Средства анализа состояния компьютерной сети
Как защитить систему от клавиатурных шпионов
Клавиатурные шпионы представляют реальную угрозу безопасности современных компьютерных систем. Чтобы отвести эту угрозу, требуется реализовать целый комплекс административных мер и программно-аппаратных средств защиты. Надежная защита от клавиатурных шпионов может быть построена только тогда, когда операционная система обладает определенными возможностями, затрудняющими работу клавиатурных шпионов. Они были подробно описаны выше, и не имеет смысла снова на них останавливаться.
Однако необходимо еще раз отметить, что единственной операционной системой, в которой построение такой защиты возможно, является Windows NT.
Да и то с оговорками, поскольку все равно ее придется снабдить дополнительными программными средствами, повышающими степень ее защищенности. В частности, в Windows NT необходимо ввести контроль целостности системных файлов и интерфейсных связей подсистемы аутентификации.
Кроме того, для надежной защиты от клавиатурных шпионов администратор операционной системы должен соблюдать политику безопасности, при которой только администратор может:
· конфигурировать цепочки программных модулей, участвующих в процессе аутентификации пользователей;
· осуществлять доступ к файлам этих программных модулей;
· конфигурировать саму подсистему аутентификации.
И наконец, при организации защиты от клавиатурных шпионов всегда следует иметь в виду, что ни неукоснительное соблюдение адекватной политики безопасности, ни использование операционной системы, имеющей в своем составе средства, существенно затрудняющие внедрение клавиатурных шпионов и облегчающие их своевременное обнаружение, ни дополнительная реализация контроля за целостностью системных файловой и интерфейсных связей сами по себе не могут служить залогом надежной защиты информации в компьютере. Все эти меры должны осуществляться в комплексе. Ведь жертвой клавиатурного шпиона может стать любой пользователь операционной системы, поскольку ее администраторы тоже люди, время от времени и они допускают ошибки в своей работе, а для внедрения клавиатурного шпиона достаточно всего одной оплошности администратора.
Когда-то давным-давно жесткие диски персональных компьютеров были объемом всего-навсего 10 Мбайт, а их оперативная память не превышала 640 Кбайт. Модемы работали на скоростях от 300 до 1200 бит/с, и мало кто из пользователей "персоналок" слышал о глобальной компьютерной сети Internet. Конечно, эта сеть существовала уже тогда, но использовалась исключительно в военных целях, а работа с ней осуществлялась только при помощи командной строки. Но не это служило основным препятствием для массового доступа к сети Internet. Вычислительные машины, которые могли быть задействованы в качестве серверов, были очень дорогими — их стоимость исчислялась цифрами с пятью-шестью нулями (в долларах). Да и сами персональные компьютеры стоили тогда весьма недешево, и были по карману только обеспеченным людям.
Итак, представим себе пригородный район, в котором проживают люди с достатком. Солидные дома с просторными гаражами и аккуратно подстриженными газонами. Близится полночь. На улицах пустынно, в окнах темно. И только одно окно ярко светится в темноте. Там, за персональным компьютером сидит юноша лет 15—17 и обзванивает при помощи модема телефонные номера, которые ему сообщил приятель. В большинстве случаев на другом конце провода оказывается другой модем, и на экране персонального компьютера появляется приглашение зарегистрироваться, т. е. ввести имя и пароль. Каждый раз, получив такое регистрационное приглашение. юноша начинает лихорадочно перебирать различные пары имен и соответствующих им паролей. Наконец, одна пара подходит, и юный взломщик получает возможность управлять удаленным компьютером, сидя дома.
Сейчас уже трудно поверить, что первым компьютерным взломщикам приходилось так напрягаться. Ведь известно, что они очень не любят выполнять рутинную работу и при всяком удобном случае стараются заставить свои компьютеры заниматься такой работой. Поэтому неудивительно, что компьютерные взломщики вскоре создали специальное программное средство, чтобы не набирать вручную дюжину команд. Это программное средство назвали боевым номеронабирателем.
Боевой номеронабиратель представляет собой программу, обзванивающею заданные пользователем телефонные номера в поисках компьютеров, которые в ответ на поступивший звонок выдают регистрационное приглашение Программа аккуратно сохраняет в файле на жестком диске все такие телефонные номера вместе с данными о скорости соединения с ними. Одним и; самых известных и совершенных боевых номеронабирателей является TONELOC, предназначенный для работы в среде операционной системы DOS (он может быть запущен под управлением Windows 95/98 в режиме командной строки).
Дальнейшее совершенствование боевых номеронабирателей привело к созданию сканеров. Первые сканеры были весьма примитивными и отличались от боевых номеронабирателей только тем, что специализировались исключительно на выявлении компьютеров, подключенных к сети Internet пли к другим сетям, использующим протокол TCP/IP. Они были написаны на языке сценариев программной оболочки операционной системы UNIX. Такие сканеры пытались подсоединиться к удаленной хост-машине через различные порты TCP/IP, отправляя всю информацию, которая выводилась на устройство стандартного вывода этой хост-машины, на экран монитора того компьютера, где был запущен сканер.
Ныне сканеры стали весьма грозным оружием как нападения, так и защиты в Internet. Что же представляет собой современный сканер?
Сканер — это программа, предназначенная для автоматизации процесса поиска слабостей в защите компьютеров, подключенных к сети в соответствии с протоколом TCP/IP. Наиболее совершенные сканеры обращаются к портам TCP/IP удаленного компьютера и в деталях протоколируют отклик, который они получают от этого компьютера. Запустив сканер на своем компьютере, пользователь, скажем, из подмосковной Малаховки, лаже не выходя из дома, может найти бреши в защитных механизмах сервера, расположенного, например, в Лос-Анджелесе.
В чем различие между сканерами и сетевыми утилитами?
Часто к сканерам ошибочно относят утилиты типа host, rusers, finger. Traceroute, Showmount. Связано это с тем, что, как и сканеры, данные утилиты позволяют собирать полезную статистическую информацию о сетевых службах на удаленном компьютере. Эту информацию можно затем проанализировать на предмет выявления ошибок в их конфигурации.
Действительно, сетевые утилиты выполняют ряд функций, которые характерны для сканеров. Однако в отличие от последних использование этих утилит вызывает меньше подозрений у системных администраторов. Выполнение большинства сетевых утилит на удаленной хост-машине практически не оказывает никакого влияния на ее функционирование. Сканеры же зачастую ведут себя как слон в посудной лавке и оставляют следы, которые трудно не заметить. Кроме того, хороший сканер — явление довольно редкое, а сетевые утилиты всегда под рукой. К недостаткам сетевых утилит можно отнести то, что приходится выполнять вручную слишком большую работу, чтобы добиться того же результата, который при помощи сканера получается автоматически.
Упомянутые выше сетевые утилиты можно встретить в любой операционной системе семейства UNIX. Однако предоставляемые ими возможности для сбора данных об удаленной хост-машине интересуют не только пользователей UNIX. Поэтому неудивительно, что многие из jthx утилит были перенесены в другие операционные системы.
Для Windows 95/98 имеются программные пакеты NetScan Tools (https://www.eskimo.com/~nwps/index.html). Network Toolbox (https://www.jriver. com/netbox.html) и TCP/IP Surveyor (https://www.rocketdownload.com/details/
inte/wssrv32nsrc.htm), которые реализуют выполнение сетевых утилит host, rusers, finger, Traceroute, ping, WHOIS. Последний из упомянутых пакетов не только осуществляет сбор информации о сети и подключенных к ней компьютерах, но и представляет собранную таким образом информацию в виде графа, вершинами которого служат найденные в сети маршрутизаторы, серверы и рабочие станции.
Пользователям персональных компьютеров типа Macintosh можно посоветовать обратить внимание на программные пакеты МасТСР Watcher (https://waldo.wi.mit.edu/WWW/tools/util/Mac/MacTCP_Watchei), Querylt! (https://tucows.online.ru/mac/adnload/dlqueryitinac.html) и What Route (https://homepages.ihug.co.nz/~bryanc).
Сканер в действии
Сканеры безусловно способствуют повышению уровня сетевой безопасности. Их с полным правом можно назвать санитарами компьютерных сетей. При этом не так уж и важно, в чьих руках находятся сканеры: хакеров или взломщиков. Если эти средства анализа защищенности сетей используются системным администратором, то положительный эффект от их применения не вызывает сомнений. Случай, когда взломщик применяет сканер для преодоления защитных механизмов компьютерной сети, рано или поздно будет выявлен, проанализирован, а в защитные механизмы сети внесены необходимые поправки, чтобы исключить повторный взлом.
Глупо думать, что сканеры вслепую рыщут по сети, отыскивая возможную мишень для взлома. Отнюдь нет. Все сканеры создаются в расчете на уже найденные дыры в защите хост-машин конкретного типа. Им остается только обнаружить хост-машину этого типа; и проверить, действительно ли она сконфигурирована таким образом, что известная дыра все еще не "залатана". Для иллюстрации того, как можно использовать сканер, рассмотрим следующий пример.
В конце 1995 г. американская корпорация Silicon Graphics Incorporated (SGI) начала массовое производство мощных компьютеров серии WebForce. Для них имелось специальное программное обеспечение, предназначенное для создания Web-страниц, насыщенных мультимедийными приложениями. Эти компьютеры работали под управлением операционной системы IRIX (разновидность UNIX).
Вскоре в Internet разнесся слух о том, что некоторые версии IRIX имеют дефект, который позволяет удаленному пользователю регистрироваться в ней под именем 1р, при этом пароля вводить не нужно. В результате компьютерный взломщик, беспрепятственно вошедший в IRIX под именем 1р, обладал достаточными привилегиями, чтобы скопировать файл password, содержащий зашифрованные имена и пароли пользователей, с компьютера серии WebForce на свой компьютер. Дальше взломщик мог в спокойной обстановке попытаться дешифровать скопированный им файл, чтобы получить полный список имен и паролей пользователей компьютера SGI.
Итак, дыра в защите компьютеров серии WebForce была обнаружена. Оставалось только отыскать эти компьютеры в Internet. Поскольку их системные администраторы лучше разбирались в компьютерной графике и почти ничего не смыслили в вопросах сетевой безопасности, то некоторые каталоги на дисках вверенных их заботам компьютеров были доступны для всеобщего обозрения через Internet. В одном из этих каталогов содержался стандартный файл password из дистрибутива операционной системы IRIX. Большинство перечисленных в нем регистрационных имен пользователей были характерны для любой другой операционной системы семейства UNIX. Однако имелись среди них и имена, которые являлись уникальными именно для IRIX. Таким образом, пользуясь любой поисковой машиной сети Internet, можно было задать в качестве искомой информации ли имена и получить готовый список компьютеров серии WebForce.
Тем не менее, данный метод оказался не очень надежным, поскольку через несколько месяцев системные администраторы компьютеров серии WebForce спохватились и убрали файл password из общедоступных каталогов. Кроме того, не все версии операционной системы IRIX имели рассмотренный дефект. По этой причине взломщики решили прибегнуть к помощи, сканера. Был написан сканер, который случайным образом или на основе.каких-то дополнительных сведений выбирал некоторые сетевые адреса. Результаты обращения по этим адресам фиксировались в специальном текстовом файле. Его потом можно было проверить на наличие в нем строк типа:
Trying 199.200.0.1
Connecting to 199.200.0.1
Escape character is "]"
IRIX 4.1
Welcome to Graphics Town!
Login:
Некоторые взломщики автоматизировали этот процесс, заставив сканер регистрироваться в качестве 1р на удаленном компьютере. Если регистрация проходила успешно, то информация об этом факте заносилась в файл вместе с указанием адреса найденного компьютера.
SATAN, Jackal и другие сканеры
Среди сканеров наибольшую известность получил SATAN (Security Administrator's Tool for Analyzing Networks). Этот сканер распространяется через 'Internet (его можно найти, например, по адресу https://www.fish.com), начиная с апреля 1995 г.
Ни одно средство анализа сетевой безопасности не вызывало столько споров, сколько пришлось на долю сканера SATAN. Газеты и журналы отреагировали на его появление пространными статьями, в которых изображали SATAN чуть ли не сатанинским изобретением. В телевизионных выпусках новостей звучали грозные предупреждения об опасности, которую для всех пользователей сетей представлял этот сканер.
И действительно, SATAN был довольно необычным для своего времени программным пакетом. Предназначенный для использования на рабочих станциях, работающих под управлением операционной системы UNIX, он обладает дружественным пользовательским интерфейсом. В нем имеются готовые формуляры, в которые пользователю остается только внести минимальные сведения об анализируемом сетевом объекте, а также таблицы, которые автоматически заполняются по мере накопления информации. При нахождении какого-либо изъяна в сетевой защите пользователю предлагается воспользоваться контекстно-зависимой справкой, чтобы лучше понять суть обнаруженного изъяна.
Под стать своему необычному детищу были и сами авторы SATAN — американцы Д. Фармер (D. Farmer) и У. Венема (W. Venema) — талантливые программисты, хакеры и авторитетные специалисты в области сетевой безопасности.
SATAN предназначен исключительно для работы в среде UNIX. Для его установки и запуска необходимы права администратора. Основная задача SATAN, как это следует из его названия, состоит в том, чтобы отыскивать изъяны в защитных механизмах компьютерной сети, в которой используется протокол TCP/IP. Следует особо подчеркнуть, что речь идет об уже известных изъянах. Это означает, что SATAN не делает ничего такого, что не по силам совершить опытному компьютерному взломщику, который вручную пытается преодолеть сетевую защиту.
Еще одной отличительной особенностью SATAN является его повышенная требовательность к системным ресурсам, особенно к производительности центрального процессора и объему оперативной памяти. Поэтому тем пользователям, которые хотят воспользоваться сканером SATAN, но имеют компьютеры с ограниченными ресурсами, можно посоветовать их увеличить. Если это по каким-либо причинам не реализуемо, следует попытаться избавиться от выполнения лишних процессов и работать с SATAN с помощью командной строки.
Сканер Strobe (Super Optimized TCP Port Surveyor) исследует порты TCP/IP выбранного компьютера и протоколирует все полученные сведения. Основное достоинство Strobe — быстрота сканирования. Если компьютер, на котором запущен Strobe, подключен к Internet через модем, работающий со скоростью 28800 бит/с, то на полное сканирование сервера ему понадобится всего около 30 с. Однако полученная информация будет довольно скудной — лишь общие диагностические сведения о сетевых службах сервера. Кроме того, в хост-машине, подвергшейся сканированию с помощью Strobe, этот факт не останется не замеченным (скорее всего, он будет зафиксирован в файле /var/adm/messages). Сканер Strobe можно скачать из Internet по адресу https://www.thedarkside.demon.co.uk/download/security/strobe.tgz.
Jackal (доступен в Internet по адресу https://www.giga.or.at/pub/hacker/unix) — это сканер-"призрак". Он анализирует сетевые домены, проникая сквозь брандмауэры и не оставляя при этом никаких следов своего проникновения
Сканер NSS (Network Security Scanner) замечателен прежде всего тем, что написан на языке Perl и, следовательно, может быть легко перенесен на любую платформу, для которой имеется интерпретатор этого языка. Другим достоинством NSS является скорость его работы. Желающие познакомиться с NSS поближе также могут обратиться в Internet по адрес\ https://www.giga.or.at/pub/hacker/unix.
Более узкая специализация характерна для IdentTCPscan (предназначен для определения регистрационного имени пользователя, работающего с данным портом TCP/IP), FSPScan (осуществляет поиск серверов, которые поддерживают сетевой протокол FSP), XSCAN (анализирует Х-серверы с целью нахождения изъянов в их конфигурации) и CONNECT (ищет серверы, работающие с протоколом TFTP). Все эти сканеры можно найти там же, где и Jackal с NSS.
Исторически сложилось, что подавляющее большинство сканеров было создано для операционной системы UNIX. Поэтому довольно трудно отыскать предназначенные для других платформ сканеры, которые по своей мощи, удобству использования и богатству возможностей могли бы сравниться с SATAN. Кроме того, многие отличные от UNIX платформы, поддерживающие протокол TCP/IP, реализуют его в неполном объеме.
Пользователям Windows 95/98, которые непременно хотят поскорее попробовать свои силы в поиске изъянов сетевой защиты, можно посоветовать применить сканер, который входит в упоминавшийся выше программный пакет Network Toolbox.
Следует отметить, что в средствах защиты сетей от взлома постоянно обнаруживаются новые изъяны. Соответственно претерпевают изменения и сканеры. Внесение в них поправок — дело не особенно трудоемкое: достаточно Дописать исходный код сканера с учетом недавно найденных брешей в сетевых защитных механизмах, и новая, более совершенная, версия сканера готова! Вот почему сканеры продолжают оставаться одним из самых главных средств защиты сетей. Системным администраторам необходимо иметь в распоряжении как можно больше таких средств — хороших и разных.