Najbolji alati za testiranje olovke: njuškalo i rad sa paketima. Mrežni analizatori LAN Traffic Scanner

tcpdump

Glavni alat za skoro sve kolekcije mrežnog saobraćaja je tcpdump. To je aplikacija otvorenog koda koja se instalira na gotovo sve operativne sisteme slične Unixu. Tcpdump je odličan alat za prikupljanje podataka i dolazi s vrlo moćnim mehanizmom za filtriranje. Važno je znati kako filtrirati podatke tokom prikupljanja da biste dobili dio podataka kojim se može upravljati za analizu. Snimanje svih podataka sa mrežnog uređaja, čak i na umjereno zauzetoj mreži, može stvoriti previše podataka za jednostavnu analizu.

U nekim rijetkim slučajevima, tcpdump može poslati izlaz direktno na vaš ekran, a to može biti dovoljno da pronađete ono što tražite. Na primjer, tokom pisanja članka uhvaćen je dio prometa i primjećeno je da mašina šalje promet na nepoznatu IP adresu. Ispostavilo se da je mašina slala podatke na Google IP adresu 172.217.11.142. Budući da nijedan Googleov proizvod nije lansiran, postavilo se pitanje zašto se to dešava.

Provjera sistema je pokazala sljedeće:

[ ~ ]$ ps -ef | grep google

Ostavite svoj komentar!

Utility CommView služi za prikupljanje i analizu lokalnog mrežnog i internet saobraćaja. Program hvata i dekodira podatke koji prolaze kroz mrežu do najnižeg nivoa, uključujući listu mrežnih veza i IP paketa od više od 70 najčešćih mrežnih protokola. CommViewčuva IP statistiku presretnutih paketa koji se mogu sačuvati u fajlu za kasniju analizu. Koristeći fleksibilni sistem filtera u programu, možete odbaciti nepotrebno za hvatanje paketa ili presretne samo one neophodne. VoIP modul uključen u program omogućava dubinsku analizu, snimanje i reprodukciju glasovnih poruka SIP i H.323 standarda. CommView vam omogućava da vidite detaljnu sliku informacionog saobraćaja koji prolazi kroz mrežnu karticu ili poseban mrežni segment.

Internet i skener lokalne mreže

Kao mrežni skener, program CommView će biti koristan sistemskim administratorima, ljudima koji rade u oblasti mrežne sigurnosti i programerima koji razvijaju softver koji koristi mrežne veze. Uslužni program podržava ruski jezik, ima korisničko sučelje i uključuje detaljan i razumljiv sistem pomoći za sve funkcije i mogućnosti implementirane u programu.

CommView ključne karakteristike

  • Presretanje Interneta ili lokalnog saobraćaja koji prolazi kroz mrežni adapter ili dial-up kontroler
  • Detaljna statistika IP konekcija (adrese, portovi, sesije, ime hosta, procesi, itd.)
  • Ponovno kreiranje TCP sesije
  • Postavljanje upozorenja o događajima
  • Dijagrami IP protokola i protokola višeg nivoa
  • Pogledajte uhvaćene i dekodirane pakete u realnom vremenu
  • Pretražite sadržaj presretnutih paketa pomoću niza ili HEX podataka
  • Spremanje paketa u arhivu
  • Preuzmite i pregledajte prethodno sačuvane pakete kada je veza prekinuta
  • Izvoz i uvoz arhiva sa paketima u (iz) NI Observer ili NAI Sniffer formatima
  • Dobijanje informacija o IP adresi
  • Podrška i dekodiranje protokola: ARP, BCAST, RTSP, SAP, SER, SIP, SMB, SMTP, SNA, SNMP, SNTP, BGP, BMP, CDP, DAYTIME, DDNS, DHCP, DIAG, DNS, EIGRP, FTP, G.723, GRE, H. 225, H.261, H.263, H.323, HTTP, HTTPS, 802.1Q, 802.1X, ICMP, ICQ, IGMP, IGRP, IMAP, IPsec, IPv4, IPv6, IPX, HSRP, LDAP, MS SQL, NCP , NDS, NetBIOS, NFS, NLSP, NNTP, NTP, OSPF, POP3, PPP, PPPoE, RARP, RADIUS, LDAP, MS SQL, NCP, NDS, NetBIOS, RDP, RIP, RIPX, RMCP, RPC, RSVP, RTP, RTCP, SOCKS, SPX, SSH, TCP, TELNET, TFTP, VRIJEME, TLS, UDP, VTP, WDOG, YMSG.

U nekim slučajevima, analiza mrežnog saobraćaja se koristi za otkrivanje problema u funkcionisanju mrežnog stoga hosta i mrežnih segmenata. Postoje alati koji vam omogućavaju da prikažete (slušate) i analizirate rad mreže na nivou prenesenih okvira, mrežnih paketa, mrežnih veza, datagrama i aplikacijskih protokola.

U zavisnosti od situaciji, za dijagnostiku mogu biti dostupni i promet čvora na kojem se mrežni promet sluša i promet mrežnog segmenta, porta rutera itd.. Napredne mogućnosti presretanja saobraćaja su zasnovane na "promiskuitetni" način rad mrežnog adaptera: svi okviri se obrađuju (a ne samo oni koji su namijenjeni za datu MAC adresu i emitiranje, kao u normalnom radu).

Na Ethernet mreži postoje sljedeće osnovne mogućnosti za slušanje prometa:

  • U mreži baziranoj na čvorištu, sav promet u domeni kolizije dostupan je bilo kojoj mrežnoj stanici.
  • U mrežama baziranim na mrežnim preklopnicima stanica dostupan je njen promet, kao i sav emitirani promet ovog segmenta.
  • Neki upravljani prekidači imaju mogućnost kopiranja prometa sa datog porta na port za nadzor(“zrcaljenje”, praćenje porta).
  • Upotreba posebnih sredstava (spojnica) koja su uključena u prekid mrežne veze i prenose konekcioni saobraćaj na poseban port.
  • "Trik" sa glavčinom- port komutatora čiji saobraćaj treba da se sluša se uključuje preko čvorišta, takođe povezuje monitorski čvor sa čvorištem (u ovom slučaju, u većini slučajeva, performanse mrežne veze su smanjene).

Postoje programi ( mrežni monitori ili analizatori, njuškalo), koji implementiraju funkciju slušanja mrežnog prometa (uključujući u promiskuitetnom načinu), njegovog prikaza ili upisivanja u datoteku. Dodatno, softver za analizu može filtrirati promet na osnovu pravila, dekodirati (dešifrirati) protokole, čitati statistiku i dijagnosticirati neke probleme.

Bilješka: Dobar izbor osnovnog alata za analizu mrežnog prometa grafičko okruženje je besplatan paket wireshark[43], dostupno za Windows iu spremištima nekih Linux distribucija.

tcpdump uslužni program

Uslužni program za konzolu tcpdump uključen je u većinu Unix sistema i omogućava vam da presretnete i prikažete mrežni saobraćaj [44]. Uslužni program koristi libpcap, prenosivu C/C++ biblioteku za hvatanje mrežnog prometa.

