Каждому администратору необходим набор инструментов для защиты сети, и, как правило, этот набор по мере развития сети изменяется. Хорошим дополнением к любому набору будет Network Security Toolkit (NST). Этот пакет — результат проекта, который начали и продолжают развивать Рон Хендерсон и Поль Бланкенбакер. NST можно получить на загрузочном компакт-диске или загрузить из сети образ, соответствующий спецификации ISO. В пакет входит множество популярных инструментов безопасности. Некоторыми из них читатели, возможно, уже пользуются.

При начальной загрузке системы со вставленным в накопитель компакт-диском NST открывается сокращенная версия Redhat Linux 9. После запуска операционной системы можно обращаться к инструментам с локальной консоли, через последовательное соединение, через сеть с другой машины или через браузер.

Основная часть компонентов пакета NST входит в список инструментов безопасности, признанных в результате опроса группы специалистов по информационной защите наиболее ценными. Администраторы, знакомые с Nmap Security Scanner от компании Insecure.Org, вероятно, слышали об авторе инструмента, имеющем псевдоним Fyodor. В июне 2003 г. Fyodor попросил пользователей Nmap назвать свои излюбленные инструменты безопасности. На основе полученных откликов был составлен список «The Top 75 Security Tools», опубликованный по адресу http://www.insecure.org/tools.html. Большинство этих инструментов входит в пакет NST.

Инструментальный набор

В NST входить пять приложений, изначально спроектированных для Windows, которые можно загрузить через пользовательский Web-интерфейс NST и запустить на настольном компьютере с Windows. Это клиентский анализатор Nessus, PuTTY (клиент Secure Shell — SSH), PuTTY Secure Copy (PSCP — программа безопасного копирования файлов), PuTTY Secure FTP (PSFtp — безопасный клиент FTP) и TightVNC (клиент дистанционного управления настольным компьютером).

Помимо этих инструментов на базе Windows, в NST входят десятки инструментов Linux и инструментов, управляемых из браузера. Я не буду перечислять здесь все инструменты, но в таблице приведены наиболее распространенные из них. Полный список инструментов NST можно найти в манифесте NST 1.0.6 по адресу http://www.networksecuritytoolkit.org/nst/log/ manifest-1.0.6.html. Ко времени публикации статьи может появиться пакет NST 1.20, дополненный новыми инструментами и функциональностью, в частности возможностью установки NST на жесткий диск, поддержкой среды исполнения Java, механизмом Basic Analysis and Security Engine (BASE) для Snort.

Первые шаги

Приступая к работе с пакетом, необходимо сначала загрузить из сети экземпляр NST. На Web-узле NST (http://www.networksecuritytoolkit.org) есть ссылка на загрузочный сайт Sourceforge, а также ссылки на техническую информацию об NST, инструкции по использованию пакета, ответы на часто задаваемые вопросы и другая полезная информация.

NST распространяется как ISO-файл или в виде исходного текста. Администраторам, не имеющим достаточного опыта преобразования исходного текста в выполняемые файлы, рекомендуется загрузить файл ISO. Создать загрузочный компакт-диск из файла ISO можно с помощью любой программы записи на CD-ROM. Если такой программы нет, можно воспользоваться условно-бесплатным пакетом Apollo компании Apollo Technology. С помощью пробной версии Apollo можно записывать CD-ROM, диски данных, музыкальные CD и видео-CD. Еще один удобный пакет записи CD-ROM — Nero компании Ahead Software, которая также предоставляет полнофункциональную ознакомительную версию.

После запуска с только что созданного компакт-диска NST безупречно работал на тестовой машине Pentium II с тактовой частотой процессора 350 МГц, оперативной памятью 128 Мбайт и сетевым адаптером Intel EtherExpress 10.

При каждой загрузке системы на экране появляется приглашение изменить пароль для root. После смены пароля система выдает приглашение зарегистрироваться. Регистрация проводится с именем пользователя root и паролем, назначенным в процессе начальной загрузки. Если административный пароль не изменен (возможно, в ответ на запрос пароля была просто нажата клавиша Enter), следует ввести выбираемый по умолчанию пароль nst123.

