Академия Специальных Курсов по Компьютерным Технологиям
    Главная страница Послать письмо
 
AskIt.ru  
   
   
   
   
   
   
 
 
  Главная / Заказные курсы / Безопасность сетей Windows для профессионалов
 
 

Получить учебные материалы по этому курсу


<-- Назад Читать дальше -->

1. Безопасность при передаче данных по сети

1.1 Мониторинг передачи данных и перехват данных, передаваемых по сети

1.1.1 Основы мониторинга. Самые популярные снифферы

Снифферы (анализаторы протоколов), перехват данных в сети, аппаратный сниффер Unispeed NetLogger, беспорядочный режим (promiscuous mode), библиотеки WinPCap и LibNet, снифферы Network Monitor, Iris, NetObserver (Observer Suite)

Одна из основных обязанностей сетевого администратора - знать, что происходит в его сети. Обычно необходима информация:

·        о загрузке сети и том, какие приложения генерируют нагрузку;

·        нет ли в сети постороннего трафика, которого быть не должно (игры, вирусная активность, повторы передачи данных и "проблемные пакеты" - например, не работает DHCP или испорченные пакеты передает сетевая карта);

·        о том, какие данные и пароли передаются открытым текстом - для решения проблем с безопасностью;

·        если возникают сетевые проблемы (например, не работает сетевая служба), то - информация для диагностики;

·        о том, не осуществляется ли прослушивание сети с какого-либо из компьютеров (по инициативе пользователя или троянской программы).

Мониторинг сети и перехват пакетов можно производить при помощи аппаратных и программных средств. Такие средства традиционно называются снифферами (от sniff - нюхать). Аппаратные снифферы (например, Unispeed Netlogger) - возможностей очень много и работают с большой производительностью в сетях с большой нагрузкой. Однако стоимость их начинается от 1000 долларов и поэтому они используются только в специализированных компаниях. В большинстве случаев используются программные снифферы (несколько десятков таких программ находится в каталоге "Снифферы" на компакт-диске).

По умолчанию сетевые карты отбрасывают все пакеты, которые отправлены не на их MAC-адрес. Для того, чтобы карта принимала все (необходимое условие для прослушивания), необходимо перевести ее в "беспорядочный режим" (promiscuous mode). Все современные карты поддерживают этот режим (это обязательное требование, начиная со спецификации PC99), однако некоторые ("родной" Token Ring на чипсете Tropic, большинство встроенных сетевых карт компьютеров Compaq, многие адаптеры PCMCIA) - нет, и перехват пакетов с ними производить в принципе невозможно. Для перевода сетевой карты в этот режим необходим специальный драйвер. Чаще всего используются:

·        "родной" драйвер от Microsoft (находится в Device Driver Kit для операционной системы, можно интегрировать в свои программы, большинство снифферов под Windows используют именно его). Устанавливать его не надо - он обычно ставится вместе со сниффером;

·        WinPCap - специализированный драйвер, написанная в Политехническом институте Турина. Используется например, Каином, EtherSnoop, NMAP. Также находится в каталоге "Снифферы";

·        LibNET - драйвер, портированный с *nix. Обычно используется такими же портированными программами. Также имеется в этом каталоге.

Некоторые снифферы, о которых необходимо упомянуть отдельно:

·        Network Monitor - стандартный сниффер от Microsoft. Версия Lite идет в стандартной поставке серверных ОС Microsoft. Эта версия умеет ловить только пакеты, направленные на локальный компьютер, с локального компьютера, широковещательные и пакеты групповой рассылки. Ограничены и другие возможности - например, нет возможности подключаться к драйверам Network Monitor на удаленных компьютерах, отключено обнаружение маршрутизаторов и т.п. Полная версия идет в поставке Systems Management Server от Microsoft (она есть на компакт-диске) и для ее установки нужен еще файл лицензионного соглашения в каталоге SMSSETUP. Интерфейс остался практически неизменным со времен Windows NT 3.51, и он - один из самых бедных и неудобных. Однако у Network Monitor есть большие преимущества:

o       в нем реализован самый полный набор разборщиков (parsers) для прикладных протоколов Microsoft и имеется возможность добавлениях своих;

o       Network Monitor - программа стандартная, и нет необходимости ни решать вопрос с лицензионными ограничениями, ни проверять эту программу на соответствие стандартам безопасности предприятия.

Мы будем в большинстве случаев использовать именно Network Monitor.

·        Observer Suite фирмы Network Instruments - программа, которая признается многими администраторами наиболее удобной и мощной с точки зрения возможностей. Некоторые примечательные возможности:

o       работа в самых разных сетях, в том числе беспроводных;

o       исключительно удобные графические средства представления информации - распределение по рабочим станциям, по протоколам, по приложениям и т.п.;

o       возможность прогнозирования развития ситуации в сети;

o       возможность подключения к своим собственным удаленным модулям перехвата трафика и стандартным модулям RMAN;

o       получение информации о сетевых устройствах по протоколу SNMP;

o       возможность конструирования и отсылки пакетов, написанных вручную;

o       возможность использования русского интерфейса (правда, только при установке) и т.п.

·        IRIS фирмы Eeye Digital Security. По функциональности несколько уступает Observer, но проще в настройке, интуитивно понятнее, многим больше нравится интерфейс IRIS. В IRIS предусмотрена также замечательная возможность, которая называется Decode. Это вовсе не расшифровка пакетов, а возможность реконструировать сеанс передачи данных между компьютерами (вплоть до показа, например, Web-страниц, которые просматривал данный пользователь). Предусмотрена возможность оповещений при попытке подключиться к определенному компьютеру (Guard).

В наших лабораторных работах будут в основном использоваться Network Monitor и Iris.

Существуют специализированные снифферы, которые предназначены для перехвата трафика определенного вида - незашифрованных паролей, хэшей аутентификации Windows, ICQ, IRC, почты и т.п. Они находятся в каталоге "Снифферы". Некоторые из них будут рассмотрены в других разделах, посвященных защите передаваемой информации.

Снифферы еще одной разновидности, которые предназначены не для перехвата пакетов, я для мониторинга работы сети и определения сетевой нагрузки, находятся в каталоге "Сетевая статистика" на компакт-диске и будут рассмотрены в специальном разделе.

 

   
   
   
   
   
   
   
   
   
   
 
<-- Назад Читать дальше -->

Получить учебные материалы по этому курсу


 

 
© 2004-2016, Академия Специальных Курсов
по Информационным Технологиям
.
Все права защищены.

Разработка NevaStudio
г. Санкт-Петербург, Васильевский остров,
20-я линия, д. 7
Офис 101, 2-й этаж
Телефон: 8(812)922-47-60
E-mail: info@askit.ru