Обзор бесплатных программ для обнаружения и предотвращения вторжений. Обнаружение сетевых атак

О предотвращении и обнаружении вторжений

Прошли те времена, когда вирус был просто вирусом, а все остальное было "тем что надо"! Сейчас же все не совсем так. Наиболее известная опасность - это программы под общим названием «вредоносные программы» (Malware). Такие программы постоянно развиваются и представляет собой серьезную угрозу вашей безопасности.

В дополнение к уже привычным модулям работы с файлами, реестром и приложениями, Malware Defender также включает в себя модуль мониторинга сети, включающий в себя возможность так же просматривать все соединения. Это делает его идеальным компаньоном для тех, кто использует стандартный брендмауэр Windows, и не хочет углубляться в мир брендмауэров и защиты сети.

Несмотря на то, что данная программа имеет большое количество плюсов, все же ее сложность использования для обычного пользователя - делает ее определенно не масштабной. Конечно, ошибки могут быть исправлены путем обратного изменения правил разрешения, правда если вы не запретили жизненно важные функции системы, тогда есть вероятность, что вернуться назад будет не так уж просто.

Программа предотвращения вторжения WinPatrol мощный инструмент для всех пользователей

помогает защитить компьютеры всех стран уже более десяти лет. У данной программы множество поклонников. Недавно она была обновлена для большей совместимости с Windows Vista/7. Главной целью программы является предупреждение пользователя о внесении изменений в систему, которые могут быть последствием работы вредоносных программ. Для того чтобы достигнуть цели, она делает моментальный снимок настроек системы. И в случае любых изменений оповещает пользователя. WinPatrol в своей работе использует эвристический подход, который дает больше уверенности в том, что у вас не появится новых вредоносных программ, нежели традиционные сигнатурные сканеры, которые сильно зависят от наличия обновлений.

WinPatrol предупредит вас о любых новых изменениях, которые пытаются произвести программы. Можно сказать, что WinPatrol является достаточно эффективным средством по борьбе с целым рядом вредоносных программ, таких как: черви, троянские программы, программы, модифицирующие cookie, рекламное и шпионское ПО. Множество возможностей настройки системы (такие как " ", "задания" и т.д.), которые раскиданы в ней же, продублированы в интерфейсе WinPatrol, что позволяет быстро и удобно отслеживать состояние системы. Также вы можете использовать WinPatrol для фильтрации нежелательных cookie и IE-дополнений.

По состоянию на V19.0, WinPatrol стал "облачным решением". Большая часть дополнительной функциональности доступна только пользователям платной версии Plus. Сообщество пользователей WinPatrol позволяет рассчитывать на хорошую обратную связь при возникновении проблем. При чем, все решения рассмотренных проблем доступны как пользователям бесплатной версии, так и платной.

Программа предотвращения вторжения MJ Registry Watcher мониторинг реестра и файловой системы

еще одна утилита, о которой, может быть, знает не так уж много людей, но которая является достаточно неплохой. Это достаточно простая программа по отслеживанию реестра, файлов и директорий, которая гарантирует безопасность наиболее важных мест вашей системы. Она потребляет очень мало ресурсов систем. Метод действия очень простой. Каждые 30 секунд программа опрашивает систему. Если необходимо, то время опроса можно изменить. Все настройки утилиты хранятся в конфигурационном файле, что очень удобно, когда вам необходимо иметь возможность быстро настроить утилиту "под себя". MJ Registry Watcher не только опрашивает систему на изменения, но также практически мгновенно перехватывает управление большинства изменений в ключах реестра, файлах и папках. Удаление ключей в реестре также перехватывается в рамках опроса системы.

Список ключей и файлов, которые будут отслеживаться, полностью настраивается пользователем. Не надо пугаться. MJ Registry Watcher имеет собственные списки, которые подойдут большинству пользователей. Для работы с этой утилитой, пользователь должен обладать средними знаниями о системе. Эту утилиту особенно оценят пользователи, которые предпочитают обеспечивать многоуровневую защиту путем использования множества небольших специализированных утилит. Утилита не требует установки. Просто скачайте и запустите.

Программа также включает: мониторинг процессов , мониторинг работы с файлами и папками, мониторинг электронной почты и модуль для работы с карантином.

Руководство по быстрому выбору (ссылки для скачивания бесплатных программ обнаружения и предотвращения вторжений)

Malware Defender

WinPatrol

Злоумышленнику, чтобы получить доступ к информации Вашей компании, необходимо пройти несколько эшелонов защиты. При этом он может использовать уязвимости и некорректные настройки конечных рабочих станций, телекоммуникационного оборудования или социальную инженерию. Атаки на информационную систему (ИС) происходят постепенно: проникновение в обход политик информационной безопасности (ИБ), распространение в ИС с уничтожением следов своего присутствия и только потом непосредственно атака. Весь процесс может занять несколько месяцев, или даже лет. Зачастую ни пользователь, ни администратор ИБ не подозревают об аномальных изменениях в системе и проводимой на нее атаке. Все это приводит к угрозам нарушения целостности, конфиденциальности и доступности информации, обрабатываемой в ИС.

Для противодействия современным атакам недостаточно традиционных средств защиты, таких как межсетевые экраны, антивирусы и т.п. Требуется система мониторинга и обнаружения потенциально возможных атак и аномалий, реализующая следующие функции:

• обнаружение попыток вторжений в информационные системы;
• детектирование атак в защищаемой сети или ее сегментах;
• отслеживание неавторизованного доступа к документам и компонентам информационных систем;
• обнаружение вирусов, вредоносных программ, троянов, ботнетов;
• отслеживание таргетированных атак.

Важно учесть, что если в ИС компании обрабатывается информация, подлежащая обязательной защите в соответствии с требованиями российского законодательства (например, персональные данные), то необходимо использовать сертифицированные средства защиты, прошедшие процедуру оценки соответствия регуляторами ФСТЭК России и/или ФСБ России.

С-Терра СОВ

На протяжении многих лет компания «С-Терра СиЭсПи» производит VPN-продукты для организации криптографической защиты передаваемых данных и межсетевого экранирования. В связи с возросшими потребностями пользователей в повышении общего уровня безопасности ИС, компания «С-Терра СиЭсПи» разработала специальное средство защиты информации, обеспечивающее обнаружение атак и аномальных активностей.

С-Терра СОВ представляет собой средство защиты, позволяющее администраторам информационной безопасности выявлять атаки, основываясь на анализе сетевого трафика. В основе работы данного средства защиты лежит использование механизмов сигнатурного анализа.

При анализе сетевого трафика с помощью сигнатурного метода администратор всегда сможет точно установить, какой конкретно пакет или группа пакетов вызвали срабатывание сенсора, отвечающего за детектирование аномальной активности. Все правила чётко определены, для многих из них можно проследить всю цепочку: от информации о деталях уязвимости и методах её эксплуатации, до результирующей сигнатуры. В свою очередь, база правил сигнатур обширна и регулярно обновляется, тем самым гарантируя надежную защиту ИС компании.

Для минимизации рисков от принципиально новых атак нулевого дня, для которых отсутствуют сигнатуры, в состав продукта С-Терра СОВ включен дополнительный метод анализа сетевой активности – эвристический. Этот метод анализа активности строится на основе эвристических правил, т.е. на основе прогноза активности ИС и ее сопоставления с нормальным «шаблонным» поведением, которые формируются во время режима обучения данной системы на основе ее уникальных особенностей. За счет применения данного механизма защиты, С-Терра СОВ позволяет обнаружить новые, ранее неизвестные атаки или любую другую активность, не попавшую ни под какую конкретную сигнатуру.

Сочетание сигнатурного и эвристического анализов позволяет обнаружить несанкционированные, нелегитимные, подозрительные действия со стороны внешних и внутренних нарушителей. Администратор ИБ может прогнозировать возможные атаки, а также выявлять уязвимости для предотвращения их развития и влияния на ИС компании. Оперативное детектирование возникающих угроз позволяет определить расположение источника атаки по отношению к локальной защищаемой сети, что облегчает расследование инцидентов ИБ.

Таблица 1. Функциональность С-Терра СОВ

Система обнаружения атак С-Терра СОВ имеет удобный интерфейс, управление и контроль осуществляется по защищенному каналу с применением технологии IPsec на отечественных криптоалгоритмах ГОСТ.

Использование С-Терра СОВ в качестве компонента защиты повышает общий уровень защищенности ИС благодаря постоянному анализу изменений ее состояния, выявлению аномалий и их классификации. Наглядный и функциональный веб-интерфейс управления и контроля над системой обнаружения вторжений, а также наличие дополнительных утилит управления, позволяет корректно настроить сенсоры событий, эффективно обрабатывать и представлять результаты анализа трафика.

Схема включения С-Терра СОВ

С-Терра СОВ размещается в сегменте локальной сети (например, DMZ-зоне), весь трафик, циркулирующий в этом сегменте, дублируется и перенаправляется на средство защиты через «зеркалирующий» span-порт коммутатора. Управление осуществляется через отдельный интерфейс по защищенному каналу. Более подробная схема включения в ИС компании представлена на рисунке 1 .

Рисунок 1. Схема включения отдельных С-Терра СОВ и С-Терра Шлюз

На одном устройстве могут одновременно работать С-Терра Шлюз для шифрования трафика и межсетевого экранирования, а также С-Терра СОВ – для обнаружения сетевых атак. Подробная схема такого включения представлена на рисунке 2 .

Рисунок 2. Схема включения совместной работы С-Терра СОВ и С-Терра Шлюз

Выбор продуктов

С-Терра СОВ поставляется в виде программно-аппаратного комплекса или в виде виртуальной машины для популярных гипервизоров (VMware ESX, Citrix XenServer, Parallels, KVM).

Выбор конкретного исполнения зависит от объемов передаваемой по сети информации, количества используемых сигнатур и других факторов.

Если предпочтительной является аппаратная платформа, то есть возможность выбрать из трех вариантов производительности анализа информации – для скоростей 10, 100 и 1000 Мбит/с.

Производительность Виртуальной СОВ может изменяться в широких пределах и зависит от используемых настроек гипервизора и ресурсов аппаратной платформы, на которой виртуальная СОВ работает.

Получить помощь в выборе продуктов и оборудования, а также расчет стоимости решения для вашей организации Вы можете, обратившись к нашим менеджерам:
– по телефону +7 499 940-90-61
– или по электронной почте:
Вам обязательно помогут!

Основным назначением данной программы является обнаружение хакерских атак. Как известно, первой фазой большинства хакерских атак является инвентаризация сети и сканирование портов на обнаруженных хостах. Сканирование портов помогает произвести определение типа операционной системы и обнаружить потенциально уязвимые сервисы (например, почту или WEB-сервер). После сканирования портов многие сканеры производят определение типа сервиса путем передачи тестовых запросов и анализа ответа сервера. Утилита APS проводит обмен с атакующим и позволяет однозначно идентифицировать факт атаки.

Кроме этого, назначением утилиты является:

• обнаружение разного рода атак (в первую очередь сканирования портов и идентификации сервисов) и появления в сети программ и сетевых червей (в базе APS более сотни портов, используемых червями и Backdoor - компонентами);
• тестирование сканеров портов и сетевой безопасности (для проверки работы сканера необходимо запустить на тестовом компьютере APS и провести сканирование портов - по протоколам APS нетрудно установить, какие проверки провидит сканер и в какой последовательности);
• тестирование и оперативный контроль за работой Firewall - в этом случае утилита APS запускается на компьютере с установленным Firewall и проводится сканирование портов и (или иные атаки) против ПК. Если APS выдает сигнал тревоги, то это является сигналом о неработоспособности Firewall или о его неправильной настройке. APS может быть постоянно запущен за защищенном при помощи Firewall компьютере для контроля за исправным функционирование Firewall в реальном времени;
• блокировка работы сетевых червей и Backdoor модулей и их обнаружение - принцип обнаружения и блокирования основан на том, что один и тот-же порт может быть открыт на прослушивание только один раз. Следовательно, открытие портов, используемых троянскими и Backdoor программами до их запуска помешает их работе, после запуска - приведет к обнаружению факта использования порта другой программой;
• тестирование антитроянских и программ, систем IDS - в базе APS заложено более сотни портов наиболее распространенных троянских программ. Некоторые антитроянских средства обладают способностью проводить сканирование портов проверяемого ПК (или строить список прослушиваемых портов без сканирования при помощи API Windows) - такие средства должны сообщать о подозрении на наличие троянских программы (с выводом списка "подозрительных" портов) - полученный список легко сравнить со списком портов в базе APS и сделать выводы о надежность применяемого средства.

Принцип работы программы основан на прослушивании портов, описанных в базе данных. База данных портов постоянно обновляется. База данных содержит краткое описание каждого порта - краткие описания содержат или названия использующих порт вирусов, или название стандартного сервиса, которому этот порт соответствует. При обнаружении попытки подключения к прослушиваемому порту программа фиксирует факт подключения в протоколе, анализирует полученные после подключения данные и для некоторых сервисов передает так называемый баннер - некоторый набор текстовых или бинарных данных,передаваемых реальным сервисом после подключения.

Программы обнаружения сетевых атак

Злоумышленники редко бесцеремонно вторгаются в сеть с «оружием» в руках. Они
предпочитают проверить, надежны ли запоры на двери и все ли окна закрыты. Они незаметно анализируют образцы трафика, входящего в вашу сеть и исходящего из отдельные IP-адреса, а также выдают внешне нейтральные запросы, адресованные от­дельным пользователям и сетевым устройствам.

Для обнаружения этих искусно закамуфлированных врагов приходится устанавливать интеллектуальное программное обеспечение детектирования сетевых атак, обладающее высокой чувствительностью. Приоб­ретаемый продукт должен предупреждать админист­ратора не только о случаях явного нарушения систе­мы информационной безопасности, но и о любых
подозрительных событиях, которые на первый взгляд кажутся совершенно безобидными, а в действительно­сти скрывают полномасштабную хакерскую атаку. Нет нужды доказывать, что о вся­кой активной попытке взлома системных паролей администратор должен быть изве­щен немедленно.
Современные корпорации находятся буквально под перекрестным огнем со сторо­ны злоумышленников, стремящихся похитить ценные сведения или просто вывести из
строя информационные системы. Задачи, преследуемые в борьбе с хакерами, доста­точно очевидны:
уведомление о предпринятой попытке несанкционированного доступа должно быть немедленным;
отражение атаки и минимизация потерь (чтобы противостоять злоумышленни­ку, следует незамедлительно разорвать сеанс связи с ним);
□ переход в контрнаступление (злоумышленник должен быть идентифицирован и
наказан).
Именно такой сценарий использовался при тестировании четырех наиболее попу­лярных систем выявления сетевых атак из присутствующих сегодня на рынке: a BlacklCE;
□ Intruder Alert; a Centrax;
□ eTrust Intrusion Detection.
Характеристика указанных программных систем обнаружения сетевых атак при­ведена в табл. 3.2.
Программа BlacklCE фирмы Network ICE - специализированное приложение-агент, предназначенное исключительно для выявления злоумышленников. Обнаружив непрошеного гостя, оно направляет отчет об этом событии управляющему модулю ICEcap, анализирующему информацию, поступившую от разных агентов, и стремяще­муся локализовать атаку на сеть.
Программное обеспечение Intruder Alert компании Alert Technologies больше похоже на инструментарий для специалистов в области информационной безопасности, посколь­ку оно предоставляет максимальную гибкость в определении стратегий защиты сети.
Пакет Centrax производства CyberSafe устроен по принципу «все в одном»: в его
составе есть средства контроля за системой безопасности, мониторинга трафика, вы­явления атак и выдачи предупреждающих сообщений.
Система eTrust Intrusion Detection корпорации Computer Associates особенно силь­на функциями контроля за информационной безопасностью и управления стратегия­ми защиты, хотя и в этом продукте реализованы средства вьщачи предупреждений в режиме реального времени, шифрования данных и обнаружения атак.

Таблица 3.2. Характеристика программных систем обнаружения сетевых атак

Предупреждения, генерируемые агентами BlacklCE, очень конкретны. Текст сооб­щений не заставит администратора усомниться в характере зарегистрированного со­бытия, а в большинстве случаев и в его важности. Кроме того, продукт позволяет ад­министратору настроить содержание собственных предупреждающих сообщений, но по большому счету в этом нет необходимости.
Весьма полезным свойством разработок Network ICE, а также пакета Intruder Alert является возможность загрузки самых свежих сигнатур хакерских атак с сервера.
Попытки вывести из строя корпоративный сервер, который в результате вынужден на запросы об обслуживании отвечать отказом (denial-of-service),TaflT в себе довольно серьезную угрозу бизнесу компаний, предоставляющих своим клиентам услуги по глобальной сети. Суть нападения сводится к тому, что злоумышленник генерирует тысячи запросов (на установление соединения), адресованных атакуемому сер­веру. Каждый запрос снабжается фальшивым адресом источника, что значительно зат­рудняет точную идентификацию самого факта атаки и выслеживание атакующего. Приняв очередной запрос сервер предполагает, что речь идет о начале нового сеанса связи и переходит в режим ожидания передачи данных. Несмотря на то, что данные после этого не поступают, сервер обязан выждать определенное время (макси­мум 45 с), перед тем как разорвать соединение. Если несколько тысяч таких ложных

запросов будут направлены на сервер в течение считанных минут, он окажется пере­гружен, так что на обработку настоящих запросов о предоставлении того или иного сервиса ресурсов попросту не останется. Другими словами, в результате настоящим пользователям будет отказано в обслуживании.
Во всех описываемых системах, за исключением eTrust Intrusion Detection корпо­рации Computer Associates, использована модель программных агентов, которые сна­чала инсталлируются на сетевых устройствах, а затем осуществляют сбор информа­ции о потенциальных атаках и пересылают ее на консоль. Агенты выявляют случаи нарушения установленных стратегий защиты и после этого генерируют соответству­ющие сообщения.
Системы на базе агентов являются наилучшим решением для коммутируемых се­тей, поскольку в таких сетях не существует какой-либо одной точки, через которую
обязательно проходит весь трафик. Вместо того чтобы следить за единственным со­единением, агент мониторинг всех пакетов, принимаемых или отправ­ляемых устройством, где он установлен. В результате злоумышленникам не удается «отсидеться» за коммутатором.
Сказанное можно проиллюстрировать на примере продукции фирмы Network ICE. Программе отведена роль агента, устанавливаемого в полностью автоном-
ной операционной среде, например, на компьютере удаленного пользователя либо на одном из узлов корпоративной сети передачи данных. Обнаружив хакера, атакующего удаленную машину, агент выдаст предупреждение непосредственно на ее экран. Если
же аналогичное событие окажется зафиксировано в корпоративной сети, сообщение о
попытке несанкционированного доступа будет передано другому приложению - ICEcap, содержащему средства сетевого мониторинга. Последнее собирает и сопос­тавляет информацию, поступающую от разных подчиненных ему агентов, и это дает ему возможность оперативно выявлять события, действительно угрожающие безопас­ности сети.
Система eTrust, напротив, основана на централизованной архитектуре. Она уста­навливается на центральном узле и анализирует трафик в подведомственном сетевом сегменте. Отсутствие агентов не позволяет данному продукту отслеживать все собы­тия в коммутируемой сети, поскольку в ней невозможно выбрать единственную «смот­ровую площадку», откуда вся сеть была бы видна как на ладони.
Пакет Intruder Alert и система Centrax производства CyberSafe представляют со­бой скорее инструментарий для построения собственной системы детектирования се­тевых атак. Чтобы в полной мере воспользоваться их возможностями, организация
должна иметь в своем штате программистов соответствующей квалификации либо располагать бюджетом, позволяющим заказать подобную работу.
Несмотря на то, что все описываемые продукты легко инсталлировать, управление
системами Intruder Alert и Centrax простым не назовешь. Скажем, если Centrax выда­ет предупреждающее сообщение неизвестного или неопределенного содержания (а такая ситуация не раз имела место в наших тестах), администратор вряд ли сумеет быстро определить, что же, собственно, произошло, особенно если для уточнения диагноза ему придется обратиться к файлам регистрации событий. Эти файлы отлича­ются исчерпывающей полнотой, однако разработчики, по-видимому, решили, что обыч­ному человеку достаточно только намекнуть, о чем может идти речь, и характер про­

исходящего будет безошибочно идентифицирован. В регистрационных журналах этой системы присутствуют описания выданных предупреждений, но нет их идентификато­ров. Администратор видит адреса портов, к которым относились подозрительные зап­росы, либо параметры других операций, но не получает никакой информации о том,
что же все это может означать.
Отмеченное обстоятельство значительно снижает ценность сообщений, выдавае­мых в режиме реального времени, поскольку невозможно сразу сообразить, отражает ли описание события реальную угрозу системе безопасности или это всего лишь по­пытка провести более тщательный анализ трафика. Иными словами, покупать назван­ные продукты имеет смысл лишь в том случае, если в штате вашей организации есть
опытные специалисты по информационной безопасности.
Программное обеспечение eTrust Intrusion Detection корпорации Computer
Associates представляет собой нечто большее, чем просто систему мониторинга сете­вой активности и выявления хакерских атак. Этот продукт способен не только декоди­ровать пакеты различных протоколов и служебный трафик, но и перехватывать их для последующего вывода на управляющую консоль в исходном формате. Система осуще­ствляет мониторинг всего трафика TCP/IP и предупреждает администратора о случа­ях нарушения установленных стратегий в области информационной безопасности.
Правда, эта разработка не поддерживает такого же уровня детализации наборов пра­вил, как Intruder Alert.
Однако детектирование попыток несанкционированного доступа и выдача предуп­реждающих сообщений - это только полдела. Программные средства сетевой защи­ты должны остановить действия хакера и принять контрмеры. В этом смысле наилуч­шее впечатление производят пакеты Intruder Alert и Centrax, те самые, что вызвали немалые нарекания по части настройки конфигурации. Если программы фирмы Network ICE и ПО eTrust мгновенно закрывают угрожающие сеансы связи, то системы Intruder Alert и Centrax идут еще дальше. Например, приложение компании Axent Technologies
можно настроить таким образом, что оно будет запускать тот или иной командный
файл в зависимости от характера зарегистрированных событий, скажем перезагружать сервер, который подвергся атаке, приводящей к отказу в обслуживании.
Отразив атаку, хочется сразу перейти в контрнаступление. Приложения Black-ICE и Centrax поддерживают таблицы с идентификаторами хакеров. Эти таблицы заполня­ются после прослеживания всего пути до «логовища», где затаился неприятель. Воз­можности программного обеспечения особенно впечатляют, когда дело до­ходит до выявления источника атаки, расположенного внутри или вне сети: несмотря на многочисленные хитроумные маневры, нам так и не удалось сохранить инкогнито.
А вот система eTrust поражает степенью проникновения в характер деятельности каждого пользователя сети, зачастую даже не подозревающего о том, что он находит­ся под пристальным наблюдением. Одновременно этот пакет предоставляет наиболее полную (и, пожалуй, наиболее точную) информацию о злоумышленниках, даже о том,
где они находятся.
Приложение Centrax способно создавать так называемые файлы-приманки, при­сваивая второстепенному файлу многозначительное название вроде «Ведо-MocTb.xls» и тем самым вводя в заблуждение излишне любопытных пользователей. Такой алго­ритм представляется нам слишком прямолинейным, но и он может сослужить непло­

хую службу: с его помощью удается «застукать» сотрудников за «прочесыванием»
корпоративной сети на предмет выявления конфиденциальной информации.
Каждый из рассмотренных программных продуктов генерирует отчеты о подозри­тельных случаях сетевой активности. Высоким качеством таких отчетов и удобством работы с ними выделяются приложения ICEcap и eTrust Intrusion Detection. После­дний пакет отличается особенной гибкостью, возможно, потому, что ведет свое проис­хождение от декодера протоколов. В частности, администратор может проанализиро­вать сетевые события в проекции на отдельные ресурсы, будьте протоколы, станции-клиенты или серверы. В eTrust предусмотрено множество заранее разрабо­танных форматов отчетов. Их хорошо продуманная структура заметно облегчает об­наружение злоумышленников и позволяет наказать провинившихся пользователей.
Каждый продукт имеет свои сильные и слабые стороны, поэтому рекомендовать его можно только для решения определенных задач. Если речь идет о защите комму­тируемых сетей, неплохим выбором являются разработки Network ICE, Axent Technologies и CyberSafe. Пакет eTrust Intrusion Detection идеален для своевременно­го уведомления о случаях нарушения этики бизнеса, например, об употреблении не­нормативной лексики в сообщениях электронной почты. Системы Intruder Alert и Centrax - прекрасный инструментарий для консультантов по вопросам информаци­онной безопасности и организаций, располагающих штатом профессионалов в данной области. Однако тем компаниям, которые не могут себе позволить прибегнуть к услу­гам высокооплачиваемых специалистов, рекомендуем установить продукты компании Network ICE. Эти приложения заменят истинного эксперта по сетевой защите лучше любой другой системы из тех, что когда-либо попадалась нам на глаза.
Сканеры как средства проверки защиты сети
Когда-то давным-давно (или не очень) жесткие диски персональных компьютеров были объемом всего-навсего 10 Мбайт, а их оперативная память не превышала 640 Кбайт. Модемы работали на скоростях от 300 до 1200 бит/с, и мало кто из пользо­вателей слышал о глобальной компьютерной сети Internet. Конечно, эта сеть суще­ствовала уже тогда, но использовалась исключительно в военных целях, а работать с ней можно было только при помощи командной строки. Но не это служило основным препятствием для массового доступа к сети Internet. Вычислительные машины, кото­рые могли быть задействованы в качестве серверов, были очень дорогими - их сто­имость исчислялась миллионами долларов. Да и сами персональные компьютеры сто­или тогда весьма недешево, и были по карману только
обеспеченным людям.
Но уже тогда находились люди, которые охотились за чужими секретами. Представим себе, как за персо­нальным компьютером сидит юноша лет 15-17 и об­званивает при помощи модема телефонные номера, которые ему сообщил приятель. В большинстве слу­чаев на другом конце провода оказывается другой модем, и на экране монитора появляется приглаше­ние зарегистрироваться, т. е. ввести имя и пароль.

Каждый раз, получив такое регистрационное приглашение, юноша начинает лихора­дочно перебирать различные пары имен и соответствующих им паролей. Наконец, одна пара подходит, и юный взломщик получает возможность управлять удаленным компь­ютером, не выходя из дома.
Сейчас уже трудно поверить, что первым компьютерным взломщикам приходи­лось так напрягаться. Ведь известно, что они очень не любят выполнять рутинную работу и при всяком удобном случае стараются заставить свои компьютеры занимать­ся такой работой. Поэтому неудивительно, что компьютерные взломщики вскоре со­здали специальное программное средство, чтобы не набирать вручную дюжину ко­манд. Это программное средство назвали боевым номеронабирателем.
Боевой номеронабиратель представляет собой программу, обзванивающую задан­ные пользователем телефонные номера в поисках компьютеров, которые в ответ на по­ступивший звонок выдают регистрационное приглашение. Программа аккуратно сохра­няет в файле на жестком диске все такие телефонные номера вместе с данными о скорости соединения с ними. Один из самых известных и совершенных боевых номеронабирате­лей - TONELOC, предназначенный для работы в среде операционной системы DOS (он может быть запущен под управлением Windows 95/98 в режиме командной строки).
Дальнейшее совершенствование боевых номеронабирателей привело к созданию сканеров. Первые сканеры были весьма примитивными и отличались от боевых номе­ронабирателей только тем, что специализировались исключительно на выявлении ком­пьютеров, подключенных к сети Internet или к другим сетям, использующим протокол
TCP/IP. Они были написаны на языке сценариев программной оболочки операцион­ной системы UNIX. Такие сканеры пытались подсоединиться к удаленной хост-маши­не через порты TCP/IP, отправляя всю информацию, которая выводилась на устройство стандартного вывода этой хост-машины, на экран монитора того компь­ютера, где был запущен сканер.
Ныне сканеры стали грозным оружием как нападения, так и защиты в Internet. Что же представляет собой современный сканер?
Сканер - это программа, предназначенная для автоматизации процесса поиска слабостей в защите компьютеров, подключенных к сети в соответствии с протоколом
TCP/IP. Наиболее совершенные сканеры обращаются к портам TCP/IP удаленного ком­пьютера и в деталях протоколируют отклик, который они получают от этого компью­тера. Запустив сканер на своем компьютере, пользователь, даже не выходя из дома, может найти бреши в защитных механизмах сервера, расположенного, например, на другом конце земного шара.
Большинство сканеров предназначено для работы в среде UNIX, хотя к настояще­му времени такие программы имеются практически для любой операционной систе­мы. Возможность запустить сканер на конкретном компьютере зависит от операцион­ной системы, под управлением которой работает этот компьютер, и от параметров подключения к Internet. Есть сканеры, которые функционируют только в среде UNIX, а с остальными операционными системами оказываются несовместимыми. Другие от­казываются нормально работать на устаревших компьютерах с Windows и с мед­ленным (до 14 400 бит/с) доступом по коммутируемым линиям к Internet. Такие ком­пьютеры будут надоедать сообщениями о переполнении стека, нарушении прав доступа или станут просто зависать.

