Примечание | with presentation in PowerPoint! |
Загрузить архив: | |
Файл: ref-22877.zip (1464kb [zip], Скачиваний: 28) скачать |
Российской Федерации
Новгородский Государственный университет
Имени Ярослава Мудрого.
Кафедра «Прикладная математикаиинформатика».
Реферат
Принцип действия боевых номеронабирателей и сканеров
Предмет:
Экономические Основы Рынка
Программного Обеспечения
НовгородВеликий
2005
ПЛАН
1. Из истории создания боевых номеронабирателей и сканеров
2. Боевые номеронабиратели
3. Номеронабиратели и настольная система удаленной голосовой и видео связи Windows2000 Server
4. Сканеры и основные системные требования при работе с ними
5. Правовые вопросы использования сканеров
6. Принцип действия сетевых сканеров на примере сканера защищенности Shadow Security Scanner
6.1. Задание области сканирования
6.2. Задание сканируемых портов
6.3. Сетевые сервисы
6.4. Сканирование сетевых ресурсов
6.5. Сканирование портов, сбор данных
6.6. Анализ правил
6.7. Определение уязвимостей
6.8. Представление результатов сканирования
6.9. Автоматическая подготовка отчета
7. SATAN, Jackal и другие сканеры
8. Вывод
Литература
Из истории создания боевых номеронабирателей и сканеров
Еще несколько десятилетий назад объем винчестеров стандартного персонального компьютера не превышал 10 Мбайт, а их оперативная память была всего-навсего 640 Кбайт. Модемы в том время работали на скоростях от 300 до 1200 бит/с, и мало кто из пользователей ПК слышал о глобальной компьютерной сети Internet. Разумеется, сеть существовала уже тогда, но использовалась исключительно в военных целях, а работа с ней осуществлялась только при помощи командной строки. Однако не это служило основным препятствием для массового доступа к сети Internet. Вычислительные машины, которые могли быть задействованы в качестве серверов, были очень дорогими — их стоимость исчислялась цифрами с пятью-шестью нулями (в долларах). Да и сами персональные компьютеры стоили тогда весьма недешево, поэтому приобрести их могли только обеспеченные люди.
Уже тогда некоторые владельцы персональных компьютеров могли, сидя дома за своей машиной, обзванивать при помощи модема телефонные номера. В большинстве случаев на другом конце провода также оказывался модем, и на экране появлялось предложение зарегистрироваться, то есть ввести логин и пароль. Получая такое предложение, пользователь мог бесконечно долго перебирать различные пары, пока наконец одна из пар не подойдет и взломщик не получит возможность удаленно управлять компьютером, сидя у себя дома.
Выполнение такой рутинной работы по набору номеров и отыскиванию пар отнимало много времени и было нецелесообразным, так как тем же самым могла заниматься машина, задействуя часть собственных ресурсов. Поэтому неудивительно, что впоследствии было создано специальное программное обеспечение.
Боевые номеронабиратели
Это программное обеспечение, позволяющее не набирать вручную список команд, дозваниваясь по определенному номеру, получило название боевого номеронабирателя.
Боевой номеронабиратель представляет собой программу, обзванивающею заданные пользователем телефонные номера в поисках компьютеров, которые в ответ на поступивший звонок выдают регистрационное приглашение. Программа аккуратно сохраняет в файле на жестком диске все такие телефонные номера вместе с данными о скорости соединения с ними. Одним из самых известных и совершенных боевых номеронабирателей является TONELOC, предназначенный для работы в среде операционной системы DOS (он может быть запущен под управлением Windows 95/98 в режиме командной строки). Существуют и другие номеронабиратели, например, интегрированные в систему Windows2000 Server.
Стандартный автоматический номеронабиратель способен перебрать десять тысяч чисел (что, разумеется, немало) примерно за семь минут, если количество попыток ввода кодов на один звонок будет неограниченным.
Номеронабиратели и настольная система удаленной голосовой и видео связи Windows2000 Server
Интегрированный в систему Windows2000 Server номеронабиратель можно использовать для простой связи с кем-нибудь по сети. В решении такого типа, которое может быть построено на программируемой сетевой инфраструктуре системы Windows2000 Server, номеронабиратель может использовать интерфейс TAPI, стандарт H.323 службы поиска информации, что создает уникальное настольное решение для набора номера. Номеронабиратель создает на базе Windows телефонную трубку и осуществляет обработку вызовов при наборе номера, поддерживает функцию ответа, переадресации и ряд других функций, когда он используется вместе с телефонами или коммутаторами, интегрированными с интерфейсом TAPI.
Номеронабиратель можно также использовать для размещения голосовых вызовов по протоколу IP в любой системе с номеронабирателем в сети, используя простой микрофон и мультимедийные громкоговорители, подключенные к персональному компьютеру. Это значит, что можно размещать вызовы, которые будут переданы другому сотруднику компании, как только он войдет в сеть, даже через VPN-подключение для удаленного доступа.
ØДобавив к компьютеру недорогую видеокамеру, можно осуществлять по сети и видеотелефонную связь.
ØС помощью номеронабирателя легко также выполнять вызовы конференции— благодаря интеграции со службой ILS системы Windows2000 Server.
ØНомеронабиратель также может взаимодействовать с такими приложениями, как Microsoft NetMeeting и другими приложениями стандарта H.323, поскольку он основан на программируемой структуре открытых стандартов системы Windows2000 Server.
Наконец, номеронабиратель можно использовать для глобального размещения вызовов через телефонные сети PSTN, добавив к шлюзу PSTN голосовую связь по протоколу IP. Простой в работе номеронабиратель иллюстрирует грядущую мощь конвергенции телефонных сетей и сетей данных.
Дальнейшее совершенствование боевых номеронабирателей привело к созданию сканеров.
Сканеры и основные системные требования при работе с ними
Для обнаружения уязвимостей ресурсов информационной сети используют специализированные программные продукты, называемые сканерами защищенности (security scanner).Эти программы предназначены для автоматизации процесса поиска слабостей в защите компьютеров, подключенных к сети в соответствии с протоколом TCP/IP. Наиболее совершенные сканеры обращаются к портам TCP/IP удаленного компьютера и в деталях протоколируют отклик, который они получают от этого компьютера. Запустив сканер на своем компьютере, пользователь, скажем, из подмосковной Малаховки, даже не выходя из дома, может найти бреши в защитных механизмах сервера, расположенного, например, в Лос-Анджелесе.
Принцип работы сетевых сканеров заключается в следующем.
1. Компьютер с установленным на нем сканером подключается
к Интернет.
2. В заданном диапазоне IP-адресов производитсяпоиск доступных сетевых ресурсов,
идентификация сетевых сервисов и анализ их уязвимости.
3. По результатам сканирования автоматически готовится отчет о состоянии защищенности
каждого сетевого ресурса, обнаруженных недостатках в системе защиты и оценке
опасности, с точки зрения использования этих недостатков для проникновения в систему.
Таким образом, сканеры позволяют анализировать работу всех сетевых устройств заданного сегмента сети без вхождения с ними в непосредственный контакт.
Если в базу данных сканера защищенности заложена информация о средствах защиты обнаруженных уязвимых мест, то в отчете появятся и рекомендации по этому поводу.
Получив такого рода отчет, администратор сетевого ресурса может через Интернет попытаться найти необходимые средства защиты или обратиться к специалистам. И делать это нужно незамедлительно, так как точно также проанализировать доступность сетевых ресурсов может и злоумышленник. А затем определить, через какую «дыру» и как можно пролезть в систему.
Большинство сканеров предназначено для работы в среде операционной системы UNIX, хотя к настоящему времени такие программы имеются практически для любой операционной системы. Возможность запустить сканер на конкретном компьютере зависит от операционной системы, под управлением которой работает этот компьютер, и от параметров подключения к Internet. Есть сканеры, которые функционируют только в среде UNIX, а с остальными операционными системами оказываются несовместимыми. Другие отказываются нормально работать на устаревших компьютерах с Windows 3.11 и с медленным (до 14 400 бит/с) доступом к Internet, осуществляемым по коммутируемым линиям. На таких компьютерах постоянно будут выдаваться сообщения о переполнении стека, нарушении прав доступа или отказе системы.
Критичным является и объем оперативной памяти компьютера. Сканеры, которые управляются при помощи командной строки, как правило, более умеренны в своих требованиях, предъявляемых к объему оперативной памяти. Сканеры, снабженные оконным графическим интерфейсом пользователя, требуют больше ресурсов памяти.
Создание сканера не требует больших усилий при наличии знания протоколов TCP/IP, умения программировать на С или Perl и на языке сценариев. Необходимо также разбираться в программном обеспечении сокетов, но и в этом случае не следует ожидать, что созданный сканер принесет большую прибыль, поскольку в настоящее время предложение на рынке сканеров значительно превышает спрос на них. Поэтому наибольшая отдача от усилий, вложенных в написание сканера, будет скорее моральной (от осознания хорошо выполненной работы), нежели материальной.
Правовые вопросы использования сканеров
Обычно сканеры создаются и используются специалистами в области сетевой безопасности. Как правило, они распространяются через сеть Internet, чтобы с их помощью системные администраторы могли проверять компьютерные сети на предмет наличия в них изъянов. Поэтому обладание сканерами, равно как и их использование на практике, вполне законно. Однако рядовые пользователи, не являющиеся системными администраторами, должны быть готовы к тому, что, если они будут применять сканеры для обследования чужих сетей, то могут встретить сопротивление со стороны администраторов этих сетей. Более того, некоторые сканеры в процессе поиска брешей в защите компьютерных сетей предпринимают такие действия, которые по закону могут квалифицироваться как несанкционированный доступ к компьютерной информации, или как создание, использование и распространение вредоносных программ, или как нарушение правил эксплуатации компьютеров, компьютерных систем и сетей.
И если следствием этих деяний стало уничтожение, блокирование, модификация или копирование информации, хранящейся в электронном виде, то виновные в них лица в соответствии с российским законодательством подлежат уголовному преследованию. А значит, прежде чем начать пользоваться первым попавшимся freewareсканером для UNIX-платформ, стоит убедиться, а не копирует ли случайно этот сканер заодно и какие-нибудь файлы с диска тестируемой им хост-машины (например, файл password из каталога /ETC).
Принцип действия сетевых сканеров на примере сканера защищенности Shadow Security Scanner
Сканер защищенности Shadow Security Scanner (SSS) является достаточно мощным и надежным средством для обнаружения недостатков в системе защиты сетевых узлов
(персональных компьютеров, рабочих станций, серверов). Для поиска уязвимостей в сканер встроены как стандартные средства тестирования сети, так и специализированные,
имитирующие действия злоумышленника по проникновению в компьютерные системы, подключенные к сети. Гибкая модульная архитектура сканера SSS позволяет постоянно перестраивать его возможности, добавляя новые модули, эмулирующие новые варианты компьютерных атак.
Процесс сканирования можно изобразить в виде пошаговой процедуры, представленной на рис.1, семь этапов которой однозначно соответствуют функциональным частям сетевого
сканера:
1. Задание параметров сеанса сканирования;
2. Автоматическое обнаружение сетевых ресурсов;
3. Сбор данных;
4. Анализ данных;
5. Определение уязвимостей;
6. Представление результатов сканирования;
7. Автоматическая подготовка отчета.
Сканер предоставляет дружественный интерфейс и удобное меню, основные функции которого вынесены в виде «иконок», как показано на рис.2.
Рис.2. Главное меню сканера.
Возможности данного сетевого сканера, соответствуют поэтапной процедуре сканирования, показанной на рис.1. Для начала следует настроить базовые параметры сканирования:
Ø задание диапазона IP-адресов (рис.3);
Ø задание сканируемых портов (рис.4);
Ø задание анализируемых сетевых служб (рис.5).
Задание области сканирования
Задаваемый диапазон IP-адресов может быть непрерывным, разрывным, из него могут быть удалены какие-то отдельные узлы – эти параметры задаются пользователем в каждом конкретном сеансе сканирования.
Задавая область сканирования, пользователь может использовать следующие функции:
Ø добавить узел (Add Host);
Ø добавить диапазон (Add IP Zone);
Ø исключить узел (Delete Host).
Задание сканируемых портов
Порты компьютера или любого другого активного сетевого устройства служат для организации взаимодействия по какому-либо сетевому протоколу. Их назначение и способы использования стандартизованы и для любой операционной системы абсолютно одинаковы. Например:
21 порт – FTP (File Transfer Protocol);
22 порт – SSH (Secure Shell Remote Login Protocol);
23 порт – TELNET;
и т.д.
Если порт открыт, то по соответствующему протоколу приложение может связаться с одним или несколькими другими узлами в сети. Но это и есть источник опасности, так как связаться с некоторым узлом в сети можно не только с целью информационного обмена, но и с «вредными помыслами».
У серверных систем (типа Windows NT или UNIX) обычно открыто значительное число портов – это связано с предоставляемыми этими системами сервисами и это является источником повышенной опасности. При правильной настройке сервисных служб опасность снижается, но не исключается вовсе.
У клиентских систем (типа Windows 95/98) обычно все порты закрыты. Они открываются при активизации какого-либо сетевого приложения (при считывании или отправке электронной
почты, пересылке файлов и т.п.) и закрываются автоматически при его завершении. Ввиду незначительной продолжительности таких операций, угроза проникновения считается незначительной (если только в самом считываемом почтовом послании или
скачиваемом файле не содержится вредоносных программ). Опасность значительно возрастает, когда клиентские рабочие станции объединяют по протоколу NetBIOS (139 порт –
NetBIOS Service Session) в локальную сеть с целью использования общих дисковых ресурсов, принтеров, сканеров ит.д. В этом случае каждый участник этого локального объединения должен
представлять себе в общем виде те неприятности, которые могут случиться с его системой по вине соседей и, наоборот, с системами соседей по его вине.
Итак, в параметрах настройки сеанса сканирования можно указать все порты (с 1-ого порта по 65301) или выборочно включать/выключать отдельные порты в зависимости от проводимого исследования.
Сетевые сервисы
Как уже отмечалось, наиболее уязвимыми с точки зрения проникновения в систему являются серверные службы. В зависимости от количества включенных серверных служб и качества их настройки эта опасность может возрастать или убывать.
Кроме того, установка дополнительных программных продуктов может изменить какие-то настройки сетевых сервисов, открыть ранее закрытые порты.
Сканер защищенности помогает администратору сервера, во-первых, изначально проверить защищенность системы в целом и, во-вторых, в последующем отслеживать состояние системы
защиты. Дело в том, что любой злоумышленник, единожды проникнув в систему, первым делом изменяет параметры настройки для того, чтобы в последующем облегчить себе проникновение в систему и обеспечить более комфортный режим работы. Эти изменения администратор может обнаружить, воспользовавшись сканером, еще до того, как действия злоумышленника принесут непоправимый вред.
При настройке параметров сеанса сканирования пользователь может включить все известные сетевые службы или провести выборочное сканирование. Необходимо помнить, что сетевые технологии развиваются стремительно, и появление какого-то нового сервиса может быть не предусмотрено текущей версией сетевого сканера. Помочь в этом случае может только
регулярное обновление версии сканера.
Заданием сканируемых сетевых служб заканчивается настройка параметров сеанса сканирования, и затем следует собственно процедура сканирования заданного сегмента сети и анализа собранных результатов (этапы II-VII процедуры, представленной на рис.1).
Сканирование сетевых ресурсов
Сканирование сетевых ресурсов, автоматическое обнаружение узлов и услуг (рис.6) позволяет собирать информацию о всех сетевых устройствах, находящихся в исследуемой сети, таких как WWW и почтовые сервера, межсетевые экраны, а также маршрутизаторы, сервера удаленного доступа и т.д. Эта функция позволяет пользователям составить полную картину работающих в сети активных устройств и активизированных сетевых услуг путем опроса сетевых устройств по протоколам TCP/IP, SNMP, SMTP и др.
Сканер выполняет проверку всех IP-адресов и портов из заданного диапазона и таким образом строит карту сегмента сети.
Сканирование портов, сбор данных
По созданной карте сегмента сети сканер начинает сбор данных по всем сетевым ресурсам.
Для каждого IP-адреса сканер через службу доменных имен определяет сетевое логическое имя.
Используя процедуру сканирования портов, он определяет активные порты каждого сетевого узла. Как уже отмечалось, в процессе конфигурирования и настройки сетевого сканера можно
задать некоторые специальные правила, по которым будет происходить процедура сканирования (например, выборочное сканирования заданных портов или сканирование потенциально
наиболее опасных). Естественно, подобное исследование сегмента сети значительно увеличит сетевой трафик.
Анализ правил
На третьем этапе сканер анализирует собранную информацию с целью определения базовых параметров (типа операционной системы, включенных сетевых сервисов и т.п.) и потенциально возможных недочетов, обычно присутствующих в настройках ОС и сетевых служб, а именно:
Ø уже обнаруженные «дыры» в Windows NT и UNIX-системах;
Ø проблемы с настройкой широко используемых сервисов типа telnet, FTP, HTTP - тривиальные пароли и пр.;
Ø недостатки в настройки специализированных служб типа firewall;
Ø проблемы в настройке системы электронной почты.
Сведения о вышеуказанных потенциальных ошибках и недочетах в настройке программного обеспечения заложены в базу данных сканера в виде правил, которые система пытается применить для каждого конкретного узла из заданного диапазона. данном случае сканер просто перебирает различные варианты уязвимости и отмечает цветом степень их потенциальной опасности (чем краснее – тем опасней).
Определение уязвимостей
Используя подобранные варианты потенциальных недостатков в системе защиты, сканер пытается проверить, присутствуют ли эти недостатки в каждом из анализируемых
узлов. Например, для служб, использующих идентификатор пользователя и пароль для доступа к ресурсам, сканер пытается подобрать пароль.
Этот этап исследования является активным, он предполагает достаточно большое количество запросов, посылаемых по сети к каждому исследуемому узлу (например, при подборе пароля используется база из нескольких тысяч типичных вариантов и плюс генератор паролей), но никаких деструктивных действий сканер не производит.
Представление результатов сканирования
Результаты сканирования каждого узла сети представляются в виде таблицы, состоящей из четырех разделов:
Ø общие сведения;
Ø обнаруженные уязвимости;
Ø операционная система;
Ø список портов и соответствующих им функций.
Как уже отмечалось, сканер обладает удобным дружественным интерфейсом. Выбрав одну из строк списка (рис.7), можно получить краткое описание проблемы (рис.8).
Последняя строка описания обнаруженной проблемы содержит http-ссылку на сайт комитета CVE (Common Vulnerabilities and Exposures, общих уязвимостей и воздействия), где содержится исчерпывающее описание обнаруженной уязвимости системы защиты и рекомендации по ее устранению.
Следующая важная информация, представляемая по результатам сканирования, – список открытых портов и степень их опасности для системы в целом (рис.10).
На представленном рисунке цветом очень наглядно выделены наиболее уязвимые порты.
Автоматическая подготовка отчета
Отчет содержит подробные результаты выполненного исследования уязвимости сегмента сети.
Отчет подразделяется на несколько частей.Первая часть содержит общее описание выполненного исследования, некоторые статистические показатели: число сетевых узлов, число обнаруженных недостатков в системе защиты, наиболее уязвимые узлы, неудачно настроенные сетевые службы и протоколы.
Вторая часть отчета – результаты сканирования узла сети. В отчете собрана та же информация, которая была рассмотрена в разделе о представлении результатов сканирования, но представлена она не в виде одного из окон экранного интерфейса сетевого сканера, а собрана в html-файле, который можно передать для анализа администратору и специалисту по безопасности, или же выложить на Интернет-сайте.
SATAN, Jackal и другие сканеры
Также среди сканеров большую известность получил SATAN (Security Administrator's Tool for Analyzing Networks). Этот сканер распространяется через Internet.
Ни одно средство анализа сетевой безопасности не вызывало столько споров, сколько пришлось на долю сканера SATAN. Газеты и журналы, и даже телевидение отреагировали на его появление грозными предупреждениями об опасности, которую для всех пользователей сетей представлял этот сканер.
И действительно, SATAN был довольно необычным для своего времени программным пакетом. Предназначенный для использования на рабочих станциях, работающих под управлением операционной системы UNIX, он обладает дружественным пользовательским интерфейсом. В нем имеются готовые формуляры, в которые пользователю остается только внести минимальные сведения об анализируемом сетевом объекте, а также таблицы, которые автоматически заполняются по мере накопления информации. При нахождении какого-либо изъяна в сетевой защите пользователю предлагается воспользоваться контекстно-зависимой справкой, чтобы лучше понять суть обнаруженного изъяна. Разработчиками сканера SATAN являются американцы Д. Фармер (D. Farmer) и У. Венема (W. Venema) — талантливые программисты, хакеры и авторитетные специалисты в области сетевой безопасности.
Отрицательной чертой сканера SATAN, по мнению многих пользователей, является его повышенная требовательность к системным ресурсам, особенно к производительности центрального процессора и объему оперативной памяти. Поэтому тем пользователям, которые хотят воспользоваться сканером SATAN, но имеют компьютеры с ограниченными ресурсами, можно посоветовать их увеличить. Если это по каким-либо причинам не реализуемо, следует попытаться избавиться от выполнения лишних процессов и работать с SATAN с помощью командной строки.
Еще один сканер - Strobe (Super Optimized TCP Port Surveyor) исследует порты TCP/IP выбранного компьютера и протоколирует все полученные сведения. Основное достоинство Strobe — быстрота сканирования. Если компьютер, на котором запущен Strobe, подключен к Internet через модем, работающий со скоростью 28800 бит/с, то на полное сканирование сервера ему понадобится всего около 30 с. Однако полученная информация будет довольно скудной — лишь общие диагностические сведения о сетевых службах сервера. Кроме того, в хост-машине, подвергшейся сканированию с помощью Strobe, этот факт не останется не замеченным (скорее всего, он будет зафиксирован в файле /var/adm/messages
Сканер Jackal— это так называемый сканер-"призрак". Он анализирует сетевые домены, проникая сквозь брандмауэры и не оставляя при этом никаких следов своего проникновения
Сканер NSS (Network Security Scanner) замечателен прежде всего тем, что написан на языке Perl и, следовательно, может быть легко перенесен на любую платформу, для которой имеется интерпретатор этого языка. Другим достоинством NSS является скорость его работы.
И наконец, существуют сканеры узкой специализации: такие, как IdentTCPscan (предназначен для определения регистрационного имени пользователя, работающего с данным портом TCP/IP), FSPScan (осуществляет поиск серверов, которые поддерживают сетевой протокол FSP), XSCAN (анализирует Х-серверы с целью нахождения изъянов в их конфигурации) и CONNECT (ищет серверы, работающие с протоколом TFTP). Все эти сканеры можно найти в Сети по тем же адресам, что и Jackal и NSS.
Вывод
Номеронабиратели, ставшие предвестниками появления сканеров, в настоящий момент используются мало, и практически потеряли актуальность.
В то же время развитие корпоративных и домашних сетей порождает потребность в программном обеспечении, способном определить уязвимости этих сетей и по возможности устранитьнедостатки. Этим программным средством являются сканеры.
Использование сетевого сканера (конкретно SSS или же какого-либо другого) позволяет:
1. наглядно показать администраторам рабочих групп или отдельных серверов недостатки в их системе защиты, помочь в их устранении
2. вооружить администратора сети мощным инструментом, повышающим безопасность сети за счет ликвидации отдельных уязвимых мест или проведения дополнительных мер по защите сети
3. Разработать методику, ограничивающую использование в сети высокоопасных сетевых служб и технологий взаимодействия.
Литература
1. Ермаков А.В. «Использование сетевого сканера для повышения защищенности корпоративной информационно-вычислительной сети», М.:Институт прикладной математики им. М.В.Келдыша РАН, 2001
2. http://www.megalib.com/books/90/4/Index1.htm
3. http://security.software-testing.ru/instrumentation.htm
4.
Презентация Power Pointприлагается(файл с расширением .ppt)