Auditor Collection: проверяем безопасность вашей сети::Журнал СА 3.2007
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

Разбор полетов  

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6188
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6898
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4182
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 2986
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3794
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3803
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6296
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3151
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3445
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7261
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10627
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12349
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 13979
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9109
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7064
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5373
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4603
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3412
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3142
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3389
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3011
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Auditor Collection: проверяем безопасность вашей сети

Архив номеров / 2007 / Выпуск №3 (52) / Auditor Collection: проверяем безопасность вашей сети

Рубрика: Безопасность /  Сетевая безопасность

Андрей Бирюков

Auditor Collection: проверяем безопасность вашей сети

Каждый системный администратор – хозяин сети компании, но иногда сеть может захватить кто-то другой. Для того чтобы этого не произошло, необходимо заботиться о безопасности корпоративных ресурсов.

Цель и средства

Во многих компаниях системные администраторы слишком заняты решением текущих задач технической поддержки и не уделяют должного внимания защите сети и информационных ресурсов. Но такое положение дел рано или поздно приводит к очень серьезным проблемам: вирусным эпидемиям, большому объему нежелательной почты, утечке информации, сбоям и т. д. Современная сетевая инфраструктура даже в небольших компаниях может состоять из оборудования и программного обеспечения разных производителей, использующих множество протоколов и форматов хранения данных. Для того чтобы сеть была хорошо защищена от угроз и посягательств, администратор должен хорошо знать, как работает оборудование и ПО в его сети, а также уметь обнаруживать и устранять уязвимости в системе безопасности. Но учитывая разнообразие используемых устройств и приложений, задача поиска уязвимостей становится отнюдь не тривиальной. Нужно найти и настроить множество сканеров уязвимостей и анализаторов, с помощью которых осуществляется поиск «лазеек для хакеров».

Теперь несколько слов об инструменте, который мы будем использовать для решения поставленных задач. Для поиска уязвимостей в сети можно воспользоваться специально собранным для этих целей дистрибутивом Linux с нехитрым названием Auditor Collection. Я полагаю, этот дистрибутив будет полезен как специалистам по сетевой безопасности, так и системным администраторам, решившим произвести аудит своей сети. В статье я расскажу об этом бесплатном продукте, опишу инструменты для анализа безопасности, которые, как в хорошем швейцарском ноже, собраны в Linux Auditor [6]. А также рассмотрим, как лучше закрыть обнаруженные уязвимости в системе безопасности.

Запуск и начало работы

Auditor Collection собран на основе Knoppix и, следовательно, позволяет осуществлять загрузку образа операционной системы с компакт-диска, не требуя установки на жесткий диск. Хотя при желании Auditor можно развернуть в качестве постоянной операционной системы на жестком диске. Для проведения полноценного аудита я бы рекомендовал по возможности использовать ноутбук. Это позволит достичь мобильности при проверки физически разделенных сегментов сети, а также позволит протестировать беспроводные точки доступа как на охраняемой территории вашего офиса, так и, что важно, за ее пределами.

В состав дистрибутива входит набор драйверов, так что проблем с определением оборудования, в частности, адаптеров беспроводного доступа и модемов у меня не возникло. Отмечу также, что дистрибутив не требователен к ресурсам и 128 Мб оперативной памяти ему достаточно.

После загрузки к вашим услугам оконный интерфейс KDE. Выбрав значок с буквой «К» в левом нижнем углу, и затем, обратившись к разделу Auditor, вы получите список средств, которые можно использовать для проверки.

Узнаем больше о системе

Начнем с первого пункта «Footprinting» – это процесс сбора информации об интересующей сети. Утилиты, собранные в данном разделе, в той или иной степени преследуют цель получения различными способами информации об удаленном узле или сети (см. рис. 1).

Рисунок 1. Список утилит

Рисунок 1. Список утилит

Прежде чем приступить к описанию этих утилит, поясню, чем Footprinting может быть полезен системному администратору при аудите своей же сети. Во-первых, с помощью этих утилит можно узнать, какую информацию о вашей сети может получить потенциальный взломщик. Конечно, некоторая информация является открытой, и скрыть ее у вас не получится (например, на кого зарегистрировано доменное имя корпоративного сайта, версия ПО, «зашитая» в сетевое оборудование). Во-вторых, если вы подвергнетесь атаке со стороны злоумышленников, то неплохо бы принять меры, чтобы в будущем пресекать подобные попытки взлома. И наконец, в-третьих, некоторые из утилит для Footprinting могут оказаться полезны при поиске неисправностей (например, различные варианты Traceroute).

Теперь я расскажу про утилиты, входящие в группу Footprinting. Утилиты подгруппы WhoIs помимо стандартных функций по сбору информации о том или ином хосте позволяют использовать для сбора информации нужный WhoIs-сервер. Также есть возможность работать через GUI-интерфейс. Подробнее о работе протокола WhoIs можно узнать из документа RFC 3912 (WHOIS Protocol Specification) [1]. Следующий инструмент сбора информации о сети – Traceroute. Здесь также подобраны утилиты, обладающие расширенным функционалом по сравнению с обычной командой traceroute. Например, в программе есть возможность применять для сбора информации о маршруте не только протокол ICMP, но и протокол TCP, использующий для соединения различные порты. Это может быть полезно, когда необходимо узнать маршрут до узла, если ICMP-трафик закрыт. Вот небольшой пример использования данной утилиты: на рис. 2 получаем маршрут из нашей сети до yandex.ru при закрытом протоколе ICMP. А для любителей работать с оконным интерфейсом также есть GUI.

Рисунок 2. Traceroute через TCP

Рисунок 2. Traceroute через TCP

DNS: больше чем служба

Далее идет подгруппа утилит DNS Lookup. Здесь основным инструментом для сбора информации является доменная служба имен. Утилита DNSwalk позволяет произвести поиск ошибок в описании зон и некорректное делегирование. Например, вы можете попробовать с помощью этой утилиты осуществить пересылку зоны DNS для корпоративного домена. Если вам удалось получить копию зоны с того IP, которому это не разрешено (а разрешено пересылать зоны только secondary DNS-серверам), то значит, ваш DNS-сервер настроен некорректно с точки зрения безопасности. Также с помощью dnswalk можно находить ошибки в настройках DNS. В следующем примере в зоне делегируется поддомен zone.webserver.ru, для которого не удается найти авторитативных серверов. Подробнее о DNS можно прочесть в статье [2].

auditor# dnswalk -r webserver.ru.

Checking webserver.ru.

Getting zone transfer of webserver.ru. from ns.webserver.ru...done.

SOA=ns.webserver.ru contact=paul.webserver.ru

BAD: webserver.ru NS ns. webserver.ru: CNAME (to webserver.ru)

BAD: webserver.ru NS ns4.nic.ru: unknown host

WARN: user1. webserver.ru CNAME user. webserver.ru: CNAME

(to host. webserver.ru)

BAD: zone. webserver.ru NS ns. webserver.ru: CNAME (to webserver.ru)

Checking zone. webserver.ru

BAD: SOA record not found for zone. webserver.ru

BAD: zone. webserver.ru has NO authoritative nameservers!

BAD: All zone transfer attempts of zone. webserver.ru failed!

0 failures, 6 warnings, 6 errors.

Среди других утилит этой подгруппы хотелось обратить внимание на NSTX. Это уже не совсем инструмент для Footprinting, а скорее средство вторжения, но авторы Linux Auditor почему-то поместили NSTX именно в эту группу. Утилита позволяет организовать туннелирование IP-трафика поверх DNS. Этот способ проникновения бывает эффективен, когда в вашей сети закрыт доступ в Интернет по всем портам, кроме 53 (DNS). Так что, если в вашей сети имеются сегменты с такими ограничениями (например, гостевой доступ у провайдера доступа в Интернет), то рекомендую провести проверку с помощью NSTX. Вот что для этого нужно. Возьмем машину, находящуюся в ограниченном сегменте, загрузимся с диска Auditor. Это будет наш клиент. Для начала запускаем псевдоинтерфейс с нужным IP-адресом:

ifconfig tun0 10.0.0.1 up

Примечание: если для теста вы используете описываемый дистрибутив Auditor Linux, то никаких проблем возникнуть не должно. Но если используется другой дистрибутив, то могут потребоваться средства для создания псевдоинтерфейса Ethertap. Для этого нам нужны модули ядра, которые можно подгрузить следующим образом:

insmod netlink_dev

insmod ethertap

Затем создаем файл устройства:

mknod /dev/tun0 c 36 16

Теперь берем еще одну машину, находящуюся за пределами ограниченного сегмента, также грузимся с диска Auditor. На ней также запускам псевдоинтерфейс, по аналогии с описанным выше. Осталось запустить наш nstxd на обоих сторонах. Сначала на серверной запускаем фальшивый сервер имён:

nstxcd zone.server.com

Потом на клиентской:

nstxd zone.server.com 123.45.67.89

Для практической работы надо иметь в своем распоряжении зарегистрированный DNS, на котором создать короткоживущую зону и прописать удаленный компьютер как NS для данной зоны. Кратко поясню, как все это работает. Происходит инкапсуляция данных в DNS-запрос, и наши данные передаются серверу DNS, к которому мы имеем доступ. DNS провайдера обращается к нашему серверу, отвечающему за зону zone.server.com, а тот передаёт всю информацию на фальшивый сервер имён, который и возвращает нужный ответ по тому же маршруту назад. Несмотря на кажущуюся сложность в реализации DNS, туннелинг является эффективным методом обхода защиты сети. Наиболее эффективным средством для борьбы с этим видом взлома, на мой взгляд, является внедрение системы обнаружения вторжения (IDS), например SNORT (www.snort.org).

Следующим подразделом является HTTP/HTTPS. Здесь можно найти несколько браузеров, большинство должны быть знакомы опытным администраторам UNIX-систем, поэтому подробно останавливаться на этом не буду.

Все об оборудовании

Если в вашей сети используется активное сетевое оборудование (маршрутизаторы, коммутаторы, принт-серверы и т. д.), то утилиты для работы с SNMP вам могут пригодиться. Прежде всего это MIB-браузер, с помощью которого можно подключиться к оборудованию (см. рис. 3).

Рисунок 3. MIB-браузер

Рисунок 3. MIB-браузер

Тут обратите внимание на то, что многие производители и поставщики оборудования по умолчанию включают службу SNMP. В качестве примера можете попробовать подключиться к одному из своих устройств по протоколу SNMP, указав в качестве значения community – public. Вполне вероятно, что вам удастся получить данные в режиме Read Only. Но если какие-либо значения доступны для записи, тогда примите меры по защите устройства. Как правило, наилучшим решением является запрет на запись по SNMP и закрытие доступа по 161 порту для всех сетей, которым данный протокол не требуется. Подробнее об SNMP и его использовании можно прочитать в источнике [3].

Следующим инструментом является LDAP-браузер, который позволяет осуществлять навигацию по дереву LDAP. Например, по дереву Active Directory. С помощью этой утилиты можно без труда определить, какие ресурсы дерева доступны для той или иной учетной записи.

Далее идут утилиты для работы с SMB. С их помощью можно просканировать сеть на предмет наличия общедоступных ресурсов. Имеются как консольные, так и графические утилиты.

И завершают группу Footprinting средства определения операционной системы OS Detection. Например, на рис. 4 изображен отчет, сделанный утилитой Nmap Front End.

Рисунок 4. Утилита Nmap Front End

Рисунок 4. Утилита Nmap Front End

Средством борьбы с OS Detection является закрытие доступа к узлу по протоколу ICMP из всех подсетей, кроме административной подсети (Management VLAN). Более подробно о способах определения операционной системы, а также о борьбе с footprinting можно прочесть в источнике [7].

Итак, подведем итог, что же мы собрали с помощью Footprinting, чьи «отпечатки ног»? По итогам выполненных действий можно составить таблицу, содержащую IP-адрес устройства, его операционную систему, функциональные обязанности и т. д. Для администратора в этой таблице может и не будет ничего нового, но он увидит сеть глазами хакера, то есть какую информацию взломщик сможет получить, применив данные утилиты. Наличие информации об операционных системах позволяет начать поиск уязвимостей, так что эти сведения важны. Постарайтесь скрыть сведения об операционной системе своего почтового сервера, маршрутизатора, веб-сервера и других устройств, подключенных к публичной сети. Это усложнит взломщикам проникновение к ресурсам вашей сети.

Сканеры: ищем уязвимости

Следующим, не менее важным инструментом при проведении нашего аудита являются сканеры, объединенные в группу Scanners. Эта группа в свою очередь разделена на подгруппы: сканеры безопасности, уязвимости для приложений и оборудования, сетевые сканеры и другие. Описывать по отдельности каждую из утилит нет смысла. На основании тех сведений, которые были получены в результате Footprinting, просканируйте свои ресурсы на предмет уязвимостей. Например, если у вас есть веб-сервер, то можно воспользоваться утилитами из подгруппы Web Server Scanner, лучшим из которых, на мой взгляд, является сканер Nikto. Аналогично можно проверить активное сетевое оборудование и другие ресурсы.

Анализируем трафик

Еще одним полезным средством аудита, входящим в состав дистрибутива Linux Auditor, является набор сетевых анализаторов, входящих в группу Analyzer. Сбор информации о проходящем по сети трафике является неотъемлемой частью аудита. В данную группу входят анализаторы, предназначенные как для перехвата всего сетевого трафика, так и для перехвата данных, передаваемых определенными приложениями (например, клиентом ICQ, веб-браузером или почтовым клиентом). Также полезной может оказаться утилита DSniff, которая перехватывает только пароли, передаваемые по сети. Оставьте ее на несколько минут включенной, и вы сможете определить, насколько часто по вашей сети передаются учетные данные в незашифрованном виде.

Определившись с сетевым анализатором, обсудим то, где лучше разместить машину с запущенным сниффером. Для того чтобы аудит был наиболее эффективен, необходимо, чтобы через данную машину проходил весь трафик сети. В простейшем случае можно воспользоваться концентратором (хабом) или включить данную машину «в разрыв», но для крупных сетей это не самые лучшие решения. Гораздо более эффективно это можно сделать, если активное сетевое оборудование, используемое в сети, поддерживает технологию SPAN (Switched Port Analyzer). Она позволяет осуществлять мониторинг трафика, проходящего через коммутатор. Более подробно про технологию SPAN можно прочесть в [4].

Подмена как инструмент взлома

Следующая группа утилит, которую авторы Auditor Linux включили в свой дистрибутив, – это Spoofing. Спуфингом именуется вид удаленных атак, связанных с подменой адреса источника. Например, IP Spoofing – подмена IP-адреса определенной машины. Это позволяет злоумышленнику либо скрыть источник атаки (используется в атаках типа «отказ в обслуживании»), либо извлечь какую-либо пользу из доверительных связей двух машин. Для злоумышленника базовый принцип атаки заключается в фальсификации собственных IP-пакетов (например, с помощью таких программ, как hping2 или nemesis из группы Spoofing), в которых изменяется среди прочего IP-адрес источника. Атака IP Spoofing часто называется «слепой подменой» (Blind Spoofing). Это связано с тем, что ответы на фальсифицированные пакеты не могут прийти машине атакующего, ведь был изменен исходящий адрес. Но порой это и не нужно, например, для протоколов, не требующих подтверждения.

Рассмотрим то, как можно воспользоваться утилитами для спуфинга. Вот пример утилиты для осуществления ARP-spoofing (ARP-redirect), то есть перенаправления сетевого трафика с одного или нескольких узлов на машину злоумышленника. Атака ARP Spoofing используется в локальной сети, построенной на коммутаторах. С ее помощью можно перенаправить поток Ethernet-фреймов на другие порты в соответствии с MAC-адресом. После чего злоумышленник может перехватывать все пакеты на своем порту. Таким образом, атака ARP Spoofing позволяет перехватывать трафик машин, расположенных на разных портах коммутатора. Поясним на практике.

Пусть у нас есть машина-жертва с адресом 10.0.0.171, ее шлюз – 10.0.0.1, машина злоумышленника имеет адрес 10.0.0.227. Результат выполнения команды traceroute перед атакой:

[root@user -> ~]$ traceroute 10.0.0.1

traceroute to 10.0.0.1 (10.0.0.1), 30 hops max, 40 byte packets

1 10.0.0.1 (10.0.0.1) 1.218 ms 1.061 ms 0.849 ms

ARP-кэш машины:

[root@user -> ~]$ arp

Address HWtype HWAddress Flags Mask Iface

10.0.0.1 ether 00:b0:c2:88:de:65 C eth0

10.0.0.227 ether 00:00:86:35:c9:3f C eth0

Злоумышленник запускает программу ARPSpoof (Audit > Spoofing > Address Resolution Protocol):

[root@hacker -> ~]$ arpspoof -t 10.0.0.171 10.0.0.1

0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42: arp reply 10.0.0.1

is-at 0:0:86:35:c9:3f

Посылаемые пакеты – это ARP-ответы, изменяющие кэш машины 10.0.0.171. Они несут информацию, что с адресом 10.0.0.1 теперь ассоциирован MAC-адрес 00:00:86:35:c9:3f.

Теперь ARP-кэш машины 10.0.0.171 выглядит так:

[root@user~]$ arp

Address HWtype HWAddress Flags Mask Iface

10.0.0.1 ether 00:00:86:35:c9:3f C eth0

10.0.0.227 ether 00:00:86:35:c9:3f C eth0

Чтобы убедиться, что весь трафик теперь проходит через машину 10.0.0.227, еще раз запустите traceroute к шлюзу 10.0.0.1:

[root@user]$ traceroute 10.0.0.1

traceroute to 10.0.0.1 (10.0.0.1), 30 hops max, 40 byte packets

1 10.0.0.227 (10.0.0.227) 1.712 ms 1.465 ms 1.501 ms

2 10.0.0.1 (10.0.0.1) 2.238 ms 2.121 ms 2.169 ms

Теперь злоумышленник может прослушивать трафик между машинами 10.0.0.171 и 10.0.0.1. Для того чтобы приведенный пример заработал, не забудьте на машине предполагаемого злоумышленника активировать маршрутизацию через 10.0.0.227.

На резонный вопрос, как от подобных атак защититься, могу предложить реализовать безопасность на втором уровне – протокол 802.1х.

Аудит беспроводного доступа

Далее идут две группы утилит, посвященных беспроводному доступу. Первая из них – это набор утилит для работы с Bluetooth. В связи с развитием мобильных технологий данный адаптер устанавливается на многие модели мобильных телефонов и карманных компьютеров. И очень часто владелец не предпринимает никаких мер по защите своего мобильного устройства от проникновений через Bluetooth-адаптер. Так что если у вас на машине имеется Bluetooth, то рекомендую вам проверить вашу сеть с помощью сканера и в случае обнаружения устройств произвести проверку на наличие уязвимостей.

Вторая группа утилит – это набор утилит для работы с Wireless – беспроводными точками доступа. Эта технология используется повсеместно, поэтому на вопросах безопасности остановимся подробнее. Еще до запуска каких-либо утилит аудита произведите следующие действия.

Отключите отправку SSID (если вы не являетесь провайдером беспроводного доступа к Интернету, то незачем всем сообщать о существовании своей беспроводной сети).

Поэкспериментируйте с мощностью сигнала за пределами вашего офиса. Настройте мощность излучения своих радиоточек так, чтобы уверенный прием был только там, где это необходимо, а за пределами охраняемой территории лучше чтобы приема не было вообще.

Если у вас небольшое число клиентских устройств, то лучше всего составить список MAC-адресов устройств, которым разрешен доступ.

На клиентских устройствах отключите использование соединений компьютер-компьютер (ad-hoc).

И наконец, самое главное, это шифрование трафика. Прежде всего ни в коем случае не используйте WEP. При современных вычислительных мощностях для того чтобы обеспечить конфиденциальность данных, зашифрованных WEP, вам потребуется менять ключ шифрования каждые 10 минут. Как вы понимаете, это практически невозможно. Наилучшим решением является использование WPA. Если у вас большая сеть, то лучше всего развернуть WPA-EAP, использующий уже упоминавшийся ранее протокол аутентификации 802.1x. Вообще о безопасности беспроводных сетей лучше всего прочитать труды «классика» – [5].

Из утилит, входящих в состав Linux Auditor, предназначенных для проверки безопасности беспроводных соединений, хотелось бы отметить Kismet. Это набор утилит, позволяющих осуществлять сканирование и анализ беспроводной сети.

Стойкость паролей

Вот мы медленно, но верно подходим к концу нашего аудита сети. Подведем промежуточный итог. Была собрана информация о существующих устройствах и приложениях, проверены возможности несанкционированного выхода в Интернет, в обход межсетевых экранов, и устойчивость сети к атакам типа spoofing. Проверили также беспроводной доступ в сеть. Но один очень важный фактор безопасности сети остался не освещенным – это человеческий фактор. Я не собираюсь пускаться в пространные размышления на тему социальной инженерии, но упомяну о том, что большинство утечек информации происходит по неосторожности или злому умыслу со стороны самих сотрудников компании. Здесь немаловажным фактором является то, как сам сотрудник хранит корпоративные секреты. Про бумажки с паролями, которые приклеивают к мониторам, уже упоминалось неоднократно, но даже тщательно скрываемый пароль может оказаться не таким уж большим секретом, если он, например, является каким-то осмысленным набором символов (слово или фраза, дата рождения и т. д.). Вот тут нам и пригодятся утилиты из следующих двух разделов Bruteforce и Password Cracker.

В разделе Bruteforce собраны утилиты, которые позволяют осуществлять подбор паролей. «Слепой» перебор всех возможных вариантов может занять долгое время, но нам это и не нужно. Определитесь со сложностью пароля и проверьте только те варианты, которые не удовлетворяют этому уровню сложности. Можно проверять на предмет соответствия списку известных паролей, которые также имеются в этом разделе. Кстати, там есть словари для разных языков, в том числе и для русского. Так что любителям использовать в качестве паролей русские слова в английской раскладке стоит призадуматься. Например, с помощью утилиты HydraGTK можно произвести проверку паролей ко многим распространенным службам: серверу POP3, ICQ, HTTP Proxy и других. Утилита имеет как оконный интерфейс, так и консольный вариант.

Рисунок 5. Утилита Hydra

Рисунок 5. Утилита Hydra

Также в этой группе имеется документ, содержащий заводские настройки по умолчанию для оборудования и программного обеспечения.

Утилиты раздела Password Cracker имеют схожий функционал, только предназначены для аудита файлов с паролями. Для проверки надежности паролей вашей сети, вам прежде всего пригодится утилита John The Ripper, хорошо извесный взломщик паролей. Применив утилиту для расшифровки sam-файлов (в которых хранятся пароли Windows), можно легко узнать у кого из пользователей простые пароли, легко подвергаемые взлому.

Собираем улики

Следующий раздел – это Forensics (можно перевести как «следственные средства»). Утилиты из этого раздела пригодятся вам в случае, если есть подозрение, что в вашу сеть кто-то проник, либо действует шпион. С помощью утилиты Autospy можно отслеживать все обращения к ресурсам сервера, выясняя таким образом, кто и зачем пытается получить доступ. Также в данной группе имеется несколько утилит для восстановления удаленных файлов. Эти утилиты могут оказаться полезными не только при расследовании инцидентов, связанных с безопасностью, но и при банальном восстановлении случайно удаленных данных.

Горшочки с медом

И наконец, последняя группа утилит – Honeypot (буквальный перевод – приманка). Технология Honeypot – ресурс безопасности, назначение которого состоит в том, чтобы стать приманкой. Это означает, что независимо от того, какую структуру имеет средство Honeypot, цель состоит в том, чтобы данный ресурс был исследован, атакован и использован злоумышленником. Так что, если вас интересуют, к примеру, методы взлома сервера Microsoft IIS, то можете воспользоваться соответствующей утилитой IISimulator.

Подводим итоги

Завершая повествование о Linux Auditor Collection, хотелось бы упомянуть еще о некоторых полезных функциях.

Если вы хотите установить дистрибутив на жесткий диск, зайдите в раздел «System» и далее «Auditor HD installer». Также в разделе Applications можно найти утилиту для получения Screenshots (снимков экрана), иногда бывает полезно.

Итак, в итоге мы собрали сведения о версии прошивки оборудования, трафике, беспроводных сетях, паролях. Надеюсь, что методы проверки безопасности сетевых ресурсов, описанные в этой статье, оказались полезны для вас, и ваша сеть стала более защищенной и устойчивой к взломам.

Удачи.

  1. Описание протокола WhoIs – http://tools.ietf.org/html/rfc3912.
  2. Система доменных имен – http://zeus.sai.msu.ru:7000/internet/dns/khramtsov/25.shtml.
  3. Бирюков А. Управляем сетевым оборудованием с помощью протокола SNMP. //Системный администратор, №3, 2006 г. – C. 64-69.
  4. Описание и конфигурирование SPAN – http://cisco.com/en/US/products/hw/switches/ps708/products_configuration_guide_chapter09186a008007f323.html# wp1019961.
  5. Крис Касперски. Насколько неуязвима ваша беспроводная сеть? – http://www.samag.ru/cgi-bin/go.pl?q= articles;n=06.2005;a=12.
  6. Сайт проекта Linux Auditor Collection – http://www.remote-exploit.org.
  7. Методика определения ОС – http://insecure.org/nmap/osdetect.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru