Анализатор сетевых пакетов. Лучшие инструменты пен-тестера: сниферы и работа с пакетами. Автоматическая проверка сетевых адаптеров

Анализатор сетей Ethernet METROSCOPE™

Компания Fluke Networks , представляет обновлённый анализатор сетей Ethernet - MetroScope .

Анализатор MetroScope предназначен для тестирования и документирования качества доступа и предоставляемых сервисов по каналам Ethernet.

Прибор используется как для квалификации новых подключений, так и для решения проблем с существующими. Тесты, использующиеся для решения данных задач: определение числа ошибочных битов ошибок BERT,тесты по рекомендации RFC 2544 и новая оригинальная методика тестирования ProVision™ . Совокупность этих тестов и методик позволяют измерять производительность Ethernet каналов провайдеров и корпоративных клиентов, проводить аудит и мониторинг за работой сети, а также контролировать доступность ключевых сервисов – сервера (HTTP, DNS, Mail и т.д.), VoIP, IPTV.

Все результаты тестов могут быть сохранены и распечатаны с логотипом компании, для использования как во внутреннем документообороте компании, так и как приложение к актам сдачи в эксплуатацию новых каналов связи.


Функциональные особеннности:

  • Набор тестов ProVision™ - улучшенное тестирование каналов Carrier Ethernet
  • Тесты в соответствии с RFC2544
  • Интегрированный VoIP SIP телефон с функцией измерения MOS
  • Базовое тестирование каналов для поддержки IPTV
  • Многопоточное тестирование с разным приоритетом, для разных виртуальных каналов и в разных направлениях.
  • Измерение джиттера с точностью до 40наносекунд
  • Тестер частоты ошибок по битам (BERT тесты)
  • Декодирование и отображение стекированных VLAN (QinQ) – двойное тегирование
  • Возможность фильтрации по номеру VLAN
  • Средства для измерения времени отклика серверов (HTTP, DNS, Mail и т.д.)
  • Генерация пакетов с ошибками CRC для оценки реакции активного оборудования
  • Поддержка устройств стандарта 802.3ah
  • Тестирование беспроводных сетей 802.11a/b/g
  • Измерение джиттера с точностью до микросекунд
  • Результат тестирования Прошел/Не прошел для всех тестов
  • Возможности создания отчетов о тестировании и создания сценариев тестов с настраиваемыми пользователями пределами тестов
  • Возможность выбора длины кадра любого размера (до 2048байт)
  • Отчеты содержат комментарии пользователя, логотип компании, настройки прибора, трассировку маршрута
  • Работа в режиме удаленное устройство/отражение/петля:
  • Второй MetroScope
  • Дистанционный тестер LinkReflector
  • Петля на базе порта активного оборудования
  • Зонд Visual UpTime Select от компании Fluke Networks
  • Устройство, поддерживающее стандарт 802.3ah
  • Встроенные средства управления сетевыми устройствами (telnet, эмуляцию терминала, FTP и интернет-браузер)
  • Тестирование как проводных (медь и оптика), так и беспроводных сетей стандарта 802.11


Сравнение методов тестирования: RFC 2544 VS ProVision

ProVision тест, разработанный для проверки каналов MetroEthernet в реальных, а не лабораторных условиях имеет ряд преимуществ, по сравнению с используемыми сегодня тестами по методике RFC 2544.

  1. Тесты RFC 2544 выполняются последовательно, т.е. один за другим, при использовании ProVision они выполняются одновременно. Это не только экономит время, но и позволяет не допустить ошибку, которая связана с задержкой в канале во время измерения пропускной способности.
  2. ProVision может быть настроен для проверки асимметричных каналов, используемых в xDSL.
  3. ProVision может тестировать несколько каналов с несколькими потоками одновременно (опция Multistream).
  4. Результаты тестов RFC 2544 обычно отображаются по отдельности, а с помощью тестов ProVision результаты отображаются на одном экране.
  5. Кроме обычного анализа минимумов, максимумов и средних значений полученных данных, с помощью ProVision мы можем строить тренды и анализировать их в реальном времени.

RFC 2 544

ProVision™

Пропускная способность (без потерь)

Пропускная способность (с потерями)

Пропускная способность асимметричных каналов

Задержка

Задержка

Вариация задержки

Да (обычно доступен)

Одновременная настройка всех тестов

Несколько потоков

Отображение результатов разных параметров

Отображение результатов по нескольким потокам

Одновременные измерения

Результаты в реальном времени

Трендинг

Тестирование каналов для поддержки IPTV

MetroScope имеет возможность генерации multicast трафика с помощью встроенного генератора трафика. Новое приложение «multicast application» позволяет подключиться к группе устройств и контролировать время отклика.


Мониторинг и анализ качества VoIP

В новой версии MetroScope доступна функция тестирования VoIP (опция), позволяющая:

  • выполнять вызовы с прибора на любой другой IP телефон
  • воспроизводить предварительно подготовленный файл в формате WAV
  • генерировать трафик и выполнять звонки с возможностью отображения графика с точностью до 1 секунды , который отображает качество речи (MOS, R-Factor, количество потерянных пакетов, вариацию задержки), продолжительность разговора и количество переданных кадров.

Автоматическое тестирование и инвентаризация сети.

При подключении к локальной сети MetroScope запускает процедуру автоматического обнаружения (до 1000 устройств). На экран прибора выводится информация о диапазоне IP-адресов, масках подсетей, контроллерах доменов и т.д. Все найденные устройства сети группируются в таблице по принадлежности к сетям IP, VLAN, IPX или NetBIOS. Функция поиска позволяет находить устройства по IP-адресу, имени или MAC-адресу.


Измерение времени отклика сервера

Данная функция позволяет измерить время отклика TCP-портов таких приложений, Mail, DNS, FTP или WWW. Тестирование портов приложений осуществляется в режиме клиента, что позволяет избавиться от препятствий для команды PING, таких как сетевые экраны и низкий приоритет протокола ICMP. Ответы портов приложений можно анализировать с помощью встроенной функции Trace Route, которая позволяет определить точное место снижения производительности на протяжении всего маршрута.


Мониторинг сетей VLAN

В анализаторе MetroScope реализовано множество функций, предназначенных для ускорения поисков неполадок в работе сетей. К ним относятся функции обнаружения и мониторинга VLAN, позволяющие отслеживать их загрузку, а также находить ошибки в конфигурации коммутаторов и других сетевых устройств.



Анализ работы беспроводных сетей Wi - Fi (802.11 a / b / g )

В обновлённом анализаторе MetroScope теперь доступна опция тестирования сетей Wi-Fi, с её помощью приборполучает информацию об уровне сигнала, соотношении сигнал/шум, степень загруженности канала и настройках безопасности всех найденных беспроводных устройств.
Прибор определяет количество, местоположение и настройки всех точек доступа и клиентов беспроводной сети.


Тестирование физического уровня ЛВС

Кроме того, анализатор MetroScope позволяет тестировать оптоволоконные и медные кабельные линии на физическом уровне.
При тестировании оптоволоконных линий контролируется входная и выходная мощность оптического сигнала, а также температура, ток смещения лазера и напряжение питания трансивера.
Что касается диагностики медных UTP кабелей, то приборопределяет место повреждения в кабеле (с помощью встроенного рефлектометра), составляет схему его разводки и генерирует тональный сигнал, используемый для трассировки кабеля (с помощью индуктивного щупа IntelliTone Pro или PRO3000)

В набор MTSCOPE-KIT дополнительно входит недорогой сетевой тестер LinkRunner DUO CE , позволяющий осуществлять end-to-end тестирование сетевых трактов на физическом, канальном и сетевом уровнях без использования второго прибора MetroScope.
Для тестирования нескольких сетевых соединений один анализатор MetroScope может взаимодействовать с неограниченным числом устройств LinkRunner DUO CE , которые не только «отражают» трафик, но и сами по себе являются мощными диагностическими приборами.

Сравнение моделей анализатора MetroScope


* Включая Device Discovery, Network Discovery, VLAN Discovery, Nearest Switch, Switch Scan, Key Devices, Problem Detection

** Тестирование может выполняться в режиме петли на физическом уровне или в качестве ответного устройства могут выступать LinkReflector, второй анализатор MetroScope, либо устройство, поддерживающее стандарт 802.3ah


Артикул Код по Каталогу Наименование
MTSCOPE-KIT MTSCOPE-KIT Комплект MetroScope SPA
MTSCOPE MTSCOPE Сетевой анализатор MetroScope SPA
LRPRO-REFLECT LRPRO-REFLECT Дистанционный тестер LinkReflector
LRPRO-LION LRPRO-LION Комплект литий-ионных аккумуляторов для LinkReflec
ES2-SX ES2-SX 1000BASE-SX гигабитный волоконно-оптический транси
ES2-ZX ES2-ZX 1000BASE-ZX гигабитный волоконно-оптический транси
ES2-LX ES2-LX 1000BASE-LX гигабитный волоконно-оптический транси
MS-SX MS-SX MS-SX, волоконно-оптический трансивер SFP, DDM, GI
ES-BATTERY ES-BATTERY Запасная батарея
ES-BATT-CHG ES-BATT-CHG Внешнее зарядное устройство для батареи
MS-AUTO-CHG MS-AUTO-CHG Зарядное устройство с питанием от прикуривателя
OPVS-KB Мини-клавиатура USB
944806 944806 Нуль-модемный кабель (DB9)
DTX-ACUN DTX-ACUN Блок питания, универсальный

Общие сведения

Инструментальные средства, называемые сетевыми анализаторами, получили свое имя в честь Sniffer Network Analyzer. Этот продукт был выпущен в 1988 году компанией Network General (теперь -- Network Associates) и стал одним из первых устройств, позволяющих менеджерам буквально не выходя из-за стола узнать о том, что происходит в крупной сети. Первые анализаторы считывали заголовки сообщений в пакетах данных, пересылаемых по сети, предоставляя, таким образом, администраторам информацию об адресах отправителей и получателей, размере файлов и другие сведения низкого уровня. Причем все это -- в дополнение к проверке корректности передачи пакетов. С помощью графов и текстовых описаний анализаторы помогали сетевым администраторам провести диагностику серверов, сетевых каналов, концентраторов и коммутаторов, а также приложений. Грубо говоря, сетевой анализатор прослушивает или "обнюхивает" ("sniffs") пакеты определенного физического сегмента сети. Это позволяет анализировать трафик на наличие некоторых шаблонов, исправлять определенные проблемы и выявлять подозрительную активность. Сетевая система обнаружения вторжений является ничем иным, как развитым анализатором, который сопоставляет каждый пакет в сети с базой данных известных образцов вредоносного трафика, аналогично тому, как антивирусная программа поступает с файлами в компьютере. В отличие от средств, описанных ранее, анализаторы действуют на более низком уровне.

Если обратиться к эталонной модели ВОС, то анализаторы проверяют два нижних уровня - физический и канальный.

Номер уровня модели ВОС

Название уровня

Примеры протоколов

Уровень 7

Прикладной уровень

DNS, FTP, HTTP, SMTP, SNMP, Telnet

Уровень 6

Уровень представления

Уровень 5

Уровень сеанса

Уровень 4

Транспортный уровень

NetBIOS, TCP, UDP

Уровень 3

Сетевой уровень

ARP, IP, IPX, OSPF

Уровень 2

Канальный уровень

Arcnet, Ethernet, Token ring

Уровень 1

Физический уровень

Коаксиальный кабель, оптоволокно, витая пара

Физический уровень - это реальная физическая проводка или иная среда, примененная для создания сети. На канальном уровне происходит первоначальное кодирование данных для передачи через конкретную среду. Сетевые стандарты канального уровня включают беспроводной 802.11, Arcnet, коаксиальный кабель, Ethernet, Token Ring и многое другое. Анализаторы обычно зависят от типа сети, в которой они работают. Например, для анализа трафика в сети Ethernet вы должны иметь анализатор Ethernet.

Существуют анализаторы коммерческого класса, от таких производителей, как Fluke, Network General и других. Обычно это специальные аппаратные устройства, которые могут стоить десятки тысяч долларов. Хотя эти аппаратные средства способны осуществлять более глубокий анализ, можно создать недорогой сетевой анализатор с помощью программного обеспечения с открытыми исходными текстами и недорогого ПК на Intel-платформе.

Виды анализаторов

Сейчас выпускается множество анализаторов, которые подразделяются на два вида. К первому относятся автономные продукты, устанавливаемые на мобильном компьютере. Консультант может брать его с собой при посещении офиса клиента и подключать к сети, чтобы собрать данные диагностики.

Первоначально портативные устройства, предназначенные для тестирования работы сетей, были рассчитаны исключительно на проверку технических параметров кабеля. Однако со временем производители наделили свое оборудование рядом функций анализаторов протоколов. Современные сетевые анализаторы способны обнаруживать широчайший спектр возможных неполадок -- от физического повреждения кабеля до перегрузки сетевых ресурсов.

Второй вид анализаторов является частью более широкой категории аппаратного и программного обеспечения, предназначенного для мониторинга сети и позволяющего организациям контролировать свои локальные и глобальные сетевые службы, в том числе Web. Эти программы дают администраторам целостное представление о состоянии сети. Например, с помощью таких продуктов можно определить, какие из приложений выполняются в данный момент, какие пользователи зарегистрировались в сети и кто из них генерирует основной объем трафика.

Помимо выявления низкоуровневых характеристик сети, например источник пакетов и пункт их назначения, современные анализаторы декодируют полученные сведения на всех семи уровнях сетевого стека Open System Interconnection (OSI) и зачастую выдают рекомендации по устранению проблем. Если же анализ на уровне приложения не позволяет дать адекватную рекомендацию, анализаторы производят исследование на более низком, сетевом уровне.

Современные анализаторы обычно поддерживают стандарты удаленного мониторинга (Rmon и Rmon 2), которые обеспечивают автоматическое получение основных данных о производительности, таких как информация о нагрузке на доступные ресурсы. Анализаторы, поддерживающие Rmon, могут регулярно проверять состояние сетевых компонентов и сравнивать полученные данные с накопленными ранее. Если необходимо, они выдадут предупреждение о том, что уровень трафика или производительность превосходит ограничения, установленные сетевыми администраторами.

Компания NetScout Systems представила систему nGenius Application Service Level Manager, предназначенную для контроля времени реакции на отдельных участках канала доступа к Web-сайту и определения текущей производительности серверов. Это приложение может анализировать производительность в общедоступной сети, с тем, чтобы воссоздавать общую картину на компьютере пользователя. Датская фирма NetTest (бывшая GN Nettest) начала предлагать Fastnet -- систему сетевого мониторинга, которая помогает компаниям, занимающимся электронным бизнесом, планировать емкость каналов, искать и устранять неисправности в сети.

Анализ конвергентных (мультисервисных) сетей

Распространение мультисервисных сетей (converged networks) может оказать решающее влияние на развитие телекоммуникационных систем и систем передач данных в будущем. Идея объединить в единой сетевой инфраструктуре, основанной на пакетном протоколе, возможность передачи и данных, и голосовых потоков, и видеоинформации - оказалась весьма заманчивой для провайдеров, специализирующихся на предоставлении телекоммуникационных сервисов, ведь она в одно мгновенье способна существенно расширить спектр предоставляемых ими услуг.

По мере того как корпорации начинают осознавать эффективность и ценовые преимущества конвергентных сетей на базе протокола IP, производители сетевых инструментальных средств активно разрабатывают соответствующие анализаторы. В первой половине года многие фирмы представили компоненты для своих продуктов сетевого администрирования, рассчитанные на передачу голоса по IP-сетям.

«Конвергенция породила новые сложности, с которыми приходится иметь дело сетевым администраторам, -- заметил Гленн Гроссман, директор по управлению продуктами компании NetScout Systems. -- Голосовой трафик очень чувствителен к временным задержкам. Анализаторы могут просматривать каждый бит и байт, передаваемый по проводам, интерпретировать заголовки и автоматически определять приоритет данных».

Использование технологий конвергенции голоса и данных может пробудить новую волну интереса к анализаторам, поскольку поддержка приоритетности трафика на уровне IP-пакетов становится существенной для функционирования голосовых и видеослужб. Например, фирма Sniffer Technologies выпустила Sniffer Voice -- инструментарий, предназначенный для администраторов мультисервисных сетей. Этот продукт не только предоставляет традиционные службы диагностики для управления трафиком электронной почты, Internet и баз данных, но и выявляет сетевые проблемы, а также дает рекомендации по их устранению, дабы обеспечить корректную передачу голосового трафика по IP-сетям.

Обратная сторона использования анализаторов

Следует помнить, что с анализаторами связаны две стороны медали. Они помогают поддерживать сеть в рабочем состоянии, но их могут применять и хакеры для поиска в пакетах данных имен пользователей и паролей. Для предотвращения перехвата паролей посредством анализаторов служит шифрование заголовков пакетов (например, с помощью стандарта Secure Sockets Layer).

В конце концов, пока не существует альтернативы сетевому анализатору в тех ситуациях, когда необходимо понять, что же происходит в глобальной или корпоративной сети. Хороший анализатор позволяет разобраться в состоянии сетевого сегмента и определить объем трафика, а также установить, как этот объем варьируется в течение дня, какие пользователи создают самую большую нагрузку, в каких ситуациях возникают проблемы с распространением трафика или возникает нехватка полосы пропускания. Благодаря применению анализатора можно получить и проанализировать все фрагменты данных в сетевом сегменте за данный период.

Однако сетевые анализаторы стоят дорого. Если вы планируете приобрести его, то прежде четко сформулируйте, чего вы от него ожидаете.

Особенности применения сетевых анализаторов

Чтобы применять сетевые анализаторы этично и продуктивно, необходимо выполнять следующие рекомендации.

Всегда необходимо разрешение

Анализ сети, как и многие другие функции безопасности, имеет потенциал для ненадлежащего использования. Перехватывая все данные, передаваемые по сети, можно подсмотреть пароли для различных систем, содержимое почтовых сообщений и другие критичные данные, как внутренние, так и внешние, так как большинство систем не шифрует свой трафик в локальной сети. Если подобные данные попадут в нехорошие руки, это, очевидно, может привести к серьезным нарушениям безопасности. Кроме того, это может стать нарушением приватности служащих. Прежде всего, следует получить письменное разрешение руководства, желательно высшего, прежде чем начинать подобную деятельность. Следует также предусмотреть, что делать с данными после их получения. Помимо паролей, это могут быть другие критичные данные. Как правило, протоколы сетевого анализа должны вычищаться из системы, если только они не нужны для уголовного или гражданского преследования. Существуют документированные прецеденты, когда благонамеренных системных администраторов увольняли за несанкционированный перехват данных.

Нужно понимать топологию сети

Прежде чем настраивать анализатор, необходимо полностью разобраться в физической и логической организацию данной сети. Проводя анализ в неправильном месте сети, можно получит ь ошибочные результаты или просто не найти то, что нужно. Необходимо проверить отсутствие маршрутизаторов между анализирующей рабочей станцией и местом наблюдения. Маршрутизаторы будут направлять трафик в сегмент сети, только если происходит обращение к расположенному там узлу. Аналогично, в коммутируемой сети, понадобится сконфигурировать порт, с которым установлено подключение, как порт "монитора" или "зеркала". Разные производители используют различную терминологию, но, по сути, необходимо, чтобы порт действовал как концентратор, а не как коммутатор, так как он должен видеть весь трафик, идущий через коммутатор, а не только тот, что направлен на рабочую станцию. Без такой настройки порт монитора будет видеть только то, что направлено в порт, с которым установлено подключение, и сетевой широковещательный трафик.

Необходимо использовать жесткие критерии поиска

В зависимости от того, что требуется найти, использование открытого фильтра (то есть показ всего) сделает вывод данных объемным и трудным для анализа. Лучше использовать специальные критерии поиска, чтобы сократить вывод, который выдает анализатор. Даже если не известно точно, что нужно искать, можно, тем не менее, написать фильтр для ограничения результатов поиска. Если требуется найти внутреннюю машину, правильно будет задать критерии для просмотра только исходных адресов внутри данной сети. Если необходимо отследить определенный тип трафика, скажем, трафик FTP, то можно ограничить результаты только тем, что приходит в порт, используемый приложением. Поступая таким образом, можно добиться значительно лучших результатов анализа.

Установка эталонного состояния сети

Применив сетевой анализатор во время нормальной работы , и записав итоговые результаты, достигается эталонное состояние, которое можно сравнивать с результатами, полученными во время попыток выделения проблемы. Анализатор Ethereal, рассматриваемый ниже, создает для этого несколько удобных отчетов. Будут получены также некоторые данные для отслеживания использования сети в зависимости от времени. При помощи этих данных можно определить, когда сеть насыщается и каковы основные причины этого - перегруженный сервер, рост числа пользователей, изменение типа трафика и т.п. Если есть точка отсчета, проще понять, кто и в чем виноват.

Недавно, при обсуждении в одном чате вопроса: как из Wireshark вытащить файл , всплыла утилита NetworkMiner. Пообщавшись с коллегами и по гуглив в Интернете, я сделал вывод, что об этой утилите знает не так много народу. Так как утилита в разы упрощает жизнь исследователя/пентестера, то исправляю этот недостаток и расскажу сообществу о том, что же такое NetworkMiner.

NetworkMiner – утилита для перехвата и анализа сетевого траффика между хостами локальной сети, написанная под ОС Windows (но также работает в Linux, Mac OS X, FreeBSD).

NetworkMiner может быть использована в качестве пассивного сниффера сетевых пакетов, анализ которых позволит обнаружить фингерпринт операционных систем, сессий, хостов, а также открытые порты. NetworkMiner также позволяет анализировать PCAP файлы в автономном режиме и восстановить передаваемые файлы и сертификаты безопасности.

Официальная страница утилиты: http://www.netresec.com/?page=Networkminer

И так, приступим к рассмотрению.

Утилита доступна в двух редакциях: Free и Professional (стоимость 700 USD).

В редакции Free доступны следующие опции:

  • перехват траффика;
  • разбор PCAP файла;
  • прием PCAP файла по IP;
  • определение ОС.

В редакции Professional добавляются опции:

  • разбор PcapNG файла,
  • Определение протокола порта,
  • Экспорт данных в CSV / Excel,
  • Проверка DNS имен по сайту http://www.alexa.com/topsites ,
  • Локализация по IP,
  • Поддержка командной строки.

В данной статье рассмотрим опцию разбор PCAP файла, полученного от Wireshark.

Но для начала установим NetworkMiner в Kali Linux.

  1. По умолчанию, пакеты Mono уже стоят в KaliLinux, но если они не установлены, то выполняем следующее действие:

sudo apt-get install libmono-winforms2.0-cil

  1. Далее скачиваем и устанавливаем NetworkMiner

wget sf.net/projects/networkminer/files/latest -O /tmp/nm.zip
sudo unzip /tmp/nm.zip -d /opt/
cd /opt/NetworkMiner*
sudo chmod +x NetworkMiner.exe
sudo chmod -R go+w AsscodebledFiles/
sudo chmod -R go+w Captures/

  1. Чтобы запустить NetworkMiner используем следующую команду:

mono NetworkMiner.exe

Для информации. Пять минут перехвата траффика у себя в тестовой сети собрало более 30 000 различных пакетов.

Как понимаете, анализировать такой трафик достаточно трудоемко и по времени затратно. Wireshark обладает встроенными фильтрами и достаточно гибок, но что делать когда надо быстро проанализировать траффик, не изучая всего многообразия Wireshark?

Попробуем посмотреть какую информацию нам предоставит NetworkMiner.

  1. Открываем полученный PCAP в NetworkMiner. Понадобилось меньше минуты, чтобы проанализировать дамп траффика из более 30 000 пакетов.

  1. На вкладке Hosts приводится список всех хостов, участвующих в формирование траффика, с детальной информацией по каждому хосту:

  1. На вкладке Frames, трафик приводится в виде пакетов с информацией по каждому уровню модели OSI (Канальному, Сетевому и Транспортному).

  1. Следующая вкладка Credentials покажет перехваченные попытки авторизации в открытом виде. Вот так потратив меньше минуты можно из большого дампа трафика сразу получить логин и пароль на авторизацию. Я это делал на примере своего роутера.

  1. И еще одна вкладка, которая облегчает получение данных из трафика – это Files.

В нашем примере мне попался pdf файл, который можно сразу открыть и посмотреть.

Но больше всего я удивился, когда обнаружил в дампе трафика — txt файл, как оказалось от моего роутера DIR-620. Так вот этот роутер, при авторизации на нем, передает в текстовом виде все свои настройки и пароли, в том числе от WPA2.

В итоге, утилита оказалась довольно интересная и полезная.

Тебе, дорогой читатель, отдаю на прочтение данную статью, а я пошел покупать новый роутер.

Министерство образования и наук Российской Федерации

ГОУ «Санкт-Петербургский государственный политехнический университет»

Чебоксарский институт экономики и менеджмента (филиал)

Кафедра высшей математики и информационных технологий

РЕФЕРАТ

по курсу «Защита информации».

на тему: «Сетевые анализаторы»

Выполнил

студент 4 курса з/о 080502-51М

по специальности «Управление

на предприятии машиностроения»

Павлов К.В.

Проверил

Преподаватель

Чебоксары 2011


ВВЕДЕНИЕ

Сети Ethernet завоевали огромную популярность благодаря хорошей пропускной способности, простоте установки и приемлемой стоимости установки сетевого оборудования.
Однако технология Ethernet не лишена существенных недостатков. Основной из них состоит в незащищенности передаваемой информации. Компьютеры, подключенные к сети Ethernet, в состоянии перехватывать информацию, адресованную своим соседям. Причиной тому является принятый в сетях Ethernet так называемый широковещательный механизм обмена сообщениями.

Объединение компьютеров в сети ломает старые аксиомы защиты информации. Например, о статичности безопасности. В прошлом уязвимость системы могла быть обнаружена и устранена администратором системы путем установки соответствующего обновления, который мог только через несколько недель или месяцев проверить функционирование установленной "заплаты". Однако эта "заплата" могла быть удалена пользователем случайно или в процесс работы, или другим администратором при инсталляции новых компонент. Все меняется, и сейчас информационные технологии меняются настолько быстро, что статичные механизмы безопасности уже не обеспечивают полной защищенности системы.

До недавнего времени основным механизмом защиты корпоративных сетей были межсетевые экраны (firewall). Однако межсетевые экраны, предназначенные для защиты информационных ресурсов организации, часто сами оказываются уязвимыми. Это происходит потому, что системные администраторы создают так много упрощений в системе доступа, что в итоге каменная стена системы защиты становится дырявой, как решето. Защита с помощью межсетевых экранов (МСЭ) может оказаться нецелесообразной для корпоративных сетей с напряженным трафиком, поскольку использование многих МСЭ существенно влияет на производительность сети. В некоторых случаях лучше "оставить двери широко распахнутыми", а основной упор сделать на методы обнаружения вторжения в сеть и реагирования на них.

Для постоянного (24 часа в сутки 7 дней в неделю, 365 дней в год) мониторинга корпоративной сети на предмет обнаружения атак предназначены системы "активной" защиты - системы обнаружения атак. Данные системы выявляют атаки на узлы корпоративной сети и реагируют на них заданным администратором безопасности образом. Например, прерывают соединение с атакующим узлом, сообщают администратору или заносят информацию о нападении в регистрационные журналы.


1. СЕТЕВЫЕ АНАЛИЗАТОРЫ

1.1 IP - ALERT 1 ИЛИ ПЕРВЫЙ СЕТЕВОЙ МОНИТОР

Для начала следует сказать пару слов о локальном широковещании. В сети типа Ethernet подключенные к ней компьютеры, как правило, совместно используют один и тот же кабель, который служит средой для пересылки сообщений между ними.

Желающий передать какое-либо сообщение по общему каналу должен вначале удостовериться, что этот канал в данный момент времени свободен. Начав передачу, компьютер прослушивает несущую частоту сигнала, определяя, не произошло ли искажения сигнала в результате возникновения коллизий с другими компьютерами, которые ведут передачу своих данных одновременно с ним. При наличии коллизии передача прерывается и компьютер "замолкает" на некоторый интервал времени, чтобы попытаться повторить передачу несколько позднее. Если компьютер, подключенный к сети Ethernet, ничего не передает сам, он тем не менее продолжает "слушать" все сообщения, передаваемые по сети соседними компьютерами. Заметив в заголовке поступившей порции данных свой сетевой адрес, компьютер копирует эту порцию в свою локальную память.

Существуют два основных способа объединения компьютеров в сеть Ethernet. В первом случае компьютеры соединяются при помощи коаксиального кабеля. Этот кабель прокладывается от компьютера к компьютеру, соединяясь с сетевыми адаптерами Т-образным разъемом и замыкаясь по концам BNC-терминаторами. Такая топология на языке профессионалов называется сетью Ethernet 10Base2. Однако ее еще можно назвать сетью, в которой "все слышат всех". Любой компьютер, подключенный к сети, способен перехватывать данные, посылаемые по этой сети другим компьютером. Во втором случае каждый компьютер соединен кабелем типа "витая пара" с отдельным портом центрального коммутирующего устройства - концентратором или с коммутатором. В таких сетях, которые называются сетями Ethernet lOBaseT, компьютеры поделены на группы, именуемые доменами коллизий. Домены коллизий определяются портами концентратора или коммутатора, замкнутыми на общую шину. В результате коллизии возникают не между всеми компьютерами сети. а по отдельности - между теми из них, которые входят в один и тот же домен коллизий, что повышает пропускную способность сети в целом.

В последнее время в крупных сетях стали появляться коммутаторы нового типа, которые не используют широковещание и не замыкают группы портов между собой. Вместо этого все передаваемые по сети данные буферизуются в памяти и отправляются по мере возможности. Однако подобных сетей пока довольно мало - не более 5% от общего числа сетей типа Ethernet.

Таким образом, принятый в подавляющем большинстве Ethernet-сетей алгоритм передачи данных требует от каждого компьютера, подключенного к сети, непрерывного "прослушивания" всего без исключения сетевого трафика. Предложенные некоторыми людьми алгоритмы доступа, при использовании которых компьютеры отключались бы от сети на время передачи "чужих" сообщений, так и остались нереализованными из-за своей чрезмерной сложности, дороговизны внедрения и малой эффективности.

Что такое IPAlert-1 и откуда он взялся? Когда-то практические и теоретические изыскания авторов по направлению, связанному с исследованием безопасности сетей, навели на следующую мысль: в сети Internet, как и в других сетях (например, Novell NetWare, Windows NT), ощущалась серьезная нехватка программного средства защиты, осуществляющего комплексный контроль (мониторинг) на канальном уровне за всем потоком передаваемой по сети информации с целью обнаружения всех типов удаленных воздействий, описанных в литературе. Исследование рынка программного обеспечения сетевых средств защиты для Internet выявило тот факт, что подобных комплексных средств обнаружения удаленных воздействий не существовало, а те, что имелись, были предназначены для обнаружения воздействий одного конкретного типа (например, ICMP Redirect или ARP). Поэтому и была начата разработка средства контроля сегмента IP-сети, предназначенного для использования в сети Internet и получившее следующее название: сетевой монитор безопасности IP Alert-1.

Основная задача этого средства, программно анализирующего сетевой трафик в канале передачи, состоит не в отражении осуществляемых по каналу связи удаленных атак, а в их обнаружении, протоколировании (ведении файла аудита с протоколированием в удобной для последующего визуального анализа форме всех событий, связанных с удаленными атаками на данный сегмент сети) и незамедлительным сигнализировании администратору безопасности в случае обнаружения удаленной атаки. Основной задачей сетевого монитора безопасности IP Alert-1 является осуществление контроля за безопасностью соответствующего сегмента сети Internet.

Сетевой монитор безопасности IP Alert-1обладает следующими функциональными возможностями и позволяет путем сетевого анализа обнаружить следующие удаленные атаки на контролируемый им сегмент сети:

1. Контроль за соответствием IP- и Ethernet-адресов в пакетах, передаваемых хостами, находящимися внутри контролируемого сегмента сети.

На хосте IP Alert-1 администратор безопасности создает статическую ARP-таблицу, куда заносит сведения о соответствующих IP- и Ethernet- адресах хостов, находящихся внутри контролируемого сегмента сети.

Данная функция позволяет обнаружить несанкционированное изменение IP-адреса или его подмену (так называемый IP Spoofing, спуфинг, ип-спуфинг (жарг.)).

2. Контроль за корректным использованием механизма удаленного ARP-поиска. Эта функция позволяет, используя статическую ARP-таблицу, определить удаленную атаку "Ложный ARP-сервер".

3. Контроль за корректным использованием механизма удаленного DNS-поиска. Эта функция позволяет определить все возможные виды удаленных атак на службу DNS

4. Контроль за корректностью попыток удаленного подключения путем анализа передаваемых запросов. Эта функция позволяет обнаружить, во-первых, попытку исследования закона изменения начального значения идентификатора TCP-соединения - ISN, во-вторых, удаленную атаку "отказ в обслуживании", осуществляемую путем переполнения очереди запросов на подключение, и, в-третьих, направленный "шторм" ложных запросов на подключение (как TCP, так и UDP), приводящий также к отказу в обслуживании.

Таким образом, сетевой монитор безопасности IP Alert-1 позволяет обнаружить, оповестить и запротоколировать большинство видов удаленных атак. При этом данная программа никоим образом не является конкурентом системам Firewall. IP Alert-1, используя особенности удаленных атак на сеть Internet, служит необходимым дополнением - кстати, несравнимо более дешевым, - к системам Firewall. Без монитора безопасности большинство попыток осуществления удаленных атак на ваш сегмент сети останется скрыто от ваших глаз. Ни один из известных Firewall-ов не занимается подобным интеллектуальным анализом проходящих по сети сообщений на предмет выявления различного рода удаленных атак, ограничиваясь, в лучшем случае, ведением журнала, в который заносятся сведения о попытках подбора паролей, о сканировании портов и о сканировании сети с использованием известных программ удаленного поиска. Поэтому, если администратор IP-сети не желает оставаться безучастным и довольствоваться ролью простого статиста при удаленных атаках на его сеть, то ему желательно использовать сетевой монитор безопасности IP Alert-1.

Итак, пример IPAlert-1 показывает, какое важное место занимают сетевые мониторы в обеспечении безопасности сети.

Разумеется, современные сетевые мониторы поддерживают куда больше возможностей, их и самих стало достаточно много. Есть системы попроще, стоимостью в пределах 500 долларов, однако есть и мощнейшие системы, снабженные экспертными системами, способные проводить мощный эвристический анализ, их стоимость многократно выше – от 75 тысяч долларов.

1.2 ВОЗМОЖНОСТИ СОВРЕМЕННЫХ СЕТЕВЫХ АНАЛИЗАТОРОВ

Современные мониторы поддерживают множество других функций помимо своих основных по определению (которые рассматривались мной для IP Alert-1). Например, сканирование кабеля.

Сетевая статистика (коэффициент использования сегмента, уровень коллизий, уровень ошибок и уровень широковещательного трафика, определение скорости распространения сигнала); роль всех этих показателей состоит в том, что при превышении определенных пороговых значений можно говорить о проблемах на сегменте. Сюда же в литературе относят проверку легитимности сетевых адаптеров, если вдруг появляется «подозрительный» (проверка по МАС-адресу и т.п.).

Статистика ошибочных кадров. Укороченные кадры (shortframes) – это кадры, имеющие длину меньше допустимой, то есть меньше 64 байт. Этот тип кадров делится на два подкласса – короткие кадры с корректной контрольной суммой и коротышки (runts), не имеющие корректной контрольной суммы. Наиболее вероятной причиной появления таких вот «мутантов» является неисправность сетевых адаптеров. Удлиненные кадры, которые являются следствием затяжной передачи и говорят о проблемах в адаптерах. Кадры-призраки, которые являются следствием наводок на кабель. Нормальный процент ошибочных кадров в сети не должен быть выше 0,01%. Если он выше, то либо в сети есть технические неисправности, либо произведено несанкционированное вторжение.

Статистика по коллизиям. Указывает на количество и виды коллизий на сегменте сети и позволяет определить наличие проблемы и ее местонахождение. Коллизии бывают локальные (в одном сегменте) и удаленные (в другом сегменте по отношению к монитору). Обычно все коллизии в сетях типа Ethernet являются удаленными. Интенсивность коллизий не должна превышать 5%, а пики выше 20% говорят о серьезных проблемах.

Существует еще очень много возможных функций, все их перечислить просто нет возможности.

Хочу отметить, что мониторы бывают как программные, так и аппаратные. Однако они, как правило, играют больше статистическую функцию. Например, сетевой монитор LANtern. Он представляет собой легко монтируемое аппаратное устройство, помогающее супервизорам и обслуживающим организациям централизованно обслуживать и поддерживать сети, состоящие из аппаратуры различных производителей. Оно собирает статистические данные и выявляет тенденции, что позволяет оптимизировать производительность сети и ее расширение. Информация о сети выводится на центральной управляющей консоли сети. Таким образом, аппаратные мониторы не обеспечивают достойной защиты информации.

В ОС MicrosoftWindows содержится сетевой монитор (NetworkMonitor), однако он содержит серьезные уязвимости, о которых я расскажу ниже.

Рис. 1. Сетевой монитор ОС WINDOWS класса NT.

Интерфейс программы сложноват для освоения «на лету».

Рис. 2. Просмотр кадров в сетевом мониторе WINDOWS.

Большинство производителей в настоящее время стремятся сделать в своих мониторах простой и удобный интерфейс. Еще один пример – монитор NetPeeker (не так богат доп. Возможностями, но всё же):

Рис. 3. Дружественный интерфейс монитора NetPeeker.

Приведу пример интерфейса сложной и дорогой программы NetForensics (95000$):

Рис.4. Интерфейс NetForensics.

Существует некий обязательный набор «умений», которым мониторы обязательно должны обладать, согласно тенденциям сегодняшнего дня:

1. Как минимум:

  • задание шаблонов фильтрации трафика;
  • централизованное управление модулями слежения;
  • фильтрация и анализ большого числа сетевых протоколов, в т.ч. TCP, UDP и ICMP;
  • фильтрация сетевого трафика по протоколу, портам и IP-адресам отправителя и получателя;
  • аварийное завершение соединения с атакующим узлом;
  • управление межсетевыми экранами и маршрутизаторами;
  • задание сценариев по обработке атак;
  • запись атаки для дальнейшего воспроизведения и анализа;
  • поддержкасетевыхинтерфейсов Ethernet, Fast Ethernet и Token Ring;
  • отсутствие требования использования специального аппаратного обеспечения;
  • установление защищенного соединения между компонентами системы, а также другими устройствами;
  • наличие всеобъемлющей базы данных по всем обнаруживаемым атакам;
  • минимальное снижение производительности сети;
  • работа с одним модулем слежения с нескольких консолей управления;
  • мощная система генерация отчетов;
  • простота использования и интуитивно понятный графический интерфейс;
  • невысокие системные требования к программному и аппаратному обеспечению.

2. Уметь создавать отчеты:

  • Распределение трафика по пользователям;
  • Распределение трафика по IP адресам;
  • Распределение трафика по сервисам;
  • Распределение трафика по протоколам;
  • Распределение трафика по типу данных (картинки, видео, тексты, музыка);
  • Распределение трафика по программам, используемыми пользователями;
  • Распределение трафика по времени суток;
  • Распределение трафика по дням недели;
  • Распределение трафика по датам и месяцам;
  • Распределение трафика по сайтам, по которым ходил пользователь;
  • Ошибки авторизации в системе;
  • Входы и выходы из системы.

Примеры конкретных атак, которые могут распознавать сетевые мониторы:

"Отказ в обслуживании" (Denial of service) . Любое действие или последовательность действий, которая приводит любую часть атакуемой системы к выходу из строя, при котором та перестают выполнять свои функции. Причиной может быть несанкционированный доступ, задержка в обслуживании и т.д. Примером могут служить атаки SYN Flood, Ping Flood, Windows Out-of-Band (WinNuke) и т.п.

" Неавторизованный доступ " (Unauthorized access attempt). Любое действие или последовательность действий, которая приводит к попытке чтения файлов или выполнения команд в обход установленной политики безопасности. Также включает попытки злоумышленника получить привилегии, большие, чем установлены администратором системы. Примером могут служить атаки FTP Root, E-mail WIZ и т.п.

"Предварительные действия перед атакой" (Pre-attack probe)
Любое действие или последовательность действий по получению информации ИЗ или О сети (например, имена и пароли пользователей), используемые в дальнейшем для осуществления неавторизованного доступа. Примером может служить сканирование портов (Port scan), сканирование при помощи программы SATAN (SATAN scan) и т.п.

"Подозрительная активность" (Suspicious activity)
Сетевой трафик, выходящий за рамки определения "стандартного" трафика. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события Duplicate IP Address, IP Unknown Protocol и т.п.

"Анализ протокола" (Protocol decode. Сетевая активность, которая может быть использована для осуществления одной из атак вышеназванных типов. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события FTP User decode, Portmapper Proxy decode и т.п.

1.3 ОПАСНОСТИ ПРИМЕНЕНИЯ СЕТЕВЫХ МОНИТОРОВ

Применение сетевых мониторов также таит в себе потенциальную опасность. Хотя бы потому, что через них проходит огромное количество информации, в том числе и конфиденциальной. Рассмотрим пример уязвимости на примере вышеупомянутого NetworkMonitor, входящего в поставку Windows семейства NT. В этом мониторе существует так называемая HEX-панель (см. рис. 2), которая позволяет увидеть данные кадра в виде текста ASCII. Здесь, например, можно увидеть гуляющие по сети незашифрованные пароли. Можно попробовать, например, прочесть пакеты почтового приложения Eudora. Потратив немного времени, можно спокойно увидеть их в открытом виде. Впрочем, начеку надо быть всегда, так как и шифрование не спасает. Здесь возможны два случая. В литературе есть жаргонный термин «похабник» - это сосед определенной машины в том же сегменте, на том же хабе, или, как это называется сейчас, свитче. Так вот, если «продвинутый» «похабник» решил просканировать трафик сети и повыуживать пароли, то администратор с легкостью вычислит такого злоумышленника, поскольку монитор поддерживает идентификацию пользователей, его использующих. Достаточно нажать кнопку – и перед администратором открывается список «хакеров-похабников». Гораздо более сложной является ситуация, когда совершается атака извне, например, из сети Интернет. Сведения, предоставляемые монитором, чрезвычайно информативны. Показывается список всех захваченных кадров, порядковые номера кадров, времена их захвата, даже МАС-адреса сетевых адаптеров, что позволяет идентифицировать компьютер вполне конкретно. Панель детальной информации содержит «внутренности» кадра – описание его заголовков и т.д. Даже любопытному новичку многое здесь покажется знакомым.

Внешние атаки куда более опасны, так как, как правило, вычислить злоумышленника очень и очень сложно. Для защиты в этом случае необходимо использовать на мониторе парольную защиту. Если драйвер сетевого монитора установлен, а пароль не задан, то любой, кто использует на другом компьютере сетевой монитор из той же поставки (та же программа), может присоединиться к первому компьютеру и использовать его для перехвата данных в сети. Кроме того, сетевой монитор должен обеспечивать возможность обнаружения других инсталляций в локальном сегменте сети. Однако здесь тоже есть своя сложность. В некоторых случаях архитектура сети может подавить обнаружение одной установленной копии сетевого монитора другой. Например, если установленная копия сетевого монитора отделяется от второй копии маршрутизатором, который не пропускает многоадресные посылки, то вторая копия сетевого монитора не сможет обнаружить первую.

Хакеры и прочие злоумышленники не теряют времени даром. Они постоянно ищут все новые и новые способы вывода из строя сетевых мониторов. Оказывается, способов много, начиная от вывода монитора из строя переполнением его буфера, заканчивая тем, что можно заставить монитор выполнить любую команду, посланную злоумышленником.

Существуют специальные лаборатории, анализирующие безопасность ПО. Их отчеты внушают тревогу, так как серьезные бреши находятся довольно часто. Примеры реальных брешей в реальных продуктах:

1. RealSecure - коммерческая Система Обнаружения Вторжения (IDS) от ISS.

RealSecure ведет себя нестабильно при обработке некоторых DHCP сигнатур (DHCP_ACK - 7131, DHCP_Discover - 7132, и DHCP_REQUEST - 7133), поставляемых с системой. Посылая злонамеренный DHCP трафик, уязвимость позволяет удаленному нападающему нарушить работу программы. Уязвимостьобнаруженав Internet Security Systems RealSecure Network Sensor 5.0 XPU 3.4-6.5

2. Программа: RealSecure 4.9 network-monitor

Опасность: Высокая; наличие эксплоита: Нет.

Описание: Несколько уязвимостей обнаружено в RS. Удаленный пользователь может определить местоположение устройства. Удаленный пользователь может также определить и изменить конфигурацию устройства.

Решение: Установите обновленную версию программы. Обратитесь к производителю.

1.4 АНАЛИЗАТОРЫ ПРОТОКОЛОВ, ИХ ДОСТОИНСТВА, ОПАСНОСТИ И МЕТОДЫ ЗАЩИТЫ ОТ ОПАСНОСТЕЙ

Анализаторы протоколов являются отдельным классом программного обеспечения, хотя они, по сути, есть часть сетевых мониторов. В каждый монитор встроено как минимум несколько анализаторов протоколов. Зачем же тогда их применять, если можно реализовать более достойную систему на сетевых мониторах? Во-первых, устанавливать мощный монитор не всегда целесообразно, а во-вторых, далеко не каждая организация может позволить себе приобрести его за тысячи долларов. Иногда встает вопрос о том, не будет ли монитор сам по себе дороже той информации, защиту которой он призван обеспечить? Вот в таких (или подобных) случаях и применяются анализаторы протоколов в чистом виде. Роль их схожа с ролью мониторов.

Сетевой адаптер каждого компьютера в сети Ethernet, как правило, "слышит" все, о чем "толкуют" между собой его соседи по сегменту этой сети. Но обрабатывает и помещает в свою локальную память он только те порции (так называемые кадры) данных, которые содержат уникальный адрес, присвоенный ему в сети. В дополнение к этому подавляющее большинство современных Ethernet-адаптеров допускают функционирование в особом режиме, называемом беспорядочным (promiscuous), при использовании которого адаптер копирует в локальную память компьютера все без исключения передаваемые по сети кадры данных. Специализированные программы, переводящие сетевой адаптер в беспорядочный режим и собирающие весь трафик сети для последующего анализа, называются анализаторами протоколов.

Последние широко применяются администраторами сетей для осуществления контроля за работой этих сетей. К сожалению, анализаторы протоколов используются и злоумышленниками, которые с их помощью могут наладить перехват чужих паролей и другой конфиденциальной информации.

Надо отметить, что анализаторы протоколов представляют серьезную опасность. Установить анализатор протоколов мог посторонний человек, который проник в сеть извне (например, если сеть имеет выход в Internet). Но это могло быть и делом рук "доморощенного" злоумышленника, имеющего легальный доступ к сети. В любом случае, к сложившейся ситуации следует отнестись со всей серьезностью. Специалисты в области компьютерной безопасности относят атаки на компьютеры при помощи анализаторов протоколов к так называемым атакам второго уровня. Это означает, что компьютерный взломщик уже сумел проникнуть сквозь защитные барьеры сети и теперь стремится развить свой успех. При помощи анализатора протоколов он может попытаться перехватить регистрационные имена и пароли пользователей, их секретные финансовые данные (например, номера кредитных карточек) и конфиденциальные сообщения (к примеру, электронную почту). Имея в своем распоряжении достаточные ресурсы, компьютерный взломщик в принципе может перехватывать всю информацию, передаваемую по сети.

Анализаторы протоколов существуют для любой платформы. Но даже если окажется, что для какой-то платформы анализатор протоколов пока еще не написан, с угрозой, которую представляет атака на компьютерную систему при помощи анализатора протоколов, по-прежнему приходится считаться. Дело в том, что анализаторы протоколов подвергают анализу не конкретный компьютер, а протоколы. Поэтому анализатор протоколов может быть инсталлирован в любой сегмент сети и оттуда осуществлять перехват сетевого трафика, который в результате широковещательных передач попадает в каждый компьютер, подключенный к сети.

Наиболее частыми целями атак компьютерных взломщиков, которые те осуществляют посредством использования анализаторов протоколов, являются университеты. Хотя бы из-за огромного количества различных регистрационных имен и паролей, которые могут быть украдены в ходе такой атаки. Использование анализатора протоколов на практике не является такой уж легкой задачей, как это может показаться. Чтобы добиться пользы от анализатора протоколов, компьютерный взломщик должен обладать достаточными знаниями в области сетевых технологий. Просто установить и запустить анализатор протоколов на исполнение нельзя, поскольку даже в небольшой локальной сети из пяти компьютеров за час трафик составляет тысячи и тысячи пакетов. И следовательно, за короткое время выходные данные анализатора протоколов заполнят доступную память "под завязку". Поэтому компьютерный взломщик обычно настраивает анализатор протоколов так, чтобы он перехватывал только первые 200-300 байт каждого пакета, передаваемого по сети. Обычно именно в заголовке пакета размещается информация о регистрационном имени и пароле пользователя, которые, как правило, больше всего интересуют взломщика. Тем не менее, если в распоряжении взломщика достаточно пространства на жестком диске, то увеличение объема перехватываемого им трафика пойдет ему только на пользу и позволит дополнительно узнать много интересного.

В руках сетевого администратора анализатор протоколов является весьма полезным инструментом, который помогает ему находить и устранять неисправности, избавляться от узких мест, снижающих пропускную способность сети, и своевременно обнаруживать проникновение в нее компьютерных взломщиков. А как уберечься от злоумышленников? Посоветовать можно следующее. Вообще, эти советы относятся не только к анализаторам, но и к мониторам. Во-первых, попытаться обзавестись сетевым адаптером, который принципиально не может функционировать в беспорядочном режиме. Такие адаптеры в природе существуют. Некоторые из них не поддерживают беспорядочный режим на аппаратном уровне (таких меньшинство), а остальные просто снабжаются спецдрайвером, который не допускает работу в беспорядочном режиме, хотя этот режим и реализован аппаратно. Чтобы отыскать адаптер, не имеющий беспорядочного режима, достаточно связаться со службой технической поддержки любой компании, торгующей анализаторами протоколов, и выяснить, с какими адаптерами их программные пакеты не работают. Во-вторых, учитывая, что спецификация РС99, подготовленная в недрах корпораций Microsoft и Intel, требует безусловного наличия в сетевой карте беспорядочного режима, приобрести современный сетевой интеллектуальный коммутатор, который буферизует передаваемое по сети сообщение в памяти и отправляет его по мере возможности точно по адресу. Тем самым надобность в "прослушивании" адаптером всего трафика для того, чтобы выуживать из него сообщения, адресатом которых является данный компьютер, отпадает. В-третьих, не допускать несанкционированного внедрения анализаторов протоколов на компьютеры сети. Здесь следует применять средства из арсенала, который используется для борьбы с программными закладками и в частности - с троянскими программами (установка брандмауэров) В-четвертых, шифровать весь трафик сети. Имеется широкий спектр программных пакетов, которые позволяют делать это достаточно эффективно и надежно. Например, возможность шифрования почтовых паролей предоставляется надстройкой над почтовым протоколом POP (Post Office Protocol) - протоколом APOP (Authentication POP). При работе с APOP по сети каждый раз передается новая шифрованная комбинация, которая не позволяет злоумышленнику извлечь какую-либо практическую пользу из информации, перехваченной с помощью анализатора протоколов. Проблема только в том, что сегодня не все почтовые серверы и клиенты поддерживают APOP.

Другой продукт под названием Secure Shell, или сокращенно - SSL, был изначально разработан легендарной финской компанией SSH Communications Security (http://www.ssh.fi) и в настоящее время имеет множество реализаций, доступных бесплатно через Internet. SSL представляет собой защищенный протокол для осуществления безопасной передачи сообщений по компьютерной сети с помощью шифрования.

Особую известность приобрели программные пакеты, предназначенные для защиты передаваемых по сети данных путем шифрования и объединенные присутствием в их названии аббревиатуры PGP, что означает Pretty Good Privacy.

Примечательно, что в семействе протокольных анализаторов есть достойные отечественные разработки. Яркий пример – многофункциональный анализатор Observer (разработка компании “ProLAN”).

Рис. 5. Интерфейс русского анализатора Observer.

Но, как правило, большинство анализаторов имеют куда более простой интерфейс и меньшее количество функций. Например, программа Ethereal.

Рис. 6. Интерфейс зарубежного анализатора Ethereal.


ЗАКЛЮЧЕНИЕ

Сетевые мониторы, как и анализаторы протоколов, представляют собой мощное и эффективное средство администрирования компьютерных сетей, так как позволяют с большой точностью оценить многие параметры работы сети, такие как скорости прохождения сигналов, участки скопления коллизий и т.д. Однако главная их задача, с которой они успешно справляются – это выявление атак на компьютерные сети и оповещение администратора о них на основе анализа трафика. Вместе с тем, применение этих программных средств таит в себе потенциальную опасность, так как, ввиду того, что информация проходит через мониторы и анализаторы, может быть осуществлен несанкционированный съем этой информации. Системному администратору требуется уделять должное внимание защите своей сети и помнить о том, что комбинированная защита намного эффективнее. Следует внимательно относиться к выбору программного средства анализа трафика, исходя из реальной стоимости информации, которую предполагается охранять, вероятности вторжения, ценности информации для третьих лиц, наличие уже готовых защитных решений, возможности бюджета организации. Грамотный выбор решения будет способствовать уменьшению вероятности несанкционированного доступа и не будет слишком «тяжелым» в плане финансирования. Всегда следует помнить, что на сегодняшний день нет совершенного средства безопасности, и это относится, конечно же, к мониторам и анализаторам. Всегда следует помнить, что каким бы совершенным не был монитор, он окажется не готовым к новым видам угроз, распознавание которых в него не программировалось. Соответственно, следует не только грамотно спланировать защиту сетевой инфраструктуры предприятия, но и постоянно следить за обновлениями используемых программных продуктов.

ЛИТЕРАТУРА

1. Атака на Интернет. И.Д. Медведковский, П.В. Семьянов, Д.Г. Леонов. – 3-е изд., стер. – М.: ДМК, 2000

2. MicrosoftWindows 2000. Справочник администратора. Серия «ITProfessional» (пер. с англ.). У.Р. Станек. – М.: Издательско-торговый дом «Русская Редакция», 2002.

3. Networking Essentials. Э. Титтел, К. Хадсон, Дж.М. Стюарт. Пер. с англ. – СПб.: Издательство «Питер», 1999

4. Информация о брешах в программных продуктах взята из базы данных сервера SecurityLab (www.securitylab.ru)

5. Вычислительные сети. Теория и практика. http://network-journal.mpei.ac.ru/cgi-bin/main.pl?l=ru&n=3&pa=9&ar=1

6. Сетевой Анализ. Статья в 2-х частях. http://www.ru-board.com/new/article.php?sid=120

7. Электронный словарь телекоммуникационных терминов. http://europestar.ru/info/

8. Программно-аппаратные методы защиты от удаленных атак в сети Интернет. http://personal.primorye.ru/desperado/Xattack/7.2.htm

9. Безопасность в сетевом мониторе. Самоучитель по WindowsXP. http://www.soft32.ru/literature.shtml?topic=windows&book=WinXP&page=Glava16/Index0.htm&subpage=Glava16/Index52.htm

10. Документация на монитор RealSecure. Предоставлена производителем в электронном виде по запросу.

11. Безопасность компьютерных систем. Анализаторы протоколов. http://kiev-security.org.ua/box/12/130.shtml

12. Интернет-сервер российского разработчика анализаторов – компании “ProLAN” http://www.prolan.ru/

Анализаторы сетевых пакетов, или снифферы, первоначально были разработаны как средство решения сетевых проблем. Они умеют перехватывать, интерпретировать и сохранять для последующего анализа пакеты, передаваемые по сети. С одной стороны, это позволяет системным администраторам и инженерам службы технической поддержки наблюдать за тем, как данные передаются по сети, диагностировать и устранять возникающие проблемы. В этом смысле пакетные снифферы представляют собой мощный инструмент диагностики сетевых проблем. С другой стороны, подобно многим другим мощным средствам, изначально предназначавшимся для администрирования, с течением времени снифферы стали применяться абсолютно для других целей. Действительно, сниффер в руках злоумышленника представляет собой довольно опасное средство и может использоваться для завладения паролями и другой конфиденциальной информацией. Однако не стоит думать, что снифферы — это некий магический инструмент, посредством которого любой хакер сможет легко просматривать конфиденциальную информацию, передаваемую по сети. И прежде чем доказать, что опасность, исходящая от снифферов, не столь велика, как нередко преподносят, рассмотрим более детально принципы их функционирования.

