Geum.ru

Брандмауэры и специальное программное обеспечение 8 Часть 4

Вид материалаРеферат

Содержание


Узлы сомнительной направленности
Последнее замечание
Что на компакт-диске?
Алфавитный указатель
Подобный материал:
1   ...   93   94   95   96   97   98   99   100   101

Узлы сомнительной направленности


Некоторые из web-узлов публикуют не только оповещения о возможных уязвимых местах программ: эти узлы делают доступными для широкой интернет-общественности исполняемый код, который можно использовать для того, чтобы взламывать системы, обладающие уязвимыми местами. Многие посетители подобных узлов подключаются к ним с одной лишь целью: загрузить код, позволяющий взломать защиту чужой системы. Чаще всего эти люди не имеют представления о том, как именно работает данный код, они не знают о характере уязвимости и о том, как именно происходит нарушение защиты, однако они получают возможность просто запустить машинный код или сценарий и таким образом проникнуть туда, где их не ждут. Чаще всего подобные злоумышленники оказываются подростками, жаждущими продемонстрировать свою антисоциальную направленность.

Старейшим и наиболее хорошо известным узлом подобной направленности является узел hell.com/. На этом узле можно найти новости о различных способах взлома, архивы, описания взломов систем, которые имели место в прошлом, а также код, позволяющий воспроизвести эти атаки.

Еще одним узлом этой категории является узел Cult of the Dead Cow (культ дохлой коровы), расположенный по адресу eadcow.com/. Этот узел является не просто излюбленным местом малолетних компьютерных хулиганов. Члены команды cDc являются авторами программы Back Orifice — знаменитого средства удаленного управления операционной системой Windows.

Еще одним узлом, достойным внимания, является домашняя страничка журнала 2600, который называет себя «хакерский ежеквартальник». В журнале и на web-узле термин «хакер» используется не совсем корректно. Под этим термином авторы журнала понимают взломщиков и компьютерных хулиганов. Узел журнала располагается по адресу com/.

Все упомянутые узлы громогласно объявляют о том, что не одобряют незаконного использования предоставляемых ими сведений и программного обеспечения. Они как бы говорят посетителям: «вот программа, с помощью которой можно взломать чужую систему; мы сами ею не пользуемся и вам не советуем». При желании вы можете посетить эти узлы, однако имейте в виду, что по большей части этот материал ориентирован на 12-летних подростков.

Последнее замечание


Если вы просматриваете программные пакеты, которые вы намерены загрузить из Интернета, вы часто можете видеть файлы, содержащие в себе сигнатуры PGP (Pretty Good Privacy). Сигнатуру (подпись) PGP можно видеть в конце оповещения CERT в листинге 26.1, при помощи такой сигнатуры вы можете проверять программное обеспечение, размещенное на web-узле. Сигнатуры PGP часто используются в отношении программ, обеспечивающих работу служб с ограниченным доступом, а также для защиты важных сообщений, таких как оповещения CERT. Конечно, вы можете просто поверить в тот факт, что никто не вносил никаких изменений в расположенное на web-узле программное обеспечение, однако надежнее будет выполнить проверку программного пакета при помощи сигнатуры PGP. Сигнатура сообщает вам имя автора пакета, а также находится ли пакет в том же состоянии, в котором сформировал его автор. Вы можете использовать сигнатуру или нет, однако, как правило, она прилагается к программному пакету. Чтобы использовать сигнатуру, вы должны установить в системе PGP.

Заключение


Безопасность — это не то, что вы изучаете только один раз и продолжаете использовать в течение всего времени. Безопасность требует, чтобы вы постоянно продолжали процесс обучения. Каждый день появляются все новые программы, осуществляющие сканирование и взлом систем. Со временем методы взлома становятся все более изощренными. Вы сможете успешно противостоять атакам только в случае, если постоянно будете в курсе самых свежих событий в области компьютерной безопасности. Помните, что если ваша система будет чуточку более защищенной, в нее будет чуточку сложнее пролезть, чуточку сложнее, чем в другие системы, работающие в Интернете. И в этом случае, если вы, конечно, не один из часто посещаемых web-узлов, у вас не будет слишком больших проблем с компьютерными хулиганами. Дело в том, что эти самые хулиганы, как правило, предпочитают иметь дело с легкой добычей, не обнаружив в вашей системе хорошо известных лазеек, они теряют к ней интерес. Если в любой из поисковых систем Интернета вы введете Linux security, вы сможете получить множество дополнительных ссылок и дополнительной информации о безопасности в среде Linux.

