tcpdump
Peaaegu kõigi võrguliikluse kogude peamine tööriist on tcpdump. See on avatud lähtekoodiga rakendus, mis installitakse peaaegu kõikidesse Unixi-laadsetesse operatsioonisüsteemidesse. Tcpdump on suurepärane andmete kogumise tööriist ja sellel on väga võimas filtreerimismootor. Oluline on teada, kuidas andmeid kogumise ajal filtreerida, et saada analüüsimiseks hallatav andmeosa. Kõigi andmete hõivamine võrguseadmest isegi mõõdukalt hõivatud võrgus võib lihtsaks analüüsiks luua liiga palju andmeid.
Mõningatel harvadel juhtudel võib tcpdump väljastada väljundi otse teie ekraanile ja sellest võib piisata otsitava leidmiseks. Näiteks artiklit kirjutades tabati liiklust ja märgati, et masin saadab liiklust tundmatule IP-aadressile. Selgus, et masin saatis andmeid Google'i IP-aadressile 172.217.11.142. Kuna Google'i tooteid turule ei lastud, tekkis küsimus, miks see nii juhtus.
Süsteemi kontroll näitas järgmist:
[ ~ ]$ ps -ef | grep googleJäta oma kommentaar!
Kasulikkus CommView teenindab kohaliku võrgu ja Interneti liikluse kogumiseks ja analüüsimiseks. Programm kogub ja dekodeerib võrku läbivad andmed madalaimale tasemele, sealhulgas võrguühenduste loendi ja enam kui 70 levinuima võrguprotokolli IP-pakettide loendi. CommView hoiab kinni IP-statistikat, saab salvestada faili hilisemaks analüüsiks. Kasutades programmis paindlikku filtrisüsteemi, saate mittevajaliku ära visata pakettide püüdmiseks või peatada ainult vajalikud. Programmis sisalduv VoIP moodul võimaldab SIP ja H.323 standardite häälteadete süvaanalüüsi, salvestamist ja taasesitamist. CommView võimaldab näha detailset pilti võrgukaarti või eraldi võrgusegmenti läbivast infoliiklusest.
Interneti- ja kohaliku võrgu skanner
Võrguskannerina on CommView programm kasulik süsteemiadministraatoritele, võrguturbe valdkonnas töötavatele inimestele ja programmeerijatele, kes arendavad võrguühendusi kasutavat tarkvara. Utiliit toetab vene keelt, sellel on kasutajasõbralik liides ning see sisaldab üksikasjalikku ja arusaadavat abisüsteemi kõigi programmis rakendatud funktsioonide ja võimaluste jaoks.
 |
CommView põhifunktsioonid
- Interneti- või kohaliku liikluse pealtkuulamine, mis läbib võrguadapterit või sissehelistamiskontrollerit
- IP-ühenduste üksikasjalik statistika (aadressid, pordid, seansid, hostinimi, protsessid jne)
- TCP-seansi taasloomine
- Sündmuste märguannete seadistamine
- IP-protokollide ja kõrgema taseme protokollide skeemid
- Vaadake jäädvustatud ja dekodeeritud pakette reaalajas
- Otsige pealtkuulatud pakettide sisust stringi või HEX-andmete järgi
- Pakkide salvestamine arhiivi
- Laadige alla ja vaadake varem salvestatud pakette, kui ühendus katkeb
- Arhiivide eksport ja import koos pakettidega NI Observeri või NAI Snifferi vormingus
- IP-aadressi kohta teabe hankimine
- Protokolli tugi ja dekodeerimine: ARP, BCAST, RTSP, SAP, SER, SIP, SMB, SMTP, SNA, SNMP, SNTP, BGP, BMP, CDP, DAYTIME, DDNS, DHCP, DIAG, DNS, EIGRP, FTP, G.723, GRE, H. 225, H.261, H.263, H.323, HTTP, HTTPS, 802.1Q, 802.1X, ICMP, ICQ, IGMP, IGRP, IMAP, IPsec, IPv4, IPv6, IPX, HSRP, LDAP, MS SQL, NCP , NDS, NetBIOS, NFS, NLSP, NNTP, NTP, OSPF, POP3, PPP, PPPoE, RARP, RADIUS, LDAP, MS SQL, NCP, NDS, NetBIOS, RDP, RIP, RIPX, RMCP, RPC, RSVP, RTP, RTCP, SOCKS, SPX, SSH, TCP, TELNET, TFTP, AEG, TLS, UDP, VTP, WDOG, YMSG.
 |
Mõnel juhul kasutatakse võrguliikluse analüüsi, et tuvastada probleeme hosti ja võrgusegmentide võrguvirna toimimises. On olemas tööriistad, mis võimaldavad kuvada (kuulata) ja analüüsida võrgu tööd edastatud kaadrite, võrgupakettide, võrguühenduste, datagrammide ja rakendusprotokollide tasemel..
Sõltuvalt sellest, olukorras, saab diagnostika jaoks kättesaadavaks olla nii selle sõlme liiklus, millel võrguliiklust kuulatakse, kui ka võrgusegmendi, ruuteri pordi jne liiklus. Täiustatud liikluse pealtkuulamise võimalused põhinevad "promiscuous" režiim võrguadapteri töö: töödeldakse kõiki kaadreid (ja mitte ainult neid, mis on mõeldud antud MAC-aadressile ja levitatakse, nagu tavatöös).
Etherneti võrgus on liikluse kuulamiseks järgmised põhivõimalused:
- Jaoturipõhises võrgus on kogu põrkedomeeni liiklus saadaval mis tahes võrgujaamale.
- Võrkudes, mis põhinevad võrgujaamade lülititel, on selle liiklus ja kogu selle segmendi leviedastus saadaval.
- Mõned hallatavad lülitid suudavad kopeerida liiklust antud pordist jälgimisporti("peegeldamine", sadama jälgimine).
- Spetsiaalsete vahendite (muhvide) kasutamine, mis sisalduvad võrguühenduse katkemises ja edastavad ühenduse liikluse eraldi porti.
- Rummuga "trikk".- kommutaatori port, mille liiklust on vaja kuulata, lülitatakse sisse läbi jaoturi, ühendades jaoturiga ka monitori sõlme (sel juhul enamikul juhtudel võrguühenduse jõudlus väheneb).
Seal on programmid ( võrgumonitorid või analüsaatorid, nuusutaja), mis rakendavad võrguliikluse kuulamise (sh promiscuous režiimis), kuvamise või faili kirjutamise funktsiooni. Lisaks saab analüüsitarkvara filtreerida liiklust reeglite alusel, dekodeerida (dešifreerida) protokolle, lugeda statistikat ja diagnoosida mõningaid probleeme.
Märge: hea valik põhitööriista võrguliikluse analüüsimiseks graafiline keskkond on tasuta pakett wireshark[43], saadaval Windowsi jaoks ja mõnede Linuxi distributsioonide hoidlates.
tcpdump utiliit
Konsooliutiliit tcpdump sisaldub enamikes Unixi süsteemides ja võimaldab võrguliiklust pealt kuulata ja kuvada [44]. Utiliit kasutab võrguliikluse hõivamiseks kaasaskantavat C/C++ teeki libpcap.
Tcpdump installimiseks Debianile saate kasutada käsku:
# apt-get install tcpdump
Selle utiliidi käitamiseks peavad teil olema õigused superkasutaja(eriti vajaduse tõttu panna võrguadapter "promiscuous" režiimi). Üldiselt on käsuvorming järgmine:
tcpdump<опции> <фильтр-выражение>
Konsooli väljundiks päise kirjeldus(dekrüptitud andmed) pealtkuulatud pakettide puhul peate määrama liiklusanalüüsi liidese (valik -i):
# tcpdump -i eth0
Saate keelata IP-aadresside teisendamise domeeninimedeks (kuna suured liiklusmahud loovad DNS-serverisse suure hulga päringuid) - valik -n:
# tcpdump -n -i eth0
Lingi tasemel andmete (nt mac-aadresside jne) väljastamiseks kasutage suvandit -e:
# tcpdump -en -i eth0
Lisateabe printimine (nt TTL, IP-suvandid) - valik -v:
# tcpdump -ven -i eth0
Püütud pakettide suuruse suurendamine (vaikimisi rohkem kui 68 baiti) - suvand -s, mis näitab suurust (-s 0 - hõivab terved paketid):
Faili kirjutamine (otse paketid - "dump") - valik -w, mis näitab faili nime:
# tcpdump -w traf.dump
Pakkide lugemine failist - valik - r, mis määrab failinime:
# tcpdump -r traf.dump
Vaikimisi töötab tcpdump valimatus režiimis. Lüliti -p käsib tcpdumpil kinni pidada ainult sellele hostile mõeldud liiklust.
Lisateavet tcpdump filtri lülitite ja vormingu kohta leiate kasutusjuhendist (man tcpdump).
Liiklusanalüüs võrguliidese tasemel ja võrgu tasemel, kasutades tcpdumpi
Etherneti raamide eraldamiseks kasutatakse järgmisi tcpdump konstruktsioone (üldvaade):
tcpdump eeter ( src | dst | host ) MAC_ADDRESS
kus src on allika MAC-aadress, dst- sihtkoha MAC-aadress, host - src või dst, samuti saateliikluse esiletõstmiseks.
Vene Föderatsiooni haridus- ja teadusministeerium
Riiklik õppeasutus "Peterburi Riiklik Polütehniline Ülikool"
Cheboksary majandus- ja juhtimisinstituut (filiaal)
Kõrgema matemaatika ja infotehnoloogia osakond
ABSTRAKTNE
kursusel “Infoturve”.
teemal: "Võrguanalüsaatorid"
Lõpetatud
4. kursuse üliõpilane, palk 080502-51M
erialal "juhtimine"
masinaehitusettevõttes"
Pavlov K.V.
Kontrollitud
Õpetaja
Cheboksary 2011
SISSEJUHATUS
Etherneti võrgud on saavutanud tohutu populaarsuse tänu oma heale läbilaskevõimele, paigaldamise lihtsusele ja võrguseadmete paigaldamise mõistlikele kuludele.
Etherneti tehnoloogial pole aga olulisi puudusi. Peamine neist on edastatava teabe ebaturvalisus. Etherneti võrku ühendatud arvutid suudavad pealt kuulata naabritele suunatud teavet. Selle põhjuseks on Etherneti võrkudes kasutusele võetud nn leviedastusmehhanism.
Arvutite võrku ühendamine murrab infoturbe vanad aksioomid. Näiteks staatilise turvalisuse kohta. Varem võis süsteemihaavatavuse avastada ja parandada vastava värskenduse installimisega süsteemiadministraator, kes sai installitud “plaastri” funktsionaalsust kontrollida alles mitu nädalat või kuud hiljem. Kuid selle "plaastri" võis eemaldada kasutaja kogemata või töö ajal või mõni muu administraator uute komponentide installimisel. Kõik muutub ja nüüd muutuvad infotehnoloogiad nii kiiresti, et staatilised turvamehhanismid ei taga enam täielikku süsteemi turvalisust.
Kuni viimase ajani olid peamiseks mehhanismiks ettevõtete võrkude kaitsmiseks tulemüürid. Organisatsiooni inforessursside kaitseks loodud tulemüürid osutuvad aga sageli ise haavatavaks. See juhtub seetõttu, et süsteemiadministraatorid teevad läbipääsusüsteemis nii palju lihtsustusi, et lõpuks saab turvasüsteemi kivisein nagu sõel auke täis. Tulemüüri (tulemüüri) kaitse ei pruugi suure liiklusega ettevõttevõrkude puhul olla otstarbekas, kuna mitme tulemüüri kasutamine võib võrgu jõudlust märkimisväärselt mõjutada. Mõnel juhul on parem jätta uksed pärani lahti ja keskenduda võrgu sissetungimise tuvastamise ja neile reageerimise meetoditele.
Ettevõtte võrgu pidevaks (24 tundi ööpäevas, 7 päeva nädalas, 365 päeva aastas) jälgimiseks rünnete tuvastamiseks on loodud “aktiivsed” kaitsesüsteemid - rünnakute tuvastamise süsteemid. Need süsteemid tuvastavad rünnakud ettevõtte võrgusõlmedele ja reageerivad neile turbeadministraatori määratud viisil. Näiteks katkestavad nad ühenduse ründava sõlmega, teavitavad administraatorit või sisestavad logidesse info rünnaku kohta.
1. VÕRGUANALÜÜSID
1.1 IP - HOIATUS 1 VÕI ESIMESE VÕRGUMONITOR
Esiteks peaksime ütlema paar sõna kohaliku ringhäälingu kohta. Etherneti võrgus jagavad sellega ühendatud arvutid tavaliselt sama kaablit, mis toimib nendevahelise sõnumite saatmise kandjana.
Igaüks, kes soovib sõnumit ühiskanali kaudu edastada, peab esmalt veenduma, et see kanal on antud ajahetkel vaba. Pärast edastamise alustamist kuulab arvuti signaali kandesagedust, tehes kindlaks, kas signaal on moonutatud kokkupõrke tagajärjel teiste arvutitega, mis samal ajal oma andmeid edastavad. Kokkupõrke korral edastus katkeb ja arvuti teatud ajaks “vaikib”, et proovida ülekannet veidi hiljem korrata. Kui Etherneti võrku ühendatud arvuti ise midagi ei edasta, jätkab ta sellegipoolest kõigi naaberarvutite poolt võrgu kaudu edastatavate sõnumite "kuulamist". Olles märganud oma võrguaadressi sissetulevate andmete päises, kopeerib arvuti selle osa kohalikku mällu.
Arvutite Etherneti võrku ühendamiseks on kaks peamist viisi. Esimesel juhul ühendatakse arvutid koaksiaalkaabli abil. See kaabel asetatakse arvutist arvutisse, ühendades võrguadapteritega T-kujulise pistikuga ja lõppedes otstes BNC-terminaatoritega. Seda topoloogiat nimetatakse professionaalses keeles Ethernet 10Base2 võrguks. Seda võib aga nimetada ka võrgustikuks, milles "kõik kuulevad kõiki". Iga võrku ühendatud arvuti on võimeline pealt püüdma teise arvuti poolt selle võrgu kaudu saadetud andmeid. Teisel juhul on iga arvuti ühendatud keerdpaarkaabli abil tsentraalse lülitusseadme - jaoturi või lüliti - eraldi pordiga. Sellistes võrkudes, mida nimetatakse Etherneti lOBaseT võrkudeks, jagatakse arvutid rühmadesse, mida nimetatakse põrkedomeenideks. Kokkupõrke domeenid on määratletud jaoturi või kommutaatori pordidega, mis on ühendatud ühise siiniga. Seetõttu ei teki kokkupõrkeid kõigi võrgus olevate arvutite vahel. ja eraldi - nende vahel, mis kuuluvad samasse põrkedomeeni, mis suurendab võrgu kui terviku läbilaskevõimet.
Hiljuti on suurtesse võrkudesse hakanud ilmuma uut tüüpi lülitid, mis ei kasuta ringhäälingut ega sulge pordigruppe koos. Selle asemel puhverdatakse kõik võrgu kaudu saadetud andmed mällu ja saadetakse niipea kui võimalik. Selliseid võrke on siiski üsna vähe - mitte rohkem kui 5% Etherneti tüüpi võrkude koguarvust.
Seega nõuab valdavas enamuses Etherneti võrkudes kasutatav andmeedastusalgoritm, et iga võrku ühendatud arvuti peab pidevalt "kuulama" kogu võrguliiklust ilma eranditeta. Mõnede inimeste pakutud juurdepääsualgoritmid, mille puhul arvutid ühendatakse võrgust lahti, edastades samal ajal "teiste inimeste" sõnumeid, jäid realiseerimata nende liigse keerukuse, kõrgete juurutamiskulude ja madala efektiivsuse tõttu.
Mis on IPAlert-1 ja kust see tuli? Kunagi viisid autorite praktilised ja teoreetilised uurimused võrguturbe uurimisega seotud valdkonnas järgmise ideeni: Internetis, aga ka teistes võrkudes (näiteks Novell NetWare, Windows NT) oli tõsine puudus turvatarkvarast, mis seda teeks keeruline kogu võrgu kaudu edastatava teabevoo juhtimine (seire) lingi tasandil, et tuvastada kõik kirjanduses kirjeldatud kaugmõjude liigid. Interneti-võrgu turvatarkvara turu uuring näitas, et selliseid kõikehõlmavaid kaugrünnakute tuvastamise tööriistu ei eksisteerinud ja need, mis olid olemas, olid loodud ühte kindlat tüüpi rünnakute tuvastamiseks (näiteks ICMP ümbersuunamine või ARP). Seetõttu alustati IP-võrgu segmendi jälgimistööriista väljatöötamist, mis on mõeldud kasutamiseks Internetis ja sai järgmise nime: IP Alert-1 võrguturbe monitor.
Selle edastuskanalis programmiliselt võrguliiklust analüüsiva tööriista põhiülesanne ei ole mitte tõrjuda sidekanali kaudu sooritatavaid kaugrünnakuid, vaid neid tuvastada ja logida (auditifaili pidamine koos logimisega hilisemaks visuaalseks kasutamiseks mugavas vormis). kõigi antud võrgusegmendi kaugrünnakutega seotud sündmuste analüüs) ja kaugründe tuvastamise korral koheselt turbeadministraatorile märku andmine. IP Alert-1 võrgu turvamonitori põhiülesanne on jälgida vastava interneti segmendi turvalisust.
IP Alert-1 võrguturbemonitoril on järgmised funktsioonid ja see võimaldab võrguanalüüsi abil tuvastada järgmised kaugrünnakud selle kontrollitavale võrgusegmendile:
1. IP ja Etherneti aadresside vastavuse jälgimine pakettides, mida edastavad kontrollitud võrgusegmendis asuvad hostid.
IP Alert-1 hostis loob turbeadministraator staatilise ARP-tabeli, kuhu ta sisestab teabe kontrollitud võrgusegmendis asuvate hostide vastavate IP- ja Ethernet-aadresside kohta.
See funktsioon võimaldab tuvastada IP-aadressi volitamata muudatuse või selle asendamise (nn IP-spoofing, spoofing, IP-spoofing (jarg)).
2. ARP kaugotsingu mehhanismi õige kasutamise jälgimine. See funktsioon võimaldab tuvastada staatilise ARP-tabeli abil vale ARP-i kaugrünnaku.
3. DNS-i kaugotsingu mehhanismi õige kasutamise jälgimine. See funktsioon võimaldab tuvastada kõiki võimalikke DNS-teenuse kaugrünnakute tüüpe
4. Kaugühenduskatsete õigsuse jälgimine edastatud päringute analüüsimise teel. See funktsioon võimaldab esiteks tuvastada katse uurida TCP-ühenduse identifikaatori - ISN-i algväärtuse muutmise seadust, teiseks kaugteenuse keelamise rünnakut, mis viiakse läbi ühendusetaotluse järjekorra ületäitumisel, ja kolmandaks suunatud Valeühenduse taotluste (nii TCP kui ka UDP) "torm", mis viib ka teenuse keelamiseni.
Seega võimaldab IP Alert-1 võrgu turvamonitor tuvastada, teavitada ja salvestada enamikku kaugrünnakute tüüpe. See programm ei ole aga mingil juhul tulemüürisüsteemide konkurent. IP Alert-1, mis kasutab Interneti-kaugrünnakute funktsioone, on tulemüürisüsteemide jaoks vajalik lisand - muide, võrreldamatult odavam. Ilma turvamonitorita jääb enamik teie võrgusegmendi kaugrünnakuid teie silme eest varjatuks. Ükski teadaolevatest tulemüüridest ei tegele niivõrd intelligentse võrku läbivate sõnumite analüüsiga, et tuvastada erinevat tüüpi kaugrünnakuid, piirdudes parimal juhul logi pidamisega, mis salvestab teavet parooli arvamise katsete, pordi skaneerimise ja võrgukontrolli kohta. tuntud kaugotsinguprogrammide abil. Seega, kui IP-võrgu administraator ei soovi jääda ükskõikseks ja rahulduda oma võrgu kaugrünnakute ajal lihtsa statisti rolliga, on tal soovitatav kasutada IP Alert-1 võrgu turvamonitori.
Seega näitab IPAlert-1 näide, kui oluline koht on võrgumonitoritel võrgu turvalisuse tagamisel.
Muidugi toetavad kaasaegsed võrgumonitorid palju rohkem funktsioone ja neid on ka ise päris palju. On lihtsamaid süsteeme, mis maksavad umbes 500 dollarit, kuid on ka väga võimsaid süsteeme, mis on varustatud ekspertsüsteemidega, mis suudavad läbi viia võimsa heuristilise analüüsi, nende maksumus on kordades kõrgem - alates 75 tuhandest dollarist.
1.2 KAASAEGSTE VÕRGUANALÜÜSIJATE VÕIMALUSED
Kaasaegsed monitorid toetavad palju muid funktsioone peale nende põhifunktsioonide definitsiooni järgi (mida ma vaatasin üle IP Alert-1 jaoks). Näiteks kaabli skaneerimine.
võrgustatistika (segmendi kasutusmäär, kokkupõrke tase, veamäär ja leviedastuse tase, signaali levikiiruse määramine); Kõigi nende näitajate roll on see, et teatud läviväärtuste ületamisel saame rääkida segmendi probleemidest. See hõlmab ka kirjanduses võrguadapterite legitiimsuse kontrollimist, kui äkki ilmub "kahtlane" (kontroll MAC-aadressi järgi jne).
Vigaste raamide statistika. Lühikesed kaadrid on kaadrid, mis on maksimaalsest pikkusest väiksemad, st alla 64 baidi. Seda tüüpi raamid jagunevad kahte alamklassi – õige kontrollsummaga lühikesed kaadrid ja õige kontrollsummata lühikesed kaadrid (runts). Selliste "mutantide" ilmumise kõige tõenäolisem põhjus on võrguadapterite rike. Pikendatud raamid, mis on pika ülekande tulemus ja viitavad probleemidele adapteritega. Kummitusraamid, mis on kaabli häirete tagajärg. Tavaline kaadri veamäär võrgus ei tohiks olla suurem kui 0,01%. Kui see on kõrgem, siis on võrgus tehnilisi rikkeid või on toimunud volitamata sissetung.
Kokkupõrke statistika. Näitab kokkupõrgete arvu ja tüüpe võrgusegmendis ning võimaldab määrata probleemi olemasolu ja selle asukoha. Kokkupõrked võivad olla kohalikud (ühes segmendis) ja kauged (monitori suhtes teises segmendis). Tavaliselt on kõik Etherneti võrkude kokkupõrked kauged. Kokkupõrgete intensiivsus ei tohiks ületada 5% ja tipud üle 20% viitavad tõsistele probleemidele.
Võimalikke funktsioone on palju rohkem, neid kõiki on lihtsalt võimatu loetleda.
Tahaksin märkida, et monitorid on nii tarkvara kui ka riistvaraga. Siiski kipuvad nad mängima rohkem statistilist funktsiooni. Näiteks LANterni võrgumonitor. See on hõlpsasti paigaldatav riistvaraseade, mis aitab järelevalveasutustel ja teenindusorganisatsioonidel keskselt hooldada ja toetada mitme müüjaga võrke. See kogub statistikat ja tuvastab suundumusi, et optimeerida võrgu jõudlust ja laiendamist. Võrguteave kuvatakse kesksel võrguhalduskonsoolil. Seega ei paku riistvaramonitorid piisavat teabekaitset.
Microsoft Windows sisaldab võrgumonitori (NetworkMonitor), kuid see sisaldab tõsiseid turvaauke, mida käsitlen allpool.
Riis. 1. Võrgumonitor WINDOWS OS NT klassi jaoks.
Programmi liidest on käigupealt veidi keeruline omandada.
Riis. 2. Vaadake kaadreid rakenduses WINDOWS Network Monitor.
Enamik tootjaid püüab nüüd muuta oma monitoridele lihtsa ja kasutajasõbraliku liidese. Teine näide on NetPeekeri monitor (mitte nii rikas lisavõimaluste poolest, kuid siiski):
Riis. 3. NetPeekeri monitori kasutajasõbralik liides.
Toon näite keeruka ja kalli NetForensics programmi (95 000 dollarit) liidese kohta:
Joonis 4. NetForensicsi liides.
Praeguste suundumuste kohaselt peavad monitoridel olema teatud kohustuslikud oskused:
1. Vähemalt:
- liikluse filtreerimise mallide seadistamine;
- jälgimismoodulite tsentraliseeritud haldamine;
- suure hulga võrguprotokollide filtreerimine ja analüüs, sh. TCP, UDP ja ICMP;
- võrguliikluse filtreerimine saatja ja saaja protokolli, portide ja IP-aadresside järgi;
- ebanormaalne ühenduse katkemine ründava sõlmega;
- tulemüüri ja ruuteri haldus;
- rünnakute töötlemise skriptide seadistamine;
- rünnaku salvestamine edasiseks taasesituseks ja analüüsiks;
- Etherneti, Fast Etherneti ja Token Ringi võrguliideste tugi;
- ei nõuta spetsiaalse riistvara kasutamist;
- turvalise ühenduse loomine süsteemi komponentide ja muude seadmete vahel;
- kõigi tuvastatud rünnete tervikliku andmebaasi kättesaadavus;
- võrgu jõudluse minimaalne vähenemine;
- töötada ühe jälgimismooduliga mitmest juhtkonsoolist;
- võimas aruannete genereerimise süsteem;
- kasutusmugavus ja intuitiivne graafiline liides;
- madalad süsteeminõuded tarkvarale ja riistvarale.
2. Oskate luua aruandeid:
- Liikluse jaotus kasutajate kaupa;
- Liikluse jaotamine IP-aadresside järgi;
- Liikluse jaotus teenuste vahel;
- Liiklusjaotus protokolli järgi;
- Liiklusjaotus andmetüüpide järgi (pildid, videod, tekstid, muusika);
- Liikluse jaotamine kasutajate kasutatavate programmide järgi;
- Liikluse jaotus kellaaja järgi;
- Liiklusjaotus nädalapäevade kaupa;
- Liikluse jaotus kuupäevade ja kuude kaupa;
- Liikluse jaotamine kasutaja külastatud saitide vahel;
- autoriseerimisvead süsteemis;
- Süsteemi sisenemised ja väljumised.
Näited konkreetsetest rünnetest, mida võrgumonitorid võivad ära tunda:
"Teenusest keeldumine". Mis tahes toiming või toimingute jada, mis põhjustab rünnatava süsteemi mis tahes osa rikke, mille käigus see lakkab oma funktsioone täitmast. Põhjuseks võib olla volitamata juurdepääs, teenuse viivitus vms. Näiteks SYN Flood, Ping Flood, Windowsi ribavälised (WinNuke) rünnakud jne.
" Volitamata juurdepääs " (volituseta juurdepääsu katse). Mis tahes toiming või toimingute jada, mille tulemuseks on katse lugeda faile või täita käske viisil, mis eirab kehtestatud turbepoliitikat. Hõlmab ka ründaja katseid saada suuremaid õigusi kui süsteemiadministraatori poolt määratud. Näiteks võiks tuua FTP Root, E-mail WIZ jne rünnakud.
"Rünnakeelne sond"
Mis tahes toiming või toimingute jada teabe saamiseks võrgust või võrgu kohta (näiteks kasutajanimed ja paroolid), mida hiljem kasutatakse volitamata juurdepääsuks. Näiteks võib tuua portide skannimise (Port scan), skannimise programmi SATAN abil (SATAN scan) jne.
"Kahtlane tegevus"
Võrguliiklus, mis jääb "standardse" liikluse määratlusest välja. Võib viidata võrgus toimuvale kahtlasele tegevusele. Näiteks võib tuua sündmused Duplicate IP Address, IP Unknown Protocol jne.
"Protokolli analüüs" (protokolli dekodeerimine. Võrgutegevus, mida saab kasutada ühe ülalnimetatud rünnete sooritamiseks. Võib viidata võrgus toimuvale kahtlasele tegevusele. Näiteks võib tuua FTP kasutaja dekodeerimise, Portmapperi puhverserveri dekodeerimise jms sündmused.
1.3 VÕRGUMONITORITE KASUTAMISE OHUD
Võimalikke ohte kujutab ka võrgumonitoride kasutamine. Kasvõi juba sellepärast, et neid liigub läbi tohutul hulgal infot, sealhulgas konfidentsiaalset infot. Vaatame haavatavuse näidet, kasutades eelmainitud NetworkMonitori, mis kuulub Windows NT perekonda. Sellel monitoril on nn HEX-paneel (vt joon. 2), mis võimaldab näha kaadriandmeid ASCII teksti kujul. Siin näete näiteks krüptimata paroole võrgus vedelemas. Proovida saab näiteks Eudora meilirakenduse pakette lugeda. Kui olete veidi aega veetnud, näete neid turvaliselt avatuna. Siiski peate alati olema valvel, kuna krüpteerimine ei aita. Siin on kaks võimalikku juhtumit. Kirjanduses on slängi termin "nilbus" - see on teatud masina naaber samas segmendis, samas jaoturis või, nagu seda praegu nimetatakse, lüliti. Seega, kui "arenenud" "nilbus" otsustas võrguliiklust skannida ja paroole välja püüda, saab administraator sellise ründaja hõlpsalt tuvastada, kuna monitor toetab seda kasutavate kasutajate tuvastamist. Piisab, kui vajutada nuppu ja administraatori ees avaneb “sündsate häkkerite” nimekiri. Olukord on palju keerulisem, kui rünnak viiakse läbi väljastpoolt, näiteks Internetist. Monitori pakutav teave on äärmiselt informatiivne. Kuvatakse kõigi jäädvustatud kaadrite loend, kaadrite järjekorranumbrid, nende hõivamise ajad, isegi võrguadapterite MAC-aadressid, mis võimaldab teil arvutit üsna konkreetselt tuvastada. Üksikasjalik teabepaneel sisaldab raami "sisekülgi" - selle pealkirjade kirjeldust jne. Isegi uudishimulik algaja leiab siit palju tuttavat.
Välised rünnakud on palju ohtlikumad, kuna reeglina on ründajat väga-väga raske tuvastada. Sel juhul kaitsmiseks peate monitoril kasutama paroolikaitset. Kui Network Monitori draiver on installitud ja parool pole seadistatud, saavad kõik, kes kasutavad võrgumonitori samast distributsioonist (samast programmist) teises arvutis, liituda esimese arvutiga ja kasutada seda võrgus olevate andmete pealtkuulamiseks. Lisaks peab võrgumonitor võimaldama tuvastada teisi kohaliku võrgu segmendi installimisi. Kuid ka sellel on oma keerukus. Mõnel juhul võib võrguarhitektuur takistada võrgumonitori ühe installitud koopia tuvastamist teise poolt. Näiteks kui installitud Network Monitori koopia eraldab teisest koopiast ruuter, mis ei luba multisaadete saatmist, ei suuda Network Monitori teine koopia esimest tuvastada.
Häkkerid ja teised ründajad ei raiska aega. Nad otsivad pidevalt uusi ja uusi võimalusi võrgumonitoride keelamiseks. Selgub, et on palju võimalusi, alustades monitori keelamisest puhvri ületäitumisega, lõpetades sellega, et saate sundida monitori täitma mis tahes ründaja saadetud käsku.
Tarkvara turvalisust analüüsivad spetsiaalsed laborid. Nende teated on murettekitavad, sest tõsiseid rikkumisi leitakse üsna sageli. Näited tõelistest lünkadest tegelikes toodetes:
1. RealSecure on ISS-i kaubanduslik sissetungituvastussüsteem (IDS).
RealSecure käitub süsteemiga kaasasolevate DHCP-allkirjade (DHCP_ACK - 7131, DHCP_Discover - 7132 ja DHCP_REQUEST - 7133) töötlemisel ebastabiilselt. Pahatahtlikku DHCP-liiklust saates võimaldab haavatavus kaugründajal programmi häirida. Internet Security Systems RealSecure Network Sensor 5.0 XPU 3.4–6.5 avastati haavatavus
2. Programm: RealSecure 4.9 võrgumonitor
Oht: kõrge; ärakasutamise olemasolu: ei.
Kirjeldus: RS-is on avastatud mitmeid turvaauke. Kaugkasutaja saab määrata seadme asukoha. Kaugkasutaja saab määrata ja muuta ka seadme konfiguratsiooni.
Lahendus.: installige programmi värskendatud versioon. Võtke ühendust tootjaga.
1.4 PROTOKOLL-ANALÜÜSID, NENDE EELISED, OHUD JA OHTUDE EEST KAITSE MEETODID
Protokolli analüsaatorid on eraldi tarkvaraklass, kuigi need on sisuliselt võrgumonitoride alamhulk. Igal monitoril on vähemalt mitu protokolli analüsaatorit sisse ehitatud. Miks neid siis kasutada, kui saate võrgumonitoride abil rakendada korralikuma süsteemi? Esiteks pole võimsa monitori paigaldamine alati soovitatav ja teiseks ei saa iga organisatsioon endale lubada tuhandete dollarite eest seda osta. Mõnikord tekib küsimus: kas monitor ise ei ole kallim kui teave, mille kaitsmiseks see on mõeldud? Just sellistel (või sarnastel) juhtudel kasutatakse protokollanalüsaatoreid puhtal kujul. Nende roll on sarnane monitoride rolliga.
Iga Etherneti võrgu arvuti võrguadapter "kuuleb" reeglina kõike, millest selle võrgu segmendi naabrid omavahel "räägivad". Kuid see töötleb ja paigutab kohalikku mällu ainult neid andmete osi (nn kaadreid), mis sisaldavad talle võrgus määratud unikaalset aadressi. Lisaks sellele võimaldab valdav enamus kaasaegseid Etherneti adaptereid töötada spetsiaalses režiimis, mida nimetatakse promiscuousiks, mille kasutamisel kopeerib adapter kõik võrgu kaudu edastatavad andmeraamid arvuti kohalikku mällu. Spetsiaalseid programme, mis panevad võrguadapteri promiscuous režiimi ja koguvad kogu võrguliikluse järgnevaks analüüsiks, nimetatakse protokolli analüsaatoriteks.
Viimaseid kasutavad võrguadministraatorid laialdaselt nende võrkude töö jälgimiseks. Kahjuks kasutavad protokollianalüsaatoreid ka ründajad, kes saavad neid kasutada teiste inimeste paroolide ja muu konfidentsiaalse teabe pealtkuulamiseks.
Tuleb märkida, et protokolli analüsaatorid kujutavad endast tõsist ohtu. Protokollianalüsaatori võis paigaldada väljastpoolt võrku sisenenud kõrvaline isik (näiteks kui võrgul on juurdepääs Internetile). Kuid see võib olla ka "kodukasvatatud" ründaja töö, kellel on võrgule seaduslik juurdepääs. Igal juhul tuleks praegust olukorda tõsiselt võtta. Arvutiturbeeksperdid liigitavad protokollianalüsaatorite abil arvutite vastu suunatud rünnakud nn teise taseme rünneteks. See tähendab, et arvutihäkker on juba suutnud võrgu turvabarjääridest läbi tungida ja soovib nüüd oma edule tugineda. Protokolli analüsaatorit kasutades võib see püüda pealt kuulata kasutajate sisselogimisi ja paroole, tundlikke finantsandmeid (nt krediitkaardinumbreid) ja tundlikku suhtlust (nt e-post). Piisavate ressursside olemasolul saab arvutiründaja põhimõtteliselt kinni püüda kogu võrgu kaudu edastatava teabe.
Protokolli analüsaatorid on olemas iga platvormi jaoks. Kuid isegi kui selgub, et konkreetsele platvormile pole protokollianalüsaatorit veel kirjutatud, tuleb ikkagi arvestada ohuga, mida kujutab endast protokollanalüsaatorit kasutava arvutisüsteemi ründamine. Fakt on see, et protokolli analüsaatorid analüüsivad mitte konkreetset arvutit, vaid protokolle. Seetõttu saab protokolli analüsaatori paigaldada igasse võrgusegmenti ja sealt pealt kinni püüda võrguliiklust, mis leviedastuste tulemusena jõuab iga võrku ühendatud arvutini.
Protokollianalüsaatoreid kasutavate arvutihäkkerite rünnakute levinumad sihtmärgid on ülikoolid. Kasvõi juba selle tõttu, et sellise rünnaku käigus võidakse varastada tohutul hulgal erinevaid sisselogimisi ja paroole. Protokollianalüsaatori kasutamine praktikas ei ole nii lihtne ülesanne, kui võib tunduda. Protokolli analüsaatorist kasu saamiseks peavad arvutiründajal olema piisavad teadmised võrgutehnoloogiast. Protokollianalüsaatorit pole võimalik lihtsalt installida ja käivitada, kuna isegi väikeses, viiest arvutist koosnevas kohalikus võrgus ulatub liiklus tuhandete ja tuhandete pakettideni tunnis. Seetõttu täidavad protokolli analüsaatori väljundandmed lühikese aja jooksul vaba mälu. Seetõttu konfigureerib arvutiründaja tavaliselt protokolli analüsaatori nii, et igast võrgu kaudu edastatavast paketist püütakse kinni ainult esimesed 200–300 baiti. Tavaliselt asub paketi päises teave kasutaja sisselogimise nime ja parooli kohta, mis reeglina ründajale kõige rohkem huvi pakub. Kui aga ründaja kõvakettal on piisavalt ruumi, tuleb pealtkuulatava liikluse suurendamine talle ainult kasuks ja võimaldab õppida palju huvitavat.
Võrguadministraatori käes on protokollianalüsaator väga kasulik tööriist, mis aitab tal probleeme üles leida ja tõrkeotsingut teha, vabaneda võrgu läbilaskevõimet vähendavatest kitsaskohtadest ning sissetungijaid kiiresti avastada. Kuidas end sissetungijate eest kaitsta? Saame soovitada järgmist. Üldiselt kehtivad need näpunäited mitte ainult analüsaatorite, vaid ka monitoride kohta. Esmalt proovige hankida võrguadapter, mis põhimõtteliselt ei saa lubamatus režiimis töötada. Sellised adapterid on looduses olemas. Mõned neist ei toeta riistvaratasandil lubamatut režiimi (neid on vähemus) ja ülejäänud on lihtsalt varustatud spetsiaalse draiveriga, mis ei võimalda lubamatus režiimis töötada, kuigi see režiim on riistvaras rakendatud. Adapteri leidmiseks, millel pole promiscuous-režiimi, võtke lihtsalt ühendust mis tahes protokollianalüsaatoreid müüva ettevõtte tehnilise toega ja uurige, milliste adapteritega nende tarkvarapaketid ei tööta. Teiseks, arvestades, et Microsofti ja Inteli korporatsioonide sügavuses koostatud PC99 spetsifikatsioon nõuab võrgukaardil tingimusteta promiskuuse režiimi olemasolu, ostke kaasaegne võrgu nutikas lüliti, mis puhverdab võrgu kaudu edastatud sõnumi mällu ja saadab selle, võimaluse korral täpselt aadressile . Seega pole adapteril vaja kogu liiklust “kuulama”, et sealt sõnumeid, mille adressaat on see arvuti, ammutada. Kolmandaks vältige protokollianalüsaatorite volitamata installimist võrguarvutitesse. Siin peaksite kasutama arsenali tööriistu, mida kasutatakse tarkvara järjehoidjate ja eriti trooja programmide vastu võitlemiseks (tulemüüride installimine). Seal on lai valik tarkvarapakette, mis võimaldavad seda teha üsna tõhusalt ja usaldusväärselt. Näiteks e-posti paroolide krüptimise võimalust pakub POP (Post Office Protocol) meiliprotokolli lisand – APOP (Authentication POP) protokoll. APOP-iga töötades edastatakse iga kord üle võrgu uus krüpteeritud kombinatsioon, mis ei võimalda ründajal protokollianalüsaatori abil pealtkuulatud infost praktilist kasu saada. Ainus probleem on see, et tänapäeval ei toeta kõik meiliserverid ja kliendid APOP-i.
Teise toote nimega Secure Shell ehk lühemalt SSL arendas algselt Soome legendaarne ettevõte SSH Communications Security (http://www.ssh.fi) ja nüüdseks on sellel palju rakendusi, mis on Interneti kaudu tasuta saadaval. SSL on turvaline protokoll sõnumite turvaliseks edastamiseks arvutivõrgu kaudu krüptimist kasutades.
Eriti tuntud on tarkvarapaketid, mis on loodud võrgu kaudu edastatavate andmete kaitsmiseks krüptimise teel ja mida ühendab nende nimes sisalduv lühend PGP, mis tähendab Pretty Good Privacy.
Tähelepanuväärne on see, et protokollianalüsaatorite perekonda kuuluvad väärt kodumaised arendused. Ilmekas näide on multifunktsionaalne Observeri analüsaator (arendatud ProLAN).
Riis. 5. Russian Observeri analüsaatori liides.
Kuid reeglina on enamikul analüsaatoritel palju lihtsam liides ja vähem funktsioone. Näiteks programm Etheral.
Riis. 6. Välismaise Etherali analüsaatori liides.
KOKKUVÕTE
Võrgumonitorid, nagu protokollianalüsaatorid, on võimas ja tõhus tööriist arvutivõrkude haldamiseks, kuna võimaldavad täpselt hinnata paljusid võrgu tööparameetreid, nagu signaali kiirused, kokkupõrked koondunud alad jne. Nende põhiülesanne, millega nad edukalt toime tulevad, on aga liiklusanalüüsi põhjal arvutivõrkude rünnakute tuvastamine ja nendest administraatori teavitamine. Samal ajal on nende tarkvaratööriistade kasutamine täis potentsiaalset ohtu, kuna kuna teave liigub läbi monitoride ja analüsaatorite, võib seda teavet teha volitamata. Süsteemiadministraator peab pöörama piisavalt tähelepanu oma võrgu kaitsmisele ja meeles pidama, et kombineeritud kaitse on palju tõhusam. Liiklusanalüüsi tarkvara valimisel peaksite olema ettevaatlik, lähtudes kaitstava teabe tegelikust maksumusest, sissetungimise tõenäosusest, teabe väärtusest kolmandate isikute jaoks, valmis turvalahenduste kättesaadavusest ja võimalustest. organisatsiooni eelarvest. Pädev lahenduse valik aitab vähendada volitamata juurdepääsu tõenäosust ega ole rahastamise mõttes liiga "raske". Peaksite alati meeles pidama, et tänapäeval pole täiuslikku turvatööriista olemas ja see kehtib loomulikult monitoride ja analüsaatorite kohta. Peaksite alati meeles pidama, et ükskõik kui täiuslik monitor ka poleks, ei ole see valmis uut tüüpi ohtudeks, mida see ei ole programmeeritud ära tundma. Seetõttu peaksite mitte ainult korralikult planeerima oma ettevõtte võrguinfrastruktuuri kaitset, vaid ka pidevalt jälgima kasutatavate tarkvaratoodete värskendusi.
KIRJANDUS
1. Rünnak Internetis. I.D. Medvedkovski, P.V. Semjanov, DG. Leonov. – 3. väljaanne, kustutatud. – M.: DMK, 2000
2. Microsoft Windows 2000. Administraatori käsiraamat. Sari “ITProfessional” (inglise keelest tõlgitud). U.R. Stanek. – M.: Kirjastus ja kaubandusmaja “Vene väljaanne”, 2002.
3. Võrgustiku põhialused. E. Tittel, K. Hudson, J.M. Stewart. Per. inglise keelest – Peterburi: Peter Publishing House, 1999
4. Teave tarkvaratoodete lünkade kohta on võetud SecurityLabi serveri andmebaasist (www.securitylab.ru)
5. Arvutivõrgud. Teooria ja praktika. http://network-journal.mpei.ac.ru/cgi-bin/main.pl?l=ru&n=3&pa=9&ar=1
6. Võrgu analüüs. Artikkel 2 osas. http://www.ru-board.com/new/article.php?sid=120
7. Elektrooniline telekommunikatsiooniterminite sõnastik. http://europestar.ru/info/
8. Riist- ja tarkvarameetodid kaitseks Interneti kaugrünnakute eest. http://personal.primorye.ru/desperado/Xattack/7.2.htm
9. Turvalisus võrgumonitoris. Õpetus WindowsXP kohta. http://www.soft32.ru/literature.shtml?topic=windows&book=WinXP&page=Glava16/Index0.htm&subpage=Glava16/Index52.htm
10. RealSecure monitori dokumentatsioon. Tootja esitab nõudmisel elektroonilisel kujul.
11. Arvutisüsteemide turvalisus. Protokolli analüsaatorid. http://kiev-security.org.ua/box/12/130.shtml
12. Venemaa analüsaatorite arendaja - firma “ProLAN” Interneti-server http://www.prolan.ru/
Üldine informatsioon
Tööriistad, mida nimetatakse võrguanalüsaatoriteks, on oma nime saanud Sniffer Network Analyzeri järgi. Selle toote andis välja 1988. aastal Network General (nüüd Network Associates) ja see oli üks esimesi seadmeid, mis võimaldasid juhtidel sõna otseses mõttes saada teavet suures võrgus toimuva kohta töölaualt lahkumata. Esimesed analüsaatorid loevad võrgu kaudu saadetud andmepakettide sõnumipäiseid, pakkudes seeläbi administraatoritele teavet saatja ja adressaadi aadresside, failisuuruste ja muu madala taseme teabe kohta. Ja kõik see on lisaks pakettide edastamise õigsuse kontrollimisele. Graafikuid ja tekstikirjeldusi kasutades aitasid analüsaatorid võrguadministraatoritel diagnoosida servereid, võrgulinke, jaotureid ja lüliteid, aga ka rakendusi. Jämedalt öeldes kuulab või nuusutab võrguanalüsaator võrgu konkreetsest füüsilisest segmendist pärit pakette. See võimaldab teil analüüsida liiklust teatud mustrite suhtes, parandada teatud probleeme ja tuvastada kahtlane tegevus. Võrgu sissetungi tuvastamise süsteem pole midagi muud kui täiustatud nuusutaja, mis võrdleb iga võrgupaketti pahatahtliku liikluse teadaolevate mustrite andmebaasiga, sarnaselt sellele, mida viirusetõrjeprogramm arvutis olevate failidega teeb. Erinevalt varem kirjeldatud tööriistadest töötavad analüsaatorid madalamal tasemel.