Za instaliranje tcpdump na Debian možete koristiti naredbu:

# apt-get install tcpdump

Za pokretanje ovog uslužnog programa morate imati prava superuser(posebno zbog potrebe da se mrežni adapter stavi u "promiskuitetni" način rada). Općenito, format naredbe je sljedeći:

tcpdump<опции> <фильтр-выражение>

Za izlaz iz konzole opis zaglavlja(dešifrirani podaci) presretnutih paketa, morate navesti sučelje za analizu prometa (opcija -i):

# tcpdump -i eth0

Možete onemogućiti konverziju IP adresa u imena domena (pošto veliki obim prometa stvara veliki broj zahtjeva prema DNS serveru) - opcija -n:

# tcpdump -n -i eth0

Za izlaz podataka na nivou veze (na primjer, mac adrese, itd.) koristite opciju -e:

# tcpdump -en -i eth0

Ispis dodatnih informacija (npr. TTL, IP opcije) - opcija -v:

# tcpdump -ven -i eth0

Povećanje veličine uhvaćenih paketa (više od 68 bajtova prema zadanim postavkama) - opcija -s koja ukazuje na veličinu (-s 0 - hvatanje cijelih paketa):

Upisivanje u datoteku (direktno paketi - "dump") - opcija -w koja označava naziv datoteke:

# tcpdump -w traf.dump

Čitanje paketa iz datoteke - opcija - r navodeći naziv datoteke:

# tcpdump -r traf.dump

Podrazumevano, tcpdump radi u promiskuitetnom modu. Prekidač -p govori tcpdump-u da presretne samo promet koji je namijenjen tom hostu.

Za više informacija o prekidačima i formatu tcpdump filtera, pogledajte referentni priručnik (man tcpdump).

Analiza saobraćaja na nivou mrežnog interfejsa i nivou mreže koristeći tcpdump

Za dodjelu Ethernet okvira koriste se sljedeće tcpdump konstrukcije (opći pogled):

tcpdump eter ( src | dst | host ) MAC_ADDRESS

gdje je src izvorna MAC adresa, dst- odredišna MAC adresa, host - src ili dst, kao i za isticanje emitovanog saobraćaja.

Ministarstvo obrazovanja i nauke Ruske Federacije

Državna obrazovna ustanova "Državni politehnički univerzitet Sankt Peterburga"

Čeboksarski institut za ekonomiju i menadžment (ogranak)

Departman za višu matematiku i informacione tehnologije

SAŽETAK

na predmetu „Informaciona bezbednost“.

na temu: “Analizatori mreže”

Završeno

Student 4. godine, plata 080502-51M

smjer "menadžment"

u mašinskom preduzeću"

Pavlov K.V.

Provjereno

Učitelju

Čeboksari 2011


UVOD

Ethernet mreže su stekle ogromnu popularnost zbog svoje dobre propusnosti, lakoće instalacije i razumnih troškova instaliranja mrežne opreme.
Međutim, Ethernet tehnologija nije bez značajnih nedostataka. Glavna je nesigurnost prenesenih informacija. Računari povezani na Ethernet mrežu mogu presresti informacije upućene svojim susjedima. Razlog za to je takozvani mehanizam za emitiranje poruka usvojen u Ethernet mrežama.

Povezivanje računara u mrežu razbija stare aksiome sigurnosti informacija. Na primjer, o statičkoj sigurnosti. Ranije je sistemski administrator mogao da otkrije i popravi sistemski administrator instaliranjem odgovarajućeg ažuriranja, koji je mogao da proveri funkcionalnost instalirane „zakrpe“ samo nekoliko nedelja ili meseci kasnije. Međutim, ovu „zakrpu“ je korisnik mogao ukloniti slučajno ili tokom rada, ili drugi administrator prilikom instaliranja novih komponenti. Sve se mijenja, a sada se informacione tehnologije mijenjaju tako brzo da statički sigurnosni mehanizmi više ne pružaju potpunu sigurnost sistema.

Do nedavno, glavni mehanizam za zaštitu korporativnih mreža bili su zaštitni zidovi. Međutim, zaštitni zidovi dizajnirani da zaštite informacijske resurse organizacije često se i sami pokažu kao ranjivi. To se dešava jer sistemski administratori prave toliko pojednostavljenja u pristupnom sistemu da na kraju kameni zid sigurnosnog sistema postaje pun rupa, poput sita. Zaštita zaštitnog zida (firewall) možda nije praktična za poslovne mreže s velikim prometom jer upotreba više zaštitnih zidova može značajno utjecati na performanse mreže. U nekim slučajevima, bolje je „ostaviti vrata širom otvorena“ i fokusirati se na metode za otkrivanje i reagovanje na upad u mrežu.

Za stalno (24 sata dnevno, 7 dana u nedelji, 365 dana u godini) praćenje korporativne mreže radi otkrivanja napada, dizajnirani su „aktivni” sistemi zaštite – sistemi za detekciju napada. Ovi sistemi otkrivaju napade na korporativne mrežne čvorove i odgovaraju na njih na način koji odredi administrator sigurnosti. Na primjer, prekidaju vezu sa napadačkim čvorom, obavještavaju administratora ili unose informacije o napadu u dnevnike.


1. ANALIZATORI MREŽE

1.1 IP - ALERT 1 ILI PRVI MREŽNI MONITOR

Prvo, trebalo bi da kažemo nekoliko reči o lokalnom emitovanju. U Ethernet mreži, računari povezani na nju obično dele isti kabl, koji služi kao medij za slanje poruka između njih.

Svako ko želi da prenese poruku preko zajedničkog kanala mora prvo da se uveri da je ovaj kanal slobodan u datom trenutku. Nakon što započne prenos, računar sluša noseću frekvenciju signala, određujući da li je signal izobličen kao rezultat kolizije sa drugim računarima koji istovremeno prenose svoje podatke. Ako dođe do sudara, prenos se prekida i računar „utihne“ na određeno vreme kako bi nešto kasnije pokušao da ponovi prenos. Ako računar spojen na Ethernet mrežu ne prenosi ništa sam, on ipak nastavlja da "sluša" sve poruke koje preko mreže prenose susjedni računari. Uočivši svoju mrežnu adresu u zaglavlju dolaznog podatka, kompjuter kopira ovaj dio u svoju lokalnu memoriju.

Postoje dva glavna načina za povezivanje računara na Ethernet mrežu. U prvom slučaju, računari su povezani pomoću koaksijalnog kabla. Ovaj kabl se polaže od računara do računara, povezuje se na mrežne adaptere sa konektorom u obliku slova T i završava na krajevima BNC terminatorima. Ova topologija na profesionalnom jeziku naziva se Ethernet 10Base2 mreža. Međutim, može se nazvati i mrežom u kojoj „svi svakoga čuju“. Svaki računar povezan na mrežu može presresti podatke koje drugi računar šalje preko te mreže. U drugom slučaju, svaki računar je povezan kablom upredene parice na poseban port centralnog komutacionog uređaja - čvorište ili prekidač. U takvim mrežama, zvanim Ethernet lOBaseT mreže, računari su podijeljeni u grupe koje se nazivaju kolizioni domeni. Kolizione domene definiraju portovi čvorišta ili komutatora koji su povezani na zajedničku magistralu. Kao rezultat toga, kolizije se ne dešavaju između svih računara na mreži. i odvojeno - između onih od njih koji su dio istog kolizionog domena, što povećava propusnost mreže u cjelini.

Nedavno su se u velikim mrežama počeli pojavljivati ​​novi tipovi prekidača koji ne koriste emitiranje i ne zatvaraju grupe portova jedni s drugima. Umjesto toga, svi podaci koji se šalju preko mreže se spremaju u memoriju i šalju što je prije moguće. Međutim, još uvijek postoji dosta takvih mreža - ne više od 5% od ukupnog broja mreža tipa Ethernet.

Dakle, algoritam za prijenos podataka usvojen u velikoj većini Ethernet mreža zahtijeva da svaki računar povezan na mrežu kontinuirano „sluša“ sav mrežni promet bez izuzetka. Algoritmi pristupa koje su neki predlagali, a u kojima bi računari bili isključeni iz mreže dok bi prenosili „tuđe“ poruke, ostali su nerealizovani zbog prevelike složenosti, visoke cene implementacije i niske efikasnosti.

Šta je IPAlert-1 i odakle je došao? Nekada su praktična i teorijska istraživanja autora iz oblasti proučavanja mrežne sigurnosti dovela do sljedeće ideje: na Internetu, kao i u drugim mrežama (npr. Novell NetWare, Windows NT), postojao je ozbiljan nedostatak sigurnosnog softvera koji bi kompleks kontrolu (monitoring) na nivou veze cjelokupnog toka informacija koje se prenose preko mreže u cilju otkrivanja svih vrsta udaljenih utjecaja opisanih u literaturi. Studija tržišta softvera za sigurnost mreže na Internetu otkrila je da takvi sveobuhvatni alati za daljinsko otkrivanje napada nisu postojali, a oni koji su postojali dizajnirani su za otkrivanje jedne specifične vrste napada (na primjer, ICMP Redirect ili ARP). Stoga je započet razvoj alata za praćenje segmenta IP mreže, namijenjenog korištenju na Internetu i koji je dobio sljedeći naziv: IP Alert-1 mrežni sigurnosni monitor.

Glavni zadatak ovog alata, koji programski analizira mrežni promet u prijenosnom kanalu, nije da odbije udaljene napade izvedene preko komunikacijskog kanala, već da ih otkrije i evidentira (održavanje revizorske datoteke s logovanjem u obliku prikladnom za naknadne vizualne analiza svih događaja povezanih s daljinskim napadima na dati segment mreže) i odmah upozoravanje sigurnosnog administratora ako se otkrije daljinski napad. Glavni zadatak IP Alert-1 mrežnog sigurnosnog monitora je praćenje sigurnosti odgovarajućeg internet segmenta.

IP Alert-1 mrežni sigurnosni monitor ima sljedeću funkcionalnost i omogućava, kroz analizu mreže, da otkrije sljedeće udaljene napade na segment mreže koji kontrolira:

1. Praćenje korespondencije IP i Ethernet adresa u paketima koje prenose hostovi koji se nalaze unutar kontrolisanog segmenta mreže.

Na IP Alert-1 hostu, administrator sigurnosti kreira statičku ARP tabelu, u koju unosi informacije o odgovarajućim IP i Ethernet adresama hostova koji se nalaze unutar kontrolisanog segmenta mreže.

Ova funkcija vam omogućava da otkrijete neovlaštenu promjenu IP adrese ili njenu zamjenu (tzv. IP lažiranje, lažiranje, IP-spoofing (jarg)).

2. Nadgledanje ispravne upotrebe mehanizma udaljenog ARP pretraživanja. Ova funkcija vam omogućava da otkrijete daljinski lažni ARP napad koristeći statičku ARP tablicu.

3. Nadgledanje ispravne upotrebe mehanizma udaljene DNS pretrage. Ova funkcija vam omogućava da identifikujete sve moguće vrste daljinskih napada na DNS uslugu

4. Praćenje ispravnosti pokušaja daljinskog povezivanja analizom poslanih zahtjeva. Ova funkcija vam omogućava da otkrijete, prvo, pokušaj da se istraži zakon promjene početne vrijednosti identifikatora TCP veze - ISN, drugo, daljinski napad uskraćivanja usluge koji se izvodi prelivanjem reda zahtjeva za povezivanje, i treće, usmjereni "oluja" lažnih zahtjeva za povezivanje (i TCP i UDP), što također dovodi do uskraćivanja usluge.

Dakle, IP Alert-1 mrežni sigurnosni monitor vam omogućava da otkrijete, obavijestite i snimite većinu vrsta udaljenih napada. Međutim, ovaj program ni na koji način nije konkurent Firewall sistemima. IP Alert-1, koristeći karakteristike daljinskih napada na Internetu, služi kao neophodan dodatak - inače, neuporedivo jeftiniji - Firewall sistemima. Bez sigurnosnog monitora, većina pokušaja pokretanja daljinskih napada na vaš mrežni segment ostat će skrivena od vaših očiju. Nijedan od poznatih zaštitnih zidova nije uključen u tako inteligentnu analizu poruka koje prolaze kroz mrežu kako bi identificirao različite vrste udaljenih napada, ograničavajući se, u najboljem slučaju, na vođenje dnevnika koji bilježi informacije o pokušajima pogađanja lozinke, skeniranju portova i skeniranju mreže uz korištenje poznatih programa za daljinsko pretraživanje. Stoga, ako administrator IP mreže ne želi da ostane ravnodušan i da se zadovolji ulogom jednostavnog statističara tokom daljinskih napada na svoju mrežu, onda je preporučljivo da koristi IP Alert-1 monitor mrežne sigurnosti.

Dakle, primjer IPAlert-1 pokazuje važno mjesto koje mrežni monitori zauzimaju u osiguravanju mrežne sigurnosti.

Naravno, moderni mrežni monitori podržavaju mnogo više funkcija, a njih samih ima dosta. Postoje jednostavniji sistemi, koji koštaju oko 500 dolara, ali postoje i veoma moćni sistemi opremljeni ekspertskim sistemima koji mogu da izvrše moćnu heurističku analizu, čija je cena višestruko veća - od 75 hiljada dolara.

1.2 SPOSOBNOSTI SAVREMENIH ANALIZATORA MREŽE

Moderni monitori podržavaju mnoge druge funkcije osim osnovnih po definiciji (koje sam pregledao za IP Alert-1). Na primjer, skeniranje kablova.

Statistika mreže (stopa iskorišćenja segmenta, nivo kolizije, stopa greške i nivo emitovanog saobraćaja, određivanje brzine širenja signala); Uloga svih ovih indikatora je da ako se prekorače određene granične vrijednosti, možemo govoriti o problemima u segmentu. Ovo također uključuje u literaturi provjeru legitimnosti mrežnih adaptera ako se iznenada pojavi “sumnjivi” (provjera po MAC adresi, itd.).

Statistika pogrešnih okvira. Kratki okviri su okviri koji su manji od maksimalne dužine, odnosno manji od 64 bajta. Ovaj tip okvira je podijeljen u dvije podklase - kratki okviri sa ispravnim kontrolnim sumom i kratki okviri (runtovi) koji nemaju ispravnu kontrolnu sumu. Najvjerovatniji razlog za pojavu takvih "mutanata" je kvar mrežnih adaptera. Prošireni okviri, koji su rezultat dugog prijenosa i ukazuju na probleme s adapterima. Ghost okviri, koji su rezultat smetnji na kablu. Normalna stopa greške okvira u mreži ne bi trebala biti veća od 0,01%. Ako je veći, onda ili postoje tehnički kvarovi u mreži ili je došlo do neovlaštenog upada.

Statistika sudara. Označava broj i tipove kolizija na segmentu mreže i omogućava vam da utvrdite prisustvo problema i njegovu lokaciju. Kolizije mogu biti lokalne (u jednom segmentu) i udaljene (u drugom segmentu u odnosu na monitor). Obično su sve kolizije u Ethernet mrežama udaljene. Intenzitet sudara ne bi trebao biti veći od 5%, a vrhovi iznad 20% ukazuju na ozbiljne probleme.

Postoji mnogo više mogućih funkcija, jednostavno ih je nemoguće sve nabrojati.

Želio bih napomenuti da monitori dolaze u softveru i hardveru. Međutim, oni imaju tendenciju da igraju više statističku funkciju. Na primjer, LANtern mrežni monitor. To je hardverski uređaj koji se lako instalira i koji pomaže nadzornicima i servisnim organizacijama da centralno održavaju i podržavaju mreže više dobavljača. Prikuplja statistiku i identifikuje trendove za optimizaciju performansi i proširenja mreže. Mrežne informacije se prikazuju na centralnoj konzoli za upravljanje mrežom. Stoga, hardverski monitori ne pružaju adekvatnu zaštitu informacija.

Microsoft Windows sadrži mrežni monitor (NetworkMonitor), ali sadrži ozbiljne ranjivosti, o kojima ću govoriti u nastavku.

Rice. 1. Mrežni monitor za klasu WINDOWS OS NT.

Programski interfejs je malo težak za savladavanje u hodu.

Rice. 2. Pregledajte okvire u WINDOWS Network Monitoru.

Većina proizvođača sada nastoji da njihovi monitori imaju jednostavno i korisničko sučelje. Drugi primjer je NetPeeker monitor (nije tako bogat dodatnim mogućnostima, ali ipak):

Rice. 3. korisničko sučelje NetPeeker monitora.

Navest ću primjer sučelja složenog i skupog programa NetForensics (95.000 USD):

Fig.4. NetForensics interfejs.

Postoji određeni obavezni skup "vještina" koje monitori moraju imati, prema današnjim trendovima:

1. Najmanje:

  • postavljanje šablona za filtriranje prometa;
  • centralizirano upravljanje modulima za praćenje;
  • filtriranje i analizu velikog broja mrežnih protokola, uklj. TCP, UDP i ICMP;
  • filtriranje mrežnog saobraćaja po protokolu, portovima i IP adresama pošiljaoca i primaoca;
  • abnormalni prekid veze sa napadačkim čvorom;
  • upravljanje zaštitnim zidom i ruterom;
  • postavljanje skripti za obradu napada;
  • snimanje napada radi dalje reprodukcije i analize;
  • podrška za Ethernet, Fast Ethernet i Token Ring mrežna sučelja;
  • nema potrebe za korištenjem posebnog hardvera;
  • uspostavljanje sigurne veze između komponenti sistema, kao i drugih uređaja;
  • dostupnost sveobuhvatne baze podataka o svim otkrivenim napadima;
  • minimalno smanjenje performansi mreže;
  • rad sa jednim modulom za praćenje sa nekoliko kontrolnih konzola;
  • moćan sistem za generisanje izveštaja;
  • jednostavnost upotrebe i intuitivno grafičko sučelje;
  • niske sistemske zahtjeve za softver i hardver.

2. Biti u mogućnosti kreirati izvještaje:

  • Distribucija prometa po korisnicima;
  • Distribucija prometa po IP adresama;
  • Distribucija prometa između usluga;
  • Distribucija prometa po protokolu;
  • Distribucija saobraćaja prema vrsti podataka (slike, video zapisi, tekstovi, muzika);
  • Distribucija prometa po programima koje koriste korisnici;
  • Raspodjela saobraćaja prema dobu dana;
  • Raspodjela saobraćaja po danima u sedmici;
  • Raspodjela prometa po datumima i mjesecima;
  • Distribucija prometa po stranicama koje je korisnik posjetio;
  • Greške autorizacije u sistemu;
  • Ulazi i izlazi iz sistema.

Primjeri specifičnih napada koje mrežni monitori mogu prepoznati:

"Odbijanje usluge". Svaka radnja ili slijed radnji koje dovode do kvara bilo kojeg dijela napadnutog sistema, pri čemu on prestaje da obavlja svoje funkcije. Razlog može biti neovlašten pristup, kašnjenje u servisu itd. Primjeri uključuju SYN Flood, Ping Flood, Windows Out-of-Band (WinNuke) napade, itd.

" Neovlašteno pristup " (Pokušaj neovlaštenog pristupa). Svaka radnja ili sekvenca radnji koja rezultira pokušajem čitanja datoteka ili izvršavanja naredbi na način koji zaobilazi uspostavljenu sigurnosnu politiku. Također uključuje pokušaje napadača da stekne privilegije veće od onih koje je postavio administrator sistema. Primjer bi bili FTP Root napadi, E-mail WIZ, itd. napadi.

"sonda prije napada"
Svaka radnja ili slijed radnji za dobivanje informacija IZ ili O mreži (na primjer, korisnička imena i lozinke), koje se naknadno koriste za obavljanje neovlaštenog pristupa. Primjer bi bio skeniranje portova (Skeniranje portova), skeniranje pomoću SATAN programa (SATAN skeniranje) itd.

"Sumnjiva aktivnost"
Mrežni promet koji ne spada u definiciju "standardnog" prometa. Može ukazivati ​​na sumnjivu aktivnost na mreži. Primjer bi bili događaji Duplicate IP Address, IP Unknown Protocol, itd.

"Analiza protokola" (dekodiranje protokola. Mrežna aktivnost koja se može koristiti za izvođenje jedne od gore navedenih vrsta napada. Može ukazivati ​​na sumnjivu aktivnost na mreži. Primjer bi bili događaji FTP User decode, Portmapper Proxy decode, itd.

