Бредли Джонсон
В настоящее время Бредли Джонсон - менеджер группы поддержки сетей и безопасности у интернет-провайдера в городе Гейтербург, штат Мериленд. Бредли Джонсон отвечает как за безопасность и функционирование внутренней сети компании, так и за функционирование сетей компаний-клиентов. Джонсон обладает большим опытом в области использования средств защиты и контроля компьютерных сетей, таких как файерволы, системы обнаружения вторжений, сканеры уязвимости сетей и портов, системы контроля пространства сети и средства архивирования системных журналов. Вдобавок Бредли Джонсон имеет превосходную базовую подготовку в области программирования на C/C++ и Perl, и оказывал всяческую помощь в разработке и использовании средств обеспечения безопасности сетей компаний-клиентов.
Эрик Майволд
Эрик Майволд (CISSP) - ведущий инженер в фирме Fortex Technologes, где он осуществляет надзор за всеми исследованиями и подготовкой кадров. Управляет Центром обеспечения безопасности деятельности сети компании. Он также обеспечивает проведение оценки, разработку политики безопасности и внедрение решений в области безопасности для крупных финансовых институтов, сервисных компаний и предприятий. Эрик Майволд обладает большим опытом консультанта в области безопасности, сотрудника служб безопасности и разработчика, регулярно выступает с докладами на конференциях по компьютерной безопасности.
Авторы выражают благодарность: Кертису Роузу за выполненную им работу научного редактора и предоставленные для этой книги отдельные примеры и материалы; Кевину Мандиа за терпение и поддержку, проявленные во время написания этой книги; и Джейсону Гарману за то, что он знает о компьютерах все, что только возможно.
Кейт Джонс
Кейт Джонс - консультант по компьютерной юриспруденции в Фаундстоуне. Основная область интересов - разработка программ реагирования на компьютерные инциденты и судебная практика в области компьютерных преступлений. Кейт Джонс специализируется на анализе системных журналов и инструментальных средств для совершения компьютерных преступлений, а также на исследовании компьютерных преступлений и методов организации компьютерных атак и проникновений. В Фаундстоуне Кейт Джонс занимался проблемами краж интеллектуальной собственности, хищения финансовых средств, халатности и внешних атак. Кейт Джонс - ведущий исследователь в области расследования инцидентов и видов компьютерной преступности. Он аттестован Федеральным судом США в качестве эксперта в области компьютерных преступлений, и занимается исследованиями компьютерных преступлений в международном масштабе. Опыт его предыдущей работы включает разработку программного обеспечения (проекты среднего масштаба, программное обеспечение с открытыми кодами (open source) и специальные средства обеспечения безопасности).
Кертис Роуз
Кертис Роуз - директор Investigations&Forensics at Sitex, Inc. Г-н Роуз, бывший специальный агент по информационной безопасности, высококлассный эксперт в области компьютерного права и методов предотвращения инцидентов. Выполнял работы по подготовке персонала и консалтингу для департамента юстиции США, Центра защиты национальной инфраструктуры ФБР, Управления специальных исследований ВВС США, Армии США.
Г-н Роуз разрабатывал специализированное ПО для определения, контроля и отслеживания деятельности компьютерных взломщиков. Имеет право давать показания под присягой в качестве эксперта в Верховном суде США.
Майк Шема
Майк Шема - ведущий консультант и преподаватель в Фаундстоуне. Он занимается защитой и проверкой компьютерных сетей от проникновения извне с помощью брандмауэров (firewall), контролем частных виртуальных сетей (VPN) и анализом веб-приложений. Майк Шема на короткой ноге с современными средствами обеспечения безопасности, вопросами уязвимости и современными тенденциями в этой области.
До своего появления в Фаундстоуне Майкл Шема занимался конфигурированием и поддержкой высокопроизводительного веб-сервера на базе Apache и сервера баз данных от Oracle для доступа большого числа интернет-клиентов. Он работал в таких фирмах как Booz, Allan&Hmilton, как член группы национальной безопасности и провел множество экспертиз правительственных и военных сайтов с точки зрения их безопасности, а также разработал специализированные материалы для обучения персонала.
у меня есть шесть часов,
Если у меня есть шесть часов, чтобы срубить дерево, я потрачу четыре на заточку топора.
Авраам Линкольн
В студенческие годы профессор процитировал мне написанное выше, и с тех пор это выражение всегда со мной. Перед началом работы тщательно выберите и подготовьте инструменты для того, чтобы выполнить работу наилучшим образом. По нашему мнению, одним из ключей к достижению успеха является осмысленное и эффективное использование всех имеющихся в распоряжении средств. Эта книга написана для того, чтобы помочь всем профессионалам в области сетевой и компьютерной безопасности выполнять свою работу более эффективно, продуктивно и без срывов.
Книга разделена на четыре части: многофункциональные средства, средства для аудита систем, объединенных в сеть, средства для аудита сети и вспомогательные средства обнаружения инцидентов в инфраструктуре. Части включают следующие темы.
Аудит и превентивные действия.Определение инцидентов.Исследование и реагирование.Законная защита.
По нашим представлениям, эти задачи отнимают значительную часть рабочего времени специалистов по безопасности, сетевиков и системных администраторов. Термин "анти-хакер" появился, поскольку в этой книге мы охватываем все упомянутые задачи (от начала до конца процесса обеспечения безопасности).
Каждый раздел согласуется с освещаемой темой. Глава начинается с общего описания всех рассматриваемых инструментальных средств. Затем описывается каждый из инструментов. Но эта книга - не просто технический справочник со списком инструментальных средств. Для каждого средства приводится подробное описание способов применения, эффективного использования, включая сведения о том, что было обнаружено в процессе использования того или иного инструмента. В каждой лекции приводятся примеры из реальной практики, демонстрирующие применение того или иного средства. В отдельных случаях один и тот же пример приводится для демонстрации способов решения задачи с использованием разных инструментальных средств, описываемых в конкретной лекции. По некоторых темам мы смогли привести разные примеры для каждого из описываемых средств. Стараясь приблизить примеры к реальности, мы позволили себе некоторые литературные вольности для того, чтобы сделать истории более удобными для чтения и демонстрации использования большего числа инструментальных средств. Есть примеры, где обсуждается реакция системных администраторов на обнаружение инцидентов в сети.
Еще раз хотим подчеркнуть, что эта книга в большей степени сосредоточена на использовании инструментальных средств, чем на методологии обеспечения безопасности вашей сети. Но если у вас уже есть общие представления о методологии, вы можете их использовать при чтении этой книги.
Вдобавок, для использования этих средств необходимо обсудить наиболее популярные сегодня на рынке операционные системы, и все, с чем вы можете столкнуться в процессе обеспечения безопасности или исследования существующих сетей. В этой книге под "Windows" подразумевается любая из операционных систем от Microsoft, Inc: Windows 95/98/Me/NT/2000 и XP, если не указано другое. Когда речь идет о "Unix", то имеются в виду юниксоподобные операционные системы, а не только оригинальная версия системы от Bell Labs. К некоторым из наиболее употребимых Unix-систем, для которых применение обсуждаемых средств наиболее эффективно, относятся Solaris (i386 и Sparc), Linux, FreeBSD, NetBSD, OpenBSD и некоторые другие. Если какой-либо инструмент работает только под управлением одной из версий Unix, то это оговаривается особо.
Поскольку упоминаемые в книге инструментальные средства могут коренным образом измениться в будущем (особенно это свойственно программным средствам с открытым исходным кодом), мы приводим копии экранных изображений интерфейсов этих программ и примеры вывода на экран. Это делается не для иллюстрации излагаемого материала, а чтобы помочь обнаружить отличия более поздних версий программ от тех, которые обсуждаются в этой книге.
К книге прилагается компакт-диск, содержащий копии большинства программ, упоминающихся в этой книге, производители которых разрешили нам их распространение. В случае если обсуждаемая в книге программа защищена коммерческой лицензией, мы включали распространяемую поставщиком демонстрационную версию программы. Если общедоступная демонстрационная версия программы отсутствует, то имеет смысл посетить веб-сайт производителя, чтобы скачать ее оттуда. Поскольку движение за программные средства с открытыми кодами получает все большее распространение, мы попытались включить в состав компакт-диска много некоммерческих программных средств, чтобы обеспечить возможность выбора. Мы надеемся, что компакт-диск устранит необходимость поиска этих программных средств на соответствующих веб-сайтах. Это позволит вам получить представление обо всех примерах, представленных в книге.
Как уже говорилось, средства поддержки сетей и обеспечения безопасности с развитием технологии постоянно изменяются. Появляются новые средства, а старые программы обретают новые возможности. Поскольку внимание этой книги сосредоточено на инструментальных средствах поддержки сетей и обеспечения безопасности, нам бы хотелось информировать вас о появлении новых программных средств, происходящих в них изменениях и новостях из сферы обеспечения безопасности. Поэтому приглашаем вас на веб-сайт http://www.antihackertoolkit.com. Он содержит ссылки на программы, информацию о программах, опечатках, найденных в книге, и обновлениях содержания.