ЗАЩИТНЫЕ СРЕДСТВА С ОТКРЫТЫМИ ИСХОДНЫМИ ТЕКСТАМИ П р а к т и ч е с к о е р у к о в о д с т в о по з а щ и т н ы м приложениям
OPEN SOURCE SECURITY TOOLS Practical Applications for Security
Tony H o w l e t t
PRENTICE
pro
Prentice Hall Professional Technical Reference Upper Saddle River, N J 07458 www.phptr.com
Основы информационных технологий Тони Хаулет
ЗАЩИТНЫЕ СРЕДСТВА С ОТКРЫТЫМИ ИСХОДНЫМИ ТЕКСТАМИ Практическое р у к о в о д с т в о по з а щ и т н ы м приложениям Учебное пособие перевод с английского В. Галатенко и О. Труфанова под редакцией В. Галатенко
Интернет-Университет Информационных Технологий www.intuit.ru
БИНОМ. Лаборатория знаний www.lbz.ru Москва 2007
У Д К 004.49 Б Б К 32.973.26-018.2 X26
X26
Хаулет T. З а щ и т н ы е средства с о т к р ы т ы м и и с х о д н ы м и т е к с т а м и . П р а ктическое руководство по защитным приложениям : учебное п о с о б и е / T. Хаулет; п е р . с а н г л . п о д р е д . В. Галатенко. — М : И н т е р нет-Университет И н ф о р м а ц и о н н ы х Технологий; Б И Н О М . Лабо р а т о р и я з н а н и й , 2007. — 608 с.: и л . , табл. — ( С е р и я « О с н о в ы и н ф о р м а ц и о н н ы х технологий»). Учебное пособие является практическим руководством по защитным приложе ниям. Рассматриваются вопросы защиты систем на базе операционных систем Unix и Windows. Представлены лучшие защитные средства с открытыми исходными текста ми. Предназначено для специалистов в области информационной безопасности и системных администраторов. I S B N 978-5-9556-0087-1 ( И Н Т У И Т . Р У ) I S B N 978-5-94774-629-7 ( Б И Н О М . Л З ) I S B N 0-321-19443-8 (англ.) УДК 004.49 ББК 32.973.26-018.2
All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from Pearson Education, Inc. RUSSIAN language edition published by INTUIT.ru. Copyright © 2006. Все права защищены. Никакая часть этой книги не может быть воспроизведена в любой форме и любыми средствами, электронными или механическими, включая фотографирование, магнитную запись или иные средства копирования или сохранения информации без письменного разрешения издательства Pearson Education, Inc. Перевод на русский язык издается Интернет-Университетом Информационных Технологий.
ISBN 978-5-9556-0087-1 (ИНТУИТ.РУ) ISBN 978-5-94774-629-7 (БИНОМ.ЛЗ) ISBN 0-321-19443-8 (англ.)
© Pearson Education, Inc., Publishing as Prentice Hall Professional Technical Reference Upper Saddle River, New Jersy 07458, 2005 © Перевод на русский язык, оформление. Интернет-Университет Информационных Технологий, 2007
Оглавление Предисловие
19
На кого рассчитана эта книга
20
Содержание книги 20 Индекс защитных средств с открытыми исходными текстами 21 Глава 1: Информационная безопасность и программное обеспечение с открытыми исходными текстами 21 Глава 2: Средства уровня операционной системы 22 Глава 3: Межсетевые экраны 22 Глава 4: Сканеры портов 22 Глава 5: Сканеры уязвимостей 22 Глава 6: Сетевые анализаторы 22 Глава 7: Системы обнаружения вторжений 22 Глава 8: Средства анализа и управления 23 Глава 9: Криптографические средства 23 Глава 10: Средства для беспроводных сетей 23 Глава 11: Судебные средства 23 Глава 12: Еще о программном обеспечении с открытыми исходными текстами 23 Приложение A: Публичные лицензии для ПО с открытыми исходными текстами 23 Приложение B: Основные команды Linux/UNIX 23 Приложение C: Общеизвестные номера портов TCP/IP .24 Приложение D: Общая форма разрешения и отказа от претензий 24 Приложение E: Встраиваемые модули Nessus 24 Содержимое и организация компакт-диска 24 Использование инструментария 24 Эталонная установка 25 Исходные данные или переменные 26 Благодарности
26
Об авторе
26
Индекс средств с открытыми исходными текстами
27
Глава 1. И н ф о р м а ц и о н н а я безопасность и программное обеспечение с открытыми исходными текстами 29 Защита периметра 29 Затыкание дыр 30 Создание системы раннего предупреждения 30 5
Курс
Защитные средства с открытыми исходными текстами
Создание системы управления д а н н ы м и безопасности
30
Реализация защищенного беспроводного р е ш е н и я
31
Защита важных файлов и коммуникаций
31
Расследование вторжений
31
Практика и н ф о р м а ц и о н н о й безопасности Конфиденциальность Целостность Доступность Состояние компьютерной преступности Появление Интернет Повсеместно распространенная, недорогая широкополосная сеть Атаки «командных детишек» Черви, автосуперы и другие вредоносные программные средства
32 32 33 34 34 36 36 38 39
Риски организаций, связанные с и н ф о р м а ц и о н н о й безопасностью Потеря данных Отказ в обслуживании Трудности/потеря заказчиков Законодательная ответственность Раскрытие корпоративных секретов и данных Искажение записей Потеря производительности История П О с открытыми исходными текстами На сцену выходит Linux
39 40 40 41 41 42 43 43 44 45
Достоинства П О с открытыми исходными текстами Стоимость Расширяемость Безопасность Независимость Поддержка пользователей Продолжительность жизни продукта Обучение Репутация
47 47 47 48 48 49 51 52 52
Когда П О с открытыми исходными текстами может не соответствовать требованиям Компания по созданию программных средств защиты данных ... Полный аутсорсинг информационных технологий Ограничительные корпоративные стандарты в области ИТ .
53 53 54 54
6
Содержание
Windows и П О с открытыми исходными текстами
54
Л и ц е н з и и для П О с открытыми исходными текстами
55
Генеральная публичная лицензия GNU GPL Лицензия BSD
56 58
Глава 2. Средства уровня операционной системы П о в ы ш е н и е безопасности системы защитных средств Установка Bastille Linux Запуск Bastille Linux
60 63 64 65
traceroute ( U N I X ) или tracert (Windows): средства диагностики сети
68
Особенности п о в ы ш е н и я безопасности Windows Установка и применение Sam Spade for Windows Установка и запуск PuTTY
82 83 87
Глава 3. Межсетевые э к р а н ы
89
Основы архитектуры сетей Физический уровень
90 91
Канальный уровень Сетевой уровень
91 92
Транспортный уровень Уровень сеанса
93 93
Уровень представления Прикладной уровень
93 94
Сети T C P / I P
94
Бизнес-процессы безопасности
97
Установка Iptables Использование Iptables
102 102
Создание межсетевого экрана Iptables IP-маскарад с помощью Iptables
105 109
Установка Turtle Firewall
111
Требования SmoothWall к оборудованию
117
Сравнение SmoothWall Express и SmoothWall Corporate
117
Установка SmoothWall
118
Администрирование межсетевого экрана SmoothWall
120
Создание виртуальной собственной сети с п о м о щ ь ю межсетевого экрана SmoothWall Дополнительные
приложения SmoothWall
Межсетевые э к р а н ы на платформе Windows 7
124 126 127
Курс
Защитные средства с открытыми исходными текстами
Глава 4. Сканеры портов
128
Обзор сканеров портов
131
Соображения по поводу сканирования портов
134
П р и м е н е н и е сканеров портов Инвентаризация сети Оптимизация сети/сервера Выявление шпионского ПО, троянских программ и сетевых червей Поиск неавторизованных или запрещенных сервисов Установка Nmap в Linux Установка Nmap для Windows Сканирование сетей с помощью Nmap Запуск Nmap из командной строки Типы сканирования в Nmap Опции раскрытия для Nmap Опции времени для Nmap Другие опции Nmap Запуск Nmap в качестве службы Вывод результатов Nmap Установка Nlog Использование Nlog Дополнения для Nlog Создание собственных расширений Nlog Интересные применения Nlog и Nmap Выявление малоупотребительных сервисов Охота на незаконные/неизвестные Web-серверы Охота на троянские программы Проверка внешнего представления сети Глава 5. Сканеры уязвимостей Выявление дыр в безопасности ваших систем Переполнение буфера Слабые места маршрутизаторов и межсетевых экранов Использование уязвимостей Web-серверов Использование уязвимостей почтовых серверов Серверы DNS Использование уязвимостей баз данных Управление пользователями и файлами Подразумеваемые системные счета производителей Пустые или слабые пароли Ненужные сервисы 8
135 135 135 136 137 139 141 143 145 145 149 150 151 154 155 157 159 160 161 163 163 163 164 165 166 167 169 ... 170 171 171 171 172 173 174 175 175
Содержание
Утечки информации Атаки на доступность
176 178
Сканеры уязвимостей спешат на п о м о щ ь Глубина тестирования Архитектура клиент-сервер Независимость Встроенный язык сценариев атак Интеграция с другими средствами Интеллектуальное тестирование База знаний Множество форматов отчетов Сеть надежной поддержки Установка Nessus для систем Linux Настройка Nessus Входная страница Nessus Вкладка встраиваемых модулей Nessus Вкладка предпочтений Nessus Nmap Ping the remote host (Эхо-тестирование удаленного хоста) Login configurations (Конфигурации входа) Brute-force login (Hydra) (Вход методом грубой силы — Hydra) SMB use host SID to enumerate local users (Использование SMB SID хоста для перебора локальных пользователей) ... Services (Сервисы) Web mirroring (Зеркалирование Web) Misc. Information on the News Server (Прочая информация о сервере телеконференций) Test HTTP dangerous methods (Проверка опасных методов HTTP) Ftp writable directories (Каталоги Ftp, допускающие запись) SMTP settings (Настройки SMTP) Libwhisker options (Опции Libwhisker) SMB use domain SID to enumerate users (Использование SMB SID домена для перебора пользователей) HTTP NIDS evasion (Обход сетевой системы выявления вторжений при тестировании HTTP) NIDS evasion (Обход сетевых систем выявления вторжений) 9
178 179 180 181 181 181 182 182 182 183 184 186 187 189 189 190 190 191 191 192 192 192 192 193 193 193 193 194 194 194
Курс
Защитные средства с открытыми исходными текстами
Вкладка Scan Options (Опции сканирования) 195 Port range (Диапазон портов) 195 Consider unscanned ports as closed (Считать несканированные порты закрытыми) 196 Number of hosts to test at the same time (Число одновременно тестируемых хостов) 196 Number of checks to perform at the same time (Число одновременно выполняемых проверок) 196 Path to the CGIs (Маршрут к CGI) 196 Do a reverse lookup on the IP before testing it (Выполнять обратный поиск IP-адреса перед тестированием) 197 Optimize the test (Оптимизировать тестирование) 197 Safe checks (Безопасные проверки) 197 Designate hosts by their MAC address (Обозначать хосты адресами доступа к среде передачи) 197 Detached scan (Обособленное сканирование) 197 Continuous scan (Непрерывное сканирование) 198 Port scanner (Сканер портов) 198 Вкладка Target Selection (Выбор цели) 198 Read file (Прочитать файл) 199 Perform a DNS zone transfer (Выполнить передачу зон DNS) 199 Save this session (Сохранять сеанс) 200 Save empty sessions (Сохранять пустые сеансы) 200 Previous sessions (Предыдущие сеансы) 200 Вкладка User (Пользователь) 200 Вкладка KB (Knowledge Base) (База Знаний) 201 Test all hosts (Тестировать все хосты) 201 Test only hosts that have been tested in the past (Тестировать только хосты, тестировавшиеся ранее) .201 Test only hosts that have never been tested in the past (Тестировать только хосты, не тестировавшиеся ранее) 201 Reuse the knowledge bases about the hosts for the test (Использовать при тестировании базы знаний о хостах) 201 Max age of a saved KB (in secs) (Максимальный возраст сохраненной базы знаний (в секундах)) 202 Опции оперативного управления процессом сканирования 202 Установка NessusWX 204 10
Содержание
Применение Windows-клиента NessusWX 205 Создание профиля сеанса 206 Отчеты NessusWX 209 Примеры конфигураций сканирования Nessus 209 Пример конфигурации 1: Внешнее сканирование множества IP-адресов без межсетевого экрана 210 Пример конфигурации 2: Внешнее сканирование сети с одним внешним IP-адресом межсетевого экрана 210 Пример конфигурации 3: Внешнее сканирование сети с несколькими общедоступными IP-адресами — для межсетевого экрана и в демилитаризованной зоне .210 Пример конфигурации 4: Несколько внешних IP-адресов с сетевой системой обнаружения вторжений 211 Пример конфигурации 5: Внутреннее сканирование позади межсетевого экрана 211 Особенности сканирования уязвимостей 214 Не сканируйте без разрешения 214 Убедитесь, что все резервные копии актуальны 214 Планируйте время сканирования 215 Избегайте избыточного сканирования 215 Правильно размещайте сервер сканирования 215 К а к и е уязвимости тестирование н е находит 216 Логические ошибки 216 Необнаруженные уязвимости 216 Индивидуальные приложения 217 Безопасность персонала 217 Атаки прошлые и текущие 217 Глава 6. Сетевые анализаторы 219 Краткая история Ethernet 221 Особенности п р и м е н е н и я сетевых анализаторов 222 Всегда получайте разрешение 222 Разберитесь в топологии сети 223 Используйте жесткие критерии поиска 223 Установите эталонное состояние сети 224 Установка Tcpdump 225 Запуск Tcpdump 226 Заголовки пакетов T C P / I P 227 Выражения Tcpdump 232 Примеры применения Tcpdump 236 Просмотр всего входящего и исходящего трафика определенного хоста 236 11
Курс
Защитные средства с открытыми исходными текстами
Наблюдение за входящим и исходящим трафиком определенного порта 237 Просмотр всего входящего и исходящего трафика определенного хоста, за исключением некоторых видов трафика 237 Выявление вредоносной рабочей станции 237 Слежение за определенной рабочей станцией 238 Поиск подозрительного сетевого трафика 238 Установка WinDump 239 Применение WinDump 239 Установка Ethereal для Linux 242 Установка Ethereal для Windows 243 Применение Ethereal 243 Запуск сеанса перехвата 245 Опции отображения 248 Средства Ethereal 248 Сохранение вывода Ethereal 249 Приложения Ethereal 249 Оптимизация сети 249 Поиск дефектов в работе серверов приложений 249 Глава 7. Системы обнаружения вторжений 251 П р и м е р ы сигнатур сетевых систем обнаружения вторжений 254 Проблема ложных срабатываний сетевых систем обнаружения вторжений 257 Типичные причины ложных срабатываний 257 Работа системы мониторинга сети 257 Сетевое сканирование уязвимостей/сканеры портов .. .258 Пользовательская активность 258 Поведение, напоминающее троянскую программу или червя 258 Длинные базовые цепочки аутентификации 259 Аутентификационная активность базы данньх 259 К а к получить максимум пользы от системы обнаружения вторжений 260 Правильное конфигурирование системы 260 Настройка системы обнаружения вторжений 261 Средства анализа для систем обнаружения вторжений . . . . 261 Уникальные особенности Snort 263 Установка Snort 263 Запуск Snort 264 12
Содержание
Режим анализа пакетов Режим протоколирования пакетов Режим обнаружения вторжений Режимы сигнализации Snort
264 265 266 267
Конфигурирование Snort для достижения максимальной производительности Отключение правил в Snort Запуск Snort в качестве службы Требования для использования Snort в Windows Установка Snort для Windows Настройка Snort для Windows Хостовые системы обнаружения вторжений Преимущества хостовых методов обнаружения вторжений Недостатки хостовых методов обнаружения вторжений . Установка Tripwire Конфигурирование Tripwire Инициализация эталонной базы данньх Проверка целостности файлов Обновление базы данных Обновление файла политики Глава 8. Средства анализа и управления Установка Swatch Конфигурирование и запуск Swatch Конфигурационный файл Swatch Использование баз данных и Web-серверов для управления защитными д а н н ы м и Настройка сервера MySQL Настройка Web-сервера Apache Настройка PHP ADOdb PHPLOT JpGraph GD Конфигурирование Snort для MySQL Установка ACID Конфигуриривание ACID Основы применения ACID Применение ACID для управления сетевыми обнаружения вторжений и их настройки 13
268 273 279 284 284 284 289 290 . 290 291 292 295 295 295 296 297 301 302 304 306 306 309 311 313 314 314 314 314 315 315 318
системами 319
Курс
Защитные средства с открытыми исходными текстами
Другие способы проанализировать данные сигналов с помощью ACID Кого атакуют? Кто атакует? Какой сервис атакуется чаще всего? Ежедневное применение ACID Графическое представление данных ACID Обслуживание базы данных ACID Установка NPI Импорт результатов сканирования Nessus в NPI Применение NPI
тревоги 322 322 322 323 324 325 326 328 331 332
Рождение проекта с открытыми исходными текстами 333 Нет ли уже чего-то подходящего ? 333 Имеет ли ваша программа широкую область применения ? .. 334 Разрешено ли вам выпускать свой продукт как открытое ПО? 334 Платформы для NCC 336 Установка NCC 339 Применение NCC 341 Добавление пользователей 343 Добавление целей 344 Составление расписания сканирований 345 Глава 9. Криптографические средства 348 Виды криптографии Криптографические алгоритмы Стандарт шифрования данных DES (Data Encryption Standard) Тройной DES RC4, RC5 и RC6 AES Приложения криптографии Хэши Цифровые сертификаты Криптографические протоколы IPsec Протокол туннелирования точка-точка (PPTP — Point-to-Point Tunneling Protocol) Протокол туннелирования второго уровня (L2TP — Layer Two Tunneling Protocol) 14
349 352 353 353 353 354 354 354 355 355 355 357 357
Содержание
Защищенный протокол сеансового уровня (SSL — Secure Socket Layer) Криптографические приложения Установка PGP и генерация пары ключей открытый/ секретный Применение PGP PGPKeys Encrypt Sign Encrypt and Sign Decrypt/Verify Wipe Freespace Wipe Опции PGP Установка GnuPG Создание ключевых пар Создание сертификата отзыва Публикация открытого ключа Шифрование файлов с помощью GnuPG Расшифрование файлов Подписывание файлов Модель сети доверия PGP/GnuPG Подписывание ключей и управление доверием к ключам Установка и запуск сервера OpenSSH Переправка портов посредством OpenSSH Пример 1: Создание криптографически защищенного соединения для электронной почты с помощью OpenSSH Пример 2: Создание безопасного Web-соединения
357 358 361 362 362 364 365 366 366 366 366 367 370 370 371 372 372 372 373 373 374 377 379
380 380
Виртуальные з а щ и щ е н н ы е сети 381 Установка и запуск FreeS/WAN 383 Применение FreeS/WAN 384 Одноранговый режим 384 Режим мобильного пользователя 386 Оппортунистическое шифрование 387 Настройка частичного оппортунистического шифрования (только инициирование) 387 Настройка полного оппортунистического шифрования .388 Взлом паролей 389 Установка в Windows 390 15
Курс
Защитные средства с открытыми исходными текстами
Установка в UNIX Применение программы John the Ripper Глава 10. Средства для беспроводных сетей
390 391 393
Обзор технологий беспроводных Л В С Терминология Wi-Fi
395 396
Опасности беспроводных Л В С 398 Прослушивание 398 Доступ к ПК с беспроводными платами 398 Доступ к ЛВС 398 Анонимный доступ в Интернет 399 Специфические уязвимости 802.11 399 Подразумеваемые идентификаторы набора сервисов . .399 Вещание радиомаяка 400 Применение по умолчанию нешифруемых коммуникаций 400 Слабые места WEP 400 Ф е н о м е н «агрессивного объезда» 401 Оценивание безопасности беспроводной сети 402 Выбор оборудования 402 Беспроводные платы 402 Аппаратное и программное обеспечение 403 Антенны 404 Установка NetStumbler 405 Применение NetStumbler 406 Опции NetStumbler 410 Сохранение сеансов NetStumbler 412 Установка StumbVerter 413 Применение StumbVerter 414 Установка сетевой интерфейсной платы и драйверов 417 Установка Kismet 420 Применение Kismet Wireless 422 Поддержка GPS в Kismet 425 Kismet как система обнаружения вторжений 426 Применение AirSnort 427 Установка AirSnort 427 Запуск AirSnort 428 М е р ы п о п о в ы ш е н и ю безопасности беспроводной Л В С 429 Включите WEP 430 Применяйте беспроводное оборудование с улучшенным протоколом шифрования 430 Требуйте, чтобы беспроводные пользователи входили через туннель виртуальных защищенных сетей 430 16
Содержание
Считайте свою беспроводную сеть недоверенной 430 Регулярно проверяйте свой беспроводной периметр 431 Переместите точки доступа 431 Должным образом сконфигурируйте беспроводную сеть . . . . 431 Обучите свой персонал 432 Глава 11. Судебные средства 433 П р и м е н е н и е компьютерных судебных средств 433 Очистка и восстановление 434 Уголовное расследование 434 Гражданский иск 436 Внутренние расследования 437 Жалобы поставщику Интернет-услуг 437 Выработка плана реагирования на инциденты 438 Предварительная подготовка для получения доброкачественных судебных данных 439 Степень подробности журналов 439 Используйте центральный сервер журналирования 439 Синхронизация времени серверов 440 Где искать судебные д а н н ы е 440 Догматы надлежащего судебного анализа 441 Оперируйте с системой, отсоединенной от сети 441 Работайте с копиями свидетельств 442 Применяйте хэши для обеспечения свидетельств целостности 442 Применяйте доверенные загрузочные носители и исполнимые файлы 442 Средства судебного анализа 443 Установка Fport 444 Применение Fport 444 Установка lsof 447 Применение lsof 447 Просмотр файлов журналов 450 Создание к о п и й судебных свидетельств 451 Установка dd 453 Применение dd 453 Установка Sleuth Kit 456 Установка Autopsy Forensic Browser 456 Применение Sleuth Kit и Autopsy Forensic Browser 457 Заведение и протоколирование дела 457 Добавление хоста 459 Добавление образа 460 17
Курс
Защитные средства с открытыми исходными текстами
Анализ данных Установка The Forensic Toolkit Применение The Forensic Toolkit Afind Hfind Sfind FileStat Hunt Глава 12. Е щ е о программном обеспечении с открытыми исходными текстами Ресурсы открытого П О Телеконференции USENET Списки почтовой рассылки Web-сайты SourceForge Slashdot Freshmeat Open Source Initiative Free Software Foundation Присоединение к д в и ж е н и ю за открытое П О Поиск ошибок/бета-тестирование Участие в дискуссионных группах и поддержка других пользователей Предоставление ресурсов для проекта Станьте постоянным клиентом организаций, использующих или поддерживающих открытое ПО Е щ е о защитных средствах с открытыми исходными текстами Приложение A Л и ц е н з и и для П О с открытыми исходными текстами Приложение B Основные команды L i n u x / U N I X Приложение C Общеизвестные номера портов T C P / I P Приложение D Общая форма разрешения и отказа от претензий Сканирование портов и тестирование уязвимостей Общее разрешение и отказ от претензий Гарантийные обязательства Приложение E Встраиваемые модули Nessus Литература 18
461 463 463 463 464 464 464 466 468 468 468 469 469 470 471 471 471 471 472 472 473 475 476 476
477 478 480 531 531 531 531 532 533 605
Предисловие
Предисловие Программное обеспечение ( П О ) с открытыми исходными текстами (далее для краткости — открытое П О . Прим. ред.) составляет неотъемлемую часть Интернет, так что можно смело утверждать, что Интернет в своем н ы нешнем виде не существовал бы без него. Интернет не развивался бы столь быстро и динамично без таких программ с открытыми исходными текстами, как B I N D , которая управляет доменной системой имен, как Sendmail, кото рая обеспечивает работу большинства серверов электронной почты, как I N N , работающая на многих серверах телеконференций, как Major Domo, которая обслуживает многие тысячи списков почтовой рассылки в Интер нет и, конечно, без популярного Web-сервера Apache. Несомненно, Интер нет обходится много дешевле благодаря открытому П О . Это — заслуга Ф о н да свободного программного обеспечения, B S D U N I X , Linux и Линуса Торвальдса, а также тысяч безымянных программистов, вложивших свои труд и душу в программы, на которых сегодня держится Интернет. Хотя программы с открытыми исходными текстами охватывают почти все области программного обеспечения — от полнофункциональньгх операци онных систем и игр до текстовых процессоров и систем управления базами данных, — эта книга ориентирована в первую очередь на инструментарий ин¬ формационной безопасности. Существуют программные реализации всех воз можных сервисов безопасности. Имеются межсетевые экраны с открытыми исходными текстами, системы обнаружения вторжений, сканеры уязвимо стей, судебный инструментарий и самые современные программы для таких областей, как беспроводные коммуникации. Обычно в каждой категории есть множество вариантов выбора среди зрелых, устоявшихся программ, которые по меньшей мере не уступают коммерческим продуктам. Я попытался выбрать лучшие в каждой из основных областей информационной безопасности (по моему мнению, разумеется!). Они представлены детальным образом, с разъяс¬ нением не только того, как их установить и запустить, но и как использовать в повседневной деятельности, чтобы повысить безопасность сети. С помощью открытого ПО, описанного в этой книге, вы сможете защитить свою органи¬ зацию от внутренних и внешних угроз безопасности с минимальными расхо¬ дами и максимальной выгодой как для организации, так и для вас лично. На мой взгляд, сочетание к о н ц е п ц и й и н ф о р м а ц и о н н о й безопасно сти и открытого П О представляет собой одно из самых м о щ н ы х средств для защиты инфраструктуры вашей организации и, по индукции, всего Интернет. Общепризнано, что крупномасштабные вирусные и н ф е к ц и и и черви могут распространяться в силу недостаточной защищенности м н о гих систем. Убежден, что путем обучения системных администраторов и предоставления и м инструментария для в ы п о л н е н и я их работы м о ж н о сделать Интернет более безопасным, з а щ и щ а я сеть за сетью. 19
Курс
Защитные средства с открытыми исходными текстами
На к о г о р а с с ч и т а н а э т а к н и г а Предполагается, что читательская аудитория этой книги будет с о стоять из сетевых и / и л и системных администраторов, чьи должностные обязанности не ограничены исключительно обеспечением безопасности, а стаж работы насчитывает по крайней мере несколько лет. Это не значит, что гуру от безопасности не найдут в книге ничего для себя полезного; возможно, некоторые из обсуждаемых областей и средств будут и м внове. Аналогично, любой новичок в области и н ф о р м а ц и о н н ы х технологий многое узнает, устанавливая и п р и м е н я я эти средства. Рассмотренные к о н ц е п ц и и и используемые методики предполагают м и н и м а л ь н ы й уро¬ вень компьютерной и сетевой подготовки. Существует также большая группа читателей, которая зачастую не учитывается м н о г и м и авторами, п и ш у щ и м и об открытом П О . Это сис¬ т е м н ы е администраторы Windows. Элита и н ф о р м а ц и о н н о й безопасно¬ сти часто пренебрежительно относится к администраторам «только Windows*, поэтому не так уж много н а п и с а н о о качественном п р о г р а м м ном обеспечении с открытыми исходными текстами для Windows. Одна ко факт остается фактом: серверы Windows составляют львиную долю инфраструктуры Интернет, и и г н о р и р о в а н и е этого обстоятельства ока¬ зывает плохую услугу всему сообществу и н ф о р м а ц и о н н о й безопасности. Хотя книга в целом в большей степени ориентирована на L i n u x / U N I X (так как большинство программ с о т к р ы т ы м и исходными текстами рабо¬ тают только в L i n u x / U N I X ) , я попытался включить в каждую главу опи¬ сание защитных средств на платформе Windows. Я поместил также по¬ лезные советы и подробные объяснения для тех, кто никогда н е работал в U N I X системах.
Содержание книги В книге рассмотрено большинство наиболее важных областей ин¬ ф о р м а ц и о н н о й безопасности и предназначенные для них средства с от крытыми исходными текстами. Главы выстраиваются вокруг основных аспектов и н ф о р м а ц и о н н о й безопасности, освещая ключевые к о н ц е п ц и и . Инструментарий, п о м е щ е н н ы й на компакт-диске, позволяет организо вать нечто вроде лабораторных работ, в которых каждый может принять участие. Все, что требуется п о м и м о диска, — это П К . Книга содержит также краткое введение в базовую сетевую т е р м и н о логию и к о н ц е п ц и и . Я обнаружил, что хотя многие технические специа листы хорошо освоили конкретные платформы и приложения, им зачас тую не хватает п о н и м а н и я сетевых протоколов и их взаимодействия при передаче данных из точки А в точку В. П о н и м а н и е этих к о н ц е п ц и й жиз¬ н е н н о необходимо для защиты сети и правильного п р и м е н е н и я описыва20
Предисловие
емых средств. Акцент книги на сетевую сторону безопасности может по¬ казаться чрезмерным, однако большинство угроз в настоящее время п р и ходит оттуда, так что сеть — лучшая отправная точка. Рассмотрению каждого средства безопасности предшествует его об¬ зор, контактная и н ф о р м а ц и я и перечень различных ресурсов для под держки и получения дополнительной и н ф о р м а ц и и . Хотя рассмотрение защитных средств ведется с высоким уровнем детализации, многие из них заслуживают (и уже заслужили) н а п и с а н и я отдельной книги. Указанные ресурсы откроют перед вами возможность дальнейших исследований. Полезные, порой шутливые советы, маленькие хитрости, замечания используются в книге, чтобы акцентировать, подчеркнуть наиболее важ н ы е моменты. О н и даются от и м е н и Ф л э м и Теха — нашего талисмана, по¬ рой склонного к назидательности, но всегда готового помочь и проин¬ формировать новичков, а также обратить в н и м а н и е технически подгото¬ вленных читателей на разделы, где м ы на самом деле вносим небольшие изменения в тексты программ. О н напоминает, возможно, виденных ва ми обитателей мира открытых исходных текстов. Исследуя этот м и р , вы встретите множество самых разных, блестящих, порой эксцентричных личностей (надо быть, мягко говоря, немного со сдвигом, чтобы на обще¬ ственных началах тратить на все эти программы столько своего времени, сколько тратят некоторые из нас). З н а н и е принятого этикета и правил п о ведения позволит вам достичь большего, не наступая л и ш н и й раз на граб¬ ли. Ну, а если серьезно, то необходимо отметить, что многие из описан¬ ных в книге средств при ненадлежащем использовании могут быть дест¬ руктивны или вредоносны. М о ж н о н е у м ы ш л е н н о нарушить закон, если применять их без предупреждения или небрежно (например, случайно просканировать в небезопасном режиме IP-адреса, которые вам не при¬ надлежат). Если подобное возможно, то Ф л э м и всегда тут как тут, чтобы предостеречь вас.
Индекс защитных средств с открытыми исходными текстами Сразу за предисловием п о м е щ е н список всех подобных средств с н о мерами страниц, где они рассматриваются. С п о м о щ ь ю индекса вы, при ж е л а н и и , сможете пропустить весь сопровождающий материал и перейти непосредственно к установке защитного инструментария. Глава 1: Информационная безопасность и обеспечение с открытыми исходными
программное текстами
Эта глава содержит введение в м и р и н ф о р м а ц и о н н о й безопасности и программного обеспечения с открытыми исходными текстами. Обсуж дается текущее состояние компьютерной безопасности вместе с краткой историей движения за открытость исходных текстов. 21
Курс
Защитные средства с открытыми исходными текстами
Глава 2: Средства
уровня
операционной
системы
В этой главе обосновывается важность максимально безопасной н а стройки вашей системы защитных средств. Рассматривается средство п о в ы ш е н и я безопасности Linux систем, а также вопросы укрепления з а щ и ты систем Windows. Описано также несколько инструментов уровня опе р а ц и о н н о й системы. Эти базовые инструменты — что-то вроде отвертки для администратора безопасности; они будут использоваться снова и с н о ва как по ходу изложения, так и в процессе вашей работы. Глава 3: Межсетевые
экраны
Здесь сначала о п и с а н ы о с н о в ы к о м м у н и к а ц и й по п р о т о к о л а м T C P / I P и п р и н ц и п ы работы межсетевых экранов, а затем рассмотрены вопросы установки и настройки вашего собственного межсетевого экра¬ на с открытыми исходными текстами. Глава 4: Сканеры
портов
В этой главе стек T C P / I P и, в особенности, прикладной уровень и порты рассматриваются более детально. Описывается установка и приме¬ н е н и е сканера портов, используемого в следующей главе. Глава 5: Сканеры
уязвимостей
В д а н н о й главе подробно описан инструмент, который использует некоторые более р а н н и е методы, такие к а к сканирование портов, но де¬ лает следующий шаг и на самом деле проверяет защищенность выявлен¬ ных открытых портов. Этот з а щ и т н ы й инструмент, как швейцарский ар¬ мейский нож, вскроет всю сеть, просканирует ее и создаст подробный от¬ чет обо всех обнаруженных пробелах в защите. Глава 6: Сетевые
анализаторы
В этой главе основное внимание уделено н и ж н и м уровням эталонной модели ВОС и тому, как извлекать из проводов необработанные данные. Многие описываемые далее средства используют эти базовые методы. В главе показано, как можно применять анализатор для диагностики всех ас¬ пектов работы сети, в дополнение к отслеживанию проблем безопасности. Глава 7: Системы
обнаружения
вторжений
Средство, основанное на описанных в предыдущей главе методах се¬ тевого анализа, использовано для создания сетевой системы обнаруже н и я вторжений. Обсуждаются также установка, сопровождение и опти¬ мальное применение.
22
Предисловие
Глава 8: Средства
анализа
и
управления
В данной главе изучаются средства отслеживания данных системы безопасности и их эффективного протоколирования для последующего просмотра. Рассматриваются также инструменты, помогающие анализиро¬ вать данные безопасности и преобразовывать их в более удобный формат. Глава 9: Криптографические
средства
Пересылка данных ограниченного доступа через Интернет в н а ш е время представляет собой большую проблему, решение которой все в большей степени становится обязательным требованием. Описываемые средства помогут зашифровать ваши сообщения и ф а й л ы с п о м о щ ь ю сильной криптографии, а также организовать виртуальные з а щ и щ е н н ы е сети на основе с п е ц и ф и к а ц и й IPsec. Глава 10: Средства
для беспроводных
сетей
Беспроводные сети становятся все более популярными, и инстру ментарий, представленный в этой главе, поможет убедиться, что все бес¬ проводные сети вашей организации з а щ и щ е н ы , а неизвестные вам бес¬ проводные сети отсутствуют. Глава 11: Судебные
средства
Средства, обсуждаемые в д а н н о й главе, помогут расследовать имев¬ ш и е место вторжения и д о л ж н ы м образом собрать ц и ф р о в ы е улики. Глава 12: Еще о программном исходными
обеспечении текстами
с
открытыми
В завершение, в этой главе предоставлены ресурсы для получения дополнительной и н ф о р м а ц и и о программном обеспечении с открытыми исходными текстами. Перечислены ключевые Web-сайты, списки почто вой рассылки и другие Интернет-ресурсы. Указан ряд способов п р и о б щ е н и я к движению за открытость исходных текстов, если вы того желаете. Приложение
A: Публичные лицензии для ПО с исходными текстами
открытыми
Приложение A содержит две основные лицензии для П О с открытыми исходными текстами: лицензии на программное обеспечение G P L и B S D . Приложение
B: Основные
команды
Linux/UNIX
В приложении B для тех, кто не имеет опыта работы с системами L i n u x / U N I X , кратко описаны основные команды навигации и обработки файлов.
23
Курс
Защитные средства с открытыми исходными текстами
Приложение
C: Общеизвестные
номера
портов
TCP/IP
П р и л о ж е н и е содержит список всех общеизвестных номеров портов согласно списку I A N A . Отметим, что этот раздел не был задуман как и с ч е р п ы в а ю щ и й источник и н ф о р м а ц и и , поскольку д а н н ы й с п и с о к являет ся объектом постоянных изменений. Самую свежую и н ф о р м а ц и ю м о ж н о найти на Web-сайте I A N A . Приложение
D: Общая от
форма разрешения претензий
и
отказа
Содержит шаблон для получения разрешения на сканирование сто ронней сети (то есть сети, которая не является вашей собственной). Это — только пример, не я в л я ю щ и й с я юридическим документом. Приложение
E: Встраиваемые
модули
Nessus
Содержит частичный с п и с о к встраиваемых модулей для сканера уяз вимостей Nessus, рассмотренного в главе 5. Этот список, разумеется, не самый свежий, поскольку модули обновляются ежедневно. П о л н ы й с п и сок модулей м о ж н о найти на Web-сайте Nessus.
Содержимое и организация компакт-диска Компакт-диск, п р и л о ж е н н ы й к этой книге, содержит большинство рассмотренных средств безопасности с открытыми исходными текстами. Д и с к о р г а н и з о в а н к а к дерево каталогов, п о м е ч е н н ы х н а з в а н и я м и средств. Если версии для Windows и Linux содержат несовпадающие ф а й лы, они располагаются в отдельных каталогах. Каталог «Misc» содержит различные драйверы и документацию, такую как с п е ц и ф и к а ц и и R F C , в о обще говоря, полезные как дополнительный материал. Использование
инструментария
Везде, где возможно, описанные в книге средства представлены в формате менеджера пакетов RedHat ( R P M ) . Разумеется, чтобы использо вать R P M , не обязательно работать в RedHat Linux. Этот формат был п е р воначально разработан в RedHat, но теперь он поддерживается большин¬ ством версий Linux. Менеджер пакетов RedHat автоматизирует процесс установки программ, гарантирует наличие всех вспомогательных про¬ грамм и т.д. Это похоже на процесс установки в Windows, в рамках графи ческого диалога. Использование R P M почти всегда предпочтительнее ус¬ тановки вручную. Если требуется задать специфические параметры уста¬ новки, или если файл R P M отсутствует на вашем дистрибутиве, в книге приводится описание установки программ вручную. Если файл R P M д о с 24
Предисловие
тупен, загрузите его из Интернет или скопируйте с компакт-диска и щелк ните на нем м ы ш ь ю . Ваша версия R P M позаботится обо всем остальном. Если вы используете другой вариант О С U N I X ( B S D , Solaris, H P / U X и т. д.), то они, скорее всего, будут работать с инструментарием из этой книги, но инструкции по установке могут быть другими. Вы можете запу¬ скать большинство описанных в книге средств на альтернативных верси¬ ях U N I X или Linux, хотя, оставаясь в рамках Linux, вы, н е с о м н е н н о , п о вышаете вероятность совместимости с инструментами, п о м е щ е н н ы м и на компакт-диск. Если вам пришлось загрузить другую версию программы, то некоторые из обсуждаемых свойств могут не поддерживаться. Однако, если вы приверженец О С Solaris или убеждены, что только B S D идет вер¬ ной дорогой, — флаг в руки! Используйте вашу любимую О С в качестве платформы безопасности. П о м н и т е только, что инструкции в книге со¬ ставлены в расчете на определенную реализацию, и, чтобы заставить за¬ щ и т н ы й инструментарий работать, могут потребоваться дополнительные усилия. Поддерживаемые платформы перечислены в начале описания ка¬ ждого средства. Эталонная
установка
Большинство средств, описанных в этой книге, были проверены и рассмотрены на следующих платформах: • Mandrake Linux 9.1 на П К серии HPVectra и П К - б л о к н о т е Compaq Presario. • Windows X P Pro и Windows 2000 Pro на П К серии Compaq Prestignia и П К - б л о к н о т е Compaq Armada. Исходные
данные
или
переменные
В программных и командных примерах курсивом выделяются эле менты, задаваемые пользователем. Н а б р а н н ы е курсивом слова следует за менить п е р е м е н н ы м и или значениями, с п е ц и ф и ч н ы м и для вашей уста новки. К о м а н д ы уровня операционной системы выглядят так: ssh - l
входное_имя имя_хоста
В силу ограниченности размеров страниц, продолжение с л и ш к о м д л и н н ы х строк кода набрано с небольшим отступом. Я надеюсь, что, читая эту книгу, вы получите удовольствие и новые знания. Существует много, очень много других средств, включить которые в книгу не было возможности из-за ограниченности ее объема, и я заранее приношу извинения, если я пропустил ваше любимое средство. У меня хва25
Курс
Защитные средства с открытыми исходными текстами
тило места только для описания моих излюбленных инструментов, как я на деюсь, лучших в своей категории. Несомненно, многие не согласятся с м о им выбором. Вы можете написать мне об этом по адресу
[email protected], и, возможно, в будущих изданиях появятся новые средства.
Благодарности Эта книга не увидела бы свет без неутомимого труда программистов по всему миру, создающих замечательное программное обеспечение с от¬ крытыми исходными текстами. Я мог бы назвать некоторых из них, н о , н е сомненно, слишком многие окажутся пропущены. Спасибо всем вам за превосходное программное обеспечение! Я хотел бы поблагодарить моего делового партнера Глена Крамера (Glenn Kramer) за помощь в правке к н и ги (а также за заботы о делах, пока я работал, пытаясь уложиться в сроки), и моих коллег по проекту Nessus Command Center ( N C C ) : Брайана К р е дейра (Brian Credeur), Лорел Хэткок (Lorell Hathcock) и Мэтта Сиска (Matt Sisk). И, наконец, моя любовь и благодарность моей милой ж е н е Синтии и дочерям К а р и н е и Алане, которые пожертвовали бесчисленными часа ми, проведенными без мужа и отца, чтобы появилась эта книга.
Об а в т о р е Тони Хаулет — президент компании Network Security Services, постав¬ щ и к а услуг на основе приложений компьютерной безопасности, полно¬ стью построенных на программном обеспечении с открытыми исходными текстами. Сертифицированный специалист по безопасности информаци¬ онных систем (CISSP) и G I A C аудитор систем и сетей ( G N S A ) , он имеет четырнадцатилетний опыт работы, включая обслуживание крупнейших региональных поставщиков Интернет-услуг и коммерческих операторов местной связи, а также построение общенациональных сетей A T M / D S L . М - р Хаулет часто выступает с докладами по вопросам компьютерной без¬ опасности по технологической тематике, пишет для журналов SysAdmin, Computer Currents, Windows Web Solutions, Security Administrator и других изданий. www.phptr.com/perens/
26
Индекс средств с открытыми исходными текстами
Индекс средств с открытыми исходными текстами
Название средства
Есть на Linux/ компакт-диске? UNIX?
Windows?
Номер страницы
ACID
да
да
нет
315
AirSnort
да
да
нет
427
Autopsy Forensic Browser
да
да
нет
456
Bastille Linux
да
да
нет
64
dd
да
да
нет
453
Dig
нет
да
нет
73
Ethereal
да
да
да
242
Finger
нет
да
нет
75
Forensic Toolkit
да
нет
да
463
Fport
нет
нет
да
444
FreeS/WAN
да
да
нет
383
GnuPG
да
да
нет
370
Iptables
да
да
нет
120
John the Ripper
да
да
да
391
Kismet Wireless
да
да
нет
420
lsof
да
да
нет
447
NCC
да
да
нет
339
Nessus
да
да
нет
184
NessusWX
да
нет
да
204
NetStumbler
да
нет
да
405
Nlog
да
да
нет
157
27
Курс
Название средства
Защитные средства с открытыми исходными текстами
Есть на Linux/ компакт-диске? UNIX?
Windows?
Номер страницы
Nmap
да
да
да
139
NPI
да
да
нет
328
OpenSSH (клиент)
да
да
нет
380
OpenSSH (сервер)
да
да
нет
377
PGP
нет
да
да
361
Ping
нет
да
да
361
PuTTY
да
нет
да
87
Sam Spade
да
нет
да
83
Sleuth K i t
да
да
нет
456
SmoothWall
да
нет
нет
118
Snort
да
да
нет
263
Snort for Windows
да
нет
да
284
Snort Webmin
да
да
нет
280
StumbVerter
да
нет
да
413
Swatch
да
да
нет
301
Tcpdump
да
да
нет
225
Traceroute
нет
да
да
68
Tripwire
да
да
нет
291
Turtle Firewall
да
да
нет
111
Whois
нет
да
да
71
Windump
да
нет
да
239
28
Глава 1
Информационная безопасность и ПО с открытыми исходными текстами
Глава 1 . И н ф о р м а ц и о н н а я б е з о п а с н о с т ь и программное обеспечение с открытыми исходными текстами Когда Том Пауэрс устраивался на работу в качестве системного ад¬ министратора в энергетическую к о м п а н и ю среднего размера, о н знал, что критическим фактором были его н а в ы к и в области компьютерной безо¬ пасности. За последний год к о м п а н и я несколько раз подвергалась атакам хакеров, а на ее д о м а ш н ю ю страницу помещали непристойные изображе¬ ния. Руководство хотело, чтобы, п о м и м о обеспечения повседневной ра¬ боты компьютерной сети, он сделал и н ф о р м а ц и ю к о м п а н и и более защи¬ щ е н н о й от цифровых атак. После первого ж е д н я работы он понял, что перед н и м стоит слож ная проблема. В к о м п а н и и отсутствовала даже самая элементарная систе¬ ма безопасности. Соединение с Интернет, з а щ и щ е н н о е только о б ы ч н ы м маршрутизатором поставщика Интернет-услуг, было ш и р о к о открыто миру. Общедоступные серверы плохо поддерживались и выглядели так, будто к н и м не прикасались с момента установки. А бюджет для исправ л е н и я ситуации был практически нулевым. Однако в течение четырех месяцев Том обеспечил устойчивость се¬ ти, остановил все атаки, обезопасил точки общего доступа и очистил вну¬ треннюю сеть, а также добавил сервисы, которых р а н ь ш е не было. К а к о н смог все это сделать с такими ограниченными ресурсами? О н знал базо вые п р и н ц и п ы и к о н ц е п ц и и и н ф о р м а ц и о н н о й безопасности ( И Б ) и на шел подходящее программное обеспечение ( П О ) для в ы п о л н е н и я рабо ты. О н разработал о п и с а н н ы й далее план усовершенствования системы безопасности к о м п а н и и и методично в ы п о л н и л его с п о м о щ ь ю подходя¬ щих защитных инструментов.
Защита периметра П р е ж д е всего, Том создал н е с к о л ь к о базовых средств для з а щ и т ы своей сети от внешнего мира, чтобы затем с п о к о й н о заняться безопас¬ ностью серверов и внутренней части сети. О н настроил межсетевой эк¬ р а н для с о е д и н е н и й с Интернет, используя программу Turtle Firewall (рассмотренную в главе 3). С п о м о щ ь ю этой п р о г р а м м ы и старого сер¬ вера, к о т о р ы й больше н и для чего н е использовался, он с к о н ф и г у р и р о вал м а ш и н у так, чтобы р а з р е ш и т ь с о е д и н е н и я с в н е ш н и м м и р о м только изнутри сети; все входящие с о е д и н е н и я , н е з а п р о ш е н н ы е изнутри, бло кировались. Правда, о н сделал н е с к о л ь к о и с к л ю ч е н и й для общедоступ¬ н ы х серверов. 29
Курс
Защитные средства с открытыми исходными текстами
Затыкание дыр Том знал, что ему необходимо проверить свою сеть на наличие д ы р в системе безопасности и определить, где проникают злоумышленники. Хотя теперь межсетевой э к р а н з а щ и щ а л внутренние рабочие станции от случайных вторжений, общедоступные серверы, такие к а к Web-серверы и серверы электронной почты, все е щ е были уязвимы. Межсетевой э к р а н также стал теперь потенциальной целью нападений, поэтому требовался какой-то способ обеспечения его защиты. Том установил на этом сервере программу Bastille Linux, чтобы проверить, что о н сконфигурирован без¬ о п а с н ы м образом (глава 2). Затем о н выполнил программу Nmap, к а к из¬ вне, так и изнутри сети (глава 4). Она сообщила, к а к и е прикладные пор¬ ты были видимы извне по всем общедоступным IP-адресам. Внутреннее сканирование позволило узнать, имеются л и какие-то необычные или н е нужные службы, в ы п о л н я ю щ и е с я на внутренних машинах. Затем о н воспользовался программой Nessus для повторного сканиро вания сети извне и изнутри (глава 5). Это программа «копает» значительно глубже, ч е м Nmap, она проверяет открытые порты для большого числа уяз вимостей и позволяет выявлять неправильно сконфигурированные маши¬ н ы внутри сети. Программа Nessus создала отчеты, которые показали, где в системе безопасности на общедоступных серверах имеются слабые места, и предоставила подробные инструкции по их устранению. Он использовал эти отчеты для разрешения проблем, а затем еще раз выполнил программу Nessus, чтобы убедиться, что уязвимости ликвидированы.
Создание системы раннего предупреждения Том ликвидировал все известные прорехи, н о о н также хотел знать, нет л и какой-то нетипичной активности в сети или на общедоступных серверах. О н воспользовался сетевым анализатором Ethereal для получе н и я контрольных данных о различных типах активности в сети (глава 6). О н также настроил на сервере сетевую систему обнаружения вторжений, используя программный пакет Snort (глава 7). Эта программа круглосу точно следила за сетью, выявляя подозрительную активность, которую Том определил специальным образом. Программа извещала его о новых атаках и нетипичном поведении пользователей внутри сети.
Создание системы управления данными безопасности Вначале Том был перегружен всевозможными д а н н ы м и этих систем. Однако о н настроил базу данных и использовал несколько программ для 30
Глава 1
Информационная безопасность и ПО с открытыми исходными текстами
управления выводом программ системы безопасности. Одна и з них, A C I D (Analysis Console for Intrusion Database — Консоль анализа базы данных вторжений) помогла рассортировать и интерпретировать д а н н ы е сетевой системы обнаружения вторжений (глава 8). Программа «Команд н ы й центр Nessus» помещала результаты сканирования в базу данных и создавала на их основе отчеты (глава 8). Том использовал также програм¬ му Swatch, которая отслеживала п о файлам журналов различные анома¬ лии (глава 8). Эти программы позволили ему за полчаса просматривать отчеты на Web-странице, в которой были объединены все его задания по мониторингу безопасности. Д л я Тома, который воплощал в одном лице техническую поддержку, программиста и, естественно, администратора системы безопасности, это было значительной э к о н о м и е й времени.
Реализация защищенного беспроводного решения Е щ е одним заданием для Тома было построение для к о м п а н и и бес проводной сети. Том знал, что технология беспроводных сетей изобилует проблемами безопасности, поэтому он использовал две программы, NetStumbler и WEPCrack, для контроля защищенности и развернул бес проводную сеть с требуемыми параметрами безопасности (глава 10).
Защита важных файлов и коммуникаций О д н о й и з п р о б л е м , б е с п о к о и в ш и х руководство к о м п а н и и , было и с п о л ь з о в а н и е э л е к т р о н н о й почты д л я п е р е с ы л к и п о т е н ц и а л ь н о уязви¬ м ы х документов. Том знал, что пересылка и н ф о р м а ц и и через о б ы ч н у ю э л е к т р о н н у ю почту а н а л о г и ч н а о т п р а в к е ее почтовой о т к р ы т к о й . Лю¬ бой и з п о с р е д н и к о в , о б р а б а т ы в а ю щ и х с о о б щ е н и е , мог его прочитать. Том з а м е н и л эту п р а к т и к у с и с т е м о й , и с п о л ь з у ю щ е й п р о г р а м м н о е сред¬ ство P G P , к о т о р о е позволяет п о с ы л а т ь ф а й л ы с к о н ф и д е н ц и а л ь н о й и л и у я з в и м о й и н ф о р м а ц и е й в з а ш и ф р о в а н н о м виде и з а щ и щ а т ь в а ж н ы е в н у т р е н н и е ф а й л ы от л ю б о п ы т н ы х глаз н е а в т о р и з о в а н н ы х пользовате¬ лей (глава 9).
Расследование вторжений Н а к о н е ц , когда сеть была з а щ и щ е н а настолько, насколько это воз¬ м о ж н о , Том проверил каждый сервер на наличие каких-либо следов про¬ шлых вторжений, чтобы убедиться, что н е было оставлено ничего вредо носного, и, если было, попытаться выяснить, кто это сделал. Используя утилиты системного уровня, такие к а к wtmp и lsof, и программу The Coroner's Toolkit, Том смог идентифицировать возможных нарушителей, 31
Курс
Защитные средства с открытыми исходными текстами
ответственных за п р о ш л ы е вторжения (глава 11). Хотя собранные доказа¬ тельства были недостаточно надежными, чтобы возбудить уголовное пре¬ следование, он заблокировал IP-адреса злоумышленников в новом меж¬ сетевом экране, чтобы те не смогли помешать работе. Он использовал также эту и н ф о р м а ц и ю , чтобы пожаловаться на злоупотребления постав¬ щ и к у Интернет-услуг. За несколько первых месяцев работы Том произвел впечатляющие преобразования. Что самое удивительное, о н смог сделать все это при почти полном отсутствии бюджета. К а к ему это удалось? Его подготовка в области и н ф о р м а ц и о н н о й безопасности помогла разработать план дей¬ ствий и реализовать его. Он смог воспользоваться этими з н а н и я м и для ус тановки недорогих, но э ф ф е к т и в н ы х защитных р е ш е н и й , используя П О с открытыми исходными текстами для создания всех своих систем. С помо¬ щью этих пакетов Том смог превратить плохо з а щ и щ е н н у ю сеть в сеть, безопасность которой могла бы соперничать со значительно более доро¬ гими аналогами. И он сделал это без дополнительного персонала и с ми¬ н и м а л ь н ы м количеством средств. Вы также можете использовать открытое П О для защиты своей орга низации. Эта книга познакомит вас с десятками программных пакетов, которые помогут это сделать, а также обучит правильным политикам и процедурам, обеспечивающим и н ф о р м а ц и о н н у ю безопасность. К а к не¬ однократно подчеркивается в этой книге, программно-технические сред ства — прекрасное подспорье, но это л и ш ь половина дела. Хорошо орга низованная программа и н ф о р м а ц и о н н о й безопасности состоит также из политик и процедур, позволяющих в максимальной степени использо вать возможности программного обеспечения. Поэтому, прежде чем пе¬ реходить к установке П О , давайте обсудим основы И Б и происхождение П О с открытыми исходными текстами.
Практика информационной безопасности Наука информационной безопасности включает множество различных аспектов, однако имеются три области, которые являются основанием И Б : конфиденциальность, целостность и доступность. Для их обозначения часто используется акроним КЦД. Эта триада представляет цели информацион ной безопасности (см. рис. 1.1). Каждая из них требует различных инстру¬ ментов и методов и защищает определенный элемент или тип информации.
Конфиденциальность Элемент конфиденциальности информационной безопасности з а щ и щ а е т д а н н ы е от п р о с м о т р а н е а в т о р и з о в а н н ы м и л и ц а м и . Это м о 32
Глава 1
Информационная безопасность и ПО с открытыми исходными текстами
Рис. 1.1. П р и н ц и п ы и н ф о р м а ц и о н н о й безопасности жет быть и н ф о р м а ц и я , к о т о р а я я в л я е т с я в н у т р е н н е й для в а ш е й орга н и з а ц и и , т а к а я к а к и н ж е н е р н ы е п л а н ы , и с х о д н ы е тексты п р о г р а м м , секретные рецепты, финансовая информация или маркетинговые пла н ы . Это может быть и н ф о р м а ц и я о з а к а з ч и к а х и л и сверхсекретные п р а в и т е л ь с т в е н н ы е д а н н ы е . К о н ф и д е н ц и а л ь н о с т ь о т н о с и т с я также к н е о б х о д и м о с т и с о к р ы т и я и н ф о р м а ц и и от л ю б о п ы т н ы х глаз внутри о р г а н и з а ц и и . Разумеется, н е ж е л а т е л ь н о , ч т о б ы все с л у ж а щ и е м о г л и ч и тать э л е к т р о н н у ю почту в ы с ш е г о руководства и л и п р о с м а т р и в а т ь пла¬ т е ж н ы е ведомости. Существует много способов защиты приватных данных от просмот ра. Один из них состоит в запрещении доступа к д а н н ы м . Н о иногда это невозможно, к а к в случае данных, передаваемых через Интернет. В п о добных случаях необходимо использовать другие средства, такие к а к ш и ф р о в а н и е , чтобы скрыть и утаить данные во время их передачи.
Целостность Э л е м е н т ц е л о с т н о с т и помогает гарантировать, что неавторизо¬ в а н н ы е л и ц а не могут м о д и ф и ц и р о в а т ь д а н н ы е . О н означает также , что а в т о р и з о в а н н ы е л и ц а не в н о с я т и з м е н е н и й без соответствующего р а з р е ш е н и я . Следует р а з л и ч а т ь два м о м е н т а . Е с л и к а с с и р б а н к а втай¬ не дебетует ч е й - то счет и кредитует другой, то это п р о б л е м а целостно¬ сти. О н а в т о р и з о в а н делать и з м е н е н и я счетов, н о т о л ь к о после п о л у ч е н и я у к а з а н и я н а в н е с е н и е и з м е н е н и й . Ц е л о с т н о с т ь д а н н ы х означает также , что д а н н ы е с о о т в е т с т в у ю щ и м о б р а з о м с и н х р о н и з и р о в а н ы во всех системах. 33
Курс
Защитные средства с открытыми исходными текстами
Доступность От з а щ и щ е н н ы х данных нет н и к а к о й пользы, если к н и м нельзя о б ратиться. П о мере того, к а к атаки типа «отказ в обслуживании» становят ся все более распространенными, одной из основных задач системы и н ф о р м а ц и о н н о й безопасности становится н е только защита данных от д о ступа злоумышленников, н о и обеспечение доступности данных для тех, кому о н и предназначены. М н о г и е компьютерные преступники будут в равной степени удовлетворены к а к разрушением данных, так и прерыва¬ н и е м работы Web-сайта. Элемент доступности включает также подготов ку к аварийной ситуации и возможность безопасного восстановления по¬ сле ее ликвидации. Том п о н и м а л , что должен применить все эти п р и н ц и п ы , чтобы пол¬ ностью защитить сеть к о м п а н и и . О н нашел программные средства, кото¬ р ы е поддерживали все элементы. Важно было использовать все доступ¬ н ы е возможности. И з новостей и профессиональных статей о н знал ужа¬ сающую статистику.
Состояние компьютерной преступности Компьютерные преступления стали эпидемией, которая затрагивает всех пользователей — от руководителя к о м п а н и и и з списка Fortune 500 до домохозяйки. Согласно ежегодному исследованию Ф Б Р по компьютер н ы м преступлениям, проведенному совместно с Институтом К о м п ь ю т е р ной Безопасности (CSI), более 90% к о м п а н и й в С Ш А стали жертвами ка кой-либо ф о р м ы компьютерного преступления. Восемьдесят процентов о п р о ш е н н ы х понесли в связи с этими атаками определенные ф и н а н с о в ы е потери. Если в 2000 г. потери составили $337 миллионов, то в 2001 г. о н и составили $445. И м о ж н о с уверенностью утверждать, что большинство атак н е фиксируется. М н о г и е к о м п а н и и н е хотят признавать, что их ком¬ пьютерные системы были взломаны или скомпрометированы, и избегают обращаться к о ф и ц и а л ь н ы м л и ц а м , так к а к боятся, что дурная слава м о жет повлиять на ц е н ы акций или бизнес, особенно в таких отраслях, к а к банковское дело, которые опираются на доверие общественности. П о прогнозам Центра З а щ и т ы Н а ц и о н а л ь н о й И н ф р а с т р у к т у р ы ( N I P C ) , компьютерные атаки в 2002 г. участятся и станут более сложными, часто с использованием нескольких методов нападения, к а к в случае с чер вем Code Red в 2001 г. Предполагается, что хакеры сконцентрируются на маршрутизаторах, межсетевых экранах и других некомпьютерных устрой¬ ствах, так к а к они менее заметны и обеспечивают при незаконном исполь¬ зовании более полный доступ к корпоративной сети. Предсказывается так же, что время между обнародованием новой уязвимости и появлением 34
Глава 1
Информационная безопасность и ПО с открытыми исходными текстами
средств, которые ее используют, будет сокращаться, предоставляя меньше времени для ответа на потенциальную угрозу. Действительно, среднее вре мя между сообщением об уязвимости и публикацией программы ее исполь зования сократилось с месяцев до недель. Например, червь Blaster появил ся всего л и ш ь через шесть недель после обнаружения в начале 2003 г. уязви мости в механизме удаленного вызова процедур от Microsoft. Группа реагирования н а нарушения и н ф о р м а ц и о н н о й безопасности ( C E R T ) , которая действует совместно с Университетом Карнеги Меллон и федеральным правительством, отслеживает возникающие угрозы и ста¬ рается предупредить к о м п а н и и о вновь обнаруженных уязвимостях и пробелах безопасности. Выяснилось, что количество отчетов об инциден¬ тах с компьютерной безопасностью более чем удвоилось в 2001 г. п о срав¬ н е н и ю с предыдущим годом, с 21756 до 52658. Отмечен рост числа атак более чем н а 100% каждый год, начиная с 1998 г. В 2003 г. число и н ц и д е н тов выросло н а 70%, хотя общее число новых уязвимостей, определяемых к а к слабые места в аппаратном и л и программном обеспечении, которые позволяют получить н е с а н к ц и о н и р о в а н н ы й доступ, упало (см. рис. 1.2). Это связано с появлением червей, которые быстро распространяются в Интернет, заражая множество систем. Э к с п о н е н ц и а л ь н ы й рост к а к числа атак, так и методов их осуществ¬ ления, является тревожной тенденцией, поскольку все больше организа ц и й подключаются к Интернет. К сожалению, многие из них предпочита ют оставаться в неведении и игнорируют и н ф о р м а ц и ю о проблемах безо пасности. Обычное объяснение недостаточной защищенности к о м п ь ю -
Рис. 1.2. График уязвимостей и инцидентов (источник — C E R T ) . 35
Курс
Защитные средства с открытыми исходными текстами
терной сети: «Зачем хакеру наша организация? У нас нет ничего такого, что и м нужно.». В п р о ш л ы е годы такая п о з и ц и я могла быть оправданной. Хакеры старой ш к о л ы , к а к правило, охотились на крупные организации, которые имели ц е н н ы е данные. Однако радикальные изменения в и н ф о р м а ц и о н н ы х технологиях сделало потенциальной целью хакеров все организации, даже представи¬ телей малого бизнеса. Фактически организации малого и среднего разме¬ ра теперь являются целями более 50% атак, о которых сообщает ФБР. Это изменение было вызвано несколькими факторами, которые описаны в следующих разделах.
Появление Интернет Когда с Интернет были соединены всего несколько сетей, организа¬ ц и я м в основном приходилось беспокоиться о риске того, что кто-то по¬ лучит доступ к консоли компьютера, или о вирусе, который будет занесен через дискету. Защитой от физических угроз такого вида к о м п а н и и зани¬ мались годами. Дверные замки, системы сигнализации и даже вооружен¬ ная охрана могли защитить компьютеры и системы от физического дос¬ тупа. Единственными программно-техническими средствами защиты до наступления э р ы Всемирной Паутины были антивирусное П О и пароли. С распространением Интернет хакеры получили возможность осу¬ ществлять нападения, находясь на удалении в тысячи миль, и похищать критически важные активы к о м п а н и и , обходя все физические барьеры. И м на руку анонимность, которую предоставляет Интернет. О н и могут находиться в иностранных государствах, не имеющих соглашения об э к страдиции преступников. О н и оставляют мало и н ф о р м а ц и и о том, кто они такие и что они сделали. Когда вы подключаетесь к Интернет, то ока¬ зываетесь буквально в нескольких нажатиях клавиш от любого хакера, взломщика и просто бездельника. З а щ и т ы паролем и антивирусным П О уже недостаточно, чтобы удержать незваного гостя от п р о н и к н о в е н и я в ваш виртуальный офис.
Повсеместно распространенная, недорогая широкополосная сеть Относительно недавно подключение к Интернет по выделенным ли¬ н и я м было привилегией крупных организаций. Теперь м о ж н о получить доступ через цифровую абонентскую л и н и ю или кабельный модем для к о м п а н и и или домашнего использования менее чем за $100 в месяц. О р ганизации становятся доступными в Интернет тысячами, и это в целом хорошо для бизнеса. Однако наличие выделенного соединения подверга36
Глава 1
Информационная безопасность и ПО с открытыми исходными текстами
ет их большему риску, чем используемые ранее коммутируемые соедине¬ н и я через телефонную л и н и ю . Прежде всего, широкополосная сеть с о вершенно отлична от простого соединения через модем с точки зрения сети. Обычно при использовании коммутируемого доступа вы подключе¬ н ы , только пока вы работаете. П р и постоянно подключенной ш и р о к о п о лосной сети хакеры могут продолжать атаки, повторяя п о п ы т к и входа столько раз, сколько потребуется. О н и особенно любят действовать в поздние н о ч н ы е часы, когда системные администраторы, которые могут заметить что-то подозрительное, ушли домой. Наличие доступа к производственной площадке с выделенным ши¬ р о к о п о л о с н ы м доступом очень привлекательно для хакеров. О н и могут использовать полосу пропускания для атак на другие организации. Если цель хакера состоит в блокировании таких популярных сайтов, как Yahoo или Amazon, с п о м о щ ь ю простой грубой силы, ему потребуется широкая полоса пропускания. Большинство этих сайтов обладают полосой пропу с к а н и я , которая измеряется гигабитами, а не мегабитами. Ч т о б ы пода вить эти сайты запросами, требуется канал с огромной пропускной спо¬ собностью, которую средний хакер не может себе позволить. Однако ес¬ ли о н проникает в другие м а ш и н ы в Интернет с ш и р о к о п о л о с н ы м и со¬ е д и н е н и я м и , о н может использовать эти м а ш и н ы для атаки своей реаль¬ н о й цели. Если он смог овладеть достаточным количеством плацдармов, о н к а к бы получает в свое распоряжение огромную пушку. Это называет ся распределенной атакой на доступность. Она обладает дополнительным преимуществом, сбивая со следа правоохранительные органы, так как атаки идут с компьютеров ничего не подозревающих жертв, а не от самих атакующих. Эти м а ш и н ы - ж е р т в ы называются «зомби», и хакеры распола¬ гают специальным программным обеспечением, которое они могут загру¬ жать, чтобы заставить зомбированные компьютеры «проснуться» по спе¬ циальной команде, которую только они могут послать. Эти программы часто очень трудно обнаружить и уничтожить, так как хост не проявляет никаких нездоровых признаков, пока П О зомби неактивно. Единствен¬ ное, что требуется хакерам, — ваша полоса пропускания; обычно и м мало интересно, кто вы такой. Другой п р и ч и н о й , почему хакеры проникают в компьютеры, являет ся хранение инструментов и полученной н е з а к о н н ы м путем добычи. И с пользуемые для этого м а ш и н ы хакеры называют «шкафчиками», туда они помещают противозаконные д а н н ы е — п о р н о г р а ф и ю , пиратское П О , ф и л ь м ы или хакерские инструменты. Вместо того чтобы хранить эти дан¬ н ы е на своей м а ш и н е , где они могут быть найдены и использованы про¬ тив них в суде, хакеры предпочитают укрывать их на серверах своих жертв. Ш и р о к о п о л о с н о е соединение очень удобно, так как обладает большой пропускной способностью для пересылки файлов. Предпочти37
Курс
Защитные средства с открытыми исходными текстами
тельнее использовать для этого небольшую организацию, которая вряд ли содержит о б ш и р н ы й штат в отделе и н ф о р м а ц и о н н ы х технологий, чтобы следить за своим соединением с Интернет, и, вероятно, использует не очень развитые средства защиты. Хакеры могут передать IP-адрес взло манного сервера своим приятелям и использовать его для неформальных встреч и обмена. Такие виды вторжения трудно обнаружить, так как к о м пьютер при этом работает нормально, хотя м о ж н о заметить снижение производительности или скорости загрузки файлов.
Атаки «командных детишек» Другим моментом, который и з м е н и л картину компьютерных пра¬ вонарушений, является рост числа нарушителей, особенно с н и з к и м уровнем подготовки. Этих хакеров-новичков называют «командными де¬ тишками», так к а к они часто используют п р о с т е й ш и е хакерские инстру¬ менты или к о м а н д н ы е ф а й л ы , которые находят в Интернет, а не свои собственные з н а н и я . Когда-то хакеры были частью элитарного с о о б щ е ства в ы с о к о к в а л и ф и ц и р о в а н н ы х (хотя и с м о р а л ь н ы м и проблемами) и н дивидов, мастеров программирования, о н и п о н и м а л и к о м п ь ю т е р ы на самом фундаментальном уровне. О н и даже соблюдали н е ф о р м а л ь н ы й кодекс хакера, к о т о р ы й , хотя и отвергал идею приватности, гласил, что взламываемым компьютерам не следует наносить никакого вреда. Ж и з н ь хакера была п о с в я щ е н а изучению и исследованию. Однако вскоре это сообщество разделилось, и в него влились н о в и ч к и . Теперь несложно найти сотни Web-сайтов, которые могут научить, как проникнуть в чу жую систему за пару минут. М н о г и е так называемые хакеры являются подростками со слабым з н а н и е м программирования. И х целью является не п о и с к з н а н и я , а использование взломанных компьютеров, хвастовст во и о т к р о в е н н ы й вандализм. К р и м и н а л ь н ы е элементы, п о п о л н я ю щ и е сообщество хакеров, ищут наиболее легкие «способы взлома». Эти не¬ о п ы т н ы е преступники атакуют системы небольших организаций, кото¬ р ы е располагают меньшее сильной защитой и менее о п ы т н ы м и админи¬ страторами, н е с п о с о б н ы м и заметить о ш и б к и этих неофитов. Большин¬ ство из них не осмелятся напасть на к о м п ь ю т е р ы Пентагона или ЦРУ, поскольку эти организации имеют развитую защиту и серьезные возмож¬ ности судебного преследования. Н е м н о г и е н е б о л ь ш и е организации мо¬ гут позволить себе расследование, е щ е меньшее количество — возбудить судебное преследование компьютерного злоумышленника, даже если о н и установят его личность. И , поскольку по большей части основной целью «командных детишек» является не изучение, а п р и ч и н е н и е вреда, о н и часто вызывают больше повреждений, чем о п ы т н ы й к о м п ь ю т е р н ы й преступник. 38
Глава 1
Информационная безопасность и ПО с открытыми исходными текстами
Черви, автосуперы и другие вредоносные программные средства Н а к о н е ц , основная причина принципиального изменения картины компьютерной безопасности, состоит в том, что большая часть взломов в настоящее время автоматизирована, а выбор жертвы осуществляется слу¬ ч а й н ы м образом. «Командные детишки» могут использовать инструмен¬ ты, которые сканируют IP-адреса случайным образом в поисках и м е ю щих уязвимости компьютеров. Эти программы часто работают целыми ночами, собирая урожай потенциальных жертв. Существуют пакеты, на зываемые «автосуперы», которые получают на компьютере привилегии суперпользователя или администратора. Эти инструменты не только п р о водят разведку, но выполняют реальное п р о н и к н о в е н и е в компьютер и размещают там троянские или другие вредоносные программы. В резуль¬ тате с п о м о щ ь ю одного щелчка м ы ш ь ю кто-то с компьютерным образо¬ ванием не в ы ш е чем у шестилетнего ребенка может взломать десятки ма¬ ш и н за один вечер. С п о я в л е н и е м в И н т е р н е т т а к и х ч е р в е й , к а к N i m d a в 2001 г., да¬ ж е ч е л о в е ч е с к и й э л е м е н т б ы л и с к л ю ч е н и з э т о й к а р т и н ы . Э т и авто¬ н о м н ы е р о д с т в е н н и к и к о м п ь ю т е р н ы х в и р у с о в с т р а н с т в у ю т в Интер¬ нет в п о и с к а х к о м п ь ю т е р о в с о п р е д е л е н н ы м н а б о р о м у я з в и м о с т е й . К о г д а т а к о в о й н а х о д и т с я , о н и п о м е щ а ю т себя в этот к о м п ь ю т е р , в ы п о л н я ю т з а п р о г р а м м и р о в а н н ы е д е й с т в и я , а затем н а с т р а и в а ю т сис¬ тему на п о и с к н о в ы х ж е р т в . Эти а в т о м а т и ч е с к и д е й с т в у ю щ и е систе¬ м ы по взлому компьютеров заразили значительно больше сетей, чем сделали люди-нарушители порядка. Они также распространяются н е в е р о я т н о б ы с т р о . С о г л а с н о о ц е н к а м , ч е р в ь Code Red р а с п р о с т р а н и л с я на более ч е м 300000 с е р в е р о в в т е ч е н и е н е с к о л ь к и х д н е й с м о м е н т а своего п о я в л е н и я .
Риски организаций, связанные с информационной безопасностью Очевидно, что ситуация изменилась. Р а н ь ш е небольшие организа ц и и , в основной массе, могли не с л и ш к о м беспокоиться о безопасности своих данных; теперь организации любых размеров вынуждены тратить на эти проблемы время и деньги. К а к о в ы возможные риски? Немногие организации всерьез задумы¬ ваются обо всех рисках, которым они подвергаются с точки зрения ин¬ ф о р м а ц и о н н о й безопасности. Следует осознавать все возможные р и с к и , понимать, к а к и е из них п р и м е н и м ы к вашей организации и каков воз¬ м о ж н ы й ущерб от каждого из них. Это поможет выбрать разумные пути 39
Курс
Защитные средства с открытыми исходными текстами
п о в ы ш е н и я компьютерной безопасности и обосновать необходимые за¬ траты.
Потеря данных Хотя из-за к о м п ь ю т е р н ы х вирусов эта угроза актуальна с 1980-х го дов, н е м н о г и е руководители задумываются об ущербе от потери части или всех данных. Без п р а в и л ь н о организованного резервного копирова¬ н и я (отсутствующего во многих небольших организациях), потеря кри¬ тически важных д а н н ы х может быть катастрофической. Могут быть стерты н а к о п л е н н ы е за годы д а н н ы е по бухгалтерии, п л а т е ж н ы м ведо¬ мостям или заказчикам. Могут быть п о т е р я н ы заказы. Если д а н н ы е принадлежат з а к а з ч и к а м , то организация может понести ответствен ность за их потерю. Представители определенных п р о ф е с с и й , т а к и е к а к адвокаты или бухгалтеры, могут быть подвергнуты ш т р а ф а м или наказа¬ н ы за потерю подобных данных. Добавьте к этому потери бизнеса и про¬ изводительности, п о к а служащие восстанавливают д а н н ы е или вынуж¬ д е н ы оперировать с з а п и с я м и на бумаге. Д а ж е если имеются резервные к о п и и , время и усилия, необходимые для восстановления и запуска си¬ стем в работу, будут значительны. Н е м н о г и е о р г а н и з а ц и и смогут долго просуществовать без своих к о м п ь ю т е р и з и р о в а н н ы х записей и систем. Имеет ли ваша о р г а н и з а ц и я д о к у м е н т и р о в а н н ы й «План действий в ава р и й н ы х ситуациях», к о т о р ы й охватывает д а н н ы е и системы? Если нет, то вы можете получить н е п р и я т н ы й с ю р п р и з в виде н е о ж и д а н н о г о пере¬ рыва в работе.
Отказ в обслуживании Современные хакеры в большинстве своем вовсе не компьютерные гении, а всего л и ш ь высокотехнологичные вандалы. Эти люди просто по¬ лучают удовольствие от разрушения серверов или создания отказов в об¬ служивании. М н о г о ли организаций имеют оценки часового или дневного ущер¬ ба от потери доступа в Интернет? В некоторых отраслях или организаци ях, существенно опирающихся на и н ф о р м а ц и о н н ы е технологии, этот ущерб может быть очень высок. Н е м н о г и е организации в н а ш е время не зависят так или иначе от доступа в Интернет. Атака на доступность может быть либо незначительным раздражителем, либо существенным ударом для организации — а зависимости от того, насколько бизнес полагается на Интернет. Попробуйте оценить ущерб для вашей организации на основе числа сотрудников, которые не смогут работать, числа заказов, оператив¬ но обрабатываемых в сети, и т.д. 40
Глава 1
Информационная безопасность и ПО с открытыми исходными текстами
Трудности/потеря заказчиков Отсутствие в Интернет может повредить имиджу организации. Не¬ возможность о б щ е н и я по электронной почте или потеря важных сообще н и й в лучшем случае создают затруднения. Если Web-сайт будет отклю чен, то заказчики немедленно начнут задавать вопросы. Для а к ц и о н е р н о й к о м п а н и и это может означать снижение котировок акций. Доказательст¬ вом служит падение цен акций Yahoo и Amazon после сообщений об от¬ казах в обслуживании. М и л л и о н ы или даже сотни миллионов долларов акционеров могут исчезнуть в одно мгновение. Для электронной к о м м е р ц и и , которая зависит от м н е н и я клиентов о безопасности при размеще¬ н и и своей ф и н а н с о в о й и н ф о р м а ц и и в Интернет, одна проблема с Webсайтом может свести на нет годы успешной работы. К о м п а н и я C D Universe, сетевой р о з н и ч н ы й продавец компакт-дисков, у которого была украдена база данных о кредитных картах, не смогла оправиться после этой атаки. К о м п а н и я Cloud Nine Communications, поставщик Интернетуслуг в Англии, не работала неделю в связи с согласованной и длительной атакой на доступность и в конечном счете вынуждена была закрыться. Существуют банды хакеров, которые выполняют массовые искажения Web-сайтов, иногда поражая сотни сайтов за ночь. П р и е м в эти клубы ха керов подтверждается определенным числом обезображенных Web-сай тов. Вы хотите, чтобы ваш Web-сайт фигурировал в их отчетах?
Законодательная ответственность В наш сутяжнический век небольшая ошибка может привести к су дебному разбирательству, стоящему миллионы. Представьте последствия, если база данных заказчиков будет украдена, а затем помещена в Интер¬ нет. Результатом таких событий являются судебные дела с групповыми ис¬ ками. Вследствие огромного роста краж персональных данных были соз¬ даны законы, требующие от организаций следования определенным стан дартам хранения при работе с персональными или финансовыми д а н н ы ми клиентов. Одной из отраслей, которая была особенно сильно затрону та законодательством, является здравоохранение. Закон С Ш А по обеспе ч е н и ю доступности и подотчетности в медицинском страховании 1996 г. требует, чтобы любая организация, имеющая дело с информацией о паци¬ ентах, должным образом защищала эти данные от неавторизованного ис¬ пользования. Требования этого закона по обеспечению приватности п р и менительно к компьютерным сетям вступили в действие в 2003 г. Для на рушителей существуют административные и уголовные наказания, так что это больше не является чисто финансовым вопросом. Руководители орга низаций могут оказаться в тюрьме, если будут уличены в нарушениях. 41
Курс
Защитные средства с открытыми исходными текстами
Хакеры всегда ищут н е з а щ и щ е н н ы е компьютеры, чтобы проводить с них распределенные атаки на доступность. Если компьютеры вашей орга¬ н и з а ц и и использовались в такой атаке, и жертвы н е смогут найти настоя¬ щего злоумышленника, о н и могут обвинить вас в том, что вы пренебрег¬ ли защитой своей сети. Е щ е один предмет заботы — ответственность за нарушение автор¬ ских прав. К о п и р о в а н и е пиратских фильмов, музыки и программного обеспечения через Интернет достигло крайней степени. М е д и й н ы е к о м п а н и и сыты этим по горло и начинают выслеживать нарушителей прямо по I P - а д р е с а м загружающих, н а п р а в л я я п о э т и м адресам юристов. InternetMovies.com, Web-сайт на Гавайях, лишился услуг своего И н т е р нет-провайдера, когда тот получил повестку в суд на основании утвержде н и й о пиратских файлах, находящихся в его сети. Пираты, которые хотят распространять свои изделия, прибегают к хранению их на компьютерах третьих сторон, компрометируя серверы корпоративных сетей. Если сер вер вашей организации без ее ведома используется для подобных целей, или на н е м будут обнаружены такие ф а й л ы , то вас могут отключить от Интернет, подвергнуть штрафу, или вызвать в суд. Такого рода истории помогают убедить сопротивляющихся руководителей в необходимости установить более строгие правила для персонала, такие к а к выполнение п о в ы ш е н н ы х требований к паролям или запрет на установку П О разделе н и я файлов.
Раскрытие корпоративных секретов и данных Трудно дать денежную оценку этого риска, так к а к о н варьируется от организации к организации. Н а п р и м е р , ценность рецепта Coca Cola или жареных цыплят Colonel Sander может достигать миллиардов долларов. В меньшей организации подробная документация на запатентованное уст ройства или формулы может быть бесценна. В некоторых случаях боль шая часть ценностей организации может заключаться в подобных важных данных. Н а п р и м е р , биотехнологическая к о м п а н и я может хранить в к о р поративной сети результаты исследований, относящихся к н о в е й ш и м па¬ тентам в области генетики. С п и с к и заказчиков всегда представляют ценность для конкурентов, особенно в сегменте р ы н к а с высокой конкуренцией. Акционеры подали в суд на к о м п а н и ю Hewlett-Packard после того, к а к было опубликовано содержание закрытых переговоров между руководителями к о м п а н и и во время спорного слияния. Однако этот р и с к существует даже в организациях, где нет секретных планов или рецептов. Н а п р и м е р , представьте ущерб от возможного досту¬ па к корпоративным файлам платежных ведомостей со стороны рядовых 42
Глава 1
Информационная безопасность и ПО с открытыми исходными текстами
работников. Такие вещи происходят постоянно, обычно в связи с чрез¬ м е р н ы м любопытством или мстительностью сотрудников. Разлад и ухуд¬ ш е н и е морального климата могут быть огромными, вплоть до ухода сот¬ рудников, недовольных различиями в оплате. Часто всего этого м о ж н о избежать, если системный администратор правильно защитит систему.
Искажение записей Иногда злоумышленник хочет не украсть или разрушать д а н н ы е , а только изменить существующие записи, надеясь, что это не будет обнару ж е н о . Компьютерные преступления такого типа обычно трудно обнару¬ жить, так как системы продолжают функционировать как и прежде. Н е происходит разрушения системы или падения производительности, слу ж а щ и х признаками вторжения. Отсутствуют в ы з ы в а ю щ и е тревогу изме н е н и я Web-сайта. О ч е в и д н о , что для б а н к о в и п р а в и т е л ь с т в е н н ы х агентств это может быть очень серьезной проблемой. Н о и любой другой организации приходится заботиться о том, чтобы никто не мог п р о н и к нуть в систему заработной платы и изменить значения выплат. Ш к о л ы и университеты могут иметь дело с учащимися, которые пытаются изме нить оценки. Часто только бухгалтерские аудиторы находят свидетельст¬ ва преступлений. Однако при правильно организованной системе безо¬ пасности перечисленных проблем м о ж н о избежать.
Потеря производительности Это значительно менее заметный риск, которого часто очень трудно избежать. О н может состоять в использовании сотрудниками полосы пропускания для загрузки музыки или фильмов, что замедляет работу других служащих, или в посещении ненадлежащих Web-сайтов. Хотя это относится к вопросам политики в о т н о ш е н и и сотрудников, часто прибе гают к услугам системных администраторов для решения проблемы тех н и ч е с к и м и средствами, такими как фильтрация и н ф о р м а ц и о н н о г о на полнения и межсетевое экранирование. М н о г и е из неавторизованных программ, например, Napster, Kazaa, программ мгновенного обмена с о о б щ е н и я м и , п о м и м о того, что снижают производительность, могут соз давать уязвимости в сети организации. П р и всех этих рисках м о ж н о предположить, что организации будут стараться установить необходимые средства защиты. Действительно, крупнейшие организации так и поступают, но большинство организаций малого и среднего размера практически ничего не делают в плане сетевой безопасности. В лучшем случае устанавливается межсетевой экран и анти вирусное П О ; считается, что этого достаточно. К сожалению, это не так. 43
Курс
Защитные средства с открытыми исходными текстами
Возникла целая отрасль, предлагающая р е ш е н и я этих проблем. Су ществуют коммерческие аппаратные и программные р е ш е н и я , такие как межсетевые э к р а н ы , системы обнаружения вторжений и сканеры уязви мостей. Однако большинство этих продуктов очень дороги, поэтому толь¬ ко крупные организации могут их себе позволить. Простой межсетевой э к р а н стоит несколько тысяч долларов. Коммерческие системы обнару ж е н и я вторжений и р е ш е н и я для анализа защищенности могут стоить де сятки тысяч долларов или больше. К р о м е прямых расходов, существуют повседневные расходы на сопровождение П О . М н о г и е из этих программ¬ ных р е ш е н и й требуют для своей работы очень м о щ н ы х компьютеров. Для создания отчетов зачастую необходимы дорогие СУБД, такие как Oracle. С учетом этих расходов желательный уровень и н ф о р м а ц и о н н о й безопас¬ ности оказывается недоступным для организаций малого и среднего раз мера. Н о , как м ы видели, р и с к для этих организаций так ж е высок, как и для к о м п а н и й из Fortune 500 и, возможно, даже в ы ш е , так как они обла дают значительно м е н ь ш и м и ф и н а н с о в ы м и ресурсами для противодейст вия атакам. Что ж е делать вечно спешащему, перегруженному, и м е ю щ е м у недо¬ статочно средств системному администратору? Существует р е ш е н и е , ко¬ торое может обеспечить организации качественную защиту с очень не¬ большими расходами: программное обеспечение с открытыми исходными текстами.
И с т о р и я ПО с о т к р ы т ы м и и с х о д н ы м и т е к с т а м и Д в и ж е н и е за П О с открытыми исходными текстами ведет отсчет от рождения платформы U N I X , в связи с чем многие ассоциируют открытые исходные тексты с системами U N I X и Linux, хотя эта к о н ц е п ц и я распро странилась почти на все операционные системы. О С U N I X была изобре тена в Bell Labs, в то время — исследовательском подразделении компа н и и AT&T. A T & T впоследствии лицензировала это программное обеспе ч е н и е университетам. Так как A T & T была регулируемой к о м п а н и е й , она не могла продавать U N I X , поэтому она передала университетам исходные тексты операционной системы, чего обычно не делают с коммерческими программными продуктами. A T & T не считала в то время, что ОС U N I X представляла большую коммерческую ценность. Университеты, являясь питательной средой творческой мысли, н е медленно начали создавать собственные дополнения и м о д и ф и к а ц и и оригинальных текстов от AT&T. Некоторые сделали только незначитель¬ н ы е изменения. Другие, такие как университет в Беркли ( К а л и ф о р н и я ) , внесли столько м о д и ф и к а ц и й , что создали целую новую ветвь кода. Вско¬ ре лагерь U N I X разделился на два: один — на основе текстов от A T & T 44
Глава 1
Информационная безопасность и ПО с открытыми исходными текстами
продвигал О С U N I X System V, используемую многими производителями м э й н ф р е й м о в и миникомпьютеров; другой — на основе кода B S D , кото¬ р ы й породил многие версии О С U N I X с открытыми исходными текста¬ ми, которые м ы имеем сегодня. О С Linux первоначально основывалась на M I N I X , О С U N I X для П К , которая имела к о р н и в System V. Ранние приверженцы открытого П О также не избежали философско го раскола. Программист Ричард Столмэн основал Фонд свободного п р о граммного обеспечения, который выступает за открытость исходных тек стов любого П О . Он разработал для этого специальную лицензию, называ емую Генеральной публичной лицензией ( G P L ) . Она обеспечивает авторам некоторую защиту их материала от коммерческого использования, н о , тем не менее, предусматривает свободную передачу исходных текстов. Универ¬ ситет в Беркли ранее разработал свою собственную лицензию для откры тых исходных текстов, лицензию B S D , которая является менее ограничи тельной, чем G P L , и используется во многих вариантах B S D U N I X . Две эти л и ц е н з и и позволяют программистам безбоязненно разраба тывать код для новых платформ U N I X , н е беспокоясь о юридических п о следствиях, и л и о том, что их работа будет использоваться другими с ком¬ мерческой выгодой. Это стимулировало разработку многих приложений, которые в настоящее время используются в Интернет, а также базового инструментария, в первую очередь — семейства компиляторов G c c , и н терпретаторов Python, Awk, Sed, Expect, и т.д. М о щ н ы м толчком к разработке П О с открытыми исходными текста¬ ми стало распространение Интернет в начале 1990-х годов. До этого разра ботчики использовали для общения и пересылки файлов коммутируемые сети и доски объявлений. Существовали сети, такие как U S E N E T и DALnet, для облегчения работы множества специализированных форумов. Однако использовать эти сети было трудно и дорого, и часто они н е выхо¬ дили за национальные границы в связи с высокой стоимостью соединений. Распространение Интернет все изменило. Недорогие глобальные коммуникации и облегчение доступа к д а н н ы м через Web-страницы вы¬ звало взрыв инноваций и разработок в мире открытого П О . Теперь про¬ граммисты могли мгновенно взаимодействовать и создавать Web-сайты с описанием своей работы, которую любой в мире мог легко найти с помо¬ щью поисковых м а ш и н . Проекты, развивавшиеся параллельно, объединя ли свои ресурсы. Одновременно от больших групп отделялись меньшие, уверенные, что теперь о н и смогут найти поддержку для своих проектов.
На сцену выходит Linux И м е н н о на этом плодородном поле выросло высшее современное достижение среди П О с открытыми исходными текстами. Линус Тор45
Курс
Защитные средства с открытыми исходными текстами
вальдс был старательным студентом колледжа в Ф и н л я н д и и и мастерски владел своим П К . Он хотел использовать на нем привычную п о учебе вер¬ сию U N I X . О н купил M I N I X — упрощенную версию О С U N I X для П К , но был разочарован ее ограниченностью, в частности, в области эмуля ц и и терминала. Д л я в ы п о л н е н и я своей работы ему нужно было соеди няться с колледжем, так что наиболее быстро развивающаяся современ ная операционная система начиналась к а к проект для создания програм м ы эмуляции терминала для его П К . Со временем он закончил свою программу и разместил ее в несколь¬ ких телеконференциях U S E N E T ; другие люди начали предлагать добавле н и я и усовершенствования. В это время сформировалось ядро, превра тившееся н ы н е в многонациональное объединение тысяч людей. В тече н и е шести месяцев Торвальдс создал основу операционной системы. Она могла делать н е очень много, н о с участием десятков программистов, со¬ действовавших ее развитию, потребовалось н е так много времени, чтобы этот «научный проект» превратился в то, что м ы знаем к а к операционную систему с открытыми исходными текстами, именуемую Linux. Linux стал символом всего, что есть положительного в открытом П О . Все начинается с того, что кто-то хочет улучшить уже существующие средства и л и создать новые. Если это представляет интерес, импульс ула вливается, и вскоре появляется нечто, что в коммерческой среде потребо вало бы для своего создания годы работы и м и л л и о н ы долларов. П о к а это не стоило ничего (если н е считать тысяч затраченных часов). В связи с этим продукт может предлагаться бесплатно. В результате он может полу¬ чить более ш и р о к о е распространение и привлечь е щ е больше разработчи¬ ков. И ц и к л продолжается. Это истинная меритократия, где выживают только хорошие программы. Однако это н е означает, что П О с открытыми исходными текстами не имеет коммерческого мотива или возможностей. Сам Торвальдс получил немало средств благодаря своим усилиям, хотя он первый скажет, что это никогда н е было его целью. Вокруг Linux возникло много компаний — л и бо для его поддержки, либо для создания аппаратных и программных р е ш е н и й на его основе. RedHat и Turbo Linux являются примерами много¬ численных компаний, которые получают значительные доходы и имеют высокую рыночную стоимость (хотя последняя и сократилась по сравне н и ю с периодом их наивысшего расцвета в к о н ц е 1990-х). Даже к о м п а н и и , которые известны к а к производители патентованного программного обеспечения, такие как I B M , приняли Linux к а к дополнительный способ продажи своего оборудования и услуг. Это н е означает, что все программное обеспечение должно быть бес¬ платным или иметь открытые исходные тексты, хотя радикально настро¬ енные представители мира открытого П О будут с этим не согласны. Суще46
Глава 1
Информационная безопасность и ПО с открытыми исходными текстами
ствует сейчас и будет существовать всегда место для патентованного П О с закрытыми исходными текстами. Н о движение за открытое П О продолжа¬ ет набирать обороты, его поддержка ширится. Возможно, со временем по¬ добное П О сможет составить большую часть установленной базы про¬ граммного обеспечения. Оно представляет альтернативу коммерческим продуктам и заставляет их поставщиков непрерывно создавать и предла гать на р ы н к е реальные ценности. В конце концов, если имеется бесплат ная программа с открытыми исходными текстами, которая делает то ж е , что ее коммерческий аналог, производители последнего должны обеспе¬ чить такую поддержку, которая оправдывала бы запрашиваемые деньги.
Д о с т о и н с т в а ПО с о т к р ы т ы м и и с х о д н ы м и т е к с т а м и Вы и ваша организация можете использовать П О с открытыми и с ходными текстами как для сокращения расходов, так и для п о в ы ш е н и я своей безопасности. Следующие разделы затрагивают некоторые из мно¬ жества п р и ч и н , по которым защитные инструменты с открытыми исход¬ н ы м и текстами могут иметь смысл для вас и вашей организации.
Стоимость П о этому показателю трудно превзойти бесплатную вещь! Хотя от крытое П О не обязательно бесплатное, по большей части оно является та¬ ковым. Наиболее распространенной лицензией П О с открытыми исход¬ н ы м и текстами служит лицензия G N U G P L , которая является лицензией бесплатного программного обеспечения. Другое открытое П О может быть условно бесплатным или даже оплачиваемым авансом, как коммер¬ ческие серверы, доступные от RedHat. Н о в любом случае П О с открыты¬ ми исходными текстами доступно за часть стоимости коммерческих ана¬ логов. Это существенно помогает при обосновании новых проектов по безопасности в вашей организации. Значительно легче получить одобре н и е для нового р е ш е н и я , если требуется л и ш ь немного времени и, воз м о ж н о , новый компьютер для работы программного обеспечения. Ф а к тически, в зависимости от уровня ваших п о л н о м о ч и й , м о ж н о реализовать его, не делая экономических обоснований.
Расширяемость П о определению, П О с открытыми исходными текстами модифици¬ руемо и расширяемо, при условии, что вы обладаете достаточной п р о граммистской подготовкой. М н о г и е программы с открытыми исходными текстами поддерживают встроенные интерпретируемые я з ы к и , позволя47
Курс
Защитные средства с открытыми исходными текстами
ю щ и е создавать небольшие дополнительные модули, не обладая о б ш и р н ы м и п о з н а н и я м и в программировании. Nessus, сканер уязвимостей с от крытыми исходными текстами, поддерживает я з ы к сценариев N A S L ( да лее в книге вы найдете описание этого я з ы к а и научитесь писать специ альные тесты системы безопасности). Snort, упомянутая в ы ш е система обнаружения вторжений с открытыми исходными текстами, позволяет создавать свои собственные определения сигналов тревоги. Это означает, что для контроля специфических требований организации м о ж н о легко написать соответствующую командную процедуру. Н а п р и м е р , если и м е ется особо важный для организации файл customer.mdb, который д о л ж н ы использовать только определенные подразделения, то м о ж н о написать правило Snort, которое следит за перемещением этого файла в сети и пре¬ дупреждает вас при подозрении на нарушение безопасности. И, конечно, если вы являетесь к в а л и ф и ц и р о в а н н ы м программи стом, то можете включиться в развитие исходных текстов и получить как ц е н н ы й опыт, так и п р и з н а н и е в сообществе разработчиков открытого П О . Это может оказаться полезным и в карьерном плане.
Безопасность Некоторые, по большей части это люди, вовлеченные в разработку коммерческого П О , заявляют, что программное обеспечение с закрыты¬ ми исходными текстами изначально более безопасно, так как хакеры не могут легко получить доступ к его внутренней структуре. Эта философ¬ ская школа полагается на обеспечение безопасности путем засекречива н и я конструкции продукта. Однако подобная логика не выдерживает с о поставления с фактами. Windows является к р у п н е й ш и м в мире патенто в а н н ы м программным продуктом, однако число известных уязвимостей на платформах Windows п р и м е р н о такое ж е , как и в Linux и других плат¬ формах с открытыми исходными текстами. Правда состоит в том, что от¬ крытость или закрытость исходных текстов не заставляют программистов писать более з а щ и щ е н н ы е программы.
Независимость В программах с открытыми исходными текстами обнаружение и ис¬ правление проблем с безопасностью происходит значительно быстрее. Коммерческие к о м п а н и и зачастую имеют серьезные материальные сти¬ мулы не признавать уязвимости в своих продуктах. Множество уязвимостей, найденных в продукте, особенно защитном, может отпугнуть новых заказчиков. Если это акционерная к о м п а н и я открытого типа, то цена ак¬ ц и й может упасть. К р о м е того, разработка корректирующих заплат и п е 48
Глава 1
Информационная безопасность и ПО с открытыми исходными текстами
редача их заказчикам — дорогое удовольствие, которое обычно не п р и н о сит прибыли. Поэтому заставить к о м п а н и ю признать проблему с безопас¬ ностью ее программного продукта может быть непросто. Это означает, что могут пройти д н и или недели, в течение которых системы клиентов будут по-прежнему уязвимы. Разочарованные этим процессом, некото р ы е исследователи безопасности п р и н я л и политику открытой публика ц и и данных о новых уязвимостях. Когда уязвимость общеизвестна, к о м п а н и я выполняет сложный процесс разработки и тестирования исправлений, чтобы избежать проб лем, связанных с обязательствами перед заказчиками и выпустить испра вление для всех платформ одновременно. А значит, пройдет еще больше времени, в течение которого хакеры могут воспользоваться известной уязвимостью. Проекты П О с открытыми исходными текстами не имеют таких ог¬ раничений. Корректирующие заплаты обычно появляются в течение ча сов или дней, а не недель. И, конечно, не обязательно ждать официаль¬ н о й коррекции; если вы хорошо понимаете код, то можете написать соб¬ ственную заплату или создать временный обход. Общее м н е н и е сообщества открытого П О состоит в том, что безо¬ пасность наилучшим образом обеспечивается в результате критического анализа большим число людей, которые я в н о не заинтересованы в том, чтобы не выявить какие-либо уязвимости. Такие ж е меры качества п р и меняют в своей работе специалисты по криптографии. К о н ц е п ц и я от¬ крытости исходных текстов не гарантирует, что вы получите более защи¬ щ е н н о е программное обеспечение, но благодаря ей не приходится верить к о м п а н и и на слово, что ее продукт безопасен, а потом дожидаться р е ш е н и я очередных проблем с безопасностью.
Поддержка пользователей Коммерческие программные продукты обычно имеют систему под¬ держки и формальный канал для обращения за п о м о щ ь ю . Одной из о с новных п р и ч и н , почему многие сторонятся р е ш е н и й с открытыми исход н ы м и текстами, является их убеждение в том, что необходимо заплатить за продукт, чтобы получить надлежащую поддержку. Однако поддержка, которую о н и получают за деньги, часто оказывается не так уж и хороша. Если программистская к о м п а н и я небольшая, вам, возможно, придется ждать часы или д н и , пока они ответят. Если поставщик крупный, то вы, вероятно, будете п о м е щ е н ы в очередь обращений. Когда вас в к о н ц е к о н цов соединят, то это окажется технический специалист начального уров н я , который может л и ш ь ввести вашу проблему в базу данных, чтобы п о смотреть, не встречалась ли такая проблема ранее, а затем предложить 49
Курс
Защитные средства с открытыми исходными текстами
стандартное решение. Обычно приходится добираться до технического специалиста второго или третьего уровня, который действительно пони¬ мает продукт и может помочь в случае сложных проблем. Очевидно так¬ же, что к о м п а н и и не любят признавать наличие о ш и б о к в своих продук тах; они будут стремиться переложить ответственность на чужие плечи (операционную систему, оборудование и т.д.). Далее, многие к о м п а н и и теперь берут отдельную плату за поддерж¬ ку. Деньги, которые вы платите за несколько лет поддержки программно¬ го обеспечения, могут превышать его первоначальную стоимость. Эти платежи создают постоянный поток прибыли для к о м п а н и и , даже если вы никогда не делаете обновлений. Большинство программистских к о м п а н и й , если пока еще и не делают этого, то движутся в этом направлении. Бесплатные телефонные номера технической поддержки П О становятся редкостью. Продукты с открытыми исходными текстами часто имеют прекрас¬ н ы е сети поддержки, хотя и несколько нетрадиционные. Поддержка по¬ добного П О менее формализована, но часто более полезна и более надеж¬ на. Редко существуют телефонные номера, по которым м о ж н о позвонить, но обычно существует несколько возможностей, чтобы получить ответы по программному обеспечению. В небольшом проекте это может быть не¬ посредственное общение с разработчиком по электронной почте. С более крупными пакетами обычно ассоциирован список почтовой рассылки, куда м о ж н о отправлять свои вопросы, а иногда и несколько списков, за висящих от вопроса (пользователь, разработчик, определенные модули или платформы). М н о г и е используют чаты, где м о ж н о задавать вопросы, спрашивать о новых свойствах или просто общаться в реальном времени. Важный момент состоит в том, что вы общаетесь с людьми, которые хорошо знакомы с программным обеспечением (возможно даже с реаль¬ н ы м и разработчиками). М о ж н о спросить у них о новых свойствах или прокомментировать недавние добавления. Вы в к о н ц е концов будете об щаться с с а м ы м и я р к и м и и наиболее о п ы т н ы м и людьми в отрасли. Я многое узнал, просто следя за общением в списках почтовой рассылки. На большинство вопросов, которые я задавал в этих списках, отве¬ ты были д а н ы в течение нескольких часов или еще быстрее. Ответы обычно были содержательными и иногда остроумными. Вы получите не¬ сколько различных м н е н и й или р е ш е н и й вашей проблемы, которые все могут быть правильными! П о м и м о получения очень подробных ответов на свои вопросы, вы можете побеседовать о состоянии дел в определен¬ н о й области или поучаствовать в ф и л о с о ф с к и х дебатах о будущих верси¬ ях (если у вас много свободного времени). И к о н е ч н о , если вы квалифи¬ ц и р о в а н н ы й программист, вы можете предложить собственные ответы на вопросы. 50
Глава 1
Информационная безопасность и ПО с открытыми исходными текстами
П о м н и т е , что эти люди обычно не работают на к о м п а н и ю , произво¬ дящую программное обеспечение, и могут иногда показаться немного резкими или грубыми. Простые вопросы, на которые имеются п о л н ы е от веты на страницах I N S T A L L или в F A Q , могут привести к выговору. Н о о н будет обычно также содержать ответ или, как м и н и м у м , указание, где его м о ж н о найти. Иногда борьба м н е н и й в списках скрывает реальную ин¬ ф о р м а ц и ю . Однако я в любом случае предпочту взволнованные дебаты небрежному ответу. Н а к о н е ц , если вы действительно считаете, что д о л ж н ы заплатить за поддержку, то существуют к о м п а н и и , которые делают и м е н н о это для П О с открытыми исходными текстами. Многочисленные Linux-компании предлагают поддерживаемые версии этой операционной системы. Для многих из наиболее популярных приложений также существуют компа н и и , которые оказывают для них поддержку. Вы можете купить упакован ную коробку с системой обнаружения вторжений Snort у нескольких к о м п а н и й , которые будут поддерживать вас и предоставлять регулярные об новления. Таким образом вы сможете получить такую ж е поддержку, ко¬ торую предлагают коммерческие продукты, но сохранить при этом все преимущества открытого П О .
Продолжительность жизни продукта П р и использовании коммерческого П О вы полностью во власти кор¬ порации, которая владеет выбранным вами продуктом. Если это большая к о м п а н и я , такая как Microsoft, то вы, вероятно, в хорошем положении. Однако даже Microsoft может попытаться войти в р ы н о ч н ы й сегмент, а за¬ тем бросить его и соответствующую л и н и ю продуктов. Более мелкие ком¬ пании могут уходить из бизнеса, их могут покупать и поглощать. В наше время это происходит все чаще. Если компания, которая купила произво дителя, имеет конкурирующие продукты, то, скорее всего, они избавятся от одной из линий. Если они решат отбросить ваш продукт, то вам не по¬ везло с будущей поддержкой. П р и закрытых исходных текстах продукта не существует возможности задать какие-либо вопросы или сделать в нем ка кие-либо обновления, если компания-производитель выходит из игры. Проекты с открытыми исходными текстами никогда до к о н ц а не умирают. Это не значит, что они не переходят в с п я щ и й режим. Проекты постоянно уходят на обочину по мере того, как участники заканчивают университет или переходят к новому этапу своей карьеры. Это особенно распространено для небольших программ и инструментов. Более круп н ы е программы (которые составляют большинство упомянутых в этой книге продуктов) всегда кем-то поддерживаются. Фактически иногда происходит борьба за власть в иерархии, чтобы контролировать проект. 51
Курс
Защитные средства с открытыми исходными текстами
Однако если кому-то не нравится направление развития проекта, ничто не мешает создать свое ответвление и перевести проект в желаемое русло. Д а ж е в маленьких проектах, где имеется только один разработчик, кото¬ р ы й больше не развивает его активно, м о ж н о просто продолжить с того места, где он был остановлен. А если вам надо исправить что-то или доба¬ вить свойство, то исходные тексты доступны и позволяют это сделать. С П О с открытыми исходными текстами вы никогда не зависите от прихо¬ тей р ы н к а или ф и н а н с о в ы х интересов к о м п а н и й .
Обучение Если вы хотите узнать, как работает программное средство безопасно¬ сти или усовершенствовать свои навыки программирования, то П О с от крытыми исходными текстами прекрасно подходит для этого. Стоимость небольшая, поэтому не приходится выкладывать пару тысяч долларов за обучение. Если вы делаете это самостоятельно, то потребуется только к о м пьютер для работы и соединение с Интернет для загрузки программного - обеспечения (или компакт-диск, приложенный к этой книге). Если вы де лаете это для организации, то это самый дешевый учебный курс, который когда-либо санкционировался. Кроме того, организация получит дополни тельную выгоду, так как вы сможете использовать новые знания для улуч шения ее информационной безопасности, не тратя на это л и ш н и е деньги. К о н е ч н о , вдумчивые программисты любят П О с открытыми исход н ы м и текстами, так к а к они могут попасть п р я м о в сердце программы, и увидеть, как она работает. Это — лучший способ изучения, когда м о ж н о увидеть все исходные тексты, которые обычно хорошо документированы. М о ж н о вносить и з м е н е н и я , добавлять новые свойства и расширять базо вый код, что невозможно для программ с закрытыми исходными текста¬ ми. Самое большее, чего вы можете достичь с последними, — стать опыт¬ н ы м пользователем; с открытыми исходными текстами, вы сможете быть новатором и созидателем, если, конечно, захотите. Списки почтовой рассылки и чаты для проектов с открытыми исход ными текстами являются прекрасным местом, где можно задавать вопросы и подружиться с людьми, которые способны стать реальными наставника ми в вашей карьере. Участие в подобном проекте является, вероятно, самым быстрым способом узнать, как разрабатывается программное обеспечение.
Репутация Отточив свое мастерство и несколько раз поучаствовав в оживлен¬ ных дискуссиях, став п о с т о я н н ы м действующим членом проекта П О с от¬ крытыми исходными текстами, вы обнаружите, что стали авторитетом 52
Глава 1
Информационная безопасность и ПО с открытыми исходными текстами
для новичков. Репутация в мире открытого П О прекрасно выглядит в ре¬ зюме. Участие в разработке продукта с открытыми исходными текстами служит свидетельством вашей преданности и организаторских способно¬ стей, не говоря уже о навыках программирования. Создание пакета с от к р ы т ы м и исходными текстами — хорошая тема д и п л о м н о й работы. И ко¬ нечно, когда вы будете уверены в себе, вы можете начать создавать собст¬ венное открытое П О , заняться реализацией других проектов. М н о г и е ав¬ торы П О с открытыми исходными текстами работают в реальных компа¬ ниях, делающих реальные деньги. Однако независимо от того, будут ли ваши усилия в области создания подобного П О просто увлечением, как бывает чаще всего, или станет вашей единственной целью в ж и з н и , это может быть и полезно, и интересно.
Когда ПО с о т к р ы т ы м и и с х о д н ы м и т е к с т а м и м о ж е т не с о о т в е т с т в о в а т ь т р е б о в а н и я м Выше много говорилось о достоинствах П О с открытыми исходны¬ ми текстами. Вы могли подумать, что с его п о м о щ ь ю м о ж н о решить все проблемы. Однако существуют ситуации, когда оно просто не подходит. И х не так много, но они встречаются.
Компания по созданию программных средств защиты данных Если вы работаете в организации, которая создает патентованное программное обеспечение защиты данных, то П О с открытыми исходны¬ ми текстами не очень подходит в качестве основы разрабатываемых про¬ дуктов. Это не означает, что вы не можете экспериментировать с подоб¬ н ы м П О , чтобы получить идеи и ознакомиться с методами, но надо быть очень осторожным с включением каких-либо фрагментов из проекта с от¬ к р ы т ы м и исходными текстами, поскольку это может нарушать л и ц е н з и и открытого П О и сделает недействительной всю работу организации. Если ваша организация может работать с л и ц е н з и я м и , включенными в про¬ граммы с открытым кодом, вы можете их использовать. Некоторые орга¬ н и з а ц и и также начинают открывать исходные тексты некоторых частей своего П О . Такие «гибридные» л и ц е н з и и становятся все более распро страненными. Если вы решите сделать это, то необходимо убедиться, что вы я с н о понимаете л и ц е н з и ю открытого П О , а юристы д о л ж н ы внима¬ тельно исследовать этот вопрос. Это не означает, что в вашей организации нельзя использовать П О с открытыми исходными текстами. Если вы работаете сетевым админист¬ ратором, то можете применять, например, межсетевой э к р а н с открыты¬ ми исходными текстами. М н о г и е к о м п а н и и по разработке П О с закрыты53
Курс
Защитные средства с открытыми исходными текстами
ми исходными текстами делают это, к а к бы лицемерно это н и выглядело. Вы н е можете использовать открытые тексты для создания продукта, к о торый н е будет распространяться к а к открытое П О .
Полный аутсорсинг информационных технологий П О с открытыми исходными текстами может н е подойти, если ваш отдел И Т н е способен выполнить установку, к о м п и л я ц и ю программ и т.д. Хотя большая часть программ с открытыми исходными текстами весьма проста в использовании, требуется определенный уровень подготовки. Если администрированием вашей системы занимаются только в свобод ное время, или если вы передали ф у н к ц и и отдела И Т сторонней органи¬ зации, то использовать открытое П О , наверное, н е имеет смысла, если только ваш подрядчик н е имеет значительного опыта в этой области.
Ограничительные корпоративные стандарты в области ИТ Наконец, в ы можете столкнуться с ограничениями корпоративных стандартов, которые либо требуют ориентироваться на определенных по¬ ставщиков, либо полностью запрещают использование открытого исход¬ ного кода. Это становится все менее распространенным, так к а к организа ц и и понимают, что неразумно ориентироваться только на одного постав щика. Долгое время игнорируемое большими к о м п а н и я м и П О с открыты ми исходными текстами уверенно покоряет корпоративную Америку. Та кие компании, к а к I B M , — когда-то крупнейший поставщик патентован¬ ных продуктов с закрытыми исходными текстами — берет на вооружение и даже пропагандирует открытое П О . Старое изречение, что «никто нико¬ гда н е будет уволен за покупку (вставьте поставщика на выбор из голубых фишек)» в большинстве организаций больше н е действует. Обновленной версией данного высказывания может быть «никто никогда не будет уво лен за э к о н о м и ю денег организации с помощью решения, которое работа ет». Однако, конечно, предложение новой к о н ц е п ц и и может оказаться бо лее рискованным, ч е м сохранение сложившегося порядка вещей.
W i n d o w s и ПО с о т к р ы т ы м и и с х о д н ы м и т е к с т а м и Так случилось, что П О с открытыми исходными текстами разраба¬ тывалось прежде всего в операционных системах на основе U N I X . М н о гие разработчики считают операционную систему Windows и создавшую ее к о м п а н и ю антиподом того, за что выступает движение за открытое П О . И сама к о м п а н и я этого н е отрицает; фактически корпорация Microsoft за казывает исследования, которые представляют открытое П О в невыгод 54
Глава 1
Информационная безопасность и ПО с открытыми исходными текстами
н о м свете, и активно борется на р ы н к е с операционной системой Linux, которая начинает вторгаться в ее рыночную долю серверов. Однако неза в и с и м о от о т н о ш е н и я Microsoft к с а м о й к о н ц е п ц и и , пользователи Windows активно создают для нее программы и выпускают их с открыты¬ ми исходными текстами. Существуют версии основных инструменталь¬ ных средств мира U N I X и Linux для Windows. Эти программы иногда я в ляются не п о л н ы м и аналогами своих собратьев из U N I X , но существуют также программы с открытыми исходными текстами, которые в ы п у щ е н ы только для платформы Windows, такие как анализатор беспроводных се тей NetStumbler, который рассматривается в главе 10. Технический персонал ограничен р а м к а м и о п е р а ц и о н н о й системы, которую они могут использовать в корпоративной сети. Д а ж е если они могут выбирать О С самостоятельно, у них просто может не быть време н и для загрузки и изучения одной из о п е р а ц и о н н ы х систем с открытыми исходными текстами, которые рекомендуются в следующей главе. П о э тому для каждой прикладной области, рассмотренной в этой книге, дела ются п о п ы т к и представить варианты к а к для U N I X , так и для Windows (зачастую они совпадают). Нравится это или нет, но Windows является д о м и н и р у ю щ е й о п е р а ц и о н н о й системой для настольных компьютеров, а и г н о р и р о в а н и е данного факта сослужило бы дурную службу техниче¬ с к и м специалистам, которые хотят воспользоваться возможностями от¬ крытого П О .
Л и ц е н з и и д л я ПО с о т к р ы т ы м и и с х о д н ы м и т е к с т а м и М н о г и е считают, что открытость исходных текстов означает свободу программного обеспечения от всех ограничений. Действительно, во м н о гих случаях за программу не нужно платить. Однако почти все П О с от к р ы т ы м и исходными текстами охватывается лицензией, с которой вы д о л ж н ы согласиться при его использовании, так ж е это делается для к о м мерческих продуктов. Обычно эта лицензия значительно менее ограни чительна, чем традиционная лицензия П О с закрытыми исходными тек¬ стами; однако она устанавливает границы того, что м о ж н о делать с про¬ граммным обеспечением. Без этих ограничений н и один программист не будет чувствовать себя в безопасности при предоставлении результатов своей работы в общее достояние. П р и использовании открытого П О убе¬ дитесь, что вы действуете в соответствии с этой лицензией. Проверьте также, что все сделанные м о д и ф и к а ц и и ей также соответствуют. Это важ¬ н ы й момент: если ваша организация тратит много времени, модифицируя программу с открытыми исходными текстами для собственного исполь зования, необходимо понимать, что вы, согласно лицензии, берете на се бя некоторые обязательства. 55
Курс
Защитные средства с открытыми исходными текстами
Существует два основных типа л и ц е н з и й для П О с открытыми и с ходными текстами: Генеральная публичная лицензия G N U G P L и л и ц е н зия B S D . П р и правильном их п о н и м а н и и вы сможете уверенно использо вать большую часть открытого П О , не боясь запутаться в каких-либо в о просах авторского права. Существует несколько необычных л и ц е н з и й для П О с открытыми исходными текстами, появляющихся для таких вещей, как иллюстрации в компьютерных играх и т.д. Эти «гибридные» л и ц е н з и и несколько сложнее, а их использование требует определенной осторож¬ ности, так как с вас могут потребовать плату или вы невольно нарушите авторские права. Цель обеих основных л и ц е н з и й для П О с открытыми исходными текстами в большей степени состоит не в защите существующего про¬ граммного обеспечения, а в контроле использования производного кода, полученного на основе этого программного обеспечения. В к о н ц е кон¬ цов, оно обычно бесплатно, и первоначальный разработчик не будет воз¬ ражать, если вы сделаете м и л л и о н к о п и й и распространите их среди сво¬ их друзей. Н о когда вы начнете делать изменения в программном обеспе¬ ч е н и и и захотите его распространить, вы д о л ж н ы быть аккуратны. Две ос¬ н о в н ы е л и ц е н з и и для П О с открытыми исходными текстами, их сходства и различия описаны далее.
Генеральная публичная лицензия GNU GPL Генеральная публичная лицензия G N U G P L используется, пожалуй, наиболее часто. Она поддерживается Ф о н д о м свободного программного обеспечения, который способствует созданию и распространению П О с открытыми исходными текстами, используя эту лицензию. Сообщество G N U работает над определенными программными проектами и ставит на них свою печать одобрения. Эти проекты в большинстве своем являются базовыми инструментами и библиотеками, такими как семейство компи¬ ляторов Gcc. Любой может использовать л и ц е н з и ю G P L для программ ного обеспечения, пока вы применяете его в исходном виде, без измене¬ н и й и добавлений. Ее используют многие разработчики, потому что она была проверена группой юристов и прошла испытание временем. Она на¬ столько распространена, что когда говорят о «программе с GPL», то люди обычно понимают, что речь идет о программе, выпущенной с открытыми исходными текстами согласно л и ц е н з и и G P L . G P L сложнее, чем другая основная лицензия для П О с открытыми исходными текстами, лицензия B S D . Она имеет больше ограничений на использование кода держателя лицензии, что делает ее более подходящей для организаций, которые создают коммерческий продукт. Обычно, если вы лицензируете что-то под G P L , то это понимается как свободное п р о 56
Глава 1
Информационная безопасность и ПО с открытыми исходными текстами
граммное обеспечение. Поставщик, однако, может требовать плату за упаковку, распространение и поддержку. В этой области многие компа¬ н и и делают деньги на том, что, по общему м н е н и ю , является бесплатным пакетом. Свидетельством тому служат р о з н и ч н ы е пакеты разновидностей Linux, коммерческие версии Web-серверов Apache и коммуникационного пакета Sendmail. Однако, если вы скачиваете или загружаете с компактдиска П О , распространяемое по л и ц е н з и и G P L , и не указываете номер кредитной карты, то м о ж н о предположить, что вы не д о л ж н ы никому ни¬ каких денег. Реальная ценность л и ц е н з и и G P L с точки зрения разработчика с о стоит в том, что она позволяет автору программы поддерживать авторские права и некоторые привилегии, делая ее при этом бесплатной для м а к с и мального числа людей. Л и ц е н з и я G P L также разрешает дальнейшее раз витие, не беспокоясь, что исходный разработчик может не выдержать конкуренции с патентованной версией собственной программы. В базовой форме лицензия G P L позволяет произвольным образом ис пользовать и распространять программу со следующими ограничениями: • Если вы распространяете свою работу, то д о л ж н ы включить автор ские права исходного автора и G P L во всей полноте. Это делается для того, чтобы любой будущий пользователь вашего дистрибутива полностью понимал свои права и ответственность согласно G P L . • Когда вы распространяете программу, вы всегда д о л ж н ы делать доступной версию исходных текстов. М о ж н о также распростра¬ нять б и н а р н ы й код, но только вместе с исходными текстами. Это обеспечивает цель к о н ц е п ц и и открытого П О . Если бы распро¬ странялся только б и н а р н ы й код свободной программы и требова лось разыскивать его создателя, чтобы получить доступ к исход¬ н ы м текстам, то м о щ ь свободного П О оказалась бы существенно с н и ж е н н о й . Л и ц е н з и я G P L гарантирует, что каждый получатель программы будет иметь полную возможность увидеть исходные тексты. • Если вы делаете какие-либо изменения в программе и выпускаете или распространяете ее, вы должны сделать доступными исходные тексты изменений таким ж е образом, как и первоначальные, то есть общедоступными и с лицензией G P L . Ключевая фраза здесь «и в ы пускаете или распространяете ее». Если вы ее не выпускаете, то вы не обязаны выпускать исходные тексты. Если вы делаете индивиду альные изменения для своей организации, то она может не беспо коиться о распространении результатов ваших усилий. Пока вы не выпускаете программу и не намерены ее продавать, исходные тек¬ сты могут оставаться закрытыми. 57
Курс
Защитные средства с открытыми исходными текстами
Однако хорошим тоном считается выпуск модифицированных программ с лицензией G P L . Это не только создает большую добро¬ желательность со стороны сообщества открытого П О , н о также га¬ рантирует, что ваши изменения окажутся совместимыми с будущи ми версиями программы и полностью протестированы. М о ж н о ис¬ пользовать эту логику, чтобы убедить свою организацию, что в этом случае м о ж н о получить опыт и бесплатную рабочую силу всех ос¬ тальных программистов проекта. Обычно выпуск таких программ не влияет на конкурентоспособность компании, если только это не является частью основного бизнеса, и в этом случае П О с открыты ми исходными текстами может быть вообще неуместным. И , нако¬ нец, это не повредит вашей репутации и работе вместе с другими разработчиками проекта и в любом сообществе разработчиков про¬ граммного обеспечения. Приложение А содержит полный текст лицензии G P L . Можно полу чить его в других текстовых форматах по адресу www.gnu.org/licenses/gpl.html.
Лицензия BSD Лицензия B S D является лицензией для П О с открытыми исходны м и т е к с т а м и , с к о т о р о й была в ы п у щ е н а исходная версия B S D U N I X . П о с л е того, к а к р а з р а б о т ч и к и выиграли судебное дело п р о т и в A T & T п о поводу исходной л и ц е н з и и , о н и выпустили п р о г р а м м н о е о б е с п е ч е н и е в общее пользование с разрешающей лицензией B S D . Основное отличие от G P L состоит в т о м , что л и ц е н з и я B S D н е включает т р е б о в а н и я выпу¬ ска м о д и ф и к а ц и й п о д т о й ж е л и ц е н з и е й . Н а о с н о в е этого н е к о т о р ы е к о м п а н и и п р о д о л ж и л и выпуск к о м м е р ч е с к и х версий U N I X н а основе базового кода B S D . B S D I я в л я е т с я о д н о й и з таких к о м п а н и й . Н е к о т о р ы е считают, что это противоречит идее открытого П О , когда к о м п а н и я может взять улучшенную версию и требовать за н е е плату, в то время к а к другие полагают, что это стимулирует н о в о в в е д е н и я , создавая ком¬ мерческую заинтересованность. В л ю б о м случае, это п о р о д и л о целое семейство свободных версий U N I X , включая FreeBSD, N e t B S D и O p e n B S D , и р я д к о м м е р ч е с к и х , таких к а к B S D I . П р и л о ж е н и е А содер¬ ж и т п о л н ы й текст л и ц е н з и и B S D . М о ж н о т а к ж е н а й т и его п о адресу www.opensource.org/licenses/bsd-license.php. Теперь, когда в ы имеете представление об основах и н ф о р м а ц и о н н о й безопасности и П О с открытыми исходными текстами, м ы переходим к к о н к р е т н ы м вопросам: установка, настройка и использование реальных пакетов программного обеспечения. В следующих главах рассматривают ся программы, которые могут помочь в защите вашей сети и данных р а з 58
Глава 1
Информационная безопасность и ПО с открытыми исходными текстами
л и ч н ы м и способами. Эти главы организованы согласно различным аспе¬ ктам и н ф о р м а ц и о н н о й безопасности, в них рассмотрено большинство основных областей И Б . М н о г и е инструменты могут иметь различные п р и м е н е н и я . Н а п р и м е р , хотя программа Snort рассмотрена в главе о с и с темах обнаружения вторжений, она может использоваться и в кримина¬ листической работе. И , конечно, если вы интересуетесь инструментом для определенной области п р и м е н е н и я , то м о ж н о перейти непосредст¬ венно к интересующему вас разделу.
59
Курс
Защитные средства с открытыми исходными текстами
Глава 2 . С р е д с т в а у р о в н я о п е р а ц и о н н о й с и с т е м ы Большинство средств, рассмотренных в этой книге, являются приклад ными программами. Для их выполнения требуется поддержка операционной системы. Если рассматривать эти программы как инструментарий информа¬ ционной безопасности, то операционную систему можно считать верстаком. Если ОС неустойчива, то работа по защите данных будет от этого страдать; вы никогда не сможете полностью доверять поступающим от нее данным. На самом деле, ваша ОС может даже понизить первоначальную безопасность сети. На жаргоне компьютерной безопасности окружение, в котором функ¬ ционирует защищенная ОС, называется доверенной вь1числительной базой (ДВБ). Д В Б включает в себя полный список элементов, обеспечивающих безопасность: операционную систему, программы, сетевое оборудование, средства физической защиты и даже организационные процедуры. Крае¬ угольным камнем этой пирамиды служит операционная система. Без нее до веренная вычислительная база оказывается построенной на зыбучем песке.
Обзор главы Изучаемые концепции: • Введение в доверенную вычислительную базу • Рекомендации по настройке системы средств з а щ и т ы • П о в ы ш е н и е безопасности о п е р а ц и о н н о й системы • Основы использования средств, относящихся к уровню опе¬ р а ц и о н н о й системы Используемые средства: Bastille Linux, ping, traceroute, whois, dig, finger, ps, OpenSSH и Sam Spade for Windows. М н о г и е компьютерные атаки нацелены на операционную систему. Современные о п е р а ц и о н н ы е системы раздулись до таких размеров, что одному человеку стало к р а й н е сложно полностью понимать, что происхо¬ дит «под капотом». XP, самая свежая версия Windows, содержит более 50 миллионов строк исходных текстов. Хотя она считается самой з а щ и щ е н ной версией Windows (согласно Microsoft), почти ежедневно в ее системах защиты находят новые о ш и б к и . Ч е м более сложным становится продукт, тем вероятнее, что непредвиденные исходные д а н н ы е приведут к непред виденному (но желательному для хакеров) результату. Раньше программное обеспечение строилось контролируемым обра¬ зом — прикладные программы предоставлялись или одобрялись поставщи ком компьютеров. В наше время, с появлением Интернет и поддерживающих Java и ActiveX Web-навигаторов, в компьютер могут поступать всевозможные виды трафика и кода, не предусмотренные при проектировании. Огромный 60
Глава 2
Средства уровня операционной системы
объем программ в сочетании со всеми видами потоков данных, поступающих из Интернет, приводит к тому, что операционные системы со временем стано вятся не более, а менее защищенными, особенно, если они используются без дополнительной настройки, в том виде, как поставляются изготовителями. Добавьте к этому стремление поставщиков сделать компьютеры как можно более «готовыми к употреблению», чтобы пользователи могли просто включить их и приступить к работе. Может быть, для массового пользовате ля это и хорошо, но для безопасности, несомненно, плохо. Большинство за щитных средств по умолчанию выключены, многие программы и службы за гружаются автоматически, независимо от того, нужны они пользователю или нет, а к системе, в попытке превзойти конкурентов, приделано множество украшений. Хотя Microsoft Windows — наиболее злостный рецидивист в этой области, потребительские версии Linux немногим лучше, и даже операцион¬ ные системы серверного уровня страдают этим грехом. Стандартная установ ка RedHat Linux по-прежнему загружает значительно больше служб и про грамм, чем требуется или хочется рядовому пользователю. В Windows Business Server 2000 по умолчанию устанавливается Web-сервер. И хотя в Windows X P прежняя политика «открытых дверей» улучшена, в продукте при установке по умолчанию по-прежнему остаются дыры в безопасности. Обеспечение доверия безопасности системы защитных средств важ но по нескольким причинам. Прежде всего, если нарушается безопас¬ ность расположенного на «передовой» защитного устройства, такого, как межсетевой экран, перестают действовать и предоставляемые и м защит н ы е ф у н к ц и и . Если это устройство о п о в е щ е н и я , например, система обна ружения вторжений, то потенциальные нарушители могут оккупировать компьютер и отключить систему раннего предупреждения. И л и , что еще хуже, о н и могут изменить д а н н ы е таким образом, что их действия не бу дут протоколироваться. Это может создать ложное чувство безопасности, в то время как нарушитель свободно орудует в вашей сети. Существуют хакерские программы, разработанные и м е н н о для этой цели. Они изменяют некоторые системные ф а й л ы так, что любые данные, выходящие из компьютера, могут контролироваться хакером. Компьюте ру, который был и н ф и ц и р о в а н одной из таких программ, никогда нельзя доверять. Практичнее всего переформатировать д и с к и начать все сначала. Наконец, если неавторизованные пользователи получили контроль над вашей системой безопасности, они могут применить те же самые используе¬ мые вами защитные средства против вас и других сетей. Подключенный к Интернет компьютер с установленным инструментарием безопасности мо¬ жет стать очень ценной добычей для склонного к озорству злоумышленника. Обеспечение доверия к безопасности базовой операционной системы на вашем защитном компьютере — первое, что вам следует сделать, прежде чем вы загрузите какие-либо средства или установите дополнительные 61
Курс
Защитные средства с открытыми исходными текстами
программы. В идеале вы должны создать систему защитных средств с нуля, устанавливая гарантированно новую операционную систему. Таким обра¬ зом вы можете быть уверены, что н и одна программа или процесс не будут мешать средствам безопасности. Это также гарантирует, что базовая опера ционная система свободна от каких-либо ранее измененных или вредонос¬ ных программ. Если по какой-то причине необходимо установить защит¬ н ы й инструментарий поверх ранее установленной операционной системы, обеспечьте выполнение приведенных ниже в данной главе указаний по по¬ вышению безопасности ОС и защите системы. Далее в этой главе рассмат¬ ривается Bastille Linux, средство для достижения этой цели на платформе Linux. Существуют доступные от Microsoft бесплатные утилиты для повы шения безопасности Windows. М о ж н о также использовать описанные в главе 5 средства для сканирования уязвимостей существующей системы. Выбор ОС для системы средств безопасности определяет, как вы собира етесь ее защищать. Я рекомендую операционную систему с открытыми исход ными текстами, такую как Linux или B S D , но Windows также будет прекрасно работать, если вы ее сначала правильно обезопасите. Я использовал Mandrake Linux для установки и выполнения рекомендованных в этой книге средств на платформе Linux, которые, впрочем, можно применять на большинстве дист рибутивов Linux и вариантов операционной системы B S D или U N I X . К а к упоминалось в главе 1, доступно множество операционных сис¬ тем с открытыми исходными текстами. Большинство из них основано на U N I X , хотя все они снабжены графическим интерфейсом X-Window и ме неджерами окон, такими как K D E и G N O M E . Эти интерфейсы привычны каждому, кто работал в Microsoft Windows, но есть и некоторые отличия. Я не сторонник мнения, что какая-то операционная система в плане безопасности по своей природе лучше других. Все зависит от того, как она используется и как сконфигурирована, поэтому ниже следует д л и н н ы й раз¬ дел о повышении безопасности установки ОС. Я использовал Linux, пото¬ му что имею наибольший опыт работы с этой операционной системой и убедился, что она совместима с большинством используемых систем. П р и наличии более 50 миллионов пользователей во всем мире и нескольких д ю ж и н вариантов, Linux предоставляет широчайшее многообразие программ, и большинство защитных средств с открытыми исходными текстами, упо¬ минаемых в этой книге, разработаны специально для этой ОС. Первое обсуждаемое средство автоматизирует п о в ы ш е н и е безопас¬ ности Linux системы, гарантируя, что вы работаете с рабочей станцией, безопасной настолько, насколько это изначально возможно. Приводятся также некоторые о б щ и е рекомендации, как правильно обезопасить опе¬ р а ц и о н н у ю систему Windows для использования в качестве защитной ра бочей станции. Н а к о н е ц , вы освоите некоторые средства уровня опера ц и о н н о й системы. Существует ряд ф у н к ц и й системного уровня, которые 62
Глава 2
Средства уровня операционной системы
вы будете регулярно использовать в защитных приложениях, и некоторые из них включены в раздел инструментария. Д а н н а я глава не претендует на роль исчерпывающего руководства по безопасности какой-либо из упоминаемых операционных систем. Скорее она является обзором основ и некоторых используемых средств.
Повышение безопасности системы защитных средств После установки операционной системы необходимо повысить ее безопасность для п р и м е н е н и я в качестве защитной системы. Этот про¬ цесс подразумевает отключение ненужных служб, ужесточение прав дос¬ тупа и, как правило, м и н и м и з а ц и ю видимых извне областей компьютера. Детали выполняемых действий варьируются в зависимости от предпола гаемого использования компьютера и от операционной системы. П о в ы ш е н и е безопасности обычно достигается н а п р я ж е н н ы м руч¬ н ы м трудом, просмотром и м о д и ф и к а ц и е й всех возможных настроек. На эту тему для каждой конкретной операционной системы написано м н о жество книг. Однако вам не придется целиком читать какую-либо другую книгу, если вы укрепляете операционную систему Linux — теперь для это¬ го существуют автоматические средства. В результате не только эконо¬ мится время, но и снижается вероятность упущений. Bastille Linux: Программа повышения безопасности ОС для Linux Bastille Linux Автор/основной контакт: Jay Beale Web-сайт: www.bastille-linux.org Платформы: Linux (RedHat, Mandrake, Debian), HP/UX Лицензия: GPL Рассмотренная версия 2.1.1 Важные адреса электронной почты: Общие вопросы:
[email protected] Технические вопросы:
[email protected] Списки почтовой рассылки: Извещения Bastille Linux: http://lists.sourceforge.net/mailman/listinfo/bastille-Linux-announce Разработка Bastille Linux: http://lists.sourceforge.net/mailman/listinfo/bastille-Linux-discuss Системные требования: Perl 5.5_003 или выше Perl TK Module 8.00.23 или выше Perl Curses Module 1.06 или выше
63
Курс
Защитные средства с открытыми исходными текстами
Первым защитным средством является инструмент п о в ы ш е н и я без опасности операционной системы, именуемый Bastille Linux. Несмотря на название, это не самостоятельная операционная система, а, скорее, набор командных файлов, которые просматривают и устанавливают не¬ которые системные параметры, основываясь на ваших подсказках. Д а н ное средство существенно упрощает процесс п о в ы ш е н и я безопасности, сводя его к ответам на некоторые вопросы. Возможна также установка межсетевого экрана (см. следующую главу). Bastille Linux м о ж н о запус кать в Mandrake, RedHat, Debian и H P / U X (последняя ОС даже не я в л я ется вариантом Linux). Джей Б и л , разработчик, продолжает выпускать версии, поддерживающие другие дистрибутивы Linux.
Установка Bastille Linux Bastille написан с применением инструментального пакета Curses (вот уж действительно подходящее имечко для языка программирования!) («curses» в переводе с английского означает «проклятие». — Прим. ред.). 1. Сначала необходимо загрузить и установить Perl Curses и модули T K , от которых зависит Bastille. И х м о ж н о получить со страницы на сайте Bastille: www.bastille-Linux.org/perl-rpm-chart.html. 2. Пользователи RedHat д о л ж н ы также установить пакет с именем Pwlib, который м о ж н о получить с той ж е страницы. Для установки пакета запустите в командной строке R P M с параметрами, задан¬ н ы м и на этой странице. 3. После установки требуемых модулей загрузите R P M Bastille или возьмите его с прилагаемого к книге компакт-диска. Щ е л к н и т е на нем м ы ш ь ю , и Bastille должен установиться автоматически. Теперь м о ж н о запустить Bastille, чтобы повысить (укрепить) безо¬ пасность вашей операционной системы.
Флэми Тех советует: Сначала запустите Bastille на непроизводственной системе! В первый раз всегда запускайте все средства на непроизводст¬ венной или тестовой системе. Эти программы могут отклю¬ чать службы, необходимые для ф у н к ц и о н и р о в а н и я Web-сервера или сервера электронной почты, вызвав тем самым перебои в рабо¬ те. Только после полного тестирования всех э ф ф е к т о в и проверки ста¬ бильности м о ж н о запускать их в производственной среде. 64
Глава 2
Средства уровня операционной системы
Запуск Bastille Linux 1. Если п р и установке О С вы н е задали запуск X-Window п р и загруз ке, наберите s t a r t x в командной строке и на экране появится гра¬ ф и ч е с к и й интерфейс X-Window. 2. Запустите Bastille в интерактивном режиме, щелкнув м ы ш ь ю на значке Bastille, расположенном в каталоге /usr/bin/bastille. М о ж н о также набрать b a s t i l l e в терминальном окне, открытом в Х. 3. Если вы н е хотите или в силу каких-то п р и ч и н н е можете исполь¬ зовать Bastille в X-Window, м о ж н о запустить Bastille и з командной строки, используя интерфейс на основе Curses. Наберите bastille c
в командной строке. Оба интерфейса дадут одинаковые результаты. М о ж н о запустить Bastille и в неинтерактивном режиме. В этом слу¬ чае Bastille выполняется автоматически, н е задавая никаких вопросов и действуя согласно предварительно созданному конфигурационному ф а й лу. К о н ф и г у р а ц и о н н ы й файл создается при каждом запуске Bastille. П о с ле этого его м о ж н о использовать для выполнения Bastille на других к о м пьютерах в неинтерактивном режиме. Этот метод полезен для быстрого п о в ы ш е н и я безопасности множества компьютеров. Если у вас есть к о н фигурационный файл, который делает то, что требуется, просто загрузи¬ те Bastille на другие м а ш и н ы и скопируйте на них к о н ф и г у р а ц и о н н ы й файл (или предоставьте и м доступ к этому файлу п о сети). Затем введите b a s t i l l e n o n - i n t e r a c t i v e c o n f i g - f i l e (здесь config-file — это маршрут н о е и м я нужного конфигурационного файла). Ч а щ е всего, однако, Bastille будет выполняться в интерактивном ре¬ ж и м е . В этом режиме вы отвечаете на последовательность вопросов о том, как вы будете использовать компьютер. Н а основе ответов Bastille выклю¬ чает ненужные службы или ограничивает привилегии пользователей и служб. О н спрашивает что-нибудь вроде: «Вы собираетесь использовать этот компьютер для доступа к м а ш и н а м с Windows?». П р и отрицательном ответе о н отключает сервер Samba, который позволяет вашему компьюте¬ ру взаимодействовать с Windows м а ш и н а м и . Потенциально Samba может создать некоторые уязвимости в вашей системе, поэтому, если о н н е ну ж е н , его лучше отключить. Если требуется запускать некоторые серверы (например, SSH), то Bastille будет пытаться установить их с ограниченны ми привилегиями или использовать сдвиг корня файловой системы. П о с леднее означает, что если сервер должен выполняться с привилегиями root, его возможности по воздействию на другие части системы будут ог¬ раничены. Это смягчает последствия успешных атак на службу. 65
Курс
Защитные средства с открытыми исходными текстами
Каждый вопрос сопровождается пояснением, почему эта настройка важна, так что м о ж н о решить, подходит ли она для вашей установки. Имеется также к н о п к а «More detail» (Подробнее) для получения допол нительной и н ф о р м а ц и и . Bastille использует н о в е й ш и й подход, пытаясь обучать администратора в процессе п о в ы ш е н и я безопасности системы. Ч е м больше у вас и н ф о р м а ц и и , тем лучше вы будете вооружены для в ы полнения обязанностей по защите сети. Можно пропустить вопрос, если вы не вполне уверены в ответе, и вер нуться к нему позднее. Н е беспокойтесь, в конце у вас будет возможность придать окончательный вид всем настройкам. Можно также запустить Bastille позже, когда ответ будет найден, и изменить настройку в это время. Еще одна приятная особенность данного средства — предоставление в конце сеанса списка «недоделок» для всех элементов, оставшихся ненастроенными. Теперь вы получили з а щ и щ е н н ы й компьютер Linux для запуска средств безопасности. Если вы новичок в операционных системах на ос¬ нове U N I X , то желательно ознакомиться с основными командами и нави гацией. Если вы когда-то использовали D O S , то многие команды окажут ся знакомыми, хотя их синтаксис несколько отличается. Одно из наиболее существенных различий между Windows и Linux и другими операционны¬ ми системами на основе U N I X состоит в учете регистра символов в файло¬ вой системе. Приложение B содержит краткую таблицу наиболее часто ис¬ пользуемых команд Linux и U N I X . Найдите время попрактиковаться в ра¬ боте с операционной системой и убедитесь, что можете делать простые ве¬ щ и , такие как смена текущего каталога, копирование файлов и т.д. Существует несколько команд операционной системы, которые час¬ то используются в защитной деятельности. О н и не являются в полном смысле слова отдельными программами для защиты, скорее это утилиты операционной системы, которые м о ж н о применять для генерации д а н ных безопасности. О н и настолько часто используются в последующих главах и в целом в работе по обеспечению безопасности, что я хотел бы детально обсудить их. ping: средство диагностики сети ping Автор: Mike Muus (покойный) Web-сайт: Http://ftp.arl.mil/~mike/ping.html Платформы: Большинство платформ UNIX и Windows Лицензии: Различные Справочная информация в UNIX: Наберите man ping в командной строке. 66
Глава 2
Средства уровня операционной системы
Если вы имели дело с системами в Интернет, то, вероятно, исполь зовали ping, но в приложениях безопасности ping применяется с п е ц и ф и ческим образом и по-особому обрабатывается. Ping расшифровывается как Packet Internet Groper (пакетный межсетевой щуп, звучит не вполне политкорректно) и является диагностическим средством, встроенным н ы н е в большинство стеков T C P / I P . М н о г и е считают, что ping напомина¬ ет радар подводной лодки: испускается, отражается от цели и возвращает ся. Хотя это и хорошая общая аналогия, она не вполне точно отражает то, что происходит при эхо-тестировании. Ping использует сетевой протокол, называемый ICMP (Internet Control Message Protocol — межсетевой про¬ токол управляющих сообщений). Эти сообщения применяются для пере дачи и н ф о р м а ц и и о сетях. Ping использует I C M P - с о о б щ е н и я типов 8 и 0, которые также известны к а к Echo Request (Запрос отклика) и Echo Reply (Отклик) соответственно. Когда выдается команда ping, компьютер посы¬ лает запрос отклика другому компьютеру. Если м а ш и н а на другом к о н ц е доступна и поддерживает совместимый стек TCP, то она ответит откли¬ ком. Ping-коммуникации в целом выглядят следующим образом: Система A посылает ping системе B: Echo Request, «Есть кто-ни¬ будь?» Система B получает запрос отклика и отправляет назад отклик, «Да, есть.» В т и п и ч н о м сеансе ping это повторяется несколько раз, чтобы прове рить, теряют ли пакеты целевая м а ш и н а или сеть. Ping применяется так ж е для определения задержки, то есть времени, которое требуется пакету для перемещения между двумя точками. П р и использовании ping м о ж н о получить от хоста и другие т и п ы I C M P - с о о б щ е н и й . Каждый из них имеет свой смысл, объясняемый в по¬ следующих главах. • Сеть недоступна. • Хост недоступен. С помощью ping о хосте можно узнать не только то, работает он или нет, но и многое другое. Как вы увидите далее, способ, которым компьютер отвечает на ping, часто показывает, какая операционная система на нем функционирует. Можно также использовать ping для генерации поискового DNS-запроса и получения имени целевого хоста (если таковое имеется). Иногда это позволяет определить, является ли компьютер сервером, марш¬ рутизатором или, возможно, домашним компьютером с коммутируемым или широкополосным соединением. Можно эхо-тестировать IP-адрес или 67
Курс
Защитные средства с открытыми исходными текстами
полностью заданное доменное имя. В табл. 2.1 перечислены дополнитель ные ключи и опции команды! ping, которые могут оказаться полезными. Табл. 2.1. О п ц и и ping Опция -c count
-f
-n
-s size
-p pattern
Описание Посылает сообщение ping count раз. В системах Linux и U N I X по умолчанию сообщения посылаются непрерывно, в Windows — четыре раза. Ping-наводнение. Посылается максимально возможное ч и с ло пакетов в максимально быстром темпе. Это полезно для тестирования, чтобы увидеть, теряет л и хост пакеты, так как графически отображается, на сколько запросов посту пили ответы. Будьте очень осторожны с этой командой, так к а к она может очень легко забить м а ш и н у или сеть. Н е выполнять D N S на IP-адрес. Это может ускорить ответ и исключить проблемы с D N S при диагностике сетевых проблем. Посылает пакеты д л и н ы size. Это полезно при тестировании того, к а к машина или маршрутизатор обрабатывает большие пакеты. Ненормально большие пакеты часто используют в атаках на доступность, чтобы сбить или подавить систему. Посылает pattern в качестве полезной нагрузки пакета I C M P . Это также хорошая проверка того, к а к м а ш и н а реа гирует на необычные ICMP-воздействия.
t r a c e r o u t e (UNIX) и л и t r a c e r t ( W i n d o w s ) : средства диагностики сети traceroute (UNIX) или tracert (Windows) Автор/основной контакт: Web-сайты:
Неизвестен www.traceroute.org www.tracert.com Платформы: Большинство платформ UNIX и все платфор¬ мы Windows Лицензии: Различные Справочная информация в UNIX: Наберите man traceroute в командной строке.
Эта команда аналогична ping, н о предоставляет намного больше и н формации об удаленном хосте. П о сути traceroute эхо-тестирует хост, но при 68
Глава 2
Средства уровня операционной системы
отсылке первого пакета устанавливает поле T T L (Time To Live — время ж и з ни) пакета равным единице. Этот параметр управляет количеством межсе¬ тевых переходов, которые может претерпеть пакет, прежде чем прекратить свое существование. Следовательно, первый пакет дойдет только до перво¬ го маршрутизатора или м а ш и н ы дальше вашей в Интернет, а затем вернет¬ ся сообщение о том что время жизни пакета истекло. Затем посылается сле¬ дующий пакет с T T L равным 2 и так далее, пока н е будет достигнута цель. Это показывает виртуальный путь (маршрут), которым идут пакеты. Выяс няется также имя каждого хоста на пути следования, поэтому можно видеть, как ваш трафик пересекает Интернет. Очень интересно видеть, как пакет, направленный из Хьюстона в Даллас, скачет от восточного до западного по¬ бережья, покрывая тысячи миль, чтобы за доли секунды достичь цели. Это средство полезно, когда вы пытаетесь проследить источник или расположение злоумышленника, следы которого вы обнаружили в своих регистрационных файлах или тревожных сообщениях. М о ж н о проследить маршрут до IP-адреса и кое-что узнать о нем. Результаты могут показать, имеете ли вы дело с домашним пользователем или сотрудником компании, кто является поставщиком Интернет-услуг (которому вы можете подать жалобу на ненадлежащее поведение), какой тип подключения использует ся и каковы его скоростные характеристики, где территориально о н нахо дится (иногда, в зависимости от содержательности промежуточных точек). Листинги 2.1 и 2.2 содержат примеры использования traceroute. Листинг 2.1. t r a c e r o u t e , пример 1 T r a c i n g route t o www.example.com (Трассировка маршрута к www.example. com) over a maximum of 30 hops: (не более чем за 30 переходов) 1 2 3 4 5 6 7 8 9
^ги. л и .aaay -J (HOME ЛЕТ 111 (uiscr 'ы i: psrVYSp. rtcuist status" ; content;" 1 01 06 Б8 00 C0|" offset:4ij;depth:8; refe -etice : Аг аспп ii-a, 1 ^ cljss type • Attempted-re с on; 5 id- 6:37 rev: 1; )
•
E
Alert uip SiXIBRHJU. H i : «MJ -> Г.Цл'::Е НЕТ 111 'M;Q: ' H i . рггМ-ар «£• 5НОНЕ НЕТ 111 (msgr: "IPC portm.ap reqiaeit yppisi.,.,..i content: " | 01 85 A3 00 ОЩ-j offset:4D;dspUl:8j refe седее: arachnids , 14. i l u t t w i ; atteiftsted-recoa. s i d r e v : l , >
J
Л 4
;
0
;
;
J
j l e r t udp $E::TEPMBL_HET any -> SHOME_HET 111 (msg: "EPC portmAp replies' .., • . . content: " 1 01 86 Д4 00 -en: e . a.ra.:_miij-, 12 •: I а ЕЕ .upe . a.. .einj t E с. racn. aic. njl, :EV.:,'I
о
a_e_-a. uip « в ш г л , HIT E . ._4V : Г.К0..Е :-lZT 111 Oil .ofi=.:t 4ii..H-:fth ?. a'ii
.;г..гч 'PI С раг.-чар rE.:aaeat. i.pi.i:. d.^. ..e,? , .: onten..: " | Jl ;:;ь ВС Ой
n *
His." uip ifEKTEIJJflL НЕТ any ;НОМЕ_НЕТ .:£?7 0 (1T139 : "KPC rstitd q[aerv". conts^t:" | 00 00 00 00 00 00 [id 02 00 [11 Si nl|"; offset: 5; refe -en:a ar a: juLiij-, j, .;la;;H;ce at - erdp t e i re : "n sld: E92j rev:!;)
m
i l s t t uip SE:;IEKHAL НЕТ SJLU -> ?H01-JE_HET 111 (rus-g; 'Pir гшфл.атj чщ*1р"; rjc: 100243,*/*J rtltrttice :buqtr»«. 2417: el*s tiipe ...tteriLp -.eiJ-LLi. 'an Lj.'i:b.H>: rev 1:)
1 U
Disable
,,
у
e
Dekte Disable. Edit X
:
Alert u-ip >E::TEPHAL_HET amy • Л№::Е_НЕТ 111 vr.J-g. 'FI0 eapd ^pjtry", rpc 7Э:023,^*; referenaa ,:ve uj->-г j 0 J - iij j 1i:lasi-.!,ipi: a.-teiiiated-racci-i, sid:S34; rev:ljj
У
Alei •• 1 ip .:ЕУТ^Г)'ПТ. m- ...n.i
a ;»T'E чят 11*. (mscr: "spr; t?P'J croeq»": .j.. ШОг».*.*; elass-upe: a-.tempteii-rEccri; ; u . :evl;..
У
' ;JLU::L НЕТ 11. a-.j-.j-. 'PJ-I. par.-aap liatiriq-" fla.ea. .41. rp: . = . ,-23 cliiitpp*. *tt«m.ptt«-x-eeor.j iid.536, r«v. i.)
У
:
•Щ
Alert^tcp^$EXTERNJU._HET AjVy -i «К0НЕ_НЕТ 32771 , после которого мож но набирать команды. Не забывайте ставить в конце команды точку с запя той, прежде чем нажать клавишу ввода для ее выполнения. Ниже представлено несколько основных команд для навигации и поис ка в базе данных MySQL. Отображает все доступные на сервере MySQL базы данных. use имя_базы_данных; Делает указанную базу данных активной, после чего над ней можно выполнять операции. show t a b l e s ; Перечисляет все таблицы, существующие в базе данных. s e l e c t запрос from Выдает записи, соответствующие заданному имя_таблицы; запросу в таблице с указанным именем. Имеется show d a t a b a s e s ;
ряд операндов, которые можно использовать в ин¬ струкции запроса. Звездочка * в качестве запроса приведет к выводу всех записей таблицы.
Настройка Web-сервера Apache Развитые средства анализа из данной главы основаны на примене¬ н и и Web-сервера в качестве к а к интерфейса конфигурирования, так и ме¬ ханизма вывода. К о н е ч н о , этот краткий раздел н е претендует на исчерпы¬ вающее описание Web-сервера; здесь рассмотрены только настройка и другие действия, требуемые для использования средств безопасности. Е с ли вы намерены применять этот сервер для чего-то еще, п о м и м о A C I D и N C C , или в крупномасштабных средах, вам необходимо более глубоко о з накомиться с администрированием Web-сервера. п р и использовании Web-сервера следует учитывать вопросы безопасности — необходимо по¬ заботиться о том, чтобы серверы были укреплены, выполняли м и н и м у м сервисов и п о возможности быстро латались. Если вы желаете применять IIS или другой Web-сервер, то он должен поддерживать P H P версии 4.0 или выше. 1. Загрузите самую свежую в е р с и ю сервера Apache с сайта www.apache.org. Если он есть на дистрибутивных дисках О С или уже установлен в системе, проверьте, что его версия н е н и ж е 1.3. Примечание: Если сервер Apache версии 1.3 или более позд¬ ней уже установлен, перейдите к шагу 3. 2. Распакуйте программу и выполните следующие команды: 309
Курс
Защитные средства с открытыми исходными текстами . / c o n f i g u r e -prefix=/www -enable-so ules/php4/libphp4.a make make i n s t a l l
-activate-module=src/mod-
Эти команды задают подразумеваемый каталог /www и акти¬ визируют нужные модули. 3. Запустите Web-сервер, набрав в командной строке apachectl s t a r t . Эта команда запускает демон http и настраивает его для выполне¬ н и я в качестве системного процесса. М о ж н о остановить Apache в любой момент, в ы п о л н и в ту же команду с аргументом stop. В других вариантах Linux и U N I X запуск и остановка могут осуществляться по-другому. Уточните в документации, как это де¬ лается. 4. Проверьте установку Web-сервера, открывая Web-навигатор и вво дя IP-адрес сервера или задавая localhost, если вы работаете прямо на серверной м а ш и н е . Если будет выведена Web-страница Apache, то Web-сервер успешно установлен. К о р н е в ы м каталогом Webсервера, в который помещают документы для публичного просмо¬ тра, в системе Mandrake Linux служит /usr/local/apache2/htdocs/; различные дистрибутивы могут немного различаться. 5. Затем задайте автоматический запуск Apache при перезагрузке си¬ стемы (вряд ли вы захотите перезапускать Web-сервер вручную). Для этого перейдите в каталог, где находятся все стартовые ко¬ мандные файлы; в Mandrake Linux это /etc/rc.d. Каждый файл rc. представляет свой уровень в ы п о л н е н и я . Добавьте следующие строки в ф а й л ы rc4.d и rc5.d: . . / i n i t . d / h t t p d S85httpd . . / i n i t . d / h t t p d K85httpd
М о ж н о протестировать внесенные и з м е н е н и я , перезагрузив систему и проверив, что в выдаче команды ps -ax присутствует процесс httpd. 6. Необходимо повысить защищенность Apache, чтобы предотвра¬ тить его ненадлежащее использование. Web-серверы — одна из наиболее распространенных целей атакующих, поэтому если вы собираетесь разрешить доступ к этой м а ш и н е извне вашей сети, требуется обеспечить ее безопасность. Н и ж е представлены неко¬ торые основные рекомендации по обеспечению хорошей безопас¬ ности Web-сервера. • Выполните сканирование уязвимостей Web-сервера сразу после завершения установки и конфигурирования, чтобы 310
Глава 8
Средства анализа и управленияя
убедиться, что все корректирующие заплаты наложены и от¬ сутствуют какие-либо очевидные д ы р ы в безопасности. • Защитите все непубличные Web-каталоги с п о м о щ ь ю како¬ го-либо метода контроля доступа. С а м ы м быстрым и легким способом является п р и м е н е н и е файлов .htaccess. • Ш и ф р у й т е к о м м у н и к а ц и и между клиентами и сервером с п о м о щ ь ю S S L всякий раз, когда имеете дело с и н ф о р м а ц и е й ограниченного доступа (данные о безопасности я в н о попа¬ дают в эту категорию). Если вы обращаетесь к серверу извне своей локальной сети, то есть через Интернет, справьтесь в документации Web-сервера или в Интернет о необходимых настройках. Вышеизложенное н е является исчерпывающим рассмотрением про¬ блем безопасности Web-серверов, н о все это необходимо выполнить, пре¬ жде ч е м делать сервер общедоступным.
Настройка PHP P H P является интерпретируемым я з ы к о м , предназначенным для ис¬ пользования в Web-страницах. О н н е требует к о м п и л я ц и и , поэтому мож но просто поместить PHP-процедуру в каталог, который распознает P H P , и она будет выполняться п р и обращении. Это упрощает н а п и с а н и е про¬ грамм, встроенных в Web-страницы. Большинство современных Web-серверов распознают P H P , однако для этого может потребоваться дополни¬ тельная настройка п р и установке. В силу перечисленных достоинств P H P стал предпочтительным язы¬ ком реализации многих приложений на Web-платформе. О н потребуется н а м для трех оставшихся средств этой главы ( A C I D , N P I и N C C ) . Уста¬ новка P H P должна быть предусмотрена в директиве configure в описанной в ы ш е процедуре установки Apache. Ч т о б ы проверить, что P H P установ¬ лен в вашей системе, и узнать, какова его версия, наберите в командной строке php -v. Если о н присутствует, то должна появиться некоторая вы¬ дача с номером версии. Однако если вы н е смогли установить его к а к часть Apache или хотите установить самую свежую версию, примените представленную н и ж е процедуру. 1. Загрузите самую свежую версию P H P с сайта www.php.net или и с пользуйте R P M с установочных дисков операционной системы. В последнем случае проверьте, что у вас версия 4.0 или выше. 2. Распакуйте дистрибутив. 3. В каталоге установки выполните следующие команды компиляции: 311
Курс
Защитные средства с открытыми исходными текстами . / c o n f i g u r e -prefix=/www/php -mysql=/usr/local/mysql \ -with-apxs2=/www/bin/apxs - w i t h - z l i b - d i r = / u s r / l o c a l -with-gd make make i n s t a l l
Инструкция configure включает несколько модулей, нужных средствам д а н н о й главы. 4. Отредактируйте к о н ф и г у р а ц и о н н ы й файл Web-сервера httpd.conf, как правило находящийся в /www. Добавьте следующие строки, а затем сохраните файл. LoadModule php4_module modules/libphp4.so AddType a p p l i c a t i o n / x - h t t p d - p h p . p h p
5. Чтобы проверить, что P H P работает правильно, воспользуйтесь текстовым редактором для создания небольшой процедуры в фай¬ ле с именем test.php. Наберите в файле следующий текст, а затем сохраните его.
П р и в ы п о л н е н и и этой P H P - п р о ц е д у р ы будет выдана некото¬ рая базовая системная и н ф о р м а ц и я . 6. Скопируйте тестовый файл в каталог /www/htdocs. Введите U R L или IP-адрес м а ш и н ы , а затем наберите /test.php. Вы д о л ж н ы уви деть на Web-странице номер версии PHP. Если все получилось, то Web-сервер с поддержкой P H P готов к работе. ACID (Консоль анализа для баз данных вторжений) ACID Автор/основной контакт: Web-сайт:
Roman Danyliw www.andrew.cmu.edu/~rdanyliw/snort/ snortacid.html Большинство UNIX GPL .9.9b23
Платформы: Лицензия: Рассмотренная версия: Список почтовой рассылки: Список пользователей Acidlab. Подпишитесь, послав сообщение со сло вом "subscribe" в теле по адресу
[email protected]. П р о г р а м м а A C I D (Analysis Console for Intrusion Databases — кон¬ соль анализа д л я баз д а н н ы х в т о р ж е н и й ) п р е д н а з н а ч е н а д л я более эф¬ ф е к т и в н о г о и с п о л ь з о в а н и я д а н н ы х , генерируемых средствами обнару¬ ж е н и я в т о р ж е н и й . Ее н а п и с а л Р о м а н Д а н ы л и в с коллегами в рамках 312
Глава 8
Средства анализа и управленияя
проекта A i r C E R T , в ы п о л н я е м о г о университетом К а р н е г и - М е л л о н . Это ч а с т ь б о л е е к р у п н о й д е я т е л ь н о с т и C E R T (Computer Emergency Response Team — Группа р е а г и р о в а н и я н а н а р у ш е н и я и н ф о р м а ц и о н н о й безопасности). C E R T в т е ч е н и е м н о г и х лет у с п е ш н о п р и м е н я е т эту программу д л я з а щ и т ы И н т е р н е т и о р г а н и з а ц и й . C E R T отслеживает к о м п ь ю т е р н ы е преступления и направляет и з в е щ е н и я в с п и с к и почто¬ вой р а с с ы л к и , когда происходит к р у п н ы й инцидент. С п и с о к почтовой р а с с ы л к и C E R T я в л я е т с я р а з н о в и д н о с т ь ю с и с т е м ы р а н н е г о предупре¬ ж д е н и я обо всех больших к р и з и с а х и л и атаках, п р о и с х о д я щ и х в Интер¬ нет. К а к т а к о в о й он может быть весьма полезен с и с т е м н ы м админист¬ раторам. Вы можете посетить сайт C E R T www.cert.org и подписаться на почтовую рассылку. В рамках проекта A i r C E R T сенсоры систем обнаружения вторжений были р а з м е щ е н ы в различных организациях с целью изучить общие тен¬ д е н ц и и вторжений. Ч т о б ы облегчить анализ, была написана программа A C I D . Поскольку исходные тексты этого проекта были сделаны открыты¬ ми, вы можете использовать их в собственных целях, н е п р и н и м а я уча¬ стия в проекте A i r C E R T . Положенная в основу A C I D идея состоит в переносе всех данных об обнаруженных вторжениях в базу данных, где их м о ж н о отсортировать и организовать п о приоритетам. A C I D предоставляет панель управления на основе Web для сортировки, просмотра и манипулирования этими резуль¬ татами. A C I D может использовать почти любую базу данных S Q L и любой Web-сервер и поддерживает множество сенсоров для ввода данных. Допу¬ скаются также необработанные сигналы Snort и ф а й л ы журналов в фор¬ мате syslog. В настоящее время A C I D работает напрямую только с одной системой обнаружения вторжений — Snort, н о с п о м о щ ь ю утилиты Logsnorter, которая доступна на Web-сайте A C I D , м о ж н о импортировать журналы в базу данных A C I D и з любого устройства, выводящего д а н н ы е в формате syslog. Для своей работы A C I D требует наличия некоторых программ. Кро¬ ме базы данных, Web-сервера и P H P , которые уже были рассмотрены в этой главе, нужны также следующие библиотеки и подпрограммы.
ADOdb Этот пакет обеспечивает уровень абстракции базы данных, позволяю¬ щ и й P H P использовать стандартный интерфейс для множества баз данных, включая M y S Q L . Возьмите его по адресу http://php.weblogs.com/adodb, рас¬ пакуйте в /www/htdocs или подходящем корневом каталоге Web, и он дол¬ жен быть готов к работе. Никакой дополнительной установки не требуется. 313
Курс
Защитные средства с открытыми исходными текстами
PHPLOT Этот пакет позволяет создавать графики с п о м о щ ь ю A C I D . Если вы хотите использовать эту возможность, возьмите модуль с www.phplot.com. Распакуйте его в каталоге /www/htdocs и, так ж е к а к A D O d b , о н должен быть готов к употреблению.
JpGraph Эта программа позволяет P H P генерировать цветные графики. Она понадобится наряду с P H P L O T , если вы захотите представлять данные Snort в графическом виде. Возьмите ее по адресу www.aditus.nu/jpgraph/ и распакуйте в корневом каталоге Web (например, /www/htdocs). Она создаст собственный подкаталог и будет доступна, когда понадобится для A C I D .
GD Этот пакет содержит библиотеки манипуляции изображениями дляя PHP, которые нужны также для создания графиков. Если вы установили P H P согласно д а н н ы м ранее в этой главе инструкциям, то у вас уже долж¬ на иметься эта утилита. В противном случае возьмите ее по адресу www.boutell.com/gd/ и установите в каталоге /www/php. Если вы н е компи¬ лировали P H P с п о м о щ ь ю представленных в ы ш е команд, то следует также убедиться, что имеются следующие библиотеки, необходимые для G D . • libpng. Предоставляет для G D поддержку формата P N G . Ее м о ж н о взять на www.libpng.org/pub/png/ или с дистрибутивных дисков ва шей О С . • libjpeg-6b. Это библиотека jpeg д л я P H P . М о ж н о взять ее на www.ijg.org/ или с дистрибутивных дисков вашей О С . • zlib. Эта библиотека предоставляет для G D поддержку сжатия. М о ж н о взять ее на www.ijg.org/ или с дистрибутивных дисков ва¬ шей О С .
Конфигурирование Snort для MySQL 1. A C I D предполагает, что имеется один или несколько активных сен¬ соров Snort, поставляющих данные. Если вы еще н е создали сенсо¬ р ы Snort, вернитесь к главе 7. Сенсоры Snort необходимо сконфигу¬ рировать таким образом, чтобы они записывали данные в M y S Q L . Для этого выполните следующие действия при установке Snort. • П р и первоначальной к о м п и л я ц и и Snort используйте следу¬ ющую инструкцию configure: 314
Глава 8
Средства анализа и управленияя
. / c o n f i g u r e --with-mysql=/usr/local/mysql
Проверьте, что указан каталог, где находится M y S Q L . • Отредактируйте файл конфигурации snort.conf. Найдите за комментированную строку, которая начинается с #output database. Отредактируйте ее следующим образом: output database: log,mysql,user=snort password=123456 dbname=snort h o s t = l o c a l h o s t
Замените пользователя snort и пароль 123456 на правильные имя пользователя базы данных и его пароль, которые будут приме¬ няться для A C I D . A C I D создаст базу данных с именем «snort», хотя можно изменить это и м я , редактируя файл конфигурации A C I D . Если вы подключаетесь к локальной базе данных, то оставьте у пе¬ ременной host значение l o c a l h o s t . Если вы подключаетесь к базе данных на другой м а ш и н е , задайте здесь IP-адрес или и м я хоста. 2. Н е забудьте удалить символ комментария # в начале строки и за¬ тем сохраните файл. В д а н н о й главе предполагается, что A C I D и сенсор Snort ус¬ танавливаются на разных машинах. Размещение их на одной ма¬ ш и н е неудачно н е только с точки зрения безопасности; работа сенсора Snort замедлится до такой степени, что от окажется беспо¬ лезным. Компьютер с A C I D предпочтительно расположить в сег¬ менте сети, отличном от сегмента с сенсорами Snort — это затруд¬ нит взломщику доступ к журналам. Н а рис. 8.1 показаны элемен¬ ты связки ACID-Snort.
Установка ACID После загрузки всех необходимых программ м о ж н о , наконец, уста¬ новить A C I D . 1. Возьмите файл программы с компакт-диска книги или с Web-сай¬ та A C I D . 2. Поместите tar-файл в каталог /www/htdocs. Распакуйте его там, и о н создаст собственный каталог. 3. Удалите tar-файл, поскольку все, оставленное в корневом катало ге /htdocs, может быть доступно пользователям Web-сервера.
Конфигуриривание ACID 1. Перейдите в каталог /htdocs/www/acid. 2. Отредактируйте файл acid conf.php. Строки, начинающиеся с ко¬ сой черты и звездочки, служат комментариями и инструкциями по 315
Защитные средства с открытыми исходными текстами
Курс
Рис. 8.1. Система обнаружения вторжений ACID-Snort конфигурированию. Строки, начинающиеся с $, являются пере менными и сообщают программе специфическую информацию о системе. 3. В инструкциях $ задайте параметры своей системы. В табл. 8.4 пере числены переменные, а также рекомендации для каждого элемента. Табл. 8.4. Переменные для конфигурирования A C I D Имя переменной $DBtype
$alert_dbname
Описание Тип базы данных, которую будет использовать A C I D . П о умолчанию — mysql, н о можно также ука зать postgresql и л и mssql, если вы хотите применить какую-либо из этих двух баз данных. Система обнаружения вторжений, д а н н ы е которой использует A C I D . В настоящее время поддерживает316
Глава 8
$alert_host
$alert_port
$alert_user
$alert_password
$archive_dbname
$archive_host
$archive_port $archive_user
$archive_password
$chartlib_path $chart_file_format
Средства анализа и управленияя
ся только собственный формат Snort snort_log, хотяя имеются планы п о р а с ш и р е н и ю этого набора. Хост, на котором будет храниться база данных сиг налов. Может задаваться к а к IP-адрес или и м я хос¬ та. Если A C I D и база данных располагаются на од¬ ной м а ш и н е , то следует указать localhost. Для повы¬ ш е н и я безопасности и производительности целесо¬ образно выделить для базы данных машину, отлич¬ ную от Web-сервера P H P . Порт, по которому происходит обращение к базе данных. Если вы размещаете ее локально, то задайте д а н н о е значение просто к а к "". И м я пользователя базы данных, которое будет при¬ менять A C I D п р и протоколировании данных. Про¬ верьте, что о н о совпадает с именем пользователяя M y S Q L , созданным п р и настройке базы данных. Пароль пользователя базы данных. И здесь проверь¬ те, что о н совпадает с паролем M y S Q L для данного пользователя. И м я базы данных, которую Snort использует для ар¬ хивирования. Подразумеваемое и м я snort archive вполне разумно, если только вы н е храните несколь¬ ко баз данных на одной м а ш и н е и н е хотите задать более содержательные имена. Хост, на котором будет располагаться база данных архива. Если она находится на той ж е м а ш и н е , то значение должно задаваться к а к localhost. Порт для записи на сервере базы данных. Исполь¬ зуйте "", если запись происходит локально. Пользователь базы данных, от имени которого про¬ изводится запись архивных данных. Обычно это значение совпадает с $alert_user (см. выше), хотя м о ж н о создать отдельного пользователя для записи архивов. Пароль для пользователя базы данных, от имени ко¬ торого записываются архивные данные. Обычно совпадает с $alert password. Маршрут к модулям создания графиков — /www/htdocs/jpgraph-1.11/src. Формат файлов графиков. П о умолчанию — png. Другими допустимыми форматами служат jpg и gif. 317
Защитные средства с открытыми исходными текстами
Курс
4. После сохранения файла с этими параметрами откройте Web-на вигатор и введите / a c i d / a c i d _ m a i n . php после и м е н и хоста или IPадреса Web-сервера. Пример: http://localhost/acid/acid_main.php
Будет выведена страница с конфигурацией A C I D . С этого м о мента м о ж н о применять Web-интерфейс для завершения конфи¬ гурирования A C I D . 5. Щ е л к н и т е м ы ш ь ю на кнопке Create A C I D A G . Это приведет к со зданию базы для данных Snort. Подразумеваемое и м я этой БД — «snort». 6. Перейдите на http://localhost/acid, и вы увидите основную страни цу A C I D для своей базы данных Snort (см. рис. 8.2). Н а этом конфигурирование A C I D завершается и м о ж н о приступать к использованию этой программы для управления системами обнаруже¬ н и я вторжений.