1.3 OPASNOSTI KORIŠĆENJA MREŽNIH MONITORA

Upotreba mrežnih monitora također predstavlja potencijalne opasnosti. Makar samo zato što kroz njih prolazi ogromna količina informacija, uključujući i povjerljive informacije. Pogledajmo primjer ranjivosti koristeći prethodno spomenuti NetworkMonitor, koji je uključen u Windows NT porodicu. Ovaj monitor ima takozvani HEX panel (vidi sliku 2), koji vam omogućava da vidite podatke okvira u obliku ASCII teksta. Ovdje, na primjer, možete vidjeti nešifrirane lozinke koje lebde po mreži. Možete pokušati, na primjer, čitati pakete Eudora mail aplikacije. Nakon što provedete malo vremena, možete ih sigurno vidjeti otvorene. Međutim, uvijek morate biti na oprezu, jer enkripcija ne pomaže. Ovdje postoje dva moguća slučaja. U literaturi postoji žargonski izraz "opscenost" - to je susjed određene mašine u istom segmentu, na istom čvorištu, ili, kako se sada zove, prekidač. Dakle, ako je “napredni” “opscenost” odlučio da skenira mrežni promet i pronađe lozinke, tada administrator može lako identificirati takvog napadača, jer monitor podržava identifikaciju korisnika koji ga koriste. Sve što treba da uradite je da pritisnete dugme i pred administratorom se otvara lista „opscenih hakera“. Situacija je mnogo složenija kada se napad vrši spolja, na primjer, s interneta. Informacije koje pruža monitor su izuzetno informativne. Prikazana je lista svih snimljenih okvira, redni brojevi okvira, vremena njihovog snimanja, čak i MAC adrese mrežnih adaptera, što vam omogućava da sasvim precizno identifikujete računar. Ploča s detaljnim informacijama sadrži "unutrašnjost" okvira - opis njegovih naslova, itd. Čak će i radoznali početnik naći mnogo toga poznatog.

Spoljašnji napadi su mnogo opasniji, jer je po pravilu veoma, veoma teško identifikovati napadača. Da biste zaštitili u ovom slučaju, morate koristiti zaštitu lozinkom na monitoru. Ako je upravljački program Network Monitor instaliran, a lozinka nije postavljena, onda svako ko koristi Network Monitor iz iste distribucije (isti program) na drugom računaru može se pridružiti prvom računaru i koristiti ga za presretanje podataka na mreži. Osim toga, mrežni monitor mora osigurati mogućnost otkrivanja drugih instalacija na segmentu lokalne mreže. Međutim, i ovo ima svoju složenost. U nekim slučajevima, mrežna arhitektura može spriječiti otkrivanje jedne instalirane kopije Network Monitora od strane druge. Na primjer, ako je instalirana kopija Network Monitora odvojena od druge kopije putem rutera koji ne dozvoljava multicast poruke, tada druga kopija Network Monitora neće moći otkriti prvu.

Hakeri i drugi napadači ne gube vrijeme. Oni stalno traže sve više i više novih načina za onemogućavanje mrežnih monitora. Ispostavilo se da postoji mnogo načina, počevši od onemogućavanja monitora prepunjavanjem njegovog bafera, do činjenice da možete natjerati monitor da izvrši bilo koju komandu koju pošalje napadač.

Postoje posebne laboratorije koje analiziraju sigurnost softvera. Njihovi izvještaji su alarmantni, jer se ozbiljne povrede često pronalaze. Primjeri stvarnih nedostataka u stvarnim proizvodima:

1. RealSecure je komercijalni sistem za otkrivanje upada (IDS) iz ISS-a.

RealSecure se ponaša nestabilno kada obrađuje neke DHCP potpise (DHCP_ACK - 7131, DHCP_Discover - 7132 i DHCP_REQUEST - 7133) koji se isporučuju sa sistemom. Slanjem zlonamjernog DHCP saobraćaja, ranjivost omogućava udaljenom napadaču da poremeti program. Otkrivena ranjivost u Internet Security Systems RealSecure Network Sensor 5.0 XPU 3.4-6.5

2. Program: RealSecure 4.9 mrežni monitor

Opasnost: Visoka; prisustvo eksploatacije: Ne.

Opis: U RS je otkriveno nekoliko ranjivosti. Udaljeni korisnik može odrediti lokaciju uređaja. Udaljeni korisnik također može definirati i promijeniti konfiguraciju uređaja.

Rješenje: Instalirajte ažuriranu verziju programa. Obratite se proizvođaču.

1.4 ANALIZATORI PROTOKOLA, NJIHOVE PREDNOSTI, OPASNOSTI I METODE ZAŠTITE OD OPASNOSTI

Analizatori protokola su zasebna klasa softvera, iako su u suštini podskup mrežnih monitora. Svaki monitor ima ugrađeno najmanje nekoliko analizatora protokola. Zašto ih onda koristiti ako možete implementirati pristojniji sistem koristeći mrežne monitore? Prvo, instaliranje moćnog monitora nije uvijek preporučljivo, a drugo, ne može svaka organizacija priuštiti kupovinu jednog za hiljade dolara. Ponekad se postavlja pitanje: neće li sam monitor biti skuplji od informacija koje je dizajniran da zaštiti? U takvim (ili sličnim) slučajevima se koriste analizatori protokola u njihovom čistom obliku. Njihova uloga je slična ulozi monitora.

Mrežni adapter svakog računara na Ethernet mreži, po pravilu, „čuje“ sve o čemu „pričaju“ njegovi susedi u segmentu ove mreže među sobom. Ali on obrađuje i stavlja u svoju lokalnu memoriju samo one dijelove (tzv. okvire) podataka koji sadrže jedinstvenu adresu koja mu je dodijeljena na mreži. Osim toga, velika većina modernih Ethernet adaptera omogućava rad u posebnom režimu koji se zove promiskuitetni, kada se koristi, adapter kopira sve okvire podataka koji se prenose preko mreže u lokalnu memoriju računara. Specijalizirani programi koji mrežni adapter stavljaju u promiskuitetni način rada i prikupljaju sav mrežni promet za naknadnu analizu nazivaju se analizatori protokola.

Potonji mrežni administratori naširoko koriste za praćenje rada ovih mreža. Nažalost, analizatore protokola koriste i napadači, koji ih mogu koristiti za presretanje tuđih lozinki i drugih povjerljivih informacija.

Treba napomenuti da analizatori protokola predstavljaju ozbiljnu opasnost. Analizator protokola je mogao instalirati stranac koji je ušao u mrežu izvana (na primjer, ako mreža ima pristup Internetu). Ali ovo bi također moglo biti djelo "domaćeg" napadača sa legalnim pristupom mreži. U svakom slučaju, trenutnu situaciju treba shvatiti ozbiljno. Stručnjaci za kompjutersku bezbednost klasifikuju napade na računare koji koriste analizatore protokola kao takozvane napade drugog nivoa. To znači da je kompjuterski haker već uspio da prodre kroz sigurnosne barijere mreže i sada želi da nastavi svoj uspjeh. Koristeći analizator protokola, može pokušati presresti korisničke prijave i lozinke, osjetljive finansijske podatke (kao što su brojevi kreditnih kartica) i osjetljivu komunikaciju (kao što je e-pošta). Uz dovoljne resurse, kompjuterski napadač može, u principu, presresti sve informacije koje se prenose preko mreže.

Analizatori protokola postoje za svaku platformu. Ali čak i ako se ispostavi da analizator protokola još nije napisan za određenu platformu, prijetnja koju predstavlja napad na kompjuterski sistem korištenjem analizatora protokola i dalje se mora uzeti u obzir. Činjenica je da analizatori protokola ne analiziraju određeni računar, već protokole. Stoga se analizator protokola može instalirati u bilo koji segment mreže i odatle presresti mrežni promet koji, kao rezultat emitiranja, stiže do svakog računala spojenog na mrežu.

Najčešća meta napada kompjuterskih hakera koji koriste analizatore protokola su univerziteti. Makar samo zbog ogromnog broja različitih login imena i lozinki koje mogu biti ukradene tokom ovakvog napada. Korištenje analizatora protokola u praksi nije tako lak zadatak kao što se čini. Da bi imao koristi od analizatora protokola, kompjuterski napadač mora imati dovoljno znanja o mrežnoj tehnologiji. Nemoguće je jednostavno instalirati i pokrenuti analizator protokola, jer čak iu maloj lokalnoj mreži od pet računara promet iznosi hiljade i hiljade paketa na sat. I stoga će za kratko vrijeme izlazni podaci analizatora protokola ispuniti dostupnu memoriju do kapaciteta. Stoga, kompjuterski napadač obično konfiguriše analizator protokola da presreće samo prvih 200-300 bajtova svakog paketa koji se prenosi preko mreže. Obično se u zaglavlju paketa nalaze informacije o korisničkom korisničkom imenu i lozinki, što napadača po pravilu najviše zanima. Međutim, ako napadač ima dovoljno prostora na svom tvrdom disku, onda će mu povećanje obima prometa koji presreće samo koristiti i omogućiti mu da nauči mnogo zanimljivih stvari.

U rukama mrežnog administratora, analizator protokola je vrlo koristan alat koji mu pomaže da pronađe i riješi probleme, riješi se uskih grla koja smanjuju propusnost mreže i brzo otkrije uljeze. Kako se zaštititi od uljeza? Možemo preporučiti sljedeće. Općenito, ovi savjeti se ne odnose samo na analizatore, već i na monitore. Prvo pokušajte nabaviti mrežni adapter koji u osnovi ne može funkcionirati u promiskuitetnom načinu rada. Takvi adapteri postoje u prirodi. Neki od njih ne podržavaju promiskuitetni način rada na hardverskom nivou (ima ih manjina), a ostali su jednostavno opremljeni posebnim drajverom koji ne dozvoljava rad u promiskuitetnom modu, iako je ovaj način implementiran u hardveru. Da biste pronašli adapter koji nema promiskuitetni način rada, jednostavno kontaktirajte tehničku podršku bilo koje kompanije koja prodaje analizatore protokola i saznajte s kojim adapterima njihovi softverski paketi ne rade. Drugo, s obzirom na to da PC99 specifikacija, pripremljena u dubinama Microsoft i Intel korporacija, zahtijeva bezuslovnu prisutnost promiskuitetnog moda na mrežnoj kartici, nabaviti moderni mrežni pametni prekidač koji prenosi poruku koja se prenosi preko mreže u memoriju i šalje je, koliko je to moguće, tačno na adresu. Dakle, nema potrebe da adapter "sluša" sav promet kako bi iz njega izvukao poruke čiji je primalac ovaj računar. Treće, spriječite neovlaštenu instalaciju analizatora protokola na mrežnim računarima. Ovdje trebate koristiti alate iz arsenala koji se koriste za borbu protiv softverskih oznaka i, posebno, trojanskih programa (instaliranje zaštitnih zidova, četvrto, šifriranje cijelog mrežnog prometa). Postoji širok spektar softverskih paketa koji vam omogućavaju da to učinite prilično efikasno i pouzdano. Na primjer, mogućnost šifriranja lozinki e-pošte je omogućena dodatkom protokolu e-pošte POP (Post Office Protocol) - APOP (POP za autentifikaciju) protokola. Kada radite sa APOP-om, nova šifrovana kombinacija se prenosi preko mreže svaki put, što ne dozvoljava napadaču da izvuče nikakvu praktičnu korist od informacija presretnutih pomoću analizatora protokola. Jedini problem je što danas ne podržavaju svi mail serveri i klijenti APOP.

Drugi proizvod pod nazivom Secure Shell, ili skraćeno SSL, prvobitno je razvijen od strane legendarne finske kompanije SSH Communications Security (http://www.ssh.fi) i sada ima mnogo implementacija koje su dostupne besplatno preko Interneta. SSL je siguran protokol za siguran prijenos poruka preko računalne mreže korištenjem enkripcije.

Posebno su poznati softverski paketi dizajnirani da zaštite podatke koji se prenose putem mreže šifriranjem i ujedinjeni prisustvom u svom nazivu skraćenice PGP, što je skraćenica za Pretty Good Privacy.

Važno je napomenuti da porodica analizatora protokola uključuje dostojne domaće razvoje. Upečatljiv primjer je multifunkcionalni analizator Observer (razvijen od strane ProLAN-a).

Rice. 5. Interfejs analizatora Russian Observer.

Ali, po pravilu, većina analizatora ima mnogo jednostavnije sučelje i manje funkcija. Na primjer, Ethereal program.

Rice. 6. Interfejs stranog Ethereal analizatora.


ZAKLJUČAK

Mrežni monitori, poput analizatora protokola, su moćan i efikasan alat za administriranje računarskih mreža, jer vam omogućavaju da precizno procenite mnoge operativne parametre mreže, kao što su brzine signala, oblasti u kojima su kolizije koncentrisane, itd. Međutim, njihov glavni zadatak, s kojim se uspješno nose, jeste identifikovanje napada na računarske mreže i obavještavanje administratora o njima na osnovu analize prometa. Istovremeno, korištenje ovih softverskih alata je bremenito potencijalnom opasnošću, jer zbog činjenice da informacije prolaze kroz monitore i analizatore, može se izvršiti neovlašteno hvatanje ovih informacija. Administrator sistema treba da posveti dužnu pažnju zaštiti svoje mreže i zapamti da je kombinovana zaštita mnogo efikasnija. Trebali biste biti oprezni pri odabiru softvera za analizu prometa na osnovu stvarne cijene informacija koje bi trebalo biti zaštićene, vjerovatnoće upada, vrijednosti informacija za treće strane, dostupnosti gotovih sigurnosnih rješenja i mogućnosti budžeta organizacije. Kompetentan izbor rješenja pomoći će da se smanji vjerovatnoća neovlaštenog pristupa i neće biti previše „težak“ u smislu financiranja. Uvijek treba imati na umu da danas ne postoji savršen sigurnosni alat, a to se, naravno, odnosi i na monitore i analizatore. Uvijek treba imati na umu da bez obzira koliko je monitor savršen, neće biti spreman za nove vrste prijetnji koje nije programiran da prepozna. U skladu s tim, ne samo da biste trebali pravilno planirati zaštitu mrežne infrastrukture vašeg poduzeća, već i stalno pratiti ažuriranja softverskih proizvoda koje koristite.

LITERATURA

1. Napad na Internetu. I.D. Medvedkovsky, P.V. Semjanov, D.G. Leonov. – 3. izd., izbrisano. – M.: DMK, 2000

2. Microsoft Windows 2000. Administratorski priručnik. Serija “ITProfessional” (prevod sa engleskog). U.R. Stanek. – M.: Izdavačko-trgovinska kuća „Rusko izdanje“, 2002.

3. Osnove umrežavanja. E. Tittel, K. Hudson, J.M. Stewart. Per. sa engleskog – Sankt Peterburg: Izdavačka kuća Peter, 1999

4. Informacije o prazninama u softverskim proizvodima preuzete su iz baze podataka servera SecurityLab (www.securitylab.ru)

5. Računarske mreže. Teorija i praksa. http://network-journal.mpei.ac.ru/cgi-bin/main.pl?l=ru&n=3&pa=9&ar=1

6. Analiza mreže. Članak u 2 dijela. http://www.ru-board.com/new/article.php?sid=120

7. Elektronski rječnik telekomunikacijskih pojmova. http://europestar.ru/info/

8. Hardverske i softverske metode zaštite od daljinskih napada na Internetu. http://personal.primorye.ru/desperado/Xattack/7.2.htm

9. Sigurnost u Network Monitoru. Vodič za WindowsXP. http://www.soft32.ru/literature.shtml?topic=windows&book=WinXP&page=Glava16/Index0.htm&subpage=Glava16/Index52.htm

10. Dokumentacija za RealSecure monitor. Pruža proizvođač u elektronskom obliku na zahtjev.

11. Sigurnost računarskih sistema. Analizatori protokola. http://kiev-security.org.ua/box/12/130.shtml

12. Internet server ruskog proizvođača analizatora - kompanije “ProLAN” http://www.prolan.ru/

Opće informacije

Alati koji se nazivaju mrežni analizatori su nazvani po Sniffer Network Analyzeru. Ovaj proizvod je 1988. godine objavio Network General (sada Network Associates) i bio je jedan od prvih uređaja koji je omogućio menadžerima da doslovno saznaju šta se dešava u velikoj mreži bez napuštanja svog stola. Prvi analizatori čitaju zaglavlja poruka u paketima podataka koji se šalju preko mreže, dajući na taj način administratorima informacije o adresama pošiljaoca i primaoca, veličinama datoteka i drugim informacijama niskog nivoa. I sve ovo je pored provjere ispravnosti prijenosa paketa. Koristeći grafikone i tekstualne opise, analizatori su pomogli mrežnim administratorima da dijagnosticiraju servere, mrežne veze, čvorišta i prekidače, kao i aplikacije. Grubo govoreći, mrežni analizator sluša ili „njuši“ pakete iz određenog fizičkog segmenta mreže. Ovo vam omogućava da analizirate promet za određene obrasce, ispravite određene probleme i identificirate sumnjive aktivnosti. Sistem za otkrivanje upada u mrežu nije ništa drugo do napredni sniffer koji uparuje svaki paket na mreži s bazom podataka poznatih obrazaca zlonamjernog prometa, slično onome što antivirusni program radi s datotekama na računalu. Za razliku od prethodno opisanih alata, analizatori rade na nižem nivou.

Ako se okrenemo OSI referentnom modelu, analizatori provjeravaju dva niža nivoa - fizički i kanal.

BOS broj nivoa modela

Naziv nivoa

Primjeri protokola

Nivo 7

Aplikacioni sloj

DNS, FTP, HTTP, SMTP, SNMP, Telnet

Nivo 6

Prezentacijski sloj

Nivo 5

Nivo sesije

Nivo 4

Transportni sloj

NetBIOS, TCP, UDP

Nivo 3

Mrežni sloj

ARP, IP, IPX, OSPF

Nivo 2

Sloj veze podataka

Arcnet, Ethernet, Token ring

Nivo 1

Fizički sloj

Koaksijalni kabl, optičko vlakno, upredena parica

Fizički sloj je stvarno fizičko ožičenje ili drugi medij koji se koristi za kreiranje mreže. Na sloju veze podataka, podaci se inicijalno kodiraju za prijenos kroz određeni medij. Mrežni standardi sloja veze uključuju bežični 802.11, Arcnet, koaksijalni kabel, Ethernet, Token Ring i još mnogo toga. Analizatori obično ovise o vrsti mreže na kojoj rade. Na primjer, da biste analizirali promet na Ethernet mreži, morate imati Ethernet analizator.

Postoje komercijalni analizatori proizvođača kao što su Fluke, Network General i drugi. To su obično prilagođeni hardverski uređaji koji mogu koštati desetine hiljada dolara. Iako je ovaj hardver sposoban za detaljniju analizu, moguće je kreirati jeftin mrežni analizator koristeći softver otvorenog koda i jeftin PC računar baziran na Intelu.

Vrste analizatora

Danas se proizvodi mnogo analizatora, koji su podijeljeni u dvije vrste. Prvi uključuje samostalne proizvode instalirane na mobilnom računaru. Konsultant ga može ponijeti sa sobom prilikom posjete uredu klijenta i povezati ga na mrežu radi prikupljanja dijagnostičkih podataka.

U početku su prijenosni uređaji namijenjeni testiranju rada mreže dizajnirani isključivo za provjeru tehničkih parametara kabela. Međutim, s vremenom su proizvođači opremili svoju opremu brojnim funkcijama analizatora protokola. Moderni mrežni analizatori su u stanju da otkriju širok spektar mogućih problema - od fizičkog oštećenja kabla do preopterećenja mrežnih resursa.

Drugi tip analizatora je dio šire kategorije hardvera i softvera za praćenje mreže koji omogućava organizacijama da prate svoje lokalne i mrežne usluge šireg područja, uključujući Web. Ovi programi daju administratorima holistički pogled na zdravlje mreže. Na primjer, uz pomoć takvih proizvoda možete odrediti koje su aplikacije trenutno pokrenute, koji su korisnici registrirani na mreži i koji od njih stvara najveći dio prometa.

Pored identifikacije mrežnih karakteristika niskog nivoa, kao što su izvor paketa i njihovo odredište, moderni analizatori dekodiraju informacije dobijene na svih sedam slojeva mrežnog stoga Open System Interconnection (OSI) i često daju preporuke za rješavanje problema. Ako analiza na nivou aplikacije ne dozvoljava da se napravi adekvatna preporuka, analizatori sprovode istraživanje na nižem, mrežnom nivou.

Moderni analizatori obično podržavaju standarde za daljinsko praćenje (Rmon i Rmon 2), koji omogućavaju automatsko prikupljanje ključnih podataka o performansama, kao što su informacije o opterećenju dostupnih resursa. Analizatori koji podržavaju Rmon mogu redovno provjeravati status mrežnih komponenti i upoređivati ​​primljene podatke sa prethodno akumuliranim podacima. Ako je potrebno, izdat će upozorenje ako nivoi prometa ili performanse premaše ograničenja koja su postavili administratori mreže.

NetScout Systems je predstavio nGenius Application Service Level Manager sistem, dizajniran da prati vreme odgovora u pojedinačnim sekcijama pristupnog kanala veb lokaciji i odredi trenutne performanse servera. Ova aplikacija može analizirati performanse na javnoj mreži kako bi ponovo stvorila cjelokupnu sliku na korisnikovom računaru. Danska firma NetTest (ranije GN Nettest) počela je da nudi Fastnet, sistem za praćenje mreže koji pomaže kompanijama za e-poslovanje da planiraju kapacitet i rešavaju probleme sa mrežom.

Analiza konvergentnih (multiservisnih) mreža

Proliferacija multiservisnih mreža (konvergentne mreže) može imati odlučujući uticaj na razvoj telekomunikacionih sistema i sistema za prenos podataka u budućnosti. Ideja kombiniranja mogućnosti prijenosa podataka, glasovnih tokova i video informacija u jednoj mrežnoj infrastrukturi zasnovanoj na paketnom protokolu pokazala se vrlo primamljivom za provajdere specijalizirane za pružanje telekomunikacijskih usluga, jer trenutno može značajno proširiti domet usluga koje pružaju.

Kako korporacije počinju da shvataju efikasnost i isplativost konvergentnih IP mreža, dobavljači mrežnih alata aktivno razvijaju analizatore za to. U prvoj polovini godine mnoge kompanije su predstavile komponente za svoje proizvode za mrežnu administraciju dizajnirane za glasovne preko IP mreže.

"Konvergencija je stvorila nove složenosti s kojima se administratori mreže moraju nositi," rekao je Glenn Grossman, direktor upravljanja proizvodima u NetScout Systems. -- Glasovni saobraćaj je veoma osetljiv na vremenska kašnjenja. Analizatori mogu pogledati svaki bit i bajt koji se šalju preko žice, interpretirati zaglavlja i automatski odrediti prioritet podataka.”

Upotreba tehnologija konvergencije glasa i podataka može izazvati novi talas interesovanja za analizatore, jer prioritet saobraćaja na nivou IP paketa postaje od suštinskog značaja za rad govornih i video usluga. Na primjer, Sniffer Technologies je objavio Sniffer Voice, alat dizajniran za administratore multiservisnih mreža. Ovaj proizvod ne samo da pruža tradicionalne dijagnostičke usluge za upravljanje e-poštom, internetom i prometom baze podataka, već i identificira probleme s mrežom i preporučuje rješenja kako bi se osigurao ispravan prijenos govornog prometa preko IP mreža.

Loša strana korištenja analizatora

Treba imati na umu da postoje dvije strane medalje povezane s analizatorima. Oni pomažu u održavanju mreže, ali ih također mogu koristiti hakeri za pretraživanje paketa podataka za korisnička imena i lozinke. Da bi se spriječilo presretanje lozinke od strane analizatora, zaglavlja paketa su šifrirana (na primjer, korištenjem standarda Secure Sockets Layer).

Na kraju krajeva, nema alternative mrežnom analizatoru u situacijama kada je potrebno razumjeti šta se dešava na globalnoj ili korporativnoj mreži. Dobar analizator vam omogućava da shvatite stanje mrežnog segmenta i odredite obim saobraćaja, kao i da odredite kako taj obim varira tokom dana, koji korisnici stvaraju najveće opterećenje i u kojim situacijama dolazi do problema sa distribucijom saobraćaja ili nedostatak propusnog opsega. Zahvaljujući upotrebi analizatora, moguće je dobiti i analizirati sve podatke u segmentu mreže za određeni period.

Međutim, analizatori mreže su skupi. Ako planirate da ga kupite, prvo budite jasni šta očekujete od njega.

Osobine korištenja mrežnih analizatora

Da biste koristili analizatore mreže etički i produktivno, moraju se slijediti sljedeće smjernice.

Dozvola je uvijek potrebna

Analiza mreže, kao i mnoge druge sigurnosne karakteristike, ima potencijal za zloupotrebu. Presretanje svega podataka koji se prenose preko mreže, možete špijunirati lozinke za različite sisteme, sadržaj e-mail poruka i druge kritične podatke, kako interne tako i eksterne, budući da većina sistema ne šifrira svoj promet na lokalnoj mreži. Ako takvi podaci dođu u pogrešne ruke, to očigledno može dovesti do ozbiljnih povreda sigurnosti. To također može predstavljati kršenje privatnosti zaposlenika. Prije svega, trebali biste dobiti pismenu dozvolu od menadžmenta, po mogućnosti višeg rukovodstva, prije nego što započnete takve aktivnosti. Također biste trebali razmotriti šta ćete učiniti s podacima kada ih primite. Osim lozinki, ovo mogu biti i drugi osjetljivi podaci. Kao opšte pravilo, evidencije mrežnih analiza treba da budu očišćene iz sistema osim ako su potrebne za krivično ili građansko gonjenje. Postoje dokumentovani presedani otpuštanja dobronamernih administratora sistema zbog neovlašćenog presretanja podataka.

Morate razumjeti topologiju mreže

Prije postavljanja analizatora, potrebno je u potpunosti razumjeti fizičku i logičku organizaciju ove mreže. Izvođenjem analize na pogrešnom mjestu u mreži, možete dobiti pogrešni rezultati ili jednostavno ne pronalaženje onoga što vam je potrebno. Potrebno je provjeriti da nema rutera između analitičke radne stanice i mjesta promatranja. Ruteri će proslijediti promet u mrežni segment samo ako postoji poziv čvoru koji se tamo nalazi. Slično tome, na komutiranoj mreži, morat ćete konfigurirati port na koji se povezujete kao "monitor" ili "mirror" port. Različiti proizvođači koriste različitu terminologiju, ali u suštini port treba da djeluje kao čvorište, a ne kao prekidač, jer mora vidjeti sav promet koji prolazi kroz komutator, a ne samo onaj usmjeren na radnu stanicu. Bez ove postavke, port monitora će vidjeti samo ono što je usmjereno na port na koji je povezan i mrežni promet.

Morate koristiti stroge kriterije pretraživanja

U zavisnosti od toga šta želite da pronađete, korišćenje otvorenog filtera (to jest, prikazivanje svega) će učiniti izlaz velikim i teškim za analizu. Bolje je koristiti posebne kriterije pretraživanja kako bi se smanjio izlaz koji analizator proizvodi. Čak i ako ne znate tačno šta da tražite, ipak možete napisati filter da ograničite rezultate pretrage. Ako trebate pronaći internu mašinu, ispravno je postaviti kriterije da se gledaju samo izvorne adrese unutar date mreže. Ako trebate pratiti određenu vrstu prometa, recimo FTP promet, možete ograničiti rezultate samo na ono što dolazi na port koji koristi aplikacija. Na taj način možete postići znatno bolje rezultate analize.

Postavljanje referentnog stanja mreže

Korišćenje analizatora mreže tokom normalnog rada , a snimanjem konačnih rezultata postiže se referentno stanje koje se može porediti sa rezultatima dobijenim tokom pokušaja izolacije problema. Ethereal analizator o kojem se govori u nastavku daje neke zgodne izvještaje za ovo. Također će se dobiti neki podaci za praćenje korištenja mreže tokom vremena. Koristeći ove podatke, možete odrediti kada je mreža zasićena i koji su glavni razlozi za to - preopterećen server, povećanje broja korisnika, promjena vrste prometa itd. Ako postoji polazna tačka, lakše je shvatiti ko je za šta kriv.

POVEZANI ČLANCI