Комп’ютерні мережі. Аналіз роботи і оптимізація

Як уже згадувалося, описана в цьому розділі утиліта сервера NetBus, вимагає попереднього запуску на комп'ютері, що атакується. Останнє завдання складає цілу окрему область хакінгу і полягає в пошуку відкритих через недогляд каталогів інформаційного сервера IIS, а також у використанні методів «соціальної інженерії», що використовується для впровадження в комп'ютер троянських коней або вірусів.

3.1.5 Приховування слідів

Аудит, поза сумнівом, є одним з найбільш серйозних засобів захисту від взлому комп'ютерної системи, і відключення засобів аудиту - одна з перших операцій, яку виконують хакери при зломі комп'ютерної системи. Для цього застосовуються різні утиліти, що дозволяють очистити журнал реєстрації і/або відключити аудит системи перед початком роботи.

Для відключення аудиту хакери можуть відкрити консоль ММС і відключити політику аудиту, скориставшись засобами операційної системи. Іншим, могутнішим засобом, є утиліта auditpol.exe комплекту інструментів W2RK. З її допомогою можна відключати (і включати) аудит як локального, так і віддаленого комп'ютера. Для цього необхідно з командного рядка ввести таку команду.

C:\Auditpol>auditpol \\sword-2000 /disable

На екрані з'являться результати роботи:

Running...

Audit information changed successfully on \\sword-2000...

New audit policy on \\sword-2000...

(0) Audit Disabled

System = No

Logon = No

Object Access = No

Privilege Use = No

Process Tracking = Success and Failure

Policy Change = No

Account Management = No

Directory Service Access = No

Account Logon = No

Параметр команди \\sword-2000 - це ім'я віддаленого комп'ютера, а ключ /disable задає відключення аудиту на цьому комп'ютері. Утиліта auditpol.exe є досить ефективним засобом для управління мережевими ресурсами і також може бути інструментом який використовується при взломі. Також ця утиліта дозволяє включати і відключати аудит бази даних SAM, що є передумовою використання утиліти pwdump3.exe для отримання паролів з бази SAM.

Очищення журналів безпеки можна виконати або за допомогою утиліти проглядання журналів Windows 2000/XP, або за допомогою спеціальних утиліт. У першому випадку слід виконати наступні дії.

· Клацнути на кнопці Пуск (Start) і в головному меню, що з'явилося, вибрати команду Налаштування * Панель управління (Settings* Control Panel).

· У панелі управління, відкрити теку Адміністрування (Administrative Tools).

· Двічі клацнути на аплеті Управління комп'ютером (Computer Management). На екрані з'явиться діалог консолі ММС.

· Послідовно відкрити теки Службові програми * Перегляд подій (System Tools | Event Viewer).

· Клацнути правою кнопкою миші на пункті Безпека (Security Log).

· Вибрати команду контекстного меню Стерти всі події (Clear all Events). На екрані з'явиться діалог Проглядання подій (Event Viewer) з пропозицією зберегти журнальні події у файлі.

· Клацнути на кнопці Ні (No), якщо більше не потрібні зафіксовані в журналі події. Журнал буде очищений.

При очищенні журналу безпеки з нього витираються всі події, але відразу встановлюється нова подія - тільки що виконане очищення журналу аудиту! Таким чином, хакер все ж таки залишить свій слід - порожній журнал із зафіксованою подією очищення журналу[9].

3.2 Засоби віддаленого керування

Засоби віддаленого керування комп'ютерами сьогодні набули великої популярності. Поступово, крок за кроком, з інструменту віддаленого адміністрування, що використовувалися суто в технологічних цілях, програмні засоби цього типу почали використовуватися співробітниками різних організацій для роботи зі своїм офісним комп'ютером не виходячи з будинку, з домашнього комп'ютера. Сучасні програми віддаленого керування офісним комп'ютером надають цілий набір засобів для підключення - прямого, модемного і мережевого. Все це надає великі зручності для співробітників організацій, проте і хакерам також відкриваються можливості для досягнення своїх цілей.

Інсталюючи засоби віддаленого керування, існує можливість його несанкціонованого використання. Якщо встановити на офісний комп'ютер модем і підключити його до телефонної лінії для подальших сеансів зв'язку з домашнього комп'ютера, то хакер при виявленні телефонів організації і протестувавши на наявність з'єднання за допомогою спеціальних програм ідентифікує засоби віддаленого керування та взламує їх.

3.2.1 Програма pcAnywhere

Програма pcAnywhere корпорації Symantec є одним з кращих інструментів віддаленого керування хостами мережі TCP/IP. pcAnywhere встановлюється на комп'ютерах, зв'язаних локальною мережею, модемною лінією зв'язку або безпосередньо, через послідовні і паралельні порти. Комп'ютери, керовані засобами pcAnywhere, називаються хостами, а комп'ютери, що керують, називаються абонентами. Взаємодія хостів і абонентів pcAnywhere відбувається наступним чином, після встановлення зв'язку на екрані віддаленого комп'ютера відображаються ті ж засоби призначеного для користувача інтерфейсу і діалоги програм, що і на моніторі хосту. При цьому дії користувача в діалозі абонента pcAnywhere негайно копіюються на екрані хоста pcAnywhere.

Таким чином, користувач комп'ютера-абонента pcAnywhere отримує в своє розпорядження консоль віддаленого керування хостом pcAnywhere, практично співпадаючу з локальною консоллю хосту (рис. 3.15).

Для керування роботою своїх хостів і абонентів програма pcAnywhere надає диспетчер, робоче вікно якого, pcAnywhere Manager (Диспетчер pcAnywhere), представлене на рис. 3.16.

Версія 10.5.1 програми pcAnywhere не дозволяє поповнювати список абонентів хоста без вказівки логіна і пароля вхідної реєстрації. Новому абонентові при створенні надаються за замовчуванням обмежані права.
Отже, на перший погляд, все, що можна запропонувати для злому доступу до хосту pcAnywhere - це спробувати вгадати логін і пароль, часто співпадаючі з логіном і паролем вхідної реєстрації. Для цього можна скористатися програмою Brutus. Ця програма дозволяє настроювати свої засоби злому паролів. Проте це трудомісткий і ненадійний шлях, оскільки користувач встановить надійний пароль для реєстрації, а система захисту зафіксує численні спроби вхідної реєстрації [8].

Існує обхідний шлях - підміна профілю підключення абонента до хосту. В цьому випадку необхідно створити хост pcAnywhere, ім'я якого співпадає з тим, що відображається в діалозі очікування з'єднання. Наступним кроком є створення абонента для підключення до цього хосту, цьому абонентові надаються необмежені права доступу до хосту, встановлюючи перемикач Superuser (Суперкористувач) на вкладці Privileges (Привілеї) діалогу властивостей абонента.

Після створення хосту pcAnywhere в папці Системний диск:/Documents and Settings/All Users/Application Data/Symantec/pcAnywhere (або в іншій папці, вказаній в списку діалогу диспетчера pcAnywhere), створюється файл профілю абонента цього хоста з передбаченим ім'ям. У даному випадку для хосту Sword-2000 після створення абонента pcAnywhere з логіном А1ех-3 був створений файл профілю з ім'ям PCA.Alex-3.CIF - тобто з ім'ям, що містить логін абонента в середині запису, і з розширенням .CІF.

Створивши за допомогою диспетчера pcAnywhere нового абонента наприклад, Hacker, профіль якого буде збережений у файлі PCA.Hacker.CIF на комп'ютері хакера. Якщо цей файл РСА.Hacker.CIF помістити на хост Sword-2000 в теку Системний диск:/Documents and Settings/All Users/Application Data/Symantec/ pcAnywhere, то в діалозі абонентів хоста Sword-2000 з'явиться новий обліковий запис ( рис. 3.17).

Тепер до хосту pcAnywhere можна підключитися, знаючи логін і пароль нового абонента Hacker, в даному випадку - хакер, що трохи попрацював для створення і перенесення файлу профілю на комп'ютер-жертву.

Існує декілька шляхів для запису файлу на атакований комп'ютер. Одним з них це атака на протокол NETBIOS, або підготувавши і відправити лист з активним вкладенням, яке завантажить на хост файл, скажімо, з використанням клієнта TFTP. Можна також вдатися до методів соціальної інженерії і змусити ламера клацнути на посиланні для завантаження безкоштовної программи (це найкращий метод для людей із специфічними схильностями). Якщо хост pcAnywhere функціонує як Web-сервер, є сенс атакувати сервер IIS, і якщо це програма IIS 5, не оброблена сервісними пакетами, то шанси на успіх майже стовідсоткові[8].

Щоб віддалено визначити, чи встановлений на комп'ютері хост pcAnywhere і чи працює він в даний момент, слід звернутися до засобів інвентаризації ресурсів локальної мережі, які повинні виявити на комп'ютері відкриті порти віддаленого управління. Проте в мережах Windows є і ще одна можливість - використання засобів інвентаризації, вбудованих в системи Windows NT/2000/XP, які спираються на протокол SNMP (Simple Network Management Protocol -простий протокол мережевого управління).

3.2.2 Протокол SNMP

Протокол SNMP призначений для віддаленого адміністрування хостів локальної мережі. Для хакерів протокол SNMP забезпечує великі можливості з інвентаризації мережі, на вразливостях SNMP базується багато хакреських атак. Тому розроблено безліч програм управління мережами з опорою на протокол SNMP, з яких виділимо пакет SOLARWINDS. Ці утиліти мають подвійне застосування. Системні адміністратори використовують їх для адміністрування мережі, а хакери - для проникнення в мережу і заволодіння її ресурсами. Отже, перейдемо до знайомства з пакетом SOLARWINDS з врахуванням завдань злому і захисту.

Протоколом SNMP є стандарт управління мережами TCP/IP (а також мережами IPX). На основі протоколу SNMP створюються програмні засоби віддаленого управління мережевими серверами, робочими станціями і іншими пристроями, що дозволяють налаштовувати роботу мережевих хостів, спостерігати за їх роботою, відстежувати збої і поточну діяльність користувачів в мережі.

Для роботи вищезгаданих програмних засобів SNMP використовуються системи управління SNMP (або консолі SNMP) і агенти SNMP, тобто служби SNMP, що збирають інформацію про вузли, і поміщають її в бази даних MIB (Management Information Base - база керуючої інформації). База MIB містить таблицю запущених служб, звіт про спосіб розмежування доступу, перелік сеансів і облікових записів користувачів, набір загальних ресурсів сервера і іншу інформацію. Для проглядання бази МІВ застосовуються системи управління SNMP, наприклад, утиліта snmputil з пакету W2RK або ж спеціальне програмне забезпечення, прикладом якого є застосуванню IP Network Browser, що входить в пакет SOLARWINDS 2002 Engineer's Edition. Хости, на яких функціонують консолі і агенти SNMP, об'єднуються в співтовариства SNMP, що ідентифікуються іменами співтовариства. Агенти SNMP кожного хосту співтовариства можуть передавати повідомлення у відповідь на запити консолей SNMP тільки «свого» співтовариства і тих співтовариств, які вказані в списку, що створюється при конфігурації служби SNMP. Для обміну інформацією використовується транспортний протокол UDP, а передача пакетів SNMP виконується через сокети Windows з портами 161 і 162.

Якщо хакерові вдається визначити ім'я співтовариства SNMP, інвентаризація мережевих ресурсів комп'ютерів співтовариства не викликає жодних проблем. Для вирішення цього завдання можна скористатися пакетом SOLARWINDS, що включає у себе найрізноманітніші утиліти для збору відомостей про локальну мережу.

На рис. 3.18. представлений діалог браузера MIB з пакету Solar Winds 2001 Engineer's Edition, що відображає записи бази даних MIB комп'ютера А1ех-3, що входять в розділ відомостей про облікові записи і загальні ресурси комп'ютера.

На рис. 3.18. можна відмітити, що дані, які відображаються браузером МІВ аналогічні таким, що виявлені з бази SAM за допомогою утиліти LC4 . Таким чином, база МІВ не менш інформативна, ніж база SAM, крім того, що в ній відсутні паролі облікових записів.

Існує й інша утиліта для проглядання ресурсів мережевих хостів - Network Browser , яка представляє інформацію бази даних МІВ мережі, що інвентаризується в доступнішій формі ( рис. 3.19).

Проблема у використанні бази MIB для цілей інвентаризації полягає в отриманні імені співтовариства, яке по суті є паролем для доступу до інформації в базі MIB. Це завдання зовсім не безнадійне, оскільки засоби пакету SOLARWINDS 2001 Engineer's Edition включають утиліти SNMP Brute Force Attack і SNMP Dictionary Attack для злому доступу до бази МІВ підбором імені співтовариства, що виконується, відповідно, прямим перебором символів і шляхом словникової атаки.

Дуже часто для надання імен співтовариствам, SNMP адміністратори використовують встановлені за замовчуванням імена public, або private, або їх варіації. Тому утиліти SNMP Brute Force Attack і SNMP Dictionary Attack для злому доступу до співтовариства SNMP враховують таку особливість. Вони дозволяють хакерові вводити початкові імена співтовариства SNMP типу public або private в стартовий рядок пошуку з автоматичною генерацією варіантів рядків, що випробовуються. Це дозволяє швидко знаходити імена типу public2 і інші, що базуються на стандартному імені public[8].

Для захисту від атаки на протокол SNMP, слід закрити доступ до портів 161 і 162, які використовуються агентами і консоллю SNMP, вдавшись до засобів фільтрації ТСР/ІР, або засобами аплета Служби (Services) комп'ютера Windows 2000/XP, щоб відключити на хості службу SNMP. У будь-якому випадку ім'я співтовариства SNMP повинно бути достатньо складним для злому методом грубої сили, оскільки ім'я співтовариства служить фактично паролем доступу до агента SNMP.

Встановлені на мережевому хості засоби віддаленого управління, як від незалежного виробника (програма pcAnywhere). так і вбудовані (служба SNMP) можуть стати справжніми знахідками для хакера, оскільки дуже часто після інсталяції цих засобів їх система захисту не настроєтна належним чином. Це стосується практично всіх загальнопоширених програм віддаленого керування, особливо ранніх версій. Щоб виявити комп'ютер зі встановленою програмою віддаленого керування, можна скористатися засобами протоколу SNMP, що забезпечує роботу агентів і консолі SNMP управління ресурсами комп'ютера. Браузер IP Network Browser, розглянутий в цьому розділі, надійно ідентифікує відкриті порти програми віддаленого управління pcAnywhere, після чого хакер може скористатися різними засобами для віддаленого злому доступу до хосту pcAnywhere.

Не слід нехтувати також можливостями SNMP для вирішення загального завдання інвентаризації систем, що атакуються. Засоби захисту агентів і консолі SNMP, вбудовані в систему Windows не забезпечують належноїй безпеки для комп'ютерів співтовариства SNMP. Для хакера це надає обширні можливості для інвентаризації ресурсів мережевих хостів і подальших спроб злому доступу до комп'ютерів.

Для запобігання взлому, паролі доступу до хостів pcAnywhere мають бути досить складними, щоб їх не можна було зламати словниковою атакою, або простим перебором. Описаній вище атаці на хост pcAnywhere можна також запобігти, обмеживши доступ до папок комп'ютера, що зберігають інформацію для налаштування. Тому налаштування системи захисту Windows - найкращий спосіб запобігання атакам на засоби віддаленого управління[7].

3.3 Функції брандмауерів

Брандмауером називають спеціальний програмно-апаратний комплекс, що забезпечує захист локальної мережі від вторгнень з локальної або глобальної мережі, наприклад, Інтернету, в точці їх з'єднання. Брандмауери дозволяють пропускати через мережеве з'єднання тільки авторизований трафік, контролюючи тим самим мережеву взаємодію між комп'ютерами глобальної і локальної мережі. Високорозвинуті брандмауери дозволяють виконувати дуже точну настройку доступу до мережевих служб, надаючи для цього зручний графічний інтерфейс. Добре настроєний брандмауер не просто блокує неавторизовані запити з боку зовнішніх комп'ютерів, але і намагається ідентифікувати авторів запиту разом з негайним повідомленням адміністратора системи про спроби таких запитів.

Брандмауери дозволяють управляти мережевим трафіком, що проходить усередині локальної мережі. За допомогою брандмауерів можна розділити локальну мережу на домени безпеки - групи комп'ютерів з одним рівнем захищеності. На комп'ютерах найбільш захищеного домена слід зберігати конфіденційну інформацію, наприклад, облікові записи користувачів, документи фінансової звітності, відомості про поточну виробничу діяльність і тому подібне. Розділення доступу користувачів до мережевих ресурсів різного ступеня секретності вже само по собі різко підвищує рівень безпеки мережі. Якщо до того ж набудувати брандмауер так, щоб доступ до виділеного мережевого сегменту був максимально обмеженим, то можна значною мірою забезпечити інформацію, що зберігається в сегменті, від розкриття конфіденційності[6].

У загальному випадку методика Firewall, тобто брандмауерів, реалізує наступні основні три функції:

1. Багаторівнева фільтрація мережного трафіка.

Фільтрація звичайно здійснюється на трьох рівнях OSI:

* мережному (IP);

* транспортному (TCP, UDP);

* прикладному (FTP, TELNET, HTTP, SMTP ).

Фільтрація мережевого трафіка є основною функцією систем Firewall і дозволяє адміністратору безпеки мережі централізовано здійснювати необхідну мережеву політику безпеки у виділеному сегменті IP-мережі. Тобто, настроївши відповідним чином Firewall, можна дозволити чи заборонити користувачам як доступ із зовнішньої мережі до хостів, що знаходяться в сегменті, який захищається, так і доступ користувачів із внутрішньої мережі до відповідного ресурсу зовнішньої мережі.

2. Proxy-схема з додатковою ідентифікацією й аутентифікацією користувачів на Firewall - хості.

Proxy-схема дозволяє, по-перше, при доступі до захищеного Firewall сегменту мережі здійснити на ньому додаткову ідентифікацію й аутентифікацію віддаленого користувача. По-друге, є основою для створення приватних мереж з віртуальними IP-адресами. Proxy-схема призначена для створення з'єднання з кінцевим адресатом через проміжний proxy-сервер (proxy від англ. повноважний) на хості Firewall. На цьому proxy-сервері і може здійснюватися додаткова ідентифікація абонента.

3. Створення приватних віртуальних мереж (Private Virtual Network - PVN) з "віртуальними" IP-адресами (NAT - Network Address Translation).

