Курсовая Компютерні мережі. Аналіз роботи і оптимізація
Работа добавлена на сайт bukvasha.net: 2015-10-25Поможем написать учебную работу
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
от 25%
договор
Міністерство освіти і науки України
Комп’ютерні мережі. Аналіз роботи і оптимізація
Вступ
Розділ І. Огляд і архітектура обчислювальних мереж
1.1 Основні означення і терміни
1.2 Переваги використання мереж
1.3 Архітектура мереж
1.3.1 Архітектура термінал – головний комп'ютер
1.3.2 Однорангова архітектура
1.3.3 Архітектура клієнт – сервер
1.3.4 Вибір архітектури мережі
Розділ ІІ. Пошук несправностей в мережах на базі OC Windows
2.1 Проблеми реєстрації робочої станції
2.1.1 Команда ,,ping»
2.2 Пошук несправностей в мережі з виділеним DHCP сервером
2.2.1 Діалог з DHCP сервером
2.2.2 Аналіз діалогу комп’ютерів у мережі
2.3 Визначення швидкодії мережі
2.3.1 Засоби і способи визначення швидкодії мережі
2.3.2 Виявлення джерела впливу на швидкодію мережі
2.4 Причини помилок журналу подій
2.4.1 Метод пошуку серверних проблем
2.4.2 Фільтр перехоплення, та його використання
2.5 Проблеми, що виникають при широкомовленні
Розділ ІІІ. Методи захисту від несанкціонованого доступу в мережі TCP/IP
3.1 Безпека комп’ютерів на базі Windows 2000/XP
3.1.1 Сканування мережі TCP/IP
3.1.2 Інвентаризація мережі
3.1.3 Нульовий сеанс
3.1.4 Реалізація цілі
3.1.5 Приховування слідів
3.2 Засоби віддаленого керування
3.2.1 Програма pcAnywhere
3.2.2 Протокол SNMP
3.3 Функції брандмауерів
3.4 Перехоплення мережевих даних
3.4.1 Фальшиві ARP запити
3.4.2 Фальшива маршрутизація
3.4.3 Перехоплення ТСР-з’єднання
3.5 Комутований доступ до мереж
3.5.1 Сканер PhoneSweep 4.4
3.5.2 Робота з програмою PhoneSweep 4.4
Висновки
Список скорочень і пояснень
Література
Вступ
Яке призначення мережі? Для того щоб відповісти на це питання, давайте почнемо з її назви. Слово «корпорація» означає об'єднання підприємств, що працюють під централізованим керуванням і вирішують загальні задачі. Корпорація є складною, багатопрофільною структурою і внаслідок цього має розподілену ієрархічну систему керування. Крім того, підприємства, відділення й адміністративні офіси, що входять у корпорацію, як правило, розташовані на великій відстані один від одного. Для централізованого керування таким об'єднанням підприємств використовується корпоративна мережа. У її склад можуть входити магістральні мережі (WAN, MAN), призначені для зв'язку відділень і адміністративних офісів корпорації. Обов'язковими компонентами корпоративної мережі є локальні мережі, зв'язані між собою.
З розвитком комп’ютерних мереж все більше ускладнюється програмне забезпечення яке необхідне для їхнього функціонування, отже все частіше виникають несправності пов’язані з програмним забезпеченням, які виводять комп’ютерну мережу з ладу.
В другому розділі роботи розглядаються питання пошуку несправностей, які часто виникають в мережах на базі архітектури клієнт-сервер.
В третьому розділі розглядаються найбільш поширені види злому комп’ютерних мереж та рекомендації, що до захисту від таких атак.
В даній роботі використовуються операційні системи Windows 2000/XP. Розгляд саме цих систем пов’язаний із їхньою популярністю у світі, а також з тим, що операційні системи сімейства Windows не містять відкритого коду, як наприклад операційна система Linux, це у свою чергу призводить до того, що Windows потребує більш серйозного захисту від атак за допомогою додаткових програм в порівнянні з Linux, оскільки прогалини в Windows закриваються працівниками компанії Microsoft.
Розділ І. Огляд і архітектура обчислювальних мереж
1.1 Основні означення і терміни
Мережа - це сукупність об'єктів, що утворюються пристроями передачі і обробки даних. Міжнародна організація з стандартизації означила обчислювальну мережу як послідовну біт-орієнтовану передачу інформації між пов'язаними один з одним незалежними пристроями.
Мережі зазвичай знаходиться в приватній власності користувача і займають деяку територію і за територіальною ознакою розділяються на:
- локальні обчислювальні мережі (ЛОМ) або Local Area Network (LAN), розташовані в одному або декількох близько розташованих будівлях. ЛОМ зазвичай розміщуються в рамках якої-небудь організації (корпорації, установи), тому їх називають корпоративними;
- розподілені комп'ютерні мережі, глобальні або Wide Area Network (WAN), розташовані в різних будівлях, містах і країнах, які бувають територіальними, змішаними і глобальними. Залежно від цього глобальні мережі бувають чотирьох основних видів: міські, регіональні, національні і транснаціональні. Як приклад, розподілених мереж дуже великого масштабу можна назвати: Internet, EUNET, Relcom, FIDO.
До складу мережі в загальному випадку включаються наступні елементи:
- мережеві комп'ютери (оснащені мережевим адаптером);
- канали зв'язку (кабельні, супутникові, телефонні, цифрові, волоконно-оптичні, радіоканали і ін.);
- різного роду перетворювачі сигналів;
- мережеве устаткування.
Розрізняють два поняття мережі: комунікаційна мережа і інформаційна мережа (рис. 1.1).
Комунікаційна мережа призначена для передачі даних, також вона виконує завдання, пов'язані з перетворенням даних. Комунікаційні мережі розрізняються за типом використовуваних фізичних засобів з'єднання.
Інформаційна мережа призначена для зберігання інформації і складається з інформаційних систем. На базі комунікаційної мережі може бути побудована група інформаційних мереж.
Під інформаційною системою слід розуміти систему, яка є постачальником або споживачем інформації.
Комп'ютерна мережа складається з інформаційних систем і каналів зв'язку.
Під інформаційною системою слід розуміти об'єкт, здатний здійснювати зберігання, обробку або передачу інформації. До складу інформаційної системи входять: комп'ютери, програми, користувачі і інші складові, призначені для процесу обробки і передачі даних. Надалі інформаційна система, призначена для вирішення завдань користувача, називатиметься - робоча станція (client). Робоча станція в мережі відрізняється від звичайного персонального комп'ютера (ПК) наявністю мережевої карти (мережевого адаптера), каналу для передачі даних і мережевого програмного забезпечення.
Під каналом зв'язку слід розуміти шлях, або засіб, по якому передаються сигнали. Засіб передачі сигналів називають абонентським, або фізичним каналом.
Канали зв'язку (data link) створюються по лініях зв'язку за допомогою мережевого устаткування і фізичних засобів зв'язку. Фізичні засоби зв'язку побудовані на основі витих пар, коаксіальних кабелів, оптичних каналів або ефіру. Між взаємодіючими інформаційними системами через фізичні канали комунікаційної мережі і вузли комутації встановлюються логічні канали.
Логічний канал - це шлях для передачі даних від однієї системи до іншої. Логічний канал прокладається по маршруту в одному або декількох фізичних каналах. Логічний канал можна охарактеризувати, як маршрут, прокладений через фізичні канали і вузли комутації.
Інформація в мережі передається блоками даних за процедурами обміну між об'єктами. Ці процедури називають протоколами передачі даних.
Протокол - це сукупність правил, що встановлюють формат і процедури обміну інформацією між двома або декількома пристроями.
Завантаження мережі характеризується параметром, що називається трафіком. Трафік (traffic) - це потік повідомлень в мережі передачі даних. Під ним розуміють кількісну величину у вибраних точках мережі числа блоків даних, що проходять і їх довжини, виражені в бітах в секунду.
Істотний вплив на характеристику мережі надає метод доступу. Метод доступу – це спосіб визначення того, яка з робочих станцій зможе наступною використовувати канал зв'язку і як управляти доступом до каналу зв'язку (кабелю).
У мережі всі робочі станції фізично сполучені між собою каналами зв'язку по певній структурі, яка називається топологією. Топологія - це опис фізичних з'єднань в мережі, що вказує які робочі станції можуть зв'язуватися між собою. Тип топології визначає продуктивність, працездатність і надійність експлуатації робочих станцій, а також час звернення до файлового сервера. Залежно від топології мережі використовується той або інший метод доступу.
Склад основних елементів в мережі залежить від її архітектури. Архітектура - це концепція, що визначає взаємозв'язок, структуру і функції взаємодії робочих станцій в мережі. Вона передбачає логічну, функціональну і фізичну організацію технічних і програмних засобів мережі. Архітектура визначає принципи побудови і функціонування апаратного і програмного забезпечення елементів мережі.
В основному виділяють три види архітектури: архітектура термінал - головний комп'ютер, архітектура клієнт - сервер і однорангова архітектура.
Сучасні мережі можна класифікувати за різними ознаками: по віддаленості комп'ютерів, топології, призначенню, переліку послуг, що надаються, принципами управління (централізовані і децентралізовані), методами комутації, методами доступу, видами середовища передачі, швидкостями передачі даних [1].
1.2 Переваги використання мереж
Комп'ютерні мережі є варіантом співпраці людей і комп'ютерів, що забезпечує прискорення доставки і обробки інформації. Об'єднувати комп'ютери в мережі почали більше 30 років тому. Коли можливості комп'ютерів виросли і ПК стали доступні кожному, розвиток мереж значно прискорився.
Сполучені в мережу комп'ютери обмінюються інформацією і спільно використовують периферійне устаткування і пристрої зберігання інформації (рис. 1.2).
За допомогою мереж можна розділяти ресурси і інформацію. Нижче перелічені основні завдання, які вирішуються за допомогою робочої станції в мережі, і які важко вирішити за допомогою окремого комп'ютера.
· Комп'ютерна мережа дозволить спільно використовувати периферійні пристрої, включаючи:
- принтери;
- плотери;
- дискові накопичувачі;
- приводи CD-ROM;
- дисководи;
- стримери;
- сканери;
- факс-модеми;
· Комп'ютерна мережа дозволяє спільно використовувати інформаційні ресурси:
- каталоги;
- файли;
- прикладні програми;
- ігри;
- бази даних;
- текстові процесори.
Комп'ютерна мережа дозволяє працювати з розрахованими на багато користувачів програмами, що забезпечують одночасний доступ всіх користувачів до загальних баз даних з блокуванням файлів і записів, що забезпечує цілісність даних. Будь-які програми, розроблені для стандартних ЛОМ, можна використовувати в інших мережах.
Сумісне використання ресурсів забезпечить істотну економію засобів і часу. Наприклад, можна колективно використовувати один лазерний принтер замість покупки принтера кожному співробітникові, або метушні з дискетами до єдиного принтера за відсутності мережі.
Можна використовувати ЛОМ як поштову службу і розсилати службові записки, доповіді і повідомлення інших користувачів [6].
1.3 Архітектура мереж
Архітектура мережі визначає основні елементи мережі, характеризує її загальну логічну організацію, технічне забезпечення, програмне забезпечення, описує методи кодування. Архітектура також визначає принципи функціонування і інтерфейс користувача.
Розглянемо три види архітектури:
- архітектура термінал - головний комп'ютер;
- однорангова архітектура;
- архітектура клієнт - сервер.
1.3.1 Архітектура термінал - головний комп'ютер
Архітектура термінал - головний комп'ютер (terminal - host computer architecture) – це концепція інформаційної мережі, в якій вся обробка даних здійснюється одним або групою головних комп'ютерів.
Дана архітектура припускає два типи устаткування:
- головний комп'ютер, де здійснюється управління мережею, зберігання і обробка даних.
- термінали, призначені для передачі головному комп'ютеру команд на організацію сеансів і виконання завдань, введення даних для виконання завдань і отримання результатів.
Головний комп'ютер через мультиплексори передачі даних (МПД) взаємодіють з терміналами, як представлено на рис. 1.3.
Класичний приклад архітектури мережі з головними комп'ютерами - системна мережева архітектура (System Network Architecture - SNA).
1.3.2 Однорангова архітектура
Однорангова архітектура (peer-to-peer architecture) – це концепція інформаційної мережі, в якій її ресурси розозподілені по всіх системах. Дана архітектура характеризується тим, що в ній всі системи рівноправні.