После регистрации необходимо определить IP-адрес сетевой платы (за исключением тех случаев, когда компьютер не связан с сетью). Если в сети имеется DHCP-сервер, то адрес назначается автоматически. В отсутствие DHCP-сервера можно настроить IP-адрес и адрес шлюза вручную с помощью команд Ifconfig и Route либо воспользоваться встроенными сценариями NST.

Для ручной настройки параметров Ethernet следует деактивировать сетевой интерфейс, назначить IP-адрес 192.168.0.100 с 24-разрядной сетевой маской 255.255.255.0 и вновь активизировать интерфейс с помощью следующих команд:

ifconfig eth0 down

ifconfig eth0 192.168.0.100

netmask 255.255.255.0

ifconfig eth0 up

Чтобы направлять трафик из системы или в систему, необходимо определить адрес шлюза. Назначая шлюз по умолчанию, нужно изменить таблицу маршрутизации:

route add -net 0.0.0.0 netmask 0.0.0.0

gw 192.168.x.x.

где 192.168.x.x — адрес шлюза.

Чтобы назначить IP-адрес и адрес шлюза с помощью встроенных сценариев, следует открыть командную строку и ввести cdnet

изменив текущий каталог на каталог сценария. Затем требуется ввести команду

jed nst-eth0.192net

Эта команда запускает текстовый редактор jed и открывает файл nst-eth0.192net, в котором можно назначить IP-адрес, маску сети и шлюз. Сохранив файл на диске, следует выйти из редактора. Затем нужно ввести команду

auto_config_net192

которая переносит в сетевую плату параметры, заданные в файле nst-eth0.192net, и открывает Ethernet-интерфейс www.windowsitpro.com/windowssecurity. После этого машина должна стать активным узлом сети.

Теперь инструментальный набор готов к использованию. Обратиться к инструментам безопасности NST можно несколькими способами — из консоли, через последовательное соединение или сеть. Все инструменты доступны из локальной консоли. С помощью PuTTY можно обратиться к инструментам с другого компьютера по сети. Используя X Windows, можно работать с NST через другую систему, которая поддерживает сеансы X Windows (например, Linux или Macintosh компании Apple Computer). Для некоторых инструментов, таких как Ethereal, необходима среда X Windows.

Администраторы, отдающие предпочтение привычному рабочему столу с окнами, могут запустить X Windows на локальной машине NST. Чтобы открыть X Windows на локальной машине NST, следует ввести команду

setup_x

а затем команду

startx

После того как будет запущен сеанс X Windows, можно открыть браузер Mozilla Firefox (он поставляется вместе с NST) на локальной машине и установить соединение с пользовательским Web-интерфейсом NST. Для запуска Firefox следует ввести команду

/usr/local/run_firefox

Для запуска пользовательского Web-интерфейса NST нужно ввести в браузере адрес https://192.168.x.x/nstwui, где 192.168.x.x — IP-адрес машины, на которой работает NST. При обращении с локальной машины можно использовать адрес https://127.0.0.1. Имя пользователя и пароль те же, что и при входе в NST (т. е. root и пароль администратора).

Пользовательский Web-интерфейс NST (экран 1) — самый простой способ получить доступ к большинству инструментов через сеть с другой машины. В Web-интерфейсе приведены ссылки для Snort, Analysis Console for Intrusion Databases (ACID), Nessus, Nmap, Kismet, BandwidthD, Ettercap, Firestarter и других инструментов; некоторые из них показаны на экране 1. Есть в Web-интерфейсе и полезная возможность доступа ко многим из этих инструментов. Например, анализатор безопасности Nessus и утилита BandwidthD выдают результаты в Web. В Web-интерфейсе имеются функции мониторинга и управления сервером. Например, через Web-интерфейс можно знакомиться с журналами Web, запускать команды, просматривать процессы и устройства, перезагрузить или выключить сервер.

Мне удалось запустить инструмент обнаружения попыток несанкционированного доступа через Ethernet-интерфейс 1, дважды щелкнув кнопкой мыши. Несомненно, для загрузки из сети новейших сигнатур Snort или изменения Ethernet-интерфейса потребуется больше усилий. Запустив Snort, можно найти и запустить из Web-интерфейса программу ACID и обратиться к журналам Snort. В документации NST содержится полезная дополнительная информация об использовании ACID.

Настройка и автоматизация процедуры начальной загрузки NST

Предположим, нам нужно обеспечить поддержку USB, PC Card или последовательного соединения. Либо выясняется, что накопитель CD-ROM не поддерживает эмуляцию SCSI и необходимо задействовать интерфейс IDE.

Существует несколько вариантов начальной загрузки NST. Процедура загрузки на несколько секунд приостанавливается, и пользователь может выбрать режим из списка конфигураций ядра и загрузочных параметров (экран 2). Если не нажать клавиши в течение 5 секунд, то NST загружается со стандартными параметрами. Если NST не загружается, необходимо начать процедуру заново и внимательно изучить меню параметров загрузки, так как одна из альтернативных конфигураций может оказаться удачной.

Иногда полезно автоматизировать некоторые часто применяемые процедуры NST. Например, если приходится повторно назначать определенный IP-адрес, монтировать определенные ресурсы Windows или запускать X Windows и Firefox, то можно написать специальные сценарии для автоматизации этих процедур. Нельзя сохранить сценарии на CD-ROM, не изменив ISO-файла, поэтому их придется хранить на отдельном носителе. Сценарии оболочки, дополнительные программы и другие компоненты можно размещать на 3,5-дюймовых дисках, USB-накопителях, жестких дисках и даже на Web-серверах.

Встроенный сценарий lnstcustom позволяет автоматизировать определенные задачи, например доступ к внешним носителям. В разделе документации для NST под названием Automating Your Setup with lnstcustom объясняется, как монтировать различные файловые системы и сохранять в них сценарии автоматизации. Запускать сценарии можно с помощью Instcustom.

Изменение ISO-образа NST

Если нужно изменить NST, то администраторы, знакомые с Linux, могут внести изменения в инструментальный пакет и перестроить файл ISO-образа на машине Linux. В документации разъясняется процесс перестройки пакета и подготовки нового файла ISO-образа. Если у администратора нет желания перестраивать образ, то можно воспользоваться таким инструментом, как WinISO фирмы WinISO Computing (http://www.winiso.com), чтобы извлечь все файлы из образа ISO, изменить содержимое, а затем воссоздать файл ISO-образа. Объем материала в ISO-файле не должен превышать емкости одного компакт-диска.

Я применил WinISO для изменения NST, и инструмент стоимостью 30 долл. оказался эффективным и простым в использовании. Я просто запустил WinISO, открыл файл образа и щелкнул на кнопке Add, чтобы добавить новые программы к образу ISO. Затем я щелкнул на меню File, Save As, чтобы сохранить образ ISO под другим именем. После этого осталось лишь создать загрузочный компакт-диск NST с помощью программы записи на CD-ROM.

Расширяем арсенал

NST — очень полезный инструментальный набор. Он компактен, совместим со множеством разнообразных аппаратных платформ, содержит много полезных инструментов и обеспечивает доступ к различным сетевым ресурсам. В состав NST входит инструментарий для записи на CD-ROM, с помощью которого можно восстановить данные с незагружающихся систем (если диски не полностью вышли из строя). Администраторам, имеющим небольшой опыт работы с Linux, NST поможет освоить операционную систему и ее инструментарий безопасности. Рекомендую загрузить экземпляр пакета из сети и познакомиться с ним поближе.


Старший редактор Windows IT Pro. Автор еженедельного бюллетеня Security UPDATE. mark@ntsecurity.net