Бесплатный электронный учебник по защите информации компьютера в интернет |
|
служба Компьютерная
помощь |
Контрмеры: защита от прослушивания сети |
Антивирусная защита компьютера. Вызов мастера на дом в Кириши |
|
||||||||||||
|
Контрмеры: защита от прослушивания сети Поскольку прослушивание сети в лучшем случае может
вызывать раздражение, то очень важно выявлять все попытки таких действий.
В зависимости от принятой в организации политики обеспечения безопасности
можно также заблокировать прохождение пакетов, передаваемых при ping-прослушивании.
В этом разделе рассматриваются обе возможности. Выявление факта прослушивания Как уже говорилось, ICMP- и TCP-прослушивание является общепринятым методом исследования сети перед непосредственной попыткой проникновения в сеть. Поэтому выявление факта прослушивания очень важно с точки зрения возможности получения информации о потенциальном месте проникновения и источнике угрозы. Один из основных методов выявления прослушивания состоит в использовании сетевой программы выявления вторжений, такой как Network Flight Recorder (NFR), или программы, установленной на исследуемом взломщиком узле. Ниже приведен алгоритм, который можно реализовать в программе, предназначенной для выявления факта прослушивания. |
|||||||||||
# Обнаружение прослушивания с помощью ICMP/Ping К сожалению, найти аналогичные утилиты для платформы Windows достаточно сложно. Одним из немногих бесплатных или условно бесплатных пакетов, заслуживающих внимания, является Genius 3.1. Краткую информацию о новой версии этого программного продукта можно найти по адресу http://softseek.com/Internet/ General/Review_20507_index.html, а более подробные сведения о нем и загружаемый файл содержатся по адресу http: //www.indiesoft.com/. Эта программа не позволяет регистрировать попытки ping-прослушивания, а предназначена лишь для выявления TCP-сканирования определенного порта. Среди коммерческих пакетов аналогичного назначения можно отметить BlackICE от компании Network ICE (http://www.networkice.com). Этот программный продукт позволяет не только обнаруживать факты JCMP- и TCP-прослушивания, но и решать много других задач. В табл. 2.1 перечислены некоторые дополнительные утилиты, которые могут значительно облегчить выявление попыток прослушивания вашей сети. Таблица 2.1.Некоторые утилиты UNIX, предназначенные для зашиты от прослушивания на уровне узла
Предотвращение прослушивания Если обнаружение факта прослушивания имеет столь
большое значение, то что тогда говорить о предупреждении таких попыток!
Мы рекомендуем очень внимательно оценить, насколько важен для вашей
организации обмен данными по протоколу ICMP между узлами вашей сети
и Internet. Имеется много разнообразных типов сообщений ICMP, ECHO
и ECHO_REPLY — лишь два из них. В большинстве случаев нет никакой
необходимости разрешать обмен данными между узлами сети и Internet
с использованием всех имеющихся типов сообщений. Практически все современные
брандмауэры обладают возможностью отфильтровывать пакеты ICMP, поэтому
единственная причина, по которой они могут проходить во внутреннюю
сеть,— та или иная производственная необходимость. Даже если вы твердо
убеждены в том, что нельзя полностью заблокировать протокол ICMP,
обязательно заблокируйте те типы сообщений, которые вам не нужны для
работы. Как правило, вполне достаточно, чтобы с зоной DMZ можно было
взаимодействовать посредством сообщений ECHO_REPLY, HOST UNREACHABLE
И TIME EXCEEDED. Кроме того, с помощью списка управления доступом
(ACL — Access Control List) можно разрешить обмен сообщениями по протоколу
ICMP только с несколькими IP-адресами, например, принадлежащими вашему
провайдеру Internet. Это позволит провайдеру, при необходимости, проверить
качество связи, но при этом проникновение посторонних извне в компьютеры,
подключенные к Internet, будет значительно затруднено. Необходимо
всегда помнить, что несмотря на удобство и мощь протокола ICMP с точки
зрения диагностирования сетевых проблем, он с успехом может использоваться
и для создания таких проблем. Разрешив неограниченный доступ по протоколу
ICMP во внутреннюю сеть, вы тем самым предоставляете взломщикам возможность
реализовать нападение типа DoS (например с помощью Smurf-метода).
Более того, если взломщику удастся проникнуть в один из ваших компьютеров,
он может через "потайной ход" в операционной системе с помощью
таких программ, как loki, организовать скрытое тунеллирование данных,
передаваемых по протоколу ICMP. Более подробная информация о loki
приведена в журнале Phrack Magazine, том 7, выпуск 51 за 1 сентября
1997 года, статья 06(http://phrack.infonexus.com/search.phtml?view&article=p51-6).
Запросы IСМР Если говорить о возможностях протокола ICMP для сбора
информации о сети, то прослушивание с помощью утилиты ping (или, другими
словами, с помощью пакетов ECHO, пересылаемых по протоколу ICMP),
— это только верхушка айсберга. Просто обмениваясь пакетами ICMP с
интересующей вас системой, о ней можно получить любую информацию.
Например, с помощью таких утилит UNIX, как icmpquery (http://packetstorm.securify.com/UNIX/scanners/icmpquery.с)
или icmpush (http://packetstorm.security.com/UNIX/scanners/icmpush22.tgz),
можно узнать системное время удаленного узла (т.е. часовой пояс, в
котором он находится). Для этого нужно отправить по протоколу ICMP
сообщение типа 13 (TIMESTAMP). Точно так же, обратившись к определенному
устройству с ICMP-запросом типа 17 (ADDRESS MASK REQUEST), можно узнать
маску подсети. Знание маски подсети сетевой карты позволяет определить
все существующие подсети. Например, используя маску подсети, усилия
можно сосредоточить на определенной подсети и избежать необходимости
обращения к адресам рассылки широковещательных сообщений. Утилита
icmpquery позволяет запрашивать как системное время, так и маску подсети.
icmpquery <query> [-B] [-f fromhost] [-d delay]
[-T time] targets [tsunami] icmpquery -t 192.168.1.1 [tsunami] icmpquery -m 192.168.1.1 Далеко не все маршрутизаторы/узлы отвечают на ICMP-запросы TIMESTAMP или NETMASK. Поэтому с помощью утилит icmpquery и icmpush на различных узлах можно получить разные результаты. Контрмеры: защита от ЮМР-запросов Одним из самых лучших методов защиты является блокирование
IOМР-запросов тех типов, которые способствуют разглашению информации
о сети за ее пределами. Как минимум, на пограничном маршрутизаторе
необходимо заблокировать прохождение во внутреннюю сеть пакетов TIMESTAMP
(ICMP-сообщение тип 13) и ADDRESS MASK (тип 17). Например, если в
качестве пограничного маршрутизатора используется маршрутизатор Cisco,
запретите ему отвечать на указанные запросы, добавив следующие строки
в список управления доступом. access-list 101 [**] PING-ICMP Timestamp [**] Сканирование портов С помощью ICMP- или TCP-прослушивания мы установили,
какие компьютеры исследуемой сети подключены к Internet. Кроме того,
вся требуемая информация собрана также и с использованием запросов
ICMP. Теперь можно перейти к этапу сканирования портов этих компьютеров.
Сканирование портов (port scanning) — это процесс пробного подключения
к портам TCP и UDP исследуемого компьютера с целью определения, какие
службы на нем запущены и обслуживаются ли ими соответствующие порты.
Обслуживаемые порты могут находиться в работающем состоянии или в
состоянии ожидания запроса (listening mode). Определение портов, находящихся
в состоянии ожидания запроса, — этап, имеющий определяющее значение
для последующего выяснения типа используемой операционной системы,
а также работающих на компьютере прикладных программ. Активные службы,
находящиеся в состоянии ожидания, могут предоставить взломщику возможность
получить несанкционированный доступ. Это обычно происходит в том случае,
когда система безопасности компьютера не настроена должным образом
или в программном обеспечении имеются хорошо известные изъяны в системе
защиты. За последние несколько лет средства и методы сканирования
портов были значительно усовершенствованы. Учитывая ограниченный объем
книги, мы рассмотрим лишь самые популярные из них, с помощью которых
можно получить значительную часть важной информации. Теперь мы уже
не будем пытаться определить, подключен ли тот или иной компьютер
к Internet, как это делалось ранее. Для упрощения задачи будем считать,
что мы это уже установили однозначно и сосредоточимся лишь на методике
выявления портов, находящихся в состоянии ожидания, или возможных
точек проникновения в исследуемую систему.
|
||||||||||||
|
|
|||
|