2020-01-14
133
Применение сетевых мониторов также таит в себе потенциальную опасность. Хотя бы потому, что через них проходит огромное количество информации, в том числе и конфиденциальной. Рассмотрим пример уязвимости на примере вышеупомянутого Network Monitor, входящего в поставку Windows семейства NT. В этом мониторе существует так называемая HEX-панель (см. рис. 2), которая позволяет увидеть данные кадра в виде текста ASCII. Здесь, например, можно увидеть гуляющие по сети незашифрованные пароли. Можно попробовать, например, прочесть пакеты почтового приложения Eudora. Потратив немного времени, можно спокойно увидеть их в открытом виде. Впрочем, начеку надо быть всегда, так как и шифрование не спасает. Здесь возможны два случая. В литературе есть жаргонный термин «похабник» - это сосед определенной машины в том же сегменте, на том же хабе, или, как это называется сейчас, свитче. Так вот, если «продвинутый» «похабник» решил просканировать трафик сети и повыуживать пароли, то администратор с легкостью вычислит такого злоумышленника, поскольку монитор поддерживает идентификацию пользователей, его использующих. Достаточно нажать кнопку – и перед администратором открывается список «хакеров-похабников». Гораздо более сложной является ситуация, когда совершается атака извне, например, из сети Интернет. Сведения, предоставляемые монитором, чрезвычайно информативны. Показывается список всех захваченных кадров, порядковые номера кадров, времена их захвата, даже МАС-адреса сетевых адаптеров, что позволяет идентифицировать компьютер вполне конкретно. Панель детальной информации содержит «внутренности» кадра – описание его заголовков и т.д. Даже любопытному новичку многое здесь покажется знакомым.
|
|
|
Внешние атаки куда более опасны, так как, как правило, вычислить злоумышленника очень и очень сложно. Для защиты в этом случае необходимо использовать на мониторе парольную защиту. Если драйвер сетевого монитора установлен, а пароль не задан, то любой, кто использует на другом компьютере сетевой монитор из той же поставки (та же программа), может присоединиться к первому компьютеру и использовать его для перехвата данных в сети. Кроме того, сетевой монитор должен обеспечивать возможность обнаружения других инсталляций в локальном сегменте сети. Однако здесь тоже есть своя сложность. В некоторых случаях архитектура сети может подавить обнаружение одной установленной копии сетевого монитора другой. Например, если установленная копия сетевого монитора отделяется от второй копии маршрутизатором, который не пропускает многоадресные посылки, то вторая копия сетевого монитора не сможет обнаружить первую.
|
|
|
Хакеры и прочие злоумышленники не теряют времени даром. Они постоянно ищут все новые и новые способы вывода из строя сетевых мониторов. Оказывается, способов много, начиная от вывода монитора из строя переполнением его буфера, заканчивая тем, что можно заставить монитор выполнить любую команду, посланную злоумышленником.
Существуют специальные лаборатории, анализирующие безопасность ПО. Их отчеты внушают тревогу, так как серьезные бреши находятся довольно часто. Примеры реальных брешей в реальных продуктах:
1. RealSecure - коммерческая Система Обнаружения Вторжения (IDS) от ISS.
RealSecure ведет себя нестабильно при обработке некоторых DHCP сигнатур (DHCP_ACK - 7131, DHCP_Discover - 7132, и DHCP_REQUEST - 7133), поставляемых с системой. Посылая злонамеренный DHCP трафик, уязвимость позволяет удаленному нападающему нарушить работу программы. Уязвимость обнаружена в Internet Security Systems RealSecure Network Sensor 5.0 XPU 3.4-6.5
2. Программа: RealSecure 4.9 network-monitor
Опасность: Высокая; наличие эксплоита: Нет.
Описание: Несколько уязвимостей обнаружено в RS. Удаленный пользователь может определить местоположение устройства. Удаленный пользователь может также определить и изменить конфигурацию устройства.
Решение: Установите обновленную версию программы. Обратитесь к производителю.
