На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Сканирование

Когда необходимые предварительные данные уже получены, следующим шагом должно стать выявление систем, которые работают в пределах исследуемой сети, и служб, предоставляемых эти­ми системами. Если снова обратиться к нашей аналогии "изучения места ограбления", то сканиро­вание можно сравнить с поиском здания и составлением плана его окон и дверей. Процесс скани­рования можно разделить на три составляющие:
т отправка запросов с помощью утилиты ping; ■ сканирование портов; А сбор идентификационных маркеров. Обсудим по порядку каждый из них.
Зондирование сети с помощью ping-запросов


Популярность

5

Простота

5

Опасность

1

Степень риска

3


Эхо-запрос ICMP, более широко известный как ping-запрос (по на щанию утили­ты, которая отправляет эти запросы), обычно используется для определения до> тупности узла TCP/IP. Каждый читатель этой книги, скорее всего, уже пользовался программой ping, но для тех, кто до сих пор не сталкивался с ней, приведем краткую иллюстраци о работы этой утилиты в системе Windows Server 2003. C:\>ping wwir.victim.com
Pinging www.victim.com [192.16В .2.5] with 32 bytes of data:
Reply from 192.168.2.5: bytes=32 time=38ms TTL=47
Reply from 192.168.2.5; bytes=32 time=36ms TTL=47
Reply from 192.168.2.5: bytes=32 time=3 5ms TTL-47
Reply from 192.168.2.5: bytes=32 time=40ms TTL=47
Ping statistics for 192.168.2.5:
Packets: Sent = 4, Received = 4, Lost ~ 0 (0% loss), Approximate round trip times in miHi-seconds:
Minimum = 35ms, Maximum - 40ms, Average = 37ms
Если хост работает и нормально подключен к сети, он вернет эхо-ответ 1С ответ), и если между отправителем и получателем запроса нет никаких прети правитель запроса получит показанный выше ответ. Если удаленный узел не с временно недоступен, то в ответ на запрос будет выведено сообщение о той или
Отправка ping-запросов — это очень эффективный способ выявления фуш узлов, особенно при зондировании сети, когда запросы посылаются всем хостзд лению хакеров, почти в каждой сети, подключенной к Internet, ping-запросы Е получение ответных сигналов об ошибках обычно означает, что промежуточн] или маршрутизатор блокирует запрос ICMP независимо от активности интересук
Таким образом, хотя зондирование сети с помощью ping-запросов хотя и ост средством исследования локальных сетей, при анализе защищенности оно не слит но. Для выявления работающих узлов лучше провести поиск доступных служб с пов вания портов. Большинство средств сканирования портов позволяют использовать*
Сканирование портов


Популярность

9

Простота

5

Опасность

 

2

Степень риска

5

MP (или ping-тствий, то от-уществует или иной ошибке, ционирующих сети. К сожа-локируются, и 1Й брандмауэр щего узла, астся быстрым ком эффектив-ющью сканиро-pmg-запросы.
Сканирование портов представляет собой проверку возможности соедин< ния с каждой доступной службой или портом системы и анализ полученного ответа.
Как правило, сканирование стандартных TCP-портов включает в себя полную процедуру со­гласования параметров соединения (three-way handshake), схема которой показана на 4. Кли­ент подключается к WWW-службе через ТСР-порт 80. Затем клиенту выделяет произвольный порт отправителя для сокета с номером больше 1024 и выполняет полную процедуру согласования па­раметров соединения с WWW-службой, которая ожидает соединения на порт 80. Как только сервер получает последний АСК-пакет подтверждения, сеанс связи по протоколу TCP между двумя сис­темами считается установленным. Теперь по сети можно передавать данные уровня приложений.
На этом очень упрощенном примере рассмотрено одно соединение по протоколу TCP. При сканировании портов выполняются многочисленные попытки установки соединений с произвольными портами, после чего предпринимаются попытки получить начальные данные уровня приложений, предоставляемые сетевыми службами (эти действия называются сбором идентификационных маркеров). Например, злоумышленник может сканировать порты систе­мы с номерами 1—100 и попытаться определить, доступны ли на данном хосте стандартные службы, такие как почта (ТСР-порт 25) или Web (ТСР-порт 80).
Методы сканирования портов
Существует несколько разновидностей описанного выше сканирования по протоколу TCP, разработанных для повышения точности, скорости и маскировки. Хорошее описание всех видов и методов сканирования портов можно найти по адресу http: / /www. insecure.org/nmap. Вот наиболее важные для практического применения методы сканирования портов.
т Подмена порта отправителя. Указав вместо случайно предоставляемого операционной системой (номер больше 1024) определенный номер порта отправителя, из которого должно быть установлено соединение по протоколу TCP, злоумышленник получает возможность обойти маршрутизатор или брандмауэр, настроенный на фильтрацию соединений с непривилегированными портами отправителя.
■ Сканирование с помощью SYN-пакетов. Не передавая последний АСК-пакет в процеду­ре установления соединения, можно на треть ускорить процесс сканирования по про­токолу TCP. Для получения статуса запрашиваемого порта используется только ответ­ный пакет с установленными флагами SYN и АСК.
* UDP-сканирование . Для идентификации служб, не использующих протокол TCP (например SNMP), выполняются практически аналогичные действия. На исследуемый порт отправляется UDP-пакет и по наличию ответного сообщения о недосягаемости порта (ICMP port unreachable) делается вывод О недоступности службы. Если же никаких ответных сообщений не поступает, считают, что служба активна и ожидает за-
тельные заключения о доступности службы в случае перегрузок сети или блокирования UDP-пакстов, поэтому сканирование по протоколу UDP является ненадежным.
Лучшие средства сканирования портов могут выполнять не только описанн ые типы ска­нирования, но и множество других. Рассмотрим некоторые из наиболее мошт ых программ сканирования портов.
Средства сканирования портов
Для авторов этой книги программа SuperScan, написанная Робином Кеиром (Robin Keir) из компании Foundstone, остается «п."им из любимых средств сканирования портов. Это бы­страя и мощная программа с графическим интерфейсом, которая доступна по весьма привле­кательной цене — бесплатно! Она позволяет гибко задавать IP-адреса и списки портов инте­ресующих хостов. Особенно удобна кнопка Extract from File (извлечь из файла). Программа SuperScan поставляется с одним из самых полных списков портов, который мы когда-либо видели. Для более тонкой настройки существует возможность ручного выбора или отмены номеров портов для сканирования. Также программа SuperScan обеспечивает достаточно вы­сокую скорость работы. На 5 показано окно программы SuperScan при работе в сети класса С. Обратите внимание, что работающие хосты, на которых выявлены открытые порты, отмечены зелеными галочками, а также отображаются идентификационные маркеры служб.
Однако наше любимое средство сканирования — это аналог программы SuperScan для ко­мандной строки, программа ScanLine (оригинальное название f scan). В ней объединены мо­нолитная структура программы SolidScan и некоторые дополнения, предложенные командой консультантов компании Foundstone. Эта программа была создана как универсальное средство сканирования портов. Ниже перечислены некоторые наиболее важные возможности програм­мы ScanLine, благодаря которым она находится в нашем наборе стандартных инструментов.
Списки хостов и портов можно задавать из текстовых файлов.
Независимое сканирование по протоколам TCP и UDP (если для ввода списка портов используется текстовый файл, то порты UDP должны иметь префикс -и,
например -U130-140, или используйте встроенный список UDP-портов с помо­щью параметра -и).
■ При сканировании программа предоставляет идентификационные маркеры служб (описывается ниже).
■ Существует возможность выполнять сканирование с подменой порта-отправителя при использовании параметра -д.
■ Возможность скрытной работы: отказ от использования ping-запросов (параметр -р), случайный выбор номеров портов (параметр -г), а при использовании параметра -& запросы на порты отправляются с задаваемой пользователем частотой, чтобы избежать обнаружения системами выявления вторжений (intrusion detection system).
■ Параметр -с используется для изменения значения зремени ожидания соединения для TCP- и UDP-портов, что позволяет пользователям делать выбор между скоростью (меньшее значение) и точностью (большее значение) сканирования.
* При разумном использовании параметра-с точное сканирование портов хостов ло­кальной сети может выполняться со скоростью более 100 портов в секунду.
С помощью приведенной далее командной строки программы ScanLine выполняется про­стое сканирование для поиска служб, запускаемых обычно в системах под управлением Win­dows Server 2003. Это сканирование не будет исчерпывающим, но выполняется быстро и дает достаточно достоверные результаты обнаружения работающих в сети систем Win­dows Server 2003.
C:\>feoaa -bqr -о 30O -р 1-445.3389 -а 88,135-137,161,500 10.0.0.1-99
Параметр -bpz означает сбор идентификационных маркеров (Ъ), запрещает запросы ping к узлу перед сканированием (р) и включает случайный порядок перебора портов (z). Параметр -с устанавливает время ожидания ответа порта в 300 мс в целях более быстрого сканирования (по умолчанию значение равно 4000 мс). С помощью параметров -1 и -и задаются порты для ТСР-и UDP-сканирования соответственно. И последний аргумент командной строки указывает диа­пазон IP-адресов для сканирования — можно указывать диапазон IP-адресов, список из адре­сов, разделенных запятыми, или задать адреса "смешанным" образом. Аналогично задаются списки портов. Ниже представлен пример результата такого сканирования.
10.0.0-1
Responds with ICMP unreachable: Yes
TCP ports:   53  80 88 135. 139 389 445 3389
UDP ports:   88 137 500
TCP BO:
[HTTP/1.1 200 OK Content-Length:   1433 Content-Type: text/html Content-Location:  http://192.168.234.244/iisstart.htffl Last-Modified:   Sat,   22 Feb 2003  01:48:30 G]
Обратите внимание, что выводится информация обо всех найденных портах, для некоторых из них получены идентификационные маркеры (например, похоже, что в этой системе на пор­ту 80 запущен Web-сервер). Во время данного сканирования средняя скорость составила около 80 портов в секунду при сканировании в локальной сети.
В табл. 3.2 представлена характерная сигнатура операционной системы Windows Server 2003 при сканировании TCP- и UDP-портов. Некоторые из приведенных портов используются все­ми Internet-ориентированными операционными системами (например ТСР-порт 80 для прото­кола HTTP), а выделенные жирным шрифтом порты характерны именно для Win­dows Server 2003 (например ТСР-порт 445 для службы SMB поверх TCP). Чтобы найти системы
TCP 3 89: Е0 а)
под управлением Windows Server 2003, можно выполнить поиск открытых портов с этими номе­рами или наоборот отобрать из результатов сканирования те, в которых будут выявлены эти от­крытые порты.


