На первый взгляд домашняя сеть Wi-Fi не нуждается в дополнительной защите, ведь доступ в нее надежно закрыт паролем. Но именно пароль может стать слабым местом сети, ему могут угрожать brute-force атаки, связанные с бесконечным подбором пароля или проблемы с шифрованием данных. Не стоит думать, что взломщик, получивший таким образом доступ к безлимитному Интернет-соединению, никого не грабит. Используя чужой доступ в сеть, он также получает возможность читать электронную почту пользователя и красть его конфиденциальные данные.
Wi-FiGuard работает просто – в настройках программы нужно задать определенный промежуток времени проверки системы, следуя которому сканер будет раз за разом пинговать компьютер и другие, подключенные к сети устройства, и отображать полный список активных участников пожирания интернет-трафика и отмечать, какие компьютеры закрыты от сканирования межсетевым экраном. В составленном программой списке зеленым цветом будут отмечены разрешенные устройства, а красным – вероятные злоумышленники, незаконно подключившиеся к сети. Об их обнаружении Wi-FiGuard незамедлительно известит владельца роутера, отправив тому timestamp с указанием имени хоста, посещаемого злоумышленником, а также его Mac и IP адрес.
Программа распространяется бесплатно, не содержит рекламного ПО и работает на ОС Windows, Linux и Mac OS X и не требует установки. Чтобы знать обо всех участниках домашней сети Wi-Fi ее достаточно скачать, запустить и настроить.
Рисунок 17 – Главное окно отслеживания трафика анализатора Wi-FiGuard
2.3.4 IPTools
Это программа для анализа протокола, которая использует возможности сокетов операционных систем семейства Windows. По сути, IP Tools - это набор инструментов, собранных в один пакет, которые предназначены для удобногосниффинга.
Этот пакет может работать на всех версиях операционной системы Windows, с использованием: сокетов Windows 2000 (без драйверов), WinPcap (который должен быть установлен на ОС), протокола NDIS (который должен быть установлен, без перезагрузки).
IP Tools - это набор таких IP-инструментов как: IP traficmonitor (отображает использование трафика по IP-адресам), IP statistics (выводит статистику об IP), ARP (инструмент для ведения журнала с возможностью удаления записей, отправленных запросов), NetbiosNames, RoutePrint (позволяет распечатать маршруты передачи запросов), Netstat (отображает список запущенных процессов использующий интернет-соединение, также с помощью этого инструмента можно убивать сами процессы и закрывать tcp-порты), Networkinformations (данный инструмент отображает различную информацию о сети, например такую как: параметры сети, сетевые адаптеры, карты и т. д.), Spoofing (TCP, UDP, ICMP, ARP), WINS Query, DNS Query (эти инструменты используют win32 DNSAPI), DHCP Find, WHOIS (отображает информацию о домене или IP-адресе), Resolve IP / Hostname, PING, TCP Scan.
Рисунок 18 – Скриншот программы IP –Tool
3. АНАЛИЗ СЕТЕВОГО ТРАФИКА IP-ТЕЛЕФОНИИ С ПРИМЕНЕНИЕМ СНИФФЕРА WIRESHARK.
С точки зрения мониторинга и анализа технологии IP-телефонии, использующей компьютерные сети. Интерес к отслеживанию трафика может проявляться как для человека, отвечающего за безопасность собственных или корпоративных компьютерных данных, так и для злоумышленника, главной задачей которого является перехват конфиденциальной информации. В роли которой может выступать передача пакетов, содержащих служебные данные, подразумевающие под собой регламент взаимодействия элементов в сети и пользовательские данные. Так как часто в сегменте пакета данных передаются ключи шифрования самих данных и ключи отдельных локальных файлов, расположенных на одном из устройств, предназначенных для хранения информации, которые в свою очередь могут в себе содержать данные о пользователях определенной сети.
Исходя из того, что сниффер в сети себя никак не проявляет, обнаружить его с помощью такого же анализатора невозможно. Но определить злоумышленника, используя программное обеспечение сетевого анализатора можно.
Каждому пакету, передающемуся в сети, присущ свой идентификатор. Так, например, для передачи данных через сеть Ethernet, при формировании пакета данных добавляется сегмент, содержащий в себе MAC-адреса оборудований в сети как источника, так и назначения.
А поверх канального уровня в настоящее время обширно используется протокол IP, с помощью которого осуществляется маршрутизация пакета в сети. И данные об IP-адресах назначения и источника сообщения также как и MAC-адреса добавляются в соответственные сегменты пакета.
Все эти данные и позволит узнать сетевой анализатор, что даст специализированному IT-шнику преимущество перед злоумышленником.
Например, если тот захочет прослушать трафик, используя метод подмены ARP-таблицы. Что в силу недостатка глобальных IP-адресов, предоставляемых поставщиком услуг для выхода во внешнюю сеть Интернет, приводит к решению о внедрении в канал связи пограничного устройства, на котором будет «лежать» программное обеспечение NAT. В свою очередь оно устанавливает связь предприятия с внешней сетью, путем динамического сопоставления частных адресов внутренней сети с набором глобальных IP-адресов.
Прибегнуть к технологии NAT также может и злоумышленник, соответственно подменив MAC-адрес в ARP-таблице, формирующейся в процессе обмена ARP-сообщениями, т. е. в поиске нужного MAC-адреса по известному IP-адресу.
Невооруженным взглядом подмена адресов не будет замечена. Но применив сетевой анализатор, представитель информационной безопасности обнаружит дефекты в процессе передачи пакетов. Во-первых, если злоумышленник засветит свой IP-адрес, то можно считать его атакой проваленной. Во-вторых, если же он его не засветит, то через некоторое время специалист обнаружит фиксировано уменьшенное на единицу или более значение поля TTL. Что даст ему понять о том, что трафик обрабатывается дополнительным узлом в сети. В-третьих, это в свою очередь сигнализирует о том, что перед началом функционирования элементов сети TCP/IP, необходимые MAC-адреса должны вписываться вручную или же путем анализа DHCP обмена, что в дальнейшем позволит сверять IP-адрес и MAC-адрес, а также номера порта клиента с соответствием с собранными данными DHCP-севера. И если злоумышленник попытается заменить данные IP или MAC адресов, то пакет просто будет утерян.
Из анализа многочисленных снифферов в роли программы-анализатора в данной главе будет использоваться сетевой анализатор Wireshark, в силу его удобного графического интерфейса, широкой базы знаний протоколов взаимодействия элементов в компьютерной сети и свободного распространения ПО.
3.1 Анализатор сетевых протоколов Wireshark
Wireshark – это анализатор, программное обеспечение которого выполняет задачи мониторинга сетевого трафика в реальном времени и выводом информации о принятых, отправленных и потерянных пакетах на графически отображенный интерфейс, называемый окном отслеживания трафика, для дальнейшего детального разбора собранных данных. Представляя из себя мощную систему поиска и фильтрации пакетов по множеству критериев.
С 1998 г. программа имела название Ethereal, но в 2006 г. она была переименована в Wireshark.
Анализатор распространяется под лицензией GNU GPL, т. е. имеет свободный доступ к его использованию или модификации. Существуют версии для большинства типов операционных систем UNIX, в том числе GNU/Linux, Solaris, FreeBSD, NetBSD, OpenBSD, MacOSX, а также для ОС Windows.
Программа Wireshark является некоммерческим сниффером и имеет необходимые инструменты для мониторинга трафика сети и облегчения контроля сети. Скачать её можно с официального сайта https://www. wireshark. org/download. html.
Wireshark осуществляет мониторинг огромного числа сетевых протоколов, например: IP, TCP, UDP, FTP, TFTP, DNS, HTTP, HTTPS, ICMP, SSH, NFS, SIP, RTP, RTCP, MEGACO (H.248), MGCP, стека протоколов H.323, SIGTRAN и т. д. Поддерживает такие технологии физического и канального уровней, как Ethernet, TokenRing и FDDI, ATM.
Wireshark используется:
для выявления и решения проблем в сети; для отладки сетевых протоколов; для изучения сетевых протоколов.Wireshark не генерирует трафик, соответственно никак не показывает себя в сети. При этом, не имея системы обнаружения вторжений, проявит себя хорошим помощником в поисках проблемы.
3.1.1 Основные элементы рабочей панели анализатора Wireshark
При запуске исследуемого анализатора первым элементом графического интерфейса является стартовое окно, в соответствии с рисунком 19.
Рисунок 19 – Стартовое окно сетевого анализатора Wireshark
На него вынесены 4 панели: Capture, Capture Help, Files и Online. Вынесены они лишь для удобства и помощи в эксплуатации данного анализатора.
Capture (Перехват) информирует о функциях мониторинга пакетов (см. таблицу 5)
Таблица 5 – Диалоговое окно Capture
Наименование | Пояснение |
Capture Interface (Interface List) | Содержит список сетевых интерфейсов и информацию о них |
Start | Инициализация захвата пакетов на выбранном интерфейсе, используя сохраненные настройки режима мониторинга |
Capture Options | Настройка режима мониторинга выбранного интерфейса |
«CaptureHelp» в себе содержит ссылки на WEB-ресурсы, созданные для помощи в работе с Wireshark.
Окно «Files» позволяет выбрать файлы уже имеющиеся на локальном носителе, а также файлы, выложенные на официальном сайте сетевого анализатора Wireshark, служащие примером работы на нем.
Окно «Online» содержит в себе ссылку на WEB-страницу анализатора (www. wireshark. org), пользовательский справочник и ссылку на страницу для ознакомления с его безопасностью.
До начала мониторинга выбирается возможный для анализа интерфейс, в соответствии с рисунком 20.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 |
