Опубликован: 20.02.2007 | Доступ: свободный | Студентов: 3481 / 786 | Оценка: 4.42 / 4.03 | Длительность: 40:03:00
Лекция 12:

Комбинированные средства системного аудита

Анализ конфигурации

Как и другие сканеры уязвимости, Internet Scanner дает возможность изучить, как происходит сканирование (используя команду Tools/Options). Вы также можете написать собственные тесты уязвимости или модули, которые называются FlexChecks. ISS не поддерживает свой собственный язык для написания скриптов; вы должны писать и компилировать эти программы самостоятельно. Программа также не поддерживает написанные вами FlexChecks. В приложении А документации по ISS (доступной по адресу http://documents.iss.net/literature/InternetScanner/is_userguide.pdf) можно получить дополнительную информацию по поводу написания FlexChecks. Кроме того, вы можете поддерживать списки профилей и словарей для ISS, чтобы использовать их при попытках подбора паролей для доступа в систему.

Создание отчетов

Другая сильная сторона ISS - расширенные возможности составления отчетов. Вы можете выбрать тип отчета, какую информацию включать в отчет, и осуществить предварительный просмотр отчета. В строке меню ISS выберите Reports/Generate Report. Сначала вам потребуется ответить на вопрос о типе отчета. Вы можете выбрать тип аудитории, для которой готовится отчет (административный состав, технические специалисты и т.д.), язык отчета (английский, испанский и т.д.). На рис. 12.24 показаны настройки отчета для административного состава об уязвимостях в системе. Нажмите Next для продолжения.

Выбор типа отчета

увеличить изображение
Рис. 12.24. Выбор типа отчета

Далее вас спросят, какие атрибуты вы хотите перечислить в вашем отчете. Если вы выполняли множественное сканирование или ISS-сессию, то можете выбрать, какие результаты вы хотите включить в отчет. Вы можете выбрать для включения в отчет информацию только о конкретных типах уязвимостей или конкретных службах. Можете ограничить включение в отчет сведений об уязвимостях с конкретным уровнем риска, в том случае, если администрация беспокоится только о уязвимостях с высокой степенью риска. На рис. 12.25 показан пример окна Report Criteria.

Выбор критериев для отчета

увеличить изображение
Рис. 12.25. Выбор критериев для отчета

Когда вы закончите, ISS даст возможность посмотреть предварительный вариант отчета. Внешний вид отчета может отличаться в зависимости от того, кому он предназначен, но заметим, что целевая аудитория и цели отчета перечислены в самом начале. Отчеты обычно могут включать графики и рисунки, которые показывают степень серьезности обнаруженных проблем. Более детальное изложение проблем может зависеть от выбранного типа аудитории. На рис. 12.26 показан внешний вид отчета об уязвимостях, предназначенного для административного аппарата.

Tripwire

Программа Tripwire несколько отличается от других утилит, обсуждавшихся в этой лекции. Она предназначена для аудита файлов и приложений, а не уязвимостей в этих файлах и приложениях. Tripwire размещается в системе и проверяет наличие изменений в любых файлах. Вы можете настроить ее на проверку важных двоичных файлов, исполняемых модулей и конфигурационных файлов, которые не должны изменяться. Если в этих файлах обнаружены изменения, Tripwire записывает информацию в журнал и может даже послать уведомление по электронной почте. Важно заметить, что Tripwire может только обнаружить изменения и уведомить об этом; программа не может предотвратить несанкционированные изменения файлов. И все же, Tripwire - великолепное средство для предохранения системы от "троянских коней" и гарантия того, что неавторизованные пользователи не будут играть с критическими файлами.

Отчет об уязвимостях для администрации

увеличить изображение
Рис. 12.26. Отчет об уязвимостях для администрации
Примечание. "Троянскими конями" называют приложения, которые имеют вид обычных, разрешенных для использования в системе приложений, но, на самом деле, являются взломанными версиями приложений, которые могут скрыто совершать различные запрещенные в системе действия.

Tripwire может запускаться на любом количестве маршрутизаторов и коммутаторов Cisco и серверах под управлением ОС Solaris. Программа также может быть интегрирована с Web-сервером Apache для мониторинга изменения Web-файлов и содержимого сайта. Tripwire - коммерческий продукт; вы можете загрузить тестовую версию по адресу http://www.tripwire.com/. Однако отдельная, свободно распространяемая версия Tripwire доступна по адресу http://www.tripwire.org/. В этом разделе обсуждаются обе версии. В действительности Tripwire работает одинаково в обеих версиях, но управление узлами Tripwire в коммерческой версии проще.

Каким образом осуществляется мониторинг файлов? Программа отслеживает такие позиции, как размер файла и контрольная сумма файла, представляя их в качестве сигнатуры, которая не должна меняться. Мы познакомимся с различными параметрами сигнатуры файлов в разделе "Представление о файлах политики Tripwire ".

Совет. Основанная на загрузке в ядро утилита Knark в действительности может скрывать замаскированных под системные команды "троянских коней" от Tripwire. За дополнительной информацией обращайтесь к лекции "Черный ход и средства удаленного доступа" .