SITE LOGO

[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: LEX  
Основы сетевых портов
LEXDate: Вторник, 2006-05-23, 1:33 AM | Message # 1
writer
Group: stufff
Posts: 1172
Reputation: 17
Status: ОффЛайн
Джеф Феллинг

Исследуем сетевые порты
Сетевые порты могут дать важнейшую информацию о приложениях, которые обращаются к компьютерам по сети. Зная приложения, которые используют сеть, и соответствующие сетевые порты, можно составить точные правила для брандмауэра, и настроить хост-компьютеры таким образом, чтобы они пропускали только полезный трафик. Построив профиль сети и разместив инструменты для распознавания сетевого трафика, можно более эффективно обнаруживать взломщиков — иногда просто анализируя генерируемый ими сетевой трафик. Эту тему мы начали рассматривать в первой части статьи, опубликованной в предыдущем номере журнала. Там приводились основные сведения о портах tcp/ip как фундаменте сетевой безопасности. Во второй части будут описаны некоторые методы для сетей и хост-компьютеров, с помощью которых можно определить приложения, прослушивающие сеть. Далее в статье будет рассказано о том, как оценить трафик, проходящий через сеть.

Блокирование сетевых приложений
Поверхность атаки по сети — общепринятый термин для описания уязвимости сети. Многие сетевые нападения проходят через уязвимые приложения, и можно существенно уменьшить площадь атаки, сократив число активных приложений в сети. Другими словами, следует отключить неиспользуемые службы, установить брандмауэр на выделенной системе для проверки законности трафика и составить исчерпывающий список управления доступом (access control list — acl) для брандмауэра на периметре сети.

Каждый открытый сетевой порт представляет приложение, прослушивающее сеть. Поверхность атаки каждого сервера, подключенного к сети, можно уменьшить, отключив все необязательные сетевые службы и приложения. Версия windows server 2003 превосходит предшествующие версии операционной системы, так как в ней по умолчанию активизируется меньше сетевых служб. Однако аудит все же необходим, чтобы обнаружить вновь установленные приложения и изменения в конфигурации, которые открывают лишние сетевые порты.

Каждый открытый порт — потенциальная лазейка для взломщиков, которые используют пробелы в хост-приложении или тайком обращаются к приложению с именем и паролем другого пользователя (либо применяют другой законный метод аутентификации). В любом случае, важный первый шаг для защиты сети — просто отключить неиспользуемые сетевые приложения.

Сканирование портов
Сканирование портов — процесс обнаружения прослушивающих приложений путем активного опроса сетевых портов компьютера или другого сетевого устройства. Умение читать результаты сканирования и сравнивать сетевые отчеты с результатами хост-опроса портов позволяет составить ясную картину трафика, проходящего через сеть. Знание сетевой топологии — важное условие подготовки стратегического плана сканирования конкретных областей. Например, сканируя диапазон внешних ip-адресов, можно собрать ценные данные о взломщике, проникшем из internet. Поэтому следует чаще сканировать сеть и закрыть все необязательные сетевые порты.

Внешнее сканирование портов брандмауэра позволяет обнаружить все откликающиеся службы (например, web или электронная почта), размещенные на внутренних серверах. Эти серверы также следует защитить. Настройте привычный сканер портов (например, network mapper — nmap) на проверку нужной группы портов udp или tcp. Как правило, сканирование портов tcp — процедура более надежная, чем сканирование udp, благодаря более глубокой обратной связи с ориентированными на соединения протоколами tcp. Существуют версии nmap как для windows, так и для unix. Запустить базовую процедуру сканирования просто, хотя в программе реализованы и гораздо более сложные функции. Для поиска открытых портов на тестовом компьютере я запустил команду

nmap 192.168.0.161
На экране 1 показаны результаты сеанса сканирования — в данном случае компьютера windows 2003 в стандартной конфигурации. Данные, собранные в результате сканирования портов, показывают наличие шести открытых портов tcp.

Экран 1. Базовый сеанс сканирования nmap

Порт 135 используется функцией отображения конечных точек rpc, реализованной во многих технологиях windows - например, приложениях com/dcom, dfs, журналах событий, механизмах репликации файлов, формирования очередей сообщений и microsoft outlook. Данный порт должен быть блокирован в брандмауэре на периметре сети, но трудно закрыть его и одновременно сохранить функциональность windows.
Порт 139 используется сеансовой службой netbios, которая активизирует браузер поиска других компьютеров, службы совместного использования файлов, net logon и службу сервера. Его трудно закрыть, как и порт 135.
Порт 445 используется windows для совместной работы с файлами. Чтобы закрыть этот порт, следует блокировать file and printer sharing for microsoft networks. Закрытие этого порта не мешает соединению компьютера с другими удаленными ресурсами; однако другие компьютеры не смогут подключиться к данной системе.
Порты 1025 и 1026 открываются динамически и используются другими системными процессами windows, в частности различными службами.
Порт 3389 используется remote desktop, которая не активизирована по умолчанию, но на моем тестовом компьютере активна. Чтобы закрыть порт, следует перейти к вкладке remote в диалоговом окне system properties и сбросить флажок allow users to connect remotely to this computer.
Обязательно следует выполнить поиск открытых портов udp и закрыть лишние. Программа сканирования показывает открытые порты компьютера, которые видны из сети. Аналогичные результаты можно получить с помощью инструментов, расположенных на хост-системе.

Хост-сканирование
Помимо использования сетевого сканера портов, открытые порты на хост-системе можно обнаружить с помощью следующей команды (запускается на хост-системе):

netstat -an
Эта команда работает как в windows, так и в unix. netstat выдает список активных портов компьютера. В windows 2003 windows xp следует добавить параметр -o, чтобы получить соответствующий идентификатор процесса (program identifier — pid). На экране 2 показаны выходные результаты netstat для того же компьютера, сканирование портов которого выполнялось ранее. Следует обратить внимание на то, что закрыто несколько портов, которые прежде были активны.

Экран 2. Список открытых портов, полученный с помощью netstat
Аудит журнала брандмауэра
Еще один полезный способ обнаружения сетевых приложений, которые отправляют или получают данные по сети, — собирать и анализировать больше данных в журнале брандмауэра. Записи deny, в которых приводится информация с внешнего интерфейса брандмауэра, вряд ли будут полезны из-за «шумового трафика» (например, от червей, сканеров, тестирования по ping), засоряющего internet. Но если записывать в журнал разрешенные пакеты с внутреннего интерфейса, то можно увидеть весь входящий и исходящий сетевой трафик.

Чтобы увидеть «сырые» данные трафика в сети, можно установить сетевой анализатор, который подключается к сети и записывает все обнаруженные сетевые пакеты. Самый широко распространенный бесплатный сетевой анализатор — tcpdump для unix (версия для windows называется windump), который легко устанавливается на компьютере. После установки программы следует настроить ее для работы в режиме приема всех сетевых пакетов, чтобы регистрировать весь трафик, а затем подключить к монитору порта на сетевом коммутаторе и отслеживать весь трафик, проходящий через сеть. О настройке монитора порта будет рассказано ниже. tcpdump — чрезвычайно гибкая программа, с помощью которой можно просматривать сетевой трафик с использованием специализированных фильтров и показывать только информацию об ip-адресах и портах либо все пакеты. Трудно просмотреть сетевые дампы в больших сетях без помощи соответствующих фильтров, но следует соблюдать осторожность, чтобы не потерять важные данные.

Объединение компонентов
До сих пор мы рассматривали различные методы и инструменты, с помощью которых можно обнаружить приложения, использующие сеть. Пришло время объединить их и показать, как определить открытые сетевые порты. Поразительно, как «болтливы» компьютеры в сети! Во-первых, рекомендуется познакомиться с документом microsoft «service overview and network port requirements for the windows server system» (http://support.microsoft.com/default.aspx?scid=kb;en-us;832017), в котором перечислены протоколы (tcp и udp) и номера портов, используемые приложениями и большинством основных служб windows server. В документе описаны эти службы и используемые ими ассоциированные сетевые порты. Рекомендуется загрузить и распечатать это полезное для администраторов сетей windows справочное руководство.


DEPECHE MODE & RECOIL FORUM
SUPPORT FORUM WITH YOUR HARD WORK!!! ПОМОГИ ФОРУМУ СТАТЬ ИНТЕРЕСНЕЕ!
ПРАВИЛА И ПОМОЩЬ МУЗЫКА И РЕМИКСЫ

НОВОСТИ Люди, качайте музыку и видео активно, ссылки не вечны!
СКАЧАТЬdave gahan hourglass torrent dave gahan hourglass download rapidshare depeche mode скачать торрент )
 
LEXDate: Вторник, 2006-05-23, 1:34 AM | Message # 2
writer
Group: stufff
Posts: 1172
Reputation: 17
Status: ОффЛайн
Настройка сетевого анализатора (Джеф Феллинг)
Ранее отмечалось, что один из способов определить порты, используемые приложениями, — отслеживать трафик между компьютерами с помощью сетевого анализатора. Чтобы увидеть весь трафик, необходимо подключить сетевой анализатор к концентратору или монитору портов в коммутаторе. Каждому порту концентратора виден весь трафик каждого компьютера, подключенного к этому концентратору, но концентраторы — устаревшая технология, и большинство компаний заменяют их коммутаторами, которые обеспечивают хорошую производительность, но неудобны для анализа: каждый порт коммутатора принимает только трафик, направляемый одному компьютеру, подключенному к данному порту. Чтобы анализировать всю сеть, нужно отслеживать трафик, направляемый в каждый порт коммутатора.

Для этого требуется настроить монитор порта (разные поставщики называют его span port или mirrored port) в коммутаторе. Установить монитор порта в коммутаторе cisco catalyst компании cisco systems не составляет труда. Нужно зарегистрироваться на коммутаторе и активизировать режим enable, затем перейти в режим configure terminal и ввести номер интерфейса порта коммутатора, на который следует посылать весь контролируемый трафик. Наконец, необходимо указать все отслеживаемые порты. Например, следующие команды обеспечивают мониторинг трех портов fast ethernet и пересылку копии трафика в порт 24.

interface fastethernet0/24
port monitor fastethernet0/1
port monitor fastethernet0/2
port monitor fastethernet0/3
end

В данном примере сетевой анализатор, подключенный к порту 24, будет просматривать весь исходящий и входящий трафик компьютеров, подключенных к первым трем портам коммутатора. Для просмотра созданной конфигурации следует ввести команду

show run
Чтобы сохранить новую конфигурацию, нужно использовать команду

write memory
Первоначальный анализ
Рассмотрим пример анализа данных, проходящих через сеть. Если для сетевого анализа используется компьютер linux, то можно получить исчерпывающее представление о типе и частоте пакетов в сети с помощью такой программы, как iptraf в режиме statistical. Детали трафика можно выяснить с использованием программы tcpdump.

Здесь
proto/port pkts bytes pktsto bytesto pktsfrom bytesfrom
tcp/22 23519 2568136 8002 343008 15517 2225128
udp/138 149 34459 77 17802 72 16657
tcp/80 42 8808 21 2280 21 6528
udp/137 34 2652 17 1326 17 1326
udp/53 16 1606 8 544 8 1062
udp/68 8 2400 4 1312 4 1088
udp/67 8 2400 4 1088 4 1312
udp/123 2 152 1 76 1 76
udp/441 1 229 0 0 1 229
udp/303 1 229 0 0 1 229
udp/454 1 229 0 0 1 229
udp/317 1 229 0 0 1 229
udp/469 1 229 0 0 1 229

приведены статистические выходные данные, собранные с помощью iptraf в небольшой сети с active directory (ad) в течение 15 минут. Для краткости, тестирование проводилось вечером, когда никто из пользователей не обращался в сеть. В примере не показаны все порты windows, но продемонстрированы приемы оценки портов и их привязки к службам и приложениям.он используется программой secure shell (ssh), которую я применяю для подключения компьютера linux с утилитой iptraf.

udp 138. Второй по частоте использования — udp-порт 138, задействованный службой netbios datagram service. В упомянутом выше документе microsoft указывается, что данный порт используется несколькими службами windows, в том числе computer browser, dfs, license, messenger, net logon и server. В группу портов tcp и udp 135-139 входит несколько специфических портов, используемых многими приложениями windows. По всей вероятности, некоторые из этих портов придется держать открытыми, что, к сожалению, открывает доступ к другим приложениям windows.

tcp 80. Третий порт в списке — tcp-порт 80, который используется для незашифрованного трафика http (web). Но в режиме statistics программы iptraf нельзя определить, указывает ли данный трафик на попытки клиента обратиться к web-серверу внутри сети или внутренний компьютер просто обращается к web-серверу в internet (более подробно о таком сценарии будет рассказано в следующем разделе).

udp 137 и udp 53. Эти порты используются службами преобразования имен windows — в данном случае, netbios и dns.

udp 67 и udp 68. udp-порты 67 и 68 используются dhcp-сервером для назначения динамических ip-адресов.

udp 123. Данный порт зарезервирован для протокола network time protocol (ntp) или, в случае windows, simple network time protocol (sntp). Этот протокол синхронизирует время между компьютером и ntp-сервером, например контроллером домена (dc).

Остальные порты получили лишь по одному пакету. Чтобы исследовать их, можно собирать статистику в течение более длительного времени и выявить закономерности, либо параллельно запустить tcpdump и собрать больше данных, в частности, ip-адреса источника и назначения. Даже из приведенного общего вида можно извлечь информацию об этих пакетах. Например, каждый пакет имеет размер 229 байт; можно предположить, что одно приложение перескакивает между разными портами, но, чтобы утверждать это, требуется дополнительная информация.

tcpdump
tcpdump — превосходный инструмент командной строки для анализа сетей, который собирает детальные данные о пакетах в сети. Для того чтобы выяснить, где зарождается http-трафик, можно воспользоваться командой

tcpdump -i eth1 -nq proto tcp
port 80
В данном простом примере требуется лишь узнать ip-адреса компьютеров, использующих http, поэтому были задействованы параметры, которые показывают только данные tcp-порта 80. Параметр -i eth1 указывает анализируемый интерфейс. В нашей тестовой сети eth1 — это сетевой адаптер, подключенный к монитору порта в коммутаторе.

Параметр -nq представляет собой два отдельных параметра: -n предписывает tcpdump не преобразовывать хост-имен и имен служб, а -q переводит tcpdump в быстрый (скрытый) режим. Наконец, нужно просматривать только данные трафика tcp-порта 80, поэтому добавлена команда

proto tcp port 80
которая ограничивает объем рассматриваемых данных.

На рисунке

показаны выходные данные команды. Через порт 80 работают только два компьютера в сети 192.168.0.0. Отсюда можно сделать вывод, что компьютер по адресу 192.168.0.112 пытается обратиться к web-серверу по адресу 192.168.0.7. Теперь можно проверить, находится ли по этому адресу законный web-сервер, или классифицировать находку иным образом. Список всех параметров приведен на главной странице tcpdump. Возможности этой программы широки.

Используя справочную таблицу сетевых портов в сочетании с результатами нескольких сеансов сканирования портов, можно составить карту сигнатур полезного трафика в сети. Затем можно будет отмечать отклонения от нормы.

Подготовка набора правил брандмауэра
Чтобы составить набор правил брандмауэра — особенно в сложных ситуациях, например в демилитаризованной зоне (dmz), — следует применять все перечисленные выше методы оценки сетевого трафика. С их помощью можно точно установить задействованные сетевые порты. На основе этих данных строится набор правил брандмауэра. В dmz изолируются компьютеры, которые принимают прямые соединения с internet (например, внешние почтовые серверы, web-серверы) от других серверов во внутренней сети. Компьютеры в dmz также должны устанавливать соединения с некоторыми компьютерами во внутренней сети, поэтому необходимо создать набор правил брандмауэра, который разрешает такое соединение.

Рассмотрим два метода, с помощью которых можно определить списки acl для правил брандмауэра в тестовой dmz. Предположим, что web-серверу в dmz требуется извлечь данные из системы microsoft sql server во внутренней сети. Вместо туманного правила, которое разрешает соединение между ip-адресом web-сервера и ip-адресом системы sql server, следует составить списки acl, которые разрешают только обращения к sql server.

Один из способов подготовки такого acl — контролировать монитор порта и составить acl на основе анализа обнаруженного трафика. Для этого нужно установить монитор порта на dmz-интерфейсе брандмауэра и активизировать анализатор сети. На данном этапе следует убедиться, что между dmz и внутренней подсетью правила брандмауэра не действуют. Затем требуется сгенерировать типичный сетевой трафик с помощью web-приложения, как это делали бы пользователи. После просмотра данных сетевого анализатора нужно записать все уникальные ip-адреса и соединения сетевого порта. Наконец, на основе собранной информации следует составить и разместить списки acl брандмауэра. В данном примере требуется, чтобы web-сервер инициировал соединения с sql server. sql server использует tcp-порт 1433, поэтому в результатах сетевого анализатора должны быть пакеты, направляемые в этот порт. Однако, если web-сервер является членом домена, dc которого находятся во внутренней сети, можно ожидать интенсивного сетевого трафика от web-сервера к dc. После анализа результатов анализатора следует разрешить в acl брандмауэра весь необходимый сетевой трафик.

Второй метод обнаружения портов, необходимых web-серверу для связи с машиной sql server, — метод проб и ошибок, который заключается в создании и развертывании acl, запрещающего трафик между dmz и внутренней сетью.

Начав использовать web-сервер, следует отыскать в журналах брандмауэра блокированные пакеты (вероятно, их будет много). Для каждого блокированного пакета необходимо исследовать и оценить адреса источника и назначения, а также информацию о сетевом порте. Затем составляются списки acl, которые разрешают полезный трафик. Эту процедуру следует повторять до тех пор, пока из журнала не исчезнут записи deny для пакетов, пересылаемых между dmz и внутренней сетью.


DEPECHE MODE & RECOIL FORUM
SUPPORT FORUM WITH YOUR HARD WORK!!! ПОМОГИ ФОРУМУ СТАТЬ ИНТЕРЕСНЕЕ!
ПРАВИЛА И ПОМОЩЬ МУЗЫКА И РЕМИКСЫ

НОВОСТИ Люди, качайте музыку и видео активно, ссылки не вечны!
СКАЧАТЬdave gahan hourglass torrent dave gahan hourglass download rapidshare depeche mode скачать торрент )


Post edited by LEX - Вторник, 2006-05-23, 1:39 AM
 
LEXDate: Вторник, 2006-05-23, 1:50 AM | Message # 3
writer
Group: stufff
Posts: 1172
Reputation: 17
Status: ОффЛайн
Малоизвестная, но важная организация Internet Assigned Numbers Authority (IANA) присваивает номера портов TCP/UDP. Она отслеживает множество различных стандартов и систем, обеспечивающих функционирование Интернете. Среди ее обязанностей - распределение IP-адресов и назначение ответственных за имена доменов верхнего уровня. IANA обладает значительной властью, хотя по большей части остается в тени. Немногие люди за пределами инженерных подразделений коммуникационных компаний знают о существовании IANA, но она управляет значительной частью "недвижимости" Интернета. IANA отвечает также за поддержание списка сетевых портов, по которым можно подключаться к определенным сервисам, предполагая, что приложение или операционная система соответствуют этим стандартам. Разумеется, всем компаниям, производящим программное обеспечение, надлежит скрупулезно следовать этим стандартам, иначе их продукты могут оказаться несовместимыми с другими подключенными к Интернету системами.
Полный список номеров портов представлен в приложении С. Самую свежую версию этого списка можно найти на Web-сайте IANA (http://www.iana.org). Номер порта присвоен почти каждому значительному приложению. Как для TCP, так и для UDP-сервисов эти номера лежат в диапазоне от 1 до 65535. Номера портов от 0 до 1023 считаются зарезервированными для общеупотребительных приложений, обычно выполняющихся от имени пользователя root или другого привилегированного пользователя. Соответствующие им номера портов называются общеизвестными. Номера портов с 1024 по 65535 можно регистрировать в IANA для конкретных приложений. Они обычно соответствуют определенным сервисам, но подобная регистрация не имеет для производителей столь же обязательной силы, как в случае зарезервированных номеров.

Наконец, существуют недолговечные номера портов, которые операционная система выбирает случайным образом из номеров, превышающих 1024, (обычно - в верхней части диапазона). Они используются для машин, которые произвольным образом устанавливают соединения с другими машинами. Например, для загрузки web-страницы ваша машина обратится к порту 80 web-сервера. Сервер увидит входящее соединение с некоторым случайным номером порта, превышающим 1024. В таком случае сервер будет знать, что это, вероятно, пользователь, а не другое приложение, устанавливающее с ним соединение. Он также использует недолговечный номер порта для отслеживания определенного пользователя и сеанса. Например, если вы параллельно откроете два навигатора, то ваш компьютер для сеанса каждого из них создаст два разных номера порта для установления соединений, которые сервер будет считать различными.
Таблица. Общеупотребительные серверные порты
Номер порта Протокол Сервис
21 FTP Протокол передачи файлов (управляющий порт)
22 SSH Защищенный shell
23 Telnet Telnet
25 SMTP Почтовый сервис
53 DNS Разрешение доменных имен
79 Finger Finger
80 HTTP Web-сервис
135-139 NetBIOS Сетевые коммуникации Windows
443 SSL Защищенный web-сервис

То, что пакет помечен для порта 80, не запрещает ему содержать данные, отличные от web-трафика. Система номеров портов зависит от определенной "честности" машин, с которыми приходится взаимодействовать, и именно отсюда может прийти беда. На самом деле, многие приложения, такие как программы мгновенного обмена сообщениями и одноранговое ПО, которые обычно блокируются межсетевым экраном организации, нарушают эту конвенцию и проскальзывают через порт 80, который согласно конфигурации остается открытым, поскольку пользователям, находящимся позади межсетевого экрана, разрешен web-доступ.

Когда порт на компьютере открыт, он получает весь направляемый в него трафик, законный или незаконный. Посылая некорректно сформированные пакеты, пакеты со слишком большим количеством данных или с некорректно отформатированными данными, иногда можно вызвать аварийное завершение основного приложения, перенаправить поток управления в этом приложении и незаконно получить доступ к машине. Это называется переполнением буфера и составляет большой процент современных уязвимостей.

Переполнение буфера происходит, если прикладные программисты неаккуратно пишут программы и не обеспечивают должную обработку данных, "переполняющих" области памяти, отведенные входным переменным. Когда в программу поступают входные данные, не умещающиеся в отведенный буфер, они могут изменить внутренний ход выполнения программы и в результате предоставить хакеру доступ к ресурсам системного уровня.

Раньше это было технически сложной задачей, за которую могли взяться только самые квалифицированные хакеры. Но теперь, чтобы осуществить подобный взлом, уже не нужно быть высококлассным программистом. Доступны программы, которые с одного щелчка мыши автоматически выполняют переполнение буферов.

Почти все программы, независимо от размера, содержат ошибки такого рода. Современное программное обеспечение, насчитывающее миллионы строк исходных текстов, - просто-напросто слишком сложное, чтобы избежать подобных ошибок. Возможно, со временем, когда вырастут новые поколения программистов, обученных автоматически писать безопасный код, данная проблема потеряет свою остроту или исчезнет совсем. Пока же необходимо внимательно следить за тем, какие приложения или порты видны в вашей сети. Эти порты являются потенциальными "окнами" в серверах и рабочих станциях, через которые хакеры могут запускать свой вредоносный код в ваш компьютер. Поскольку именно здесь происходит большинство нарушений безопасности, очень важно понимать, что происходит на этом уровне на ваших серверах и других машинах. Этого можно легко добиться с помощью программного средства, называемого сканером портов.

Обзор сканеров портов

Сканеры портов, не мудрствуя лукаво, опрашивают набор портов TCP или UDP и смотрят, не ответит ли приложение. Если ответ получен, это означает, что некоторое приложение слушает порт с данным номером. Имеется 65535 возможных портов TCP и столько же - UDP. Сканеры можно сконфигурировать для опроса всех возможных портов или только общеупотребительных (с номерами, меньшими 1024). Веская причина для полного сканирования состоит в том, что сетевые троянские и другие вредоносные программы, чтобы избежать обнаружения, нередко используют нетрадиционные порты с номерами в верхней части диапазона. Кроме того, некоторые производители не следуют стандартам должным образом и подключают серверные приложения к портам с большими номерами. Полное сканирование охватывает все возможные места, где могут скрываться приложения, хотя и требует больше времени и пожирает несколько большую часть полосы пропускания.

Сканеры портов предстают во множестве видов от очень сложных с множеством различных возможностей до имеющих минимальную функциональность. На самом деле, вы сами можете вручную выполнить функции сканера портов, применяя Telnet и проверяя порты по очереди. Просто подключайтесь к IP-адресу, добавляя номер порта, например:

telnet 192.168.0.1:80

Данная команда использует Telnet для соединения с машиной. Номер после двоеточия (для некоторых реализаций Telnet необходимо просто оставить пробел между IP-адресом и номером порта) говорит Telnet, что для соединения надо использовать порт 80 вместо стандартного для Telnet порта 22. Вместо того чтобы получить от Telnet обычное приглашение, которое выдается при подключении к его подразумеваемому порту, вы соединитесь с web-сервером, если таковой запущен на машине. После нажатия клавиши ввода вы получите первый ответ web-сервера навигатору. Вы увидите информацию из заголовка HTTP, которая обычно обрабатывается навигатором и скрыта от пользователя. Она выглядит примерно так, как показано на листинге 4.1.

GET / HTTP

HTTP/1.1 400 Bad Request
Date: Mon, 15 Mar 2004 17:13:16 GMT
Server: Apache/1.3.20 Sun Cobalt (Unix) Chili!Soft-ASP/3.6.2
mod_ssl/2.8.4 OpenSSL/0.9.6b PHP/4.1.2 mod_auth_pam_external/0.1
FrontPage/4.0.4.3 mod_perl/1.25
Connection: close
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF///DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>400 Bad Request</TITLE>
</HEAD><BODY>
<H1>Bad Request</H1>
Your browser sent a request that this server could not understand
Request header field is missing colon separator.
<PRE>
</PRE>

</BODY></HTML>
Листинг. Ответ HTTP на соединение TCP (html, txt)

Так же можно поступить с любым открытым портом, но вы не всегда получите в ответ нечто вразумительное. По сути, именно это и делают сканеры портов: они пытаются установить соединение и ожидают ответ.

Некоторые сканеры портов пытаются также идентифицировать операционную систему на другом конце, выявляя так называемые идентификационные метки TCP. Хотя TCP/IP является стандартом сетевых коммуникаций, каждый производитель реализует его немного иначе, чем другие. Эти различия, обычно не мешающие взаимодействию, проявляются в ответах на любое воздействие, такое как эхо-тест или попытка установления TCP-соединения. Например, цифровая подпись ответа на эхо-тест от системы Windows выглядит иначе, чем в ответе системы Linux. Имеются даже различия между версиями операционной системы. На листинге 4.2 приведен пример идентификационных меток TCP для Windows ME, 2000 и XP.

# Windows Millennium Edition v4.90.300
# Windows 2000 Professional (x86)
# Windows Me or Windows 2000 RC1 through final release
# Microsoft Windows 2000 Advanced Server
# Microsoft XP professional version 2002 on PC Intel processor
# Windows XP Build 2600
# Windows 2000 with SP2 and long fat pipe (RFC 1323).
# Windows 2K 5.00.2195 Service Pack 2 and latest hotfixes
# XP Professional 5.1 (build 2600).. all patches up to June 20, 2004
# Fingeprint Windows XP Pro with all current updates to May 2002
Fingeprint Windows Millenium Edition (Me), Win 2000, or WinXP
Tseq(Class=RI%gcd=<6%SI=<23726&>49C%IPID=I%TS=0)
T1(DF=Y%W=5B4|14F0|16D0|2EE0|402E|B5C9|B580|C000|D304|FC00|FD20|FD68
|FFFF%ACK=S++%Flags=AS%Ops=NNT|MNWNNT)
T2(Resp=Y|N %DF=N%W=0%ACK=S%Flags=AR%Ops=)
T3(Resp=Y%DF=Y%W=5B4|14F0|16D0|2EE0|B5C9|B580|C000|402E|D 304|FC00|FD20|FD68
|FFFF%ACK=S++%Flags=AS%Ops=MNWNNT)
T4(DF=N%W=0%ACK=0%Flags=R%Ops=)
T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=)
T6(DF=N%W=0%ACK =0%Flags=R%Ops=)
T7 (DF=N%W=0%ACK=S++%Flags=AR%Ops=)
PU(DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E|F%UCK=E|F%ULEN=134%DAT=E)
Листинг. Идентификационные метки TCP для Windows (html, txt)

Тарабарщина в нижней части листинга является уникальными установками, используемыми Windows при установлении TCP-соединений. Сравнивая полученный от машины ответ с базой известных идентификационных меток TCP, можно сделать разумное предположение об операционной системе на другом конце.

Данный метод не является совершенным. Иногда программа сканера портов ошибается, поскольку некоторые производители операционных систем при реализации стека TCP заимствуют части других систем (систем UNIX в особенности). Это заставляет сканер портов считать, что перед ним - ОС-первоисточник. Существуют также необычные операционные системы, например, в коммутаторах, принтерах и сетевых устройствах, которые могут отсутствовать в базе данных сканера.

Если вашу сеть сканируют с не очень похвальными намерениями, это предоставляет злоумышленникам ценную информацию. Знание операционной системы и ее версии может послужить хорошей отправной точкой для определения того, какие зацепки и средства проникновения стоит испробовать. Это очень веская причина для регулярного сканирования своей сети, чтобы определить, какие порты в системе оставлены открытыми. Затем следует их просмотреть, закрыть неиспользуемые порты и защитить те, которые должны оставаться открытыми.


DEPECHE MODE & RECOIL FORUM
SUPPORT FORUM WITH YOUR HARD WORK!!! ПОМОГИ ФОРУМУ СТАТЬ ИНТЕРЕСНЕЕ!
ПРАВИЛА И ПОМОЩЬ МУЗЫКА И РЕМИКСЫ

НОВОСТИ Люди, качайте музыку и видео активно, ссылки не вечны!
СКАЧАТЬdave gahan hourglass torrent dave gahan hourglass download rapidshare depeche mode скачать торрент )


Post edited by LEX - Вторник, 2006-05-23, 2:15 AM
 
LEXDate: Вторник, 2006-05-23, 2:15 AM | Message # 4
writer
Group: stufff
Posts: 1172
Reputation: 17
Status: ОффЛайн
Соображения по поводу сканирования портов

При планировании сканирования портов любой сети помните, что эта деятельность создает большую нагрузку на сеть. Сканирование за короткое время десятков тысяч портов порождает в сети интенсивный трафик. Если вы используете для сканирования устаревшей сети на 10 Мбит/с мощный компьютер, это может существенно повлиять на сетевую производительность. При сканировании через Интернет данная проблема будет менее острой, так как ограничивающим фактором послужит пропускная способность промежуточных соединений, однако все равно можно снизить производительность загруженного web-сервера или почтового сервера. В крайних случаях ваша активность может даже привести к прекращению работы машин.

Независимо от способа использования, описанных выше средств обязательно получите разрешение владельца сканируемых хостов. Сканирование портов - деятельность на грани законности (в действительности вы не взламываете системы, просто опрашиваете сеть). Однако вашему начальнику может быть не до нюансов, если вы нарушите работу корпоративной сети. И прежде чем вы забавы ради решите просканировать несколько любимых web-серверов, учтите, что в контракте на предоставление Интернет-услуг могут содержаться пункты, запрещающие подобную деятельность. Операторы web-сайтов постоянно подают жалобы на поставщиков Интернет-услуг, клиенты которых регулярно позволяют себе ненадлежащее поведение. Поэтому, если вы не хотите, чтобы вас уволили или отключили от Интернета, получите письменное разрешение либо от вашего руководителя (если работаете на свою организацию), либо от клиента/добровольца (если обслуживаете третью сторону). В приложении D помещено стандартное письменное соглашение для получения разрешения от предполагаемого объекта сканирования, которое является хорошей отправной точкой для юридического прикрытия ваших позиций.

Даже при наличии разрешения необходимо принять во внимание предполагаемый эффект сканирования целевой сети. Если это интенсивно используемая сеть, вы должны выполнять сканирование ночью или в периоды наименьшей активности. Некоторые сканеры имеют возможность замедлять посылку пакетов, чтобы не очень сильно воздействовать на сеть. Это означает, что сканирование будет выполняться дольше, но в более дружественном для сети режиме.

Некоторые современные устройства, такие как межсетевые экраны и некоторые маршрутизаторы, достаточно интеллектуальны, чтобы распознать сканирование своих портов и отреагировать на него. Iptables можно сконфигурировать для этого, используя опцию multiport и устанавливая флаг приоритета. Машины могут отвечать на сканирование портов снижением скорости ответа для каждого последующего опроса. В итоге ваше сканирование может растянуться до бесконечности. Иногда можно обмануть машину на другом конце, рандомизируя порядок сканируемых портов или растягивая интервалы между запросами. Некоторые устройства, возможно, попадутся на эту удочку, другие - нет. Придется поэкспериментировать, чтобы найти работоспособный вариант.
Применение сканеров портов

Когда вы получите разрешение на сканирование, следует определить, с какой целью вы собираетесь сканировать сеть.
Инвентаризация сети

Не знаете точно, сколько машин у вас работает? Хотите узнать IP-адреса всех ваших серверов? Сканеры портов предлагают быстрый способ просмотра диапазона адресов и выявления все активных машин в этом сегменте. Можно даже воспользоваться средством Nlog (рассмотренным далее в этой лекции) для занесения результатов в базу данных и создания полезных отчетов.
Оптимизация сети/сервера

Сканер портов покажет все сервисы, запущенные в данный момент на машине. Если это серверная машина, то, вероятно, таковых окажется много, и, возможно, не все из них на самом деле нужны для выполнения основной функции машины. Помните: чем больше сервисов, тем меньше безопасности. И все эти программы могут замедлять работу перегруженного сервера. Ненужные Web-, FTP- и DNS-серверы крадут циклы процессора у основной функции компьютера. Сканирование портов серверов с последующим анализом результатов и оптимизацией может дать немедленное увеличение скорости и сокращение времени реакции.
Выявление шпионского ПО, "троянских" программ и сетевых "червей"

Активные web-серферы нередко подцепляют на web-сайтах небольшие программы, которые пытаются отслеживать их поведение или выдавать на их компьютеры специальную всплывающую рекламу. Эти программы называются шпионским ПО, потому что нередко они пытаются следить за активностью пользователя и могут передавать собранные данные обратно на центральный сервер. Эти программы обычно не опасны, но их чрезмерное количество может существенно снизить производительность труда пользователя. Кроме того, написаны они зачастую неаккуратно и могут мешать работе других программ или даже вызывать их аварийное завершение. Они могут также помогать хакерам в поиске уязвимостей.

Другим классом сетевого программного обеспечения, которое вы определенно не хотели бы иметь в своей сети, являются "троянские" программы. Эти программы специально созданы для взлома сетей. Подобно троянскому коню из греческой мифологии, эти программы открывают хакерам и взломщикам заднюю дверь в вашу сеть. Обычно их присутствие можно обнаружить только по открытому сетевому порту, а с помощью антивирусных средств выявить их крайне сложно. Оказавшись внутри компьютера, большинство "троянских" программ пытаются вступить во внешние коммуникации, чтобы дать своему создателю или отправителю знать, что они заразили машину на этих портах. В табл. 4.2 перечислены наиболее распространенные "троянские" программы и их номера портов. Многие номера портов легко распознаваемы по определенному набору цифр (например, для NetBus это 54321, а для Back Orifice - 31337, что в хакерской кодировке читается как "элита"). В целом же троянские программы стремятся использовать порты с большими, необычными, нераспознаваемыми номерами, хотя некоторые действительно хитроумные троянцы пытаются задействовать младшие зарезервированные порты, чтобы замаскироваться под обычные сервисы.

Сетевые "черви" - особо мерзкий тип вирусов. Зачастую они снабжены сетевыми средствами и открывают порты на компьютере-"хозяине". Сетевые "черви" используют сеть для распространения и поэтому иногда выявляются при сканировании портов. Сканирование портов может стать ценным подспорьем в защите от этого вида вирусов.
Таблица. Порты, используемые наиболее распространенными троянскими программами
Номер порта IP протокол Известные "троянские" программы, использующие эти порты
12456 и 54321 TCP NetBus
23274 и 27573 TCP Sub7
31335 TCP Trin00
31337 TCP Back Orifice
31785-31791 TCP Hack 'a'Tack
33270 TCP Trinity
54321 UDP Back Orifice 2000
60000 TCP Deep Throat
65000 TCP Stacheldraht


DEPECHE MODE & RECOIL FORUM
SUPPORT FORUM WITH YOUR HARD WORK!!! ПОМОГИ ФОРУМУ СТАТЬ ИНТЕРЕСНЕЕ!
ПРАВИЛА И ПОМОЩЬ МУЗЫКА И РЕМИКСЫ

НОВОСТИ Люди, качайте музыку и видео активно, ссылки не вечны!
СКАЧАТЬdave gahan hourglass torrent dave gahan hourglass download rapidshare depeche mode скачать торрент )
 
LEXDate: Вторник, 2006-05-23, 2:17 AM | Message # 5
writer
Group: stufff
Posts: 1172
Reputation: 17
Status: ОффЛайн
Поиск неавторизованных или запрещенных сервисов

Регулирование того, что сотрудники запускают на своих компьютерах, - трудноразрешимая проблема. Хотя с помощью политик безопасности домена можно ограничить доступ к приводам гибких и компакт-дисков, остается очевидной возможность загрузки программного обеспечения из Паутины. Кроме того, сотрудникам нравится пользоваться сервисами мгновенного обмена сообщениями, такими как ICQ или AOL Instant Messenger, для общения с друзьями, родственниками и другими людьми вне вашей сети. Если разрешить эти сервисы, то необходимо учитывать риски, которые они представляют для безопасности вашей организации. Помимо снижения производительности труда сотрудников и пожирания полосы пропускания, сети мгновенного обмена сообщениями часто оказываются средой для распространения вирусов. Известно также, что в них есть ошибки, позволяющие пользователям осуществлять доступ к файлам на локальной машине. Даже если вы не разрешаете их официально, их применение бывает трудно отследить. Регулярное сканирование портов раскроет многие подобные сервисы, демонстрируя используемые ими открытые порты.

Существуют еще более вредоносные приложения, которые ваши пользователи могут пытаться запускать, например, программное обеспечение для одноранговой пересылки файлов, позволяющее связаться с тысячами других пользователей во всем мире для разделения файлов с музыкой, фильмами и компьютерными программами. Такое ПО способно потребить всю вашу полосу пропускания, если учесть, что пересылаться могут файлы размером в сотни мегабайт. Реальной становится и угроза судебного преследования вашей организации за нарушение авторских прав. В последнее время крупные медийные компании и программистские концерны все более настойчиво преследуют нелегальных распространителей файлов, а организации являются для них более крупными объектами преследования, чем отдельные люди. Разумеется, применение подобного ПО может открыть внешнему миру внутренности вашей сети, зачастую без явного уведомления сделать часть жесткого диска пользователя доступной другим пользователям. И конечно же, существует множество методов взлома и использования уязвимостей таких программ, позволяющих злоумышленникам пойти значительно дальше. Сухой остаток состоит в нежелательности использования в вашей корпоративной сети однорангового программного обеспечения. И с помощью хорошего сканера портов, к рассмотрению одного из которых мы переходим, можно идентифицировать всех пользователей подобного ПО и отключить их.
Nmap: Разносторонний сканер портов и средство идентификации ОС
Автор: Fyodor
Web-сайт: http://www.insecure.org/nmap
Платформы: FreeBSD, HP/UX, Linux, Mac OS X, OpenBSD, Solaris, Windows 95, 98, 2000, XP
Лицензия: GPL
Рассмотренная версия: 3.5-1

Nmap - вне всяких сомнений, лучший сканер портов. Его главный автор - программист с псевдонимом "Fyodor", разработки которого используются во многих других программах и портированы практически на все употребительные операционные системы. На Nmap опирается сканер уязвимостей Nessus, описанный в лекции 5. Доступно также несколько дополнений, включая программу Nlog, рассматриваемую далее в этой лекции. Достаточно сказать, что Nmap должен входить в инструментарий каждого администратора безопасности. Перечислим некоторые из основных достоинств Nmap:
У него есть множество опций. Простые сканеры портов доступны с такими средствами, как Sam Spade (см. лекцию 2), однако Nmap имеет огромное число опций, предоставляющих почти неограниченное число вариантов сканирования сети. Можно понизить частоту отправки зондирующих пакетов, если вы опасаетесь замедления работы сети, или, наоборот, повысить ее, если имеется запас ширины полосы пропускания. Опции невидимости - еще один элемент репертуара Nmap. Хотя некоторые критикуют эти опции, полагая, что они необходимы только хакерам, для них имеются законные применения. Например, если необходимо проверить, насколько чувствительной является система обнаружения вторжений. Nmap позволяет сделать это, выполняя сканирование с различными уровнями невидимости. Далее, Nmap выходит за рамки простого сканирования портов и осуществляет идентификацию ОС, что полезно при установлении соответствия между IP-адресами и машинами. В данном разделе будет рассмотрено большинство основных опций, но всего их так много, что охватить все не представляется возможным.
Он легкий, но мощный. Код Nmap невелик и будет выполняться даже на самых старых машинах (я постоянно запускаю его на Pentium 133 МГц, ОЗУ 16 МБ и уверен, что он будет работать и на более старых моделях). На самом деле, теперь он запускается даже на некоторых КПК. В небольшом объеме он концентрирует огромную энергию и без проблем сканирует очень большие сети.
Он прост в использовании. Хотя существует множество различных способов его запуска, реализуемое по умолчанию базовое сканирование SYN делает все, что требуется большинству приложений. Имеется как режим командной строки, так и графический интерфейс для UNIX и Windows, чтобы удовлетворить запросы как круглых дураков, так и тех, кому необходима графика. Он также очень хорошо документирован и поддерживается большим числом разработчиков и оперативных ресурсов.


DEPECHE MODE & RECOIL FORUM
SUPPORT FORUM WITH YOUR HARD WORK!!! ПОМОГИ ФОРУМУ СТАТЬ ИНТЕРЕСНЕЕ!
ПРАВИЛА И ПОМОЩЬ МУЗЫКА И РЕМИКСЫ

НОВОСТИ Люди, качайте музыку и видео активно, ссылки не вечны!
СКАЧАТЬdave gahan hourglass torrent dave gahan hourglass download rapidshare depeche mode скачать торрент )
 
LEXDate: Вторник, 2006-05-23, 3:44 AM | Message # 6
writer
Group: stufff
Posts: 1172
Reputation: 17
Status: ОффЛайн
The port numbers are divided into three ranges: the Well Known Ports,
the Registered Ports, and the Dynamic and/or Private Ports.

The Well Known Ports are those from 0 through 1023.

DCCP Well Known ports SHOULD NOT be used without IANA registration.
The registration procedure is defined in [RFC4340], Section 19.9.

The Registered Ports are those from 1024 through 49151

DCCP Registered ports SHOULD NOT be used without IANA registration.
The registration procedure is defined in [RFC4340], Section 19.9.

The Dynamic and/or Private Ports are those from 49152 through 65535

СПИСОК ПОРТОВ

1023 основных на 15 мая 2006 г.


DEPECHE MODE & RECOIL FORUM
SUPPORT FORUM WITH YOUR HARD WORK!!! ПОМОГИ ФОРУМУ СТАТЬ ИНТЕРЕСНЕЕ!
ПРАВИЛА И ПОМОЩЬ МУЗЫКА И РЕМИКСЫ

НОВОСТИ Люди, качайте музыку и видео активно, ссылки не вечны!
СКАЧАТЬdave gahan hourglass torrent dave gahan hourglass download rapidshare depeche mode скачать торрент )
 
  • Страница 1 из 1
  • 1
Поиск: