На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Порты TCP/IP

Существует один дополнительный компонент, участвующий в процессе ком­муникации, который вы должны знать, - это порт TCP/IP. Каждый пакет, посы­лаемый по сети, также содержит порт назначения, определяющий определенный
ресурс на удаленном компьютере, для которого предназначен пакет. Например, когда вы хотите просмотреть Web-сайт, вы пишете адрес, такой, как www.microsoft.com, в поле URL вашего Web-браузера. Когда первоначальное со­единение между вашим компьютером и Web-сервером установлено, дружествен­ный адрес Web-сайта автоматически заменяется IP-адресом удаленного компью­тера. Ко времени, когда соединение между вашим компьютером установлено, оба компьютера знают IP-адреса друг друга и автоматически ис­пользуют их для адресации пакетов данных во время остального сеанса связи.
Например, серверы, предоставляющие HTML-содержимое в Интернете, извест­ны как HTTP-серверы. Чтобы соединиться с ними и получить HTML-содержимое, вы должны использовать порт 80. Даже без вашего сведения, ваш Web-браузер автоматически добавит номер порта в конец IP-адреса. Так что если адрес серве­ра HTTP Microsoft - ваши пакеты данных в конечном счете ад­ресуются на 207.46.230.218:80.
Проверяя номер порта каждого пакета, удаленный компьютер знает, что дан­ные нужно посылать приложению, которое было приписано к этому номеру порта. В случае запроса HTTP-сервером Web-страницы пакет определит порт 80.
Существует более 60 000 возможных присваиваемых номеров портов на лю­бом компьютере с TCP/IP. Чтобы взаимодействовать через один из этих портов, приложение или служба должна быть приписана к порту и активно просматри­ваться. Первые 1024 порта, пронумерованные от 1 до 1024, считаются хорошо из­вестными (well-known) портами, и каждому порту в этом диапазоне уже присвоен определенный вид приложения или службы. Порты после 1024 известны под на­званием эфемерных портов и могут использоваться при необходимости любым приложением, предполагающим, что порт не занят уже другим приложением.
Например, порт 80 назначен HTTP-серверу. Порты 20 и 21 присвоены прото­колу передачи файлов или FTP. На 6 изображено назначение портов TCP/IP. Первый порт в списке - порт 80, присвоенный приложению Персональ­ный Web-сервер Microsoft (Microsoft Personal Web-Server), которое позволяет вам превратить ваш компьютер в мини-HTTP Web-сервер. Порты 137-139 являются портами NetBIOS, которые включаются, когда вы активизируете клиента для се­тей Microsoft и общий доступ к файлам и принтерам. Вы узнаете больше о портах
137-139 в главе 4 "Защита сетей в Windows". Порт 4444 - это только один из ты­сяч эфемерных портов, которые могут назначаться любому приложению.
Порты TCP/IP
80 Персональный
Web-сервер Microsoft
137 138 139
Порты NetBIOS
|| 4444  Эфемерный порт
Изображение назначения Microsoft портов TCP/IP "Я Т Если вы хотите просмотреть более полный список портов TCP/IP, идите
на www. tana, org/assignmen ts/port-numbers.
Порты - основной источник воздействия на любой компьютер через Интер­нет. Как вы узнаете далее в этой главе, взломщики пытаются получить доступ к вашему компьютеру, разыскивая открытые и незащищенные порты.


Как работают брандмауэры
Брандмауэры работают, изучая содержимое пакетов для того, чтобы решить, пропускать ли пакет или нет. Например, 6 изображены два прило­жения, пытающиеся передать данные через Интернет. Данные разбиты на паке­ты, которые затем посланы через Интернет. Однако между двумя компьютерами установлен брандмауэр. Брандмауэр в этом примере сконфигурирован на разре­шение всего трафика Internet Explorer. Internet Explorer создан так, чтобы взаи­модействовать с Web-серверами Интернета с помощью порта 80. Как показано 7, пакеты, предназначенные для порта 80, были пропущены бранд­мауэром. Однако на рисунке-3.7 также показано, что приложение "Троянский конь" каким-то образом проникло на компьютер и пытается передать данные на другой компьютер в Интернете, используя порт 4444, который брандмауэр был сконфигурирован блокировать. Кроме того, продемонстрировано, что брандмау­эр показывает предупреждающее сообщение и делает запись в лог-файле.
131.111.7.27:80
Предупреждение: неразрешенное приложение пытается передать данные в Интернет
31.111.7.77:4444 |     Троянский конь Internet Explorer
131.111.7.27:80
Ваш персональный брандмауэр может быть сконфигурирован на блокировку трафика и сообщение о любом приложении, которое пытается установить соединение с Интернетом, не позволенное службой безопасности
Правила определения, что позволено пропускать через брандмауэр, а что нет, установлены службой безопасности, установленной на вашем брандмауэре. Раз­личные брандмауэры имеют различные возможности и разные службы безопас­ности. С помощью соответствующей настройки правильной службы безопасно­сти вы можете надежно обезопасить себя при работе в сети. Однако, неправильно сконфигурировав службы безопасности брандмауэра, вы можете сделать ваш брандмауэр почти бесполезным.


Функции брандмауэра
Ранее в этой главе вы видели список функций, которые должны присутство­вать в персональных брандмауэрах. Этот и последующие разделы представят более детальное описание некоторых особых функций брандмауэров и разъяс­нят, как брандмауэры выполняют их. Основа каждой из этих функций - способ­ность брандмауэра изучать пакеты и осуществлять работу служб безопасности, которые говорят ему, какие пакеты пропустить, а какие блокировать.
Обнаружение вторжения
Некоторые брандмауэры созданы, чтобы запрещать пропуск неразрешенных
приложений через брандмауэр. Эти брандмауэры могут эффективно блокиро­вать многие нападения. Тем не менее брандмауэры, в которые встроена про­грамма обнаружения вторжения, предоставляют еще более высокий уровень безопасности.
Проблема с простым исследованием пакетов на предмет сведений о прило­жении и порте заключается в том, что оно, тем не менее, оставляет компьютер открытым для возможного нападения, запущенного с помощью одобренного приложения. Например, много дыр было обнаружено в таких продуктах, как Microsoft NetMeeting и Personal Web Server (хотя компания Microsoft продолжа­ет закрывать каждую дыру при обнаружении). Эта методика также не защищает от атак "переполнение буфера". Атака "переполнение буфера" происходит, когда нападающий пытается использовать одобренное приложение для переполнения
порта. Потенциально это может привести к аварийному отказу назначенного
компьютера или сделать его насколько перегруженным, что он не сможет вы-поднять какую-либо необходимую работу.
Такие брандмауэры, как BlacklCE Defender, в которые встроена программа
обнаружения вторжения, могут предложить защиту от этих видов нападений.
Например, брандмауэр BlacklCE способен анализировать сотни видов атак. Про­грамма обнаружения вторжения создана для изучения всего содержимого паке­тов и определения их предназначения. Если персональный брандмауэр с про­граммой обнаружения вторжения определит, что его главный компьютер
подвергается нападению, он может просто блокировать пропуск пакетов, яв­ляющихся причиной нападения.
Определение попыток просканировать ваш компьютер
Взломщики могут использовать один из множества бесплатно доступных ин­струментов для исследования Интернета в поисках жертвы. Например, сущест­вует большое количество приложений ping-sweeper, которые могут быть исполь­зованы для поиска в Интернете активных TCP/IP соединений. PING - это команда TCP/IP, которая может быть использована для запроса статуса другого компьютера с протоколом TCP/IP и определения, активен ли он. Например, что­бы попытаться сделать это с любым компьютером в Интернете, введите PING


вслед за его именем или IP-адресом. Например, вы можете проделать это с сер­вером, как показано здесь: С:\>ping www.que.com
Pinging que.com [128.121.231.124] with 32 bytes of data:
Reply from 128.121.231.124: bytes=32 time=100ms TTL=234
Reply from 128.121.231.124: bytes=32 time=100ms TTL=234
Reply from 128.121.231.124:. bytes=32 time=100ms TTL=234
Reply from 128.121.231.124: bytes=32 time=100nis TTL=234
Ping statistics for 128.121.231.124:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds:
Minimum = 100ms, Maximum = 100ms, Average = 100ms "
Вы также можете напечатать его IP-адрес и получить те же результаты:
C:\>ping 128.121.231.124
Pinging 128... 121.231,124 with 32 bytes of, data:
•Reply from 128.121.231.124: bytes=32 time=101ms TTL=234
Reply from 128.121,231.124; bytes=32 time=100ms TTL=234
Reply from 128.121.231.124: bytes=32 time=101ms TTL=234
Reply from 128.121,231.124: bytes=32 time=100ms TTL=23.4
Ping statistics for 128,121.231.124:
Packets: Sent = A, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds:
Minimum = 100ms, Maximum = 101ms, Average = 100ms
Программа ping-sweeper может быть использована для просмотра тысяч IP-адресов в поисках активных компьютеров. После того как ' хакер нашел спи­сок активных компьютеров, другая бесплатная программа, известная как сканер портов, может быть запущена против компьютеров из списка для того, чтобы попытаться установить связь с рядом портов каждого активного компьютера. Более агрессивные атаки могут затем быть запущены против компьютеров, ко­торые имеют открытые порты, позволяющие принять соединение. Если, напри­мер, хакер обнаружит, что порты 137-139 открыты, он может легко собрать ряд потенциально полезных частей информации, таких, как ваше имя пользователя и имя компьютера. Если порт 80 был обнаружен открытым и принимающим подключения (поскольку вы запустили Microsoft Personal Web Server), напа­дающий пытаться запустить любое количество атак, используя хорошо
известные слабые стороны этой службы.
Хороший брандмауэр может обнаружить, что его порты сканируются, заре­гистрировать это событие и уведомить вас, если ему это поручено. Например,
брандмауэр ZoneAlarm может быть сконфигурирован показывать всплывающее предупреждение каждый раз, когда компьютер сканируется. В этом случае, если ваш жесткий диск внезапно вращаться или снизилась скорость работы, вы можете заблокировать нападение с помощью временного прерывания соединения. Брандмауэр BlacklCE Defender идет еще дальше и от­
слеживает IP-адрес раздражающего компьютера, с которого был послан сканер, а затем докладывает о нем.
Однако не всегда сканирование - это нападение. Например, кто-то, возмож­но, случайно ввел неправильный IP-адрес при попытке соединиться с HTTP-сервером или открыть сеанс связи с другом через NetMeeting. Также возможно, что ваш провайдер мог запустить какое-либо тестирование. Другая ложная тре­вога, как известно, возникает от основанных на использовании технологий Ин­тернета телевизионных услуг, которые иногда случайно соединяются с непра­вильными IP-адресами.
Важно просматривать журнал безопасности, созданный вашим персональным брандмауэром, и знать, когда ваш компьютер был просканирован.Обязательно
просматривайте его, если количество сканирований вашего компьютера внезап­но увеличилось.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика