 |
|
|
|
Auditor Collection: проверяем безопасность вашей сети
Auditor Collection: проверяем безопасность вашей сети Каждый системный администратор – хозяин сети компании, но иногда сеть может захватить кто-то другой. Для того чтобы этого не произошло, необходимо заботиться о безопасности корпоративных ресурсов. Цель и средства Во многих компаниях системные администраторы слишком заняты решением текущих задач технической поддержки и не уделяют должного внимания защите сети и информационных ресурсов. Но такое положение дел рано или поздно приводит к очень серьезным проблемам: вирусным эпидемиям, большому объему нежелательной почты, утечке информации, сбоям и т. д. Современная сетевая инфраструктура даже в небольших компаниях может состоять из оборудования и программного обеспечения разных производителей, использующих множество протоколов и форматов хранения данных. Для того чтобы сеть была хорошо защищена от угроз и посягательств, администратор должен хорошо знать, как работает оборудование и ПО в его сети, а также уметь обнаруживать и устранять уязвимости в системе безопасности. Но учитывая разнообразие используемых устройств и приложений, задача поиска уязвимостей становится отнюдь не тривиальной. Нужно найти и настроить множество сканеров уязвимостей и анализаторов, с помощью которых осуществляется поиск «лазеек для хакеров». Теперь несколько слов об инструменте, который мы будем использовать для решения поставленных задач. Для поиска уязвимостей в сети можно воспользоваться специально собранным для этих целей дистрибутивом Linux с нехитрым названием Auditor Collection. Я полагаю, этот дистрибутив будет полезен как специалистам по сетевой безопасности, так и системным администраторам, решившим произвести аудит своей сети. В статье я расскажу об этом бесплатном продукте, опишу инструменты для анализа безопасности, которые, как в хорошем швейцарском ноже, собраны в Linux Auditor [6]. А также рассмотрим, как лучше закрыть обнаруженные уязвимости в системе безопасности. Запуск и начало работы Auditor Collection собран на основе Knoppix и, следовательно, позволяет осуществлять загрузку образа операционной системы с компакт-диска, не требуя установки на жесткий диск. Хотя при желании Auditor можно развернуть в качестве постоянной операционной системы на жестком диске. Для проведения полноценного аудита я бы рекомендовал по возможности использовать ноутбук. Это позволит достичь мобильности при проверки физически разделенных сегментов сети, а также позволит протестировать беспроводные точки доступа как на охраняемой территории вашего офиса, так и, что важно, за ее пределами. В состав дистрибутива входит набор драйверов, так что проблем с определением оборудования, в частности, адаптеров беспроводного доступа и модемов у меня не возникло. Отмечу также, что дистрибутив не требователен к ресурсам и 128 Мб оперативной памяти ему достаточно. После загрузки к вашим услугам оконный интерфейс KDE. Выбрав значок с буквой «К» в левом нижнем углу, и затем, обратившись к разделу Auditor, вы получите список средств, которые можно использовать для проверки. Узнаем больше о системе Начнем с первого пункта «Footprinting» – это процесс сбора информации об интересующей сети. Утилиты, собранные в данном разделе, в той или иной степени преследуют цель получения различными способами информации об удаленном узле или сети (см. рис. 1).
Рисунок 1. Список утилит Прежде чем приступить к описанию этих утилит, поясню, чем Footprinting может быть полезен системному администратору при аудите своей же сети. Во-первых, с помощью этих утилит можно узнать, какую информацию о вашей сети может получить потенциальный взломщик. Конечно, некоторая информация является открытой, и скрыть ее у вас не получится (например, на кого зарегистрировано доменное имя корпоративного сайта, версия ПО, «зашитая» в сетевое оборудование). Во-вторых, если вы подвергнетесь атаке со стороны злоумышленников, то неплохо бы принять меры, чтобы в будущем пресекать подобные попытки взлома. И наконец, в-третьих, некоторые из утилит для Footprinting могут оказаться полезны при поиске неисправностей (например, различные варианты Traceroute). Теперь я расскажу про утилиты, входящие в группу Footprinting. Утилиты подгруппы WhoIs помимо стандартных функций по сбору информации о том или ином хосте позволяют использовать для сбора информации нужный WhoIs-сервер. Также есть возможность работать через GUI-интерфейс. Подробнее о работе протокола WhoIs можно узнать из документа RFC 3912 (WHOIS Protocol Specification) [1]. Следующий инструмент сбора информации о сети – Traceroute. Здесь также подобраны утилиты, обладающие расширенным функционалом по сравнению с обычной командой traceroute. Например, в программе есть возможность применять для сбора информации о маршруте не только протокол ICMP, но и протокол TCP, использующий для соединения различные порты. Это может быть полезно, когда необходимо узнать маршрут до узла, если ICMP-трафик закрыт. Вот небольшой пример использования данной утилиты: на рис. 2 получаем маршрут из нашей сети до yandex.ru при закрытом протоколе ICMP. А для любителей работать с оконным интерфейсом также есть GUI.
Рисунок 2. Traceroute через TCP DNS: больше чем служба Далее идет подгруппа утилит DNS Lookup. Здесь основным инструментом для сбора информации является доменная служба имен. Утилита DNSwalk позволяет произвести поиск ошибок в описании зон и некорректное делегирование. Например, вы можете попробовать с помощью этой утилиты осуществить пересылку зоны DNS для корпоративного домена. Если вам удалось получить копию зоны с того IP, которому это не разрешено (а разрешено пересылать зоны только secondary DNS-серверам), то значит, ваш DNS-сервер настроен некорректно с точки зрения безопасности. Также с помощью dnswalk можно находить ошибки в настройках DNS. В следующем примере в зоне делегируется поддомен zone.webserver.ru, для которого не удается найти авторитативных серверов. Подробнее о DNS можно прочесть в статье [2].
Среди других утилит этой подгруппы хотелось обратить внимание на NSTX. Это уже не совсем инструмент для Footprinting, а скорее средство вторжения, но авторы Linux Auditor почему-то поместили NSTX именно в эту группу. Утилита позволяет организовать туннелирование IP-трафика поверх DNS. Этот способ проникновения бывает эффективен, когда в вашей сети закрыт доступ в Интернет по всем портам, кроме 53 (DNS). Так что, если в вашей сети имеются сегменты с такими ограничениями (например, гостевой доступ у провайдера доступа в Интернет), то рекомендую провести проверку с помощью NSTX. Вот что для этого нужно. Возьмем машину, находящуюся в ограниченном сегменте, загрузимся с диска Auditor. Это будет наш клиент. Для начала запускаем псевдоинтерфейс с нужным IP-адресом: ifconfig tun0 10.0.0.1 up Примечание: если для теста вы используете описываемый дистрибутив Auditor Linux, то никаких проблем возникнуть не должно. Но если используется другой дистрибутив, то могут потребоваться средства для создания псевдоинтерфейса Ethertap. Для этого нам нужны модули ядра, которые можно подгрузить следующим образом: insmod netlink_dev insmod ethertap Затем создаем файл устройства: mknod /dev/tun0 c 36 16 Теперь берем еще одну машину, находящуюся за пределами ограниченного сегмента, также грузимся с диска Auditor. На ней также запускам псевдоинтерфейс, по аналогии с описанным выше. Осталось запустить наш nstxd на обоих сторонах. Сначала на серверной запускаем фальшивый сервер имён: nstxcd zone.server.com Потом на клиентской: nstxd zone.server.com 123.45.67.89 Для практической работы надо иметь в своем распоряжении зарегистрированный DNS, на котором создать короткоживущую зону и прописать удаленный компьютер как NS для данной зоны. Кратко поясню, как все это работает. Происходит инкапсуляция данных в DNS-запрос, и наши данные передаются серверу DNS, к которому мы имеем доступ. DNS провайдера обращается к нашему серверу, отвечающему за зону zone.server.com, а тот передаёт всю информацию на фальшивый сервер имён, который и возвращает нужный ответ по тому же маршруту назад. Несмотря на кажущуюся сложность в реализации DNS, туннелинг является эффективным методом обхода защиты сети. Наиболее эффективным средством для борьбы с этим видом взлома, на мой взгляд, является внедрение системы обнаружения вторжения (IDS), например SNORT (www.snort.org). Следующим подразделом является HTTP/HTTPS. Здесь можно найти несколько браузеров, большинство должны быть знакомы опытным администраторам UNIX-систем, поэтому подробно останавливаться на этом не буду. Все об оборудовании Если в вашей сети используется активное сетевое оборудование (маршрутизаторы, коммутаторы, принт-серверы и т. д.), то утилиты для работы с SNMP вам могут пригодиться. Прежде всего это MIB-браузер, с помощью которого можно подключиться к оборудованию (см. рис. 3).
Рисунок 3. MIB-браузер Тут обратите внимание на то, что многие производители и поставщики оборудования по умолчанию включают службу SNMP. В качестве примера можете попробовать подключиться к одному из своих устройств по протоколу SNMP, указав в качестве значения community – public. Вполне вероятно, что вам удастся получить данные в режиме Read Only. Но если какие-либо значения доступны для записи, тогда примите меры по защите устройства. Как правило, наилучшим решением является запрет на запись по SNMP и закрытие доступа по 161 порту для всех сетей, которым данный протокол не требуется. Подробнее об SNMP и его использовании можно прочитать в источнике [3]. Следующим инструментом является LDAP-браузер, который позволяет осуществлять навигацию по дереву LDAP. Например, по дереву Active Directory. С помощью этой утилиты можно без труда определить, какие ресурсы дерева доступны для той или иной учетной записи. Далее идут утилиты для работы с SMB. С их помощью можно просканировать сеть на предмет наличия общедоступных ресурсов. Имеются как консольные, так и графические утилиты. И завершают группу Footprinting средства определения операционной системы OS Detection. Например, на рис. 4 изображен отчет, сделанный утилитой Nmap Front End.
Рисунок 4. Утилита Nmap Front End Средством борьбы с OS Detection является закрытие доступа к узлу по протоколу ICMP из всех подсетей, кроме административной подсети (Management VLAN). Более подробно о способах определения операционной системы, а также о борьбе с footprinting можно прочесть в источнике [7]. Итак, подведем итог, что же мы собрали с помощью Footprinting, чьи «отпечатки ног»? По итогам выполненных действий можно составить таблицу, содержащую IP-адрес устройства, его операционную систему, функциональные обязанности и т. д. Для администратора в этой таблице может и не будет ничего нового, но он увидит сеть глазами хакера, то есть какую информацию взломщик сможет получить, применив данные утилиты. Наличие информации об операционных системах позволяет начать поиск уязвимостей, так что эти сведения важны. Постарайтесь скрыть сведения об операционной системе своего почтового сервера, маршрутизатора, веб-сервера и других устройств, подключенных к публичной сети. Это усложнит взломщикам проникновение к ресурсам вашей сети. Сканеры: ищем уязвимости Следующим, не менее важным инструментом при проведении нашего аудита являются сканеры, объединенные в группу Scanners. Эта группа в свою очередь разделена на подгруппы: сканеры безопасности, уязвимости для приложений и оборудования, сетевые сканеры и другие. Описывать по отдельности каждую из утилит нет смысла. На основании тех сведений, которые были получены в результате Footprinting, просканируйте свои ресурсы на предмет уязвимостей. Например, если у вас есть веб-сервер, то можно воспользоваться утилитами из подгруппы Web Server Scanner, лучшим из которых, на мой взгляд, является сканер Nikto. Аналогично можно проверить активное сетевое оборудование и другие ресурсы. Анализируем трафик Еще одним полезным средством аудита, входящим в состав дистрибутива Linux Auditor, является набор сетевых анализаторов, входящих в группу Analyzer. Сбор информации о проходящем по сети трафике является неотъемлемой частью аудита. В данную группу входят анализаторы, предназначенные как для перехвата всего сетевого трафика, так и для перехвата данных, передаваемых определенными приложениями (например, клиентом ICQ, веб-браузером или почтовым клиентом). Также полезной может оказаться утилита DSniff, которая перехватывает только пароли, передаваемые по сети. Оставьте ее на несколько минут включенной, и вы сможете определить, насколько часто по вашей сети передаются учетные данные в незашифрованном виде. Определившись с сетевым анализатором, обсудим то, где лучше разместить машину с запущенным сниффером. Для того чтобы аудит был наиболее эффективен, необходимо, чтобы через данную машину проходил весь трафик сети. В простейшем случае можно воспользоваться концентратором (хабом) или включить данную машину «в разрыв», но для крупных сетей это не самые лучшие решения. Гораздо более эффективно это можно сделать, если активное сетевое оборудование, используемое в сети, поддерживает технологию SPAN (Switched Port Analyzer). Она позволяет осуществлять мониторинг трафика, проходящего через коммутатор. Более подробно про технологию SPAN можно прочесть в [4]. Подмена как инструмент взлома Следующая группа утилит, которую авторы Auditor Linux включили в свой дистрибутив, – это Spoofing. Спуфингом именуется вид удаленных атак, связанных с подменой адреса источника. Например, IP Spoofing – подмена IP-адреса определенной машины. Это позволяет злоумышленнику либо скрыть источник атаки (используется в атаках типа «отказ в обслуживании»), либо извлечь какую-либо пользу из доверительных связей двух машин. Для злоумышленника базовый принцип атаки заключается в фальсификации собственных IP-пакетов (например, с помощью таких программ, как hping2 или nemesis из группы Spoofing), в которых изменяется среди прочего IP-адрес источника. Атака IP Spoofing часто называется «слепой подменой» (Blind Spoofing). Это связано с тем, что ответы на фальсифицированные пакеты не могут прийти машине атакующего, ведь был изменен исходящий адрес. Но порой это и не нужно, например, для протоколов, не требующих подтверждения. Рассмотрим то, как можно воспользоваться утилитами для спуфинга. Вот пример утилиты для осуществления ARP-spoofing (ARP-redirect), то есть перенаправления сетевого трафика с одного или нескольких узлов на машину злоумышленника. Атака ARP Spoofing используется в локальной сети, построенной на коммутаторах. С ее помощью можно перенаправить поток Ethernet-фреймов на другие порты в соответствии с MAC-адресом. После чего злоумышленник может перехватывать все пакеты на своем порту. Таким образом, атака ARP Spoofing позволяет перехватывать трафик машин, расположенных на разных портах коммутатора. Поясним на практике. Пусть у нас есть машина-жертва с адресом 10.0.0.171, ее шлюз – 10.0.0.1, машина злоумышленника имеет адрес 10.0.0.227. Результат выполнения команды traceroute перед атакой:
ARP-кэш машины:
Злоумышленник запускает программу ARPSpoof (Audit > Spoofing > Address Resolution Protocol):
Посылаемые пакеты – это ARP-ответы, изменяющие кэш машины 10.0.0.171. Они несут информацию, что с адресом 10.0.0.1 теперь ассоциирован MAC-адрес 00:00:86:35:c9:3f. Теперь ARP-кэш машины 10.0.0.171 выглядит так:
Чтобы убедиться, что весь трафик теперь проходит через машину 10.0.0.227, еще раз запустите traceroute к шлюзу 10.0.0.1:
Теперь злоумышленник может прослушивать трафик между машинами 10.0.0.171 и 10.0.0.1. Для того чтобы приведенный пример заработал, не забудьте на машине предполагаемого злоумышленника активировать маршрутизацию через 10.0.0.227. На резонный вопрос, как от подобных атак защититься, могу предложить реализовать безопасность на втором уровне – протокол 802.1х. Аудит беспроводного доступа Далее идут две группы утилит, посвященных беспроводному доступу. Первая из них – это набор утилит для работы с Bluetooth. В связи с развитием мобильных технологий данный адаптер устанавливается на многие модели мобильных телефонов и карманных компьютеров. И очень часто владелец не предпринимает никаких мер по защите своего мобильного устройства от проникновений через Bluetooth-адаптер. Так что если у вас на машине имеется Bluetooth, то рекомендую вам проверить вашу сеть с помощью сканера и в случае обнаружения устройств произвести проверку на наличие уязвимостей. Вторая группа утилит – это набор утилит для работы с Wireless – беспроводными точками доступа. Эта технология используется повсеместно, поэтому на вопросах безопасности остановимся подробнее. Еще до запуска каких-либо утилит аудита произведите следующие действия. Отключите отправку SSID (если вы не являетесь провайдером беспроводного доступа к Интернету, то незачем всем сообщать о существовании своей беспроводной сети). Поэкспериментируйте с мощностью сигнала за пределами вашего офиса. Настройте мощность излучения своих радиоточек так, чтобы уверенный прием был только там, где это необходимо, а за пределами охраняемой территории лучше чтобы приема не было вообще. Если у вас небольшое число клиентских устройств, то лучше всего составить список MAC-адресов устройств, которым разрешен доступ. На клиентских устройствах отключите использование соединений компьютер-компьютер (ad-hoc). И наконец, самое главное, это шифрование трафика. Прежде всего ни в коем случае не используйте WEP. При современных вычислительных мощностях для того чтобы обеспечить конфиденциальность данных, зашифрованных WEP, вам потребуется менять ключ шифрования каждые 10 минут. Как вы понимаете, это практически невозможно. Наилучшим решением является использование WPA. Если у вас большая сеть, то лучше всего развернуть WPA-EAP, использующий уже упоминавшийся ранее протокол аутентификации 802.1x. Вообще о безопасности беспроводных сетей лучше всего прочитать труды «классика» – [5]. Из утилит, входящих в состав Linux Auditor, предназначенных для проверки безопасности беспроводных соединений, хотелось бы отметить Kismet. Это набор утилит, позволяющих осуществлять сканирование и анализ беспроводной сети. Стойкость паролей Вот мы медленно, но верно подходим к концу нашего аудита сети. Подведем промежуточный итог. Была собрана информация о существующих устройствах и приложениях, проверены возможности несанкционированного выхода в Интернет, в обход межсетевых экранов, и устойчивость сети к атакам типа spoofing. Проверили также беспроводной доступ в сеть. Но один очень важный фактор безопасности сети остался не освещенным – это человеческий фактор. Я не собираюсь пускаться в пространные размышления на тему социальной инженерии, но упомяну о том, что большинство утечек информации происходит по неосторожности или злому умыслу со стороны самих сотрудников компании. Здесь немаловажным фактором является то, как сам сотрудник хранит корпоративные секреты. Про бумажки с паролями, которые приклеивают к мониторам, уже упоминалось неоднократно, но даже тщательно скрываемый пароль может оказаться не таким уж большим секретом, если он, например, является каким-то осмысленным набором символов (слово или фраза, дата рождения и т. д.). Вот тут нам и пригодятся утилиты из следующих двух разделов Bruteforce и Password Cracker. В разделе Bruteforce собраны утилиты, которые позволяют осуществлять подбор паролей. «Слепой» перебор всех возможных вариантов может занять долгое время, но нам это и не нужно. Определитесь со сложностью пароля и проверьте только те варианты, которые не удовлетворяют этому уровню сложности. Можно проверять на предмет соответствия списку известных паролей, которые также имеются в этом разделе. Кстати, там есть словари для разных языков, в том числе и для русского. Так что любителям использовать в качестве паролей русские слова в английской раскладке стоит призадуматься. Например, с помощью утилиты HydraGTK можно произвести проверку паролей ко многим распространенным службам: серверу POP3, ICQ, HTTP Proxy и других. Утилита имеет как оконный интерфейс, так и консольный вариант.
Рисунок 5. Утилита Hydra Также в этой группе имеется документ, содержащий заводские настройки по умолчанию для оборудования и программного обеспечения. Утилиты раздела Password Cracker имеют схожий функционал, только предназначены для аудита файлов с паролями. Для проверки надежности паролей вашей сети, вам прежде всего пригодится утилита John The Ripper, хорошо извесный взломщик паролей. Применив утилиту для расшифровки sam-файлов (в которых хранятся пароли Windows), можно легко узнать у кого из пользователей простые пароли, легко подвергаемые взлому. Собираем улики Следующий раздел – это Forensics (можно перевести как «следственные средства»). Утилиты из этого раздела пригодятся вам в случае, если есть подозрение, что в вашу сеть кто-то проник, либо действует шпион. С помощью утилиты Autospy можно отслеживать все обращения к ресурсам сервера, выясняя таким образом, кто и зачем пытается получить доступ. Также в данной группе имеется несколько утилит для восстановления удаленных файлов. Эти утилиты могут оказаться полезными не только при расследовании инцидентов, связанных с безопасностью, но и при банальном восстановлении случайно удаленных данных. Горшочки с медом И наконец, последняя группа утилит – Honeypot (буквальный перевод – приманка). Технология Honeypot – ресурс безопасности, назначение которого состоит в том, чтобы стать приманкой. Это означает, что независимо от того, какую структуру имеет средство Honeypot, цель состоит в том, чтобы данный ресурс был исследован, атакован и использован злоумышленником. Так что, если вас интересуют, к примеру, методы взлома сервера Microsoft IIS, то можете воспользоваться соответствующей утилитой IISimulator. Подводим итоги Завершая повествование о Linux Auditor Collection, хотелось бы упомянуть еще о некоторых полезных функциях. Если вы хотите установить дистрибутив на жесткий диск, зайдите в раздел «System» и далее «Auditor HD installer». Также в разделе Applications можно найти утилиту для получения Screenshots (снимков экрана), иногда бывает полезно. Итак, в итоге мы собрали сведения о версии прошивки оборудования, трафике, беспроводных сетях, паролях. Надеюсь, что методы проверки безопасности сетевых ресурсов, описанные в этой статье, оказались полезны для вас, и ваша сеть стала более защищенной и устойчивой к взломам. Удачи.
|
Андрей Бирюков
Комментарии отсутствуют
| Добавить комментарий |
|
Комментарии могут оставлять только зарегистрированные пользователи |
|