У випадку, якщо адміністратор безпеки мережі вважає за доцільне приховати топологію своєї внутрішньої IP-мережі, то йому необхідно використовувати системи Firewall для створення приватної мережі (PVN-мережа). Хостам у PVN-мережі призначаються будь-які "віртуальні" IP-адреси. Для адресації в зовнішню мережу (через Firewall) необхідне використання на хості Firewall proxy-серверів, або застосування спеціальних систем роутінгу (маршрутизації). Це відбувається через те, що віртуальна IP-адреса, яка використовується у внутрішній PVN-мережі , не придатна для зовнішньої адресації (зовнішня адресація - це адресація до абонентів, що знаходиться за межами PVN-мережі). Тому proxy-сервер, чи засіб роутінгу повинен здійснювати зв'язок з абонентами з зовнішньої мережі зі своєї дійсної IP-адреси. Ця схема зручна в тому випадку, якщо для створення ІР-мережі виділили недостатню кількість IP-адрес, тому для створення повноцінної IP-мережі з використанням proxy-схеми досить тільки однієї виділеної IP-адреси для proxy-сервера.

Будь-який пристрій, що реалізує хоча б одну з цих функцій Firewall-методики, і є Firewall-пристроєм. Наприклад, ніщо не заважає використовувати в якості Firewall - хосту комп'ютер зі звичайною ОС FreeBSD чи Linux, у якої відповідним чином необхідно скомпілювати ядро ОС. Firewall такого типу буде забезпечувати тільки багаторівневу фільтрацію ІР-трафіка. Пропоновані на ринку Firewall-комплекси, створені на базі ЕОМ звичайно реалізують усі функції Firewall-методики і є повнофункціональними системами Firewall. На рис. 3.20 зображений сегмент мережі, відділений від зовнішньої мережі повнофункціональним Firewall - хостом.

Однак адміністраторам IP-мереж треба розуміти, що Firewall це не гарантія абсолютного захисту від віддалених атак у мережі Internet. Firewall - не стільки засіб забезпечення безпеки, скільки можливість централізовано здійснювати мережну політику розмежування віддаленого доступу до доступних ресурсів мережі. Firewall не зможе запобігти таким видам атак як: аналізу мережного трафіку, помилковий ARP-сервер, помилковий DNS-сервер, підміна одного із суб'єктів TCP-з'єднання, порушення працездатності хосту шляхом створення спрямованої атаки помилковими запитами чи переповнення черги запитів. В таких випадках використання Firewall не допоможе. Для того, щоб вивести з ладу (відрізати від зовнішнього світу) усі хости усередині захищеного Firewall-системою сегмента, досить атакувати тільки один Firewall. Це пояснюється тим, що зв'язок внутрішніх хостів із зовнішнім світом можливий тільки через Firewall.

З усього вищесказаного аж ніяк не випливає, що використання систем Firewall є абсолютно безглуздим, на даний момент цій методиці немає альтернативи. Однак треба чітко розуміти і пам'ятати її основне призначення. Застосування методики Firewall для забезпечення мережної безпеки є необхідною, але аж ніяк не достатньою умовою. Не потрібно вважати, що поставивши Firewall вирішуються всі проблеми з мережною безпекою і усунуться усі можливі віддалені атаки з мережі Internet [7].

3.4 Перехоплення мережевих даних

Для сніфінгу мереж Ethernet зазвичай використовуються мережеві карти, переведені в режим прослуховування. Прослуховування мережі Ethernet вимагає підключення комп'ютера із запущеною програмою-сніфером до сегменту мережі, після чого хакерові стає доступним весь мережевий трафік, що відправляється і отримується комп'ютерами в даному мережевому сегменті. Ще простіше виконати перехоплення трафіку радіомереж, що використовують безпровідні мережеві ретранслятори. В цьому випадку не потрібно навіть шукати місця для підключення до кабелю.

Для технології сніфінгу можна використати программу-сніфер SpyNet, яку можна знайти на багатьох Web-сайтах. Програма SpyNet складається з двох компонентів - CaptureNet і PipeNet. Програма CaptureNet дозволяє перехоплювати пакети, передавані по мережі Ethernet на мережевому рівні, тобто у вигляді кадрів Ethernet. Програма PipeNet дозволяє збирати кадри Ethernet в пакети рівня прикладних програм, відновлюючи, наприклад, повідомлення електронної пошти, повідомлення протоколу HTTP (обмін інформацією з Web-сервером) і виконувати інші функції.

Для захисту від прослуховування мережі застосовуються спеціальні програми, наприклад AntiSniff, які здатні виявляти в мережі комп'ютери, зайняті прослуховуванням мережевого трафіку. Програми антисніфери для вирішення своїх завдань використовують особливу ознаку наявності в мережі прослуховуючих пристроїв. Мережева плата комп'ютера-сніфера повинна знаходитися в спеціальному режимі прослуховування. Знаходячись в режимі прослуховування, мережеві комп'ютери особливим чином реагують на IP-дейтаграми, що посилаються на адресу тестованого хосту. Наприклад, хости, що прослуховують як правило, обробляють весь трафік, що поступає, не обмежуючись тільки відісланими на адресу хосту дейтаграммами. Є і інші ознаки, що вказують на підозрілу поведінку хоста, які здатна розпізнати програма AntiSniff [11].

Поза сумнівом, прослуховування дуже корисне з погляду зловмисника, оскільки дозволяє отримати безліч корисної інформації: передавані по мережі паролі, адреси комп'ютерів мережі, конфіденційні дані, листи і інше. Проте просте прослуховування не дозволяє хакерові втручатися в мережеву взаємодію між двома хостами з метою модифікації і спотворення даних. Для вирішення такого завдання потрібна складніша технологія.

3.4.1 Фальшиві ARP запити

Щоб перехопити і замкнути на себе процес мережевої взаємодії між двома хостами А і В зловмисник може підмінити IP-адреси взаємодіючих хостів своєю IP-адресою, направивши хостам А і В сфальсифіковані повідомлення ARP (Address Resolution Protocol - протокол дозволу адрес).

Для перехоплення мережевого трафіку між хостами А і В хакер нав'язує цим хостам свою IP-адресу, щоб А і В використовували цю фальсифіковану IP-адресу при обміні повідомленнями. Для нав'язування своєї IP-адреси хакер виконує наступні операції.

· Зловмисник визначає МАС-адреси хостів А і В, наприклад, за допомогою команди nbtstat з пакету W2RK.

· Зловмисник відправляє на виявлені МАС-адреси хостів А і В повідомлення, що є сфальсифікованими ARP-відповідями на запити дозволу IP-адресів хостів в МАС-адреси комп'ютерів. Хосту А повідомляється, що IP-адресі хосту В відповідає МАС-адреса комп'ютера зловмисника; хосту В повідомляється, що IP-адресі хосту А також відповідає МАС-адреса комп'ютера зловмисника.

· Хости А і В заносять отримані МАС-адреси в свої кеші ARP і далі використовують їх для відправки повідомлень один одному. Оскільки IP-адресам А і В відповідає МАС-адреса комп'ютера зловмисника, хости А і В, нічого не підозрюючи, спілкуються через посередника, здатного робити з їх посланнями що завгодно.

Для захисту від таких атак мережеві адміністратори повинні підтримувати базу даних з таблицею відповідності МАС-адрес і IP-адрес своїх мережевих комп'ютерів. За допомогою спеціального програмного забезпечення, наприклад, утиліти arpwatch періодично обстежувати мережу і виявляти невідповідності [11].

3.4.2 Фальшива маршрутизація

Щоб перехопити мережевий трафік, зловмисник може підмінити реальну ІР-адресу мережевого маршрутизатора своєю, виконавши це, наприклад, з допомогою сфальсифікованих ICMP-повідомлень Redirect. Отримане повідомлення Redirect хост А сприймає як відповідь на дейтаграмму, відіслану іншому хосту, наприклад, В. Свої дії на повідомлення Redirect хост А визначає, виходячи з вмісту отриманого повідомлення Redirect, і якщо в Redirect задати перенаправлення дейтаграм з А в В по новому маршруту, саме це хост А і зробить.

Для виконання помилкової маршрутизації зловмисник повинен знати деякі подробиці про організацію локальної мережі, в якій знаходиться хост А, в тому числі, IP-адресу маршрутизатора, через яку відправляється трафік з хосту А у В. Знаючи це, зловмисник сформує IP-дейтаграмму, в якій IP-адреса відправника означена як IP-адреса маршрутизатора, а одержувачем вказаний хост А. Також в дейтаграму включається повідомлення ICMP Redirect з полем адреси нового маршрутизатора, встановленим як IP-адреса комп'ютера зловмисника. Отримавши таке повідомлення, хост А відправлятиме всі повідомлення за IP-адресою комп'ютера зловмисника [10].

Для захисту від такої атаки слід відключити (наприклад, за допомогою брандмауера) на хості А обробку повідомлень ICMP Redirect, а виявити ІР-адресу комп'ютера зловмисника може команда tracert. Ці утиліти здатні знайти в локальній мережі додатковий, непередбачений при інсталяції, маршрут, якщо звичайно адміністратор мережі проявить пильність.

Приведені вище приклади перехоплень (якими можливості зловмисників далеко не обмежуються) переконують в необхідності захисту даних, що передаються по мережі, якщо в даних міститься конфіденційна інформація. Єдиним методом захисту від перехоплень мережевого трафіку є використання програм, що реалізовують криптографічні алгоритми і протоколи шифрування, що дозволяють запобігти розкриттю і підміні секретної інформації. Для вирішення таких завдань криптографія надає засоби для шифрування, підпису і перевірки достовірності повідомлень, що передаються по захищених протоколах [12].

3.4.3 Перехоплення ТСР-з'єднання

Найбільш витонченою атакою перехоплення мережевого трафіку слід вважати захоплення TCP-з'єднання (TCP hijacking), коли хакер шляхом генерації і відсилання на хост, що атакується TCP-пакетів, перериває поточний сеанс зв'язку з хостом. Далі, користуючись можливостями протоколу TCP по відновленню перерваного TCP-з'єднання, хакер перехоплює перерваний сеанс зв'язку і продовжує його замість відключеного клієнта.

Протокол TCP (Transmission Control Protocol - протокол управління передачею) є одним з базових протоколів транспортного рівня OSI, що дозволяє встановлювати логічні з'єднання по віртуальному каналу зв'язку. По цьому каналу передаються і приймаються пакети з реєстрацією їх послідовності, здійснюється управління потоком пакетів, організовується повторна передача спотворених пакетів, а в кінці сеансу канал зв'язку розривається.

Протокол TCP є єдиним базовим протоколом з сімейства TCP/IP, що має складну систему ідентифікації повідомлень і з'єднання.

Для ідентифікації TCP-пакету в TCP-заголовку існують два 32-розрядні ідентифікатори, які також відіграють роль лічильника пакетів, що називаються порядковим номером і номером підтвердження. Поле TCP-пакета включає наступні біти керування (в порядку зліва направо):

URG - біт терміновості;

АСК - біт підтвердження;

PSH - біт перенесення;

RST - біт поновлення з'єднання;

SYN - біт синхронізації;

FIN - біт завершення з'єднання.

Розглянемо порядок створення TCP-з'єднання.

1. Якщо хосту А необхідно створити TCP-з'єднання з хостом В, то хост А посилає хосту В наступне повідомлення: A -> B: SYN, ISSa

Це означає, що в повідомленні, яке передається хостом А встановлений біт SYN (Synchronize sequence number - номер послідовності синхронізації), а в полі порядкового номера встановлено початкове 32-бітне значення ISSa (Initial Sequence Number - початковий номер послідовності).

2. У відповідь на отриманий від хосту А запит хост В відповідає повідомленням, в якому встановлений біт SYN і встановлений біт АСК. У полі порядкового номера хост В встановлює своє початкове значення лічильника - ISSb. Поле номера підтвердження при цьому міститиме значення ISSa, отримане в першому пакеті від хосту А і збільшене на одиницю. Таким чином, хост В відповідає таким повідомленням: B-> A: SYN, ACK, ISSb, ACK(ISSa+1)

3. Нарешті, хост А посилає повідомлення хосту В, в якому: встановлений біт АСК; поле порядкового номера містить значення ISSa + 1; поле номера підтвердження містить значення ISSb + 1. Після цього ТСР-з'єднання між хостами А і В вважається встановленим:

A-> B: ACK, ISSa+1, ACK(ISSb+1)

4. Тепер хост А може посилати пакети з даними на хост В по тільки що створеному віртуальному TCP-каналу:

А -> В: АСК, ISSa+1, ACK(ISSb+1); DATA

Тут DATA позначає дані.

Із розглянутого вище алгоритму створення TCP-з'єднання видно, що єдиними ідентифікаторами TCP-абонентів і TCP-з'єднання є два 32-бітні параметри порядкового номера і номера підтвердження - ISSa і ISSb. Отже, якщо хакерові вдасться дізнатися поточні значення полів ISSa і ISSb, то йому ніщо не перешкодить сформувати сфальсифікований TCP-пакет. Це означає, що хакерові досить підібрати поточні значення параметрів ISSa і ISSb пакету TCP для даного TCP-з'єднання, послати пакет з будь-якого хосту Інтернету від імені клієнта даного TCP-підключення, і даний пакет буде сприйнятий як дійсний.

Таким чином, для здійснення описаної вище атаки необхідною і достатньою умовою є знання двох поточних 32-бітових параметрів і ISSb, що ідентифікують TCP-з'єднання. Розглянемо можливі способи їх отримання. У разі, коли хакреський хост підключений до мережевого сегменту, що атакується, завдання отримання значень ISSa і ISSb є тривіальним і вирішується шляхом аналізу мережевого трафіку. Отже, потрібно чітко розуміти, що протокол TCP дозволяє захистити з'єднання тільки у випадку-неможливості перехоплення хакером повідомлень, які передаються по даному з'єднанню, тобто тільки у разі, коли хакреський хост підключений до мережевого сегменту, відмінного від сегменту абонента TCP-з'єднання [4].

Тому найбільший інтерес для хакера представляють міжсегментні атаки, коли він і його мета знаходяться в різних сегментах мережі. В цьому випадку завдання отримання значень ISSa і ISSb не є тривіальним. Для вирішення даної проблеми на сьогодні придумано тільки два способи.

· Математичний прогноз початкового значення параметрів TCP-з'єднання за екстраполяцією попередніх значень ISSa і ISSb.

· Використання вразливостей ідентифікації абонентів TCP-з'єднання на rsh-серверах Unix.

Перше завдання вирішується шляхом поглиблених досліджень реалізації протоколу TCP в різних операційних системах і сьогодні має тільки теоретичне значення. Друга проблема вирішується з використанням вразливостей системи Unix ідентифікації довірених хостів. Довіреним по відношенню до даного хосту А називається мережевий хост В, користувач якого може підключитися до хосту А без аутентифікації за допомогою r-служби хосту А. Маніпулюючи параметрами TCP-пакетів, хакер може спробувати видати себе за довірений хост і перехопити TCP-з'єднання з хостом, що атакується [5].

Єдиним порятунком від перехоплення даних є їх шифрування, тобто криптографічні методи захисту. Посилаючи в мережі повідомлення, слід заздалегідь припускати, що кабельна система мережі абсолютно уразлива, і будь-який хакер, що підключився до мережі, зможе виловити з неї всі передані секретні повідомлення. Є дві технології вирішення цієї задачі - створення мережі VPN і шифрування самих повідомлень. Всі ці завдання можна вирішити за допомогою пакету програм PGP Desktop Security [12].

3.5 Комутований доступ до мереж

Телефонні лінії зв'язку, підключені до корпоративної мережі, по суті є якнайкращим способом вторгнення в комп'ютерну систему організації. На входах в підключений до Інтернету сервер сьогодні, як правило, встановлені брандмауери, а ось телефонні лінії, невідомо як і ким підключені до комп'ютерів за допомогою модемів - це реалії сьогодення. Дуже багато співробітників організацій підключають до своїх офісних комп'ютерів модеми для організації входів зі своїх домашніх комп'ютерів.

Після такого підключення вся система захисту комп'ютерної системи фактично обнуляється, адже немає нічого простішого, ніж визначення телефонної лінії з модемом, що працює на іншому кінці. Набравши відповідний номер, можна почути характерні звуки, що видаються модемом на іншому кінці лінії зв'язку.

Ці звуки є не що інше, як сигнали, за допомогою яких модеми зв'язуються один з одним. Знаючи протокол взаємодії модемів, частоти, послідовності і тривалість сигналів - для фахівців секретів тут немає, можна написати програму, що автоматизує процес пошуку модемних ліній зв'язку, здатну перебирати набори телефонних номерів із заданого діапазону, виявляти модемні лінії зв'язку і записувати отримувані повідомлення в спеціальний журнал [4].

На сьогоднішній день існує безліч програм-сканерів, найвідоміші з них - це утиліта Login Hacker, що дозволяє застосовувати для завдань сканування сценарії, утиліта THN-Scan і ToneLock компанії Minor Threat&Mucho Maas. Дві останні утиліти запускаються з командних рядків і не мають графічного інтерфейсу.

Серед усіх програм сканерів можна виділити програму PhoneSweep компанії Sandstorm. Ця утиліта дозволяє сканувати відразу декілька телефонних ліній, працюючи з декількома модемами одночасно, виявляти віддалену програму, що приймає телефонні дзвінки, і навіть підбирати пароль для доступу до цієї віддаленої програми. Демо-версія програми PhoneSweep дозволяє робити майже все, окрім виконання реальних дзвінків, замінюючи їх імітацією.

Щоб приступити до злому ліній зв'язку, хакерові необхідно знати телефони організації, тому перше завдання хакера - визначити, хоч би приблизно, діапазон номерів організації, комп'ютерну систему якої хакер буде атакувати.

Перед виконання атаки кваліфікований хакер завжди виконує попередній збір даних про організацію, який полягає в пошуку всіх відомостей, які хакер може зібрати про комп'ютерну систему, що атакується. Мається на увазі інформація, що містить звіт про комп'ютерну мережу організації. На хакреських сайтах можна знайти файли з результатами сканування широкого діапазону телефонних номерів. У цих файлах можна знайти безліч відомостей про телефони різних організацій з вказівкою програми, що приймає дзвінки, і навіть відомостей про паролі доступу [12].

3.5.1 Сканер PhoneSweep 4.4

Утиліта PhoneSweep - по суті, перший по справжньому функціональний інструмент для аналізу систем захисту телефонних ліній. Програмні інструменти, що використовувалися до цих пір були складні в управлінні, створені програмістами-любителями і позбавлені підтримки виробника. Проте основним їхнім недоліком є погана сумісність з сучасними системами Windows.

Програма PhoneSweep позбавлена цих недоліків і пропонує всім користувачам могутні засоби тестування модемних ліній на предмет їх захищеності від несанкціонованого доступу. Програма PhoneSweep володіє такими можливостями.

· Працює на операційних системах Windows 95/98/NT/2000/XP.

· Забезпечена зручним графічним інтерфейсом.

· Дозволяє тестувати системи захисту на стійкість до атак «грубою

силою» з генерацією пар логін/пароль для злому з'єднань за протоколом РРР (Point-to-Point protocol - Протокол двоточкового з'єднання).

· Дозволяє створювати звіти, що налаштовуються.

· Дозволяє працювати з декількома модемами, від 1 до 4.

· Дозволяє зупиняти і перезапускати сканування з різними налаштуваннями, причому без всякої втрати отриманих даних.

3.5.2 Робота з програмою PhoneSweep 4.4

Щоб почати сканування телефонних номерів за допомогою програми Phone-Sweep, слід зробити три операції.

· У робочому вікні програми PhoneSweep відкрити вкладку Setup (Параметри), представлену на рис. 3.22 і налаштувати поточний профіль програми.

· Відкрити вкладку Phone Numbers (Телефонні номери), представлену на Рис. 3.21 і, клацнувши на кнопці Add (Додати). В діалозі Add Phone Numbers (Додати номери телефону), представленому на рис. 3.23, ввести діапазон телефонних номерів для прозвону.

· У робочому вікні програми PhoneSweep клацнути на кнопці Start (Старт) і дочекатися результатів.

Основною процедурою є налаштування профілю програми, яка в термінах довідкової системи програми називається створенням правил прозвону (dialing riles).

Правила прозвону програми PhoneSweep дозволяють керувати порядком, часом і частотою дзвінків, що виконуються в процесі сканування телефонних номерів організації. При створенні правил прозвону слід добитися такої поведінки програми PhoneSweep, яка, з однієї сторони, не приверне зайвої уваги системи захисту ліній зв'язку, а з іншої - дозволить вирішити поставлене завдання з мінімальними зусиллями.

Для ідентифікації і злому доступу до віддаленої системи слід відкрити вкладку Effort (Режим) (рис.3.24).

Як видно з рис. 3.24, тут є все необхідне, щоб злом віддаленої системи пройшов якомога ефективніше. У списку Set Level (Встановіті рівень), можна вибрати, чи слід просто під'єднатися до телефону (пункт Connect (З'єднатися)), або ж спробувати ідентифікувати віддалену систему (пункт Identity (Ідентифікація)), або ж спробувати зламати доступ до системи (пункт Penetrate (Проникнути)). При цьому список Scan For (Сканувати), дозволяє вибрати режим пошуку модемів факсимільних апаратів, що важливо для різних застосувань (безглуздо, намагатися зламати доступ до факсимільного апарату).

Телефонні лінії, підключені через модем до комп'ютерної системи - найнадійніший шлях для проникнення в локальну мережу організації. Причина полягає в масовому характері нелегального встановлення модемів для роботи з робочим комп'ютером сидячи вдома. Додати сюди наявність множини забутих і покинутих ліній, повна зневага правилами комп'ютерної безпеки, що панує в більшості організацій, ось чому досить часто відбуваються зломи мереж різних фінансових установ.

Описана в цьому питанні програма PhoneSweep - це найбільш могутній засіб для вирішення завдань проникнення у віддалену систему. Програма PhoneSweep корисна як хакерові, так і антихакерові, оскільки тестування телефонних номерів організації - це надійний спосіб перевірки наявності недоліків в системі захисту комп'ютерної системи від віддаленого проникнення [4].

Висновки

В даній кваліфікаційній роботі вивчено основні види архітектури обчислювальних мереж, встановлено, що існують такі види архітектури: архітектура термінал - головний комп'ютер, однорангова архітектура, архітектура клієнт - сервер. Розглянуті особливості їхнього використання.

В роботі також проаналізовано методи пошуку несправностей в мережі, та виявлено їхні основні причини. Встановлено, що до найбільш поширених несправностей можна віднести: реєстрацію робочої станції, надання DHCP сервером ІР-адреси робочій станції, швидкодія мережі, помилки у журналі подій, та надмірне широкомовлення. Також вивчені можливості їхнього вирішення.

В третьому розділі роботи досліджені методи несанкціонованого доступу до мереж та захист від них. Виявлено, що отримати несанкціонований доступ до комп'ютерної мережі можна за допомогою засобів віддаленого керування, перехопленням мереживих даних, за допомогою комутованого доступу, при зломі брандмауера, та іншими методами. Встановлено, що для захисту мережі адміністратору необхідно регулярно проглядати журнал безпеки, що допоможе виявити незрозумілі події, такі як очищення журналу безпеки, або доступ до захищених ресурсів. Для запобігання взлому, паролі доступу мають бути досить складними, щоб їх не можна було зламати словарною атакою, або простим перебором. Розділення доступу користувачів до мережевих ресурсів різного ступеня секретності також різко підвищує рівень безпеки мережі.

Список скорочень і пояснень

Netmon (Microsoft Network Monitor- мережевий монітор) програма для операційних систем сімейства Windows, призначена для перегляду пакетів даних в комп'ютерній мережі.

IP (Internet Protocol - протокол Internet). Протокол стека TCP/IP, що забезпечує адресну інформацію і інформацію про маршрутизацію. Протокол IP забезпечує обмін дейтаграмами між вузлами мережі і є протоколом, що не встановлює з'єднання і що використовує дейтаграми для відправки даних з однієї мережі в іншу.

TCP (Transmission Control Protocol - протокол управління передачею). Протокол стека TCP/IP, що відповідає за надійну передачу даних від одного вузла мережі до іншого. Він створює сеанс зі встановленням з'єднання, тобто віртуальний канал між машинами.

NETBIOS (Базова мережева система вводу виводу). NETBIOS встановлює з'єднання між комп'ютерами, а NETBEUI надає послуги передачі даних для цього з'єднання.

NETBEUI (NETBIOS Extended User Interface - розширений призначений для користувача інтерфейс базової мережевої системи вводу виводу). Розроблений спільно IBM і Microsoft, цей протокол забезпечує транспортні послуги для NETBIOS.

ICMP (Internet Control Message Protocol - протокол керуючих повідомлень Internet) використовується протоколом IP і іншими протоколами високого рівня для відправки і отримання звітів про стан переданої інформації. Цей протокол використовується для контролю швидкості передачі інформації між двома системами. Якщо маршрутизатор, що сполучає дві системи, переобтяжений трафіком, він може відправити спеціальне повідомлення ICMP - помилку для зменшення швидкості відправлення повідомлень.

UDP (User Datagram Protocol - протокол призначених для користувача дейтаграм ) призначений для відправки невеликих об'ємів даних без установки з'єднання і використовується програмами, які не потребують підтвердження адресатом їх отримання.

WINS (Windows Internet Name Service -Служба інтернет імен Windows, інша назва -- NetBIOS Name Server, NBNS) -- cлужба зіставлення NetBIOS-імен комп'ютерів з IP-адресами вузлів. Сервер WINS здійснює реєстрацію імен, виконання запитів і звільнення імен. При використанні NetBIOS поверх TCP/IP необхідний WINS сервер для визначення коректних IP-адрес.

TCP/IP -- (Transmissіon Control Protocol / Internet Protocol - протокол керування передачею / протокол Internet ) розбиває вихідне повідомлення на пакети (TCP), доставляє пакети на вузол адресата(IP) і збирає (відновлення) вихідного повідомлення з пакетів (TCP).

DNS (Domain Name System - домена система імен ) -- розподілена система перетворення імені хоста (комп'ютера або іншого мережевого пристрою) в IP-адресу.

DHCP ( Dynamic Host Configuration Protocol -- протокол динамічної конфігурації вузла) мережний протокол, що дозволяє комп'ютерам автоматично одержувати IP-адресу й інші параметри, необхідні для роботи в мережі TCP/IP. Для цього комп'ютер звертається до спеціального серверу, під назвою сервер DHCP. Мережний адміністратор може задати діапазон адрес, що розподіляють серед комп'ютерів. Це дозволяє уникнути ручного налаштування комп'ютерів мережі й зменшує кількість помилок. Протокол DHCP використовується в більшості великих мереж TCP/IP.

BOOTP ( Bootstrap Protocol) мережевий протокол, що використовується для автоматичного отримання клієнтом IP-адресаи. Це зазвичай відбувається в час завантаження комп'ютера. BOOTP дозволяє бездисковим робочим станціям отримувати IP-адресу перш, ніж буде завантажена повноцінна операційна система.

РОР3 (Post Office Protocol -поштовий офісний протокол) протокол, що використовується клієнтом для доступу до повідомлень електронної пошти на сервері.

SMB (Server Message Block -- протокол прикладного рівня в моделі OSI), зазвичай використовується для надання розділеного доступу до файлів, принтерів, послідовних портів передачі даних, та іншої взаємодії між вузлами в комп'ютерній мережі. Також надає можливості міжпроцесної взаємодії з аутентифікацією.

Host (Хост). В термінології ІР будь-який пристрій з ІР-адресом. В загальному розумінні це або джерело, або місце призначення повідомлення в мережі.

ARP ( Address Resolution Protocol -- протокол визначення адрес) -- мережевий протокол, призначений для перетворення IP-адрес (адрес мережевого рівня) в MAC-адреси (адреси канального рівня) в мережах TCP/IP.

ARP - RARP (Reverse Address Resolution Protocol - реверсивний протокол дозволу адреси) знаходить ІР-адресу за відомою локальною адресою.

NETLOGON (Мережений вхід в систему) служба для перевірки дійсності користувачів і служби які входять в систему.

Мастер-броузер - відповідає за збір інформації для створення і підтримки списку перегляду, який містить всі сервери в домені мастер-броузера, або робочої групи, а також перераховує всі домени мережі.

SAM (Security Account Manager -диспетчер облікових даних системи захисту). База даних SAM містить шифровані коди паролів облікових записів.

MIB (Management Information Base - база керуючої інформації). База даних MIB містить таблицю запущених служб, звіт про спосіб розмежування доступу, перелік сеансів і облікових записів користувачів, набір загальних ресурсів сервера і іншу інформацію.

Література

1. Бормотов С.В. Системное администрирование на 100%. - СПб.; Питер, 2006. - 256.:ил.

2. Єд Уілсон ,, Моніторинг і аналіз мереж” Москва видавництво ,,Лори” 2002р.

3. http://www.uk.wikipedia.org.

4. Alex WebKnacKer Быстро и легко. Хакинг и антихакинг: защита и нападение. Учебное пособие.-- М.: Лучшие книги, 2004 -- 400 с.: ил.

5. http://www.xakep.ru.

6. Локальная сеть своими руками. 100% самоучитель : [учеб. пособие] / И.Я. Минаев. - М. : ТЕХНОЛОДЖИ - 3000, 2004 - 368 с.: ил.

7. Поляк-Брагинский А.В. Администрирование сети на примерах. -- СПб.: БХВ-Петербург, 2005. -- 320 с : ил.

8. Мак-Клар С., Скембрей Д., Курц Д. Секреты хакеров. Безопасность сетей -готовые решения, 2-е изд.: Пер. с англ. - М.: Издательский дом «Вильяме», 2001.- 656 с.: ил. - Парал. титл. англ.

9. Р. Браг. Система безопасности Windows 2000.: Пер. с англ. - М.: Издательский дом «Вильяме», 2001. - 592 с.: ил. - Парал. тит. англ.

10.М. Мамаев, С. Петренко «Технология защиты информации в Интернете. Специальный справочник» - СПб.: Питер. 2002. - 848 с.: ил.

11.Лукацкий А.В. Обнаружение атак - СПб.: «БХВ-Петербург», 2001. - 624 с.: ил.

12.Alex JeDaev Я люблю компьютерную самооборону. Учебное пособие - М.: Только для взрослых, 2002 - 432 с.: ил.