Опубликован: 20.02.2006 | Уровень: специалист | Доступ: платный
Лекция 5:

Сканеры уязвимостей

Ключевые слова: безопасность, ЛВС, FTP, SSH, Telnet, вершина стека, сканер, прикладной уровень, SNMP, уровень представления, XDR, уровень сеанса, RPC, транспортный уровень, NetBIOS, UDP, сетевой уровень, ARP, IPX, OSPF, канальный уровень, Arcnet, Ethernet, Token Ring, физический уровень, коаксиальный кабель, оптоволокно, витая пара, физическая безопасность, компьютер, процент, собственный метод, Хакер, уязвимость, RED, im-черви, SQL, базы данных, вторжение, информационная безопасность, множества, сервер, атака, переполнение буфера, документирование, finger, корпоративная сеть, IOS, маршрутизатор, межсетевой экран, PHP, почтовый сервер, цель атаки, Bind, бинарный файл, суперпользователь, связность, минимизация привилегий, разделяемый ресурс, IPC, межпроцессное взаимодействие, одноранговая сеть, гранулярность, коммутатор, тип оборудования, network management, протоколы управления, цепочка символов, управление паролями, емкость памяти, номер порта, chargen, discard, echo, 'quotes', Личность, сервер dns, поисковая машина, google, example, анализ защищенности, файл паролей, электронная коммерция, компьютерные сети, деятельность, BSD, GPL, программа, CGI, удаленный доступ, командный интерпретатор, NetWare, NIS, управление пользователем, клиент-сервер, конфликт интересов, расширяемость, attack, scripting language, Си, основная программа, hydra, база знаний, полоса пропускания, CVS, Plug-in, INS, unsubscribe, kit, безопасная установка, core, список поиска, переменные окружения, bash, SSL, удостоверяющий центр, графическая среда, серверный процесс, входное имя, имя хоста, масштабируемость, локальная функция, disable, upload, category, scan, technique, SYN, policy, маршрутное имя, ICMP, SMB, anonymity, IMAP, NNTP, POP3, ICQ, LDAP, SOCKS, идентификатор пользователя, network news, телеконференция, домашняя страница, анонимный, SID, NIDS, многозадачность, авария, MAC-адрес, macs/s, NCC, ping, remote, PIT, adduser, сохранение данных, gathering, DOS, состояние процесса, NT-1, network security, вариант использования, mysql, PDF, download, profiler, apply, port scanning, out-of-range, comment, информационное сообщение, скрытность, yahoo!, messenger, активность

Вы защитили свой периметр с помощью межсетевого экрана и просканировали порты внутренней и внешней сетей. Что еще можно сделать, чтобы повысить безопасность сети? Межсетевые экраны не позволят легко проникать во внутреннюю ЛВС извне. Сканирование портов выявит запущенные сервисы и даст возможность исключить ненужные. Однако, как быть с сервисами, которые необходимы? Вы должны поддерживать Web-серверы и серверы электронной почты для общения с внешним миром. Могут понадобиться и другие приложения, такие как FTP, SSH, Telnet и индивидуальные приложения баз данных. Как узнать, безопасны ли эти сервисы? Чтобы оценить риски, необходимо знать угрозы и методы осуществления несанкционированного доступа к информации и ресурсам организации.

Обзор лекции

Изучаемые концепции:

  • Типичные уязвимости прикладного уровня
  • Настройка и конфигурирование сканирования уязвимостей
  • Как выполнить безопасное и этичное сканирование уязвимостей
  • Примеры конфигураций сканирования
  • Чего не делает сканирование уязвимостей

Используемые инструменты:

Nessus и NessusWX

Что чаще всего делает систему уязвимой? Приложения. Взглянув на эталонную модель ВОС, вы увидите, что уровень приложений находится на вершине стека сетевых коммуникаций, что делает его самым сложным и изменчивым. Сканеры уязвимостей позволяют проверить различные приложения в системе на предмет наличия дыр, которыми могут воспользоваться. Сканер уязвимостей может также использовать низкоуровневые средства, такие как сканер портов, для выявления и анализа возможных приложений и протоколов, выполняющихся в системе.

Номер уровня модели ВОС Название уровня Примеры протоколов
Уровень 7 Прикладной уровень DNS, FTP, HTTP, SMTP, SNMP, Telnet
Уровень 6 Уровень представления XDR
Уровень 5 Уровень сеанса RPC
Уровень 4 Транспортный уровень NetBIOS, TCP, UDP
Уровень 3 Сетевой уровень ARP, IP, IPX, OSPF
Уровень 2 Канальный уровень Arcnet, Ethernet, Token ring
Уровень 1 Физический уровень Коаксиальный кабель, оптоволокно, витая пара

Выявление дыр в безопасности ваших систем

Необходимо помнить, что компьютерная безопасность сродни другим видам безопасности. Средний компьютерный нарушитель предпочитает цели подоступнее и попроще. Существуют, конечно, мастера взлома систем, которые охотятся за определенными целями и разрабатывают их в течение месяцев или даже лет, применяя физические, морально-психологические и технические средства. И, как в случае физической безопасности, если кто-то действительно захочет проникнуть в ваш компьютер, и имеет для этого достаточно денег, времени и ресурсов, то он, вероятно, добьется успеха. Однако, если вы не работаете в банке, правительственном учреждении или компании из Fortune 500, то вам, скорее всего, не стоит волноваться, что такой оберхакер будет вас преследовать. Вам надо опасаться рядовых компьютерных преступников, автоматических "червей" и вирусов. Ваша работа состоит в том, чтобы в вашей сети было меньше дыр, чем у соседа, чтобы хакеры обошли вас стороной при выборе цели для взлома. Это как автомобиль с хорошей сигнализацией - только по-настоящему опытный и мотивированный угонщик будет пытаться украсть его.

В действительности только очень небольшой процент компьютерных преступников исследуют и разрабатывают собственные методы атак. Большинство хакеров действуют с помощью опубликованных и известных дыр в безопасности и средств, показывающих, как проникнуть в ваши компьютеры. Подобную информацию можно найти на бесчисленных web-сайтах, а хакерские инструменты, использующие эти дыры, доступны для загрузки.

Все основные сбои в работе Интернета, вызванные компьютерными преступлениями, возникали в результате использования дыр в безопасности, известных за некоторое время до инцидента. Обычно эпидемия распространяется через месяцы или даже годы после того, как становится известна лежащая в ее основе уязвимость. При нашествии Code Red в 2001 г. использовалась уязвимость, корректирующая заплата для которой была доступна более года; то же с "червем" Nimda. "Червь" SQL Slammer, атаковавший базы данных SQL в феврале 2003 года, действовал спустя полгода после выпуска программной коррекции. Факт состоит в том, что большинство вторжений в компьютеры используют хорошо известные методы и уязвимости, для которых доступны заплаты или защитные решения. Так называемое мгновенное использование уязвимостей и неопубликованных дыр в безопасности - относительная редкость.

Почему люди пренебрегают простыми вещами и не заделывают дыры в безопасности своих систем? Если бы они это делали, то было бы значительно меньше компьютерных преступлений и книги, подобные этой, возможно, не существовали бы. Однако множество систем с множеством уязвимостей продолжает существовать по тысяче причин:

  • Нехватка времени или персонала. Организации сокращают расходы и в трудные времена увольняют технический персонал (информационные технологии (ИТ) не приносят прибыли). Иногда функции ИТ полностью передаются сторонним организациям. И хотя зачастую это практичное решение, внешние организации, поддерживающие локальные сети, далеко не всегда считают информационную безопасность своей первейшей обязанностью. Главное для них - бесперебойная работа сети. Удовлетворение запросов пользователей оказывается важнее безопасности.
  • Опасения в отношении стабильности системы. Хорошо известно, что производители систем при выпуске заплат порой исправляют одну вещь и портят две других. Для критически важных систем затраты времени и ресурсов для надлежащего тестирования программных коррекций зачастую превышают выгоды от обновления.
  • Слишком много заплат, чтобы с ними управиться. Если вы являетесь подписчиком Windows Update, сервиса коррекций Microsoft, то вы, вероятно, как минимум раз в неделю получаете уведомление о необходимости обновить или залатать систему. Для занятых системных администраторов это может быть слишком большой нагрузкой в дополнение к их обычным обязанностям. Действительно, было проведено исследование, показавшее, что расходы на корректировку программного обеспечения нередко превышают его начальную цену.
  • Невежество. Системные администраторы многих организаций просто не знают о существовании проблемы и наличии заплаты. Теперь, при автоматическом обновлении от Microsoft, эта проблема для систем Windows стала менее острой, но она остается для других производителей и менее известного программного обеспечения. Даже для Windows существует несколько несовместимых менеджеров заплат. Это одна из причин, почему SQL Slammer так быстро распространился, - стандартный сервис обновления Windows просмотрел его.

Еще один момент, облегчающий жизнь хакерам, состоит в том, что обычно имеется несколько различных путей проникновения в систему. На самом деле, для множества выполняемых сервисов может существовать десяток или больше потенциальных окон для входа в подключенный к Интернету сервер. Если атака одного типа не работает, всегда можно попробовать другую. В следующих разделах описаны некоторые возможные способы, с помощью которых знающий человек может вызвать разрушение системы организации. Некоторые из них могут быть неприменимы к вашей сети, но вполне возможно, что найдется по крайней мере два или три потенциальных источника уязвимости.

Переполнение буфера

Как упоминалось в "Сканеры портов" , переполнение буфера является, несомненно, наиболее популярным способом взлома систем. Первым документированным использованием переполнения буфера был Интернет-"червь", выпущенный Робертом Моррисом 2 ноября 1988 г. Он был назван "червем" Morris по имени автора, и создан только для того, чтобы доказать, что это можно сделать. Он работал, используя ошибку в программе finger и распространяя себя с одной машины на другую. Для своего тиражирования он использовал плохую конфигурацию Sendmail и rsh. Предполагалось, что он скопирует себя только на несколько систем. Но при программировании "червя" Моррис сделал ошибку, и тот быстро распространился по всей Сети, состоявшей тогда лишь из нескольких тысяч систем. "Червь" поставил на колени крупнейшие университеты и другие организации, пытавшиеся справиться с быстро распространяющейся ошибкой. Это стало зарей новой эры для компьютерных хакеров и открыло глаза многим из тех, кто считал Интернет безопасным и дружественным местом. С тех пор возможность переполнения буфера была найдена почти во всех важных программах и часто использовалось теми, кто пытался получить несанкционированный доступ к системам.

Как защитить себя от переполнения буфера? Если вы не хотите отлаживать все применяемое вами программное обеспечение (что, между прочим, подразумевает доступ ко всем исходным текстам!), остается ждать, когда кто-то обнаружит ошибку и сообщит о ней, а затем - когда программистская компания выпустит заплату. К сожалению, отслеживание выпускаемых заплат и определение того, какие из них имеют к вам отношение, не говоря уже об их тестировании и установке, способно занять все рабочее время. Многие организации предпочитают просто не беспокоиться, а организации, прилежно устанавливающие все заплаты, зачастую не успевают делать это вовремя. Даже несколько собственных систем корпорации Microsoft пали жертвой эпидемии SQL Slammer, так как на некоторых SQL-серверах не были установлены программные коррекции, которые корпорация сама выпустила! Одним из хороших способов узнать, имеются ли условия для переполнения буфера в ваших приложениях, является их тестирование с помощью программного обеспечения сканирования уязвимостей. Это позволит обнаружить большинство известных переполнений буфера, существующих в системе, и своевременно применить корректирующие заплаты, необходимые для устранения этих условий.

Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Александр Путятинский
Александр Путятинский

Добрый день по окончании данного курса выдается сертификат?

Гончик Цымжитов
Гончик Цымжитов
Россия, Санкт-Петербург
Александр Косенко
Александр Косенко
Украина, Днепропетровск