До написания этой книги автор долго дискутировал с редакционным штатом Sams.net. В этих дискуссиях стала ясной одна вещь: Sams.net требуется книга, которая была ценна всем пользователям, не только отдельной группе. Изучение более ранних книг по теме было очень полезным. Большинство из них были хорошо написаны и со вкусом представлены, но предназначались прежде всего системным администраторам NT или UNIX. И стало понятно, что на ряду с ними, имеются миллионы средних пользователей, которым необходимы элементарные знания безопасности. Чтобы удовлетворить эту потребность, автор нацелился на создание универсальной книги по безопасности в Internet.

Чтобы сделать так, он был должен нарушить некоторые соглашения. Соответственно, эта книга вероятно отличается от других книг Sams.net по содержанию и форме. Однако, книга содержит обильные знания и имеет различные способы доступа к ним. Эта глава кратко выделяет, как читатель может наиболее эффективно находить и реализовывать эти знания.

Может ли Эта Книга Использоваться на Практике?

Может ли эта книга использоваться на практике? Несомненно. Она может служить и как справочником и как общим введением. Ключом для каждого читателя должно быть то, какая информация является наиболее важной для него или её. Книга свободно следует двум принципам, общим для книг Sams.net:

1) Упорядочивание информации (когда каждая глава исходит, в некоторой мере, из информации предыдущей)

2) Упорядоченное развитие (когда Вы идёте от самого простого к сложному)

Эта книга гибрид обоих методов. Например, книга изучает сервис TCP/IP, затем быстро переходит к тому, как эти сервисы интегрированы в современных броузерах, на какие копромисы идут эти сервисы, и в конечном счёте, как защититься от таких компромиссов. В этом отношении, это образец упорядочивания информации в книге.

В то же самое время, книга начинается с общего изучения структуры Internet и TCP/IP (которая покажется простой по сравнению с последующим изучением перехвата, где Вы будете исследовать фактическую конструкцию информационного пакета). По мере того, как Вы продвигаетесь, информация становится всё более обширной. В этом отношении, это образец упорядоченного развития в книге.

Использование Этой Книги Более Эффективно: Кто Вы?

Различные люди получат различные выгоды от прочтения этой книги, в зависимости от обстоятельств. Хочется, чтобы каждый читатель изучил следующие категории. Информация будет наиболее ценна Вам, если Вы:

1) Системный администратор

2) Хакер

3) Взломщик

4) Деловой человек

5) Журналист

6) Случайный пользователь

7) Специалист по безопасности

Так же хочется охватить все эти категории, чтобы книга была ценна каждой из них. Если Вы точно не подпадаете ни под одну из этих категорий, попробуете категорию, которая лучше всего описывает Вас.

Системный Администратор

Системный администратор это любой человек, занимающийся управлением сетью или любой частью сети. Иногда, люди могут не понимать, что они являются системными администраторами. В маленьких компаниях, например, обязанности программирования и системного администрирования иногда возлагаются на одного человека. Таким образом, такие люди универсальны. Они сохраняют систему работоспособной, добавляют новые учётные записи и, в основном, выполняют любую требуемую работу. Человек, выполняющий такую работу, и есть системным администратор.

Что Эта Книга Предлагает Системному Администратору

Эта книга предполагает только элементарные знания безопасности от системных администраторов, и полагаем, что это разумно. Многие способные системные администраторы не хорошо сведущи в безопасности, не потому что они ленивы или некомпетентны, а потому что безопасность не была (до сих пор) для них проблемой. Например, рассмотрим сисадмина, который является хозяином во внутренней ЛВС. Один день, начальник говорит, что ЛВС должна быть подключена к Сети. Внезапно этот сисадмин брошен в совершенно другую (враждмордаю) среду. Он или она могли бы быть исключительно квалифицированными во внутренней безопасности, но иметь практического опыта в Internet. Сегодня, перед многочисленными системными администраторами сталкиваются с этой проблемой. Для многих дополнительное финансирование для найма специалистов по безопасности не доступно и таким образом, эти люди должны работать одни. Эта книга послужит таким системных администраторов введением в безопасность Internet.

Аналогично, более опытные системные администраторы могут эффективно использовать эту книгу, чтобы изучить или, возможно, освежить свои знание о различных аспектах безопасности в Internet, которые редко включают в книги, написанные для широкой публики.

Для любого типа сисадмина, эта книга позволяет достичь фундаментальную цель: Она поможет им в защите своей сети. Наиболее важно, что эта книга показывает нападение с обеих сторон. Она показывает и как напасть и как защититься в реальной жизнью, в боевой ситуации.

Хакер

Термин хакер относится к программистам, а не к тем, кто незаконно нарушает безопасность систем. Хакер это любой человек, который исследует целостность и безопасность операционной системы. Чаще всего, эти люди программисты. Обычно они имеют продвинутые знание аппаратных средств и программного обеспечения и способны ко взлому системы творческими способами. Часто, хакеры определяют новые способы использования или реализации сети, о которых изготовители программного обеспечения не предполагали.

Что Эта Книга Предлагает Хакеру

Эта книга предполагает только элементарные знания безопасности в Internet от хакеров и программистов. Для них, эта книга обеспечит понимание наиболее общих слабостей безопасности Сети. Она покажет, как программисты должны представлять себе эти слабости. Существует постоянно увеличивающийся рынок тех, кто может написать приложение клиент/сервер, особенно для использования в Сети. Эта книга поможет программистам принимать разумные решения о том, как разработать код безопасным и чистым. Как дополнительная польза, анализ существующих сетевых утилит (и их недостатки) может помочь программистам в разработке более нового и, возможно, более эффективного приложения для Internet.

Взломщики

Взломщик это любой человек, который использует расширенное знание Internet (или сети) чтобы ставить под угрозу сетевую безопасность. Исторически, эта деятельность включала взламывание защищённых паролем файлов, но сегодня взломщики используют широкий диапазон методов. Хакеры также иногда проверяют безопасность сетей, часто идентичными утилитами и методами, используемыми взломщиками. Чтобы различать между собой эти группы на тривиальном уровне, просто запомните следующее: Взломщики участвуют в таких действиях без разрешения. Также, в основном взламывание незаконно, недопустимо, и поэтому наказуемо сроком заключения.

Что Эта Книга Предлагает Взломщику

Для подающего надежды взломщика эта книга обеспечит короткий путь к знанию по взлому, которое трудно приобрести. Все взломщики начинаются где-нибудь, многие в известной группе Usenet alt.2600. Поскольку более новые пользователи затопляют Internet, качественную информацию о взломе (и безопасности) становится более трудно найти. Диапазон информации представлен плохо. Часто тексты или невероятно фундаментальны или мучительно технические. Есть немного материала, который находится между. Эта книга сохранит новому взломщику сотни часов чтения и осмысления и фундаментальной и технической информации до единственной (и я надеюсь) хорошо обработанной книги.

Деловой Человек

Цели делового человека относится к любому человеку, который открыл (или откроет) коммерческое предприятие, использующее Internet как среду. Следовательно, деловой человек, в значении, используемом в этой книге, является любым человеком, который ведёт торговлю по Internet, предлагая товары или услуги.

Что Эта Книга Предлагает Деловому Человеку

Предприниматели работают в сети каждый день. Если Вы один из них, эта книга может помочь Вам многими способами, например помочь Вам принять разумные решения относительно безопасности. Она подготовит Вас к недобросовестным специалистам по безопасности, которые могут потребовать у Вас тысячи долларов, чтобы выполнить основные задачи системного администрирования. Эта книга также предложит основную структуру вашей внутренней политики безопасности. Вы вероятно читали множество драматичных отчётов о хакерах и взломщиках, но эти материалы в значительной степени делают сенсацию. (Коммерческие поставщики часто извлекают выгоду из вашего опасения, распространяя такие истории.) Методы, которые будут использоваться против вашей системы, просты и методичны. Знайте их, и Вы будете знать, по крайней мере, основы того, как защитить ваши данные.

Журналист

Журналист - любой, кто пишет об Internet. Это может быть кто-то, кто работает для информационной службы или студент колледжа, пишущий для своей университетской газеты. Классификация не имеет никакого отношения к тому, сколько денег заплачено за материал и где он издан.

Что Эта Книга Предлагает Журналисту

Если Вы журналист, то знаете, что персонал безопасности редко говорит с такими как Вы. То есть они редко позволяют взглянуть изнутри на безопасность в Internet (и когда они делают так, это обычно имеет форму гарантий, которые могли бы или не могли бы иметь значение). Эта книга поможет журналистам в обнаружении хороших источников и твёрдых ответов на вопросы, которые они могли бы иметь. Кроме того, эта книга даст журналисту, который плохо знаком с безопасность полное представление этой области. Технология писания трудна и требует исследования. Моё намерение состоит в том, чтобы сузить это поле исследования для журналистов, которые хотят охватить Internet. В будущем этот тип отчётов (независимо, напечатанных или опубликованных в средствах массовой информации) станет более распространённым.

Случайный Пользователь

Случайный пользователь это любой человек, который использует Internet чисто как источник развлечения. Такие пользователи редко проводят в Сети больше десяти часов в неделю. Они занимаются серфингом по темах, которые имеют персональный интерес для них.

Что Эта Книга Предлагает Случайному Пользователю

Для случайного пользователя эта книга обеспечит понимание внутренней работы Internet. Она подготовит читателя к персональным нападениям различных видов, не только от других, враждебных пользователей, но и от любопытных глаз правительства. По существу, эта книга сообщит читателю, что Internet не игрушка, что личность может быть прослежена, и что могут случаться плохие вещи при использовании Сети. Для случайного пользователя эта книга могла быть названа "Как Избежать Захвата на Информационной Супермагистрали".

Специалист по Безопасности

Специалист по безопасности это любой человек, занимающийся защитой одной или более сетей от нападения. Нет необходимости, чтобы им платили за их услуги, и чтобы они квалифицировались в этой области. Некоторые люди делают это как хобби. Если они делают так, они специалист.

Что Эта Книга Предлагает Специалисту по Безопасности

Если ваша работа - безопасность, эта книга может послужить одной из двух целей:

1) Справочник

2) Глубокий взгляд на различные инструментальные средства, применяемые в пустоте.

Многое из информации, охваченной здесь, будет глубоко знакомо специалисту по безопасности. Часть материала, однако, может быть не столь знакома. (Наиболее вероятно, некоторые межплатформенные материалы по организации сетей со множеством операционных системам.) Дополнительно, эта книга даёт всестороннее представление безопасности, заключённое в одном тексте. (И естественно, материалы на CD-ROM обеспечивают удобство и полезность.)

Хороший, Плохой и Уродливый

Как Вы используете эту книгу, это Ваше дело. Если Вы купили или иначе получили эту книгу как инструмент, чтобы облегчить незаконные действия, это одно. Вы не будете разочарованы, информация, содержащейся в здесь, хорошо подходит для таких действий. Однако, обратите внимание, что автор не предлагает (и при этом он не потворствует) такие действия. Те, кто незаконно проникают через сети редко делают так для забавы и часто преследуют разрушительные цели. Прикиньте, как много требуется времени, чтобы установить сеть, записать программное обеспечение, сконфигуровать аппаратные средства и создать базы данных. Поэтому такие действия отвратительны сообществу хакеров, и сообщество взломщиков очень разрушительно. Однако, выбрать что ни будь одно, даже плохое, лучше чем не выбрать ничего. Взломщики также служат цели безопасности. Они помогают хорошим парням в обнаружении ошибок, свойственных сетям.

Хороший Вы, плохой или уродливый, вот некоторые советы по эффективному использованию этой книги:

1) Если Вы хотите понять в деталях некоторые аспекты безопасности, строго следуйте примечаниям. В этих примечаниях часто появляются ссылки, указывающие на различные документы по безопасности, RFC, FYI или IDRAFT. Переваренные версии таких документов никогда не заменят наличие первоначального, несокращённого текста.

2) Конец каждой главы содержит краткое повторение охваченной информации. "Итоговая" часть главы весьма ценна чрезвычайно удобной ссылкой, особенно для тех, кто уже знаком с обсуждаемыми утилитами и концепциями.

Ограничения Этой Книги

Область этой книги широка, но имеются ограничения на полезность информации. Перед исследованием их индивидуально, хочется кое-что прояснить: безопасность в Internet это сложная тема. Если Вы занимаетесь безопасностью сети, надеется исключительно на эту книгу ошибка. Никакая книга не может заменить опыт, чувство содержания и знания хорошего системного администратора. Вероятно, что такая книга никогда не будет написана. Некоторые ограничения этой книги включают следующее:

1) Своевременность
2) Полезность

Своевременность

Автор началэтот проект в январе 1997. Несомненно, с тех пор появились сотни новых дыр. Таким образом, первое ограничение этой книги касается своевременности.

Своевременность может бы, а может и не быть огромным фактором в значении этой книги. Скажем, может или не может только по одной причине: Многие люди не используют самое последнее и самое лучшее из программного обеспечения или аппаратных средств. Экономические и административные факторы часто препятствуют этому. Таким образом, имеются ЛВС работающие под Windows для Рабочих Групп, которые постоянно соединены с Сетью. Точно так же некоторые личности используют для доступа SPARCstation 1s работая в SunOS 4.1.3. Поскольку старое программное обеспечение и оборудование существует в пустоте, многое из материала останется актуальным. (Хорошими примерами являются машины с установленными устаревшими операционными системами, которые, как теперь доказано, содержат многочисленные дефекты безопасности.)

Советуем читателю читать тщательно. Некоторые ошибки, исследованные в этой книге, общие только для единственной версии программного обеспечения (например, Windows NT Server 3.51). Читатель должен обратить особое внимание на информации о версии. Одна версия данного программного обеспечения могла бы содержать ошибку, однако более поздняя версия нет. Безопасность в Internet не статическая вещь. Новые дыры обнаруживаются с частотой одна в день. (К сожалению, такие дыры часто намного дольше исправляются.)

Будьте уверены, однако, что на момент написания информация, содержащаяся в этой книге, была актуальной. Если Вы неуверенны, изменилась ли информация, в которой Вы нуждаетесь, обратитесь к вашему поставщику.

Полезность

Хотя эта книга содержит много практических примеров, это не практические рекомендации для взлома серверов Internet. Правда, автор обеспечил много примеров того, как взлом был сделан, и даже утилиты, для выполнения этой задачи, но эта книга не сделает читателя профессиональным хакером или взломщиком. Нет никакой замены опыту, и эта книга не может обеспечить её.

Что эта книга может обеспечивать, так это основы безопасности в Internet, хака и взлома. Читатель с небольшим знанием этих тем получит достаточную информацию, чтобы взломать средний сервер (средним я обозначаю сервер, поддерживаемый людьми, которые имеют несколько несовершенное знание безопасности).

Также, журналисты найдут эту книгу лишённой стиля сенсационной литературы, обычно связанной с темой. Для них, приносим извинения. Однако, саги самураев имеют ограниченное значение в фактическом приложении безопасности. Безопасность это серьёзная тема, и должна быть освещена настолько ответственно, насколько это возможно. Через несколько лет многие американцы будут заниматься своими банковскими делами интерактивно. Как только первый частного гражданина по теряет сбережения всей жизни из-за взломщика, увлечение широкой публикой историями взломов закончится и шутки закончатся.

Наконец, настоящие специалисты по безопасности найдут, что для них только последняя четверть книги имеет существенное значение. Как отмечено, я разработал эту книгу для всех аудиторий. Однако, эти гуру должны сохранять глаза открытыми, когда они побегут через эту книгу. Они могут бы быть приятно удивлены (или даже возмущены) частью информации, показанной в последней четверти текста. Like a sleight-of-hand artist who breaks the magician's code, I have dropped some fairly decent baubles in the street.

Итог

Короче говоря, в зависимости от вашей позиции в жизни, эта книга поможет Вам:

1) Защитить вашу сеть
2) Узнать о безопасности
3) Взломать сервер Internet
4) Обучить ваш штат
5) Написать осведомлённую статью о безопасности
6) Создать политику безопасности
7) Разработать безопасную программу
8) Участвовать в Сетевой войне
9) Немного развлечься

Она ценна хакерам, взломщикам, системным администраторам, деловым людям, журналистам, специалистам по безопасности и случайным пользователям. Содержит большой объём информации, возможно быстрое перемещение между главами, и надеемся, что книга передаёт информацию ясно и кратко.

Одинаково, эта книга не может сделать читателя профессиональным хакером или взломщиком, и при этом она не может удовлетворить вас, как единственный источник информации о безопасности. Как сказано, давайте продвигаться вперёд, начиная с небольшого введения в хакеры и взломщики.