ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Александр Юрьевич Каргинкандидат физико-математических наук,Microsoft Certified Systems Engineer (MCSE),Microsoft Certified Database Administrator (MCDBA),Certified Information Systems Auditor (CISA)

Тема: Методика сетевой разведки (часть 1)

Сетевая разведка - предварительная фаза, в которой нападающий ищет и собирает всю доступную информацию об «Объекте оценки» (TOE – Target of Evaluation) перед тем, как начать саму атаку [Refers to the preparatory phase where an attacker seeks to gather as much information as possible about a target of evaluation prior to launching an attack.]

Этап: 1. Рекогносцировка [Reconnaissanse]

Методика сетевой разведки

Задача: Извлечь первоначальную информацию [Unearth initial information.] Задача: Определить сетевой диапазон [Locate the network range.]

Задача: Установить, которые из компьютеров активны. [Ascertain active machines.]Задача: Обнаружить открытые порты и точки входа [Discover open ports / access points.] Задача: Обнаружить операционные системы [Detect operating systems.] Задача: Раскрыть сервисы на портах [Uncover services on ports.]

Задача: Составить карту сети. [Map the Network.]

Этап: 1. Рекогносцировка [Reconnaissanse] . Атака: 1.1. Получение отпечатка [Footprinting]

Этап: 2. Сканирование [Scanning] . Атака: 2.1. Сканирование [Scanning]

Атака: 2.2. Составление реестра для нападения [Enumeration]

Методика сетевой разведки

Задача: Извлечь первоначальную информацию [Unearth initial information.] Задача: Определить сетевой диапазон [Locate the network range.]

Задача: Установить, которые из компьютеров активны. [Ascertain active machines.]Задача: Обнаружить открытые порты и точки входа [Discover open ports / access points.] Задача: Обнаружить операционные системы [Detect operating systems.] Задача: Раскрыть сервисы на портах [Uncover services on ports.]

Задача: Составить карту сети. [Map the Network.]

Этап: 1. Рекогносцировка [Reconnaissanse] . Атака: 1.1. Получение отпечатка [Footprinting]

Этап: 2. Сканирование [Scanning] . Атака: 2.1. Сканирование [Scanning]

Атака: 2.2. Составление реестра для нападения [Enumeration]

❖ «Получение отпечатка» (Footprinting) – это процесс получения профиля безопасности организации, проводимый по специальной методике. [Footprinting is the blueprinting of the security profile of an organization, undertaken in a methodological manner.]

❖ «Получение отпечатка» (Footprinting) – одна из трех атак, предшествующих взлому компьютерной системы. Другие две –

2) «сканирование» (scanning) и 3) «составление реестра для нападения» (enumeration).

❖ Результат «Получения отпечатка» (Footprinting) – уникальный профиль компьютерной сети (Internet / Intranet / Extranet / Wireless) и информационных систем организации. [Footprinting results in a unique organization profile with respect to networks (Internet / Intranet / Extranet / Wireless)

and systems involved.]

Этап: 1. Рекогносцировка [Reconnaissanse] Атака: 1.1. Получение отпечатка [Footprinting]

Методика сетевой разведки

Задача: Извлечь первоначальную информацию [Unearth initial information.] Задача: Определить сетевой диапазон [Locate the network range.]

Задача: Установить, которые из компьютеров активны. [Ascertain active machines.]Задача: Обнаружить открытые порты и точки входа [Discover open ports / access points.] Задача: Обнаружить операционные системы [Detect operating systems.] Задача: Раскрыть сервисы на портах [Uncover services on ports.]

Задача: Составить карту сети. [Map the Network.]

Этап: 1. Рекогносцировка [Reconnaissanse] . Атака: 1.1. Получение отпечатка [Footprinting]

Этап: 2. Сканирование [Scanning] . Атака: 2.1. Сканирование [Scanning]

Атака: 2.2. Составление реестра для нападения [Enumeration]

Задача: Извлечение первоначальной информации [Unearth Initial Information]

❖ Обычно включает: ❖ Domain name lookup ❖ Местоположения❖ Контакты (телефоны / e-mail)

❖ Первоисточники информации: ❖ Открытые источники ❖ Whois ❖ Nslookup

❖ Инструмент хакера: ❖Sam Spade

Интернет – служба Whois выдает подробную информация о домене, ip-адресах, регистраторе, владельце домена и т.п.

лицо, подавшее заявление о регистрации

Утилита Nslookup

❖ Nslookup – это программа для запросов к серверам DNS в Интернете. Она показывает информацию, которую можно использовать для диагностики DNS- инфраструктуры. [Nslookup is a program to query Internet domain name servers. Displays information that can be used to diagnose Domain Name System (DNS) infrastructure.]

❖ Помогает найти дополнительные IP адреса по ссылке на DNS сервер, полученной с помощью Whois.[Helps find additional IP addresses if authoritative DNS is known from whois.]

❖ Запись типа MX показывает IP адрес сервера электронной почты. [MX record reveals the IP of the mail server.]

❖ Как ОС Unix, так и ОС Windows имеют встроенную утилиту Nslookup. [Both Unix and Windows come with a Nslookup client.]

❖ Можно также использовать утилиты третьих фирм, например, Sam Spade.[Third party clients are also available - E.g. Sam Spade.]

Методика сетевой разведки

Задача: Извлечь первоначальную информацию [Unearth initial information.] Задача: Определить сетевой диапазон [Locate the network range.]

Задача: Установить, которые из компьютеров активны. [Ascertain active machines.]Задача: Обнаружить открытые порты и точки входа [Discover open ports / access points.] Задача: Обнаружить операционные системы [Detect operating systems.] Задача: Раскрыть сервисы на портах [Uncover services on ports.]

Задача: Составить карту сети. [Map the Network.]

Этап: 1. Рекогносцировка [Reconnaissanse] . Атака: 1.1. Получение отпечатка [Footprinting]

Этап: 2. Сканирование [Scanning] . Атака: 2.1. Сканирование [Scanning]

Атака: 2.2. Составление реестра для нападения [Enumeration]

Задача: Определить сетевой диапазон [Locate the network range.]

❖ Обычно включает:

❖Нахождение диапазона IP- адресов

❖Распознавание маски подсети

❖ Первоисточники информации:

❖ARIN (Америка)/ RIPE (Европа) *)

❖Утилита Traceroute

❖ Инструменты хакера:

❖NeoTrace

❖Visual Route

*) Распределение IP адресов отдельным сетям и узлам координирует Интернет Корпорация по распределению адресов и имен (The Internet Corporation for Assigned Names and Numbers, ICANN). В Америке ICANN делегировал функции по распределению IP-адресов – Координационному центру ARIN (American Registry of Internet Numbers), а в Европе - Координационному центру RIPE (Reseaux IP Europeens) /www.ripe.net/. В свою очередь, эти центры делегирует часть своих функций региональным организациям. В частности, российских пользователей обслуживает Региональный сетевой информационный центр "RU-CENTER».

Интернет-службы ARIN и RIPE❖ ARIN allows search on the Whois database to locate information on networks Autonomous System Numbers (ASNs), network-related handles and other related Point of Contact (РОС).

❖ ARIN Whois allows querying the IP address to help find information on the strategy used for subnet addressing.

Screenshot: ARIN Whois Output

Утилита Traceroute

❖ Traceroute works by exploiting a feature of the Internet Protocol called TTL, or Time To Live.

❖ Traceroute reveals the path IP packets travel between two systems by sending out consecutive UDP packets with ever-increasing TTLs.

❖ As each router processes a IP packet, it decrements the TTL. When the TTL reaches zero, it sends back a "TTL exceeded" message (using ICMP) to the originator.

❖ Routers with DNS entries reveal the name of routers, network affiliation and geographic location.

Tool: NeoTrace (Now McAfee Visual Trace)

Tool: VisualRoute Trace

Tool: SmartWhois

❖ SmartWhois – полезная сетевая утилита, позволяющая вам найти всю доступную информацию по IP адресу, имени хоста или домена, включающую страну, штат/область, город, название Интернет-провайдера, контактную информацию администратора или технической поддержки.

❖ В отличие от стандартных сервисов Whois, SmartWhois может найти информацию о компьютере, расположенном в любой части мира, запрашивая соответствующие базы и выдавая нужную информацию за несколько секунд.

Tool: VisualLookoutVisualLookout provides high level views as well as detailed and historical views that provide traffic information in real-time or on a historical basis.In addition the user can request a "connections" window for any server, which provides a real-time view of all the active network connections showing

❖ who is connected,

❖ what service is being used,

❖ whether the connection is inbound or outbound, and

❖ how many connections are active and how long they have been connected.

Tool: VisualRoute Mail Tracker (page 1 of 2)

Tool: VisualRoute Mail Tracker (page 2 of 2)

Tool: eMailTrackerPro

eMailTrackerPro – инструмент для анализа электронной почты, который автоматически обрабатывает заголовки e-mail –сообщений и выдает результат в графическом виде.

Tool: Mail Tracking (mailtracking.com)

Mail Tracking – сервис, отслеживающий когда, как долго и как много раз читали конкретной электронное сообщение. It also record forwards and passing of sensitive information (MS Office format).

ИТАК,

❖ «Получение отпечатка» (Footprinting) выдает уникальный профиль информационной безопасности «Объекта оценки». [Footprinting renders a unique security profile of a target system.]

❖ Интернет - сервисы Whois, ARIN могут открыть хакеру официальную информацию, которую он может в дальнейшем использовать для атаки. [Whois, ARIN can reveal public information of a domain that can be leveraged further.]

❖ Утилиты Traceroute and трассировщик почты (mail tracking) могут быть использованы для определения искомого IP –адреса и позднее для «получения доступа, путем использования ложного IP- адреса» (spoofing).[Traceroute and mail tracking can be used to target specific IP and later for IP spoofing.]

❖ Утилита Nslookup может открыть хакеру информацию об именах, входящих в домен и передаче зон DNS, которая может скомпрометировать безопасность (подорвать доверие к безопасности) службы Интернет-имен DNS.[Nslookup can reveal specific users and zone transfers can compromise DNS security.]

Этап: 1. Рекогносцировка [Reconnaissanse] Атака: 1.1. Получение отпечатка [Footprinting]