Проблема защиты информации с каждым днем становится все острее. Это обусловлено во многом тем, что сейчас почти каждый компьютер подключен к Интернету. А ведь даже на машине простого пользователя хранится критически важная информация. Ею может быть логин/пароль доступа в Интернет, пароли к электронной почте и к системам электронных платежей (например, Яндекс-Кошелек). Обычно для защиты своего компьютера рядовые пользователи обращаются к Firewall’у, который также называется межсетевым экраном (МСЭ). Принцип его работы прост — он сканирует исходящий и входящий трафик вашей машины. При конфигурации вы указываете, какие порты намерены использовать, например если на МСЭ разрешен 25 и 80 порты, то тем самым открыт пропуск во внутреннюю сеть почтового (SMTP) и Web (HTTP) трафика.
Как любые программы, межсетевые экраны устанавливаются и настраиваются людьми. А людям свойственно ошибаться. Например, собранная в 1999 году ассоциацией ICSA (http://www.icsa.net) статистика показывает, что до 70% всех межсетевых экранов уязвимы из-за неправильной конфигурации и настройки. Причину неудач нужно искать и в некомпетентности или низкой квалификации администратора МСЭ.
Что же делать после установки и настройки Firewall’а? Как убедится в том, что система способна защитить Вас от атак? Ответ прост — необходимо использовать сканер безопасности. Сканер исследует сеть и ищет «слабые» места в ней, анализирует полученные результаты и на их основе создает отчет. В некоторых системах вместо «ручного» вмешательства со стороны администратора найденная уязвимость может устраняться автоматически. Перечислим некоторые из проблем, идентифицируемых системами анализа защищенности:
«люки» в программах (back door) и программы типа «троянский конь»;
слабые пароли;
восприимчивость к проникновению из незащищенных систем;
неправильная настройка межсетевых экранов, web-серверов и баз данных;
и т.д.
Для наших целей предлагаю использовать программу XSpider компании Positive Technologies (http://www.ptsecurity.ru). XSpider — программное средство сетевого аудита, предназначенное для удаленной диагностики различных элементов сети на предмет поиска уязвимостей. Программа бесплатна для российских пользователей, поддерживает несколько языков, постоянно обновляется.
Одними из отличительных особенностей XSpider’a являются:
многочисленные ноу-хау, используемые в поиске уязвимостей;
интеллектуальный подход к распознаванию сервисов;
уникальная обработка RPC-сервисов всех стандартов с их полной идентификацией;
анализатор структуры и метод интеллектуального распознавания уязвимостей web-серверов.
Помимо сканера безопасности, XSpider включает в себя дополнительные возможности:
простые сканеры (TCP- и UDP-портов);
CGI-сканер с Brute-словарем;
определитель исходящего трафика на удаленном компьютере;
WhoIs-сервис;
проверка анонимности прокси-сервера;
TCP- и UDP-клиенты;
TCP-прокси (позволяет пропускать TCP-пакеты через себя, с возможностью их коррекции);
работа с почтой, удаление ненужной почты с сервера;
локальные настройки безопасности компьютера.
Приятен большой список поддерживаемых операционных систем — Windows 95/98/Millennium/NT/2000/XP/.NET.
Итак, качаем программу с сайта разработчика (она весит 1.3 Мб), устанавливаем и запускаем. Первое, что радует, — приятный, продуманный и интуитивно понятный интерфейс. Слева в окне программы — указатель режимов работы (сканер, поиск, WhoIs, CGI-сканер, настройки, E-mail, TCP, UDP-датаграммы), в центре — текстовая консоль для вывода текущей информации.
Первое, куда следует заглянуть, — настройки. Здесь осуществляются локальные настройки безопасности компьютера. Начинающим пользователям тут лучше ничего не менять, а не начинающие и так знают, что им необходимо. Вообще, настройки по умолчанию продуманы и подойдут в большинстве случаев. Далее рассмотрим некоторые режимы работы программы.
Сканеры
В данном режиме работы используется сканер безопасности и простой сканер портов. Сканер безопасности ищет на удаленном компьютере сервисы, указанные в файле extServ.xsp, и пытается их идентифицировать. Каждый сервис проверяется на различные уязвимости. Степень опасности той или иной уязвимости отображается различными цветами, начиная от зеленого и заканчивая красным. Легенду вывода данных можно посмотреть, нажав ссылку «Легенда».
«Простой поиск» осуществляет только запрос на DNS-сервер и пинг. Остальные сервисы игнорируются, даже если они включены в настройках аудита, исключение составляет только «Определение удаленного трафика».
«Всплывающее окно» — после окончания проверки будет показано окно с указанием количества найденных уязвимостей. Даже если анализ займет довольно много времени, программа висит в трее и не беспокоит вас — ничего не скажешь, приятная опция. В настройках сканера, как я уже говорил, лучше оставить все как есть, а если захотите поэкспериментировать, то помните, что проверки на DOS-атаки (отказ в обслуживании) могут привести к остановке некоторых сервисов или к полной перезагрузке проверяемого объекта. Также необходимо быть осторожным с заданием скорости сканирования: на модемных соединениях и при плохой связи не рекомендуется использовать больше 50 потоков.
При указании опции «Определение удаленного трафика» происходит попытка определить исходящий трафик на удаленном компьютере. Согласно RFC 791, это срабатывает в 60–70% случаев. Если трафик слишком мал (1–2 пакета), то скорее всего, определить его не удастся. Время полной проверки элемента сети на безопасность может занять от 5 минут до получаса в зависимости от количества запущенных сервисов и сложности их идентификации.
CGI
Включает в себя сканер web-серверов, который осуществляет сканирование удаленного web-сервера уязвимых скриптов. Содержит базу известных скриптов и Brute-словарь, которые можно изменить с помощью вкладок «Cловарь» и «Файл». Опция «Сканировать через прокси» позволяет работать через анонимный прокси-сервер. Это полезно, когда не хочется светить свой IP’шник. «Включать в заголовок Referer» позволяет использовать в запросе к серверу поле Refer, которое показывает, откуда пришел запрос на web-сервер.
Поиск
Отвечает за поиск определенного сервиса или рабочих компьютеров в пределах одной подсети. В поле «Порт» вводится номер порта, в поле «Тайм-аут» — время ожидания при поиске сервиса. Выбирается либо поиск сервиса, либо простой пинг.
WhoIs
Сервис WhoIs дает возможность получить исчерпывающую информацию об IP-адресе (страна, город, провайдер и его адрес, плюс контактные телефоны). При вводе в поле «Адрес» сокращенного названия страны и нажатии кнопки «Поиск», возвращается ее полное наименование. Например: RU — Russia.
Прокси
Определитель анонимности у прокси-сервера. В поле «Адрес компьютера, на который посылается запрос через прокси» нужно указать IP-адрес вашего компьютера, чтобы можно было получить ответ, прошедший через прокси-сервер. Ваш IP-адрес определяется автоматически, но все равно есть вероятность, что его придется поменять.
TCP, TCP-прокси и UDP и IP
Удобные сервисы, позволяющие отправлять и принимать TCP- и UDP-пакеты, добавлять TCP-пакеты в существующее соединение, прослушивать приходящие IP- и ICMP-пакеты.
Настало время проверить что-нибудь на уязвимость. Если вы работаете в локальной сети, то это может быть компьютер соседа или ваша машина. Главное, чтобы владелец сканируемого компьютера не возражал, иначе несанкционированные проверки удаленного объекта могут лишить вас свободы на срок до семи лет, о чем программа вас честно предупреждает :-). Вводим в поле «Адрес» адрес компьютера и нажимаем кнопку «Старт». Пожужжав немного, программа выдаст IP-адрес удаленной машины, используемый DNS-сервер, класс сети и другую полезную информацию. Например, такую — некорректное использование файла виртуальной памяти, слабое шифрование паролей и др. В отчете название уязвимости будет выделено различными цветами, в зависимости от того, насколько опасна эта брешь. Расшифровку цветов можно увидеть, щелкнув по кнопке «Легенда». Также в отчете предоставляется краткое описание уязвимости и предполагаемые пути ее устранения (например, отредактировать ключ в реестре и т.д.). Также программа умеет генерировать отчет в виде html (намного красивей получится).
Также представляет большой интерес сервис WhoIs. Вводите чей-либо IP’шник (например, взятый из заголовка e-mail), выбираете сервер WhoIs, и программа, соединившись с этим сервером, выдаст всю имеющуюся информацию о запрашиваемом IP-адресе.
Еще одна полезная фишка. Щелкаете правой кнопкой мыши по значку XSpider’а в трее и в появившемся меню можете вызвать редактор реестра, Telnet и командную строку MS-DOS. Как говорится, все в одном месте.
Особенности реализации
Думаю, вы наглядно убедились в эффективности защиты своего компьютера с помощью Firewall’а. Теперь вы сможете своевременно принять меры к искоренению дыр в системе. Впереди вас ждет много интересного.
Со своей же стороны хочу рассказать об одной ситуации, с которой недавно мне довелось столкнулся. Некий пользователь на днях озадачил меня вопросом такого рода: «Я вчера прочитал в «Моем компьютере» о новой уязвимости в моей операционной системе. Почему сетевой сканер безопасности ее не обнаруживает?». И вот уже обрушиваются обвинения в адрес системы анализа защищенности в недостаточной эффективности. А ответ на заданный вопрос прост. В базе данных уязвимостей сканера такой уязвимости пока нет. Этот момент надо учитывать при работе со всеми системам анализа защищенности. Они предназначены для обнаружения только известных уязвимостей, описание которых находятся у них в базе данных. В этом они подобны антивирусным системам, которым для эффективной работы необходимо постоянно обновлять базу данных сигнатур. Поэтому почаще делайте следующее: "Сервис" -> "Проверить существование новой версии", чтобы ваш сканер постоянно обновлял свои базы данных.
Заключение
Использовать описанные в этой статье средства защиты надо. Но, безусловно, их нельзя считать панацеей от всех бед. Сканер безопасности автоматизирует их работу, помогая быстро проверить сотни узлов, в т.ч. и находящихся на других территориях. Но необходимо учитывать, что данные программы лишь одна из многих составляющих эффективной политики безопасности Сети. То есть никто не отменял необходимость использования различных технических мер защиты (средств анализа защищенности, систем обнаружения атак, межсетевых экранов и т.п.), а также применения разного рода организационных и законодательных мер.