Основы применения ACID П р и первом входе в A C I D отображается основная страница ( см. рис. 8.2). Верхняя часть основного представления базы данных показывает об щую статистику просматриваемой БД, включая ее имя, временные р а м к и всех содержащихся в н е й записей, дату и время последнего запроса.
Added 0 alert{s) to the Alert cache Queried o n : Thu August 21.2003 10:18:53 Database; @ .netsecuntysvcscorn;3306 Time window; [2002-08-09 12:30:02]-[2003-08-21 Sensors: 1 Unique Alerts: 130
( 10 categories
) Total Number of Alerts: 34385 • Source IP addresses 1991 * Dest. IP addresses: 330 . Unique IP links 2818 • Source Ports: 4577 0 TCP (4577) UOP(O) • Dest. Porta: 2365 о TCPт 2365) UDP(O)
(schema version; 105) 15:14:14)
Traffic Profile by Protocol TCP (100%) UDP (0%) ICMP( show t a b l e s ; +
+
| Tables_in_nessus +
| +
| report | scans | scripts
| | | +
+ 3 rows i n s e t (0.00 s e c )
Рис. 8.9. Вывод команды show tables; 7. Перенесите ф а й л ы из подкаталога www установочного каталога N P I во вновь созданный подкаталог корневого каталога докумен¬ тов Web-сервера. Задайте правильные р е ж и м ы доступа для фай¬ лов. В этом месте вы будете осуществлять доступ к базе данных Nessus. Выполните следующие команды из каталога nessus-php. 330
Глава 8
Средства анализа и управленияя mkdir /usr/local/apache2/htdocs/nessus-php mv ./www /usr/local/apache2/htdocs/nessus-php chown -R www:www /usr/local/apache2/htdocs/nessus-php chmod 755 /usr/local/apache2/htdocs/nessus-php/*
Н е забудьте изменить маршрутное и м я корневого каталога документов Web, если о н о н е такое, к а к в примере. П р и желании м о ж н о изменить и м я каталога, в котором находятся файлы nessusphp. В приведенном примере страница доступа N P I помещается в подкаталог nessus-php корневого каталога документов Web. Дляя пользователя и группы, которые будут осуществлять доступ к базе данных M y S Q L , в примере использовано одно системное имяя (www). Д л я п о в ы ш е н и я безопасности заведите с п е ц и а л ь н о г о пользователя, которому будет разрешено только чтение данных. В этом случае необходимо заменить www:www на соответствующих пользователя и группу, которым разрешено только чтение. Необ¬ ходимо сделать это и для аналогичного счета M y S Q L . Программа N P I установлена.
Импорт результатов сканирования Nessus в NPI Теперь мы готовы к импорту результатов сканирования Nessus в базу данных. 1. П р и м е н и т е процедуру nsr к каждому импортируемому файлу с ре¬ зультатами сканирования Nessus. (Для этого, очевидно, у вас должны быть файлы проведенного сканирования, сохраненные в собственном формате .nbe). N P I также допускает и преобразует более старый формат Nessus, .nsr. Наберите следующую команду для запуска nsr из командной строки: ./nsr
./scans/scan.nbe
Замените ./scans/scan.nbe на маршрутное и м я своего файла сканирования. Команда импортирует исходный файл Nessus в ба¬ зу данных. О н а также проверит встраиваемые модули Nessus и со¬ здает записи в базе данных для всех новых модулей, которые мог¬ ли быть добавлены. 2. Теперь все готово к просмотру результатов сканирования Nessus в базе данных. Откройте Web-навигатор и введите IP-адрес Web-сервера N P I с маршрутным именем индексного файла Nessus-php, например: http://localhost/nessus-php/. Результаты д о л ж н ы поя¬ виться в интерфейсе PHP, позволяющем выполнять п о и с к и сор¬ тировку (см. рис. 8.10). 331
Курс
Защитные средства с открытыми исходными текстами
Рис. 8.10. Основной экран N P I
Применение NPI Теперь м о ж н о просматривать результаты сканирования, к а к любую другую базу данных, сортировать их и выполнять запросы для поиска оп¬ ределенных уязвимостей, хостов и т.д. Имеется много способов анализа результатов Nessus с п о м о щ ь ю N P I . М о ж н о выполнять сортировку на ос¬ нове: • Хоста (IP-адреса) с н а и б о л ь ш и м количеством уязвимостей • Наиболее распространенной уязвимости • Наиболее р а с п р о с т р а н е н н о й категории средств использования уязвимостей • Наиболее часто эксплуатируемого сервиса (номера порта) • Даты сканирования или диапазона дат • Номера C V E или C A N Выполнение N P I - з а п р о с о в позволяет сосредоточиться на областях, которые представляют наибольшую опасность для вашей сети, и макси¬ мизировать результаты вашей деятельности по п о в ы ш е н и ю безопасно¬ сти. М о ж н о также быстро исключить определенные сигналы и / и л и ма¬ ш и н ы . Посредством N P I м о ж н о произвольным образом, по вашему вы¬ бору манипулировать результатами сканирования. Н е к о т о р ы м недостат¬ к о м N P I является ручная загрузка каждого файла сканирования в базу данных. Не составляет труда написать к о м а н д н ы й файл для автоматиза¬ ц и и этого процесса, но м ы с коллегами р е ш и л и сделать в этом направле¬ н и и еще один шаг. 332
Глава 8
Средства анализа и управления
Рождение проекта с открытыми исходными текстами М о я консультационная к о м п а н и я активно применяет Nessus и Snort. М ы также используем A C I D для управления системами обнаружения вторжений. Н а м требовалось аналогичное средство для управления ска¬ н и р о в а н и я м и Nessus. Хотя в N P I имеются некоторые очень удобные воз¬ можности, о н все ж е н е вполне удовлетворял н а ш и потребности. Н а м нужно было инициировать сканирования через Web-интерфейс, а н е только просматривать последние результаты. М ы также п р и ш л и к выво¬ ду, что ручной импорт результатов каждого сканирования труден и отни¬ мает много времени. У нас десятки сканирований, которые нужно выпол¬ нять в самое разное время, и, поскольку о н и обычно принадлежат различ¬ н ы м организациям, их следует отслеживать раздельно. Н а самом деле м ы хотели иметь средство, управляющее р а з л и ч н ы м и конфигурациями ска¬ н и р о в а н и я , планирующее их, в ы п о л н я ю щ е е их автоматически и импор¬ тирующее результаты в соответствующую базу данных. М ы н е смогли найти средства с открытыми исходными текстами, удо¬ влетворяющего всем перечисленным требованиям, поэтому м ы оказались перед выбором: искать подходящий коммерческий продукт или выполнить собственную разработку. К а к оказалось, даже коммерческие сканеры уязвимостей предлагали не совсем то, что требовалось для планирования и от¬ слеживания данных сканирования различных клиентов. Очевидно, напи¬ сание нового сканера уязвимостей «с нуля» было бы непродуктивным. По¬ этому была выдвинута идея разработки дополнительного модуля для Nessus в качестве проекта с открытыми исходными текстами. М ы рассмотрели ряд вопросов, чтобы понять, насколько это целесообразно. Если вы собирае¬ тесь писать свою программу с открытыми исходными текстами, вам следу¬ ет сделать то же, принимая во внимание следующие факторы.
Нет ли уже чего-то подходящего? Прежде всего, поищите в Web, нет ли каких-либо средств, делающих то, что вам нужно. Посмотрите в таких местах, как Sourceforge.net и Freshmeat.net, используйте Google и другие поисковые машины. Велика ве¬ роятность, что для решения вашей задачи что-то уже существует. Если будет найдено «почти, н о н е совсем то», возможно, это можно использовать в ка¬ честве основы или вспомогательного средства при создании своей програм¬ мы, как м ы и сделали в случае N P I . Даже если ничего не существует, можно найти некоторые ответы на часто задаваемые вопросы или сайты с полезной для проекта информацией. Во время исследования вы можете также найти людей с аналогичной проблемой, желающих участвовать в проекте. 333
Курс
Защитные средства с открытыми исходными текстами
Имеет ли ваша программа широкую область применения? Если решаемая проблема специфична для вашей организации, то, ве¬ роятно, нет смысла связываться с проблемами выпуска ее как продукта с от¬ крытыми исходными текстами. Пошлите несколько сообщений в подходя¬ щ и е телеконференции, чтобы проверить, есть ли к данной теме какой-то ин¬ терес. При отсутствии интереса можно остановиться на внутреннем проекте. Однако даже в небольших отраслях обычно имеются схожие потребности в приложениях, а Интернет сделал мир еще меньше. Подумайте обо всех слу¬ чаях, когда вы искали что-то весьма необычное и все ж е находили, потому что кто-то в Web решил, что это стоит опубликовать. Поэтому, если есть хоть какой-то интерес, учреждайте проект с открытыми исходными текстами!
Разрешено ли вам выпускать свой продукт как открытое ПО? Если задуманный проект входит в ваши обязанности наемного ра¬ ботника, убедитесь, что вам разрешат открыть исходные тексты. Если это часть большой собственной программы организации, то маловероятно, что исходные тексты позволят открыть. Однако, если это самостоятель¬ ная программа, то с учетом выгод дополнительной критики и п о м о щ и сторонних разработчиков, а также бесплатной рекламы, вполне вероятно, что руководство возражать н е будет. Проясните этот вопрос, прежде ч е м начать распространение исходных текстов, если дорожите своей работой. М ы прошли через этот процесс и решили, что по приведенным вы¬ ш е соображениям стоит разработать собственное д о п о л н е н и е к Nessus как проект с открытыми исходными текстами. М ы назвали эту програм¬ му Nessus Command Center ( N C C ) . Вы присутствуете на публичной пре¬ мьере этой программы. Nessus Command Center (NCC) Nessus Command Center (NCC) Авторы/основные контакты: Tony Howlett, Brian Credeur, Matt Sisk, Lorell Hathcock Web-сайт: www.netsecuritysvcs.com/ncc Платформы: Linux, большинство UNIX Лицензия: GPL Рассмотренная версия: . 01b Список почтовой рассылки: Список рассылки NCC Общая дискуссия и вопросы о NCC. Направьте электронное письмо со словом "subscribe" в теле или в теме по адресу
[email protected]. 334
Глава 8
Средства анализа и управленияя
Появление N C C обусловлено имевшейся у нас потребностью в сред¬ ствах управления для автоматизации сканирования и более качественно¬ го анализа результатов. Описанное в ы ш е средство N P I вполне успешно импортирует д а н н ы е Nessus в базу данных, н о н е решает вопросов плани¬ р о в а н и я , да и интерфейс оставляет желать лучшего. Чтобы н е изобретать колесо, м ы применили в н а ш е м проекте Web-интерфейса составные час¬ ти N P I и добавили модули управления и планирования. Проект преследо¬ вал цель создания следующих сущностей: • Платформа управления для Nessus-сканирования. Н а м требова¬ лось средство отслеживания сканирований для различных органи¬ заций с различными конфигурациями и даже различных групп ор¬ ганизаций. К а к консультационная к о м п а н и я м ы имеем дело с мно¬ жеством различных организаций. У нас даже есть посредники, за¬ казывающие для других организаций сканирование с использова¬ н и е м нашей инфраструктуры. М ы хотели получить единую панель управления всеми этими разнородными сущностями, сохраняя их разделенность. • База данных расписаний и интерфейс для Nessus. Первой целью была разработка способов каталогизации данных сканирований, планирования сканирований и их автоматического выполнения. М ы хотели иметь возможность отслеживать различные сущности, так к а к сканирования будут проводиться в интересах многих орга¬ низаций. Должен существовать административный уровень для со¬ здания и планирования сканирований, а также потенциальная воз¬ можность для клиентов входить и модифицировать определенные части своей конфигурации сканирования, такие к а к время, скани¬ руемые хосты и т.д. База данных должна поддерживать Web-интерф е й с , так к а к н а ш и заказчики и агенты, обращающиеся к системе для настройки своих сканирований, могут располагаться вне наше¬ го межсетевого экрана. • Интерфейс базы данных для результатов Nessus. Эта цель уже была частично достигнута в программе N P I , н о м ы хотели улучшить ин¬ терфейс, который представлялся н а м рудиментарным и н е поддер¬ живал, например, многопользовательский доступ с различными уровнями полномочий. М ы планировали использовать N P I в каче¬ стве основы для этой части программы. А так к а к N P I имеет л и ц е н зию G P L , и наша программа будет иметь л и ц е н з и ю G P L , это н е бу¬ дет создавать никаких проблем. • Web- интерфейс для настройки всех параметров Nessus. Н а самом деле, это необязательное требование. П р и изучении проблемы м ы обнаружили, что в большинстве сканирований применяется л и ш ь около пяти различных конфигураций. Однако было бы удобно 335
Курс
Защитные средства с открытыми исходными текстами
иметь возможность настраивать все возможные параметры скани¬ рования Nessus прямо из Web, не загружая клиента Nessus. Это по¬ зволяет вводить параметры сканирования прямо из офиса заказчи¬ ка или из любого другого места. М ы осмотрелись и обнаружили еще один проект с открытыми исходными текстами, называемый Inprotect, который предлагал Web-интерфейс для Nessus. Код был выпущен с лицензией G P L , поэтому м ы могли использовать его в качестве руководства к н а ш и м действиям в этой области. В связи со сложной природой д а н н о й задачи м ы р е ш и л и , что эта возмож¬ ность не будет присутствовать в бета-версии.
Платформы для NCC С самого начала м ы р е ш и л и , что будем писать программу для ряда платформ, называемого LAMP (Linux, Apache, M y S Q L и Perl). • Linux: П о очевидным причинам Linux предлагает наибольшую мо¬ бильность и наименьшую стоимость использования. Однако нет причин, которые препятствуют системе выполняться на других раз¬ новидностях U N I X с небольшими модификациями. Ее можно также перенести на платформу на базе Windows, такую как Perl for Windows. • Apache: Сервер Apache был также выбран в связи с открытостью исходных текстов и потому, что он является одним из наиболее по¬ пулярных Web-серверов. О н явился самым логичным выбором, п о скольку Web-сервер должен использоваться и для других средств. К р о м е него, эта система будет выполняться на любом поддержива¬ ю щ е м P H P Web-сервере, включая IIS. • M y S Q L : Имеется несколько хороших баз данных с открытыми ис¬ ходными текстами, включая Postgresql и другие. М ы выбрали M y S Q L , потому что были лучше всего с ней знакомы, а требования в л и ц е н з и и были самыми простыми. К а к и Apache, м ы уже приме¬ няли M y S Q L для своих баз данных A C I D . • Perl: К о н е ч н о , существует множество интерпретируемых я з ы к о в , но м ы выбрали Perl потому, что он один из самых мобильных, не требует к о м п и л я ц и и и легко модифицируем для третьих сторон. Основываясь на архитектуре L A M P , м ы начали создавать средство, удовлетворяющее н а ш и м потребностям. Сначала м ы написали план про¬ екта, детализировавший задуманную работу. Затем м ы разбили задачу на подзадачи с учетом имеющихся у нас навыков. М ы определили про¬ граммные элементы, которые потребуются для н а ш е й системы, включаяя процедуры Perl, P H P и M y S Q L , к о м а н д н ы е ф а й л ы , а также текстовые ф а й л ы документации. Табл. 8.6 содержит список всех необходимых эле¬ ментов проекта вместе с описанием их назначения. 336
Глава 8
Средства анализа и управленияя
Табл. 8.6. Элементы проекта N C C Тип Процедура Perl
Элемент ncc.pl
Процедура Perl
ncc-client.pl
Процедура Perl
ncc-daily.pl
Процедура P H P
Main.php и другие вспомога тельные php-файлы Reports.php
Процедура P H P
База данных M y S Q L База данных NCC Процедура M y S Q L Вспомогательная процедура
ncc.mysql install.pl
Текстовый файл
ncc.ini
Текстовый файл
INSTALL, README и т. д.
Описание Запускается с п о м о щ ь ю cron и вы¬ страивает очередь сканирований, готовых к выполнению. Удаляет запланированные сканиро¬ вания из очереди, вызывает коман¬ ду для их в ы п о л н е н и я , а затем осу¬ ществляет преобразование для пе¬ реноса файлов .nbe (по мере их п о лучения) в базу данных M y S Q L . Посылает ежедневные итоговые электронные сообщения и очищает очередь. Интерфейс для ввода данных в таблицу расписания; состоит из нескольких файлов.
И н т е р ф е й с для просмотра базы дан¬ ных M y S Q L , м о д и ф и к а ц и я версий N P I ; состоит и з нескольких файлов. Модель базы данных сканирований, внутренняя для программы базы данных M y S Q L . Создает начальную базу данных. Процедура для создания элемента для cron, вызов процедуры M y S Q L , копирование исполнимых файлов в / b i n и файла php в Web. Переменные окружения для процедур Perl и PHP, имена баз данных, распо¬ ложение файлов, адреса электронной почты для уведомлений и т.д. Несколько файлов с инструкциями по установке, эксплуатационными инструкциями и другими полезны¬ ми д а н н ы м и .
Н а м предстояло также спроектировать схему базы данных с табли¬ ц а м и , которые будут заполняться н а ш е й программой. Программа N P I 337
Курс
Защитные средства с открытыми исходными текстами
была отличным подспорьем в этом отношении, хотя м ы добавили новые таблицы, обслуживающие планирование. Несмотря н а то, что потоки данных были аналогичны N P I , имелись и некоторые существенные различия. М ы разработали диаграмму этих потоков, чтобы м о ж н о было проследить все логические связи между сис¬ темами. Н а рис. 8.11 показана логическая архитектура N C C . Для проекта м ы создали также Web- сайт и страницу Sourceforge. Web-страница расположена по адресу www.netsecuritysvcs.com/ncc. Хотя м ы решили, что в н а ш е й группе достаточно талантов для завершения про¬ екта, никогда не мешает познакомить других людей из сообщества откры того П О с тем, что вы делаете. Кроме того, когда проект будет закончен, может понадобиться п о м о щ ь п р и переносе н а другие платформы и п р и добавлении новых возможностей. Когда все приготовления были закончены, м ы начали работу, к а к правило, проводя еженедельные встречи для отслеживания продвиже¬ н и й . Поскольку это было не основное занятие и у всех имелась другая ра¬ бота, потребовалось около года для завершения программы в стадии бета-
Рис. 8.11. Логическая архитектура N C C 338
Глава 8
Средства анализа и управленияя
версии. Тем не менее, ее уже м о ж н о использовать и теперь, с п о м о щ ь ю се¬ тевого сообщества разработчиков, N C C м о ж н о расширять и улучшать. Н а п и с а н и е N C C к а к проекта с открытыми исходными текстами, несом¬ н е н н о , требует несколько больше усилий для внешних взаимодействий, чем выполнение его как частного проекта, поскольку необходимо выпол¬ нить исследование существующих программ и интегрировать базы исход¬ ных текстов, но зато м ы смогли воспользоваться существующими исход¬ н ы м и текстами, что значительно сократило общее время разработки. М ы также знали, что если наша система станет популярной, ее м о ж н о будет перенести на другие платформы или даже использовать в качестве осно¬ вы для более развитой программы, что н а м только помогло бы. В к о н ц е к о н ц о в , как показал опыт, в выигрыше осталась как моя к о м п а н и я , так и в н е ш н и е пользователи.
Установка NCC Предварительные требования N C C п р и м е р н о те ж е , что и у средства N P I , описанного в ы ш е в этой главе. Необходим поддерживающий P H P Web-сервер (такой как Apache), база данных M y S Q L , клиент и сервер Nessus. Предполагается, что все это уже установлено и работает. Если вы еще этого не сделали, то обратитесь к предыдущим разделам этой главы, п о с в я щ е н н ы м настройке Apache и M y S Q L , и к главе 5 за инструкциями по установке Nessus. Когда все будет на месте, м о ж н о приступать к установке N C C . 1. Загрузите программу или возьмите ее с прилагаемого к книге ком¬ пакт-диска. 2. Распакуйте программу в отдельном каталоге, проверив, что о н включен в ваш список поиска. 3. Перейдите в каталог N C C и наберите ./install.pl. Запустится про¬ цедура установки N C C . ( N C C не требует к о м п и л я ц и и , поскольку он запрограммирован на интерпретируемых языках, таких к а к Perl и PHP.) Программа установки сначала проверит присутствие модулей Perl, необходимых N C C . Если она их не найдет, то придется загру¬ зить соответствующие модули либо с дистрибутивных дисков, ли¬ бо с п о м о щ ь ю утилит C P A N , описанных в разделе «Установка Swatch» в ы ш е в этой главе. 4. Программа автоматически инициализирует базу данных и скопи¬ рует все ф а й л ы в подходящие места. Во время установки будет предложено ввести дополнительную и н ф о р м а ц и ю . В табл. 8.7 о п и с а н ы эти параметры установки. 339
Курс
Защитные средства с открытыми исходными текстами
Табл. 8.7. Параметры установки N C C Параметр Пользователь N C C
Каталог установки
Электронный адрес администратора N C C Адрес отправителя результатов И м я сервера M y S Q L
И м я базы данных для N C C
Пользователь M y S Q L Пароль M y S Q L Сервер Nessus
Порт Nessus
И м я пользователя Nessus Пароль Nessus Маршрут Nessus
Каталог Temp
Описание Системный счет, от и м е н и которого будет вы¬ полняться N C C . Рекомендуется создать специ¬ альный счет пользователя только для N C C . М о ж н о выбрать один и з двух стандартных вари¬ антов, /usr/local/ncc или текущий каталог, либо определить свой собственный. Адрес электронной почты администратора N C C , на который будут поступать все отчеты о еже¬ дневной активности. Адрес, откуда будут посылаться отчеты (важно для фильтрации спама). И м я хоста или IP-адрес сервера M y S Q L для N C C , который должен быть задан к а к localhost, если сервер M y S Q L функционирует на той ж е машине. И м я базы данных M y S Q L , создаваемой проце¬ дурой установки. Подразумеваемое значение ncc вполне подходит для большинства устано¬ вок. Допустимый пользователь системы M y S Q L , специально предназначенный для N C C . Пароль для указанного в ы ш е пользователя. И м я хоста или IP-адрес сервера Nessus (localhost, если Nessus и N C C выполняются на одной машине). Порт для подключения к серверу Nessus. Подра¬ зумеваемое значение 1241 годится, если только вы н е изменили это значение на сервере Nessus. Допустимый пользователь на сервере Nessus. Пароль для упомянутого в ы ш е пользователя. Маршрут к и с п о л н и м ы м файлам Nessus. Подра¬ зумеваемое значение соответствует стандартной установке Nessus. Здесь N C C будет накапливать результаты ска¬ н и р о в а н и й , прежде ч е м импортировать их в базу данных. М о ж н о заглянуть в этот каталог, если нужно найти необработанные ф а й л ы .nbe, кото¬ р ы е были использованы. 340
Глава 8
Средства анализа и управления
5. Затем будет запрошена к о м б и н а ц и я имени и пароля администра¬ тивного пользователя N C C . Этот пользователь будет администра¬ тором всей системы, поэтому тщательно выбирайте и м я и пароль. 6. Создайте символьную ссылку в каком-либо из общедоступных Web-каталогов, откуда вы хотите иметь доступ к N C C . Направьте ее на подкаталог html в корневом каталоге установки N C C . Это свяжет вас с основной страницей N C C и в а ш и м и общедоступны¬ ми Web-каталогами и защитит от доступа другие ф а й л ы N C C . 7. Теперь вы готовы к запуску N C C . Убедитесь, что база данных и Web-сервер работают, откройте Web-навигатор и введите и м я хос¬ та для сервера N C C вместе с именем созданной на предыдущем шаге символьной ссылки. Н а п р и м е р , если вы назвали символь¬ ную ссылку ncc и создали ее в корневом каталоге Web, а сервер N C C имеет имя ncc.example.com, то U R L будет выглядеть следую¬ щ и м образом: http://ncc.example.com/ncc
Если вы обращаетесь к N C C на локальной м а ш и н е , то сработает http://localhost/ncc
Отобразится входная страница N C C . 8. Введите имя пользователя и пароль, заданные в процессе установки. Теперь м о ж н о применять N C C для автоматизации и планированияя сканирований.
Применение NCC После входа отображается основной экран N C C (см. рис. 8.12). Здесь м о ж н о управлять всеми группами, организациями, целями сканированияя и расписаниями. N C C построен как модульная и расширяемая программа. Н а п р и м е р , м о ж н о применять N C C для управления несколькими с к а н и р о в а н и я м и одной организации. Однако, если вы работаете консультантом, то може¬ те определить сканирования для нескольких организаций с р а з н ы м и про¬ ф и л я м и . Давайте сделаем еще один шаг и предположим, что вы хотите стать поставщиком услуг приложений безопасности. N C C позволяет за¬ дать несколько групп, каждая со своими элементами-организациями, дляя всех ваших индивидуальных агентов и консультантов, продающих услуги анализа защищенности. (Со временем будут созданы настраиваемые ин¬ терфейсы для управления группами, но в бета-версии эти средства отсут¬ ствуют). 341
Курс
Защитные средства с открытыми исходными текстами
Рис. 8.12. Основной интерфейс N C C Вы можете выбирать из четырех основных о п ц и й . • System admin. Эти о п ц и и доступны только системному админист ратору. Здесь м о ж н о создавать группы и выполнять другие функ¬ ц и и системного уровня. • Group admin: Эти о п ц и и доступны только администраторам групп, которые могут добавлять, редактировать или удалять групповые п р о ф и л и организаций. Вы будете применять эти ф у н к ц и и , напри¬ мер, п р и задании различных организаций с набором целей, каждой из которых м о ж н о управлять. К а ж д ы й администратор групп будет видеть только те организации, к которым он имеет доступ. • Company admin: Здесь вы управляете пользователями, целевыми файлами и р а с п и с а н и я м и для каждой организации. Н а п р и м е р , вы можете пожелать, чтобы администратор более низкого уровня вы¬ полнял сканирование для одного подразделения, н о не для друго¬ го. Подобные параметры м о ж н о задавать здесь. • User functions: Этот раздел доступен всем пользователям. Здесь от¬ дельные пользователи могут редактировать данные своего профи¬ л я и выполнять действия со своими счетами, такие к а к изменение пароля. О н и могут также получить доступ к д а н н ы м выполненного сканирования. Возьмем простой пример и пройдемся по всем этапам добавленияя пользователей, добавления целей и составления расписания сканирова¬ н и й . Д л я простоты предположим, что вам не требуются средства под¬ держки нескольких организаций и нескольких групп. 342
Глава 8
Средства анализа и управления
Добавление пользователей 1. Во- первых, необходимо добавить пользователя ( отличного от сис¬ темного администратора, который был добавлен ранее). В разделе Company A d m i n щелкните м ы ш ь ю на A d d под строкой User Mgmt, чтобы добавить пользователя, который может запускать сканиро¬ вания. 2. Выберите организацию, которой он будет принадлежать, из выпа¬ дающего списка и щелкните м ы ш ь ю н а Add. 3. Н а экране управления пользователями впишите и н ф о р м а ц и ю о новом пользователе (см. рис. 8.13). Здесь м о ж н о выбрать и м я пользователя и пароль. Пароль п р и вводе заменяется звездочками и сохраняется к а к х э ш - значение M D 5 , а не к а к о б ы ч н ы й текст. Выберите здесь также тип пользова¬ теля: System admin, Group admin, Company admin или User. Отме¬ тим, что вы можете создавать пользователей, которые находятсяя на том же или нижележащем уровне, что и вы. Например, админи¬ страторы организаций не могут создавать пользователей уровняя системного администратора. Если вы хотите отредактировать и л и удалить существующего пользователя, щелкните м ы ш ь ю н а Edit/delete н а основном экра¬ не в разделе управления организациями (Company Management). 4. Щелкните м ы ш ь ю на Add, и N C C добавит в базу данных пользова¬ теля, который может теперь входить в систему и добавлять скани¬ рования к а к сотрудник организации, к которой он был приписан.
Рис. 8.13. Экран управления пользователями N C C . 343
Курс
Защитные средства с открытыми исходными текстами
Добавление целей В N C C цель определяется как произвольный набор IP- адресов и ассо¬ циированных настроек сканирования для этих адресов. П р и проектирова¬ нии программы м ы приняли сознательное решение разделить объекты целей и объекты расписаний. Это делает программу более модульной и повышает ее гибкость. Например, вы можете запланировать определенное сканирова¬ ние н а начало каждого месяца. Однако, если возникает новая уязвимость, вы можете пожелать однократно просканировать данную цель в середине меся¬ ца, чтобы проверить выявленную уязвимость. N C C позволяет добавлять со¬ бытие одноразового сканирования для данной цели, вместо того, чтобы из¬ менять, а затем восстанавливать ежемесячное сканирование в прежнем виде. 1. Чтобы добавить цель, щелкните м ы ш ь ю н а Target Mgmt в разделе Company A d m i n основного экрана. 2. Раскройте контекстное м е н ю , чтобы увидеть все цели, к которым вы имеете доступ. Если вы являетесь администратором группы, то вам покажут все цели для каждой организаций, которой вы при¬ надлежите. 3. Щ е л к н и т е м ы ш ь ю н а A d d , появится экран управления целями (см. р и с . 8.14). Здесь м о ж н о выбрать организацию, для которой добавляется цель. Задайте для цели текстовое описание, например "серверы в д е милитаризованной зоне". Это описание появится в раскрывающемся
меню, поэтому оно должно быть достаточно содержательным.
Рис. 8.14. Управление целями в N C C 344
Глава 8
Средства анализа и управленияя
4. Выберите тип сканирования: будет л и сканироваться один адрес, подсеть или диапазон адресов. 5. В поле Scan Value введите цепочку целевых IP-адресов в синтакси¬ се, который поддерживает Nessus. Н а п о м н и м (см. главу 5) допус¬ т и м ы е в Nessus форматы адресов: Один IP-адрес IP-адреса, разделенные запятыми IP-диапазон — пара адресов, разделенных дефисом Стандартная нотация с косой чертой И м я хоста Произвольная комбинация вышеприведенных э л е ментов, разделенных запятыми
192.168.0.1 192.168.0.1,192.168.0.2
192.168.0.1-192.168.0.254
192.168.0.1/24 (сеть класса C из 256 адресов)
myhost.example.com 192.168.0.1-192.168.0.254,195.168.0.1/24,192.168.0.1-192.168.0.254
6. Выберите конфигурацию сканирования. П о умолчанию использу¬ ется сканирование Nessus. Имеется до четырех других типов скани¬ рования. (В последующих версиях будет разрешена выгрузка файла индивидуальной конфигурации и вставка в текстовый файл). 7. Щ е л к н и т е м ы ш ь ю на Add, и цель будет добавлена. Теперь все го¬ тово для составления расписания сканирований.
Составление расписания сканирований Когда созданы объекты целей, для н и х м о ж н о определить расписа¬ н и е сканирований. 1. В основном м е н ю в разделе Company A d m i n щелкните м ы ш ь ю на Schedule Management. Появится экран управления расписанием (см. рис. 8.15). 2. Выберите организацию и цель в этой организации. Здесь также до¬ ступно раскрывающееся меню выбора, отражающее уровень поль¬ зователя, под именем которого вы вошли в систему. 345
Защитные средства с открытыми исходными текстами
Курс
Schedule Management
System Admin
Add Group Admin C«npinyM»mt Company Admin
Schedule De-scriptic
|-i.li-l_rr.iiU;;jlP Sl4
Target Selection
|N5SirfcjralNetooik
:
-•-!.-
_-j
|
UmMgmt •
User Functions
Start Now Start Liitr
Ms
jj
JTJ
|i:t
-d
Start Time V«w Report! NOTS: This tint wiHbt mtiifttdi sch*Ju$i typ<s.
LOGOUT Run Once Kim Daily
I
Run Weekly Г
Sun Mon Tue Wed Thu Fri Sat
о
а
о с с с с
Run Monthty
Day of Month |oi Zl
Finish Date
I-
JJ
1»м
d 1 • jd
MietWuts |
Рис. 8.15. Э к р а н управления расписанием в N C C 3. Выберите дату сканирования, время, частоту, число повторов. М о ж н о выполнять сканирование один раз, ежедневно, еже¬ недельно, ежемесячно, раз в два месяца, ежеквартально ( в после¬ дующих версиях будут поддерживаться индивидуальные последо¬ вательности повторений в формате cron и л и I-cat). М о ж н о также задать, чтобы повторение происходило только определенное ко¬ личество раз, например, для заказчика, который подписал годовой контракт н а ежемесячное сканирование. Допускается неограни¬ ченное число повторов, например, регулярное ежемесячное ска¬ нирование вашей собственной сети. 4. Щ е л к н и т е м ы ш ь ю н а A d d , и расписание для данного сканирова¬ н и я будет сформировано. Теперь м о ж н о спокойно сидеть и ждать отчетов. Пользова¬ тель, создавший сканирование, будет уведомляться п о электрон¬ н о й почте за день до его в ы п о л н е н и я ( за исключением ежеднев¬ ных сканирований, для которых уведомление происходит за час до начала). Е щ е одно электронное сообщение о н получит, когда от¬ чет будет готов для просмотра. 5. Когда сканирование выполнено, м о ж н о просмотреть его результа ты, выбирая View reports в разделе User Functions основного меню. Отобразится экран базы данных сканирований N C C (см. рис. 8.16). М о ж н о просматривать данные сканирований и генерировать индивидуализированные отчеты для заказчиков. 346
Глава 8
Средства анализа и управленияя
Рис. 8.16. Представление базы данных сканирований в N C C Заметим, что этот интерфейс похож на интерфейс N P I , который был рассмотрен выше в этой главе. Это объясняется тем, что при создании данного раздела м ы использовали фрагменты N P I . N P I имеет открытые исходные тексты с л и ц е н з и е й G P L , поэтому, если м ы выпускаем про¬ грамму с лицензией G P L и включаем и н ф о р м а ц и ю об авторских правах, то м ы имеем право заимствовать эти тексты. П р и использовании откры¬ тых исходных текстов вы имеете п о л н ы й доступ к л ю б ы м их продвижени¬ я м и усовершенствованиям. Может показаться, что для простого сканирования требуется слиш¬ к о м много работы, и это действительно так, если оно выполняется толь¬ ко один раз. Н о когда вы управляете десятками сканирований при уча¬ стии нескольких пользователей, то N C C может оказаться бесценным ин¬ струментом для контроля всей этой деятельности. И так, у вас есть средства и з н а н и я для создания законченной систе¬ м ы обнаружения вторжений и сканирования уязвимостей с развитыми аналитическими возможностями. П р и м е н я я этот инструментарий, вы сможете существенно повысить безопасность вашей внутренней сети и внешних серверов. В совокупности эти средства позволяют наиболее эф¬ фективно использовать время, затрачиваемое на повышение безопасно¬ сти сети. Теперь м ы приступаем к рассмотрению средств ш и ф р о в а н и я , помогающих обеспечивать безопасность ваших данных внутри и вне ва¬ шей сети.
347
Курс
Защитные средства с открытыми исходными текстами
Глава 9. К р и п т о г р а ф и ч е с к и е с р е д с т в а Рассмотренные до сих пор средства применялись для защиты сетей и м а ш и н , располагающихся в этих сетях. Однако, когда д а н н ы е выходят за границы сети, о н и оказываются вне защиты описанных средств и по¬ тенциально могут быть перехвачены злоумышленниками. Большинство современных Интернет-приложений передают свои д а н н ы е в открытом виде (открытым текстом). Это означает, что при просмотре пакетов лю¬ бой ж е л а ю щ и й может видеть данные. Когда д а н н ы е пересекают Интер¬ нет, они проходят через различные системы, большинство из которых на¬ ходятся вне вашего непосредственного контроля и поэтому д о л ж н ы счи¬ таться недружественными. Маршрутизаторы и коммутаторы поставщи ков Интернет-услуг могут применяться как внутри, так и вне вашей сети, а почтовые и Web-серверы стандартным образом обрабатывают ваши приватные данные. Н е существует способа избежать отправки данных за пределы вашей сети. Основное преимущество глобальности Интернет — возможность со¬ вместного использования и н ф о р м а ц и и со всеми бизнес-партнерами и за¬ казчиками из внешнего мира. Невозможно вернуться во времена полно¬ стью собственных сетей. К а к ж е защитить важные д а н н ы е , когда они по¬ кидают уютные и безопасные пределы д о м а ш н е й сети? Ч т о б ы обезопа¬ сить свои д а н н ы е в Интернет, большинство организаций полагаются на криптографию, и вы также можете применять это важное средство дляя поддержания целостности и конфиденциальности. Вам может понадобиться защитить д а н н ы е от несанкционированно¬ го просмотра и в вашей сети, поскольку не всякая и н ф о р м а ц и я должна быть доступна для всеобщего обозрения даже в пределах организации. Н а к о н е ц , ш и ф р о в а н и е важных данных может служить последней л и н и е й обороны против хакеров. Д а ж е если и м удастся проникнуть в сеть и под¬ чинить себе сервер, и м придется взломать ш и ф р , чтобы добраться до ва¬ ших данных.
Обзор главы Изучаемые концепции: • Симметричная и асимметричная криптографияя • Различные криптографические алгоритмы • Криптографические приложенияя • Модель безопасности с удостоверяющим центром • Модель безопасности с сетью доверияя Используемые инструменты: PGP, G n u P G , OpenSSH, F r e e S / W A N , John the Ripper
348
Глава 9
Криптографические средства
Имеется множество различных криптографических протоколов. Обратившись к эталонной модели ВОС (см. рис. 9.1), м о ж н о видеть, что существуют криптографические средства, действующие на нескольких различных уровнях модели. К а к вы, вероятно, догадались, доступно мно¬ го прекрасных криптографических средств с открытыми исходными тек¬ стами почти для любых приложений, от ш и ф р о в а н и я отдельных файлов до защиты всех ваших исходящих Интернет-соединений. На самом деле, доступность высококачественного криптографического программного обеспечения коренится в движении за открытость исходных текстов. Номер уровня модели ВОС Уровень 7 Уровень 6 Уровень 5 Уровень 4 Уровень 3 Уровень 2 Уровень 1
Название уровня Прикладной уровень Уровень представления Уровень сеанса Транспортный уровень Сетевой уровень К а н а л ь н ы й уровень Физический уровень
Криптографические стандарты PGP, G n u P G SSL, S S H IPsec
Рис. 9.1. Модель ВОС и криптография
Виды криптографии На сегодня имеется два основных метода ш и ф р о в а н и я . Первый ме¬ тод, именуемый симметричным или шифрованием с разделяемым секретом, применялся со времен древнего Египта. В н е м секретный ключ, называе м ы й разделяемым секретом, используется для превращения данных в не¬ понятную тарабарщину. Второй стороне разделяемый секрет (ключ) тре¬ буется для р а с ш и ф р о в а н и я данных в соответствии с криптографическим алгоритмом. Если изменить ключ, изменятся и результаты ш и ф р о в а н и я . Это называется симметричной криптографией, поскольку один и тот же ключ применяется обеими сторонами к а к для з а ш и ф р о в а н и я , так и дляя р а с ш и ф р о в а н и я данных (см. рис. 9.2). Проблема с этим методом состоит в том, что необходимо безопас¬ н ы м образом передать секретный ключ предполагаемому получателю. Ес¬ ли враг перехватит ключ, он сможет прочитать сообщение. Изобретались всевозможные системы с целью обойти это фундаментальное слабое мес¬ то, но факт остается фактом: требуется каким-то образом передавать сек¬ ретный ключ предполагаемому получателю, прежде чем м о ж н о будет на¬ чинать з а щ и щ е н н о е взаимодействие. 349
Курс
Защитные средства с открытыми исходными текстами
Рис. 9.2. Симметричная криптография Революция в криптографии началась, когда Витфилд Д и ф ф и , М а р тин Хеллман и Ральф Меркл изобрели криптографию с открытым к л ю чом. (Некоторые утверждают, что в действительности британский граж данский служащий Джеймс Эллис сделал это раньше и держал в секрете, но Д и ф ф и , Хеллману и Мерклу принадлежит первая публикация, датиру¬ емая 1976-м годом.) О н и пытались решить старую проблему обмена клю¬ чами. Д и ф ф и интересовало, как два человека, желающие осуществить финансовую транзакцию через электронную сеть, могут сделать это безо¬ п а с н ы м образом. Он думал о далеком будущем, так как Интернет тогда был в зачаточном состоянии, а электронной к о м м е р ц и и еще не существо¬ вало. Если правительственные организации имеют проблемы при обмене ключами, то как может справиться с этим рядовой гражданин? Он хотел построить систему, с п о м о щ ь ю которой две стороны могли бы легко под¬ держивать з а щ и щ е н н ы е к о м м у н и к а ц и и и безопасные транзакции, не об¬ мениваясь каждый раз ключами. Он знал, что если он сможет решить проблему обмена ключами, то это станет прорывом в криптографии. Д и ф ф и сотрудничал с М а р т и н о м Хеллманом и Ральфом Мерклом. И м потребовалось несколько лет, но в конце концов они создали систему, н а з ы в а е м у ю шифрованием с открытым ключом ( P K E — Public Key Encryption), известную также как асимметричная криптография. В асимметричной криптографии применяется ш и ф р о в а н и е , при ко¬ тором некая величина расщепляется на два ключа меньшего размера. Один из них делается открытым, а другой сохраняется в секрете. Вы шиф¬ руете сообщение с п о м о щ ь ю открытого ключа получателя. Получатель может затем расшифровать его с п о м о щ ь ю своего секретного ключа. И он может сделать то же самое для вас, шифруя сообщение с п о м о щ ь ю ваше¬ го открытого ключа, чтобы вы могли расшифровать его с п о м о щ ь ю сво350
Глава 9
Криптографические средства
Рис. 9.3. Асимметричная криптография (открытый ключ) его секретного ключа (см. рис. 9.3). Суть в том, что не требуется знать чейто секретный ключ, чтобы послать з а щ и щ е н н о е сообщение. Применяет¬ ся открытый ключ, который не нужно держать в секрете ( на самом деле, его можно публиковать наравне с номером телефона). Используя откры¬ тый ключ получателя, вы знаете, что только этот человек может расшиф¬ ровать сообщение при п о м о щ и своего секретного ключа. Д а н н а я система позволяет двум сущностям безопасно общаться без какого-либо предва¬ рительного обмена ключами. Асимметричная к р и п т о г р а ф и я обычно реализуется с п о м о щ ь ю од¬ носторонних ф у н к ц и й . В математических терминах это ф у н к ц и и , кото¬ рые очень легко вычислять в одном направлении, но очень сложно — в обратном. И м е н н о это позволяет публиковать открытые ключи, которые являются п р о и з в о д н ы м и от секретных ключей. Очень трудно выполнить обратное преобразование и определить секретный ключ. Н а сегодняш¬ н и й день наиболее употребительной односторонней ф у н к ц и е й являетсяя перемножение больших простых чисел. Очень легко перемножить два больших простых числа и получить произведение, однако определение того, к а к и м из множества возможных способов это произведение рас¬ кладывается на два множителя, является одной из трудных математиче¬ ских задач. Если бы кто-то изобрел метод быстрого определения множи¬ телей подобных больших чисел, это поставило бы крест на многих совре¬ м е н н ы х методах ш и ф р о в а н и я с открытым ключом. К счастью, имеются и другие трудновычислимые ф у н к ц и и , обратные к легковычислимым. Н а п р и м е р , пока неизвестны быстрые алгоритмы для логарифмированияя в к о н е ч н о м поле или в группе точек эллиптической кривой над конеч¬ н ы м полем, тогда как возведение в степень в обоих этих случаях выпол¬ нить очень легко. 351
Курс
Защитные средства с открытыми исходными текстами
Вскоре после п у б л и к а ц и и Д и ф ф и , Х е л л м а н а и М е р к л а другая группа из трех ч е л о в е к разработала п р а к т и ч е с к о е п р и л о ж е н и е т е о р и и . Эта система для ш и ф р о в а н и я с о т к р ы т ы м к л ю ч о м была названа R S A по и м е н а м авторов: Ronald Rivest (Рональд Ривест), A d i Shamir (Ади Ш а м и р ) и Leonard Adleman (Леонард Адлеман). О н и образовали к о м п а н и ю и начали л и ц е н з и р о в а т ь свою систему. Д е л о ш л о туго, и их компанияя почти о б а н к р о т и л а с ь , п о к а о н и н е д о г о в о р и л и с ь с м а л о и з в е с т н о й тогда к о м п а н и е й Netscape об и с п о л ь з о в а н и и в о з м о ж н о с т е й растущего поляя И н т е р н е т - к о м м е р ц и и . Остальное уже и с т о р и я , и R S A на с е г о д н я ш н и й д е н ь — с а м ы й у п о т р е б и т е л ь н ы й алгоритм ш и ф р о в а н и я с о т к р ы т ы м к л ю ч о м . Д и ф ф и и Х е л л м а н со в р е м е н е м выпустили с о б с т в е н н о е прак¬ т и ч е с к о е п р и л о ж е н и е , н о о н о п р и м е н я е т с я только д л я о б м е н а ключа¬ м и , в то время к а к R S A — для а у т е н т и ф и к а ц и и и о б е с п е ч е н и я неотказуемости. Ш и ф р о в а н и е с открытым ключом присутствует теперь на каждом Web- сервере, предлагающем б е з о п а с н ы е п о к у п к и . Ваша транзакцияя шифруется без передачи или получения секретного ключа, и все это про¬ исходит в ф о н о в о м режиме. К а к пользователи, м ы знаем, что в навигато¬ ре появился маленький символ замка SSL, и м ы чувствуем себя в безопас¬ ности. Нетрудно представить себе судьбу И н т е р н е т - к о м м е р ц и и , если бы при каждой покупке в Сети приходилось думать о секретном ключе, шифровать сообщение, а затем как-то передавать этот ключ другой сторо¬ не. Очевидно, что без криптографии с открытым ключом электроннаяя к о м м е р ц и я в ее современном виде не могла бы существовать. Имеется много различных алгоритмов ш и ф р о в а н и я , протоколов и приложений на основе этих двух основных видов криптографии. В следу¬ ющих разделах вы ознакомитесь с некоторыми из них.
Криптографические алгоритмы В н а ш е время сила криптографии обычно характеризуется размером ключа. Независимо от силы алгоритма, з а ш и ф р о в а н н ы е д а н н ы е могут подвергаться атакам методом грубой силы, пробующим всевозможные к о м б и н а ц и и ключей. Со временем ш и ф р может быть взломан. Для боль¬ шинства современных ш и ф р о в с подходящей длиной ключа время их взлома методом грубой силы измеряется тысячелетиями. Однако неиз¬ вестный дефект алгоритма, достижения в компьютерной технологии или математических методах могут резко сократить это время. О б ы ч н о считается, что д л и н а ключа д о л ж н а быть достаточной дляя с о х р а н е н и я з а щ и т ы д а н н ы х на р а з у м н ы й п е р и о д в р е м е н и . Если речь идет о к о р о т к о ж и в у щ и х д а н н ы х , таких к а к к о м м у н и к а ц и и на поле бояя и л и ежедневная биржевая и н ф о р м а ц и я , то в п о л н е достаточно ш и ф р а , 352
Глава 9
Криптографические средства
о б е с п е ч и в а ю щ е г о защиту в т е ч е н и е недель и л и месяцев. О д н а к о неко¬ т о р ы е в е щ и , т а к и е к а к н о м е р к р е д и т н о й карты и л и секреты националь¬ н о й безопасности, необходимо сохранять з а щ и щ е н н ы м и гораздо доль¬ ш е , по сути — навсегда. П о э т о м у п р и м е н е н и е слабых алгоритмов шиф¬ р о в а н и я или к о р о т к и х к л ю ч е й для н е к о т о р ы х д а н н ы х п р и е м л е м о , толь¬ к о если п о л е з н о с т ь и н ф о р м а ц и и для п о с т о р о н н и х теряется за к о р о т к о е время. Стандарт
шифрования
данных
DES (Data Encryption
Standard)
D E S является исходным стандартом, который правительство С Ш А рекомендовало для правительственных и коммерческих применений. Пер¬ воначально в 1970-е годы он считался практически невскрываемым, но с ростом вычислительной мощности и снижением стоимости вычислений его 56-битный ключ функционально устарел для высокосекретной инфор¬ мации. Тем не менее, он все еще применяется во многих коммерческих продуктах и считается приемлемым для приложений с умеренным уровнем безопасности. Он используется также в продуктах со слабыми процессора¬ ми, таких как смарт-карты и бытовые приборы, неспособных обрабатывать более длинные ключи. Тройной
DES
Тройной алгоритм D E S (TripleDES или 3 D E S , как его часто з а п и с ы вают) — более новая, усовершенствованная версия D E S , а его название отражает его функциональность. О н трижды применяет D E S к д а н н ы м , в ы п о л н я я з а ш и ф р о в а н и е , р а с ш и ф р о в а н и е и затем снова зашифрование. В действительности он не обеспечивает трехкратного усиления ш и ф р а (так как в нем задействованы всего два ключа — первый применяется два¬ ж д ы для з а ш и ф р о в а н и я , а второй служит для р а с ш и ф р о в а н и я результатов первого з а ш и ф р о в а н и я ) , но он тем не менее предоставляет эффективную длину ключа в 112 бит, что более чем достаточно почти для всех пользова¬ телей. RC4, RC5 и RC6 Это алгоритм ш и ф р о в а н и я , разработанный Рональдом Ривестом, одним из создателей R S A , первого коммерческого приложения крипто¬ графии с открытым ключом. Со временем были сделаны усовершенство¬ вания, чтобы усилить его и исправить некоторые недочеты. Текущая вер¬ сия RC6 допускает длину ключа до 2040 бит и переменный размер блока до 128 бит. 353
Курс
Защитные средства с открытыми исходными текстами
AES Когда правительство С Ш А осознало, что D E S со временем достигнет конца своей полезной ж и з н и , оно стало искать ему замену. Национальный институт стандартов и технологий С Ш А — правительственный орган стандартизации — объявил открытый конкурс на новый алгоритм, при¬ званный стать новым правительственным стандартом. Претендентов было много, включая R C 6 , Blowfish известного криптографа Брюса Шнайера и другие достойные алгоритмы. Победителем стал A E S , базирующийся на алгоритме Rijndael, разработанном двумя бельгийскими криптографами. То, что стандарт был выбран в результате открытого состязания, весьма примечательно, как и победа двух неамериканских разработчиков, позво¬ лившая без значительных финансовых вложений обеспечить ему мировое признание. A E S быстро становится новым стандартом шифрования. О н предлагает ключ ш и ф р о в а н и я до 256 бит, что представляется более чем до¬ статочным для обозримого будущего. Обычно A E S из соображений эффе¬ ктивности реализуется в режиме 128 или 192 бита.
Приложения криптографии Хэши Хэши служат специальным применением односторонних функций дляя аутентификации и верификации криптографическими средствами. Исход¬ н ы й файл пропускается через хэш-функцию, в результате чего порождаетсяя значительно меньший файл фиксированного размера с уникальными иден¬ тификационными признаками исходного файла. В дальнейшем это позво¬ ляет удостовериться, что файл никаким образом не был изменен. Хэшируяя подозрительный файл и сравнивая результат с заведомо хорошим значени¬ ем, можно определить, были ли внесены какие-либо изменения. Маловеро¬ ятно, что файлы с различной структурой будут порождать идентичные хэши. Даже изменение одного символа существенно меняет хэш. Вероятность того, что два различных файла дадут одинаковый хэш, пренебрежимо мала. Х э ш а м и часто снабжают загружаемые версии программного обеспе¬ ч е н и я , чтобы гарантировать получение подлинника. Это важно, особен¬ но для программ с открытыми исходными текстами, которые могут по¬ пасть к вам через третьи руки или с «неродного» сайта. На официальном Web-сайте обычно публикуется правильный хэш самой свежей версии. Если два значения не совпадут, то м о ж н о утверждать, что были внесены некоторые и з м е н е н и я , возможно, без разрешения или уведомления раз¬ работчиков программы. Наиболее популярный алгоритм хэшированияя называется M D 5 . 354
Глава 9
Криптографические средства
Цифровые
сертификаты
Ц и ф р о в ы е сертификаты — это «подпись» мира Интернет-коммер¬ ц и и . О н и применяются для аутентификации. О н и удостоверяют, что тот, с кем вы соединяетесь, действительно тот, за кого себя выдает. П р о щ е го¬ воря, сертификат служит «удостоверением» источника данных, содержа¬ щ и м открытый ключ организации. Х э ш сертификата шифруется с помо¬ щ ь ю секретного ключа этой организации или уполномоченной организа¬ ц и и — удостоверяющего центра (последнее предпочтительнее). Зная от¬ крытый ключ, п а р н ы й секретному, вы можете проверить подлинность сертификата и тем самым удостовериться в принадлежности Web-сайта интересующей вас организации. Сертификаты обычно приписываются определенному домену. О н и могут выпускаться удостоверяющим центром или локально, как описано выше. Имеется несколько удостоверяющих центров, самым крупным из которых является VeriSign — к о м п а н и я , поддерживающая также домен¬ ную систему имен. Удостоверяющие центры наделяют другие организа¬ ц и и правом предлагать сертификаты под их ответственность. Получить сертификат от VeriSign или одной из авторизованных организаций — все равно, как если бы кто-то поручился за вас. Обычно сертификат выпуска¬ ют только после проверки фигурирующих в н е м данных, осуществляемой либо по телефону, либо с п о м о щ ь ю некоторой бумажной документации, такой к а к устав организации. Когда вас «освидетельствуют», удостоверя¬ ю щ и й центр берет представленную вами и н ф о р м а ц и ю , включая U R L , для которого вы собираетесь применять сертификат, и «подписывает» ее ц и ф р о в ы м образом с п о м о щ ь ю своего секретного ключа. После этого Web-сервер или другая программа может использовать выданный серти¬ фикат. Когда в н е ш н и е пользователи получают с сервера некоторые дан¬ ные, например, Web-страницу, с присоединенным к н и м сертификатом, о н и могут применить криптографию с открытым ключом для проверки вашей личности. Ч а щ е всего сертификаты используются на Web-сайтах электронной к о м м е р ц и и , но они могут также применяться для коммуни¬ каций произвольного вида. S S H и Nessus могут использовать сертифика¬ ты для аутентификации. В виртуальных з а щ и щ е н н ы х сетях сертификаты также могут применяться для аутентификации вместо паролей.
Криптографические протоколы IPsec Хорошо известно, что при первоначальном проектировании I P - п р о токола вопросам безопасности уделяли не с л и ш к о м много внимания. IP 355
Курс
Защитные средства с открытыми исходными текстами
версии 4 (IPv4), д о м и н и р у ю щ и й протокол I P - к о м м у н и к а ц и й , н е предос тавляет никаких средств аутентификации и л и конфиденциальности. По¬ лезная нагрузка пакетов посылается в открытом виде, а заголовки пакетов м о ж н о легко изменять, т а к к а к о н и н е проверяются в месте назначения. М н о г и е атаки эксплуатируют эту базовую незащищенность инфраструк¬ туры Интернет. Н о в ы й стандарт IP, называемый IPv6, был разработан дляя обеспечения аутентификации и конфиденциальности с п о м о щ ь ю крип¬ тографии. О н также расширяет адресное пространство IP, используя 128битный адрес вместо применяемого сейчас 32-битного, и усовершенство¬ ван в ряде других направлений. Полная реализация стандарта IPv6 потребует широкомасштабной модернизации оборудования, поэтому развертывание IPv6 происходит довольно медленно. Однако была предложена реализация средств безо¬ пасности для IP, называемая IPsec, н е требующая значительных измене¬ н и й в схеме адресации. Производители оборудования перешли на IPsec, постепенно ставший фактическим стандартом для создания виртуальных з а щ и щ е н н ы х сетей в Интернет. IPsec — это н е к о н к р е т н ы й криптографический алгоритм, а скорее криптографический каркас для ш и ф р о в а н и я и в е р и ф и к а ц и и пакетов в протоколе IP. С п е ц и ф и к а ц и и IPsec предусматривают использование раз¬ личных алгоритмов и могут быть реализованы полностью или частично. К о м б и н а ц и я асимметричной и симметричной криптографии применяет¬ ся для ш и ф р о в а н и я содержимого пакетов, а хэширование добавляет к этому аутентификацию. Д а н н а я ф у н к ц и я называется протоколом аутентифицирующего заголовка — Authentication Header, A H ) . С п о м о щ ь ю A H создается и передается хэш IP-заголовка. Когда пакет прибывает в место назначения, хэш его заголовка перевычисляется. Если полученное значе¬ н и е н е совпало с п р и с л а н н ы м , значит, в процессе пересылки заголовок был изменен. Тем самым обеспечивается высокая степень доверия к под¬ линности исходного адреса. М о ж н о шифровать содержимое пакетов без добавления аутентифицирующего заголовка, чтобы н е снижать пропуск¬ ную способность и избежать проблем с трансляцией сетевых адресов и межсетевыми экранами. Имеется два различных режима работы IPsec: туннельный и транспортный. В туннельном режиме весь пакет — заголовок и все остальное — шиф¬ руется, помещается (инкапсулируется) в другой пакет и переправляетсяя по одному из туннелей виртуальной з а щ и щ е н н о й сети. В конечной точке этого туннеля пакет извлекается, расшифровывается и переправляется на правильный IP-адрес. Преимущество этого метода состоит в том, что по¬ сторонний наблюдатель н е может даже определить пункт назначения за¬ ш и ф р о в а н н о г о пакета. Другое преимущество — возможность централи¬ зованного управления и администрирования виртуальной з а щ и щ е н н о й 356
Глава 9
Криптографические средства
сети. Недостаток заключается в том, что для туннелирования требуетсяя специально выделенное оборудование на обоих концах. В транспортном режиме шифруется только полезная нагрузка пакетов; за головки посылаются без изменений. Это упрощает инфраструктуру и несколь¬ ко облегчает ее развертывание. Отметим, что транспортный режим можно со¬ четать с протоколом A H и верифицировать исходные адреса пакетов. Протокол туннелирования точка-точка (PPTP — Point-to-Point Tunneling Protocol) P P T P — стандарт, разработанный Microsoft, 3Com и другими боль ш и м и к о м п а н и я м и для обеспечения ш и ф р о в а н и я . К о р п о р а ц и я Microsoft включила его в Windows 98 и последующие выпуски, сделав вероятным кандидатом на роль основного стандарта массовой криптографии. Одна¬ ко в P P T P были обнаружены существенные дефекты, что ограничило его применение. Когда Microsoft включила поддержку IPsec в Windows 2000, это м о ж н о было счесть молчаливым п р и з н а н и е м победы IPsec как ново¬ го криптографического стандарта. Однако P P T P все-таки является полез н ы м и недорогим протоколом для создания виртуальных з а щ и щ е н н ы х се¬ тей П К со старыми версиями Windows. Протокол туннелирования второго уровня (L2TP — Layer Two Tunneling Protocol) Е щ е один индустриальный протокол, поддержанный к о м п а н и я м и Microsoft и Cisco. Хотя он часто используется в аппаратных устройствах ш и ф р о в а н и я , его п р и м е н е н и е в программном обеспечении довольно ог¬ раничено. Защищенный протокол сеансового (SSL — Secure Socket Layer)
уровня
Этот протокол специально предназначен для п р и м е н е н и я в Web, хо¬ тя он может использоваться почти для любого типа T C P - к о м м у н и к а ц и й . Первоначально к о м п а н и я Netscape разработала его для своего навигато¬ ра, чтобы помочь развитию электронной коммерции. SSL, опираясь на сертификаты, обеспечивает ш и ф р о в а н и е данных, аутентификацию обеих сторон и контроль целостности сообщений. В основном SSL работает в ф о н о в о м режиме при соединении с Web-сервером для защиты пересыла¬ емой и н ф о р м а ц и и , и его присутствие мало кто осознает. Обычно о н аутентифицирует только одну сторону — серверную, так как у большинства конечных пользователей нет сертификатов. 357
Курс
Защитные средства с открытыми исходными текстами
Криптографические приложения Ф и л Ц и м м е р м а н — п р о г р а м м и с т и а к т и в н ы й борец за права ч е л о века. Его т р е в о ж и л о , что все более ш и р о к о е п р и м е н е н и е к о м п ь ю т е р о в и к о м м у н и к а ц и о н н ы х сетей облегчает органам н а ц и о н а л ь н о й безопас¬ ности р е п р е с с и в н ы х р е ж и м о в перехват и сбор и н ф о р м а ц и и о диссиден¬ тах. Ф и л хотел н а п и с а т ь п р о г р а м м н о е о б е с п е ч е н и е , п о м о г а ю щ е е э т и м л ю д я м сохранять свою и н ф о р м а ц и ю в т а й н е и безопасности. П о д о б н о е П О могло бы в буквальном с м ы с л е спасать ч е л о в е ч е с к и е ж и з н и . О н т а к ж е н е в п о л н е доверял собственному правительству. О н з н а л , к а к лег¬ ко правительство может создать с и с т е м ы д л я п о и с к а о п р е д е л е н н ы х к л ю ч е в ы х слов в л ю б ы х э л е к т р о н н ы х с о о б щ е н и я х . О н хотел дать л ю д я м способ з а щ и т ы и гарантии их к о н с т и т у ц и о н н о г о права на тайну част¬ ной жизни. Он назвал свою программу «Приятное уединение» ( P G P — Pretty G o o d Privacy), так к а к считал, что проделал хорошую работу для защиты данных от разведок небольших стран. Однако агентство п о информаци¬ о н н о й безопасности С Ш А считало по-другому. Ц и м м е р м а н был обвинен в нарушении федеральных законов об экспорте вооружений за предоста¬ вление возможности загружать свою программу из любой точки мира. Первоначально Ц и м м е р м а н собирался учредить к о м п а н и ю для про¬ дажи своего изобретения. Однако, когда правительство стало его пресле¬ довать, о н бесплатно распространял свое программное обеспечение через Интернет, сделав его общедоступным. Впоследствии о н все-таки сформи¬ ровал к о м п а н и ю для продвижения коммерческих версий программного обеспечения, н о повсюду в Интернет имеются реализации P G P с откры¬ т ы м и исходными текстами. Некоторые и з н и х более популярны, ч е м дру¬ гие, а некоторые являются н и ш е в ы м и п р и л о ж е н и я м и , такими к а к шиф¬ рование электронной почты. В следующем разделе рассматривается офи¬ циальная условно свободная версия от P G P Corporation, а также версия с полностью открытыми исходными текстами. С п и с о к всех реализаций P G P м о ж н о найти п о адресу www.cypherspace.org/openpgp/. PGP Freeware: Средство криптографии с открытым ключом
358
Глава 9
Криптографические средства
Другие ресурсы: www.pgpi.com Списки почтовой рассылки: Группа поддержки PGP Freeware Рабочая группа IETF OpenPGP Пользовательский список рассылки PGP Рабочая группа PGP/MIME Список рассылки разработчиков PGPi Список рассылки переводчиков PGPi Список рассылки разработчиков Pgplib Все эти списки доступны для подписки по адресу: www.pgpi.org/links/mailinglists/en/. Телеконференции USENET: Alt.security.pgp Comp.security.pgp.announce Comp.security.pgp.discuss Comp.security.pgp.resources Comp.security.pgp.tech Официальную условно свободную версию P G P поддерживает М а с сачусетский технологический институт. Так к а к она лицензирована у Фи¬ ла Циммерамана и P G P Corporation, то м о ж н о н е сомневаться в ее цело¬ стности и законности. Недостатком условно свободной версии P G P явля¬ ется то, что она лицензирована только для индивидуального п р и м е н е н и я , поэтому ее м о ж н о использовать для персональной электронной почты или в целях образования, если вы — студент. Если вы собираетесь приме¬ нять эту версию P G P , н е забудьте внимательно прочитать лицензию. Хо¬ тя эта версия P G P имеет открытые исходные тексты и распространяетсяя бесплатно, существуют значительные ограничения на ее использование. П о м н и т е , что открытость исходных текстов н е обязательно означает бес¬ платность. Если вы желаете получить самую свежую версию в сочетании с простотой использования и поддержкой, то д о л ж н ы рассмотреть воз¬ можность покупки полной л и ц е н з и и у P G P Corporation. Она стоит при¬ мерно $125 на одного пользователя. П р и массовых закупках предоставля¬ ется скидка. Если вы н е можете или н е хотите платить, то более интерес¬ н ы м для вас может оказаться другое средство — G n u P G , полностью сво¬ бодная реализация P G P . Официальная версия P G P от P G P Corporation обладает некоторыми замечательными возможностями: • Встроенный клиент для виртуальных з а щ и щ е н н ы х сетей на основе IPsec 3 D E S , пригодный для безопасных к о м м у н и к а ц и й с л ю б ы м партнером, и м е ю щ и м P G P версии 8.0 или выше. 359
Курс
Защитные средства с открытыми исходными текстами
• Возможность создания саморасшифровывающихся архивов дляя отправки сообщений P G P тем, у кого нет установленного про¬ граммного обеспечения P G P . • Затирание удаленных файлов, то есть возможность удалить файл с последующей многократной перезаписью области данных на диске. • Затирание свободного пространства, аналогичное затиранию уда¬ ленных файлов, но для свободного дискового пространства, кото¬ рое может содержать следы старых данных. • Интегрированная поддержка командной строки для тех, кто зна¬ ком со старыми командами. • Встраиваемые модули для основных программ электронной почты: Outlook, Eudora и Claris Emailer (только в платной версии). • Поддержка посредников, полезная для пользователей, находящих¬ ся позади межсетевого экрана (только в платной версии). • P G P D i s k — средство ш и ф р о в а н и я целых томов или частей вашего диска, так что з а ш и ф р о в а н и е и р а с ш и ф р о в а н и е данных происхо¬ дит автоматически (только в платной версии). Прежде чем устанавливать и применять PGP, следует понять, как и на каких принципах работает программа. Д а н н ы й раздел не претендует на то, чтобы научить вас разбираться во всех деталях криптографии и P G P , для этого нужно обратиться к любой из множества книг на данную тему. Н о в результате прочтения этой главы вы с можете зашифровывать и рас¬ шифровать сообщения с п о м о щ ь ю PGP. Предостережение: П р и неправильном п р и м е н е н и и P G P может обес¬ печиваться л и ш ь слабая или вообще нулевая защита. К р о м е того, при не¬ осторожном обращении с ключами р а с ш и ф р о в а н и я м о ж н о безвозвратно потерять свои д а н н ы е (см. врезку «Не теряйте ваши ключи!»). P G P считается гибридной криптосистемой. Это означает, что для реа¬ лизации своих ф у н к ц и й она использует к о м б и н а ц и ю симметричной и асимметричной криптографии. Криптография с открытым ключом тре¬ бует значительно большей вычислительной м о щ н о с т и , чем симметрич¬ ная, так как обычно опирается на сложные математические действия с простыми числами. В P G P криптография с открытым ключом применя¬ ется только для выработки сеансового ключа, который затем использует¬ ся для ш и ф р о в а н и я сообщений с п о м о щ ь ю традиционной симметричной криптографии. Большинство криптосистем с открытым ключом приме¬ няют подобный метод для п о в ы ш е н и я эффективности. Вместо того ч т о б ы п р и к а ж д о м и с п о л ь з о в а н и и P G P ц е л и к о м вво¬ д и т ь свой с е к р е т н ы й к л ю ч , что требует н е м а л о в р е м е н и и с о п р я ж е н о с многочисленными ошибками, секретный ключ извлекается с жесткого д и с к а , где о н х р а н и т с я в з а ш и ф р о в а н н о м виде. Ч т о б ы р а з б л о к и р о в а т ь свой к л ю ч , н е о б х о д и м о в с я к и й раз п р и и с п о л ь з о в а н и и P G P вводить 360
Глава 9
Криптографические средства
парольную фразу. О н а похожа на п а р о л ь , н о о б ы ч н о д л и н н е е и состоит и з н е с к о л ь к и х с л о в , п р е д п о ч т и т е л ь н о из букв и ц и ф р . О ч е н ь в а ж н о за¬ п о м н и т ь эту п а р о л ь н у ю фразу, п о с к о л ь к у если в ы ее потеряете или за¬ будете, в ы н е с м о ж е т е в о с с т а н о в и т ь д а н н ы е , з а ш и ф р о в а н н ы е с помо¬ щью PGP.
Установка PGP и генерация пары ключей открытый/секретный 1. В первую очередь, загрузите файл программы P G P с Web-сайта. 2. Щ е л к н и т е м ы ш ь ю на самораспаковывающемся zip-файле, и о н автоматически начнет процесс установки. 3. У вас есть выбор между покупкой полной л и ц е н з и и и оценкой продукта. Щ е л к н и т е м ы ш ь ю на к н о п к е Purchase N o w (Купить сейчас), если хотите получить полную версию, авторизованную для коммерческого п р и м е н е н и я . В противном случае щелкните м ы ш ь ю на к н о п к е Later (Позже), чтобы воспользоваться условно свободной версией. 4. Программа установки затем проведет вас через процесс генерации пары ключей открытый/секретный. Этот процесс очень важен, так как служит основой защиты, которую предоставляет P G P . 5. Программа попросит вас ввести и м я , название организации, и ад¬ рес электронной почты. Вы не обязаны вводить электронный ад¬ рес, но если вы этого не сделаете, открытый ключ не будет ассоци¬ ирован с вашим адресом на сервере ключей, и человеку, который захочет послать вам з а ш и ф р о в а н н о е P G P - с о о б щ е н и е , будет слож¬ но найти ваш открытый ключ, если он его еще не имеет. 6. Затем программа попросит ввести парольную фразу, позволяю щую хранить ключи на диске. Не вводите здесь о б ы ч н ы й пароль, такой как одиночное слово или набор букв. Это существенно сни¬ зит безопасность ключей. Задайте последовательность слов с ком¬ бинацией из букв и ц и ф р . Это облегчит запоминание и в то же время гарантирует достаточную степень сложности. Х о р о ш и й пример сложной парольной фразы с числами, большими и малы¬ ми буквами и другими символами — one+one=Two. Примечание. Н е используйте этот пример... И, к о н е ч н о , это не моя парольная фраза. После ввода парольной фразы загрузится остальная часть программы, и установка будет завершена. Чтобы удалить P G P со своего компьютера, следует воспользоватьсяя предоставляемой функцией деинсталляции. Простого удаления файлов недостаточно, так к а к P G P вносит значительные изменения в реестр и другие базовые настройки Windows. 361
Курс
Защитные средства с открытыми исходными текстами
Флэми Тех советует: Не теряйте ключи!!! Л и ш и т ь с я ключей для P G P - почти то ж е , что потерять клю¬ ч и от квартиры или автомобиля, только намного хуже. Вооб¬ разите, что при утере физических ключей ваш дом или авто¬ мобиль навсегда становятся недоступными. И м е н н о это происходит с за¬ ш и ф р о в а н н ы м и д а н н ы м и , если теряется секретный ключ. А поскольку секретный ключ обычно з а ш и ф р о в а н на диске с п о м о щ ь ю парольной фразы, то потеря последней дает обычно тот ж е эффект. Н е забудьте сделать резервную к о п и ю папки с секретным ключом на ва¬ ш е м компьютере (вы ж е регулярно делаете резервное копирование своих данных, не так ли?) Если вам трудно запоминать пароли, запишите па¬ рольную фразу и сохраните ее где-нибудь в безопасном месте (желатель¬ но — не на «горчичнике», прилепленном к монитору). П о м н и т е , если вы потеряете ключ или парольную фразу, д а н н ы е будут безвозвратно утеряны; даже Агентство национальной безопасности не сможет вам помочь. Думаете, это преувеличение? Если бы ваши д а н н ы е легко восстанавливались, это было бы легко сделать и постороннему. По¬ этому помните о своей парольной фразе и ключах.
Применение PGP Доступ к P G P осуществляется из подменю Programs в меню Start. Там имеется несколько доступных о п ц и й , включая P G P M a i l и документа¬ цию. Условно свободная версия P G P снабжена отличной документацией, включая более чем семидесятистраничное введение в криптографию. Это прекрасный начальный курс для новичков в криптографии. Для P G P на¬ писано также огромное руководство пользователя. П р и запуске P G P M a i l на экране появляется небольшая панель инст¬ рументов. Ее м о ж н о минимизировать до небольшой и к о н к и на систем¬ ной панели, когда она не используется. Простой интерфейс P G P M a i l предлагает несколько опций: P G P K e y s , Encrypt, Sign, Encrypt and Sign, Decrypt/Verify, Wipe и FreeSpace wipe. К о н к р е т н ы е ф у н к ц и и каждого эле¬ мента рассмотрены ниже. PGPKeys Раздел PGPKeys служит для управления к а к в а ш и м и открытым и се¬ кретным ключами, так и открытыми ключами ваших партнеров (см. рис. 9.4). Программа P G P создает на диске два каталога, называемых кольца ми для ключей, так как они содержат все ключи, как открытые, так и сек362
Глава 9
Криптографические средства
Рис. 9.4. Э к р а н P G P K e y s ретные, которые нужны для п р и м е н е н и я P G P . Ф а й л pubring, находящий¬ ся в основном каталоге PGP, содержит ваш открытый ключ, а также от¬ крытые ключи других людей, которым вы предполагаете посылать за¬ ш и ф р о в а н н ы е файлы. Ф а й л secring содержит ваш секретный ключ, обыч¬ но в з а ш и ф р о в а н н о м виде. К а к правило, он содержит только один секрет¬ н ы й ключ, но у вас может быть и несколько секретных ключей. Н а п р и мер, вы можете применять один из них для деловых писем, а другой — для частной корреспонденции. Помните только, что документы, зашифро¬ ванные с п о м о щ ь ю определенного открытого ключа, м о ж н о расшифро¬ вать только с п о м о щ ь ю соответствующего ему секретного ключа. Здесь м о ж н о также создавать новые ключевые пары и отзывать пары ключей, которые больше не используются. М о ж н о загрузить свой откры¬ тый ключ на один из нескольких серверов открытых ключей. Это позво¬ лит тем, кто никогда с вами не общался, найти ваш ключ на сервере от¬ крытых ключей и послать вам сообщение P G P . Многие люди, применяю¬ щие PGP, имеют привычку размещать открытый ключ в строке подписи своих электронных сообщений, поэтому их адресаты могут легко послать и м сообщение, зашифрованное P G P . Другим способом, п о м о г а ю щ и м проверить законность некоторого персонального ключа, является его подписывание ключами других лю¬ дей. Это позволяет удостовериться, что н е к и й открытый ключ принадле¬ жит данному человеку. Вы должны подписывать открытые ключи только тех людей, которых хорошо знаете лично, и проверять, что ключ правиль¬ н ы й . Ваши друзья и знакомые также могут подписывать ваши ключи. Это кольцо подписывающих ключей создает неиерархическую модель дове¬ рия, называемую сетью доверия. Ее главное достоинство в том, что для ее работы не требуется центральный уполномоченный орган. Более подроб363
Курс
Защитные средства с открытыми исходными текстами
но о том, к а к работает сеть доверия, м о ж н о узнать из раздела G n u P G да¬ лее в этой главе. Чтобы добавить ключи других пользователей в ваше кольцо открытых ключей, можно либо импортировать их непосредственно из файла или про¬ извести поиск на серверах открытых ключей. Выбирая Search в меню Servers или щелкая мышью на иконке с изображением увеличительного стекла и вводя часть имени или некоторый идентифицирующий текст, можно уви¬ деть, какие ключи на серверах открытых ключей соответствуют вашему за¬ просу. Отбуксируйте выбранные элементы из результатов на основной эк¬ ран PGPKey, и открытый ключ этого человека будет доступен для использо¬ вания в сообщениях PGP. Можно также просмотреть специфические свой¬ ства любого ключа, включая подписавших этот ключ, размер ключа (в би¬ тах) и метод (обычно D H , что означает Diffie-Hellman). Наконец, можно импортировать или экспортировать ваши кольца ключей, если вы меняете компьютеры или должны восстановить данные с резервной копии. Encrypt Ф у н к ц и я Encrypt устроена просто. Сначала появляется диалоговое о к н о , которое позволяет выбрать файл для з а ш и ф р о в а н и я . Когда файл выбран, P G P попросит выбрать открытый ключ адресата из вашего коль¬ ца ключей. Если нужного ключа у вас еще нет, п о и щ и т е его на серверах открытых ключей, к а к описано выше, и добавьте его к своему списку. Вы¬ берите открытый ключ вашего адресата и отбуксируйте ключ из поля на¬ верху в с п и с о к адресатов. Флажки внизу слева позволяют задать несколько важных о п ц и й (см. рис. 9.5). Одна из наиболее важных — Wipe Original (Стереть оригинал). Установите этот флажок, если вы шифруете файл для хранения на жест¬ ком диске. В противном случае P G P просто создаст н о в ы й зашифрован¬ н ы й файл и оставит оригинал в открытом для просмотра текстовом виде в том ж е каталоге. П о м н и т е , однако, что если вы выберете эту о п ц и ю и потеряете свои ключи, то файл пропадет безвозвратно. Другим важным параметром является Conventional Encryption (Обыч¬ ное шифрование). Установка этого флажка отменяет шифрование с откры¬ тым ключом. Вместо этого будет производиться стандартное шифрование с разделяемым секретом, и вам нужно будет выбрать парольную фразу, что¬ бы зашифровать данные. Эту парольную фразу затем нужно безопасным образом передать адресату. Подобный метод ликвидирует основное досто¬ инство PGP, но он может быть необходим, если у вас нет открытого ключа адресата. Если у адресата нет программного обеспечения PGP, выберите опцию Self-Decrypting Archive (Саморасшифровывающийся архив). П р и этом будет создан файл, который сам расшифрует себя, когда получатель 364
Глава 9
Криптографические средства
Рис. 9.5. Экран о п ц и й ш и ф р о в а н и я P G P щелкнет на нем мышью. Конечно, получатель все равно должен знать па¬ рольную фразу, которая применялась при создании файла. Sign Ф у н к ц и я Sign дает возможность подписать файл с п о м о щ ь ю секрет¬ ного ключа, позволяя впоследствии проверить, что с момента подписа¬ н и я файл не изменился. П р и этом применяется х э ш - ф у н к ц и я для преоб¬ разования файла в формат дайджеста, а затем производится ш и ф р о в а н и е с п о м о щ ь ю секретного ключа. Это действие противоположно обычному ш и ф р о в а н и ю открытым ключом. Получатель может взять подпись и по¬ пытаться расшифровать ее с п о м о щ ь ю вашего открытого ключа. Если хэш и совпадут, то м о ж н о утверждать, что с момента подписания содержи¬ мое не изменилось. Д а н н а я ф у н к ц и я полезна, если вы больше озабочены целостностью файла, чем конфиденциальностью и н ф о р м а ц и и . Приме¬ ром может служить д л и н н ы й контракт, который был существенно отреда¬ ктирован. М о ж н о подписать его ц и ф р о в о й подписью и быть уверенным, что после этого никто не сможет его изменить. Подпись м о ж н о также применять для обеспечения так называемой «неотказуемости» — если вы подписали документ, то может быть доказано, что вы это сделали, если только кто- то не заполучил ваш секретный ключ. Это равносильно юри¬ дической силе физической подписи, за исключением того, что подделать цифровую подпись значительно труднее, чем обычную. 365
Курс
Защитные средства с открытыми исходными текстами
Encrypt
and Sign
Эта ф у н к ц и я совмещает ф у н к ц и и Encrypt и Sign, обеспечивая стро¬ гую конфиденциальность, целостность и неотказуемость. Decrypt/Verify Ф у н к ц и я Decrypt/Verify применяется для обращения процесса шиф¬ рования P G P . После выбора файла для р а с ш и ф р о в а н и я будет предложено ввести парольную фразу, чтобы м о ж н о было использовать хранящийся на диске секретный ключ. Если парольная фраза будет введена правильно, вам предложат задать имя нового файла, в который будет п о м е щ е н ре¬ зультат расшифрования. Эту ф у н к ц и ю м о ж н о также применять для про¬ верки подлинности подписи. Wipe Ф у н к ц и я Wipe навсегда стирает ф а й л с жесткого диска. Этот про¬ цесс существенно н а д е ж н е е , ч е м ф у н к ц и я Delete в Windows. П р о б л е м а с Windows и б о л ь ш и н с т в о м других о п е р а ц и о н н ы х систем состоит в т о м , что п р и удалении ф а й л а о н и на с а м о м деле н е удаляют д а н н ы е с жест¬ кого д и с к а , о г р а н и ч и в а я с ь удалением з а п и с и о ф а й л е в и н д е к с е файло¬ вой системы. Д а н н ы е п о - п р е ж н е м у остаются на д и с к о в ы х пластинах. И х м о ж н о просмотреть с п о м о щ ь ю н и з к о у р о в н е в о г о д и с к о в о г о редак¬ тора или восстановить с п о м о щ ь ю легко доступных утилит, таких к а к N o r t o n или D D ( D D демонстрируется в главе 11). Ф у н к ц и я Wipe на са¬ м о м деле н е с к о л ь к о раз перезаписывает д а н н ы е на д и с к е с л у ч а й н ы м и е д и н и ц а м и и н у л я м и . П о у м о л ч а н и ю это делается три раза, что в п о л н е достаточно для б о л ь ш и н с т в а случаев. П р и ж е л а н и и м о ж н о увеличить это ч и с л о по к р а й н е й мере до десяти, если вы стираете сверхсекретные д а н н ы е , поскольку с п е ц и а л и с т ы по в о с с т а н о в л е н и ю д а н н ы х в действи¬ тельности могут восстановить д а н н ы е даже после н е с к о л ь к и х переза¬ п и с е й . М о ж н о увеличить ч и с л о проходов до 28, и в этом случае даже Агентство н а ц и о н а л ь н о й безопасности будет бессильно. О т м е т и м , что п р и с т и р а н и и больших ф а й л о в с б о л ь ш и м ч и с л о м проходов может по¬ требоваться д о в о л ь н о м н о г о в р е м е н и . Это в ы с о к о и н т е н с и в н а я диско¬ вая о п е р а ц и я . Freespace
Wipe
Freespace Wipe выполняет ту ж е ф у н к ц и ю , что и Wipe, но для свобод¬ ного дискового пространства. Время от времени протирать свободные 366
Глава 9
Криптографические средства
Рис. 9.6. Диалоговое окно о п ц и й P G P блоки необходимо, так как старые файлы, которые вы удаляли, но не сти рали, все еще могут существовать. Кроме того, программы постоянно со здают временные файлы, которые могут содержать к о п и и данных ограни ченного доступа. О н и удаляются операционной системой, когда програм ма завершается, н о все еще существуют на диске. Freespace Wipe санирует весь ваш жесткий диск. М о ж н о запланировать автоматические регуляр¬ ные санации жесткого диска. Опции
PGP
В P G P имеется ряд глобальных опций. В основном м е н ю P G P K e y s в разделе File выберите Edit, чтобы вывести диалоговое о к н о о п ц и й P G P (см. рис. 9.6). В табл. 9.1 даны описания имеющихся вкладок. Табл. 9.1. Вкладки диалогового окна о п ц и й P G P Вкладка General
Описание Здесь м о ж н о задать запоминание вашей парольной фразы на определенное время после ее использования, чтобы не 367
Курс
Files Email
HotKeys
Servers
CA Advanced
Защитные средства с открытыми исходными текстами
нужно было вводить ее всякий раз при р а с ш и ф р о в а н и и файла или подписывании документа. Подразумеваемый срок — две минуты. М о ж н о также увеличить подразумевае¬ мое число проходов ф у н к ц и и Wipe и заставить Windows ав¬ томатически затирать файл после его удаления. Применяй¬ те эту о п ц и ю с осторожностью, если хотите оставить воз¬ можность восстановления удаленных файлов. Здесь м о ж н о изменить подразумеваемый каталог ваших ко¬ лец открытых и секретных ключей. На этой вкладке м о ж н о задать различные о п ц и и для обра¬ ботки з а ш и ф р о в а н н ы х электронных сообщений, включаяя автоматическое р а с ш и ф р о в а н и е сообщений P G P , подписы¬ вание всех исходящих сообщений и т.д. Здесь м о ж н о задать быстрый доступ к о с н о в н ы м ф у н к ц и я м P G P с п о м о щ ь ю горячих клавиш. Некоторые клавиши пре¬ допределены. Н а п р и м е р , м о ж н о очистить к э ш парольной фразы, нажав F12. Здесь задаются серверы для поиска открытых ключей. И м е ются два основных сервера, по одному в С Ш А и в Европе, но м о ж н о добавить и другие. Если вы хотите применять ц и ф р о в ы е сертификаты, то здесь задаются удостоверяющий центр и различные настройки. Эта вкладка содержит опции процесса ш и ф р о в а н и я . Мож¬ но выбрать алгоритм для симметричной части процесса (по умолчанию применяется A E S ) . М о ж н о также задать о п ц и и резервного копирования колец ключей. П о умолчанию при закрытии программы всегда создается файл с резервной ко¬ пией каждого кольца. Однако необходимо периодически перемещать ф а й л ы резервных к о п и й на безопасные носи¬ тели, прожигая их на компакт-диске или перенося на флоппи-диск. Это защитит ваши ключи в случае краха же¬ сткого диска или кражи компьютера.
Приведенных сведений достаточно для запуска P G P и защиты ва¬ ших файлов и коммуникаций. Повторим, что это л и ш ь краткий обзор продукта P G P . Более подробно с н и м м о ж н о ознакомиться посредством о б ш и р н о й документации. Если потребуются дополнительные ф у н к ц и и или коммерческое применение, м о ж н о рассмотреть возможность приоб¬ ретения коммерческой версии. Если вы не согласны со всеми ограничениями условно свободной л и ц е н з и и P G P , но хотите применять PGP, имеется другая возможность — G N U - в е р с и я PGP, описанная ниже. 368
Глава 9
Криптографические средства
GNU Privacy Guard (GnuPG): Реализация PGP на условиях GPL GNU Privacy Guard (GnuPG) Автор/основной контакт: Matthew Skala, Michel Roth, Niklas Hernaeus, Remi Guyomarch, Werner Koch и другие Web-сайт: www.gnupg.org Платформы: Linux, Windows, BSD и Mac Лицензия: GPL Рассмотренная версия: 1.2.4 Другие ресурсы: www.pgpi.com Списки почтовой рассылки: Группа поддержки PGP Freeware Рабочая группа IETF OpenPGP Пользовательский список рассылки PGP Рабочая группа PGP/MIME Список рассылки разработчиков PGPi Список рассылки переводчиков PGPi Список рассылки разработчиков Pgplib Все эти списки доступны для подписки по адресу: www.pgpi.org/links/mailinglists/en/. Телеконференции: Alt.security.pgp Comp.security.pgp.announce Comp.security.pgp.discuss Comp.security.pgp.resources Comp.security.pgp.tech
G N U Privacy Guard ( G n u P G ) основывается на стандарте O p e n P G P и является ответом на коммерческую и ограниченную условно свободную л и ц е н з и о н н ы е версии PGP. В названии программы, как и в названиях большинства программ от G N U , заключена игра слов (инверсия P G P ) . Важное преимущество версии G N U — возможность п р и м е н е н и я для лю¬ бого приложения, личного или коммерческого. К р о м е того, поскольку используется лицензия G P L , программу м о ж н о расширять или встраи¬ вать в любые приложения. Недостатком же является то, что это средство командной строки, поэтому в нем отсутствуют некоторые полезные доба¬ вления, имеющиеся в коммерческой версии PGP. Если цена составляет проблему, и вы не боитесь изучать работу команд, то G n u P G — для вас. Однако, одно предостережение: G n u P G , вероятно, не лучший выбор для нетехнических пользователей, если только вы не добавите собственный интерфейс или удобные для пользователей процедуры (некоторые из них доступны в Интернет). 369
Курс
Защитные средства с открытыми исходными текстами
Установка GnuPG М н о г и е современные версии Linux и B S D поставляются с предуста¬ новленной системой G n u P G . Это м о ж н о проверить, набрав в командной строке gpg --version. Если появится листинг с и н ф о р м а ц и е й о програм¬ ме, то м о ж н о пропустить д а н н ы й раздел и сразу перейти к п р и м е н е н и ю GnuPG. Проверьте также, содержат л и ваши дистрибутивные диски файл R P M для автоматической установки. Если вы хотите получить самую све жую версию, то на Web-сайте имеются R P M для многих дистрибутивов. Если там есть R P M для вашей О С , загрузите его и просто щелкните на нем м ы ш ь ю , чтобы установить программу. Если R P M отсутствует, то мож¬ но загрузить .tar-файлы с прилагаемого к книге компакт-диска или с о ф и циального Web-сайта и скомпилировать их вручную с п о м о щ ь ю следую¬ щих инструкций: 1. Распакуйте .tar-файлы, затем наберите обычные команды компи¬ ляции: ./configure make make i n s t a l l
Программа создаст структуру каталогов с корнем .gnupg в ва¬ ш е м пользовательском каталоге, где будут храниться ключи и дру¬ гая и н ф о р м а ц и я . 2. (Необязательно) После установки G n u P G наберите make clean, чтобы избавиться от бинарных или временных файлов, созданных в процессе конфигурирования.
Создание ключевых пар После установки программы прежде всего необходимо создать свою пару ключей открытый-секретный. Если у вас уже есть ключ и вы хотите импортировать его в G n u P G , воспользуйтесь командой: gpg --import
маршрутное_имя_файла_ключей
Следует выполнить эту инструкцию для вашего кольца открытых ключей и отдельно — для кольца секретных ключей. Обычные форматы для колец ключей — pubring.pkr и secring.skr. Если ключей у вас е щ е нет, следуйте приведенной н и ж е процедуре. 1. Наберите gpg --gen-key. Будет запущен процесс, который запро¬ сит у вас некоторые данные. 370
Глава 9
Криптографические средства
2. G n u P G попросит задать длину ключей в битах (по умолчанию — 1024, что обычно достаточно для надежной криптографии с от крытым ключом). М о ж н о увеличить длину до 2048 для усиления безопасности. 3. К а к правило, вам н е нужно, чтобы ваши ключи имели ограничен¬ н ы й срок годности, н о в специальном случае, когда ключи будут применяться ограниченное время, м о ж н о указать, когда истечет срок их действия. 4. G n u P G запросит у вас и м я и адрес электронной почты. Эти дан¬ н ы е важны, поскольку о н и определяют индексацию открытого ключа на серверах открытых ключей. 5. Н а к о н е ц , G n u P G предложит ввести парольную фразу. Она долж¬ на быть достаточно д л и н н о й и сложной, н о в то ж е время легко за¬ поминаемой. (См. описание парольной фразы в ы ш е в этой главе, в разделе о P G P ) . После двукратного ввода парольной ф р а з ы G n u P G создаст ключи. Это может занять некоторое время. В ходе этого процесса следует немного подвигать м ы ш ь ю . G n u P G ис¬ пользует случайные сигналы клавиатуры и м ы ш и для повышенияя энтропии своего датчика случайных чисел. Примечание: Е щ е раз — к а к и п р и работе с P G P или л ю б ы м другим средством сильной криптографии, сохраняйте резервные к о п и и пар ключей в безопасном месте и н е теряйте их, иначе ваши з а ш и ф р о в а н н ы е д а н н ы е будут безвозвратно потеряны.
Создание сертификата отзыва После создания ключей м о ж н о создать сертификат отзыва. О н при¬ меняется, когда вы теряете ключи, или если кто-то скомпрометирует ваш секретный ключ. Тогда м о ж н о воспользоваться этим сертификатом для отзыва ключа с серверов открытых ключей. Тем н е менее, вы сможете рас¬ шифровывать полученные ранее сообщения, з а ш и ф р о в а н н ы е с п о м о щ ь ю старого открытого ключа (если вы н е потеряли старый секретный), н о ни¬ кто больше н е сможет зашифровывать сообщения с п о м о щ ь ю ставших негодными открытых ключей. Чтобы создать сертификат отзыва, введите: gpg --output revoke.asc --gen-revoke
пользователь
где пользователь заменяется его уникальной фразой в вашем кольце секретных ключей. Создается файл revoke.asc. Необходимо переместить его с жесткого диска в какое-то безопасное место. Нежелательно остав¬ лять его рядом с секретным ключом, поскольку если кто-то получит дос¬ туп к секретному ключу, то сможет помешать и его отзыву. 371
Курс
Защитные средства с открытыми исходными текстами
Публикация открытого ключа Желательно разместить ваш открытый ключ на сервере ключей, что¬ бы его м о ж н о было легко найти и послать вам сообщение. Ч т о б ы сделать это, наберите команду: gpg --keyserver имя_сервера_открытых_ключей --send-key пользователь
где пользователь задается адресом электронной почты, с которым ассоци¬ ируется публикуемый ключ. М о ж н о использовать любой сервер откры¬ тых ключей P G P , так к а к все о н и регулярно синхронизируются. Выбери¬ те любой и з них, и ваш открытый ключ будет распространен на все ос¬ тальные. Имеется много серверов открытых ключей, например: • certserver.pgp.com • pgp.mit.edu • usa.keyserver.net
Шифрование файлов с помощью GnuPG Для з а ш и ф р о в а н и я файла служит команда --encrypt, и м е ю щ а я сле¬ дующий формат: gpg --output зашифрованный_файл --encrypt - - r e c i p i e n t адрес шифруемый_файл
Здесь адрес — это электронный адрес пользователя, которому вы хо¬ тите отправить з а ш и ф р о в а н н ы й файл. Отметим, что в ы д о л ж н ы иметь от¬ крытый ключ адресата в своем кольце ключей. G n u P G можно применять и для шифрования файлов с помощью простой с и м м е т р и ч н о й к р и п т о г р а ф и и , ч т о удобно д л я з а щ и т ы локаль¬ н ы х ф а й л о в и л и д л я отправки с о о б щ е н и я к о м у - т о , ч е й о т к р ы т ы й к л ю ч у вас отсутствует. Ч т о б ы сделать э т о , воспользуйтесь к о м а н д о й --sym¬ metric: gpg --output зашифрованный_файл --symmetric
шифруемый_файл
Расшифрование файлов Для р а с ш и ф р о в а н и я полученных файлов п р и п о м о щ и G n u P G , вос¬ пользуйтесь следующей командой: gpg --output расшифрованный_файл --decrypt зашифрованный_файл 372
Глава 9
Криптографические средства
Чтобы расшифровать файл, необходимо иметь в своем кольце сек¬ ретных ключей ключ пользователя, для которого файл был зашифрован. У вас запросят парольную фразу, и если вы введете ее правильно, G n u P G создаст р а с ш и ф р о в а н н ы й файл.
Подписывание файлов К а к упоминалось выше, имеется еще одно п р и м е н е н и е G n u P G и P G P — подписывание документов для контроля их целостности. Это м о ж н о сделать с п о м о щ ь ю следующей команды: gpg --output подписанный_файл - - s i g n
подписываемый_файл
Обычно G n u P G автоматически проверяет подпись при получении файла. Верификация файла по инициативе пользователя осуществляетсяя с п о м о щ ь ю команды gpg - - v e r i f y
подписанный_файл
М о ж н о создавать подписи в текстовом виде и отдельно от файла, ес¬ ли вы хотите, чтобы пользователи без G n u P G могли получить к н и м дос¬ туп. Для этого имеются две команды. Команда gpg - - c l e a r s i g n
подписываемый_файл
создает текстовое дополнение к подписываемому файлу. Если вы не хоти¬ те изменять этот файл, м о ж н о создать отдельный файл подписи с помо¬ щ ь ю команды gpg --output файл_подписи --detache-sign подписываемый_файл
Модель сети доверия PGP/GnuPG К а к упоминалось ранее, вместо иерархической системы доверия, с ц и ф р о в ы м и сертификатами и удостоверяющим их центром, в P G P и G n u P G используется модель сети доверия. Подписывая ключи людей, которых вы знаете, вы можете проверить, что их ключ заслуживает дове¬ рия. А если о н и подписывают ключи других людей, которых вы не знаете непосредственно, вы создаете цепочку доверия. Такая модель основана на идее «друг моего друга — мой друг». Модель, конечно, несовершенна; ктонибудь в дальней части цепочки доверия может оказаться плохим парнем. Н о основной п р и н ц и п состоит в естественном росте цепочки без к а к о й 373
Защитные средства с открытыми исходными текстами
Курс
Рис. 9.7. Модель сети доверия либо инфраструктуры, и поэтому ее нельзя легко разрушить или раздуть. Вы создаете сеть доверия, подписывая ключи каких-то людей и предоста вляя и м возможность подписывать ваши. В примере на рис. 9.7 Тони м о жет неявно доверять ключам Д ж е й н , Джо, Д ж о н а и Евы, хотя он не знает их непосредственно.
Подписывание ключей и управление доверием к ключам В G n u P G вы подписываете ключи и управляете доверием к н и м , пе¬ реходя в режим редактирования ключей с п о м о щ ь ю команды gpg
--edit-key
доверенный_адрес
Здесь доверенный адрес ассоциируется с подписываемым или упра¬ вляемым ключом, входящим в ваше открытое кольцо. Команда выдает основную и н ф о р м а ц и ю о ключе. В этом режиме наберите fpr, чтобы рас¬ печатать и д е н т и ф и к а ц и о н н у ю метку данного ключа. К а к и отпечатки пальцев для людей, и д е н т и ф и к а ц и о н н а я метка служит специфической ф о р м о й идентификатора ключа. Убедитесь, что это ключ нужного челове¬ ка, проверяя его либо по телефону, либо к а к и м - то другим способом. 374
Глава 9
Криптографические средства
М о ж н о также проверить, кто еще подписал этот ключ, вводя check. Будет напечатан список лиц, подписавших этот ключ, что может помочь вам определить его законность. Когда вы уверены, что это ключ нужного человека, наберите sign. Дан¬ ная команда подписывает ключ этого человека, так что все смогут узнать, что вы ему доверяете. В этом режиме можно также отредактировать уровни доверия различных ключей вашего кольца. Войдите в этот режим из режи ма редактирования ключа, набирая t rust. Появится следующее меню: 1 = Don't know ( Н е знаю) 2 = I do N O T trust (Я Н Е доверяю) 3 = I trust marginally (Я доверяю косвенно) 4 = I trust fully (Я доверяю полностью) s = Please show me more information ( М н е требуется дополнительная информация) m = Back to the main menu (Вернуться в основное меню) Выберите один из этих элементов, и ключ будет помечен д о л ж н ы м образом. Это еще один способ сообщить о том, какие пользователи вызы¬ вают у вас наибольшее доверие, а каких вы едва знаете. Вышеизложенное может служить хорошим введением в м и р P G P и G n u P G . Данная глава не претендует на полноту освещения этой темы, так что следует обратиться к соответствующим Web-сайтам и другим упомяну¬ тым источникам, чтобы лучше изучить эти революционные программы. P G P и G n u P G отлично работают для ш и ф р о в а н и я файлов. Однако как быть, если вы желаете шифровать все к о м м у н и к а ц и и между двумяя точками? Программа P G P в действительности не годится на эту роль (не¬ смотря на недавнее включение в коммерческую версию клиента вирту¬ альных з а щ и щ е н н ы х сетей). М ы приступаем к обсуждению средства с от¬ к р ы т ы м и исходными текстами для создания таких постоянных соедине¬ н и й , где все шифруется на лету. OpenSSH: Свободный инструментарий криптографической защиты сеансов OpenSSH (сервер) Автор/основной контакт: Tatu Ylonen (первоначальный автор) и другие Web-сайт: www.openssh.org Платформы: BSD, Linux и большинство UNIX Лицензия: BSD Рассмотренная версия: 2.1.1p4 Списки почтовой рассылки: Список объявлений Список только для чтения, который содержит общие объявления о выпу ске новых версий, исправлении ошибок и т.д. Подписка по адресу: www.mindrot.org/mailman/listinfo/openssh-unix-announce. 375
Курс
Защитные средства с открытыми исходными текстами
Общий список пользователей SSH Вопросы и общая дискуссия о применении SSH. Подпишитесь, послав пустое сообщение по адресу
[email protected]. Чтобы отказаться от подписки, пошлите пустое сообщение по адресу:
[email protected]. Имеется также архив данного списка по адресу http://marc.theaimsgroup.com/?!=secure-shell&r=1&w=2. Список разработчиков Обсуждение разработки SSH и программирования. Подписка по адресу www.mindrot.org/mailman/listinfo/openssh-unix-dev.
Большинство файловых и к о м м у н и к а ц и о н н ы х утилит, до сих пор применяемых в Интернет, восходят к тем временам, когда Интернет был небольшим и безопасным. Одним и з наиболее употребительных средств, п о м и м о Web-навигатора, является Telnet. Эта утилита служит для удален¬ ного терминального доступа к о всевозможным серверам, маршрутизато¬ рам, межсетевым экранам и другим устройствам. Б о л ь ш и м минусом Telnet является то, что утилита посылает свои д а н н ы е в открытую, поэто¬ му, если вы применяете Telnet для входа в системы через Интернет, то к т о нибудь может перехватить ваш трафик, включая ваши пароли. Вы вольны считать, что п о и с к вашего пароля в потоке данных подобен поиску игол¬ ки в стоге сена, н о хакеры написали программы, в ы п о л н я ю щ и е с я поверх сетевых анализаторов, для поиска обычных входных атрибутов и записи результатов. Это справедливо и для других средств удаленного доступа, таких к а к FTP, T F T P и RCP. S S H (Secure Shell, з а щ и щ е н н ы й к о м а н д н ы й интерпретатор) решает эту проблему, п р и м е н я я к а к асимметричную, так и симметричную крип¬ тографию для ш и ф р о в а н и я сеансов, начиная с первого нажатия клавиши. В этом случае злоумышленник, прослушивающий ваше соединение, по¬ лучит л и ш ь случайный шум. S S H н е только обеспечивает конфиденци¬ альность ваших данных с п о м о щ ь ю ш и ф р о в а н и я , н о предоставляет также сильную аутентификацию, препятствующую подделкам и другим маска¬ радным атакам. Это достигается с п о м о щ ь ю цифровых сертификатов дляя аутентификации пользователей. Н е путайте S S H с S S L — стандартом ш и ф р о в а н и я Web. Хотя о н и делают одно и то ж е дело, S S H работает с лю¬ бым протоколом, в то время к а к S S L предназначен прежде всего для Webкоммуникаций. S S H включает также S C P — безопасный эквивалент RCP, средства удаленного к о п и р о в а н и я , и S F T P — безопасный аналог FTP. S S H м о ж н о применять и для туннелирования других протоколов, таких к а к H T T P и SMTP. Некоторые приложения рассмотрены в к о н ц е данного раздела. 376
Глава 9
Криптографические средства
Использование этого пакета программ вместо старых аналогов гаранти¬ рует, что ваши коммуникации с серверами н е будут раскрыты. Отказаться от п р и м е н е н и я в вашей сети Telnet и F T P может быть нелегко, н о ч е м больше вы в этом преуспеете, тем в большей безопасности окажетесь. Чтобы использовать S S H , необходимо иметь сервер S S H , выполня¬ ю щ и й с я на м а ш и н е , к которой вы хотите подключиться, и клиент S S H на м а ш и н е , с которой вы подключаетесь. Обычные клиенты F T P и Telnet н е будут соединяться с сервером S S H . Клиент встроен в большинство совре¬ м е н н ы х операционных систем Linux, хотя, быть может, требуется выбрать эту о п ц и ю п р и установке О С . (См. в главе 2 дополнительную и н ф о р м а ц и ю о клиенте SSH). Сервер S S H обычно является необязательным, и его следует выбрать п р и установке О С . Чтобы проверить, установлен л и о н , наберите ps -ax | grep sshd
и посмотрите, выполняется ли процесс sshd. Если его нет, то необхо¬ д и м о установить сервер, чтобы обеспечить соединение с вашей м а ш и н о й через S S H .
Установка и запуск сервера OpenSSH 1. Первым делом загрузите пакет с Web-сайта или с прилагаемого к книге компакт-диска и распакуйте его. 2. Выполните обычные команды к о м п и л я ц и и в Linux: ./configure make make i n s t a l l
Произойдет сборка и установка программ S S H . Б и н а р н ы е ф а й л ы и ассоциированные библиотеки будут размещены в катало¬ ге /usr/local/bin (в системе Mandrake Linux, в других дистрибутивах может быть и н а ч е ) . С и с т е м н ы е д е м о н ы п о м е щ а ю т с я в /usr/local/sbin, а к о н ф и г у р а ц и о н н ы е ф а й л ы — в /usr/local/etc/ssh или /etc/ssh, в зависимости от установки. М о ж н о выбрать альтернативный маршрут установки, ис¬ пользуя аргумент configure --prefix=маршрут
где маршрут нужно заменить желательным альтернативным местом. 3. После установки OpenSSH проверьте к о н ф и г у р а ц и о н н ы й файл, находящийся в /etc/ssh, и убедитесь, что о н соответствует параме377
Курс
Защитные средства с открытыми исходными текстами
трам вашей системы. К о н ф и г у р а ц и о н н ы й файл для серверной ча¬ сти называется sshdconfig. Д л я внесения изменений м о ж н о вос пользоваться текстовым редактором, таким к а к vi или E M A C S . Необходимо проверить следующее: • Port: Порт, который S S H использует для входящих соедине¬ н и й . Подразумеваемый номер — 22. Если изменить это значе¬ ние, то люди, пытающиеся с вами соединиться, д о л ж н ы будут вручную изменить номер порта у своих клиентов S S H . • Protocols: Набор протоколов, которые S S H должен прини¬ мать. П о умолчанию принимаются оба типа соединений SSH1 и SSH2. Д л я п о в ы ш е н и я безопасности м о ж н о разрешить при¬ ем только SSH2, н о тогда некоторые старые клиенты н е смо¬ гут соединяться. • Hostkey: Задает расположение ключей, применяемых при про¬ ведении основанной на ключах аутентификации пользователяя во время соединения с другой машиной. Это н е то ж е самое, что ключи сервера, которые генерируются при установке. 4. Прежде чем пользователь сможет работать с S S H , он должен сге¬ нерировать ключи. Это делается с п о м о щ ь ю следующей команды: ssh-keygen - t r s a
Вы получите п р и м е р н о такой ответ. Generating p u b l i c / p r i v a t e r s a key p a i r . (Генерация пары RSAключей открытый/секретный) E n t e r f i l e i n which t o save the key (/home/me/.ssh/id_rsa): (Введите файл для сохранения ключа:) Created d i r e c t o r y '/home/me/.ssh'. Создан каталог) E n t e r passphrase (empty f o r no passphrase): ( Введите парольную фразу (пусто без фразы)) Your i d e n t i f i c a t i o n has been saved i n /home/me/.ssh/id_rsa. (Идентификационные данные сохранены в) Your p u b l i c key has been saved i n /home/me/.ssh/id_rsa.pub. (Открытый ключ сохранен в) The key f i n g e r p r i n t i s :f6:41:99:d8:a5:d1:fb:e7:93:86:7e:e6:4f:01:d9:5b (Идентификаци¬ онна метка ключа)
Эта ж е команда, н о с дополнительными о п ц и я м и (задающими, на¬ пример, неинтерактивный режим, длину ключей и и м я файла для сохра¬ н е н и я результатов), применяется и для генерации ключей хоста, необхо¬ димых серверу ssh. И д е н т и ф и к а ц и о н н а я метка служит уникальным иден¬ тификатором ключей. 378
Глава 9
Криптографические средства
5. Теперь м о ж н о запустить сервер S S H из командной строки, набрав sshd &. Эта команда в ф о н о в о м режиме запускает sshd — сервер¬ н ы й демон, постоянно слушающий п о п ы т к и подключений. Если вы хотите, чтобы sshd запускался автоматически при загрузке сис¬ темы (что предпочтительно), поместите эту строку в к о н ц е файла rc.local, находящегося в каталоге /etc/rc.d/ (в Mandrake Linux, или в соответствующем стартовом файле для вашего дистрибутива). П о м н и т е , чтобы соединиться с вашим сервером через S S H , необхо¬ д и м о иметь на клиентской стороне совместимую версию S S H . Инструк¬ ц и и п о установке и п р и м е н е н и ю клиента S S H м о ж н о найти в главе 2.
Переправка портов посредством OpenSSH Хотя S S H п е р в о н а ч а л ь н о п р е д н а з н а ч а л с я д л я в з а и м о д е й с т в и я н а у р о в н е к о м а н д н о й с т р о к и , п о д о б н о Telnet, его м о ж н о п р и м е н я т ь т а к ж е д л я с о з д а н и я безопасного т у н н е л я между двумя м а ш и н а м и д л я произ¬ в о л ь н о г о п р и л о ж е н и я . М о ж н о создать б е з о п а с н о е с о е д и н е н и е между двумя с е р в е р а м и с п о м о щ ь ю в с т р о е н н о й в S S H в о з м о ж н о с т и пере¬ п р а в к и порта. Ч т о б ы это сработало, S S H д о л ж е н в ы п о л н я т ь с я н а обо¬ их к о н ц а х с о е д и н е н и я . С о е д и н е н и е м о ж н о о р г а н и з о в а т ь д л я любого сервиса с л ю б ы м п о р т о м , в ы п о л н и в н а к л и е н т с к о й с т о р о н е следую¬ щую инструкцию: ssh -L локальный_порт:удаленный_хост:удаленный_порт -N удаленный _хост
где надо заменить: • локальныйпорт — случайно в ы б р а н н ы м большим номером порта для создания нового криптографически з а щ и щ е н н о г о соединенияя • удаленныйхост — IP-адресом или именем серверного хоста на дру¬ гой стороне соединенияя • удаленный_порт — портом сервиса, который в ы желаете туннелировать на удаленную сторону О п ц и я - L предписывает S S H слушать локальный порт на локальном хосте и переправлять любые соединения на удаленный порт удаленного хоста. О п ц и я -N освобождает S S H от п о п ы т о к входа; требуется просто поддерживать соединение открытым для переправляемого трафика. П р и п р и м е н е н и и данного метода вам н е нужно входить в удаленную систему для установления криптографически з а щ и щ е н н о г о соединения с удаленным сервером. Вам понадобятся, если о н и требуются, соответству¬ ю щ и е удостоверения для в ы п о л н е н и я желаемых действий через перепра¬ вляемый порт. 379
Курс
Защитные средства с открытыми исходными текстами
Н и ж е представлены два примера, которые показывают, к а к это ра¬ ботает. Пример 1: Создание криптографически защищенного соеди нения для электронной почты с помощью OpenSSH Обычно сообщения электронной почты пересылаются в открытом виде через порт 25. Предположим, вы желаете зашифровать это соедине¬ ние. Один из способов добиться этого — создать п р и п о м о щ и S S H крип¬ тографически з а щ и щ е н н ы й туннель для любого трафика, предназначен¬ ного для порта 25 почтового сервера. Используя вышеприведенный фор¬ мат и считая, что почтовый сервер имеет IP-адрес 192.168.1.2, получим следующую команду: ssh -L 5000:192.168.1.2:25 -N 192.168.1.2
Эта команда задает порт 5000 на локальной машине для туннелирования почты (порт 25) на удаленный почтовый сервер. Поэтому, если вы настроите свой почтовый клиент для соединения с localhost:5000 вместо подразумевае¬ мого почтового порта, S S H будет автоматически шифровать и переправлять трафик на порт 25 вашего почтового сервера. Теперь вы можете получать и по¬ сылать почту на эту машину, не опасаясь, что ее кто-то перехватит. Пример
2: Создание
безопасного
Web-соединения
Допустим, вы желаете соединиться со своим Web-сервером для вы¬ полнения з а щ и щ е н н о й транзакции. Если сервер н е настроен для под¬ держки S S L , вы все равно сможете при п о м о щ и S S H организовать безо¬ пасное туннелирование своего Web-трафика на сервер. Если ваш Webсервер расположен по адресу 192.168.1.3, то командная строка будет вы¬ глядеть примерно так: ssh -L 5000:192.168.1.3:80 -N 192.168.1.3
Теперь вы можете соединиться, вводя l o c a l h o s t : 5000 в Web-навигаторе, и п о безопасному туннелю ваш т р а ф и к будет переправляться в порт 80 удаленной м а ш и н ы . М о ж н о переправлять несколько портов на одной м а ш и н е . Н а п р и м е р , команда: ssh -L 5000:192.168.1.2:25 -L 5001:192.168.1.2:80 -N 192.168.1.2
будет переправлять весь т р а ф и к с локального порта 5000 на почтовый порт и с порта 5001 — на порт 80 удаленной м а ш и н ы с адресом 192.168.1.2. К о н е ч н о , предполагается, что в ы имеете почтовый счет на удаленном сервере. 380
Глава 9
Криптографические средства
М о ж н о видеть, что S S H отлично подходит для создания безопасных соединений между двумя м а ш и н а м и практически для любого протокола. Однако, что если вы хотите шифровать весь трафик, независимо от порта или сервиса? В этом случае имеет смысл создать виртуальную защищен¬ ную сеть.
Виртуальные защищенные сети Обычно организации создают з а щ и щ е н н ы е сети, арендуя у телефон¬ ных к о м п а н и й дорогие каналы «точка-точка». Обходится это в тысячи долларов в месяц, а соединенными оказываются л и ш ь две производст¬ в е н н ы е площадки. Со временем организации обрастают паутиной доро¬ гостоящих к о м м у н и к а ц и о н н ы х л и н и й , соединяющих их производствен¬ н ы е площадки. С введением Интернет в производственную эксплуата¬ ц и ю многие сразу оценили его потенциал для межфилиальных коммуни¬ каций. К сожалению, открытая природа Интернет создавала серьезную угрозу безопасности. Н а выручку п р и ш л а криптография. С ее п о м о щ ь ю организация может создать виртуальную защищенную сеть и использо¬ вать недорогой Интернет для корпоративных к о м м у н и к а ц и й , безопасно и без риска. Д а н н ы е инкапсулируются в криптографически з а щ и щ е н н ы й «туннель», поэтому злоумышленник при перехвате передаваемых пакетов не сможет добраться до полезной и н ф о р м а ц и и . Имеется много производителей специализированного оборудованияя для создания виртуальных з а щ и щ е н н ы х сетей, однако существует и реше¬ н и е с открытыми исходными текстами, позволяющее создать свою защи¬ щ е н н у ю сеть с п о м о щ ь ю л и ш ь пары дополнительных П К . FreeS/WAN: Программное обеспечение с открытыми исходными текстами для создания виртуальных защищенных сетей на основе спецификаций IPsec FreeS/WAN Автор/основной контакт: John Gilmore Web-сайт: www.freeswan.org/ Платформы: Большинство UNIX Лицензия: GPL Рассмотренная версия: 2.02 Списки почтовой рассылки: Announce Только чтение, для основных объявлений. Briefs Краткая сводка активности других списков. Users Основной список для вопросов пользователей и обсуждения. Users-moderated Модерируемая версия предыдущего списка с меньшим трафиком. 381
Курс
Защитные средства с открытыми исходными текстами
Design Обсуждение только среди разработчиков. Distros Форум по поддержке Linux-дистрибутивов. Bugs Для сообщений обо всех ошибках, найденных в FreeS/WAN. Инструкции по подписке на любой из перечисленных списков рассылки можно найти по адресу www.freeswan.org/mail.html. Старые сообщения архивированы по адресу: www.sandelman.ottawa.33on.ca/linux-ipsec/.
Проект F r e e S / W A N спонсирует и возглавляет Д ж о н Гилмор — леген¬ дарная фигура в кругах программистов и борцов за свободу в сети, один из о с н о в а т е л е й Ф о н д а э л е к т р о н н о й с в о б о д ы (Electronic Freedom Foundation — E F F ) , много лет защищавшего права на свободную сильную криптографию. Участвуя в работе нескольких и н н о в а ц и о н н ы х к о м п а н и й Кремниевой Д о л и н ы , в основном в Sun Microsystems, Гилмор составил состояние и теперь посвящает свое время различным проектам, многие из которых связаны с открытым П О . Проект F r e e S / W A N зародился к а к попытка дать возможность шиф¬ ровать свои к о м м у н и к а ц и и любому пользователю. Хотя эта цель е щ е н е достигнута, пользователи Linux могут воспользоваться недорогим спосо¬ бом создания виртуальных з а щ и щ е н н ы х сетей. Д а н н о е средство позволя¬ ет также соединяться с другими устройствами с п о м о щ ь ю IPsec, так к а к IPsec — о б щ е п р и з н а н н ы й стандарт. Некоторые производители н е строго следуют стандарту, поэтому возможны проблемы, если на другом к о н ц е применяется оборудование или программы других производителей. Про¬ верьте на Web-сайте F r e e S / W A N список совместимости с реализациями других производителей. П р и использовании IPsec все шифруется на уровне IP, независимо от приложения и л и порта. И м е н н о это делает IPsec наиболее распростра¬ н е н н о й системой для создания з а щ и щ е н н ы х коммуникаций. F r e e S / W A N может применять и так называемое ш и ф р о в а н и е «по возможности», на¬ зываемое также оппортунистическим. Это означает, что для коммуника¬ ц и й с хостами, поддерживающими IPsec, применяется ш и ф р о в а н и е ; с прочими хостами осуществляются обычные I P - к о м м у н и к а ц и и . Поэтому, если вы выполняете FreeS/WAN на компьютере межсетевого экрана, то вы можете получить автоматическую виртуальную защищенную сеть с сайтами, поддерживающими IPsec, п р и сохранении взаимодействия с другими сайтами, которые н е поддерживают IPsec. Вам потребуются две м а ш и н ы в качестве шлюзов. Д л я работы F r e e S / W A N необходимы к о м п ь ю т е р ы с О С U N I X , предпочтительно Linux. Ч т о б ы организовать соединение IPsec между системами Windows, 382
Глава 9
Криптографические средства
м о ж н о воспользоваться встроенной поддержкой IPsec (в Windows 2000 и более поздних разновидностях); FreeS/WAN для этого н е нужен. Предпо¬ ложительно, поддержка IPsec будет встроена в новое ядро Linux. Н о даже в этом случае F r e e S / W A N по-прежнему найдется п р и м е н е н и е для комму¬ н и к а ц и й со старыми версиями и для использования возможностей оп¬ портунистического ш и ф р о в а н и я . Команда F r e e S / W A N работает также над совместимостью с предполагаемой поддержкой IPsec в ядре Linux.
Установка и запуск FreeS/WAN F r e e S / W A N предустанавливается на многих дистрибутивах Linux. Ч т о б ы проверить наличие F r e e S / W A N , введите ipsec verify в командной строке. Если вы получите ответ «file not found», значит, у вас нет этой с и стемы. Даже если у вас нет R P M , м о ж н о взять исходные тексты с прила( ^ | гаемого к книге компакт-диска или загрузить свежую версию, чтобы вос пользоваться самыми последними криптографическими протоколами и возможностями. Д л я к о м п и л я ц и и F r e e S / W A N и з исходных текстов сле¬ дуйте приведенным н и ж е инструкциям. 1. Загрузите самый свежий пакет с Web-сайта и распакуйте его или скопируйте файл с компакт-диска. 2. Д л я к о м п и л я ц и и и установки пакета выполните следующие ко¬ манды от и м е н и пользователя root из каталога FreeS/WAN: make oldmod make m i n s t a l l
3. После установки пакета F r e e S / W A N необходимо перезагрузить систему, чтобы изменения вступили в силу. 4. Когда система перезагрузится, наберите в командной строке ipsec verify, чтобы проверить установку. Вы должны увидеть сообщение п р и м е р н о такого вида: Checking your system t o see i f IPsec got i n s t a l l e d and s t a r t e d correctly V e r s i o n check and i p s e c on-path [OK] Checking f o r KLIPS support i n k e r n e l [OK] Checking f o r RSA p r i v a t e key ( / e t c / i p s e c . s e c r e t s ) [OK] Checking t h a t p l u t o i s running [OK]
5. Если вы получили такую выдачу, м о ж н о запускать службу IPsec, набрав команду service start
ipsec 383
Курс
Защитные средства с открытыми исходными текстами
Служба IPsec выполняется в ф о н о в о м режиме. Теперь все готово к и н и ц и и р о в а н и ю сеанса IPsec.
Применение FreeS/WAN FreeS/WAN м о ж н о применять несколькими способами. Один и з н и х предназначен для постоянного соединения ш л ю з - ш л ю з и называется од¬ норанговым режимом. Этот режим подходит в случае, когда есть два офи¬ са, ж е л а ю щ и е безопасно общаться через Интернет. Второй метод называ¬ ется режимом мобильного пользователя. Он предназначен для удаленных пользователей, желающих безопасно подключаться к вашей Л В С . Нако¬ нец, м о ж н о оперировать в режиме ш и ф р о в а н и я «по возможности», когда шифруются соединения с хостами или шлюзами, которые на это способ¬ ны. Н и ж е описано, к а к задать каждый и з этих режимов. Одноранговый
режим
В F r e e S / W A N используются имена Right (Правый) и Left (Левый) для обозначения двух м а ш и н , соединяющихся посредством IPsec. Это ни¬ как н е связано с направлением или расположением и просто позволяет ссылаться на различные стороны IPsec-соединения. П о своему выбору назовите одну м а ш и н у Left, а другую — Right. 1. Сначала на м а ш и н е Right наберите следующую команду, чтобы получить ее открытый ключ: i p s e c showhostkey - - r i g h t
F r e e S / W A N выдаст некоторую и н ф о р м а ц и ю об IPsec на этой м а ш и н е , в том числе ее открытый ключ. После знака равенства бу¬ дет следовать д л и н н ы й список случайных на вид ц и ф р . Это и есть ключ. П е р е п и ш и т е это число или воспользуйтесь ф у н к ц и е й копи¬ рования текстового редактора. 2. Теперь получите открытый ключ м а ш и н ы Left, п р и м е н я я ту ж е са¬ мую команду, н о с ключом - - l e f t . 3. П е р е й д и т е в каталог /etc/freeswan и отредактируйте ф а й л ipsec.conf (в некоторых дистрибутивах этот файл может храниться в /etc). В табл. 9.2 перечислены и описаны параметры, которые не¬ обходимо установить в разделе conn net-to-net. 4. Оставьте остальные настройки без изменений и сохраните файл. 5. Скопируйте этот файл на другую машину в то ж е место. 6. П р и м е н и т е описанную в ы ш е команду ipsec v e r i f y , чтобы убе¬ диться, что служба IPsec функционирует на обеих машинах. 384
Глава 9
Криптографические средства
7. Чтобы установить соединение IPsec, наберите: i p s e c auto --up n e t - t o - n e t
Д о л ж н о появиться сообщение «IPsec S A established». Если это не так, проверьте настройки или изучите оперативную справку на предмет возможных п р и ч и н неисправностей. Табл. 9.2. Параметры F r e e S / W A N Параметр Left Leftsubnet Leftid
Leftrsasigkey Leftnexthop
Right Rightsubnet Rightid Rightrsasigkey Rightnexthop Auto
Описание IP-адрес шлюза IPsec Left Диапазон IP-адресов, прикрываемых шлюзом Left И м я хоста в формате полностью квалифицированного доменного и м е н и и со знаком @ перед н и м . Н а п р и м е р , @gateway.example.com. Ключ, скопированный ранее из м а ш и н ы Left. Подразумеваемый ш л ю з для м а ш и н ы Left. Подразуме¬ ваемые настройки д о л ж н ы работать в большинстве слу¬ чаев. То ж е , что Left выше, но для м а ш и н ы Right. То ж е , что Leftsubnet выше, но для м а ш и н ы Right. То ж е , что Leftid выше, но для м а ш и н ы Right. То ж е , что Leftrsasigkey в ы ш е , но для м а ш и н ы Right. То ж е , что Leftnexthop в ы ш е , но для м а ш и н ы Right. Подразумеваемое значение add санкционирует соеди¬ нение, но не инициирует его, когда загружается систе¬ ма. Если вы хотите, чтобы о н о запускалось автоматиче¬ ски, замените значение этого параметра на start.
Если вы применяете межсетевой э к р а н с трансляцией сете¬ вых адресов, то, возможно, придется написать для него специаль¬ ное правило, чтобы о н не транслировал сетевой адрес этой маши¬ ны. М н о г и е новые модели межсетевых экранов автоматически распознают пакеты IPsec и пропускают их без и з м е н е н и я , поэтому этот дополнительный шаг не требуется. 8. Чтобы проверить соединение, попробуйте выполнить эхо-тести¬ рование внутреннего адреса на другой стороне удаленного шлюза. Если будет получен успешный ответ, значит, туннель IPsec постро¬ ен и работает. 9. Если вы на самом деле хотите убедиться, что пакеты шифруются, примените анализатор пакетов, такой как Tcpdump или Ethereal, чтобы попытаться прочитать эти пакеты. Если анализатор иденти385
Курс
Защитные средства с открытыми исходными текстами
фицирует пакеты, к а к пакеты E S P (ESP — один и з подпротоколов IPsec), а полезная нагрузка будет выглядеть как тарабарщина, зна¬ чит все работает к а к надо. 10. Если вы желаете добавить несколько межсетевых соединений, можно просто добавить еще один раздел с новым заголовком, та¬ ким к а к conn office1-to-office2. М о ж н о также переименовать ис¬ ходное соединение net-to-net, н о оно обязательно должно быть одинаковым в конфигурационных файлах ipsec на обеих машинах. Режим мобильного
пользователя
Процедура практически аналогична предыдущей с некоторыми ис¬ ключениями. В этом режиме под м а ш и н о й Right понимается локальнаяя м а ш и н а вашего шлюза IPsec, под Left — м а ш и н а удаленного пользователя. 1. Н а удаленной м а ш и н е отредактируйте тот ж е файл /etc/freeswan/ ipsec.conf с п о м о щ ь ю следующего шаблона, аналогичного конфи¬ гурации net-to-net с небольшими отличиями. conn road left=%defaultroute leftnexthop=%defaultroute
[email protected] leftrsasigkey=0sAQPIPN9uI... right=192.0.2.2 rightsubnet=10.0.0.0/24 r i
[email protected] r ightrsasigkey=0sAQOnwiBPt... auto=add
В удаленной конфигурации % d e f a u l t r o u t e служит для полу¬ чения вашего динамического IP-адреса. 2. Сторона Right должна содержать и н ф о р м а ц и ю для шлюза. Зайди¬ те на м а ш и н у шлюза и примените следующий шаблон для файла ipsec.conf. conn road left=192.0.2.2
[email protected] leftsubnet=192.0.2.1/24 leftrsasigkey=0sAQOnwiBPt... rightnexthop=%defaultroute right=%any
[email protected] 386
Глава 9
Криптографические средства rightrsasigkey=0sAQPIPN9uI... auto=add
Обратите в н и м а н и е , что строки в файле на шлюзе перестав¬ л е н ы , Left обозначает локальную машину, а Right — удаленную, IP-адрес которой задан к а к %any. Это метасимвол, допускающий произвольный IP-адрес, т а к к а к о н станет известен, л и ш ь когда удаленный пользователь попытается установить соединение. 3. Сохраните этот файл. 4. Все готово к соединению. Проверьте, что IPsec выполняется на м а ш и н е шлюза, а затем наберите следующую команду на стороне удаленного пользователя: i p s e c auto - - s t a r t
road
Это, к а к и раньше, должно инициировать соединение. Если вы н е получите сообщение "Ipsec SA e s t a b l i s h e d " , проверьте на¬ стройки и л и обратитесь к разделу устранения неисправностей на Web-сайте FreeS/WAN. 5. Протестируйте и верифицируйте соединение так ж е , к а к для к о н фигурации net-to-net. 6. М о ж н о установить несколько удаленных соединений, к а к в преды¬ дущей процедуре, и переименовать их содержательным образом. Оппортунистическое
шифрование
Если вы хотите воспользоваться д а н н о й возможностью F r e e S / W A N , то ваш шлюзовый компьютер н е должен располагаться позади межсете¬ вого экрана, применяющего трансляцию сетевых адресов (изменение IPадреса в заголовках нарушит режим проверки заголовков IPsec). Жела тельно, чтобы IP-адрес шлюза был статическим. Ш и ф р о в а н и е «по воз¬ можности» бывает п о л н ы м и л и частичным. В п о л н о м режиме вы можете инициировать исходящие соединения IPsec, равно к а к и другие хосты IPsec могут инициировать сеансы оппортунистического ш и ф р о в а н и я с вашим шлюзом. В частичном режиме инициировать соединение всегда должен ваш шлюз. В обоих режимах требуется, чтобы в ы имели доступ к записи D N S для и м е н и хоста, который в ы хотите настроить. Настройка
частичного оппортунистического (только инициирование)
шифрования
1. Сначала отредактируйте запись D N S для и м е н и хоста, которое бу¬ дете применять п р и добавлении элемента для ключа. Запись D N S должна соответствовать идентификатору в файле ipsec.conf. В р а с 387
Курс
Защитные средства с открытыми исходными текстами
смотренном в ы ш е примере с мобильным пользователем это gateway.example.com. Выполните следующую команду на шлюзовой м а ш и н е , чтобы создать эту запись: i p s e c showhostkey - - t x t @имя_хоста-шлюза
Замените имя_хоста-шлюза именем вида gateway.example.com. Будет создан текстовый файл с текстовой записью, содержа¬ щей ключ и отформатированной в соответствии с синтаксисом DNS. 2. Вставьте полученную запись в з о н н ы й файл этого домена к а к пря¬ мую запись TXT. Примечание: Если в ы н е знаете, к а к редактировать записи D N S , воспользуйтесь п о м о щ ь ю администратора D N S . О ш и б к а в записи D N S может легко привести к отключению всего домена. П о м н и т е также, что распространение изменений по Интер¬ нет займет некоторое время. В зависимости от места запроса этот процесс может занять до 48 часов. 3. Убедиться, что сделанные изменения вступили в силу, м о ж н о с по¬ мощью следующего запроса: i p s e c v e r i f y --host gateway.example.com
Д о л ж е н прийти ответ O K для прямой записи. Обратный п о и с к записи работать н е будет, н о это допустимо, пока в ы н е пожелаете применить полное оппортунистическое ш и ф р о в а н и е . Помните, что хотя в ы можете успешно опрашивать сервер D N S , другая сторона вашего соединения на это может быть еще н е способна. Там также следует выполнить команду проверки. 4. Когда обе стороны смогут видеть запись D N S , остается только пе¬ резапустить службу IPsec, набрав команду service ipsec
restart
Когда она выполнится, все будет готово к работе. Это все, что требуется, так к а к F r e e S / W A N автоматически сконфигурирует соединение с п о м о щ ь ю и н ф о р м а ц и и в записи DNS. Настройка
полного
оппортунистического
шифрования
Чтобы применять полное оппортунистическое ш и ф р о в а н и е , необ¬ ходимо иметь на шлюзе статический IP-адрес и располагать п о л н ы м кон¬ тролем над записью D N S для него. F r e e S / W A N использует обратный по¬ иск D N S для проверки открытого ключа любой м а ш и н ы , которая пыта388
Глава 9
Криптографические средства
ется подключиться. Инструкции здесь точно такие ж е , к а к и для частич¬ ного режима, за исключением того, что создается еще и обратная запись D N S для имени шлюзового хоста. Создайте текстовый файл таким ж е об¬ разом, к а к и в ы ш е , и после добавления его к а к прямой записи, добавьте ее и к а к обратную, связав ее со статическим IP-адресом. Опять ж е , если вы н е знаете, к а к редактировать файл D N S , попросите п о м о щ и . D N S о ш и б о к н е прощает. Когда обе записи будут видны из Интернет, следует перезапустить службу IPsec, и м о ж н о будет создавать соединения с хоста¬ м и , поддерживающими оппортунистическое ш и ф р о в а н и е IPsec. Взлом
паролей
Вы ознакомились с тем, к а к различными криптографическими ме¬ тодами защитить свою и н ф о р м а ц и ю , и к а к шифровать ф а й л ы , сеансы и целые соединения с другими сайтами. В следующем разделе рассматрива¬ ется средство, помогающее убедиться, что ф а й л ы паролей в безопасно¬ сти. Речь идет о программе взлома зашифрованных паролей. Она выпол¬ няет работу, обратную п о о т н о ш е н и ю ко всем средствам д а н н о й главы в том смысле, что пытается расшифровать файл паролей без каких-либо ключей. Она главным образом применяется к файлам паролей, чтобы га¬ рантировать, что у вас нет паролей, которые легко взломать. В н а ш е время большинство паролей н е хранится на сервере в откры¬ том виде. Хранятся хэши паролей, так что пароли н е передаются п о сети открытым текстом. Однако в некоторых операционных системах схема хэширования слаба и ш и ф р легко взламывается. В худшем случае, если кто-то перехватит файл паролей, о н сможет выполнить атаку методом грубой силы на хэши и выяснить некоторые пароли. Это возможно благо¬ даря склонности многих людей выбирать простые пароли. В большинст¬ ве операционных систем к паролям м о ж н о предъявлять определенные технические требования, н о пользователи все равно будут пытаться обой¬ ти ограничения с целью облегчить себе ж и з н ь . Тестирование файлов па¬ ролей с п о м о щ ь ю программ взлома — единственный способ точно узнать, насколько безопасны пароли пользователей. John the Ripper: Средство взлома паролей John the Ripper Автор/основной контакт: Web-сайт: Платформы: Лицензия: Рассмотренная версия:
Solar Designer www.openwall.com/john Windows и большинство UNIX Freeware, аналогично BSD 1.6 389
Курс
Защитные средства с открытыми исходными текстами
Утилита John the Ripper была разработана загадочным Солнечным Заговорщиком, чтобы помочь системным администраторам избавитьсяя от слабых паролей, в основном в системах U N I X . Программа использует текстовый файл возможных паролей и проверяет хэш каждого слова из этого файла по файлу паролей. Она даже пробует варианты словарных слов, такие как c a t l , cat2 и т.д. После завершения перебора всех слов из текстового файла программа переходит к методам рандомизации и пробу¬ ет их, пока вы ее не остановите. Она поставляется с файлом базовых слов. К р о м е того, вы можете загрузить дополнительные ф а й л ы слов для раз¬ личных операционных систем или создать свои собственные. Программа доступна для операционных систем U N I X и Windows. Так как она имеет командный интерфейс, то основные операции в обеих систе¬ мах одинаковы. Ниже описаны процессы установки для Windows и U N I X .
Установка в Windows 1. Загрузите бинарный пакет Windows с Web-сайта или с прилагаемо¬ го к книге компакт-диска и распакуйте файл в отдельном каталоге. 2. Н а самом деле установки как таковой в Windows не требуется. Просто разместите ф а й л ы по своему выбору и запускайте про¬ грамму из этого каталога с п о м о щ ь ю соответствующих команд. П р и ж е л а н и и м о ж н о добавить этот каталог в список поиска, если вы хотите запускать John the Ripper из любого места. В противном случае перейдите в каталог john/run, чтобы получить доступ к би¬ н а р н ы м файлам, и запустите программу.
Установка в UNIX 1. Загрузите и растарьте ф а й л ы исходных текстов с Web-сайта или с прилагаемого к книге компакт-диска. 2. Выполните следующую команду из каталога src, который будет со¬ здан: make
Будет выведен список поддерживаемых систем. Примечание: Если ваша система не указана, выполните на следующем шаге команду make generic (это должно сработать в большинстве случаев). 3. Выполните следующую команду, подставляя свой тип системы из списка поддерживаемых: make тип_системы 390
Глава 9
Криптографические средства
Команда соберет программу и поместит основные бинарные программные ф а й л ы в каталог john/run. 4. Перейдите в этот каталог. Все готово к запуску John the Ripper.
Применение программы John the Ripper 1. Прежде всего, необходимо получить к о п и ю файла паролей. В большинстве систем U N I X хэши не хранятся в основном файле паролей, а содержатся в файле, называемом теневым (shadow в си¬ стемах Linux). Это затрудняет н е с а н к ц и о н и р о в а н н ы й доступ к хэш а м , так как основной файл паролей пользователей должен быть доступен другим частям операционной системы, поэтому право на его чтение должно предоставляться всем. Файл хэшей паролей выглядит примерно так, как показано на листинге 9.1. Листинг 9.1. П р и м е р файла хэшей паролей root:$1$%8_pws/,$3ABCmAmVVtBbgXc1EpAZ7.:12080:0:99999:7::: bin:*:12080:0:99999:7::: daemon:*:12080:0:99999:7::: adm:*:12080:0:99999:7::: lp:*:12080:0:99999:7::: sync:*:12080:0:99999:7::: apache:!!:12080:0:99999:7::: postfix:!!:12080:0:99999:7::: mysql:!!:12080:0:99999:7::: tony:$1$bFIb/_R$6RFz rkqq6nY4zTkmWQ8xV0:12080:0:99999:7: : :
Случайная по внешнему виду последовательность символов после имени счета — хэш пароля. И м е н н о с ней работает John the Ripper. 2. Текстовый файл password в каталоге John the Ripper содержит под¬ разумеваемый список слов. Его м о ж н о пополнять, если вы хотите, чтобы были проверены несколько специфических паролей. П р и ж е л а н и и м о ж н о заменить его собственным словарем. 3. Чтобы запустить John the Ripper, наберите команду john проверяемый_файл_паролей
Во время работы на э к р а н выдаются пароли, которые удалось взломать. Большинство словарных слов будет просмотрено за не¬ сколько минут. Во многих ситуациях это с л и ш к о м долго, но если 391
Курс
Защитные средства с открытыми исходными текстами
вы хотите выполнять программу дольше, чтобы на самом деле протестировать пароли, то процесс м о ж н о запустить в ф о н о в о м режиме. М о ж н о также прервать процесс тестирования и вернуться к нему позже. Н а ж м и т е Ctrl+C один раз, чтобы остановить тестиро вание и сохранить результаты в файле с именем john.pot. Отметим, что в результате двукратного нажатия Ctrl+C п о и с к будет завер¬ ш е н без сохранения результатов. 4. М о ж н о просмотреть взломанные к текущему моменту пароли, вводя: john -show провер емый_файл_паролей
5. Если вы хотите возобновить процесс взлома паролей, воспользуй¬ тесь командой john - r e s t o r e
И это почти все о программе John the Ripper. Счастливого взлома! (Только своих паролей, естественно). Если вы обнаружите слабые пароли, то м о ж н о пойти к их владельцам и попросить изменить пароль, или уста¬ новить на сервере политику, требующую более сильных паролей.
392
Глава 10
Средства для беспроводных сетей
Глава 1 0 . С р е д с т в а д л я б е с п р о в о д н ы х с е т е й Д о недавних п о р сетевые администраторы должны были заботитьсяя в основном о защите физических, фиксированных активов информаци¬ онных технологий — серверов, маршрутизаторов и межсетевых экранов, составляющих кабельные сети. Однако, с появлением недорогого обору¬ дования для беспроводных сетей возник совершенно новый спектр (и это не игра слов) проблем безопасности. Новая технология помогла снизить стоимость развертывания сетей, предоставила доступ там, где его р а н ь ш е н е было, и дала возможность трактовать выражение «мобильные вычисления» буквально. Радикально изменился и периметр безопасности сетей всех размеров. Традиционно корпоративные сети соединялись с в н е ш н и м миром только в нескольких местах (см. рис. 10.1). Это позволяло сетевым администраторам концент¬ рироваться на защите этих критических точек доступа, размещая в них межсетевые э к р а н ы и другие средства защиты. Внутренность сети в зна¬ чительной степени считалась доверенной, поскольку н е существовало способа попасть туда, минуя з а щ и щ е н н ы е точки.
Обзор главы Изучаемые концепции: • Терминология беспроводных Л В С • П р о т о к о л ы 802.11 • Слабые места беспроводных Л В С • Оборудование для контроля беспроводных сетей Используемые инструменты: NetStumbler, StumbVerter, Kismet Wireless и AirSnort Развитие технологии снова подняло планку безопасности. П р и развер¬ тывании беспроводной Л В С новым периметром безопасности в буквальном смысле становится воздух вокруг вас. Такая беда, как беспроводная атака или прослушивание, может прийти «откуда не ждали», с любого направле¬ ния. Если у вас развернут беспроводной доступ, то кто угодно с платой все¬ го за полсотни долларов в принципе может прослушивать среду передачи вашей сети, даже не ступая на вашу территорию. На рис. 10.2 показан новый периметр сетевой безопасности при применении беспроводных технологий. Можно видеть, что при использовании для части сети беспроводного досту¬ па угрозы безопасности существенно возрастают. Н о прежде чем можно бу¬ дет надежно обезопасить беспроводную сеть, необходимо понять, как функ¬ ционируют локальные беспроводные сети и где их основные слабые места. Производители оборудования для беспроводных Л В С снизили ц е н ы настолько, что это стало разумной альтернативой д о м а ш н и х сетей. Вме393
Курс
Защитные средства с открытыми исходными текстами
Рис. 10.1. Сетевые угрозы до появления беспроводных сетей
Рис. 10.2. Сетевые угрозы для беспроводных сетей 394
Глава 10
Средства для беспроводных сетей
сто того, чтобы прокладывать в доме кабели Ethernet для соединения сво их П К , м о ж н о купить базовую станцию и пару плат для беспроводного соединения и использовать Интернет в любой комнате своего дома. Д л я участников многих деловых к о н ф е р е н ц и й сейчас предлагается бесплат¬ н ы й беспроводной доступ в Интернет. Жители проводят к а м п а н и и за пре¬ доставление бесплатного доступа в Интернет для домовладений вне дося¬ гаемости цифровых абонентских л и н и й или кабельных сетей, использую¬ щего общественные базовые станции. Ш и р о к о е развертывание техноло¬ гии беспроводных Л В С , несомненно, продолжится, и рано или поздно вам придется иметь с н и м и дело.
Обзор технологий беспроводных ЛВС На сегодняшний день наиболее популярный протокол для беспровод¬ ных Л В С — несомненно, семейство спецификаций 802.11 или, в просторе¬ ч и и , Wi-Fi. Стандарты этого семейства по сути являются расширением про¬ токола Ethernet, что обеспечивает отличное взаимодействие с проводными сетями Ethernet. Д л я передачи сигналов данных применяются частоты 2.4 ГГц для 802.11b и 802.11g, а также 5 ГГц для 802.11a. В С Ш А эти частоты принадлежат спектру общего пользования, поэтому не нужно получать ли¬ цензию на их использование. Оборотная сторона состоит в том, что другие потребительские устройства также могут работать этих частотах. Некото¬ р ы е беспроводные телефоны и микроволновые печи также попадают в по¬ лосу 2.4 ГГц, поэтому если в окрестности есть подобные устройства или другие сети W i - F i , вы можете столкнуться с некоторыми помехами. Выбранные длины волн прекрасно подходят для ближней связи, ко¬ торая и требуется для сетей W i - F i . Проектные параметры обеспечивают ра¬ диус действия 50 метров в помещении и более 250 метров на открытом про¬ странстве при нормальных условиях. Однако с мощной антенной в зоне прямой видимости можно увеличить расстояние до 30 км, что отлично под¬ ходит для городских межофисных коммуникаций (предполагается отсутст¬ вие гор и доступ на крышу многоэтажного здания). В табл. 10.1 описаны че тыре разновидности существующих стандартов беспроводной связи 802.11. Табл. 10.1. Стандарты беспроводной связи 802.11 Стандарт 802.11a
Описание В этой версия стандарта применяется частота 5 ГГц, при¬ надлежащая менее используемой части спектра. Следова¬ тельно, помехи менее вероятны. Теоретический потенциал этой технологии составляет 54 М б и т / с е к , ч т о являетсяя очень ш и р о к о й полосой пропускания, н о большинство р е 395
Курс
802.11b
802.11g
802.11i
Защитные средства с открытыми исходными текстами
альных приложений до теоретического максимума не дотя¬ гивают. В настоящее время это самый популярный стандарт беспро¬ водной связи. В нем применяется частота 2.4 ГГц, на кото¬ рой работают Bluetooth и другие потребительские устройст¬ ва. Он предлагает полосу пропускания до 11 Мбит/сек, хотяя практические приложения при неоптимальных условиях обычно получают примерно половину этого. Более новый стандарт предоставляет полосу пропускания до 54 Мбит/сек, но на той же частоте 2.4 ГГц, что и стандарт 11b. Он также обратно совместим с оборудованием 11b. Этот новый протокол является по сути р а с ш и р е н и е м 802.11b с исправлениями протокола ш и ф р о в а н и я , обеспе¬ ч и в а ю щ и м и значительно более высокий уровень безопас¬ ности. О н только недавно был одобрен I E E E , и использу¬ ю щ и е его продукты д о л ж н ы появиться в к о н ц е 2004 г.
Терминология Wi-Fi Имеется два вида беспроводных сетей. В произвольных сетях узлы соединяются напрямую. Это полезно, если вы хотите объединить н е сколько П К и вам не требуется доступ в Л В С или Интернет. Сети с инфра структурой опираются на базовые станции (точки доступа), соединенные с вашей Л В С . Все узлы подобной сети подключаются к Л В С через базовую станцию. Это наиболее распространенная конфигурация в корпоратив¬ ных сетях, так как она позволяет администратору централизованно конт¬ ролировать беспроводной доступ. Каждой точке беспроводного доступа и плате присвоен номер, называемый идентификатором базового набора сер¬ висов (Basic Service Set I D — BSSID). Это — MAC-адрес беспроводной стороны точки доступа. У точки доступа есть также идентификатор набора сервисов (Service Set Identifier — SSID). Это — имя беспроводной сети, с которой ассоциируются все узлы. Это имя не обязано быть уникальным среди точек доступа. На самом деле большинство производителей при¬ сваивают точкам доступа подразумеваемые идентификаторы, поэтому их м о ж н о использовать прямо из коробки. Идентификатор набора сервисов точки доступа необходим для подключения к сети. Некоторые базовые станции обладают дополнительной функциональностью, играя роль мар¬ шрутизаторов и встроенных серверов D H C P . Существуют даже интегри¬ рованные устройства, действующие как точка беспроводного доступа, межсетевой экран и маршрутизатор для д о м а ш н и х и малых сетей. Узел беспроводной сети создается путем установки в компьютер бес¬ проводной сетевой интерфейсной платы. Выпускается несколько видов 396
Средства для беспроводных сетей
Глава 10
Рис. 10.3. Работа беспроводной сети подобных плат. Это может быть плата, которая вставляется в слот П К , плата P C M C I A , внешнее устройство U S B , а теперь даже к о м п а к т н ы й ф л э ш - ф о р м а т для малых слотов К П К . Беспроводная сеть 802.11 с инфра¬ структурой содержит точки доступа, действующие к а к мост между ка¬ бельной Л В С Ethernet и одной и л и несколькими о к о н е ч н ы м и беспровод н ы м и точками. Точка доступа с определенной частотой включает ш и р о ковещательный «радиомаяк», чтобы оповещать окрестные беспроводные узлы о своем присутствии. Широковещательные сигналы приглашают за¬ регистрироваться любые беспроводные узлы в д а н н о й области и являют¬ ся одной из проблем W i - F i . Невозможно полностью выключить эти сиг¬ налы и таким образом скрыть факт наличия беспроводной сети в офисе. Кто угодно с платой беспроводного доступа может по крайней мере ви¬ деть сигналы радиомаяка, если находится вблизи, хотя некоторые устрой¬ ства позволяют ограничить объем и н ф о р м а ц и и , содержащейся в этих ши¬ роковещательных сообщениях. Эти сигналы содержат основную и н ф о р м а ц и ю о точке беспроводно¬ го доступа, включая, к а к правило, SSID (см. рис. 10.3). Если в сети не применяется ш и ф р о в а н и е и л и другие средства защиты, то этого доста397
Курс
Защитные средства с открытыми исходными текстами
точно для присоединения к сети. Однако даже в беспроводной сети с ш и ф р о в а н и е м SSID часто передается в открытую, а з а ш и ф р о в а н н ы е па¬ кеты могут перехватываться п о эфиру и подвергаться попыткам взлома.
Опасности беспроводных ЛВС Беспроводные сети характеризуются гибкостью и функционально¬ стью, отсутствующей у кабельных Л В С , н о в то ж е время создают р я д уг¬ роз и новые проблемы для сетевого администратора, отвечающего за без¬ опасность. Н и ж е рассмотрены некоторые аспекты, которые следует учи¬ тывать п р и добавлении в инфраструктуру беспроводных Л В С .
Прослушивание Для хакера в случае п р и м е н е н и я беспроводной сети н е составит ни¬ какого труда собирать пакеты с п о м о щ ь ю беспроводного сетевого анали¬ затора. С этим мало что м о ж н о сделать, разве что окружить здание свин¬ цовым экраном! Создатели беспроводных сетей учитывали это и встрои¬ ли в проект стандарт ш и ф р о в а н и я , называемый WEP (Wired Equivalent Privacy — секретность, эквивалентная проводной), чтобы д а н н ы е м о ж н о было шифровать. К сожалению, фундаментальным недостатком в орга¬ н и з а ц и и работы алгоритма является его потенциальная взламываемость (один из инструментов далее в этой главе демонстрирует это). Поэтому даже п р и п р и м е н е н и и W E P д а н н ы е , передаваемые по беспроводной сети, потенциально подвержены несанкционированному просмотру. Кто-ни¬ будь может прослушивать беспроводные соединения, выискивая входные имена, пароли и другие данные.
Доступ к ПК с беспроводными платами Беспроводной канал дает потенциальным злоумышленникам навод¬ ку на м а ш и н у вашей сети. П о м и м о точек доступа, извне могут быть вид¬ н ы и м а ш и н ы с беспроводными сетевыми платами. Используя этот спо¬ соб доступа, м о ж н о развернуть атаку против м а ш и н ы , которая, вероятно, не з а щ и щ е н а межсетевым э к р а н о м и н е укреплена, к а к ваши средства за¬ щ и т ы периметра или общедоступные серверы.
Доступ к ЛВС Это, вероятно, наибольшая опасность, которую создают беспровод¬ н ы е сети. Если хакеры смогут получить доступ к вашей Л В С через базо¬ вую станцию, то м о ж н о считать, что ключи от вашего королевства у н и х в 398
Глава 10
Средства для беспроводных сетей
кармане. В большинстве Л В С функционирует без всяких ограничений сервер D H C P , поэтому хакеры могут получить з а к о н н ы й IP-адрес и на чать исследовать вашу сеть. Затем о н и могут запустить сканер уязвимо стей или сканер портов, например, Nessus и л и Nmap, чтобы найти пред¬ ставляющие для них интерес м а ш и н ы и д ы р ы в их защите, поддающиесяя эксплуатации.
Анонимный доступ в Интернет Д а ж е если хакеров н е интересует ваша Л В С , о н и могут использовать вашу полосу пропускания для других н е з а к о н н ы х целей. Входя в вашу сеть и затем выходя в Интернет, о н и могут осуществлять противоправ¬ н ы е действия, н е оставляя п р и этом своих следов. Л ю б а я атака и л и мо¬ шенничество, с о в е р ш е н н ы е через это соединение, будут прослежены до вашей сети. Правоохранительные органы будут стучать в вашу дверь, а н е в их. Такой метод станет более р а с п р о с т р а н е н н ы м , когда хакеры осозна¬ ют, к а к трудно проследить атаки, н а ч и н а ю щ и е с я таким образом. Слиш¬ к о м мала вероятность перехвата з л о у м ы ш л е н н и к а и з беспроводной сети, если только н е применять заранее р а з м е щ е н н о е дорогостоящее триангу¬ л я ц и о н н о е оборудование. Н е з а щ и щ е н н ы е беспроводные Л В С предлага¬ ют хакерам лучший а н о н и м н ы й доступ, какой только м о ж н о себе пред¬ ставить.
Специфические уязвимости 802.11 К р о м е основных д ы р в безопасности беспроводных Л В С , имеетсяя ряд проблем, с п е ц и ф и ч н ы х для стандарта 802.11. Некоторые из них свя¬ заны с о ш и б к а м и проектирования, д о п у щ е н н ы м и производителем, и л и с подразумеваемыми конфигурациями. Другие объясняются проблемами в общей архитектуре стандарта. Подразумеваемые
идентификаторы
набора
сервисов
К а ж д а я базовая с т а н ц и я W i - F i имеет с п е ц и а л ь н ы й идентифика¬ т о р , к о т о р ы й необходимо знать, чтобы войти в сеть. П р и п р а в и л ь н о й р е а л и з а ц и и это обеспечивает н е к о т о р ы й уровень безопасности. К со¬ ж а л е н и ю , м н о г и е забывают и з м е н и т ь подразумеваемый идентифика¬ тор набора сервисов, з а д а н н ы й производителем. Очень легко н а й т и се¬ ти с п о д р а з у м е в а е м ы м и S S I D п р о и з в о д и т е л я , т а к и м и к а к l i n k s y s , d e f a u l t и т. д. Когда хакер это видит, он может п р е д п о л о ж и т ь , что адми¬ нистратор тратит н е с л и ш к о м м н о г о в р е м е н и на настройку и защиту беспроводной сети. 399
Курс
Защитные средства с открытыми исходными текстами
Вещание
радиомаяка
Вещание радиомаяка — врожденная патология беспроводных сетей. Базовая станция должна регулярно извещать сигналом о своем существо¬ вании, чтобы р а д и о п р и е м н и к конечного пользователя мог ее найти и до¬ говориться о сеансе связи, а поскольку устройства законных пользовате¬ лей еще не были аутентифицированы, этот сигнал должен вещаться в от¬ крытую. Он может быть перехвачен кем угодно, и, как м и н и м у м , будет известно, что у вас имеется беспроводная Л В С . М н о г и е модели позволя¬ ют отключать содержащую SSID часть этого вещания, чтобы хоть чутьчуть затруднить беспроводное подслушивание, но SSID тем не менее по¬ сылается при подключении, поэтому все равно существует небольшое ок¬ но уязвимости. Применение
по умолчанию
нешифруемых
коммуникаций
Большинство современных беспроводных сетевых устройств пред¬ лагают возможность включения встроенного стандарта беспроводного ш и ф р о в а н и я WEP. Проблема в том, что обычно его надо включать вруч¬ ную; по умолчанию оно, как правило, отключено. М н о г и е администрато¬ р ы настраивают беспроводную сеть в с п е ш к е и не находят времени на ак¬ тивацию этой важной возможности. Если сеть настраивает не техниче¬ ский специалист, то почти наверняка ш и ф р о в а н и е не будет включено. Имеется также проблема управления секретными ключами пользовате¬ лей, так как в W E P каждый пользователь разделяет свой секретный ключ с базовой станцией. Администрирование большого числа пользователей с беспроводным подключением может стать сущим кошмаром. Слабые
места
WEP
Даже когда встроенное ш и ф р о в а н и е задействовано, остается риск, что сигнал будет прочитан. В реализации алгоритма ш и ф р о в а н и я в W E P имеются фундаментальные дефекты, позволяющие взломать его после перехвата определенного объема данных. Эти дефекты связаны со спосо¬ бом порождения ключей. В W E P слабы векторы и н и ц и а л и з а ц и и , а часто¬ та их использования высока, так что со временем становится возможным взлом ключа. Когда ш и ф р о в а н и е взломано, атакующий сможет не только читать весь трафик, проходящий по беспроводной сети, но и, вероятно, войти в сеть. Поэтому, хотя W E P и предлагает некоторую базовую защиту против случайного прослушивания, любой серьезный з л о у м ы ш л е н н и к наверняка запасся программным обеспечением, п о з в о л я ю щ и м при необ¬ ходимости взломать ш и ф р о в а н и е . 400
Глава 10
Средства для беспроводных сетей
Ф е н о м е н « а г р е с с и в н о г о объезда» П о и с к н е з а щ и щ е н н ы х беспроводных Л В С стал популярным развле¬ ч е н и е м среди хакеров и любителей беспроводной связи. П о аналогии с тем, как р а н ь ш е хакеры осуществляли массовый или агрессивный обзвон случайного набора телефонных номеров, чтобы найти активные модемы, п о и с к н е з а щ и щ е н н ы х беспроводных Л В С назвали агрессивным объездом. Ч а щ е всего беспроводные хакеры ездят по округе с беспроводной платой и программным обеспечением в надежде поймать сигнал сети. Про¬ граммное обеспечение может зафиксировать точное расположение бес¬ проводной сети с п о м о щ ь ю системы глобального позиционированияя ( G P S ) , а также массу другой и н ф о р м а ц и и , такой как п р и м е н е н и е шифро¬ вания или отсутствие такового. Если в беспроводной Л В С не использует¬ ся ш и ф р о в а н и е или другие защитные средства, то хакеры смогут попуте¬ шествовать в Интернет или исследовать локальную сеть через беспровод¬ н о й канал. Для этого не нужно большого мастерства, что и привлекает ха¬ керов разного уровня. Организации, использующие беспроводные сети в плотно застроен¬ н о й среде вокруг своих о ф и с о в или вблизи крупных дорог, больше всего рискуют пострадать от подобной активности. В «группу риска» входят о ф и с ы в жилых и деловых районах города, где много высотных зданий. У беспроводных сетей, построенных по стандарту 802.11b, э ф ф е к т и в н ы й радиус действия составляет пару сотен метров. Почти наверняка это боль¬ ше, чем расстояние до соседнего здания, не говоря уже о расстоянии ме¬ жду этажами в многоэтажном здании. В скученном деловом центре не¬ сколько н е з а щ и щ е н н ы х беспроводных Л В С внутри одного здания — не редкость. С точки зрения безопасности высотные здания — одно из худ¬ ших мест для п р и м е н е н и я беспроводных Л В С . Типичное здание со стек¬ л я н н ы м и окнами позволяет сигналам Л В С распространяться на немалое расстояние. Если вблизи имеются другие здания, то почти наверняка в них м о ж н о перехватить некоторые сигналы. Здания в ж и л о м районе в этом плане еще хуже. Представьте себе подростков и других бездельни¬ ков, с удобствами сканирующих доступные беспроводные Л В С прямо из своей спальни. Недавнее исследование показало, что более 60% беспроводных Л В С полностью н е з а щ и щ е н ы . Хакеры даже помещают найденные точки бес¬ проводного доступа в оперативные базы данных с картами, чтобы каждый мог найти открытые беспроводные Л В С почти в любом месте страны. О н и классифицируют их по типу оборудования, п р и м е н е н и ю шифрова¬ н и я и т.д. Если ваша беспроводная Л В С расположена в деловом центре крупного города, то почти наверняка она попала в подобную базу, и дело л и ш ь за тем, чтобы какой-нибудь окрестный хакер нашел для нее н е м н о 401
Курс
Защитные средства с открытыми исходными текстами
го свободного времени. Н и ж е приведены некоторые из оперативных баз данных, где м о ж н о проверить, н е попала л и беспроводная Л В С вашей ор¬ ганизации в эти списки. • www.shmoo.com/gawd/ • www.netstumbler.com/nation.php Отметим, что большинство сайтов удалят название вашей организа¬ ц и и и з списка, если вы попросите об этом.
Оценивание безопасности беспроводной сети П р о щ е всего сказать, что из-за угроз безопасности беспроводных се¬ тей вообще н е следует предоставлять беспроводной доступ к вашей сети. Однако это все равно, что посоветовать вам спрятать голову в песок в на¬ дежде, что опасность вас минует. Беспроводной доступ — это н е преходя¬ щая мода, это одна и з наиболее активно развивающихся областей техно¬ логии, в которую делаются значительные инвестиции. Производители в жутком темпе, п о все более н и з к и м ценам «выбрасывают» на р ы н о к мас¬ су беспроводных адаптеров для всевозможных устройств. М н о г и е компа¬ н и и розничной торговли, такие к а к McDonald's и Starbucks устанавлива¬ ют точки беспроводного доступа в своих магазинах для привлечения по¬ купателей. В П К - б л о к н о т ы Intel Centrino встроена поддержка беспровод¬ ных сетей. Ваши пользователи жаждут свободы, которую приносит техно¬ логия беспроводных Л В С . И м нужна возможность входа в сеть со своих поддерживающих беспроводную связь П К - б л о к н о т о в , всегда и везде. Это значит, что вам рано или поздно придется иметь дело с безопасностью беспроводных сетей. Средства из данной главы помогут вам оценить и, при необходимости, повысить безопасность беспроводной сети. О н и так¬ ж е помогут вам развернуть беспроводную Л В С более безопасным обра¬ зом, если в ы делаете это впервые.
Выбор оборудования Чтобы оценить безопасность беспроводной сети, необходимо иметь как м и н и м у м беспроводную сетевую плату, машину для работы и некото¬ рое программное обеспечение. Беспроводные
платы
Большая часть программного обеспечения, рассмотренного в этой главе, — свободное, н о необходимо купить хотя бы одну беспроводную 402
Глава 10
Средства для беспроводных сетей
сетевую плату. Выбор производителей ш и р о к , и ц е н ы вполне конкуренто¬ способны. За типичную плату придется выложить от $40 до $80. Следует тщательно выбирать производителя и модель, так к а к не все платы рабо¬ тают со всеми пакетами беспроводного П О . П о сути имеется три различных набора микросхем для устройств в стандарте 802.11b. Набор микросхем Prism II к о м п а н и и Intersil является, в е р о я т н о , н а и б о л е е р а с п р о с т р а н е н н ы м и используется к о м п а н и е й Linksys, к р у п н е й ш и м производителем потребительских беспроводных плат. Набор микросхем Lucent Hermes применяется в платах WaveLAN и O R i N O C O и ориентирован в основном на корпоративное оборудование. Cisco располагает собственным набором микросхем, обладающим неко¬ торыми с п е ц и ф и ч е с к и м и з а щ и т н ы м и возможностями. Платы Prism II бу¬ дут работать с Kismet Wireless, программным обеспечением Linux, рассмо¬ т р е н н ы м в этой главе, но не на платформе Windows. Платы D - L i n k рабо¬ тают с Windows, но не с ш и р о к о доступным инструментарием безопасно¬ сти Windows. Может быть важен выбор конкретной модели определенно¬ го производителя. В старых платах Linksys U S B применялся другой набор микросхем, и о н и не очень хорошо работают на Linux. В довершение всего этого беспорядка некоторые новые протоколы еще не поддерживаются многими пакетами. Текущие версии программ¬ ных пакетов, рассмотренные в этой главе, не поддерживают н о в ы й стан¬ дарт 802.11g. О с н о в н ы м производителям еще предстоит выпустить интер¬ ф е й с н ы й код, чтобы разработчики программного обеспечения могли приняться за работу. Через некоторое время после того, как они это сде¬ лают, станут доступны драйверы. Вы д о л ж н ы изучить и н ф о р м а ц и ю на Web-сайтах соответствующих программ, прежде чем покупать оборудова¬ н и е для поддерживаемых плат и протоколов. П р и н а п и с а н и и данного об¬ зора применялась плата O R i N O C O G o l d P C M C I A , которая хорошо взаи¬ модействует с программным обеспечением Windows и Linux. Аппаратное
и программное
обеспечение
В качестве аппаратного обеспечения, на которое будут загружатьсяя программы, годится почти любая м а ш и н а нормальной мощности. Про¬ граммное обеспечение для U N I X прекрасно работает на PII 300 с ОЗУ 64 М Б . Программное обеспечение Windows также должно работать на такой системе. Н е с о м н е н н о , программы следует загрузить на ПК-блокнот, так как вы будете с н и м перемещаться. Существует версия Kismet Wireless дляя Palm OS и версия NetStumbler для Pocket P C , так что м о ж н о даже помес¬ тить программы в К П К . В н а ш е время доступны беспроводные платы дляя обеих основных платформ (Palm и Pocket P C ) малых К П К , способных воспользоваться этим программным обеспечением. 403
Курс
Защитные средства с открытыми исходными текстами
Необходимо также убедиться, что имеется достаточно свободного дискового пространства, если вы собираетесь взламывать ключи WEP. Требуется п р и м е р н о от 500 М Б до нескольких ГБ. Н е оставляйте м а ш и н у без присмотра при прослушивании беспроводных данных, если нет дос¬ таточного объема свободного дискового пространства — м о ж н о легко за¬ полнить весь жесткий диск, что приведет к аварийному останову компь¬ ютера. Если вы проводите аудит своего беспроводного периметра и хотите знать точное м е с т о п о л о ж е н и е , то м о ж н о приобрести н е б о л ь ш о й кар¬ м а н н ы й п р и е м н и к G P S . Проверьте, что в а ш е устройство G P S имеет N M E A - с о в м е с т и м ы й последовательный кабель для взаимодействия с П К - б л о к н о т о м . С п о м о щ ь ю этого оборудования вы сможете определить т о ч н ы е к о о р д и н а т ы мест, откуда доступны в а ш и точки беспроводного доступа. Р а с с м о т р е н н ы е в этой главе продукты с п о с о б н ы получать дан¬ н ы е G P S непосредственно из п р и е м н и к о в и вставлять их в результиру¬ ю щ у ю выдачу. Н а к о н е ц , если у вас получится п р и м е н и т ь совместимое с G P S п р о г р а м м н о е о б е с п е ч е н и я с о з д а н и я карт, т а к о е к а к Microsoft MapPoint, то вы сможете начертить в п о л н е п р и л и ч н ы е карты своей оце¬ н о ч н о й активности. Антенны Для беспроводного «вынюхивания» встроенной антенны в непо¬ средственной близости от офиса большинства плат будет вполне доста¬ точно. Однако, если вы действительно хотите проверить, насколько вы уязвимы извне, вам понадобится в н е ш н я я антенна, позволяющая опреде¬ лить пределы досягаемости вашей беспроводной сети. В к о н ц е к о н ц о в , плохие парни способны смастерить самодельную антенну дальнего дей¬ ствия из банки из-под ч и п с о в Pringles и куска провода. Вы можете купить недорогие а н т е н н ы профессионального уровня в различной комплекта¬ ц и и . Я купил набор, включающий плату O R i N O C O и в н е ш н ю ю антенну, подходящую для установки на крышу автомобиля. Это еще одна причина для тщательного выбора беспроводной платы. Некоторые платы позволяют присоединять в н е ш н и е антенны, другие — нет. Необходимо проверить, что на приобретаемой плате есть порт для ан¬ т е н н ы , если вы собираетесь оценивать беспроводную сеть. Известно, что платы O R i N O C O , Cisco, Samsung и Proxim поддерживают в н е ш н и е ан¬ тенны. Теперь, получив некоторые базовые з н а н и я и необходимое оборудо¬ вание, перейдем к рассмотрению свободного программного обеспечения, позволяющего производить оценку беспроводной сети (вашей, естест¬ венно). 404
Глава 10
Средства для беспроводных сетей
NetStumbler: Программа обнаружения беспроводной сети для Windows NetStumbler Автор/основной контакт: Web-сайт: Платформа: Лицензия: Рассмотренная версия: Форум NetStumbler:
Marius Milner www.netstumbler.com Windows Freeware 0.3.30z http://www.netstumbler.org/
NetStumbler, вероятно, — наиболее употребительное средство дляя оценивания беспроводной сети, в основном потому, что о н о свободно и работает на платформе Windows. Н а самом деле, о н о настолько популярно, что его название стало с и н о н и м о м «агрессивного объезда», к а к в выраже н и и «Вчера вечером я нетстумблил». Подозреваю, что автор так назвал свою программу, потому что при работе с ней он «случайно» натыкался на беспроводные сети (stumble — натыкаться, спотыкаться; русское слово «спотыкач» тоже вызывает осмысленные ассоциации — прим. перев.). NetStumbler н е считается программой с полностью о т к р ы т ы м и ис¬ ходными текстами, потому что в настоящее время автор е щ е н е сделал их доступными. Однако она условно свободна и заслуживает у п о м и н а н и я в силу распространенности. Д л я нее н а п и с а н о много д о п о л н е н и й с откры¬ т ы м и исходными текстами (одно и з них обсуждается далее в этой главе). К р о м е того, сообщество пользователей и Web-сайт NetStumbler п о л н о стью соответствуют идеологии открытого П О . Web-сайт весьма инфор¬ мативен и предоставляет много хороших ресурсов п о безопасности бес¬ проводных сетей, п о м и м о самой программы. Имеется также база д а н н ы х топографической съемки, куда пользователи NetStumbler вводят д а н н ы е о точках доступа, которые о н и обнаружили п р и п р и м е н е н и и программы. Если беспроводная сеть вашей организации находится в базе д а н н ы х и вы хотите, чтобы она была удалена, ваше ж е л а н и е с удовольствием ис¬ полнят.
Установка NetStumbler 1. Перед установкой NetStumbler убедитесь, что для беспроводной сетевой платы установлены правильные драйверы. В новых верси¬ ях Windows, таких к а к 2000 и XP, это обычно весьма просто. Уста¬ новите программное обеспечение, которое поставляется с вашей платой, и система должна автоматически распознать плату и поз¬ волить ее сконфигурировать. Поддержка для Windows 95 и 98 м о 405
Курс
Защитные средства с открытыми исходными текстами
жет быть ненадежной. Проверьте документацию платы по особен¬ ностям п р и м е н е н и я . 2. Когда плата включена и работает, проверьте ее, попытавшись п о лучить доступ в Интернет через точку беспроводного доступа. Ес¬ л и вы способны видеть в н е ш н и й м и р , то к установке NetStumbler все готово. 3. Процесс установки NetStumbler столь же прост, к а к и установка любой программы для Windows. Загрузите файл с прилагаемого к книге компакт-диска или с сайта www.netstumbler.com и распакуй¬ те его в отдельном каталоге. 4. Выполните файл setup в этом каталоге и начнется обычный про¬ цесс установки в Windows. Когда установка будет завершена, м о ж н о запустить NetStumbler.
Применение NetStumbler После запуска NetStumbler отображается о с н о в н о й э к р а н ( см. рис. 10.4). В столбце M A C м о ж н о видеть список точек доступа, обнаруженных NetStumbler. И к о н к и сетей слева от M A C - адреса о к р а ш е н ы в зеленый цвет, если о н и в настоящее время в зоне досягаемости. П о мере удаленияя
Рис. 10.4. Основной экран NetStumbler 406
Глава 10
Средства для беспроводных сетей
от сети и к о н к и становятся сначала желтыми, а затем красными. И к о н к и неактивных сетей будут серыми. Если в сети применяется ш и ф р о в а н и е , то отобразится замочек в кружке. Это позволяет быстро понять, в каких сетях используется WEP. NetStumbler собирает дополнительные д а н н ы е о любой обнаруживаемой точке. В табл. 10.2 описаны выводимые поля дан¬ ных и их смысл. П о мере проведения аудита основной экран NetStumbler заполнитсяя обнаруживаемыми беспроводными сетями. Вероятно, вас удивит количе¬ ство сетей, которые проявятся вокруг вашего офиса. Е щ е больше вас уди¬ вит число сетей с в ы к л ю ч е н н ы м ш и ф р о в а н и е м и подразумеваемыми идентификаторами набора сервисов. В левой стороне экрана отображаются обнаруженные сети. М о ж н о упорядочить их с п о м о щ ь ю различных фильтров, выбрать их по каналам, SSID и нескольким другим критериям. М о ж н о задать фильтры, чтобы отображались только сети, в которых ш и ф р о в а н и е включено или выклю¬ чено, инфраструктурные или одноранговые (произвольные), допускаю¬ щ и е C F - о п р о с (предоставление дополнительной и н ф о р м а ц и и п р и запро¬ се) или нет, с подразумеваемым или переустановленным значением SSID. Табл. 10.2. Поля данных NetStumbler Поле данных MAC
SSID
Name
Описание B S S I D или MAC-адрес базовой станции. Это уникаль¬ н ы й идентификатор, п р и с в о е н н ы й производителем. Он полезен, когда у вас много станций с одним и тем ж е подразумеваемым SSID производителя, таким к а к linksys. Идентификатор набора сервисов, с которым настраива¬ ется каждая точка доступа. О н определяет беспровод¬ ную сеть и необходим для входа в нее. NetStumbler охот¬ но извлечет его для вас и з сигналов радиомаяка. К а к от¬ мечено в о п и с а н и и поля M A C , это н е обязательно уни¬ кальный идентификатор, так к а к другие базовые стан¬ ц и и могут иметь такое ж е значение SSID. Возможны проблемы, если две организации в одном здании ис¬ пользуют одинаковые подразумеваемые значения SSID. В таком случае может статься, что служащие использу¬ ют сеть или выход в Интернет другой организации. Необязательное описательное и м я точки доступа. Иног¬ да производитель задает его. Владелец сети может его редактировать; например, Acme Corp Wireless Network. Иногда лучше оставить это поле пустым, если вы н е хо407
Курс
Channel
Vendor
Type
Encryption
SNR Signal Noise Latitude Longitude First seen Last seen Beacon
Защитные средства с открытыми исходными текстами
тите, чтобы посторонние, исследующие сетевой радио¬ э ф и р , узнали, что эта точка доступа принадлежит вам. Канал, в котором оперирует базовая станция. Если вы столкнулись с помехами, и з м е н е н и е этого значения у точки доступа может их устранить. Большинство произ¬ водителей используют подразумеваемый канал. Напри¬ мер, для точек доступа Linksys подразумеваемым служит шестой канал. NetStumbler с п о м о щ ь ю B S S I D пытается идентифици¬ ровать производителя и модель выявленного беспровод¬ ного оборудования. Указывает, была ли найдена точка доступа, узел сети или устройство какого-то другого типа. Обычно будут находиться точки доступа, которые обозначаются AP. Беспроводные узлы показываются как Peer. И м е н н о по¬ этому, даже без настроенной беспроводной сети, нали¬ ч и е в вашем П К беспроводной платы может быть рис¬ кованным. В н а ш е время многие П К - б л о к н о т ы постав¬ ляются со встроенными беспроводными передатчика¬ м и , поэтому желательно их отключить, если пользовате¬ ли не собираются их применять. Показывает, какой тип ш и ф р о в а н и я используется в сети (если используется). Это очень важно, поскольку, если сеть не шифруется, то посторонние могут извлечь ваш сетевой т р а ф и к прямо из э ф и р а и прочитать его. О н и могут также войти в вашу сеть, если отсутствуют другие средства защиты. Отношение сигнал/шум. Характеризует уровень помех и шума на входе приемника беспроводной платы. Уровень мощности сигнала на входе приемника. Уровень шума на входе приемника. Широта, если вы применяете вместе с NetStumbler п р и емник GPS. Долгота, если вы применяете вместе с NetStumbler при¬ емник GPS. П о к а з а н и я системных часов, когда был впервые принят сигнал радиомаяка сети. NetStumbler обновляет это значение всякий раз, когда вы входите в зону приема точки доступа. Частота посылки сигнала радиомаяка в миллисекундах. 408
Глава 10
Средства для беспроводных сетей
На панели в нижней части основного экрана можно видеть состояние своей беспроводной сетевой платы. Если она функционирует нормально, то вы увидите иконку, мигающую примерно каждую секунду, и количество в и димых в данный момент активных точек доступа. Если возникает проблема с интерфейсом между сетевой платой и программным обеспечением, то вы увидите это здесь. С правой стороны нижней панели находятся координаты G P S , если используется устройство глобального позиционирования. Мигание показывает, к а к часто в ы опрашиваете точки доступа. NetStumbler — средство активного сканирования сетей, поэтому о н п о стоянно посылает пакеты «Hello», чтобы проверить, ответит л и к а к а я - н и будь беспроводная сеть. Другие беспроводные средства, такие к а к Kismet (см. далее в этой главе), являются пассивными, так к а к о н и только при¬ нимают сигналы радиомаяка. Недостаток активных средств — возмож¬ н ы й пропуск некоторых точек доступа, настроенных не отвечать н а оп¬ р о с ; достоинство же в том, что некоторые точки доступа посылают сигна¬ л ы радиомаяка так редко, что с п о м о щ ь ю пассивных средств в ы можете никогда их не поймать. Помните также, что активный опрос может вызы¬ вать срабатывание беспроводных систем обнаружения вторжения, одна¬ ко очень немногие организации применяют подобные системы, а если в ы используете NetStumbler только к а к средство о ц е н и в а н и я собственной сети, то скрытность не должна быть важна. Если в этом режиме щелкнуть м ы ш ь ю н а к а к о й - либо сети, будет по¬ казан график о т н о ш е н и я сигнал/шум за период времени, когда в ы на¬ блюдали сеть. Это позволяет увидеть, насколько силен сигнал в различ ных областях (см. рис. 10.5).
Рис. 10.5. График сигнала NetStumbler 409
Курс
Защитные средства с открытыми исходными текстами
Опции NetStumbler Чтобы вывести диалоговое о к н о для задания о п ц и й NetStumbler, вы¬ берите подменю Options в меню View. В табл. 10.3 перечислены вкладки и возможные значения. Табл. 10.3. О п ц и и NetStumbler Вкладка General
GPS
Scripting
MIDI
Описание Задает частоту опроса точек доступа. М о ж н о также задать автоматическую подстройку с учетом вашей скорости, если применяется система глобального по¬ зиционирования. Имеется опция автоматического реконфигурирования вашей платы, когда найдена но¬ вая сеть, н о в ы , вероятно, н е захотите этого делать в н а с ы щ е н н о й области: если вокруг много точек досту¬ па, то конфигурация платы будет изменяться каждые несколько секунд и это замедлит работу компьютера. К р о м е того, программное обеспечение может скон¬ фигурировать плату для чужой сети, и тогда вы не¬ у м ы ш л е н н о станете нарушителем. (См. врезку «Реко¬ мендации по эффективному и этичному аудиту бес¬ проводных сетей»). Настраивает п р и е м н и к G P S д л я взаимодействия с NetStumbler. Я использовал к а р м а н н о е устройство G P S Meridian с последовательным кабелем. Приш¬ лось задать л и ш ь п р а в и л ь н ы й порт и параметры ком¬ м у н и к а ц и и , и NetStumbler сразу начал импортиро¬ вать д а н н ы е . Н а с т р о й к а вызова в н е ш н и х процедур. М о ж н о ис¬ пользовать Visual Basic и л и л ю б ы е другие я з ы к и н а Windows-платформе для в ы п о л н е н и я дополнитель¬ ных действий с выдачей NetStumbler. В н е ш н и е про¬ граммы также могут использовать эту функциональ¬ ность. М о ж н о настроить NetStumbler для проигрывания от¬ н о ш е н и я сигнал/шум к а к файла M I D I . Н е думаю, что это стоит делать в области с множеством сетей, по¬ скольку может стать очень ш у м н о , н о предполагаю, что п о и с к ускользающего сигнала по звуку способен быть э ф ф е к т и в н ы м . 410
Глава 10
Средства для беспроводных сетей
Р е к о м е н д а ц и и по э ф ф е к т и в н о м у и э т и ч н о м у а у д и т у беспроводных сетей Получите разрешения Не забудьте получить разрешение руководства на проведение оценки бес проводной сети. Если вы — внешний консультант, то должны иметь письменное разрешение или подписанное высшим руководством соглашение. Если органи зация не владеет зданием, руководство должно согласовать это со службой без опасности здания, чтобы вам было разрешено находиться в помещениях. Определите периметр беспроводной сети Обойдите внешние границы и определите, как далеко распространяет ся ваш сигнал. (Хорошим практическим правилом служит обход только об щедоступных мест, которые могут использоваться беспроводными взлом¬ щиками или агрессивными ездоками). Если возможно, достаньте карту и на¬ несите на нее свой беспроводной периметр. Начните вне области приема, которую вы считаете нормальной, и про двигайтесь внутрь по спирали, описав сначала широкую дугу вокруг ваших рабочих помещений и пытаясь определить, как далеко распространяется сигнал. Затем вернитесь назад и сделайте еще более широкий круг чтобы проверить, не простираются ли некоторые зоны приема еще дальше. Иногда особенности ландшафта или рукотворные объекты способны причудливым образом расширять распространение сигнала: он может отра жаться или фокусироваться зданиями, рекламными щитами, деревьями и другими объектами. Исходите из предположения, что агрессивные ездоки этим воспользуются. После определения периметра можно проанализировать зоны приема отклика и принять меры по их устранению или сокращению. Иногда можно уменьшить дальность распространения пакетов, перемещая точки доступа во внутренние помещения или на другую сторону здания. Как упоминалось выше, многие устройства позволяют настроить мощность сигнала, чтобы уменьшить излучение из здания.
Ф л э м и Тех с о в е т у е т : Будьте хорошим беспроводным соседом П р и проведении аудита своей сети вы можете наткнуться на другие точки и узлы беспроводного доступа в ближайшей ок¬ рестности или том ж е здании. Некоторые из них окажутся не¬ защищенными. Будьте хорошим соседом и дайте знать владельцам, что их точка доступа не защищена. Возможно, они даже не подозревают о грозящих им опасностях. 411
Курс
Защитные средства с открытыми исходными текстами
Будьте хорошим соседом и н е пытайтесь проехаться по их сети, чтобы продемонстрировать ее незащищенность. Это н е просто очень плохое по¬ ведение, это подсудное дело, если вас поймают. Поэтому н е поддавайтесь искушению и будьте хорошим беспроводным соседом. Применение внешней антенны П р и м е н е н и е платы, допускающей подключение в н е ш н е й антенны, резко расширяет зону доступа, и стоят о н и ненамного больше, чем самые деше¬ вые беспроводные сетевые интерфейсные платы. Потребительские вер¬ сии, такие к а к Linksys и л и D - L i n k , обычно это н е поддерживают, н о сто ит заплатить дополнительные $100 за лучшую плату. Если у вас совсем нет средств, посетите Web-сайты, на которых рассказано, к а к смастерить са¬ модельную антенну для вашей платы. Исходите и з предположения, что ваши потенциальные противники также смогут найти эти сайты и сдела¬ ют антенну н и к а к н е хуже вашей. Проводите аудит при оптимальных условиях Дождь, сырость, туман способны повлиять на беспроводную передачу. Волны с д л и н о й , соответствующей стандарту 802.11b, резонируют в воде, и это может приглушать сигнал во время л и в н я или даже просто п р и по¬ в ы ш е н н о й влажности. Листва деревьев из-за высокого содержания воды обладает таким ж е эффектом. Ваши результаты зимой могут отличаться от летних. Выберите для проверки я с н ы й , сухой день, чтобы оптимизиро¬ вать свои результаты.
Сохранение сеансов NetStumbler NetStumbler автоматически начинает сохранять сеанс всякий раз, как вы его открываете. Это позволяет анализировать сеансы NetStumbler позднее. П о умолчанию сеансы сохраняются в собственном формате NetStumbler. М о ж н о также сохранять сеансы к а к текст для импорта в электронную таблицу и л и текстовый процессор, и в формате wi-scan, ко¬ торый является активно развивающимся файловым стандартом для жур¬ налов анализа беспроводных сетей. М о ж н о также экспортировать их в не¬ которые другие форматы. Для каждого сеанса NetStumbler выводит вверху окна уникальный номер, я в л я ю щ и й с я комбинацией даты и времени (см. рис. 10.5). Это по¬ лезно п р и отслеживании сеансов и результатов. П р и ж е л а н и и м о ж н о за¬ менить это и м я на более содержательное. Теперь, имея множество данных о периметре беспроводной сети, желательно сгенерировать некоторые отчеты либо для руководства, либо для заказчика, если вы работаете к а к консультант. Если имеются д а н н ы е глобального п о з и ц и о н и р о в а н и я , м о ж н о построить наглядные карты с п о 412
Глава 10
Средства для беспроводных сетей
м о щ ь ю программы Microsoft MapPoint и рассмотренного н и ж е средства с открытыми исходными текстами. StumbVerter: Программа преобразования карты для NetStumbler StumbVerter Автор/основной контакт: Michael Puchol; Sonic Security Web-сайт: www.sonar-security.com Платформа: Windows Лицензия: Freeware (аналогична GPL) Рассмотренная версия: 1.5 Список почтовой рассылки: Пошлите пустое сообщение по адресу
[email protected] StumbVerter — небольшая и з я щ н а я программа, которая берет выдачу NetStumbler и преобразует ее в исходные д а н н ы е для программы Microsoft MapPoint. Ее ф у н к ц и о н а л ь н о с т ь ш и р е , ч е м у базовой п р о г р а м м ы NetStumbler. Р а с ш и р е н и я включают: • Отображение точек доступа на карте в виде небольших маяков. • Изображение маяков различного размера и цвета в зависимости от м о щ н о с т и сигнала точки доступа и режима ш и ф р о в а н и я . • Н а л и ч и е кружков для записи заметок и другой и н ф о р м а ц и и . • Н а л и ч и е навигационной и н ф о р м а ц и и , такой к а к скорость, напра¬ вление и расстояние до ближайшей известной точки доступа. • Средство сравнения антенн. Д л я п р и м е н е н и я StumbVerter н е о б х о д и м о и м е т ь легальную лицен¬ з и ю н а Microsoft MapPoint 2002. Я п о н и м а ю , ч т о это н е соответствует духу с в о б о д н о г о п р о г р а м м н о г о о б е с п е ч е н и я , н о р а с ш и р е н и е функци¬ о н а л ь н о с т и в п о л н е с т о и т д о п о л н и т е л ь н ы х $200.00, т р е б у е м ы х MapPoint. И , к о н е ч н о , сама п р о г р а м м а StumbVerter условно свободна. Развивается н е с к о л ь к о п р о е к т о в п о р а з р а б о т к е п р о г р а м м д л я преобра¬ з о в а н и я ф а й л о в NetStumbler во ч т о - н и б у д ь с в о б о д н о е , т а к о е к а к MapQuest и л и MapBlast ( н о н и о д и н и з н и х п о к а н е достиг стадии, по¬ з в о л я ю щ е й в к л ю ч и т ь его в п у б л и к а ц и ю ) . В л ю б о м случае, если необ¬ х о д и м о представлять отчеты руководству, ц в е т н ы е к а р т ы будут более чем уместны.
Установка StumbVerter 1. Прежде чем устанавливать StumbVerter, убедитесь, что установле¬ н ы Microsoft MapPoint и NetStumbler. Без двух этих программ уста413
Курс
Защитные средства с открытыми исходными текстами
новка будет некорректной. Если вы установили их только что, пе¬ резагрузите компьютер. 2. Вы должны также задействовать п р и е м н и к G P S и фиксировать по¬ ступающую от него и н ф о р м а ц и ю в NetStumbler. Чтобы StumbVerter мог что-то сделать с д а н н ы м и , он должен иметь GPS-координаты беспроводных сетей. С их помощью вычисляется расположение графических элементов. 3. Загрузите StumbVerter с прилагаемого к книге компакт-диска или с Web- сайта и распакуйте его. 4. Сделайте двойной щелчок м ы ш ь ю на файле setup, и StumbVerter будет установлен в вашу систему. Когда все будет установлено, м о ж н о начать работать с NetStumbler и StumbVerter.
Применение StumbVerter 1. Ч т о б ы применять StumbVerter, требуются какие-то д а н н ы е дляя отображения. Поэтому прогуляйтесь с NetStumbler и соберите ин¬ ф о р м а ц и ю о своих беспроводных сетях. 2. Сохраните сеанс в NetStumbler и экспортируйте его в текстовый сводный формат. 3. Запустите StumbVerter, сделав двойной щелчок м ы ш ь ю на его и к о н к е на рабочем столе. 4. В меню вверху экрана щелкните м ы ш ь ю на M a p , выберите Create New, а затем выберите свою область. 5. Когда загрузится карта, щелкните м ы ш ь ю на Import и выберите файл .nsi, представляющий сеанс NetStumbler, который вы хотите отобразить. StumbVerter выводит записанные д а н н ы е в графиче¬ ском формате в виде карты (см. р и с . 10.6). Зеленые башенки обозначают шифрующие точки доступа; красные — нешифрующие. Мощность сигнала показана волнами, исходящими с вер¬ ш и н ы иконки: чем больше волн, тем сильнее сигнал. Если сделать одиночный щелчок м ы ш ь ю на определенной точке до¬ ступа, то эта точка станет центральной точкой карты и будет выведен кру¬ ж о к с и н ф о р м а ц и е й . В начале выдается идентификатор набора сервисов сети. После двойного щелчка м ы ш ь ю выводятся все связанные с этой точкой доступа заметки, а вам предоставляется возможность добавить свои комментарии. В м е н ю View имеется несколько опций для манипулирования картой и ее очистки. Н а п р и м е р , м о ж н о удалить важные точки (POIs), которые вставляет MapPoint, если о н и н е требуются в иллюстративных целях. М о ж н о убрать некоторые и н ф о р м а ц и о н н ы е кружки, если вы хотите ото414
Средства для беспроводных сетей
Глава 10
Рис. 10.6. Карта StumbVerter бражать только точки доступа. М о ж н о также применить чертежные сред ства для добавления на карту текста, графики или других объектов. Когда работа над картой будет завершена, ее м о ж н о сохранить либо в собствен¬ н о м формате MapPoint, либо выбрать о п ц и ю CSV, если вы хотите сохра¬ нить карту в текстовом формате, подходящем для экспорта в другие про¬ граммы. Возможность сравнения антенн полезна для сравнения нескольких внешних антенн и л и различных плат со встроенными антеннами, чтобы определить, какие работают лучше. М о ж н о импортировать до трех раз¬ личных файлов NetStumbler, и StumbVerter привяжет их к одним и тем же точкам доступа и отобразит результаты рядом друг с другом (см. рис. 10.7). Это может быть полезно п р и выборе платы и л и антенны, особенно если вы мастерите антенны сами. Теперь, о з н а к о м и в ш и с ь с з а м е ч а т е л ь н ы м и с р е д с т в а м и д л я W i n dows, р а с с м о т р и м средства д л я Linux. Хотя средства д л я Windows лег¬ че устанавливать и п р и м е н я т ь , есть н е к о т о р ы е в е щ и , к о т о р ы е о н и по¬ ка н е делают ( н а п р и м е р , п а с с и в н о е с к а н и р о в а н и е и п о п ы т к и в з л о м а WEP). 415
Курс
Защитные средства с открытыми исходными текстами
Рис. 10.7. Экран StumbVerter п р и сравнении антенн
Kismet Wireless: Программа обнаружения беспроводных сетей для Linux Kismet Wireless Mike Kershaw Автор/основной контакт: www.kismetwireless.net Web-сайт: Большинство Linux Платформы: GPL Лицензия: .4.0.1 Рассмотренная версия: Списки почтовой рассылки:
[email protected] В основном о применении Kismet, а также предложения, обсуждение, объявление новых возможностей и т.д. Для подписки отправьте элек тронное сообщение со словом "subscribe" в теле по адресу
[email protected]. Имеется также архив обсуждений по адресу www.kismetwireless.net/archive.php
[email protected] Список почтовой рассылки для обсуждения беспроводной безопасно сти, уязвимостей и других тем, не связанных непосредственно с Kismet. Для подписки отправьте электронное сообщение со словом "subscribe" в теле по адресу
[email protected]. 416
Глава 10
Средства для беспроводных сетей
Kismet Wireless — один из лучших анализаторов беспроводных сетей для операционной системы Linux. Есть и другие программы, в том числе AeroSniff и Prism2Dump, которые также хорошо работают в Linux. Я вы¬ брал Kismet из-за его растущей базы поддержки и дополнительных моду¬ лей, а также совместимости с разнообразным беспроводным оборудова¬ нием. К а к и Nessus, Kismet Wireless построен в архитектуре клиент-сер¬ вер, что делает его еще более гибким. Еще одной привлекательной чертой применения платформы Linux является возможность в ы п о л н е н и я программ WEPcrack и AirSnort, к о т о р ы е на другие п л а т ф о р м ы п о к а н е п е р е н е с е н ы . Н а мо¬ м е н т п у б л и к а ц и и н е существовало н и к а к о г о п о - н а с т о я щ е м у х о р о ш е г о д о с т у п н о г о п р о г р а м м н о г о о б е с п е ч е н и я с о т к р ы т ы м и и с х о д н ы м и тек¬ стами д л я т е с т и р о в а н и я W E P на п л а т ф о р м е Windows, н о ситуацияя должна измениться. Некоторые возможности Kismet выходят за р а м к и базовой функци¬ ональности такой программы, как NetStumbler. Kismet совместим с рядом других программ и может быть настроен для сбора слабых ключей шиф¬ рования для п о п ы т о к взлома в н е ш н и м и программами. Kismet способен работать даже к а к система обнаружения вторжений, исходящих из вашей беспроводной сети.
Установка сетевой интерфейсной платы и драйверов Прежде чем загружать Kismet, необходимо удостовериться, что ваша плата совместима с этой программой. В настоящее время Kismet работает со следующими беспроводными платами: • D-Link • Linksys (только P C I и P C M C I A ) • RangeLan • Cisco Aeronet • ORiNOCO Теоретически, Kismet должен работать с любой платой, в которой использованы наборы микросхем Prism II и Hermes, а также с платами, которые м о ж н о перевести в режим rf_mon или Monitor, но на практике результаты могут быть различными. Я рекомендую выбрать одну из пере¬ численных в ы ш е плат, чтобы избежать проблем. Теперь начинается самое интересное. Н у ж н о сделать н е с к о л ь к о шагов, чтобы превратить Linux-систему в беспроводной анализатор. Д л я разных аппаратных и п р о г р а м м н ы х к о н ф и г у р а ц и й эти действия н е много различаются. Проверьте д о к у м е н т а ц и ю на Web-сайте Kismet, ч т о бы узнать, нет ли каких-то с п е ц и ф и ч е с к и х и н с т р у к ц и й для вашего обо¬ рудования. 417
Курс
Защитные средства с открытыми исходными текстами
1. Начните с проверки актуальности ваших драйверов P C M C I A (ес¬ ли у вас плата P C M C I A ) . Если у вас не очень старая версия Linux, то, скорее всего, все будет нормально. В д а н н о м примере установ¬ ки используется Mandrake Linux 9.1. 2. Если драйверы нужно обновить, зайдите на сайт www.rpmfind.com и п о и щ и т е файл pcmcia-cs для вашего дистрибутива. Запустите R P M , и он установит самые свежие драйверы. 3. Удостоверьтесь, что все подходящие для вашей платы беспровод¬ н ы е драйверы загружены. Беспроводные драйверы для Linux под¬ держиваются не так хорошо, как для Windows, и обычно не имеют удобного графического интерфейса установки. (Будем надеяться, что ситуация изменится, когда производители добавят поддержку для Linux и кто-нибудь создаст R P M для установки драйверов.) М н е пришлось «прикручивать» собственные драйверы, и удо¬ вольствие было ниже среднего. Если возможно, выбирайте одну из поддерживаемых плат; в оперативном доступе имеются подробные инструкции и масса информации о них. Для платы O R i N O C O яя скомпилировал драйвер, имевшийся на приложенном к ней диске. Самые свежие драйверы доступны также по адресу www.orinocowireless.com, а на некоторых других сайтах предлагаются платы на осно¬ ве того же набора микросхем. Если вы используете плату Prism II, то вам потребуются драй¬ веры Linux wlan-ng. И х м о ж н о взять на www.linux-wlan.org. 4. Установите драйверы и все программные к о р р е к ц и и , необходи¬ м ы е для работы платы в режиме монитора, который требуется бес¬ проводным сетевым анализаторам. Этот режим аналогичен режи¬ му прослушивания для Ethernet, он заставляет плату принимать радиоволны, не ассоциируя их с определенной точкой доступа. Следующие инструкции предназначены для платы O R i N O C O , которой требовались коррекции для режима монитора. Справьтесь в документации или в Интернет по поводу других плат. a. Загрузите файл или скопируйте его с прилагаемого к книге ком¬ пакт-диска. b. Чтобы инициировать процесс установки, введите: make c o n f i g
Процедура конфигурирования задаст несколько базовых вопросов о вашей системе. Подразумеваемые значения, как правило, годятся. c. Выполните следующие команды от и м е н и пользователя root: ./Build ./Install 418
Глава 10
Средства для беспроводных сетей
d. Для платы O R i N O C O поверх драйвера требовалось наложить заплату, чтобы обеспечить работу в режиме монитора. Для дру¬ гих плат это может не понадобиться. Заплату м о ж н о взять по ад ресу airsnort.shmoo.com/orinocoinfo.html. e. Если драйвер нуждается в программной к о р р е к ц и и , загрузите корректирующий файл; в противном случае перейдите к шагу 5. f. Распакуйте файл и введите следующую команду: patch -p0 < текущий_корректирующий_файл
5.
6.
7.
8.
9.
Д о л ж н ы скорректироваться все файлы, нуждающиеся в обновлении. Если ключ -p0 не сработает, попробуйте -p1. Войдите в файл беспроводной конфигурации и отредактируйте параметры настройки. Этот файл находится в /etc/pcmcia/config.opts. • Если вы собираетесь использовать плату с Kismet, оставьте эти параметры пустыми. • Если вы хотите применять ее для доступа к своей локальной ба¬ зовой станции, введите в этот файл подходящие для сети на¬ стройки, такие как SSID и т.д. Теперь м о ж н о перезагрузить систему со вставленной в разъем бес¬ проводной платой. Когда это произойдет, д о л ж н ы прозвучать два коротких сигнала, показывающие, что сетевая плата опознана и сконфигурирована. Если вы не услышите сигналы, вернитесь к документации своей платы и убедитесь, что все шаги сделаны правильно. Наберите ifconfig в командной строке. Вы д о л ж н ы увидеть интер¬ фейс wlan01. Если его не видно, вернитесь к документации своей платы и убедитесь, что все шаги сделаны правильно. После того, как вам удастся загрузить драйверы, удостоверьтесь, что ваша беспроводная плата действительно работает. Вы должны иметь возможность выхода в Интернет или эхо-тестирования машин в про водной ЛВС. Если вы не сможете этого сделать, придется вернуться к инструкциям по установке платы. Нужно заставить плату работать, прежде чем устанавливать программное обеспечение Kismet. Необходимо также иметь свежую библиотеку libpcap, чтобы опе¬ р а ц и о н н а я система могла читать пакеты прямо из вашей платы. М н о г и е о п и с а н н ы е ранее в этой книге средства используют этот драйвер, поэтому, если вы его еще не установили, то загрузите его с прилагаемого к книге компакт-диска или с сайта www.tcpdump.org и установите. Н а к о н е ц , вы добрались до ф и н и ш а установки сетевой интер¬ ф е й с н о й платы и драйверов, необходимых для работы Kismet. 419
Курс
Защитные средства с открытыми исходными текстами
Установка Kismet Если все прошло успешно, м о ж н о перейти к установке программы. 1. Загрузите Kismet с прилагаемого к книге компакт-диска или с Web-сайта. 2. Распакуйте дистрибутив. 3. Д л я к о м п и л я ц и и Kismet наберите следующую команду с л ю б ы м и подходящими к о н ф и г у р а ц и о н н ы м и ключами, перечисленными в табл. 10.4. /configure
Табл. 10.4. К о н ф и г у р а ц и о н н ы е ключи Kismet Ключ --disable-curses --disable-panel --disable-gps --disable-netlink --disable-wireless --disable-pcap --enable-syspcap --disable-setuid
--enable-wsp100 --enable-zaurus --enable-local-dumper --with-ethereal=DIR --without-ethereal --enable-acpi
Описание Отключает пользовательский интерфейс на о с нове curses. Отключает р а с ш и р е н и я панели ncurses. Отключает поддержку G P S . Отключает перехват сокетов Linux NetLink (с за¬ платами для prism2/orinoco). Отключает беспроводные р а с ш и р е н и я ядра Linux. Отключает поддержку перехвата посредством libpcap. Использует системную библиотеку libpcap (не рекомендуется). Отключает возможность переустановки действу¬ ющего идентификатора пользователя (не реко¬ мендуется). Включает устройство перехвата — удаленный сенсор WSP100. Включает некоторые дополнительные возмож¬ ности (такие к а к пьезозуммер) для К П К Zaurus. Заставляет использовать локальные средства дампа, даже если присутствует Ethereal. Поддерживает прослушивание Ethereal для про¬ токолирования. Отключает поддержку прослушивания Ethereal. Включает поддержку продвинутого интерфейса конфигурирования и питания ядром Linux. 420
Глава 10
Средства для беспроводных сетей
Эти ключи времени компиляции м о ж н о задавать в инструк¬ ц и и configure для включения или отключения некоторых функций. 4. Когда процесс конфигурирования будет закончен, выполните сле¬ дующие команды от и м е н и пользователя root, чтобы закончить процесс к о м п и л я ц и и и установить программу: make dep make make i n s t a l l
5. Завершив установку программы Kismet, найдите файл kismet.conf, который по умолчанию должен располагаться в /usr/local/etc. В этом файле задаются ваши интерфейсные и протокольные пред¬ почтения. В табл. 10.5 описаны варьируемые параметры. 6. Теперь отредактируйте файл kismet_ui.conf, также находящийся в /user/local/etc. В нем задаются некоторые настройки интерфейса. В табл. 10.6 перечислены возможные варианты. 7. Сохраните оба файла. Теперь все готово к применению Kismet для аудита беспроводной сети. Табл. 10.5. И н т е р ф е й с н ы е и протокольные о п ц и и Kismet Параметр Capture source
Описание Определяет, к а к и е и н т е р ф е й с ы будет прослуши¬ вать Kismet. О б ы ч н о здесь уже д о л ж е н быть за¬ д а н о с н о в н о й б е с п р о в о д н о й и н т е р ф е й с (wlan0). Е с л и вы хотите д о б а в и т ь д о п о л н и т е л ь н ы е ин¬ т е р ф е й с ы , сделайте это в ф о р м а т е source=™n, интерфейс, имя. Например, настройка source=prism2, wlan0, Prism п р е д п и ш е т Kismet слушать wlan0 к а к плату т и п а prism2. В журналах соответствую¬ щ и е д а н н ы е будут ф и г у р и р о в а т ь п о д и м е н е м
Fuzzy encryption
Отображает все и д е н т и ф и ц и р о в а н н ы е пакеты к а к н е ш и ф р о в а н н ы е для станций, п р и м е н я ю щ и х не¬ определенные и л и собственные методы шифрова¬ ния. Обычно эту о п ц и ю оставляют выключенной, если только плата н е считает заведомо шифрую¬ щ и е сети н е ш и ф р у ю щ и м и . Ограничивает круг протоколируемых пакетов. Воспользуйтесь опцией n o i s e l o g , чтобы отбрасы¬ вать все пакеты, которые кажутся и с п о р ч е н н ы м и или фрагментированными из-за шума. В н а с ы -
Prism.
Filtering packet logs
421
Курс
Защитные средства с открытыми исходными текстами
Decrypt W E P keys
щ е н н о й области с множеством помех или при ис¬ пользовании платы без в н е ш н е й антенны это мо¬ жет уменьшить размер журнала. О п ц и я beaconlog отбрасывает все пакеты определенной точки дос¬ тупа, кроме первого пакета радиомаяка. Настрой¬ ка phylog отбрасывает все пакеты физического уровня, которые иногда подхватываются. Допус¬ тима любая к о м б и н а ц и я этих настроек. Расшифровывает перехваченные пакеты данных на лету. Для этого, однако, следует иметь ключ, который иногда м о ж н о добыть с п о м о щ ь ю про¬ граммы AirSnort (описанной далее в этой главе). Для каждой точки доступа требуется отдельнаяя инструкция вида bssid:key
Using an external IDS
где bssid — это MAC-адрес точки доступа, а key — ключ для нее. Посылает пакеты в н е ш н е й системе обнаруженияя вторжений для дальнейшего анализа. В этой инст¬ рукции задается и м е н о в а н н ы й канал, а сетевой системе обнаружения вторжений следует предпи¬ сать чтение из него.
Табл. 10.6. Настройки интерфейса Kismet Настройка Columns
Colors
Описание Определяет, какие столбцы и в каком порядке появятся в интерфейсе Kismet. И з м е н и т е значение columns или c l i e n t c o l u m n s в соответствии с тем, что вы хотите видеть. П о л н ы й с п и с о к столбцов имеется в оперативной справке Kismet. Определяет цвета элементов изображения. И з м е н и т е зна чение c o l o r x x x на требуемый код цвета. Придется немно¬ го поэкспериментировать с этой настройкой, чтобы пра¬ вильно подобрать цвета. (Я нашел, что подразумеваемые значения приемлемы, но не для печати, и заменил их цветами, которые лучше смотрятся на бумаге.)
Применение Kismet Wireless Запустите Kismet, набрав и м я исполнимого файла в командной строке или на терминале X-Window, поддерживающем инструментарий 422
Средства для беспроводных сетей
Глава 10
R-Network L i s t — ( A u t o f i t ) Name p@thflnd3r KrullNetl 1inksys marley <no s s i d ) PARMAS <no s s i d > GR^WirelessNetwo r k SECMAS <no s s i d > : : 0 0 : 0 4 : 7 6 : B B 07:04 Found IP 159.139.90.1 f o r <no s s I d > : :00:04 :76 : BB H 7 : 0 4 Found IP 159.139.90.1 f o r ( n o s s i d > : : 0 0 : 0 4 : 7 6 : B B 07:04 Found IP 159.139.120.13 f o r <no s s i d > : :00 :B0 :D0 :DE : 60 I — B a t t e r y : AC c h a r g i n g 100'/. OhOmOs
via vi via :E3
HRP a ARP HRP v i a TCP
1
Рис. 10.8. Основной э к р а н Kismet Wireless Curses. Отобразится основной интерфейс (см. рис. 10.8). Kismet немед¬ ленно начнет сообщать обо всех беспроводных сетях в вашей округе и вы¬ давать и н ф о р м а ц и ю о них. В интерфейсе м о ж н о выделить три основные части. Раздел Network List слева отображает все активные в текущий момент беспроводные сети, которые Kismet смог увидеть, и основную и н ф о р м а ц и ю о них: SSID сети ( если доступен), т и п ( точка доступа и л и узел), шифруется о н а и л и нет с п о м о щ ь ю WEP, используемый канал вещания, число перехваченных до сих пор пакетов, любые флаги н а данных и объем данных, проходящих через сеть. Вывод кодируется цветом: активные сети отображаются крас¬ н ы м цветом, а неактивные — черным. В поле Info справа отображается общая статистика текущего сеанса перехвата, включая общее число обнаруженных сетей, общее число паке¬ тов, число пакетов, которые были з а ш и ф р о в а н ы , услышанные слабые се¬ ти, пакеты с высоким уровнем шума, отброшенные пакеты и среднее чис¬ ло пакетов в секунду. Поле Status внизу содержит прокручивающееся представление про¬ исходящих событий. С о о б щ е н и я всплывают, когда появляются новые се¬ ти и л и происходят другие события. Так к а к Kismet — средство командной строки, хотя и с графическим интерфейсом, для управления его ф у н к ц и я м и применяются клавишные команды. В табл. 10.7 перечислены клавишные команды, доступные и з основного экрана. 423
Курс
Защитные средства с открытыми исходными текстами
Табл. 10.7. К л а в и ш н ы е команды Kismet Клавишная команда
Описание
a
Выдает статистику числа пакетов и распределения кана¬ лов. Открывает клиентское всплывающее о к н о для отображе¬ н и я клиентов выбранной сети. Предписывает серверу начать извлечение из потока паке¬ тов цепочек печатных символов и их отображение. Открывает всплывающее о к н о на серверах Kismet. Это позволяет одновременно контролировать два или не¬ сколько серверов Kismet на различных хостах ( н а п о м н и м , что это архитектура клиент-сервер). Находит центр сети и отображает компас. Группирует помеченные в д а н н ы й момент сети. Выдает список возможных команд. Выдает подробную и н ф о р м а ц и ю о текущей сети или группе. Показывает уровни с и г н а л / м о щ н о с т ь / ш у м , если плата их сообщает. Отключает звук и речь, если они включены (или включает их, если они были перед этим выключены). Ч т о б ы этим пользоваться, в конфигурации д о л ж н ы быть включены звук или речь. Переименовывает выбранную сеть или группу. Выдает т и п ы пакетов по мере их получения. Выводит столбчатую диаграмму темпа порождения паке¬ тов Изменяет способ сортировки списка сетей. Помечает текущую сеть или снимает метку с нее. Исключает текущую сеть из группы. Выдает все предыдущие сигналы и предупреждения. Увеличивает панель вывода сети на весь экран (или воз¬ вращает ей нормальный размер, если она уже увеличена).
c d e
f g
h i l m
n p
r s t u w z
К а к отмечено в ы ш е , м о ж н о расширить представление и н ф о р м а ц и и о каждой обнаруженной сети, чтобы показать все детали определенной точки доступа, вводя i в командной строке. На рис. 10.9 воспроизведена эта выдача. С п о м о щ ь ю команды z м о ж н о расширить поле сети на весь экран и видеть дополнительную и н ф о р м а ц и ю о каждой сети, например произво424
Глава 10
Средства для беспроводных сетей
Рис. 10.9. Экран Kismet с подробными д а н н ы м и о сети дителя обнаруженного оборудования. Это облегчает группирование точек доступа, если вы пытаетесь следить л и ш ь за определенной частью из них и хотите иметь возможность отфильтровывать другие. Это делается с по¬ м о щ ь ю команд g и u, служащих для включения и удаления из группы со¬ ответственно. Удобно работать с поддержкой звука — звуковой сигнал подается при обнаружении новых сетей. Звук м о ж н о отключить с п о м о щ ь ю коман¬ ды m, если вы то и дело входите и выходите из области приема множест¬ ва сетей, иначе вы получите к а к о ф о н и ю сигналов!
Поддержка GPS в Kismet Kismet способен записывать данные G P S , если имеется п р и е м н и к G P S , подключенный к м а ш и н е . Для его чтения требуется программное обеспечение демона G P S для Kismet, G P S D . G P S D м о ж н о взять по адре¬ су http://russnelson.com/gpsd/. Необходимо включить поддержку G P S при к о м п и л я ц и и Kismet с п о м о щ ь ю параметров времени к о м п и л я ц и и , приве¬ денных выше в табл. 10.4. После этого Kismet будет автоматически добы¬ вать координаты услышанных сетей и протоколировать их. М о ж н о сделать еще один шаг и отобразить эти координаты на карте, так же к а к для программы в Windows. Kismet поставляется со встроенной программой G P S M A P , которая автоматически изображает собранные данные на картах в формате .gps. Для этого, правда, требуется предоста¬ вить собственную откалиброванную G P S - карту. Для построения карт в Linux имеется программа с открытыми исходными текстами GPSDrive. Ее м о ж н о загрузить со страницы http://gpsdrive.kraftvoll.at/index.shtml. 425
Курс
Защитные средства с открытыми исходными текстами
Kismet как система обнаружения вторжений Kismet м о ж н о настроить как беспроводную систему обнаруженияя вторжений, перехватывающую входящие сигналы и обнаруживающую беспроводной трафик, ассоциированный с агрессивным объездом или и н о й подозрительной беспроводной активностью. Kismet обнаруживает около 10 различных видов трафика, включая опросы NetStumbler, а также активность Airjack и других беспроводных хакерских средств. В настоя щее время эти возможности Kismet довольно ограничены, но м о ж н о ожи¬ дать их развития в будущем. И поскольку исходные тексты открыты, все¬ гда м о ж н о расширить функциональность самостоятельно, запрограмми¬ ровав собственные сигналы тревоги. Е щ е одна возможность — передать по каналу д а н н ы е Kismet т р а д и ц и о н н ы м системам обнаружения вторже¬ н и й , таким как Snort, для более детального анализа. Ф у н к ц и и обнаруже н и я вторжений задаются в файле kismet.conf и по умолчанию отключены. Kismet м о ж н о настроить и для сбора известных криптографически слабых ключей для такой программы, как AirSnort, — следующего средства, представленного в этой главе, которое анализирует беспроводные пакеты и пытается взломать ш и ф р о в а н и е WEP. AirSnort: Программа восстановления ключей шифрования WEP AirSnort Исходные авторы/основной контакт: Jeremy Bruestle и Blake Hegerle Web-сайт: http://schmoo.airsnort.org Платформы: Большинство Linux Лицензия: GPL Рассмотренная версия: 2.4.22 Авторы разработали AirSnort как практическое приложение для де¬ монстрации слабых мест в W E P — протоколе ш и ф р о в а н и я для беспровод¬ ных сетей. В статье, озаглавленной «Слабые места алгоритма генерации ключей RC4», н а п и с а н н о й специалистами по криптографии Флюхрером, М а р т и н о м и Ш а м и р о м , детализированы теоретические слабости алго¬ ритма W E P и показано, что некоторые векторы и н и ц и а л и з а ц и и будут слабыми. Пакеты, з а ш и ф р о в а н н ы е с п о м о щ ь ю слабых векторов инициа¬ лизации, м о ж н о собрать и со временем накопится достаточно данных дляя экстраполяции разделяемого секретного ключа. Это позволяет легко рас¬ шифровывать пакеты. Вскоре после опубликования статьи были выпуще¬ н ы два средства, AirSnort и WEPCrack, эксплуатирующие о п и с а н н ы е сла¬ бости для восстановления ключей WEP, фактически — взламывающие WEP. Оба средства хороши, но AirSnort обладает некоторой дополнитель426
Глава 10
Средства для беспроводных сетей
н о й функциональностью к а к беспроводной сетевой анализатор. AirSnort сейчас — проект с открытыми исходными текстами, базирующийся по адресу SourceForge.net, с момента своего появления он существенно рас¬ ш и р е н и улучшен. Поскольку на платформе Windows подобных средств нет, для тестирования W E P в настоящее время имеется л и ш ь два ж и з н е способных варианта — AirSnort и WEPCrack.
Применение AirSnort Зачем применять AirSnort в собственной беспроводной сети? Может создаться впечатление, что у этой программы нет законного п р и м е н е н и я , а ее единственное назначение — служить инструментом взлома. Однако яя считаю, что единственный способ узнать, каким опасностям подвержена ваша беспроводная сеть, — делать то, что делают хакеры, чтобы прове¬ рить, м о ж н о ли взломать ваше ш и ф р о в а н и е , и сколько для этого потребу¬ ется времени. AirSnort позволяет сделать и м е н н о это. Пытаясь взломать беспроводное ш и ф р о в а н и е , м о ж н о уяснить, на¬ сколько это реально. П р и использовании стандартного W E P — это просто вопрос времени. Математически установлено, что в некоторой точке его м о ж н о взломать с п о м о щ ь ю данного средства. Вопрос только в том, сколько на это потребуется времени. Если нужно много времени, то мож¬ но обоснованно считать, что вы достаточно з а щ и щ е н ы . Если т р а ф и к в ва¬ шей беспроводной Л В С небольшой, то на взлом может уйти несколько дней или даже недель. Это делает вашу сеть практически неинтересной для большинства случайных хакеров. Однако если сеть используется ин¬ тенсивно, то кто-нибудь сможет собрать достаточное количество пакетов, чтобы взломать ее через несколько часов или за день. З н а н и е этого поможет вам лучше обезопасить свою сеть, обосновать необходимость внедрения дополнительных средств защиты, таких к а к усиление физического контроля или ограничение трафика, а также обно¬ вления беспроводного оборудования. Устройство Cisco Aeronet использу¬ ет разновидность WEP, называемую L E A P , для улучшения и исправленияя слабостей исходного протокола WEP. Беспроводная сеть, основанная на этом протоколе, должна быть невзламываемой, по крайней мере с помо¬ щ ь ю легко доступных средств. Вы можете определить, что уровень ваше¬ го трафика делает непрактичным взлом ш и ф р о в а н и я . В любом случае, з н а н и е сделает ваш сон более с п о к о й н ы м .
Установка AirSnort Приведение в рабочее состояние драйверов и программного обеспе¬ ч е н и я для AirSnort может быть весьма трудоемким. Требования AirSnort 427
Курс
Защитные средства с открытыми исходными текстами
по сути те ж е , что и у Kismet. Вернитесь к разделу «Установка сетевой ин¬ терфейсной платы и драйверов» и следуйте о п и с а н н о й там процедуре. Когда все будет сделано, м о ж н о устанавливать AirSnort. Это — легкая по¬ ловина дела. 1. Загрузите файл программы с прилагаемого к книге компакт-диска или официального Web-сайта и распакуйте его. 2. Перейдите в каталог, в который в ы распаковали файл, и выполни¬ те процедуру ./autogen.sh
3. Станьте пользователем root и запустите make
Программа будет собрана автоматически. Если н е возникнет ошибок, значит, вы успешно установили AirSnort.
Запуск AirSnort AirSnort включает три основных исполнимых файла. • airsnort выполняет работу п о сбору пакетов из некоторого источни¬ ка, обычно беспроводной сетевой платы. • gencases разбирает перехваченные д а н н ы е для выявления слабых ключей. • decrypt выполняет попытки автономного р а с ш и ф р о в а н и я файлов, загруженных и з другого источника. AirSnort воспринимает ф а й л ы других анализаторов беспроводных сетей, если о н и сохраняются в формате pcap. Kismet, н а ш е рекомендуемое беспроводное средства для Linux, будет заранее специально вылавливать интересные для AirSnort пакеты, избавляя от этого шага. Н е обязательно собирать всю совокупность данных за один раз. AirSnort дает возможность сохранить сеанс, открыть его позже и допи¬ сать. Это делает AirSnort особенно о п а с н ы м для беспроводных сетей, т а к как для сбора достаточного для взлома сети количества пакетов н е требу¬ ется проводить весь сеанс без перерыва вблизи вашего здания. Эту дея¬ тельность м о ж н о разделить на небольшие, менее заметные интервалы, предполагая, что ключи в целевой сети меняются н е очень часто. После установки программы AirSnort м о ж н о запустить ее, набрав в командной строке airsnort. Интерфейс — сама простота: один э к р а н , на котором отображаются интересные пакеты и общее число ш и ф р о в а н н ы х и н е ш и ф р о в а н н ы х пакетов. В верхней части показаны такие настройки, как т и п сетевой платы и т.д. Слева м о ж н о изменить некоторые настрой ки, такие к а к размах — число пробных угадываний, которое будет делать 428
Глава 10
Средства для беспроводных сетей
AirSnort для каждого байта ключа при попытках р а с ш и ф р о в а н и я для к л ю чей в 40 или в 128 бит. П о умолчанию используется 3 для 40-битного ш и ф рования и 2 для 128-битного. Если у вас недостаточно данных или избы¬ ток вычислительной м о щ н о с т и , м о ж н о попробовать немного увеличить это значение, но не делайте его больше 4 или 5. Затем м о ж н о откинуться на спинку кресла и собирать пакеты. Н е ждите, что сможете взломать ключи W E P за несколько минут. Ч т о б ы AirSnort сработал успешно, требуется п р и м е р н о от 1500 до 4500 пакетов со слабыми ключами. Это соответствует примерно от 100 до 500 М Б данных. Ч т о б ы собрать столько данных в сети с умеренной нагрузкой, может по¬ требоваться день или больше. В менее загруженной сети на это уйдет зна¬ чительно больше времени, а в более загруженной — существенно меньше. В любом случае потребуется не менее двух часов, а, возможно, и больше. К о н е ч н о , многое зависит и от удачи, поэтому ваши результаты могут варьироваться от часа до бесконечности. К а к правило, на сбор данных стоит затратить примерно столько времени, сколько, по вашему м н е н и ю , затратит его средний посторонний хакер, ж е л а ю щ и й остаться незамечен¬ н ы м . И , конечно, возможность AirSnort возобновлять сеансы позволяет значительно сократить временное о к н о , так как хакеры могут собирать д а н н ы е в несколько приемов. После успешного взлома ключ W E P отображается слева на экране как в текстовом, так и в исходном шестнадцатеричном виде, и сеанс пе¬ рехвата завершается. Счастливого WEP-взлома! Ч т о делать, если вам удастся в ы ч и с л и т ь свои к л ю ч и W E P ? Н е па¬ н и к у й т е , п о т о м у что с л у ч а й н ы е хакеры в б о л ь ш и н с т в е своем н е созда¬ дут вам п р о б л е м . О д н а к о н е о б х о д и м о подумать об у с и л е н и и з а щ и т ы своей б е с п р о в о д н о й сети, ч т о б ы затруднить п о с т о р о н н и м сбор этих д а н н ы х . М о ж н о п р и н я т ь р я д м е р , н а ч и н а я от з а м е н ы о б о р у д о в а н и я до р е к о н ф и г у р и р о в а н и я и и з м е н е н и я р а с п о л о ж е н и я в а ш е й т о ч к и досту¬ па. И с х о д я из к р и т и ч н о с т и д а н н ы х в сети следует выбрать а д е к в а т н ы е меры.
М е р ы по п о в ы ш е н и ю б е з о п а с н о с т и беспроводной ЛВС Весьма в е р о я т н о , что со в р е м е н е м вам придется реализовать бес¬ п р о в о д н у ю технологию. Д а ж е если вы н е собираетесь этого делать, все р а в н о необходимо п е р и о д и ч е с к и проверять сеть, ч т о б ы убедиться, что н и к т о н е завел зловредную точку беспроводного доступа. Хотя приме¬ н е н и е любого беспроводного доступа с в я з а н о с р и с к о м , м о ж н о умень¬ ш и т ь свою н е з а щ и щ е н н о с т ь , п р и н и м а я следующие предупредительные меры. 429
Курс
Защитные средства с открытыми исходными текстами
Включите WEP Ш и ф р у я свои данные, вы заставите хакеров затратить существенно больше времени и усилий, чтобы добраться до ваших беспроводных дан¬ ных и сети. Это отвадит случайных хакеров и заставит злоумышленников провести в вашем районе день или больше, увеличивая вероятность того, что о н и будут замечены персоналом службы безопасности и л и бдитель¬ н ы м и служащими.
Применяйте беспроводное оборудование с улучшенным протоколом шифрования К а к упоминалось выше, в оборудовании Cisco применяется улуч¬ ш е н н а я версия протокола WEP, называемая L E A P , которая показала себяя невосприимчивой к попыткам взлома. Имеется также новый стандарт 802.11i, исправляющий проблемы WEP. К сожалению, 802.11i был одоб¬ рен к а к стандарт совсем недавно, и оборудование на его основе только начало появляться. Если вы можете его приобрести, то сделайте это. Це¬ н ы н е д о л ж н ы существенно отличаться от ц е н более старых устройств в стандартах 802.11a или 802.11b.
Требуйте, чтобы беспроводные пользователи входили через туннель виртуальных защищенных сетей Обычно подобный туннель становится непреодолимым препятстви¬ ем для возможных беспроводных взломщиков. Д а ж е если и м удастсяя взломать ш и ф р о в а н и е WEP, и м придется побороться с ш и ф р о в а н и е м виртуальных з а щ и щ е н н ы х сетей. Некоторые производители (такие к а к SonicWALL с Wi-FiSec) добавили такую возможность в свое оборудова¬ ние. Недостатком является то, что возникает дополнительный уровень сложности для ваших пользователей, затрудняется поддержка гостевых пользователей, так к а к для доступа к беспроводной Л В С и м придется за¬ гружать программное обеспечение клиента виртуальной з а щ и щ е н н о й се¬ ти, а также ключ WEP.
Считайте свою беспроводную сеть недоверенной Так к а к вы н е можете контролировать трафик, приходящий п о воз¬ духу в точки доступа, вы д о л ж н ы относиться к нему так ж е , к а к к общедо¬ ступной стороне межсетевого экрана. Если позволяют средства, помести¬ те межсетевой э к р а н между беспроводной сетью и Л В С (некоторые вари¬ анты с открытыми исходными текстами см. в главе 3) или разместите ее в 430
Глава 10
Средства для беспроводных сетей
своей демилитаризованной зоне. Тогда у вас будет возможность отфильт¬ ровать определенные виды атакующих пакетов, ограничить некоторые виды трафика и отслеживать любую активность на этом интерфейсе.
Регулярно проверяйте свой беспроводной периметр Это особенно важно, если вы находитесь в одной из вышеупомяну¬ тых перегруженных областей. Проверьте, насколько далеко ловится ваш сигнал и перекрывается ли ваша сеть с соседними. Даже если вы офици¬ ально не разрешаете беспроводной доступ, необходимо делать это перио¬ дически, чтобы обнаружить любые неконтролируемые или «неофициаль¬ ные» точки доступа. Беспроводной доступ стал настолько дешевым и про¬ стым в организации, что бездумные или безответственные менеджеры не¬ редко просто идут в местный магазин электроники и устанавливают точ¬ ку доступа для некоторой временной цели, например демонстрации в не оборудованном сетью конференц-зале, подставляя вашу сеть под беспро¬ водную атаку. К р о м е того, помните, что множество новых П К , особенно П К - б л о к н о т о в , поставляются со встроенными платами W i - F i , и их вклю¬ ч е н и е не составляет особого труда. Беспроводной доступ в сети может ис¬ пользоваться без вашего ведома. Беспроводной аудит — единственный способ прояснить ситуацию.
Переместите точки доступа Иногда простым перемещением базовой станции во внутреннее поме¬ щение можно существенно сузить зону распространения сигнала беспро¬ водной сети. Используйте результаты беспроводного аудита для выявленияя проблемных точек доступа. Поэкспериментируйте с размещением, чтобы добиться оптимального приема внутри здания, но минимизировать прием снаружи. Например, если перед вашим зданием располагается большая ав¬ тостоянка, а сзади — заросший деревьями участок, то перемещение базовой станции к задней стене здания сохранит, вероятно, ее доступность для боль¬ шинства внутренних пользователей, но ограничит распространение сигна¬ ла областью, которая не так легко доступна для агрессивных ездоков.
Должным образом сконфигурируйте беспроводную сеть Имеется много возможностей и настроек, которые позволяют суще¬ ственно повысить безопасность. Н е всякое оборудование поддерживает эти возможности, но вот что, тем не менее, м о ж н о сделать. • Отключите ш и р о к о в е щ а н и е SSID. В этом случае пользователь дол¬ ж е н знать идентификатор набора сервисов, чтобы открыть сеанс с 431
Курс
Защитные средства с открытыми исходными текстами
базовой станцией. Это действует как слабый пароль. Однако, если злоумышленник сможет взломать ваше ш и ф р о в а н и е , о н сможет легко получить SSID. • Ограничьте доступ по MAC-адресам. Это затруднит получение до¬ ступа к вашей сети через беспроводную базовую станцию. На боль¬ шинстве базовых станций м о ж н о ограничить доступ для опреде¬ ленных аппаратных MAC-адресов. Это довольно сильный метод аутентификации, так как только пользователи с сетевыми картами подходящих серий смогут получить доступ. Однако администриро¬ вание авторизованных плат может быть обременительным, да и но¬ вым пользователям, п р и ш е д ш и м в о ф и с , доступ будет разрешен не сразу. К р о м е того, если атакующий узнает один из авторизованных MAC-адресов, он сможет подделать его на своей плате и замаски¬ роваться под легального пользователя.
Обучите свой персонал К а к и вообще в компьютерной безопасности, человеческий фактор может быть самым слабым или самым сильным звеном. Убедитесь, что охрана, служащие в п р и е м н о й и другой персонал знают, как определять подозрительное поведение, ассоциированное с агрессивным объездом. Н а п р и м е р , если они заметят кого-то, длительное время сидящего в ма¬ ш и н е на вашей стоянке, возможно, со странной антенной на к р ы ш е , то, весьма вероятно, что о н нацелен на вашу беспроводную сеть. Разработайте также политику и получите с а н к ц и ю на уровне компа¬ н и и на развертывание беспроводных Л В С . Доведите до сведения менед¬ жеров, что им нельзя самостоятельно устанавливать беспроводные Л В С ; и м следует связаться с вами, чтобы получить о ф и ц и а л ь н о е подключение. Они должны понимать, что таким поведением подвергают риску всю ор¬ ганизацию. Зачастую демонстрация является лучшим способом показать опасность неофициального беспроводного доступа. И н ф о р м и р о в а н н ы е сотрудники — лучшая защита.
432
Глава 11
Судебные средства
Глава 1 1 . С у д е б н ы е с р е д с т в а Все средства и методы, ранее о п и с а н н ы е в этой книге, при правиль¬ н о й реализации и бдительной поддержке сделают вашу сеть весьма безо¬ пасной. Н о даже если все сделать верно, нельзя гарантировать абсолют¬ ную безопасность сети. Если атакующий достаточно настойчив или удач¬ лив, он иногда сможет проникнуть внутрь. В н е ш н и е злоумышленники способны эксплуатировать еще не опубликованные уязвимости или пой¬ мать вас в о к н е между объявлением уязвимости и наложением корректи¬ рующей заплаты. К о в а р н ы й сотрудник может применить для проникно¬ вения физические средства, такие как физический доступ к серверу или кража пароля. Могут использоваться и средства морально-психологиче¬ ского воздействия, чтобы с п о м о щ ь ю и з л и ш н е предупредительного сот¬ рудника обойти все ваши меры безопасности и получить несанкциониро¬ в а н н ы й доступ. Что ж е делать, если, несмотря на все ваши приготовле¬ н и я , сеть или система оказались скомпрометированы? П р и условии, что вас не выгнали с работы, это еще не конец света. Взломам подвергаются даже и н ф о р м а ц и о н н ы е системы самых крупных в мире к о м п а н и й с огромным персоналом компьютерной безопасности, поэтому в этом нет ничего постыдного. Однако, теперь ваша задача — ре¬ шить головоломку, определить, как все произошло, заделать д ы р ы в безо¬ пасности и, если необходимо, выследить злоумышленников и принять дополнительные меры. В этом может помочь ряд средств с открытыми ис¬ ходными текстами. Они называются судебными средствами, так как вы пытаетесь определить, что произошло, на основе доступных вам свиде¬ тельств.
Обзор главы Изучаемые концепции: • П р и м е н е н и е судебных средств • К о н ц е п ц и и реагирования на и н ц и д е н т ы • Подготовка к судебному расследованию • Догматы надлежащего судебного расследованияя Используемые инструменты: Fport, lsof, dd, ф а й л ы журналов U N I X и Windows, Sleuth K i t , Autopsy Forensic Browser и The Forensic Toolkit
Применение компьютерных судебных средств После атаки на систему вы захотите определить, как все происходи¬ ло, чтобы предотвратить подобное в будущем. Если хакеры смогли обой¬ ти существующие электронные средства защиты, то, очевидно, где-то в 433
Курс
Защитные средства с открытыми исходными текстами
броне имеется дыра. Сразу может быть неочевидно, где она находится, особенно, если злоумышленники хорошо замели следы. Судебные сред¬ ства помогают обнаружить эти ц и ф р о в ы е следы и найти д ы р ы , чтобы их м о ж н о было заделать.
Очистка и восстановление Если атакующие нанесли повреждения, следует точно определить, что они сделали, узнать, насколько о б ш и р н ы повреждения, и произвести необходимые восстановительные работы. Естественно, не в ваших инте¬ ресах оставлять в сети взломанные хакерами серверы или созданные и м и счета для тайного входа. Судебные средства помогают все это определить и, если атакующий удалил ф а й л ы , восстановить некоторые из них.
Уголовное расследование Если ущерб, нанесенный атакующим, достаточно серьезен, может возникнуть желание начать его уголовное преследование. Простое иска¬ ж е н и е Web-страницы или вторжение обычно не стоят преследования и з за высоких издержек. Однако, если существенно пострадала ваша инфра¬ структура или корпоративная репутация, возможно, имеет смысл выдви¬ нуть уголовное обвинение против атакующего. Ваша страховая компанияя может потребовать, чтобы вы представили полицейский отчет, чтобы вчинить иск. Судебные средства помогут идентифицировать атакующих, так что вы сможете представить отчет и доказательства для их судебного преследования. Есть несколько вопросов, которые необходимо рассмотреть, прежде чем ступить на этот путь. П р и незначительном ущербе вы можете подать заявление в местное отделение полиции. П о м н и т е , что на местном уров¬ не у них зачастую нет ресурсов для надлежащего расследования компью¬ терных преступлений, и вам, возможно, придется проводить большую часть расследования самостоятельно. Для этого м о ж н о применять средст¬ ва из д а н н о й главы. Только будьте осторожны, чтобы не испортить улики, иначе в суде о н и окажутся бесполезными (см. врезку о компьютерном расследовании). Если ущерб велик или злоумышленные действия попадают в разряд федеральных преступлений (связанных, например, с межштатной или международной торговлей), м о ж н о передать дело в ФБР. Контактную и н ф о р м а ц и ю местного отделения Ф Б Р м о ж н о найти в телефонном справоч н и к е или в Web на сайте www.fbi.gov. Если нарушены федеральные законы или материальные потери превысили $25000, ФБР, скорее всего, займет¬ ся вашим делом. В противном случае вас могут переадресовать в местные 434
Глава 11
Судебные средства
правоохранительные органы. Если вы сможете показать некую связь с терроризмом, межштатным мошенничеством (таким к а к кража номеров кредитных карт или маскарад), или некоторые другие элементы, которым Ф Б Р уделяет особое в н и м а н и е , вашим делом могут заняться и при мень¬ ш е м ущербе. Большинство атак едва ли будет серьезно расследоваться; каждый день сообщается о с л и ш к о м большом числе инцидентов, поэто¬ му в Ф Б Р реально уделяют в н и м а н и е только по-настоящему серьезным случаям. Если вы сумели добиться успеха и на злоумышленников заведено уголовное дело, то правильно проведенное расследование становится еще более важным. Применительно к компьютерным преступлениям очень трудно что-либо доказать. В суде весьма сложно обосновать связь между н е к и м и действиями, в ы п о л н е н н ы м и от и м е н и пользователя с определен¬ н ы м идентификатором, и конкретным человеком. Обычно обвинители д о л ж н ы доказать, что человек действительно находился за клавиатурой и использовал этот системный счет, когда имела место атака. В противном случае найдется масса отговорок, таких как «Кто-то использовал мой па роль», «Меня взломали» и т.д. П о в ы ш е н н о е в н и м а н и е уделяется также ре¬ ж и м у сохранения собранных свидетельств, то есть сведений о том, кто имел доступ к д а н н ы м и мог их изменить или подменить. В подобных слу¬ чаях обратитесь в правоохранительные органы, которые могут применить собственные средства сбора данных. М о ж н о также воспользоваться услу¬ гами независимых организаций, способных оказать профессиональную п о м о щ ь при взаимодействии с правоохранительными органами.
Флэми Тех советует: Недостаток знаний опасен! Если вы думаете о предъявлении уголовных обвинений, то не следует немедленно применять средства из этой книги. Кро¬ ме деятельности по блокированию и восстановлению, вы ни¬ к о и м образом не д о л ж н ы искажать свидетельства. Неумелый человек с п о м о щ ь ю этих средств может стереть доказательства или сделать их бес¬ полезными в суде. Представьте себе с ы щ и к а - н о в и ч к а , бродящего на мес¬ те убийства. Никуда не годится! Пусть этим занимаются профессионалы из правоохранительных органов, а вы сможете и м помочь, если понадо¬ бится, воспользовавшись инструментарием и з н а н и я м и из этой главы.
Карьера в судебной информатике Рост компьютерной преступности создал многообещающую область — судебную информатику с отличными перспективами карьерного роста для тех, кто ей интересуется. Потребность в компьютерно грамотных копах нико435
Курс
Защитные средства с открытыми исходными текстами
гда не была столь острой. Если вас привлекает подобная деятельность, есть несколько направлений, по которым можно выдвинуться. Местные правоохранительные органы В полицейских управлениях крупных городов обычно имеются отделы компьютерных преступлений. Чтобы туда устроиться, может потребоваться диплом, где в большей или меньшей степени фигурирует юриспруденция или нечто аналогичное. Однако порой в полиции возникает столь острая ну жда в технических специалистах, что они готовы смягчить требования к опы ту работы в полиции в обмен на технические знания. Федеральные правоохранительные органы Наиболее перспективны должности в области судебной информатики в ФБР Здесь вам придется работать с особо важными делами национального или международного уровня. Обычно ФБР продвигает сотрудников из соб ственных рядов, однако иногда делаются исключения для людей с опреде ленным талантом или положением. Работая в ФБР, вы сможете реально вли ять на компьютерную преступность. Вооруженные силы Если у вас склонность к военной службе, то во всех видах и родах воо руженных сил имеется персонал для борьбы с компьютерной преступно стью. В этом ряду выделяется Отдел специальных расследований ВоенноВоздушных Сил США. Хотя этот отдел ориентирован на преступления и ин циденты в вооруженных силах, его часто привлекают и к гражданским делам, поскольку разные компьютерные преступления могут быть взаимосвязаны. Министерство национальной безопасности Имеется множество новых вакансий и отделов, созданных как часть Ми¬ нистерства национальной безопасности. Работа в правоохранительных орга¬ нах или вооруженных силах зачастую оплачивается хуже, чем аналогичная дея тельность в коммерческой организации, однако многие считают эти должности более престижными. Есть также крупные организации, имеющие собственный персонал для компьютерных расследований. Государственная служба может существенно повысить ваш статус, если вы захотите затем перейти к частной практике или попасть в отдел судебной информатики крупной организации.
Гражданский иск Если вы решите, что уголовное преследование не оправдано, вы мо¬ жете возбудить против хакера гражданское дело. Иногда это единствен¬ н ы й способ заставить злоумышленника прекратить атаки. Если нападе436
Глава 11
Судебные средства
н и е исходит из другой организации, с а н к ц и о н и р о в а н н о , как в случае п р о м ы ш л е н н о г о шпионажа, либо н е с а н к ц и о н и р о в а н н о , как в случае не¬ управляемого сотрудника, обстоятельства могут вынудить вас подать гра¬ ж д а н с к и й иск и собрать достаточно доказательств. Хотя в случае граждан¬ ских дел требования к доказательствам не столь строги, вы все равно обя¬ заны обосновать свои претензии. Средства из д а н н о й главы помогут вам сделать это. Однако в случае серьезных проблем все равно лучше нанять специалиста по судебной информатике, чем пытаться сделать все самому.
Внутренние расследования Если вы подозреваете, что источник вторжения внутренний, его сле¬ дует обязательно проследить, поскольку он крайне опасен для производ¬ ственной деятельности. Внутренний хакер может нанести значительно больший ущерб, чем в н е ш н и й , поскольку зачастую он знает персонал и системы, ему известна и н ф о р м а ц и я , раскрытие или компрометация ко¬ торой может принести максимальный вред организации. П р и м е н я я су¬ дебные средства, вы можете его выследить и предоставить подтверждаю¬ щ и е свидетельства, чтобы оправдать д и с ц и п л и н а р н о е воздействие. Ведь вы не хотите отвечать перед судом на заявление бывшего служащего о не¬ з а к о н н о м увольнении?
Жалобы поставщику Интернет-услуг Если вы решили не возбуждать уголовного или гражданского дела, или если человек, н а п а в ш и й на вашу сеть, продолжает это делать, вы мо¬ жете подать жалобу его поставщику Интернет-услуг и попробовать по крайней мере его отключить. Часто это единственное реальное средство, не требующее больших расходов от организации, подвергшейся атаке ха¬ кера. С п о м о щ ь ю судебных средств из этой главы м о ж н о проследить на¬ рушителя по крайней мере до его поставщика Интернет-услуг, после чего вы можете подать последнему формальную жалобу с требованием при¬ нять дополнительные меры. Большинство поставщиков Интернет-услуг имеют политику надлежащего поведения для своих пользователей, кото¬ рая, естественно, не санкционирует взлом чужих сетей. Если вы сможете продемонстрировать достаточно доказательств, скорее всего, будут пред¬ п р и н я т ы некоторые действия, от предупреждения до ликвидации счета этого пользователя. В связи с необходимостью сохранения т а й н ы персо¬ нальных данных пользователей, они обычно раскрываются л и ш ь по ре¬ ш е н и ю суда, но некоторые поставщики Интернет-услуг охотно идут на сотрудничество для обеспечения и н ф о р м а ц и о н н о й безопасности. Боль¬ шинство крупных поставщиков имеет специальный электронный адрес 437
Курс
Защитные средства с открытыми исходными текстами
для сообщений о ненадлежащем поведении, по которому м о ж н о напра¬ вить свою жалобу. Вы должны убедиться, что собранной информации достаточно, для то¬ го чтобы они могли найти вашего противника. Имеются в виду прежде всего IP-адреса, связанные с определенными моментами времени. Большинство поставщиков Интернет-услуг выделяют IP-адреса динамически и они меня¬ ются всякий раз, когда кто-то входит в сеть. Без информации о времени, со¬ ответствующей их журналам, вам, вероятно, не смогут помочь. Если возмож¬ но, предоставьте несколько значений времени доступа, чтобы можно было скоррелировать пользователя по нескольким точкам данных, так как их фай¬ лы журналов могут быть не синхронизированы с вашими, и время не будет в точности совпадать. Включите также любые другие имеющиеся у вас дан¬ ные, такие как протоколы выполнения команд, места, куда копировались файлы, и т.д. Поставщик Интернет-услуг также может быть жертвой и ему могут потребоваться эти данные для последующего расследования.
В ы р а б о т к а п л а н а р е а г и р о в а н и я на и н ц и д е н т ы Подобно планам резервного копирования и восстановления после ава рий (они ведь у вас имеются, не так ли?), у вас должен быть план реагирова¬ ния на проявления компьютерной преступности. Это поможет вам действо¬ вать правильно, как до инцидента, так и после него, чтобы иметь надежный фундамент и не создавать себе лишних проблем. Это большая тема, которой посвящены специальные книги, но по сути вы должны задокументировать последовательность действий при возникновении инцидента, чтобы вы могли ее выполнить без лишних сомнений, когда что-то произойдет. С ведома руководства создайте план, который описывает ваши дей¬ ствия, если происходят определенные события. Позаботьтесь о том, что¬ бы высшее руководство санкционировало некоторые действия, такие как привлечение правоохранительных органов, иначе ваша работа может ока¬ заться под угрозой. В крупных организациях в реагировании, вероятно, примут участие юристы и отдел по связям с общественностью; тогда дело может быстро уйти из ваших рук, и это хорошо, если вы понимаете свою роль в этом процессе, и другие тоже ее понимают. П л а н действий в общих чертах может выглядеть примерно так: 1. Локализуйте проблему. Убедитесь, что ваш п р о т и в н и к не сможет нанести дополнительный ущерб. 2. Начните предварительные операции восстановления, не забывая д о л ж н ы м образом сохранять все свидетельства. 3. Оцените размер ущерба. Попробуйте быстро определить его де¬ н е ж н ы й эквивалент. Руководство обычно реагирует быстрее, ко¬ гда речь идет о деньгах. 438
Глава 11
Судебные средства
4. Сообщите о проблеме высшему руководству для принятия реше¬ н и я о передаче дела в правоохранительные органы или о проведе¬ н и и внутреннего расследования. 5. Решите, проводить ли расследование собственными силами или привлечь сторонних профессионалов. 6. Продолжите вашу деятельность, проводя внутреннее расследова¬ ние или помогая о ф и ц и а л ь н ы м лицам из правоохранительных ор¬ ганов.
Предварительная подготовка для получения доброкачественных судебных данных К а к и в любом деле, д о л ж н ы е предварительные действия до того, как случится беда, могут значительно облегчить вашу работу. Если протоко¬ лирование и аудит организованы плохо, то ваша судебная деятельность по меньшей мере существенно усложнится или вообще станет невозможной. К о н е ч н о , никому не нравится планировать несчастья, однако выполне¬ н и е следующих рекомендаций впоследствии поможет найти необходи¬ мую и н ф о р м а ц и ю .
Степень подробности журналов Если у вас достаточно дискового пространства и процессорного вре¬ м е н и , включите протоколирование с самым высоким уровнем детализа¬ ц и и , разумным для ваших серверов. Это предоставит значительно больше и н ф о р м а ц и и в случае, если необходимо извлечь что-то из журналов, и бу¬ дет полезно также для устранения серверных проблем. Вы захотите, веро¬ я т н о , отрегулировать настройки, чтобы найти разумный уровень детали¬ зации протоколов. В Windows степень детализации журналов задается с п о м о щ ь ю Event Viewer в Administrative Tools. Щ е л к н и т е м ы ш ь ю на свой ствах каждого типа журналов (application, security, system), и вы сможете задать уровень детализации каждого объекта.
Используйте центральный сервер журналирования Сохранение всех файлов журналов локально на каждом сервере пло¬ хо с нескольких точек зрения. Если атакующий сможет проникнуть в ма¬ шину, то он получит доступ к файлам журналов и сможет изменить их или стереть полностью. Имеются утилиты, которые помогают взломщикам выборочно стирать ф а й л ы журналов с протоколами их деятельности. Ес¬ ли журналы находятся на другом сервере, то в з л о м щ и к должен будет взломать по крайней мере еще одну машину, чтобы до них добраться. П о 439
Курс
Защитные средства с открытыми исходными текстами
пулярная утилита сервера журналов syslog — хорошее средство, и боль¬ шинство серверов, маршрутизаторов, межсетевых экранов и других уст¬ ройств поддерживают этот формат. С точки зрения управления значи¬ тельно легче иметь все журналы на одном сервере для регулярного про¬ смотра, и, кроме того, вы будет знать, что все о н и синхронизированы по одним часам. Это подводит нас к следующему пункту.
Синхронизация времени серверов Вы должны сделать так, чтобы все ваши серверы брали время с цент¬ рального сервера, а не полагались на внутренние часы. Часы П К известны своей неточностью и склонны к дрейфу. Можно применять сетевой прото¬ кол времени (Network Time Protocol — N T P ) , чтобы брать время с централь¬ ного сервера, подписаться на атомные часы в Интернет или поддерживать собственный внутренний сервер времени, чтобы иметь точное время. В этом случае протокольное время будет одинаково для всех серверов, что по¬ зволяет правильно отслеживать последовательность событий. Нет ничего более разочаровывающего, чем попытка восстановить последовательность событий атаки по журналам с множеством несогласованных часов. Настоя¬ тельно рекомендуется использовать общедоступный сервер времени. Боль¬ шинство из них бесплатны и используют атомные часы для повышения точ¬ ности. В этом случае ваши журналы, скорее всего, будут соответствовать внешним файлам журналов, таким как протоколы поставщика Интернетуслуг. Время общедоступных часов можно брать на следующих Web-сайтах: • clock.isc.org • clock.via.net • clock.sgi.net • ttp.nasa.gov • tick.gpsclock.org
Где и с к а т ь с у д е б н ы е д а н н ы е Имеются очевидные места для поиска и н ф о р м а ц и и после компью¬ терной атаки. Начинать надо с м а ш и н ы или м а ш и н , которые были атако¬ ваны. Протоколы и ключевые системные ф а й л ы часто содержат улики, такие как методы и и д е н т и ф и к а ц и я нарушителя. Следует также справить¬ ся во всех задействованных системах обнаружения вторжений. Эти сред¬ ства могут первыми просигнализировать об инциденте. Такие средства, как Tripwire (см. главу 7), могут быть бесценны при в ы я с н е н и и того, что было сделано, и была ли скомпрометирована система. Важная и н ф о р м а ц и я нередко располагается и в самых невероятных местах, таких как каталог пользователя в случае взлома системного счета 440
Глава 11
Судебные средства
или во временных каталогах, созданных вашим противником. Если воз¬ м о ж н о , поместите систему в карантин и прочешите частым гребнем. О п и с а н н ы е далее в этой главе средства помогут выполнить этот процесс. Н е ограничивайтесь только подозрительными компьютерами. Часто есть смысл поискать в других местах, п о м и м о атакованных м а ш и н , чтобы найти и н ф о р м а ц и ю о злоумышленниках. Хотя они могут стереть локаль¬ н ы е журналы на скомпрометированных машинах, иногда м о ж н о найти их следы на соседних серверах или устройствах. Атака редко бывает успеш¬ н о й с первого раза. Обычно атакующий вынужден проверить несколько м а ш и н , чтобы найти уязвимую. Эта активность отражается в файлах жур¬ налов соседних м а ш и н , где в ы можете найти свидетельства зондирующе¬ го сканирования. П р и з н а к и нетипичной активности м о ж н о обнаружить также на маршрутизаторах и межсетевых экранах. Проверьте журналы в окрестности времени вторжения (здесь-то как раз и важна синхронизированность журнальных файлов), в том числе журналы вашего общедоступ¬ ного Web-сервера. Когда хакеры находят уязвимый сервер, они часто за ходят на Web-сайт, ассоциированный с этим доменом, чтобы проверить, кого они взломали. Попробуйте выявить IP-адреса, фигурирующие в раз¬ личных журналах.
Догматы надлежащего судебного анализа Существуют различные приемы и методы выполнения судебного анализа и н ф о р м а ц и о н н ы х систем и множество программных средств, способных помочь в этой деятельности. Однако м о ж н о дать некоторые ос¬ новополагающие рекомендации, которым желательно следовать всегда.
Оперируйте с системой, отсоединенной от сети Если возможно, полностью отсоедините исследуемую систему от се¬ ти во время сбора данных. Если система соединена с сетью, при сборе данных вы можете иметь дело с движущейся целью. Ф а й л ы журналов мо¬ гут заполняться, дисковые области — перезаписываться, а сервисы — от¬ ключаться. В худшем случае, если атакующие все еще имеют доступ к си¬ стеме (а вы никогда не можете быть полностью уверены в обратном), они могут обнаружить вашу активность и замести следы, став неуловимыми. Если система была отключена в результате атаки, вы можете оказать¬ ся под сильным давлением требующих вернуть ее в сеть как м о ж н о быст¬ рее. Для производственных систем, продолжающих работать, также воз¬ м о ж н о сопротивление их отключению. Мера, конечно, непопулярная, но попробуйте отключить систему от сети по крайней мере на время сбора данных. Подождите о к о н ч а н и я рабочего д н я , если необходимо, и объяви441
Курс
Защитные средства с открытыми исходными текстами
те это периодом обслуживания системы. Сделайте к о п и ю подозритель¬ ных данных (если м о ж н о , скопируйте весь жесткий диск). Затем вы може¬ те вернуть систему в эксплуатацию и свести к минимуму длительность ее отключения для пользователей на время выполнения вашей работы. Это подводит нас к следующему пункту.
Работайте с копиями свидетельств П р и м е н я й т е программное обеспечение создания образов данных, такое к а к средство dd, представленное далее в этой главе, чтобы сделать к о п и и свидетельств для работы с н и м и . Если вы планируете возбудить су¬ дебное дело, уголовное и л и гражданское, сделайте две к о п и и и запечатай¬ те одну из них в з а щ и щ е н н ы й контейнер. Это обеспечит целостность сви¬ детельств и сделает ваше дело менее уязвимым для обвинений в незакон¬ ных свидетельствах. К р о м е того, если вы случайно сделаете ошибку и уда¬ лите некоторые важные свидетельства, вы всегда сможете вернуться к за¬ ведомо п о л н о ц е н н о й копии. Если м о ж н о , выполните эти начальные дей¬ ствия в присутствии свидетелей. Лучше всего, если это будет беспристра¬ стная третья сторона. Отпечатайте сопроводительную записку с указани¬ ем имени создателя, даты и времени, а затем фиксируйте каждый момент передачи материалов в другие руки, с подписью и датой.
Применяйте хэши для обеспечения свидетельств целостности П р и создании к о п и й данных и получении других свидетельских файлов есть смысл создавать M D 5 хэши данных и записывать их. Н е к о т о р ы е средства, такие к а к The Coroner's Toolkit (см. раздел о Sleuth K i t далее в этой главе), делают это автоматически. М о ж н о также применить одно из средств ш и ф р о в а н и я , рассмотренных в главе 9, такое к а к P G P или G n u P G . П о м и м о всего прочего, если аутентичность ваших данных будет оспариваться, вы сможете доказать, что к о п и я , с которой вы работали, являлась электронной копией содержимого атакованной м а ш и н ы . Это поможет также выявить различия между файлами и увидеть, н е были ли внесены какие-либо изменения утилитами системного уровня.
Применяйте доверенные загрузочные носители и исполнимые файлы П р и проверке системы целесообразно применять для загрузки дове¬ р е н н ы е носители, такие к а к загрузочный ф л о п п и - д и с к и л и компактдиск. Их м о ж н о создать в процессе установки ОС. Некоторые и з рассма¬ триваемых средств создают собственную загрузочную среду. Это особен442
Глава 11
Судебные средства
но важно, если вы работаете на взломанной системе. Если атакующий с п о м о щ ь ю специальных средств сумел скомпрометировать системные би¬ н а р н ы е ф а й л ы , то все результаты, получаемые от утилит на этом жестком диске, д о л ж н ы считаться подозрительными. П о м и м о возможной переза¬ писи дат файлов и других критичных данных, атакующий мог оставить некоторые временные бомбы или в ы п о л н я ю щ и е с я д е м о н ы , способные вызвать дальнейшие повреждения или стереть свидетельства. М о ж н о создать загрузочный компакт-диск для реагирования на ин¬ циденты, содержащий все необходимые программы. Вам понадобятсяя диски для систем Windows и U N I X , если у вас разнородная среда.
Средства судебного анализа Одна из проблем, с которой сталкиваются компьютерные следовате¬ ли, состоит в том, что обычные файловые утилиты могут необратимо из¬ менить файлы, фактически «смазывая» картину преступления и удаляя нужные вам свидетельства. Например, просмотр файлов с помощью обыч¬ ного редактора изменит такие вещи, как временные метки. Представьте, что кто-нибудь топчется в грязных ботинках на месте реального преступ¬ ления и двигает объекты по всему помещению. То же происходит при ос¬ мотре системы без подходящих средств. Вы не только лишитесь возмож¬ ности принять какие-либо уголовные или гражданские меры, но можете также стереть цифровые следы атакующего. Хакеры часто применяют средства, скрывающие процессы и ф а й л ы от обычных системных утилит, поэтому вам нужны специальные инструменты, действующие вне обыч¬ ной операционной системы, чтобы увидеть больше того, что видит ОС. В последующих разделах представлены средства к а к для Linux, так и для Windows. Сначала м ы рассмотрим несколько судебных средств уров¬ ня операционной системы, а затем — п о л н о ф у н к ц и о н а л ь н ы й инструмен¬ тарий для более глубокого анализа. П о м н и т е , что п р и м е н е н и е средств уровня операционной системы может возвращать неверные или поддель¬ н ы е д а н н ы е , если ваша ОС действительно была скомпрометирована. Fport: Средство идентификации процессов для Windows Fport Автор/основной контакт: Foundstone, Inc. Web-сайт: www.foundstone.com/index.htm?subnav=resources/ navigation.htm&subcontent=/resources/freetools.htm Платформы: Windows NT, 2000, XP Лицензия: Freeware Рассмотренная версия: 2.0 443
Курс
Защитные средства с открытыми исходными текстами
Это небольшое добавление к системе может быть полезно при иссле¬ довании м а ш и н ы на предмет подозрительной активности. Нередко вирус, резидентный в памяти, или троянская программа проявляются как про¬ цесс, в ы п о л н я ю щ и й с я под странным именем или с н е о б ы ч н ы м портом. Fport ищет открытые сетевые порты T C P или U D P и выдает их вместе с идентификатором ассоциированного процесса, именем процесса и мар¬ шрутным именем. Программа Fport аналогична собственной команде Windows netstat за исключением того, что предоставляет несколько боль¬ ш е и н ф о р м а ц и и и позволяет различным образом форматировать вывод для анализа. Это помогает отследить подозрительные программы, кото¬ р ы е открывают сетевые порты на вашей м а ш и н е . Подобное поведение служит признаком троянской программы. К о н е ч н о , не каждый н е о п о з н а н н ы й процесс является вредоносной программой, но желательно понять, что делают странные на вид сервисы, особенно с нестандартными маршрутными п р е ф и к с а м и (отличными от системных каталогов Windows и подобных), странными или хакерскими именами. Программа Fport создана и распространяется к о м п а н и е й Foundstone Corporation, занимающейся разработкой защитного программного обес¬ печения и оказывающей консультационные услуги. К о м п а н и я предлага¬ ет несколько других свободных средств безопасности, и их Web-сайт в л ю бом случае стоит посетить. Хотя исходные тексты программы Fport не вполне открыты (распространяются только бинарные ф а й л ы ) , она услов¬ но свободна, и для ее п р и м е н е н и я в коммерческих целях имеются л и ш ь незначительные ограничения.
Установка Fport Загрузите zip-файл с Web-сайта Foundstone и распакуйте его в от¬ дельном каталоге. Там появятся два файла — и с п о л н и м ы й файл Fport и небольшой и н ф о р м а ц и о н н ы й R E A D M E .
Применение Fport Программа Fport помогает определить, была ли м а ш и н а взломана и откуда пришел нарушитель. Она должна выполняться на ж и в о й системе, то есть включенной и работающей: Fport не может выполняться на стати¬ ческих данных. Д л я запуска Fport в каталоге с и с п о л н и м ы м ф а й л о м введите в ко¬ м а н д н о й строке fport. Будет р а с п е ч а т а н с п и с о к всех п о р т о в , о т к р ы т ы х в д а н н ы й момент, и а с с о ц и и р о в а н н ы х с н и м и п р и л о ж е н и й (см. лис¬ т и н г 11.1). 444
Глава 11
Судебные средства
Листинг 11.1. Выдача Fport Port v2.0 TCP/IP Process t o Port Mapper Copyright 2000 by Foundstone, Inc. http://www.foundstone. com Pid 940 4 4 1348
Process svchost System System WCESCOMM
-> -> ->
Port 135 139 445 990
Proto TCP TCP TCP TCP
4072
WCESMgr
->
999
TCP
1032 1032 1032 4 4072
svchost svchost svchost System WCESMgr
-> -> -> -> ->
1025 1031 1034 1042 2406
TCP TCP TCP TCP TCP
2384
websearch
->
3008
TCP
1144 4072
WCESMgr
-> ->
54321 5678
TCP TCP
2384
websearch
->
8755
TCP
136 1348
javaw WCESCOMM
-> ->
8765 123
TCP UDP
2384
websearch
->
123
UDP
940 1144 1932
svchost
-> -> ->
135 137 1026
UDP UDP UDP
svchost
->
Path C:\WINDOWS\system32\svchost.exe
C:\Program F i l e s \ M i c r o s o f t ActiveSync\WCESCOMM.EXE C:\Program F i l e s \ M i c r o s o f t ActiveSync\WCESMsg.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program F i l e s \ M i c r o s o f t ActiveSync\WCESMgr.exe C:\Program Files\websearch\websearch.exe C:\temp\cmd.exe C:\Program F i l e s \ M i c r o s o f t ActiveSync\WCESMgr.exe C:\Program Files\websearch\websearch.exe C:\WINDOWS\System32\javaw. exe C:\Program F i l e s \ M i c r o s o f t ActiveSync\WCESCOMM.EXE C:\Program Files\websearch\websearch.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe
П р и просмотре этого листинга взгляд скользит п о н о р м а л ь н ы м н а вид в ы п о л н я ю щ и м с я службам и п р о г р а м м а м , пока где-то в середине н е натыкается н а программу cmd.exe, з а п у щ е н н у ю и з каталога Temp. Э т о би¬ н а р н ы й ф а й л к о м а н д н о г о интерпретатора, и ему нечего делать в каталоге Temp. Тот факт, ч т о у службы нет и м е н и , т а к ж е подозрителен. Н а к о н е ц , н о м е р входного порта н е соответствует н и одному и з известных сервисов. 445
Курс
Защитные средства с открытыми исходными текстами
На самом деле, если поискать его в базе данных известных троянских программ в Интернет (www.simovits.com/trojans/trojans.html), м о ж н о об¬ наружить совпадение с номером порта документированной троянской программы. Это служит весомым свидетельством того, что система была взломана. Теперь вы должны решить, нужно ли выключить систему, что¬ бы провести дополнительный судебный анализ. В табл. 11.1 перечислено несколько о п ц и й Fport для сортировки вы¬ вода. М о ж н о также использовать о п ц и ю -h для вывода краткой справоч¬ ной и н ф о р м а ц и и . Табл. 11.1. О п ц и и сортировки Fport Опция -a -ap -i -p
Описание Сортировка Сортировка Сортировка Сортировка
вывода вывода вывода вывода
по по по по
и м е н и приложения. маршруту приложения. идентификатору процесса (PID). номеру порта.
Если процессов много, м о ж н о использовать эти ключи для просмо¬ тра программ с большими номерами портов, характерными для вредонос¬ ного П О . М о ж н о также отсортировать вывод п о маршруту приложенияя или и м е н и , чтобы выявить нестандартные приложения. lsof: Средство идентификации портов и процессов для UNIX lsof Автор/основной контакт: Ray Show Web-сайт: http://freshmeat.net/projects/lsof/ Платформы: Linux и большинство UNIX Лицензия: GPL Рассмотренная версия: 4.68 Зеркалирующие сайты (допускающие анонимный доступ по FTP без об ратного DNS): thewiretapped.net/pub/security/host-security/lsof ftp.tau.ac.il/pub/unix/admin/
Это средство аналогично только что рассмотренному Fport дляя Windows. L S O F (LiSt Open Files) ассоциирует открытые файлы с процессами и пользователями. Оно напоминает команду netstat, но выдает также сетевые порты, используемые сервисом. Это важно при попытке отследить активную программу в сети. Зачастую единственным способом найти неуловимые ошибки является наблюдение за тем, какие сетевые порты открываются. 446
Глава 11
Судебные средства
Средство lsof предустанавливается в некоторых дистрибутивах U N I X и Linux и доступно в ф о р м е R P M на установочных дисках других, таких как Mandrake и RedHat Linux. Чтобы выяснить, установлено о н о или нет, наберите lsof и посмотрите, каков будет ответ.
Установка lsof 1. Загрузите tar-файл с прилагаемого к книге компакт-диска или с официального Web-сайта. Если IP-адрес, с которого выполняется загрузка, н е имеет обратной записи D N S , то основной F T P - с а й т не позволит с н и м соединиться. Попробуйте один и з указанных зеркалирующих сайтов. 2. Распакуйте tar-файл. 3. Вы увидите несколько текстовых файлов и е щ е один tar-файл, что-нибудь вроде lsof_4.68_src. В этом файле содержатся исходные тексты. Распакуйте его и войдите в этот каталог. 4. Прежде чем начинать процесс к о м п и л я ц и и , необходимо выяснить с о к р а щ е н н ы й код вашего диалекта U N I X . Так к а к программа lsof переносима практически на любую версию U N I X , требуется сооб¬ щить, какая разновидность U N I X применяется, чтобы процедура конфигурирования могла настроить ее для вашей системы. Чтобы выяснить коды различных версий U N I X , введите: . / c o n f i g u r e -h
Н а п р и м е р , код Linux — linux (не правда л и , просто?). 5. Когда вы будете готовы, наберите следующую команду: ./configure
код_диалекта^1Х
Программа будет сконфигурирована для к о м п и л я ц и и . 6. Когда конфигурирование закончится, наберите: make
7. Это завершает процесс сборки. Программа lsof готова к употреблению.
Применение lsof Программа lsof имеет множество п р и м е н е н и й и подробную опера¬ тивную справку, а также несколько и н ф о р м а ц и о н н ы х файлов R E A D M E для различных приложений. Однако в д а н н о м разделе рассматриваетсяя л и ш ь несколько специфических команд, полезных для судебных исследо¬ ваний. 447
Курс
Защитные средства с открытыми исходными текстами
Если в ы хотите увидеть все о т к р ы т ы е в д а н н ы й момент ф а й л ы в си¬ стеме и а с с о ц и и р о в а н н ы е с н и м и п р о ц е с с ы , наберите: l s o f -n О п ц и я -n предписывает lsof н е пытаться разрешать з а п и с и D N S дляя каждого IP-адреса, п о д к л ю ч и в ш е г о с я к в а ш е й м а ш и н е . Это существенно ускоряет процесс. П р и м е р н ы й вид выдачи п о к а з а н н а л и с т и н г е 11.2. Листинг 11.2. Вывод к о м а н д ы lsof - n COMMAND xfs atd atd sshd sshd sshd dhcpcd dhcpcd dhcpcd xinetd xinetd
PID 903 918 918 962 962 962 971 971 971 1007 1007
USER FD TYPE xfs 0r DIR daemon r t d DIR daemon t x t REG root cwd DIR root rtd DIR root t x t REG root cwd DIR root rtd DIR root txt REG root cwd DIR root 5u IPv4
xinetd rwhod
1007 1028
root root
rwhod
1028
root
rwhod
1028 t i m
crond crond
1112 1112 1112 nessusd 1166 nessusd 1166 nessusd 1166 init 1 init 1 init 1
root root root root root root root root root
DEVICE 3,1 3,1 3,6 3,1 3,1 3,6 3,1 3,1 3,1 3,1
SIZE 4096 4096 14384 4096 4096 331032 4096 4096 31576 4096 1723
NODE 2 2 273243 2 2 274118 2 2 78314 2
8u unix 0xc37a8540i 1716socket cwd DIR 3,1 4096 61671 rtd
DIR
3,1
4096
61671
cwd
DIR
3,1
4096
61671
cwd DIR lw FIFO 2w FIFO cwd DIR rtd DIR txt REG cwd DIR rtd DIR txt REG
3,1 0,5 0,5 3,1 3,1 3,6 3,1 3,1 3,1
4096
14 1826 1827 4096 2 4096 2 1424003323952 4096 2 4096 2 31384 75197
NAME / / /usr/sbin/atd / / /usr/sbin/sshd / / /sbin/dhcpcd / TCP 127.0.0.1:102 4 (LISTEN) /var/spool/ rwho /var/spool/ rwho /var/spool/ rwho /var/spool pipe pipe / / / / /sbin/init
С о е д и н е н и я н а этом л и с т и н г е выглядят н о р м а л ь н о , в о п р о с ы вызы¬ вает л и ш ь п о д к л ю ч е н и е через службу rwho. Стоит убедиться, что допусти448
Глава 11
Судебные средства
м ы й пользователь применяет команду законно. Если этот счет принадле¬ ж и т кому-то и з нетехнического персонала, может понадобиться дальней¬ шее расследование. lsof м о ж н о также применять для поиска определенного файла. Если в ы хотите увидеть, обращался л и кто-то к файлу паролей, м о ж н о восполь¬ зоваться следующей командой: lsof
маршрут/имя_файла
Замените маршрут/имя_файла маршрутом и именем файла, который вас интересует, в д а н н о м случае — /etc/passwd. Необходимо задать для lsof полное маршрутное и м я , чтобы программа нашла этот файл. Е щ е один вариант п р и м е н е н и я lsof — получение списка всех откры¬ тых сокетов. В этом случае м о ж н о будет увидеть работающий сервер, о ко¬ тором в ы н е знаете. Формат этой команды таков: lsof - i
В результате получается выдача, аналогичная представленной на ли¬ стинге 11.3. Н а нем м о ж н о видеть все в ы п о л н я ю щ и е с я программы, в к л ю чая sshd и nessusd — д е м о н ы для S S H и Nessus. М о ж н о даже видеть отдель¬ н ы е соединения с этими службами. Похоже, что кто-то использует в дан¬ н ы й момент сервер Nessus. Проверив IP-адрес, м о ж н о понять, что это внутренний пользователь. Н а самом деле это ваша собственная машина! Поэтому беспокоиться н е о чем. Листинг 11.3. Вывод команды lsof - i COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME portmap 733 rpc 3u IPv4 1417 UDP *:sunrpc portmap 733 rpc 4u IPv4 1426 TCP *:sunrpc (LISTEN) sshd 962 root 3u IPv4 1703 TCP *:ssh (LISTEN) xinetd 1007 root 5u IPv4 1728 TCP l o c a l h o s t . l o c a l d o main:1024 (LISTEN) rwhod 1028 root 3u IPv4 1747 UDP *:who nessusd 1166 root 4u IPv4 1971 TCP *: 1241 (LISTEN) nessusd 1564 root 5u IPv4 1972 TCP 192.168.1.101:1024>192.168.1.2:1994 (ESTABLISHED)
М о ж н о задать для просмотра определенный IP-адрес или хост, п о мещая знак @ и адрес после ключа - i . Н а п р и м е р , команда lsof
[email protected]/24
отображает все соединения, исходящие из вашей сети, при условии, что ва¬ ша внутренняя сеть в нотации с косой чертой задается к а к 192.168.1.0/24. 449
Курс
Защитные средства с открытыми исходными текстами
Просмотр файлов журналов Необходимо внимательно просмотреть файлы журналов, когда вы ищете признаки беды. Файлы журналов Windows можно найти в разделе Event Viewer из Administrative Tools. В Linux и BSD-вариантах U N I X файлы журналов находятся в каталоге /var/log/. В других вариантах U N I X эти фай¬ лы также могут присутствовать, но их расположение может отличаться. В табл. 11.2 перечислены основные файлы журналов U N I X и их назначение. Табл. 11.2. Ф а й л ы журналов U N I X Файл журнала /var/log/messages /var/log/secure /var/log/wtmp /var/run/utmp /var/log/btmp
Описание Хранит общие системные сообщения. Хранит сообщения аутентификации и безопасности. Хранит историю входов в систему и выходов из нее. Хранит динамический с п и с о к пользователей, нахо дящихся в д а н н ы й момент в системе. Только для Linux. Хранит все неудачные или невер¬ н ы е попытки входа.
Эти файлы могут располагаться несколько иначе или не существовать в других версиях U N I X . Программы также часто создают собственные фай¬ лы журналов, хранящиеся обычно в каталоге /var. Для просмотра этих фай лов и поиска определенных цепочек символов или чисел (таких как IP-адреса и имена пользователей) можно воспользоваться текстовым редактором. В табл. 11.3 перечислены несколько команд уровня операционной системы, которые м о ж н о применять в системах Linux и U N I X для быст¬ рого просмотра этих файлов. Табл. 11.3. К о м а н д ы просмотра Linux и U N I X Команда users w
last
Описание Извлекает из файла utmp и выдает с п и с о к пользователей, находящихся в д а н н ы й момент в системе. Выдает детальную и н ф о р м а ц и ю о пользователях, находя¬ щихся в системе, в том числе: как они вошли (локально или удаленно), IP-адрес, если вход удаленный, какие команды они выполняют. Эта команда очень полезна для п о и м к и н а рушителя «с поличным». Выдает наиболее свежие записи файла wtmp. Это также мо¬ жет быть весьма полезно, чтобы увидеть, кто, когда и на¬ сколько входит в систему. Н а листинге 11.4 приведен пример подобной выдачи. 450
Глава 11
Судебные средства
lastb
Только для Linux. Делает то ж е , что и предыдущая команда, но для файла btmp — протокола неправильных входов. Здесь нарушитель может проявиться в первую очередь, если о н со¬ вершил много неудачных попыток входа. Листинг 11.4. Выдача команды last tony tony tony tony reboot tony tony tony hank hank hank tony larry tony brian hank sam
pts/0 pts/0 pts/0 pts/0 system tty1 pts/2 pts/2 pts/0 pts/0 pts/0 pts/3 pts/3 pts/3 pts/3 pts/5 pts/
10.1.1.1 10.1.1.1 10.1.1.1 10.1.1.1 boot 2.4.18-14 10.1.1.1 10.1.1.1 10.1.1.200 adsl-66-141-23-1 192.168.1.100 192.168.1.139 adsl-65-67-132-2 10.1.1.1 adsl-65-68-90-12 192.168.1.139 dialup-207-218-2
Sun Sep 5 Sun Sep 5 Sun Sep 5 Sun Sep 5 Sun Sep 5 Sun Sep 5 Sat Sep 4 Sat Sep 4 Sat Sep 4 F r i Sep 3 F r i Sep 3 F r i Sep 3 Thu Sep 2 Thu Sep 2 Thu Sep 2 Thu Sep 2 Wed Sep 1
23:06 s t i l l logged i n 22:44 — 23:04 (00:20) 21:08 — 21:16 (00:07) 20:20 — 20:36 (00:16) 17:32 (05:34) 17:29 — down (00:01) 23:02 — 23:34 (00:32) 22:36 — 22:36 (00:00) 12:13 — 12:22 (00:08) 23:53 — 23:53 (00:00) 14:47 — 14:47 (00:00) 09:59 — down (00:01) 22:59 — 23:11 (00:12) 21:33 — 21:49 (00:16) 18:23 — 18:31 (00:07) 14:29 — 15:35 (01:06) 22:24 — 00:40 (02:16)
Следует учитывать, что если ваша система была скомпрометирована, эти программы могут быть заменены троянскими к о п и я м и . Такие про¬ граммы, к а к Tripwire (см. главу 7), способны помочь определить, были ли и с к а ж е н ы системные бинарные файлы. Вы должны сделать заведомо хо¬ р о ш и е к о п и и этих бинарных файлов, чтобы было в о з м о ж н ы м исполне¬ н и е с безопасного загрузочного носителя, а н е из системы. П о м н и т е так¬ же, что атакующие часто будут выборочно редактировать ф а й л ы журна¬ лов, чтобы стереть все следы своей деятельности. Однако если о н и просто удалят ф а й л ы журналов, вы, возможно, сумеете их восстановить. К р о м е того, следует проверить все ф а й л ы журналов, так к а к некоторые новички удаляют л и ш ь часть из них.
Создание копий судебных свидетельств Если в ы убедились, что ваша система была атакована или взломана, то в первую очередь следует немедленно остановить атаку или ограничить р и с к и , которым подвергается эта машина. В идеале это означает отсоеди451
Курс
Защитные средства с открытыми исходными текстами
н е н и е м а ш и н ы от сети для проведения дальнейшего анализа. Если это не¬ возможно, все равно желательно отключить все подозрительные систем¬ н ы е счета, терминировать все н е з а к о н н ы е процессы, и, возможно, забло¬ кировать на межсетевом экране IP-адреса нарушителей, пока вы не уяс¬ ните, что происходит. После устранения непосредственной опасности необходимо сделать к о п и и всех важных данных для просмотра в автономном режиме в соот¬ ветствии с догматами надлежащего судебного анализа, сформулирован¬ н ы м и выше. Нежелательно применять ваши средства к ж и в ы м д а н н ы м , сделайте их полноценную к о п и ю . Для этого требуется создать образ дан¬ ных, а не просто их скопировать. Нежелательно применять встроенные в операционную систему ф у н к ц и и копирования, так как они могут изме¬ нять временные метки файлов и вставлять другую нежелательную инфор¬ мацию. Имеются специальные средства для получения зеркальных к о п и й образов. К сожалению, в настоящее время не существует хорошего вари¬ анта подобных средств с открытыми исходными текстами для платформы Windows (кто-нибудь хочет включиться в хороший проект с открытыми исходными текстами для Windows?). Наиболее популярной программой для Windows является Norton Ghost к о м п а н и и Symantec, которая продает ся п р и м е р н о за $50. В U N I X для этого существует прекрасная программа с открытыми исходными текстами dd, что означает дамп данных. dd: Средство тиражирования дисков и файлов dd Авторы/основные контакты: Web-сайт: Платформы: Лицензия: Рассмотренная версия: Другие ресурсы: Наберите man dd в командной
Paul Rubin, David MacKenzie и Stuart Kem http://mirrors.kernel.org/gnu/fileutils/ Большинство Linux и UNIX GPL Недоступна строке.
Программу dd м о ж н о применять для буквального чтения блоков данных непосредственно с жесткого диска и создания их точных копий. Она напрямую обращается к носителю, без посредничества файловой си¬ стемы, поэтому способна извлечь удаленные д а н н ы е и другие вещи, кото¬ рых файловая система не может видеть. Ее м о ж н о применять для созда¬ н и я побитных к о п и й данных файловых систем U N I X . Поскольку U N I X трактует устройства к а к файлы, то м о ж н о взять весь жесткий д и с к и тира¬ жировать его путем простого копирования файла устройства с п о м о щ ь ю такого средства, как dd. 452
Глава 11
Судебные средства
Установка dd В большинстве операционных систем U N I X устанавливать програм¬ му dd н е требуется, поскольку о н а является частью любой файловой сис¬ темы U N I X . Наберите man dd, чтобы убедиться в ее наличии. Если п о ка¬ кой-то п р и ч и н е ее нет, м о ж н о взять ее с прилагаемого к книге компактдиска и л и к а к часть файловых утилит G N U с приведенного в ы ш е сайта.
Применение dd Есть два способа применения dd. Один из них — побитное копирование данных. П р и этом создается зеркальный образ данных на другом жестком диске или разделе диска. Другой способ — создание одного большого файла. Иногда это удобнее для целей анализа и мобильности. Для верификации можно легко вычислить хэш файла. Этот файл часто называют свидетель ским, и многие судебные программы созданы для чтения данных из него. Основной формат команды dd следующий: dd ^ = в х о д н о й _ ф а й л ^=выходной_файл опции
где вместо входного файла нужно подставить копируемое устройство, вместо выходного — и м я файла, в который производится копирование, а вместо опций — любые о п ц и и dd, которые вы хотите использовать. У dd много о п ц и й ; в табл. 11.4 перечислены основные и з них. Табл. 11.4. Основные о п ц и и dd Опция bs= count=
skip=
conv=
Описание Размер блока. Размер в байтах блока, копируемого за один раз. Подсчет блоков. Сколько блоков копировать. Это полезно, если в ы н е хотите копировать всю файловую систему, по¬ скольку у вас очень большой жесткий д и с к и л и раздел диска или ограниченный объем пространства на целевом носителе. Пропустить заданное число блоков, прежде ч е м начать копи¬ рование. Это также полезно п р и к о п и р о в а н и и части ф а й л о вой системы. Задает любую и з следующих подопций: notrunc — н е обрезать вывод п р и возникновении о ш и б к и . Рекомендуется в большинстве случаев. noerror — н е останавливать чтение входного файла в случае о ш и б к и , такой к а к проблемы с физическим носителем. Так¬ ж е рекомендуется. 453
Курс
Защитные средства с открытыми исходными текстами
sync — требует перед собой команду noerror. Если происходит ошибка, то команда sync подставит на ее место нули, сохра¬ н я я последовательную непрерывность данных. Если вы хотите с п о м о щ ь ю dd скопировать устройство на приводе жесткого диска /dev/hdc на другой привод жесткого диска, устройство hdd, м о ж н о воспользоваться следующей командой: dd -if=/dev/hdc of=/dev/hdd bs=1024
conv=noerror,notrunc,sync
Эта команда копирует содержимое устройства /dev/hdc (вероятно, вашего основного жесткого диска) на устройство /dev/hdd (вероятно, ваш вторичный жесткий диск). Убедитесь, что вы понимаете, какие диски со¬ ответствуют к а к и м устройствам. К а к поясняется во врезке о программе dd, ошибка здесь может обойтись очень дорого! Ф л э м и Тех с о в е т у е т : Будьте очень осторожны с d d ! Н е проявляйте легкомыслия п р и использовании низкоуров¬ невых дисковых средств, таких к а к dd. Одна неверная коман¬ да может легко затереть весь ж е с т к и й диск. Будьте особенно осторожны в о т н о ш е н и и входных и выходных файлов. Если их перепу¬ тать, м о ж н о перезаписать свидетельства и л и сделать кое-что похуже. Н е играйте с dd, если н е владеете основами работы с ж е с т к и м и д и с к а м и , н е знаете, что такое блок и сектор. В отличие от дружественной п о отноше¬ н и ю к пользователям Windows, dd никогда н е переспрашивает дважды, когда вы собираетесь сделать какую-нибудь глупость. Поэтому, к а к хоро¬ ш и й портной, семь раз прочтите руководство и один раз в ы п о л н и т е ко¬ манду.
Если вы вместо тиражирования д и с к о в хотите создать один большой свидетельский файл, примените следующую команду для копированияя файла на новое устройство: dd if=/dev/hdc of=/mnt/storage/evidence.bin
Вероятно, вы захотите смонтировать новое устройство для сохране¬ н и я этого файла. Желательно, чтобы это был совершенно н о в ы й носи¬ тель, чтобы н е испортить свидетельства старыми д а н н ы м и . П о м н и т е , что даже стертые д а н н ы е проявятся при использовании этого средства. Если у вас нет чистого носителя, убедитесь, что п р и м е н я е м ы й носитель тща¬ тельно прочищен с п о м о щ ь ю дисковой утилиты (кстати, dd имеет такую возможность, прочтите о ней в оперативной справке). 454
Глава 11
Судебные средства
Когда все свидетельства собраны, вы готовы к их дальнейшему ана¬ лизу с п о м о щ ь ю судебного инструментария. Есть много великолепных, профессионального уровня коммерческих наборов средств. Имеются так¬ ж е некоторые очень хорошие свободные наборы судебных средств как для Windows, так и U N I X .
о
The Sleuth Kit/Autopsy Forensic Browser: Набор судебных средств для UNIX The Sleuth Kit/Autopsy Forensic Browser Автор/основной контакт: Brian Carrier Web-сайт: www.sleuthkit.org/sleuthkit/index.php Платформы: Большинство UNIX Лицензия: Публичная лицензия IBM Рассмотренная версия: 1.70 Списки почтовой рассылки: The Sleuth Kit User's list Общие вопросы и обсуждение Sleuth Kit. Подписка по адресу http://lists.sourceforge.net/lists/listrinfo/sleuthkit-users The Sleuth Kit Informer list Ежемесячный бюллетень с новостями, советами и рекомендациями. Подписка по адресу www.sleuthkit.org/informer/index.php. The Sleuth Kit Developer's list Для вопросов и обсуждений разработчиков. Подписка по адресу http://lists.sourceforge.net/lists/listinfo/sleuthkit-developers. The Sleuth Kit Announcement list Список рассылки только для чтения с основными объявлениями или вы¬ пусками Sleuth Kit/Autopsy Forensic Browser. Подписка по адресу http://lists.sourceforge.net/lists/listinfo/sleuthkit-announce. The Coroner's Toolkit (TCT) list Информация о TCT, на котором основывается Sleuth Kit. Подписка по ад¬ ресу www.porcupine.org/forensics/tct.htm#mailing_list.
Sleuth K i t Брайана Карьера является собранием различных судебных средств, р а б о т а ю щ и х п о д U N I X . О н содержит части п о п у л я р н о г о Coroner's Toolkit Д э н а Фармера, равно как и вклады других людей, и пре доставляет стильный Web-интерфейс на базе Autopsy Forensic Browser. Sleuth K i t предназначается для работы с файлами данных, такими к а к вы¬ вод дисковых утилит, аналогичных dd, и обладает ш и р о к и м и возможно¬ стями, фактически превосходя некоторые доступные коммерческие про¬ граммы. В число ключевых ф у н к ц и й Sleuth K i t входят: 455
Курс
Защитные средства с открытыми исходными текстами
• Отслеживание различных дел и нескольких следователей • Просмотр ф а й л о в и каталогов, которые были р а з м е щ е н ы в файло¬ вой системе или удалены из нее • Доступ к низкоуровневым структурам файловой системы • Генерация хронологии файловой активности • Сортировка по категориям ф а й л о в и проверяемым р а с ш и р е н и я м • П о и с к в данных образов по ключевым словам • И д е н т и ф и к а ц и я графических образов и создание пиктограмм • П о и с к в базах данных хэшей, включая судебные стандарты N I S T N S R L и Hash Keeper • Создание заметок следователяя • Генерация отчетов
Установка Sleuth Kit 1. Загрузите и распакуйте ф а й л с прилагаемого к книге к о м п а к т - д и с ка или Web-сайта. 2. В этом ж е каталоге наберите: make
Программа автоматически сконфигурирует и скомпилирует себя. В процессе установки она может задать вам несколько воп¬ росов.
Установка Autopsy Forensic Browser Эта программа — графический интерфейсный компонент для Sleuth Kit. Ее применение вместе с Sleuth Kit существенно облегчит вашу жизнь и позво¬ лит порождать привлекательный графический вывод. При желании можно по-прежнему независимо применять средства командной строки Sleuth Kit. 1. Прежде чем начинать установку Autopsy, удостоверьтесь, что инст¬ рументарий Sleuth K i t установлен. 2. Возьмите ф а й л Autopsy с Web-сайта или из каталога /autopsy п р и лагаемого к книге компакт-диска. 3. Распакуйте его с п о м о щ ь ю обычной к о м а н д ы t a r -zxvf . 4. Держите маршрут к программному каталогу Sleuth K i t под рукой и подумайте о том, где разместить «сундук с уликами» — специаль¬ н ы й каталог, где будут располагаться все д а н н ы е рассматриваемо¬ го с п р и м е н е н и е м Sleuth K i t дела. 5. Наберите команду make. Она установит программу и при этом по¬ просит вас указать каталог для хранения данных и каталог, в кото¬ р ы й установлен Sleuth K i t . 456
Судебные средства
Глава 11
Применение Sleuth Kit и Autopsy Forensic Browser 1. Чтобы запустить серверную программу, наберите . / a u t o p s y & в ка талоге autopsy. Сервер будет работать в ф о н о в о м режиме с портом 9999. 2. Скопируйте универсальный локатор ресурсов, который выдается при запуске сервера. О н понадобится для входа в серверную сис¬ тему. 3. Д л я подключения к серверу откройте Web-навигатор и введите U R L , который в ы скопировали и з адресного окна н а шаге 2. О н выглядит примерно так: http://localhost:9999/654378938759042387490587/autopsy
Число между косыми чертами изменяется при каждом запуске Sleuth Kit. После ввода U R L появится основной экран (см. рис. 11.1).
Заведение и протоколирование дела Sleuth K i t вместе с Autopsy Forensic Browser позволяет контролиро¬ вать несколько дел, чтобы м о ж н о было отслеживать различные инциден¬ ты и различных заказчиков. Необходимо завести дело для хранения сви¬ детельских файлов, прежде чем с н и м и м о ж н о будет работать.
;
File
Edit
View
Go
Bookmarks
i t . i .t ;
Back
Forward
i
lools
Window
Help
| $ . http://lacalhost:9999/28250B273l3215897454
T
| ^.Search
^
-
Reload
: ^уногле f Bookmarks ^ M a n d r a k e S o n . ^ M a n d r a k e S t o r e ^ M a n d r a k e E x p e r t ^ M a n d r a k e C l u b ^ M a n d r a k e O n l i n e b o r n e D u l l e r p r j t ' J e r n s n a v e tjeen r e p o r t e d « л т A u t o p s y ana f ' e r l " № r e o x o x is n o t s n o v v n ,
/ м а
Perl 5.6 should be used i f available. If data is missing, r e l o a d the page
AUTOPSY
^.7o)
h t t p : /'ЛлП'Т. sLeu.ti-J-.Lt • i
OPEN CASE
a
^
1
^
NEW CASE
-r:>$v
HELP
Document: Done (0.405 sees)
- Ц } ^
Рис. 11.1. Основной экран Autopsy Forensic Browser 457
Защитные средства с открытыми исходными текстами
Курс
••HE
'• -•- Create A New Case - Мог На ;;;;;; :
File
Edit
: j
^ Back
T
I ^Horne
View
Forward
Go
Bookmarks
i Reload
T
^Bookmarks
look:
\Jl
Ш
^MandrakeSoft
Window
Help
htto^Ocalhost:9999/Z3Z50&27.3-:.2'5897454 t
^MandrakeStore
^
_J
-y Search SB~
M a n d r a k e E x p art ^ M a n d r a k e C k i b
1 ?
ш
. / M a n d r a k e O n ine
^ M a
CREATE A NEW CASE
1.
Enter Case Name (directory name):
2, Enter Description (one line, optional)
|sample
|sampie
Case
3. Enter Investigator Logins (no spaces): a,
t o n y h o w l Bit
b,
.r
f.r
e
g-Г NEW
;::
-.Ь
У_,
И
<M
CASE
|
И Г
C A N C E L
HELP
D o c u m e n t : D o n e (0.4ijG s e e s )
Рис. 11.2. Э к р а н Create a New Case 1. Н а основном экране щелкните м ы ш ь ю на New Case. Появится э к ран заведения нового дела (см. рис. 11.2). 2. Введите название дела. О н о послужит именем каталога, в котором хранятся свидетельские данные. Этот каталог будет создан в ос¬ н о в н о м каталоге для хранения свидетельств, заданном п р и уста¬ новке. 3. П р и желании м о ж н о дать делу полное и м я , которое лучше его ха¬ рактеризует. 4. Необходимо создать по крайней мере один идентификатор следо¬ вателя для доступа к делу. В этом проявляется развитость програм¬ мы. Д а н н а я возможность позволяет подключать к работе над од¬ н и м делом несколько человек и отслеживать доступ и действия ка¬ ждого. Щ е л к н и т е м ы ш ь ю на New Case, чтобы завершить ввод. 5. Когда дело заведено, выводится Case Gallery с отображением всех заведенных вами дел. М о ж н о видеть детали каждого дела, включая следователей, которые с н и м работают. Выберите свое новое дело, щелкните м ы ш ь ю на O K и войдите в него. Теперь вы завели дело, вошли в него и готовы с н и м работать. 458
Судебные средства
Глава 11
Добавление хоста Когда вы вошли в дело, необходимо задать по крайней мере один хост, который вы собираетесь освидетельствовать. Этот хост представляет конкретную исследуемую машину. 1. В Case Gallery щелкните м ы ш ь ю на A d d Host. Появится э к р а н A d d a New Host (см. рис. 11.3). 2. Введите и м я хоста. 3. П р и желании введите краткое описание хоста. 4. Задайте часовой пояс и отклонение часов — расхождение с вре¬ м е н н о й меткой основного файла дела, чтобы Sleuth K i t п о - особо¬ му трактовал временные метки н а хосте. Это может быть очень важно п р и осмотре нескольких серверов с различным временем н а часах. 5. П р и желании добавьте необязательную запрошенную информа¬ цию. 6. Щ е л к н и т е м ы ш ь ю на A d d Host, чтобы добавить хост и вернуться в Case Gallery. 7. Выполните эту процедуру для каждого хоста, на котором имеются данные.
Рис. 11.3. Экран A d d a New Host 459
Курс
Защитные средства с открытыми исходными текстами
Добавление образа Теперь следует добавить образы данных для созданных хостов. Ис¬ пользуйте к о п и и данных, сделанные с п о м о щ ь ю dd, Norton Ghost или ка¬ к о й - либо и н о й утилиты тиражирования данных. 1. Выберите хост на экране Host Gallery и щелкните м ы ш ь ю на O K . 2. Щ е л к н и т е м ы ш ь ю на кнопке A d d Image. Появится э к р а н A d d a New Image (см. рис. 11.4). 3. Введите расположение и данные о файле образа. М о ж н о скопи¬ ровать файл в каталог для этого хоста в хранилище свидетельств или просто создать символьную ссылку на него. Будьте осторож¬ н ы и не перемещайте ф а й л ы образов, особенно больших, слиш¬ к о м часто, так к а к это может привести к потере данных, если во время переноса возникнут проблемы. 4. Выберите тип файловой системы. Это определяет способ, кото¬ р ы м Sleuth K i t смотрит на данные в образе. 5. Sleuth K i t автоматически создает файл хэша. Вы можете в любое время проверить соответствие хэша и данных в файле. Это значи¬ тельно повышает легитимность ваших усилий в суде. 6. Для каждого хоста м о ж н о добавить несколько образов. Например, вам, возможно, понадобится разбить большой д и с к на несколько
Рис. 11.4. Экран A d d a New Image. 460
Глава 11
Судебные средства
файлов образов. Щ е л к н и т е м ы ш ь ю на A d d Image, чтобы добавить образ и вернуться в основное о к н о Case Gallery.
Анализ данных Теперь вы, наконец, готовы приступить к анализу. Может показаться, что работы по настройке слишком много, но вы оцените Sleuth Kit, когда вам придется манипулировать большим числом образов или понадобитсяя быстро выдать определенный фрагмент данных. Перейдите в Image Gallery и щелкните м ы ш ь ю на образе, который хотите анализировать. В табл. 11.5 перечислены т и п ы анализа, который можно выполнять на образах данных. Sleuth K i t в сочетании с Autopsy Forensic Browser — м о щ н о е средство организации и анализа судебных данных на уровне любой профессио¬ нальной лаборатории в стране. В этом разделе затронуты л и ш ь некоторые основные ф у н к ц и и , но об этом замечательном инструменте м о ж н о напи¬ сать целые тома. Здесь не рассмотрены многие команды и ф у н к ц и и . До¬ полнительную и н ф о р м а ц и ю м о ж н о найти в оперативном руководстве и других ресурсах на Web-сайте. На сайте предлагается также ежемесячный бюллетень с интересными статьями и рекомендациями для интересую¬ щихся судебной и н ф о р м а т и к о й . Табл. 11.5. Типы проводимого в Sleuth K i t анализа Тип анализа File Analysis
Keyword Search
File Type
Image Details
Описание Показывает образ в виде файлов и каталогов, которые будет видеть файловая система. Здесь также видны ф а й л ы и п а п к и , которые обычно могут быть скрыты операционной системой. Позволяет искать во всем образе определенные клю¬ чевые слова. Это полезно, если вы ищете определен¬ ную программу или просто у п о м и н а н и е об определен¬ ной вещи. Ю р и с т ы часто пользуются д а н н о й возмож ностью при поиске свидетельств инкриминируемой противозаконной деятельности на принадлежащем подозреваемому жестком диске. Это помогает доволь¬ но быстро найти иголку в стоге сена (см. рис. 11.5). Сортирует все ф а й л ы или производит п о и с к по типу. Это удобно при поиске всех файлов определенного типа, например, J P E G или M P 3 . Выдает все детали изучаемого образа, которые могут пригодиться, например, при восстановлении данных, когда необходимо знать их физическое расположение. 461
Защитные средства с открытыми исходными текстами
Курс
MetaData
Data Unit
Отображает низкоуровневые структуры каталогов и файлов в образе, полезные при поиске удаленного со¬ держимого и просмотре других элементов, которые файловая система обычно не показывает. Позволяет углубиться в любой н а й д е н н ы й файл и просмотреть его реальное содержимое в текстовом или шестнадцатеричном виде.
The Forensic Toolkit: Набор судебных средств для Windows The Forensic Toolkit Автор/основной контакт: Foundstone, Inc. Web-сайт: www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/freetools.htm Платформы: Windows NT, 2000, XP Лицензии: Версия 1.4 — GPL, версия 2.0 — Freeware Рассмотренные версии: 1.4 GPL, 2.0 Freeware The Forensic Toolkit — еще одна замечательная свободная программа к о м п а н и и Foundstone. Этот набор средств полезен при осмотре файловых систем на платформе Windows и сборе и н ф о р м а ц и и для судебного рассле-
Рис. 11.5. Результаты поиска по ключевым словам 462
Глава 11
Судебные средства
дования. Версия 1.4 программы имеет полностью открытые исходные тексты с лицензией G P L . Версия 2.0 условно свободна и может приме¬ няться для коммерческих целей, но имеет ограничения на внесение в программу д о п о л н е н и й и и з м е н е н и й , а ее исходные тексты в настоящее время недоступны. Отметим, что эти средства работают только с ф а й л о в ы м и системами N T F S . Если вы желаете исследовать раздел FAT32, вам придется восполь¬ зоваться другим инструментарием.
Установка The Forensic Toolkit 1. Загрузите соответствующий файл с Web-сайта (версию 1.4 или 2.0, в зависимости от того, нужны ли вам открытые исходные тексты). 2. Распакуйте файл в его собственный каталог. Это завершает уста¬ новку.
Применение The Forensic Toolkit Инструментарий включает различные утилиты командной строки, генерирующие статистические д а н н ы е и и н ф о р м а ц и ю об исследуемой файловой системе. Ч т о б ы выполнить команду, наберите ее в о к н е ко¬ мандной строки (вы д о л ж н ы находиться в соответствующем каталоге). В последующих разделах о п и с а н ы отдельные средства. Afind Эта утилита ищет ф а й л ы по времени доступа к н и м , не изменяя ин¬ ф о р м а ц и ю о доступе, что отличает ее от обычных утилит Windows. Основ¬ н о й формат команды таков: a f i n d каталог_поиска опции
Основные о п ц и и перечислены в табл. 11.6. Табл. 11.6. Основные опции поиска для Afind Опция -f и м я ф а й л а -s X -m X
Описание Выдает и н ф о р м а ц и ю о времени доступа к файлу с за¬ д а н н ы м именем. Отыскивает ф а й л ы , к которым обращались в течение последних X секунд. Отыскивает ф а й л ы , к которым обращались в течение последних X минут. 463
Курс
Защитные средства с открытыми исходными текстами
-d X -a d/m/y-h:m:s
Отыскивает ф а й л ы , к которым обращались в течение последних X дней. Отыскивает ф а й л ы , к которым обращались после ука¬ занной даты и времени. Hfind
Это — средство поиска скрытых файлов в операционной системе Windows. Выдаются файлы, у которых установлен бит атрибута скрытости, а также файлы, скрытые с п о м о щ ь ю специального атрибутного мето¬ да каталога/системы Windows NT. Формат таков: hfind
каталог_поиска
Команда выдает с п и с о к скрытых файлов и дату и время последнего доступа к н и м . Будьте осторожны п р и поиске по всему жесткому диску, так к а к на это может потребоваться много времени. Sfind Средство поиска на жестком диске скрытых потоков данных. О н и отличаются от скрытых файлов, так к а к н е становятся видны на жестком диске, когда в ы щелкаете м ы ш ь ю на опции показа скрытых файлов. С к р ы т ы е потоки данных — особенность N T F S , предоставляющая опре¬ деленным программам доступ к альтернативным потокам данных. Эти ф а й л ы связываются с видимым родительским файлом, н о н е удаляются, когда файловая система удаляет последний. О н и могут применяться дляя сокрытия данных или вредоносного программного обеспечения. Формат команды sfind таков: sfind
каталог_поиска
Если в ы ищете, отправляясь от корневого каталога большого диска, п о и с к может быть весьма длительным. FileStat Эта команда выдает полную распечатку атрибутов файла, включаяя и н ф о р м а ц и ю о безопасности. В каждый момент времени она работает только с одним файлом. Вывод м о ж н о направить по каналу в текстовый файл для дальнейшей обработки. Эта команда выдает довольно много ин¬ ф о р м а ц и и , включая подробные сведения о файловом дескрипторе, кото¬ р ы е обычно н е сообщаются. Н а листинге 11.5 показан пример этой ин¬ ф о р м а ц и и для файла с именем test.txt. 464
Глава 11
Судебные средства
Листинг 11.5. Выдача команды FileStat C r e a t i o n Time 01/10/2004 03:18:40 Last Mod Time 01/10/2004 03:18:40 Last Access Time 01/10/2004 03:18:40 Main F i l e S i z e 11 F i l e A t t r i b Mask Arch Dump complete:Dumping C:\temp\test.txt: SD i s v a l i d . SD i s 188 bytes long. SD r e v i s i o n i s 1 ==SECURITY_DESCRIPTOR_REVISION1 SD's Owner i s Not NULL SD's Owner-Defaulted f l a g i s FALSE SID = TONYVPRDESKTOP/Tony Howlett S-1-5-21--181663460 SD's Group-Defaulted f l a g i s FALSE SID = TONYVPRDESKTOP/None S-1-5-21--181663460--953405037SD's DACL i s Present SD's DACL-Defaulted f l a g i s FALSE ACL has 4 ACE(s), 112 bytes used, 0 bytes f r e e ACL r e v i s i o n i s 2 == ACL_REVISION2 SID = BUILTIN/Administrators S-1-5-32-544 ACE 0 i s an ACCESS_ALLOWED_ACE_TYPE ACE 0 s i z e = 24 ACE 0 f l a g s = 0x00 ACE 0 mask = 0x001f01ff -R -W -X -D -DEL_CHILD -CHANGE_PERMS -TAKE_OWN SID = NT AUTHORITY/SYSTEM S-1-5-18 ACE 1 i s an ACCESS_ALLOWED_ACE_TYPE ACE 1 s i z e = 20 ACE 1 f l a g s = 0x00 ACE 1 mask = 0x001f01ff -R -W -X -D -DEL_CHILD -CHANGE_PERMS -TAKE_OWN SID = TONYVPRDESKTOP/Tony Howlett S-1-5-21--181663460ACE 2 i s an ACCESS_ALLOWED_ACE_TYPE ACE 2 s i z e = 36 ACE 2 f l a g s = 0x00 ACE 2 mask = 0x001f01ff -R -W -X -D -DEL_CHILD -CHANGE_PERMS -TAKE_OWN SID = BUILTIN/Users S-1-5-32-545 ACE 3 i s an ACCESS_ALLOWED_ACE_TYPE ACE 3 s i z e = 24 ACE 3 f l a g s = 0x00 465
Курс
Защитные средства с открытыми исходными текстами ACE 3 mask = 0x001f01ff -R -X SD's SACL i s Not Present Stream 1: Type: Secur i t y Stream name = ?? ? ? S i z e : 188 Stream 2: Type: Data Stream name = ?? ? ? S i z e : 11 Stream 3: Type: Unknown Stream name = ?? ? ? S i z e : 64
Hunt Это средство м о ж н о применять для получения детальной информа¬ ц и и о системе с п о м о щ ь ю возможностей пустого сеанса Windows. П р и оп¬ ределенной степени вседозволенности в вашей системе может выдавать¬ ся важная и н ф о р м а ц и я , такая к а к списки пользователей, разделяемых ре¬ сурсов и запущенных служб. Команда имеет следующий формат: hunt имя_исследуемого_хоста
На листинге 11.6 приведен пример выдачи команды Hunt. Листинг 11.6. Выдача команды hunt share
=
IPC$
—
share
= print$ —
Remote IPC Printer
Drivers
share = SharedDocs share = Pr i n t e r 3 — Acrobat
Distiller
share = Pr i n t e r 2 — Acrobat PDFWriter User = A d m i n i s t r a t o r , the computer/domain
, ,
B u i l t - i n account f o r a d m i n i s t r a t i n g
Admin i s TONYVPRDESKTOP\Administrator User = Howlett, , , 466
Глава 11
Судебные средства
User = Guest, puter/domain
, , B u i l t - i n account f o r guest access t o the com¬
User = H e l p A s s i s t a n t , Remote Desktop Help A s s i s t a n t Account, Account f o r P r o v i d i n g Remote A s s i s t a n c e User = SUPPORT_388945a0, CN=Microsoft Corporation, L=Redmond, S=Washington, C=US, vendor's account f o r the Help
, This i s a
and Support S e r v i c e
User = Tony Howlett,
В списке м о ж н о видеть двух пользователей, которые обычно не ото¬ бражаются в разделе User Account системы Windows: HelpAssistant и SUP¬ P O R T (возможности удаленной п о м о щ и и раздражающая возможность «уведомите службу поддержки», выскакивающая всякий раз, когда про¬ грамма отдает к о н ц ы ) . Это пользователи системного уровня для внутрен¬ них программ. С п о м о щ ь ю данного средства м о ж н о раскрыть других скрытых пользователей, спрятанных к в а л и ф и ц и р о в а н н ы м нарушителем. Это глава не претендует на полноту описания всех возможных судеб¬ ных средств, однако представленных средств достаточно, чтобы выпол¬ нять основные судебные действия практически на любой системе. Дляя тех, кто профессионально работает в д а н н о й области или оказался вовле¬ ч е н н ы м в расследование, имеется много других средств. Х о р о ш и й список судебных средств с открытыми исходными текстами м о ж н о найти по ад¬ ресу www.opensourceforensics.org/.
467
Курс
Защитные средства с открытыми исходными текстами
Глава 1 2 . Еще о п р о г р а м м н о м о б е с п е ч е н и и с открытыми исходными текстами Теперь вы знаете, как сохранять д а н н ы е в безопасности внутри и вне своей сети, как обнаруживать и расследовать атаки на ваши системы и се¬ ти. В этой книге были рассмотрены десятки защитных средств с открыты¬ ми исходными текстами, охватывающие практически все аспекты инфор¬ м а ц и о н н о й безопасности. Однако м ы всего л и ш ь скользнули по поверх¬ ности того, что доступно. В каждой категории я пытался выбрать для де¬ монстрации лучшие (по моему мнению) средства, но часто на выбор име¬ ется масса других. К р о м е того, существуют программные альтернативы с открытыми исходными текстами почти для любого типа приложений, включая текстовые процессоры, управление сетью, мультимедиа и т.д. С п и с о к м о ж н о продолжать и продолжать. В этой, заключительной главе представлены некоторые ресурсы дляя дальнейшего изучения средств безопасности с открытыми исходными текстами. Н а п и с а н о в ней и о том, как войти в сообщество открытого П О .
Р е с у р с ы о т к р ы т о г о ПО Если вы хотите продолжить исследование мира программного обес¬ печения с открытыми исходными текстами, посетите многочисленные доступные Интернет-ресурсы.
Телеконференции USENET USENET является сетью серверов, предоставляющей место для об¬ суждения самых разных тем, таких как политика, развлечения и, конеч¬ но, компьютеры. Эти форумы называются телеконференциями, и они функционируют как разновидность общественных досок объявлений для людей, интересующихся определенной тематикой. Сеть U S E N E T возни кла как дискуссионная техническая группа, и по-прежнему имеется боль¬ ш о е число групп, ориентированных на техническую тематику. Хотя с п а м меры и Web-форумы снизили действенность U S E N E T , все еще остается ряд активных телеконференций U S E N E T , связанных с открытым П О . Для доступа в U S E N E T требуется специальная программа чтения н о востей. В большинство современных Web-навигаторов она встроена. В Internet Explorer в меню Tools выберите M a i l and News, и затем выберите Read News. Для подписки также требуется действующий сервер телекон¬ ференций U S E N E T . Поставщики Интернет-услуг обычно предоставляли этот сервис как часть своего стандартного предложения, и многие продол468
Глава 12
Еще о программном обеспечении с открытыми исходными текстами
жают это делать. Если ваш поставщик этого не делает, то имеются общедо¬ ступные серверы U S E N E T , к которым можно подключаться. Зайдите на сайт www.newzbots.com, чтобы найти подобные серверы. После подписки на сервере можно заглянуть в несколько групп общего характера, которые могут представлять интерес. Есть также множество других групп, связан¬ ных с определенными операционными системами или программами. • comp.sci.opensource • comp.os.linux.advocacy • comp.os.unix.bsd.freebsd.misc • comp.os.unix.bsd.openbsd.misc Стоит также посетить сайт Google Groups (щелкните м ы ш ь ю на Groups на сайте www.google.com). К р о м е доступа к текущим с о о б щ е н и я м и группам, там нашлось место для бывшего сайта Dejanews — архива U S E N E T , начиная с 1992 года. Однако использование U S E N E T постепен но сходит на нет и многие форумы перемещаются на Web-платформу или в модерируемые списки почтовой рассылки, чтобы уменьшить отноше¬ н и е шум/сигнал в корреспонденции.
Списки почтовой рассылки Есть множество списков почтовой рассылки, связанных с открытым П О . Большинство из них ориентированы на конкретные программы. О н и служат для предоставления поддержки и сотрудничества в рамках проек¬ тов. Загляните на Web-сайт или в документацию программы, чтобы уз¬ нать, имеются ли п о с в я щ е н н ы е ей списки почтовой рассылки, и к а к на них подписаться. Д л я средств, рассмотренных в этой книге, подобные списки существуют, о н и указаны в начале описания каждого средства. Имеется также несколько общих списков почтовой рассылки: • Общее обсуждение Linux: http://computers.rootsweb.com/ Для подписки отправьте электронное сообщение по адресу
[email protected] поместив S U B S C R I B E в строке Subject. • Архив почтовой рассылки B S D : http://www.hu.freebsd.org/hu/arch/
Web-сайты Открытому П О п о с в я щ е н а масса Web-сайтов. Есть также несколько хороших сайтов с общей и н ф о р м а ц и е й . Н и ж е представлены несколько замечательных сайтов, с которых м о ж н о начать знакомство с м и р о м про¬ граммного обеспечения с о т к р ы т ы м и исходными текстами. 469
Курс
Защитные средства с открытыми исходными текстами
SourceForge SourceForge (sourceforge.net) — превосходный Web-сайт, предостав л я ю щ и й поддержку проектов открытого П О и и н ф о р м а ц и ю о них (см. рис. 12.1). Его ведет Open Source Development Network, ф и н а н с и р у ю щ а я сайт за счет рекламы и продаж своего программного обеспечения с от¬ к р ы т ы м и исходными текстами. SourceForge содержит форум для обсуж¬ дения открытого П О и множество ресурсов для проектов с открытыми ис¬ ходными текстами. Если у вас есть многообещающая программа с откры¬ тыми исходными текстами, то SourceForge предоставит вам д о м а ш н ю ю страницу, форум, средства управления проектом, место хранения вашей программы для загрузки и много других ресурсов. Все это предоставляет¬ ся бесплатно, хотя имеются некоторые ограничения, связанные с исполь¬ зованием ресурсов. Web-сайт SourceForge — отличное место д л я п р о с м о т р а более 80000 к а т а л о г и з и р о в а н н ы х п р о е к т о в открытого П О . И х м о ж н о искать п о категории и п л а т ф о р м е . Ч а с т и ч н о э т о , к о н е ч н о , сырые идеи с мини¬ м а л ь н о й п о д д е р ж к о й , н о зато есть и т ы с я ч и п о л н о ф у н к ц и о н а л ь н ы х , п р о в е р е н н ы х в р е м е н е м программ. М о ж н о включиться в л ю б о й проект, получить о т к л и к и л и поддержку. SourceForge привлекает сотни т ы с я ч пользователей и создателей самого с о в р е м е н н о г о п р о г р а м м н о г о обес¬ п е ч е н и я с о т к р ы т ы м и и с х о д н ы м и текстами. Если вы затеваете н о в ы й проект, то Web-сайт SourceForge — п р е к р а с н о е место д л я п о и с к а ново¬ бранцев.
Рис. 12.1. Web-сайт SourceForge 470
Глава 12
Еще о программном обеспечении с открытыми исходными текстами
Slashdot Slashdot (www.slashdot.org) — сайт с новостями обо всем, что проис¬ ходит в мире открытого П О . О н создан для крутых программистов, в ос¬ н о в н о м п и ш у щ и х открытый исходный код, и поддерживается их силами. Здесь м о ж н о узнать последние слухи и сплетни, сногсшибательные ново¬ сти, а также познакомиться со всевозможными интересными статьями и м н е н и я м и . Частично это место о б щ е н и я , частично — источник горячих новостей и публикаций, насмешек и комментариев. Н а самом деле, в ле¬ к с и к о н технарей даже вошло выражение «сайт послэшдотили»: это когда сайт захлебывается от трафика после у п о м и н а н и я о нем на Slashdot. Freshmeat Freshmeat (www.freshmeat.net) — серьезный сайт для обсуждения и разработки открытого П О , некоторая к о м б и н а ц и я Slashdot и SourceForge, но меньшего масштаба. Это может быть плюсом для тех, кто напуган раз¬ мерами SourceForge и количеством его возможностей и ресурсов. Здесь также есть статьи и дискуссионные группы, равно к а к и непосредствен¬ н ы е предложения загрузки многих проектов.
Open Source Initiative Open Source Initiative (www.opensource.org) — организация, занимаю¬ щаяся продвижением и уточнением к о н ц е п ц и и разработки программно¬ го обеспечения с открытыми исходными текстами. Она предлагает фор¬ мальное определение того, и з чего должно состоять открытое П О , и сер¬ т и ф и к а ц и ю такого статуса, хотя многие утверждают, что это — движуща¬ я с я цель, и открытое П О п о определению есть нечто постоянно изменяю¬ щееся и неопределяемое. Д о сих пор л и ш ь небольшое число программ по¬ лучили печать их одобрения, н о зато это одни и з наиболее известных, та¬ к и е как Web-сервер Apache и программа Sendmail. Н а мой взгляд, это дви¬ ж е н и е в правильном направлении для будущего открытого П О : только когда м и р открытого П О самоорганизуется и согласится с некоторыми стандартами, о н получит значительную поддержку в корпоративной Аме¬ рике. Стандартизация способствует п р и з н а н и ю .
Free Software Foundation Сайт Фонда открытого программного обеспечения (www.fsf.org) — база одного из двух основных лагерей мира открытого П О . F S F поддер¬ живает проект G N U , а также его о ф и ц и а л ь н ы е программные продукты. 471
Курс
Защитные средства с открытыми исходными текстами
Здесь м о ж н о найти л и ц е н з и ю G P L и узнать все о т о м , к а к она работает. Отстаиваемую Ф о н д о м точку зрения, состоящую в том, что все программ¬ ное обеспечение должно быть свободным, некоторые могут счесть слиш¬ ком радикальной, н о здесь действительно заложили основы большей ча¬ сти доступного на сегодняшний день программного обеспечения с от¬ крытыми исходными текстами. Есть множество других сайтов, посвященных открытому П О , и все время создаются новые. Наберите в любой поисковой м а ш и н е запрос «open source security» или «open source software», и в ы легко в этом убедитесь.
П р и с о е д и н е н и е к д в и ж е н и ю з а о т к р ы т о е ПО Если вы с выгодой для себя воспользовались средствами безопасно¬ сти с открытыми исходными текстами и з этой к н и г и , у вас может возник¬ нуть желание расширить свое участие в этой деятельности. В большинст¬ ве случаев программное обеспечение свободно, и в ы н е обязаны что-ли¬ бо делать в благодарность за полученную выгоду. Однако в создание и поддержку примененного вами программного обеспечения абсолютно добровольно вложена масса времени и сил. Открытое П О продолжает ра¬ ботать и развиваться л и ш ь за счет коллективных усилий. Д л я некоторых, особенно для сотрудников коммерческих программистских к о н ц е р н о в , это звучит как-то по-социалистически, н о п о сути мало чем отличается от деятельности ассоциаций родителей и учителей или мелких бейсбольных лиг. Разработчики — вот кто делает м и р открытого П О прекрасным. Участвуя в этом движении, вы н е только поддержите развитие от¬ крытого П О , н о и заведете новых друзей с близкими вам интересами, ус¬ тановите ц е н н ы е деловые контакты в своей области и по ходу дела многое узнаете об управлении проектами, совместной работе и, конечно, приоб¬ ретете технических з н а н и я и опыт. Чтобы внести свой вклад, н е обязательно быть гуру в программиро¬ вании. Ключевым моментом в содействии преуспеянию движения за от¬ крытое П О является и м е н н о участие, которое может принимать различ¬ н ы е ф о р м ы — от выделения нескольких часов личного времени до пре¬ вращения этого занятия во вторую работу.
Поиск ошибок/бета-тестирование Даже если вы — простой пользователь и н е интересуетесь програм¬ мированием, вы можете помочь развитию средств безопасности с откры¬ т ы м и исходными текстами. В большинстве зрелых проектов есть списки почтовой рассылки для отслеживания о ш и б о к , а в некоторых — более сложные системы для сообщений о проблемах. Если в ы работаете с п р о 472
Глава 12
Еще о программном обеспечении с открытыми исходными текстами
граммой и обнаружите что-то, работающее неправильно, сообщите об этом и проверьте, м о ж н о ли это исправить. В процессе исправления вы поможете разработчикам найти о ш и б к и и улучшить программу. К о н е ч н о , вы д о л ж н ы будете убедиться, что ваша проблема вызвана о ш и б к о й в про¬ грамме, а не в а ш и м промахом при установке, но народ из списка рассыл¬ ки с превеликим удовольствием наставит вас на путь и с т и н н ы й . Чтобы надлежащим образом сообщить об ошибке, проверьте, что вы собрали значения всех переменных окружения, и попытайтесь воспроиз¬ вести ситуацию, чтобы точно определить, при каких условиях возникает ошибка. Такие вещи, как операционная система, версия программы, на¬ стройки, оборудование и т.д., важны. Н е забудьте также предоставить раз¬ работчикам для анализа все сообщения об ошибках, ф а й л ы журналов или образ памяти. М о ж н о заняться и бета-тестированием самых свежих версий. В не¬ которых проектах предлагаются возможности выполнять «стабильный» или «экспериментальный» код. Хотя большинство пользователей пред¬ почтут стабильный код, вы можете стать пионером и проверять экспери¬ ментальные или бета-версии. П о м н и т е , что при использовании этих про¬ грамм могут возникать неожиданные проблемы (например, иногда н о в ы й код будет разрушать вещи, до того работавшие). Если вы собираетесь применять бета-код, то, наверное, лучше запускать его сначала на тесто¬ вой м а ш и н е , а уж потом переносить на производственную. В других проектах бета-код могут распространять ограниченному списку проверяющих, чтобы первыми пользователями кода были люди о п ы т н ы е , сознающие, что они используют бета-версию. Таким образом м о ж н о избежать обычных о ш и б о к новичков, и иметь дело с пользовате¬ л я м и , которые понимают, как работает программа, и могут точно описать свои проблемы. Поэтому вам, вероятно, не стоит предлагать себя в каче¬ стве бета-пользователя, пока вы не получите некоторый опыт работы с этим программным обеспечением. Когда вы будете готовы, попросите ключевых разработчиков внести вас в список. В этом случае вы сможете помочь улучшить программное обеспечение для будущих пользователей. В качестве дивидендов вы получите первенство в доступе к н о в е й ш и м возможностям и п о н и м а н и е того, как дальше должен развиваться проект.
Участие в дискуссионных группах и поддержка других пользователей В большинстве проектов с открытыми исходными текстами есть с п и с о к почтовой рассылки для обсуждений и технических вопросов. Вы д о л ж н ы подписаться на него, даже если пока не планируете участвовать в его работе. Н е обязательно часто писать сообщения, чтобы получить н е 473
Курс
Защитные средства с открытыми исходными текстами
которую выгоду. Вполне допустимо просто наблюдать и читать публикуе¬ м ы е вопросы и ответы. Я многое узнал о программном обеспечении, со стороны наблюдая за дискуссиями в списке почтовой рассылки. Однако, одно предостережение: некоторые из подобных списков весьма активны, в них ежедневно поступают десятки сообщений. Такой объем информа¬ ц и и может оказаться избыточным, особенно если вы и так перегружены, как большинство системных администраторов. Н о даже чтение только случайных, заинтересовавших вас сообщений принесет определенную пользу. Если вы чувствуете, что получаете с л и ш к о м много электронных писем, попробуйте подписаться на дайджест-версию списка — ежеднев¬ н ы е или еженедельные сообщения, содержащие к о м п и л я ц и ю всей кор¬ респонденции. В этом случае вы получите только одно сообщение и смо¬ жете просмотреть его, когда найдется время. Убедитесь также, что вы зна¬ ете, как отменить подписку, прежде чем подписываться, чтобы м о ж н о бы¬ ло быстро отказаться от нее, если объем окажется для вас чрезмерным. В большинстве списков почтовой рассылки при проектах открытого П О в качестве средства управления применяется программный пакет Major Domo (это также проект с открытыми исходными текстами!). Стандартны¬ ми способами для подписки и отказа от подписки в такой системе служат: • Подписка: отправьте сообщение на адрес менеджера списка (обыч¬ но публикуемый на Web-сайте) со словом «Subscribe» в теме и теле письма. Вы можете получить запрос с просьбой подтвердить свое желание быть в списке. После вашего ответа вы начнете получать сообщения. • Отказ от подписки: отправьте сообщение на адрес менеджера спи¬ ска, поместив слово «Unsubscribe» в теме и теле письма. Списки почтовой рассылки бывают модерируемыми и немодерируемыми. В последнем случае все могут посылать сообщения, которые тут же будут появляться в списке. Это лучший вид списка для быстрого получе¬ н и я информации. Однако многие немодерируемые списки быстро засоря¬ ются посторонними сообщениями, спорами и просто взаимной руганью. И м е н н о поэтому большинство списков теперь модерируются. Это означа¬ ет, что человек — модератор списка — должен просматривать каждое сооб¬ щение, решать, имеет ли оно отношение к тематике списка, и одобрять его публикацию. В результате значительно уменьшается о б щ и й объем рассы¬ лаемых сообщений, которые теперь заведомо «в теме», однако ваше обра¬ щ е н и е за помощью может задерживаться на несколько дней, пока модера¬ тор до него доберется. Кроме того, модераторы обычно приостанавливают функционирование списка на время отпуска (они ведь его заслужили), по¬ этому получение ответов в д н и отдыха может быть нерегулярным. Когда вы поймете, что можете участвовать на равных, начинайте по¬ сылать сообщения, отвечать на некоторые простые вопросы и высказывать 474
Глава 12
Еще о программном обеспечении с открытыми исходными текстами
свое мнение. Это снимет часть нагрузки с технически более подготовлен¬ ных разработчиков и расширит базу знаний всего проекта. В конце концов, вы можете иметь опыт применения определенной конфигурации или плат¬ ф о р м ы , которого не имеет никто другой (возможно, вы действуете в не¬ обычной среде), или у вас может быть особое мнение по определенному во просу. Вполне возможно, что кто-то воспользуется вашей помощью. Вам будет приятно помочь другим, и вас поразит, насколько благодарными и любезными будут люди, которым вы помогли. Если бы ваши внутренние пользователи могли быть столь же приятными и признательными!
Предоставление ресурсов для проекта Есть нечто, что вы можете сделать, даже при отсутствии способно¬ стей к программированию и опыта работы с программным обеспечением. Проекты с открытыми исходными текстами обычно л и ш е н ы каких-либо поступлений для покрытия расходов на разработку и сопровождение про¬ граммного обеспечения. Хотя большая часть работы выполняется добро вольцами, остаются вопросы, связанные с размещением Web-сайта проек та, с его аппаратным обеспечением, и многие другие. Опять-таки, обычно большую часть ресурсов безвозмездно предоставляют сами участники проекта. Если у вас есть старая машина, которую можно использовать как Web-сервер, дайте знать ключевым разработчикам. Вы будете удивлены, узнав, что может делать старая машина, выполняя Linux и Apache. Если ва¬ ша организация согласится, подумайте, не могли бы вы предложить раз¬ местить Web-сайт проекта в своей коммуникационной инфраструктуре. Если проект большой, ваша организация едва ли захочет с н и м связывать¬ ся, но для небольших проектов использование полосы пропускания, ско¬ рее всего, будет м и н и м а л ь н ы м и по большей части приходящимся на не¬ рабочее время. Если вы обладаете навыками Web-дизайна, предложите со здать Web-сайт. Если ваш поставщик Интернет-услуг предоставляет бес платное пространство для Web-сайтов, предложите использовать его для проекта. Некоммерческие начинания обычно подпадают под условия об¬ служивания персонального Web-пространства. В конце концов, некото¬ р ы е пакеты открытого П О принимают даже старые добрые зеленые баксы как «пожертвования» за использование программного обеспечения. Вы можете раскрутить вашу организацию на некоторое количество баксов в качестве альтернативы оплаты коммерческого П О . В принципе, все, что придет вам в голову, может пригодиться для проекта открытого П О . Навы¬ ки графического дизайна для создания логотипа, счета электронной поч¬ ты для поддержки списков рассылки, юридическая п о м о щ ь при шлифов¬ ке лицензий — все это конструктивные способы помочь вашему любимо¬ му проекту с открытыми исходными текстами. 475
Курс
Защитные средства с открытыми исходными текстами
Станьте постоянным клиентом организаций, использующих или поддерживающих открытое ПО Хотя вы н е обязаны расходовать средства из вашего бюджета на про¬ граммное обеспечение, в ы все-таки можете потратить деньги на другие вещи. П р и покупке оборудования, программного обеспечения или услуг возьмите за правило в первую очередь рассматривать производителей, ис¬ пользующих или поддерживающих открытое П О . В к о н ц е к о н ц о в , если к о м п а н и я может быть коммерчески жизнеспособной, п р и м е н я я откры¬ тое П О к а к ключевой компонент своих предложений, это только способ¬ ствует делу. Такие к о м п а н и и , к а к Sun, I B M и Dell активно продвигают программное обеспечение с открытыми исходными текстами.
Еще о з а щ и т н ы х с р е д с т в а х с открытыми исходными текстами Теперь вы д о л ж н ы иметь общее представление о к о н ц е п ц и я х инфор¬ м а ц и о н н о й безопасности и о том, к а к применять их в своей организации с п о м о щ ь ю защитных средств с открытыми исходными текстами. Ис¬ пользуя эти программы и и н ф о р м а ц и ю и з настоящей к н и г и , вы сможете значительно лучше защитить свои системы и сети от угроз компьютерной преступности. М ы рассмотрели программы, п о в ы ш а ю щ и е конфиденци¬ альность, целостность и доступность ваших сетей, систем и данных по це¬ не, которая уложится в любой бюджет. Надеюсь, в ы понимаете, что подлинная и н ф о р м а ц и о н н а я безопас¬ ность н е сводится только к программам и технологии. Д л я нее также важ¬ н ы процессы и люди. Только сочетание надлежащих людей, процессов и технологии способно по-настоящему обезопасить вашу сеть. З а щ и т н ы е средства с открытыми исходными текстами могут дать вам лучшее про¬ граммное обеспечение для построения надежного фундамента информа¬ ц и о н н о й безопасности. Д в и ж е н и е за открытое П О ширится день ото д н я , становится все бо¬ лее заметным и легитимным. Надеюсь, что эта книга будет способство¬ вать вашему п р и о б щ е н и ю к делу создания качественных з а щ и т н ы х средств на основе программного обеспечения с открытыми исходными текстами, что вы внесете в него свой вклад. Это доставит вам массу удо¬ вольствия, вы многому научитесь, вам будет п р и я т н о сознавать, что бла¬ годаря вашим усилиям Интернет и сети стали безопаснее. Возможно, в будущей редакции этой к н и г и важнейшее место будет отведено написан¬ ному вами защитному средству с открытыми исходными текстами.
476
Приложение A
Лицензии для ПО с открытыми исходными текстами
Приложение A Л и ц е н з и и д л я ПО с о т к р ы т ы м и и с х о д н ы м и т е к с т а м и Это приложение содержит Генеральную публичную лицензию G N U и Л и ц е н з и ю открытого П О B S D . И х м о ж н о найти в Web по адресам www.gnu.org/licenses/gpl.html и www.opensource.org/licenses/bsd-license.php, соответственно. Генеральная публичная лицензия G N U ( G P L ) Перевод на русский я з ы к м о ж н о найти в переводе документации Linux: http://www.linux.org.ru/books/GNU/licenses/gplrus.htm или http://www.opennet.ru/base/rel/gplrus.txt.html Л и ц е н з и ю открытого П О B S D Перевод на русский я з ы к м о ж н о найти по адресу http://cylib.iit.nau.edu.ua/Mirrors/ask.km.ru/unics/bsd.html
477
Курс
Защитные средства с открытыми исходными текстами
Приложение B О с н о в н ы е к о м а н д ы Linux/UNIX В таблицах этого приложения перечислены некоторые основные ко¬ манды L i n u x / U N I X . В различных дистрибутивах могут встречаться не¬ большие различия в синтаксисе, а всего команд очень много, гораздо больше, чем здесь приведено. Дополнительную и н ф о р м а ц и ю о любой ко¬ манде м о ж н о найти в руководствах пользователя, оперативных ресурсах или с п о м о щ ь ю инструкции man
команда
набранной в командной строке. Табл. B.1. К о м а н д ы навигации в файловой системе Команда cd маршрутное_ имя каталога ls ls - l pwd
Описание Переход в указанный каталог, который становится текущим. Выдает краткий вариант данных о файлах текущего каталога. Выдает с п и с о к файлов с детальной и н ф о р м а ц и е й . Выводит имя каталога, в котором вы находитесь.
Табл. B.2. К о м а н д ы просмотра файлов Команда cat имяфайла less имяфайла pico
имяфайла
Описание Выдает на э к р а н содержимое указанного файла Открывает файл для просмотра в режиме только для чтения (только системы Linux). Открывает файл в текстовом редакторе.
Табл. B.3. К о м а н д ы манипулирования с каталогами и ф а й л а м и Команда cp -r исходный _ каталог целевой_ каталог cp исходныйфайл целевойфайл mkdir имякаталога
Описание Копирует содержимое всего исходного каталога в целевой. Копирует исходный файл в целевой. Создает н о в ы й каталог с указанным именем. 478
Приложение B
Основные команды Linux/UNIX
mv маршрутное_ имя_исходного_ файла маршрутное_ имя целевого файла rm имяфайла rmdir имя rmdir -rf
каталога имякаталога
Перемещает исходный файл в целевой.
Удаляет один или несколько (если в и м е н и встречаются метасимволы) файлов. Удаляет пустой каталог. Удаляет каталог и все подкаталоги и ф а й л ы в нем.
Табл. B.4. Дополнительные команды Команда date df du grep цепочка
printenv
ps ps -ax w
Описание Выдает системное время и дату. Важно убедиться, что это правильные время и дата. Выдает и н ф о р м а ц и ю об и м е ю щ е м с я пространстве в фай¬ ловой системе. Выдает и н ф о р м а ц и ю о суммарном объеме дискового пространства, занятого иерархией файлов. И щ е т указанную цепочку при использовании в конвейе¬ ре с другими командами. Н а п р и м е р , ls | grep Tony выдаст все ф а й л ы текущего каталога, содержащие в и м е н и ц е почку Tony. Выдает все переменные окружения для текущего пользо¬ вателя (подразумеваемые терминал, к о м а н д н ы й интер¬ претатор, текстовый редактор и т.д.). Выдает в ы п о л н я ю щ и е с я процессы, принадлежащие теку¬ щему пользователю. Выдает все в ы п о л н я ю щ и е с я процессы. Выдает д а н н ы е о находящихся в системе пользователях.
479
Курс
Защитные средства с открытыми исходными текстами
Приложение C О б щ е и з в е с т н ы е н о м е р а п о р т о в TCP/IP В этом приложении перечислены общеизвестные номера портов T C P / I P . Этот список поддерживается I A N A . Его самую свежую версию м о ж н о найти по адресу www.iana.org/assignments/port-numbers. (Последнее обновление 2003-10-20) Номера портов делятся на три диапазона: Общеизвестные порты, За регистрированные порты и Динамические и/или Частные порты. Общеизвестные порты имеют номера от 0 до 1023. Зарегистрированные порты имеют номера от 1024 до 49151. Динамические и/или Частные порты имеют номера от 49152 до 65535. ### НЕПРИСВОЕННЫЕ НОМЕРА ПОРТОВ НЕ ДОЛЖНЫ ИСПОЛЬЗОВАТЬСЯ. IANA БУ ДЕТ ПРИСВАИВАТЬ НОМЕР ПОРТА ПОСЛЕ ОДОБРЕНИЯ ВАШЕГО ЗАЯВЛЕНИЯ ### ОБЩЕИЗВЕСТНЫЕ НОМЕРА ПОРТОВ Общеизвестные Порты присваиваются IANA и на большинстве систем могут использоваться только системными (или суперпользовательски ми) процессами или программами, выполняемыми привилегированными пользовател ми. Порты используются в TCP [RFC 793] для обозначения оконечных то чек логических соединений, по которым осуществляются долговремен¬ ные коммуникации. С целью предоставлени услуг неизвестным або¬ нентам определ етс контактный порт сервиса. В данном списке спе¬ цифицированы контактные порты серверных процессов. Контактные порты иногда называют "общеизвестными". По возможности для UDP [RFC 768] используется то же распределение портов. IANA управл ет назначением портов в диапазоне 0-1023. Назначение портов: 480
Приложение C
Общеизвестные номера портов TCP/IP
Ключевое слово Десятичный номер 0/tcp 0/udp # tcpmux tcpmux
1/tcp 1/udp
# compressnet compressnet compressnet compressnet
2/tcp 2/udp 3/tcp 3/udp
# # # rje rje
4/tcp 4/udp 5/tcp 5/udp
# # # echo echo
6/tcp 6/udp 7/tcp 7/udp
# # # discard discard
8/tcp 8/udp 9/tcp 9/udp
# # # systat systat
10/tcp 10/udp 11/tcp 11/udp
# # # daytime daytime
12/tcp 12/udp 13/tcp 13/udp
# # # # #
14/tcp 14/udp 15/tcp 15/udp
Описание
Ссылки
Reserved Reserved Jon P o s t e l <
[email protected]> TCP Port S e r v i c e M u l t i p l e x e r TCP Port S e r v i c e M u l t i p l e x e r Mark L o t t o r <
[email protected]> Management U t i l i t y Management U t i l i t y Compression Process Compression Process Bernie V o l z Unassigned Unassigned Remote Job Entry Remote Job Entry Jon P o s t e l <
[email protected]> Unassigned Unassigned Echo Echo Jon P o s t e l <
[email protected]> Unassigned Unassigned Discard Discard Jon P o s t e l <
[email protected]> Unassigned Unassigned A c t i v e Users A c t i v e Users Jon P o s t e l <
[email protected]> Unassigned Unassigned Daytime (RFC 867) Daytime (RFC 867) Jon P o s t e l <
[email protected]> Unassigned Unassigned Unassigned [was n e t s t a t ] Unassigned 481
Курс
Защитные средства с открытыми исходными текстами
# # qotd qotd
16/tcp 16/udp 17/tcp 17/udp
# msp msp
18/tcp 18/udp
# chargen chargen ftp-data ftp-data ftp ftp # ssh ssh # telnet telnet
19/tcp 19/udp 20/tcp 20/udp 21/tcp 21/udp 22/tcp 22/udp 23/tcp 23/udp
# 24/tcp 24/udp # smtp smtp
25/tcp 25/udp
# # # nsw-fe nsw-fe
26/tcp 26/udp 27/tcp 27/udp
# # # msg-icp msg-icp
28/tcp 28/udp 29/tcp 29/udp
# # # msg-auth msg-auth
30/tcp 30/udp 31/tcp 31/udp
#
Unassigned Unassigned Quote o f the Day Quote o f the Day Jon P o s t e l <
[email protected]> Message Send P r o t o c o l Message Send P r o t o c o l Rina N e t h a n i e l Character Generator Character Generator F i l e T r a n s f e r [ D e f a u l t Data] F i l e T r a n s f e r [ D e f a u l t Data] F i l e Transfer [Control] F i l e Transfer [Control] Jon P o s t e l <
[email protected]> SSH Remote Login P r o t o c o l SSH Remote Login P r o t o c o l Tatu Ylonen Telnet Telnet Jon P o s t e l <
[email protected]> any p r i v a t e m a i l system any p r i v a t e m a i l system Rick Adams Simple M a i l T r a n s f e r Simple M a i l T r a n s f e r Jon P o s t e l <
[email protected]> Unassigned Unassigned NSW User System FE NSW User System FE Robert Thomas Unassigned Unassigned MSG ICP MSG ICP Robert Thomas Unassigned Unassigned MSG A u t h e n t i c a t i o n MSG A u t h e n t i c a t i o n Robert Thomas 482
Приложение C # # dsp dsp # # #
Общеизвестные номера портов TCP/IP 32/tcp 32/udp 33/tcp 33/udp 34/tcp 34/udp 35/tcp 35/udp
Unassigned Unassigned D i s p l a y Support P r o t o c o l D i s p l a y Support P r o t o c o l Ed Cain Unassigned Unassigned any pr i v a t e pr i n t e r s e r v e r any pr i v a t e pr i n t e r s e r v e r Jon P o s t e l <
[email protected]> Unassigned Unassigned Time Time Jon P o s t e l <
[email protected]> Route Access P r o t o c o l Route Access P r o t o c o l Robert Ullmann <
[email protected]> Resource Location P r o t o c o l Resource Location P r o t o c o l Mike A c c e t t a <
[email protected]>
# # # time time
36/tcp 36/udp 37/tcp 37/udp
# rap rap
38/tcp 38/udp
# rlp rlp
39/tcp 39/udp
# # # graphics graphics name name nameserver nameserver nicname nicname mpm-flags mpm-flags mpm mpm
40/tcp 40/udp 41/tcp 41/udp 42/tcp 42/udp 42/tcp 42/udp 43/tcp 43/udp 44/tcp 44/udp 45/tcp 45/udp
Unassigned Unassigned Graphics Graphics Host Name Server Host Name Server Host Name Server Host Name Server Who I s Who I s MPM FLAGS P r o t o c o l MPM FLAGS P r o t o c o l Message P r o c e s s i n g Module [ r e c v ] Message P r o c e s s i n g Module [ r e c v ]
mpm-snd mpm-snd
46/tcp 46/udp
# ni-ftp ni-ftp
47/tcp 47/udp
# auditd
48/tcp
MPM [ d e f a u l t send] MPM [ d e f a u l t send] Jon P o s t e l <
[email protected]> NI FTP NI FTP Steve K i l l e <
[email protected]> D i g i t a l A u d i t Daemon 483
Курс
Защитные средства с открытыми исходными текстами
auditd
48/udp
# tacacs tacacs
49/tcp 49/udp
# re-mail-ck re-mail-ck
50/tcp 50/udp
# la-maint la-maint
51/tcp 51/udp
# xns-time xns-time
52/tcp 52/udp
# domain domain
53/tcp 53/udp
# xns-ch xns-ch
54/tcp 54/udp
# isi-gl isi-gl xns-auth xns-auth
55/tcp 55/udp 56/tcp 56/udp
# 57/tcp 57/udp # xns-mail xns-mail
58/tcp 58/udp
# 59/tcp 59/udp # 60/tcp ni-mail ni-mail
60/udp 61/tcp 61/udp
# acas acas
62/tcp 62/udp
#
D i g i t a l A u d i t Daemon L a r r y S c o t t <
[email protected]> Login Host P r o t o c o l (TACACS) Login Host P r o t o c o l (TACACS) P i e t e r Ditmars Remote M a i l Checking P r o t o c o l Remote M a i l Checking P r o t o c o l Steve Dorner <
[email protected]> IMP L o g i c a l Address Maintenance IMP L o g i c a l Address Maintenance Andy M a l i s <
[email protected]> XNS Time P r o t o c o l XNS Time P r o t o c o l Susie Armstrong Domain Name Server Domain Name Server Paul Mockapetris XNS C l e a r inghouse XNS C l e a r inghouse Susie Armstrong ISI Graphics Language ISI Graphics Language XNS A u t h e n t i c a t i o n XNS A u t h e n t i c a t i o n Susie Armstrong any p r i v a t e t e r m i n a l access any p r i v a t e t e r m i n a l access Jon P o s t e l <
[email protected]> XNS M a i l XNS M a i l Susie Armstrong any p r i v a t e f i l e s e r v i c e any p r i v a t e f i l e s e r v i c e Jon P o s t e l <
[email protected]> Unassigned Unassigned NI MAIL NI MAIL Steve K i l l e <
[email protected]> ACA S e r v i c e s ACA S e r v i c e s E. Wald <
[email protected]> 484
Приложение C
Общеизвестные номера портов TCP/IP
whois++ whois++
63/tcp 63/udp
# covia covia
64/tcp 64/udp
# tacacs-ds tacacs-ds
65/tcp 65/udp
# sql*net sql*net
66/tcp 66/udp
# bootps bootps bootpc bootpc
67/tcp 67/udp 68/tcp 68/udp
# tftp tftp
69/tcp 69/udp
# gopher gopher
70/tcp 70/udp
# netrjs-1 netrjs-1 netrjs-2 netrjs-2 netrjs-3 netrjs-3 netrjs-4 netrjs-4
71/tcp 71/udp 72/tcp 72/udp 73/tcp 73/udp 74/tcp 74/udp
# 75/tcp 75/udp # deos deos
76/tcp 76/udp
# 77/tcp 77/udp # vettcp
78/tcp
whois++ whois++ Rickard S c h o u l t z <
[email protected]> Communications I n t e g r a t o r ( C I ) Communications I n t e g r a t o r ( C I ) Dan Smith TACACS-Database S e r v i c e TACACS-Database S e r v i c e Kathy Huber Oracle SQL*NET Oracle SQL*NET Jack Haverty <jhave rty@ORACLE. COM> B o o t s t r a p P r o t o c o l Server B o o t s t r a p P r o t o c o l Server Bootstrap Protocol C l i e n t Bootstrap Protocol C l i e n t B i l l C r o f t T r i v i a l F i l e Transfer T r i v i a l F i l e Transfer David C l a r k Gopher Gopher Mark M c C a h i l l <
[email protected]> Remote Job S e r v i c e Remote Job S e r v i c e Remote Job S e r v i c e Remote Job S e r v i c e Remote Job S e r v i c e Remote Job S e r v i c e Remote Job S e r v i c e Remote Job S e r v i c e Bob Braden any pr i v a t e d i a l out s e r v i c e any pr i v a t e d i a l out s e r v i c e Jon P o s t e l <
[email protected]> D i s t r i b u t e d E x t e r n a l Object Store D i s t r i b u t e d E x t e r n a l Object Store Robert Ullmann <
[email protected]> any pr i v a t e RJE s e r v i c e any pr i v a t e RJE s e r v i c e Jon P o s t e l <
[email protected]> vettcp 485
Курс
Защитные средства с открытыми исходными текстами
vettcp
78/udp
# finger finger
79/tcp 79/udp
# http http www www www-http www-http
80/tcp 80/udp 80/tcp 80/udp 80/tcp 80/udp
# hosts2-ns hosts2-ns
81/tcp 81/udp
# xfer xfer
82/tcp 82/udp
# mit-ml-dev mit-ml-dev
83/tcp 83/udp
# ctf ctf
84/tcp 84/udp
# mit-ml-dev mit-ml-dev
85/tcp 85/udp
# mfcobol mfcobol
86/tcp 86/udp
# 87/tcp 87/udp # kerberos kerberos
88/tcp 88/udp
vettcp Christopher Leong Finger Finger David Zimmerman World Wide Web HTTP World Wide Web HTTP World Wide Web HTTP World Wide Web HTTP World Wide Web HTTP World Wide Web HTTP Tim Berners-Lee HOSTS2 Name Server HOSTS2 Name Server E a r l K i l l i a n <
[email protected]> XFER U t i l i t y XFER U t i l i t y Thomas M. Smith MIT ML Device MIT ML Device David Reed Common Trace F a c i l i t y Common Trace F a c i l i t y Hugh Thomas MIT ML Device MIT ML Device David Reed Micro Focus Cobol Micro Focus Cobol Simon Edwards any pr i v a t e t e r m i n a l l i n k any pr i v a t e t e r m i n a l l i n k Jon P o s t e l <
[email protected]> Kerberos Kerberos
B. C l i f f o r d Neuman SU/MIT T e l n e t Gateway SU/MIT T e l n e t Gateway Mark C r i s p i n <
[email protected]> # ########## PORT 90 a l s being used u n o f f i c i a l l y by P o i n t c a s t ######## dnsix 90/tcp DNSIX Secur i t A t t r i b u t e Token Map dnsix 90/udp DNSIX Secur i t A t t r i b u t e Token Map # su-mit-tg su-mit-tg
89/tcp 89/udp
486
Приложение C # mit-dov mit-dov # npp npp # dcp dcp # objcall objcall # supdup supdup # dixie dixie # swift-rvf swift-rvf #
Общеизвестные номера портов TCP/IP
91/tcp 91/udp 92/tcp 92/udp 93/tcp 93/udp 94/tcp 94/udp 95/tcp 95/udp 96/tcp 96/udp 97/tcp 97/udp
# gppitnp gppitnp acr-nema acr-nema # cso
Louis Mamakos Device C o n t r o l P r o t o c o l Device C o n t r o l P r o t o c o l D a n i e l Tappan T i v o l i Object D i s p a t c h e r T i v o l i Object D i s p a t c h e r Tom B e r e i t e r SUPDUP SUPDUP Mark C r i s p i n <
[email protected]> DIXIE P r o t o c o l S p e c i f i c a t i o n DIXIE P r o t o c o l S p e c i f i c a t i o n Tim Howes <
[email protected]> S w i f t Remote V i r t u r a l F i l e P r o t o c o l S w i f t Remote V i r t u r a l F i l e P r o t o c o l Maurice R. T u r c o t t e < m a i l r u s ! u f l o r i d a ! rm1! dnmrt%
[email protected]. NET>
#
tacnews tacnews # metagram metagram # newacct hostname hostname # iso-tsap iso-tsap
C h a r l e s Watt <
[email protected]> MIT Dover Spooler MIT Dover Spooler E l i o t Moss <
[email protected]> Network Pr i n t i n g P r o t o c o l Network Pr i n t i n g P r o t o c o l
98/tcp 98/udp 99/tcp 99/udp 100/tcp 101/tcp 101/udp 102/tcp 102/udp 103/tcp 103/udp 104/tcp 104/udp 105/tcp
TAC News TAC News Jon P o s t e l <
[email protected]> Metagram Relay Metagram Relay Geoff Goodfellow [unauthorized use] NIC Host Name Server NIC Host Name Server Jon P o s t e l <
[email protected]> ISO-TSAP C l a s s 0 ISO-TSAP C l a s s 0 M a r s h a l l Rose <
[email protected]> Genesis P o i n t - t o - P o i n t Trans Net Genesis P o i n t - t o - P o i n t Trans Net ACR-NEMA D i g i t a l Imag. & Comm. 300 ACR-NEMA D i g i t a l Imag. & Comm. 300 P a t r i c k McNamee CCSO name s e r v e r p r o t o c o l 487
Курс
Защитные средства с открытыми исходными текстами
cso
105/udp
# csnet-ns csnet-ns
105/tcp 105/udp
# 3com-tsmux 3com-tsmux
106/tcp 106/udp
# ########## rtelnet rtelnet
106 107/tcp 107/udp
# snagas snagas
108/tcp 108/udp
# pop2 pop2
109/tcp 109/udp
# pop3 pop3
110/tcp 110/udp
# sunrpc sunrpc
111/tcp 111/udp
# mcidas mcidas
112/tcp 112/udp
# ident auth auth
113/tcp 113/tcp 113/udp
# audionews audionews
114/tcp 114/udp
# sftp
115/tcp
sftp
115/udp
# ansanotify ansanotify
116/tcp 116/udp
# uucp-path uucp-path
117/tcp 117/udp
CCSO name s e r v e r p r o t o c o l Martin Hamilton <
[email protected]> Mailbox Name Nameserver Mailbox Name Nameserver Marvin Solomon <
[email protected]> 3COM-TSMUX 3COM-TSMUX Jeremy S i e g e l <
[email protected]> Unauthorized use by i n s e c u r e poppassd protocol Remote T e l n e t S e r v i c e Remote T e l n e t S e r v i c e Jon P o s t e l <
[email protected]> SNA Gateway Access Server SNA Gateway Access Server Kevin Murphy <
[email protected]> Post O f f i c e P r o t o c o l - V e r s i o n 2 Post O f f i c e P r o t o c o l - V e r s i o n 2 Joyce K. Reynolds <
[email protected]> Post O f f i c e P r o t o c o l - V e r s i o n 3 Post O f f i c e P r o t o c o l - V e r s i o n 3 M a r s h a l l Rose <
[email protected]> SUN Remote Procedure C a l l SUN Remote Procedure C a l l Chuck McManis McIDAS Data Transmission P r o t o c o l McIDAS Data Transmission P r o t o c o l Glenn Davis <
[email protected]> Authentication Service Authentication Service Mike St. Johns <
[email protected]> Audio News M u l t i c a s t Audio News M u l t i c a s t Martin Forssen <
[email protected]> Simple F i l e T r a n s f e r P r o t o c o l Simple F i l e T r a n s f e r P r o t o c o l Mark L o t t o r <
[email protected]> ANSA REX N o t i f y ANSA REX N o t i f y N i c o l a J. Howarth UUCP Path S e r v i c e UUCP Path S e r v i c e 488
Приложение C sqlserv sqlserv
Общеизвестные номера портов TCP/IP 118/tcp 118/udp
SQL S e r v i c e s SQL S e r v i c e s L a r r y Barnes # nntp 119/tcp Network News T r a n s f e r P r o t o c o l nntp 119/udp Network News T r a n s f e r P r o t o c o l P h i l Lapsley # cfdptkt 120/tcp CFDPTKT cfdptkt 120/udp CFDPTKT John I o a n n i d i s <
[email protected]> # erpc 121/tcp Encore Expedited Remote P r o . C a l l erpc 121/udp Encore Expedited Remote P r o . C a l l Jack O'Neil < — n o n e — > # smakynet 122/tcp SMAKYNET smakynet 122/udp SMAKYNET P i e r r e Arnaud # ntp 123/tcp Network Time P r o t o c o l ntp 123/udp Network Time P r o t o c o l Dave M i l l s <
[email protected]> # ansatrader 124/tcp ANSA REX Trader ansatrader 124/udp ANSA REX Trader N i c o l a J. Howarth # locus-map 125/tcp Locus P C - I n t e r f a c e Net Map Ser locus-map 125/udp Locus P C - I n t e r f a c e Net Map Ser E r i c Peterson # nxedit 126/tcp NXEdit nxedit 126/udp NXEdit Don Payette # ########## PORT 126 P r e v i o u s l y assigned t o a p p l i c a t i o n below ####### #unitary 126/tcp Unisys U n i t a r y Login #unitary 126/udp Unisys U n i t a r y Login # ########## PORT 126 P r e v i o u s l y assigned t o a p p l i c a t i o n above ####### locus-con 127/tcp Locus P C - I n t e r f a c e Conn Server locus-con 127/udp Locus P C - I n t e r f a c e Conn Server E r i c Peterson # gss-xlicen gss-xlicen
128/tcp 128/udp
# pwdgen pwdgen
129/tcp 129/udp
#
GSS X License V e r i f i c a t i o n GSS X License V e r i f i c a t i o n John L i g h t <
[email protected]> Password Generator P r o t o c o l Password Generator P r o t o c o l Frank J. Wacho <
[email protected]> 489
Курс cisco-fna cisco-fna cisco-tna cisco-tna cisco-sys cisco-sys statsrv statsrv # ingres-net ingres-net # epmap epmap # profile profile
Защитные средства с открытыми исходными текстами
136/tcp 136/udp
c i s c o FNATIVE c i s c o FNATIVE c i s c o TNATIVE c i s c o TNATIVE c i s c o SYSMAINT c i s c o SYSMAINT S t a t i s t i c s Service S t a t i s t i c s Service Dave M i l l s <
[email protected]. EDU> INGRES-NET S e r v i c e INGRES-NET S e r v i c e Mike Berrow < — none—> DCE endpoint r e s o l u t i o n DCE endpoint r e s o l u t i o n Joe Pato <
[email protected]> PROFILE Naming System PROFILE Naming System
# netbios-ns netbios-ns netbios-dgm netbios-dgm netbios-ssn netbios-ssn
137/tcp 137/udp 138/tcp 138/udp 139/tcp 139/udp
L a r r y Peterson NETBIOS Name S e r v i c e NETBIOS Name S e r v i c e NETBIOS Datagram S e r v i c e NETBIOS Datagram S e r v i c e NETBIOS Session S e r v i c e NETBIOS Session S e r v i c e
# emfis-data emfis-data emfis-cntl emfis-cntl
140/tcp 140/udp 141/tcp 141/udp
Jon P o s t e l <
[email protected]> EMFIS Data S e r v i c e EMFIS Data S e r v i c e EMFIS C o n t r o l S e r v i c e EMFIS C o n t r o l S e r v i c e
# b l - idm b l - idm # imap imap # uma uma # uaac uaac #
130/tcp 130/udp 131/tcp 131/udp 132/tcp 132/udp 133/tcp 133/udp 134/tcp 134/udp 135/tcp 135/udp
142/tcp 142/udp 143/tcp 143/udp 144/tcp 144/udp 145/tcp 145/udp
Gerd B e l i n g B r i t t o n - L e e IDM B r i t t o n - L e e IDM Susie S n i t z e r < — n o n e — > I n t e r n e t Message Access P r o t o c o l I n t e r n e t Message Access P r o t o c o l Mark C r i s p i n <
[email protected]> U n i v e r s a l Management A r c h i t e c t u r e U n i v e r s a l Management A r c h i t e c t u r e Jay Whitney <
[email protected]> UAAC P r o t o c o l UAAC P r o t o c o l David A. Gomberg 490
Приложение C
Общеизвестные номера портов TCP/IP
iso-tp0 iso-tp0 iso-ip iso-ip
146/tcp 146/udp 147/tcp 147/udp
# jargon jargon
148/tcp 148/udp
# aed-512 aed-512
149/tcp 149/udp
#
ISO-IP0 ISO-IP0 ISO-IP ISO-IP M a r s h a l l Rose <
[email protected]> Jargon Jargon B i l l Weinman <
[email protected]> AED 512 Emulation S e r v i c e AED 512 Emulation S e r v i c e A l b e r t G. B r o s c i u s SQL-NET SQL-NET Martin P i c a r d NETSC NETSC NETSC NETSC
# sqlsrv sqlsrv
156/tcp 156/udp
Sergio Heker SQL S e r v i c e SQL S e r v i c e
# knet-cmp knet-cmp
157/tcp 157/udp
# pcmail-srv
158/tcp
pcmail-srv
158/udp
# nss-routing nss-routing
159/tcp 159/udp
# sgmp-traps sgmp-traps
160/tcp 160/udp
C r a i g Rogers KNET/VM Command/Message P r o t o c o l KNET/VM Command/Message P r o t o c o l Gary S. Malkin PCMail Server PCMail Server Mark L. Lambert <markl@PTT. LCS. MIT. EDU> NSS-Routing NSS-Routing Yakov Rekhter SGMP-TRAPS SGMP-TRAPS 491
Курс # snmp snmp snmptrap snmptrap # cmip-man cmip-man cmip-agent cmip-agent # xns-courier xns-courier # s-net s-net # namp namp # rsvd rsvd #
Защитные средства с открытыми исходными текстами
161/tcp 161/udp 162/tcp 162/udp 163/tcp 163/udp 164/tcp 164/udp 165/tcp 165/udp 166/tcp 166/udp 167/tcp 167/udp 168/tcp 168/udp
send send #
169/tcp 169/udp
print-srv print-srv # multiplex multiplex cl/1 cl/1
170/tcp 170/udp
# xyplex-mux xyplex-mux # mailq mailq #
171/tcp 171/udp 172/tcp 172/udp 173/tcp 173/udp 174/tcp 174/udp
Marty S c h o f f s t a h l <
[email protected]. NET> SNMP SNMP SNMPTRAP SNMPTRAP M a r s h a l l Rose <
[email protected]> CMIP/TCP Manager CMIP/TCP Manager CMIP/TCP Agent CMIP/TCP Agent Amatzia B e n - A r t z i < — n o n e — > Xerox Xerox Susie Armstrong S i r i u s Systems S i r i u s Systems B r i a n Lloyd NAMP NAMP Marty S c h o f f s t a h l <
[email protected]> RSVD RSVD N e i l Todd <
[email protected]> SEND SEND W i l l i a m D. Wisner <
[email protected]> Network P o s t S c r i p t Network P o s t S c r i p t B r i a n Reid Network I n n o v a t i o n s M u l t i p l e x Network I n n o v a t i o n s M u l t i p l e x Network I n n o v a t i o n s CL/1 Network I n n o v a t i o n s CL/1 Kevin DeVault < < — n o n e — > Xyplex Xyplex Bob Stewart <
[email protected]> MAILQ MAILQ Rayan Z a c h a r i a s s e n 492
Приложение C
Общеизвестные номера портов TCP/IP
vmnet vmnet
175/tcp 175/udp
# genrad-mux genrad-mux
176/tcp 176/udp
# xdmcp xdmcp
177/tcp 177/udp
# nextstep nextstep
178/tcp 178/udp
# bgp bgp
179/tcp 179/udp
# ris ris
180/tcp 180/udp
# unify unify
181/tcp 181/udp
# audit audit
182/tcp 182/udp
# ocbinder ocbinder ocserver ocserver
183/tcp 183/udp 184/tcp 184/udp
# remote-kis remote-kis kis kis
185/tcp 185/udp 186/tcp 186/udp
# aci
187/tcp
aci
187/udp
# mumps mumps
188/tcp 188/udp
# qft qft
189/tcp 189/udp
VMNET VMNET Christopher
Tengi
GENRAD-MUX GENRAD-MUX Ron Thornton X D i s p l a y Manager C o n t r o l P r o t o c o l X D i s p l a y Manager C o n t r o l P r o t o c o l Robert W. S c h e i f l e r NextStep Window Server NextStep Window Server Leo H o u r v i t z Border Gateway P r o t o c o l Border Gateway P r o t o c o l K i r k Lougheed Intergraph Intergraph Dave Buehmann Unify Unify Mark A i n s l e y Unisys A u d i t SITP Unisys A u d i t SITP G i l Greenbaum OCBinder OCBinder OCServer OCServer J e r r i l y n n Okamura Remote-KIS Remote-KIS KIS P r o t o c o l KIS P r o t o c o l Ralph Droms A p p l i c a t i o n Communication I n t e r f a c e Application Rick C a r l o s Plus F i v e ' s Plus F i v e ' s Hokey Stenn Queued F i l e Queued F i l e 493
Communication I n t e r f a c e MUMPS MUMPS Transport Transport
Курс # gacp gacp # prospero prospero # osu-nms osu-nms
Защитные средства с открытыми исходными текстами
191/tcp 191/udp
Wayne Schroeder <schroeder@SDS. SDSC. EDU> Gateway Access C o n t r o l P r o t o c o l Gateway Access C o n t r o l P r o t o c o l C. P h i l i p Wood Prospero D i r e c t o r y S e r v i c e Prospero D i r e c t o r y S e r v i c e
192/tcp 192/udp
B. C l i f f o r d Neuman OSU Network Monitor ing System OSU Network Monitor ing System
190/tcp 190/udp
#
Doug K a r l S p i d e r Remote M o n i t o r i n g P r o t o c o l S p i d e r Remote M o n i t o r i n g P r o t o c o l Ted J. S o c o l o f s k y I n t e r n e t Relay Chat P r o t o c o l I n t e r n e t Relay Chat P r o t o c o l Jarkko O i k a r i n e n <
[email protected]. FI> DNSIX Network Level Module A u d i t DNSIX Network Level Module A u d i t DNSIX S e s s i o n Mgt Module A u d i t R e d i r DNSIX S e s s i o n Mgt Module A u d i t R e d i r Lawrence Lebahn Directory Location Service Directory Location Service D i r e c t o r y L o c a t i o n S e r v i c e Monitor D i r e c t o r y L o c a t i o n S e r v i c e Monitor S c o t t B e l l e w <
[email protected]> SMUX SMUX M a r s h a l l Rose <
[email protected]> IBM System Resource C o n t r o l l e r IBM System Resource C o n t r o l l e r Gerald McBrearty < — n o n e — > AppleTalk Routing Maintenance AppleTalk Routing Maintenance
202/tcp 202/udp 203/tcp 203/udp 204/tcp 204/udp 205/tcp
AppleTalk AppleTalk AppleTalk AppleTalk AppleTalk AppleTalk AppleTalk
at-nbp at-nbp at-3 at-3 at-echo at-echo at-5
193/tcp 193/udp 194/tcp 194/udp 195/tcp 195/udp 196/tcp 196/udp 197/tcp 197/udp 198/tcp 198/udp 199/tcp 199/udp 200/tcp 200/udp
494
Name Binding Name Binding Unused Unused Echo Echo Unused
Приложение C at-5 at-zis at-zis at-7 at-7 at-8 at-8 # qmtp qmtp # z39.50 z39.50 # 914c/g 914c/g # anet anet # ipx ipx # vmpwscs vmpwscs # softpc softpc # CAIlic CAIlic # dbase dbase #
Общеизвестные номера портов TCP/IP 205/udp 206/tcp 206/udp 207/tcp 207/udp 208/tcp 208/udp 209/tcp 209/udp 210/tcp 210/udp 211/tcp 211/udp 212/tcp 212/udp 213/tcp 213/udp 214/tcp 214/udp 215/tcp 215/udp 216/tcp 216/udp 217/tcp 217/udp
# mpp mpp # uarps uarps
218/tcp 218/udp 219/tcp 219/udp
AppleTalk Unused AppleTalk Zone I n f o r m a t i o n AppleTalk Zone I n f o r m a t i o n AppleTalk Unused AppleTalk Unused AppleTalk Unused AppleTalk Unused Rob Chandhok The Quick M a i l T r a n s f e r P r o t o c o l The Quick M a i l T r a n s f e r P r o t o c o l Dan B e r n s t e i n ANSI Z39.50 ANSI Z39.50 Mark H. Needleman <
[email protected]> Texas Instruments 914C/G T e r m i n a l Texas Instruments 914C/G T e r m i n a l B i l l H a r r e l l ATEXSSTR ATEXSSTR Jim T a y l o r IPX IPX Don Provan <
[email protected]> VM PWSCS VM PWSCS Dan S h i a Insignia Solutions Insignia Solutions Martyn Thomas < — n o n e — > Computer A s s o c i a t e s I n t ' l License Server Computer A s s o c i a t e s I n t ' l License Server Chuck S p i t z <
[email protected]> dBASE Unix dBASE Unix Don Gibson <sequent!aero!twinsun!ashtate.AT.COM!dong @uunet.UU.NET> N e t i x Message Posting P r o t o c o l N e t i x Message Posting P r o t o c o l Shannon Yeh Unisys ARPs Unisys ARPs 495
Курс
Защитные средства с открытыми исходными текстами
Ashok Marwaha < — n o n e — > I n t e r a c t i v e M a i l Access P r o t o c o l v3 I n t e r a c t i v e M a i l Access P r o t o c o l v3 James R i c e # fln-spx 221/tcp B e r k e l e y r l o g i n d w i t h SPX auth fln-spx 221/udp B e r k e l e y r l o g i n d w i t h SPX auth rsh-spx 222/tcp B e r k e l e y rshd w i t h SPX auth rsh-spx 222/udp B e r k e l e y rshd w i t h SPX auth cdc 223/tcp C e r t i f i c a t e D i s t r i b u t i o n Center cdc 223/udp C e r t i f i c a t e D i s t r i b u t i o n Center Kannan Alagappan # ######### P o s s i b l e C o n f l i c t o f Port 222 w i t h "Masqdialer"############ ## Contact f o r Masqdialer i s C h a r l e s Wright ## # imap3 imap3
220/tcp 220/udp
masqdialer masqdialer
224/tcp 224/udp
# # # direct direct
225-241 242/tcp 242/udp
# sur-meas sur-meas
243/tcp 243/udp
# inbusiness inbusiness
244/tcp 244/udp
# link link dsp3270 dsp3270
245/tcp 245/udp 246/tcp 246/udp
# subntbcst_tftp subntbcst_tftp
247/tcp 247/udp
# bhfhs bhfhs
248/tcp 248/udp
# #
249-255
masqdialer masqdialer C h a r l e s Wr i g h t Reserved Jon P o s t e l <postel@i s i .edu> Direct Direct Herb S u t t e r Survey Measurement Survey Measurement Dave C l a r k inbusiness inbusiness Derr i c k H i s a t a k e <derr i c k . i . h i s a t a k e @ i n t e l . c o m > LINK LINK D i s p l a y Systems P r o t o c o l D i s p l a y Systems P r o t o c o l Weldon J. Showalter SUBNTBCSTTFTP SUBNTBCST_TFTP John Fake bhfhs bhfhs John K e l l y <
[email protected]> Reserved 496
Приложение С # rap rap # set set # yak-chat yak-chat # esro-gen esro-gen # openport openport # nsiiops nsiiops # arcisdms arcisdms # hdap hdap # bgmp bgmp # x-bone-ctl x-bone-ctl # sst sst # td-service td-service td-replica td-replica #
Общеизвестные номера портов TCP/IP
256/tcp 256/udp 257/tcp 257/udp
258/tcp 258/udp 259/tcp 259/udp 260/tcp 260/udp
261/tcp 261/udp 262/tcp 262/udp 263/tcp 263/udp 264/tcp 264/udp 265/tcp 265/udp 266/tcp 266/udp 267/tcp 267/udp 268/tcp 268/udp
Jon P o s t e l <
[email protected]> RAP RAP J.S. G r e e n f i e l d Secure E l e c t r o n i c T r a n s a c t i o n Secure E l e c t r o n i c T r a n s a c t i o n Donald E a s t l a k e <
[email protected]> Yak Winsock P e r s o n a l Chat Yak Winsock P e r s o n a l Chat B r i a n Bandy E f f i c i e n t Short Remote O p e r a t i o n s E f f i c i e n t Short Remote O p e r a t i o n s Mohsen Banan <
[email protected]> Openport Openport John Marland <
[email protected]> IIOP Name S e r v i c e over TLS/SSL IIOP Name S e r v i c e over TLS/SSL J e f f Stewart <
[email protected]> Arcisdms Arcisdms R u s s e l l Crook (
[email protected]> HDAP HDAP Troy Gau BGMP BGMP Dave T h a l e r X-Bone CTL X-Bone CTL Joe Touch SCSI on ST SCSI on ST Donald D. Woelz <
[email protected]> T o b i t David S e r v i c e Layer T o b i t David S e r v i c e Layer T o b i t David R e p l i c a T o b i t David R e p l i c a F r a n z - J o s e f Leuders <
[email protected]> 497
Курс # http-mgmt http-mgmt # # personal-link personal-link # cableport-ax cableport-ax # rescap rescap # corerjd corerjd # # fxp fxp # k-block k-block # # novastorbakcup novastorbakcup # entrusttime entrusttime # bhmds bhmds # asip-webadmin asip-webadmin # vslmp vslmp
Защитные средства с открытыми исходными текстами 269-279 280/tcp 280/udp
Unassigned http-mgmt http-mgmt Adrian P e l l Personal Link Personal Link Dan Cummings <
[email protected]> Cable Port A/X Cable Port A/X Craig Langfahl rescap rescap Paul Hoffman corerjd corerjd C h r i s T h o r n h i l l Unassigned FXP Communication FXP Communication James D a r n a l l <
[email protected]> K-BLOCK K-BLOCK Simon P Jackson <
[email protected]> Unassigned Novastor Backup Novastor Backup B r i a n Dickman EntrustTime EntrustTime P e t e r W h i t t a k e r bhmds
282/tcp 282/udp
283/tcp 283/udp 284/tcp 284/udp 285 286/tcp 286/udp
287/tcp 287/udp 288-307 308/tcp 308/udp 309/tcp 309/udp 310/tcp 310/udp 311/tcp 311/udp 312/tcp 312/udp
bhmds John K e l l y <
[email protected]> AppleShare IP WebAdmin AppleShare IP WebAdmin Ann Huang VSLMP VSLMP 498
Приложение С # magenta-logic magenta-logic # opalis-robot opalis-robot # dpsi dpsi # decauth decauth # zannet zannet # pkix-timestamp pkix-timestamp # ptp-event ptp-event ptp-general ptp-general # pip pip # rtsps rtsps # # texar texar # # pdap pdap # pawserv pawserv
Общеизвестные номера портов TCP/IP
313/tcp 313/udp 314/tcp 314/udp
315/tcp 315/udp 316/tcp 316/udp 317/tcp 317/udp 318/tcp 318/udp
319/tcp 319/udp 320/tcp 320/udp 321/tcp 321/udp 322/tcp 322/udp 323-332 333/tcp 333/udp 334-343 344/tcp 344/udp 345/tcp 345/udp
Gerben Wierda Magenta Logic Magenta Logic K a r l Rousseau O p a l i s Robot O p a l i s Robot Laurent Domenech, O p a l i s DPSI DPSI Tony Scamurra decAuth decAuth M i c h a e l A g i s h t e i n <
[email protected]> Zannet Zannet Zan O l i p h a n t PKIX TimeStamp PKIX TimeStamp Robert Zuccherato PTP Event PTP Event PTP G e n e r a l PTP G e n e r a l John Eidson <
[email protected]> PIP PIP Gordon Mohr RTSPS RTSPS Anders Klemets Unassigned Texar Secur i t y P o r t Texar Secur i t y P o r t Eugen B a c i c <
[email protected]> Unassigned Prospero Data Access P r o t o c o l Prospero Data Access P r o t o c o l B. C l i f f o r d Neuman P e r f A n a l y s i s Workbench P e r f A n a l y s i s Workbench 499
Курс zserv zserv fatserv fatserv csi-sgwp csi-sgwp mftp mftp # matip-type-a matip-type-a matip-type-b matip-type-b # # The f o l l o w i n g bhoetty bhoetty # dtag-ste-sb dtag-ste-sb #
Защитные средства с открытыми исходными текстами
Zebra s e r v e r Zebra s e r v e r Fatmen S e r v e r Fatmen S e r v e r C a b l e t r o n Management P r o t o c o l C a b l e t r o n Management P r o t o c o l mftp mftp Dave F e i n l e i b 350/tcp MATIP Type A 350/udp MATIP Type A 351/tcp MATIP Type B 351/udp MATIP Type B A l a i n Robert <
[email protected]. i n t > entry records an unassigned but widespread use 351/tcp b h o e t t y (added 5/21/97) 351/udp bhoetty John K e l l y <
[email protected]> 352/tcp DTAG ( a s s i g n e d long ago) 352/udp DTAG Ruediger Wald <
[email protected]> # The f o l l o w i n g entry records an unassigned but widespread use bhoedap4 352/tcp bhoedap4 (added 5/21/97) bhoedap4 352/udp bhoedap4 # John K e l l y <
[email protected]> ndsauth 353/tcp NDSAUTH ndsauth 353/udp NDSAUTH # Jayakumar Ramalingam <
[email protected]> bh611 354/tcp bh611 bh611 354/udp bh611 # John K e l l y <
[email protected]> datex-asn 355/tcp DATEX-ASN datex-asn 355/udp DATEX-ASN # cloanto-net-1 cloanto-net-1 # bhevent bhevent #
346/tcp 346/udp 347/tcp 347/udp 348/tcp 348/udp 349/tcp 349/udp
356/tcp 356/udp 357/tcp 357/udp
Kenneth Vaughn C l o a n t o Net 1 C l o a n t o Net 1 M i c h a e l B a t t i l a n a <
[email protected]> bhevent bhevent John K e l l y <
[email protected]> 500
Приложение С
Общеизвестные номера портов TCP/IP
shr inkwrap shr inkwrap # nsrmp nsrmp # scoi2odialog scoi2odialog # semantix semantix # srssend srssend # rsvp_tunnel rsvp_tunnel # aurora-cmgr aurora-cmgr # dtk dtk # odmr odmr # mortgageware mortgageware # qbikgdp qbikgdp # rpc2portmap rpc2portmap
358/tcp 358/udp
codaauth2 codaauth2 # clearcase clearcase # ulistproc
370/tcp 370/udp
359/tcp 359/udp 360/tcp 360/udp 361/tcp 361/udp 362/tcp 362/udp 363/tcp 363/udp 364/tcp 364/udp 365/tcp 365/udp 366/tcp 366/udp 367/tcp 367/udp 368/tcp 368/udp 369/tcp 369/udp
371/tcp 371/udp 372/tcp
Shr inkwrap Shr inkwrap B i l l Simpson <
[email protected]> Network Secur i t y R i s k Management P r o t o c o l Network Secur i t y R i s k Management P r o t o c o l E r i c J a c k s c h <
[email protected]> scoi2odialog scoi2odialog K e i t h P e t l e y Semantix Semantix Semantix <
[email protected]> SRS Send SRS Send Curt Mayer <
[email protected]> RSVP Tunnel RSVP Tunnel Andreas T e r z i s A u r o r a CMGR A u r o r a CMGR P h i l i p Budne DTK DTK Fred Cohen ODMR ODMR R a n d a l l G e l l e n s MortgageWare MortgageWare Ole H e l l e v i k QbikGDP QbikGDP A d r i e n de Croy rpc2portmap rpc2portmap codaauth2 codaauth2 Robert Watson Clearcase Clearcase Dave LeBlang ListProcessor 501
Курс
Защитные средства с открытыми исходными текстами
ulistproc
372/udp
# legent-1 legent-1 legent-2 legent-2
373/tcp 373/udp 374/tcp 374/udp
# hassle hassle
375/tcp 375/udp
# nip nip
376/tcp 376/udp
# tnETOS tnETOS dsETOS dsETOS
377/tcp 377/udp 378/tcp 378/udp
# is99c is99c is99s is99s
379/tcp 379/udp 380/tcp 380/udp
# hp-collector hp-collector hp-managed-node hp-managed-node hp-alarm-mgr hp-alarm-mgr
381/tcp 381/udp 382/tcp 382/udp 383/tcp 383/udp
# arns arns
384/tcp 384/udp
# ibm-app ibm-app
385/tcp 385/udp
# asa asa
386/tcp 386/udp
#
ListProcessor A n a s t a s i o s K o t s i k o n a s Legent C o r p o r a t i o n Legent C o r p o r a t i o n Legent C o r p o r a t i o n Legent C o r p o r a t i o n K e i t h Boyce Hassle Hassle Reinhard Doelz <
[email protected]> Amiga Envoy Network I n q u i r y Proto Amiga Envoy Network I n q u i r y Proto Heinz Wrobel NEC C o r p o r a t i o n NEC C o r p o r a t i o n NEC C o r p o r a t i o n NEC C o r p o r a t i o n Tomoo Fuj i t a TIA/EIA/IS-99 modem c l i e n t TIA/EIA/IS-99 modem c l i e n t TIA/EIA/IS-99 modem s e r v e r TIA/EIA/IS-99 modem s e r v e r Frank Quick hp performance data c o l l e c t o r hp performance data c o l l e c t o r hp performance data managed node hp performance data managed node hp performance data alarm manager hp performance data alarm manager Frank B l a k e l y A Remote Network S e r v e r System A Remote Network S e r v e r System David Hornsby IBM A p p l i c a t i o n IBM A p p l i c a t i o n L i s a Tomita ASA Message Router Object Def. ASA Message Router Object Def. Steve L a i t i n e n 502
Приложение С
Общеизвестные номера портов TCP/IP
aurp aurp # unidata-ldm unidata-ldm # ldap ldap #
387/tcp 387/udp
uis uis # synotics-relay synotics-relay synotics-broker synotics-broker # meta5 meta5 # embl-ndt embl-ndt # netcp netcp # netware- i p netware- i p mptn mptn # kryptolan kryptolan #
390/tcp 390/udp
iso-tsap-c2 iso-tsap-c2 #
399/tcp 399/udp
work-sol work-sol #
400/tcp 400/udp
388/tcp 388/udp 389/tcp 389/udp
391/tcp 391/udp 392/tcp 392/udp 393/tcp 393/udp 394/tcp 394/udp 395/tcp 395/udp 396/tcp 396/udp 397/tcp 397/udp 398/tcp 398/udp
A p p l e t a l k Update-Based Routing Pro. A p p l e t a l k Update-Based Routing Pro. C h r i s Ranch U n i d a t a LDM U n i d a t a LDM Glenn Davis <
[email protected]> L i g h t w e i g h t D i r e c t o r y Access P r o t o c o l L i g h t w e i g h t D i r e c t o r y Access P r o t o c o l Tim Howes <
[email protected]> UIS UIS Ed Barron < — n o n e — > SynOptics SNMP Relay Port SynOptics SNMP Relay Port SynOptics P o r t Broker Port SynOptics P o r t Broker Port I l l a n Raab Meta5 Meta5 J i m K a n z l e r <
[email protected]> EMBL N u c l e i c Data T r a n s f e r EMBL N u c l e i c Data T r a n s f e r P e t e r Gad NETscout C o n t r o l P r o t o c o l NETscout C o n t r o l P r o t o c o l A n i l Singhal < — n o n e — > N o v e l l Netware over IP N o v e l l Netware over IP M u l t i P r o t o c o l Trans. Net. M u l t i P r o t o c o l Trans. Net. Soumitra S a r k a r <
[email protected]> Kryptolan Kryptolan P e t e r de L a v a l ISO Transport C l a s s 2 Non-Control over TCP ISO Transport C l a s s 2 Non-Control over UDP Yanick Pouffary <
[email protected]> Workstation Solutions Workstation Solutions J i m Ward <
[email protected]> 503
Курс
Защитные средства с открытыми исходными текстами
ups ups
401/tcp 401/udp
# genie genie
402/tcp 402/udp
# decap decap nced nced ncld ncld
403/tcp 403/udp 404/tcp 404/udp 405/tcp 405/udp
# imsp imsp
406/tcp 406/udp
# timbuktu timbuktu
407/tcp 407/udp
# prm-sm prm-sm prm-nm prm-nm
408/tcp 408/udp 409/tcp 409/udp
# decladebug decladebug
410/tcp 410/udp
# rmt rmt
411/tcp 411/udp
# synoptics-trap synoptics-trap
412/tcp 412/udp
# smsp
413/tcp
smsp
413/udp
# infoseek infoseek
414/tcp 414/udp
# bnet bnet
415/tcp 415/udp
U n i n t e r r u p t i b l e Power Supply U n i n t e r r u p t i b l e Power Supply C h a r l e s Bennett Genie P r o t o c o l Genie P r o t o c o l Mark Hankin decap decap nced nced ncld ncld R i c h a r d Jones I n t e r a c t i v e M a i l Support P r o t o c o l I n t e r a c t i v e M a i l Support P r o t o c o l John Myers <
[email protected]> Timbuktu Timbuktu Marc Epard <
[email protected]> Prospero Resource Manager Sys. Man. Prospero Resource Manager Sys. Man. Prospero Resource Manager Node Man. Prospero Resource Manager Node Man. B. C l i f f o r d Neuman DECLadebug Remote Debug P r o t o c o l DECLadebug Remote Debug P r o t o c o l Anthony Berent Remote MT P r o t o c o l Remote MT P r o t o c o l Peter E r i k s s o n Trap Convention Port Trap Convention Port I l l a n Raab Storage Management S e r v i c e s P r o t o c o l Storage Management S e r v i c e s P r o t o c o l Murthy Sr i n i v a s <
[email protected]> InfoSeek InfoSeek Steve K i r s c h <
[email protected]> BNet BNet 504
Приложение С # silverplatter silverplatter # onmux onmux # hyper-g hyper-g # ariel1 ariel1 # smpte smpte # ariel2 ariel2 ariel3 ariel3 # opc-job-start opc-job-start opc-job-track opc-job-track # icad-el icad-el # smartsdp smartsdp # svrloc svrloc # ocs_cmu ocs_cmu ocs_amu ocs_amu #
Общеизвестные номера портов TCP/IP
416/tcp 416/udp
417/tcp 417/udp 418/tcp 418/udp 419/tcp 419/udp 420/tcp 420/udp 421/tcp 421/udp 422/tcp 422/udp 423/tcp 423/udp 424/tcp 424/udp 425/tcp 425/udp 426/tcp 426/udp 427/tcp 427/udp 428/tcp 428/udp 429/tcp 429/udp
J i m Mertz <
[email protected]> Silverplatter Silverplatter Peter C i u f f e t t i < p e t e c @ s i l v e r p l a t t e r . c o m> Onmux Onmux Stephen Hanna Hyper-G Hyper-G Frank Kappe Ar i e l 1 Ar i e l 1 J o e l Karafin <
[email protected]> SMPTE SMPTE S i Becker Ar i e l 2 Ar i e l 2 Ar i e l 3 Ar i e l 3 J o e l Karafin <
[email protected]> IBM Operations P l a n n i n g and C o n t r o l S t a r t IBM Operations P l a n n i n g and C o n t r o l S t a r t IBM Operations P l a n n i n g and C o n t r o l Track IBM Operations P l a n n i n g and C o n t r o l Track Conny Larsson ICAD ICAD L a r r y Stone smartsdp smartsdp A l e x a n d e r Dupuy Server Location Server Location OCS_CMU OCS_CMU OCS_AMU OCS_AMU F l o r e n c e Wyman <
[email protected]> 505
Курс
Защитные средства с открытыми исходными текстами
utmpsd utmpsd utmpcd utmpcd iasd iasd
430/tcp 430/udp 431/tcp 431/udp 432/tcp 432/udp
# nnsp nnsp
433/tcp 433/udp
# mobileip-agent mobileip-agent mobilip-mn mobilip-mn
434/tcp 434/udp 435/tcp 435/udp
# dna-cml dna-cml
436/tcp 436/udp
# comscm comscm
437/tcp 437/udp
# dsfgw dsfgw
438/tcp 438/udp
# dasp dasp
439/tcp 439/udp
# sgcp sgcp
440/tcp 440/udp
# decvms-sysmgt decvms-sysmgt
441/tcp 441/udp
# cvc_hostd cvc_hostd
442/tcp 442/udp
# https https
443/tcp 443/udp
# snpp
444/tcp
UTMPSD UTMPSD UTMPCD UTMPCD IASD IASD N i r Baroz NNSP NNSP Rob Robertson MobileIP-Agent MobileIP-Agent MobilIP-MN MobilIP-MN Kannan Alagappan DNA-CML DNA-CML Dan Flowers comscm comscm Jim Teague dsfgw dsfgw Andy McKeen <
[email protected]> dasp Thomas Obermair dasp
[email protected] Thomas Obermair sgcp sgcp M a r s h a l l Rose <
[email protected]> decvms-sysmgt decvms-sysmgt Lee Barton cvc_hostd cvc_hostd B i l l Davidson < b i l l d @ e q u a l i z e r . c r a y . c o m > h t t p p r o t o c o l over TLS/SSL h t t p p r o t o c o l over TLS/SSL Kipp E.B. Hickman Simple Network Paging P r o t o c o l 506
Приложение С snpp # microsoft-ds microsoft-ds # ddm-rdb ddm-rdb ddm-dfm ddm-dfm # ddm-ssl ddm-ssl # as-servermap as-servermap #
Общеизвестные номера портов TCP/IP 444/udp 445/tcp 445/udp 446/tcp 446/udp 447/tcp 447/udp 448/tcp 448/udp 449/tcp 449/udp
tserver
450/tcp
tserver #
450/udp
sfs-smp-net sfs-smp-net sfs-config sfs-config # creativeserver creativeserver contentserver contentserver creativepartnr creativepartnr # macon-tcp
451/tcp 451/udp 452/tcp 452/udp
macon-udp # # scohelp scohelp # appleqtc
456/udp
453/tcp 453/udp 454/tcp 454/udp 455/tcp 455/udp 456/tcp
457/tcp 457/udp 458/tcp
Simple Network Paging P r o t o c o l [RFC1568] Microsoft-DS Microsoft-DS Pradeep Bahl <
[email protected]> DDM-Remote R e l a t i o n a l Database Access DDM-Remote R e l a t i o n a l Database Access DDM-Distributed F i l e Management DDM-Distributed F i l e Management Steven R i t l a n d <
[email protected]> DDM-Remote DB Access Using Secure Sockets DDM-Remote DB Access Using Secure Sockets Steven R i t l a n d <
[email protected]> AS S e r v e r Mapper AS S e r v e r Mapper Barbara Foss Computer Supported T e l e c o m u n i c a t i o n Applications Computer Supported T e l e c o m u n i c a t i o n Applications Harvey S. S c h u l t z Cray Network Semaphore s e r v e r Cray Network Semaphore s e r v e r Cray SFS c o n f i g s e r v e r Cray SFS c o n f i g s e r v e r W a l t e r Poxon <
[email protected]> CreativeServer CreativeServer ContentServer ContentServer CreativePartnr CreativePartnr Jesus O r t i z <
[email protected]> macon-tcp macon-udp Yoshinobu Inoue <
[email protected]> scohelp scohelp F a i t h Zack apple q u i c k time 507
Курс appleqtc #
Защитные средства с открытыми исходными текстами 458/udp
apple q u i c k time M u r a l i Ranganathan
459/tcp 459/udp
ampr-rcmd ampr-rcmd Rob Janssen skronk skronk Henry S t r i c k l a n d <
[email protected]> DataRampSrv DataRampSrv DataRampSrvSec DataRampSrvSec Diane Downie <
[email protected]> alpes alpes A l a i n Durand kpasswd kpasswd Theodore Ts'o URL Rendesvous D i r e c t o r y f o r SSM IGMP over UDP f o r SSM T o e r l e s s E c k e r t <
[email protected]> digital-vrc digital-vrc P e t e r Higginson mylex-mapd mylex-mapd Gary Lewis protur i s protur i s B i l l Simpson Radio C o n t r o l P r o t o c o l Radio C o n t r o l P r o t o c o l Jim J e n n i n g s +1-708-538-7241
# ampr-rcmd ampr-rcmd # skronk skronk # datasurfsrv datasurfsrv datasurfsrvsec datasurfsrvsec # alpes alpes # kpasswd kpasswd # urd igmpv3lite # digital-vrc digital-vrc # mylex-mapd mylex-mapd # photur i s photur i s # rcp rcp # scx-proxy scx-proxy # mondex mondex # ljk-login
<
[email protected]>
460/tcp 460/udp 461/tcp 461/udp 462/tcp 462/udp 463/tcp 463/udp 464/tcp 464/udp 465/tcp 465/udp 466/tcp 466/udp 467/tcp 467/udp 468/tcp 468/udp 469/tcp 469/udp 470/tcp 470/udp 471/tcp 471/udp 472/tcp
scx-proxy scx-proxy S c o t t Narveson <
[email protected]> Mondex Mondex B i l l Reding ljk-login 508
Приложение С ljk-login # # hybrid-pop hybrid-pop # tn-tl-w1 tn-tl-w2 # tcpnethaspsrv tcpnethaspsrv # tn-tl-fd1 tn-tl-fd1 # ss7ns ss7ns # spsc spsc # iafserver iafserver iafdbase iafdbase # ph ph # bgs-nsi bgs-nsi # ulpnet ulpnet # integra-sme integra-sme # powerburst powerburst
Общеизвестные номера портов TCP/IP 472/udp
473/tcp 473/udp 474/tcp 474/udp 475/tcp 475/udp 476/tcp 476/udp 477/tcp 477/udp
478/tcp 478/udp 479/tcp 479/udp 480/tcp 480/udp 481/tcp 481/udp
482/tcp 482/udp 483/tcp 483/udp 484/tcp 484/udp 485/tcp 485/udp
ljk-login LJK Software, Cambridge, Massachusetts <
[email protected]> hybrid-pop hybrid-pop Rami Rubin tn-tl-w1 tn-tl-w2 Ed Kress <
[email protected]> tcpnethaspsrv tcpnethaspsrv C h a r l i e Hava < c h a r l i e @ a l a d d i n . c o . i l > tn-tl-fd1 tn-tl-fd1 Ed Kress <
[email protected]> ss7ns ss7ns J e a n - M i c h e l URSCH spsc spsc Mike R i e k e r <
[email protected]> iafserver iafserver iafdbase iafdbase
[email protected] Ph s e r v i c e Ph s e r v i c e Roland Hedberg bgs-nsi bgs-nsi Jon S a p e r i a <
[email protected]> ulpnet ulpnet Kevin Mooney I n t e g r a Software Management Environment I n t e g r a Software Management Environment R a n d a l l Dow A i r S o f t Power B u r s t A i r S o f t Power B u r s t 509
Курс # avian avian # #
Защитные средства с открытыми исходными текстами
486/tcp 486/udp
saft saft #
487/tcp 487/udp
gss-http gss-http #
488/tcp 488/udp
nest-protocol nest-protocol # micom-pfs micom-pfs # go-login go-login # ticf-1 ticf-1 ticf-2 ticf-2 # pov-ray pov-ray # # intecourier intecourier #
489/tcp 489/udp
pim-rp-disc pim-rp-disc # dantz dantz # siam
490/tcp 490/udp 491/tcp 491/udp 492/tcp 492/udp 493/tcp 493/udp 494/tcp 494/udp
495/tcp 495/udp 496/tcp 496/udp 497/tcp 497/udp 498/tcp
avian avian Robert Ullmann s a f t Simple Asynchronous F i l e T r a n s f e r s a f t Simple Asynchronous F i l e T r a n s f e r U l l i H o r l a c h e r gss-http gss-http Doug R o s e n t h a l nest-protocol nest-protocol G i l l e s Gameiro micom-pfs micom-pfs David Misunas go-login go-login Troy M o r r i s o n T r a n s p o r t Independent Convergence f o r FNA T r a n s p o r t Independent Convergence f o r FNA T r a n s p o r t Independent Convergence f o r FNA T r a n s p o r t Independent Convergence f o r FNA Mamoru I t o POV-Ray POV-Ray POV-Team C o - o r d i n a t o r intecour i e r intecour i e r Steve Favor <
[email protected]> PIM-RP-DISC PIM-RP-DISC Dino F a r i n a c c i dantz dantz Richard Zulch siam 510
Приложение С
Общеизвестные номера портов TCP/IP
siam
498/udp
# iso-ill iso-ill
499/tcp 499/udp
# isakmp isakmp
500/tcp 500/udp
# stmf stmf
501/tcp 501/udp
# asa-appl-proto asa-appl-proto
502/tcp 502/udp
# intrinsa intrinsa
503/tcp 503/udp
# citadel citadel
504/tcp 504/udp
# mailbox-lm mailbox-lm
505/tcp 505/udp
# ohimsrv ohimsrv
506/tcp 506/udp
# crs crs
507/tcp 507/udp
# xvttp xvttp
508/tcp 508/udp
# snare snare
509/tcp 509/udp
# fcp fcp
510/tcp 510/udp
# passgo passgo
511/tcp 511/udp
#
siam Philippe G i l b e r t ISO ILL P r o t o c o l ISO ILL P r o t o c o l Mark H. Needleman <
[email protected]> isakmp isakmp Mark S c h e r t l e r <
[email protected]> STMF STMF Alan Ungar asa-appl-proto asa-appl-proto Dennis Dube Intrinsa Intrinsa Robert Ford citadel citadel A r t Cancro mailbox-lm mailbox-lm B e v e r l y Moody ohimsrv ohimsrv S c o t t Powell <spowell@openhor izon.com> crs crs Brad Wright xvttp xvttp K e i t h J. Alphonso snare snare Dennis B a t c h e l d e r <
[email protected]> FirstClass Protocol FirstClass Protocol Mike Marshburn <
[email protected]> PassGo PassGo John R a i n f o r d <
[email protected]> 511
Курс exec # # comsat biff # # # login # # # # who # # # shell # # syslog printer printer videotex videotex # talk # # # # talk # # # # ntalk ntalk utime utime efs router
Защитные средства с открытыми исходными текстами 512/tcp
512/udp 512/udp
513/tcp
513/udp
514/tcp
514/udp 515/tcp 515/udp 516/tcp 516/udp 517/tcp
517/udp
remote process e x e c u t i o n ; a u t h e n t i c a t i o n performed using passwords and UNIX l o g i n names used by m a i l system t o n o t i f y users of new m a i l received; c u r r e n t l y r e c e i v e s messages o n l y from processes on the same machine remote l o g i n a l a t e l n e t ; automatic a u t h e n t i c a t i o n performed based on p r i v i l e d g e d port numbers and d i s t r i b u t e d data bases which i d e n t i f y " a u t h e n t i c a t i o n domains" m a i n t a i n s data bases showing who's logged i n t o machines on a l o c a l net and the load average of the machine cmd l i k e exec, but automatic a u t h e n t i c a t i o n i s performed as f o r l o g i n s e r v e r spooler spooler videotex videotex D a n i e l Mavrakis <
[email protected]> l i k e tenex l i n k , but a c r o s s machine - u n f o r t u n a t e l y , doesn't use l i n k p r o t o c o l ( t h i s i s a c t u a l l y j u s t a rendezvous p o r t from which a tcp connection i s established) l i k e tenex l i n k , but a c r o s s machine - u n f o r t u n a t e l y , doesn't use l i n k p r o t o c o l ( t h i s i s a c t u a l l y j u s t a rendezvous p o r t from which a tcp connection i s established)
518/tcp 518/udp 519/tcp 519/udp 520/tcp 520/udp
unixtime unixtime extended f i l e name s e r v e r l o c a l r o u t i n g process (on s i t e ) ; 512
Приложение С
Общеизвестные номера портов TCP/IP
# # ripng ripng
521/tcp 521/udp
# ulp ulp
522/tcp 522/udp
# ibm-db2 ibm-db2
523/tcp 523/udp
# ncp ncp
524/tcp 524/udp
# timed timed tempo tempo
525/tcp 525/udp 526/tcp 526/udp
# stx stx custix custix
527/tcp 527/udp 528/tcp 528/udp
# irc-serv irc-serv
529/tcp 529/udp
# courier courier conference conference netnews netnews netwall
530/tcp 530/udp 531/tcp 531/udp 532/tcp 532/udp 533/tcp
netwall mm-admin mm-admin
533/udp 534/tcp 534/udp
# iiop iiop
535/tcp 535/udp
#
uses var i a n t o f Xerox NS r o u t i n g i n f o r m a t i o n p r o t o c o l - RIP ripng ripng Robert E. Minnear <minnear@ipsilon. ULP ULP Max Morr i s <
[email protected]> IBM-DB2 IBM-DB2 J u l i a n a Hsu <jhsu@ca. ibm.com> NCP NCP Don Provan <
[email protected]> timeserver timeserver newdate newdate Unknown Stock IXChange Stock IXChange Customer IXChange Customer IXChange Ferdi Ladeira IRC-SERV IRC-SERV B r i a n T a c k e t t rpc rpc chat chat readnews readnews f o r emergency broadcasts f o r emergency broadcasts MegaMedia Admin MegaMedia Admin Andreas Heidemann iiop iiop 513
Курс
opalis-rdv opalis-rdv # nmsp nmsp #
Защитные средства с открытыми исходными текстами
536/tcp 536/udp 537/tcp 537/udp
gdomap gdomap #
538/tcp 538/udp
apertus-ldp apertus-ldp uucp uucp uucp-rlogin uucp-rlogin # commerce commerce # klogin klogin kshell kshell appleqtcsrvr appleqtcsrvr # # dhcpv6-client dhcpv6-client dhcpv6-server dhcpv6-server #
539/tcp 539/udp 540/tcp 540/udp 541/tcp 541/udp
afpovertcp afpovertcp # idfp idfp # new-rwho
548/tcp 548/udp
542/tcp 542/udp 543/tcp 543/udp 544/tcp 544/udp 545/tcp 545/udp
546/tcp 546/udp 547/tcp 547/udp
549/tcp 549/udp 550/tcp
J e f f M.Michaud <
[email protected]> opalis-rdv opalis-rdv Laurent Domenech Networked Media Streaming P r o t o c o l Networked Media Streaming P r o t o c o l Paul S a n t i n e l l i J r . < p s a n t i n e l l i @ n a r r a tive.com> gdomap gdomap Richard Frith-Macdonald Apertus T e c h n o l o g i e s Load D e t e r m i n a t i o n Apertus T e c h n o l o g i e s Load D e t e r m i n a t i o n uucpd uucpd uucp-rlogin uucp-rlogin S t u a r t Lynne <
[email protected]> commerce commerce Randy E p s t e i n
krcmd krcmd appleqtcsrvr appleqtcsrvr M u r a l i Ranganathan <
[email protected]> DHCPv6 C l i e n t DHCPv6 C l i e n t DHCPv6 S e r v e r DHCPv6 S e r v e r Jim Bound AFP over TCP AFP over TCP Leland Wallace IDFP IDFP Ramana Kovi new-who 514
Приложение С
Общеизвестные номера портов TCP/IP
new-rwho cybercash cybercash #
550/udp 551/tcp 551/udp
devshr-nts devshr-nts # pirp pirp # rtsp rtsp #
552/tcp 552/udp
dsf dsf remotefs remotefs openvms-sysipc openvms-sysipc # sdnskmp sdnskmp teedtap teedtap #
555/tcp 555/udp 556/tcp 556/udp 557/tcp 557/udp
553/tcp 553/udp 554/tcp 554/udp
558/tcp 558/udp 559/tcp 559/udp
rmonitor rmonitor monitor monitor chshell chshell
560/tcp 560/udp 561/tcp 561/udp 562/tcp 562/udp
nntps nntps # 9pfs 9pfs whoami whoami
563/tcp 563/udp 564/tcp 564/udp 565/tcp 565/udp
new-who cybercash cybercash Donald E. E a s t l a k e 3rd <
[email protected]> DeviceShare DeviceShare Benjamin Rosenberg pirp pirp D. J. B e r n s t e i n Real Time Stream C o n t r o l P r o t o c o l Real Time Stream C o n t r o l P r o t o c o l Rob Lanphier
r f s server r f s server openvms-sysipc openvms-sysipc Alan P o t t e r <
[email protected]> SDNSKMP SDNSKMP TEEDTAP TEEDTAP Mort Hoffman rmonitord rmonitord
chcmd chcmd nntp p r o t o c o l over TLS/SSL (was snntp) nntp p r o t o c o l over TLS/SSL (was snntp) Kipp E.B. Hickman plan 9 f i l e s e r v i c e plan 9 f i l e s e r v i c e whoami whoami 515
Курс
Защитные средства с открытыми исходными текстами
streettalk streettalk banyan-rpc banyan-rpc
566/tcp 566/udp 567/tcp 567/udp
# ms-shuttle ms-shuttle
568/tcp 568/udp
# ms-rome ms-rome
569/tcp 569/udp
# meter meter meter meter sonar sonar
570/tcp 570/udp 571/tcp 571/udp 572/tcp 572/udp
# banyan-vip banyan-vip
573/tcp 573/udp
# ftp-agent ftp-agent
574/tcp 574/udp
# vemmi vemmi
575/tcp 575/udp
# ipcd ipcd vnas vnas ipdd ipdd
576/tcp 576/udp 577/tcp 577/udp 578/tcp 578/udp
# decbsrv
579/tcp
decbsrv
579/udp
# sntp-heartbeat sntp-heartbeat
580/tcp 580/udp
# bdp
581/tcp
streettalk streettalk banyan-rpc banyan-rpc Tom Lemaire microsoft shuttle microsoft shuttle Rudolph Balaz m i c r o s o f t rome m i c r o s o f t rome Rudolph Balaz demon demon udemon udemon sonar sonar K e i t h Moore <
[email protected]> banyan-vip banyan-vip Denis L e c l e r c FTP Software Agent System FTP Software Agent System M i c h a e l S. Greenberg <
[email protected]> VEMMI VEMMI D a n i e l Mavrakis <
[email protected]> ipcd ipcd vnas vnas ipdd ipdd Jay Farhat <
[email protected]> decbsrv decbsrv Rudi M a r t i n <movies::martin"@movies.enet.dec.com> SNTP HEARTBEAT SNTP HEARTBEAT Lou i s Mamakos Bundle D i s c o v e r y P r o t o c o l 516
Приложение С bdp # scc-security scc-security # philips-vc philips-vc # keyserver keyserver # imap4-ssl imap4-ssl # # password-chg password-chg submission submission # cal cal # eyelink eyelink # tns-cml tns-cml # http-alt http-alt # eudora-set eudora-set # http-rpc-epmap http-rpc-epmap # tpip tpip
Общеизвестные номера портов TCP/IP 581/udp
Bundle D i s c o v e r y P r o t o c o l Gary Malkin 582/tcp SCC Secur i t y 582/udp SCC Secur i t y Prashant D h o l a k i a <
[email protected]> 583/tcp P h i l i p s Video-Conferencing 583/udp P h i l i p s Video-Conferencing Janna Chang <
[email protected]> 584/tcp Key Server 584/udp Key Server Gary Howland 585/tcp IMAP4+SSL (use 993 i n s t e a d ) 585/udp IMAP4+SSL (use 993 i n s t e a d ) T e r r y Gray Use of 585 i s not recommended, use 993 i n s t e a d 586/tcp Password Change 586/udp Password Change 587/tcp Submission 587/udp Submission Randy G e l l e n s 588/tcp CAL 588/udp CAL Myron H a t t i g <
[email protected]. intel.com> 589/tcp EyeLink 589/udp EyeLink Dave Stampe 590/tcp TNS CML 590/udp TNS CML Jerome A l b i n 591/tcp FileMaker, Inc. - HTTP Alternate (see Port 80) 591/udp FileMaker, Inc. - HTTP Alternate (see Port 80) C l a y Maeckel 592/tcp Eudora Set 592/udp 593/tcp 593/udp 594/tcp 594/udp
Eudora Set R a n d a l l G e l l e n s HTTP RPC Ep Map HTTP RPC Ep Map Edward Reus <
[email protected]> TPIP TPIP 517
Курс # cab-protocol cab-protocol # smsd smsd # ptcnameservice ptcnameservice # sco-websrvrmg3 sco-websrvrmg3 # acp acp # ipcserver ipcserver # syslog-conn syslog-conn # xmlrpc-beep xmlrpc-beep #
idxp idxp # tunnel tunnel # soap-beep soap-beep
Защитные средства с открытыми исходными текстами
595/tcp 595/udp 596/tcp 596/udp 597/tcp 597/udp 598/tcp 598/udp 599/tcp 599/udp 600/tcp 600/udp 601/tcp 601/udp 602/tcp 602/udp
603/tcp 603/udp 604/tcp 604/udp 605/tcp 605/udp
#
urm urm nqs nqs
606/tcp 606/udp 607/tcp 607/udp
Brad Spear <
[email protected]> CAB P r o t o c o l CAB P r o t o c o l Winston Hetherington SMSD SMSD Wayne Barlow <
[email protected]> PTC Name S e r v i c e PTC Name S e r v i c e Y u r i Machkasov SCO Web S e r v e r Manager 3 SCO Web S e r v e r Manager 3 Simon Baldwin <
[email protected]> Aeolon Core P r o t o c o l Aeolon Core P r o t o c o l M i c h a e l A l y n M i l l e r <
[email protected]> Sun IPC s e r v e r Sun IPC s e r v e r B i l l S c h i e f e l b e i n <
[email protected]> R e l i a b l e Syslog Service R e l i a b l e Syslog Service RFC 3195 XML-RPC over BEEP XML-RPC over BEEP RFC3529 < f t p : / / f t p . i s i . e d u / i n notes/rfc3529.txt> March 2003 IDXP IDXP RFC-ietf-idwg-beep-idxp-07.txt TUNNEL TUNNEL RFC-ietf-idwg-beep-tunnel-05.txt SOAP over BEEP SOAP over BEEP RFC3288 < f t p : / / f t p . i s i . e d u / i n notes/rfc3288.txt> Apr i l 2002 Cray U n i f i e d Resource Manager Cray U n i f i e d Resource Manager nqs nqs 518
Приложение С
Общеизвестные номера портов TCP/IP
# sift-uft sift-uft
608/tcp 608/udp
# npmp-trap npmp-trap npmp-local npmp-local npmp-gui npmp-gui
609/tcp 609/udp 610/tcp 610/udp 611/tcp 611/udp
# hmmp-ind hmmp-ind hmmp-op hmmp-op
612/tcp 612/udp 613/tcp 613/udp
# sshell sshell
614/tcp 614/udp
# sco-inetmgr sco-inetmgr sco-sysmgr sco-sysmgr sco-dtmgr sco-dtmgr
615/tcp 615/udp 616/tcp 616/udp 617/tcp 617/udp
# dei-icda dei-icda
618/tcp 618/udp
# compaq-evm compaq-evm
619/tcp 619/udp
# sco-websrvrmgr sco-websrvrmgr
620/tcp 620/udp
# escp-ip escp-ip
621/tcp 621/udp
# collaborator collaborator
622/tcp 622/udp
#
B i l l S c h i e f e l b e i n <
[email protected]> Sender-Initiated/Unsolicited F i l e Transfer Sender-Initiated/Unsolicited F i l e Transfer R i c k T r o t h npmp-trap npmp-trap npmp-local npmp-local npmp-gui npmp-gui John Barnes <
[email protected]> HMMP I n d i c a t i o n HMMP I n d i c a t i o n HMMP Operation HMMP Operation Andrew S i n c l a i r SSLshell SSLshell Simon J. G e r r a t y <
[email protected]> I n t e r n e t C o n f i g u r a t i o n Manager I n t e r n e t C o n f i g u r a t i o n Manager SCO System A d m i n i s t r a t i o n S e r v e r SCO System A d m i n i s t r a t i o n S e r v e r SCO Desktop A d m i n i s t r a t i o n S e r v e r SCO Desktop A d m i n i s t r a t i o n S e r v e r Chr i s t o p h e r Durham DEI-ICDA DEI-ICDA David Turner Compaq EVM Compaq EVM Jem T r e a d w e l l <
[email protected]> SCO WebServer Manager SCO WebServer Manager Chr i s t o p h e r Durham ESCP ESCP L a i Z i t Seng Collaborator Collaborator Johnson Davis <
[email protected]> 519
Курс
Защитные средства с открытыми исходными текстами
asf-rmcp asf-rmcp
623/tcp 623/udp
# cryptoadmin cryptoadmin
624/tcp 624/udp
# dec_dlm dec_dlm
625/tcp 625/udp
# asia asia
626/tcp 626/udp
# passgo-tivoli passgo-tivoli
627/tcp 627/udp
# qmqp qmqp
628/tcp 628/udp
# 3com-amp3 3com-amp3
629/tcp 629/udp
# rda rda
630/tcp 630/udp
# ipp ipp
631/tcp 631/udp
# bmpp bmpp
632/tcp 632/udp
# servstat servstat
633/tcp 633/udp
# ginad ginad
634/tcp 634/udp
# rlzdbase rlzdbase
635/tcp 635/udp
# ldaps
636/tcp
ASF Remote Management and C o n t r o l P r o t o c o l ASF Remote Management and C o n t r o l P r o t o c o l C a r l F i r s t Crypto Admin Crypto Admin Tony Walker DEC DLM DEC DLM Rudi M a r t i n ASIA ASIA M i c h a e l Dasenbrock PassGo T i v o l i PassGo T i v o l i Chr i s H a l l QMQP QMQP Dan B e r n s t e i n 3Com AMP3 3Com AMP3 Prakash B a n t h i a <
[email protected]> RDA RDA John Hadj ioannou <
[email protected]> IPP ( I n t e r n e t P r i n t i n g P r o t o c o l ) IPP ( I n t e r n e t Pr i n t i n g P r o t o c o l ) Carl-Uno Manros <
[email protected]> bmpp bmpp Troy R o l l o S e r v i c e S t a t u s update ( S t e r l i n g Software) S e r v i c e S t a t u s update ( S t e r l i n g Software) Greg Rose ginad ginad Mark C r o t h e r <
[email protected]> RLZ DBase RLZ DBase M i c h a e l Ginn ldap p r o t o c o l over TLS/SSL (was s l d a p ) 520
Приложение С
Общеизвестные номера портов TCP/IP
ldaps
636/udp
# lanserver lanserver
637/tcp 637/udp
# mcns-sec mcns-sec
638/tcp 638/udp
# msdp msdp
639/tcp 639/udp
# entrust-sps entrust-sps
640/tcp 640/udp
# repcmd repcmd
641/tcp 641/udp
# esro-emsdp esro-emsdp
642/tcp 642/udp
# sanity sanity
643/tcp 643/udp
# dwr dwr
644/tcp 644/udp
# pssc pssc
645/tcp 645/udp
# ldp ldp
646/tcp 646/udp
# dhcp-failover dhcp-failover
647/tcp 647/udp
# rrp rrp
648/tcp 648/udp
# cadview-3d
649/tcp
cadview-3d
649/udp
ldap p r o t o c o l over TLS/SSL (was s l d a p ) Pat Richard <
[email protected]> lanserver lanserver Chr i s Larsson mcns-sec mcns-sec Kaz Ozawa MSDP MSDP Dino Far i n a c c i entrust-sps entrust-sps Marek B u c h l e r <
[email protected]> repcmd repcmd S c o t t Dale <
[email protected]> ESRO-EMSDP V1.3 ESRO-EMSDP V1.3 Mohsen Banan <
[email protected]> SANity SANity Peter V i s c a r o l a dwr dwr B i l l Fenner PSSC PSSC Egon Meier-Engelen <
[email protected]> LDP LDP Bob Thomas DHCP F a i l o v e r DHCP F a i l o v e r Bernard V o l z R e g i s t r y R e g i s t r a r P r o t o c o l (RRP) R e g i s t r y R e g i s t r a r P r o t o c o l (RRP) S c o t t Hollenbeck <
[email protected]> Cadview-3d - streaming 3d models over the i n t e r n e t Cadview-3d - streaming 3d models over 521
Курс
Защитные средства с открытыми исходными текстами
# obex obex
650/tcp 650/udp
# ieee-mms ieee-mms
651/tcp 651/udp
# hello-port hello-port
652/tcp 652/udp
# repscmd repscmd
653/tcp 653/udp
# aodv aodv
654/tcp 654/udp
# tinc tinc
655/tcp 655/udp
# spmp spmp
656/tcp 656/udp
# rmc rmc
657/tcp 657/udp
# tenfold tenfold
658/tcp 658/udp
# # mac-srvr-admin mac-srvr-admin
659 660/tcp 660/udp
# hap hap
661/tcp 661/udp
# pftp pftp
662/tcp 662/udp
# purenoise
663/tcp
the i n t e r n e t David Cooper OBEX OBEX J e f f Garbers IEEE MMS IEEE MMS C u r t i s Anderson HELLO_PORT HELLO_PORT Patrick Cipiere <Patr
[email protected]> RepCmd RepCmd S c o t t Dale <
[email protected]> AODV AODV C h a r l e s P e r k i n s TINC TINC Ivo Timmermans SPMP SPMP Jakob Kaivo <
[email protected]> RMC RMC M i c h a e l Schmidt <mmaass@us. ibm.com> TenFold TenFold Lou i s O l s z y k Removed (2001-06-06) MacOS S e r v e r Admin MacOS S e r v e r Admin F o r e s t H i l l HAP HAP Igor P l o t n i kov PFTP PFTP Ben S c h l u r i c k e <
[email protected]> PureNoise 522
Приложение С
Общеизвестные номера портов TCP/IP
purenoise 663/udp # asf-secure-rmcp 664/tcp asf-secure-rmcp 664/udp # sun-dr sun-dr # mdqs mdqs doom doom # disclose disclose # mecomm mecomm meregister meregister # vacdsm-sws vacdsm-sws vacdsm-app vacdsm-app vpps-qua vpps-qua cimplex cimplex # acap acap # dctp dctp # vpps-via vpps-via
665/tcp 665/udp 666/tcp 666/udp 666/tcp 666/udp 667/tcp 667/udp
668/tcp 668/udp 669/tcp 669/udp 670/tcp 670/udp 671/tcp 671/udp 672/tcp 672/udp 673/tcp 673/udp 674/tcp 674/udp 675/tcp 675/udp 676/tcp 676/udp
PureNoise Sam Osa <
[email protected]> ASF Secure Remote Management and C o n t r o l Protocol ASF Secure Remote Management and C o n t r o l Protocol C a r l F i r s t Sun DR Sun DR H a r i n d e r Bhasin
doom Id Software doom Id Software campaign c o n t r i b u t i o n d i s c l o s u r e s - SDR Technologies campaign c o n t r i b u t i o n d i s c l o s u r e s - SDR Technologies J i m Dixon <
[email protected]> MeComm MeComm MeRegister MeRegister Armin Sawusch <
[email protected]> VACDSM-SWS VACDSM-SWS VACDSM-APP VACDSM-APP VPPS-QUA VPPS-QUA CIMPLEX CIMPLEX U l y s s e s G. Smith J r . ACAP ACAP C h r i s Newman DCTP DCTP Andre Kramer VPPS V i a VPPS V i a 523
Курс # vpp vpp # ggf-ncp ggf-ncp # mrm mrm # entrust-aaas entrust-aaas entrust-aams entrust-aams # xfr xfr # corba- i i o p corba- i i o p corba- i i o p - s s l corba- i i o p - s s l # mdc-portmapper mdc-portmapper # hcp-wismar hcp-wismar # asipregistry asipregistry # realm-rusd realm-rusd # nmap nmap # vatp vatp #
Защитные средства с открытыми исходными текстами
677/tcp 677/udp 678/tcp 678/udp 679/tcp 679/udp 680/tcp 680/udp 681/tcp 681/udp
682/tcp 682/udp 683/tcp 683/udp 684/tcp 684/udp 685/tcp 685/udp 686/tcp 686/udp 687/tcp 687/udp 688/tcp 688/udp 689/tcp 689/udp 690/tcp 690/udp
U l y s s e s G. Smith J r . V i r t u a l Presence P r o t o c o l V i r t u a l Presence P r o t o c o l Klaus Wolf <
[email protected]> GNU Generation Foundation NCP GNU Generation Foundation NCP Noah Paul <
[email protected]> MRM MRM Liming Wei entrust-aaas entrust-aaas entrust-aams entrust-aams Adrian Mancini XFR XFR Noah Paul <
[email protected]> CORBA IIOP CORBA IIOP CORBA IIOP SSL CORBA IIOP SSL Henry Lowe MDC Port Mapper MDC Port Mapper Noah Paul <
[email protected]> Hardware C o n t r o l P r o t o c o l Wismar Hardware C o n t r o l P r o t o c o l Wismar David Merchant asipregistry asipregistry E r i k Sea <
[email protected]> REALM-RUSD REALM-RUSD J e r r y Knight <
[email protected]> NMAP NMAP Peter Dennis Bartok VATP VATP A t i c a Software < c o m e r c i a l @ a t i c a s o f t . e s > 524
Приложение С msexch-routing msexch-routing # hyperwave-isp hyperwave-isp # connendp connendp # ha-cluster ha-cluster # ieee-mms-ssl ieee-mms-ssl # rushd rushd # uuidgen uuidgen # olsr olsr # accessnetwork accessnetwork # epp epp # # elcsd elcsd agentx agentx # silc silc # borland-dsj
Общеизвестные номера портов TCP/IP 691/tcp 691/udp 692/tcp 692/udp 693/tcp 693/udp 694/tcp 694/udp 695/tcp 695/udp
696/tcp 696/udp 697/tcp 697/udp 698/tcp 698/udp 699/tcp 699/udp 700/tcp 700/udp 701-703 704/tcp 704/udp 705/tcp 705/udp 706/tcp 706/udp
707/tcp
MS Exchange Routing MS Exchange Routing David Lemson Hyperwave-ISP Hyperwave-ISP Gerald Mesaric connendp connendp Ronny Bremer ha-cluster ha-cluster Alan Robertson IEEE-MMS-SSL IEEE-MMS-SSL C u r t i s Anderson <
[email protected]> RUSHD RUSHD Greg Ercolano <
[email protected]> UUIDGEN UUIDGEN James Falkner <
[email protected]> OLSR OLSR Thomas Clausen Access Network Access Network Yingchun Xu Extensible Provisioning Protocol Extensible Provisioning Protocol RFC-ietf-provreg-epp-tcp-06. t x t Unassigned e r r l o g c o p y / s e r v e r daemon e r r l o g c o p y / s e r v e r daemon AgentX AgentX Bob N a t a l e SILC SILC Pekka R i i k o n e n <pr i i k o n e @ p o s e i d o n . p s p t . f i > Borland DSJ 525
Курс borland-dsj # # entrust-kmsh entrust-kmsh entrust-ash entrust-ash # cisco-tdp cisco-tdp # # netviewdm1 netviewdm1 netviewdm2 netviewdm2 netviewdm3 netviewdm3 # # netgw netgw # netrcs netrcs # # flexlm flexlm # # # fuj itsu-dev fuj itsu-dev r is-cm r is-cm kerberos-adm kerberos-adm rfile loadav kerberos- i v
Защитные средства с открытыми исходными текстами 707/udp 708 709/tcp 709/udp 710/tcp 710/udp 711/tcp 711/udp 712-728 729/tcp 729/udp 730/tcp 730/udp 731/tcp 731/udp 732-740 741/tcp 741/udp 742/tcp 742/udp
743 744/tcp 744/udp
745-746 747/tcp 747/udp 748/tcp 748/udp 749/tcp 749/udp 750/tcp 750/udp 750/udp
Borland DSJ Gerg Cole Unassigned E n t r u s t Key Management S e r v i c e Handler E n t r u s t Key Management S e r v i c e Handler E n t r u s t A d m i n i s t r a t i o n S e r v i c e Handler E n t r u s t A d m i n i s t r a t i o n S e r v i c e Handler Peter W h i t t a k e r C i s c o TDP C i s c o TDP Bruce Davie Unassigned IBM NetView DM/6000 S e r v e r / C l i e n t IBM NetView DM/6000 S e r v e r / C l i e n t IBM NetView DM/6000 send/tcp IBM NetView DM/6000 send/tcp IBM NetView DM/6000 r e c e i v e / t c p IBM NetView DM/6000 r e c e i v e / t c p P h i l i p p e B i n e t (
[email protected]) Unassigned netGW netGW O l i v e r Korfmacher (
[email protected]) Network based Rev. Cont. Sys. Network based Rev. Cont. Sys. Gordon C. G a l l i g h e r Unassigned F l e x i b l e License Manager F l e x i b l e License Manager Matt C h r i s t i a n o Unassigned Fuj i t s u Device C o n t r o l Fuj i t s u Device C o n t r o l R u s s e l l Info S c i Calendar Manager R u s s e l l Info S c i Calendar Manager kerberos a d m i n i s t r a t i o n kerberos a d m i n i s t r a t i o n
kerberos v e r s i o n i v 526
Приложение С # pump pump qrh qrh rrh rrh tell tell # # nlogin nlogin con con ns ns rxe rxe quotad quotad cycleserv cycleserv omserv omserv webster webster # # phonebook phonebook # # vid vid cadlock cadlock rtip rtip cycleserv2 cycleserv2 submit
Общеизвестные номера портов TCP/IP M a r t i n Hamilton <
[email protected]> 751/tcp 751/udp 752/tcp 752/udp 753/tcp 753/udp 754/tcp 754/udp 755-756 758/tcp 758/udp 759/tcp 759/udp 760/tcp 760/udp 761/tcp 761/udp 762/tcp 762/udp 763/tcp 763/udp 764/tcp 764/udp 765/tcp 765/udp 766 767/tcp 767/udp 768 769/tcp 769/udp
send send J o s y u l a R. Rao <
[email protected]> Unassigned
J o s y u l a R. Rao <
[email protected]> Unassigned phone phone J o s y u l a R. Rao <
[email protected]> Unassigned
770/tcp 770/udp 771/tcp 771/udp 772/tcp 772/udp 773/tcp 527
Курс
Защитные средства с открытыми исходными текстами
notify rpasswd acmaint_dbd entomb acmaint_transd wpages wpages
773/udp 774/tcp 774/udp 775/tcp 775/udp 776/tcp 776/udp
# multiling-http multiling-http
777/tcp 777/udp
# # wpgs wpgs
778-779 780/tcp 780/udp
# # # # # mdbs_daemon mdbs_daemon device device # fcp-udp fcp-udp
781-785 786 787 788-799 800/tcp 800/udp 801/tcp 801/udp 802-809 810/tcp 810/udp
# # itm-mcell-s itm-mcell-s
811-827 828/tcp 828/udp
# pkix-3-ca-ra pkix-3-ca-ra
829/tcp 829/udp
# # dhcp-failover2 dhcp-failover2
830-846 847/tcp 847/udp
# gdoi gdoi
848/tcp 848/udp
# #
849-859
J o s y u l a R. Rao <jrrao@watson. ibm.com> M u l t i l i n g HTTP M u l t i l i n g HTTP A l e j a n d r o Bonet Unassigned
J o s y u l a R. Rao <jrrao@watson. ibm.com> Unassigned Unassigned (Removed 2002-05-08) Unassigned (Removed 2002-10-08) Unassigned
Unassigned FCP FCP Datagram Paul Whittemore <
[email protected]> Unassigned itm-mcell-s itm-mcell-s M i l e s O'Neal <
[email protected]> PKIX-3 CA/RA PKIX-3 CA/RA C a r l i s l e Adams Unassigned dhcp-failover 2 dhcp-failover 2 Bernard V o l z GDOI GDOI RFC-ietf-msec-gdoi-07.txt Unassigned 528
Приложение С iscsi iscsi # # rsync rsync # # iclcnet-locate iclcnet-locate # iclcnet_svinfo iclcnet_svinfo # accessbuilder accessbuilder # # The f o l l o w i n g cddbp # # # omginitialrefs omginitialrefs # smpnameres smpnameres # ideafarm-chat ideafarm-chat ideafarm-catch ideafarm-catch # # xact-backup xact-backup # apex-mesh apex-mesh apex-edge apex-edge #
Общеизвестные номера портов TCP/IP 860/tcp 860/udp
iSCSI iSCSI RFC-draft-ietf-ips-iscsi-20.txt 861-872 Unassigned 873/tcp rsync 873/udp rsync Andrew T r i d g e l l 874-885 Unassigned 886/tcp ICL coNETion l o c a t e s e r v e r 886/udp ICL coNETion l o c a t e s e r v e r Bob Lyon 887/tcp ICL coNETion s e r v e r i n f o 887/udp ICL coNETion s e r v e r i n f o Bob Lyon 888/tcp AccessBuilder 888/udp AccessBuilder Steve Sweeney <
[email protected]. com> entry records an unassigned but widespread use 888/tcp CD Database P r o t o c o l Steve S c h e r f <
[email protected]> 889-899 900/tcp 900/udp
901/tcp 901/udp 902/tcp 902/udp 903/tcp 903/udp 904-910 911/tcp 911/udp 912/tcp 912/udp 913/tcp 913/udp
Unassigned OMG I n i t i a l Refs OMG I n i t i a l Refs Christian Callsen SMPNAMERES SMPNAMERES L e i f Ekblad IDEAFARM-CHAT IDEAFARM-CHAT IDEAFARM-CATCH IDEAFARM-CATCH Wo'o Ideafarm Unassigned xact-backup xact-backup B i l l C a r r o l l APEX r e l a y - r e l a y s e r v i c e APEX r e l a y - r e l a y s e r v i c e APEX e n d p o i n t - r e l a y s e r v i c e APEX e n d p o i n t - r e l a y s e r v i c e [RFC3340] 529
Курс
Защитные средства с открытыми исходными текстами
# ftps-data ftps-data ftps ftps #
914-988 989/tcp 989/udp 990/tcp 990/udp
nas nas # # telnets telnets imaps imaps ircs ircs #
991/tcp 991/udp
pop3s pop3s # vsinet vsinet # maitrd maitrd busboy puparp garcon applix puprouter puprouter cadlock2 cadlock2 # # surf surf # # #
992/tcp 992/udp 993/tcp 993/udp 994/tcp 994/udp
995/tcp 995/udp 996/tcp 996/udp 997/tcp 997/udp 998/tcp 998/udp 999/tcp 999/udp 999/tcp 999/udp 1000/tcp 1000/udp 1001-1009 1008/udp 1010/tcp 1010/udp 1011-1022 1023/tcp 1023/udp
Unassigned f t p p r o t o c o l , data, over TLS/SSL f t p p r o t o c o l , data, over TLS/SSL f t p p r o t o c o l , c o n t r o l , over TLS/SSL f t p p r o t o c o l , c o n t r o l , over TLS/SSL C h r i s t o p h e r A l l e n Netnews A d m i n i s t r a t i o n System Netnews A d m i n i s t r a t i o n System Vera Heinau Heiko S c h l i c h t i n g t e l n e t p r o t o c o l over TLS/SSL t e l n e t p r o t o c o l over TLS/SSL imap4 p r o t o c o l over TLS/SSL imap4 p r o t o c o l over TLS/SSL i r c p r o t o c o l over TLS/SSL i r c p r o t o c o l over TLS/SSL C h r i s t o p h e r A l l e n pop3 p r o t o c o l over TLS/SSL (was spop3) pop3 p r o t o c o l over TLS/SSL (was spop3) Gordon Mangione vsinet vsinet Rob Juergens
A p p l i x ac
Unassigned P o s s i b l y used by Sun S o l a r i s ? ? ? ? surf surf Joseph Geer <
[email protected]> Reserved Reserved Reserved IANA 530
Приложение D
Общая форма разрешения и отказа от претензий
Приложение D О б щ а я ф о р м а р а з р е ш е н и я и о т к а з а от п р е т е н з и й Сканирование портов и тестирование уязвимостей Общее разрешение
и отказ от
претензий
Условия этого соглашения охватывают все услуги, в ы п о л н е н н ы е («Консультантом») для («Клиента»), в связи со сканированием портов или тестированием уязвимостей сете вых или компьютерных систем клиента со следующими и м е н а м и хостов или IP-адресами (приложите список отдельно, если о н с л и ш к о м большой). Подпись Клиента выражает его согласие со следующими усло в и я м и и положениями: 1. Н а с т о я щ и м Клиент предоставляет Консультанту и его представи телям разрешение на доступ или п о п ы т к и доступа к серверам и се тевым устройствам, необходимый для оказания услуг по с к а н и р о ванию портов и тестированию уязвимостей. Представитель, под п и с а в ш и й это соглашение, подтверждает, что о н является о ф и ц и альным л и ц о м организации клиента, или авторизован официаль¬ н ы м л и ц о м , чтобы дать такое разрешение. 2. Клиент согласен, что он отвечает за надлежащее восстановление всех освидетельствуемых систем. Хотя в ы п о л н я е м ы е тесты обыч но носят пассивный, ненавязчивый характер, имеется р и с к пол¬ ного отказа систем или потери данных. Клиент должен осуществ¬ лять регулярное резервное копирование своих данных. Клиент с о гласен освободить от ответственности и не обвинять Консультан та и его представителей в случаях непреднамеренной или случай н о й потери данных, перерывов в предоставлении услуг, в произ¬ водственной деятельности, снижения производительности, п р о изошедших в связи с деятельностью Консультанта. 3. Клиент несет ответственность за принятие мер по устранению идентифицированных Консультантом недостатков или пробелов в безопасности. Консультант не отвечает по этому контракту за уст¬ ранение выявленных недостатков. 4. Соглашение подчиняется и управляется законами . Стороны согласны, что с целью рассмотрения дела любые и все судебные иски, разногласия, основания для предъявления иска и / и л и арбитража д о л ж н ы иметь место . 531
Курс
Защитные средства с открытыми исходными текстами
Гарантийные
обязательства
1. Консультант не отвечает за задержки в предоставлении услуг и за убытки, п о н е с е н н ы е Клиентом в результате такой задержки, когда такая задержка прямо или косвенно вызвана или является резуль татом стихийного бедствия или другого внешнего воздействия, несчастного случая, правительственных законов или предписа н и й , трудовых споров, гражданских беспорядков, транспортной задержки или любой другой п р и ч и н ы , находящейся вне разумно го контроля Консультанта или Клиента. 2. К О Н С У Л Ь Т А Н Т Н Е П Р Е Д О С Т А В Л Я Е Т В О Т Н О Ш Е Н И И УС Л У Г И Н И К А К И Х ГАРАНТИЙ, Я В Н О В Ы Р А Ж Е Н Н Ы Х И Л И ПРЕДПОЛАГАЕМЫХ, ВКЛЮЧАЯ ГАРАНТИИ П Р И Г О Д Н О СТИ ДЛЯ ПРОДАЖИ И Л И К А К О Й - Л И Б О О П Р Е Д Е Л Е Н Н О Й Ц Е Л И . К Л И Е Н Т СОГЛАСЕН, Ч Т О К О Н С У Л Ь Т А Н Т Н Е Н Е С Е Т О Т В Е Т С Т В Е Н Н О С Т И ЗА У Щ Е Р Б , В К Л Ю Ч А Ю Щ И Й , Н О Н Е ОГРАНИЧИВАЮЩИЙСЯ КОСВЕННЫМ, СЛУЧАЙНЫМ, П О Б О Ч Н Ы М И Л И С П Е Ц И А Л Ь Н Ы М У Щ Е Р Б О М , ВКЛЮЧАЯ ДЕЛОВЫЕ ПОТЕРИ. СОГЛАСЕН: И М Я КЛИЕНТА: ДОЛЖНОСТЬ КЛИЕНТА:
Дата:
532
Приложение E
Встраиваемые модули Nessus
Приложение E В с т р а и в а е м ы е м о д у л и Nessus В этом приложении перечислены все встраиваемые модули Nessus, указано семейство модулей, которому они принадлежат, а также соответ¬ ствующие им номера C V E (Common Vulnerability and Exploit — общеизве стная уязвимость и ее использование) и BugTraq, если они существуют. Следует иметь в виду, что этот список постоянно изменяется. Самую све жую версию со всеми и з м е н е н и я м и м о ж н о найти на Web-сайте Nessus по адресу www.nessus.org. Встраиваемые модули Nessus, версия от 01.12.2004 Семейство
Название модуля
Номер CVE
Backdoors
Cart32 ChangeAdminPassword TrinOO for Windows Detect NetSphere Backdoor Finger backdoor RemoteNC detection Check for V N C Desktop Orbiter Server Detection PC Anywhere Trinity v3 Detect mstream handler Detect 4553 Parasite Mothership Detect Lion worm Bugbear.B worm CodeRed version X detection lovgate virus is installed C D K Detect DeepThroat WinSATAN mstream agent Detect Trojan horses SubSeven Shaft Detect Check for V N C HTTP Bugbear.B web backdoor
CAN-2000-0429
Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors
533
Номер BugTraq 1153
CAN-2000-0138 CAN-1999-0660 CAN-1999-0660
CAN-2000-0138 CAN-2000-0138
CVE-2001-0500
CAN-1999-0660 CAN-1999-0660 CAN-2000-0138 CAN-1999-0660 CAN-2000-0138 2189
2880
Курс
Защитные средства с открытыми исходными текстами
Семейство
Название модуля
Backdoors
RemotelyAnywhere SSH detection alya.cgi JRun Sample Files NetBus 2.x GirlFriend T F N Detect NetBus 1.x Bugbear worm radmin detection Dansie Shopping Cart backdoor Kuang2 the Virus Stacheldraht Detect PC Anywhere TCP Portal of Doom Wollf backdoor detection BackOrifice Alcatel OmniSwitch 7700/ 7800 switches backdoor IIS Possible Compromise GateCrasher FsSniffer Detection M P E i / X Default Accounts Remote PC Access Server Detection RemotelyAnywhere WWW detection SyGate Backdoor Trin00 Detect Fluxay Sensor Detection bttlxeForum SQL injection rpm query C G I WebsitePro buffer overflow Ocean12 Database Download AtomicBoard file reading ftp.pl shows the listing of any dir php file upload cgitest.exe buffer overrun Webfroot Shoutbox Directory Traversal
Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors Backdoors CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses
Номер CVE
534
CVE-2000-0539 CAN-1999-0660 CAN-1999-0660 CAN-2000-0138 CAN-1999-0660 CVE-2001-0154 CVE-2000-0252
Номер BugTraq
1386
7538 1115
CAN-1999-0660 CAN-2000-0138 CAN-1999-0660 CAN-1999-0660 CAN-2002-1272
CAN-1999-0660
CVE-2000-0113 CAN-2000-0138
952
CAN-2003-0215 CVE-2000-0192 CAN-2000-0623
1036 1492 7328
CVE-2000-0674 CVE-2000-0860 CVE-2002-0128
8236 1471 1649 3885 7717
Приложение E
Встраиваемые модули Nessus
Семейство
Название модуля
Номер CVE
CGI abuses
ServletExec 4.1 / JRun ISAPI DoS IkonBoard arbitrary command execution AutomatedShops WebC.cgi buffer overflows typo3 arbitrary file reading
CAN-2002-0894, CVE-2000-0681
alibaba.pl Sambar Web Server C G I scripts pals-cgi iiprotect bypass Turba Path Disclosure sglMerchant Information Disclosure Vulnerability VP-ASP SQL Injection multihtml cgi Coppermine Gallery SQL injection Outlook Web anonymous access ibillpm.pl jj cgi e107 database dump Oracle 9iAS access to SOAP documentation view source TrendMicro Emanager software check texi.exe information disclosure Check for bdir.htr files Check for IIS .cnf file leakage test-cgi testcgi.exe Cross Site Scripting gallery code injection PHPix directory traversal vulnerability Avenger's News System Command Execution Neoteris IVE XSS
CAN-1999-0885 CAN-2000-0213 1
CGI abuses CGI abuses CGI abuses
CGI abuses CGI abuses CGI CGI CGI CGI
abuses abuses abuses abuses
CGI abuses CGI abuses CGI abuses CGI abuses CGI CGI CGI CGI
abuses abuses abuses abuses
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses
535
Номер BugTraq 4796, 1570 7361 7268 6993, 6988, 6986, 6985, 6984, 6983, 6982 770 002
CAN-2001-0216
2372 7661
CAN-2001-1019
3309 4861
CVE-2000-0912 7471 CVE-2001-0660
3301
CVE-1999-0260
3476 2002 8273
CVE-1999-0174 CAN-2001-0958
2251 3327 7105
4078 CVE-1999-0070
2003 7214
CVE-2001-1234 CVE-2000-0919
3397 1773
CAN-2002-0307
4147
CAN-2003-0217
Курс
Защитные средства с открытыми исходными текстами
Семейство
Название модуля
CGI abuses
Netscape Administration Server admin password IIS .IDA ISAPI filter applied Oracle 9iAS D A D Admin interface directory pro web traversal UploadLite cgi InterScan VirusWall Remote Configuration Vulnerability Bonsai Mutiple Flaws
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses
CGI abuses
CGI abuses CGI abuses CGI abuses
CGI abuses CGI abuses
Номер CVE
gallery code injection (2) Mantis Detection PHP-Nuke security vulnerability (bb smilies.php) eLDAPo cleartext passwords php socket_iovec_alloc() integer overflow
CGI abuses CGI abuses
Mnogosearch overflows OpenBB SQL injection
CGI abuses
Agora C G I Cross Site Scripting admin.cgi overflow Super Guestbook config disclosure WebLogic management servlet GroupWise Web Inter¬ face 'HTMLVER' hole phpMyAdmin multiple flaws auktion.cgi M S Q L C G I overflow Simple File Manager File name Script Injection
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses
536
Номер BugTraq 1579
CVE-2001-0500
2880
CAN-2001-0780
2793
CAN-2001-0432
7051 2579
CAN-2003-0152, CAN-2003-0153, CAN-2003-0154, CAN-2003-0155 8814 CAN-2001-0320
7535 CAN-2003-0172
CVE-2001-1199 CAN-2002-0199
7187, 7197, 7198, 7199, 7210, 7256, 7259 7401, 7404, 7405 3702 3934 7319 7122, 7124, 7130, 7131
CAN-2002-0341
CAN-2001-0212 CVE-1999-0753
7965, 7964, 7963, 7962 2367 591 7035
Приложение E
Встраиваемые модули Nessus
Семейство
Название модуля
CGI abuses
Sambar sendmail /session/ sendmail Poll It v2.0 cgi Netscape Server ? PageServices bug empower cgi path C E R N httpd problem ICECast FileSystem disclosure Adcycle Password Disclosure album.pl Command tektronix's ncl items.shtml ht://Dig's htsearch potential exposure/dos UltraSeek 3.1.x Remote DoS Novell Web Server NDS Tree Browsing WebSphere Cross Site Scripting paFileDB XSS Coppermine Gallery Remote Command Execution sojourn.cgi printenv Beanwebb's guestbook Ocean12 Guestbook XSS IMP SQL injection TalentSoft Web+ Input Validation Bug Vulnerability Xoops path disclosure
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI CGI CGI CGI CGI CGI
abuses abuses abuses abuses abuses abuses
CGI abuses
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses
Номер CVE
Directory listing through Sambar's search.dll store.cgi ttCMS code injection Philboard database access Non-Existant Page Physical Path Disclosure Vulnerability 537
CVE-2000-0590 CVE-1999-0269
Номер BugTraq
1431
CAN-2001-0224 2374 CAN-2000-0079 936 5189 CAN-2000-1161
1969
7444 Execution CAN-2001-0484
2659
CVE-2001-0834
3410
CVE-2000-1019
1866
CAN-1999-1020
484 2401 6021 7300
CVE-2000-0180
1052 7232, 7231 7329
CVE-2000-0282
1102
CAN-2002-0216, CAN-2002-0217
3977, 3978, 3981, 5785, 6344, 6393 1684
CAN-2000-0835 CAN-2001-0305
2385 7542, 7543, 7625 4261
Курс
Защитные средства с открытыми исходными текстами
Семейство
Название модуля
CGI abuses CGI abuses
webdriver SLMail WebMail overflows whois raw Extent RBS ISP Cobalt siteUserMod cgi cpanel remote command execution ddicgi.exe vulnerability myPHPcalendar injection AspUpload vulnerability Microsoft Frontpage 'authors' exploits FormHandler.cgi TextPortal Default Passwords /scripts/repost.asp ht://Dig's htsearch reveals web server path ASP.NET Cross Site Scripting Auction Deluxe XSS K W whois Owl Login bypass IIS directory traversal Cobalt RaQ2 cgiwrap
CGI CGI CGI CGI
abuses abuses abuses abuses
CGI CGI CGI CGI
abuses abuses abuses abuses
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI CGI CGI CGI CGI
abuses abuses abuses abuses abuses
Номер CVE
CGI abuses
PHP-Nuke is installed on the remote host
CGI abuses
PHP-Nuke Gallery Add-on File View PHP Ashnews code injection shtml.exe reveals full path webspirs.cgi Ultimate PHP Board adminip.php code injection WebSite pro reveals the physical file path of web directories
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses
538
Н о м
р
^ BugTraq 2166
CAN-1999-1063 CVE-2000-1036 CVE-2000-0117
304 1704 951 6882
CAN-2000-0826
1657
CAN-2001-0938 CAN-1999-1051
799 7673
CAN-2000-1191 CAN-2003-0223 CAN-2002-0257 CVE-2000-0941
4069 1883
CVE-2000-0884 CVE-1999-1530, CVE-2000-0431 CAN-2001-0292, CAN-2001-0320, CAN-2001-0854, CAN-2001-0911, CAN-2001-1025, CAN-2002-0206, CAN-2002-0483, CAN-2002-1242 CVE-2001-0900
1806 777, 1238 6446, 6465, 6503, 6750, 6887, 6890, 7031, 7060, 7078, 7079
8241 CAN-2000-0413 CAN-2001-0211
1174 2362 7678
CAN-2000-0066
932
Приложение E
Встраиваемые модули Nessus
Семейство
Название модуля
Номер CVE
Номер BugTraq
CGI abuses CGI abuses
glimpse WebLogic source code disclosure Poster version.two privilege escalation mod ssl off by one Sun's Java Web Server remote command execution Apache 2.0.39 Win32 directory traversal quickstore traversal
CVE-1999-0147 CVE-2000-0682
2026 1518
CVE-2002-0653 CAN-2000-0629
5084 1459
CAN-2002-0661
5434
CAN-1999-0607, CAN-2000-1188 CAN-2000-0187 1 CAN-2001-1216
014 3726
CGI abuses CGI abuses CGI abuses
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses
CGI abuses CGI CGI CGI CGI
abuses abuses abuses abuses
CGI abuses
EZShopper 3.0 Oracle 9iAS mod_plsql Buffer Overflow TalentSoft Web+ version detection mod ssl overflow viewpage.php arbitrary file reading gallery xss Dune Web Server Overflow Apache Tomcat Directory Listing and File disclosure args.bat SimpleBBS users disclosure Web Wiz Forums database disclosure Redhat Stronghold File System Disclosure bigconf Interactive Story Directory Traversal Vulnerability MyAbraCadaWeb Cross Site Scripting AltaVista Intranet Search JServ Cross Site Scripting infosrch.cgi Oracle 9iAS Globals.jsa access /scripts directory browsable 539
CVE-2002-0082
4189 7191 8288 7945
CAN-2003-0042
6721
CAN-1999-1180 7045 7380 CAN-2001-0868 CVE-1999-1550 CVE-2001-0804
778 3028
7126, 7127 CVE-2000-0039
896
CVE-2000-0207 CAN-2002-0562
1031 4034
Курс
Защитные средства с открытыми исходными текстами
Семейство
Название модуля
Номер CVE
Номер BugTraq
CGI abuses
Reading CGI script sources using /cgi-bin-sdb PHP-Nuke' opendir guestbook tr3 password storage IIS dangerous sample files Read any file thanks to -nobody/ IBM-HTTP-Server View Code MacOS X Finder reveals contents of Apache Web files uploader.exe Microsoft Frontpage XSS bizdb1-search.cgi located nph-publish.cgi
CVE-2000-0868
1658
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI CGI CGI CGI
abuses abuses abuses abuses
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI CGI CGI CGI
abuses abuses abuses abuses
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses
M P C SoftWeb Guestbook database disclosure YaBB Pi3Web tstisap.dll overflow GTcatalog password disclosure Apache Tomcat /servlet Cross Site Scripting Sambar XSS PDGSoft Shopping cart vulnerability php POST file uploads AnyForm ows-bin Cognos Powerplay WE Vulnerability PHP3 Physical Path Disclosure Vulnerability DCP-Portal Code Injection rot13sj.cgi /cgi-bin directory browsable ? CVSWeb 1.80 gives a shell to cvs committers Netauth DB4Web TCP relay ad.cgi 540
CVE-2001-0321 7167
3518 3325 CVE-1999-0177 CAN-2000-0746 CVE-2000-0287 CVE-1999-1177, CVE-2001-0400
1594, 1595 1104
7390, 7389 CVE-2000-0853 CAN-2001-0302
1668 2381
CAN-2002-0682
5193
CAN-2000-0401
7209 1256
CVE-2002-0081 CVE-1999-0066 CVE-2000-0169
4183 719 1053 491
6525
CVE-2000-0670
1469
CVE-2000-0782
1587
CAN-2001-0025
2103
Приложение E
Встраиваемые модули Nessus
Семейство
Название модуля
CGI abuses
Sambar /sysadmin directory 2 perlcal WihPhoto file reading readmsg.php detection CuteNews code injection php log Zope ZClass permission mapping bug Netscape Server ?wp bug imagemap.exe Synchrologic User account information disclosure phorum's common.cgi NetCommerce SQL injection Snitz Forums 2000 Pass word Reset and XSS Allaire JRun directory browsing vulnerability MS Site Server Infor mation Leak K F Web Server /%00 bug BEA WebLogic Scripts Server scripts Source Disclosure (3) Pages Pro C D directory traversal paFileDB SQL injection Post-Nuke information disclosure (2) htdig
CGI CGI CGI CGI CGI CGI
abuses abuses abuses abuses abuses abuses
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses
Номер CVE
ustorekeeper ttforum multiple flaws Resin traversal WebCalendar file reading RDS / M D A C Vulnerabil ity Content-Type overflow Zope DocumentTemplate package problem openwebmail command execution counter.exe vulnerability PGPMail.pl detection 541
Номер BugTraq 2255
CVE-2001-0463
2663
CAN-2001-1408 CVE-2000-0967 CVE-2001-0567
1786
CVE-2000-0236 CVE-1999-0951
1063 739
CVE-2001-0319
1985 2350 7381, 7922, 7925 3592 3998
CVE-2000-0683
1517
7183 CVE-1999-0978, 1 CVE-2000-0208 CAN-2001-0466 CAN-2001-0304
026 2536 7543, 7542 2384 8237
CAN-2002-1142 CVE-2000-0483
1354
CAN-2002-1385
6425, 6232
CAN-1999-1030 CAN-2001-0937
267
Курс
Защитные средства с открытыми исходными текстами
Семейство
Название модуля
CGI abuses
Psunami.CGI Command Execution AnalogX web server traversal paFileDB command execution ProductCart SQL Injection SquirrelMail's Cross Site Scripting technote's main.cgi Webfroot shoutbox file inclusion AnalogX web server traversal Oracle 9iAS web admin BEA WebLogic Scripts Server scripts Source Disclosure (2) IIS .HTR ISAPI filter applied PIX Firewall Manager Directory Traversal MailMaxWeb Path Disclosure Bypass Axis Storpoint C D authentication DB4Web directory traversal ion-p.exe vulnerability YaBB SE command execution
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses
Номер CVE
6607 CVE-2000-0664
1508 8271 8103, 8105, 8108, 8112 7019, 6302
CAN-2002-1276, CAN-2002-1341 CAN-2001-0075
2156
CVE-2000-0664
1508
CAN-2002-0561
4292 2527
CVE-2002-0071
4474
CVE-1999-0158
691
CVE-2000-0191
1025
CAN-2002-1559 CAN-2000-1176
6091 7399, 6674, 6663, 6591, 1921 7740, 7745, 7747
CGI abuses
P-Synch multiple issues
CGI abuses CGI abuses
CAN-2000-0832 CVE-2000-0869
CGI abuses CGI abuses CGI abuses
htgrep Directory listing through WebDAV JRun directory traversal IIS phonebook b2 cafelog code injection
CGI abuses CGI abuses
pagelog.cgi webdist.cgi
CAN-2000-0940 CVE-1999-0039 542
Номер BugTraq
CVE-2000-1089 CVE-2002-0734
1656 3666 2048 4673, 7738, 7782, 7783, 7786 1864 374
Приложение E
Встраиваемые модули Nessus
Семейство
Название модуля
CGI abuses
SilverStream directory listing Oracle 9iAS default error information disclosure PHP4 Physical Path Disclosure Vulnerability Upload cgi wwwboard passwd.txt Philboard philboard_ admin.ASP Authentication Bypass mmstdod.cgi php IMAP overflow Achievo code injection Oracle XSQL Stylesheet Vulnerability /iisadmpwd/aexp2.htr
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses
CGI CGI CGI CGI
abuses abuses abuses abuses
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses
CGI abuses
CGI abuses CGI abuses CGI abuses
CVS/Entries Oracle 9iAS SOAP con figuration file retrieval AlienForm C G I script Advanced Poll info.php MediaHouse Statistic Server Buffer Overflow DCP-Portal Path Disclosure IIS possible DoS using ExAir's query SIX Webboard's generate.cgi IMail account hijack Bugzilla Multiple Flaws
Tomcat's snoop servlet gives too much information MiniVend Piped command phpMyExplorer dir traversal formmail.pl 543
Н о м
р
Номер CVE
^ BugTraq
CVE-2001-1372
3341
CAN-2002-0249
4056
CVE-1999-0953
649 7739
CVE-2001-0021
2063 6557 5552 2295
CVE-2001-0126 CVE-1999-0407, CAN-2002-0421
2110
CAN-2002-0568
4290
CAN-2002-0934 CVE-1999-0931
4983 7171 734
CAN-2002-0282
4113
CVE-1999-0449
193
CAN-2001-1115
3175
CAN-2003-0012, CAN-2003-0013 CAN-2002-1198, CAN-2002-1198, CAN-2002-1197, CAN-2002-1196 CAN-2000-0760 1
6501, 6502, 6257, 5844, 5842, 4964
CVE-2000-0635
1449
CAN-2001-1168
3266
CVE-1999-0172
2079
532
Курс
Защитные средства с открытыми исходными текстами
Семейство
Название модуля
CGI abuses
Zope Invalid Query Path Disclosure phpPgAdmin arbitrary files reading php safemode Oracle 9iAS mod_plsql directory traversal webwho plus PlusMail vulnerability p-news Admin Access Dumpenv Alexandria-dev upload spoofing way-board Web server traversal Oracle 9iAS SOAP Default Configuration Vulnerability Vignette StoryServer TCL code injection
CGI abuses CGI abuses CGI abuses CGI CGI CGI CGI CGI
abuses abuses abuses abuses abuses
CGI abuses CGI abuses CGI abuses CGI abuses
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses
Номер CVE
Stronghold Swish IIS 5 .printer ISAPI filter applied Post-Nuke Rating System Denial Of Service Allaire JRun Directory Listing IMP_MIME_Viewer_htm l class XSS vulnerabilities M R T G mrtg.cgi File Disclosure phf WebStores 2000 browse_item_details.asp SQL injection Lotus Notes ?OpenServer Information Disclosure php-proxima file reading AN-HTTPd tests CGIs ezPublish Directory Cross Site Scripting Authentication bypassing in Lotus Domino counter.php file overwrite cgiforum 544
Номер BugTraq
CAN-2001-0479
7999, 8000, 8001 2640
CVE-2001-1246 CAN-2001-1217
2954 3727
CVE-2000-0010 CAN-2000-0074
892 2653
CAN-1999-1178
CAN-2001-0214
7223, 7224, 7225 2370
CVE-2001-1371
4289 7683, 7685, 7690, 7691, 7692 4785
CVE-2001-0241 7702 CVE-2000-1050
1830
CAN-2002-0232
4017
CVE-1999-0067
629 7766
CVE-1999-0947
762 7616 4022
CVE-2000-1171
1963
Приложение E
Встраиваемые модули Nessus
Семейство
Название модуля
Номер CVE
Номер BugTraq
CGI abuses
Unify eWave ServletExec 3.0C file upload Super-M Son hServer Directory Traversal Savant original form C G I access NetTools command execution BadBlue Directory Traversal Vulnerability Domino traversal info2www Cafe Wordpress SQL injection Post-Nuke information disclosure WebChat XSS mod gzip running IIS 5.0 Sample App vulnerable to cross-site scripting attack No 404 check Web-ERP Configuration File Remote Access php 4.3.0 axis2400 webcams guestbook.pl N / X Web Content Man agement code injection /perl directory browsable ? Basit cms Cross Site Scripting Bugs Sambar webserver pagecount hole Novell Groupwise WebAcc Information Disclosure phpping code execution icat Nuked-klan Cross Site Scripting Bugs SimpleChat information disclosure Forum51/Board51/ News51 Users Disclosure OneOrZero SQL injection
CVE-2000-1024
1876
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses
CGI abuses CGI abuses CGI CGI CGI CGI
abuses abuses abuses abuses
CGI abuses CGI abuses CGI abuses CGI abuses
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses
545
7717 CVE-2000-0521
1313
CVE-2001-0899 3913 CVE-2001-0009 CVE-1999-0266
2173 1995
7190
6996 CAN-2003-0097 CAN-1999-1053
6987, 6980 776 6500
CVE-2000-0883
1678 7139
CVE-2001-1010
3091 3436
CAN-1999-1069
2126 6916, 6917 7168 8126, 8127, 8128 7609, 7611
Курс
Защитные средства с открытыми исходными текстами
Семейство
Название модуля
CGI abuses
Sambar CGIs path disclosure Master Index directory CVE-2000-0924 traversal vulnerability Spyke Flaws php.cgi CAN-1999-0238 Apache::ASP source.asp CVE-2000-0628 Apache Remote CVE-2002-0061 Command Execution via .bat files IIS Service Pack - 404 anacondaclip C G I CVE-2001-0593 vulnerability iXmail arbitrary file upload sdbsearch.cgi CVE-2001-1130 iiprotect sql injection Oracle XSQL Sample Application Vulnerability mod gzip format string attack WordPress code/sql injection IMP Session Hijacking CVE-2001-0857 Bug GroupWise Web Interface CVE-1999-1005, ' H E L P ' hole CVE-1999-1006 ColdFusion Vulnerability CAN-1999-0455, CAN-1999-0477 mod_gzip format string attack msmmask.exe ttawebtop CVE-2001-0805 Tomcat's /admin is world CVE-2000-0672 readable Htmlscript CVE-1999-0264 VChat information disclosure CgiMail.exe vulnerability CVE-2000-0726 GTcatalog code injection Roxen counter module IIS possible DoS using CVE-1999-0449 ExAir's search RedHat 6.0 cachemgr.cgi CVE-1999-0710 IIS IDA/IDQ Path CAN-2000-0071 Disclosure HSWeb document path CAN-2001-0200
CGI abuses CGI CGI CGI CGI
abuses abuses abuses abuses
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI CGI CGI CGI
abuses abuses abuses abuses
CGI abuses CGI abuses CGI abuses
Номер CVE
546
Номер BugTraq
1772
2250 1457 4335
2512 8046, 8048 7675
7785 3525 879 115
2890 1548 2001 7186, 7188 1623 6998 193 2059 1065 2336
Приложение E
Встраиваемые модули Nessus
Семейство
Название модуля
Номер CVE
Номер BugTraq
CGI abuses
PCCS-Mysql User/ Password Exposure Apache Tomcat DOS Device Name XSS commerce.cgi WEB-INF folder accessible Oracle 9iAS OWA UTIL access Oracle XSQLServlet XSQLConfig.xml File cc guestbook.pl XSS Apache Directory Listing websendmail ShowCode possible smb2www remote command execution Oracle 9iAS Dynamic Monitoring Services php 4.2.x malformed POST Apache Tomcat DOS Device Name XSS nph-test-cgi Webnews.exe vulner ability Post-Nuke SQL injection Infinity C G I Exploit Scanner Hidden WWW server name Tomcat 4.x JSP Source Exposure PHP-Nuke copying files security vulnerability (admin.php) A1Stats Traversal ColdFusion Debug Mode CWmail.exe vulnerability PayPal Store Front code injection osCommerce Cross Site Scripting Bugs
CVE-2000-0707
1557
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI CGI CGI CGI CGI
abuses abuses abuses abuses abuses
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses
CGI CGI CGI CGI
abuses abuses abuses abuses
CGI abuses
CGI abuses
StellarDocs Path Disclosure 547
5194 CAN-2001-0210
2361 5119
CAN-2002-0560
4294
CAN-2002-0568
4290
CVE-2001-0731 CVE-1999-0196 CAN-1999-0736 CAN-2002-1342
7237 3009 2077 167 6313
CAN-2002-0563
4293
CAN-2002-0986
5278 5194
CVE-1999-0045 CVE-2002-0290
686 4124 7697 7910, 7911, 7913
CVE-2001-1032
3361
CAN-2001-0561
2705
CAN-2002-0273
4093 8791 7156, 7151, 7153, 7158, 7155 8385
Курс
Защитные средства с открытыми исходными текстами
Семейство
Название модуля
CGI abuses
vpopmail.php command execution Mantis Multiple Flaws
CGI abuses
CGI abuses CGI abuses CGI abuses CGI CGI CGI CGI
abuses abuses abuses abuses
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI CGI CGI CGI
abuses abuses abuses abuses
CGI abuses CGI abuses CGI CGI CGI CGI CGI
abuses abuses abuses abuses abuses
Номер CVE
Xoops XSS DCP-Portal Cross Site Scripting Bugs cgiWebupdate.exe vulnerability Basilix includes download idq.dll directory traversal fpcount.exe overflow Codebrws.asp Source Disclosure Vulnerability Webcart misconfiguration miniPortail Cookie Admin Access Justice guestbook Hosting Controller vulnerable ASP pages FAQManager Arbitrary File Reading Vulnerability Kebi Academy Directory Traversal phptonuke directory traversal Buffer overflow in WebSitePro webfind.exe mod python handle abuse webgais GOsa code injection ShopPlus Arbitrary Command Execution Kietu code injection Pod.Board Forum Details.PHP Cross Site Scripting WebAdmin detection php < 4.3.3 textcounter.pl Carello detection poppermod
548
Номер BugTraq 7063
CAN-2002-1110, CAN-2002-1111, CAN-2002-1112, CAN-2002-1113, CAN-2002-1114
5563, 5565, 5509, 5504, 5510, 5514, 5515 7356 7144, 7141
CAN-2001-1150
3216
CAN-2001-1044 CAN-2000-0126 CAN-1999-1376 CAN-1999-0739
2198 968
CAN-1999-0610 CAN-2003-0272
2281
CAN-2002-0466
7233, 7234 3808 3810 7125
CVE-2000-0622
1487
CVE-2002-0185 CVE-1999-0176
4656 2058
CAN-2001-0992
7933
CVE-1999-1479 CVE-2002-0513, CAN-2002-0513
8201 2265 4412
Приложение E
Встраиваемые модули Nessus
Семейство
Название модуля
Номер CVE
Номер BugTraq
CGI abuses
WebActive world read¬ able log file Count.cgi SunSolve C D CGI user input validation JWalk server traversal ASP source using %2e trick TrueGalerie admin access webcart.cgi IIS Remote Command Execution viralator Lotus Domino admini stration databases bb-hostsvc.sh ScozBook flaws Nuked-Klan function
CVE-2000-0642
1497
CVE-1999-0021 CAN-2002-0436
128 4269
CAN-1999-0253
7160 1814
CGI abuses CGI abuses
mod frontpage installed IIS XSS via 404 error
CAN-2002-0427 CVE-2002-0148, CAN-2002-0150
CGI abuses CGI abuses
SQL injection in phpBB Bugzilla XSS and insecure temporary filenames Handler nsiislog.dll DoS
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses execution
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses
Web Wiz Site News database disclosure pfdispaly Zope Image updating Method Post-Nuke Multiple XSS dcforum Home Free search.cgi directory traversal ctss.idc check CVSWeb detection Cross-Referencing Linux (lxr) file reading Oracle 9iAS Jsp Source File Reading Basilix webmail dummy request vulnerability 549
CVE-2001-0507, CVE-2001-0333 CAN-2001-0849 CAN-2000-0021, CAN-2002-0664 CVE-2000-0638
7427 3453 2708
881 1455 7235, 7236 6916, 6917, 6697, 6699, 6700 4251 4483 7979 7412
CVE-1999-0148 CAN-2003-0227, CAN-2003-0349
380 8035
CVE-1999-0270 CVE-2000-0062
922
CVE-2001-0436 CAN-2000-0054
7898, 7901 2728 921
7062 CAN-2002-0562
4034
CAN-2001-1045
2995
Курс
Защитные средства с открытыми исходными текстами
Номер BugTraq
Семейство
Название модуля
Номер CVE
CGI abuses CGI abuses
mailnews.cgi Zope installation path disclose Windmail.exe allows any user to execute arbitrary commands tst.bat C G I vulnerability MacOS X Finder reveals contents of Apache Web directories Directory Manager's edit image.php modssl wildcard DNS cross site scripting vulnerability calendar admin.pl ezPublish config disclosure ImageFolio Default Password Netscape FastTrack 'get' StockMan Shopping Cart Path disclosure Power Up Information Disclosure texi.exe path disclosure Cold Fusion Administra tion Page Overflow spinclient.cgi buffer overrun wwwwais ServletExec 4.1 ISAPI Physical Path Disclosure Wordit Logbook csSearch.cgi iXmail SQL injection netscape publishingXpert 2 PSUser problem ClearTrust XSS zentrack files reading pmachine cross site scripting zentrack code injection JBoss source disclosure Ecartis Username Spoofing
CAN-2001-0271
2391 5806
CAN-2000-0242
1073
CAN-1999-0885
770 3316
CVE-2001-1020
3288
CAN-2002-1157
6029
CVE-2000-0432
1215 7349, 7347
CVE-1999-0239
481
CAN-2001-1138
3304
CAN-2002-0266 CVE-2000-0538
4035 1314
CAN-2001-0223 CVE-2002-0892
4793
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI CGI CGI CGI
abuses abuses abuses abuses
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses
550
CVE-2002-0495
7043 4368 8047
CVE-2000-1196 7108 7980, 7981
CAN-2003-0162
7764 6971
Приложение E
Встраиваемые модули Nessus
Семейство
Название модуля
CGI abuses
SunONE Application Server source disclosure Various dangerous cgi scripts
CGI abuses
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses
Номер CVE
Unprotected SiteScope Service RDS / M D A C Vulnerabil ity (msadcs.dll) located iPlanet Directory Server traversal vpasswd.cgi Zope DoS Check for dangerous IIS default files Apache Tomcat TroubleShooter Servlet Installed hsx directory traversal ASP/ASA source using Microsoft Translate f: bug myphpPageTool code injection IIS Global.asa Retrieval Unpassworded iiprotect administrative interface JRun's viewsource.jsp ActiveState Perl directory traversal AutomatedShops WebC.cgi installed Mambo Site Server Cookie Validation ActivePerl perlIS.dll Buffer Overflow ASP.NET path disclosure Bandmin XSS IIS possible DoS using ExAir's advsearch Roxen Server /%00/ bug Alchemy Eye HTTP Command Execution 551
Номер BugTraq
CAN-1999-1072, CAN-2002-0749, CAN-2001-0135, CAN-2002-0955, CAN-2001-0562, CAN-2002-0346, CVE-2000-0923, CVE-2001-0123
CVE-1999-1011
529
CVE-2000-1075
1839
CVE-2000-0483 CAN-1999-0737
1354 4575
CAN-2001-0253 CVE-2000-0778
2314 1578
CVE-2000-0539
1386
6926 CVE-2001-0815
3526
CAN-2003-0416 CVE-1999-0449
7729 193
CVE-2000-0671 CAN-2001-0871
1510 3599
Курс
Защитные средства с открытыми исходными текстами
Семейство
Название модуля
CGI CGI CGI CGI
myguestbk admin access Checks for listrec.pl phpinfo.php TMax Soft Jeus Cross Site Scripting ROADS' search.pl ServletExec 4.1 ISAPI File Reading GeekLog SQL vulns
abuses abuses abuses abuses
CGI abuses CGI abuses CGI abuses
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses
CGI abuses CGI abuses CGI abuses
CGI abuses
Номер CVE
Campas CSNews.cgi vulnerability zml.cgi Directory Traversal VirusWall's catinfo overflow Macromedia ColdFusion M X Path Disclosure Vulnerability Invision PowerBoard code injection processit ideabox code injection biztalk server flaws overflow.cgi detection HappyMall Command Execution Bugzilla Detection phpMyAdmin arbitrary files reading BLnews code injection CGIEmail's CGICso (Send CSO via CGI) Command Execution Vulnerability Savant cgitest.exe buffer overflow OmniHTTPd visadmin exploit ArGoSoft Mail Server multiple flaws Faxsurvey 552
Номер BugTraq 7213
CAN-2001-0997 7969 CVE-2001-0215 CAN-2002-0893
2371 4795
CAN-2002-0962, CVE-2002-0096, CVE-2002-0097 CVE-1999-0146 CVE-2002-0923 CAN-2001-1209
7742, 7744, 6601, 6602, 6603, 6604 1975 4994 3759
CAN-2001-0432
2579 7443
6976, 7204
CAN-2003-0117, CAN-2003-0118
7488 7469, 7470
CAN-2003-0243
CAN-2001-0478
2642 7677 6141
CAN-1999-0970
1808
CVE-1999-0262
7608, 7610, 5906, 5395, 5144 2056
Приложение E
Встраиваемые модули Nessus
Семейство
Название модуля
CGI abuses
A N HTTPd count.pl file truncation BadBlue invalid null byte vulnerability WebLogic clear-text passwords get32.exe vulnerability IIS ASP.NET Application Trace Enabled Tests for Nimda Worm infected H T M L files php4 multiple flaws X M B Cross Site Scripting
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI CGI CGI CGI
abuses abuses abuses abuses
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses
CGI abuses CGI abuses CGI abuses CGI abuses
Номер CVE
w3-msql overflow Horde and IMP test disclosure EZsite Forum Discloses Passwords to Remote Users directory.php ping.asp Oracle 9iAS mod_plsql cross site scripting readfile.tcl Awol code injection Web mirroring Mambo Site Server 4.0.10 XSS phpWebSite multiple flaws OmniPro HTTPd 2.08 scripts source full disclosure CGIEmail's Cross Site Scripting Vulnerability (cgicso) IIS perl.exe problem Instaboard SQL injection vBulletin's Calender Command Execution Vulnerability smb2www installed PHP Rocket Add-in File Traversal sendtemp.pl IIS 5.0 Sample App reveals physical path of web root 553
Номер BugTraq 7397
CAN-2002-1021
5226
CAN-1999-0885
770
CAN-2003-0442 CAN-2002-0316, CAN-2003-0375 CVE-2000-0012
8693, 8696 4944, 8013
CAN-2002-0434
4278
CVE-2001-1048
3387
898
7135
2788
CAN-1999-0450 CVE-2001-0475
194 7338 2474
CAN-2001-1204
3751
CAN-2001-0272
2504
Курс
Защитные средства с открытыми исходными текстами
Семейство
Название модуля
CGI abuses CGI abuses
SWC Overflow SilverStream database structure Jakarta Tomcat Path Disclosure ASP source using %20 trick perl interpreter can be launched as a C G I lednews XSS Siteframe Cross Site Scripting Bugs newdsn.exe check ASP source using ::$DATA trick htimage.exe overflow IIS : Directory listing through WebDAV Microsoft Frontpage dvwssr.dll backdoor Unknown CGIs arguments torture mailreader.com directory traversal and arbitrary command execution SQLQHit Directory Structure Disclosure ColdFusion Path Disclosure Zeus Admin Interface XSS wrap ezPublish Cross Site Scripting Bugs Vignette StoryServer Information Disclosure Shells in /cgi-bin E-Shopping Cart Arbitrary Command Execution (WebDiscount) ndcgi.exe vulnerability PHP Mail Function Header Spoofing Vulnerability Rich Media E-Commerce Stores Sensitive Information Insecurely
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses
554
Номер CVE
Номер BugTraq
CAN-2000-0759
1531
CAN-2001-1248
2975
CAN-1999-0509 7920 7140, 7143 CVE-1999-0191 CVE-1999-0278
1818 149
CAN-2000-0256 CVE-2000-0951
1117 1756
CVE-2000-0260
1109
6055, 6058, 5393 CAN-2001-0986
3339
CVE-2002-0576
4542 7751
CVE-1999-0149 CAN-2003-0310
373 7137, 7138
CAN-2002-0385 CAN-1999-0509 CAN-2001-1014
3340
CAN-2001-0922 CAN-2002-0985
5562 4172
Приложение E
Встраиваемые модули Nessus
Семейство
Название модуля
CGI abuses
Passwordless frontpage installation myServer 0.4.3 Directory Traversal Vulnerability SquirrelMail's Multiple Flaws PT News Unauthorized Administrative Access BroadVision Physical Path Disclosure Vulnerability FastCGI Echo.exe Cross Site Scripting VsSetCookie.exe vulnerability /doc/packages directory browsable ? OfficeScan configuration file disclosure guestbook.cgi php.cgi buffer overrun /doc directory browsable ? PHPAdsNew code injection myphpnuke code injection Backup CGIs download Lotus Domino XSS wpoison (nasl version) Microsoft's Index server reveals ASP source code IIS XSS via error E-Theni code injection AdMentor Login Flaw DBMan C G I server infor¬ mation leakage Anti Nessus defenses news desk bb-hist.sh BEA WebLogic Scripts Server scripts Source Disclosure Sambar /cgi-bin/mailit.pl installed ? webchat code injection StockMan Shopping Cart Command Execution
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI CGI CGI CGI
abuses abuses abuses abuses
CGI CGI CGI CGI CGI
abuses abuses abuses abuses abuses
CGI CGI CGI CGI
abuses abuses abuses abuses
CGI CGI CGI CGI
abuses abuses abuses abuses
CGI abuses CGI abuses CGI abuses
Номер CVE
555
Номер BugTraq
7952 7394 CAN-2001-0031
2088
CAN-2002-0236
3784
CVE-2000-1016
1707 3438
CVE-1999-0237 CVE-1999-0058 CVE-1999-0678 CVE-2001-1054
776 712 318 3392
CVE-2001-1161
2962
CVE-2000-0302, CVE-2000-0097
1084
CAN-2002-0308 CVE-2000-0381
CAN-2001-0231 CAN-1999-1462
5900 6970 4152 1178
2172 142 2527
7000 7485
Курс
Защитные средства с открытыми исходными текстами
Семейство
Название модуля
CGI abuses
PHP.EXE / Apache Win32 Arbitrary File Reading Vulnerability /iisadmin is world readable Snitz Forums Cmd execution Oracle 9iAS Java Process Manager WebSpeed remote configuration modsurvey E N V tags SQL injection X M B SQL Injection pmachine code injection Snapstream PVS web directory traversal MS Personal WebServer ... Domino HTTP server exposes the set up of the filesystem http TRACE XSS attack Lotus Domino Banner Information Disclosure Vulnerability Resin DOS device path disclosure Sambar default C G I info disclosure PHPay Information Disclosure Microsoft IIS U N C Mapped Virtual Host Vulnerability ncbook/book.cgi WF-Chat User Account Disclosure ODBC tools check Zeus shows the content of the cgi scripts Excite for WebServers iPlanet Search Engine File Viewing Finger cgi
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses
CGI abuses CGI abuses
CGI abuses CGI abuses CGI abuses CGI abuses
CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses CGI abuses
Номер CVE
556
Номер BugTraq 3786
CAN-1999-1538
189
CAN-2002-0563
4293
CVE-2000-0127
969 7192
CVE-2001-1108
7406 7919 3100
CVE-1999-0386 CAN-2000-0021
881
CAN-2002-0245
4049
5252 7207, 7208
CVE-2000-0246
7313, 7310, 7309 1081
CAN-2001-1114
3178 7147
CVE-2000-0149
977
CVE-1999-0279 CAN-2002-1042
2248 5191
Приложение E
Встраиваемые модули Nessus
Семейство
Название модуля
Номер CVE
CGI abuses
Microsoft Frontpage exploits CSCdi36962 CSCdy03429 CSCdy38035 ATA-186 password circumvention / recovery CSCdz39284, CSCdz41124 CSCdw67458
CAN-2000-0114
CISCO CISCO CISCO CISCO CISCO CISCO CISCO CISCO CISCO CISCO CISCO CISCO CISCO
CISCO CISCO CISCO CISCO CISCO
CISCO CISCO CISCO CISCO CISCO CISCO CISCO CISCO CISCO CISCO CISCO CISCO
CSCds66191 CSCdw19195 CSCdx17916, CSCdx61997 CSCdi34061 CSCdv48261 CSCea42030 Cisco IOS HTTP Configuration Arbitrary Administrative Access CSCdu81936 CSCdu82823 CSCdx54675 CSCdt46181 GSR ICMP unreachable
CSCds07326 CSCdt62732 Multiple SSH vulnerabilities CSCdx92043 CSCdt93866 CSCdx39981 CSCdv66718 CSCdu15622 Cisco Aironet Telnet DoS CSCdw50657 CSCdt56514 cisco 675 http DoS 557
Н
м е
)
° ' BugTraq
CVE-2002-0813
5328
CAN-2002-0769
4711 6904
CAN-2002-0012, CAN-2002-0013 CVE-2001-0041
4088 2072
CVE-1999-0162 CAN-2003-0216 CVE-2001-0537
2936
CVE-2001-0895
3547
CVE-2001-1183 CVE-2001-0861, CVE-2001-0862, CVE-2001-0863, CVE-2001-0864, CVE-2001-0865, CVE-2001-0866, CVE-2001-0867 CVE-2001-0750 CVE-2001-0429 CAN-2001-0572
3022 3534, 3535, 3536, 3537, 3538, 3539, 3540
2804 2604
CAN-2002-1222 CVE-2001-0414
6823 2540
CAN-2002-1092 CAN-2002-1093 CVE-2002-0545
4461
Курс
Защитные средства с открытыми исходными текстами
Семейство
Название модуля
Номер CVE
Номер BugTraq
CISCO
CISCO IOS Interface blocked by IPv4 Packet CSCdea77143, CSCdz15393, CSCdt84906 GSR A C L pub Cisco password not set CSCdu35577 CSCdp35794 CISCO Secure ACS Management Interface Login Overflow CSCdx07754, CSCdx24622, CSCdx24632 Cisco Catalyst Web Execution CSCdu20643 CSCdw33027 CSCdy26428 CSCds04747 CSCdt65960 CSCdv88230, CSCdw22408 CSCdv85279, CSCdw59394 CSCdz60229, CSCdy87221, CSCdu75477
CAN-2003-0567
8211
CVE-2000-0700 CAN-1999-0508
1541
CVE-2000-0700 CAN-2003-0210
1541 7413
CVE-2000-0945
1846
CVE-2002-0339 CVE-2002-1024 CAN-2002-1222 CAN-2001-0328 CVE-2001-0757
4191 5114 5976 2682 2874
CVE-2002-1024
5114
CAN-2002-1357, CAN-2002-1358, CAN-2002-1359, CAN-2002-1360 6895 CVE-1999-0502
6397
CISCO
CISCO CISCO CISCO CISCO CISCO CISCO
CISCO CISCO CISCO CISCO CISCO CISCO CISCO CISCO CISCO
CISCO CSCdp58462 Default Unix Accounts Unpassworded backdoor account Default Unix Accounts Default password (ibmdb2) for db2as Default Unix Accounts Unpassworded hax0r account Default Unix Accounts Unpassworded jill account Default Unix Accounts Unpassworded root account Default Unix Accounts Unpassworded toor account Default Unix Accounts Unpassworded OutOfBox account Default Unix Accounts Default password (ibmdb2) for db2fenc1 558
CAN-2001-0051 CVE-1999-0502 CVE-1999-0502 CVE-1999-0502 CVE-1999-0502 CVE-1999-0502 CAN-2001-0051
Приложение E
Встраиваемые модули Nessus
Семейство
Название модуля
Default Unix Accounts
Unpassworded date CVE-1999-0502 account Unpassworded sync CVE-1999-0502 account Unpassworded 4Dgifts CVE-1999-0502 account Unpassworded lp account CVE-1999-0502 Unpassworded friday CVE-1999-0502 account Default password (lrkr0x) CVE-1999-0502 for gamez Default password (db2as) CAN-2001-0051 for db2as Default password CVE-1999-0502 (wh00t!) for root Unpassworded EZsetup CVE-1999-0502 account Default password CVE-1999-0502 (manager) for system Default password CVE-1999-0502 (D13HH[) for root Default password CVE-1999-0502 (D13hh[) for root Default password CAN-2001-0051 (db2fenc1) for db2fenc1 Default password (satori) CVE-1999-0502 for rewt Unpassworded tutor CVE-1999-0502 account Default password CAN-2001-0051 (db2inst1) for db2inst1 Default password CAN-2001-0051 (ibmdb2) for db2inst1 Unpassworded demos CVE-1999-0502 account Default password (guest) CVE-1999-0502 for guest Default password (wank) CVE-1999-0502 for wank Default password (root) CVE-1999-0502 for root Default password (glftpd) CVE-1999-0502 for glftpd Unpassworded StoogR CVE-1999-0502 account
Default Unix Accounts Default Unix Accounts Default Unix Accounts Default Unix Accounts Default Unix Accounts Default Unix Accounts Default Unix Accounts Default Unix Accounts Default Unix Accounts Default Unix Accounts Default Unix Accounts Default Unix Accounts Default Unix Accounts Default Unix Accounts Default Unix Accounts Default Unix Accounts Default Unix Accounts Default Unix Accounts Default Unix Accounts Default Unix Accounts Default Unix Accounts Default Unix Accounts
559
Номер CVE
l?™!^ BugTraq
Курс
Защитные средства с открытыми исходными текстами
Семейство
Название модуля
Default Unix Accounts
Unpassworded jack CVE-1999-0502 account Unpassworded guest CVE-1999-0502 account Eicon Diehl L A N ISDN CAN-1999-1533 modem DoS Netscape Enterprise CVE-1999-0752 Server DoS SMB null param count CAN-2002-0724 DoS GoodTech ftpd DoS CAN-2001-0188 IIS FrontPage DoS CVE-2001-0096 ping of death DoSable Oracle WebCAN-2002-0102 Cache server 3com RAS 1500 DoS jolt2 CVE-2000-0482 mod_jk chunked encoding DoS Hyperbomb CVE-1999-1336 Linksys Gozila C G I denial of service spank.c Ascend Kill CVE-1999-0060 SLMail denial of service CAN-1999-0231 WinLogon.exe DoS CVE-2000-0377 Cisco DoS CVE-1999-0430 FTP Windows 98 M S / DOS device names DOS Marconi ASX DoS CAN-2001-0270 GAMSoft TelSrv 1.4/1.5 CVE-2000-0665 Overflow DB2 DOS CAN-2001-1143 WINS U D P flood denial CVE-1999-0288 IIS 5.0 WebDav Memory Leakage FTP Serv-U 2.5e DoS CVE-2000-0837 Oracle Web Server denial CAN-1999-1068 of Service D-Link router overflow IIS Malformed Extension CVE-2000-0408 Data in U R L Bonk CAN-1999-0258 U D P null size going to CVE-2000-0221 SNMP DoS Microsoft Media Server CVE-2000-0211 4.1 - DoS
Default Unix Accounts Denial of Service Denial of Service Denial of Service Denial Denial Denial Denial
of of of of
Service Service Service Service
Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial Denial Denial Denial Denial Denial Denial Denial
of of of of of of of of
Service Service Service Service Service Service Service Service
Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service
560
Номер CVE
Номер BugTraq
665 516 5556 2270 2144 3760 7175 1312 6320
714 1331 705 2400 1478 3010 298 2736
1190 1009 1000
Приложение E
Встраиваемые модули Nessus
Семейство
Название модуля
Denial of Service Denial of Service
Proxomitron DoS Checkpoint Firewall-1 U D P denial of service Cassandra N N T P Server DoS Too long line Exchange Malformed M I M E header HTTP unfinished line BadBlue invalid G E T DoS Microsoft Frontpage DoS NAI PGP Cert Server DoS Ken! DoS AnalogX denial of service by long C G I name MDaemon Worldclient crash Novell FTP DoS FTP ServU CWD overflow Webseal denial of service BIND9 DoS WindowsNT DNS flood denial Teardrop Polycom ViaVideo denial of service SLMail:27 denial of service Trend Micro OfficeScan Denial of service Crash SMC AP WebSphere Host header overflow Mercur WebView WebClient Domino HTTP Denial l2tpd DoS Xeneo Web Server 2.2.9.0 DoS Orange DoS WebShield
Denial of Service Denial of Service Denial of Service Denial Denial Denial Denial Denial Denial
of of of of of of
Service Service Service Service Service Service
Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service
DoSable squid proxy server Dragon FTP overflow 561
Номер CVE
Номер BugTraq 7954 1419
CVE-2000-0341
1156
CVE-2000-1006
1869
5664 denial CAN-2002-1023 CAN-2000-0709 CAN-2000-0543 CVE-2000-0262 CAN-2000-0473
5187 1608 1343 1103 1349
CAN-1999-0844
823
7072 CVE-1999-0219
269
CAN-2001-1191 CAN-2002-0400 CVE-1999-0275
3685 4936
CAN-1999-0015
124 5962
CAN-1999-0231 CAN-2000-0203 1
013
CAN-2002-1153
5749
CAN-2000-0239
1056
CVE-2000-0023
881
CAN-2001-0647 CVE-2000-0738, CAN-2000-1130 CVE-2001-0843
2432 1589, 1993 3354
CAN-2000-0479
1352
Курс
Защитные средства с открытыми исходными текстами
Семейство
Название модуля
Denial of Service
myServer DoS
Denial of Service
NetGear ProSafe V P N Login DoS Linux 2.1.89 - 2.2.3 : 0 length fragment bug SNMP bad length field DoS (2) HTTP Windows 98 M S / DOS device names DOS
Denial of Service Denial of Service Denial of Service
Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service
Nestea ICQ Denial of Service attack Generic flood MacOS X Directory Service DoS WebServer 4D GET Buffer Overflow Axent Raptor's DoS Notes M T A denial SNMP bad length field DoS WindowsNT PPTP flood denial Linux 2.4 NFSv3 DoS RealServer Ramgen crash (ramcrash) SalesLogix Eviewer WebApp crash LiteServe U R L Decoding DoS IIS propfind DoS IPSEC I K E check Xeneo web server % A DoS NT IIS Malformed HTTP Request Header DoS Vulnerability 562
Номер CVE
Н о м
6359, 7770, 7917, 8010, 8120 7166 CAN-1999-0431
2247
CAN-2002-0012
4088
CVE-2001-0386, CVE-2001-0493, CAN-2001-0391, CVE-2001-0558, CAN-2002-0200, CVE-2000-0168, CAN-2003-0016, CAN-2001-0602 CAN-1999-0257 CAN-2000-0564
2622, 2704, 3929, 1043, 2575
7219 1463 7323 7479
CVE-1999-0905 CAN-1999-0284 CAN-2002-0013
736
CAN-1999-0140
2111
-2228 CVE-2000-0001
8298 888
CVE-2000-0278
1089
CVE-2001-0151
2453
CAN-2002-1248 CVE-1999-0867
р
^ BugTraq
579
Приложение E
Встраиваемые модули Nessus
Семейство
Название модуля
Номер CVE
Denial Denial Denial Denial Denial
of of of of of
Service Service Service Service Service
CAN-1999-0284 CVE-2002-0128 CAN-2002-1061
Denial Denial Denial Denial Denial
of of of of of
Service Service Service Service Service
MDaemon crash Sambar web server DOS HTTP method overflow CP syslog overflow MS RPC Services null pointer reference DoS IIS ' G E T ../../' Sedum DoS Savant DoS Worldspan gateway DOS Wingate POP3 USER overflow IIS FTP server crash MDaemon Webconfig crash cisco http DoS Nortel Contivity DoS Jigsaw webserver M S / DOS device DoS LinkSys EtherFast Router Denial of Service Attack rfparalyze stream.c IIS 5.0 PROPFIND Vulnerability Oracle webcache admin interface DoS Dragon telnet overflow Eserv Memory Leaks RealServer denial of Service Novell Border Manager AppSocket DoS Pi3Web Webserver v2.0 Denial of Service HP Instant TopTools DoS Quake3 Arena 1.29 f/g DOS Firewall/1 U D P port 0 DoS smad Desktop Orbiter Remote Reboot OShare Pi3Web Webserver v2.0 Buffer Overflow
Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service
563
CAN-1999-0229 CAN-2001-0282 CAN-2002-1029 CVE-1999-0494
Номер BugTraq 3885 5319 7159 6005 2218 2413 2468 5169
CVE-1999-0349 CAN-1999-0844
192 820
CVE-2000-0380 CVE-2000-0063 CAN-2002-1052
1154 938 5258 8834
CVE-2000-0347 CVE-1999-0770 CVE-2001-0151
1163 549 2453
CAN-2002-0386
3765
CAN-2000-0480
1352
CVE-2000-0272
1128
CVE-2000-0152 CAN-2003-0276 CAN-2003-0169 CAN-2001-1289
3123
CVE-1999-0675
576
CVE-1999-0357 CAN-2002-0142
3866
Курс
Защитные средства с открытыми исходными текстами
Семейство
Название модуля
Номер CVE
Номер BugTraq
Denial of Service
Netscape Enterprise '../' buffer overflow Abyss httpd crash Wingate denial of service pimp HotSync Manager Denial of Service attack Infinite HTTP request WinSyslog (DoS) AnalogX denial of service Land SMTP antivirus scanner DoS Winnuke Chameleon SMTPd overflow AnalogX SimpleServer: WWW DoS GroupWise buffer overflow Interscan 3.32 SMTP Denial rfpoison CISCO view-source DoS Imail Host: overflow FTgate DoS MDaemon D E L E DoS Cisco VoIP phones DoS Yahoo Messenger Denial of Service attack DB2 discovery service DOS IIS FrontPage ISAPI
CVE-2001-0252
2282
Denial Denial Denial Denial
of of of of
Service Service Service Service
Denial Denial Denial Denial Denial
of of of of of
Service Service Service Service Service
Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial Denial Denial Denial Denial Denial Denial
of of of of of of of
Service Service Service Service Service Service Service
Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service
7287 CVE-1999-0290 CVE-1999-0918 CAN-2000-0058
2465 CVE-2000-0243 CVE-1999-0016
1076 2666 3027
CVE-1999-0153 CAN-1999-0261
2010 2387
CVE-2002-0968
5006
CVE-2000-0146
972
CAN-1999-1529
787
CVE-1999-0980 CVE-2000-0984 CVE-2000-0825
754 1838 2011
CAN-2002-1539 CAN-2002-0882 CAN-2000-0047
6053 4794
CAN-1999-1376, CVE-2000-0226, CVE-2002-0072 CAN-1999-0846
4479
MDaemon DoS Cajun p13x DoS Livingston Portmaster CVE-1999-0218 crash Lotus /./ database lock CVE-2001-0954 + + + ATH0 modem CAN-1999-1228 hangup EMule DoS Argosoft DoS mod_access_referer 1.0.2 N U L L pointer dereference 564
514 920
2225 3656 7189 7375
Приложение E
Встраиваемые модули Nessus
Семейство
Название модуля
Номер CVE
Denial Denial Denial Denial
LabView web server DoS Shambala web server DoS iParty vxworks ftpd buffer over flow Denial of Service Microsoft's SQL TCP/IP denial of service Lotus Domino SMTP bounce DoS SuSE's identd overflow SunKill M S D T C denial of service by flooding with nul bytes Annex DoS Check for RealServer DoS BlackIce DoS (ping flood) MAILsweeper Power Point DoS Xerver web server DOS RPC D C O M Interface DoS WebSphere Edge caching proxy denial of service HTTP negative ContentLength DoS pnserver crash BFTelnet DoS Tomcat servlet engine M D / D O S device names denial of service Personal Web Sharing overflow Solaris finger disclosure akfingerd Finger redirection check
CVE-2002-0748 CAN-2002-0876 CAN-1999-1566
of Service of Service of Service of Service
Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial Denial Denial Denial
of Service of Service of Service of Service
Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Denial of Service Finger abuses Finger abuses Finger abuses Finger abuses Finger abuses Finger abuses Finger abuses Finger abuses Finger abuses Finger abuses
Cfinger's search.**@host feature cfinger's version in.fingerd pipe Finger zero at host feature FreeBSD 4.1.1 Finger Finger dot at host feature cfingerd format string attack
565
Номер BugTraq 4577 4897
CVE-1999-0999
6297, 7480 817
CAN-2000-1203
3212
CVE-1999-0746 CVE-1999-0273 CAN-2002-0224
587
CAN-1999-1070 CVE-2000-0474 CVE-2002-0237
4006 1288 4025 7562
CAN-2002-0448 CAN-2003-0605
4254 8234
CAN-2002-1169
6002
CAN-1999-0271 CVE-1999-0904
771
84, 2715 3457 6323 CAN-1999-0105, CVE-1999-0106 CVE-1999-0259
CVE-1999-0152 CAN-1999-0197 CVE-2000-0915 CAN-1999-0198 CAN-1999-0243, CVE-1999-0708, CAN-2001-0609
1803 2576
Курс
Защитные средства с открытыми исходными текстами
Семейство
Название модуля
Firewalls Firewalls
L2TP detection RADIUS server detection
Firewalls
CheckPoint Firewall-1 Telnet Authentication Detection Remote host replies to SYN+FIN Checkpoint Firewall open Web adminstration Usable remote proxy Checkpoint SecuRemote information leakage Checkpoint FW-1 identification icmp timestamp request U D P packets with source port of 53 bypass firewall rules Kerio personal Firewall buffer overflow StoneGate client authentication detection CheckPoint Firewall-1 Web Authentication Detection Passwordless Wingate installed Source routed packets BenHur Firewall active FTP firewall leak Proxy accepts gopher:// requests PIX's smtp content filtering icmp netmask request
Firewalls Firewalls Firewalls Firewalls Firewalls Firewalls Firewalls
Firewalls Firewalls
Firewalls
Firewalls Firewalls Firewalls Firewalls Firewalls Firewalls
566
Н о м
р
Номер CVE
^ BugTraq
CAN-2001-1377, CAN-2000-0321, CAN-2001-0534, CAN-2001-1081, CAN-2001-1376, CAN-2001-1377
7892, 5103, 4230, 3530, 3529, 2994, 2989, 2991, 6261, 3532
7487
CVE-2001-1303
3058
CAN-1999-0524 7436
7180
CVE-1999-0291
5279 CAN-2002-0371 CVE-2000-1022 CAN-1999-0524
1698
Приложение E
Встраиваемые модули Nessus
Семейство
Название модуля
Firewalls
Proxy accepts C O N N E C T requests Raptor Weak ISN Proxy accepts POST requests Checkpoint Secure Remote detection IBM Tivoli Relay Overflow Raptor FW version 6.5 detection Usable remote proxy on any port WS_FTP SITE CPWD Buffer Overflow TypSoft FTP STOR/ RETR DoS .forward in FTP root WFTP 2.41 rc11 multiple DoS wu-ftpd buffer overflow
Firewalls Firewalls Firewalls Firewalls Firewalls Firewalls FTP FTP FTP FTP FTP
FTP FTP FTP FTP FTP FTP FTP FTP FTP FTP FTP FTP FTP FTP
NiteServer FTP directory traversal SunFTP Buffer Overflow FTP bounce check Windows Administrator N U L L FTP password SunFTP directory traversal Platinum FTP Server Solaris FTPd tells if a user exists FTP site exec ProFTPd buffer overflow War FTP Daemon Directory Traversal proftpd 1.2.0preN check CrobFTP format string BSD ftpd Single Byte Buffer Overflow proftpd modsql injection 567
Номер CVE
Номер BugTraq
CAN-2002-1463
7154, 7157
CAN-2002-0826
5427
CAN-2001-1156
3409
CAN-2000-0647 CVE-1999-0368, CVE-1999-0878, CVE-1999-0879, CVE-1999-0950
2242
6648 CVE-2000-0856 CVE-1999-0017
1638
CAN-2001-0283
2564 CVE-1999-0080, CVE-1999-0955 CAN-1999-0911 CVE-2001-0295
2241
CVE-1999-0368
2242 7776 2124
CVE-2001-0053
612 2444
7974
Курс
Защитные средства с открытыми исходными текстами
Семейство
Название модуля
FTP
hpux ftpd REST vulnerability FTPd tells if a user exists ST FTP traversal NB1300 router default FTP account AIX FTPd buffer overflow Passwordless Zaurus FTP server H P - U X ftpd glob() Expansion STAT Buffer Overflow hpux ftpd PASS vulnerability N G C ActiveFTP Denial of Service Multiple WarFTPd DoS .rhosts in FTP root Serv-U path disclosure
FTP FTP FTP FTP FTP FTP
FTP FTP FTP FTP FTP FTP FTP FTP FTP FTP FTP FTP FTP FTP FTP FTP FTP FTP FTP FTP
wu-ftpd SITE NEWER vulnerability Broker FTP files listing GuildFTPd Directory Traversal Ftp PASV denial of service Guild FTPd tells if a given file exists proftpd exhaustion attack bftpd chown overflow
Номер CVE
7674 7359 CVE-1999-0789
679 5200
CAN-2001-0248
2552
CVE-2000-0699
1560 7900
2698 CAN-2000-0176, CVE-1999-0838 CVE-1999-0880
1016, 859
CAN-2001-0450 CAN-2001-0767
301 2789
CVE-1999-0079
271
CVE-2000-0640
1452
CAN-2001-0065, CVE-2000-0943 MS FTPd DoS CVE-2002-0073, CVE-2002-0073 Serv-U Directory traversal CVE-2001-0054 EFTP installation CAN-2001-1109 directory disclosure ftp 'glob' overflow CAN-2001-0247 proftpd mkdir buffer CAN-1999-0911 overflow Ftp PASV on connect CVE-1999-0075 crashes the FTP server webweaver FTP DoS EFTP tells if a given file CAN-2001-1109 exists 568
Номер BugTraq
6341 2120 4482 2052 3333 2548 612
7425 3333
Приложение E
Встраиваемые модули Nessus
Семейство
Название модуля
Номер CVE
FTP FTP
Anonymous FTP enabled wu-ftpd glob vulner ability (2) FTPD glob Heap Corruption Generic FTP traversal
CAN-1999-0497 CAN-2001-0935
FTP FTP FTP FTP FTP FTP FTP FTP FTP FTP FTP FTP
FTP FTP FTP FTP FTP FTP FTP FTP FTP FTP
Debian proftpd 1.2.0 runs as root wu-ftpd fb_realpath() offby-one overflow War FTP Daemon USER/ PASS Overflow EFTP carriage return DoS ftpd strtok() stack overflow Writeable FTP root Linux FTP backdoor proftpd 1.2.0rc2 format string vuln wu-ftpd PASV format string ftp USER, PASS or H E L P overflow
ProFTPd pre6 buffer overflow vxworks ftpd buffer overflow FTP Service Allows Any Username bftpd format string vulnerability VisNetic and Titan FTP Server traversal FTP CWD ~root vftpd buffer overflow War FTP Daemon C W D / M K D Buffer Overflow PFTP login check ftp writeable directories 569
Н о м
р
^ BugTraq
CAN-2001-0249, CVE-2001-0550 CVE-2001-0680, CAN-2001-1335, CAN-2001-0582 CVE-2001-0456
2550, 3581 2618, 2786
CAN-2003-0466
8315
CVE-1999-0256 CVE-2000-0871 CAN-2001-0325
1677 2342
CAN-1999-0527 CAN-1999-0452 CVE-2001-0318 CVE-2001-0187
2296
CAN-2000-0133, CVE-2000-0943, CAN-2002-0126, CVE-2000-0870, CVE-2000-1035, CVE-2000-1194, CAN-2000-1035 CAN-1999-0911
961, 1858, 3884, 7251, 7278, 7307 612 6297
7718 CVE-1999-0082 CAN-1999-1058 CVE-2000-0131
CAN-1999-0527
818 966
Курс
Защитные средства с открытыми исходными текстами
Семейство
Название модуля
FTP
BlackMoon FTP user disclosure ProFTPd ASCII upload overflow BSD ftpd setproctitle() format string SmallFTP traversal Windows NT ftp 'guest' account WS FTP overflows WFTP login check FTP real path WFTP RNTO DoS wu-ftpd SITE EXEC vulnerability /bin/login overflow exploitation SSH 3 AllowedAuthentication M C M S : Buffer overflow in Profile Service
FTP FTP FTP FTP FTP FTP FTP FTP FTP Gain a shell remotely Gain a shell remotely Gain a shell remotely
Номер CVE
8679 CAN-2000-0574
CAN-2001-1021 CAN-1999-0200 CVE-1999-0201 CAN-2000-0648 CVE-2000-0573, CVE-1999-0997 CVE-2001-0797
CAN-2002-0620, CVE-2002-0621, CVE-2002-0622, CVE-2002-0623, CVE-2002-0050 CAN-2002-1383, CAN-2002-1366, CAN-2002-1367, CAN-2002-1368, CAN-2002-1384, CAN-2002-1369, CAN-2002-1372
Gain a shell remotely Gain a shell remotely
rsh on finger output OpenSSL overflow via invalid certificate passing
Gain a shell remotely Gain a shell remotely
ipop2d buffer overflow Omron WorldView Wnn Overflow CVE-2000-0584 Canna Overflow MailMax IMAP overflows CVE-2000-1077 iWS shtml overflow Cyrus IMAP pre-login buffer overrun Shell Command Execution Vulnerability
Gain a shell remotely
570
1456 1387, 2240, 726 3681 4810
Multiple vulnerabilities in CUPS
a shell remotely a shell remotely a shell remotely a shell remotely
1425
CAN-1999-0546
Gain a shell remotely
Gain Gain Gain Gain
Номер BugTraq
CAN-2003-0543, CAN-2003-0544, CAN-2003-0545 CVE-1999-0920 CAN-2000-0704
8732
283 1603 1445 7327 (2) 1848
Приложение E
Встраиваемые модули Nessus
Семейство
Название модуля
Номер CVE
Gain a shell remotely
libgtopdaemon format string gnocatan multiple buffer overflows shtml.exe overflow SSH Secure-RPC Weak Encrypted Authentication OpenSSL overflow (generic test)
CAN-2001-0927
Gain a shell remotely Gain a shell remotely Gain a shell remotely Gain a shell remotely
Gain a shell remotely Gain a shell remotely Gain a shell remotely Gain a shell remotely Gain a shell remotely
Gain a shell remotely Gain a shell remotely Gain a shell remotely Gain a shell remotely Gain a shell remotely Gain a shell remotely Gain a shell remotely Gain a shell remotely Gain a shell remotely Gain a shell remotely
tanned format string vulnerability qpopper euidl problem Netscape Enterprise 'Accept' buffer overflow OpenSSH 2.5.x -> 2.9.x adv. option PostgreSQL multiple flaws
MySQL double free() CesarFTP multiple overflows BitKeeper remote command execution mod mylo overflow uw-imap buffer overflow after logon NAI Management Agent overflow Lotus Domino Vulnerabilities qpopper LIST buffer overflow wsmp3d command execution LPRng malformed input 571
Н о м
CAN-2002-0692 CVE-2001-0259
5804 2222
CAN-2002-0656, CAN-2002-0655, CAN-2002-0657, CAN-2002-0659, CVE-2001-1141
5363
6553 CVE-2000-0320 CVE-1999-0751
1133 631
CVE-2001-0816
3369
CAN-2002-1402, CAN-2002-1401, CAN-2002-1400, CAN-2002-1397, CAN-2002-1399
6610, 6614, 5527, 5497, 6615, 6611, 6612, 6613, 7075 6718 7950, 7946
CAN-2003-0073 CAN-2001-0826
CAN-2000-0284
8287 1110
CVE-2000-0447
1254
CAN-2003-0123, CAN-2001-1311 CAN-2000-0096
7038, 7039 948
CAN-2003-0338 CVE-2000-0917
р
^ BugTraq
1712
Курс
Защитные средства с открытыми исходными текстами
Семейство
Название модуля
Номер CVE
Gain a shell remotely
IMAP4rev1 buffer over¬ flow after logon Oracle L I N K overflow iPlanet Application Server Buffer Overflow multiple MySQL flaws
CAN-1999-1224
PKCS 1 Version 1.5 Session Key Retrieval FakeBO buffer overflow Batalla Naval Overflow Apache < 2.0.44 DOS device name Magic WinMail Format string MySQL password handler overflaw SSH Insertion Attack IMAP4buffer overflow in the BODY command rwhois format string attack qpopper Qvsnprintf buffer overflow Apache chunked encoding rwhois format string attack (2) scp File Create/Overwrite Kerio WebMail interface flaws
CVE-2001-0361
Gain a shell remotely
Quicktime/Darwin Remote Admin Exploit
CAN-2003-0050, CAN-2003-0051, CAN-2003-0052, CAN-2003-0053, CAN-2003-0054, CAN-2003-0055
Gain a shell remotely Gain a shell remotely
Gauntlet overflow netscape imap buffer over flow after logon Oops buffer overflow SSH Overflow
Gain a shell remotely Gain a shell remotely Gain a shell remotely
Gain a shell remotely Gain a shell remotely Gain a shell remotely Gain a shell remotely Gain a shell remotely Gain a shell remotely Gain a shell remotely Gain a shell remotely Gain a shell remotely Gain a shell remotely Gain a shell remotely Gain a shell remotely Gain a shell remotely Gain a shell remotely
Gain a shell remotely Gain a shell remotely
572
Номер BugTraq
CAN-2003-0222 CAN-2002-0387
7453 7082
CAN-2002-1373, CAN-2002-1374, CAN-2002-1375, CAN-2002-1376
6368, 6370, 6373, 6374, 6375 2344
CAN-2003-0016 CAN-2003-0391
7667
CAN-2003-0780
8590
CVE-1999-1085 CVE-2002-0379
4713
CAN-2001-0838 CAN-2003-0143
7058
CVE-2002-0392 CAN-2001-0913
5033
CVE-2000-0992
CVE-2000-0437 CVE-2000-0961
1742 7966, 7967, 7968 6954, 6956, 6955, 6957, 6958, 6960, 6990 1234 1721
CAN-2001-0029 CVE-1999-0834
2099 843
Приложение E
Встраиваемые модули Nessus
Семейство
Название модуля
Номер CVE
Gain a shell remotely
Helix RealServer Buffer Overrun SSH 3.0.0 Apache-SSL overflow OpenSSH < 3.0.1
CAN-2003-0725
Gain a shell remotely Gain a shell remotely Gain a shell remotely
Gain a shell remotely Gain a shell remotely Gain a shell remotely Gain a shell remotely Gain a shell remotely Gain a shell remotely Gain a shell remotely Gain a shell remotely Gain a shell remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely
Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely
CVE-2001-0553 CVE-2002-0082 CVE-2002-0083
MDaemon IMAP CREATE overflow MailMax IMAP overflows CVE-1999-0404 OpenSSH 2.3.1 authen¬ tication bypass vulnerability SSH Kerberos issue CVE-2000-0575 modntlm overflow / format string bug rsh with null username CVE-1999-0180 OpenSSH Client Unautho- CVE-2000-1169 rized Remote Forwarding SSH1 SSH Daemon CAN-2001-0471 Logging Failure ActiveSync packet overflow CVE-1999-0002 mountd overflow Imap buffer overflow CVE-1999-0005 Microsoft RPC Interface CAN-2003-0352 Buffer Overrun (823980) Samba trans2open buffer CAN-2003-0201, CAN-2003-0196 overflow I N N version check CVE-1999-0705, CVE-1999-0043, CVE-1999-0247 Linux nfs-utils xlog() off- CAN-2003-0252 by-one overflow Format string on HTTP method name EFTP buffer overflow CAN-2001-1112 SimpleServer remote execution Alibaba 2.0 buffer CAN-2000-0626 overflow BIND iquery overflow CVE-1999-0009 Too long OPTIONS parameter OpenSSH < 3.7.1 CAN-2003-0693, CAN-2003-0695 573
Номер BugTraq
3078 4189 3560, 4560, 4241 7446 7326 2356 1426 7393, 7388 1949 2345 7150
130 8205 7294 616
8179
3330 3112 1482 134
8628
Курс
Защитные средства с открытыми исходными текстами
Семейство
Название модуля
Номер CVE
Номер BugTraq
Gain root remotely
Samba Fragment Reassembly Overflow Buffer overflow in Microsoft Telnet BrowseGate HTTP headers overflows SSH Multiple Vulns
CAN-2003-0085, CAN-2003-0086 CVE-2002-0020
7106, 7107 4061
CVE-2000-0908
1702
CAN-2002-1357, CAN-2002-1358, CAN-2002-1359, CAN-2002-1360 CVE-2001-1162
2928
Gain root remotely Gain root remotely Gain root remotely
Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely
Gain root remotely Gain root remotely Gain root remotely
Samba Remote Arbitrary File Creation M D B M S overflow lsh overflow RealServer G2 buffer overrun Oracle9iAS too long U R L Webalizer Cross Site Scripting Vulnerability Multiple IRC daemons format string attack Imail's imap buffer overflow l2tpd < 0.68 overflow HTTP negative ContentLength buffer overflow Solaris lpd remote command execution Webserver4everyone too long U R L IIS : WebDAV Overflow (MS03-007) dwhttpd format string Various pop3 overflows
IIS buffer overflow OpenSSH < 2.1.1 UseLogin feature BIND 4.x resolver overflow 574
CVE-2000-0446
1252 8655
CAN-1999-0271 CVE-2001-0836 CAN-2001-0835
3443 3473 8038
CAN-1999-1557
502
CVE-2002-0872, CVE-2002-0873 3274
CAN-2003-0109
7116
CVE-1999-0874 CVE-2000-0525
5384 789, 790, 830, 894, 942, 1965, 2781, 2811, 4055, 4295, 4614 307 1334
CAN-2002-0684
7228
CAN-2002-0799, CVE-1999-0822
Приложение E
Встраиваемые модули Nessus
Семейство
Название модуля
Номер CVE
Номер BugTraq
Gain root remotely Gain root remotely
I N N version check (2) OpenSSH Channel Code Off by 1 Buffer overflow in FreeBSD 2.x lpd OpenSSH UseLogin Environment Variables SOCKS4A hostname overflow HTTP 1.0 header overflow X Font Service Buffer Overflow IIS ASP ISAPI filter Overflow
CVE-2000-0472 CVE-2002-0083
1316 4241
Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely
Gain root remotely Gain root remotely Gain root remotely
CVE-1999-0299 CVE-2001-0872
3614
CAN-2002-1001
5138
CAN-2002-1317 CVE-2002-0079, CAN-2002-0079, CAN-2002-0147, CVE-2002-0149 CVE-2001-0236 CAN-2003-0213
4485
CAN-2003-0715, CAN-2003-0528, CAN-2003-0605 CVE-1999-0113 CAN-2000-0841 CAN-2001-0671
8458
Gain root remotely Gain root remotely Gain root remotely
snmpXdmid overflow PPTP overflow HTTP version number overflow rsync modules SSH setsid() vulnerability Microsoft RPC Interface Buffer Overrun (KB824146) rlogin -froot XMail APOP Overflow Buffer overflow in AIX lpd TESO in.telnetd buffer overflow ePolicy orchestrator format string Too long authorization yppasswdd overflow mibiisa overflow
Gain root remotely
IIS .HTR overflow
Gain root remotely
BIND vulnerable to overflows
Gain root remotely Gain root remotely
Too long POST command ICEcap default password CVE-2000-0350
Gain root remotely Gain root remotely Gain root remotely
Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely
575
2417 7316
458 1652
CVE-2001-0554
3064
CAN-2002-0690
7111
CVE-2001-0779 CVE-2002-0797, CAN-2002-0796 CVE-2002-0364, CAN-2002-0071, CAN-2002-0364 CVE-2001-0010, CVE-2001-0011, CVE-2001-0012, CVE-2001-0013
2763 4933, 4932 4855 2302
1216
Курс
Защитные средства с открытыми исходными текстами
Семейство
Название модуля
Номер CVE
Gain root remotely
BIND vulnerable
Gain root remotely
SysV /bin/login buffer overflow (telnet) Delegate overflow Knox Arkeia buffer overflow Netwin's Dmail E T R N overflow Samba Unicode Buffer Overflow Abyss httpd overflow
CVE-1999-0833, CVE-1999-0837, CVE-1999-0848, CVE-1999-0849 CVE-2001-0797
Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely
Gain root remotely
Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely
Номер BugTraq 788
CVE-2000-0165 CAN-1999-1534
3681, 7481 808 661
CVE-2000-0490
1297
CVE-1999-0182 8062, 8064 2264 7129
ICECast Format String PXE server overflow N S M format strings vulnerability Buffer overflow in BSD in.lpd dtspcd overflow Header overflow against HTTP proxy OpenSSH AFS/Kerberos ticket/token passing NT IIS 5.0 Malformed HTTP Printer Request Header Buffer Overflow Vulnerability Unreal Engine flaws
CVE-2001-0197
Rockliffe's MailSite overflow pamsmb / pamntdom overflow OpenLink web config buffer overflow MonkeyWeb POST with too much data D H C P server overflow / format string bug
CVE-2000-0398
6770, 6771, 6772, 6773, 6774, 6775 1244
CAN-2000-0843
1666
576
CVE-2001-0670, CAN-1999-0061 CVE-2001-0803 CAN-2002-0133
3252
CVE-2002-0575, CAN-2002-0575 CVE-2001-0241
4560
3517 3904
2674
CVE-1999-0943 CAN-2003-0218 CAN-2003-0026, CAN-2002-0702, CAN-2003-0039
4701, 6627, 6628
Приложение E
Встраиваемые модули Nessus
Семейство
Название модуля
Gain root remotely Gain root remotely
Boozt index.cgi overflow thttpd 2.04 buffer overflow Samba Buffer Overflow rsync array overflow Generic format string rpc.nisd overflow BIND vulnerable to cached RR overflow irix rpc.passwd overflow Portable SSH OpenSSH < 3.7.1p2 uw-imap buffer overflow IIS ISAPI Overflow
Gain Gain Gain Gain Gain
root remotely root remotely root remotely root remotely root remotely
Gain root remotely Gain root remotely Gain root remotely Gain root remotely
Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely
IRIX Objectserver SSH1 CRC-32 compen sation attack remwatch Xitami Web Server buffer overflow Samba T N G multiple flaws Gnu Cfserv remote buffer overflow Imail's imonitor buffer overflow qpopper buffer overflow sadmind command execution rpc.walld format string SysV /bin/login buffer overflow (rlogin) Too long U R L
Gain root remotely
HTTP User-Agent overflow
Gain root remotely
HTTP 1.1 header overflow 577
Номер CVE
Номер BugTraq
CVE-2000-0359
6281 1248
CAN-2002-0048
5587 3958
CVE-1999-0008 CAN-2002-1219
104
CAN-2002-0357 CAN-2003-0786, CAN-2003-0787 CVE-1999-0005 CVE-2001-0544, CVE-2001-0545, CVE-2001-0506, CVE-2001-0507, CVE-2001-0508, CVE-2001-0500 CVE-2000-0245 CVE-2001-0144
4939 8677 130 2690, 3190, 3194, 3195
1079 2347
CAN-1999-0246
CAN-2003-0085 CAN-2003-0849
7206, 7106 8699
CVE-1999-1046, CVE-2000-0056 CVE-1999-0006 CAN-2003-0722
502, 504, 506, 914 133 8615
CVE-2002-0573 CVE-2001-0797
4639 3681
CVE-2000-0002, CVE-2000-0065 CAN-2001-1250
2979, 6994, 7067, 7280 3443, 3449, 7054
CVE-2001-0836
Курс
Защитные средства с открытыми исходными текстами
Семейство
Название модуля
Номер CVE
Номер BugTraq
Gain root remotely
Piranha's RH6.2 default password SOCKS4 username overflow Communigate Pro overflow ntpd overflow Avirt gateway insecure telnet proxy IRCd OperServ Raw Join DoS fakeidentd overflow Oracle Application Server Overflow Netware Perl C G I overflow ePolicy orchestrator multiple issues
CAN-2000-0248
1148
CVE-1999-0865
860
CVE-2001-0414 CAN-2002-0134
2540 3901
Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely
Gain root remotely Gain root remotely Gain Gain Gain Gain
root remotely root remotely root remotely root remotely
Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely Gain root remotely
HTTP header overflow Usermin Session ID Spoofing klogind overflow Xtramail pop3 overflow BIND 9 overflow Netware Perl C G I overflow iPlanet unauthorized sensitive data retrieval iPlanet chunked encoding SCO i2odialogd buffer overrun IIS FrontPage DoS II Tinyproxy heap overflow lpd, dvips and remote command execution cachefsd overflow Rover pop3 overflow SmartServer pop3 overflow OpenSSH