double arrow

Топология простых локальных сетей.

В локальных вычислительных сетях (ЛВС) для доступа к сетевым ресурсам применяется целый ряд аппаратных и программных компонентов. Сетевое программное обеспечение делится на три категории:

- управление сетевой платой;

- сетевая операционная система;

- выполнение правил (протоколов) общения в сети.

Первый компонент может состоять из одной или нескольких небольших программ. Он отвечает за наведение мостов между сетевой платой и стеком протокола. Стек протокола- это компонент, отвечающий за правила движения данных по сети, он связывает интерфейсную плату с оболочкой (сетевым клиентом). Сетевой клиент осуществляет связь между операционными системами сети и отвечает за передачу и удовлетворение запросов на сетевые ресурсы.

Операционная система рабочей станции при работе использует свою операционную систему, а файловый сервер использует особую операционную систему, называемой сетевой операционной системой. Информационные свойства локальной сети во многом зависят от состава поддерживаемых ею операционных систем, которые функционируют в рабочей станции и серверах. Если ЛВС поддерживает только одну ОС, т.е. имеет однородный состав узлов, то такая локальная сеть называется гомогенной (однородной). В противном случае ЛВС называется гетерогенной (разнородной).

ЛВС бывают двух основных типов: равноправные (одноранговые) и с выделенным сервером. В равноправной ЛВС все узлы равноправны: любая РС может выступать по отношению к другой как клиент или как сервер. В сети с выделенным сервером все клиенты общаются с центральным сервером.

Равноправные СОС как правило используются для мелких сетей в случае если необходимо объединить лишь несколько машин в целях коллективного применения специальных файлов и принтеров, и для этого не требуется централизованного администрирования. Но иногда доступ к некоторым ресурсам должен быть предоставлен лишь определенным пользователям. В этом случае лучше использовать сеть с выделенным сервером. Обычно ЛВС с выделенным сервером сложнее в установке по сравнению с одноранговыми, но они мощнее поддерживают крупные сетевые системы.

Наиболее популярным сетевым ПО с выделенным сервером является ОС Novell NetWare, используемая по некоторым оценкам, в 70% локальных сетей.

Выполнение правил общения в сети определяется методами доступа к передающей среде. Методы доступа влияют на топологию ЛВС. Типичными методами доступа являются:

- множественный доступ с контролем и обнаружением конфликтов, называемый Ethernet;

- маркерное кольцо (метод доступа Tokeng Ring)

- маркерная шина (Arcnet)

- маршрутизируемое кольцо (FDDI)

Метод доступа Ethernet (метод случайного доступа) разработан фирмой Xerox в 1975 году и используется в ЛВС с шинной топологией, обеспечивает высокую скорость передачи данных и надежность (рисунок 4). Каждая РС перед началом передачи определяет, свободен канал или занят. Если канал свободен, РС начинает передачу данных, осуществляемую пакетами, упакованными в кадры. Из-за различных системных задержек могут возникнуть коллизии. В этом случае станция задерживает передачу на определенное время. Для каждой РС устанавливается свое время ожидания перед повторной передачей кадра. Коллизии приводят к снижению быстродействия сети только при сравнительно большом количестве активных РС (до 80-100).

Рисунок 4. Схема ЛВС с общей шиной и выделенными серверами

Метод доступа Token Ring разработан фирмой IBM и рассчитан на кольцевую топологию сети (рисунок 5). Это селективный метод доступа в кольцевой моноканал, именуемый «маркерное кольцо». В качестве маркера используется уникальная последовательность битов. Маркер не имеет адреса и может находиться в одном из двух состояний – свободном или занятом. Если ни одна РС не готова к передаче данных, свободный маркер циркулирует по кольцу. Станция, имеющая кадр для передачи, ждет подхода свободного маркера, захватывает его, изменяет состояние маркера на «занятый» и добавляет к нему кадр. Занятый маркер с кадром перемещается по кольцу и возвращается к станции-отправителю, причем при прохождении через узел назначения снимается копия кадра. Станция – отправитель удаляет свой кадр из кольца, изменяет состояние маркера на «свободный» и передает его дальше по кольцу. С этого момента любая станция может изменить состояние маркера на «занятый» и начать передачу данных. Такая процедура характерна для сети, в которой все станции имеют одинаковый приоритет. В рамках метода «маркерное кольцо» предусматривается возможность передачи кадров станции с учетом их приоритетов. Тогда станции с низким приоритетом могут захватывать кольцо в случае неактивности станций с более высоким приоритетом.

Рисунок 5. Схема ЛВС «Маркерное кольцо»

Метод доступа Arcnet разработан фирмой Datapoint Corp и используется в ЛВС с топологией «звезда» и «общая шина» (рисунок 6). Это селективный метод доступа в моноканал, называемый «маркерная шина». Маркер создается одной из станций сети и имеет адресное поле, где указывается номер (адрес) станции, владеющей маркером. Передачу производит только та станция, которая в данный момент владеет маркером. Остальные станции работают на примем. Последовательность передачи маркера от одной станции к другой задается управляющей станции сети. Станции, последовательно получающие маркер для передачи кадров, образуют «логическое кольцо». Станция, получившая маркер, передает подготовленный кадр в шину. Если кадра для передачи нет, она сразу посылает маркер другой станции согласно установленному порядку передачи полномочий. Так продолжается до тех пор, пока управляющая станция не инициирует новую последовательность передач маркера. Станция назначения, получившая маркер с кадром, «отцепляет» кадр от маркера и передает маркер следующей станции в установленной последовательности передач. При таком методе доступа в моноканал имеется возможность обеспечить приоритетное обслуживание абонентов, например в течение одного цикла, когда маркер совершает полный оборот по «логическому кольцу», станции с более высоким приоритетом получают маркер не один раз, а несколько.

