 |
Какие коммерческие системы обнаружения атак являются доступными?
|
|
|
|
Имеется таблица, собранная из различных источников.
CyberCop компании Network Associates
Я вижу, что многие люди неправильно информированы относительно CyberCop. Первоначально CyberCop был создан в компании Network General (разработчиками программы Sniffer) на основе технологии обнаружения атак, лицензированной у компании WheelGroup. CyberCop использовал Web/Java интерфейс. Network Associates купила Network General (точнее McAfee Associates и Network General объединились - примечание переводчика), а Cisco купила компанию WheekGroup. По неизвестной причине Cisco отказалась возобновлять лицензионное соглашение (потому что компания Cisco выпускает конкурирующую систему обнаружения атак NetRanger - примечание переводчика) и насколько мне известно Network Associates больше не предлагает CyberCop.
Однако NAI любит название CyberCop и использует его для новых продуктов. У компании Secure Networks она приобрела систему анализа защищенности Ballista и назвала ее CyberCop Scanner.
Также NAI предлагает систему, называемую CyberCop Server, которая относится к классу систем обнаружения атак на уровне хоста и функционирует под управлением Sun и Windows NT. Я думаю, что этот продукт основан на системе Stalker, разработанной компанией Haystack и приобретенной компанией NAI.
Для большей информации смотрите: http://www.nai.com/.
RealSecure компании Internet Security Systems, Inc. (ISS)
Это единственное ПО, работающее на большом количестве Windows и UNIX-платформ. Для большей информации смотрите: http://www.iss.net/. Система создана в 1996 году. (Обнаруживает атаки, как на уровне сети, так и на уровне операционной системы - примечание переводчика).
NetRanger компании WheelGroup/Cisco
В отличие от Cybercop и RealSecure, которые контролируют трафик в режиме прослушивания трафика (promiscuous), NetRanger - это маршрутизатор, который просматривает трафик, проходящий через него. Компания WheelGroup в 1998 была куплена Cisco, поэтому можно предположить, что вы увидите это ПО, представленное во всех других маршрутизаторах последней (или в межсетевом экране Pix - примечание переводчика). Для большей информации смотрите: http://www.wheelgroup.com/.
|
|
|
Netective компании Netect
Для большей информации смотрите: http://www.netect.com/.
SessionWall-3 компании AbirNet/Memco
Для большей информации смотрите: http://www.abirnet.com/.
ID-Trak компании Internet Tools
Для большей информации смотрите: http://www.internettools.com/.
SecureNet Pro компании MimeStar
Для большей информации смотрите: http://www.mimestar.com/.
Kane Security Monitor (KSM) компании Security Dynamics
Система создана в 1996.
Network Flight Recorder
Более конфигурируемый набор инструментов, чем plug-and-play система обнаружения атак. Система создана в 1998 году.
Какие инструменты используют хакеры для проникновения в мои системы?
UNIX-утилиты
Эти утилиты либо поставляются вместе со знаменитой UNIX-платформой, либо могут быть загружены бесплатно.
Ping
чтобы определить "жив" ли атакуемый хост
Traceroute
чтобы найти маршрут к атакуемому хосту
Nslookup/dig
чтобы открыть всю вашу DNS информацию
Whois
чтобы найти информацию о регистрации в Internic
Finger
чтобы определить, кто входил в атакуемую систему, или найти информацию о пользователях
Rpcinfo
чтобы определить, какие RPC-сервисы запущены
Showmount
чтобы отобразить все разделяемые ресурсы машины
SAMBA
Отображает информацию о совместно используемых ресурсах Windows NT SMB
Telnet
позволяет вам подключаться и "играть" с любым тексто-ориентированным протоколом (HTTP, FTP, SMTP и т.д.)
WinNT-утилиты
Все из UNIX-утилит, упоминавшихся выше, могут быть использованы вместе с Windows NT. Есть также некоторые утилиты, характерные только для Windows NT.
Nbtstat
показывает NetBIOS информацию об удаленной машине
Net view
это LANMAN-программа, которая позволяет вам дистанционно просматривать совместно используемые ресурсы сети Windows NT
|
|
|
Специальные утилиты для хакерской деятельности
Стандартный набор инструментов для хакера
Netcat
характеризуется как швейцарский армейский нож для "TCP/IP", позволяющий хакерам создавать скрипты взаимодействия по различным протоколам, особенно по тексто-ориентированным протоколам.
Crack / NTcrack / L0phtCrack / и т.д.
Позволяет взламывать сетевые пароли (атаки по словарю или подбор пароля). Эти пакеты также содержат утилиты для выгрузки паролей из баз данных и перехват их из сети.
Sniffing утилиты
Для просмотра необработанного трафика, такие как Gobbler, tcpdump или даже Sniffer© Network Analyzer такой честной перед богом компании, как Network Associates
TCP и UDP сканеры портов
Для сканирования/зондирования доступных портов. Сканеры портов могут также запускаться в большом количестве смешанных режимов для того, чтобы избежать регистрации.
Ping sweepers
Для обнаружения активности большого количества компьютеров.
Exploit packs
Которые представляют собой набор из одной или более программ, которые знают, каким образом использовать уязвимости в системах (обычно, как только пользователь входит в систему).
Средства дистанционного анализа защищенности
Такие как SATAN, которые ищут большое количество хорошо известных уязвимостях в компьютерах во всей сети.
War dialers
Которые осуществляют большое количество телефонных звонков в поисках модемных номеров.
NAT (NetBIOS Audit Tools)
Основан на исходном коде SAMBA и является полезным для получения информации NetBIOS/SMB с Windows и SAMBA-серверов.
Сканеры
Программы (типа SATAN, ISS, CyberCop Scanner) которые ищут уязвимости в системах. Они автоматизируют поиск большого числа уязвимостей, обеспечивая хакера большими результатами с минимальными затратами.
Какие существуют свободно распространяемые системы обнаружения атак?
TCP Wrappers
TCP Wrappers - модуль для Unix, который функционирует между inetd и сетевыми сервисами (типа ftp, telnet и т.д.). Inetd передает информацию TCP Wrappers, который осуществляет аутентификацию по IP-адресу и регистрирует все соединения. Затем, если необходимо, TCP Wrappers вызывает соответствующий сервис.
Ресурсы
Где я могу найти самую последнюю информацию о новых дырах защиты?
|
|
|
CERT (Computer Emergency Response Team)
Если есть какая-нибудь проблема с защитой, вы обязательно, в конце концов, узнаете о ней, когда она появится в CERT advisory. Координационный центр CERT (Computer Emergency Response Team) был организован большим количеством университетов и DARPA в ответ на червь Морриса в 1988. Для большей информации смотрите: http://www.cert.org/.
|
|
|
