Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Не следует игнорировать приложения Open-Source

Джефф Баллард

У меня для вас есть хорошая новость: существует масса программных средств с открытым исходным кодом (Open-Source), которые позволяют протестировать безопасность вашей сети и оперативно изменить ее установки. Средства эти легкодоступны (и бесплатны), так как либо являются составной частью вашей ОС, либо свободно распространяются через Интернет. При этом сфера их применения, как правило, более широкая, нежели коммерческого ПО безопасности. И зача-стую набор функций у средств Open-Source значительно богаче, чем у аналогичных фирменных приложений. Впрочем, это обуславливает и большую сложность их использования, зато такие средства легко приобрести и инсталлировать.

Теперь новость плохая: потенциальные злоумышленники тоже о них осведомлены и имеют к ним доступ. Следовательно, вам необходимо знать, каким образом взломщики могут использовать эти средства против вас и как можно распознать их активность в вашей сети.

Начинаем зондирование

Средства сетевой безопасности с открытым исходным кодом можно классифицировать по трем основным категориям: те, что “зондируют” (тестируют) сеть; те, что сеть прослушивают, и те, что сеть изменяют. Самый популярный способ протестировать сеть — это воспользоваться “старой доброй” командой ping, стандартным средством любой ОС. Она позволит вам увидеть все присутствующие и доступные в сети компьютеры (среди них могут оказаться и такие, которых в ней быть не должно). Но гораздо лучше команды ping ее усовершенствованный вариант — команда hping, с ее помощью не только можно отправить стандартный запрос ICMP ECHO, но и посылать пакеты практически любого типа любыми способами. Посредством этой утилиты вы легко сформируете нестандартные пакеты и выясните, как будут функционировать компьютеры и оборудование вашей сети, получив такие пакеты.

Для обнаружения откликающихся на сетевые запросы компьютеров утилита hping использует методы уровня 3 сетевой модели OSI, а вот методы обнаружения уровня 2 использует уже другое средство — arping, применяющее пакеты ARP (Address Resolution Protocol) для проверки, отвечает ли на запросы машина, находящаяся в определенном сетевом сегменте Ethernet. Нередко большинство компьютеров воспринимают это как нечто безвредное, и программные межсетевые экраны обычно не блокируют такие пакеты.

Но при злонамеренном использовании утилита arping вполне способна нанести вред. Так, она может посылать незатребованные (unsolicited) пакеты-отклики (replies) внешним компьютерам. Эти пакеты вызовут обновление ARP-таблиц компьютеров в вашем сегменте Ethernet. Поэтому лишний раз убедитесь, что вы четко представляете себе, как ваши главные серверы и сетевое оборудование будут реагировать на незатребованные ARP-пакеты. Впрочем, из этих незатребованных ARP-пакетов можно извлечь и пользу: мы применяем их в нашем “доморощенном” кластерном решении в Центре автоматизированного проектирования Университета Висконсин-Мэдисон. При переходе IP-адреса с одного компьютера на другой кластеру трудно “убедить” сетевое оборудование в том, что у такого-то IP-адреса изменился Ethernet-адрес. Поэтому с целью обновления ARP-таблицы на маршрутизаторе в процессе инициации работы узла кластера нам приходится использовать команду arping.

Устанавливаем новые соединения

Еще мы пользуемся средством netcat, позволяющим создавать входящие и исходящие соединения на любом порте TCP или UDP для установления связи с Интернет-сервисами (или с другими экземплярами netcat). В режиме исходящего TCP-соединения netcat работает аналогично telnet, но имеет несравненно более широкую поддержку для входящих и исходящих потоков. Вместе с возможностями netcat в плане приема пакетов это позволяет легко организовывать прием/передачу любых файлов. Также netcat пригодится вам для тестирования большинства TCP-сервисов Интернет, осуществляющих передачу данных открытым текстом (plain-text), таких, как HTTP, SMTP, и аналогичных им. С его помощью вы легко сможете прозондировать открытые сетевые порты и увидеть, как они откликаются на ваши запросы.

Вышеперечисленные средства отлично подходят для организации интерактивного тестирования сети, но часто это требует более систематического подхода, с использованием программ, подобных, например, nmap. Nmap идентифицирует откликающиеся на сетевые запросы компьютеры, их открытые порты и даже ОС. При этом nmap поддерживает разнообразные протоколы и опции, позволяющие маскировать процесс сканирования.

С теми данными, которыми вас снабдят nmap и amap, — еще один сканер с открытым исходным кодом, — вы будете иметь полное представление о любом конкретном сетевом порте. Nmap сообщит вам, какие порты открыты и какие сервисы обычно ассоциированы с ними. Он всегда поставит вас в известность, например, что порт 25 — это порт SMTP, но у него недостанет “интеллекта” проверить, действительно ли на данном порте откликается именно SMTP-сервис, тогда как amap, используя ряд эвристических методов, способен определить, что именно выполняется на конкретном порте, даже если он нестандартный. Мы использовали amap для поиска в нашей сети “демонов” ssh, работающих на нестандартных портах, что практически всегда означало, что компьютер был “взломан” (compromised).

Слушаем сеть

Прежде записывать сетевой трафик можно было только с коммерческим ПО. Теперь ситуация изменилась. Наше любимое средство сетевого мониторинга — Ethereal. Это приложение Open-Source, поддерживающее Windows, Linux, Mac OS и прочие ОС. Дополненное встраиваемыми модулями для мониторинга различных протоколов, ПО Ethereal становится мощным и простым в использовании сетевым сканером. Еще одним необходимым для любых серверных подсетей средством мы считаем arpwatch. Оно позволяет отслеживать изменения в сети и информирует вас, когда они происходят. Так, если в сети появятся новые машины или если машины начнут использовать другие IP-адреса, то arpwatch даст вам знать. Большую часть времени здесь, в университете, arpwatch просто преду-преждает нас, когда наши коллеги меняют что-то в сети. Реальную же пользу это средство приносит тогда, когда обнаруживает в сети то, чего в ней происходить не должно — например, к сети подсоединяется новый, неавторизованный компьютер или компьютер посылает неавторизованные пакеты-отклики ARP (посредством утилит, вроде arping или Ettercap).

Поскольку большинство сетевых атак осуществляется через сетевой шлюз, то прослушивание периметра сети весьма полезно для выявления попыток неавторизованного доступа. Нашим любимым приложением Open-Source такого рода является Snort, мы используем его вместо коммерческих систем обнаружения/предотвращения вторжений. К недостаткам Snort относится то, что в отличие от фирменных решений, конфигурируемых посредством графического интерфейса пользователя, он инсталлируется и конфигурируется через интерфейс командной строки, хотя в Сети можно найти и скачать уйму дополнительных GUI-интерфейсов к нему. Положительно же Snort характеризует тот факт, что его легко можно скомбинировать с решением p0f (passive fingerprinting — “пассивное снятие отпечатков”) для регистрации операционных систем, использующихся как в вашей сети, так и на удаленных компьютерах.

Потенциальные источники неприятностей

Наряду с вышеупомянутыми имеются и значительно менее социально приемлемые средства прослушивания, которые злоумышленники способны применить против вас. Dsniff, например слушает сеть и отлавливает пароли, прост в использовании и столь же быстр. Вы будете потрясены, увидев количество паролей, “выловленных” с помощью dsniff, если запустите его на компьютере, через который проходят большие объемы трафика. Dsniff способен извлекать пароли для множества различных сетевых протоколов, включая HTTP, POP3, IMAP, SMTP и FTP. Другие утилиты Open-Source, прилагающиеся к dsniff, перехватывают файлы, передаваемые по протоколам NFS и HTTP. Dsniff позволяет наглядно продемонстрировать важность процедуры шифрования, что особенно полезно, если в вашей организации данная мера безопасности все еще встречает противников. Будьте начеку, чтобы вовремя уловить признаки использования dsniff в вашей сети потенциальным взломщиком.

Если dsniff — это пассивное средство, то Ettercap идет на шаг дальше. Оно пытается вклиниться в вашу сеть, используя незатребованные ARP-пакеты (наподобие рассылаемых утилитой arping). И когда машина А пытается “завязать разговор” с машиной Б, то Ettercap “встревает” в него, сообщая машине А: “Я — это Б”, а машине Б: “Я — это А”. Таким образом, когда машины А и Б пытаются обмениваться пакетами, то обе в действительности общаются с Ettercap, а Ettercap записывает себе в БД содержимое каждого пакета, а затем отсылает последний по месту назначения. И если вы не отслеживаете работу сети с помощью таких средств, как arping (и аналогичных ему), то никто даже и не заметит, что происходит что-то незаконное.

Хотя Ettercap — малоподходящее средство для корпоративной сети, но вам-то следует знать признаки копания кого-то непрошенного с его помощью в вашей сети. Тогда вы сможете быстро выявить злоумышленника и пресечь его дальнейшие действия. Сымитируйте такую ситуацию в тестовой сети, где работает arpwatch, чтобы увидеть, как он отреагирует, но будьте готовы: arpwatch поднимет большой шум!

Главное — помнить, что сотрудники вашего ИТ-подразделеня далеко не единственные люди, кто может попытаться использовать эти средства в отношении машин вашей сети. Даже наличие у вас межсетевого экрана — этого жесткого “панциря” поверх мягких и незащищенных “внутренностей” — означает, что всего одна-единствен-ная ошибка в конфигурировании МЭ отделяет вас от проникновения взломщиков в вашу сеть. Исследуйте все возможности использования этих свободно распространяемых средств против вашей сети, чтобы увидеть то, что с их помощью сможет увидеть и любой “незваный гость”, прежде чем это произойдет в действительности..





  
14 '2006
СОДЕРЖАНИЕ

бизнес

• Конец эпохи тотального ИТ-контроля

• Стратегии выживания системного администратора в малой компании

• Oracle предлагает Linux неуязвимый

инфраструктура

• Модификация процессоров помогает осуществлять виртуализацию

• Горячие проблемы ЦОДов

• Предпроект в строительстве ЦОДа

информационные системы

• Алхимия данных

• Как нам лучше всего назвать call-центр

• Практическая экономика контакт-центров

• XBRL устанавливает стандарт отчетности

• «Инфоком—2006»: от Москвы до Екатеринбурга

кабельные системы

• Аудио- и видеобалуны расширяют применение UTP-проводки

• Анализ событий на рефлектограмме

сети связи

• Выполнение программы «Тетрарус»

• Сетевое видеонаблюдение

защита данных

• Массированное вторжение похитителей персональной информации

• Поможет ли вам шифрование не потерять работу?

• Поставщики решений NAC готовятся к наступлению

• Не следует игнорировать приложения Open-Source

новые продукты

• Новый компактный медиашлюз I-Gate


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх