Брандмауэры и специальное программное обеспечение



Pdf просмотр
страница39/42
Дата15.02.2017
Размер6.16 Mb.
Просмотров3468
Скачиваний0
ТипАнализ
1   ...   34   35   36   37   38   39   40   41   42
Листинг 24.1. Сокращенное содержимое файла /etc/dailyscript.conf
TMP2=/var/tmp
SERVICES="syslog named identd pam PAM_pwdb ftpd in.ftpd sshd kernel talkd in.telnetd in.rlogind login xntpd CRON --"
SCRIPTDIR=/usr/local/sbin/dailyscript
SEDSCRIPTl=$SCRIPTDIR/sed-script-1
SEDSCRIPT2=$SCRIPTDIR/sed-script-2
MAILSTATS=$SCRIPTDIR/todays_stats
MAILLIST=$SCRIPTDIR/smtpstats
LOGFILES="/var/log/messages /var/log/secure"
ALWAYSIGNORE="chat pppd cardmgr Pluto"
INCOMINGDIRS="/home/ftp/pub/incoming"
PERMDIR=/var/local/dailyscript
MAILLOG=/var/log/mail
Файл /etc/dailyscript.conf можно использовать для того, чтобы сообщить сценарию dailyscript, какие данные вас интересуют и в каких сведениях вы не заинтересованы. Очевидно, что информация, которая не была записана в журналы, не может быть подвергнута анализу и выведена в составе доклада. Однако вы можете контролировать то, каким образом осуществляется анализ журналов. Для этого можно изменить значения следующих параметров: LOGFILES сообщает сценарию dailyscript, какие файлы журналов следует анализировать; ALWAYS_IGNORE определяет, какие каналы syslog следует игнорировать;
MAILLOG указывает на то, какой файл необходимо использовать для статистики электронной почты.
Единственным недостатком сценария является то, что он предназначен для использования на компьютере, выполняющем протоколирование самостоятельно. Его нельзя использовать для проверки центрального протоколирующего сервера.
Если в вашей сети используется центральный протоколирующий сервер, вы можете модифицировать dailyscript таким образом, чтобы он мог работать с журналами каждой из систем по отдельности. Сценарий dailyscript в том виде, в котором он входит в состав OpenLinux, смешивает в составе одного доклада записи, относящиеся к разным сетевым узлам. Чтобы решить проблему, проще всего создать цикл последовательного перебора систем. Этот цикл следует включить в сценарий сразу же после того, как из журналов извлечены записи текущего дня. Благодаря такой модификации сценарий будет формировать доклад отдельно для каждой системы. Обратите внимание, что файл wtmp не является одним из файлов журналов, записи которого направляются на центральный протоколирующий сервер, поэтому чтобы получить эквивалент доклада dailyscript для каждой из систем, вы должны на каждой из этих систем запустить сценарий, приведенный в листинге 24.2.
Листинг 24.2. Сценарий получения списка подключенных пользователей
D=`date -d "1 day ago" +"%b %d" | sed 's/ 0/ /’ ` mail you@your.org -s "People who logged on to 'hostname' " <$(last -ad | grep $D | grep -v ".* *ftp" | cut -c-22,34- )
Чтобы модифицировать сценарий dailyscript для формирования отдельных докладов для каждой из систем, необходимо выполнить следующие действия:
1. Непосредственно перед строкой «# Set up temporary directory» разместите следующие две строки:
for s in 'echo $SYSTEMS' do
В конце сценария необходимо добавить строку: done
2. Далее в файл /etc/dailyscript.conf необходимо добавить следующую строку (между кавычками необходимо разместить имена ваших систем):
SУSТЕМS="система1 система2"
Если вы хотите изменить набор сведений, которые заносятся каждой системой на центральный протоколирующий сервер, лучше всего воспользоваться для этой цели файлом /etc/syslog.conf на каждой из систем. В главах 21 к 22 рассказывалось, как именно следует изменить этот файл, чтобы определить набор интересующих вас сведений, которые следует передавать на центральный протоколирующий сервер. Если вы модифицируете порядок работы syslog, не забудьте выполнить перезапуск syslog.

СОВЕТ
Зачастую после установки утилиты смены журналов некоторые обнаруживают, что никаких журналов не
возникает. Это происходит потому, что после перемещения журналов не выполняется перезапуск syslog. Вместо
того чтобы перезапускать syslog, можно скопировать файл журнала, а затем выполнить команду cat/dev/null >
файл_журнала для того, чтобы обнулить этот файл.

Просмотрев записи журналов, сценарий dailyscript приступает к просмотру записей PAM_pwdb.
Осуществляется проверка записей, которые соответствуют подключению пользователей к системе. Эти записи извлекаются из файла /var/log/ secure. Здесь можно обнаружить, кто из пользователей использовал команду su. Также можно проверить подключения к системе с использованием учетной записи root.
Следующим проверяется демон named (предполагается, что вы используете bind). Если на своем узле вы не используете сервер имен, данный раздел доклада будет пустым.
Далее будут перечислены пересылки данных по протоколу FTP (в обе стороны), а также обращения к
Identd. Раздел Identd должен быть пустым, если только вы не разрешаете запуск демона identd при помощи inetd. Демон Identd следует использовать только в том случае, если вы абсолютно точно не можете без него обойтись. Во всех остальных случаях этот демон следует отключить, так как он является источником сведений о вашей системе, которым могут воспользоваться взломщики и компьютерные хулиганы. Если вы вынуждены использовать identd, будет лучше, если вы разрешите доступ к нему только со стороны хорошо вам известных узлов, которым вы доверяете.
Название следующего раздела не соответствует действительности. В листинге раздел называется
Kernel errors, однако в нем содержатся просто записи, имеющие отношение к ядру (если только вы не изменили допустимый уровень приоритета для данного журнала). Очень часто в данном разделе присутствует огромное количество информационных сообщений. Чтобы контролировать объем записываемой сюда информации, следует должным образом настроить /etc/syslog.conf.
Далее располагается доклад о программах, запускаемых при помощи cron. Код модифицирован таким образом, чтобы исключить atrun (если вы используете atrun и в вашей системе функционирует atd, значит, вам не нужны эти записи), а также ежедневные, еженедельные и ежемесячные запуски cronloop.
Все эти программы являются программами, которым вы доверяете, поэтому вам не о чем беспокоиться.
Далее идет достаточно важный раздел — вывод утилиты df. Даже самые добросовестные администраторы могут позабыть о том, что необходимо следить за использованием диска. Сценарий dailyscript выполняет эту функцию.
Далее проверяются ресурсы, экспортируемые системой NFS. Никогда не бывает лишним проверить, что именно экспортирует NFS, хотя это и не так важно. Текущая версия dailyscript не включает в доклад вывод утилиты showmount, однако эту утилиту легко добавить в сценарий, кроме того, она может появиться в последующих версиях сценария.
Следующий раздел содержит в себе статистику, связанную с вашим почтовым сервером. Здесь вы найдете сведения об использовании электронной почты. Если вы обнаружите огромное количество почтовых сообщений, передаваемых некоторым сетевым узлом, это значит, что ваша система находится под атакой распространителей «грязной» почты (спаммеров). В доклад будет включена вся информация, необходимая для того, чтобы закрыть эту дыру.
После статистики, связанной с почтой, будет размещен отчет, генерируемый при помощи check- packages. Этот отчет включается в то же самое почтовое сообщение, однако он формируется вне сценария dailyscript Сценарий check-packages запускается самостоятельно. В листинге 24.3 показано, как приблизительно может выглядеть результат ежедневной автоматизированной проверки вашей системы.
ПРИМЕЧАНИЕ
В вашем случае отчет может оказаться более длинным. Листинг 24.3 был отредактирован мною для того, чтобы
сэкономить место. Чтобы регулировать объем содержащейся в докладе информации, следует изменить файл
/etc/syslog.conf или добавить каналы syslog в переменную ALWAYS_IGNORE конфигурационного файла
/etc/dailyscript.conf.


Листинг 24.3. Сокращенное почтовое сообщение, формируемое сценарием dailyscript
***************************************************************
General Daily Run -- chiriqui.pananix.com -- Dec 3
***************************************************************
People who logged in: david
22:38 - 11:51 (13:12) david 20:48 still logged in david 20:39
-
21:44
(01:05) root
15:40 - 15:40 (00:00) david
15:30 - 15:31 (00:00) volcan.pananix.com david
09:22 - 09:45 (00:22) volcan.pananix.com root 07:17
-
07:28
(00:11) david 07:04
-
09:22
(02:18)
***************************************************************
Checking System Log Files .
##############################################
### Unmatched entries in /var/log/messages!
###
##############################################

Dec 3 07:05:08 chiriqui modprobe: modprobe: Can't locate module char-major-108
Dec 3 10:35:13 chiriqui ipsec_setup: Starting FreeS/WAN IPSEC 1.1...
Dec 3 10:35:13 chiriqui ipsec_setup: Loading KLIPS module:
Dec 3 10:35:18 chiriqui ipsec_setup: KLIPS debug 'all1
Dec 3 10:35:18 chiriqui ipsec_setup: KLIPS ipsec0 on eth0 192.168.0.2/255.255.255.192 broadcast 192.168.0.255
Dec 3 10:35:18 chiriqui ipsec_setup: Disabling core dumps:
Dec 3 10:35:18 chiriqui ipsec_setup: Starting Pluto (debug 'all'):
Dec 3 10:35:19 chiriqui ipsec_setup: Enabling Pluto negotiation:
Dec 3 10:35:19 chiriqui ipsec_setup: ...FreeS/WAN IPSEC started
Dec 3 15:40:37 chiriqui ipsec_setup: Stopping FreeS/WAN IPSEC...
Dec 3 15:40:37 chiriqui ipsec_setup: Shutting down Pluto:
Dec 3 15:40:38 chiriqui ipsec_setup: Misc cleanout:
Dec 3 15:40:38 chiriqui ipsec_setup: ...FreeS/WAN IPSEC stopped
Dec 3 07:07:35 chiriqui ipop3d[17166]: connect from 127.0.0.1
Dec 3 07:17:00 chiriqui - root[15087]: ROOT LOGIN ON tty1
Dec 3 07:18:32 chiriqui ipop3d[17406]: connect from 127.0.0.1
Dec 3 10:35:18 chiriqui Pluto[18142]: Starting Pluto (FreeS/WAN Version 1.1)
Dec 3 10:35:18 chiriqui Pluto[18142]: | opening /dev/urandom
Dec 3 10:35:18 chiriquiPluto[18142]: | inserting event EVENT_REINIT_SECRET, timeout in
3600 seconds
Dec 3 10:35:18 chiriqui Pluto[18142]: | listening for Whack on /var/run/pluto.ctl, file descriptor 5
Dec 3 10:35:18 chiriquiPluto[18142]: | next event EVENT_REINIT_SECRET in 3600 seconds
Dec 3 10:35:19 chiriquiPluto[18142]: |
Dec 3 10:35:19 chiriqui Pluto[18142]: "received whack message
Dec 3 10:35:19 chiriqui Pluto[18142]: listening for IKE messages
Dec 3 10:35:19 chiriqui Pluto[18142]: | IP interface lo 127.0.0.1 has no matching ipsec* interface -- ignored
Dec 3 10:35:19 chiriqui
Pluto[18142]: adding interface ipsecO/ethO 192.168.0.2
Dec 3 10:35:19 chiriqui Pluto[18142]: loading secrets from "/etc/ipsec.secrets"
Dec 3 10:35:19 chiriqui Pluto[18142]: | next event EVENT_REINIT_SECRET in 3599 seconds
Dec 3 10:37:00 chiriqui ipop3d[18186]: connect from 127.0.0.1
Dec 3 11:35:18 chiriqui Pluto[18142]:
Dec 3 11:35:18 chiriqui P1uto[18142]: | *time to handle event
Dec 3 11:35:18 chiriqui Pluto[18142]: | event EVENT_REINIT_SECRET handled
Dec 3 11:35:18 chiriqui Pluto[18142]: | inserting event EVENT_REINIT_SECRET, timeout in
3600 seconds
Dec 3 11:37:10 chiriqui ipop3d[18539]: connect from 127.0.0.1
Dec 3 15:40:30 chiriqui -- root[17534]: ROOT LOGIN ON ttyl
Dec 3 15:40:37 chiriqui PIuto[18142]:
Dec 3 15:40:37 chiriqui PIuto[18142]: | *received whack message
Dec 3 15:40:37 chiriqui Pluto[18142]: shutting down
Dec 3 15:40:37 chiriqui Pluto[18142]: forgetting secrets
Dec 3 15:40:37 chiriqui Pluto[18142]: shutting down interface ipsecO/ethO 192.168.0.2
Dec 3 20:40:02 chiriqui ipop3d[22133]: connect from 127.0.0.1
Dec 3 20:50:02 chiriqui ipopSd[22278]: connect from 127.0.0.1
#############################################
PAM_pwdb Messages:
Sucessful SU's: david -> root david -> root
Successful logins:
-> root
Successful graphical logins:
Authentication Failures:
Sucessful Logins: root logged in 1 time(s)
Syslogd Restarted: 0 Time(s)...
Failed login(s) due to invalid username:
----- named -----
Named had 0 Malformed Response(s)...
Named had 0 Learned Response(s)...
Named loaded 0 zone(s)...
Other Named Errors:
Dec 3 06:38:51 chiriqui named[1069]: ns_forw: sendto([128.9.64.26].53): Network is unreachable

Dec 3 06:38:51 chiriqui named[1069]: ns_forw: sendto([152.158.36.48].53): Network is unreachable
Dec 3 11:50:27 chiriqui named[1069]: Lame server on 'tipwor1d.com' (in 'tipwor1d.com'?): [207.82.198.150].53
'NS2.EXODUS.NET'
Dec 3 16:37:08 chiriqui named[1069]: ns_forw: sendto([206.217.29.220].53): Network is unreachable
Dec 3 18:37:08 chiriqui named[1069]: ns_forw: sendto([206.217.29.220].53): Network is unreachable
Dec 3 20:45:16 chiriqui named[1069]: ns_forw: query(images.sourceforge.net) NS points to CNAME (nsl.sourceforge.net:)
Dec 3 20:50:47 chiriqui named[1069]: "SOURCEFORGE.NET IN NS" points to a CNAME (ns1.sourceforge.net)
Dec 3 20:51:25 chiriqui named[1069]: Lame server on 'www.elxsi.de' (in 'DE'?): [128.63.31.4].53 'ADMII.ARL.MIL'
Dec 3 21:01:54 chiriqui named[1069]: Lame server on 'ns.Germany.EU.net' (in 'eu.NET'?): [198.6.1.81].53 'AUTH01.NS.UU.net'
-------- FTPD ---------
FTP Users Logged in: david from volcan.pananix.com
Deleted
0 file(s)....
Transfered
5 f1le(s)....
/root/openssl-0.9.4.tar.gz с
/root/Net_SSLeay.pm-1.05.tar.gz с
/etc/dhcpd.conf с
-------------------------
Identd Lookups:
************** Kernel Errors ****************
Dec 3 06:38:46 chiriqui kernel:
PPP: ppp line discipline successfully unregistered
Dec 3 07:05:08 chiriqui kernel:
CSLIP: code copyright 1989 Regents of the University of
California
Dec 3 07:05:08 chiriqui kernel:
PPP: version 2.3.7 (demand dialling)
Dec 3 07:05:08 chiriqui kernel: PPP line discipline registered.
Dec 3 07:05:08 chiriqui kernel: registered device pppO
Dec 3 09:05:21 chiriqui kernel: tty02 unloaded
Dec 3 09:05:22 chiriqui kernel: ethO: 3Com 3c589. io 0x300, irq 3. auto xcvr, hw_addr 00:10:5A:8B:OC:FA
Dec 3 09:05:22 chiriqui kernel:
8K FIFO split 5:3 Rx:Tx
Dec 3 09:05:34 chiriqui kernel:
PPP: ppp line discipline successfully unregistered
Dec 3 10:35:18 chiriqui kernel: klips_debug:ipsec_init: ipsec module loading, freeswan version: 1.1
Dec 3 10:35:18 chiriqui kernel: klips_debug:ipsec_init: ipsec_init version: RCSID $Id: ipsec_init.c,v 1.34 1999/10/03 18:46:28 rgb Exp $
Dec 3 10:35:18 chiriqui kernel: klips_debug:ipsec_init: ipsec_tunnel version: RCSID $Id: ipsec_tunnel.c,v 1.82 1999/10/08 18:26:19 rgb Exp $
Dec 3 10:35:18 chiriqui kernel: klips_debug:ipsec_init: ipsecjietlink version: RCSID
$Id: ipsec_netlink.c,v 1.35 1999/10/08 18:37:34 rgb Exp $
Dec 3 10:35:18 chiriqui kernel: klips_debug: rj_init: version: RCSID $Id: radij.c.v 1.21 1999/10/08 18:37:34 rgb Exp $
Dec 3 10:35:18 chiriqui kernel: FreeS/WAN: initialising PF_KEY domain sockets.
Dec 3 10:35:18 chiriqui kernel: klips_debug:ipsec_tunnel_init: initialisation of device: ipsec0
Dec 3 10:35:18 chiriqui kernel: klips_debug:ipsec_tunnel_init: initialisation of device: ipsecl
Dec 3 10:35:18 chiriqui kernel: klips_debug:ipsec_tunnel_init: initialisation of device: ipsec2
Dec 3 10:35:18 chiriqui kernel: klips_debug:ipsec_tunnel_init: initialisation of device: i psec3
Dec 3 10:35:18 chiriqui kernel: klips_debug:ipsec_tunnel_ioctl: tncfg service call #35312
Dec 3 10:35:18 chiriqui kernel: klips_debug:ipsec_tunnel_attach: physical device eth0 being attached has HW address: 0:10:5a:8b:0c:fa
Dec 3 10:35:18 chiriqui kernel: klips_debug:ipsec_tunnel: ipsec_tunnel_neigh_setup_dev
Dec 3 10:35:18 chiriqui kernel: klips_debug:ipsec_tunnel_open: dev = ipsecO, prv->dev =eth
Dec 3 10:35:18 chiriqui kernel: ipsec_device_event: NETDEV_UP...
Dec 3 15:39:56 chiriqui kernel: ipsec_device_event: NETDEV_DOWN...
Dec 3 15:39:56 chiriqui kernel: ipsec_device_event: NETDEV_DOWN...
Dec 3 15:39:56 chiriqui kernel: klips_debug:ipsec_tunnel_detach: physical device eth0 being detached from virtual device ipsec0
Dec 3 15:39:56 chiriqui kernel: ipsec_device_event: NETDEVJJNREGISTER...
Dec 3 15:40:38 chiriqui kernel: klips_debug:ipsec_callback: skb=0xc2387d20 skblen=48 em_magic=1400332654 em_type=8
Dec 3 15:40:38 chiriqui kernel: klips_debug:ipsec_callback: set ipsec_debug level
Dec 3 15:40:38 chiriqui kernel: klips_debug:ipsec_callback: unset
Dec 3 15:40:38 chiriqui kernel: FreeS/WAN: shutting down PF_KEY domain sockets.
Dec 3 15:40:38 chiriqui kernel: klips_debug:ipsec_cleanup: ipsec module unloaded.
Dec 3 20:37:35 chiriqui kernel: tty02 at Ox03e8 (irq = 3) is a 16550A
Dec 3 20:39:07 chiriqui kernel: CSLIP: code copyright 1989 Regents of the Universityof California
Dec 3 20:39:07 chiriqui kernel: PPP: version 2.3.7 (demand dialling)
Dec 3 20:39:07 chiriqui kernel: PPP line discipline registered.
Dec 3 20:39:07 chiriqui kernel: registered device pppO
Dec 3 21:45:00 chiriqui kernel: PPP: ppp line discipline successfully unregistered
Dec 3 21:45:05 chiriqui kernel: tty02 unloaded
***********************************************
***************************************************************

All programs executed by cron (except atrun and cronloop):
06:38:46 (/usr/local/bin/webcal_remind.pl >> /var/webcal/message.log 2>&1) by root
06:38:46 (/usr/local/bin/atsal) by root
All Connections (/var/log/secure):
Connections for in.ftpd:
3 connections(s) by 192.168.0.1
Connections for ipop3d:
33 connections(s) by 127.0.0.1
File-systems...
Filesystem 1k-blocks
Used Available Use% Mounted on
/dev/hdal 4382509 3355428 800283 81%
/
/dev/hda3 1462974 1179615 207759 85%
/home
NFS Exports

/mnt/cdrom (ro,no_root_squash)
/home (rw,no_root_squash)
/usr (ro,no_root_squash)
/tftpboot/volcan (rw,no_root_squash)
/opt (ro,no_root_squash)
/tmp (rw,no_root_squash)
Mail Queue
Mail queue is empty
***************************************************************
Syslog
Input:
Output:
90th
Msgs
User
Host
File Msgs
Kbytes
AvgSz
Rcips
Sent
Avg Delay
Percentile
Dferd
Unkn
Unkn summary 4657 25050 5508 4626 4557 00:00:09.22 00:00:20.00 3
30 0
################## Begin Mail Information ###################
Total messages handled: 4624
Total recipients handled: 4668
Total bytes handled: 25.65M
Part I -- Mail relayed from:
4657 chiriqui.pananix.com
--------------------------------------------------------------------------
Part II -- Mail sent from:
--------------------------------------------------------------------------
4657 chiriqui.pananix.com
--------------------------------------------------------------------------
Part III -- Mail sent to:
Avg delay Max delay
--------------------------------------------------------------------------------------------------------------------------------------------------
4522 local host
8.95 sees
8.63 mins
99 chiriqui.pananix.com
4.74 mins
41.53 mins
1 lesbell.com.au
56.00 sees
56.00 sees
1 jordanheart.org
3.60 mins
3.60 mins
1 fftw.com
11.10 mins
11.10 mins
############ End Mail information ############ check-packages run on Fri Dec 3 06:39:18 EST 1999
Listing installed packages...
619 packages installed changes from previous run...
---
---
Checking Packages... changes from previous run...
---
1d0
<.....U.. /dev/console
--- runtime 848 seconds
Дополнительные замечания
Никогда не следует играть в игры, особенно в сетевые игры, на уровне привилегий root. Зачастую игры выжимают из вашего аппаратного обеспечения все, на что оно способно. Разработчики игр больше заинтересованы в производительности, а не в безопасности, поэтому связанные с обеспечением защиты проверки (например, проверки на переполнение буфера) зачастую не выполняются, а возникающие подозрительные ситуации не обрабатываются должным образом.
Если сравнивать с серверными приложениями, между обнаружением уязвимого места в коде игры и исправлением этого зачастую проходит более длительное время. Уязвимые места в наиболее важных
службах, как правило, обнаруживаются быстрее, чем аналогичные уязвимые места в играх. К сожалению, в некоторых играх определенные функции (такие как использование расширений DG для XFree) требуют, чтобы вы запустили игру на уровне привилегий root. Возможно, для вас это не будет проблемой (например, если вы не соединены с сетью или играете в игру, которая не является сетевой), поэтому вы вполне можете пойти на риск, однако этот риск должен быть для вас известным.
После того как вы хорошенько защитили вашу систему, скорее всего, злоумышленники не будут вас беспокоить, так как в Интернете найдутся более легкие цели, чем ваша система. Если вы обнаружите, что некто пытается сканировать вашу систему, возможно, имеет смысл обратиться к вашему провайдеру, чтобы он принял меры. В результате этого в отношении злоумышленников могут быть применены санкции. Если ваши действия не дали результатов, вы можете просто блокировать пакеты, исходящие из блока IP-адресов.
Если это не помогает, фильтрацию пакетов может выполнить для вас ваш интернет-провайдер. Имейте в виду, что в случае атаки типа Denial of Service каналы связи вашего провайдера будут перегружены точно так же, как и ваши серверы. Таким образом, провайдер должен быть заинтересован в оказании вам поддержки. Когда я замечаю, что мои системы подвергаются сканированию, как правило, я замечаю также, что осуществляется сканирование систем моего провайдера. И если провайдер также замечает это, в большинстве случаев он предпринимает действия для того, чтобы отключить злоумышленника от
Интернета. Дело в том, что в процессе сканирования индивидуальный пользователь Интернета расходует достаточно большую емкость канала.

Заключение
В данной главе я рассказал вам о том, как быстро настроить вашу систему и сохранить на диске несколько файлов для последующих проверок состояния системы. Вы узнали о том, как выполнять проверку безопасности с использованием сrоn и как отсылать по почте результаты таких проверок.
Большая часть материала, представленного в данной главе, наверняка не является для вас чем-то новым, однако я рассказал вам обо всем этом для того, чтобы продемонстрировать, что проверка защищенности системы выполняется относительно несложно, и поэтому не имеет смысла ею пренебрегать.


Средства наблюдения за сетью


25
В данной главе рассматриваются следующие вопросы:
- использование courtney;
- как работает courtney;
- какими возможностями и недостатками обладает courtney;
- использование nmap;
- использование графической оболочки xnmap;
- возможности и особенности xnmap.
Для того чтобы продемонстрировать вам, как именно следует организовать защиту вашей сети от вторжения, в данной главе я собираюсь рассмотреть два программных средства, связанных с безопасностью. Первым из них является программа, предназначенная для обнаружения попытки сканировать вашу систему. Сканирование системы — это процесс, который сигнализирует вам о том, что некто пытается получить от вашей системы нечто большее, чем вы предлагаете для всех внешних пользователей. Иными словами, этот некто пытается проникнуть к вам в систему и ищет для этого лазейки.
Второе рассматриваемое здесь средство является программой, которую используют взломщики для выполнения сканирования.
Защита сети — это не только просмотр журналов, проверка функционирования брандмауэра и блокирование узлов, для которых доступ внутрь сети запрещен. Защита сети — это высокоинтеллектуальный процесс. Вы должны поставить себя на место злоумышленника, пытающегося проникнуть внутрь. Вы должны приступить к поиску ваших собственных уязвимых мест, вы должны проанализировать эти уязвимые места и принять меры, чтобы обезопасить вашу систему. Для того чтобы узнать о существовании этих уязвимых мест, вы должны искать их — иного способа обеспечить безопасность не существует.
ПРИМЕЧАНИЕ
Для обеспечения безопасности можно воспользоваться множеством хороших программ. К ним относится, в
частности, Port Sentry, Snort, IPPL и IPLogger. Однако помните, что протоколирование пакетов — это только
часть работы. Вторая часть — это проверка журналов. Перечисленные программы, а также многие другие
полезные программные средства можно обнаружить по адресу http://freshmeat.net/.


Поделитесь с Вашими друзьями:
1   ...   34   35   36   37   38   39   40   41   42


База данных защищена авторским правом ©nethash.ru 2017
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал