Обнаружение сетевых атак и защита от них.

Обнаружение атак и защита от них

o Для обнаружения атак можно анализировать широковещатель-ную активность - это пакеты UDP, NBF, SAP.
o Для защиты внут-ренней сети, подключенной к Internet'у, не стоит пропускать из внешней сети входящие пакеты, источником в которых стоит внутренний сетевой адрес. Можно разрешить проходить пакетам только на порт 80.
o Ставьте фильтрацию пакетов, если необхо-димо (не стоит пренебрегать даже Control PanelNetworkProtocolsPropertiesAdvanced в Windows NT).

Методы сканирования

Использование протокола ARP

Данный тип запросов может быть использован злоумышленника-ми для определения функционирующих систем в сегментах ло-кальной сети.

Сканирование сети посредством DNS

Известно, что прежде чем начинать атаку, злоумышленники осу-ществляют выявление целей, т.е. выявление компьютеров, кото-рые будут жертвами атаки, а также компьютеров, которые осуще-ствляют информационный обмен с жертвами. Одним из способов выявления целей заключается в опросе сервера имён и получе-ние от него всей имеющейся информации о домене. Противо-действие: для определения такого сканирования необходимо анализировать DNS-запросы (адрес в имя) приходящие, быть может, от разных DNS серверов, но за определенный, фиксиро-ванный промежуток времени. При этом необходимо просматри-вать, что за информация в них передаётся и отслеживать пере-бор адресов.

Сканирование сети методом ping sweep

Ping sweep или выявление целей с помощью протокола ICMP яв-ляется эффективным методом. Противодействие: для определения факта ping-сканирования целей, находящихся внутри подсети, необходимо анализировать исходные и конечные адреса ICMP пакетов.

Сканирование TCP портов

Сканирование портов представляет собой известный метод рас-познавания конфигурации компьютера и доступных сервисов. Существует несколько методов TCP сканирования, часть из них называется скрытными (stealth), поскольку они используют уяз-вимости реализаций стека TCP/IP в большинстве современных ОС и не обнаруживаются стандартными средствами. Противо-действие: противодействие можно осуществлять, например, передавая TCP пакеты с установленным флагом RST от имени сканируемого компьютера на компьютер злоумышленника.

Сканирование UDP портов

Другой вид сканирования портов основывается на использовании протокола UDP и заключается в следующем: на сканируемый компьютер передаётся UDP пакет, адресованный к порту, кото-рый проверяется на предмет доступности. Если порт недоступен то в ответ приходит ICMP сообщение о недоступности (destination port unreachable), в противном случае ответа нет. Данный вид сканирования достаточно эффективен. Он позволяет за короткое время сканировать все порты на компьютере-жертве. Противо-действие: противодействовать сканированию данного рода воз-можно путём передачи сообщений о недоступности порта на ком-пьютер злоумышленника.

Stealth-сканирование

Метод основан на некорректном сетевом коде, поэтому нельзя поручиться что он будет нормально работать в какой-либо кон-кретной обстановке. Используются TCP-пакеты с установленны-ми ACK- и FIN-флагами. Их надо использовать, т.к. если такой пакет послать в порт при неоткрытом соединении, всегда возвра-титься пакет с флагом RST. Существует несколько методов, ис-пользующих этот принцип: o Послать FIN-пакет. Если принимаю-щий хост возвращает RST, значит порт неактивен, если RST не возвращается, значит порт активен. Данный метод работает в большинстве операционных систем. o Послать ACK-пакет. Если TTL возвращаемых пакетов меньше, чем в остальных полученных RST-пакетах, или если размер окна больше нуля, то скорее всего порт активен.

Пассивное сканирование

Сканирование часто применяется злоумышленниками для того, чтобы выяснить, на каких TCP-портах работают демоны, отве-чающие на запросы из сети. Обычная программа-сканер после-довательно открывает соединения с различными портами. В слу-чае, когда соединение устанавливается, программа сбрасывает его, сообщая номер порта злоумышленнику. Данный способ легко детектируются по сообщениям демонов, удивленных мгновенно прерваным после установки соединением, или с помощью ис-пользования специальных программ. Лучшие из таких программ обладают некоторыми попытками внести элементы искусственно-го элемента в отслеживание попыток соединения с различными портами. Однако злоумышленник может воспользоваться другим методом - пассивным сканированием (английский термин "passive scan"). При его использовании злоумышленник посылает TCP/IP SYN-пакет на все порты подряд (или по какому-то заданному ал-горитму). Для TCP-портов, принимающих соединения извне, бу-дет возвращен SYN/ACK-пакет, как приглашение продолжить 3-way handshake. Остальные вернут RST-пакеты. Проанализировав данные ответ, злоумышленник может быстро понять, на каких портах работают программа. В ответ на SYN/ACK-пакеты он мо-жет также ответить RST-пакетами, показывая, что процесс уста-новки соединения продолжен не будет (в общем случае RST-пакетами автоматический ответит TCP/IP-реализация злоумыш-ленника, если он не предпримет специальных мер). Метод не де-тектируется предыдущими способами, поскольку реальное TCP/IP-соединение не устанавливается. Однако (в зависимости от поведения злоумышленника) можно отслеживать резко воз-росшее количество сессий, находящихся в состоянии SYN_RECEIVED. (при условии, что злоумышленник не посылает в ответ RST) прием от клиента RST-пакета в ответ на SYN/ACK. К сожалению, при достаточно умном поведении злоумышленника (например, сканирование с низкой скоростью или проверка лишь конкретных портов) детектировать пассивное сканирование не-возможно, поскольку оно ничем не отличается от обычных попы-ток установить соединение. В качестве защиты можно лишь по-советовать закрыть на firewall все сервисы, доступ к которым не требуется извне.

Приглашение системы и опасность содержащейся в нем ин-формации

Необходимо убирать "приглашения системы", отображаемые центральными компьютерами на терминалах удаленного доступа для входа пользователя в систему. Данное требование обуслов-лено следующими причинами:
o "приглашение системы", как пра-вило, содержит информацию, позволяющую нарушителю иден-тифицировать тип и версию операционной системы центрального компьютера, вид программного обеспечения удаленного доступа и др. Такая информация может существенно упростить задачу проникновения в систему, поскольку нарушитель сможет приме-нить средства незаконного доступа, использующие слабости кон-кретной системы;
o "приглашение системы" обычно указывает на ведомственную принадлежность системы. В случае, когда систе-ма принадлежит секретному ведомству или финансовой структу-ре, заинтересованность нарушителя может значительно возрас-ти;
o состоявшееся недавно судебное разбирательство отклони-ло иск компании к лицу, незаконно проникшему в сеть компании, поскольку он мотивировал свои действия надписью на терминале удаленного доступа к центральному компьютеру "Welcome to..." ("Добро пожаловать в ...").

Несколько советов при исследования сети

o Просканировать сервер на предмет открытых портов и серви-сов.
o Попробовать зайти на сервер под именем IUSR_<имя ма-шины с шарами>
o Попытаться спереть SAM._ из /REPAIR (паро-ли из SAM достаются командой expand).
o Директории /scripts и /cgi-bin, как известно наверное многим, в НТ можно запускать лю-бые файлы из этих директорий, поэтому следует закрывать к этим директориям доступ. Запуск осуществляется примерно та-кой командой (если исполняемый файл в /scripts) из бровзера - http://www.idahonews/scripts/getadmin.exe?test. Можно получить админовские права следующим образом - проги-то из /scripts за-пускаются не под юзернеймом пользователя, а с того самого web-аккаунта, из чего можно сделать вывод, что пароли админа мож-но элементарно сдампить из реестра с помощью PWDUMP.exe.
o Следует помнить, что программы из /SCRIPTS запускаются под Web-аккаунтом, а не под аккаунтом запустившего пользователя. Поэтому можно попытаться сдампить пароли из реестра с помо-щью PWDUMP.EXE. Пароли будут закодированные. В этом слу-чае следует сохранить страницу в виде текстового файла и попы-таться раскодировать пароли с помощью программы BRUTEFORCE.
o Под администраторским аккаунтом можно по-менять алиасы на ftp и http.

Некоторые другие способы получения информации

o Используя whois или NSLookUp для выяснения альтернативных имен выяснить, кому принадлежит сеть. Запомнить диапазон ip-адресов для последующего их сканирования.
o Пойти на бли-жайший роутер и что-либо выяснить. Для нахождения роутера нужно протрассировать путь до любого ip-адреса из обнаружен-ного диапазона. Ближайший роутер определяется по времени отклика.
o Попробуйте зайти на роутер telnet'ом. o Запустить ска-нер диапазона ip-адресов для обнаружения запущенных на PC служб.