ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ РОССИЙСКОЙ ФЕДЕРАЦИИ
ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
«ВОРОНЕЖСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ»
(ГОУВПО «ВГТУ»)
Кафедра «Системы информационной безопасности»
Реферат
по дисциплине «Комплексное обеспечение информационной безопасности автоматизированных систем»
«Средства тестирования компьютерных сетей и возможности их применения при контроле состояния защищенности программной среды»
Выполнил: студент
группы ИБ-091
Плотников П. Г. _____
Проверил: проф.
Язов Ю. К. _______
Воронеж 2013
Содержание
ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ.
Основные определения и используемые сокращения:
ОС — операционная система.
ПО — программное обеспечение.
Фаззинг (Fuzzing) — это вид тестирования состояния защищённости объекта, когда вместо ожидаемых данных передаются случайные или специально сгенерированные некорректные данные.
Фраемворк - структура программной системы; программное обеспечение, облегчающее разработку и объединение разных компонентов большого программного проекта. Употребляется также слово «каркас». Можно также говорить о каркасном подходе как о подходе к построению программ, где любая конфигурация программы строится из двух частей: первая, постоянная часть — каркас, не меняющийся от конфигурации к конфигурации и несущий в себе гнезда, в которых размещается вторая, переменная часть — сменные модули (или точки расширения).
Сниффер - сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, предназначенного для других узлов.
Актуальность темы.
В связи с глобальным распространением компьютерных сетей и наличием конфиденциальной информации в них, задачи связанные с контролем защищённости программной среды в компьютерных сетях, становятся не чем-то особенным и редким, а вполне обыденным и необходимым. Для автоматизации контроля защищённости и избавления от рутинной работы, а также для стандартизации мер и способов контроля были разработаны специализированные средства, знание которых необходимо для эффективного выполнения поставленных задач.
Цель работы.
Целью работы является рассмотрение основных средств тестирования компьютерных сетей и возможностей их применения при контроле состояния защищённости программной среды.
Задачи работы.
Классифицировать средства тестирования компьютерных сетей.
Привести примеры представителей каждой ветки классификации средств.
Рассмотреть возможности самых популярных средств тестирования компьютерных сетей.
ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ
Какие задачи контроля решаются путем тестирования?
Классификация средств тестирования компьютерных сетей по функциональному назначению или функциональности:
1) Средства сканирования сети предназначены для сбора предварительной информации о компьютерной сети. Служат для решения таких задач как: построения топологии сети, анализ циркулирующего трафика, сбор статистики и конфиденциальных данных, сканирования портов, определения версий ОС, работающего ПО.
2) Средства поиска и эксплуатации уязвимостей предназначены для автоматического или автоматизированного поиска уже известных уязвимостей, с помощью специальных баз, или же ранее неизвестных в сетевом ПО, протоколах и их реализаций.
3) Комплексные средства включают в себя оба предыдущих пунктов и представляют собой модульные продукты, или сборки из нескольких утилит.
Представители соответствующей классификации:
1)nmap, pof, wireshark, intercepter-ng, sslstrip, spid
2)nessus, W3AF, netsparker, SQLMAP. Beef, ZAP, scapy, netcat, nmap, Сканер-ВС, Xspider
3) METASPLOIT, KaliLinux
Необходимо не забыть отметить, что Сканер-ВС, Xspider - это сертифицированные средства. Также отмечу, что nmap, благодаря системе расширений может быть классифицирован как комплексное средство.
Краткая информация по основным представителям веток классификации.
nmap - свободная утилита, предназначенная для разнообразного настраиваемого сканирования IP-сетей с любым количеством объектов, определения состояния объектов сканируемой сети (портов и соответствующих им служб). Изначально программа была реализована для систем UNIX, но сейчас доступны версии для множества операционных систем.
pof - пассивное средство для определения операционной системы на удалённом хосте. Кроме того, позволяет определить присутствие межсетевого экрана и NAT.
wireshark - программа-анализатор трафика для компьютерных сетей Ethernet и некоторых других. Имеет графический пользовательский интерфейс.
Функциональность, которую предоставляет Wireshark, очень схожа с возможностями программы tcpdump, однако Wireshark имеет графический пользовательский интерфейс и гораздо больше возможностей по сортировке и фильтрации информации. Программа позволяет пользователю просматривать весь проходящий по сети трафик в режиме реального времени, переводя сетевую карту в неразборчивый режим (англ. promiscuous mode).Программа распространяется под свободной лицензией GNU GPL и использует для формирования графического интерфейса кроссплатформенную библиотеку GTK+. Существуют версии для большинства типов UNIX, в том числе Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Mac OS X, а также для Windows.
Spid (Statistical Protocol IDentification) — средство определения протоколов по перехваченному траффику, основываясь на различных статистических и сигнатурных методах.
intercepter-ng - это многофункциональный снифер, предназначенный для перехвата паролей и переписки. Утилита способна перехватывать трафик, сообщения и пароли/хеши, находящиеся, в публичном доступе.
Основные возможности Intercepter-NG:
• Перехват паролей и хешей для таких протоколов, как ICQ, IRC, AIM, FTP, IMAP, POP3, SMTP, LDAP, BNC, SOCKS, HTTP, NNTP, CVS,Telnet, MRA, DC++, VNC, MySQL, Oracle.
• Перехват различных сообщений с отображением диалога в реальном времени.
• Поддержка юникода
• Перехват сообщений Gtalk, Mail.Агент
sslstrip - утилита, позволяющая организовать MITM атаку на ssl шифрованную сессию.
nessus - программа для автоматического поиска известных изъянов в защите информационных систем. Она способна обнаружить наиболее часто встречающиеся виды уязвимостей, например:
• Наличие уязвимых версий служб или доменов
• Ошибки в конфигурации (например, отсутствие необходимости авторизации на SMTP-сервере)
• Наличие паролей по умолчанию, пустых, или слабых паролей
Программа имеет клиент-серверную архитектуру, что сильно расширяет возможности сканирования.
W3AF - фреймворк для тестирования безопасности веб-приложений. Довольно мощный, расширяемый инструмент, которые позволяют решать широкий круг задач по эксплуатации уязвимостей компьютерной сети.
netsparker - Одна из ведущих коммерческих разработок для поиска и эксплуатации широкого круга уязвимостей в веб-приложениях.
SQLMAP - это программа с открытым исходным кодом, которая может стать отличным инструментом в руках пентестера. Главная задача сканера — автоматизированный поиск и эксплуатация sql уязвимостей. Sqlmap написан на python, а значит превосходно работает на большинстве современных операционных систем.
Beef - эксплуатационный фреймворк, нацеленный на уязвимости в браузерах.
ZAP - программа с открытым исходным кодом для проведения пентестов (тест на проникновение) веб-приложений, чтобы сделать их более безопасными. В некоторых случаях может автоматически найти некоторые уязвимости, но в первую очередь разрабатывался для помощи исследователям в ручном поиске. По сути это перехватывающий прокси, позволяющий просматривать весь проходящий трафик и ставить точки останова (контрольные точки — брейкпоинты). Кроме того, в состав входят как активный. Так и пассивный сканер уязвимостей.
scapy - утилита для интерактивной манипуляции пакетами. Позволяет Принимать и декодировать пакеты самых различных протоколов, ответить на запрос, инжектировать модифицированные и собственноручно созданный пакет. Также утилита позволяет решать классические задачи, такие как сканирование портов, построение маршрута до узла, определение инфраструктуры сети.
netcat - простая и надёжная утилита для работы с сокетами, позволяющая читать и писать данные в TCP и UDP соединениях, сканировать порты, разрешать DNS-запросы, посылать любые команды со стандартного ввода, выполнять заранее предопределённые действия в ответ на соединение.
Сканер-ВС (Сканер Вычислительных Систем) - это комплексное средство анализа защищённости вычислительных систем, мобильное место администратора безопасности, также является инструментом проведения сертификации и различных инспекционных проверок автоматизированных систем. Сертифицированное СЗИ и средство контроля эффективности защиты информации.
Сканер-ВС запускается с носителя информации, предоставляя независимую доверенную среду для администратора безопасности, включает широкий набор инструментальных средств тестирования и мониторинга. Сканер-ВС предназначен для поиска уязвимостей сетей, исследования топологии сети и инвентаризации сетевых сервисов, локального и сетевого аудита паролей, поиска остаточной информации на диске, локального анализа и снятия снимка состояний системы (аппаратная и программная конфигурация, история подключений USB-устройств), обеспечивает пассивный и активный перехват сетевого трафика, также его последующий анализ (например, поиск открытых и зашифрованных паролей). Также обеспечивает оперативный контроль (сканирование), мониторинг и анализ защищённости системы от атак (программно-аппаратных воздействий), контроль соблюдения требований защищённости, а также инвентаризацию сети.
Xspider - уникальный продукт с более чем десятилетней историей, представляющий собой универсальную систему для работы с уязвимостями на разных уровнях - от системного до прикладного. XSpider проверяет все возможные уязвимости независимо от программной и аппаратной платформы узлов: начиная от рабочих станций под Windows и заканчивая сетевыми устройствами Cisco (не исключая *nix, Solaris, Novell, AS400 и др.). В частности, XSpider включает мощный и глубокий анализатор защищенности веб-серверов и веб-приложений, что делает его незаменимым средством для выявления «узких мест» Интернет-магазинов и других объектов электронной коммерции. Гарантия высочайшей достоверности результатов сканирования снискала популярность и широкое применение XSpider в госучреждениях, промышленных, торговых и финансовых предприятиях, в сфере телекоммуникаций и высоких технологий.
Возможности и особенности XSpider
• Эвристический метод определения типов и имен серверов (HTTP, FTP, SMTP, POP3, DNS, SSH)
Определение настоящего имени сервера и корректной работы проверок в случаях, когда конфигурация WWW-сервера скрывает его настоящее имя или заменяет его на другое.
• Полная идентификация сервисов на случайных портах
Проверка на уязвимости серверов со сложной нестандартной конфигурацией, когда сервисы имеют произвольно выбранные порты.
• Обработка RPC-сервисов (Windows и *nix) с их полной идентификацией
Возможности выявления уязвимостей в RPC-сервисах и определение детальной конфигурации компьютера в целом.
• Проверка слабости парольной защиты
Оптимизированный подбор паролей практически во всех сервисах, требующих аутентификации, помогает выявить слабые пароли.
• Глубокий анализ контента веб-сайтов
Анализ всех скриптов HTTP-серверов и поиск в них разных уязвимостей: SQL-инъекций, инъекций кода, запуска произвольных программ, получения файлов, межсайтовый скриптинг (XSS), HTTP ResponseSplitting.
• Анализатор структуры HTTP-серверов
Осуществление поиска и анализа директорий, доступных для просмотра и записи, с возможностью находить слабые места в конфигурации.
• Проведение проверок на нестандартные DoS-атаки
Возможность включения проверок «на отказ в обслуживании», основанных на опыте предыдущих атак и хакерских методах.
• Минимальная вероятность ложных срабатываний
Использование специальных методов и механизмов, уменьшающих вероятность ошибочного определения уязвимостей в различных видах проверок.
• Ежедневное добавление новых уязвимостей и проверок
Уникальная технология обновления программы предоставляет каждый день актуальную базу уязвимостей при минимальном трафике и временных затратах, не прекращая при этом работы программы, а также обеспечивает регулярное обновление программных модулей.
Metasploit - проект, посвящённый информационной безопасности. Создан для предоставления информации об уязвимостях, помощи в создании сигнатур для IDS, создания и тестирования эксплойтов. Наиболее известен проект Metasploit Framework — удобная платформа для создания и отладки эксплойтов. Кроме того, проект включает в себя базу опкодов, архив шеллкодов и информацию по исследованиям компьютерной безопасности.
Metasploit был создан в июле 2003 года. Версия 1.0 была написана на языке Perl и содержала псевдографический интерфейс на базе curses. Автором выступал HD Moore. При работе над второй (2.x) версией к HD Moore присоединился Мэтт Миллер и несколько добровольцев. Третья версия была полностью переписана на Ruby, её разрабатывала компания Metasploit LLC (основанная разработчиками в 2006 году). В 2008 году лицензия Metasploit Framework была сменена с проприетарной на BSD. В 2009 фирма Rapid7, занимающаяся управлением уязвимостями, объявила о приобретении Metasploit, популярного открытого программного пакета двойного назначения для проведения тестов на проникновение. Некоммерческая версия утилиты по-прежнему будет доступна для всех желающих. Как и коммерческие аналоги, бесплатная версия Metasploit может быть использована как системными администраторами и специалистами по безопасности для защиты компьютерных систем, так и хакерами-взломщиками или «скрипткиддиc» для получения несанкционированного доступа к удаленным системам.
KaliLinux - Дистрибутив создан для тестировщиков информационной безопасности. Поставляется в виде LiveUSB и liveCD , от пользователя требуется только загрузиться с носителя содержащего BackTrack. Также есть возможность установки системы на жёсткий диск (требуется примерно 2,7 ГБ). В настоящее время в дистрибутив включены инструменты для программно-технической экспертизы. Также ведётся работа над поддержкой иероглифических азиатских языков.
Примечание: последние версии BackTrack поставляются в виде ISO-образа и образа для VMWare. В специальных версиях для LiveUSB более нет необходимости, т.к. теперь установку на флешку легко произвести с помощью утилит типа Unetbootin или вручную. При использовании BackTrack на виртуальной машине нужно учитывать, что любое ПО для виртуализации может работать только с подключаемыми по USB беспроводными адаптерами как с физическими (реальными) устройствами.
Обзор некоторых сресдтв (что значит некоторых? О которых забыл написать ранее?)
WireShark:
Как уже было сказано ранее, wireshark - программа-анализатор трафика для компьютерных сетей Ethernet и некоторых других. Имеет графический пользовательский интерфейс.
Функциональность, которую предоставляет Wireshark, очень схожа с возможностями программы tcpdump, однако Wireshark имеет графический пользовательский интерфейс и гораздо больше возможностей по сортировке и фильтрации информации. Программа позволяет пользователю просматривать весь проходящий по сети трафик в режиме реального времени, переводя сетевую карту в неразборчивый режим (англ. promiscuous mode).
На данный момент, снифер умеет работать по проводному интерфейсу Ethernet, также в беспроводных сетях Wi-Fi, а также с USB интерфейсами.
WireShark, с одной стороны имеет довольно простую структуру, но в тоже время представляет из себя довольно мощный инструмент для перехвата и анализа трафика, с помощью встроенных средств определения протоколов структуры пакета, wireshark предоставляет удобный графический интерфейс для наглядного представления данных. С помощью сложной и гибкой системы фильтров, возможно выделить необходимые пакеты данных.
На рисунке 1, изображён внешний вид стартового экрана Wireshark.
Рисунок 1- внешний вид стартового экрана Wireshark.
На рисунке 2, изображено окно с отображением перехваченных пакетов, как видно в самом верхнем окне представлен список пакетов, с определённым протоколом. Ниже можно просмотреть параметры на всех определённых уровнях протоколов. В самом нижнем окне представлены «сырые» данные.
Рисунок 2 - окно с отображением перехваченных пакетов.
К недостаткам Wireshark можно отнести систему определения протоколов. Дело в том, что снифер определяет протокол по простым правилам, обычно это соответствие номеру порта. Часто бывает необходимо использовать протокол на нестандартном порту, и в этом случае wireshark не всегда может помочь и приходится пользоваться дополнительными утилитами, которые на основе статистических тестов и сигнатурных методов могут определить протокол, к примеру, утилита SPID.
Для демонстрации вышесказанного рассмотрим пример на рисунке 3.
Рисунок 3.
Как видно из рисунка, wireshark определил, что используется протокол Jabber для обмена мгновенными сообщениями по протоколу XMPP. Но не смог определить шифрование внутри протокола, которое реализовано в соответствии с протоколом STARTTLS.
Для фильтрации пакетов, обычно используются регулярные выражения. Например, для отображения только тех пакетов, в которых TCP порт назначения равен 5222 или тех, которые используют протокол Jabber необходимо записать в поле «Filter» выражение: tcp.dstport == 5222 || jabber . Также в состав wireshark входит средство для составления выражений фильтра.
Scapy :
scapy - утилита для интерактивной манипуляции пакетами. Позволяет Принимать и декодировать пакеты самых различных протоколов, ответить на запрос, инжектировать модифицированные и собственноручно созданный пакет. Также утилита позволяет решать классические задачи, такие как сканирование портов, построение маршрута до узла, определение инфраструктуры сети. Является очень мощным средством для анализа защищённости вычислительной сети. В основном используется для ручного поиска уязвимостей, автоматизируя некоторые рутинные задачи. В умелых руках это своеобразный скальпель. Взаимодействие с пользователем ведётся через консоль, а сама утилита написана на Python, из-за чего scapy не подходит для задач, требующих высокое быстродействие при работе в сети. С другой стороны, благодаря реализации на python, scapy легко расширяема, и довольно просто добавить собственные инструменты.
Для работы со scapy, необходимо понять несколько вещей:
1. Каждый пакет - это объект, у которого есть поля атрибуты для редактирования, а также методы для различных действий с ним.
2. Scapy может работать на разных уровнях модели OSI: втором и третьем.
Важно понимать, что данные с запросом DNS сначала инкапсулируются внутрь UDP-пакета (потому как протокол DNS использует для передачи данных UDP), далее уже UDP-пакет инкапсулируется внутрь IP-пакета, и, в конце концов, эта сборная солянка размещается внутри Ethernet фрейма.
Для примера создадим TCP/IP пакет и отправим его на некий сервер, на порт 5222. Пример консольного ввода/вывода приведён ниже:
>>> _ip = IP(dst="itforfree.net")
>>> _tcp = TCP(dport = 5222)
>>> _pkt = _ip/_tcp/"have fun |
