| ||||||||||||||||
| ||||||||||||||||
| ||||||||||||||||
Satan Satan-1.1.1. Сначала про инсталляцию. Из дистрибутива он, в принципе, ставится для многих платформ. Вот как назло, кроме линуха. Сам дистрибут довольно старый, и линукс с тех пор убежал далеко вперед, а САТАН лезет довольно глубоко в TCP/IP стек. Ну, вам для линукса и не нужно, а кому нужно, на ftp://sunsite.unc.edu/pub/Linux лежит патченная версия. Правда, про нее ходят слухи (в comp.os.linux), что эта версия работает, но дар не находит. Разворачиваешь архив, смотришь, есть ли у тебя netscape (в крайнем случае Mosaic, еще хуже lynx) и перл не младше 5.0. В принципе, без www-интерфейса можно обойтись вообще - задать все параметры из командной строки... Запускаешь ./reconfig, а еще лучше perl reconfig (там могут быть проблемы с параметрами sh). Я буду рассказывать про текущую директорию, ту, в которую все разворачивается. Этот reconfig можешь руками подправить. Например, если у вас, как у всех, /usr/local/bin/netscape версии 3.0, а /usr/local/netscape/netscape версии 4.0+, то каталог /usr/local/netscape можешь внести в массив $other_dirs первым. Затем make - компилируются штук пять вспомогательных программ (вот как раз те, которые в глубь ОСа лезут, они-то в линуксе и не компиляются). Все, готов к работе. Никаких make install, поэтому разворачивай сразу в защищенную директорию. Теперь запускаешь ./satan, можно вовсе без параметров. Он запускается, становится WWW-сервером (порт выбирает случайным образом) и запускает netscape, указывая на себя. Запускается для сканирования он только от рута (я так понимаю, манипулирует привелигированными портами), но после сканирования можно из рута выйти и результаты просматривать от любого юзера (имеющего доступ на чтение к базам.). Известная дырка - поскольку он WWW-сервер, то на него можно попытаться пойти. САТАН с этим борется, генерируя префикс сессии, и пуская netscape только с этим префиксом. Но если кто по сети подглядит префикс сессии и номер порта... Ну хорошо, вот на экран вылез нетскейп, в нем - SATAN Control Panel. Выбираешь первый пункт - Data Management. Он предлагает создать/открыть базу данных. База - это подкаталог каталога ./results, в базе будут лежать 3 файла, текстовые, но довольно корявые, да и то там они появятся после сканирования. По умолчанию работаешь с базой satan-data, но это не очень мнемоничное название, так что создаешь базу (имя каталога), например, i.am.scanning-site.ru. Нажимаешь кнопку Open/create. Он тебе откроет классный экран Warning - SATAN Password Disclosure. Тоже известная дыра, уже не в САТАНе, в www-browser'ах. Если ты во время работы пойдешь на другой сайт, есть риск, что бродилка скажет там HTTP_REFERER, ну а в нем уже упомянутый префикс сесии. Ничего не делаешь, сразу нажимаешь в browser'е RELOAD. Появляется следущий экран, почти пустой, в нем выбираешь (слева внизу) back to start page. Попадаешь на начальную страницу, выбираешь target selection. Здесь пишешь имя хоста, с которого начнешь сканировать, укажешь, сканировать ли всю сеть или только один хост, и "уровень нападения", который может быть слабым, нормальным и крутым. И кнопочка Start the scan. Вот тут-то все и начинается. SATAN начнет извлекать информацию из имени хоста, получит его сеть и начнет сканировать всю сеть или отдельно стоящий хост, и процесс этот будет отображать в окне скейпа. Длительность сканирования и количество информации, конечно, сильно зависят от уровня и самой сети. Один хост в режиме light тестируется секунды. Локальная сеть тестируется heavy час. После сканирования можно будет опять вернуться на начальную страницу, а можно выйти из САТАНа, выйти из-под рута, опять запустить САТАН, и уже не спеша читать анализ - Reporting & Data Analysis. Там, в общем, все ясно. Следующий пункт в control panel'и - Configuration Management. Это оконный интерфейс для редактирования файла ./config/satan.cf. Файл можно редактировать и руками. Самые интересные параметры конфигурации - proximity. Они регулируют способ перехода от подсети/домена к другим подсетям/доменам. Общая идея приерно такая. Если САТАН в процессе тестирование узла обнаружил, что, например, MX или secondary NS указывают на другую сеть/домен, то эти другие попадают в список "соседей". Ну и, естественно, становятся кандидатами на тестирование. Параметр $max_proximity_level указывает, каких соседей тестироввать. При установке из дистрибута это параметр равен 0, что означает тестирование только primary target - хоста или сети. Установка этого параметра в единицу приводит к тестированию первых соседей, в 2 - соседей соседей. Следует учесть, что число "соседних" хостов растет по экспоненте. В документации сказано "Ни при каких обстоятельствах не устанавливайте этот параметр больше 2"! Ничего удивительного. Это может кончится сканированием всего Интернета и, как следствие, суровыми карами для системного администратора и его начальства. Другой параметр - $proximity_descent, - показывает, как изменяется уровень атаки при переходе к соседям. Уровень атаки уменьшается на эту величину. Т.е. установкой его в 0 можно сканировать соседей на том же уровне, что и основную цель, установкой в 1 - соседи будут тестироваться на один уровень слабее, соседи соседей на 2 уровня... Параметр $sub_zero_proximity говорит, надо ли останавливаться при тестировании соседей, когда уровень атаки упадет ниже 0. Сочетая значения этих параметров, можно сказать, например, "сканируй primary target на уровне normal, а соседей вообще не сканируй", или "сканируй primary на уровне heavy, соседей - normal, соседей 2-го порядка light"... Хорошая вещь SATAN! |
|
| ||||||||||||||||
|