Остальные меры, предусмотренные для отлова последнего процента самых достойных кракеров, являются превентивными, они не направлены конкретно на ту или иную службу. Возможно, они будут сопряжены с более или менее значительной переделкой вашего хоста:
1. Придумайте какую-нибудь собственную изюминку, очень простую (чтобы поставить слишком умных кракеров в тупик), типа переименования какой-нибудь важной команды или сообщения на входе «FSB host. Vvedite vashe imya i zvanie:».
2. Используйте более простые программы – в них меньше ошибок. В UNIX – избавьтесь от sendmail, поставьте другой SMTP-демон, в Windows NT – не стоит для этих же целей использовать монстров типа Microsoft Exchange Server.
3. Выкиньте некоторые малоиспользуемые службы (типа finger, talk, rpc) и ужесточите настройки вашего межсетевого экрана.
4. Поставьте proxy-сервер для дополнительной аутентификации извне, а также для скрытия адресов и топологии внутренней подсети.
5. Перенесите весь сервис, требующий входящих соединений (http, SMTP), на отдельную машину и оставьте ее в открытой сети. Удалите с этой машины всю лишнюю информацию. Все остальные машины спрячьте за межсетевым экраном с полным отключением входящего трафика.
6. Поставьте защищенную версию UNIX или другой операционной системы.
Средства автоматизированного контроля безопасности
Мы уже говорили о пользе средств автоматизированного контроля безопасности отдельного компьютера, а также всей подсети, за которую он отвечает, для системного администратора. Естественно, такие средства появлялись ранее, и чаще других встречаются названия COPS (Computer Oracle and Password System), SATAN (Security Administrator Tool for Analizyng Networks), ISS (Internet Security Scanner). К сожалению, они не лишены недостатков:
1. Системозависимость – обычно рассчитаны на вполне конкретную ОС или даже ее версию.
2. Ненадежность и неадекватность – если эти программы сообщают, что все о\'кей, то совсем не значит, что так оно и есть, и наоборот – некая «уязвимость», с их точки зрения, может оказаться специальным вариантом конфигурации системы.
3. Маленький срок жизни – с момента обнаружения уязвимости до ее искоренения проходит не больше года, и программа устаревает.
4. Неактуальность – с момента выхода программы в свет все новые, и потому самые опасные, уязвимости оказываются неизвестными для нее, и ценность программы быстро сводится к нулю. Этот недостаток является самым серьезным.
5. Возможность использовать средства с прямо противоположными целями – для взлома вашей системы, а не для тестирования на предмет изъянов.
Прослеживается явная аналогия программ с антивирусными сканерами первого поколения – те знали лишь строго определенный набор вирусов, а новые вирусы добавлялись только в следующем выпуске программы. Если посмотреть на возможности современных антивирусных программ – это и оперативное лечение вирусов, и автоматизированное пополнение базы вирусов самим пользователем, и поиск неизвестных вирусов, то можно пожелать, чтобы хороший сканер Internet смог позаимствовать некоторые из них. В первую очередь – пополнять базы новыми уязвимостями. Причем в наши дни сделать это несложно – достаточно лишь скачивать информацию с источников типа CERT или CIAC, занимающихся как раз сбором таких сведений.
Программа SATAN
После общего введения мы решили познакомить читателя с таким нашумевшим средством, как SATAN, которое и до сих пор иногда считается чуть ли ни самой опасной программой из написанных, на что указывает и зловещее название, и возможность влезть в самый защищенный компьютер (рис. 9.6). Насчет названия сразу подчеркнем, что в момент инсталляции с помощью специальной процедуры вы можете поменять его на SANTA (Security Analysis Network Tool for Administrator), а заодно и зловещего сатану на симпатичного Деда Мороза (рис. 9.7). А что касается влезания в компьютер (не любой, конечно) – если подобная программа и имелась бы у хакеров или спецслужб, то она никогда не стала бы свободно распространяться по Internet, как это происходит с SATAN.
Рис. 9.6. Заставка программы SATAN
Рис. 9.7. Заставка программы SANTA
На самом деле SATAN – это добротно сделанная, с современным интерфейсом программа для поиска брешей в вашей подсети (Intranet – как модно говорить в последнее время), написанная на машинно-независимых языках Perl и С, поэтому она в некоторой мере преодолевает первый из вышеописанных недостатков. SATAN даже допускает возможность для расширения и вставки новых модулей. К сожалению, во всем остальном ей присущи указанные недостатки, в том числе и самый главный – она уже устарела и не может в настоящий момент серьезно использоваться ни администраторами, ни хакерами. Поэтому непонятен мистический страх перед всемогуществом SATAN. Авторы, готовя материал для книги, сами столкнулись с таким отношением и были немало этим удивлены. Однако на момент выхода (1995 г.) программа была достаточно актуальной, содержала в себе поиск большинства уязвимостей, описанных в разделе «Типичные атаки». В частности, последняя (во всех смыслах) ее версия ищет уязвимости в следующих службах:
Читать дальше
Конец ознакомительного отрывка
Купить книгу