Upload
chapa
View
62
Download
0
Embed Size (px)
DESCRIPTION
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ. Тема: Методика сетевой разведки ( часть 1). Александр Юрьевич Каргин кандидат физико-математических наук , Microsoft Certified Systems Engineer (MCSE), Microsoft Certified Database Administrator (MCDBA), Certified Information Systems Auditor (CISA). - PowerPoint PPT Presentation
Citation preview
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Александр Юрьевич Каргинкандидат физико-математических наук,Microsoft Certified Systems Engineer (MCSE),Microsoft Certified Database Administrator (MCDBA),Certified Information Systems Auditor (CISA)
Тема: Методика сетевой разведки (часть 1)
Сетевая разведка - предварительная фаза, в которой нападающий ищет и собирает всю доступную информацию об «Объекте оценки» (TOE – Target of Evaluation) перед тем, как начать саму атаку [Refers to the preparatory phase where an attacker seeks to gather as much information as possible about a target of evaluation prior to launching an attack.]
Этап: 1. Рекогносцировка [Reconnaissanse]
Методика сетевой разведки
Задача: Извлечь первоначальную информацию [Unearth initial information.] Задача: Определить сетевой диапазон [Locate the network range.]
Задача: Установить, которые из компьютеров активны. [Ascertain active machines.]Задача: Обнаружить открытые порты и точки входа [Discover open ports / access points.] Задача: Обнаружить операционные системы [Detect operating systems.] Задача: Раскрыть сервисы на портах [Uncover services on ports.]
Задача: Составить карту сети. [Map the Network.]
Этап: 1. Рекогносцировка [Reconnaissanse] . Атака: 1.1. Получение отпечатка [Footprinting]
Этап: 2. Сканирование [Scanning] . Атака: 2.1. Сканирование [Scanning]
Атака: 2.2. Составление реестра для нападения [Enumeration]
Методика сетевой разведки
Задача: Извлечь первоначальную информацию [Unearth initial information.] Задача: Определить сетевой диапазон [Locate the network range.]
Задача: Установить, которые из компьютеров активны. [Ascertain active machines.]Задача: Обнаружить открытые порты и точки входа [Discover open ports / access points.] Задача: Обнаружить операционные системы [Detect operating systems.] Задача: Раскрыть сервисы на портах [Uncover services on ports.]
Задача: Составить карту сети. [Map the Network.]
Этап: 1. Рекогносцировка [Reconnaissanse] . Атака: 1.1. Получение отпечатка [Footprinting]
Этап: 2. Сканирование [Scanning] . Атака: 2.1. Сканирование [Scanning]
Атака: 2.2. Составление реестра для нападения [Enumeration]
❖ «Получение отпечатка» (Footprinting) – это процесс получения профиля безопасности организации, проводимый по специальной методике. [Footprinting is the blueprinting of the security profile of an organization, undertaken in a methodological manner.]
❖ «Получение отпечатка» (Footprinting) – одна из трех атак, предшествующих взлому компьютерной системы. Другие две –
2) «сканирование» (scanning) и 3) «составление реестра для нападения» (enumeration).
❖ Результат «Получения отпечатка» (Footprinting) – уникальный профиль компьютерной сети (Internet / Intranet / Extranet / Wireless) и информационных систем организации. [Footprinting results in a unique organization profile with respect to networks (Internet / Intranet / Extranet / Wireless)
and systems involved.]
Этап: 1. Рекогносцировка [Reconnaissanse] Атака: 1.1. Получение отпечатка [Footprinting]
Методика сетевой разведки
Задача: Извлечь первоначальную информацию [Unearth initial information.] Задача: Определить сетевой диапазон [Locate the network range.]
Задача: Установить, которые из компьютеров активны. [Ascertain active machines.]Задача: Обнаружить открытые порты и точки входа [Discover open ports / access points.] Задача: Обнаружить операционные системы [Detect operating systems.] Задача: Раскрыть сервисы на портах [Uncover services on ports.]
Задача: Составить карту сети. [Map the Network.]
Этап: 1. Рекогносцировка [Reconnaissanse] . Атака: 1.1. Получение отпечатка [Footprinting]
Этап: 2. Сканирование [Scanning] . Атака: 2.1. Сканирование [Scanning]
Атака: 2.2. Составление реестра для нападения [Enumeration]
Задача: Извлечение первоначальной информации [Unearth Initial Information]
❖ Обычно включает: ❖ Domain name lookup ❖ Местоположения❖ Контакты (телефоны / e-mail)
❖ Первоисточники информации: ❖ Открытые источники ❖ Whois ❖ Nslookup
❖ Инструмент хакера: ❖Sam Spade
Интернет – служба Whois выдает подробную информация о домене, ip-адресах, регистраторе, владельце домена и т.п.
лицо, подавшее заявление о регистрации
Утилита Nslookup
❖ Nslookup – это программа для запросов к серверам DNS в Интернете. Она показывает информацию, которую можно использовать для диагностики DNS- инфраструктуры. [Nslookup is a program to query Internet domain name servers. Displays information that can be used to diagnose Domain Name System (DNS) infrastructure.]
❖ Помогает найти дополнительные IP адреса по ссылке на DNS сервер, полученной с помощью Whois.[Helps find additional IP addresses if authoritative DNS is known from whois.]
❖ Запись типа MX показывает IP адрес сервера электронной почты. [MX record reveals the IP of the mail server.]
❖ Как ОС Unix, так и ОС Windows имеют встроенную утилиту Nslookup. [Both Unix and Windows come with a Nslookup client.]
❖ Можно также использовать утилиты третьих фирм, например, Sam Spade.[Third party clients are also available - E.g. Sam Spade.]
Методика сетевой разведки
Задача: Извлечь первоначальную информацию [Unearth initial information.] Задача: Определить сетевой диапазон [Locate the network range.]
Задача: Установить, которые из компьютеров активны. [Ascertain active machines.]Задача: Обнаружить открытые порты и точки входа [Discover open ports / access points.] Задача: Обнаружить операционные системы [Detect operating systems.] Задача: Раскрыть сервисы на портах [Uncover services on ports.]
Задача: Составить карту сети. [Map the Network.]
Этап: 1. Рекогносцировка [Reconnaissanse] . Атака: 1.1. Получение отпечатка [Footprinting]
Этап: 2. Сканирование [Scanning] . Атака: 2.1. Сканирование [Scanning]
Атака: 2.2. Составление реестра для нападения [Enumeration]
Задача: Определить сетевой диапазон [Locate the network range.]
❖ Обычно включает:
❖Нахождение диапазона IP- адресов
❖Распознавание маски подсети
❖ Первоисточники информации:
❖ARIN (Америка)/ RIPE (Европа) *)
❖Утилита Traceroute
❖ Инструменты хакера:
❖NeoTrace
❖Visual Route
*) Распределение IP адресов отдельным сетям и узлам координирует Интернет Корпорация по распределению адресов и имен (The Internet Corporation for Assigned Names and Numbers, ICANN). В Америке ICANN делегировал функции по распределению IP-адресов – Координационному центру ARIN (American Registry of Internet Numbers), а в Европе - Координационному центру RIPE (Reseaux IP Europeens) /www.ripe.net/. В свою очередь, эти центры делегирует часть своих функций региональным организациям. В частности, российских пользователей обслуживает Региональный сетевой информационный центр "RU-CENTER».
Интернет-службы ARIN и RIPE❖ ARIN allows search on the Whois database to locate information on networks Autonomous System Numbers (ASNs), network-related handles and other related Point of Contact (РОС).
❖ ARIN Whois allows querying the IP address to help find information on the strategy used for subnet addressing.
Screenshot: ARIN Whois Output
Утилита Traceroute
❖ Traceroute works by exploiting a feature of the Internet Protocol called TTL, or Time To Live.
❖ Traceroute reveals the path IP packets travel between two systems by sending out consecutive UDP packets with ever-increasing TTLs.
❖ As each router processes a IP packet, it decrements the TTL. When the TTL reaches zero, it sends back a "TTL exceeded" message (using ICMP) to the originator.
❖ Routers with DNS entries reveal the name of routers, network affiliation and geographic location.
Tool: NeoTrace (Now McAfee Visual Trace)
Tool: VisualRoute Trace
Tool: SmartWhois
❖ SmartWhois – полезная сетевая утилита, позволяющая вам найти всю доступную информацию по IP адресу, имени хоста или домена, включающую страну, штат/область, город, название Интернет-провайдера, контактную информацию администратора или технической поддержки.
❖ В отличие от стандартных сервисов Whois, SmartWhois может найти информацию о компьютере, расположенном в любой части мира, запрашивая соответствующие базы и выдавая нужную информацию за несколько секунд.
Tool: VisualLookoutVisualLookout provides high level views as well as detailed and historical views that provide traffic information in real-time or on a historical basis.In addition the user can request a "connections" window for any server, which provides a real-time view of all the active network connections showing
❖ who is connected,
❖ what service is being used,
❖ whether the connection is inbound or outbound, and
❖ how many connections are active and how long they have been connected.
Tool: VisualRoute Mail Tracker (page 1 of 2)
Tool: VisualRoute Mail Tracker (page 2 of 2)
Tool: eMailTrackerPro
eMailTrackerPro – инструмент для анализа электронной почты, который автоматически обрабатывает заголовки e-mail –сообщений и выдает результат в графическом виде.
Tool: Mail Tracking (mailtracking.com)
Mail Tracking – сервис, отслеживающий когда, как долго и как много раз читали конкретной электронное сообщение. It also record forwards and passing of sensitive information (MS Office format).
ИТАК,
❖ «Получение отпечатка» (Footprinting) выдает уникальный профиль информационной безопасности «Объекта оценки». [Footprinting renders a unique security profile of a target system.]
❖ Интернет - сервисы Whois, ARIN могут открыть хакеру официальную информацию, которую он может в дальнейшем использовать для атаки. [Whois, ARIN can reveal public information of a domain that can be leveraged further.]
❖ Утилиты Traceroute and трассировщик почты (mail tracking) могут быть использованы для определения искомого IP –адреса и позднее для «получения доступа, путем использования ложного IP- адреса» (spoofing).[Traceroute and mail tracking can be used to target specific IP and later for IP spoofing.]
❖ Утилита Nslookup может открыть хакеру информацию об именах, входящих в домен и передаче зон DNS, которая может скомпрометировать безопасность (подорвать доверие к безопасности) службы Интернет-имен DNS.[Nslookup can reveal specific users and zone transfers can compromise DNS security.]
Этап: 1. Рекогносцировка [Reconnaissanse] Атака: 1.1. Получение отпечатка [Footprinting]