.Таблица 3.2. Стандартные

иЬРДСР-елужбй для :cKs^H;^d0W

 

Протокол    Номер порта Служба

 

TCP TCP
TCP/UDP TCP
TCP/UDP UDP
25 2! 53 80
UDP TCP
TCP/UDP TCP
TCP/UDP
TCP/UOP
UDP
TCP
TCP UDP TCP TCP TCP TCP
123 135
SMTP FTP DNS WWW Kerberos
Сетевая служба времени NTP Распределитель адресата RPC/DCE

138 139
1ST
389
443
445
464
500
593
636
1433
1434
3268
3269
3389
Случайно выбранный четырехзначный номер
(RPC end point mapper) Служба имен NetBIOS Служба дейтаграмм NetBIOS Служба сеансов NetBIOS (SMB/CIFS поверх NetBIOS)
SNMP ШАР
HTTP поверх SSL/TLS
Direct Host (SMB/CIFS поверх TCP)
Служба Kerberos kpasswd Inet Key Exch, IKE (IPSec) Распределитель адресата HTTP RPC LDAP поверх SSL/TLS MSSQL
Распределитель экземпляров MSSQL Глобальный каталог AD Глобальный каталог AD поверх SSL Windows Terminal Server IIS HTML Mgmt (W2K)

Некоторые замечания к табл. 3.2.
т В системах семейства Windows NT по умолчанию устанавливается привязка к ТСР-порту 139, а системы Windows 9х не ожидают соединения с TCP/UDP-портом 135.
Еще одним характерным портом для систем Windows 2000, ХР и Server 2003 является открытый по умолчанию TCP/UDP-nopT445, но этот порт закрыт в системах Win­dows NT 4 и Windows 9х.
Эти характерные признаки помогут отличить системы семейства Windows при анализе ре­зультатов сканирования портов.
Меры противодействия зондированию сети с помощью ping-запросов и сканированию портов


Бюллетень

Нет

 

BID

 

Нет

 

Исправлено в SP

Нет

 

Фиксируется

Иногда


Блокировать ping-запросы и сканирование портов лучше всего на уровне сети, используя для этого маршрутизатор и/или брандмауэр, сконфигурированные для блокирования всех входящих и исходящих пакетов, которые не являются необходимыми. Особое внимание сле­дует обратить на блокирование эхо-запросов ICMP и недоступность через Internet локальных TCP/UDP-порто в 135-139, которые характерны для систем под управлением Windows.
Эхо-запрос — это лишь один из 17тиПОв ICMP-пакетов. Если поддержка не­которых ICMP-сообщений все-таки необходима, следует внимательно про­анализировать, прохождение каких из них можно разрешить. При наиболее жесткой стратегии фильтрации внутрь демилитаризованной зоны следует разрешить пропуск ICMP-сообщений типа "эхо-ответ" (echo-reply) о недос­тупности хоста (host unreachable) и о превышении лимита времени на доставку сообщения (time exceed).
Для хостов, которые не работают в локальной сети, следует отключить ненужные службы, чтобы они не выявлялись при сканировании портов. В главе 4, "Инвентаризация", описаны методы отключения характерных для Windows-систем служб, которые ожидают запросов на TCP/UDP-порты 135-139 и 445 для Windows Server 2003.
Кроме того, желательно настроить фильтры IPSec на хостах под управлением Win­dows 2000 для блокирования пакетов для всех необязательных служб, даже если эти службы были отключены или заблокированы брандмауэром. С помощью фильтров IPSec можно бло­кировать ICMP-пакеты, но в этом случае принимается решение о полном запрете или разре­шении передачи данных по протоколу ICMP, поскольку фильтры IPSec не позволяют блоки­ровать одни типы ICMP-сообщений и пропускать другие. Тщательно составленная система защиты позволяет повысить безопасность системы и предотвратить возможность случайного запуска в системе нсавторизоваиной службы. Сведения о настройке фильтров IPSec изложе­ны в главе 16, "Возможности и средства защиты н системах Windows", а ссылка на созданные пользователями фильтры IPSec от специалиста по защите информации Эрика Шульца (Eric Schull2c) есть в разделе "Дополнительная литература и ссылки" в конце этой главы.
НА ЗАМЕТКУ
При использовании фильтров IPSec необходимо установить параметр реест­ра NoDefaultExempt, чтобы отключить беспрепятственное прохождение па­кетов для Kerberos и протокола RSVP (Resource Reservation Setup Protocol — протокол резервирования ресурсов).
Также следует учесть, что системы выявления вторжений могут отслеживать попытки зондирования сети с помощью ping-запросов и сканирование портов. Но активность такого рода достаточно высока для Internet, поэтому тщательное ее отслеживание может быть лиш­ней тратой ресурсов. Политика безопасности конкретной организации может различаться в зависимости от необходимого уровня мониторинга.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика