Тема: Изучение теоретических аспектов, механизмов работы и вариантов совместного применения межсетевого экрана и сетевого сканера на примере по agnitum Outpost и xspider




Скачать 167.02 Kb.
НазваниеТема: Изучение теоретических аспектов, механизмов работы и вариантов совместного применения межсетевого экрана и сетевого сканера на примере по agnitum Outpost и xspider
Дата публикации12.04.2014
Размер167.02 Kb.
ТипЛабораторная работа
litcey.ru > Информатика > Лабораторная работа
Лабораторная работа №1

Проверка компьютера на предмет наличия уязвимостей
Тема:

Изучение теоретических аспектов, механизмов работы и вариантов совместного применения межсетевого экрана и сетевого сканера на примере ПО Agnitum Outpost и XSpider.
Цель работы:

1) изучение механизмов работы средств обеспечения и поддержки сетевой защиты – брандмауэра и сетевого сканера;

2) практическое ознакомление с работой сетевого сканера XSpider и межсетевого экрана «Outpost»;

3) изучение работы рассматриваемых систем в «совместном» режиме для защиты и тестирования рабочих станций на наличие уязвимостей.


  1. Теоретические сведения.

Интенсивная информатизация государственных и муниципальных управленческих структур, промышленных предприятий и корпораций, силовых ведомств, научных, медицинских и других учреждений выдвинула на первый план вопросы безопасности информационных ресурсов.

Среди угроз безопасности информации значительное место занимает автоматическое внедрение в компьютеры программных закладок, способных скрыто отслеживать и передавать злоумышленнику данные о функционировании компьютера, обрабатываемой на нем информации, а также о всей компании в целом. Кроме того, проблемы компьютерным сетям предприятий создают факты проникновения компьютерных хулиганов, которые, взломав систему сетевой защиты компании, могут завладеть конфиденциальной информацией или нанести физический вред оборудованию, используя специализированное вредоносное ПО.

Подобные ситуации возникают из-за уязвимостей в системе корпоративной защиты компании, в основном связанные с открытыми портами неиспользуемых сервисов, работающих вхолостую. Как правило, через «дыры» в данных сервисах осуществляется большая часть удачных атак извне, которые, зачастую, кончаются потерей компанией секретных данных.

Ярким примером наличия подобных уязвимостей могут послужить популярные операционные системы WindowsXP и FreeBSD. Так, в MS Windows, по-умолчанию, работает довольно много неиспользуемых сервисов, которые в большинстве своем связаны с открытыми портами, через которые злоумышленник может провести атаку. Всем, наверное, известен факт, когда множество «автономных» пользовательских компьютеров пострадали во всем мире в результате атаки на порт 135 (RPC). Что касается FreeBSD, то здесь также после стандартной установки в системе работают демоны, которые в обычных случаях не требуются, а значит, являются дополнительными источниками уязвимостей в компьютере. Атаки на почтовый сервер sendmail приводят к полному получению злоумышленником контроля над хостом. Откуда sendmail, спросите вы? Да, иногда, в UNIX-системах, в том числе адаптированных для работы в качестве рабочей станции, в конфигурации «по-умолчанию» можно встретить и такие сервисы…

Необходимо отметить, что на сегодняшний день работы по проникновению злоумышленников через «дыры» в защите на 90% автоматизированы. Поэтому, «самостоятельное» появление вредоносного ПО на вашем компьютере, которое встречается сегодня очень часто, связано в большинстве случаев с наличием непреднамеренных лазеек в неиспользуемых, а значит, не обновляющихся, службах.

Тем не менее, при использовании специальных средств защиты, подобных нежелательных событий можно, как правило, избежать.

Основными средствами защиты на сегодняшней день являются две категории специализированных программ:

    • Межсетевые экраны (брандмауэры, FireWall, МСЭ);

    • Сканеры (сканеры открытых портов и сервисов).


Следует сказать, что брандмауэр – основной механизм в сети программной и аппаратной защиты рабочих станций и серверов от атак извне и изнутри.

Сканер – это вспомогательный программный инструмент, позволяющий провести групповое тестирование параметров хостов сети, а также определить наличие и правильность настройки в них МСЭ.

Эти два класса систем в комплексе позволяют построить эффективную эшелонированную систему защиты компании, значительно снизив тем самым вероятность вторжения в сеть злоумышленников.



    1. Системы программной и аппаратной защиты рабочих станций – брандмауэры (FireWalls).
^

Архитектура firewall


Firewall — это шлюз сети, снабженный правилами защиты. Он может быть аппаратным или программным. В соответствии с заложенными правилами обрабатывается каждый пакет, проходящий наружу или внутрь сети, причем процедура обработки может быть задана для каждого правила. Производители программ и машин, реализующих firewall-технологии, обеспечивают различные способы задания правил и процедур. Обычно firewall создает контрольные записи, детализирующие причину и обстоятельства возникновения внештатных ситуаций. Анализируя такие контрольные записи, администраторы часто могут обнаружить источники атаки и способы ее проведения.
^

Фильтрация пакетов (packet filtering firewalls)


Каждый IP-пакет проверяется на совпадение заложенной в нем информации с допустимыми правилами, записанными в firewall.

Параметры, которые могут проверяться:

  • физический интерфейс движения пакета;

  • адрес, с которого пришел пакет (источник);

  • адрес, куда идет пакет (получатель);

  • тип пакета (TCP, UDP, ICMP);

  • порт источника;

  • порт получателя.

Механизм фильтрации пакетов не имеет дела с их содержанием. Это позволяет использовать непосредственно ядро операционной системы для задания правил. В сущности, создаются два списка: отрицание (deny) и разрешение (permit). Все пакеты должны пройти проверку по всем пунктам этого списка. Далее используются следующие методы:

  • если никакое правило соответствия не найдено, то удалить пакет из сети;

  • если соответствующее правило найдено в списке разрешений, то пропустить пакет;

  • если соответствующее правило найдено в списке отрицаний, то удалить пакет из сети.

В дополнение к этому firewall, основанный на фильтрации пакетов, может изменять адреса источников пакетов, выходящих наружу, чтобы скрыть тем самым топологию сети (метод address translation), плюс осуществляет условное и безусловное перенаправление пакетов на другие хосты. Отметим преимущества firewall, основанного на фильтрации пакетов:

  • фильтрация пакетов работает быстрее других firewall-технологий, потому что используется меньшее количество проверок;

  • этот метод легко реализуем аппаратно;

  • одно-единственное правило может стать ключевым при защите всей сети;

  • фильтры не требуют специальной конфигурации компьютера;

  • метод address translation позволяет скрыть реальные адреса компьютеров в сети.

Однако имеются и недостатки:

  • нет проверки содержимого пакетов, что не дает возможности, например, контролировать, что передается по FTP. В этом смысле application layer и circuit level firewall гораздо практичнее;

  • нет информации о том, какой процесс или программа работали с этим пакетом, и сведений о сессии работы;

  • работа ведется с ограниченной информацией пакета;

  • в силу «низкоуровневости» метода не учитывается особенность передаваемых данных;

  • слабо защищен сам компьютер, на котором запущен firewall, то есть предметом атаки может стать сам этот компьютер;

  • нет возможности сигнализировать о внештатных ситуациях или выполнять при их возникновении какие-либо действия;

  • возможно, что большой объем правил будет тормозить проверку.
^

Firewall цепного уровня (circuit level firewalls)


Поскольку при передаче большой порции информации она разбивается на маленькие пакеты, целый фрагмент состоит из нескольких пакетов (из цепи пакетов). Firewall цепного уровня проверяет целостность всей цепи, а также то, что она вся идет от одного источника к одному получателю, и информация о цепи внутри пакетов (а она там есть при использовании TCP) совпадает с реально проходящими пакетами. Причем цепь вначале собирается на компьютере, где установлен firewall, а затем отправляется получателю. Поскольку первый пакет цепи содержит информацию о всей цепи, то при попадании первого пакета создается таблица, которая удаляется лишь после полного прохождения цепи. Содержание таблицы следующее:

  • уникальный идентификатор сессии передачи, который используется для контроля;

  • состояние сессии передачи: установлено, передано или закрыто;

  • информация о последовательности пакетов;

  • адрес источника цепи;

  • адрес получателя цепи;

  • физический интерфейс, используемый для получения цепи;

  • физический интерфейс, используемый для отправления цепи.

Эта информация применяется для проверки допустимости передачи цепи. Правила проверки, как и в случае фильтрации пакетов, задаются в виде таблиц в ядре. Основные преимущества firewall цепного уровня:

  • firewall цепного уровня быстрее программного, так как производит меньше проверок;

  • firewall цепного уровня позволяет легко защитить сеть, запрещая соединения между определенными адресами внешней и внутренней сети;

  • возможно скрытие внутренней топологии сети.

Недостатки firewall цепного уровня:

  • нет проверки пакетов на программном уровне;

  • слабые возможности записи информации о нештатных ситуациях, кроме информации о сессии передачи;

  • нет проверки передаваемых данных;

  • трудно проверить разрешение или отрицание передачи пакетов.
^

Firewall программного уровня


Помимо целостности цепей, правильности адресов и портов, проверяются также сами данные, передаваемые в пакетах. Это позволяет проверять целостность данных и отслеживать передачу таких сведений, как пароли. Вместе с firewall программного уровня используется proxy-сервис, который кэширует информацию для более быстрой ее обработки. При этом возникают такие новые возможности, как, например, фильтрация URL и установление подлинности пользователей. Все соединения внутренней сети с внешним миром происходят через proxy, который является шлюзом. У proxy две части: сервер и клиент. Сервер принимает запросы, например на telnet-соединение из внутренней сети с внешней, обрабатывает их, то есть проверяет на допустимость передачи данных, а клиент работает с внешним компьютером от имени реального клиента. Естественно, вначале все пакеты проходят проверку на нижних уровнях. Достоинства proxy:

  • понимает и обрабатывает протоколы высокого уровня типа HTTP и FTP;

  • сохраняет полную информацию о сессии передачи данных как низкого, так и высокого уровня;

  • возможен запрет доступа к некоторым сетевым сервисам;

  • есть возможность управления пакетами данных;

  • есть сокрытие внутренних адресов и топологии сети, так как proxy является фильтром;

  • остается видимость прямого соединения сетей;

  • proxy может перенаправлять запросы сетевых сервисов на другие компьютеры;

  • есть возможность кэширования http-объектов, фильтрации URL и установления подлинности пользователей;

  • возможно создание подробных отчетных записей для администратора.

Недостатки proxy:

  • требует изменения сетевого стека на машине, где стоит firewall;

  • нельзя напрямую запустить сетевые сервисы на машине, где стоит firewall, так как proxy перехватывает работу портов;

  • неминуемо замедляет работу, потому все данные обрабатываются дважды: «родной» программой и собственно proxy;

  • так как proxy должен уметь работать с данными какой-либо программы, то для каждой программы нужен свой proxy;

  • нет proxy для UDPи RPC;

  • иногда необходима специальная настройка клиента для работы с proxy;

  • proxy не защищен от ошибок в самой системе, а его работа сильно зависит от наличия последних;

  • корректность работы proxy напрямую связана с правильностью обработки сетевого стека;

  • использование proxy может требовать дополнительных паролей, что неудобно для пользователей.
^

Динамическая фильтрация пакетов (dynamic packet filter firewalls)


В основном этот уровень повторяет предыдущий, за двумя важными исключениями:

  • возможно изменение правил обработки пакетов «на лету»;

  • включена поддержка UDP.
^

Уровень kernel proxy


Уровень kernel proxy возник достаточно недавно. Основная его идея — попытка поместить описанный выше алгоритм firewall программного уровня в ядро операционной системы, что избавляет компьютер от лишних затрат времени на передачу данных между ядром и программой proxy. Это повышает производительность и позволяет производить более полную проверку проходящей информации.
^ Примеры межсетевых экранов


  1. Аппаратный (D-Link)



DFL-1100


Межсетевой экран для сетей крупных предприятий




2. Программный (Agnitum Outpost)




    1. Вспомогательные системы обеспечения безопасности компьютерных сетей - сканеры.

Архитектура сканера

Основной принцип функционирования сканера заключается в эмуляции действий потенциального злоумышленника по осуществлению сетевых атак. Поиск уязвимостей путем имитации возможных атак является одним из наиболее эффективных способов анализа защищенности АС, который дополняет результаты анализа конфигурации по шаблонам, выполняемый локально с использованием шаблонов (списков проверки). Современные сканеры способны обнаруживать сотни уязвимостей сетевых ресурсов, предоставляющих те или иные виды сетевых сервисов. Их предшественниками считаются сканеры телефонных номеров (war dialers), использовавшиеся с начала 80-х и непотерявшие актуальности по сей день. Первые сетевые сканеры представляли собой простейшие сценарии на языке Shell, сканировавшие различные TCP-порты. Сегодня они превратились в зрелые программные продукты, реализующие множество различных сценариев сканирования. Современный сетевой сканер выполняет четыре основные задачи:

  • Идентификацию доступных сетевых ресурсов;

  • Идентификацию доступных сетевых сервисов;

  • Идентификацию имеющихся уязвимостей сетевых сервисов;

  • Выдачу рекомендаций по устранению уязвимостей.

В функциональность сетевого сканера не входит выдача рекомендаций по использованию найденных уязвимостей для реализации атак на сетевые ресурсы. Возможности сканера по анализу уязвимостей ограничены той информацией, которую могут предоставить ему доступные сетевые сервисы. Принцип работы сканера заключается в моделировании действий злоумышленника, производящего анализ сети при помощи стандартных сетевых утилит, таких как host, showmount, traceout, rusers, finger, ping и т. п. При этом используются известные уязвимости сетевых сервисов, сетевых протоколов и ОС для осуществления удаленных атак на системные ресурсы и осуществляется документирование удачных попыток.

Число уязвимостей в базах данных современных сканеров медленно, но уверенно приближается к 10000.

Пример сканера XSpider





  1. Порядок выполнения работы.


Условия выполнения лабораторной работы. Данная работа должна выполняться в присутствии администратора компьютерного класса или уполномоченного им лица, которому предоставляются права на осуществление следующих действий в операционных системах Windows2000 – XP, работающих как в сетевом режиме, так и в одиночном режиме:

    1. права на установку программного обеспечения;

    2. права на работу как в составе рабочей группы или домена Windows, так и в составе локального администратора рабочей станции;

    3. права на предоставление учетной записи учащимся, позволяющей установку ПО.


Лабораторная работа проводится в двух вариантах:

  1. Автономный.

В компьютерном классе должны находиться не менее 2-х машин, объединенных в сеть. На первой устанавливается сетевой сканер или межсетевой экран. В случае установки МСЭ вторая машина используется для тестирования защиты первой от ICMP пакетов с помощью стандартной утилиты ping. При «автономном» тестировании сканера вторая машина будет использоваться в качестве исследуемого объекта.

  1. Совместный.

В компьютерном классе должны находиться также не менее 2-х машин, объединенных в сеть. На части из них устанавливается сканер, на остальных – МСЭ. При этом для проверки защиты рабочей станции от ICMP пакетов с помощью МСЭ (а также для тестирования сканера) будет использоваться сетевой сканер.
Администратор! Обрати внимание. После установки изучаемого ПО межсетевые экраны могут заблокировать доступ сетевого трафика к рабочим станциям, тем самым, нарушив работоспособность сети. Для предотвращения данной ситуации необходимо сразу назначить всем МСЭ политику «разрешения».
Порядок работы
Работа будет проходить в два этапа. Первый этап предназначен для изучения работы XSpider, Outpost и WindowsXP в «автономном» режиме. Второй этап – для изучения работы в совместном режиме. На каждом этапе студенты делятся на две группы, одна из которых будет работать с МСЭ, вторая – со сканером или псевдосканером (утилитой ping).

Действия, общие для двух этапов:

  1. Взять из папки \\m00\fit2005 файлы установки сканера XSpider и МСЭ Agnitum Outpost;

  2. На каждом рабочем месте выполнить установку сканера и МСЭ;

  3. При установке Outpost соглашаться со всеми вопросами. По окончании установки – перезагрузить машину;

  4. Перед началом работы перевести установленный МСЭ в режим разрешения. Открыть Outpost -> меню «Параметры» -> «Политики» -> выбрать режим «Разрешать»;

  5. Узнать имя и IP-адрес своего рабочего компьютера: «Пуск» -> «Выполнить» -> “cmd” -> “ipconfig /all”;


Этап 1. Автономный режим. Каждый студент из группы 1 должен работать в паре со студентом из группы 2.
Группа 1:

  1. Запустить пинг компьютера-соседа из группы 2: «Пуск» -> «Выполнить» -> “cmd” -> “ping ip-addr -t”; (утилита ping располагается в C:\windows\system32)

  2. Смотреть на ответные пинг-пакеты.

  3. Фиксировать моменты, когда ответные пакеты пропадают и появляются.

  4. Сравнить данные с моментами изменения конфигурации МСЭ напарником


Группа 2:

  1. Открыть Outpost;

  2. Зайти в меню «Параметры» -> «Системные» -> «ICMP параметры» -> отключить/включить эхо-запросы и ответы;

  3. Проверить состояние ответов на ping-запросы у напарника;

  4. Повторить п.1-2 несколько раз.


Поменяться с напарником ролями и повторить вышеуказанные пункты.
Этап 2. Совместный режим. Каждый студент из группы 1 должен работать в паре со студентом из группы 2.
Группа 1:

  1. Запустить утилиту сканирования сети XSpider;

  2. В меню «Правка» выбрать «Добавить хост»;

  3. Введите IP-адрес хоста напарника;

  4. Узнать у напарника текущий режим работы МСЭ;

  5. В меню «Сканирование» выберите «Старт все»;

Начнется попытка XSpider сканировать указанный хост. В случае, если на целевом хосте отключены ICMP-ответы, то сканирование происходить не будет без установки в XSpider специальной опции: меню «Профиль» -> «Редактировать текущий» -> «Поиск хостов» -> поставить галочку «Сканировать не отвечающие хосты».

6. Сбросить флаг «Сканировать не отвечающие хосты» для возврата XSpider в первоначальную конфигурацию.
Группа 2:

  1. Открыть Outpost;

  2. Зайти в меню «Параметры» -> «Системные» -> «ICMP параметры» -> отключить/включить эхо-запросы и ответы;

  3. Проверить, как работает XSpider у напарника;

  4. Повторить п.1-2 несколько раз для двух режимов XSpider – требующего ICMP-ответа и не требующего.


Поменяться с напарником ролями и повторить вышеуказанные пункты.

По завершению лабораторной работы установленное в процессе занятия ПО необходимо удалить из системы.


  1. Отчет


После окончания практической части лабораторной работы студенты должны предоставить письменный отчет, содержащий информацию о проделанной работе и ответы на вопросы в следующем формате:


  1. Ф.И.О.

  2. Ф.И.О. Напарника

  3. Имя и адрес рабочего компьютера.

  4. Имя и адрес исследуемого компьютера.

  5. Опишите утилиту ping, методы и случаи ее применения.

  6. Описать данные, полученные о компьютере напарника с помощью XSpider

  7. Какого типа уязвимости были найдены?

  8. Как можно предотвратить появление таких уязвимостей с помощью изученных средств?

  9. Какие еще сканеры и МСЭ вы знаете?(штук 5 посмотреть) Какие между ними и изученными отличия? (доп +)

  10. Выводы.


P.S.: Отчеты присылать в виде doc-файла к следующему занятию на e-mail преподавателей:

ptm@ngs.ru

Похожие:

Тема: Изучение теоретических аспектов, механизмов работы и вариантов совместного применения межсетевого экрана и сетевого сканера на примере по agnitum Outpost и xspider iconТема: Изучение теоретических аспектов, механизмов работы и вариантов...
Изучение механизмов работы средств обеспечения и поддержки сетевой защиты – брандмауэра и сетевого сканера
Тема: Изучение теоретических аспектов, механизмов работы и вариантов совместного применения межсетевого экрана и сетевого сканера на примере по agnitum Outpost и xspider iconЛабораторная работа №4 Тема: Операционная система Windows. Системы...
Цель работы: Научиться производить анализ защищенности операционной системы Windows xp и на основе анализа устранять «уязвимости»...
Тема: Изучение теоретических аспектов, механизмов работы и вариантов совместного применения межсетевого экрана и сетевого сканера на примере по agnitum Outpost и xspider iconЛабораторная работа №4 Тема : Операционная система Windows. Системы...
Тема: Операционная система Windows. Системы анализа защищенности корпоративной сети и ос на примере программы xspider
Тема: Изучение теоретических аспектов, механизмов работы и вариантов совместного применения межсетевого экрана и сетевого сканера на примере по agnitum Outpost и xspider iconЛабораторная работа 5 Тема: Подключение к рабочей группе. Работа с сетевыми папками
Цель работы: Научиться работать с рабочими группами и сетевыми папками: открытие общего сетевого доступа к папке, просмотр сетевой...
Тема: Изучение теоретических аспектов, механизмов работы и вариантов совместного применения межсетевого экрана и сетевого сканера на примере по agnitum Outpost и xspider iconБизнес-план это рабочий инструментом, используемый на сегодня во...
Целью дипломной работы является изучение бизнес-планирования деятельности сельскохозяйственного предприятия и его применения для...
Тема: Изучение теоретических аспектов, механизмов работы и вариантов совместного применения межсетевого экрана и сетевого сканера на примере по agnitum Outpost и xspider iconПлан работы сетевого центра мбоу «сош №11» в рамках муниципального сетевого проекта «мост»

Тема: Изучение теоретических аспектов, механизмов работы и вариантов совместного применения межсетевого экрана и сетевого сканера на примере по agnitum Outpost и xspider iconУчет собственного капитала
...
Тема: Изучение теоретических аспектов, механизмов работы и вариантов совместного применения межсетевого экрана и сетевого сканера на примере по agnitum Outpost и xspider iconТема Теоретические основы курса
Изучение менеджмента, также как и изучение цивилизаций и культуры, представляет собой исследование истории непрерывного изменения...
Тема: Изучение теоретических аспектов, механизмов работы и вариантов совместного применения межсетевого экрана и сетевого сканера на примере по agnitum Outpost и xspider iconОсобенности генеза зрительного восприятия
Происходит становление специализированных нервных механизмов, обеспечивающих адекватное отражение конкретных, определённых аспектов...
Тема: Изучение теоретических аспектов, механизмов работы и вариантов совместного применения межсетевого экрана и сетевого сканера на примере по agnitum Outpost и xspider iconЛабораторная работа №1
Цель работы: Изучение различий между процедурно – ориентированным и объектно-ориентированным подходами к разработке программ, механизмов...
Вы можете разместить ссылку на наш сайт:
Школьные материалы

При копировании материала укажите ссылку © 2013
контакты
litcey.ru
Сочинения
Лекции
Уроки
Доклады
Учебные

История
Философия
Финансы
Экономика

Главная страница