ИЛЬЯ АЛЕКСАНДРОВ
Устойчива ли ваша сеть? Проверьте с помощью WHoppix!
Эксплойты, сканеры уязвимостей и прочий security-софт нужен не только злостным компьютерным взломщикам, но и каждому системному администратору, в чьем распоряжении находятся крупные сети и веб-сервера. Сегодня речь пойдет о специализированном дистрибутиве Linux, который во много раз упростит процесс аудита системы и займет достойное место в вашей коллекции незаменимых программных инструментов.
Проблемы с безопасностью знакомы каждому из вас. Пользуетесь ли вы Windows или Linux, Apache или Microsoft IIS, – во всех популярных продуктах есть уязвимости, позволяющие хакеру получить контроль над системой. Регулярное обновление ПО, установка патчей от производителя, использование firewall и систем обнаружения атак не избавляет от процесса тестирования защиты. Это отнимает огромное количество времени, требует использования специальных security-программ, которые еще надо найти в Интернете и установить. Но сегодня появился инструмент, способный облегчить нелегкий труд администратора – дистрибутив Linux Whoppix, работающий на технологии LiveCD. Идея «живого CD» не нова, первые подобные разработки появились еще в конце девяностых. Но по-настоящему популярной технология стала только недавно – с появлением дистрибутива Knoppix, который был создан немецким профессором Клаусом Кноппером для обучения студентов основам UNIX. Для работы дистрибутив использует виртуальный диск определенного размера, храня данные в оперативной памяти. Все пакеты находятся в сжатом виде – иначе на диск не вместилось бы достаточное количество программ. Компрессия и декомпрессия настроены так, что используют лишь необходимое количество ОЗУ, а большая часть работы происходит непосредственно с CD. В среднем LiveCD работает так же быстро, как и система, установленная на жесткий диск, это происходит за счет блочного сжатия/расжатия и предупорядоченного доступа к файлам. Разработчики Whoppix приняли здравое решение не изобретать велосипед, а использовать для своего проекта уже хорошо себя зарекомендовавший Knoppix. В принципе Whoppix им и является, только вместо медиа-проигрывателей и офисных пакетов здесь эксплойты и security-утилиты. Whoppix специально создавался для тестирования информационных систем на устойчивость к различного рода сетевым атакам. В его составе можно обнаружить архивы эксплойтов от securityfocus и packetstorm, сканеры безопасности, утилиты для работы в локальных сетях и массу других незаменимых вещей. Whoppix работает непосредственно с CD, в качестве графической оболочки используется либо KDE, либо fluxbox. ISO-образ дистрибутива можно скачать с whoppix.net, или заказать в онлайн-магазинах.
Работа с дистрибутивом
Итак, вставляем компакт-диск в привод и, не забыв сменить приоритет для загрузочного устройства в BIOS, перезагружаемся. Через несколько секунд нашему взору предстает эмблема Whoppix и приглашение «boot:», где можно выбрать опции загрузки. Например, если ввести:
knoppix lang=ru desktop=fluxbox screen=1024x768
мы будем работать в оконном менеджере fluxbox с русским интерфейсом и разрешением 1024x768.
Остальные опции можно просмотреть, нажав и при появлении логотипа дистрибутива. Полная загрузка Whoppix длится порядка двух минут, это зависит от конфигурации ПК и скорости CD-привода. Системные требования довольно скромны – процессор класса P3 и 64 Мб оперативной памяти.
Графической оболочкой по умолчанию установлена KDE (см. рис. 1), которая является хоть и удобным, но довольно медленным окружением, особенно при работе с LiveCD. Кстати, по каким-то причинам Whoppix быстродействием не отличается, даже Knoppix, на котором он основан, работает шустрее. Хотя это может быть дефектом отдельного CD, рекомендую использовать fluxbox или вообще работать в консоли, благо большая часть утилит функционируют в текстовом режиме.
Рисунок 1. Графическая среда KDE в WHoppix
Также не понравились шрифты – во многих программах они неразборчивые и неэстетичные. Как оказалось, в дистрибутиве просто нет TrueType Fonts, разработчики забыли про такую важную вещь, как антиальясинг.
Теперь что касается русификации (напомню, локализовать систему можно, набрав lang=ru при загрузке). Она реализована неплохо, но при выборе русского языка недоступно переключение на английский, что при работе с Whoppix смерти подобно. Лучше использовать английский интерфейс, а для возможности набора русских символов добавить в файл /etc/X11/XF86Config строчку:
XkbLayout "us,ru(winkeys)"
Все оборудование распозналось без проблем, единственное, что пришлось настраивать, – звуковую карту Sound Blaster 128 PCI. Впрочем, благодаря утилите soundcardconfig это было сделано в течение десяти секунд.
