3. Отримання навиків для роботи з ресурсами honeypot та nmap
3.1 Мета роботи: отримання практичних і теоретичних навичок роботи з пасткою, засобами і методами сканування мережі.
3.2 Методичні вказівки з організації самостійної роботи студентів.
IP-адреса (від англ. Internet Protocol Address) – унікальна мережна адреса вузла в комп'ютерній мережі, побудованій за протоколом IP. У мережі Інтернет потрібна глобальна унікальність адреси. У випадку роботи в локальній мережі потрібна унікальність адреси в межах мережі. У версії протоколу IPv4 IP-адреса має довжину 4 байти.
В 4-й версії IP-адреса являє собою 32-бітове число. Зручною формою запису IP-адреси (IPv4) є запис у вигляді чотирьох десяткових чисел значенням від 0 до 255, розділених крапками, наприклад: 192.168.0.1.
У 6-й версії IP-адреса (IPv6) має 128-бітове представлення. Адреси розділяються двокрапкою (напр. fe80:0:0:0:200:f8ff:fe21:67cf або 2001:0db8:85a3:0000:0000:8a2e:0370:7334). Велика кількість нульових груп може бути пропущено за допомогою подвійної двокрапки (fe80::200:f8ff:fe21:67cf). Такий пропуск може бути єдиним в адресі.
Іноді зустрічається запис IP-адрес виду 192.168.5.0/24. Даний вид запису замінює собою вказання діапазону IP-адрес. Число після косої риси означає кількість одиничних розрядів в масці підмережі. Так 192.168.5.0/24 означає діапазон адрес хостів від 192.168.5.1 до 192.168.5.254, а так само 192.168.5.0 - адреса мережі і 192.168.5.255 - широкомовна адреса мережі.
MAC-адреса (від англ. Media Access Control – управління доступом до середовища, також Hardware Address) – це унікальний ідентифікатор, який присвоюється кожній одиниці обладнання комп'ютерних мереж. Не всі протоколи використовують MAC-адреси, і не всі протоколи, що використовують MAC-адреси, потребують подібної унікальності цих адрес.
У широкомовних мережах (таких, як мережі на основі Ethernet) MAC-адресу дозволяє унікально ідентифікувати кожен вузол мережі і доставляти дані тільки цьому вузлу. Таким чином, MAC-адреси формують основу мереж на канальному рівні, яку використовують протоколи більш високого (мережевого) рівня. Для перетворення MAC-адрес в адреси мережного рівня і назад застосовуються спеціальні протоколи.
Для того, щоб дізнатися MAC-адресу мережевого пристрою використовуються наступні команди:
Windows - ipconfig /all - більш докладно розписує - який MAC-адресу до якого мережевому інтерфейсу відноситься
Linux - ifconfig-a | grep HWaddr
FreeBSD - ifconfig | grep ether
HP-UX - /usr/sbin/lanscan
Mac OS X - ifconfig, або в Системних Налаштуваннях> Мережа> вибрати підключення> Додатково> Ethernet> Ідентифікатор Ethernet
QNX4 - netinfo -l
QNX6 - ifconfig або nicinfo
DHCP (Dynamic Host Configuration Protocol – протокол динамічної конфігурації вузла) – це мережний протокол, що дозволяє комп'ютерам автоматично одержувати IP-адресу й інші параметри, необхідні для роботи в комп'ютерна мережа|мережі TCP/IP. Для цього комп'ютер звертається до спеціального серверу, під назвою сервер DHCP. Мережевий адміністратор може задати діапазон адрес, що розподіляють серед комп'ютерів. Це дозволяє уникнути ручного настроювання комп'ютерів мережі й зменшує кількість помилок. Протокол DHCP використовується в більшості великих мереж TCP/IP.
Налаштування мережевих адаптерів у Virtual Box
Спершу потрібно установити будь-яку версію віртуальної машини VirtualBox, починаючи з 3.0. Після установки програми перейдіть в меню «Налаштування – Мережу». Вид вкладки, що відкривається, відповідає налаштуванням за умовчанням. Будь-яка з віртуальних машин може бути налаштована на використання чотирьох мережевих адаптерів - залежно від того, який вам потрібний в конкретному випадку. Але найчастіше на практиці вимагається тільки один з них. Як правило, при установці віртуальної машини, за умовчанням створюється простий мережевий адаптер. Цього вистачає для виходу в Інтернет.
Залежно від потреб, може знадобитися створення декількох мережевих інтерфейсів різних типів. Або ж декількох облаштувань одного типу, але з різними налаштуваннями. Це може знадобитися для використання на віртуальній машині як фізичних, так і віртуальних мережевих адаптерів. Все залежить від того, які з них підключені. Для успішного виконання лабораторної роботи рекомендується вибрати тип підключення «Мережний міст» на двох віртуальних машинах.
Існує кілька засобів сканування Nmap, широко вживаних в даний час. Розглянемо деякі з них.
Найпоширеніший і простий спосіб сканування є простим ping-сканування, яке полягає у відправці ICMP пакетів на різних хостах. Хост, який активний, відповість на ці пакети. Форма подання запиту:
ping 192.168.58.103
Якщо хост активний, то буде періодично виводитися рядок виду:
64 bytes from 192.168.58.103: icmp_seq=1 ttl=64 time=0,284mc
Другий доступний метод сканування - TCP Connect. Він полягає в тому, що скануюча машина починає з'єднуватися зі сканованою. Успішний результат говорить про те, що порт відкритий, невдалий - про те, що він закритий або фільтрується. Це сканування легко виявляється по величезній кількості записів в лог-файлі невдалих спроб встановлення з'єднання і помилок виконання цієї операції. Зрозуміле, що засоби захисту з максимальною швидкодією заблокує адреса, що викликають помилки.
nmap –sT 192.168.58.103
Більш досконалий метод сканування є TCP SYN - так званий «напіввідкрите сканування». При виклику Nmap посилає SYN-пакет, як би заради того, щоб встановити нове з'єднання. Якщо у відповіді присутні прапори SYN або ACK, вважається, що порт відкрито. Флаг RST говорить вже про зворотне. Якщо прийшла відповідь, що говорить про те, що порт відкрито, Nmap негайно відправляє RST-пакет для скидання ще не встановленого з'єднання. Сканування здійснюється тільки при наявності прав суперкористувача (root).
nmap –sS 192.168.58.103
Honeypot – це ресурс інформаційної системи, значення якого полягає в несанкціонованому та незаконному доступі до нього». Honeypot – це передусім концепція побудови системи для взлому. Таку систему визначає не конкретне програмне забезпечення (ПЗ) чи особливості конфігурації, а сама мета її побудови і розгортання. Як вище зазначалося ця мета – виявлення вторгнень і подальший аналіз атаки. Honeypot-приманка може приймати різні конкретні форми – від імітації окремої служби до симуляції систем і мереж. Через свою вразливість ці системи не повинні бути виробничими інформаційно-комунікаційними системами (ІКС), проте своєю схожістю приваблювати зловмисників.
Віртуальна пастка має бути видимою і доступною для нападника – в цьому її користь, у іншому випадку не буде отримано корисної інформації. З іншого боку – ніяка атака на honeypot не відобразиться на захищеній ІКС. Для виділення необхідної інформації використовуються різні технології пасивного прослуховування (sniffing) і реєстрації (logging). Варто виділити такі дві групи honeypot-систем (за метою функціонування):
виробничі пастки-приманки (production honeypots) – прості у використанні, фіксують лише обмежену інформацію і застосовуються, переважно, великими компаніями і комерційними організаціями;
дослідні віртуальні пастки (research honeypots) – набагато складніші в розгортанні і обслуговуванні, детально фіксують усю інформацію і використовуються, переважно, дослідними військовими чи урядовими організаціями.
Honeyd – засіб, розроблений і підтримується Н. Провасом. Уперше випущений у квітні 2002 року, Honeyd є Open Source Honeypot для UNIX платформ. Honeyd був розроблений як виробничий Honeypot, використовуваний для виявлення атак або несанкціонованої активності. У зв'язку з тим, що даний honeypot надає відкриті вихідні тексти, то існує можливість власного внутрішнього настроювання, наприклад, додавання імітованих сервісів. Це означає, що даний Honeypot може взаємодіяти через будь-який порт. Honeyd виявляє активність на всіх TCP-портах; а імітовані сервіси спроектовані тільки для введення зловмисника в оману й збору його активності. Honeyd представляє кілька нових концепцій Honeypot. По-перше, не виявляються атаки, що виходять із IP-адреси самого Honeypot (на відміну від BOF і Specter). По-друге, Honeyd дозволяє зробити імітацію цілої ІКС: існує можливість налаштувати IP-адреси й ОС, які їм будуть зіставлятися. Підтримується більше число ОС – від всіх Windows-подібних реалізацій до Unix-Систем маршрутизаторів. Honeyd імітує систему не тільки на прикладному рівні, а також на рівні IP-стека. При цьому ймовірність успішної ідентифікації Honeypot різко зменшується. Таким чином, Honeyd надає ще більший рівень обміну інформації зі зловмисником, завдяки чому його можна віднести до honeypot середнього рівня взаємодії. Віртуальні приманки високого рівня взаємодії – крайній випадок реалізації honeypot- технологій. Вони надають обширну інформацію про атаку, але, в той же час, є надзвичайно вимогливими в плані будівництва і обслуговування, а також приносять найвищий рівень ризику. Завдання високорівневих honeypot-приманок – надати зловмиснику доступ до справжньої ОС, де нічого не емулюється і не обмежується. Вони дозволяють детально дослідити нові засоби злому, визначити нові вразливості ОС чи ПЗ і вивчити способи зв’язку зловмисників між собою. Найчастіше високорівневі приманки розміщуються всередині контрольованого середовища, наприклад за мережевим екраном. Така архітектура дуже складна в розгортанні і обслуговуванні, особливо за умови, що зловмисник не повинен здогадатися про спостереження і контроль. Тому, вимагається великий об’єм робіт для побудови такого мережевого екрану з необхідною базою правил. Через надзвичайно громіздкий механізм контролю, високо- рівневі honeypot-приманки дуже складні, вимагають багато часу та зусиль для установки і налаштування. Їх обслуговування, в свою чергу, також вимагає значних затрат часу і ресурсів, що включає в себе оновлення бази даних правил фільтрації і сигнатур, а також постійний моніторинг активності на віртуальній приманці. Така складність приносить колосальний рівень ризику, проте слід зазначити, що правильно реалізована honeypot-приманка високого рівня взаємодії дозволяє проникнути в суть атаки як не одна інша honeypot-система. Прикладом високорівневої віртуальної приманки є комерційне рішення ManTrap, створене компанією Recourse Technologies.