Разделы:

Главная

О проекте

Загрузки

Документация:

Linux

BSD

Другие Unix

Программинг

HTML, XML...

Сервера

"Окна Закрой!"

MANы

 


SATAN

SATAN-1.1.1.

Сначала про инсталляцию. Из дистрибутива он, в принципе, ставится для многих платформ. Вот как назло, кроме линуха. Сам дистрибут довольно старый, и линукс с тех пор убежал далеко вперед, а САТАН лезет довольно глубоко в TCP/IP стек. Ну, вам для линукса и не нужно, а кому нужно, на ftp://sunsite.unc.edu/pub/Linux лежит патченная версия. Правда, про нее ходят слухи (в comp.os.linux), что эта версия работает, но дар не находит.

Разворачиваешь архив, смотришь, есть ли у тебя netscape (в крайнем случае Mosaic, еще хуже lynx) и перл не младше 5.0. В принципе, без www-интерфейса можно обойтись вообще - задать все параметры из командной строки...

Запускаешь ./reconfig, а еще лучше perl reconfig (там могут быть проблемы с параметрами sh). Я буду рассказывать про текущую директорию, ту, в которую все разворачивается.

Этот reconfig можешь руками подправить. Например, если у вас, как у всех, /usr/local/bin/netscape версии 3.0, а /usr/local/netscape/netscape версии 4.0+, то каталог /usr/local/netscape можешь внести в массив $other_dirs первым.

Затем make - компилируются штук пять вспомогательных программ (вот как раз те, которые в глубь ОСа лезут, они-то в линуксе и не компиляются).

Все, готов к работе. Никаких make install, поэтому разворачивай сразу в защищенную директорию.

Теперь запускаешь ./satan, можно вовсе без параметров. Он запускается, становится WWW-сервером (порт выбирает случайным образом) и запускает netscape, указывая на себя. Запускается для сканирования он только от рута (я так понимаю, манипулирует привелигированными портами), но после сканирования можно из рута выйти и результаты просматривать от любого юзера (имеющего доступ на чтение к базам.). Известная дырка - поскольку он WWW-сервер, то на него можно попытаться пойти. САТАН с этим борется, генерируя префикс сессии, и пуская netscape только с этим префиксом. Но если кто по сети подглядит префикс сессии и номер порта...

Ну хорошо, вот на экран вылез нетскейп, в нем - SATAN Control Panel. Выбираешь первый пункт - Data Management. Он предлагает создать/открыть базу данных. База - это подкаталог каталога ./results, в базе будут лежать 3 файла, текстовые, но довольно корявые, да и то там они появятся после сканирования.

По умолчанию работаешь с базой satan-data, но это не очень мнемоничное название, так что создаешь базу (имя каталога), например, i.am.scanning-site.ru. Нажимаешь кнопку Open/create. Он тебе откроет классный экран Warning - SATAN Password Disclosure. Тоже известная дыра, уже не в САТАНе, в www-browser'ах. Если ты во время работы пойдешь на другой сайт, есть риск, что бродилка скажет там HTTP_REFERER, ну а в нем уже упомянутый префикс сесии.

Ничего не делаешь, сразу нажимаешь в browser'е RELOAD. Появляется следущий экран, почти пустой, в нем выбираешь (слева внизу) back to start page.

Попадаешь на начальную страницу, выбираешь target selection. Здесь пишешь имя хоста, с которого начнешь сканировать, укажешь, сканировать ли всю сеть или только один хост, и "уровень нападения", который может быть слабым, нормальным и крутым. И кнопочка Start the scan. Вот тут-то все и начинается.

SATAN начнет извлекать информацию из имени хоста, получит его сеть и начнет сканировать всю сеть или отдельно стоящий хост, и процесс этот будет отображать в окне скейпа. Длительность сканирования и количество информации, конечно, сильно зависят от уровня и самой сети. Один хост в режиме light тестируется секунды. Локальная сеть тестируется heavy час.

После сканирования можно будет опять вернуться на начальную страницу, а можно выйти из САТАНа, выйти из-под рута, опять запустить САТАН, и уже не спеша читать анализ - Reporting & Data Analysis. Там, в общем, все ясно.

Следующий пункт в control panel'и - Configuration Management. Это оконный интерфейс для редактирования файла ./config/satan.cf. Файл можно редактировать и руками.

Самые интересные параметры конфигурации - proximity. Они регулируют способ перехода от подсети/домена к другим подсетям/доменам. Общая идея приерно такая. Если САТАН в процессе тестирование узла обнаружил, что, например, MX или secondary NS указывают на другую сеть/домен, то эти другие попадают в список "соседей". Ну и, естественно, становятся кандидатами на тестирование. Параметр $max_proximity_level указывает, каких соседей тестироввать. При установке из дистрибута это параметр равен 0, что означает тестирование только primary target - хоста или сети. Установка этого параметра в единицу приводит к тестированию первых соседей, в 2 - соседей соседей. Следует учесть, что число "соседних" хостов растет по экспоненте.

В документации сказано "Ни при каких обстоятельствах не устанавливайте этот параметр больше 2"! Ничего удивительного. Это может кончится сканированием всего Интернета и, как следствие, суровыми карами для системного администратора и его начальства.

Другой параметр - $proximity_descent, - показывает, как изменяется уровень атаки при переходе к соседям. Уровень атаки уменьшается на эту величину. Т.е. установкой его в 0 можно сканировать соседей на том же уровне, что и основную цель, установкой в 1 - соседи будут тестироваться на один уровень слабее, соседи соседей на 2 уровня...

Параметр $sub_zero_proximity говорит, надо ли останавливаться при тестировании соседей, когда уровень атаки упадет ниже 0.

Сочетая значения этих параметров, можно сказать, например, "сканируй primary target на уровне normal, а соседей вообще не сканируй", или "сканируй primary на уровне heavy, соседей - normal, соседей 2-го порядка light"...

Хорошая вещь SATAN!



Партнёры и спонсоры проекта:

Все материалы сайта распространяются по лицензии GNU/GPL
© ProUNIX 2003-2009, UnixLib 2005-2009, SoftLib 2006-2009.