Читаем Атака на Internet полностью

• наличие пользователей/паролей по умолчанию и проверка на тривиальность паролей в FTP, POP3, telnet, rsh, rexec;

• проверка многих уязвимых демонов, от UUCP до httpd;

• проверки на подверженность атакам в обслуживании, от различных штормов до плохих пакетов, а также ICMP Redirect;

• проверки NFS и X-Windows;

• проверки на уязвимость служб, использующих RPC, в том числе NIS, pcnfsd и др.;

• отдельно вынесены проверки в Sendmail/FTP – от команды «debug» до современных уязвимостей;

• наличие разделяемых ресурсов Windows и тривиальность их паролей;

• надежность паролей пользователей Windows NT, а также установленной политики использования паролей и обнаружения нарушителей;

• различные настройки реестра Windows NT;

• настройки системы аудита Windows NT;

• проверки WWW-сервера, в том числе возможность задания URL, содержащего точки и доступности исходных текстов ASP-файлов;

• настройки межсетевых экранов и возможность входа на них (например, Cisco, CheckPoint, Raptor);

• установки proxy– и DNS-серверов;

• IP Spoofing, включая возможность предсказания TCP-последовательности и атак на r-службы.

Это единственная система такого класса, получившая в 1998 году сертификат Государственной технической комиссии при Президенте РФ № 195 от 02.09.98.

В отличие от системы Internet Scanner, рассматривающей хосты на уровне сетевых сервисов, System Scanner проводит анализ на уровне операционной системы, что позволяет ей протестировать гораздо больше потенциальных уязвимостей типа локальных переполнений буфера, неверных прав на файлы или каталоги и т. п. Поэтому, несмотря на возможность некоторого дублирования информации в создаваемых отчетах, этот продукт дополняет Internet Scanner. System Scanner, помимо UNIX и Windows NT, поддерживает также проверку ОС Windows 95/98.

Сетевой монитор RealSecure

Наконец, последний и самый быстроразвивающийся продукт – сетевой монитор безопасности RealSecure 3.0 (рис. 9.10). Первоначально он мог только обнаруживать и по факту обнаружения останавливать удаленные атаки. В последних версиях, благодаря возможности управления межсетевым экраном и маршрутизатором, он может также и предотвращать их, динамически меняя правила фильтрации на межсетевом экране или списке контроля доступа (ACL) маршрутизатора. Монитор ориентирован на защиту как целого сегмента сети, так и конкретного узла. Для обнаружения атак он использует так называемые сигнатуры, чем еще раз подтверждается сходство подобных продуктов с антивирусными сканерами. В базе данных RealSecure есть следующие классы сигнатур удаленных атак (рис. 9.11):

Рис. 9.10. Сетевой монитор RealSecure