- •Введение
- •Лабораторная работа №1 Настройка локальной сети в операционной системе Windows xp
- •1 Подключение рабочей станции к локальной сети
- •2 Открытие ресурсов в общий доступ
- •3 Содержание отчета
- •1 Службы именования ресурсов и проблемы прозрачности доступа в операционной системе Windows xp
- •2 Доменный подход
- •3 Основной и резервные контроллеры домена
- •4 Четыре модели организации связи доменов
- •5 Задание:
- •1 Введение
- •2 Обнаружение атак
- •3 Обнаружение атак на сетевом уровне
- •4 Обнаружение атак на системном уровне
- •5 Достоинства систем обнаружения атак на сетевом уровне
- •6 Достоинства систем обнаружения атак системного уровня
- •7 Необходимость в обеих системах обнаружения атак сетевого и системного уровней
- •8 Список требования к системам обнаружения атак следующего поколения
- •1 Общие сведения об Internet/Intranet
- •2 Основы технологии Internet/Intranet
- •3 Архитектура Internet/Intranet-приложений
- •4 Основные информационные ресурсы и потоки
- •5 Средства разработки, эксплуатации и сопровождения Internet/Intranet-приложений
- •6 Традиционная схема публикации и просмотра документов
- •7 Intranet-приложения с доступом к бд
- •8 Интерпретируемые загружаемые Intranet-приложения
- •9 Взаимодействие Web-клиента с другими серверами
- •2 Вызов и настройка Outlook Express
- •3 Адресная книга
- •4 Задание
- •Вопрос 1. Особенности применения сетевых анализаторов
- •Приложение е (справочное) Государственные стандарты ескд
- •Удаленный доступ и компьютерные сети
4 Задание
1. Вызвать и настроить основные функции Outlook Express.
2. Настроить адресную книгу Outlook Express.
4. Создать сообщение в Outlook Express.
5. Осуществить отправление и получение сообщения.
5 Контрольные вопросы
1. Основные операции по отправлению и получению почты с помощью программы Outlook Express.
2. Область папок, заголовков и просмотра в Outlook Express.
3. Группы параметров, управляющие работой ОЕ.
4. Способы вызова главного окна адресной книги.
5. Задание адреса с помощью адресной книги.
6. Способ кодировки сообщения.
6 Содержание отчета
1. Название, цель, содержание работы.
2. Задание.
3. Результаты выполнения работы.
4. Письменные ответы на контрольные вопросы.
5. Выводы по работе.
7 Список использованных источников
1. Энциклопедия настройки программных средств IBM PC, М.Гук
Лаб.раб 2. Исследование особенностей применения Сетевых анализаторов
Учебно-материальное обеспечение:
Класс ПЭВМ, подключенных к сети «Интернет».
Операционная система Microsoft Windows Server 2003.
сетевые анализаторы Tcpdump, WinDump и Ethereal
СОДЕРЖАНИЕ
Цели лабораторной работы:
Провести исследование особенностей применения сетевых анализаторов.
Изучить примеры конфигураций анализаторов.
Изучить приложения сетевых анализаторов.
Получить навыки применения сетевых анализаторов.
Провести анализ и разработать рекомендации по применению сетевых анализаторов на своём компьютере.
Вопрос 1. Особенности применения сетевых анализаторов
Сетевой анализатор (network sniffer) прослушивает пакеты определенного физического сегмента сети. Это позволяет анализировать трафик на наличие некоторых шаблонов, исправлять определенные проблемы и выявлять подозрительную активность. Сетевая система обнаружения вторжений является ничем иным, как развитым анализатором, который сопоставляет каждый пакет в сети с базой данных известных образцов вредоносного трафика, аналогично тому, как антивирусная программа поступает с файлами в компьютере.
В отличие от средств, описанных ранее, анализаторы действуют на более низком уровне. Если обратиться к эталонной модели OSI, то анализаторы проверяют два нижних уровня - физический и канальный.
Физический уровень - это реальная физическая проводка или иная среда, примененная для создания сети. На канальном уровне происходит первоначальное кодирование данных для передачи через конкретную среду. Сетевые стандарты канального уровня включают беспроводной 802.11, Arcnet, коаксиальный кабель, Ethernet, Token Ring и многое другое. Анализаторы обычно зависят от типа сети, в которой они работают. Например, для анализа трафика в сети Ethernet вы должны иметь анализатор Ethernet.
Существуют анализаторы коммерческого класса, от таких производителей, как Fluke, Network General и других. Обычно это специальные аппаратные устройства, которые могут стоить десятки тысяч долларов. Хотя эти аппаратные средства способны осуществлять более глубокий анализ, можно создать недорогой сетевой анализатор с помощью программного обеспечения с открытыми исходными текстами и недорогого ПК на Intel-платформе.
Ethernet - этот протокол наиболее употребителен в локальных сетях. Весьма вероятно, что ваша организация использует сеть Ethernet или она взаимодействует с подобными организациями.
Ethernet регламентирует как управление физической средой, так и программное кодирование данных, передаваемых по сети. Так как Ethernet имеет широковещательную топологию и все компьютеры потенциально могут "говорить" одновременно, в нем предусмотрен механизм обработки коллизий - когда два компьютера одновременно посылают пакеты данных. Если обнаруживается коллизия, то обе стороны повторно посылают данные после задержки со случайной длительностью. В большинстве случаев это работает вполне успешно. Однако это также является недостатком архитектуры Ethernet. Все компьютеры, подключенные к сети Ethernet, пересылают данные по одному и тому же физическому кабелю, и плата Ethernet видит весь проходящий трафик. Плата Ethernet предназначена для обработки только тех пакетов, которые ей адресованы, но вы легко можете заметить здесь потенциальные проблемы безопасности. Подобная система не слишком безопасна, да и время получателей расходуется не особенно эффективно, но, в сущности, именно так спроектирован Ethernet.
В наше время для повышения эффективности большинство сетей Ethernet являются коммутируемыми. Это означает, что каждый порт Ethernet видит не весь трафик, а только тот, что предназначен для подключенной к нему машины. Это помогает сгладить некоторые проблемы приватности и перегрузки, но в каждый порт все же приходит много широковещательного трафика. Обычно широковещательный трафик направляется во все порты сети с целью обнаружения или для информации. Это относится к таким протоколам, как DHCP, где машина посылает широковещательное сообщение, разыскивая в сети какой-либо из серверов DHCP, чтобы получить у него адрес. Машины под управлением Microsoft Windows также известны тем, что генерируют обильный широковещательный трафик.
В локальных сетях Ethernet присутствуют и другие типы широковещательного трафика. Одним из них является протокол разрешения адресов (Address Resolution Protocol - ARP), который используется, когда машина впервые пытается узнать, какой адрес уровня доступа к среде передачи (MAC-адрес) соответствует определенному IP-адресу (см. врезку об IP-адресах в лекции. В сетях Ethernet MAC-адреса являются 12-значными шестнадцатеричными числами и присваиваются платам при производстве. Каждый производитель имеет собственный диапазон чисел, поэтому обычно по MAC-адресу можно узнать, кто сделал плату. Если машина знает IP-адрес, но не адрес Ethernet, она посылает пакеты ARP, спрашивая: "Кому принадлежит этот адрес?" Получив ответ, машина сможет затем послать остальную часть сообщения по правильному MAC-адресу. Именно этот тип трафика оставляет локальные сети Ethernet восприимчивыми для атак анализатора, даже если они используют коммутацию вместо широковещания всего трафика во все порты. Кроме того, если хакерам удастся получить доступ к коммутатору (эти устройства зачастую плохо защищены), они могут превратить свой собственный порт в порт "монитора" или "зеркала", который показывает трафик других портов.
Следует также предусмотреть, что делать с данными после их получения. Помимо паролей, это могут быть другие критичные данные. Как правило, протоколы сетевого анализа должны вычищаться из системы, если только они не нужны для уголовного или гражданского преследования. Существуют документированные прецеденты, когда благонамеренных системных администраторов увольняли за несанкционированный перехват данных.
Прежде чем настраивать анализатор, убедитесь, что вы полностью понимаете физическую и логическую организацию вашей сети. Проводя анализ в неправильном месте сети, вы либо получите ошибочные результаты, либо не сможете увидеть то, что ищете. Проверьте, что между анализирующей рабочей станцией и тем, что вы собираетесь наблюдать, нет маршрутизаторов. Маршрутизаторы будут направлять трафик в сегмент сети, только если происходит обращение к расположенному там узлу. Аналогично, если вы находитесь в коммутируемой сети, вам понадобится сконфигурировать порт, к которому вы подключились, как порт "монитора" или "зеркала". Разные производители используют различную терминологию, но по сути вам необходимо, чтобы порт действовал как концентратор, а не как коммутатор, так как он должен видеть весь трафик, идущий через коммутатор, а не только тот, что направлен на вашу рабочую станцию. Без такой настройки порт монитора будет видеть только то, что направлено в порт, к которому вы подключены, и сетевой широковещательный трафик.
Особенности применения сетевых анализаторов.
Чтобы применять сетевые анализаторы этично и продуктивно, необходимо выполнять следующие рекомендации.
Всегда получайте разрешение.
Анализ сети, как и многие другие функции безопасности, имеет потенциал для ненадлежащего использования. Перехватывая все данные, передаваемые по сети, вы вполне можете подсмотреть пароли для различных систем, содержимое почтовых сообщений и другие критичные данные, как внутренние, так и внешние, так как большинство систем не шифрует свой трафик в локальной сети. Если подобные данные попадут в нехорошие руки, это, очевидно, может привести к серьезным нарушениям безопасности. Кроме того, это может стать нарушением приватности служащих, если таковая фигурирует в политике вашей организации.
В зависимости от того, что вы ищете, использование открытого фильтра (то есть показ всего) сделает вывод данных объемным и трудным для анализа. Используйте специальные критерии поиска, чтобы сократить вывод, который выдает ваш анализатор. Даже если вы не знаете точно, что ищете, можно, тем не менее, написать фильтр для ограничения результатов поиска. Если вы ищете внутреннюю машину, задайте критерии для просмотра только исходных адресов внутри вашей сети. Если вы пытаетесь отследить определенный тип трафика, скажем, трафик FTP, то ограничьте результаты только тем, что приходит в порт, используемый приложением. Поступая таким образом, вы сделаете результаты анализа значительно более полезными.
Применив сетевой анализатор во время нормальной работы и записав итоговые результаты, вы получите эталонное состояние, которое можно сравнивать с результатами, полученными во время попыток выделения проблемы. Анализатор Ethereal, создает для этого несколько удобных отчетов. Вы получите также некоторые данные для отслеживания использования сети в зависимости от времени. При помощи этих данных можно определить, когда сеть насыщается и каковы основные причины этого - перегруженный сервер, рост числа пользователей, изменение типа трафика и т.п. Если есть точка отсчета, проще понять, кто и в чем виноват.
Существует много доступных анализаторов - как свободных, так и коммерческих, но Tcpdump доступен наиболее широко и недорог. Он поставляется с большинством дистрибутивов UNIX, включая Linux и BSD. На самом деле, если у вас достаточно свежий дистрибутив Linux, то, весьма вероятно, что вы уже имеете установленный и готовый к употреблению Tcpdump.
Установка Tcpdump
Tcpdump полностью оправдывает свое имя: он выдает содержимое пакетов TCP/IP, проходящих через сетевой интерфейс, на устройство вывода (обычно - на экран или в файл).
Чтобы анализатор Tcpdump работал, он должен иметь возможность перевести сетевую плату в так называемый режим прослушивания (или неразборчивый режим - promiscuous mode). Это означает, что сетевая плата будет перехватывать весь трафик Ethernet, а не только тот, что адресован ей. Каждая операционная система по-своему обрабатывает трафик платы Ethernet. Чтобы предоставить общую ссылку для программистов, была создана библиотека pcap. В UNIX она называется libpcap, а в Windows - WinPcap. Эти низкоуровневые драйверы могут изменять способ, которым плата обычно обрабатывает трафик. Они должны быть установлены до Tcpdump.
Если Tcpdump уже присутствует в системе, то установлены и драйверы. В противном случае возьмите их из каталога misc на компакт-диске, приложенном к этой книге, или с Web-сайта Tcpdump. Не забудьте установить их перед установкой Tcpdump.
Примечание: Для libpcap требуются также интерпретируемые языки Flex и Bison или, в качестве замены, - Lex и Yacc. Если у вас их нет, найдите их на дистрибутивном диске своей операционной системы или в Сети, и установите, чтобы установка libpcap прошла успешно.
Установите libpcap, распаковав ее и выполнив стандартные команды компиляции:
./configure
make
make install
Если во время компиляции вы получите предупреждение вида "Cannot determine packet capture interface" ("Невозможно определить интерфейс перехвата пакетов"), то ваша сетевая плата не поддерживает режим прослушивания, и для применения Tcpdump придется взять другую плату. Большинство современных плат должны поддерживать этот режим.
После установки libpcap распакуйте пакет Tcpdump и перейдите в его каталог.
Выполните те же команды компиляции:
./configure
make
make install
Tcpdump готов к употреблению.
Запуск Tcpdump
Существует ряд операций для фильтрации вывода, чтобы найти определенный тип трафика или снизить общий объем вывода. На самом деле, в активно используемой сети нефильтрованный вывод Tcpdump будет пролетать на экране быстрее, чем вы сможете его прочитать! Однако прямо сейчас для демонстрации возможностей Tcpdump запустим его из командной строки, набрав просто
tcpdump
Вы увидите весь нефильтрованный трафик TCP, проходящий через плату Ethernet вашей машины. Он может выглядеть примерно так, как в примере на листинге .1.
12:25:38.504619 12.129.72.142.http > 192.168.1.3.3568: . ack 1418369642
win 31856 <nop,nop,timestamp 72821542 25475802> (DF)
12:25:38.504758 192.168.1.3.3568 > 12.129.72.142.htt: . ack 1
win 40544 <nop,nop,timestamp 25486047 72811295> (DF)
12:25:38.507753 192.168.1.3.4870 > 65.83.241.167.domain: 11414+ PTR? 1
42.72.129.12.in-addr.arpa. (44) (DF)
12:25:38.561481 65.83.241.167.domain > 192.168.1.3.4870: 11414 NXDomain*- 0/1/0 (113)
12:25:38.562754 192.168.1.3.4870 > 65.83.241.167.domain: 11415+ PTR?
3.1.168.192.in-addr.arpa. (42) (DF)
12:25:38.609588 65.83.241.167.domain > 192.168.1.3.4870: 11415 NXDomain 0/1/0 (119)
12:25:38.610428 192.168.1.3.4870 > 65.83.241.167.domain: 1416+ PTR?
167.241.83.65.in-addr.arpa. (44) (DF)
12:25:38.649808 65.83.241.167.domain > 192.168.1.3.4870: 11416 1/0/0 (69)
12:25:43.497909 arp who-has 192.168.1.1 tell 192.168.1.3
12:25:43.498153 arp reply 192.168.1.1 is-at 0:6:25:9f:34:ac
12:25:43.498943 192.168.1.3.4870 > 65.83.241.167.domain: 11417+ PTR?
1.1.168.192.in-addr.arpa. (42) (DF)
12:25:43.533126 65.83.241.167.domain > 192.168.1.3.4870: 11417 NXDomain 0/1/0 (119)
12:25:44.578546 192.168.1.1.8783 > 192.168.1.255.snmptrap: Trap(35)
E:3955.2.2.1 192.168.1.1 enterpriseSpecific[specific-trap(1)!=0] 43525500[|snmp]
Листинг 1. Пример выдачи Tcpdump
На первый взгляд, выдача кажется запутанной, но если разбить ее на составляющие, то смысл начинает проясняться. Первое число является временной меткой с точностью до долей секунды, так как в активно используемой сети каждую секунду проходит множество пакетов. Следующее число - это IP-адрес отправителя пакета, за которым следует > (знак больше), а затем целевой адрес. Наконец, могут присутствовать некоторые комментарии и другие данные. В примере можно видеть несколько различных видов трафика, включая трафик DNS (domain), ARP и SNMP.
По умолчанию Tcpdump выполняется, пока не будет остановлен нажатием Ctrl+C или другим сигналом прерывания. Когда Tcpdump останавливается, он выдает сводные данные о просмотренном трафике, включая:
пакеты, полученные фильтром. Это количество пакетов, обработанных фильтром Tcpdump, а не общее число пакетов TCP в сети, если только вы не выполняете Tcpdump без критериев фильтрации;
пакеты, отброшенные ядром. Число пакетов, которые были отброшены в связи с отсутствием ресурсов в системе. Эта возможность поддерживается не всеми системами. Даже когда она поддерживается, число может быть неточным, если сеть очень загружена или машина анализатора очень медленная.
Заголовки пакетов TCP/IP
В этом разделе описывается содержимое заголовков пакетов TCP/IP, чтобы вы могли разобраться в выводе Tcpdump. Структура пакетов TCP/IP определена в документе RFC 793 для TCP-части и в RFC 791 для IP-части. Полный текст этих спецификаций можно найти по адресу http://www.rfc-editor.org. Рис. 1 является графическим представлением заголовков TCP и IP. Заголовки обоих типов имеют длину не менее 20 байт и обычно представляются 32-битными секциями (4 байта) с адресами, опциями и другими настройками сеансов.
Учебные вопросы:
Особенности применения сетевых анализаторов
Примеры конфигураций анализаторов
Приложения сетевых анализаторов
Проведение анализа, подготовка отчетной документации.
Разработка предложений рекомендации по применению сетевых анализаторов на своём компьютере.
Литература:
1. Чекмарёв А.Н., Вишневский А.В., Кокорева О.И. Microsoft Windows Server 2003 / Под общ. Ред. А.Н.Чекмарёва. – СПб.: БХВ-Петенбург, 2005. – 1184 с.:ил.
2. Сборник руководящих документов Гостехкомиссии РФ. – М.: ГТК, 1996.
3. Международный стандарт ISO 17799.