Критичным является и объем оперативной памяти компьютера. Сканеры, которые управляются при помощи командной строки, как правило, предъявляют более слабые требования к объему оперативной памяти. А самые «прожорливые» - сканеры, снаб­женные оконным графическим интерфейсом пользователя.
Написать сканер не очень трудно. Для этого достаточно хорошо знать протоколы TCP/IP, уметь программировать на С или Perl и на языке сценариев, а также разби­раться в программном обеспечении сокетов. Но и в этом случае не следует ожидать, что созданный вами сканер принесет большую прибыль, поскольку в настоящее время предложение на рынке сканеров значительно превышает спрос на них. Поэтому наи­большая отдача от усилий, вложенных в написание сканера, будет скорее моральной (от осознания хорошо выполненной работы), чем материальной.
Не стоит переоценивать положительные результаты, которых можно достичь бла­годаря использованию сканера. Действительно, сканер может помочь выявить дыры в защите хост-машины, однако в большинстве случаев информацию о наличии этих дыр сканер выдает в завуалированном виде, и ее надо еще уметь правильно интерпретиро­вать. Сканеры редко снабжают достаточно полными руководствами пользователя. Кроме того, сканеры не в состоянии сгенерировать пошаговый сценарий взлома ком­пьютерной системы. Поэтому для эффективного использования сканеров на практике прежде всего необходимо научиться правильно интерпретировать собранные с их по­мощью данные, а это возможно только при наличии глубоких знаний в области сете­вой безопасности и богатого опыта.
Обычно сканеры создают и применяют специалисты в области сетевой безопасно­сти. Как правило, они распространяются через сеть Internet, чтобы с их помощью сис­темные администраторы могли проверять компьютерные сети на предмет наличия в них изъянов. Поэтому обладание сканерами, равно как и их использование на практи­ке, вполне законно. Однако рядовые пользователи (не системные администраторы) должны быть готовы к тому, что, если они будут применять сканеры для обследования чужих сетей, то могут встретить яростное сопротивление со стороны администрато­ров этих сетей.
Более того, некоторые сканеры в процессе поиска брешей в защите компьютерных сетей предпринимают такие действия, которые по закону можно квалифицировать как несанкционированный доступ к компьютерной информации, или как создание, исполь­зование и распространение вредоносных программ, или как нарушение правил эксп­луатации компьютеров, компьютерный систем и сетей. И если следствием этих дея­ний стало уничтожение, блокирование, модификация или копирование информации,
хранящейся в электронном виде, то виновные лица в соответствии с российским зако­нодательством подлежат уголовному преследованию. А значит, прежде чем начать пользоваться первым попавшимся под руку бесплатным сканером для UNIX-платформ, стоит убедиться, а не копирует ли случайно этот сканер заодно и какие-нибудь файлы
с диска тестируемой им хост-машины (например, файл password из каталога /ETC).
Часто к сканерам ошибочно относят утилиты типа host, rusers, finger, Traceroute, Showmount. Связано это с тем, что, как и сканеры, данные утилиты позволяют соби­рать полезную статистическую информацию о сетевых службах на удаленном компь­ютере. Эту информацию можно затем проанализировать на предмет выявления оши­бок в их конфигурации.

Действительно, сетевые утилиты выполняют ряд функций, которые характерны для сканеров. Однако в отличие от них использование этих утилит вызывает меньше подо­зрений у системных администраторов. Выполнение большинства сетевых утилит на
удаленной хост-машине практически не оказывает никакого влияния на ее функцио­нирование. Сканеры же зачастую ведут себя как слон в посудной лавке оставляют следы, которые трудно не заметить. Кроме того, хороший сканер - явление довольно редкое, а сетевые утилиты всегда под рукой. К недостаткам сетевых утилит можно отнести то, что приходится выполнять вручную слишком большую работу, чтобы до­биться того же результата, который при помощи сканера получается автоматически.