- •Інформаційна безпека інноваційної діяльності_____
- •Наочні посібники
- •Завдання на самостійну роботу
- •III. Навчальні матеріали до навчальних питань:
- •1. Порольний захист мережних операційних систем
- •1.1. Парольні зломщики
- •1.2. Принцип роботи парольного зломщика
- •2. Застосування програм-сканерів для підвищення безпеки системи
- •2.1. Загальні принципи
- •2.2. Типи сканування
- •2.3. Приклади сканерів
- •3. Захист від аналізаторів протоколів
- •3.2. Передумови існування
- •3.2. Аналізатори протоколів
- •3.3. Захист від аналізаторів протоколів
3.2. Аналізатори протоколів
Як уже було сказано, мережний адаптер кожного комп'ютера в мережі Ethernet як правило "чує" усе, про що "тлумачать" між собою його сусіди по сегменту цієї мережі. Але обробляє і поміщає у свою локальну пам'ять він тільки ті порції (так називані кадри) даних, що містять його унікальну мережну адресу.
На додаток до цьому переважна більшість сучасних Ethernet-адаптерів допускають функціонування в особливому режимі, називаному безладним (promiscuous). При використанні даного режиму адаптер копіює в локальну пам'ять комп'ютера усі без винятку передані по мережі кадри даних.
Спеціалізовані програми, що переводять мережний адаптер у безладний режим і збірають весь трафік мережі для наступного аналізу, називаються аналізаторами протоколів. Адміністратори мереж широко застосовують аналізатори протоколів для здійснення контролю за роботою цих мереж і визначення їхніх перевантажених ділянок, що негативно впливають на швидкість передачі даних. На жаль, аналізатори протоколів використовуються і зловмисниками, що з їхньою допомогою можуть перехоплювати чужі паролі й іншу конфіденційну інформацію. Треба відзначити, що аналізатори протоколів становлять серйозну небезпеку. Сама присутність у комп'ютерній мережі аналізатора протоколів указує на те, що в її захисних механізмах мається пролом. Установити аналізатор протоколів могла стороння людина, що проникнув у мережу ззовні (наприклад, якщо мережа має вихід у Internet). Але це могло бути і справою рук доморослого зловмисника, що має легальний доступ до мережі. У будь-якому випадку до сформованого ситуації потрібно віднестися з усією серйозністю.
Фахівці в області комп'ютерної безпеки відносять атаки на комп'ютери за допомогою аналізаторів протоколів до так називаних атак другого рівня. Це означає, що комп'ютерний зломщик уже зумів проникнути крізь захисні бар'єри мережі і тепер прагне розвити свій успіх. За допомогою аналізатора протоколів він може спробувати перехопити реєстраційні імена і паролі користувачів, їхній секретні фінансові дані (наприклад, номери кредитних карток) і конфіденційні повідомлення (приміром, електронну пошту). Маючи у своєму розпорядженні достатні ресурси, комп'ютерний зломщик у принципі може перехоплювати всю інформацію, передану по мережі.
Аналізатори протоколів існують для будь-якої платформи. Але навіть якщо виявиться, що для якоїсь платформи аналізатор протоколів поки ще не написаний, з погрозою, що представляє атака на комп'ютерну систему за допомогою аналізатора протоколів, як і раніше приходиться вважатися. Справа в тім, що аналізатори протоколів досліджують не конкретний комп'ютер, а протоколи. Тому аналізатор протоколів може обґрунтуватися в будь-якому вузлі мережі і відтіля перехоплювати мережний трафік, що у результаті широкомовних передач попадає в кожен комп'ютер, підключений до мережі.
Одна з перших атак, проведених за допомогою аналізаторів протоколів, була зафіксована в 1994 р. у США. Тоді невідомий зловмисник розмістив аналізатор протоколів на різних хостах і магістральних вузлах мереж Internet і Milnet, у результаті чого йому удалися перехопити більш 100 тис. реєстраційних імен і паролів користувачів. Серед потерпілих від атаки виявилися Каліфорнійський державний університет і Ракетна лабораторія міністерства оборони США.
Найбільш частими цілями атак комп'ютерних зломщиків, що ті здійснюють, використовуючи аналізатори протоколів, є університети. Хоча б через величезну кількість різних реєстраційних імен і паролів, що можуть бути украдені в ході такої атаки. Та й самі студенти аж ніяк не гидують можливостями аналізаторів протоколів. Нерідким є випадок, коли кілька студентів, зайнявши комп'ютер, підключений до локальної мережі університетської бібліотеки, швидко встановлюють з декількох дискет аналізатор протоколів. Потім вони просять нічого не підозрює жертву, що сидить за сусіднім комп'ютером: "Ви не могли б заглянути у свою поштову скриньку, а те в нас чомусь електронна пошта не працює?" Кілька хвилин потому вся ця група комп'ютерних зломщиків-аматорів, перехопивши реєстраційне ім'я і пароль доступу сусіда до поштового сервера, із задоволенням знайомиться з умістом його поштової скриньки і посилає листи від його імені.
Використання аналізатора протоколів на практиці не є такий вуж легкою задачею, як це може показатися. Щоб домогтися від нього хоч якоїсь користі, комп'ютерний зломщик повинний добре знати мережні технології. Просто установити і запустити аналізатор протоколів не можна, оскільки навіть у невеликій локальній мережі з п'яти комп'ютерів трафік складає тисячі і тисячі пакетів у годину. І отже, за короткий час вихідні дані аналізатора протоколів заповнять твердий диск цілком.
Тому комп'ютерний зломщик зазвичай набудовує аналізатор протоколів так, щоб він перехоплював тільки перші 200—300 байт кожного пакета, переданого по мережі. Звичайно саме в заголовку пакета розміщається інформація про реєстраційне ім'я і пароль користувача, що, як правило, більше за все цікавлять зломщика. Проте, якщо в розпорядженні зломщика мається досить простору на твердому диску, то збільшення обсягу трафіка, що перехоплюється піде йому тільки на користь. У результаті він може додатково довідатися багато цікавого.
На серверах у мережі Internet є безліч аналізаторів протоколів, що відрізняються лише набором доступних функцій. Наприклад, пошук по запитах protocol analyzer і sniffer на сервері www.softseek.com відразу дає посилання на добрий десяток програмних пакетів.
Для комп'ютерів, що працюють під керуванням операційних систем Windows, одними з кращих є аналізатори протоколів Lan Explorer компанії Intellimax і NetXRay компанії Network Associates. NetXRay (у перекладі з англійського — Мережний рентген) має великий набір функцій, що дозволяють робити моментальний знімок "нутрощів" мережі Ethernet, визначати, які її вузли і сегменти несуть найбільше навантаження, складати звіти і будувати діаграми на основі отриманих даних. Безкоштовна версія NetXRay доступна в Internet за адресою http://www.nai.com/asp_set/products/tnv/snifFerbasic_intro.asp. Аналізатор протоколів Lan Explorer (у перекладі з англійського — Аналізатор ЛОМ) не уступає по своїй функціональності NetXRay, має дуже гарний користувальницький інтерфейс, зручний і простий у використанні. Спробна 15-денна версія Lan Explorer доступна за адресою http:// www.intellimax.com/ftpsites.htm.
Аналізатор протоколів Network Monitor входить до складу операційної системи Windows NT 4.0 Server корпорації Microsoft. Для його установки необхідно в Панели управления (Control Panel) двічі клацнути на піктограмі Сеть (Network), потім перейти на вкладку Службы (Services), натиснути кнопку Добавить (Add) і в діалоговому вікні, що з'явилося, вибрати Network Monitor Tools and Agent. Після установки Network Monitor можна запустити з папки Network Analysis Tools розділу Администрирование (Administrative Tools) у меню Программы (Programs).