Принцип действия боевых номеронабирателей и сканеров
Российской Федерации
Новгородский Государственный ниверситет
Имени Ярослава Мудрого.
Кафедр Прикладная математик и информатика.
Реферат
Принцип действия боевых номеронабирателей и сканеров
Преподаватель:
Орлов А.С.
Предмет:
Экономические Основы Рынка
Программного Обеспечения
Студента группы <№ 3311
Jannat
Новгорода Великий
2005
ПЛАН
1. Из истории создания боевых номеронабирателей и сканеров
2. Боевые номеронабиратели
3. Номеронабиратели и настольная система даленной голосовой и видео связи Windows 2 Server
4. Сканеры и основные системные требования при работе с ними
5. Правовые вопросы использования сканеров
6. Принцип действия сетевых сканеров на примере сканера защищенности Shadow Security Scanner
6.1. Задание области сканирования
6.2. Задание сканируемых портов
6.3. Сетевые сервисы
6.4. Сканирование сетевых ресурсов
6.5. Сканирование портов, сбор данных
6.6. Анализ правил
6.7. Определение язвимостей
6.8. Представление результатов сканирования
6.9. Автоматическая подготовка отчета
7. SATAN, Jackal и другие сканеры
8. Вывод
Литература
Из истории создания боевых номеронабирателей и сканеров
Еще несколько десятилетий назад объем винчестеров стандартного персонального компьютера не превышал 10 Мбайт, а их оперативная память была всего-навсего 640 Кбайт. Модемы в том время работали на скоростях от 300 до 1200 бит/с, и мало кто из пользователей ПК слышал о глобальной компьютерной сети Internet. Разумеется, сеть существовала же тогда, но использовалась исключительно в военных целях, работ с ней осуществлялась только при помощи командной строки. Однако не это служило основным препятствием для массового доступа к сети Internet. Вычислительные машины, которые могли быть задействованы в качестве серверов, были очень дорогими - их стоимость исчислялась цифрами с пятью-шестью нулями (в долларах). Да и сами персональные компьютеры стоили тогда весьма недешево, поэтому приобрести их могли только обеспеченные люди.
Уже тогда некоторые владельцы персональных компьютеров могли, сидя дома за своей машиной, обзванивать при помощи модема телефонные номера. В большинстве случаев на другом конце провода также оказывался модем, и на экране появлялось предложение зарегистрироваться, то есть ввести логин и пароль. Получая такое предложение, пользователь мог бесконечно долго перебирать различные пары, пока наконец одна из пар не подойдет и взломщик не получит возможность даленно правлять компьютером, сидя у себя дома.
Выполнение такой рутинной работы по набору номеров и отыскиванию пар отнимало много времени и было нецелесообразным, так как тем же самым могла заниматься машина, задействуя часть собственных ресурсов. Поэтому неудивительно, что впоследствии было создано специальное программное обеспечение.
Боевые номеронабиратели
Это программное обеспечение, позволяющее не набирать вручную список команд, дозваниваясь по определенному номеру, получило название боевого номеронабирателя.
Боевой номеронабиратель представляет собой программу, обзванивающею заданные пользователем телефонные номера в поисках компьютеров, которые в ответ на поступивший звонок выдают регистрационное приглашение. Программа аккуратно сохраняет в файле на жестком диске все такие телефонные номера вместе с данными о скорости соединения с ними. Одним из самых известных и совершенных боевых номеронабирателей является TONELOC, предназначенный для работы в среде операционной системы DOS (он может быть запущен под правлением Windows 95/98 в режиме командной строки). Существуют и другие номеронабиратели, например, интегрированные в систему Windows 2 Server.
Стандартный автоматический номеронабиратель способен перебрать десять тысяч чисел (что, разумеется, немало) примерно за семь минут, если количество попыток ввода кодов на один звонок будет неограниченным.
Номеронабиратели и настольная система даленной голосовой и видео связи Windows 2 Server
Интегрированный в систему Windows 2 Server номеронабиратель можно использовать для простой связи с кем-нибудь по сети. В решении такого типа, которое может быть построено на программируемой сетевой инфраструктуре системы Windows 2 Server, номеронабиратель может использовать интерфейс TAPI, стандарт H.323 службы поиска информации, что создает никальное настольное решение для набора номера. Номеронабиратель создает на базе Windows телефонную трубку и осуществляет обработку вызовов при наборе номера, поддерживает функцию ответа, переадресации и ряд других функций, когда он используется вместе с телефонами или коммутаторами, интегрированными с интерфейсом TAPI.
Номеронабиратель можно также использовать для размещения голосовых вызовов по протоколу IP в любой системе с номеронабирателем в сети, используя простой микрофон и мультимедийные громкоговорители, подключенные к персональному компьютеру. Это значит, что можно размещать вызовы, которые будут переданы другому сотруднику компании, как только он войдет в сеть, даже через VPN-подключение для даленного доступа.
Ø Добавив к компьютеру недорогую видеокамеру, можно осуществлять по сети и видеотелефонную связь.
Ø С помощью номеронабирателя легко также выполнять вызовы конференции Ч благодаря интеграции со службой ILS системы Windows 2 Server.
Ø Номеронабиратель также может взаимодействовать с такими приложениями, как Microsoft NetMeeting и другими приложениями стандарта H.323, поскольку он основан на программируемой структуре открытых стандартов системы Windows 2 Server.
Наконец, номеронабиратель можно использовать для глобального размещения вызовов через телефонные сети PSTN, добавив к шлюзу PSTN голосовую связь по протоколу IP. Простой в работе номеронабиратель иллюстрирует грядущую мощь конвергенции телефонных сетей и сетей данных.
Дальнейшее совершенствование боевых номеронабирателей привело к созданию сканеров.
Сканеры и основные системные требования при работе с ними
Для обнаружения язвимостей ресурсов информационной сети используют специализированные программные продукты, называемые сканерами защищенности (security scanner).Эти программы предназначены для автоматизации процесса поиска слабостей в защите компьютеров, подключенных к сети в соответствии с протоколом TCP/IP. Наиболее совершенные сканеры обращаются к портам TCP/IP даленного компьютера и в деталях протоколируют отклик, который они получают от этого компьютера. Запустив сканер на своем компьютере, пользователь, скажем, из подмосковной Малаховки, даже не выходя из дома, может найти бреши в защитных механизмах сервера, расположенного, например, в Лос-Анджелесе.
Принцип работы сетевых сканеров заключается в следующем.
1. Компьютер с становленным на нем сканером подключается
к Интернет.
2. В заданном диапазоне IP-адресов производитсяпоиск доступных сетевых ресурсов,
идентификация сетевых сервисов и анализ их язвимости.
3. По результатам сканирования автоматически готовится отчет о состоянии защищенности
каждого сетевого ресурса, обнаруженных недостатках в системе защиты и оценке
опасности, с точки зрения использования этих недостатков для проникновения в систему.
Таким образом, сканеры позволяют анализировать работу всех сетевых стройств заданного сегмента сети без вхождения с ними в непосредственный контакт.
Если в базу данных сканера защищенности заложена информация о средствах защиты обнаруженных язвимых мест, то в отчете появятся и рекомендации по этому поводу.
Получив такого рода отчет, администратор сетевого ресурса может через Интернет попытаться найти необходимые средства защиты или обратиться к специалистам. И делать это нужно незамедлительно, так как точно также проанализировать доступность сетевых ресурсов может и злоумышленник. А затем определить, через какую дыру и как можно пролезть в систему.
Большинство сканеров предназначено для работы в среде операционной системы UNIX, хотя к настоящему времени такие программы имеются практически для любой операционной системы. Возможность запустить сканер на конкретном компьютере зависит от операционной системы, под правлением которой работает этот компьютер, и от параметров подключения к Internet. Есть сканеры, которые функционируют только в среде UNIX, с остальными операционными системами оказываются несовместимыми. Другие отказываются нормально работать на старевших компьютерах с Windows 3.11 и с медленным (до 14 400 бит/с) доступом к Internet, осуществляемым по коммутируемым линиям. На таких компьютерах постоянно будут выдаваться сообщения о переполнении стека, нарушении прав доступа или отказе системы.
Критичным является и объем оперативной памяти компьютера. Сканеры, которые правляются при помощи командной строки, как правило, более меренны в своих требованиях, предъявляемых к объему оперативной памяти. Сканеры, снабженные оконным графическим интерфейсом пользователя, требуют больше ресурсов памяти.
Создание сканера не требует больших силий при наличии знания протоколов TCP/IP, мения программировать на С или Perl и на языке сценариев. Необходимо также разбираться в программном обеспечении сокетов, но и в этом случае не следует ожидать, что созданный сканер принесет большую прибыль, поскольку в настоящее время предложение на рынке сканеров значительно превышает спрос на них. Поэтому наибольшая отдача от силий, вложенных в написание сканера, будет скорее моральной (от осознания хорошо выполненной работы), нежели материальной.
Правовые вопросы использования сканеров
Обычно сканеры создаются и используются специалистами в области сетевой безопасности. Как правило, они распространяются через сеть Internet, чтобы с их помощью системные администраторы могли проверять компьютерные сети на предмет наличия в них изъянов. Поэтому обладание сканерами, равно как и их использование на практике, вполне законно. Однако рядовые пользователи, не являющиеся системными администраторами, должны быть готовы к тому, что, если они будут применять сканеры для обследования чужих сетей, то могут встретить сопротивление со стороны администраторов этих сетей. Более того, некоторые сканеры в процессе поиска брешей в защите компьютерных сетей предпринимают такие действия, которые по закону могут квалифицироваться как несанкционированный доступ к компьютерной информации, или как создание, использование и распространение вредоносных программ, или как нарушение правил эксплуатации компьютеров, компьютерных систем и сетей.
И если следствием этих деяний стало уничтожение, блокирование, модификация или копирование информации, хранящейся в электронном виде, то виновные в них лица в соответствии с российским законодательством подлежат головному преследованию. А значит, прежде чем начать пользоваться первым попавшимся freeware сканером для UNIX-платформ, стоит бедиться, не копирует ли случайно этот сканер заодно и какие-нибудь файлы с диска тестируемой им хост-машины (например, файл password из каталога /ETC).
Принцип действия сетевых сканеров на примере сканера защищенности Shadow Security Scanner
Сканер защищенности Shadow Security Scanner () является достаточно мощным и надежным средством для обнаружения недостатков в системе защиты сетевых злов
(персональных компьютеров, рабочих станций, серверов). Для поиска язвимостей в сканер встроены как стандартные средства тестирования сети, так и специализированные,
имитирующие действия злоумышленника по проникновению в компьютерные системы, подключенные к сети. Гибкая модульная архитектура сканера позволяет постоянно перестраивать его возможности, добавляя новые модули, эмулирующие новые варианты компьютерных атак.
Процесс сканирования можно изобразить в виде пошаговой процедуры, представленной на рис.1, семь этапов которой однозначно соответствуют функциональным частям сетевого
сканера:
1. Задание параметров сеанса сканирования;
2. Автоматическое обнаружение сетевых ресурсов;
3. Сбор данных;
4. Анализ данных;
5. Определение язвимостей;
6. Представление результатов сканирования;
7. Автоматическая подготовка отчета.
Сканер предоставляет дружественный интерфейс и добное меню, основные функции которого вынесены в виде ликонок, как показано на рис.2.
Рис.2. Главное меню сканера.
Возможности данного сетевого сканера, соответствуют поэтапной апроцедуре сканирования, показанной на рис.1. Для начала следует настроить абазовые параметры сканирования:
Ø азадание диапазона IP-адресов (рис.3);
Ø азадание сканируемых портов (рис.4);
Ø азадание анализируемых сетевых служб (рис.5).
Задание области сканирования
Задаваемый диапазон IP-адресов может быть непрерывным, разрывным, из него могут быть далены какие-то отдельные злы - эти параметры задаются пользователем в каждом конкретном сеансе сканирования.
Задавая область сканирования, пользователь может использовать следующие функции:
Ø адобавить узел (Add Host);
Ø адобавить диапазон (Add IP Zone);
Ø аисключить узел (Delete Host).
Задание сканируемых портов
Порты компьютера или любого другого активного сетевого стройства служат для организации взаимодействия по какому-либо сетевому протоколу. Их назначение и способы использования стандартизованы и для любой операционной системы абсолютно одинаковы. Например:
21 порт - FTP (File Transfer Protocol);
22 порт - SSH (Secure Shell Remote Login Protocol);
23 порт - TELNET;
и т.д.
Если порт открыт, то по соответствующему протоколу приложение может связаться с одним или несколькими другими злами в сети. Но это и есть источник опасности, так как связаться с некоторым злом в сети можно не только с целью информационного обмена, но и с вредными помыслами.
У серверных систем (типа Windows NT или UNIX) обычно открыто значительное число портов - это связано с предоставляемыми этими системами сервисами и это является источником повышенной опасности. При правильной настройке сервисных служб опасность снижается, но не исключается вовсе.
У клиентских систем (типа Windows 95/98) обычно все порты закрыты. Они открываются при активизации какого-либо сетевого приложения (при считывании или отправке электронной
почты, пересылке файлов и т.п.) и закрываются автоматически при его завершении. Ввиду незначительной продолжительности таких операций, гроза проникновения считается незначительной (если только в самом считываемом почтовом послании или
скачиваемом файле не содержится вредоносных программ). Опасность значительно возрастает, когда клиентские рабочие станции объединяют по протоколу NetBIOS (139 порт Ц
NetBIOS Service Session) в локальную сеть с целью использования общих дисковых ресурсов, принтеров, сканеров ит.д. В этом случае каждый частник этого локального объединения должен
представлять себе в общем виде те неприятности, которые могут случиться с его системой по вине соседей и, наоборот, с системами соседей по его вине.
Итак, в параметрах настройки сеанса сканирования можно указать все порты (с 1-ого порта по 65301) или выборочно включать/выключать отдельные порты в зависимости от проводимого исследования.
Сетевые сервисы
Как же отмечалось, наиболее язвимыми с точки зрения проникновения в систему являются серверные службы. В зависимости от количества включенных серверных служб и качества их настройки эта опасность может возрастать или бывать.
Кроме того, становка дополнительных программных продуктов может изменить какие-то настройки сетевых сервисов, открыть ранее закрытые порты.
Сканер защищенности помогает администратору сервера, во-первых, изначально проверить защищенность системы в целом и, во-вторых, в последующем отслеживать состояние системы
защиты. Дело в том, что любой злоумышленник, единожды проникнув в систему, первым делом изменяет параметры настройки для того, чтобы в последующем облегчить себе проникновение в систему и обеспечить более комфортный режим работы. Эти изменения администратор может обнаружить, воспользовавшись сканером, еще до того, как действия злоумышленника принесут непоправимый вред.
При настройке параметров сеанса сканирования пользователь может включить все известные сетевые службы или провести выборочное сканирование. Необходимо помнить, что сетевые технологии развиваются стремительно, и появление какого-то нового сервиса может быть не предусмотрено текущей версией сетевого сканера. Помочь в этом случае может только
регулярное обновление версии сканера.
Заданием сканируемых сетевых служб заканчивается настройка параметров сеанса сканирования, и затем следует собственно процедура сканирования заданного сегмента сети и анализа собранных результатов (этапы II-VII процедуры, представленной на рис.1).
Сканирование сетевых ресурсов
Сканирование сетевых ресурсов, автоматическое обнаружение узлов и слуг (рис.6) позволяет собирать информацию о всех сетевых стройствах, находящихся в исследуемой сети, таких как и почтовые сервера, межсетевые экраны, также маршрутизаторы, сервера даленного доступа и т.д. Эта функция позволяет пользователям составить полную картину работающих в сети активных устройств и активизированных сетевых слуг путем опроса сетевых стройств по протоколам TCP/IP, SNMP, SMTP и др.
Сканер выполняет проверку всех IP-адресов и портов из заданного диапазона и таким образом строит карту сегмента сети.
Сканирование портов, сбор данных
По созданной карте сегмента сети сканер начинает сбор данных по всем сетевым ресурсам.
Для каждого IP-адреса сканер через службу доменных имен определяет сетевое логическое имя.
Используя процедуру сканирования портов, он определяет активные порты каждого сетевого зла. Как же отмечалось, в процессе конфигурирования и настройки сетевого сканера можно
задать некоторые специальные правила, по которым будет происходить процедура сканирования (например, выборочное сканирования заданных портов или сканирование потенциально
наиболее опасных). Естественно, подобное исследование сегмента сети значительно величит сетевой трафик.
анализ правил
На третьем этапе сканер анализирует собранную информацию с целью определения базовых параметров (типа операционной системы, включенных сетевых сервисов и т.п.) и потенциально возможных недочетов, обычно присутствующих в настройках ОС и сетевых служб, именно:
Ø ауже обнаруженные дыры в Windows NT и UNIX-системах;
Ø апроблемы с настройкой широко используемых сервисов типа telnet, FTP, HTTP - тривиальные пароли и пр.;
Ø анедостатки в настройки специализированных служб типа firewall;
Ø апроблемы в настройке системы электронной почты.
Сведения о вышеуказанных потенциальных ошибках и недочетах в настройке программного обеспечения заложены в базу данных сканера в виде правил, которые система пытается применить для каждого конкретного зла из заданного диапазона. аданном случае сканер просто перебирает различные варианты язвимости и отмечает цветом степень их потенциальной опасности (чем краснее - тем опасней).
Определение язвимостей
Используя подобранные варианты потенциальных недостатков в системе защиты, сканер пытается проверить, присутствуют ли эти недостатки в каждом из анализируемых
узлов. Например, для служб, использующих идентификатор пользователя и пароль для доступа к ресурсам, сканер пытается подобрать пароль.
Этот этап исследования является активным, он предполагает достаточно большое количество запросов, посылаемых по сети к каждому исследуемому злу (например, при подборе пароля используется база из нескольких тысяч типичных вариантов и плюс генератор паролей), но никаких деструктивных действий сканер не производит.
Представление результатов сканирования
Результаты сканирования каждого зла сети представляются в виде таблицы, состоящей из четырех разделов:
Ø аобщие сведения;
Ø аобнаруженные язвимости;
Ø аоперационная система;
Ø асписок портов и соответствующих им функций.
Как же отмечалось, сканер обладает добным дружественным интерфейсом. Выбрав одну из строк списка (рис.7), можно получить краткое описание проблемы (рис.8).
Последняя строка описания обнаруженной проблемы содержит http-ссылку на сайт комитета CVE (Common Vulnerabilities and Exposures, общих уязвимостей и воздействия), где содержится исчерпывающее описание обнаруженной уязвимости системы защиты и рекомендации по ее странению.
Следующая важная информация, представляемая по результатам сканирования, - список открытых портов и степень их опасности для системы в целом (рис.10).
На представленном рисунке цветом очень наглядно выделены наиболее язвимые порты.
втоматическая подготовка отчета
Отчет содержит подробные результаты выполненного исследования уязвимости сегмента сети.
Отчет подразделяется на несколько частей. Первая часть содержит общее описание выполненного исследования, некоторые статистические показатели: число сетевых узлов, число обнаруженных недостатков в системе защиты, наиболее язвимые злы, неудачно настроенные сетевые службы и протоколы.
Вторая часть отчета - результаты сканирования зла сети. В отчете собрана та же информация, которая была рассмотрена в разделе о представлении результатов сканирования, но представлена она не в виде одного из окон экранного интерфейса сетевого сканера, собрана в html-файле, который можно передать для анализа администратору и специалисту по безопасности, или же выложить на Интернет-сайте.
SATAN, Jackal и другие сканеры
Также среди сканеров большую известность получил SATAN (Security Administrator's Tool for Analyzing Networks). Этот сканер распространяется через Internet.
Ни одно средство анализа сетевой безопасности не вызывало столько споров, сколько пришлось на долю сканера SATAN. Газеты и журналы, и даже телевидение отреагировали на его появление грозными предупреждениями об опасности, которую для всех пользователей сетей представлял этот сканер.
И действительно, SATAN был довольно необычным для своего времени программным пакетом. Предназначенный для использования на рабочих станциях, работающих под правлением операционной системы UNIX, он обладает дружественным пользовательским интерфейсом. В нем имеются готовые формуляры, в которые пользователю остается только внести минимальные сведения об анализируемом сетевом объекте, также таблицы, которые автоматически заполняются по мере накопления информации. При нахождении какого-либо изъяна в сетевой защите пользователю предлагается воспользоваться контекстно-зависимой справкой, чтобы лучше понять суть обнаруженного изъяна. Разработчиками сканера SATAN являются американцы Д. Фармер (D. Farmer) и У. Венема (W. Venema) Ч талантливые программисты, хакеры и авторитетные специалисты в области сетевой безопасности.
Отрицательной чертой сканера SATAN, по мнению многих пользователей, является его повышенная требовательность к системным ресурсам, особенно к производительности центрального процессора и объему оперативной памяти. Поэтому тем пользователям, которые хотят воспользоваться сканером SATAN, но имеют компьютеры с ограниченными ресурсами, можно посоветовать их величить. Если это по каким-либо причинам не реализуемо, следует попытаться избавиться от выполнения лишних процессов и работать с SATAN с помощью командной строки.
Еще один сканер а<- Strobe (Super Optimized TCP Port Surveyor) исследует порты TCP/IP выбранного компьютера и протоколирует все полученные сведения. Основное достоинство Strobe - быстрот сканирования. Если компьютер, на котором запущен Strobe, подключен к Internet через модем, работающий со скоростью 28800 бит/с, то на полное сканирование сервера ему понадобится всего около 30 с. Однако полученная информация будет довольно скудной - лишь общие диагностические сведения о сетевых службах сервера. Кроме того, в хост-машине, подвергшейся сканированию с помощью Strobe, этот факт не останется не замеченным (скорее всего, он будет зафиксирован в файле /var/adm/messages
Сканер JackalЧ это так называемый сканер-"призрак". Он анализирует сетевые домены, проникая сквозь брандмауэры и не оставляя при этом никаких следов своего проникновения
Сканер NSS (Network Security Scanner) замечателен прежде всего тем, что написан на языке Perl и, следовательно, может быть легко перенесен на любую платформу, для которой имеется интерпретатор этого языка. Другим достоинством NSS является скорость его работы.
И наконец, существуют сканеры зкой специализации: такие, как IdentTCPscan (предназначен для определения регистрационного имени пользователя, работающего с данным портом TCP/IP), FSPScan (осуществляет поиск серверов, которые поддерживают сетевой протокол FSP), XSCAN (анализирует Х-серверы с целью нахождения изъянов в их конфигурации) и CONNECT (ищет серверы, работающие с протоколом TFTP). Все эти сканеры можно найти в Сети по тем же адресам, что и Jackal и NSS.
Вывод
Номеронабиратели, ставшие предвестниками появления сканеров, в настоящий момент используются мало, и практически потеряли актуальность.
В то же время развитие корпоративных и домашних сетей порождает потребность в программном обеспечении, способном определить уязвимости этих сетей и по возможности странить недостатки. Этим программным средством являются сканеры.
Использование сетевого сканера (конкретно или же какого-либо другого) позволяет:
1. наглядно показать администраторам рабочих групп или отдельных серверов недостатки в их системе защиты, помочь в их странении
2. вооружить администратора сети мощным инструментом, повышающим безопасность сети за счет ликвидации отдельных язвимых мест или проведения дополнительных мер по защите сети
3. Разработать методику, ограничивающую использование в сети высокоопасных сетевых служб и технологий взаимодействия.
Литература
1. Ермаков А.В. Использование сетевого сканера для повышения защищенности корпоративной информационно-вычислительной сети, М.: Институт прикладной математики им. М.В.Келдыша РАН, 2001
2. домен сайта скрыт/books/90/4/Index1.htm
3. домен сайта скрыт/instrumentation.htm
Презентация Power Point прилагается(файл с расширением.ppt)