Контакты

Для связи с нами можно использовать:
irc://irc.chatnet.ru:#gfs
icq://546460
email://cobalt[@]gfs-team.ru

Все материалы предоставлены только с ознакомительной целью
ГлавнаяСтатьиПереводыПассивный анализ сети
© перевод Cobalt 28.11.2007 статья не оптимизирована

Представляем вашему вниманию перевод статьи Стивена Бариша "Пассивный анализ 
сети". Оригинал статьи на английском расположен тут

В спорте есть одна хорошая общепризнанная мудрость, что хозяева поля имеют
преимущество; вот почему команды играющие в решающих встречах на своем поле 
часто выигрывают. Но по какой-то причине, мы редко думаем о преимуществе 
"домашнего поля" когда рассматриваем защиту наших сетей. В конце концов,
лучшая практика при построении безопасных сетей есть стратегия разделения
глубины в защите. Мы используем фаерволы, демилитаризованные зоны, VPNы, и 
настраиваем VLANы на наших свитчах, чтобы управлять потоком трафика внутрь и 
через периметр; используем сеть основанную IDS технологиях для определения
вторжения.

Это все - превосходные меры безопасности - и хотя они входят в понятие "лучшие 
методы", мы почему-то забываем что они представляют собой лишь тотже замок
на воротах нашего замка. Эти меры прекрасно работают пока требуется защетить
информацию внутри предприятия от доступа плохих ребят извне, но моментально
теряют всю свою эффективность против неизвестной угрозы или нападения изнутри;
и они мало помогают нам понять наши сети так, чтобы еще лучше их защитить.
Все это и есть то, что называется "преимуществом домашнего поля", зная хорошо
свою сеть, можно использовать методы злоумышленников против них же самих.

Паранойя? Возможно только лишь благоразумие...

Наша задача - выяснить как можно больше о нашей сети. В идеале, мы могли бы
спуститься в подвал и выяснить у сотрудников IT отдела детальную топологию,
адресное пространство, часто используемые порты и протоколы используемые в 
сети. Это кажеться наиболее интуитивно-правильным, но малые корпорации следят 
за этими данными намного лучше чем гиганские транснациональные компании, 
отчасти потому что, там меньше данных для отслеживания, а отчасти потому, что
в малых организациях IT отдел и отдел безопасности стараются работать более
слаженно.

Фактически, в больших компаниях имеется огромная проблема в этой сфере. 
Особенно если их бизнес-модель включает в себя рост путем поглащения и
присоединения более мелких корпораций. Иногда сотрудники IT даже не знают
всех маршрутов доступа в Интернет и степени их ограничения в связи с безопа-
сностью поглощенных предприятий. Это особенно актуально для компаний
развивающихся методом слияния и поглощения.

Первая вещь среди нужной нам для хорошей защиты сети информации, это карта
сети. Традиционно, как нападающие так и защищающие сеть, используют такие 
методы построения карты как nmap, те технологии основанные на получении 
ответа для определения существования хоста, определения открытых портов или
операционной системы. Эта технология основана на non-RFC ответах сервера
на "нерегламентированные" пакеты и используется довольно долгое время.
(Феодор (автор nmap - прим. переводчика) опубликовал довольно подробное 
описание этой технологии). Активная технология построения карты сети,
довольно мощная весчь, но и она имеет свои ограничения. Она подразумевает
существенное количество трафика в сети который может вызвать сбои в работе
некоторых приложений. В некоторых случаях nmap может вызвать нестабильность
операционной системы, хотя в последние годы это стало маловероятно. Также,
активные инструменты сканирования имеют известные проблемы, связанные с
наличием в сети фаерволов, NAT и фильтрующими пакеты маршрутизаторами. К
счастью, существуют также пассивные методы построения карты сети.

Теория пассивного анализа

Пассивный анализ сети это много больше чем простое обнаружение вторжения,
хотя и используется в большенстве своем именно для этой цели. Пассивные 
методы могут нанести на карту связи, идентифицировать порты и услуги 
испоьзуемые в сети, и могут даже идентифицировать операционные системы.
Ланс Спитзнер из проекта Honeynet при помощи Мишеля Залевски открыли
пассивные методы взятия "отпечатков пальцев", которые надежно идентифицируют
операционные системы по следам протокола TCP/IP. p0f v 2.0.8 авторства
Залевски один из лучших инструментов для пассивного определения ОС, будет 
использоваться в этой статье для демонстрации некоторых возможностей этой
технологии.

Ключем к пониманию пассивного анализа является знание того, что пассивный
анализ работает почти точно также как и активный. Единствинное отличие 
состоит в том, что они не сами посылают стимул-запрос хосту, а ожидают
пока это сделает кто-нибудь другой. На рисунке ниже показано как это 
выглядит:

Рис 1, Активный и пассивный анализ сети
При активном сценарии, цель А отвечает запросу посланному нашим компьютером используемым для построения карты. В пассивном сценарии цель А отвечает на запросы приходящие от нормального пользователя сети. В этом случае мы можем видеть какие порты и сервесы вовлечены в эту связь, время соединения и другую информацию, используя которую можно сделать предположения о характеристиках сети. Но при пассивной техники мы можем получить данные которые нам не даст активная: мы можем видеть сеть с точки зрения нормального пользователя и рекацию прикладных приложений на его действия. Это имеет некоторые преимущества над активными сканирующими решениями. Пассивный анализ не генерируют трафик в сканируемой сети, это может быть довольно важно в ситуации максимальной загруженности или если сеть имеет недостатучную пропускную способность для генерируемого трафика при активном сканировании. Пассивный анализ не вызывает предупреждений IDS и не оставляет данных в логах на серверах сети. В некоторых случаях пассивный анализ может фактически идентифицировать наличие в сканируемой сети фаерволов, маршрутизаторов, свичей использующих NAT и потенциально характирезуют хосты находящиеся за ними. Не смотря на все преимущества в технике пассивного сканирования также существуют и свои недостатки. При пассивном анализе всегда необходимо встроить датчик где-нибудь в анализируемой сети, будь то технические средства или програмное обеспечение. Датчик также необходимо размещать в таком месте топологии сети, чтобы это позволяло видеть интересующий нас трафик, что является довольно-таки не тривиальной задачей в сети со свичами. Наконец, утилиты для пассивного сканирования разрабатывают значительно меньше, что значительно осложняет задачу по аналитике, сбору данных и развертыванию. Для лучшего уяснения давайте рассмотрим типовой захват трафика используя Ethereal. Вы можете достич тогоже результата используя tcpdump, конечно если вы знаете как написать подходящие правило фильтрации BPF(Berkley Пакетный Фильтр). Ethereal предоставляет довольно много инструментов для экономии времени ленивого администратора, в том числе более гибкий язык фильтров, способный сортировать собранные пакеты по любому полю данных. Конечно перед тем как мы запустим сбор трафика и напишем фильтры полезно иметь представление о том что мы ищем - сервисы запущенные в нашей сети. Для начала, большинство сервисов связано с определенным номером порта. Эти "стандартные" порты назначают IANA (Internet Assigned Numbers Authority) и регестрируют в RFC для стандартных сервисов и протоколов TCP/IP. Нестандартные и неизвестные порты могут быть исследованы с помощью Internet Storm Center предоставляемого SANS Institute. Они также предос- тавляют превосходный материал об анализе сети вообще. Другое правило поможет нам отличить в сети сервера от клиентов. Вообщем, с серверов исходящие пакеты идут с порта за номером используемого сервиса. Так например, чтобы найти веб, вы будете искать TCP ответ с порта номер 80, исходящий из вашей внутренней сети. Чтобы продемонстрировать это, я захватил некоторое количество трафика из своей домашней сети и отсортировал его по порту источника. Там действительно присутствовал 80-й порт для адреса 192.168.254.2. Причем заметьте, чтобы определить это,мне не пришлось генерировать какой-либо трафик, все это я узнал лишь с помощью банального прослушивания сети. Можно было добиться тогоже результата используя nmap, но это потребовало бы введение в сеть дополнительного трафика.
Рис 2, Анализ веб-сессии с использованием Ethereal
Благодаря "волшебству" TCP/IP, мы можем получать в пассивном режиме практически туже информацию что и в активном. Мы также можем сделать некоторые предположение об операционных системах вовлеченных в захват трафика. Это возможно благодаря тому, что разные ОС по разному интерпретируют реализацию стека TCP/IP. В материале Спитзнера "Знай своего врага: Пассивное взятие отпечатков" (4 марта 2002) рассказывается о четырех параметрах, которые меняются в зависимости от ОС: TTL, Размер Окна, DF, и TOS. p0f 2.0 основывается на их анализе для идентификации операционной системы:
Рис 3, Пример сигнатуры p0f
Используя p0f для анализа трафика захваченного выше, мы определим что на веб сервере используется операционная система FreeBSD 6.x
Рис 4
Этот пример демонстрирует основные принципы при пассивном анализе сети. Мы можем использовать подобные инструменты и методы, чтобы характеризовать статистику (процент TCP, UDP, ARP, и т.п.) трафика, прослеживание связи, пропускную способность сети, номер и размер передаваемых пакетов, и т.п. Использование пассивного анализа Преимущество пассивного анализа в том, что вам действительно не придеться ничего делать чтобы собрать необходимые сведения о сети. Все нужные данные вы получите при нормальном режиме работы вашей сети. В нутри наших сетей постоянно происходит движение трафика от хостов и каждое из этих соединений является источником данных для нашего анализа. Вопрос для нас составляет то какую информацию мы хотим извлеч из этих данных: * Ситуативное Осознание Пассивные методы анализа могут рассказать нам многое о нашей сети. Без твердого понимания этой информации будет очень трудно развивать комплекс мероприятий по защите данных внутри нее. Например, если вы незнаете ваше адресное пространство, операционные системы используемые на хостах сети, как вы можете быть уверены что та или иная уязвимость не затрагивает вашу безопасность? Или на сколько правильно вы развернули IDS по отношению к топологии сети? * Политика осуществления Пассивный анализ может выявить незаконные сервисы и другие проступки пользователей практически мгновенно. Простой анализ трафика с помощью Ethereal или любого другого снифера позволяют выявить наличие в сети потокового видео, использование peer-to-peer протоколов, игровой активности и другие несанкционированные способы использования сети. Самый легкий спосб сделать это, использовать Ethereal как пакетный фильтр на диапазон ваших внутренних адресов, а потом отсортировать полученные пакеты по номерам портов TCP и UDP. В большинстве случаев вы будете видеть общий набор сервисов которые легко опознать как разрешенные. В конце концов троян не может использовать 80-й порт вместо какого-то нестандартного. * Обнаружение угроз Кроме того пассивный анализ может выявить некоторые угрозы в периметре Хороший пример бэкдор Wualess. Этот бэкдор открывает черный ход и пытается соединиться с сервером IRC на 5202 порт домена dnz.3322.org используя канал #Phantom. Есть три критерия по которым вы можете обнаружить эту уязвимость: наличие TCP порта 5202, IRC протокол вообще, и исходящие соединения на этот домен. Зная какой трафик разрешен в нашей сети, эту угрозу довольно просто выявить. * Случайный Ответ Пассивный анализ - неоценимый инструмент в случае атаки случайным отвеом. Нападающие не взламывают системы только чтобы владеть ими; они используют их. Пассивный контроль сети во время действия случайного ответа позволяет в реальном времени наблюдать за атакующими. * Указания и Предупреждения Многие из нас стремятся вессти "серые списки" доменов с которых проводятся нападения. Некоторые серые списки включают домены и сайты которые нарушают корпоративную политику (Онлайн-игры, порнография, интернет-аукционы и тп). Пассивный мониторинг исходящих соединений, а также использование таких утилит как dsniff, позволяет определить что нападение или несанкционировнное использование сети уже произошло. Также, наличие в логах p0f данных, указывающих на то, что пользователь сменил операционную систему, тоже могло бы стать поводом для беспокойства. Возможно пользователь применил двойную загрузку хоста чтобы скрыть свои действия или облегчить работу нападающим. Переключение с Windows на Linux осуществляется обычно именно для этого. Эти методы остаются довольно-таки неуклюжими сегодня, потому что существует довольно мало наборов утилит объединяющих инструменты для предоставления всего спектра методов пассивного сканирования. Темнемение, они имеют огромный потенциал и легко используются в большенстве малых и средних сетей базирую- щихся на опенсурс решениях. Зная структуру наших сетей мы можем легко использовать преимущество "домашнего поля" и обратить угрозу против нарушителей. _________________ Об авторе Стивен Бариш - Старший Директор в MacAulay, Brown Inc., был исследователем безопасности и практикующим специалистом начиная с 1992. Он содержит B.Sc. в Electrical Engineering и CISSP. © Стивен Бариш 2007-09-28



© перевод Cobalt 28.11.2007 статья не оптимизирована

e-Commerce Partners Network
Андрей написал:

Описывается банальный снифинг. Ничего нового.

Ник:

Текст:
P Br B I Qute



Код: обновить
Последние комментарии
17.08.2017 17:38:27 DanielBIOLA написал:
Ламинин Lamnine LPGN в Україні, в Украине, Украина Ckaйп evg7773 15-23-28...
Взлом домофонов
17.08.2017 00:22:06 Avia777dymn написал:
<b>Авиабилеты по РУ за 60 процентов от цены кассы.</b> по МИРУ...
Сайт снова работает!
16.08.2017 11:13:50 Avia777dymn написал:
<b>Авиабилеты по РУ за 60 процентов от цены кассы.</b> по МИРУ...
Предупреждение
Реклама

Тут должна была быть ваша реклама, но мы потеряли глиняную табличку с ее текстом. SapeId: 665044

Rambler's Top100