Рисунок 6. Схема ЛВС «маркерная шина»

Метод доступа FDDI. В последнее время в локальных сетях все больше используется кольцо FDDI (распределенный интерфейс передачи данных по волоконно-оптическим каналам), называемое маршрутизируемым кольцом, либо в качестве высокоскоростных базовых сетей, либо для подключения моделей высокопроизводительных рабочих станций и суперсерверов.

По сравнению с популярными сетями Ethernet сети FDDI имеют более высокую производительность, обладают большей надежностью и безопасностью. Все варианты стандарта FDDI обеспечивают скорость передачи 100 Мбит/с, что в 10 раз выше скорости Ethernet и в 6 раз выше максимальной скорости Token Ring. При этом необязательно отказываться от сетей Ethernet, так как возможны варианты одновременного использования FDDI и сетей других типов, если применять коммутаторы и мосты/маршрутизаторы.

Отказоустойчивость сети FDDI обеспечивается применением двух колей передачи данных. В нормальном состоянии данных передаются только по основному кольцу. При одиночном физическом разрыве основного кольца (обрыв кабеля, выход из строя РС) станции обнаруживают по обе стороны места разрыва неисправность и автоматически переключают поток данных на резервное кольцо в направление противоположенном направлению передачи по основному кольцу.

При использовании оптоволоконного кабеля реализуются другие преимущества технологии FDDI: большое расстояние между узлами (станции могут находится на расстоянии до 2 км друг от друга, общая длина кольца – достигать 100 км при числе станций до 500), нечувствительность к электромагнитным помехам, вызываемым электродвигателями и другими излучающими приборами, большая степень безопасности благодаря тому, что передаваемую по оптоволоконному кабелю информацию трудно перехватить удаленными приборами.

Существуют также и другие топологии ЛВС с применением вспомогательного оборудования: коммутаторов, повторителей, маршрутизаторов и т.д. Однако в их основе лежат вышеперечисленные топологии.

Существуют два типа межкомпьютерного обмена данными - датаграммы и сеансы. Датаграмма – сообщение, которое не требует подтверждение о приеме от принимающей стороны. Если такое подтверждение необходимо, то адресат должен сам послать специальное сообщение. Для осуществления обмена этим способом принимающая и передающая стороны должны придерживаться определенного протокола во избежание недоразумений. Каждая Датаграмма является самостоятельным сообщением, и при наличии нескольких датаграмм в ЛВС порядок их доставки не гарантируется. В некоторых случаях максимальный размер датаграмм гораздо меньше, чем длина сообщений в сеансах. Зато в большинстве ЛВС скорость передачи датаграмм гораздо выше, чем сообщений в сеансах.

В противоположность датаграммам в сеансе предполагается создание логической связи для обмена сообщениями между РС и гарантируется получение сообщений. В то время как датаграммы могут передаваться в произвольные моменты времени, в сеансе для передачи сообщений сначала необходимо выполнить некоторую подготовительную работу: сеанс должен быть установлен, после этого происходит обмен сообщениями и, наконец, после окончания обмена данными сеанс должен быть закрыт.

Для подключения к глобальной сети, а также для объединения локальных сетей и их больших частей не всегда эффективно можно применять мосты и коммутаторы. Это связано с тем, что мосты и коммутаторы не реализуют функцию выбора оптимального маршрута, а также не могут защитить сеть от широковещательных пакетов, которые приводят к непроизводительной загрузке сети. В этом случае целесообразно применять маршрутизаторы, так как они обеспечивают оптимальный трафик по сложным маршрутам в разветвленных объединенных сетях, имеющих избыточные связи. В дополнение они отфильтровывают ненужный поток широковещательных сообщений, повышая, таким образом, пропускную способность каналов связи. Современные протоколы маршрутизации предусматривают автоматическое формирование таблиц маршрутизации и поддерживание их в актуальном состоянии на основе взаимодействия маршрутизаторов друг с другом. На каждом маршрутизаторе функционирует программа опроса и прослушивания, с помощью которых происходит обмен информацией. Полученная информация используется для построения и обновления таблицы маршрутизации. Таблица маршрутизации, иногда называемая базой данных маршрутизации, включает набор оптимальных путей передачи пакетов сообщений в данный момент времени. Каждая строка этой таблицы содержит по крайней такую информацию:

- сетевой адрес получателя;

- адрес следующего маршрутизатора, пересылка к которому соответствует оптимальному пути до пункта назначения;

- характеристику пути, например, пропускную способность канала связи и отметку времени, когда эта характеристика была определена;

- информацию о способе пересылки, например, номер входного порта.

В отличие от мостов и коммутаторов, которые работают с пакетами канального уровня, анализируя для принятия решений о ретрансляции МАС – адреса их отправителя и получателя, маршрутизаторы работают с пакетами сетевого уровня, анализируя не МАС – адреса, а сетевые адреса получателей, каждый из которых включает в номер сети, к которой подсоединен компьютер, а также номер самого компьютера в пределах данной сети. После получения очередного пакета сообщений маршрутизатор выполняет следующие действия:

- считывает из заголовка пакете сетевой адрес получателя;

- по таблице маршрутизации определяет адрес следующего транзитного маршрутизатора, пересылка к которому соответствует оптимальному пути до пункта назначения;

- заменяет в заголовке пакета свой МАС – адрес на МАС – адрес выбранного транзитного маршрутизатора;

- отсылает пакет выбранному транзитному маршрутизатору.

Любые автономные и объединенные сети, построенные на основе маршрутизаторов, называются маршрутизированными сетями. Примером такой сети является сеть Интернет.

Объединение локальных сетей в региональные и глобальные выполняют путем их подключения через маршрутизаторы к опорным сетям, в качестве которых выступает корпоративная, региональная или глобальная сеть (рисунок 7,8).

Рисунок 7. Схема подключения к опорной сети

Рисунок 8. Схема подключения к опорной сети

Опорные сети, в отличие от сегментов локальных сетей, реализуют не множественный, а избирательный доступ к устройствам, непосредственно подключенным к этим сетям. В качестве таких устройств используются маршрутизаторы. При обмене информацией между двумя компьютерами через опорную сеть маршрутизаторы устанавливают друг с другом соединения. В результате пакеты сообщений в пределах опорной сети курсируют по строгим маршрутам, которые определяют маршрутизаторы. Когда же пакеты сообщений поступают в сегмент локальной сети получателя, то в рамках этого сегмента реализуется множественный доступ, при котором полученные пакеты доставляются всем узлам сегмента, но принимаются только теми узлами, которым они адресованы.

В качестве корпоративной опорной сети часто используется кольцо FDDI, называемое маршрутизируемым кольцом. Маршрутизаторы, используемые подобным образом, называют краевыми маршрутизаторами.

Региональные и глобальные опорные сети чаще всего имеют другую структуру, называемую маршрутизируемым облаком. Краевые маршрутизаторы объединяют локальные сети в маршрутизированную сеть, а внутренние маршрутизаторы обеспечивают связь уровня опорной сети. Для связи маршрутизаторов друг с другом могут использоваться любые каналы передачи данных, начиная от медленных телефонных линий, заканчивая скоростными каналами оптоволоконной и спутниковой связи.

При подключении локальной сети к Интернету, а также другим общественным опорным сетям появляются угрозы несанкционированного вторжения в локальную сеть из глобальной, а также угрозы несанкционированного доступа из локальной сети к ресурсам глобальной. Защита от реализации угроз основана на использовании программно-аппаратных комплексов, поддерживающих функции маршрутизации и называемых межсетевыми экранами или брандмауэрами. Межсетевой экран устанавливается на стыке между опорной и локальной сетью. Он поддерживает безопасность локальной сети на основе фильтрации двухстороннего потока сообщений и аутентификации участников обмена информацией. Брандмауэр может заменять функции маршрутизатора, а может использоваться совместно с маршрутизатором, обеспечивая более надежную защиту.

При анализе возможных путей доступа к информационным процессам следует отметить угрозы, которым могут подвергаться каналы и компьютерные сети (Рис. 3. 1). На схеме показана, что нарушитель может подключит на участке В и работать под мнимом шлюзом, контролируя тем самым весь информационный поток и осуществлять как пассивный, так и активный его перехват.

Рис. 3. 1. Схема возможного подключения нарушителя к сети компьютерной системы

При пассивном перехвате нарушитель следит только за потоком информации, раскрывая содержание сообщений. Нарушитель определяет длину передаваемого сообщения, частоту их передачи с целью анализа потока данных.

При активном перехвате нарушитель имеет возможность модифицировать или вводит дезинформацию (ложное сообщение), задержку сообщений. Подобные нарушения квалифицируется как изменение потока и содержания сообщений.

Как показывает анализ угроз информационным процессам, следует отметить пять видов угроз:

1) раскрытие содержания передаваемых сообщений;

2) анализ трафика, позволяющий определить принадлежность отправителя и получателя;

3) изменение потока сообщений, что может привести к нарушению режима работы какого-либо объекта, управляемого удаленным компьютером;

4) неправомерный отказ в представлении услуг;

5) несанкционированное установление соединений.

Все перечисленные определения классификации не противоречат принципу деления на угрозы: модификации и утраты информации.

В компьютерных системах нарушитель может применить следующие стратегии:

· получить несанкционированный доступ;

· выдать себя за другого пользователя и воспользоваться его полномочиями;

· отказаться от факта формирования переданной информации;

· утверждать, что информация получена от некоторого пользователя, хотя она сформирована им самим;

· утверждать, что информации передана пользователю, на самом деле она им не была отправлена;

· отказаться от факта получения информации;

· незаконно расширить свои полномочия;

· незаконно сменить полномочия других пользователей;

· скрыть факт наличия некоторой информации в другой информации (скрытая передача одной информации в содержании другой);

· подключиться к линии связи между другими пользователями в качестве активного ретранслятора;

· изучить, кто и когда и к какой информации получает доступ;

· заявить о сомнительности протокола обеспечения информацией из-за раскрытия некоторой информации, которая должна быть секретной;

· модифицировать программное обеспечение путем добавления новых функций;

· преднамеренно изменить протокол обмена информацией с целью его нарушения или подрыва доверия к нему;

· помешать обмену сообщения между другими пользователями.

Таким образом, очень важно считать, кого считать нарушителем. Поэтому необходимо рассматривать в качестве нарушителя не только постороннее лицо, но законного пользователя.

Большая вероятность угрозы исходит для нарушителя в сети Internet. В таблице 3 представлены вероятности проявления угроз информационной безопасности в Internet.

Таблица 3. 1 - Угрозы информационной безопасности в Internet

Угрозы Вероятность проявления
Небрежность 0,188
Пиратство 0,166
Неточная или устаревшая информация 0,159
Утечка данных 0,159
"Шутки" над коллегами 0,150
Наблюдение за излучением 0,133
Умышленные повреждения данных и программ 0,129
Нарушение аутентификации 0,129
Перегрузка 0,119
Неправильная маршрутизация 0,106
Аппаратные сбои 0,090
Искажение 0,080
Сетевые анализаторы 0,074
Мошенничество 0,058
Пожары и другие стихийные бедствия 0,043
Подлог 0,033
"Логические бомбы" 0,032
Кража 0,032
Блокирование информации 0,016
"Потайные ходы и лазейки" 0,010

Возможные пути реализации угроз потенциальными нарушителями приведены в таблице 3.2.

Таблица 3. 2 - Матрица угроз информации и информационным процессам

Объекты воздействия Нарушение конфиденциальности информации Нарушение целостности информации Нарушение работоспособности системы
Аппаратные средства НСД - подключение; использование ресурсов; хищение носителей НСД - подключение; использование ресурсов; модификация, изменение режимов НСД - изменение режимов; вывод из строя; разрушение
Программное обеспечение НСД - копирование; хищение; перехват НСД, внедрение "троянского коня", "вирусов", "червей" НСД - искажение; удаление; подмена
Данные НСД - копирование; хищение; перехват НСД - искажение; модификация НСД - искажение; удаление; подмена
Персонал Разглашение; передача сведений о защите; халатность "Маскарад"; вербовка; подкуп персонала Уход с рабочего места; физическое устранение

 

Следует также, что задачу защиты от нарушителей условно можно разделить на два уровня:

· пользовательский уровень;

· уровень элементов и компонентов компьютерной системы.

При анализе прочности защиты информации и информационной процессов необходимо учитывать также уровень доверия между пользователями

 

Сетевая атака

Алгоритм сетевой атаки.

Любую атаку можно условно разбить на несколько этапов:

1 этап

Выбор хоста (конечного сетевого устройства, компьютера). Выбор зависит от желания нарушителя.

2 этап

Подробное изучение сетевой инфраструктуры атакуемой системы. Начинается с посещения веб-сервера, на котором можно найти сведения о ее истории, корпоративной культуре и партнерах. Исследуются электронные реквизиты партнеров, по которым часто удается обнаружить дополнительные соединения с исследуемой сетью. Обычно информационные системы удаленных офисов или мелких партнерских компаний защищены слабее основной сети.

3 этап

Перехват и анализ сетевого трафика для получения имен пользователей, паролей и другой необходимой информации. Перед сканированием системы проводят «пассивное» наблюдение за ней с применением таких программ как «снифферы» - программ, которые перехватывают информацию, передающуюся по локальной сети. Также можно получать информацию через адреса электронной почты сотрудников. Этот этап занимает довольно долгое время, его практически невозможно выявить.

4 этап

Если пассивное получение информации невозможно, переходят к сканированию портов системы с целью определения доступных служб и сервисов.

На практике полагают, что каждый компьютер имеет набор конечных точек назначения для выполнения нескольких процессов одновременно, которые называются протокольными портами. Каждый порт идентифицируется целым положительным числом от 0 до 65 535. В этом случает операционная система обеспечивает механизм взаимодействия, используемый процессами для указания порта, на котором работают, ил порта, к которому нужен доступ. Обычно порты являются буферизированными для того чтобы данные, приходящие в конкретный порт не были потеряны. Порты с номерами от 0 до 1023 являются привилегированными и используются сетевыми службами с привилегиями администратора. Порты с 1024 до 65 535 являются непривилегированными и используются программами – клиентами для получения ответов от серверов.

Осуществить сканирование можно с помощью различных сканеров:

Сканеры портов – позволяют просканировать систему и получить список портов, открытых на удаленном компьютере, а также имена служб, которые «прослушивают» порты. Такие действия позволяет выполнить например программа Nmap.

Сканеры безопасности – используются для выявления уязвимостей в системах. В отличие от сканеров портов, сканируются только те порты системы, в которых могут быть обнаружены уязвимые службы (для их определения используются данные, имеющиеся в базах уязвимостей сканера). Принцип работы сканеров безопасности аналогичен работе антивирусных программ – сканеров. Для выполнения таких действий используется например программы Retina, Xspider и др.

Сканеры открытых портов – применяются для автоматизации процесса поиска открытых сетевых ресурсов (например программа xSharez)

После получения списка сервисов проводится анализ уязвимых мест. Проверяется степень их уязвимости. Для этого как правило пытаются войти в систему с использованием стандартных логинов и паролей, нарушают работу сервисов, пытаются скопировать файлы с паролями (если имеются открытые ресурсы) и т.д.

5 этап

Этот этап зависит от целей атаки. Если необходимо просто вызвать сбой в работе какой-либо службы, можно применить эксплойт (Exploit, X-ploit) – программу, использующую уязвимость в определенной службе для воздействии Яна нее. Каждый эксплойт рассчитан на применение к конкретной службе.

6 этап

На данном этапе злоумышленник должен обеспечить свою безопасность – очистить журнал (log – файлы), которые ведутся системой.

 

Обнаружение атаки

Появление различного рода сообщений об ошибках. Чаще всего эти сообщения записываются в журнал сообщений, которые ведет ОС. Просмотр журнала сообщений можно выполнить через Панель управления (Администрирование/Просмотр событий).

Изменение различных системных файлов и реестра. Нужно обращать внимание на наличие подозрительных процессов, запущенных на компьютере. В этом случае можно использовать утилиты типа Process Manadger (в крайнем случае можно использовать Диспетчер задач). Также рекомендуется использовать утилиты слежения за реестром, такие как Regmon.

Необычное поведение компьютера – внезапные перезагрузки системы или ее остановки, наличие новых сетевых соединений, информацию о которых можно получить с помощью команды netstat.

Состояние файловой системы. Наличие новых файлов на жестком диске, особенно в системных папках Windows, может говорить о том, что пытаются установить «троянского коня» или какую-либо другую программу удаленного администрирования.

Изменение учетных записей пользователей. Появление в системе новых пользователей или назначение пользователям прав администратора свидетельствует о попытке взлома.

Несомненным признаком взлома является невозможность зарегистрироваться в системе по причине неправильного пароля.

 

Действия пользователя при обнаружении попытки взлома.

Отключить компьютер. Перезагружать компьютер не рекомендуется, поскольку это может вызвать удаление информации, а также активизировать возможные программы уничтожения данных.

Рекомендуется сохранить состояние системы для последующего анализа. Наилучшим вариантом является сохранение образа диска. Если это невозможно, то следует сохранить файл pfirewall.log, который создается брандмауэром и на котором ведется регистрация всех подключений.

Также желательным является сохранение информации о запущенных процессах. После выполнения этих действий необходимо перезагрузить компьютер и произвести загрузку с дискет или загрузочного CD-диска, а затем протестировать компьютер на наличие вирусов и других вредоносных программ.

 

Средства проверки защищенности системы

Основные возможности программ:

- выяснение восприимчивости к проникновению из незащищенных систем;

- поиск брешей в программах и программ типа «троянский конь»;

- определение слабых паролей;

- определение неправильных настроек брандмауэров, веб – серверов и баз данных.

Программы, которые реализуют проверку системы на наличие уязвимых мест называют сканерами безопасности. Они с успехом применяются как администраторами, так и злоумыщленниками.

Retina разработан компанией eEye Digital Security (http://www.eeye.com) и обладает следующими возможностями:

- удобство в использовании – используемая технология позволяет сканеру вести процесс сканирования и при этом не производить больших объемов лишнего трафика, который может привести к чрезмерной нагрузке сети;

- автоматическое обновление баз безопасности – служит для загрузки с сайта производителя баз безопасности, в которых содержится описание уязвимых мест КС;

- автоматическое отслеживание беспроводных подключений - предназначено для отслеживания и блокировки незаконных подключений к сети, построенной на основе беспроводных технологий;

- Common Hacker Attack Methods (CHAM) – технология, предназначенная для выявления атак злоумышленников, а также анализа подключений и определения их типов;

- Auto-Fix function – позволяет производить анализ сканируемого компьютера и в случае обнаружения уязвимостей (например, ошибок в настройке реестра, в правах доступа к файлам и папкам) автоматически устраняет их.

Retina обладает возможностью проверки большинства сетевых протоколов, имеет простой и удобный интерфейс, возможность построения различных отчетов, собирает результаты проверок в единое целое.

Найти программу в Интернете и просмотреть принцип работы (см. стр 404-406 «Секреты хакера»)

 

Сканер безопасности XSpider 7.5 разработан фирмой Positive Technologies (http://securitylab.ru), которая специализируется на разработке программ для обеспечения сетевой безопасности.

Возможности XSpider:

- одновременное сканирование большого числа компьютеров, что позволяет упростить и ускорить процесс мониторинга сетевой безопасности в компьютерной сети любого масштаба;

- ведение подробных журналов истории проверок;

- создание отчетов с различными уровнями детализации;

- удобный графический интерфейс;

- гибкий планировщик заданий для автоматизации работы;

Найти программу в Интернете и просмотреть принцип работы (см. стр 402-404 «Секреты хакера»)

 

Nessus Security scanner 2.0.7 (http://www.nessus.org) обладает большим количеством возможностей по защите персонального компьютера. Для поиска уязвимостей используются как стандартные средства тестирования и сбора информации о конфигурации и функционирования сети, так и специальные средства, эмулирующие действия злоумышленника по проникновению в системы, подключенные к сети. Отличительной чертой этого сканера является наличие языка сценариев NALS (Nessus Attack Scripting Language), с помощью которого пользователь может самостоятельно создавать проверочные процедуры.

К недостаткам данного сканера можно отнести невозможность прерывания сканирования, что может причинить некоторые неудобства администратору.

Nmap (http://insecure.org/nmap/data/nmap manpage-ru.html) – сетевой сканер, главным преимуществом которого является его свободное распространение.

Возможности сканера:

- сканирование сетей с любым количеством объектов;

- определение состояние объектов сканируемой сети, а также портов и соответствующих им служб.

Nmap использует различные методы сканирование:

- UDP – сканирование портов системы, которые для передачи данных используют протокол UDP;

- TCP connect () – сканирование с установкой TCP-соединения, при котором сканирующий хост (IP – адрес удаленного компьютера) пытается открыть TCP-соединения со сканируемым хостом;

- TCP SYN – сканирование с установкой так называемого полуоткрытого соединения, при котором сканирующий хост пытается открыть TCP-соединение со сканируемым хостом. Однако как только сканирующий хост подтверждает установку соединение, сканирующий хост прерывает соединение. Таким образом, подтверждение установки соединения со стороны сканируемого хоста говорит о том, что на нем открыт порт, который сканировали, и существует возможность подключения к порту;

- ICMP (ping) –используется для выявления активных хостов в сети. Nmap посылает запрос по указанному адресу, и если хост активен, он обязательно ответит на него, что в свою очередь, означает, что данный хост может быть сканирован;

Fin, Xmas tree, Hull-сканирование – используется в случае, если на сканируемом хосте установлен брандмауэр, который блокирует SYN-пакеты, или установлена программа типа Synlogger, которая в состоянии выявить SYN-сканирование;

ASK – дополнительный метод сканирования, используется для определения набора правил (ruleset) брандмауэра. В частности, он помогает определить, защищен ли сканируемый хост брандмауэром ил просто пакетным фильтром, блокирующим входящие SYN-пакеты.

Nmap также может определить ОС удаленного компьютера, осуществлять «невидимое» и параллельное сканирование, сканирование с использованием IP-фрагментации, произвольное указание IP-адресов и номеров портов сканируемых сетей.

Найти программу в Интернете и просмотреть принцип работы (см. стр 406-407 «Секреты хакера»)

 

 

Средства сетевых атак

Существуют большое количество различных по способу действия хакерских программ.

Шпионские программы

Шпионские программы (Spyware) собирают информацию с компьютера пользователя и отправляют ее по электронной почте хакерам. В последние годы данный тип программ получил широкое распространение и сильное развитие, что составляет реальную угрозу для пользователей. Эти программы могут:

- помещаться в автозагрузку;

- изменять текст сообщений;

- записывать все что пользователь вводит с клавиатуры;

- фиксировать какие сайты посещает;

- добавлять в каждое электронное письмо рекламу;

- фотографировать экран и незаметно следить за информацией, поступающей в буфер обмена, а затем отправлять всю эту информацию на какой-либо электронный почтовый адрес.

Наиболее часто Spuware попадают на компьютер пользователя по файлообменным сетям с бесплатными программами.

Условно можно выделить несколько типов программ Spywara:

- Internet Spyware – собирает разную информацию о соединении, всех посещаемых ресурсах, пересылке и поучении электронных писем, любых покупках и Интернет - магазинах;

HDD-spyware – программы этого вида сканируют информацию, хранящуюся на жестком диске пользователя;

Keylogger – предназначен для сохранения информации о нажатых клавишах в течении работы какого-либо приложения. При помощи данного типа программ можно отследить ввод паролей, Логинов и др.;

Cookei-spyware – собирает информацию о файлах cookie.

Рассмотрим некоторые программы Spyware

Actual Spy 2.8

Это шпионская программа, при помощи которой можно узнать, что делали пользователи за каким-либо компьютером. Она может:

- записывать время включения и выключения компьютера;

- определять, какие программы и когда были запущены;

- нажатие клавиш во всех приложениях;

- делать снимки экрана через определенный промежуток времени;

- запоминать содержимое буфера;

- создавать отчеты в формате html со всей информацией, а затем передавать его по электронной почте.

Найти программу в Интернете и просмотреть принцип работы (см. стр 374-380 «Секреты хакера»)

 

Real Spy Monitor 2.79

Программа предназначена для скрытого наблюдения за работой пользователей на каком-либо компьютере. Программа:

- записывает в журнал все нажатые клавиши, запущенные программы, измененные и созданные файлы, сообщения некоторых Интернет пейджеров;

- делает снимки экрана через установленное время;

Всю информацию можно передавать через ftp-протокол или e-mail.

Найти программу в Интернете и просмотреть принцип работы (см. стр 380-384 «Секреты хакера»)

 

Использование снифферов

Снифферы могут использоваться:

- системными администраторами для просмотра пакетов в сети и ее диагностики;

- различными злоумышленниками (хакерами) для перехвата сетевых сообщений и содержащихся в них паролей.

«Sniff» дословно переводится как «нюхать», т.е. «сниффер» можно перевести как «нюхач». Программа сниффер осуществляет перехват сетевых пакетов, а также может расшифровывать пакеты стандартных протоколов связи. Снифферы могут перехватывать все пакеты или только отдельную информацию, согласно установленным настройкам, в том числе и пароли, которые передаются службами сети открытым текстом.

Iris the Network Traffic Analyzer

Эта программа:

- позволяет прослушивать как весь трафик, так и отдельные программы;

- имеет стандартный набор функций сбора, фильтрации и поиска пакетов, построения отчетов;

- предлагает универсальные возможности для реконструирования данных. Технология реконструкции данных, которая реализована в модуле дешифрования, преобразует сотни собранных двоичных сетевых пакетов в привычные электронные письма, веб-страницы, сообщения ICQ и др.

- позволяет просматривать незашифрованные сообщения электронной почты и программ мгновенного обмена сообщениями, расширяя возможности средств мониторинга и аудита;

- может обрабатывать собранные данные и предоставлять не только подробные отчеты, но и наглядную и исчерпывающую картину действий любого пользователя корпоративной сети.

- при помощи встроенного веб-браузера администратор может воспроизвести на своем компьютере отдельные сеансы работы сотрудников с веб-серверами и даже сымитировать отправку паролей для доступа к защищенным веб-серверам с помощью модулей настройки клиентов (cookies);

- Анализатор пакетов позволяет зафиксировать различные детали атаки, такие как дата и время, IP-адрес и DNS-имена компьютеров хакера и жертвы, а также использованные при этом порты. Также может быстро воссоздать точную, вплоть до нажатия клавиш и движений мыши картину вторжения, которая необходима для устранения последствий атаки и усиления мер безопасности.

Найти программу в Интернете и просмотреть принцип работы (см. стр 386-400 «Секреты хакера»)

 

Программы – сканеры

Программы сканеры используются для определения степени защищенности удаленного компьютера. Также могут использоваться администраторами сети.

Типичным представителем этого класса программ является программа Nmap, которую рассматривали выше.

Еще одним представителем программ – сканеров является программа Advanced ip scanner

Кроме стандартного сканирования заданных IP-адресов на предмет подключения к сети компьютеров программа выдает MAC-адреса. Также доступны несколько функций удаленного администрирования.

Возможности сканера Найти программу в Интернете и просмотреть принцип работы (см. стр 401-402 «Секреты хакера»)

 

DoS- и DDoS-атаки

Dos-атаки (от англ. Denial of Service – отказ в обслуживании) и DDoS-атака (Distributed Denial of Service – распределенный отказ в обслуживании) – еще одна разновидность атак хакеров. Цель этих атак – не проникновение в защищенную компьютерную систему, а создание таких неблагоприятных условий, при которых пользователи взломанной системы либо вообще не смогут использовать доступные ранее ресурсы системы, либо это будет сделать очень сложно и займет много времени. Чаще всего хакеры используют этот вид атак для приведения к неработоспособности государственных органов или других важных структур. Результатом таких атак могут быть длительные простои, потеря прибыли, утрата посетителей, большое количество времени для ремонта.

DDoS -атаки целесообразно использовать для устранения конкурентов.

Схематически этот вид атаки можно представить следующим образом:

- заражается огромное количество компьютеров при помощи червей

- с зараженных компьютеров на какой-либо веб-узел посылается большое количество запросов или спамов.

Эти атаки могут вызвать обращения системы к неизвестному адресу, недопустимые операции, завершение приложений, что приводит к бесконечному циклу или огромному потреблению системных ресурсов. Из-за этого пользователи данного веб-узла не могут нормально использовать ресурсы. Пользователи компьютеров, с которых посылаются ложные запросы, могут даже не подозревать об этом.

Флуд – подвид DDoS-атаки, содержащий большое количество обращений к системе или сети, что приводит к отказу работы системы или полному исчерпанию системных ресурсов. Этот тип атак в основном приводит к излишнему потреблению трафика.

Сущетсвует три типа обнаружения DDoS-атак:

- сигнатурный – заключается в качественном анализе исходящего и входящего трафиков;

- статистический – количественный анализ трафика;

- гибридный – состоит из предыдущий двух типов обнаружения.

Нюкеры (от англ. Nuke – применять ядерное оружие) – используется для реализации DoS-атак. Принцип такой атаки основывается на ошибке программного обеспечения при работе с большим количеством пакетов. В результате такой атаки Windows зависает и на экране пользователя появляется синий фон с сообщением о какой-то фатальной ошибке.

Рассмотрим несколько программ.

Nuke it

Данная программа обладает графическим интерфейсом, в элементах которого предусмотрено:

- ввод IP адреса компьютера, с которого будет производиться атака (Server’s IP address)

-задание IP-адреса атакуемого компьютера (Client’s IP address)

- указание диапазона портов, с которых будут отправляться пакеты (Server’s ports)

- задание портов, на которые будут оправляться пакеты (Client’s ports)

- выбор одного из двух компьютеров, на который будет проводиться атака (Nuke)

- выбор ошибки, которая будет использоваться при атаке (Error code)

- задание количества пакетов, которые будут отсылаться по указанному адресу (Send)

 

Взлом удаленных компьютеров с помощью Троянских программ

Большинство взломов домашних компьютеров осуществляется с помощью именно данной категории вирусов «Троянов». «Троян» состоит из двух компонентов: сервера и клиента.

Сервер представляет собой небольшую по размерам программу (от 55 Кбайт и выше), через которую осуществляется связь с удаленным компьютером. Размер этой программы имеет очень большое значение, так как чтобы загрузить программу меньшего размера, нужно меньше времени, а следовательно, риск быть замеченным значительно снижается.

Клиент – программа, с помощью которой злоумышленник осуществляет различные действия с компьютером-жертвой. Чаще всего клиент используется либо для получения пароля пользователя от различных служб, либо для того, чтобы подшутить.

Для этого типа взлома используются вирусы, имеющие возможность записывать все нажатия клавиш на клавиатуре или же способны находить файл, в котором хранятся пароли, с последующей пересылкой полученных данных по указанному e-mail адресу. Для защиты от такого способа взлома достаточно поставить firewall с максимальными установками безопасности.

Наиболее популярные троянские программы.

SubSeven

Основные характеристик:

- размер в архиве – 2.7 Мбайт

- размер на диске – 4 Мбайт

- клиент – sub7.exe

- сервер – server.exe

- программа для изменения сервера – EditServer.exe

После запуска на удаленном компьютере сервер прописывается в корневом каталоге. Для маскировки используется один из пяти возможных вариантов:

- изменяет код автозапуска системного реестра;

- прописывается под именем Explorer.exe:

- создает свою папку в реестре;

- представляется как компонент системы;

- изменяет файлы Win.ini, System.ini

Необходимо помнить, что сервер запускается только после перезагрузки компьютера.

Для того, чтобы подключиться к зараженному компьютеру, необходимо в поле distination главного окна программы указать IP-адрес жертвы и нажать кнопку Connect.

После подключения к компьютеру хакер получает полный контроль над ним.

Программа EditServer.exe.

Данная программа позволяет удаленно изменять настройки и контролировать работу сервера SubSeven посредством настройки параметров:

- server setting – изменение пароля доступа и задание порта, через который осуществляется работа с удаленным компьютером;

- startup methods – задание метода запуска сервера;

- notifications – назначение способа передачи информации (через e-mail, ICQ и т.д.)

Найти программу в Интернете и просмотреть принцип работы (см. стр 433-435 «Секреты хакера»)

 

Программа NetBus

В отличии от предыдущей программы к существенным недостаткам этой программы можно отнести:

- программу распознают абсолютно все антивирусные программы

- очень слабая защита паролем сервера. Это означает, что без особых усилий любой желающий может получить контроль над зараженным компьютером.

Найти программу в Интернете и просмотреть принцип работы (см. стр 435-439 «Секреты хакера»)

 

Программа Back Orifice

Программу можно использовать в качестве системы удаленного администрирования, так как она обладает мощным пакетом шифрования данных при обмене информацией между сервером и клиентом.

По своей структуре ничем не отличается от других представителей своего класса – работа с удаленным компьютером осуществляется по классической схеме – клиент – сервер.

В качестве сервера используется программа Boserver. После запуска на удаленном компьютере сервер прописывается в системе под подозрительным именем как самозапускающийся процесс. В стандартную комплектацию вируса входит программа редактирования сервера (файл boconfig,exe). Редактор позволяет активировать или деактивировать различные приложения на сервере, когда тот находится на компьютере хакера или уже работает на удаленном компьютере.

Стандартный набор функций программы Клиент:

- перехват информации, введенный с клавиатуры;

- поиск информации на дисках;

- просмотр списка активных процессов;

- активация/деактивация указанного процесса;

- открытие пользователям сети доступа к жестким дискам;

- поиск и расшифровка пароля;

- перезагрузка компьютера;

- возможность произвести любые действия с файлом или каталогом;

- проигрывания случайного звукового сигнала;

- работа с установленным на зараженный компьютер архиватором;

- подключение к сетевым ресурсам.

 

Программа DeepThroat

Данный вирус отличается от программ подобного класса. Так работу с удаленным компьютером можно начинать сразу после активации программы Клиент, при условии, что на сервере не установлен пароль. В противном случае вначале нужно нажать кнопку Send Pass («получить пароль»), отправить серверу пароль и только после этого начинать администрирование.

Программа сервера вируса bended.dll «прикрепляет» сервер к другим приложениям. Изменения в настройки сервера вносятся с помощью встроенного в Клиент редактора сервера Server Config, вызов которого осуществляется путем нажатия одноименной кнопки в главном окне программы.

Диалоговое окно Клиентской части состоит из различных вкладок, которые позволяют:

Найти программу в Интернете и просмотреть принцип работы (см. стр 443 «Секреты хакера»)

 

Программа NetSphere

Важнейшей характеристикой Сервера NetSphere Server является его размер 288 Кбайт. Кроме того, стоит выделить высокий уровень защиты сервера. Как и многие другие серверы вирусных программ, NetSphere Server запускается автоматически при каждом запуске компьютера. Есть возможность использования proxy-сервера, который обеспечивает конфиденциальность при работе с удаленным компьютером.

Достоинством программы NetSphere Client является отсутствие лишних элементов в дизайне, доступное и понятное меню.

Программа позволяет:

- выполнение скриншота экрана;

- слежение за положением курсора мыши;

- получение свободного доступа к реестру и файловой системе.

- Найти программу в Интернете и просмотреть принцип работы (см. стр 446-447 «Секреты хакера»)

 

Программа GirlFriend

Важнейшей характеристикой сервера (файл gfserver.exe) является размер – 344 Кбайт. однажды запустившись на компьютере, сервер прописывается в реестре и автоматически запускается при загрузке компьютера.

программа Клиент (файл gfclient.exe) – имеет удобный интерфейс.

Возможности программы:

Найти программу в Интернете и просмотреть принцип работы (см. стр 4486-449 «Секреты хакера»)

 

Программа AntiLamer BackDoor

Эта программа имеет русскоязычный интерфейс. В стандартную комплектацию входят:

- сервер – server.exe, 185 Кбайт;

- клиент – ALB.exe, 286 Кбайт;

- редактор сервера – EditSrv.exe, 154 Кбайт;

- упаковщик – Edit.dat.

Возможные настройки программы сервера (файл EditSrv.exe):

-Имя файла сервера – имя, которое примет сервер на зараженном компьютере;

- Ключ реестра – задается раздел реестра, в котором пропишется файл;

- В какую папку устанавливаться – предлагается на выбор две папки, куда установится программа после запуска.

Также возможна отправка сообщения по e-mail или ICQ.

По своим функциональным возможностям программа Клиент не уступает зарубежным аналогам. Возможности программы Клиент:

- сведения – собирает всю доступную информацию о зараженном компьютере;

Boot – представляет возможность завершить сеанс пользователя, выключить или перезагрузить удаленный компьютер;

- Мышь – изменяет настройки работы мыши или полностью ее отключает;

- Сообщения – позволяет выводить различные сообщения;

- Окна – представляет возможность закрыть, показать или скрыть активные окна;

- Экстра- позволяет отключить клавиатуру, работать с меню Пуск, изменить фоновый рисунок РРабочего стола и т.д.

- Экран – задает настройки экрана, создает скриншот;

- Клавишный шпион – фиксирует все нажатия клавиш;

- Принтер – позволяет распечатать текст на принтере;

- Пароли – получает hash- и dial-up пароли;

- Телефонный соединения – изменяет настройки телефонных соединений;

- Буфер обмена – добавляет или удаляет запись в буфер обмена и т.д.

 

Защита от троянских вирусов

Программа Anti-Trojan

Программа способна обнаружить и удалить около 10 000 известных троянских программ. Поиск осуществляется на дисках, в реестре и портах компьютера.

Найти программу в Интернете и просмотреть принцип работы (см. стр 453-454 «Секреты хакера»)

 

Программа Anti-Trojan Shield

Программа может работать в режиме постоянного мониторинга (в том числе следить за сетевыми дисками), возможно автообновление через Интернет. Допускается выбор уровня эвристического анализа (чем выше уровень, тем точнее определение трояна, но меньше скорость сканирования).

Найти программу в Интернете и просмотреть принцип работы (см. стр 454 «Секреты хакера»)

 

Программа Trojan Remover

Поддерживает обнаружение более 6000 троянов имеющая постоянный ресурс обновления. Сканирует все Файлы на диске, проверяет память на предмет активных троянов, системный реестр, файлы system.ini, win.ini, также процессы, выполняемые при загрузке.

Найти программу в Интернете и просмотреть принцип работы (см. стр 455-457 «Секреты хакера»)

 


Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  



Сейчас читают про: