А. Н. Андрончик, В. В. Богданов, Н. А. Домуховский, А. С. Коллеров, Н. И. Синадский, Д. А. Хорьков

…

Собственно передаваемые данные.
Таким образом, используя простое подключение к web-серверу, можно получить достаточно большой объем информации о сервере: версию сервера, набор подключенных модулей, их версии и др.
Для обследования web-сервера в первую очередь необходимо провести обследование ОС сетевого узла, на котором он запущен. Затем можно исполь- зовать тесты, специфичные для web-сервера.
Для автоматизации поиска доступных файлов и каталогов, располагаю- щихся на web-сервере, можно использовать утилиту Cgichk. Для тестирования web-узла 192.168.10.1 с использованием этой утилиты можно воспользоваться командой:

235
> CGICHK.EXE 192.168.10.1
HEADER:
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Sun, 15 Oct 2006 18:47:54 GMT
Connection: Keep-Alive
Content-Length: 1295
Content-Type: text/html
Set-Cookie: ASPSESSIONIDQQGGGRUC=IFFBLHDBEBLBFMDEHGNMOOBL; path=/
Cache-control: private
------------------------------------------------------------
DIRECTORIES:
Found /images (403)
Found /test (200)
Found /_private (403)
Found /scripts (403)
INTEREST:
Found /cgi-bin/ (403)
SPECIFIC:
Found /robots.txt (200)
Указанная утилита возвращает содержимое заголовков HTTP-ответа, а также проводит поиск web-директорий, располагающихся на сервере. Из вы- вода этой утилиты видно, что на сервере имеются доступные директории
«images», «test», «_privat», «scripts». Исходя из названия этих директорий, можно сделать предположения об информации, которая находится в них.
Также указывается список «интересных» директорий, которые могут содер- жать уязвимые компоненты. Секция вывода «SPECIFIC» содержит дополни- тельно найденные элементы сайта. Например, найденный файл «robots.txt» может быть использован для поиска скрытых web-директорий сервера.
Для автоматизации поиска известных уязвимостей web-приложений можно использовать утилиту Nikto. Утилита Nikto представляет собой сканер, написанный на интерпретируемом языке Perl, который реализует всесторон- нее тестирование web-сервера и web-приложений. Данный сканер включает базу о более чем 3200 потенциально опасных файлах и 624 web-серверах. Мо- дули сканирования и база уязвимостей часто обновляются.
Для запуска утилиты nikto можно воспользоваться командой perl nikto.pl –h 192.168.10.3, ключ -h предназначен для указания IP- адреса или DNS-имени обследуемого узла. Символом «#» отмечены коммен- тарии к выводу утилиты.
> perl nikto.pl -h 192.168.10.3
# Версия утилиты
- Nikto 1.35/1.34
# IP-адрес обследуемого сервера
+ Target IP: 192.168.10.3
# Имя обследуемого сервера (возможно имя виртуального сервера)
+ Target Hostname: 192.168.10.3

236
# Номер порта, на котором функционирует сервер
+ Target Port: 80
# Метка времени начала сканирования
+ Start Time: Sun Oct 15 23:42:54 2006
-----------------------------------------------------------------
# Указание на то, что обследуемый сервер не обязательно будет возвращать
# правильный параметр «Server» (тип и версия обследуемого сервера), с
# использованием опции –g можно явно задать версию сервера. От этого
# параметра будет зависеть состав тестов, которые будет проводить nikto.
- Scan is dependent on "Server" string which can be faked, use -g to override
# Обнаруженные тип и версия сервера
+ Server: Apache/1.3.33 (Debian GNULinux)
# Перечень доступных серверных HTTP-команд (запросов)
+ Allowed HTTP Methods: GET, HEAD, OPTIONS, TRACE
# Указание на то, что команда TRACE должна быть разрешена только для
# отладочных задач
+ HTTP method 'TRACE' is typically only used for debugging. It should be disabled. OSVDB-877.
# Указывает на то, что версия web-сервера Apache на обследуемом узле
# является устаревшей, однако до сих пор поддерживается разработчиком и считается безопасной.
+ Apache/1.3.33 appears to be outdated (current is at least
Apache/2.0.54). Apache 1.3.33 is still maintained and considered secure.
# Включено индексирование каталога /icons/. Оно должно быть включено
# для специальных каталогов. В скобках указывается тип запроса,
# с помощью которого была получена информация.
+ /icons/ - Directory indexing is enabled, it should only be en- abled for specific directories (if required). If indexing is not used all, the /icons directory should be removed. (GET)
# Используя каталог /server-status, можно получить много информации о
# сервере Apache. Рекомендуется ограничить доступ к этому ресурсу.
+ /server-status - This gives a lot of Apache information. Com- ment out appropriate line in httpd.conf or restrict access to al- lowed hosts. (GET)
# Неотключенная команда TRACE может быть использована для реализации
# атаки типа XSS (межсайтовый скриптинг) или для кражи
# идентификационных данных. Указывается ссылка на адрес, по которому
# можно получить подробное описание найденной уязвимости.
+ / - TRACE option appears to allow XSS or credential theft. See http://www.cgisecurity.com/whitehat-mirror/WhitePaper_screen.pdf for details (TRACE)
# Каталог /doc открыт для просмотра.
+ /doc/ - The /doc directory is browsable. This may be /usr/doc.
(GET)

237
# Было проведено 2563 теста, найдено 5 элементов.
+ 2563 items checked - 5 item(s) found on remote host(s)
+ End Time: Sun Oct 15 23:43:07 2006 (13 seconds)
-----------------------------------------------------------------
+ 1 host(s) tested
Таким образом, с помощью утилиты nikto аудитор может получить ин- формацию об уровне защищенности web-сервера, сформировать перечень присутствующих уязвимостей различного типа. После обнаружения уязвимых сервисов, аудитор может произвести демонстрацию возможных действий зло- умышленника и оценить уровень связанных с каждым классом уязвимостей рисков.
Фрагмент аналитического отчета по результатам тестирования подсис- темы защиты web-сервера, установленного на сетевом узле с IP-адресом
192.168.10.3, может иметь следующий вид.
Общее описание ПИБ WEB-сервера
Внутренний web-сервер используется для публикации внутрикорпоративных новостей, документов, регламентов и приказов. Требования по доступности информации, хранящейся на web-сервере, низкие, простой в течение одного дня допустим. Требования по конфиден- циальности средние, получение информации, хранящейся на сервере, конкурентами может привести к финансовым потерям. Требования по целостности высокие, искажение инфор- мации, хранящейся на сервере, может привести к дезорганизации деятельности многих подразделений и к нарушению нормальной работы предприятия в целом.
В качестве web-сервера используется сервер Apache 1.3.33, установленный на сервере под управлением ОС Debian GNU Linux. Сервер используется для предъявления только статических web-страниц. Доступ к web-серверу разрешен всем пользователям локальной сети. Доступ из внешних сетей запрещен периметровым межсетевым экраном. Дополни- тельные средства защиты web-сервера (аутентификация, SSL, TLS, защита от DoS-атак) не предусмотрены. Резервирование данных не выполняется. Системные журналы и журналы регистрации хранятся непосредственно на сервере.
Примечание
Данная информация может быть получена от системного администратора, а также
путем подключения к web-серверу.
Выявленные риски и рекомендации по их обработке
Сервер поддерживает HTTP-методы GET, HEAD, OPTIONS, TRACE.
Примечание
Информация получена сканером nikto.
Метод OPTION может использоваться для получения списка поддерживаемых HTTP- методов, рекомендуется его отключить.
Метод TRACE используется только для целей отладки, его необходимо отключить, так как существуют техники атак на web-сервер, использующие этот метод.
Существует возможность просмотра каталогов /icons и /doc. Рекомендуется закрыть этот доступ.
Существует возможность просмотра системной информации сервера (например, с по- мощью следующего запроса web-обозревателя http://192.168.10.3/server-status). Данная функция должна быть отключена, если она не используется. Если она используется, то дос- туп к этой информации должен предоставляться только определенному набору узлов.

238
Примечание
Информация обнаружена сканером nikto и дополнительно должна быть проверена вруч-
ную.
Протоколы SSL и TLS не используются. В силу высоких требований по доступности рекомендуется внедрение протоколов SSL или TLS для обеспечения целостности данных, получаемых с web-сервера. Для этого можно использовать модуль mod_SSL web-сервера
Apache.
К серверу разрешен неавторизованный доступ. Рекомендуется запретить неавторизо- ванный доступ к серверу, так как его функциональное назначение предполагает, что доступ должны получать только сотрудники предприятия. Для прозрачности доступа рекоменду- ется использовать технологии единой регистрации в рамках всей информационной инфра- структуры.
Системные журналы и журналы регистрации хранятся непосредственно на сервере. Ре- комендуется использовать централизованное (в рамках всей информационной инфраструк- туры) хранилище системных журналов и журналов регистрации. Это позволит упростить к ним доступ и защитит от модификации. Данные журналов должны анализироваться на ре- гулярной основе.
Web-сервер использует настройки безопасности по умолчанию. Для повышения уровня безопасности web-сервера рекомендуется установить модуль mod-security, осуществляю- щий обнаружение и предотвращение вторжений на web-сервер. В частности, из арсенала средств защиты модуля mod-security необходимо использовать функцию chroot (выполне- ние сервера в изолированном файловом пространстве) и маскировку баннера сервера.
Рекомендуется отключить все неиспользуемые функции и модули web-сервера, такие как поддержка CGI и др.
Примечание
Поскольку аудитор находился в рамках модели «серого ящика» (в частности, не было воз-
можности провести анализ конфигурации сервера), он не мог точно определить, какие
функции отключены, а какие — нет. Поэтому приводимая рекомендация носит общий ха-
рактер.
ВЫПОЛНИТЬ!
24. С помощью утилиты netcat (или telnet) подключитесь к web-серверу, функционирующему на узле «Сервер». Определите версию web-сервера и запросите корневую страницу.
25. Последовательно выполните сканирование web-сервера с помощью утилит
Cgichk и Nikto.
26. Дополните табл. 8.3. Сделайте вывод о возможности анализа защищенно- сти web-сервера различными методами. Напишите тезисы «Аналитическо- го отчета», описывающие ПИБ, выявленные риски и рекомендации для этого сервера, в предположении, что данный сервер является web- сервером, содержащим информацию о компании, её структуре, новостях и о профиле деятельности.
27. Сформируйте итоговый отчет о проведении тестирования. Укажите пере- чень первоочередных мероприятий для устранения найденных уязвимо- стей.

239
СПИСОК ЛИТЕРАТУРЫ
1. Осипенко, А. Л. Борьба с преступностью в глобальных компьютерных се- тях: Международный опыт [Текст]: Монография / А.Л. Осипенко. — М.:
Норма, 2004. – 432 с.; 21 см. 3000 экз. – ISBN 5-89123-817-9 2. Запечников, С.В. Основы построения виртуальных частных сетей [Текст]:
Учеб. пособие для вузов / С.В. Запечников, Н.Г. Милославская, А.И. Тол- стой. — М.: Горячая линия–Телеком, 2003. — 249 с. ; 20 см. — 3000 экз.
— ISBN 5-93517-139-2 3. Медведовский, И.Д. Атака на Internet [Текст] / И.Д. Медведовский,
П.В.Семьянов, Д.Г.Леонов. – 2-е изд., перераб. и доп. – М.: ДМК, 1999. –
336 с.
4. Скрембрей, Дж. Секреты хакеров. Безопасность Windows 2000 – готовые решения [Текст] : [пер. с англ.] / Джоел Скрембрей, Стюарт Мак-Клар. –
М.: Вильямс, 2002. – 464 с. : ил. ; 24 см. – Перевод. изд.: Hacking Exposed.
Windows 2000: Network security secrets & solutions / Joel Scrambray, Stuart
McClure. – 3500 экз. – ISBN 5-8459-0300-9 5. Милославская, Н. Г. Интрасети: доступ в Internet, защита [Текст] : учеб. пособие для вузов / Н. Г. Милославская, А. И. Толстой. – М.: ЮНИТИ-
ДАНА, 2000. – 527 с. : ил. ; 21 см. – 6000 экз. – ISBN 5-238-00134-7 6. Компьютерные сети. Учебный курс: Официальное пособие Microsoft для самостоятельной подготовки [Текст] : [пер. с англ.] – 2-е изд., испр. и доп.
/ Корпорация Майкорософт. – М. : Русская редакция, 1997. – 576 с. : ил. ;
24 см. + 1 электрон. опт. диск. – 3000 экз. – ISBN 5-7502-0101-5 (в пер.)
7. Мандиа, К. Защита от вторжений. Расследование компьютерных преступ- лений [Текст] : [пер. с англ.] / К. Мандиа, К. Просис. – М.: ЛОРИ, 2005. –
476 с. : ил. ; 24 см. – Перевод. изд.: Incident response: investigating computer crime / Chris Prosise, Kevin Mandia. – 1500 экз. – ISBN 0-07-213182-9 (в пер.)
8. Лукацкий, А. В. Обнаружение атак [Текст] – 2-е изд., перераб. и доп. /
А. В. Лукацкий. – СПб: БХВ-Петербург, 2003. – 608 с. : ил. ; 24 см. –
3000 экз. – ISBN 5-94157-246-8 9. Уилсон, Э. Мониторинг и анализ сетей. Методы выявления неисправно- стей [Текст] : [пер. с англ.] / Эд Уилсон. – М.: ЛОРИ, 2002. – 350 с. : ил. ;
24 см. – Перевод. изд.: Network monitoring and analysys. A protocol ap- proach to troubleshooting / Ed Wilson. – 3200 экз. – ISBN 5-85582-163-3 (в пер.)
10. Рассел, Ч. Microsoft Windows 2000 Server. Справочник администратора
[Текст] : [пер. с англ.] – 2-е изд., испр. / Ч. Рассел, Ш. Кроуфорд. – М.:
ЭКОМ, 2002. – 1296 с. : ил. ; 25 см. + 1 электрон. опт. диск. – 3000 экз. –
ISBN 5-7163-0084-7 (в пер.)

240 11. Корт, С. С. Теоретические основы защиты информации [Текст] : учеб. по- собие для вузов / С. С. Корт. – М.: Гелиос АРВ, 2004. – 240 с. : ил. ;
24 см. – 2000 экз. – ISBN 5-85438-010-2 12. Стивенс, У. Р. Протоколы TCP/IP. Практическое руководство [Текст] :
[пер. с англ.] / У. Р. Стивенс. – СПб: БХВ-Петербург, 2003. – 672 с. : ил. ;
24 см. – 5000 экз. – ISBN 5-94157-300-6 13. Кульгин, М. Практика построения компьютерных сетей. Для профессио- налов [Текст] / М. Кульгин. – СПб.: Питер, 2001. – 320 с. : ил. ; 24 см. –
5000 экз. – ISBN 5-272-00351-9 14. Jones, A. Computer System Intrusion Detection: A Survey [Текст] / A. Jones,
R. Sielken. – Department of Computer Science. University of Virginia, 2000. –
25 с. ; 30 см.
15. Treaster, M. A Survey of Distributed Intrusion Detection Approaches / M.
Treaster. – National Center for Supercomputing Applications (NCSA). Univer- sity of Illinois, 2005. – 13 с. ; 30 см.
16. Kazienko, P. Intrusion Detection Systems (IDS). Part I, II [Электронный ре- сурс] / P. Kazienko, P. Dorosz. – http:/www.windowsecurity.com, 2003.
17. Snort Users Manual. Версия 2.4.0. [Электронный ресурс]. – http://www.snort.org – 94 с. ; 30 см.
18. Guide to Securing Microsoft Windows 2000 Terminal Services. Vincent J.
DiMaria, James F. Barnes, CDR Jerry L. Birdsong, Kathryn A. Merenyi. Na- tional Security Agency. 2001.
19. Петренко С. А. Аудит безопасности Intranet [Текст]. / Петренко С. А.,
Петренко А. А. – М.: ДМК Пресс, 2002. – 416 с.: ил.
20. ГОСТ Р 15408–02. Критерии оценки безопасности информационных тех- нологий [Текст]. – Введ. 2004–01–01 – М.: Изд-во стандартов, 2002.
21. ISO/IEC 17799:2000. Информационные технологии. Свод правил по управлению защитой информации. Международный стандарт [Текст] /
ISO/IEC, 2000.
22. K. Kendall, A Database of Computer Attacks for the Evaluation of Intrusion
Detection Systems, S.M. Thesis, MIT Department of Electrical Engineering and Computer Science, June 1999.

241
ПЕРЕЧЕНЬ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
1. Ethereal, разработчик – Gerald Combs (C) 1998-2005, источник – http://www.ethereal.com, версия 0.10.11.
2. InterNetView, разработчик – Evgene Ilchenko, источник – http://www.tsu.ru
/