Geum.ru

Брандмауэры и специальное программное обеспечение 8 Часть 4

Вид материалаРеферат

Содержание


Сравнение nmap и netstat
Подобный материал:
1   ...   93   94   95   96   97   98   99   100   101

Сравнение nmap и netstat


У многих может возникнуть вопрос: зачем сканировать собственные узлы с использованием nmap, когда ту же самую информацию можно получить при помощи netstat? Команда netstat -an показывает вам все открытые порты локального узла. Отличие состоит в том, что, используя nmap (особенно если эта программа запускается с другого сетевого узла), вы видите то, что видят злоумышленники и взломщики, пытающиеся нащупать уязвимые места вашей системы. Эти сведения могут существенно отличаться от того, что отображает на экране утилита netstat.

Воспользовавшись nmap, вы сможете воочию убедиться в том, насколько эффективным является набор правил вашего брандмауэра, корректно ли выполняется блокирование эхо-запросов ICMP, какие порты действительно заблокированы и о каких портах вы позабыли. Вывод nmap выглядит менее громоздко, чем вывод netstat, его легче читать.

Для более тщательной проверки вашей системы защиты вы можете запускать nmap с локального узла localhost, из внутренней сети и из внешней сети, а затем сравнивать результаты. Сканирование nmap необходимо выполнять регулярно, частота сканирований определяется вашей конкретной ситуацией. Чем выше уровень уязвимости вашей сети и чем больше входящий трафик, тем более часто следует сканировать вашу сеть. Это можно выполнять ежемесячно, еженедельно или даже чаще. Однако выполняя сканирование, следует быть осторожным. Лучше выполнять сканирование медленно, в нерабочее время, возможно на протяжении нескольких вечеров — такой подход более безопасен, чем скоростное сканирование в рабочее время. При скоростном сканировании nmap может создать существенную нагрузку на каналы связи. Программа nmap автоматически замедляет процесс сканирования в случае, если удаленный сервер замедляет отправку ответов на адресуемые ему запросы. Это нормально и ожидаемо. Операционная система Linux на протяжении четырех минут отправляет в сеть не более 80 ответов ICMP Port Unreachable (порт недоступен). Система Sun Solaris отправляет в сеть еще меньшее количество ответов. Однако узлы Microsoft вообще никогда не замедляют свою работу, то есть отправляют в сеть ответы ICMP Port Unreachable настолько быстро, насколько это возможно, а это означает, что, запустив nmap в отношении узла Microsoft, вы можете нарушить работу сервера, сократить доступную пропускную способность каналов (это будет выглядеть как избыток коллизий Ethernet) или просто создать такую нагрузку на сеть, что пользователи сразу же почувствуют неудобства.

Заключение


В данной главе были рассмотрены две программы: одна из них осуществляет обнаружение попыток сканирования системы, а вторая осуществляет собственно сканирование. Вы узнали о том, какие методы используются для обнаружения сканирования и как ведет себя сканирующее программное обеспечение, чтобы получить сведения о сканируемой системе и при этом обмануть программы, следящие за попытками сканирования.

В начале главы я рассказал вам о courtney — программе, осуществляющей обнаружение попыток сканирования. Мы рассмотрели переменные, которые влияют на работу этой программы, и изучили, каким образом значения этих переменных могут быть модифицированы. Я рассказал вам о недостатках courtney и о том, как можно обмануть эту программу.

После этого я рассказал вам о программе nmap — наиболее популярном инструменте сканирования портов. Вы увидели, что сканирование в режиме по умолчанию может быть обнаружено при помощи courtney. Также было рассказано о параметрах работы этой программы, а также о том, как настроить nmap таким образом, чтобы попытка сканирования не была обнаружена при помощи courtney.

26 Где найти сведения о безопасности


В данной главе рассматриваются следующие вопросы:

- где найти сведения, связанные с безопасностью;

- официальные узлы, посвященные безопасности;

- узлы сомнительной направленности.

Что касается информации о безопасности и защите данных, то Интернет можно назвать палкой о двух концах — извлекаемые из него сведения можно использовать как во благо, так и во вред. В данной книге я постарался предоставить читателям базовую информацию о защите систем, ориентированную на начинающих администраторов и администраторов среднего уровня подготовки. Более подробные сведения, связанные с безопасностью, можно почерпнуть из специальных книг, которые, как правило, посвящаются рассмотрению какой-то конкретной более узкой области. В подобных книгах, как правило, рассматриваются теоретические основы, функционирование и практическое использование тех или иных аспектов безопасности, причем уровень детализации материала может оказаться чрезмерным очень для многих, за исключением, может быть, лишь наиболее опытных экспертов в области компьютерной безопасности. И даже самые опытные эксперты подчас находят этот материал утомительным и обескураживающим.

Хочу особо подчеркнуть, что безопасность вашей системы не ограничивается сведениями, содержащимися в данной книге. В Интернете постоянно появляются сообщения о новых способах взлома систем и нарушения систем защиты. Вы должны тщательно следить за новостями в этой области. Например, пока я писал эту книгу, я узнал о новом методе ping-сканирования узлов, игнорирующих по-, ступающие к ним ping-запросы. Представьте, что некоторый сканируемый узел блокирует эхо-запросы ICMP. Ранее я уже рассказывал вам о том, что для проверки существования этого узла в сети можно использовать сообщения SYN-ACK. Если в ответ на такое сообщение вы получаете пакет RST, значит, узел функционирует, однако соответствующий порт закрыт. Если же в ответ на сообщение SYN-ACK вы ничего не получаете, значит, либо узла с таким адресом не существует, либо порт, в который вы направляете сообщение, находится в открытом состоянии. Но что, если узел отбрасывает абсолютно все посылаемые ему пакеты, делая вид, будто он не существует в сети? Иными словами, представьте, что узел не предлагает внешним пользователям никаких служб, а также отбрасывает все эхо-запросы ICMP и пакеты TCP, которые не являются ответами на отправляемые этим узлом запросы на соединение. У внешних пользователей, пытающихся определить присутствие такого узла, может возникнуть впечатление, что узел отсутствует. Однако какой-то хитроумный компьютерный корифей придумал посылать такому узлу не эхо-запросы, а эхо-ответы ICMP. Конечно, сканируемый узел может блокировать (то есть отбрасывать) эхо-запросы ICMP, однако эхо-ответы, скорее всего, блокироваться не будут, так как в этом случае сама сканируемая система не сможет воспользоваться механизмом ping для тестирования связи с удаленными узлами. На самом деле возможность обнаружить существование некоторой удаленной системы — это не такая уж большая проблема. Для этой цели вы можете воспользоваться утилитой traceroute, которая основана на использовании UDP. Однако имейте в виду, что системы Windows для работы traceroute вместо UDP используют ICMP, поэтому если на отслеживаемом вами маршруте располагается система, блокирующая ICMP, вы не сможете воспользоваться Windows traceroute для слежения за этим маршрутом. Лично меня не очень беспокоит тот факт, что кто-то знает о существовании моей системы. Значение имеет лишь уязвимость служб, которые предлагаются системой для пользователей Интернета. Вряд ли вам удастся использовать ICMP для взлома системы.