| Россия, Москва, Московский Государственный Открытый Университет, 2007 |
Инспектор
Вы можете этот курс.
Опубликован: 20.02.2007 | Уровень: специалист | Доступ: платный
Лекция 12:
Комбинированные средства системного аудита
Завершив изменение конфигурационного файла nessus, вы можете запустить демона ( nessusd -D от пользователя root ) и графического клиента, набрав в командной строке Nessus и нажав клавишу ENTER. Для продолжения следует соединиться с демоном Nessus, воспользовавшись именем пользователя и паролем, созданными ранее с помощью команды nessus-adduser. Если вы выбрали шифрованное SSL-соединение для шифрования трафика между Nessus клиентом и сервером (только для версии 1.2.0), вам придется настроить SSL-соединение (если вы не понимаете, что делать, согласитесь со значениями по умолчанию и примите сертификат). Ранние версии, вместо того чтобы задавать вопрос, в случае если вы хотите создать секретную фразу для защиты ключа пользователя, просто сгенерируют ее (обычно в этом нет необходимости). Затем последует большая дискуссия о том, какие тесты уязвимости (плагины) вы хотите запускать, для каких хостов и каких портов. Выберите закладку Plugins и вы увидите окно, аналогичное тому, что показано на рис. 12.1.
При первом запуске Nessus, возможно, следует отменить все выбранные тесты на закладке Plugins и просмотреть все категории, чтобы получить представление о том, как работает каждый тест (плагин). Хорошей мыслью будет проделывать это с любым сканером уязвимостей. Nessus разбивает все плагины на группы или категории. Эти категории и их краткое описание приведены в таблице 12.1 (описание применимо для версий 1.0.10, 1.2.0)
| Категория модуля Nessus | Версия | Описание |
|---|---|---|
| Miscellaneous Разнообразные | Обе | Производит тесты учетных записей, трассировку и другие разнообразные проверки. |
| Gain a shell remotely Удаленный доступ к командному процессору | Обе | Проверяет переполнение буфера, обходит идентификацию. |
| Finger abuses Неправильное использование Finger | Обе | Проверяет демонов Finger, которые могут позволить хакерам доступ к защищенным файлам, защищенным системным командам или защищенной пользовательской информации. |
| Windows | Обе | Проверяет на SMB, NetBIOS и другие связанные с Windows уязвимости. |
| Backdoors Черные ходы | Обе | Проверяет на черные ходы, типа Trinity, Netbus, Back Orifice и другие им подобные. |
| General Общие | Обе | Проверяет на способность получить версию и другую информацию о программе, которая может помочь хакеру взломать систему. |
| SNMP | Обе | Проверяет дыры и уязвимости в Simple Network Management Protocol (SNMP) |
| CGI abuses Неправильное использование CGI | Обе | Проверяет на взлом Web-серверов и приложений, таких как IIS, Lotus Domino, Apache, PHP, Cold Fusion, FrontPage и так далее. |
| Remote file access Удаленный доступ к файлам | Обе | Проверка на неавторизованные методы захвата файлов через службы NFS (Network File System), TFTP (Trivial File Transfer Protocol), HTTP (Hypertext Transfer Protocol), и Napster. |
| RPC | Обе | Проверка на получение информации и взлома уязвимых служб RPC, таких как mountd и statd. |
| Gain root remotely Удаленный доступ с полномочиями root | Обе | Проверки на уязвимости, которые позволяют удаленным пользователям получить доступ к полномочиями root или доступ администратору к машине. |
| Firewalls Брандмауэры | Обе | Проверки на брандмауэр, относящиеся к неправильной конфигурации и уязвимостям. |
| Useless services Бесполезные службы | Обе | Проверка на устаревшие службы, которые не должны запускаться или быть доступными в интернете в целом, такие как echo, daytime, chargen, finger, rsh и т.д. |
| Denial-of-Service Отказ службы | Обе | Проверка на взломы DoS для целого ряда приложений и служб Unix и Windows. |
| FTP | Обе | Проверка на относящиеся к FTP уязвимости, включая неправильную конфигурации FTP, ненужный анонимный доступ к FTP, уязвимость FTP Bounce (nmap в лекции "Сканеры портов" может получить это преимущество) и т.д. |
| NIS | Обе | Проверка на уязвимости, относящиеся к Sun's Network Information Service. |
| SMTP problems Проблемы SMTP | 1.2.0 | Проверка на уязвимости в популярных почтовых серверах (sendmail, Lotus и т.п.). |
| Windows User Management | 1.2.0 | Проверка, чтобы получить информацию о пользовательских проблемах и проблемах групповых учетных записей, относящуюся к Windows. |
Примечание. Версия 1.2.0. также включает модуль настройки, который позволяет задать профили для проверки конфигурации каждого сервиса или заставить для Nessus сделать попытку обхода IDS-систем.
Щелкнув дважды на параметре (тест уязвимости) в нижнем окне, вы сможете получить дополнительную информацию о том, какие настройки доступны для выбранного параметра (обычно, время ожидания). Пример информации, отображаемой по двойному щелчку для параметра NT IP Fragment Reassembly Patch Not Applied, показан на рис. 12.2.
Некоторые модули тестов уязвимости представляют опасность, поскольку в процессе сканирования могут привести к краху системы. На рис. 12.3 показаны опасные модули Nessus, отмеченные значком предупреждения. Можно отключить все опасные модули, щелкнув на значке Enable All But Dangerous Plugins.
Чтобы включить конкретный модуль в процесс сканирования, отметьте соответствующий модуль. После того как вы просмотрите все модули и решите, какие из них будете использовать для сканирования, можете сконфигурировать другие аспекты поведения модулей, расположенные на закладке Prefs (см. рис. 12.4).
На закладке Scan Options, показанной на рис. 12.5, вы можете настроить особенности использования nmap (см. лекцию "Сканеры портов" ), чтобы определить, какие порты задействованы в системе. Параметры сканирования nmap могут быть настроены здесь или на закладке Prefs, показанной ранее ( рис. 12.4). Вы можете также просмотреть некоторые из параметров, заданных в файле nessusd.conf (такие как Max threads).
Примечание. Nessus может сканировать LaBrea-хосты-ловушки. Утилита LaBrea может использоваться для приманки сканеров портов, сканеров уязвимости и автоматизированных компьютерных червей, заставляя их думать, что они работают с реальным TCP-соединением с настоящей службой. На самом деле, LaBrea имитирует TCP-соединение, но устанавливает раздел TCP в возвращаемом пакете равным 0, сообщая, таким образом, сканеру или червю на другой стороне соединения, что в настоящий момент не имеет возможности получать данные. Не сконфигурированные для определения такого поведения сканер или червь могут руководствоваться этой информацией и ожидать до бесконечности, позволив LaBrea заманить их в ловушку. Этот параметр позволяет Nessus определять IP-адрес, который используется LaBrea, и избежать ловушки. Дополнительную информацию о LaBrea можно найти по адресу http://www.hackbusters.net/LaBrea/.
Последняя важная часть сканирования - это выбор цели. Вы можете задать единственный IP-адрес или имя хоста, подсеть (192.168.1.0/24) или список хостов и IP-адресов, разделенных запятой. Вы можете также записать IP-адреса и имена хостов в отдельный файл и загружать их, щелкнув на кнопке Read File.
В данном примере, мы хотим сканировать три хоста в сети: 192.168.1.100, 192.168.1.101 и 192.168.1.102, как показано на закладке Target Selection на рис. 12.6.
Сергей Хлюкин