Третья фаза — идентификация сетевых сервисов
Классическим методом идентификации сетевых сервисов («fingerprinting») стал сбор так называемых «баннеров». Баннером называется стандартное приглашение сервиса (FTPd, HTTPd, SMTPd, TELNETD, IDENTD). Из информации, заключенной в баннере, нередко можно получить данные о версии сервиса и используемой операционной системе.
Например, для HTTPd (web-сервер):
Stelnet www.lenta.ru 80
Trying 81.19.69.28...
Connected to www.lenta.ru.
Escape character is '1^]'.
GET/HTTP/1.0
HTTP/1.1 200 OK
Date: Fri, 03 Jan 2003 10:47:23 GMT
Server: Apache/1.3.26 (Unix) rus/PL30.15
Last-Modified: Fri, 03 Jan 2003 10:45:08 GMT
ETag:«34cc08-13274-3el569b4-koi8-r»
Accept-Ranges: bytes
Content-Length: 78452
Connection: close
Content-Type: text/html; charset=koi8-r...
По информации в строке «Server: ...» можно сделать вывод о типе и версии web-сервера и используемой операционной системе.
По возможности изменяйте баннеры, убирая информацию о типе и версии сервисов. Или, что более интересно, подмените стандартный баннер сервиса на другой. Например, в баннере Microsoft IIS укажите, что это Apache.
ОБЩИЕ ЗАМЕЧАНИЯ
Изучите свою систему. Даже без троянских коней операционные системы часто открыты для доступа. Например, для семейства Windows начальные настройки служб Remote Procedure Call (RFC), NetBIOS и Messenger service дружелюбны для взломщика.
Регулярно проводите мониторинг и ведите лог-запись сетевой активности приложений на своем компьютере. Отключите неиспользуемые сервисы. Установите ограничения на доступ к остальным сервисам.
В стандартные приглашения сервисов внесите предупреждение об уголовном наказании за попытку несанкционированного доступа. Был судебный прецедент, когда компьютерного взломщика оправдали. Доводом защиты послужило то, что баннеры сетевых сервисов взломанных серверов содержали строку «Welcome» («Добро пожаловать» — англ.).
Регулярно проверяйте информацию о наличии ошибок и уязвимостей в используемом программном обеспечении. Информацию надо искать не только на сайте производителя. После обнаружения уязвимости и до ее исправления лучше отключить или ограничить доступ к сервису. После выхода заплатки для уязвимости не следует медлить с ее установкой.
Аудит защиты
Перенесем исследование вопроса надежности сетевой защиты в более практический аспект — рассмотрим программный инструментарий и способы сетевого исследования.
Хотел бы заметить, что применять знания лучше для исследования безопасности своей системы. Хотя сетевое сканирование ресурсов не является преступлением, взлом системы уже уголовно наказуем.
Анализ трафика
Для исследования сетевой активности будем использовать снифер (от англ, «sniffer» — нюхач. Программа, предназначенная для анализа сетевого трафика.) tcpdump. Разработанный для Unix-систем, tcpdump перенесен на Windows-платформу (windump). Для своей работы сниферу необходим драйвер обработки сетевых пакетов рсар (Packet Capture library).
Дистрибутивы и документация размещены по следующим адресам:
· для Unix-систем: www.tcpdump.org
· для Windows-систем: http://win-dump.polito.it
В условии фильтрации можно указать: адрес получателя/отправителя (host), сеть (net или net/mask), порт (port), направление (src или dst), протокол (et-her/fddi/ip/arp/rarp/decnet/lat/sca/moprc/mopdl/tcp/udp), размер пакета (less или greater).
Для составления сложного фильтра из нескольких простых можно использовать логические условия: или (or), и (and), отрицание (not). Например, условие — показать все пакеты, отправленные хостом 192.168.1.10, где порт получателя 110, будет выглядеть так:
src host 192.168.1.10 and dst port 110
Подробная информация о параметрах фильтрации доступна в виде man-документации, поставляемой с системой или в виде html-документов, доступных на сайте www.tcpdump.org.
Наиболее распространенные бреши в защите — это передача важных данных в открытом виде (например, telnet, ftp и pop-протоколы) и некорректная маршрутизация. Первая проблема обычно связана с обыкновенной человеческой ленью и недостатком знаний. Совсем несложно использовать ssl для web-сервисов, ssh вместо telnet, sftp вместо ftp и т. д. Вторая проблема может быть вызвана не только ошибкой сетевого администратора, но и некорректной работой программного обеспечения. Лучший совет: не доверять авторитету и заявлениям разработчиков, а проверять корректность работы самому.
СКАНИРОВАНИЕ ПОРТОВ
Web-ресурсы
Провести сканирование портов своей системы можно, используя web-сервисы, например, на серверах www.cotse.com или www.void.ru. Некоторые компании — разработчики программных брандмауэров предоставляют на своих сайтах всем желающим web-сервисы для аудита надежности своих разработок (Norton PF, Sygate PF).
Необходимо заметить, что если между вашим компьютером и сканирующей системой находится сетевой шлюз, то сканироваться будет именно шлюз, а не ваша система. К тому же необходимо учитывать, что если вы подсоединены к Интернету по каналу с небольшой пропускной способностью, например с помощью модемного соединения, то сканирование может привести к нарушению работы канала и прерыванию в обслуживании.
Разнообразных сетевых сканеров существует довольно много: Internet Security Scanner, Network Superscanner, Satan, Strobe, Portscanner, XSpider и многие другие. Они отличаются методами сканирования, точностью, наборами функций, пользовательским интерфейсом, условиями распространения и многим другим. Примеры поиска уязвимостей и сканирования портов в данной статье будут приведены на основе сканеров Nessus и nmap. Причины тому — надежность, открытый код и условие свободного распространения.