Tcp/ip и Интернет 2



страница21/25
Дата18.11.2016
Размер1.5 Mb.
Просмотров3050
Скачиваний0
1   ...   17   18   19   20   21   22   23   24   25

43. Команда nmap.


Эта команда является сканером сетевых портов. Ее основное назначение — проверка указанных компьютеров на предмет того, какие TCP- и UDP-порты на них прослушиваются серверными программами. За большинством сетевых служб закреплены “известные” порты, поэтому такая информация позволяет узнать, какие программы выполняются на компьютере.

Запуск команды nmap — отличный способ узнать, как выглядит система в глазах того, кто пытается ее взломать. В качестве примера приведем отчет, выданный этой командой на самом обычном, относительно незащищенном компьютере.



ubuntu$ nmap -sT ubuntu.booklab.atrust.com

Starting Nmap 4.20 ( http://insecure.org ) at 2009-11-01 12:31 MST

Interesting ports on ubuntu.booklab.atrust.com (192.168.20.25):

Not shown: 1691 closed ports

PORT STATE 25/tcp open 80/tcp open 111/tcp open 139/tcp open 445/tcp open 3306/tcp open

SERVICE

smtp

http

rpcbind

netbios-ssn

microsoft-ds

mysql

Nmap finished: 1 IP address (1 host up) scanned in 0.186 seconds

Аргумент -sT сообщает команде nmap о необходимости подключиться к каждому ТСР-порту на указанном узле. Как только соединение устанавливается, команда nmap немедленно отключается, что не очень корректно, зато безболезненно для правильно написанного сетевого сервера.

Как следует из примера, на узле ubuntu выполняются две службы, являющихся тра­ диционными источниками проблем для безопасности системы: portmap (rpcbind) и почтовый сервер (smtp). Это наиболее вероятные места для атаки хакеров.

Колонка STATE (состояние) содержит запись open (открыт) для портов, с которыми связаны серверы, closed (закрыт) для портов, с которыми не связан ни один сервер, за­ пись unfiltered (нефильтруемый) для портов, пребывающих в неизвестном состоянии, и запись filtered (фильтруемый) для портов, доступ к которым невозможен из-за на­ личия брандмауэра. Чаще всего встречаются нефильтруемые порты. Они отображаются только при АСК-сканировании. Вот, например, результат запроса к более защищенному коммерческому веб-серверу secure.booklab.atrust.com.

Это нумерованный канал взаимодействия. IP-адрес идентифицирует весь компьютер, а комбинация IP-адреса и номера порта определяет конкретный сер­ вер или сетевое соединение.

На самом деле по умолчанию проверяются только привилегированные (их номера меньше 1024) и “известные” порты. С помощью опции -р можно явно задать диапазон сканирования.



ubuntu$ nmap -sT secure.booklab.atrust.com

Starting Nmap 4.20 ( http://insecure.org ) at 2009-11-01 12:42 MST Interesting ports on secure.booklab.atrust.com (192.168.20.35): Not shown: 1691 closed ports

PORT STATE SERVICE

25/tcp open smtp 80/tcp open http

Nmap finished: 1 IP address (1 host up) scanned in 0.143 seconds

В данном случае очевидно, что компьютер сконфигурирован на обработку электрон­ ной почты по протоколу SMTP и работу с сервером HTTP. Брандмауэр блокирует доступ к остальным портам.

Помимо стандартного опроса TCP- и UDP-портов, команда nmap способна про­ верять порты “по-хакерски”, не устанавливая с ними реального соединения. В боль­ шинстве случаев посылаются пакеты, которые похожи на пакеты из уже имеющегося TCP-соединения (это не квитирующие пакеты), а затем проверяются полученные в от­ вет диагностические пакеты. Таким способом можно обойти брандмауэр или программу мониторинга сети, которая контролирует появление сканеров портов. Команда nmap обладает магической способностью угадывать, какая операционная система установлена на удаленном узле. Это делается путем анализа деталей реализации стека TCP/IP. Чтобы проверить работу команды nmap в этом режиме, воспользуйтесь опцией -О, например.

ubuntu$ sudo nmap -sV -О secure.booklab.atrust.com

Starting Nmap 4.20 ( http://insecure.org ) at 2009-11-

1 12:44 MST

Interesting ports on secure.booklab.atrust.com (192.168.20.35): Not shown: 1691 closed ports

PORT STATE SERVICE

25/tcp open smtp

80/tcp open http

Device type: general purpose

Running: Linux 2.4.X|2.5.X|2.6.X

OS details: Linux 2.6.16 - 2.6.24

Nmap finished: 1 IP address (1 host up) scanned in 8.095 seconds

Эта возможность может оказаться весьма полезной при анализе состояния локальной сети


44. Bro: программная система для распознавания вторжения в сеть


Открытая система Вrо предназначена для распознавания вторжений в сеть (network intrusion detection system — NIDS). Она выполняет мониторинг сети и следит за подо­ зрительной активностью. Эта система была написана Верном Паксоном (Vern Paxson) и доступна на сайте bro-ids.org.

Система Вrо проверяет весь трафик, поступающий в сеть и исходящий из нее. Она может функционировать в пассивном режиме, генерируя предупреждения о подозритель­ ной активности, или в активном режиме, в котором она пресекает враждебные действия. Оба режима, скорее всего, потребуют внесения изменений в конфигурацию вашей сети.

В отличие от других систем NIDS, система Вrо отслеживает потоки трафика, а не просто сопоставляет образцы внутри отдельных пакетов. Это значит, что система Вrо может распознавать подозрительную активность, основываясь на информации о том, кто с кем говорит, даже не сравнивая никаких строк или шаблонов. Например, система Bro может решать следующие задачи.


    • Распознавать системы, использующие “мостики” (“stepping stones”), определяя корреляцию между входящим и исходящим трафиками.

    • Распознавать сервер, имеющий лазейку, инсталлированную для неожиданных ис­ ходящих соединений сразу после входящего соединения.

    • Распознавать протоколы, выполняемые на нестандартных портах.

    • Сообщать о правильно угаданных паролях (и игнорировать неправильные догадки).

Некоторые из этих функциональных возможностей требуют существенных систем­ ных ресурсов, но система Bro имеет поддержку кластеризации, облегчающую управле­ ние группами машин, распознающих вторжение.

Система Bro имеет сложный язык конфигурации, требующий значительного опыта кодирования. К сожалению, в системе нет конфигурации, заданной по умолчанию, ко­ торую было бы легко инсталлировать новичкам. Большинство сайтов требует умеренно­ го уровня настройки.

Система до некоторой степени поддерживается Группой сетевых исследований Международного института компьютерных наук (Networking Research Group of the International Computer Science Institute (ICSI)), но в большей степени она поддерживает­ ся сообществом ее пользователей. Если вы ищете готовую коммерческую систему NIDS, то, вероятно, будете разочарованы системой Bro. Однако она может делать то, что не доступно коммерческим системам NIDS, и может служить дополнением или заменой коммерческого продукта.

Snort: популярная программная система для распознавания проникновения в сеть

Открытая система Snort предназначена для предотвращения и распознавания не­ санкционированного проникновения в сеть; написана Марти Решем (Marty Roesch) и в настоящее время поддерживается коммерческой компанией Sourcefire (snort.org). Она де-факто стала стандартом для кустарных систем NIDS, а также основной для многих коммерческих реализаций систем NIDS с “управляемыми услугами”.

Система OSSEC — это свободное программное обеспечение, доступное в виде от­ крытого кода по лицензии GNU (General Public License). Она обеспечивает следующие функциональные возможности.



    • Распознавание руткитов.

    • Проверка целостности файловой системы. • Анализ регистрационных файлов.

    • Выдача сигналов по расписанию.

    • Активные реакции.

Система OSSEC работает в заданной операционной системе и отслеживает ее актив­ ность. Она может выдавать сигналы или предпринимать действия, предусмотренные на­ бором правил, которые устанавливает пользователь. Например, система OSSEC может выполнять мониторинг операционных систем с целью выявления добавления неавто­ ризованных файлов и посылать по электронной почте уведомления, похожие на при­ веденное ниже.

Subject: OSSEC Notification - courtesy - Alert level 7

Date: Fri, 15 Jan 2010 14:53:04 -0700

From: OSSEC HIDS

To:

OSSEC HIDS Notification.

2010 Jan 15 14:52:52

Received From: courtesy->syscheck

Rule: 554 fired (level 7) -> "File added to the system."

Portion of the log(s):

New file

'/courtesy/httpd/barkingseal.com/html/wp-content/uploads/2010/01/hbird.jpg'

added to the file system.

--END OF NOTIFICATION

Основные принципы системы OSSEC

Система OSSEC состоит из двух основных компонентов: менеджера (сервера) и агентов (клиентов). В сети нужен один менеджер, который необходимо инсталлировать первым. Менеджер хранит базу данных для проверки целостности файловой системы, регистрационные журналы, события, декодеры, основные варианты конфигурации, а также записи об аудите системы для всей сети. Менеджер может соединяться с любым агентом OSSEC, независимо от его операционной системы. Менеджер также может отслеживать работу определенных устройств, которые не имеют специального агента OSSEC.

Агенты работают в системах, которые подвергаются мониторингу, и сообщают ин­ формацию менеджеру. Они имеют маленькую зону обслуживания и оперируют неболь­ шим объемом привилегий. Большую часть конфигурации агент получает от менеджера. Соединение между сервером и агентом зашифровано и аутентифицировано. Для каждо­ го агента менеджер должен создать отдельный ключ аутентификации.

Система OSSEC классифицирует серьезность сигналов по уровням от 0 до 15; число 15 соответствует высшему уровню опасности.




Поделитесь с Вашими друзьями:
1   ...   17   18   19   20   21   22   23   24   25


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал