Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Возможности сканирования ОС




Достоинства сканирования на уровне ОС кроются в прямом доступе к низкоуровневым возможностям ОС хоста, конкретным сервисам и деталям конфигурации. Тогда как сканер сетевого уровня имитирует ситуацию, которую мог бы иметь внешний злоумышленник, сканер системного уровня может рассматривать систему со стороны пользователя, уже имеющего доступ к анализируемой системе и имеющего в ней учетную запись. Это является наиболее важным отличием, поскольку сетевой сканер по определению не может предоставить эффективного анализа возможные рисков деятельности пользователя.

Добавление этих рисков безопасности, создаваемых пользователем, является не только крайне важным для конкретного хоста, подверженного им, но и для защиты всей сети. Как только пользователь получает доступ к локальной учетной записи (даже просто к учетной записи "Guest"), перед ним открывается широкий диапазон возможностей для атаки и осуществления контроля над локальной системой. Хакер, который получил доступ к конкретному хосту, может злоупотреблять учетными записями авторизованного пользователя или это может быть учетная запись, украденная хакером, который зарегистрировался в системе как гость и "подобрал" пароль. В обоих случаях сканер системного уровня помогает убедиться, что данная система сконфигурирована соответствующим образом, и что уязвимости устранены, так что локальный пользователь не получает доступа к привилегиям администратора.

Достоинства сканера системного уровня можно разделить на три основные категории:

1. Идентификация рисков деятельности пользователя:

  • Диапазон рисков деятельности пользователя возникает из-за игнорирования пользователем установленных правил политики безопасности внутри сети и преднамеренной работе в режиме, который нарушает политику безопасности для обычного индивидуального пользователя. Все типы рисков, вызванных деятельностью пользователя, в пределах этого спектра могут в перспективе скомпрометировать защиту всех систем в организации.

Пользователи, выбирающие легко угадываемые пароли или вообще не использующие пароли, являются классическим примеров рискованной деятельности пользователя. Другое значительное нарушение сетевой защиты - совместное использование жесткого диска компьютера пользователями сети.

  • Сканеры системного уровня обнаруживают инсталлированные на хосте устройства, такие как модемы, и определяют, подключены ли они к действующей телефонной линии. Такой тип установки аппаратных средств может указывать на несанкционированный доступ к ресурсам сети в обход межсетевого экрана и процедуры защищенного Dial-In-доступа в организацию.
  • Сканеры системного уровня обнаруживают присутствие таких приложений для удаленного доступа, как Carbon Copy или pcANYWHERE, которые могут быть использованы сотрудниками, звонящими из дома, для доступа к ресурсам в нерабочее время или через неизвестные места сетевого периметра, такие как сервер несанкционированного удаленного доступа.

2. Идентификация хакера и обнажение атаки (внутренние и внешние хакеры):

  • Сканеры системного уровня обнаруживают признаки того, что хакер уже проник в систему. Эти признаки включают: подозрительные имена файлов, неожиданные новые файлы, файлы устройств, находимые в неожиданных местах и неожиданные SUID/SGID привилегированных программ, которые в перспективе помогут получить "root"-привилегию.
  • Сканеры системного уровня могут запоминать контрольные суммы наиболее критичных файлов, позволяя администраторам сравнивать текущие контрольные суммы файлов в системе с ранее вычисленными значениями. Этот процесс позволяет обнаруживать любые несанкционированные изменения в этих файлах, таких как замещение программы "login" программой типа "троянский конь". Кроме того, данные сканеры на Windows NT-системах могут использовать подсчет контрольных сумм для уведомления администраторов о несанкционированных изменениях в записях реестра, которые содержат наиболее важные настройки системы защиты.
  • Сканеры системного уровня обнаруживают признаки того, что хакер по-прежнему активно действует в системе в данный момент, включая расположение "sniffer"-программ, активно ищущих пароли и другую важную информацию, или несанкционированные сервисы, популярные у хакеров, запускаемые в данный момент на системе, такие как IRC chat и FSP-сервера передачи данных.
  • Сканеры системного уровня обнаруживают хорошо известные хакерские программы типа "троянский конь", например, такие как "Back Orifice", разработанной группой "Культ мертвой коровы" (Cult of the Dead Cow). Они также обнаруживают локальные системные сервисы, уязвимые к атакам типа "переполнение буфера". Без проведения сканирования на системном уровне эти программы могут быть легко загружены с популярных хакерских Web-серверов типа www.rootshell.com, и затем запущены пользователем для получения немедленного доступа ко всем администраторским привилегиям.

3. Проверки, которые являются невозможными или трудновыполнимыми сетевым сканером или занимают крайне много времени при проведения сканирования через сеть:

  • К примерам проверок, которые могут быть проведены значительно быстрее или более надежно, используя сканирование на системном уровне, можно отнести проверки "слабых" паролей или поиск файлов хешированных паролей (.PWL) для Windows 95/98.
  • Сканеры системного уровня являются идеальными для проведения проверок контрольных сумм и проверок файловой системы, которые требуют существенных ресурсов в случае использования сканеров сетевого уровня и, вероятно, потребуют, чтобы все содержание жестких дисков передавалось через сеть на сканирующую систему.
  • Сканеры системного уровня могут проверять сетевые сервисы для того, чтобы убедиться в том, что они корректно сконфигурированы и реализованы, включая сервисы NFS, HTTPD и FTP. Например, некорректно сконфигурированный сервис NFS может позволить хакеру, который уже проник в одну систему, "открыть дверь" ко всем другим NFS-системам во всей сети.
  • Сканеры системного уровня часто предоставляют более детальную информацию о хостах, работающих под управлением ОС Windows 95/98, чем она может быть получена при сканировании через сеть. Эти исследования являются важными вследствие большого количества "троянских коней" и "sniffer"-программ, доступных для атаки на эти операционные системы.

Если мы вернемся снова к нашему исходному описанию трех типов рисков безопасности, вы заметите из примеров выше, что сканеры системного уровня являются превосходными инструментами для оценки рисков защиты, связанных со всеми типами пользовательских рисков. Они включают риски, вызванные игнорирующими все пользователями, враждебными пользователями и всеми пользователями между ними. Они также предоставляют дополнительный охват для целого ряда рисков, связанных как с продавцами, так и с администраторами.

Сканеры системного уровня также являются великолепными инструментами в "блокировании" потенциальных атак на наиболее важные системы, такие как файловые, прикладные и web-сервера, сервера баз данных и МСЭ. В дополнение к тестированию стандартных характеристик защиты они также могут обнаруживать ошибки конфигурации, которые оставляют устройства открытыми для вторжения.

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...