Опубликован: 20.02.2007 | Доступ: свободный | Студентов: 3481 / 786 | Оценка: 4.42 / 4.03 | Длительность: 40:03:00
Лекция 12:

Комбинированные средства системного аудита

Настройка STAT

Так же как и для Nessus, вам необходимо сконфигурировать набор тестов, которые вы собираетесь использовать. STAT поставляется с несколькими сконфигурированными файлами DAT, которые содержат наборы видов уязвимостей, для которых вы можете выполнять сканирование. Вы можете использовать DAT-файлы для сканирования уязвимостей заданного уровня опасности, конкретные операционные системы или типы уязвимостей. Вы можете выбрать конфигурационный файл для сканирования, выбрав в меню STAT Configurations/Load Configuration From File. Вы можете увидеть это окно на иллюстрации.


Файл QuickScan.dat подходит, если вы хотите найти более серьезные проблемы. Если вас интересует только проверка системных политик (профили пользователей, дата истечения срока действия пароля, и т.д.), используйте файл Policy.dat. Каждый DAT-файл имеет содержательное название, чтобы помочь вам выбрать наиболее подходящий для решения поставленных задач.

Вы можете создать свой собственный конфигурационный файл, используя один из имеющихся DAT-файлов в качестве шаблона. Следует выбрать Configurations/Edit Configuration From File, чтобы открыть окно, показанное на рис. 12.10.

В окне Editing вы можете просмотреть все доступные тесты и решить, какие из них использовать. Выбрав соответствующий тест, вы можете просмотреть справочную информацию в нижней части окна. Тест может быть перемещен из списка доступных (и наоборот) в список используемых с помощью кнопки со стрелками. Сделав свой выбор, вы можете сохранить свою конфигурацию, как пользовательский DAT-файл, для дальнейшего использования, воспользовавшись кнопкой Save.

Вы можете самостоятельно настроить конфигурацию

увеличить изображение
Рис. 12.10. Вы можете самостоятельно настроить конфигурацию

Вы также можете управлять некоторыми другими параметрами сканирования, такими как политика входа в программу и пароли, стандарты политики аудита Windows, временные параметры сканирования (задержка, параллельное выполнение), особенности формата отчета и другие настройки. Все эти настройки доступны по команде Edit/Options, как это показано на рис. 12.11.

Примечание. В диалоговом окне Options, показанном на рис. 12.11, вы можете увидеть параметр, позволяющий прекратить сканирование машины после того, как будет обнаружено заданное количество уязвимостей. Это не означает, что машина будет пропущена после того, как будет обнаружено 20 уязвимостей (т.е. если уязвимостей больше 20). Ошибка в данном случае обозначает, что тест на уязвимость проверяет собственный код возврата. Возможным доводом в пользу этого типа ошибки могут быть недостаточные возможности авторизации или нарушенное сетевое соединение.

Наша последняя задача перед запуском сканирования - выбрать цель. Когда выбираются машины для сканирования в главном меню STAT (Machines/Select Machines), вы можете увидеть диалоговое окно, похожее на рис. 12.12. Вы можете выбрать или интервал IP-адресов, или назначить Windows Network Discovery, щелкнув на кнопке с соответствующим названием. Параметр Windows Network Discovery позволяет автоматически найти в сети другие машины с конкретной операционной системой. Это лучше всего работает в Windows-домене, когда есть возможность найти все компьютеры, использующие NetBIOS поверх TCP (NBT). Если вы сканируете смешанную среду, то лучше использовать кнопку IP Range Selection.

Выбор других параметров сканирования в диалоговом окне Options

Рис. 12.11. Выбор других параметров сканирования в диалоговом окне Options

После того как машины найдены (или с помощью Windows Discovery, или используя метод IP Range), вам следует выбрать, какие из найденных машин сканировать. Любые хосты, которые подвергаются изучению, отображаются в левой части диалогового окна (см. рис. 12.12). Чтобы выбрать конкретный хост, щелкните на значке, изображающем этот хост, который располагается за кнопкой. Для сканирования всех хостов, щелкните на кнопке ALL. Вы можете перемещать хосты между двумя списками, пользуясь кнопками с изображением стрелок в средней части окна.

Если вы выбрали машины для сканирования с неизвестными или неподдерживаемыми операционными системами, STAT выдаст об этом сообщение. STAT может сканировать машины, на которых установлены операционные системы Windows NT, 2000 и XP, RedHat Linux и Solaris. На рис. 12.12 мы выбрали для сканирования Linux и Windows 2000 машины, которые были обнаружены в процессе предыдущей сессии (что объясняет, почему мы не видим их в списке в левой части экрана).

Выбор целей для сканирования

увеличить изображение
Рис. 12.12. Выбор целей для сканирования

Чтобы начать сканирование этих систем, нам необходимо задать аутентификационную информацию для систем, щелкнув на кнопке Configure. По этой команде открывается диалоговое окно Authentication, показанное на иллюстрации ниже.


Обратите внимание, что для Windows-машин вы можете пропустить шаг аутентификации, если вы сканируете машины, для которых вы вошли в систему, как администратор домена. В противном случае, вы можете задать в диалоговом окне аутентификации значения для профиля администратора. STAT соединяется с Windows-системами, используя net use (о которой говорилось в лекции "Системные средства с открытым программным кодом: основы" ). Если вы соединяетесь с Unix-системой, STAT потребуется пользовательская информация для доступа к машине; это не обязательно должна быть информация о пользователе root. STAT может поддерживать SSH-соединение с машиной, которая подвергается сканированию.

Примечание. STAT требуется доступ к сканируемой системе, поскольку множество уязвимостей рассматриваются, как локальные, которые не могут быть протестированы удаленно. Это может быть несколько утомительно, но зато предохраняет одних людей от выполнения неавторизованных сессий сканирования на машинах других людей.

Как только вы определите цель сканирования, щелкните на кнопках Save и Close в окне Machine List (см. рис. 12.12).