Принципы работы пакетных снифферов

Дальнейшем в рамках данной статьи мы будем рассматривать только программные снифферы, предназначенные для сетей Ethernet. Сниффер — это программа, которая работает на уровне сетевого адаптера NIC (Network Interface Card) (канальный уровень) и скрытым образом перехватывает весь трафик. Поскольку снифферы работают на канальном уровне модели OSI, они не должны играть по правилам протоколов более высокого уровня. Снифферы обходят механизмы фильтрации (адреса, порты и т.д.), которые драйверы Ethernet и стек TCP/IP используют для интерпретации данных. Пакетные снифферы захватывают из провода все, что по нему приходит. Снифферы могут сохранять кадры в двоичном формате и позже расшифровывать их, чтобы раскрыть информацию более высокого уровня, спрятанную внутри (рис. 1).

Для того чтобы сниффер мог перехватывать все пакеты, проходящие через сетевой адаптер, драйвер сетевого адаптера должен поддерживать режим функционирования promiscuous mode (беспорядочный режим). Именно в этом режиме работы сетевого адаптера сниффер способен перехватывать все пакеты. Данный режим работы сетевого адаптера автоматически активизируется при запуске сниффера или устанавливается вручную соответствующими настройками сниффера.

Весь перехваченный трафик передается декодеру пакетов, который идентифицирует и расщепляет пакеты по соответствующим уровням иерархии. В зависимости от возможностей конкретного сниффера представленная информация о пакетах может впоследствии дополнительно анализироваться и отфильтровываться.

Ограничения использования снифферов

аибольшую опасность снифферы представляли в те времена, когда информация передавалась по сети в открытом виде (без шифрования), а локальные сети строились на основе концентраторов (хабов). Однако эти времена безвозвратно ушли, и в настоящее время использование снифферов для получения доступа к конфиденциальной информации — задача отнюдь не из простых.

Дело в том, что при построении локальных сетей на основе концентраторов существует некая общая среда передачи данных (сетевой кабель) и все узлы сети обмениваются пакетами, конкурируя за доступ к этой среде (рис. 2), причем пакет, посылаемый одним узлом сети, передается на все порты концентратора и этот пакет прослушивают все остальные узлы сети, но принимает его только тот узел, которому он адресован. При этом если на одном из узлов сети установлен пакетный сниффер, то он может перехватывать все сетевые пакеты, относящиеся к данному сегменту сети (сети, образованной концентратором).

Коммутаторы являются более интеллектуальными устройствами, чем широковещательные концентраторы, и изолируют сетевой трафик. Коммутатор знает адреса устройств, подключенных к каждому порту, и передает пакеты только между нужными портами. Это позволяет разгрузить другие порты, не передавая на них каждый пакет, как это делает концентратор. Таким образом, посланный неким узлом сети пакет передается только на тот порт коммутатора, к которому подключен получатель пакета, а все остальные узлы сети не имеют возможности обнаружить данный пакет (рис. 3).

Поэтому если сеть построена на основе коммутатора, то сниффер, установленный на одном из компьютеров сети, способен перехватывать только те пакеты, которыми обменивается данный компьютер с другими узлами сети. В результате, чтобы иметь возможность перехватывать пакеты, которыми интересующий злоумышленника компьютер или сервер обменивается с остальными узлами сети, необходимо установить сниффер именно на этом компьютере (сервере), что на самом деле не так-то просто. Правда, следует иметь в виду, что некоторые пакетные снифферы запускаются из командной строки и могут не иметь графического интерфейса. Такие снифферы, в принципе, можно устанавливать и запускать удаленно и незаметно для пользователя.

Кроме того, необходимо также иметь в виду, что, хотя коммутаторы изолируют сетевой трафик, все управляемые коммутаторы имеют функцию перенаправления или зеркалирования портов. То есть порт коммутатора можно настроить таким образом, чтобы на него дублировались все пакеты, приходящие на другие порты коммутатора. Если в этом случае к такому порту подключен компьютер с пакетным сниффером, то он может перехватывать все пакеты, которыми обмениваются компьютеры в данном сетевом сегменте. Однако, как правило, возможность конфигурирования коммутатора доступна только сетевому администратору. Это, конечно, не означает, что он не может быть злоумышленником, но у сетевого администратора существует множество других способов контролировать всех пользователей локальной сети, и вряд ли он будет следить за вами столь изощренным способом.

Другая причина, по которой снифферы перестали быть настолько опасными, как раньше, заключается в том, что в настоящее время наиболее важные данные передаются в зашифрованном виде. Открытые, незашифрованные службы быстро исчезают из Интернета. К примеру, при посещении web-сайтов все чаще используется протокол SSL (Secure Sockets Layer); вместо открытого FTP используется SFTP (Secure FTP), а для других служб, которые не применяют шифрование по умолчанию, все чаще используются виртуальные частные сети (VPN).

Итак, те, кто беспокоится о возможности злонамеренного применения пакетных снифферов, должны иметь в виду следующее. Во-первых, чтобы представлять серьезную угрозу для вашей сети, снифферы должны находиться внутри самой сети. Во-вторых, сегодняшние стандарты шифрования чрезвычайно затрудняют процесс перехвата конфиденциальной информации. Поэтому в настоящее время пакетные снифферы постепенно утрачивают свою актуальность в качестве инструментов хакеров, но в то же время остаются действенным и мощным средством для диагностирования сетей. Более того, снифферы могут с успехом использоваться не только для диагностики и локализации сетевых проблем, но и для аудита сетевой безопасности. В частности, применение пакетных анализаторов позволяет обнаружить несанкционированный трафик, обнаружить и идентифицировать несанкционированное программное обеспечение, идентифицировать неиспользуемые протоколы для удаления их из сети, осуществлять генерацию трафика для испытания на вторжение (penetration test) с целью проверки системы защиты, работать с системами обнаружения вторжений (Intrusion Detection System, IDS).

Обзор программных пакетных снифферов

се программные снифферы можно условно разделить на две категории: снифферы, поддерживающие запуск из командной строки, и снифферы, имеющие графический интерфейс. При этом отметим, что существуют снифферы, которые объединяют в себе обе эти возможности. Кроме того, снифферы отличаются друг от друга протоколами, которые они поддерживают, глубиной анализа перехваченных пакетов, возможностями по настройке фильтров, а также возможностью совместимости с другими программами.

Обычно окно любого сниффера с графическим интерфейсом состоит их трех областей. В первой из них отображаются итоговые данные перехваченных пакетов. Обычно в этой области отображается минимум полей, а именно: время перехвата пакета; IP-адреса отправителя и получателя пакета; MAC-адреса отправителя и получателя пакета, исходные и целевые адреса портов; тип протокола (сетевой, транспортный или прикладного уровня); некоторая суммарная информация о перехваченных данных. Во второй области выводится статистическая информация об отдельном выбранном пакете, и, наконец, в третьей области пакет представлен в шестнадцатеричном виде или в символьной форме — ASCII.

Практически все пакетные снифферы позволяют производить анализ декодированных пакетов (именно поэтому пакетные снифферы также называют пакетными анализаторами, или протокольными анализаторами). Сниффер распределяет перехваченные пакеты по уровням и протоколам. Некоторые анализаторы пакетов способны распознавать протокол и отображать перехваченную информацию. Этот тип информации обычно отображается во второй области окна сниффера. К примеру, любой сниффер способен распознавать протокол TCP, а продвинутые снифферы умеют определять, каким приложением порожден данный трафик. Большинство анализаторов протоколов распознают свыше 500 различных протоколов и умеют описывать и декодировать их по именам. Чем больше информации в состоянии декодировать и представить на экране сниффер, тем меньше придется декодировать вручную.

Одна из проблем, с которой могут сталкиваться анализаторы пакетов, — невозможность корректной идентификации протокола, использующего порт, отличный от порта по умолчанию. К примеру, с целью повышения безопасности некоторые известные приложения могут настраиваться на применение портов, отличных от портов по умолчанию. Так, вместо традиционного порта 80, зарезервированного для web-сервера, данный сервер можно принудительно перенастроить на порт 8088 или на любой другой. Некоторые анализаторы пакетов в подобной ситуации не способны корректно определить протокол и отображают лишь информацию о протоколе нижнего уровня (TCP или UDP).

Существуют программные снифферы, к которым в качестве плагинов или встроенных модулей прилагаются программные аналитические модули, позволяющие создавать отчеты с полезной аналитической информацией о перехваченном трафике.

Другая характерная черта большинства программных анализаторов пакетов — возможность настройки фильтров до и после захвата трафика. Фильтры выделяют из общего трафика определенные пакеты по заданному критерию, что позволяет при анализе трафика избавиться от лишней информации.