Бесплатный фрагмент - Технология сканирования на наличие уязвимостей

1 Сбор информации о сетевом уровне

Пусть есть две виртуальные машины с ОС Windows 7, состоящие в домене. Контроллер домена работает на третьей виртуальной машине с ОС Windows Server 2008 R2.

Компьютер 1 в ходе выполнения работы будет защищаться. С компьютера 2 будут производиться «атаки».

Сбор информации о сети будет производится с компьютера 2, чтобы узнать какую информацию о компьютере 1 можно получить удаленно. Для выполнения задачи используется программное обеспечение NetScanTools.

Получим первоначальные сведения об адресе компьютера 2, о настройках сети в которой он расположен (рисунок 1.1).

Получены hostname компьютера и имя домена, в котором он находится; наименование сетевой карты; MAC-адрес; тип сетевого интерфейса; IPv4 и IPv6 адреса; IP-адрес DNS сервера (в данном случае адрес контроллера домена) и некоторые другие настройки сети, где расположен исследуемый ПК.

При помощи утилиты nbtstat получим таблицу имен NetBIOS (листинг 1).

Листинг 1 — Получение таблиц имен NetBIOS

Результат на рисунке 1.2.

Воспользуемся NetScanTools, чтобы получить имена NetBIOS (рисунок 1.3).

Определим домены в сети при помощи команды (листинг 2):

Листинг 2 — Получение списка доменов в сети

Результат на рисунке 1.4.

Исследуемые компьютеры работают в домене LAB.

Для определения списка контроллеров домена воспользуемся утилитой nltest (листинг 3).

Листинг 3 — Получение имен первичного и вторичного контроллеров домена

Результаты на рисунке 1.5.

Основной контроллер домена — ПК с именем DC-1.

Определим имена включенных компьютеров домена командой (листинг 4).

Листинг 4 — Получения списка компьютеров домена

Результаты на рисунке 1.6.

Определить адреса включенных компьютеров в сети при помощи утилиты NetScanTools (рисунок 1.7):

Получим список совместно используемых ресурсов удаленного компьютера, используя команду (листинг 5).

Листинг 5 — Список совместно используемых ресурсов удаленного компьютера

Результат на рисунке 1.8:

Получим перечень общих ресурсов при помощи утилиты — рисунки 1.9, 1.10.

Общим ресурсом удаленного ПК является папка на диске — SHARED.

Произведем сканирование портов удаленного компьютера (рисунки 1.11, 1.12).

По результатам сканирования компьютера было выявлено 10 активных TCP-портов и 30 возможно активных UDP-портов.

На результаты сканирования UDP-портов влияет наличие межсетевого экрана, который при блокировании не будет отправлять ICMP сообщение о недоступности порта и будет ошибочно считаться открытым или отсутствие такого сообщения из-за ограничений, установленных на частоту использования ICMP-пакетов.

2 Работа с межсетевым экраном

2.1 Атака Сканирование портов

Пусть необходимо использовать программный межсетевой экран Outpost Firewall.

Проведем сканирование TCP-портов с отключенным межсетевым экраном (рисунок 2.1).

В данном сканируемом интервале оказалось два активных порта 135 и 139.

Сканирование TCP-портов в данном случае осуществляется путем осуществления операционной системой трехэтапной процедуры установления соединения и потом его закрытия. Такой способ сканирования не требует специальных прав доступа. Недостатком является создаваемая нагрузка на сканируемую систему за счет большого количества открытых и сразу прерванных соединений, таким образом легко обнаруживается активность сканера портов.

Посмотрим, как осуществляется сканирование при помощи анализатора трафика Wireshark (рисунки 2.2, 2.3).

Если порт закрыт, то в ответ получен пакет RST, ACK. RST означает обрыв соединения и очистку буфера, то есть соединение установлено не было.

Порт 135 является открытым (рисунок 2.1). Компьютер в этом случае ответил пакетом FIN, ACK. FIN — флаг, который указывает на завершение соединения.

Просканируем UDP-порты (рисунок 2.4).

Если послать UDP-пакет на закрытый порт, система ответит сообщением ICMP «порт недоступен». Отсутствие такого сообщения истолковывается как сигнал того, что порт открыт. Однако, если порт блокируется брандмауэром, метод неверно покажет, что порт открыт. Если заблокированы ICMP-сообщения о недоступности порта, все порты будут казаться открытыми. Также, может быть установлено ограничение на частоту использования ICMP-пакетов, что также влияет на результаты, даваемые методом.

Посмотрим, как осуществляется сканирование при помощи анализатора трафика Wireshark (рисунок 2.5).

Если UDP-порт закрыт, то отправляется ICMP сообщение — Port unreachable, активность других портов не подтверждена.

Проведем сканирование портов при установленном межсетевом экране с настройками по умолчанию (рисунки 2.6—2.10).

В соответствии с настройками по умолчанию IP-адрес атакующего блокируется на 5 минут (рисунок 2.11).

2.2 Блокировка доступа к серверу для Internet Explorer

Согласно варианту задания, необходимо разрешить программе Internet Explorer доступ в Internet, за исключением одного сервера. При проведении работы будем использовать сервер с IP-адресом 185.189.14.207. Зайдем на сайт (рисунок.2.12).

Создадим правило, запрещающее программе Internet Explorer доступ к серверу с данным IP-адресом (рисунок 2.13).

Теперь доступ на сайт заблокирован, другие сайты доступны (рисунки 2.14, 2.15).

При блокировании сервера получен код ошибки 403 — доступ запрещен.

2.3 «Отрезать» защищаемый компьютер от сети

Создадим правило блокировки для всех IP-адресов (рисунок 2.18).

Результат работы правила на рисунках 2.19—2.12.

На практике была рассмотрена многофункциональная диалоговая программа NetScanTools, изучены её основные функции. С ее помощью были получены сведения о конфигурации сети, расположенных в ней компьютерах, которые могут быть использованы злоумышленниками при атаке. Это составляет зачастую первую стадию работы по «анализу» сети.

Также был использован программный межсетевой экран Outpost Firewall. Настроены правила для блокирования IP-адресов, созданы правила для приложения, работающего с сетью.

Для анализа пакетов использовалось приложение Wireshark, которое может работать со структурой самых различных сетевых протоколов, и поэтому позволяет разобрать сетевой пакет, отображая значение каждого поля протокола любого уровня.

3 Политика паролей учетных записей в Active Directory

Пусть вновь есть две виртуальные машины с ОС Windows 7, состоящих в домене. Контроллер домена работает на третьей виртуальной машине с ОС Windows Server 2008 R2.

Настройка и внедрение политики паролей, обеспечивающей достаточную сложность, длину пароля, частоту смены пароля пользователей и сервисных учетных записей, позволяет усложнить злоумышленнику возможность подбора или перехвата паролей пользователей.

Настроим политику паролей учетных записей домена, задав единые требования к паролям пользователей рисунки 3.1—3.5.

Откроем консоль управления доменными политиками GPO — Group Policy Management console — gpmc.msc.

Развернем вкладку нашего домена, найдем политику Default Domain Policy. Нажмем правую клавишу мыши на нее и выберем пункт изменить (рисунок 3.2).

Политики паролей находятся в следующем разделе редактора GPO: Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Политики учетных записей — Политика паролей (рисунок 3.3).

Чтобы отредактировать настройки нужной политики, дважды нажмем по ней. Чтобы включить политику, нужно поставить флажок «Определить следующий параметр политики» и указать необходимую настройку.

По заданию необходимо запретить «простые» с точки зрения безопасности пароли. Для этого включим параметр политики «Пароль должен отвечать требованиям сложности» (рисунок 3.4).

Данная настройка параметров управления паролями означает, что пользователю запрещено использовать имя своей учетной записи в пароле (не более чем два символа подряд из username или Firstname), также в пароле должны использоваться 3 типа символов из следующего списка: цифры (0 — 9), символы в верхнем регистре, символы в нижнем регистре, спец символы ($, #, % и т.д.).

Новые настройки парольной политики будут применены ко все компьютерам домена в фоновом режиме в течении некоторого времени (90 минут), при загрузке компьютера

Чтобы принудительно выполнить фоновое обновление всех параметров групповой политики, независимо от того, изменились ли они, воспользуемся командой gpupdate /force (рисунок 3.5).