До однорангових мереж відносяться малі мережі, де будь-яка робоча станція може виконувати одночасно функції файлового сервера і робочої станції. У однорангових ЛОМ дисковий простір і файли на будь-якому комп'ютері можуть бути загальними. Щоб ресурс став загальним, його необхідно віддати в загальне користування, використовуючи служби віддаленого доступу мережевих однорангових операційних систем. Залежно від того, як буде встановлений захист даних, інші користувачі зможуть користуватися файлами відразу ж після їх створення. Однорангові ЛОМ достатньо хороші тільки для невеликих робочих груп.
Однорангові ЛОМ є найбільш легким і дешевим типом мереж. Вони на комп'ютері вимагають, окрім мережевої карти і мережевого носія, тільки операційної системи. При з'єднанні комп'ютерів, користувачі можуть надавати ресурси і інформацію в сумісне користування.
Однорангові мережі мають наступні переваги:
- вони легкі в інсталяції і налаштуванні;
- окремі ПК не залежать від виділеного сервера;
- користувачі в змозі контролювати свої ресурси;
- мала вартість і легка експлуатація;
- мінімум устаткування і програмного забезпечення;
- немає необхідності в адміністраторові;
добре підходять для мереж з кількістю користувачів, що не перевищує десяти.
Проблемою однорангової архітектури є ситуація, коли комп'ютери відключаються від мережі. У цих випадках з мережі зникають види сервісу, які вони надавали. Мережеву безпеку одночасно можна застосувати тільки до одного ресурсу, і користувач повинен пам'ятати стільки паролів, скільки мережевих ресурсів. При отриманні доступу до ресурсу, що розділяється, відчувається падіння продуктивності комп'ютера. Істотним недоліком однорангових мереж є відсутність централізованого адміністрування.
Використання однорангової архітектури не виключає застосування в тій же мережі також архітектури «термінал - головний комп'ютер» або архітектури «клієнт - сервер».
1.3.3 Архітектура клієнт – сервер
Архітектура клієнт - сервер (client-server architecture) – це концепція інформаційної мережі, в якій основна частина її ресурсів зосереджена в серверах, які обслуговують своїх клієнтів (рис. 1.5). Дана архітектура визначає два типи компонентів: сервери і клієнти.
Сервер – це об'єкт, що надає сервіс іншим об'єктам мережі за їхніми запитами. Сервіс – це процес обслуговування клієнтів.
Сервер працює за завданнями клієнтів і керує виконанням їхніх завдань. Після виконання кожного завдання сервер відсилає отримані результати клієнтові, що відправив це завдання.
Сервісна функція в архітектурі клієнт - сервер описується комплексом прикладних програм, відповідно до якого виконуються різноманітні прикладні процеси.
Процес, який викликає сервісну функцію за допомогою певних операцій, називається клієнтом. Ним може бути програма або користувач. На рис. 1.6 приведений перелік сервісів в архітектурі клієнт - сервер.
Клієнти – це робочі станції, які використовують ресурси сервера і надають зручні інтерфейси користувача. Інтерфейси користувача це процедури взаємодії користувача з системою або мережею.
Клієнт є ініціатором і використовує електронну пошту або інші сервіси сервера. У цьому процесі клієнт запрошує вид обслуговування, встановлює сеанс, отримує потрібні йому результати і повідомляє про закінчення роботи.
У мережах з виділеним файловим сервером на виділеному автономному ПК встановлюється серверна мережева операційна система. Цей ПК стає сервером. Програмне забезпечення (ПЗ), встановлене на робочій станції, дозволяє їй обмінюватися даними з сервером. Найбільш поширені мережеві операційна системи:
- NetWare фірми Novel;
- Windows NT фірми Microsoft;
- UNIX фірми AT&T;
- Linux.
Крім мережевої операційної системи необхідні мережеві прикладні програми, що реалізовують переваги, що надаються мережею.
Мережі на базі серверів мають кращі характеристики і підвищену надійність. Сервер володіє головними ресурсами мережі, до яких звертається решта робочих станцій [7].
У сучасній клієнт - серверній архітектурі виділяється чотири групи об'єктів: клієнти, сервери, дані і мережеві служби. Клієнти розташовуються в системах на робочих місцях користувачів. Дані в основному зберігаються в серверах. Мережеві служби спільно використовуються серверами і даними. Крім того служби керують процедурами обробки даних.
Мережі клієнт - серверної архітектури мають наступні переваги:
- дозволяють організовувати мережі з великою кількістю робочих станцій;
- забезпечують централізоване управління обліковими записами користувачів, безпекою і доступом, що спрощує мережеве адміністрування;
- ефективний доступ до мережевих ресурсів;
- користувачеві потрібний один пароль для входу в мережу і для отримання доступу до всіх ресурсів, на які розповсюджуються права користувача.
Разом з перевагами мережі клієнт - серверної архітектури мають і ряд недоліків:
- несправність сервера може зробити мережу непрацездатною, як мінімум втрату мережевих ресурсів;
- вимагають кваліфікованого персоналу для адміністрування;
- мають вищу вартість.
1.3.4 Вибір архітектури мережі
Вибір архітектури мережі залежить від призначення мережі, кількості робочих станцій і від виконуваних нею дій [1].
Слід вибрати однорангову мережу, якщо:
- кількість користувачів не перевищує десяти;
- всі машини знаходяться близько одна від одної;
- мають місце невеликі фінансові можливості;
- немає необхідності в спеціалізованому сервері, такому як сервер БД, факс-сервер, або який-небудь інший;
- немає можливості, або необхідності в централізованому адмініструванні.
Слід вибрати клієнт-серверну мережу, якщо:
- кількість користувачів перевищує десяти;
- потрібне централізоване управління, безпека, управління ресурсами, або резервне копіювання;
- необхідний спеціалізований сервер;
- потрібний доступ до глобальної мережі;
- потрібно розділяти ресурси на рівні користувачів.
Розділ ІІ. Пошук несправностей в мережах на базі O
C
Windows
2.1 Проблеми реєстрації робочої станції
Одна з найбільш поширених проблем з’єднання в мережі виникає, коли робоча станція не може зареєструватися в домені. Це може бути через безліч причин:
· конфігурація протоколу;
· дозвіл імені;
· дозвіл імені NetBIOS;
· повноваження.
2.1.1 Команда
,,
ping
”
Якщо робоча станція має проблеми з реєстрацією в домені, перш за все необхідно перевірити з’єднання. Для цього використовується утиліта ping-. Як показано на роздруківці нижче, спочатку виконується ping за іменем щоб перевірити дозвіл на ім’я. Вона вертається назад з відповіддю. Потім виконується ping за визначеною ІР-адресою, щоб перевірити чи є доступ до того ж місця призначення. В останню чергу посилається великий пакет для перевірки того, що пакети великих розмірів можуть дістатися до місця призначення. Утиліта рing за замовчуванням посилає дуже малий 32-бітний пакет, який може дістатися до місця призначення, в той час як великий за об’ємом трафік реєстрації може не пройти через маршрутизатор.
Якщо великі пакети не доходять до місця призначення, а малі пакети доходять до сервера реєстрації, то можна підкоректувати реєстр і задати менший розмір пакета як тимчасовий захід, поки не буде відомо чи зможуть підтримуватися великі пакети. Це робиться в реєстрі наступним чином.
Додати значення в наступний ключ :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcipip\Parameters_
Ім’я значення : TcpSendSegmentSize
Тип буде Reg_Dword
За замовчуванням використовується 1460 байт
Ці зміни можуть впливати на всю комунікацію ТСР/ІР і повинні робитися тільки після детального тестування. Перед тим як робити зміни в реєстрі, необхідно переконатися, що існує детально перевірена і актуальна резервна копія. Найпростіше, що можна зробити – це експортувати ключі [2].
Для аналізу проблеми використаємо програму Netmon, вибравши необхідну робочу станцію і сервер. Наступним кроком потрібно повторити команди ping і в додаток до команд ping необхідно також виконати команди:
· net view\\ ім’я_сервера
· net user\\ ім’я_сервера\ipc$
Якщо дві команди повертаються з повідомленням про помилку, то має місце проблема. Необхідно скористатись Netmon і перевірити чи можливо знайти джерело проблеми. Із отриманих даних видно, що команда ping працює фактично без будь-яких проблем. Це показано на роздруківці нижче. Пакет ICMP є ехо-пакетом і його розмір 32 байти. Цей розмір використовується за замовчуванням в команді ping.
За ехо-пакетом ІСМР слідує пакет відповіді ІСМР, який пердставлений на роздруківці нижче. Цей пакет повертається із місця призначення як пакет ехо-відповідь. Він також має 32 байти. Це говорить про те, що існує елементарна комунікація між робочою станцією і сервером.
Після цього командою net view\\ ім’я_сервера перевіряється мережу, що приводить до трьохходового підтвердження прийому даних (квитування) між робочою станцією і сервером. Трьохходове квитування відбувається між робочою станцією і портом 139, службою сеансу NetBIOS на сервері. В даному випадку все працює нормально, тому необхідно подивитися розділ NBT наступного кадру, що показаний на роздруківці нижче. Кадр із робочої станції на сервер виглядає правильним. Видно, що тип пакету вказується як запит сеансу (session request). Він вміщує ім’я викликаного сервера і ім’я робочої станції яка викликає. <00> є унікальним суфіксом NetBIOS, який вказує службу робочої станції. Можна знайти реєстрацію <00> для цієї машини в базі даних WINS. Реєстрація в базі даних WINS полегшує NetBIOS комунікацію між машинами.
Так як запит сеансу NTB пройшов успішно, тоді необхідно подивитись на відповідь, яка приходить з сервера. Вона міститься на роздруківці нижче і дає деяку корисну інформацію.
Отримана відповідь з відмовою сеансу (Negative Session Response), і код помилки служби сеансу говорить про те, що ім’я, яке викликається, відсутнє. Завдяки цьому стає зрозуміло, що проблема не в робочій станції, а в сервері. Інші робочі станції будуть стикатися з такою ж проблемою. Тепер необхідно перевірити, що відбувається на сервері. Але спочатку необхідно глянути, чи можна отримати яку-небудь додаткову інформацію із щойно зробленого трасування Netmon.
На роздруківці нижче наведено декілька запитів контролера первинного домену, але немає відповіді. Це відбувається як SMB C transact в \mailslot\net\netlogon. Можливо існує також проблема із службою netlogon.
Якщо переглянути події на робочій станції, можна побачити наступне повідомлення: "Броузер не зміг отримати список серверів з мастер-броузера \PROX у мережі \Device\NetBT_E100Bl. Дані є кодом помилки". Це повідомлення просто підтверджує, що на сервері є проблема.
На сервері необхідно перевірити наступне:
· Чи служба сервера виконується на комп'ютері місця призначення. Перевірити аплет служб в панелі керування (рис.2.1). Якщо служба сервера не виконується, машина все одно відповідатиме на ping, але сеанс створити неможливо. Якщо служба сервера зупинена, то необхідно запустити її. Це пояснить повідомлення помилок броузера в журналі подій, оскільки служба броузера комп'ютера залежить від служби сервера. Крім того, служба netlogon також залежить від служби сервера. Питання, звичайно, в тому, чому служба сервера зупинена? Деяку інформацію Netmon просто не може повідомити. Можливо, настав час змінити пароль адміністратора.
Рис. 2.1. Перевірка стану служб.
· Чи відповідає сервер місця призначення. Він може бути заблокований. Сервер може відповідати на ехо-пакет ICMP, навіть якщо сеанс неможливо створити. Якщо комп'ютер заблокований і неможливо відновити керування менеджером завдань або будь-яким іншим способом, слід повідомити всіх користувачів про необхідність зберегти свої дані і по можливості вийти з системи. Можна спробувати виконати закриття системи, хоча залежно від того, що відбулося, можливо, доведеться зробити повне завантаження. Якщо відновлення не відбулося, то доведеться перевіряти процедури резервного копіювання.
· Перевірити аплет ліцензії в панелі керування і в журналі подій, щоб переконатися, що обмеження ліцензії не порушені.
· Чи використовується DNS або файл хоста. Методи дозволу імені хоста використовуються першими в ping для дозволу імені. Команди net використовують методи дозволу імені NETBIOS (lmhosts, WINS). Утиліта рing може працювати, тоді як net view може простоювати.
2.2 Пошук несправностей в мережі з виділеним
DHCP
сервером
Хоча DHCP полегшує життя адміністратора, іноді клієнтська машина стикається з проблемами при отриманні адреси. У таких ситуаціях інформація часто буває мізерною. Крім того факту, що робоча станція не отримала адреси, більше нічого невідомо. Тут починають відігравати роль знання процесів DHCP і Netmon.
2.2.1
Діалог з
DHCP
сервером
Перш за все, необхідно перевірити, що машина була зконфігурована для запиту адреси. Якщо у вікні властивостей TСР/ІР відмічена властивість "отримувати IP-адресу з сервера DHCP", то це повинно працювати. Якщо ні, необхідно переривати Netmon і проглянути діалог. У ідеалі повинні бути присутніми чотири кадри, перелічені нижче.
1. Пошук DHCP
2. Пропозиція DHCP
3. Запит DHCP
4. DHCP АСК
Якщо один з чотирьох кадрів не присутній, то DHCP не працюватиме, а клієнт не зможе отримати адресу. Якщо немає жодного, то клієнт неправильно сконфігурований для запиту адреси DHCP. Вирішення проблем DHCP є процесом переглядання діалогу і ідентифікація того, що з діалогу, представленого вище, пропущено[2].
2.2.2
Аналіз діалогу комп’ютерів у мережі
Перший крок полягає в перегляді трасування і пошуку пропущеного кадру. Кадр запиту DHCP посилається за допомогою багатоадресової розсилки UDP IP з порту 68 (клієнтський порт ВООТР), в порт 67( серверний порт ВООТР). Magic cookie будуть правильними. Це чотирьохбайтна область в пакеті DHCP, яка ідентифікує початок поля, означеного постачальником для спеціальних параметрів. Якщо використовується дане поле параметрів, це наголошується IP-адресою 99.130.83.99, яка показана в трасуванні Netmon як шістнадцяткова 63 82 53 63. Параметри можуть перелічувати ідентифікатор клієнта, запитану адресу, а також інші позиції. У нашому полі параметрів ідентифікатор клієнта рівний адресі MAC комп'ютера, що робить запит - в даному випадку KENNY. Також видно, що машина KENNY запрошує ту ж адресу, якою вона володіла раніше. Якщо ця адреса доступна, то її можна буде використовувати знову.
У трасуванні нижче запитана адреса недоступна, оскільки вона отримує NACK, що є негативним підтвердженням. Якщо розглянути частину IP в кадрі, то можна побачити машину, яка посилає цей NACK на робочу станцію. Це видно в тій частині пакету, що приходить з порту 67 (порту сервера ВООТР), в порт 68 (порт клієнта ВООТР). Коли робоча станція отримує NACK, вона не ініціалізує TСР/ІР, поки не отримає адресу. Якщо TСР/ІР є єдиним протоколом, машина не зможе спілкуватися в мережі, поки не буде виявлений сервер DHCP.
Оскільки клієнтська машина посилає запити DHCP і отримує NACK (відмову) з сервера DHCP, то можна сказати, що вони спілкуються. Факт, що машина посилає запити, є позитивним, оскільки вона робить все, що повинна робити клієнтська машина. Для перевірки можна використовувати команду ipconfig /renew з вікна CMD, що змусить клієнтську машину створити трафік DHCP. Це один із способів виконати передачу, не перезавантажуючи машину. У трасуванні Netmon повинні бути два кадри DHCP: запит DHCP і DHCP АСК (підтвердження).
У даному випадку трасуванням DHCP можна знайти тільки запити і один NACK і жодного іншого трафіку. Наступний крок полягає в переході до сервера і вивчення властивостей DHCP, де можна виявити, що сервер не має вільних адрес, або що область дії була деактивована. Це, дві найбільш поширені причини[2].
2.3
Визначення швидкодії мережі
Немає нічого незвичайного, коли користувачі скаржаться на те, що мережа працює поволі. Ці скарги мережеві адміністратори чують достатньо часто. Проте користувачі рідко висловлюють інші думки, крім загального спостереження, що мережа повільна. Раніше адміністратор приходив до користувача, спостерігав за його діями і погоджувався або не погоджувався з точністю спостережень. Це не кращий спосіб для нового тисячоліття. У нас є Netmon як засіб порятунку. Розглянемо приклад нижче, щоб зрозуміти, як Netmon працює в цій ситуації[1].
2.3.1
Засоби і способи визначення швидкодії мережі
Простим способом визначити швидкодію мережі є використання експерта середнього часу відповіді сервера, наявного в Netmon 2.0. Перш ніж використати експерта, необхідно перехопити деякий об'єм трафіку між сервером і клієнтською машиною, для цього необхідно сконфігорувати фільтр перехоплення, який ізолює трафік між робочою станцією і даним сервером. Це повинно бути зроблено після перевірки робочої станції на те, скільки в ній відкрито додатків, скільки є вільного простору на диску для віртуальної пам'яті, і т.д. Коли будуть виключені всі можливі проблеми робочої станції, можна починати перехоплення даних[1].
2.3.2 Виявлення джерела впливу на швидкодію мережі
Для аналізу швидкодії необхідно завантажити перехоплений файл в Netmon 2.0 і сконфігорувати експерт часу відповіді (рис.2.2). Конфігурація експерта є дуже важливою для отримання точних результатів. Якщо, наприклад, користувач скаржиться, що повільно працює пошта РОРЗ, то необхідно додати до експерта порт 110.
Змінюючи конфігураційні файли, експерт може повідомити про більшість додатків, що виконуються в мережі. Якщо видалити всі порти, окрім порту даної програми, будуть отримані різні показники продуктивності. Використання Netmon 2.0 в цій області майже не обмежене.
Рис. 2.2. Експерт середнього часу відповіді сервера.
Експерт створює звіт, перелічуючи IP-адреси і середній час відповіді в секундах, як показано на рис.2.3. Якщо результати відповідають базовим показникам, можливо, доведеться знову аналізувати робочу станцію і роботу певного користувача. Якщо вони дійсно повільні, то трасування вимагатиме додаткового аналізу. Звіт розподілу протоколів, звіт верхніх користувачів і експерт пересилки TCP можуть надати цінну допомогу при пошуку причини повільної роботи мережі. Крім перегляду на екрані звіти можна зберегти як текстові файли і роздрукувати або перетворити на файли інших форматів, наприклад файли Microsoft Word[7].
2.4 Причини помилок у журналі подій
Іноді у журналі виникають помилки подій. Однією з них є подія ID 2000, яка говорить Status_no_such_file. Ця подія відбувається, коли мережевий додаток посилає команду видалення файла на загальний диск, а файл вже був видалений. Тобто, в другому рядку розділу даних повідомлення про помилку буде c000000f, яке відповідає Status_no_such_file.
2.4.1 Метод пошуку серверних проблем
Ця проблема пов'язана з SMB. Спочатку потрібно розглянути файл перехоплення. Для спрощення створюється фільтр виводу, який показує тільки команди SMB для видалення файлу. На рис.2.4 показано, як створюється цей фільтр виводу. Знаходячись в режимі виводу, вибирається фільтр з меню виводу (display), після подвійного клацання по рядку протоколу з'являється діалогове вікно вибору, де відключаються всі протоколи. Наступним кроком потрібно вибрати SMB із списку протоколів в правій панелі діалогового вікна, а потім клацнути по кнопці включити (enable). Далі перейти в розділ "S" списку протоколів. Це можна зробити активізувавши на панелі меню "name" і введення "S". В наслідок цього відбудеться переміщення в розділ "S", дозволяючи швидко знайти протокол SMB. Коли протокол SMB буде включений, потрібно знайти команду SMB delete. Щоб це зробити, потрібно вибрати закладку "property" і в ній знайти протокол SMB. Клацнувши на знаку "плюс" поряд з SMB, з'явиться список властивостей протоколу, серед яких потрібно вибрати "command" із діалогово вікна. Коли "command" буде вибрано, появиться список значень. У списку значень потрібно вибрати "delete file" і потім натиснути "ok". Цей фільтр виводу показує команди "SMB delete" будь-якого комп’ютера[6].
При перегляді кадрів "SMB delete" потрібно знайти повідомлення про помилку. Розглянемо взаємодію. Клієнтська машина посилає на сервер команду "C delete file". Параметри включають розміщення файлу.
Відповідь з сервера повертається в наступному кадрі який представлений в роздруківці нижче. В ньому команда "R delete file" з повідомленням про відсутність помилок. Фай успішно видалений з сервера.
В першому файлі перехоплених даних проблема не локалізована. Для того щоб знайти помилку необхідно, створити фільтр перехоплення, що перехоплюватиме тільки один тип пакетів. Щоб отримати необхідну інформацію, яка показана на рис. 2.5, необхідно знайти шаблон, який вказує команду "SMB delete". Як можна побачити з рис.2.6, вибір в панелі виводу командного рядка SMB виводить число 06 в шістнадцятковій панелі в рядку зсуву 03. У рядку статусу Netmon в нижньому правому кутку, точний зсув рівний Зе в шістнадцятковому вигляді. Тепер є зсув і шаблон для фільтру перехоплення команди "delete SMB".
2.4.2 Фільтр перехоплення, та його використання
Виконання програми Netmon можна спланувати за допомогоюкоманди AT яка вводиться у консолі cmd. Оскільки використовується спеціалізований фільтр перехоплення задопомогою якого можна визначити достатньо великий буфер перехоплення, то йому необхідно задати виконання протягом достатньо довгого періоду часу.
Використання фільтру перехоплення
Netmon /autostart /buffersize 1024000 /capturefilter с:/smbdelete.cf /autostop
Приведений вище текст команди необхідно ввести у текстовий редактор і зберегти як файл .bat. Для автоматизації процесу необхідно використати службу "Планувальник завдань".
На рис.2.7 зображено використання служби "Планувальник завдань" для автоматизації сеансу Netmon. Необхідно запустити службу планувальника, використовуючи аплет служби в панелі управління, у вікні CMD ввести необхідну команду AT. В даному випадку планувальник виконуватиме файл .bat з понеділка до п'ятниці в 5:00 після обіду. Приведений вище файл .bat виконуватиметься, поки буфер не заповниться, і потім зупиниться.
Виконуючи автоматичний сеанс Netmon під час прояву серверної проблеми, є можливість знайти неправильно працюючу програму, яка намагається повторно видалити вже видалений файл.
Ретельно створений фільтр перехоплення полегшує знаходження проблемної програми. При виявлені повідомлення про помилку, фільтр покаже, яка програма виконувалася в даний час. Крім того, можна включити перегляд часу при відкритті файлу перехоплення і точно побачити, який кадр відповідає певному повідомленню про помилку в переглядачі подій [6].
2.5 Проблеми що виникають при широкомовленні
Широкомовлення завжди є хорошим об'єктом для моніторингу, оскільки примушує всі машини в підмережі проглядати кадр. Це створює зайву роботу для багатьох машин. Крім того, коли виникає надмірна кількість широкомовних запитів, це створює руйнівний вплив на мережу.
При розгляді трафіку широкомовлення перший крок полягає в створенні фільтру виводу широкомовлення, що вибирає всі широкомовні повідомлення у вікні фільтру виводу, після цього перевірка широкомовних повідомлень достатньо прямолінійна. Якщо виникає широкомовний запит, як на рис.2.8, його легко виявити. Найбільш активному користувачеві звіт може дати уявлення про те, як він впливає на мережу. З рис.2.8 видно що один користувач використовує велику частину трафіку у мережі.
Наступний пакет ARP показує IP-адресу і MAC адресу машини, яка викликає надмірне широкомовлення .
Для отримання імені користувача можна виконати наступні команди:
· використати ping –a 10.0.0.163 для отримання імені хосту;
· використати arp –a для виведення кешу ARP;
· використати nbtstart –a 10.0.0.163 для отримання таблиці імен NetBIOS віддаленої машини.
Для усунення надмірного широкомовлення необхідно дослідити машину і перевірити, яке програмне забезпечення встановлено, які протоколи завантажено, а також вид використовуваного мережевого адаптера. Також, необхідно подивитися, чи існують оновлення для будь-якого з цих об'єктів, драйверів, перевірити оновлення вбудованих програм самого комп'ютера.
Визначивши, коли виникла проблема, можна дізнатись про те, яке програмне забезпечення було додане, видалене або оновлене, тобто що викликало проблему [2].
Розділ ІІІ. Методи захисту від несанкціонованого доступу в мережі
T
CP/
IP
3.1 Безпека комп’ютерів на базі Windows 2000/XP
3.1.1 Сканування мережі
TCP
/
IP
Метою сканування є визначення IP-адрес хостів мережі, що атакуються, і для виконання сканування можна скористатися утилітою ping. На рис.3.1 представлений результат сканування утилітою ping хосту Sword-2000.
Із результату видно, що комп’ютер за вказаною адресою підключений до мережі і з’єднання працює нормально. Це найпростіший спосіб сканування мережі, однак, він не завжди приводить до потрібного результату, оскільки багато вузлів блокують зворотню відправку пакетів ICMP за допомогою спеціальних засобів захисту.
Якщо обмін даними за протоколом ICMP заблокований, хакерами можуть бути використані інші утиліти, наприклад, hping. Ця утиліта здатна фрагментувати (тобто ділити на фрагменти) пакети ICMP, що дозволяє обходити прості пристрої блокування доступу, які не роблять зворотну збірку фрагментованих пакетів [9].
Інший спосіб обходу блокування доступу – сканування за допомогою утиліт, що дозволяють визначити відкриті порти комп'ютера. Прикладом такої утиліти є SuperScan, яка надає користувачам зручний графічний інтерфейс (див рис.3.2).
На рис. 3.2 приведений результат сканування мережі в діапазоні IP-адрес 1.0.0.1-1.0.0.7. Деревовидний список в нижній частині вікна відображає список всіх відкритих портів комп'ютера Sword-2000 серед яких TCP-порт 139 сеансів NETBIOS. Запам'ятавши це, перейдемо до детальнішого дослідження мережі – до її інвентаризації .
3.1.2
Інвентаризація мережі
Інвентаризація мережі полягає у визначенні загальних мережевих ресурсів, облікових записів користувачів і груп, а також у виявленні програм, що виконуються на мережевих хостах. При цьому хакери дуже часто використовують наступний недолік комп'ютерів Windows NT/2000/XP – можливість створення нульового сеансу NETBIOS з портом 139.
3.1.3 Нульовий сеанс
Нульовий сеанс використовується для передачі деяких відомостей про комп'ютери Windows NT/2000, необхідні для функціонування мережі. Створення нульового сеансу не вимагає виконання процедури аутентифікації з'єднання. Для створення нульового сеансу зв'язку необхідно з командного рядка Windows NT/2000/XP виконати наступну команду:
net use\\l.0.0.l\IPC$"" /user:""
Де1.0.0.1 – це IP-адреса комп'ютера Sword-2000 ,що атакується, IPC$ – це (абревіатура загального ресурсу мережі Inter-Process Communication) міжпроцесна взаємодія, перша пара лапок означає використання порожнього пароля, а друга пара в записі user:"" вказує на порожнє ім'я віддаленого клієнта. Анонімний користувач, що підключився нульовим сеансом за замовчуванням отримує можливість завантажити диспетчер користувачів, який використовується для проглядання користувачів і груп, виконувати програму проглядання журналу подій. Йому також доступні і інші програми віддаленого адміністрування системою, що використовують протокол SMB (Server Message Block - блок повідомлень сервера). Більше того, користувач, що під'єднався нульовим сеансом, має права на перегляд і модифікацію окремих розділів системного реєстру.
Ще один метод інвентаризації полягає у використанні утиліт net view і nbtstat з пакету W2RK. Утиліта net view дозволяє відобразити список доменів мережі.
C:\>net view /domain
Домен
SWORD
Команда виконана вдало.
В результаті відобразилася назва робочої групи SWORD. Якщо вказати знайдене ім’я домену, утиліта відобразить підключені до нього комп’ютери.
C:\>net view /domain : SWORD
\\ALEX-3
\\SWORD-2000
Тепер необхідно визначити зареєстрованого на даний момент користувача серверного комп’ютера Sword-2000 і завантажені на комп’ютері служби. З цією метою використаємо утиліту nbtstat. Результат її використання представлений на рис. 3.3. На цьому рисунку відображена таблиця, в якій перший стовбець вказує ім’я NetBIOS, в слід за ім’ям відображений код служби NetBIOS. Код <00> після імені комп’ютера означає службу робочої станції, а код <00> після імені домену – ім’я домену. Код <03> означає службу розсилки повідомлень, які передаються користувачу, що заходить в систему, ім’я якого стоїть перед кодом <03> в даному випадку Administrator.
На комп’ютері також працює служба браузера MSBROWSE, на що вказує код після імені робочої групи SWORD. Отже ми вже маємо ім’я користувача, зареєстрованого в даний момент на комп’ютері Administrator, за допомогою процедури net view, вказавши їй ім’я віддаленого комп’ютера. Визначаили також мережеві ресурси ком’ютера Sword-2000, які використовує Administrator. Результати пердставлені на рис. 3.4.
Отже, обліковий запис користувача Administrator відкриває загальний мережний доступ до деяких папок файлової системи комп’ютера Sword-2000 і приводу CD-ROM. Таким чином про комп’ютер відомо достатньо багато – він дозволяє нульові сеанси NetBIOS, на ньому працює користувач Administrator, відкриті порти 7, 9, 13, 17, 139, 443, 1025, 1027 комп’ютера, і в число загальних мережних ресурсів входять окремі папки локального диску C: . Тепер необхідно дізнатись пароль доступу користувача Administrator, після чого в розпорядженні буде вся інформація про жорсткий диск С: комп’ютера.
Якщо протокол NetBIOS через TCP/IP буде відключений (комп’ютери Windows 2000/XP надають таку можливість), можна використати протокол SNMP ( Simple Network Management Protocol – простий протокол мережевого управління), який забезпечує моніторинг мереж Windows NT/2000/XP [8].
3.1.4 Реалізація цілі
Виконання атаки на системи Windows NT/2000/XP складається з наступних етапів.
· Проникнення в систему, що полягає в отриманні доступу.
· Розширення прав доступу, що полягає в зломі паролів облікових записів з великими правами, наприклад, адміністратора системи.
· Виконання мети атаки: отримання даних, руйнування інформації і так далі.
Проникнення в систему починається з використання облікового запису, виявленого на попередньому етапі інвентаризації. Для визначення потрібного облікового запису хакер міг скористатися командою nbtstat або браузером MIB, або якими-небудь хакерськими утилітами, удосталь представленими в Інтернеті. Виявивши обліковий запис, хакер може спробувати під'єднається до комп'ютера, використовуючи його для вхідної аутентифікації. Він може зробити це з командного рядка, ввівши таку команду.
D:\>net use\\1.0.0.1\IPC$ * / u: Administrator
Символ «*» у рядку команди указує, що для підключення до віддаленого ресурсу IPC$ потрібно ввести пароль для облікового запису Administrator. У відповідь на введення команди відобразиться повідомлення:
Type password for\\1.0.0.1\IPC$:
Введення коректного пароля приводить до встановлення авторизованого підключення. Таким чином, ми отримуємо інструмент для підбору паролів входу в комп'ютер. Генеруючи випадкові комбінації символів або перебираючи вміст словників, можна, врешті-решт, натрапити на потрібне поєднання символів пароля. Для спрощення підбору існують утиліти, які автоматично роблять всі ці операції, наприклад SMBGrind, яка входить в комерційний пакет CyberCop Scanner компанії Network Associates. Ще одним методом є створення пакетного файлу з циклічним перебором паролів.
Проте віддалений підбір паролів – далеко не наймогутніше знаряддя злому. Всі сучасні сервери, як правило, забезпечені захистом від багатократних спроб входу із зміною пароля, інтерпретуючи їх як атаку на сервер. Для злому системи захисту Windows NT/2000/XP частіше використовується могутніший засіб, що полягає у отриманні паролів бази даних SAM (Security Account Manager –диспетчер облікових даних системи захисту). База даних SAM містить шифровані коди паролів облікових записів, вони можуть витягуватися, зокрема віддалено, за допомогою спеціальних утиліт. Далі ці паролі дешифруються за допомогою утиліти дешифрування, що використовує який-небудь метод злому, наприклад, «грубою силою», або словниковою атакою, шляхом перебору слів із словника.
Найбільш відомою утилітою дешифрування є програма LC4 (скорочення від назви LOphtcrack), яка діє у парі з такими утилітами, як:
· Samdump - отримання шифрованих паролів з бази даних SAM.
· Pwdump - отримання шифрованих паролів з системного реєстру комп'ютера, включаючи віддалені системи. Ця утиліта не підтримує посилене шифрування Syskey бази SAM.
· Pwdump2 - отримання шифрованих паролів з системного реєстру, в якому застосовано шифрування Syskey. Ця утиліта підтримує роботу тільки з локальними системами.
· Pwdump3 - те ж, що і Pwdump2, але з підтримкою віддалених систем.
Для отримання шифрованих паролів з комп'ютера Sword-2000 застосуємо утиліту Pwdump3:
C:\>pwdump3 sword-2000 > password. psw
Вміст отриманого файлу представлений у вікні додатку Блокнот (Notepad) (рис. 3.5).
Як видно, у файлі password.psw міститься обліковий запис Administrator який був знайдений на етапі інвентаризації. Щоб розшифрувати паролі, слід застосувати програму LC4 і хоча пробна версія цієї програми підтримує тільки дешифрування паролів методом словесної атаки, все ж дає можливість взлому паролів комп’ютера Sword-2000 рис. 3.6.
Таким чином, маючи можливість створення нульових сеансів підключення NETBIOS до комп'ютера, в принципі, можна отримати паролі облікових записів комп'ютера, включаючи адміністратора системи.
Для розширення прав доступу в системі використовуються спеціальні програми, що дозволяють виконувати віддалене керування системою, зокрема реєстрацію дій користувача. Для цього на комп'ютер можуть бути впроваджені так звані клавіатурні шпигуни – програми, що реєструють натиснення клавіш. Всі отримані дані записуються в окремий файл, який може бути відісланий на інший комп'ютер в мережі.
Інший варіант – розміщення в системі активного трояна, наприклад, NetBus, або Во2к (Back Orifice 2000), які забезпечують засоби прихованого віддаленого керування і моніторингу за атакованим комп'ютером[8].
Розглянемо роботу NetBus на прикладі двох мережевих комп'ютерів: клієнта - комп'ютер Sword-2000 (ІР-адрес 1.0.0.1), і сервера - комп'ютер Alex-3 (IP-адрес 1.0.0.5).
Для успішної роботи троянського коня NetBus на комп'ютері, що атакується, спочатку потрібно запустити серверний компонент, який називається NBSvr. При запуску програми NBSvr відображається діалог, представлений на рис.3.7.
Перед використанням сервера NetBus утиліту NBSvr необхідно налаштуаати. Для цього виконується така процедура:
·У діалозі NB Server (Сервер NB) клацнути на кнопці Settings (Параметри). На екрані з'явиться діалог Server Setup (Параметри сервера), представлений на рис.3.8.
·Встановити прапорець Accept connections (Приймати з'єднання).
·У полі Password (Пароль) ввести пароль доступу до сервера NetBus.
·Із списку Visibility of server (Видимість сервера) вибрати пункт Full visible (Повна видимість), що дозволить спостерігати за роботою сервера NetBus (але для роботи краще вибрати повну невидимість).
·У полі Access mode (Режим доступу) вибрати Full access (Повний доступ), що дозволить робити на комп'ютері всі можливі операції віддаленого керування.
·Встановити прапорець Autostart every Windows session (Автозавантаження при кожному сеансі роботи з Windows), щоб сервер автоматично завантажувався при вході в систему.
·Клацнути мишею на кнопці ОК. Сервер готовий до роботи.
Тепер необхідно налаштувати роботу клієнта - утиліту NetBus.exe.
·Завантажити утиліту NetBus.exe, після чого відобразиться вікно NetBus 2.0 Pro, представлене на рис. 3.9.
·Вибрати команду меню Host * Neighborhood * Local (Хост * Сусідній хост * Локальний). Відобразиться діалог Network (Мережа), представлений на рис. 3.10.
·Клацнути на пункті Microsoft Windows Network (Мережа Microsoft Windows) і відкрити список мережевих хостів рис. 3.11.
·Вибрати комп’ютер з встановленим сервером NetBus, в даному випадку Sword-2000 і клацнути на кнопці Add (Додати). На екрані з’явиться діалогове вікно Add Host (Додати хост), рис. 3.12.
·В полі Host name/IP (Ім’я хосту/ІР) ввести ІР-адресу серверного хосту 1.0.0.1.
· В полі User name (Ім’я користувача) необхідно ввести ім’я облікового запису Administrator, а в полі Password (Пароль), що дешифрований програмою LC4 пароль 007.
· Клацнути на кнопці ОК. На екрані відобразиться діалог Network (Мережа).
· Закрити діалог Network (Мережа), клацнувши на кнопці Close (Закрити). На екрані відобразиться вікно NetBus 2.0 Pro із записом доданого хосту (рис. 3.13).
· Щоб під’єднатися до хосту Sword-2000 необхідно клацнути правою кнопкою миші на пункті списку Sword-2000 і з контекстного меню, що відобразилося, вибрати команду Connect (Під'єднати). У разі успіху в рядку стану вікна NetBus 2.0 Pro відобразиться повідомлення Connected to 1.0.0.1 (v.2.0) (Підключений до 1.0.0.1 (v.2.0)).
Після успішного з'єднання з серверним компонентом Netbus, використовуючи інструменти клієнта Netbus, можна зробити з атакованим комп'ютером все що завгодно. Практично йому будуть доступні ті ж можливості, що і у локального користувача Administrator. На рис. 3.14. представлений список інструментів клієнта NetBus, який відображений в меню Control (Управління).
Серед цих інструментів можна відзначити засоби, зібрані в підменю Spy functions (Засоби шпигунства), що містять такі інструменти, як клавіатурний шпигун, перехоплювачі екранних зображень і інформації, що отримується з відеокамери, а також засобу запису звуків. Таким чином, хакер, що проник у комп'ютер, може підглядати, підслуховувати і читати все, що бачить користувач, говорить, або вводить з клавіатури комп'ютера. Хакер також може модифікувати системний реєстр комп'ютера Sword-2000, завантажувати будь-які програми і перезавантажувати віддалену систему Windows, не кажучи вже про можливості перегляду і копіювання будь-яких документів і файлів.
Як уже згадувалося, описана в цьому розділі утиліта сервера NetBus, вимагає попереднього запуску на комп'ютері, що атакується. Останнє завдання складає цілу окрему область хакінгу і полягає в пошуку відкритих через недогляд каталогів інформаційного сервера IIS, а також у використанні методів «соціальної інженерії», що використовується для впровадження в комп'ютер троянських коней або вірусів.
3.1.5 Приховування слідів
Аудит, поза сумнівом, є одним з найбільш серйозних засобів захисту від взлому комп'ютерної системи, і відключення засобів аудиту – одна з перших операцій, яку виконують хакери при зломі комп'ютерної системи. Для цього застосовуються різні утиліти, що дозволяють очистити журнал реєстрації і/або відключити аудит системи перед початком роботи.
Для відключення аудиту хакери можуть відкрити консоль ММС і відключити політику аудиту, скориставшись засобами операційної системи. Іншим, могутнішим засобом, є утиліта auditpol.exe комплекту інструментів W2RK. З її допомогою можна відключати (і включати) аудит як локального, так і віддаленого комп'ютера. Для цього необхідно з командного рядка ввести таку команду.
C:\Auditpol>auditpol \\sword-2000 /disable
На екрані з'являться результати роботи:
Running...
Audit information changed successfully on \\sword-2000...
New audit policy on \\sword-2000...
(0) Audit Disabled
System = No
Logon = No
Object Access = No
Privilege Use = No
Process Tracking = Success and Failure
Policy Change = No
Account Management = No
Directory Service Access = No
Account Logon = No
Параметр команди \\sword-2000 - це ім'я віддаленого комп'ютера, а ключ /disable задає відключення аудиту на цьому комп’ютері. Утиліта auditpol.exe є досить ефективним засобом для управління мережевими ресурсами і також може бути інструментом який використовується при взломі. Також ця утиліта дозволяє включати і відключати аудит бази даних SAM, що є передумовою використання утиліти pwdump3.exe для отримання паролів з бази SAM.
Очищення журналів безпеки можна виконати або за допомогою утиліти проглядання журналів Windows 2000/XP, або за допомогою спеціальних утиліт. У першому випадку слід виконати наступні дії.
· Клацнути на кнопці Пуск (Start) і в головному меню, що з'явилося, вибрати команду Налаштування * Панель управління (Settings* Control Panel).
· У панелі управління, відкрити теку Адміністрування (Administrative Tools).
· Двічі клацнути на аплеті Управління комп'ютером (Computer Management). На екрані з'явиться діалог консолі ММС.
· Послідовно відкрити теки Службові програми * Перегляд подій (System Tools | Event Viewer).
· Клацнути правою кнопкою миші на пункті Безпека (Security Log).
· Вибрати команду контекстного меню Стерти всі події (Clear all Events). На екрані з'явиться діалог Проглядання подій (Event Viewer) з пропозицією зберегти журнальні події у файлі.
· Клацнути на кнопці Ні (No), якщо більше не потрібні зафіксовані в журналі події. Журнал буде очищений.
При очищенні журналу безпеки з нього витираються всі події, але відразу встановлюється нова подія - тільки що виконане очищення журналу аудиту! Таким чином, хакер все ж таки залишить свій слід - порожній журнал із зафіксованою подією очищення журналу[9].
3.2 Засоби віддаленого керування
Засоби віддаленого керування комп'ютерами сьогодні набули великої популярності. Поступово, крок за кроком, з інструменту віддаленого адміністрування, що використовувалися суто в технологічних цілях, програмні засоби цього типу почали використовуватися співробітниками різних організацій для роботи зі своїм офісним комп'ютером не виходячи з будинку, з домашнього комп'ютера. Сучасні програми віддаленого керування офісним комп'ютером надають цілий набір засобів для підключення - прямого, модемного і мережевого. Все це надає великі зручності для співробітників організацій, проте і хакерам також відкриваються можливості для досягнення своїх цілей.
Інсталюючи засоби віддаленого керування, існує можливість його несанкціонованого використання. Якщо встановити на офісний комп'ютер модем і підключити його до телефонної лінії для подальших сеансів зв'язку з домашнього комп'ютера, то хакер при виявленні телефонів організації і протестувавши на наявність з'єднання за допомогою спеціальних програм ідентифікує засоби віддаленого керування та взламує їх.
3.2.1 Програма
pcAnywhere
Програма pcAnywhere корпорації Symantec є одним з кращих інструментів віддаленого керування хостами мережі TCP/IP. pcAnywhere встановлюється на комп'ютерах, зв'язаних локальною мережею, модемною лінією зв'язку або безпосередньо, через послідовні і паралельні порти. Комп'ютери, керовані засобами pcAnywhere, називаються хостами, а комп'ютери, що керують, називаються абонентами. Взаємодія хостів і абонентів pcAnywhere відбувається наступним чином, після встановлення зв'язку на екрані віддаленого комп'ютера відображаються ті ж засоби призначеного для користувача інтерфейсу і діалоги програм, що і на моніторі хосту. При цьому дії користувача в діалозі абонента pcAnywhere негайно копіюються на екрані хоста pcAnywhere.
Таким чином, користувач комп'ютера-абонента pcAnywhere отримує в своє розпорядження консоль віддаленого керування хостом pcAnywhere, практично співпадаючу з локальною консоллю хосту (рис. 3.15).
Для керування роботою своїх хостів і абонентів програма pcAnywhere надає диспетчер, робоче вікно якого, pcAnywhere Manager (Диспетчер pcAnywhere), представлене на рис. 3.16.
Версія 10.5.1 програми pcAnywhere не дозволяє поповнювати список абонентів хоста без вказівки логіна і пароля вхідної реєстрації. Новому абонентові при створенні надаються за замовчуванням обмежані права.
Отже, на перший погляд, все, що можна запропонувати для злому доступу до хосту pcAnywhere – це спробувати вгадати логін і пароль, часто співпадаючі з логіном і паролем вхідної реєстрації. Для цього можна скористатися програмою Brutus. Ця програма дозволяє настроювати свої засоби злому паролів. Проте це трудомісткий і ненадійний шлях, оскільки користувач встановить надійний пароль для реєстрації, а система захисту зафіксує численні спроби вхідної реєстрації [8].
Існує обхідний шлях – підміна профілю підключення абонента до хосту. В цьому випадку необхідно створити хост pcAnywhere, ім'я якого співпадає з тим, що відображається в діалозі очікування з'єднання. Наступним кроком є створення абонента для підключення до цього хосту, цьому абонентові надаються необмежені права доступу до хосту, встановлюючи перемикач Superuser (Суперкористувач) на вкладці Privileges (Привілеї) діалогу властивостей абонента.
Після створення хосту pcAnywhere в папці Системний диск:/Documents and Settings/All Users/Application Data/Symantec/pcAnywhere (або в іншій папці, вказаній в списку діалогу диспетчера pcAnywhere), створюється файл профілю абонента цього хоста з передбаченим ім'ям. У даному випадку для хосту Sword-2000 після створення абонента pcAnywhere з логіном А1ех-3 був створений файл профілю з ім'ям PCA.Alex-3.CIF - тобто з ім'ям, що містить логін абонента в середині запису, і з розширенням .CІF.
Створивши за допомогою диспетчера pcAnywhere нового абонента наприклад, Hacker, профіль якого буде збережений у файлі PCA.Hacker.CIF на комп'ютері хакера. Якщо цей файл РСА.Hacker.CIF помістити на хост Sword-2000 в теку Системний диск:/Documents and Settings/All Users/Application Data/Symantec/ pcAnywhere, то в діалозі абонентів хоста Sword-2000 з'явиться новий обліковий запис ( рис. 3.17).
Тепер до хосту pcAnywhere можна підключитися, знаючи логін і пароль нового абонента Hacker, в даному випадку - хакер, що трохи попрацював для створення і перенесення файлу профілю на комп'ютер-жертву.
Існує декілька шляхів для запису файлу на атакований комп’ютер. Одним з них це атака на протокол NETBIOS, або підготувавши і відправити лист з активним вкладенням, яке завантажить на хост файл, скажімо, з використанням клієнта TFTP. Можна також вдатися до методів соціальної інженерії і змусити ламера клацнути на посиланні для завантаження безкоштовної программи (це найкращий метод для людей із специфічними схильностями). Якщо хост pcAnywhere функціонує як Web-сервер, є сенс атакувати сервер IIS, і якщо це програма IIS 5, не оброблена сервісними пакетами, то шанси на успіх майже стовідсоткові[8].
Щоб віддалено визначити, чи встановлений на комп'ютері хост pcAnywhere і чи працює він в даний момент, слід звернутися до засобів інвентаризації ресурсів локальної мережі, які повинні виявити на комп'ютері відкриті порти віддаленого управління. Проте в мережах Windows є і ще одна можливість – використання засобів інвентаризації, вбудованих в системи Windows NT/2000/XP, які спираються на протокол SNMP (Simple Network Management Protocol -простий протокол мережевого управління).
3.2.2
Протокол SNMP
Протокол SNMP призначений для віддаленого адміністрування хостів локальної мережі. Для хакерів протокол SNMP забезпечує великі можливості з інвентаризації мережі, на вразливостях SNMP базується багато хакреських атак. Тому розроблено безліч програм управління мережами з опорою на протокол SNMP, з яких виділимо пакет SOLARWINDS. Ці утиліти мають подвійне застосування. Системні адміністратори використовують їх для адміністрування мережі, а хакери – для проникнення в мережу і заволодіння її ресурсами. Отже, перейдемо до знайомства з пакетом SOLARWINDS з врахуванням завдань злому і захисту.
Протоколом SNMP є стандарт управління мережами TCP/IP (а також мережами IPX). На основі протоколу SNMP створюються програмні засоби віддаленого управління мережевими серверами, робочими станціями і іншими пристроями, що дозволяють налаштовувати роботу мережевих хостів, спостерігати за їх роботою, відстежувати збої і поточну діяльність користувачів в мережі.
Для роботи вищезгаданих програмних засобів SNMP використовуються системи управління SNMP (або консолі SNMP) і агенти SNMP, тобто служби SNMP, що збирають інформацію про вузли, і поміщають її в бази даних MIB (Management Information Base - база керуючої інформації). База MIB містить таблицю запущених служб, звіт про спосіб розмежування доступу, перелік сеансів і облікових записів користувачів, набір загальних ресурсів сервера і іншу інформацію. Для проглядання бази МІВ застосовуються системи управління SNMP, наприклад, утиліта snmputil з пакету W2RK або ж спеціальне програмне забезпечення, прикладом якого є застосуванню IP Network Browser, що входить в пакет SOLARWINDS 2002 Engineer's Edition. Хости, на яких функціонують консолі і агенти SNMP, об'єднуються в співтовариства SNMP, що ідентифікуються іменами співтовариства. Агенти SNMP кожного хосту співтовариства можуть передавати повідомлення у відповідь на запити консолей SNMP тільки «свого» співтовариства і тих співтовариств, які вказані в списку, що створюється при конфігурації служби SNMP. Для обміну інформацією використовується транспортний протокол UDP, а передача пакетів SNMP виконується через сокети Windows з портами 161 і 162.
Якщо хакерові вдається визначити ім'я співтовариства SNMP, інвентаризація мережевих ресурсів комп'ютерів співтовариства не викликає жодних проблем. Для вирішення цього завдання можна скористатися пакетом SOLARWINDS, що включає у себе найрізноманітніші утиліти для збору відомостей про локальну мережу.
На рис. 3.18. представлений діалог браузера MIB з пакету Solar Winds 2001 Engineer’s Edition, що відображає записи бази даних MIB комп’ютера А1ех-3, що входять в розділ відомостей про облікові записи і загальні ресурси комп’ютера.
На рис. 3.18. можна відмітити, що дані, які відображаються браузером МІВ аналогічні таким, що виявлені з бази SAM за допомогою утиліти LC4 . Таким чином, база МІВ не менш інформативна, ніж база SAM, крім того, що в ній відсутні паролі облікових записів.
Існує й інша утиліта для проглядання ресурсів мережевих хостів – Network Browser , яка представляє інформацію бази даних МІВ мережі, що інвентаризується в доступнішій формі ( рис. 3.19).
Проблема у використанні бази MIB для цілей інвентаризації полягає в отриманні імені співтовариства, яке по суті є паролем для доступу до інформації в базі MIB. Це завдання зовсім не безнадійне, оскільки засоби пакету SOLARWINDS 2001 Engineer's Edition включають утиліти SNMP Brute Force Attack і SNMP Dictionary Attack для злому доступу до бази МІВ підбором імені співтовариства, що виконується, відповідно, прямим перебором символів і шляхом словникової атаки.
Дуже часто для надання імен співтовариствам, SNMP адміністратори використовують встановлені за замовчуванням імена public, або private, або їх варіації. Тому утиліти SNMP Brute Force Attack і SNMP Dictionary Attack для злому доступу до співтовариства SNMP враховують таку особливість. Вони дозволяють хакерові вводити початкові імена співтовариства SNMP типу public або private в стартовий рядок пошуку з автоматичною генерацією варіантів рядків, що випробовуються. Це дозволяє швидко знаходити імена типу public2 і інші, що базуються на стандартному імені public[8].
Для захисту від атаки на протокол SNMP, слід закрити доступ до портів 161 і 162, які використовуються агентами і консоллю SNMP, вдавшись до засобів фільтрації ТСР/ІР, або засобами аплета Служби (Services) комп'ютера Windows 2000/XP, щоб відключити на хості службу SNMP. У будь-якому випадку ім'я співтовариства SNMP повинно бути достатньо складним для злому методом грубої сили, оскільки ім'я співтовариства служить фактично паролем доступу до агента SNMP.
Встановлені на мережевому хості засоби віддаленого управління, як від незалежного виробника (програма pcAnywhere). так і вбудовані (служба SNMP) можуть стати справжніми знахідками для хакера, оскільки дуже часто після інсталяції цих засобів їх система захисту не настроєтна належним чином. Це стосується практично всіх загальнопоширених програм віддаленого керування, особливо ранніх версій. Щоб виявити комп'ютер зі встановленою програмою віддаленого керування, можна скористатися засобами протоколу SNMP, що забезпечує роботу агентів і консолі SNMP управління ресурсами комп'ютера. Браузер IP Network Browser, розглянутий в цьому розділі, надійно ідентифікує відкриті порти програми віддаленого управління pcAnywhere, після чого хакер може скористатися різними засобами для віддаленого злому доступу до хосту pcAnywhere.
Не слід нехтувати також можливостями SNMP для вирішення загального завдання інвентаризації систем, що атакуються. Засоби захисту агентів і консолі SNMP, вбудовані в систему Windows не забезпечують належноїй безпеки для комп'ютерів співтовариства SNMP. Для хакера це надає обширні можливості для інвентаризації ресурсів мережевих хостів і подальших спроб злому доступу до комп'ютерів.
Для запобігання взлому, паролі доступу до хостів pcAnywhere мають бути досить складними, щоб їх не можна було зламати словниковою атакою, або простим перебором. Описаній вище атаці на хост pcAnywhere можна також запобігти, обмеживши доступ до папок комп'ютера, що зберігають інформацію для налаштування. Тому налаштування системи захисту Windows – найкращий спосіб запобігання атакам на засоби віддаленого управління[7].
3.3 Функції брандмауерів
Брандмауером називають спеціальний програмно-апаратний комплекс, що забезпечує захист локальної мережі від вторгнень з локальної або глобальної мережі, наприклад, Інтернету, в точці їх з'єднання. Брандмауери дозволяють пропускати через мережеве з'єднання тільки авторизований трафік, контролюючи тим самим мережеву взаємодію між комп'ютерами глобальної і локальної мережі. Високорозвинуті брандмауери дозволяють виконувати дуже точну настройку доступу до мережевих служб, надаючи для цього зручний графічний інтерфейс. Добре настроєний брандмауер не просто блокує неавторизовані запити з боку зовнішніх комп'ютерів, але і намагається ідентифікувати авторів запиту разом з негайним повідомленням адміністратора системи про спроби таких запитів.
Брандмауери дозволяють управляти мережевим трафіком, що проходить усередині локальної мережі. За допомогою брандмауерів можна розділити локальну мережу на домени безпеки - групи комп'ютерів з одним рівнем захищеності. На комп'ютерах найбільш захищеного домена слід зберігати конфіденційну інформацію, наприклад, облікові записи користувачів, документи фінансової звітності, відомості про поточну виробничу діяльність і тому подібне. Розділення доступу користувачів до мережевих ресурсів різного ступеня секретності вже само по собі різко підвищує рівень безпеки мережі. Якщо до того ж набудувати брандмауер так, щоб доступ до виділеного мережевого сегменту був максимально обмеженим, то можна значною мірою забезпечити інформацію, що зберігається в сегменті, від розкриття конфіденційності[6].
У загальному випадку методика Firewall, тобто брандмауерів, реалізує наступні основні три функції:
1. Багаторівнева фільтрація мережного трафіка.
Фільтрація звичайно здійснюється на трьох рівнях OSI:
• мережному (IP);
• транспортному (TCP, UDP);
• прикладному (FTP, TELNET, HTTP, SMTP ).
Фільтрація мережевого трафіка є основною функцією систем Firewall і дозволяє адміністратору безпеки мережі централізовано здійснювати необхідну мережеву політику безпеки у виділеному сегменті IP-мережі. Тобто, настроївши відповідним чином Firewall, можна дозволити чи заборонити користувачам як доступ із зовнішньої мережі до хостів, що знаходяться в сегменті, який захищається, так і доступ користувачів із внутрішньої мережі до відповідного ресурсу зовнішньої мережі.
2. Proxy-схема з додатковою ідентифікацією й аутентифікацією користувачів на Firewall - хості.
Proxy-схема дозволяє, по-перше, при доступі до захищеного Firewall сегменту мережі здійснити на ньому додаткову ідентифікацію й аутентифікацію віддаленого користувача. По-друге, є основою для створення приватних мереж з віртуальними IP-адресами. Proxy-схема призначена для створення з'єднання з кінцевим адресатом через проміжний proxy-сервер (proxy від англ. повноважний) на хості Firewall. На цьому proxy-сервері і може здійснюватися додаткова ідентифікація абонента.
3. Створення приватних віртуальних мереж (Private Virtual Network - PVN) з "віртуальними" IP-адресами (NAT - Network Address Translation).
У випадку, якщо адміністратор безпеки мережі вважає за доцільне приховати топологію своєї внутрішньої IP-мережі, то йому необхідно використовувати системи Firewall для створення приватної мережі (PVN-мережа). Хостам у PVN-мережі призначаються будь-які "віртуальні" IP-адреси. Для адресації в зовнішню мережу (через Firewall) необхідне використання на хості Firewall proxy-серверів, або застосування спеціальних систем роутінгу (маршрутизації). Це відбувається через те, що віртуальна IP-адреса, яка використовується у внутрішній PVN-мережі , не придатна для зовнішньої адресації (зовнішня адресація - це адресація до абонентів, що знаходиться за межами PVN-мережі). Тому proxy-сервер, чи засіб роутінгу повинен здійснювати зв'язок з абонентами з зовнішньої мережі зі своєї дійсної IP-адреси. Ця схема зручна в тому випадку, якщо для створення ІР-мережі виділили недостатню кількість IP-адрес, тому для створення повноцінної IP-мережі з використанням proxy-схеми досить тільки однієї виділеної IP-адреси для proxy-сервера.
Будь-який пристрій, що реалізує хоча б одну з цих функцій Firewall-методики, і є Firewall-пристроєм. Наприклад, ніщо не заважає використовувати в якості Firewall - хосту комп'ютер зі звичайною ОС FreeBSD чи Linux, у якої відповідним чином необхідно скомпілювати ядро ОС. Firewall такого типу буде забезпечувати тільки багаторівневу фільтрацію ІР-трафіка. Пропоновані на ринку Firewall-комплекси, створені на базі ЕОМ звичайно реалізують усі функції Firewall-методики і є повнофункціональними системами Firewall. На рис. 3.20 зображений сегмент мережі, відділений від зовнішньої мережі повнофункціональним Firewall - хостом.
Однак адміністраторам IP-мереж треба розуміти, що Firewall це не гарантія абсолютного захисту від віддалених атак у мережі Internet. Firewall - не стільки засіб забезпечення безпеки, скільки можливість централізовано здійснювати мережну політику розмежування віддаленого доступу до доступних ресурсів мережі. Firewall не зможе запобігти таким видам атак як: аналізу мережного трафіку, помилковий ARP-сервер, помилковий DNS-сервер, підміна одного із суб'єктів TCP-з'єднання, порушення працездатності хосту шляхом створення спрямованої атаки помилковими запитами чи переповнення черги запитів. В таких випадках використання Firewall не допоможе. Для того, щоб вивести з ладу (відрізати від зовнішнього світу) усі хости усередині захищеного Firewall-системою сегмента, досить атакувати тільки один Firewall. Це пояснюється тим, що зв'язок внутрішніх хостів із зовнішнім світом можливий тільки через Firewall.
З усього вищесказаного аж ніяк не випливає, що використання систем Firewall є абсолютно безглуздим, на даний момент цій методиці немає альтернативи. Однак треба чітко розуміти і пам'ятати її основне призначення. Застосування методики Firewall для забезпечення мережної безпеки є необхідною, але аж ніяк не достатньою умовою. Не потрібно вважати, що поставивши Firewall вирішуються всі проблеми з мережною безпекою і усунуться усі можливі віддалені атаки з мережі Internet [7].
3.4 Перехоплення мережевих даних
Для сніфінгу мереж Ethernet зазвичай використовуються мережеві карти, переведені в режим прослуховування. Прослуховування мережі Ethernet вимагає підключення комп'ютера із запущеною програмою-сніфером до сегменту мережі, після чого хакерові стає доступним весь мережевий трафік, що відправляється і отримується комп'ютерами в даному мережевому сегменті. Ще простіше виконати перехоплення трафіку радіомереж, що використовують безпровідні мережеві ретранслятори. В цьому випадку не потрібно навіть шукати місця для підключення до кабелю.
Для технології сніфінгу можна використати программу-сніфер SpyNet, яку можна знайти на багатьох Web-сайтах. Програма SpyNet складається з двох компонентів - CaptureNet і PipeNet. Програма CaptureNet дозволяє перехоплювати пакети, передавані по мережі Ethernet на мережевому рівні, тобто у вигляді кадрів Ethernet. Програма PipeNet дозволяє збирати кадри Ethernet в пакети рівня прикладних програм, відновлюючи, наприклад, повідомлення електронної пошти, повідомлення протоколу HTTP (обмін інформацією з Web-сервером) і виконувати інші функції.
Для захисту від прослуховування мережі застосовуються спеціальні програми, наприклад AntiSniff, які здатні виявляти в мережі комп'ютери, зайняті прослуховуванням мережевого трафіку. Програми антисніфери для вирішення своїх завдань використовують особливу ознаку наявності в мережі прослуховуючих пристроїв. Мережева плата комп’ютера-сніфера повинна знаходитися в спеціальному режимі прослуховування. Знаходячись в режимі прослуховування, мережеві комп'ютери особливим чином реагують на IP-дейтаграми, що посилаються на адресу тестованого хосту. Наприклад, хости, що прослуховують як правило, обробляють весь трафік, що поступає, не обмежуючись тільки відісланими на адресу хосту дейтаграммами. Є і інші ознаки, що вказують на підозрілу поведінку хоста, які здатна розпізнати програма AntiSniff [11].
Поза сумнівом, прослуховування дуже корисне з погляду зловмисника, оскільки дозволяє отримати безліч корисної інформації: передавані по мережі паролі, адреси комп'ютерів мережі, конфіденційні дані, листи і інше. Проте просте прослуховування не дозволяє хакерові втручатися в мережеву взаємодію між двома хостами з метою модифікації і спотворення даних. Для вирішення такого завдання потрібна складніша технологія.
3.4.1 Фальшиві
ARP
запити
Щоб перехопити і замкнути на себе процес мережевої взаємодії між двома хостами А і В зловмисник може підмінити IP-адреси взаємодіючих хостів своєю IP-адресою, направивши хостам А і В сфальсифіковані повідомлення ARP (Address Resolution Protocol - протокол дозволу адрес).
Для перехоплення мережевого трафіку між хостами А і В хакер нав'язує цим хостам свою IP-адресу, щоб А і В використовували цю фальсифіковану IP-адресу при обміні повідомленнями. Для нав'язування своєї IP-адреси хакер виконує наступні операції.
·Зловмисник визначає МАС-адреси хостів А і В, наприклад, за допомогою команди nbtstat з пакету W2RK.
·Зловмисник відправляє на виявлені МАС-адреси хостів А і В повідомлення, що є сфальсифікованими ARP-відповідями на запити дозволу IP-адресів хостів в МАС-адреси комп'ютерів. Хосту А повідомляється, що IP-адресі хосту В відповідає МАС-адреса комп'ютера зловмисника; хосту В повідомляється, що IP-адресі хосту А також відповідає МАС-адреса комп'ютера зловмисника.
·Хости А і В заносять отримані МАС-адреси в свої кеші ARP і далі використовують їх для відправки повідомлень один одному. Оскільки IP-адресам А і В відповідає МАС-адреса комп'ютера зловмисника, хости А і В, нічого не підозрюючи, спілкуються через посередника, здатного робити з їх посланнями що завгодно.
Для захисту від таких атак мережеві адміністратори повинні підтримувати базу даних з таблицею відповідності МАС-адрес і IP-адрес своїх мережевих комп'ютерів. За допомогою спеціального програмного забезпечення, наприклад, утиліти arpwatch періодично обстежувати мережу і виявляти невідповідності [11].
3.4.2 Фальшива маршрутизація
Щоб перехопити мережевий трафік, зловмисник може підмінити реальну ІР-адресу мережевого маршрутизатора своєю, виконавши це, наприклад, з допомогою сфальсифікованих ICMP-повідомлень Redirect. Отримане повідомлення Redirect хост А сприймає як відповідь на дейтаграмму, відіслану іншому хосту, наприклад, В. Свої дії на повідомлення Redirect хост А визначає, виходячи з вмісту отриманого повідомлення Redirect, і якщо в Redirect задати перенаправлення дейтаграм з А в В по новому маршруту, саме це хост А і зробить.
Для виконання помилкової маршрутизації зловмисник повинен знати деякі подробиці про організацію локальної мережі, в якій знаходиться хост А, в тому числі, IP-адресу маршрутизатора, через яку відправляється трафік з хосту А у В. Знаючи це, зловмисник сформує IP-дейтаграмму, в якій IP-адреса відправника означена як IP-адреса маршрутизатора, а одержувачем вказаний хост А. Також в дейтаграму включається повідомлення ICMP Redirect з полем адреси нового маршрутизатора, встановленим як IP-адреса комп'ютера зловмисника. Отримавши таке повідомлення, хост А відправлятиме всі повідомлення за IP-адресою комп'ютера зловмисника [10].
Для захисту від такої атаки слід відключити (наприклад, за допомогою брандмауера) на хості А обробку повідомлень ICMP Redirect, а виявити ІР-адресу комп'ютера зловмисника може команда tracert. Ці утиліти здатні знайти в локальній мережі додатковий, непередбачений при інсталяції, маршрут, якщо звичайно адміністратор мережі проявить пильність.
Приведені вище приклади перехоплень (якими можливості зловмисників далеко не обмежуються) переконують в необхідності захисту даних, що передаються по мережі, якщо в даних міститься конфіденційна інформація. Єдиним методом захисту від перехоплень мережевого трафіку є використання програм, що реалізовують криптографічні алгоритми і протоколи шифрування, що дозволяють запобігти розкриттю і підміні секретної інформації. Для вирішення таких завдань криптографія надає засоби для шифрування, підпису і перевірки достовірності повідомлень, що передаються по захищених протоколах [12].
3.4.3 Перехоплення ТСР-з’єднання
Найбільш витонченою атакою перехоплення мережевого трафіку слід вважати захоплення TCP-з’єднання (TCP hijacking), коли хакер шляхом генерації і відсилання на хост, що атакується TCP-пакетів, перериває поточний сеанс зв'язку з хостом. Далі, користуючись можливостями протоколу TCP по відновленню перерваного TCP-з’єднання, хакер перехоплює перерваний сеанс зв'язку і продовжує його замість відключеного клієнта.
Протокол TCP (Transmission Control Protocol - протокол управління передачею) є одним з базових протоколів транспортного рівня OSI, що дозволяє встановлювати логічні з'єднання по віртуальному каналу зв'язку. По цьому каналу передаються і приймаються пакети з реєстрацією їх послідовності, здійснюється управління потоком пакетів, організовується повторна передача спотворених пакетів, а в кінці сеансу канал зв'язку розривається.
Протокол TCP є єдиним базовим протоколом з сімейства TCP/IP, що має складну систему ідентифікації повідомлень і з'єднання.
Для ідентифікації TCP-пакету в TCP-заголовку існують два 32-розрядні ідентифікатори, які також відіграють роль лічильника пакетів, що називаються порядковим номером і номером підтвердження. Поле TCP-пакета включає наступні біти керування (в порядку зліва направо):
URG - біт терміновості;
АСК - біт підтвердження;
PSH - біт перенесення;
RST - біт поновлення з'єднання;
SYN - біт синхронізації;
FIN - біт завершення з'єднання.
Розглянемо порядок створення TCP-з’єднання.
1. Якщо хосту А необхідно створити TCP-з’єднання з хостом В, то хост А посилає хосту В наступне повідомлення: A -> B: SYN, ISSa
Це означає, що в повідомленні, яке передається хостом А встановлений біт SYN (Synchronize sequence number - номер послідовності синхронізації), а в полі порядкового номера встановлено початкове 32-бітне значення ISSa (Initial Sequence Number - початковий номер послідовності).
2. У відповідь на отриманий від хосту А запит хост В відповідає повідомленням, в якому встановлений біт SYN і встановлений біт АСК. У полі порядкового номера хост В встановлює своє початкове значення лічильника – ISSb. Поле номера підтвердження при цьому міститиме значення ISSa, отримане в першому пакеті від хосту А і збільшене на одиницю. Таким чином, хост В відповідає таким повідомленням: B-> A: SYN, ACK, ISSb, ACK(ISSa+1)
3. Нарешті, хост А посилає повідомлення хосту В, в якому: встановлений біт АСК; поле порядкового номера містить значення ISSa + 1; поле номера підтвердження містить значення ISSb + 1. Після цього ТСР-з’єднання між хостами А і В вважається встановленим:
A-> B: ACK, ISSa+1, ACK(ISSb+1)
4. Тепер хост А може посилати пакети з даними на хост В по тільки що створеному віртуальному TCP-каналу:
А -> В: АСК, ISSa+1, ACK(ISSb+1); DATA
Тут DATA позначає дані.
Із розглянутого вище алгоритму створення TCP-з’єднання видно, що єдиними ідентифікаторами TCP-абонентів і TCP-з’єднання є два 32-бітні параметри порядкового номера і номера підтвердження - ISSa і ISSb. Отже, якщо хакерові вдасться дізнатися поточні значення полів ISSa і ISSb, то йому ніщо не перешкодить сформувати сфальсифікований TCP-пакет. Це означає, що хакерові досить підібрати поточні значення параметрів ISSa і ISSb пакету TCP для даного TCP-з’єднання, послати пакет з будь-якого хосту Інтернету від імені клієнта даного TCP-підключення, і даний пакет буде сприйнятий як дійсний.
Таким чином, для здійснення описаної вище атаки необхідною і достатньою умовою є знання двох поточних 32-бітових параметрів і ISSb, що ідентифікують TCP-з’єднання. Розглянемо можливі способи їх отримання. У разі, коли хакреський хост підключений до мережевого сегменту, що атакується, завдання отримання значень ISSa і ISSb є тривіальним і вирішується шляхом аналізу мережевого трафіку. Отже, потрібно чітко розуміти, що протокол TCP дозволяє захистити з'єднання тільки у випадку-неможливості перехоплення хакером повідомлень, які передаються по даному з'єднанню, тобто тільки у разі, коли хакреський хост підключений до мережевого сегменту, відмінного від сегменту абонента TCP-з’єднання [4].
Тому найбільший інтерес для хакера представляють міжсегментні атаки, коли він і його мета знаходяться в різних сегментах мережі. В цьому випадку завдання отримання значень ISSa і ISSb не є тривіальним. Для вирішення даної проблеми на сьогодні придумано тільки два способи.
·Математичний прогноз початкового значення параметрів TCP-з'єднання за екстраполяцією попередніх значень ISSa і ISSb.
·Використання вразливостей ідентифікації абонентів TCP-з’єднання на rsh-серверах Unix.
Перше завдання вирішується шляхом поглиблених досліджень реалізації протоколу TCP в різних операційних системах і сьогодні має тільки теоретичне значення. Друга проблема вирішується з використанням вразливостей системи Unix ідентифікації довірених хостів. Довіреним по відношенню до даного хосту А називається мережевий хост В, користувач якого може підключитися до хосту А без аутентифікації за допомогою r-служби хосту А. Маніпулюючи параметрами TCP-пакетів, хакер може спробувати видати себе за довірений хост і перехопити TCP-з’єднання з хостом, що атакується [5].
Єдиним порятунком від перехоплення даних є їх шифрування, тобто криптографічні методи захисту. Посилаючи в мережі повідомлення, слід заздалегідь припускати, що кабельна система мережі абсолютно уразлива, і будь-який хакер, що підключився до мережі, зможе виловити з неї всі передані секретні повідомлення. Є дві технології вирішення цієї задачі - створення мережі VPN і шифрування самих повідомлень. Всі ці завдання можна вирішити за допомогою пакету програм PGP Desktop Security [12].
3.5 Комутований доступ до мереж
Телефонні лінії зв'язку, підключені до корпоративної мережі, по суті є якнайкращим способом вторгнення в комп'ютерну систему організації. На входах в підключений до Інтернету сервер сьогодні, як правило, встановлені брандмауери, а ось телефонні лінії, невідомо як і ким підключені до комп'ютерів за допомогою модемів – це реалії сьогодення. Дуже багато співробітників організацій підключають до своїх офісних комп'ютерів модеми для організації входів зі своїх домашніх комп'ютерів.
Після такого підключення вся система захисту комп'ютерної системи фактично обнуляється, адже немає нічого простішого, ніж визначення телефонної лінії з модемом, що працює на іншому кінці. Набравши відповідний номер, можна почути характерні звуки, що видаються модемом на іншому кінці лінії зв'язку.
Ці звуки є не що інше, як сигнали, за допомогою яких модеми зв'язуються один з одним. Знаючи протокол взаємодії модемів, частоти, послідовності і тривалість сигналів - для фахівців секретів тут немає, можна написати програму, що автоматизує процес пошуку модемних ліній зв'язку, здатну перебирати набори телефонних номерів із заданого діапазону, виявляти модемні лінії зв'язку і записувати отримувані повідомлення в спеціальний журнал [4].
На сьогоднішній день існує безліч програм-сканерів, найвідоміші з них – це утиліта Login Hacker, що дозволяє застосовувати для завдань сканування сценарії, утиліта THN-Scan і ToneLock компанії Minor Threat&Mucho Maas. Дві останні утиліти запускаються з командних рядків і не мають графічного інтерфейсу.
Серед усіх програм сканерів можна виділити програму PhoneSweep компанії Sandstorm. Ця утиліта дозволяє сканувати відразу декілька телефонних ліній, працюючи з декількома модемами одночасно, виявляти віддалену програму, що приймає телефонні дзвінки, і навіть підбирати пароль для доступу до цієї віддаленої програми. Демо-версія програми PhoneSweep дозволяє робити майже все, окрім виконання реальних дзвінків, замінюючи їх імітацією.
Щоб приступити до злому ліній зв'язку, хакерові необхідно знати телефони організації, тому перше завдання хакера - визначити, хоч би приблизно, діапазон номерів організації, комп'ютерну систему якої хакер буде атакувати.
Перед виконання атаки кваліфікований хакер завжди виконує попередній збір даних про організацію, який полягає в пошуку всіх відомостей, які хакер може зібрати про комп'ютерну систему, що атакується. Мається на увазі інформація, що містить звіт про комп'ютерну мережу організації. На хакреських сайтах можна знайти файли з результатами сканування широкого діапазону телефонних номерів. У цих файлах можна знайти безліч відомостей про телефони різних організацій з вказівкою програми, що приймає дзвінки, і навіть відомостей про паролі доступу [12].
3.5.1 Сканер
PhoneSweep 4.4
Утиліта PhoneSweep - по суті, перший по справжньому функціональний інструмент для аналізу систем захисту телефонних ліній. Програмні інструменти, що використовувалися до цих пір були складні в управлінні, створені програмістами-любителями і позбавлені підтримки виробника. Проте основним їхнім недоліком є погана сумісність з сучасними системами Windows.
Програма PhoneSweep позбавлена цих недоліків і пропонує всім користувачам могутні засоби тестування модемних ліній на предмет їх захищеності від несанкціонованого доступу. Програма PhoneSweep володіє такими можливостями.
·Працює на операційних системах Windows 95/98/NT/2000/XP.
·Забезпечена зручним графічним інтерфейсом.
·Дозволяє тестувати системи захисту на стійкість до атак «грубою
силою» з генерацією пар логін/пароль для злому з'єднань за протоколом РРР (Point-to-Point protocol - Протокол двоточкового з'єднання).
·Дозволяє створювати звіти, що налаштовуються.
·Дозволяє працювати з декількома модемами, від 1 до 4.
·Дозволяє зупиняти і перезапускати сканування з різними налаштуваннями, причому без всякої втрати отриманих даних.
3.5.2 Робота з програмою PhoneSweep 4.4
Щоб почати сканування телефонних номерів за допомогою програми Phone-Sweep, слід зробити три операції.
·У робочому вікні програми PhoneSweep відкрити вкладку Setup (Параметри), представлену на рис. 3.22 і налаштувати поточний профіль програми.
·Відкрити вкладку Phone Numbers (Телефонні номери), представлену на Рис. 3.21 і, клацнувши на кнопці Add (Додати). В діалозі Add Phone Numbers (Додати номери телефону), представленому на рис. 3.23, ввести діапазон телефонних номерів для прозвону.
·У робочому вікні програми PhoneSweep клацнути на кнопці Start (Старт) і дочекатися результатів.
Основною процедурою є налаштування профілю програми, яка в термінах довідкової системи програми називається створенням правил прозвону (dialing riles).
Правила прозвону програми PhoneSweep дозволяють керувати порядком, часом і частотою дзвінків, що виконуються в процесі сканування телефонних номерів організації. При створенні правил прозвону слід добитися такої поведінки програми PhoneSweep, яка, з однієї сторони, не приверне зайвої уваги системи захисту ліній зв'язку, а з іншої - дозволить вирішити поставлене завдання з мінімальними зусиллями.
Для ідентифікації і злому доступу до віддаленої системи слід відкрити вкладку Effort (Режим) (рис.3.24).
Як видно з рис. 3.24, тут є все необхідне, щоб злом віддаленої системи пройшов якомога ефективніше. У списку Set Level (Встановіті рівень), можна вибрати, чи слід просто під'єднатися до телефону (пункт Connect (З'єднатися)), або ж спробувати ідентифікувати віддалену систему (пункт Identity (Ідентифікація)), або ж спробувати зламати доступ до системи (пункт Penetrate (Проникнути)). При цьому список Scan For (Сканувати), дозволяє вибрати режим пошуку модемів факсимільних апаратів, що важливо для різних застосувань (безглуздо, намагатися зламати доступ до факсимільного апарату).
Телефонні лінії, підключені через модем до комп'ютерної системи – найнадійніший шлях для проникнення в локальну мережу організації. Причина полягає в масовому характері нелегального встановлення модемів для роботи з робочим комп'ютером сидячи вдома. Додати сюди наявність множини забутих і покинутих ліній, повна зневага правилами комп'ютерної безпеки, що панує в більшості організацій, ось чому досить часто відбуваються зломи мереж різних фінансових установ.
Описана в цьому питанні програма PhoneSweep – це найбільш могутній засіб для вирішення завдань проникнення у віддалену систему. Програма PhoneSweep корисна як хакерові, так і антихакерові, оскільки тестування телефонних номерів організації – це надійний спосіб перевірки наявності недоліків в системі захисту комп'ютерної системи від віддаленого проникнення [4].
Висновки
В даній кваліфікаційній роботі вивчено основні види архітектури обчислювальних мереж, встановлено, що існують такі види архітектури: архітектура термінал – головний комп’ютер, однорангова архітектура, архітектура клієнт – сервер. Розглянуті особливості їхнього використання.
В роботі також проаналізовано методи пошуку несправностей в мережі, та виявлено їхні основні причини. Встановлено, що до найбільш поширених несправностей можна віднести: реєстрацію робочої станції, надання DHCP сервером ІР-адреси робочій станції, швидкодія мережі, помилки у журналі подій, та надмірне широкомовлення. Також вивчені можливості їхнього вирішення.
В третьому розділі роботи досліджені методи несанкціонованого доступу до мереж та захист від них. Виявлено, що отримати несанкціонований доступ до комп’ютерної мережі можна за допомогою засобів віддаленого керування, перехопленням мереживих даних, за допомогою комутованого доступу, при зломі брандмауера, та іншими методами. Встановлено, що для захисту мережі адміністратору необхідно регулярно проглядати журнал безпеки, що допоможе виявити незрозумілі події, такі як очищення журналу безпеки, або доступ до захищених ресурсів. Для запобігання взлому, паролі доступу мають бути досить складними, щоб їх не можна було зламати словарною атакою, або простим перебором. Розділення доступу користувачів до мережевих ресурсів різного ступеня секретності також різко підвищує рівень безпеки мережі.
Список скорочень і пояснень
Netmon (Microsoft Network Monitor- мережевий монітор) програма для операційних систем сімейства Windows, призначена для перегляду пакетів даних в комп’ютерній мережі.
IP (Internet Protocol – протокол Internet). Протокол стека TCP/IP, що забезпечує адресну інформацію і інформацію про маршрутизацію. Протокол IP забезпечує обмін дейтаграмами між вузлами мережі і є протоколом, що не встановлює з'єднання і що використовує дейтаграми для відправки даних з однієї мережі в іншу.
TCP (Transmission Control Protocol – протокол управління передачею). Протокол стека TCP/IP, що відповідає за надійну передачу даних від одного вузла мережі до іншого. Він створює сеанс зі встановленням з'єднання, тобто віртуальний канал між машинами.
NETBIOS (Базова мережева система вводу виводу). NETBIOS встановлює з'єднання між комп'ютерами, а NETBEUI надає послуги передачі даних для цього з'єднання.
NETBEUI (NETBIOS Extended User Interface – розширений призначений для користувача інтерфейс базової мережевої системи вводу виводу). Розроблений спільно IBM і Microsoft, цей протокол забезпечує транспортні послуги для NETBIOS.
ICMP (Internet Control Message Protocol – протокол керуючих повідомлень Internet) використовується протоколом IP і іншими протоколами високого рівня для відправки і отримання звітів про стан переданої інформації. Цей протокол використовується для контролю швидкості передачі інформації між двома системами. Якщо маршрутизатор, що сполучає дві системи, переобтяжений трафіком, він може відправити спеціальне повідомлення ICMP – помилку для зменшення швидкості відправлення повідомлень.
UDP (User Datagram Protocol – протокол призначених для користувача дейтаграм ) призначений для відправки невеликих об'ємів даних без установки з'єднання і використовується програмами, які не потребують підтвердження адресатом їх отримання.
W
IN
S (Windows Internet Name Service –Служба інтернет імен Windows, інша назва — NetBIOS Name Server, NBNS) — cлужба зіставлення NetBIOS-імен комп'ютерів з IP-адресами вузлів. Сервер WINS здійснює реєстрацію імен, виконання запитів і звільнення імен. При використанні NetBIOS поверх TCP/IP необхідний WINS сервер для визначення коректних IP-адрес.
TCP
/
IP — (Transmissіon Control Protocol / Internet Protocol – протокол керування передачею / протокол Internet ) розбиває вихідне повідомлення на пакети (TCP), доставляє пакети на вузол адресата(IP) і збирає (відновлення) вихідного повідомлення з пакетів (TCP).
DNS
(Domain Name System – домена системаімен http://uk.wikipedia.org/wiki/%D0%90%D0%BD%D0%B3%D0%BB%D1%96%D0%B9%D1%81%D1%8C%D0%BA%D0%B0_%D0%BC%D0%BE%D0%B2%D0%B0 ) — розподілена система перетворення імені хоста (комп'ютера або іншого мережевого пристрою) в IP-адресу.
DHCP (http://uk.wikipedia.org/wiki/%D0%90%D0%BD%D0%B3%D0%BB%D1%96%D0%B9%D1%81%D1%8C%D0%BA%D0%B0_%D0%BC%D0%BE%D0%B2%D0%B0 Dynamic Host Configuration Protocol — протокол динамічної конфігурації вузла) мережний протокол, що дозволяє комп'ютерам автоматично одержувати IP-адресу й інші параметри, необхідні для роботи в мережі TCP/IP. Для цього комп'ютер звертається до спеціального серверу, під назвою сервер DHCP. Мережний адміністратор може задати діапазон адрес, що розподіляють серед комп'ютерів. Це дозволяє уникнути ручного налаштування комп'ютерів мережі й зменшує кількість помилок. Протокол DHCP використовується в більшості великих мереж TCP/IP.
BOOTP ( Bootstrap Protocol) мережевий протокол, що використовується для автоматичного отримання клієнтом IP-адресаи. Це зазвичай відбувається в час завантаження комп'ютера. BOOTP дозволяє бездисковим робочим станціям отримувати IP-адресу перш, ніж буде завантажена повноцінна операційна система.
РОР3 (Post Office Protocol -поштовий офісний протокол) протокол, що використовується клієнтом для доступу до повідомлень електронної пошти на сервері.
SMB
(Server Message Block — протокол прикладного рівня в моделі OSI), зазвичай використовується для надання розділеного доступу до файлів, принтерів, послідовних портів передачі даних, та іншої взаємодії між вузлами в комп'ютерній мережі. Також надає можливості міжпроцесної взаємодії з аутентифікацією.
Host
(Хост). В термінології ІР будь-який пристрій з ІР-адресом. В загальному розумінні це або джерело, або місце призначення повідомлення в мережі.
ARP ( Address Resolution Protocol — протокол визначення адрес) — мережевий протокол, призначений для перетворення IP-адрес (адрес мережевого рівня) в MAC-адреси (адреси канального рівня) в мережах TCP/IP.
ARP – RARP (Reverse Address Resolution Protocol – реверсивний протокол дозволу адреси) знаходить ІР-адресу за відомою локальною адресою.
NETLOGON (Мережений вхід в систему) служба для перевірки дійсності користувачів і служби які входять в систему.
Мастер-броузер – відповідає за збір інформації для створення і підтримки списку перегляду, який містить всі сервери в домені мастер-броузера, або робочої групи, а також перераховує всі домени мережі.
SAM (Security Account Manager –диспетчер облікових даних системи захисту). База даних SAM містить шифровані коди паролів облікових записів.
MIB (Management Information Base - база керуючої інформації). База даних MIB містить таблицю запущених служб, звіт про спосіб розмежування доступу, перелік сеансів і облікових записів користувачів, набір загальних ресурсів сервера і іншу інформацію.
Література
1. Бормотов С.В. Системное администрирование на 100%. – СПб.; Питер, 2006. – 256.:ил.
2. Єд Уілсон ,, Моніторинг і аналіз мереж” Москва видавництво ,,Лори” 2002р.
3. http://www.uk.wikipedia.org.
4. Alex WebKnacKer Быстро и легко. Хакинг и антихакинг: защита и нападение. Учебное пособие.— М.: Лучшие книги, 2004 — 400 с.: ил.
5. http://www.xakep.ru.
6. Локальная сеть своими руками. 100% самоучитель : [учеб. пособие] / И.Я. Минаев. – М. : ТЕХНОЛОДЖИ – 3000, 2004 – 368 с.: ил.
7. Поляк-Брагинский А.В. Администрирование сети на примерах. — СПб.: БХВ-Петербург, 2005. — 320 с : ил.
8. Мак-Клар С., Скембрей Д., Курц Д. Секреты хакеров. Безопасность сетей -готовые решения, 2-е изд.: Пер. с англ. - М.: Издательский дом «Вильяме», 2001.- 656 с.: ил. - Парал. титл. англ.
9. Р. Браг. Система безопасности Windows 2000.: Пер. с англ. - М.: Издательский дом «Вильяме», 2001. – 592 с.: ил. - Парал. тит. англ.
10.М. Мамаев, С. Петренко «Технология защиты информации в Интернете. Специальный справочник» - СПб.: Питер. 2002. - 848 с.: ил.
11.Лукацкий А.В. Обнаружение атак - СПб.: «БХВ-Петербург», 2001. - 624 с.: ил.
12.Alex JeDaev Я люблю компьютерную самооборону. Учебное пособие - М.: Только для взрослых, 2002 - 432 с.: ил.