А вот что привело в восхищение – так это утилиты для настройки доступа в Интернет. С помощью KwiFimanager и pppoeconf вы в два клика мыши настроите подключение с использованием технологий Wi-Fi и ADSL. Есть даже набор утилит для связи компьютера с мобильным телефоном и использования последнего в качестве GPRS-модема. Причем телефон можно подсоединять как по USB-кабелю, так и по Irda и bluetooth.
Остается настроить сеть, а для этого нужно знать IP-адреса серверов DNS, которые я, конечно же, не помнил. На моем компьютере Linux установлен на жесткий диск, и отдел reiserFS Whoppix уже заботливо примонтировал. Оставалось только выполнить команду:
# cp /mnt/hda1/etc/resolv.conf /etc
и сеть готова к работе.
Теперь немного о ПО, поставляемом с Whoppix. К счастью, разработчики догадались не включать в дистрибутив для специалистов в ИТ-безопасности видеоплееры и игры, оставив лишь самое необходимое. Gcc для компиляции, Xpdf для чтения документов, Firefox как браузер, ну а если музыкальный фон для вас – незаменимое условие, то для прослушивания любимых композиций подойдет XMMS. Также в Whoppix есть gFTP, Gaim, Xchat и программа для снятия скриншотов. Что же, разобравшись с тем, что представляет собой дистрибутив, начнем использовать его по прямому назначению – для обнаружения уязвимостей в системах безопасности.
Whoppix-tools
Все утилиты, касающиеся безопасности, находятся в директории /pentest корневого каталога. Начнем со вспомогательных программ. Здесь можно обнаружить rdesktop, позволяющий управлять удаленным windows-компьютером как своим, используя протокол RDP. Для пользователей VNC-сетей предусмотрен xvncviewer, удобный и быстрый графический клиент. Если понадобится поднять FTP-сервер, воспользуйтесь демоном tftpd, надежным и хорошо себя зарекомендовавшим продуктом. Программисты на Python по достоинству оценят scapy – интерпретатор с множеством дополнительных функций и хорошим руководством. Но отдельно хочется отметить netwox – комплекс утилит для работы в локальных сетях (см. рис. 2). С его помощью него можно просмотреть всю информацию об адаптерах, открытых и закрытых портах, о включенных в сеть компьютерах. В состав netwox входят «снифферы», перехватывающие пакеты в LAN, и «спуфинг»-приложения, посылающие пакеты с несуществующего IP-адреса. Посредством этих приложений можно выявить и устранить слабо защищенные места в локальной сети. Также в состав netwox входит telnet-клиент и несколько сканеров уязвимостей, но возможности последних оставляют желать лучшего. Полезными могут оказаться приложения, проверяющие на работоспособность FTP- и IRC-сервера.
Рисунок 2. Программа NetWox – комплекс утилит для работы в локальных сетях
Перейдем в /pentest/enumeration, где находится масса утилит самого различного назначения.
Klinkstatus проверит сайты на валидность по введенным адресам – полезная в некоторых случаях утилита, особенно для работающих в хостинговых компаниях. Скрипт list-vris.py собирает все линки и e-mail-адреса с выбранной веб-страницы. Это скорее похоже на орудие спамера, нежели администратора, но да бог с ним. Очень полезной может стать программа xwhois, которая по введенному веб-адресу или IP выведет географическую информацию, сообщит имя владельца домена или адрес и телефон провайдера, проверяемого сервисом whois. Программа работает с большим числом серверов, за счет чего информация никогда не бывает устаревшей или неполной. Есть несколько полезных утилит, увеличивающих функциональность стандартной программы traceroute, предназначенной для исследования сети при помощи протокола ICMP. Например, mtr – программа, проводящая диагностику сети посредством утилит ping, traceroute и им подобным, позволяющая выявить практически любую неисправность. Нужна при администрировании большего количества компьютеров.
Ни для кого не секрет, что поисковую машину google все чаще используют для поиска уязвимостей на веб-сайтах. В whoppix есть две утилиты, автоматизирующее и упрощающие процесс google-hacking, но описывать их подробно смысла нет – разобраться с ними труда не составит. Есть полезные программы для проверки занятости логинов на mail-серверах (и все-таки к созданию дистрибутива приложили руку спамеры), скрипты для настройки DNS-сервера, и не понятно как затесавшийся в этот список Leo-editor, редактор для веб-программистов. В hoppix присутствует LDAP Browser, похожее на Internet Explorer приложение, служащее для перемещения по службе каталогов (протокол LDAP). Отдельно хочется отметить набор утилит для работы с Samba – здесь и мощный переборщик паролей, позволяющий выявить слабые пользовательские аккаунты, и клиент для SMB-сетей, и приложение, позволяющее получить информацию об удаленном SMB-сервере.
Обнаружение уязвимостей
Естественно, отдельное внимание уделено сканерам безопасности. Cheops позволяет определить ОС на большинстве удаленных машин, а также зачастую находит разные интересные элементы (сетевые принтеры, роутеры) и выводит массу других данных. Cheops – дополненный вариант «network neighborhood», создающий образ сервера с описанием подробной о нем информации. Whoppix содержит разработку unicornscan, являющейся расширенным сканером портов. Главное достоинство – скорость, unicorscan выдает 30 000 пакетов в секунду на обычной сетевой карте. Сканер может эмулировать IP-стеки различных операционных систем, что позволяет обманывать даже хорошо настроенные брандмауэры.
Также интересен amap (не путать с nmap, о котором позже). Хотя ничего кардинально нового в нем нет, просто обычный сканер портов, качественно выполняющий свою работу. Для поиска ошибок в веб-сценариях и cgi-скриптах служит nikto – утилита, обнаруживающая более 2500 уязвимостей. Ну и, конечно же, классика жанра – nmap и nessus. Думаю, nmap в представлении не нуждается. Лучший сканер портов, с возможностью определения ОС на удаленном ПК, продвинутые возможности, поддержка невидимого сканирования и полуоткрытого SYN-сканирования. NMAP – незаменимая программа для каждого системного администратора (см. рис. 3). Лучшей утилитой для оценки безопасности сети является nessus (см. рис. 4). Работает на технологии клиент/сервер, обладает огромным количеством плагинов, дает рекомендации решения проблем. У nessus постоянно обновляемая база уязвимостей, графический интерфейс, а единственным недостатком является довольно медленная скорость работы, но не думаю, что это очень существенно.
Рисунок 3. Лучший сканер портов и самый мощный переборщик паролей – Nmap и Hydra
Рисунок 4. Nessus. Опции сканирования
Программы для перебора паролей нужны администратору для выявления слабых пользовательских аккаунтов и для дальнейшего смены пароля на более надежный, во избежание взлома аккаунта хакерами (среди последних «брутфорс» популярен куда больше, нежели среди системных администраторов). В Whoppix можно обнаружить переборщики под FTP, Samba, VNC, MySQL, и массу других сервисов. Но хотелось бы отдельно выделить Xhydra, безусловно, лучшую утилиту подобного рода, не имеющую альтернативы ни в Windows, ни в UNIX. Hydra поддерживает все протоколы – начиная FTP и POP3, заканчивая ssh и даже ICQ! Также программа отличается фантастической скоростью работы – несколько миллионов перебираемых паролей в минуту. Имеет как удобный графический интерфейс, так и консольную версию.
Разработчики Whoppix не обошли своим вниманием и утилиты для перехвата пакетов в сети – «снифферы». Одна из самых мощных утилит подобного рода – Ethereal, анализирующая пакеты на любых сетевых устройствах и расшифровывающая около 500 сетевых протоколов. Еще один популярный «сниффер» – ettercap. Захватывает подключения между двумя хостами и работает с SSH и другими защищенными протоколами. Отмечу tcpdump, разрабатываемую с 1992 года программу, которая фиксирует каждый проходящий через сетевую плату пакет.
Эксплойты
Чего-чего, а этого во Whoppix хоть отбавляй. Директория /pentest/exploits занимает 110 Мб! Причем большая часть эксплойтов находится в исходных кодах, для экономии жестко лимитированного места. Здесь архивы от securityfocus, packetstorm, milw0rm. Естественно, искать во всем этом многообразии нужный вам эксплойт нереально, для этого существует скрипт find-sploit.pl. Вводите в консоли его и сервис, под который ищете эксплойт, например:
# ./find-sploit Windows XP
и скрипт выведет пути к нужным вам программам (см.рис. 5).В Whoppix входит легендарный Metasploit Framework (см. рис. 6), – среда разработки, позволяющая создать любому опытному программисту эксплойт за предельно короткие сроки.
Рисунок 5. Поиск эксплойта под веб-форум PhpBB
Рисунок 6. Средство разработки эксплойтов – Metasploi Framework
Для работающих на технологиях от CISCO systems предусмотрен набор утилит cisco-tool, содержащий в себе несколько небольших приложений, способных выявить бреши в защите сети (см. рис. 7).
Рисунок 7. Программы для аудита CISCO-систем
Желающие сохранить анонимность в глобальной паутине могут воспользоваться списком proxy-серверов, но полагаю, что многие из них уже не работают и лучше использовать более свежие списки, благо найти их в Интернете труда не составит. Whoppix поможет проверить на прочность и базы данных – Microsoft SQL, MySQL, Oracle.
Wi-Fi и Bluetooth
Не забыты и беспроводные сети – настроить Wi-Fi поможет KwiFimanager, а для тестирования сети на защищенность ничего лучше kismet не найти (см. рис. 8). Kismet обнаружит WiFi-сети и выдаст массу информации о них: имя, используемое оборудование, определит, включено ли шифрование данных, позволит подключиться к LAN. В современных сетях используется шифрование данных, реализованное протоколом WEP. Надежность алгоритма стоит проверить утилитами airodump и airocrack, созданными специально для взлома систем шифрования сетей Wi-Fi.
Рисунок 8. Работа с беспроводными сетями
Присутствует софт под Bluetooth – помимо многочисленных программ для настройки есть утилиты для сканирования на наличие рядом с компьютером активных BT-устройств, перехватчики пакетов и даже программа, позволяющая взять всю информацию с телефонной книги мобильного телефона. Правда, для меня остается тайной, как все это поможет системному администратору – локальных сетей, работающих на bluetooth я не видел, и не думаю, что когда-либо увижу.
Пожалуй, на этом описание программ, связанных с ИТ-безопасностью, закончим. Описать весь софт, входящий в арсенал Whoppix, объем статьи не позволяет, да это и не нужно – со всем ПО разберется любой грамотный администратор.
Вообще, Whoppix оставил неоднозначное впечатление. С одной стороны, грамотный дистрибутив, действительно способный помочь ИТ-специалистам, с другой – некоторые неприятные моменты наподобие отсутствия нормальных шрифтов и медленная работа. И еще очень настораживает обилие откровенно хакерских утилит, предназначенных для неправомерного взлома, а не настройки собственных сетей. Автор статьи настоятельно рекомендует использовать Whoppix только по его прямому назначению. Лица, использующие информацию данной статьи в противозаконных целях, могут быть привлечены к ответственности.
Приложение
WHoppix – коротко о главном
WHoppix 2.7.1. – дистрибутив Linux, работающий на технологии LiveCD и предназначенный для тестирования информационных систем на устойчивость к сетевым вторжениям. Основан на Knoppix, который в свою очередь базируется на небезызвестном Debian GNU/Linux. Во WHoppix включено ядро 2.6.11, в качестве графической среды установлена KDE (опционально предлагается fluxbox). Благодаря использованию декомпрессии на одном CD находятся порядка двух гигабайт различного программного обеспечения, большая часть которого предназначена для специалистов в области ИТ-безопасности и системных администраторов. Также в состав WHoppix включены архивы эксплойтов от SecurityFocus и PacketStorm. Разработчиком WHoppix является команда энтузиастов WHAX team, образовавшаяся во время работы над дистрибутивом. Имена создателей по понятным причинам не разглашаются. Дистрибутив является свободно-распространяемым и каждый может скачать его iso-образ с официального портала – whoppix.net. WHoppix довольно молодой проект – первая версия вышла в 2003 году.
Frenzy – альтернатива Whoppix
Whoppix не единственный LiveCD-дистрибутив для системного администратора. Можно вспомнить еще и Frenzy – этот дистрибутив основан на FreeBSD 5.2.1-release. Frenzy разрабатывается украинским программистом, но языком по умолчанию в системе является русский, и стопроцентная локализация для многих может стать решающим фактором при выборе ОС, работающей непосредственно с компакт-диска. Размер дистрибутива – 210 Мб, что позволяет уместить его на трехдюймовый диск. Дистрибутив имеет графическую оболочку, утилиты для настройки сети, маршрутизации трафика, программы для настройки DNS и NAT. В обилии представлен security-софт: сканеры уязвимостей, системы обнаружения атак, переборщики паролей, «снифферы», и множество других программ. Интересная особенность Frenzy – возможность сохранять все настройки на жесткий диск, дискету, или флэшку. Благодаря этому после перезагрузки Frenzy обретет прежний вид, загрузив уже установленную конфигурацию.