Министерство общего ипрофессионального образования
Российской Федерации
Новгородский Государственный университет
Имени Ярослава Мудрого.
Кафедра «Прикладная математика и информатика».
Реферат
Принцип действия боевых номеронабирателейи сканеров Преподаватель:Орлов А.С.
Предмет:
Экономические Основы Рынка
Программного ОбеспеченияСтудент группы № 3311 Jannat
Новгород Великий
2005
ПЛАН
1. Из истории создания боевых номеронабирателей исканеров
2. Боевыеномеронабиратели
3. Номеронабиратели и настольная система удаленной голосовой и видео связиWindows 2000 Server
4.Сканеры и основные системные требования при работес ними
5. Правовые вопросы использования сканеров
6. Принцип действия сетевых сканеров на примере сканеразащищенности Shadow Security Scanner
6.1. Задание области сканирования
6.2. Задание сканируемых портов
6.3. Сетевые сервисы
6.4. Сканирование сетевых ресурсов
6.5. Сканирование портов, сбор данных
6.6. Анализ правил
6.7. Определение уязвимостей
6.8. Представление результатов сканирования
6.9. Автоматическая подготовка отчета
7. SATAN,Jackal и другие сканеры
8. Вывод
Литература
Из истории создания боевых номеронабирателей исканеров
Еще несколько десятилетий назадобъем винчестеров стандартного персонального компьютера не превышал 10 Мбайт, аих оперативная память была всего-навсего 640 Кбайт. Модемы в том время работалина скоростях от 300 до 1200 бит/с, и мало кто из пользователей ПК слышал оглобальной компьютерной сети Internet. Разумеется, сеть существовала уже тогда,но использовалась исключительно в военных целях, а работа с ней осуществляласьтолько при помощи командной строки. Однако не это служило основным препятствиемдля массового доступа к сети Internet. Вычислительные машины, которые моглибыть задействованы в качестве серверов, были очень дорогими — их стоимостьисчислялась цифрами с пятью-шестью нулями (в долларах). Да и сами персональныекомпьютеры стоили тогда весьма недешево, поэтому приобрести их могли толькообеспеченные люди.
Уже тогда некоторые владельцыперсональных компьютеров могли, сидя дома за своей машиной, обзванивать припомощи модема телефонные номера. В большинстве случаев на другом конце проводатакже оказывался модем, и на экране появлялось предложение зарегистрироваться,то есть ввести логин и пароль. Получая такое предложение, пользователь могбесконечно долго перебирать различные пары, пока наконец одна из пар неподойдет и взломщик не получит возможность удаленно управлять компьютером, сидяу себя дома.
Выполнение такойрутинной работы по набору номеров и отыскиванию пар отнимало много времени ибыло нецелесообразным, так как тем же самым могла заниматься машина, задействуячасть собственных ресурсов. Поэтому неудивительно, что впоследствии былосоздано специальное программное обеспечение.
Боевыеномеронабиратели
Это программноеобеспечение, позволяющее не набирать вручную список команд, дозваниваясь поопределенному номеру, получило название боевогономеронабирателя.
Боевой номеронабиратель представляет собой программу, обзванивающеюзаданные пользователем телефонные номера в поисках компьютеров, которые в ответна поступивший звонок выдают регистрационное приглашение. Программа аккуратносохраняет в файле на жестком диске все такие телефонные номера вместе с даннымио скорости соединения с ними. Одним из самых известных и совершенных боевыхномеронабирателей является TONELOC,предназначенный для работы в среде операционной системы DOS (он может быть запущен под управлением Windows 95/98 в режиме командной строки). Существуют и другие номеронабиратели,например, интегрированные в систему Windows 2000Server.
Стандартный автоматическийномеронабиратель способен перебрать десять тысяч чисел (что, разумеется,немало) примерно за семь минут, если количество попыток ввода кодов на одинзвонок будет неограниченным.
Номеронабиратели и настольная система удаленной голосовой и видео связиWindows 2000 Server
Интегрированный в систему Windows 2000 Server номеронабиратель можно использовать для простой связи с кем-нибудь по сети. В решении такоготипа, которое может быть построено на программируемой сетевой инфраструктуресистемы Windows 2000 Server, номеронабиратель может использовать интерфейс TAPI, стандарт H.323 службыпоиска информации, что создает уникальное настольное решение для набораномера. Номеронабиратель создает на базе Windows телефонную трубку иосуществляет обработку вызовов при наборе номера, поддерживает функцию ответа, переадресации и ряд другихфункций, когда он используется вместе с телефонами или коммутаторами,интегрированными с интерфейсом TAPI.
Номеронабирательможно также использовать для размещения голосовых вызовов по протоколу IP влюбой системе с номеронабирателем в сети, используя простой микрофон имультимедийные громкоговорители, подключенныек персональному компьютеру. Это значит, что можно размещать вызовы,которые будут переданы другому сотруднику компании, как только он войдет всеть, даже через VPN-подключение для удаленного доступа.
Ø Добавив к компьютеру недорогую видеокамеру, можно осуществлять по сети ивидеотелефонную связь.
Ø С помощью номеронабирателя легко также выполнять вызовы конференции —благодаря интеграции со службой ILS системы Windows 2000 Server.
Ø Номеронабиратель также может взаимодействовать с такими приложениями, какMicrosoft NetMeeting и другими приложениями стандарта H.323, поскольку оноснован на программируемой структуре открытых стандартов системыWindows 2000 Server.
Наконец, номеронабиратель можно использовать для глобального размещения вызовов через телефонные сети PSTN, добавив к шлюзу PSTN голосовую связьпо протоколу IP. Простой в работе номеронабиратель иллюстрирует грядущую мощьконвергенции телефонных сетей и сетей данных.
Дальнейшее совершенствование боевыхномеронабирателей привело к созданию сканеров.
Сканеры и основные системные требования при работес ними
Для обнаружения уязвимостей ресурсов информационной сетииспользуют специализированные программные продукты, называемые сканерамизащищенности (security scanner).Эти программы предназначены для автоматизациипроцесса поиска слабостей в защите компьютеров, подключенных к сети всоответствии с протоколом TCP/IP. Наиболее совершенные сканеры обращаются кпортам TCP/IP удаленного компьютера и в деталях протоколируют отклик, которыйони получают от этого компьютера. Запустив сканер на своем компьютере,пользователь, скажем, из подмосковной Малаховки, даже не выходя из дома, можетнайти бреши в защитных механизмах сервера, расположенного, например, вЛос-Анджелесе.
Принцип работы сетевых сканеров заключается в следующем.
1. Компьютер с установленным на нем сканером подключается
к Интернет.
2. В заданном диапазоне IP-адресов производитсяпоиск доступныхсетевых ресурсов,
идентификация сетевых сервисов и анализ их уязвимости.
3. По результатам сканирования автоматически готовитсяотчет о состоянии защищенности
каждого сетевого ресурса, обнаруженных недостатках всистеме защиты и оценке
опасности, с точки зрения использования этих недостатков дляпроникновения в систему.
Таким образом, сканеры позволяют анализировать работу всехсетевых устройств заданного сегмента сети без вхождения с ними внепосредственный контакт.
Если в базу данных сканера защищенности заложена информацияо средствах защиты обнаруженных уязвимых мест, то в отчете появятся ирекомендации по этому поводу.
Получив такого рода отчет, администратор сетевого ресурса можетчерез Интернет попытаться найти необходимые средства защиты или обратиться кспециалистам. И делать это нужно незамедлительно, так как точно также проанализироватьдоступность сетевых ресурсов может и злоумышленник. А затем определить, черезкакую «дыру» и как можно пролезть в систему.
Большинствосканеров предназначено для работы в среде операционной системы UNIX, хотя кнастоящему времени такие программы имеются практически для любой операционнойсистемы. Возможность запустить сканер на конкретном компьютере зависит отоперационной системы, под управлением которой работает этот компьютер, и отпараметров подключения к Internet. Есть сканеры, которые функционируют только всреде UNIX, а с остальными операционными системами оказываются несовместимыми.Другие отказываются нормально работать на устаревших компьютерах с Windows 3.11и с медленным (до 14 400 бит/с) доступом к Internet, осуществляемым по коммутируемымлиниям. На таких компьютерах постоянно будут выдаваться сообщения опереполнении стека, нарушении прав доступа или отказе системы.
Критичнымявляется и объем оперативной памяти компьютера. Сканеры, которые управляютсяпри помощи командной строки, как правило, более умеренны в своих требованиях,предъявляемых к объему оперативной памяти. Сканеры, снабженные оконнымграфическим интерфейсом пользователя, требуют больше ресурсов памяти.
Создание сканеране требует больших усилий при наличии знания протоколов TCP/IP, уменияпрограммировать на С или Perl и на языке сценариев. Необходимо такжеразбираться в программном обеспечении сокетов, но и в этом случае не следуетожидать, что созданный сканер принесет большую прибыль, поскольку в настоящеевремя предложение на рынке сканеров значительно превышает спрос на них. Поэтомунаибольшая отдача от усилий, вложенных в написание сканера, будет скорееморальной (от осознания хорошо выполненной работы), нежели материальной.
Правовыевопросы использования сканеров
Обычно сканерысоздаются и используются специалистами в области сетевой безопасности. Какправило, они распространяются через сеть Internet, чтобы с их помощью системныеадминистраторы могли проверять компьютерные сети на предмет наличия в нихизъянов. Поэтому обладание сканерами, равно как и их использование на практике,вполне законно. Однако рядовые пользователи, не являющиеся системнымиадминистраторами, должны быть готовы к тому, что, если они будут применятьсканеры для обследования чужих сетей, то могут встретить сопротивление состороны администраторов этих сетей. Более того, некоторые сканеры в процессепоиска брешей в защите компьютерных сетей предпринимают такие действия, которыепо закону могут квалифицироваться как несанкционированный доступ к компьютернойинформации, или как создание, использование и распространение вредоносныхпрограмм, или как нарушение правил эксплуатации компьютеров, компьютерныхсистем и сетей.
И если следствием этих деяний сталоуничтожение, блокирование, модификация или копирование информации, хранящейся вэлектронном виде, то виновные в них лица в соответствии с российскимзаконодательством подлежат уголовному преследованию. А значит, прежде чемначать пользоваться первым попавшимся freewareсканером для UNIX-платформ,стоит убедиться, а не копирует ли случайно этот сканер заодно и какие-нибудьфайлы с диска тестируемой им хост-машины (например, файл password из каталога/ETC).
Принципдействия сетевых сканеров на примере сканера защищенности Shadow Security Scanner
Сканер защищенности Shadow Security Scanner (SSS) являетсядостаточно мощным и надежным средством для обнаружения недостатков в системезащиты сетевых узлов
(персональных компьютеров, рабочих станций,серверов). Для поиска уязвимостей в сканер встроены как стандартные средстватестирования сети, так и специализированные,
имитирующие действия злоумышленника по проникновениюв компьютерные системы, подключенные к сети. Гибкая модульная архитектурасканера SSS позволяет постоянно перестраивать его возможности, добавляя новыемодули, эмулирующие новые варианты компьютерных атак.
Процесс сканирования можно изобразить в виде пошаговой процедуры,представленной на рис.1, семь этапов которой однозначно соответствуютфункциональным частям сетевого
сканера:
1. Задание параметров сеанса сканирования;
2. Автоматическое обнаружение сетевых ресурсов;
3. Сбор данных;
4. Анализ данных;
5. Определение уязвимостей;
6. Представление результатов сканирования;
7. Автоматическая подготовка отчета.
Сканер предоставляет дружественныйинтерфейс и удобное меню, основные функции которого вынесены в виде «иконок», какпоказано на рис.2.
Рис.2. Главноеменю сканера.
Возможности данного сетевого сканера, соответствуютпоэтапной процедуре сканирования,показанной на рис.1. Для начала следует настроить базовые параметры сканирования:
Ø заданиедиапазона IP-адресов (рис.3);
Ø заданиесканируемых портов (рис.4);
Ø заданиеанализируемых сетевых служб (рис.5).
Задание области сканирования
Задаваемый диапазон IP-адресов может быть непрерывным, разрывным,из него могут быть удалены какие-то отдельные узлы – эти параметры задаютсяпользователем в каждом конкретном сеансе сканирования.
Задавая область сканирования, пользователь может использоватьследующие функции:
Ø добавитьузел (Add Host);
Ø добавитьдиапазон (Add IP Zone);
Ø исключитьузел (Delete Host).
Задание сканируемых портов
Порты компьютера или любого другого активного сетевого устройстваслужат для организации взаимодействия по какому-либо сетевому протоколу. Ихназначение и способы использования стандартизованы и для любой операционной системыабсолютно одинаковы. Например:
21 порт– FTP (File Transfer Protocol);
22 порт– SSH (Secure Shell Remote LoginProtocol);
23 порт – TELNET;
и т.д.
Если порт открыт, то по соответствующему протоколу приложениеможет связаться с одним или несколькими другими узлами в сети. Но это и естьисточник опасности, так как связаться с некоторым узлом в сети можно не толькос целью информационного обмена, но и с «вредными помыслами».
У серверных систем (типа Windows NT или UNIX) обычно открытозначительное число портов – это связано с предоставляемыми этими системамисервисами и это является источником повышенной опасности. При правильнойнастройке сервисных служб опасность снижается, но не исключается вовсе.
У клиентских систем (типа Windows 95/98) обычно все портызакрыты. Они открываются при активизации какого-либо сетевого приложения (присчитывании или отправке электронной
почты, пересылке файлов и т.п.) и закрываютсяавтоматически при его завершении. Ввиду незначительной продолжительности такихопераций, угроза проникновения считается незначительной (если только в самомсчитываемом почтовом послании или
скачиваемом файле не содержится вредоносных программ). Опасностьзначительно возрастает, когда клиентские рабочие станции объединяют попротоколу NetBIOS (139 порт –
NetBIOS Service Session) в локальную сеть с цельюиспользования общих дисковых ресурсов, принтеров, сканеров ит.д. В этом случаекаждый участник этого локального объединения должен
представлять себе в общем виде те неприятности, которыемогут случиться с его системой по вине соседей и, наоборот, с системами соседейпо его вине.
Итак, в параметрах настройки сеанса сканирования можноуказать все порты (с 1-ого порта по 65301) или выборочно включать/выключатьотдельные порты в зависимости от проводимого исследования.
Сетевые сервисы
Как уже отмечалось, наиболее уязвимыми с точки зрения проникновенияв систему являются серверные службы. В зависимости от количества включенныхсерверных служб и качества их настройки эта опасность может возрастать или убывать.
Кроме того, установка дополнительных программных продуктовможет изменить какие-то настройки сетевых сервисов, открыть ранее закрытыепорты.
Сканер защищенности помогает администратору сервера, во-первых,изначально проверить защищенность системы в целом и, во-вторых, в последующемотслеживать состояние системы
защиты.Дело в том, что любой злоумышленник, единожды проникнув в систему, первым деломизменяет параметры настройки для того, чтобы в последующем облегчить себе проникновениев систему и обеспечить более комфортный режим работы. Эти измененияадминистратор может обнаружить, воспользовавшись сканером, еще до того, какдействия злоумышленника принесут непоправимый вред.
При настройке параметров сеанса сканирования пользовательможет включить все известные сетевые службы или провести выборочноесканирование. Необходимо помнить, что сетевые технологии развиваютсястремительно, и появление какого-то нового сервиса может быть не предусмотренотекущей версией сетевого сканера. Помочь в этом случае может только
регулярное обновление версии сканера.
Заданием сканируемых сетевых служб заканчивается настройкапараметров сеанса сканирования, и затем следует собственно процедурасканирования заданного сегмента сети и анализа собранных результатов (этапыII-VII процедуры, представленной на рис.1).
Сканирование сетевых ресурсов
Сканирование сетевых ресурсов, автоматическое обнаружениеузлов и услуг (рис.6) позволяет собирать информацию о всех сетевых устройствах,находящихся в исследуемой сети, таких как WWW и почтовые сервера, межсетевыеэкраны, а также маршрутизаторы, сервера удаленного доступа и т.д. Эта функцияпозволяет пользователям составить полную картину работающих в сети активныхустройств и активизированных сетевых услуг путем опроса сетевых устройств попротоколам TCP/IP, SNMP, SMTP и др.
Сканер выполняет проверку всех IP-адресов и портов из заданногодиапазона и таким образом строит карту сегмента сети.
Сканирование портов, сбор данных
По созданной карте сегмента сети сканер начинает сбор данныхпо всем сетевым ресурсам.
Для каждого IP-адреса сканер через службу доменных имен определяетсетевое логическое имя.
Используя процедуру сканирования портов, он определяет активныепорты каждого сетевого узла. Как уже отмечалось, в процессе конфигурирования инастройки сетевого сканера можно
задатьнекоторые специальные правила, по которым будет происходить процедурасканирования (например, выборочное сканирования заданных портов илисканирование потенциально
наиболееопасных). Естественно, подобное исследование сегмента сети значительно увеличитсетевой трафик.
Анализ правил
На третьем этапе сканер анализирует собранную информацию сцелью определения базовых параметров (типа операционной системы, включенныхсетевых сервисов и т.п.) и потенциально возможных недочетов, обычноприсутствующих в настройках ОС и сетевых служб, а именно:
Ø ужеобнаруженные «дыры» в Windows NT и UNIX-системах;
Ø проблемыс настройкой широко используемых сервисов типа telnet, FTP, HTTP — тривиальныепароли и пр.;
Ø недостатки в настройки специализированныхслужб типа firewall;
Ø проблемыв настройке системы электронной почты.
Сведения о вышеуказанных потенциальных ошибках и недочетахв настройке программного обеспечения заложены в базу данных сканера в видеправил, которые система пытается применить для каждого конкретного узла иззаданного диапазона. данном случае сканерпросто перебирает различные варианты уязвимости и отмечает цветом степень ихпотенциальной опасности (чем краснее – тем опасней).
Определение уязвимостей
Используя подобранные варианты потенциальных недостатков всистеме защиты, сканер пытается проверить, присутствуют ли эти недостатки вкаждом из анализируемых
узлов.Например, для служб, использующих идентификатор пользователя и пароль длядоступа к ресурсам, сканер пытается подобрать пароль.
Этот этап исследования является активным, он предполагает достаточнобольшое количество запросов, посылаемых по сети к каждому исследуемому узлу(например, при подборе пароля используется база из нескольких тысяч типичныхвариантов и плюс генератор паролей), но никаких деструктивных действий сканерне производит.
Представление результатов сканирования
Результатысканирования каждого узла сети представляются в виде таблицы, состоящей изчетырех разделов:
Ø общиесведения;
Ø обнаруженные уязвимости;
Ø операционная система;
Ø списокпортов и соответствующих им функций.
Как уже отмечалось, сканер обладает удобным дружественныминтерфейсом. Выбрав одну из строк списка (рис.7), можно получить краткоеописание проблемы (рис.8).
Последняя строка описания обнаруженной проблемы содержитhttp-ссылку на сайт комитета CVE (Common Vulnerabilities and Exposures, общихуязвимостей и воздействия), где содержится исчерпывающее описание обнаруженнойуязвимости системы защиты и рекомендации по ее устранению.
Следующая важная информация, представляемая по результатамсканирования, – список открытых портов и степень их опасности для системы вцелом (рис.10).
На представленном рисунке цветом очень наглядно выделенынаиболее уязвимые порты.
Автоматическая подготовка отчета
Отчет содержит подробные результаты выполненного исследованияуязвимости сегмента сети.
Отчет подразделяется на несколько частей. Первая часть содержит общее описаниевыполненного исследования, некоторые статистические показатели: число сетевыхузлов, число обнаруженных недостатков в системе защиты, наиболее уязвимые узлы,неудачно настроенные сетевые службы и протоколы.
Вторая часть отчета – результаты сканирования узла сети. Вотчете собрана та же информация, которая была рассмотрена в разделе опредставлении результатов сканирования, но представлена она не в виде одного изокон экранного интерфейса сетевого сканера, а собрана в html-файле, которыйможно передать для анализа администратору и специалисту по безопасности, или жевыложить на Интернет-сайте.
SATAN, Jackal и другиесканеры
Также среди сканеровбольшую известность получил SATAN (Security Administrator's Tool for AnalyzingNetworks). Этот сканер распространяется через Internet.
Ни одно средствоанализа сетевой безопасности не вызывало столько споров, сколько пришлось надолю сканера SATAN. Газеты и журналы, и даже телевидение отреагировали на егопоявление грозными предупреждениями об опасности, которую для всехпользователей сетей представлял этот сканер.
И действительно, SATAN был довольно необычнымдля своего времени программным пакетом. Предназначенный для использования нарабочих станциях, работающих под управлением операционной системы UNIX, онобладает дружественным пользовательским интерфейсом. В нем имеются готовыеформуляры, в которые пользователю остается только внести минимальные сведенияоб анализируемом сетевом объекте, а также таблицы, которые автоматическизаполняются по мере накопления информации. При нахождении какого-либо изъяна всетевой защите пользователю предлагается воспользоваться контекстно-зависимойсправкой, чтобы лучше понять суть обнаруженного изъяна. Разработчиками сканераSATAN являются американцы Д. Фармер (D. Farmer) и У. Венема (W. Venema) —талантливые программисты, хакеры и авторитетные специалисты в области сетевойбезопасности.
Отрицательнойчертой сканера SATAN, по мнению многих пользователей, является его повышеннаятребовательность к системным ресурсам, особенно к производительностицентрального процессора и объему оперативной памяти. Поэтому тем пользователям,которые хотят воспользоваться сканером SATAN, но имеют компьютеры сограниченными ресурсами, можно посоветовать их увеличить. Если это покаким-либо причинам не реализуемо, следует попытаться избавиться от выполнениялишних процессов и работать с SATAN с помощью командной строки.
Еще один сканер — Strobe (Super Optimized TCP Port Surveyor)исследует порты TCP/IP выбранного компьютера и протоколирует все полученныесведения. Основное достоинство Strobe — быстрота сканирования. Если компьютер,на котором запущен Strobe, подключен к Internet через модем, работающий со скоростью28800 бит/с, то на полное сканирование сервера ему понадобится всего около 30с. Однако полученная информация будет довольно скудной — лишь общиедиагностические сведения о сетевых службах сервера. Кроме того, в хост-машине,подвергшейся сканированию с помощью Strobe, этот факт не останется незамеченным (скорее всего, он будет зафиксирован в файле /var/adm/messages
Сканер Jackal—это так называемый сканер-«призрак». Он анализирует сетевые домены,проникая сквозь брандмауэры и не оставляя при этом никаких следов своегопроникновения
Сканер NSS(Network Security Scanner) замечателен прежде всего тем, что написан на языкеPerl и, следовательно, может быть легко перенесен на любую платформу, длякоторой имеется интерпретатор этого языка. Другим достоинством NSS являетсяскорость его работы.
И наконец, существуютсканеры узкой специализации: такие, как IdentTCPscan (предназначен дляопределения регистрационного имени пользователя, работающего с данным портомTCP/IP), FSPScan (осуществляет поиск серверов, которые поддерживают сетевойпротокол FSP), XSCAN (анализирует Х-серверы с целью нахождения изъянов в ихконфигурации) и CONNECT (ищет серверы, работающие с протоколом TFTP). Все этисканеры можно найти в Сети по тем же адресам, что и Jackal и NSS.
Вывод
Номеронабиратели, ставшие предвестниками появлениясканеров, в настоящий момент используются мало, и практически потерялиактуальность.
В то же время развитие корпоративных и домашних сетейпорождает потребность в программном обеспечении, способном определитьуязвимости этих сетей и по возможности устранить недостатки. Этим программным средствомявляются сканеры.
Использование сетевого сканера (конкретно SSS или же какого-либодругого) позволяет:
1. наглядно показать администраторам рабочих групп или отдельныхсерверов недостатки в их системе защиты, помочь в их устранении
2. вооружить администратора сети мощным инструментом, повышающимбезопасность сети за счет ликвидации отдельных уязвимых мест или проведениядополнительных мер по защите сети
3. Разработать методику, ограничивающую использование в сетивысокоопасных сетевых служб и технологий взаимодействия.
Литература
1. Ермаков А.В.«Использование сетевого сканера для повышения защищенности корпоративной информационно-вычислительнойсети», М.:Институт прикладной математики им.М.В.Келдыша РАН, 2001
2. www.megalib.com/books/90/4/Index1.htm
3. security.software-testing.ru/instrumentation.htm
4. http://ya.ru
Презентация Power Pointприлагается(файл с расширением .ppt)