А Обзор средств сетевого сканирования и утилит безопасности

В данном приложении приведен перечень ссылок на сетевые сканеры и утилиты безопасности. Этот список не следует считать исчерпывающим — постоянно появляются новые программы, а старое программное обеспечение выходит из употребления, и его дальнейшее развитие прекращается. Изучив данное приложение, вы получите представление о том, что в настоящий момент доступно для использования. Наиболее хорошими источниками подобных средств являются узлы berg.com/ и .net/. Оба этих узла поддерживают поиск и предлагают разнообразную информацию о безопасности, а также связанное с этим программное обеспечение.

Далее следует алфавитный список некоторых средств, связанных с безопасностью, которые вы можете загрузить и установить в своей системе. Указывается домашняя страница приложения или, если домашней страницы нет, место, откуда приложение можно загрузить.

AIDE: свободно распространяемая замена trip wire (t.fi/~rammer/ aide.phpl).

BASS: Bulk Auditing Security Scanners (загружается по адресу rityfocus.com/data/tools/network/bass-1.0.7.tar.gz).

Bastille Linux: программа, усиливающая защиту Red Hat Linux 6.0 (-linux.sourceforge.net/).

Check.pl: средство аудита разрешений на доступ к файловой системе (alcom.co.uk/).

firesoft: инструменты для просмотра журналов ipchains и snort (.gr/).

Firewall Manager: графический интерфейс для брандмауэров (rip.net/arg/).

FreeS/WAN: безопасная глобальная сеть WAN для ядер Linux 2.0 и 2.2 (ll.nl/~freeswan/).

Fwctl: высокоуровневое средство конфигурирования для пакетных фильтров Linux 2.2 (u.com/Fwctl/).

gfcc: брандмауэр GTK+ (ipchains) (tostock.co.kr/).

gSentiel: основанный на GTK графический интерфейс для Sentiel (pedia.net/zfile.phpl).

gSheild: модульный брандмауэр Godot (xgeek.org/).

HostSentry: средство обнаружения аномальных подключений к системе и реагирования на них (ic.com/abacus/hostsentry/).

hping2: инструмент аудита и тестирования сети (.org/antirez/ hping2.phpl).

ipchains: утилита управления пакетным фильтром Linux (для ядер 2.2.#) (corp.com/linux/ipchains/).

ipchains-firewall: набор сценариев для формирования правил для ipchains и маскировки IP (nerdherd.org/).

ipfa: средство учета и контроля для брандмауэра IP (ng-bird.com. cn/oss_proj/ipfa/).

ISIC: программа, которая посылает контролируемые частично случайные пакеты для тестирования стеков IP и брандмауэров (.purdue.edu/ -frantzen/).

John the Ripper: взломщик паролей для обнаружения слабых паролей Unix (all.com/john/).

Linux Intrusion Detection System: программное средство, обнаруживающее проникновение в систему злоумышленников; работающее на уровне ядра (ng-bird.com.cn/oss_proj/lids/).

Logcheck: помогает обнаруживать проблемы и нарушения защиты системы на основании сведений, содержащихся в файлах журналов (ic.com/).

maillog: передает системные журналы по почте на указанный почтовый адрес, для этого используется задание сгоп (rg/).

Mason: автоматически формирует брандмауэр на базе продуктов ipfwadm или ipchains (.com/~wstearns/mason/).

Nessus: простое в использовании средство аудита безопасности (us.org/).

netfilter: программный пакетный фильтр IP для ядер Linux 2A.x (a.org/~netfilter/).

nmap: средство сканирования сети (ure.org/nmap/).

nstreams: анализатор сетевых потоков (r/cabinet/produits/index. html.en).

OpenSSH: версия защищенной оболочки Secure Shell с открытым кодом (ssh.com/).

Ping Sting: идентификатор трафика ICMP (org/psting/).

PMFirewall: утилита конфигурирования ipchains в режиме брандмауэра и маскировки IP (man.org/).

PortSentry: в реальном времени обнаруживает попытки сканирования портов и реагирует на них (ic.com/abacus/portsentry/).

PSPG: Pretty Simple Password Generator — программа генерации паролей (xoom.com/miscreants/).

QIPchains: сценарий командной оболочки, который позволяет быстро добавлять/удалять правила брандмауэра Linux (odessa.net/software/).

redir: перенаправляет порт TCP на другой IP-адрес и порт (/ ~sammy/hacks/).

S/key: система одноразовых паролей (можно загрузить по адресу ftp://thumper. bellcore.com/pub/nmh/).

SAINT: Security Administrator's Integrated Network Tool — интегрированный сетевой инструмент администратора безопасности (.com/saint/).

samhain: средство проверки целостности файлов (etpedia.net/).

SARA: средство аудита безопасности, подобное SATAN/SAINT, если в системе установлена программа nmap, использует nmap (com/sara/ index.phpl).

secure delete: безопасное удаление файлов, безопасная перезапись виртуальной памяти и незанятого дискового пространства (только для загрузки el.com/files/thc/secure_delete-2.1.tar.gz).

Secure Remote Password Protocol: протокол аутентификации и обмена ключами, основанный на использовании паролей (ord.edu/srp/).

Secure Shell (ssh): программное средство для защищенных подключений с использованием шифрования и взаимной авторизации (загрузка: ftp://ftp.cs.hut.fi/ pub/ssh/; домашняя страница: i/).

Secure-Linux Patch: исправление ядра Linux, позволяющее блокировать большую часть атак, основанных на переполнении стека (all.com/ linux/).

Sentiel: средство быстрого сканирования системных файлов (pedia.net/zfile.phpl).

sifi: пакетный фильтр TCP/IP для Linux, основанный на состояниях (unizh.ch/ikm/SINUS/firewall/).

Slinux Kernel: улучшенное в плане безопасности ядро Linux (ux.cx/).

snort: система обнаружения несанкционированного проникновения в сеть (.net/~roesch/security.phpl).

sslwrap: служба, выполняющая функцию SSL-оболочки для других серверных приложений, таких как демоны POP3/IMAP (.com/sslwrap/).

Sportal: средство слежения за файлами с графическим интерфейсом GTK (ourceforge.net/).

sXid: средство слежения за suid/sgid, написанное на С (загрузка: ftp://marcus. seva.net/pub/sxid/).

TARA (Tiger Analytical Research Assistant): набор сценариев для проверки локальной безопасности (com/tara/index.phpl).

The Phreak Firewall: средство установки настройки вашего брандмауэра с использованием маскировки IP (ma.be/Phreak/).

TheBox: набор сценариев для установки, настройки и управления механизмами маскировки IP и прозрачного кэширования (re.net/).

Triplight: средство обнаружения несанкционированного проникновения в систему и целостности файлов, использует md5surn для проверки перечня файлов (e.edu/magic/triplight/).

Tripwire: система обнаружения несанкционированного доступа для Linux (iresecurity.com/).

Wipe: безопасное удаление файлов с магнитных носителей ( org.tr/wipe/).

ya-wipe: безопасное удаление файлов (.com/thomassr/zero/ download/wipe/).


Б Что на компакт-диске?

На прилагающемся к данной книге компакт-диске содержится следующее:

Полный комплект Caldera System OpenLinux 2.3 (только бинарные файлы). Чтобы установить эту операционную систему, необходимо, находясь в операционной среде Windows, вставить данный компакт-диск в устройство чтения CD-ROM. Произойдет автоматический запуск, и на экране появится меню. Следуйте отображаемым на экране инструкциям. Если позволяет ваша система BIOS, для начала установки OpenLinux вы можете также просто загрузить компьютер с компакт-диска. Для получения дополнительной информации посетите web-узел компании Caldera Systems (www.calderasystems.com)

Также на прилагаемом компакт-диске можно обнаружить несколько каталогов, представляющих интерес:

каталог ../col/contrib/RPMS содержит неофициальные, не поддерживаемые компанией Caldera пакеты RPMS;

каталог ../col/security/RPMS содержит в себе некоторые представляющие интерес пакеты:

courtney-1.3 — сценарий Perl, позволяющий обнаруживать попытки скани
рования системы;

dailyscript-3.9.2 — набор сценариев, позволяющих автоматизировать еже
дневные рутинные служебные процедуры в отношении системных журна
лов — в частности, поиск аномалий и подозрительных записей в журналах
(сценарии модифицированы специально для Caldera OpenLinux);

ipmasqadm-0.4.1 — программа, обеспечивающая перенаправление портов
с использованием ipchains;

libpcap-0.4 — библиотека, необходимая для работы разнообразных средств
прослушивания сетевого трафика;

makepasswd-1.7 — программа для создания надежно защищенных паролей;

tnason-0.13.0.92 — средство, помогающее формировать наборы правил для
брандмауэров ipchains и netfilter;

mucreate-0.1 — сценарий создания нескольких пользователей с защищенны
ми паролями;

nmap-2.BETA10 — средство сканирования сетей (в настоящее время одно из
наиболее популярных);

rfc-0.2 — сценарий Perl для просмотра документов RFC;

squid-2.2Stable5 — программное обеспечение кэширующего proxy (если в ка
талоге contrib/ содержится более ранняя версия, не используйте ее);

sudo-1.6.1 — программа, позволяющая пользователям запускать программы
от имени root, не выступая при этом от лица пользователя root и даже не
зная пароля root;

tknotepad-7.1 — сценарий tk, по своим функциональным возможностям
напоминающий программу Windows Notepad (блокнот) и позволяющий
в удобной форме редактировать конфигурационные файлы.

В подкаталоге tarballs можно обнаружить еще две программы, которые поставляются не в виде пакетов RMP, а в виде компрессированных пакетов tar:

nessus-0.99.1 — программное средство сканирования сетей;

SAINT — программное средство сканирования сетей, дальнейшее развитие
программы SATAN;

Две последние программы содержатся в компрессированных пакетах tar, в комплект входят также подкаталоги с компилированными бинарными файлами. Чтобы установить и использовать nessus, необходимо в заданном порядке войти в каждый из перечисленных далее подкаталогов и выполнить команду make install:

nessus-libraries

libnasl

nessus-core

nessus-plugins

После установки libasl, но перед самым первым запуском программы следует запустить ldconfig.

Чтобы использовать SAINT, необходимо скопировать весь каталог saint с компакт-диска в каталог по вашему выбору (например, в каталог /root) и запустить эту программу оттуда.

Алфавитный указатель

А—В

АСК,бит, 155

ACL, Access Control List, 298,306

aliases, файл, 427

amd, демон автоматического монтирования, 229

anonymous, пользователь, 202

Apache, 359

.htaccess, файл, 378

httpd.conf, файл, 367

suEXEC, программа, 380

запуск, 377

компиляция, 360

конфигурирование, 367

сборка, 359

сертификат безопасности, 367 Apache, сервер, 210 apache.spec, файл, 362 AppleTalk, протокол, 272 ARL, Access Rights List, 298,306 ARP, Address Resolution Protocol, 152,158 arp, команда, 167 arpd, демон, 271 auth, служба, 212 bastion host, бастионный узел, 264 BDC, Backup Domain Controller, 339 big ping, большой ping, 224 BIND

тюрьма с измененным корнем, 231 BIND, Berkeley Internet Nameserver Daemon, 208 BIND, Berkley Internet Nameserver Daemon, 232 BIOS

пароль, 138

BOOTP, Bootstrap Ptotocol, 209 broadcast address, широковещательный адрес, 162 broadcast isolated, широковещательно-изолированная, 342 В RS, Big Red Switch, 137

C-D

CERT, Computer Emergency Response Team, 456

CGI, 375

chage, команда, 41

change root jail, тюрьма с измененным корнем, 202

chattr, команда, 92

check-package, программа, 426

check-packages, программа, 239

chgrp, команда, 60

chmod, команда, 83,90

chown, команда, 60,83

chroot, команда, 235

CIDR, Classless Inter-Domain Routing, 159,163,325

CIFS, Common Internet File System, 333

cleandir, программа, 239

CMOS, 138

Courtney, программа, 440

параметры командной строки, 444 ср, команда, 236 crypt, программа, 36 dailyscript, пакет, 426 dailyscript.conf, файл, 429 debugfs, программа, 74,77 devpts, файловая система, 115 DF, Do not Fragment, флаг, 157 dictionary attack, атака по словарю, 34 dig, утилита, 204 directory, каталог, 74 dmesg, программа, 418 DMZ, Demilitarized Zone, 276,317 DNF, Do Not Fragment, 152 DNS

тюрьма с измененным корнем, 231 DNS, Domain Name System, 208 domain, служба, 208 DoS, Denial of Service, 219 dot file, 75

dpasswd, программа, 48 dump, утилита, 145

E—F

expect, язык сценариев, 70 expiry, команда, 42 ext2, файловая система, 91 file, программа, 81 finger, служба, 209 firewall, брандмауэр, 260 forwarding firewall, 261 FreeS/WAN, 393

добавление сетей, 397

компоновка, 393
FreeS/WAN (продолжение)

конфигурирование, 395

расширение сети, 396

установка, 393 fstab, файл, 97

параметры, 101 FTP, File Transfer Protocol, 198

активный режим, 321

анонимный режим, 202

пассивный режим, 200,322

G-H

gateway, шлюз, 164

GECOS, GE Consolidated Operating System, 35

GID, Group ID, 35,39

group, файл, 38

grpck, утилита, 40

grpconv, утилита, 40

grpuncov, утилита, 40

gshadow, файл, 39

hacker, хакер, 149

hard link, жесткая ссылка, 77

honey pot, горшок с медом, 195

hop, хоп, 303

hosts.allow

правила, 251 hosts.allow, файл, 248

проверка наличия ошибок, 255 hosts.deny, файл, 248 hosts.equiv, файл, 217 HTML

обработка на стороне сервера, 375 httpd, демон, 210 httpd.conf, файл, 367

I—К

ICMP, Internet Control Message Protocol, 156

ICP, Internet Cache Protocol, 303

identd, демон, 212,246

IMAP, Internet Mail Access Protocol, 213

imap, служба, 213

inetd, демон, 186

перезапуск, 191 inetd.conf, файл, 187,247

формат записей, 189 init, программа, 120

передача параметров, 141 inittab, файл, 120

формат записей, 122 mode, information node, 77 IP aliasing, псевдонимы IP, 162 IP, Internet Protocol, 151 IP-in-IP, 154

IP-адрес

класс, 160

сетевого узла, 162

сети, 162

точечная десятичная нотация, 160

частный диапазон, 321

широковещательный, 162 1Р-таймаут, 141 ip_forward, файл, 327 ipchains, программа, 262,277

кода ICMP, 280

кодыТОЗ, 281

команды, 278

отличия от netfilter, 294

параметры, 279

тестирование правил, 287

целевое действие, 282 ipchains-restore, утилита, 289 ipchains-save, утилита, 289 ipconfig, утилита, 166 ipmasqadm, программа, 327 ipnatctl, программа, 329 IPng, IP next generation, 159 IPSEC, 274,394 ipsec.secrets, файл, 395 IPv4, Internet Protocol version 4, 159 IPv6, протокол, 272 IPX, протокол, 272 RDM, KDE Display Manager, 125 kerneld, процесс, 140 khttpd, демон, 380 kill, команда, 126 kmod, программа, 265

L—M

last, утилита, 421

lastlog, утилита, 421

lastlog, файл, 419

Idd, команда, 233

libpcap, библиотека, 440

libwrap, библиотека, 252

LILO, Linux Loader, 119,139

lilo.conf, файл, 139

localhost, локальный узел, 168

login group, группа входа в систему, 57

login, программа, 238

login.defs, файл, 40

Ipd.perms, файл, 214

LPRNG, программа, 214

Isattr, команда, 93

Isof, команда, 417

МАС-адрес, 151,158

makepasswd, программа, 68

man in the middle, человек между, 178

masquerading firewall, 261

MDA, Mail Delivery Agent, 204

Microsoft сетевая среда, 339

browser war, 340

домен NT, 339

одноранговая сеть, 340 ММ, библиотека, 364 mod_sslv пакет, 360 mount point, точка монтирования, 96 mount, команда, 100

MRTG, Multi-Router Traffic Grapher, 226 MTA, Mail Transfer Agent, 204 т!аЬ,файл, 100

MTU, Maximum Transmission Unit, 157,285 MUA, Mail User Agent, 204 multi-homed host, 162

multicast, многоадресная передача данных, 303 multicasting, многоадресная передача, 267 mv, команда, 236