Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Введение в аудит сети

Рубрика: Безопасность -> Аудит сети
Метки: | |
Понедельник, 2 февраля 2009 г.
Просмотров: 5859

Аудит сети - это не просто какое-то абстрактное понятие. После основных мероприятий по защите вашей сети, нужно обязательно проверить всю сеть на наличие всевозможных уязвимостей, которыми может воспользоваться крекер. Нужно поставить себя на место злоумышленника и попробовать все возможные инструменты по взлому, которыми обычно пользуются крекеры. Провести аудит уязвимостей точно так же, как это делал бы злоумышленник. Самые популярные инструменты крекеров - это сканер портов nmap, программа для поиска уязвимостей Nessus, Nikto - аудитор web-сервера и многие другие. Причем нужно помнить, что мир не стоит на месте, и каждый день находится много новых уязвимостей. Нужно постоянно быть в курсе самых последний изменений в обеспечении безопасности сети.


     Кратко опишу саму терминологию по аудиту сети. Сканирование портов - это опрос TCP- или UDP-портов с целью узнать, прослушиваются ли они какими-то программами. В результате крекер может узнать, какие сервисы запущены на атакуемой машине, и даже узнать их версии. Все запущенные сервисы расцениваются злоумышленником как потенциальные входы в систему.

     Сканеры портов не только сообщают, что порт открыт или закрыт. Они определяют, какой это сервис, его версию и способны определить операционную систему жертвы. Эта информация полезна для злоумышленника. После сканирования сети крекер под каждый запущенный сервис подбирает эксплоит, который в будущем используется для взлома компьютера. Некоторые автоматизируют этот процесс, используя сканер уязвимостей - он сам найдет уязвимость и подберет эксплоит. Кое-какие сканеры уязвимостей непосредственно находят уязвимость: поначалу они работают как сканеры портов, получив необходимую информацию, они просматривают свою базу данных (где перечислены все уязвимости этой версии конкретного сервиса), а по окончании работы прямо выдают отчет. Другие сканеры могут не только вывести отчет, но и запустить нужный эксплоит и попытаться проникнуть в систему, используя найденную уязвимость.

     Администратор обязан знать, как работают сканеры портов и сканеры уязвимостей и уметь их использовать. Сканеры помогают найти неиспользуемые сервисы (они очень плохо защищены), которые яв­ляются потенциальными дырами в системе безопасности вашей сети. Такие сервисы нужно отключить, а защите основных сервисов уделить все внимание. Результаты сканирования будут разными, в зависимости от месторасположения сканера в сети. Наибольшую угрозу несет атака снаружи сети, следовательно, и сканирование нужно производить из внешней сети. Для этого нужна внешняя Linux-машина с модемом, права пользователя root на ней и подключение к Интернету.

     Некоторые провайдеры блокируют отдельные порты (в частности, порты NetBIOS), но это не означает, что они закрыты у вас. Поэтому результаты сканирования не будут полными. Для получения точного результата вам нужно просканировать свою сеть со всех доступных провайдеров, или договориться с местным, чтобы для он не блокировал порты для вас, но это трудно реализовать.

     Обязательно нужно просканировать сеть изнутри. Также сканировать нейтральную зону (DMZ) нужно как из внутренней сети (как простой пользователь), так и из самой DMZ. Конечно сканирование портов - процесс незапрещенный, но увлекаться им - сканировать чужую сеть - это плохой тон. Вот свою сеть можно сканировать сколько угодно - хоть круглосуточно.