8.3. Изучение инструментов

Обычно оценка начинается со сбора информации с помощью некоторого инструмента. Оценивая защиту всей сети, сначала вы должны получить схему сети и выявить все работающие узлы. Сделав это, изучите каждый узел в отдельности. Для тщательного изучения этих узлов вам понадобится другой набор инструментов. Чтобы успешно находить уязвимости, крайне важно правильно выбрать используемые инструменты.

Обычно одно и то же действие можно выполнять с помощью множества различных инструментов. Это верно и при проведении оценки уязвимостей. Есть инструменты, привязанные к операционным системам, приложениям и даже к сетям (сетевым протоколам). Один инструменты бесплатные, другие нет. Некоторые инструменты просты в использовании, а другие запутаны и плохо документированы, но имеют возможности, отсутствующие в других.

Выбор правильного средства может стать непростой задачей. В конце концов, учтите собственный опыт. Если возможно, создайте тестовую лабораторию и испытайте максимум инструментов, отмечая плюсы и минусы каждого. Изучите файл README или страницу man. Помимо этого, поищите дополнительную информацию о каждом инструменте в Интернете, в частности статьи, пошаговые руководства или списки рассылки.

Обсуждаемые ниже инструменты представляют собой лишь небольшую выборку из множества доступных.

8.3.1. Сканирование узлов с помощью Nmap

Nmap — популярное средство, включённое в Red Hat Enterprise Linux, помогающее определить структуру сети. Nmap выпускается уже много лет и, вероятно, это наиболее часто используемый инструмент сбора информации. Включённая в его состав превосходная страница man подробно описывает его параметры и использование. Администраторы могут использовать Nmap в сети для выявления работающих узлов и открытых портов.

Nmap способен провести первый этап оценки уязвимостей. Он может обнаружить все узлы вашей сети, а если вы передадите ему параметр, даже определить операционную систему, работающую на конкретном узле. Nmap — подходящее средство реализации политики использования безопасных и выключения неиспользуемых служб.

8.3.1.1. Использование Nmap

Nmap можно запустить в приглашении оболочки. Для этого введите команду nmap и укажите за ней имя или IP-адрес компьютера, который вы хотите сканировать.

nmap foo.example.com

Результаты сканирования (которое может занять несколько минут, в зависимости от расположения узла) будут например такими:


Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on localhost.localdomain (127.0.0.1):
(The 1591 ports scanned but not shown below are in state: closed)
Port       State       Service
22/tcp     open        ssh
25/tcp     open        smtp
111/tcp    open        sunrpc
515/tcp    open        printer
950/tcp    open        oftep-rpc
6000/tcp   open        X11

Nmap run completed -- 1 IP address (1 host up) scanned in 0 seconds

Nmap проверяет наиболее распространённые порты в поисках служб, принимающих подключения. Это знание может быть полезно для администратора, желающего остановить ненужные службы.

Более подробно использование Nmap описано на официальной домашней странице по адресу:

http://www.insecure.org/

8.3.2. Nessus

Nessus — это полнофункциональный сканер системы безопасности. Модульная архитектура Nessus позволяет пользователям настраивать его для своих систем и сетей. Как и любой другой сканер, Nessus хорош настолько, насколько хороша его база данных сигнатур. К счастью, Nessus часто обновляется. Он выдаёт подробные отчёты, позволяет сканировать узлы и способен искать уязвимости в реальном времени. Не забывайте о том, что даже такой мощный и часто обновляемый инструмент, как Nessus, может выявлять несуществующие и пропускать реальные уязвимости.

ЗамечаниеЗамечание
 

Nessus не включён в состав Red Hat Enterprise Linux и не поддерживается. Это популярное приложение описано здесь для сведения пользователей, которые могут им заинтересоваться.

За дополнительными сведениями о Nessus, обратитесь на официальный веб-сайт по следующему адресу:

http://www.nessus.org/

8.3.3. Nikto

Nikto — превосходный сканер CGI. Nikto способен не только проверить уязвимости CGI, но и сделать это очень незаметно, чтобы не попасться системе обнаружения вторжения. С ним поставляется прекрасная документация, которую следует изучить до запуска программы. Если ваши веб-серверы исполняют сценарии, Nikto будет превосходным средством проверки защиты этих серверов.

ЗамечаниеЗамечание
 

Nikto не включён в состав Red Hat Enterprise Linux и не поддерживается. Это популярное приложение описано здесь для сведения пользователей, которые могут им заинтересоваться.

Дополнительную информацию о Nikto можно найти по адресу:

http://www.cirt.net/code/nikto.shtml

8.3.4. Сканер VLAD

VLAD — это сканер, разработанный в компании Bindview, Inc. командой RAZOR. Он проверяет наличие проблем из списка SANS Top Ten (уязвимости SNMP, общего доступа к файлам, и т.д.). Хотя он не имеет столько возможностей, как Nessus, он всё же заслуживает внимания.

ЗамечаниеЗамечание
 

VLAD не включён в состав Red Hat Enterprise Linux и не поддерживается. Это популярное приложение описано здесь для сведения пользователей, которые могут им заинтересоваться.

Дополнительные сведения о VLAD можно найти на веб-сайте команды RAZOR по адресу:

http://razor.bindview.com/tools/vlad/index.shtml

8.3.5. Дальнейшее развитие

В зависимости от ваших задач и ресурсов вы можете найти множество инструментов. Выпускаются инструменты для беспроводных сетей, сетей Novell, операционных систем Windows, Linux и т.д. При проведении оценки также может быть пересмотрена физическая безопасность, защита персонала или выполнен анализ телефонной сети. Вы можете изучить, и, если нужно, включить в свои оценки новые приёмы, например war walking — сканирование на предмет уязвимостей периметра физических структур беспроводных сетей. Планирование и проведение оценки уязвимостей ограничены только вашим воображением и кругом областей, подверженных опасности.