стал S.A.I.N.T. Парадокс, не правда ли? ;) На самом деле обе аббревиатуры имеют вполне осмысленную расшифровку, и S.A.I.N.T., например, расшифровывается как Security Administrator's Integrated Network Tool (то есть сетевой интегрированный инструмент администратора по информационной безопасности).

S.A.I.N.T. может стартовать как обычное приложение или как сервер для удаленного доступа.

S.A.I.N.T. работает по протоколу HTTP, то есть для управления им и получения отчетов о сканировании сети нужен простой браузер. Я воспользовался lynx'ом, который обычно есть на любой nix-машине.

Заполняя обычную HTML-форму, указываем цель сканирования: хост или группу хостов в сети. Потом режим сканирования. Вариантов имеется несколько: от быстрого сканирования компьютеров до усиленного. Имеется маза посылки специальных пакетов на порты, о которых известно, что они могут уронить удаленный сервис или подвесить хост.

После подтверждения своего желания получаем предупреждение о том, что если используется удаленное управление, то никто не гарантирует конфиденциальность передаваемой информации. Какая свежая новость...

В общем случае предварительный отчет S.A.I.N.T. выглядит как список отмеченных сервисов.

После этого по каждому сервису можно получить более подробную информацию с комментариями специалистов по сетевой безопасности.

Содержание  Вперед на стр. 030-058-2

ttfb: 3.0040740966797 ms