Программа ARGUS

Утилита для аудита IP, написанная Картером Буллардом (Carter Ballard) и Часом ДеФатта (Chas DeFatta), применяется при анализе 1Р-трафика.

ARGUS загружается со следующих сайтов: ftp: ftp.sei.cmu.edu/pub/argus или http: www.auscert.org.au/Information/Tools/other-tools.html.

Программа SWATCH

SWATCH - утилита, созданная Стефеном Хансеном (Stephen Hansen) и Тоддом Ат-кинсом (Todd Atkins). Она облегчает работу с log-файлами. Программа SWATCH способна обнаруживать определенные события и выполнять различные действия на их основе. Кроме того, она в состоянии удалять из файла обычные записи, которые просто занимают место в нем. SWATCH можно загрузить с сайта ftp: ftp.stanford.edu/general/security-tools/swatch.

Программа ISS

Автор программы Internet Security Scanner (ISS, Сканер защиты Internet) - Кристофер Клаус (Christopher Klaus). Программа позволяет проверять компьютеры с заданными IP-адресами на наличие известных проблем безопасности.

Доступна для загрузки со следующих сайтов: ftp: ftp.iss.net/pub/iss или http: www.nomoresecrets.net/download/download.html.

Программа SATAN

о популярной утилите Security Administrator Tool for Analyzing Networks (SATAN, Инструмент системного администратора для анализа сетей) уже щла речь в главе 12 «Программное обеспечение, доступное в Internet*. Она снова упоминается здесь на тот случай, если вы пропустили эту главу. SATAN - превосходная и гибкая утилита, но для ее настройки необходимо обладать хорошими навыками системного администрирования UNIX и знаниями об организации сетей TCP/IP

SATAN вы найдете на следующих сайтах: http: ciac.llnl.gov/ciac/ToolsUnix NetSec.html или http: www.nomoresecrets.net/download/download.html.

Программы для мониторинга сети

в данном разделе собраны утилиты, относящиеся к сети. Некоторые из них-, такие как ARGUS, могут применяться для мониторинга 1Р-трафика, а другие, например SWATCH, - для работы с log-файлами, которые помогают следить за тем, что происходит в сети.

380 ПРИЛОЖЕНИЕ 2

Программа Courtney

с помощью SATAN слабые места сети ищут не только почтенные сетевые администраторы, но и личности, вовсе не достойные уважения, желающие причинить вам массу неприятностей. Да, это опять хакеры. Для мониторинга сети можно воспользоваться утилитой Courtney, которая обнаруживает активность SATAN и пытается установить адрес, с которого ведется сканирование.

Вы можете загрузить Courtney со следующих сайтов: http: ciac.llnl.gov/ ciac/ToolsUnixNetMon.html или http: www.auscert.org.au/Information/Tools/ other tools.html.

Еще один детектор SATAN - Gabriel

Это еще одна утилита, которая, как и Courtney, позволяет отследить момент начала сканирования ващей сети программой SATAN.

Gabriel находится на сайте http: ciac.llnl.gov/ciac/ToolsUnixNetMon.html.

Интерфейсная утилита Merlin

Программа Merlin сама по себе не является утилитой для проверки безопасности, но она обеспечивает возможность работы с больщинством популярных программ, таких как SATAN, COPS и Tripwire, в удобном графическом интерфейсе.

Merlin доступна для загрузки на сайте ftp: ciac.llnl.gov/pub/ciac/sectools/ unix/merlin/merlin.taTgz.

Программа ifstatus

При работе в promiscuous mode (режиме перехвата всех кадров) сетевой адаптер передает все полученные пакеты вверх по стеку протоколов. Благодаря этому специальные программы способны перехватывать и анализировать весь сетевой трафик. Перехват сетевых пакетов, в том числе и таких, в которых содержатся пароли и другие важные данные, в состоянии осуществлять и нарущитель. Для поиска работающих в данном режиме сетевых адаптеров предназначена утилита ifstatus, написанная Дэйвом Карри (Dave Curry).

Вы можете загрузить ifstatus с сайта ftp: coast.cs.purdue.edu/pub/tools/unix/ ifstatus/ifstatus.tar.Z.

Программа NID

Пакет Network Intrusion Detector (NID, Детектор проникновения в сеть) созданная в центре Computer Security Technology Center (Центре технологий компьютерной безопасности), состоит из нескольких утилит, служащих для обнаружения проникновения в сеть. Он также предоставляет возможность заметить выполнение запрещенных действий зарегистрированными пользователями.

Загружается NID с сайта http: ciac.llnl.gov/ciac/ToolsUnixNetMon.html.

Программа tcpdump

Утилита, написанная Ваном Якобсоном (Van Jacobson), переводит сетевой адаптер в promiscuous mode, а затем перехватывает и анализирует передаваемые по сети пакеты. Настраиваемые фильтры позволяют сузить поиск. Для тех, кто не в состоянии купить первоклассный (читайте - дорогой) сетевой анализатор, данная программа послужит его неплохой заменой.

Она доступна на сайте http: ciac.llnl.gov/ciac/ToolsUnixGeneral.htm].

Программы для тестирования системы

Программы, рассматриваемые в данном разделе, предназначены для проверки наличия зияющих брещей в защите системы.

Программа SecureJSun

Эта программа, автором которой является Дэвид Саффорд (David Safford), способна проверять сразу множество компьютеров с системой SunOS на наличие распространенных проблем безопасности.

Вы можете загрузить Secure Sun с сайта http: www.cerias.purdue.edu/coast/ archive/Archive-Indexing.html.

Программа trojan.pl

Программа проверяет все исполнимые файлы, которые могут быть запущены с правами root, на наличие «троянских коней».

Данная программа находится на сайте http: www.cerias.purdue.edu/coast/ archive/data/categ50.html.

Программа Tripwire

Служит для контроля целостности файловой системы. Сохраняет информацию о файлах и каталогах в базе данных, что позволяет обнаружить изменение важных системных файлов при их последующем сканировании.

Вы можете загрузить Tripwire со следующих сайтов: http: www.tripwiresecurity сот/ или ftp: info.cert.org/pub/tools/tripwire/.

Программа MD5

с помощью утилиты MD5 создается 128-битный дайджест сообщения (message digest) для системных файлов. Сравнение подобных «отпечатков пальца» с полученными во время предыдущего сканирования помогает обнаружить изменение важных файлов.

Дополнительную информацию о MD5 вы можете найти в RFC 1321. Загружается MD5 с сайта ftp: info.cert.org/pub/tools/md5/.