Kui pöördume OSI etalonmudeli poole, kontrollivad analüsaatorid kahte madalamat taset – füüsilist ja kanalit.
|
BOS mudeli taseme number |
Taseme nimi |
Protokollide näited |
|
7. tase |
Rakenduskiht |
DNS, FTP, HTTP, SMTP, SNMP, Telnet |
|
6. tase |
Esitluskiht |
|
|
5. tase |
Seansi tase |
|
|
4. tase |
Transpordikiht |
NetBIOS, TCP, UDP |
|
3. tase |
Võrgukiht |
ARP, IP, IPX, OSPF |
|
2. tase |
Andmelingi kiht |
Arcnet, Ethernet, Token ring |
|
1. tase |
Füüsiline kiht |
Koaksiaalkaabel, optiline kiud, keerdpaar |
Füüsiline kiht on tegelik füüsiline juhtmestik või muu võrgu loomiseks kasutatav meedium. Andmesidekihis kodeeritakse andmed algselt edastamiseks läbi konkreetse meediumi. Linkkihi võrgustandardite hulka kuuluvad traadita 802.11, Arcnet, koaksiaalkaabel, Ethernet, Token Ring ja palju muud. Analüsaatorid sõltuvad tavaliselt võrgu tüübist, milles nad töötavad. Näiteks Etherneti võrgu liikluse analüüsimiseks peab teil olema Etherneti analüsaator.
On kaubandusliku kvaliteediga analüsaatoreid sellistelt tootjatelt nagu Fluke, Network General jt. Need on tavaliselt kohandatud riistvaraseadmed, mis võivad maksta kümneid tuhandeid dollareid. Kuigi see riistvara on võimeline põhjalikumaks analüüsiks, on avatud lähtekoodiga tarkvara ja odava Inteli-põhise arvuti abil võimalik luua odav võrguanalüsaator.
Analüsaatorite tüübid
Tänapäeval toodetakse palju analüsaatoreid, mis jagunevad kahte tüüpi. Esimene hõlmab mobiilsesse arvutisse installitud eraldiseisvaid tooteid. Konsultant saab selle kliendi kontorit külastades kaasa võtta ja diagnostikaandmete kogumiseks võrku ühendada.
Algselt olid võrgu toimimise testimiseks mõeldud kaasaskantavad seadmed mõeldud eranditult kaabli tehniliste parameetrite kontrollimiseks. Kuid aja jooksul on tootjad oma seadmed varustanud mitmete protokollianalüsaatori funktsioonidega. Kaasaegsed võrguanalüsaatorid suudavad tuvastada väga erinevaid võimalikke probleeme – alates kaabli füüsilisest kahjustusest kuni võrguressursside ülekoormuseni.
Teist tüüpi analüsaatorid on osa laiemast võrguseire riist- ja tarkvara kategooriast, mis võimaldab organisatsioonidel jälgida oma koht- ja laivõrguteenuseid, sealhulgas veebi. Need programmid annavad administraatoritele tervikliku ülevaate võrgu seisundist. Näiteks saate selliste toodete abil kindlaks teha, millised rakendused praegu töötavad, millised kasutajad on võrku registreeritud ja millised neist genereerivad suurema osa liiklusest.
Lisaks madalatasemeliste võrguomaduste (nt pakettide allika ja nende sihtkoha) tuvastamisele dekodeerivad kaasaegsed analüsaatorid OSI (Open System Interconnection) võrgupinu kõigil seitsmel kihil saadud teavet ja pakuvad sageli soovitusi probleemide tõrkeotsinguks. Kui rakenduse tasemel analüüs ei võimalda anda adekvaatset soovitust, viivad analüsaatorid läbi uuringud madalamal, võrgutasandil.
Kaasaegsed analüsaatorid toetavad tavaliselt kaugseire standardeid (Rmon ja Rmon 2), mis pakuvad automaatset peamiste jõudlusandmete hankimist, näiteks teavet saadaolevate ressursside koormuse kohta. Rmoni toetavad analüsaatorid saavad regulaarselt kontrollida võrgukomponentide olekut ja võrrelda saadud andmeid varem kogutud andmetega. Vajadusel annavad nad hoiatuse, kui liikluse tase või jõudlus ületavad võrguadministraatorite seatud piiranguid.
NetScout Systems tutvustas nGenius Application Service Level Manager süsteemi, mis on loodud jälgima reageerimisaega veebisaidi juurdepääsukanali üksikutes osades ja määrama serverite praegust jõudlust. See rakendus saab analüüsida jõudlust avalikus võrgus, et luua kasutaja arvutis üldpilt. Taani ettevõte NetTest (endine GN Nettest) on hakanud pakkuma Fastneti, võrgu jälgimissüsteemi, mis aitab e-äri ettevõtetel planeerida võimsust ja võrguprobleemide tõrkeotsingut.
Konvergentsete (mitmeteenuseliste) võrkude analüüs
Multiteenusvõrkude (konvergeeritud võrkude) levik võib tulevikus otsustavalt mõjutada telekommunikatsioonisüsteemide ja andmeedastussüsteemide arengut. Idee kombineerida andmete, kõnevoogude ja videoteabe edastamise võimalus ühtses pakettprotokollil põhinevas võrguinfrastruktuuris osutus telekommunikatsiooniteenuste pakkumisele spetsialiseerunud pakkujate jaoks väga ahvatlevaks, kuna see võib ulatust koheselt oluliselt laiendada. pakutavatest teenustest.
Kuna ettevõtted hakkavad mõistma koondunud IP-võrkude tõhusust ja kulukasu, arendavad võrgutööriistade müüjad selleks aktiivselt analüsaatoreid. Aasta esimesel poolel tutvustasid paljud ettevõtted oma võrguhaldustoodete komponente, mis on mõeldud IP-kõnevõrkude jaoks.
"Lähenemine on loonud uusi keerulisi probleeme, millega võrguadministraatorid peavad tegelema," ütles NetScout Systemsi tootehalduse direktor Glenn Grossman. -- Kõneliiklus on ajaliste viivituste suhtes väga tundlik. Analüsaatorid saavad vaadata iga juhtme kaudu saadetud bitti ja baiti, tõlgendada päiseid ja määrata automaatselt andmete prioriteedi.
Kõne- ja andmekonvergentsi tehnoloogiate kasutamine võib tekitada analüsaatorite vastu uue huvilaine, kuna liikluse prioriseerimine IP-paketi tasemel muutub kõne- ja videoteenuste toimimiseks hädavajalikuks. Näiteks on Sniffer Technologies välja andnud tööriistakomplekti Sniffer Voice, mis on mõeldud mitme teenusega võrkude administraatoritele. See toode ei paku mitte ainult traditsioonilisi diagnostikateenuseid meili-, Interneti- ja andmebaasiliikluse haldamiseks, vaid tuvastab ka võrguprobleemid ja soovitab lahendusi kõneliikluse õige edastamise tagamiseks IP-võrkude kaudu.
Analüsaatorite kasutamise negatiivne külg
Tuleb meeles pidada, et analüsaatoritega on seotud mündi kaks külge. Need aitavad võrgu töös hoida, kuid häkkerid saavad neid kasutada ka kasutajanimede ja paroolide andmepakettide otsimiseks. Parooli pealtkuulamise vältimiseks analüsaatorite poolt krüpteeritakse pakettide päised (näiteks kasutades Secure Sockets Layer standardit).
Lõpuks pole võrguanalüsaatorile alternatiivi olukordades, kus on vaja aru saada, mis globaalses või ettevõtte võrgus toimub. Hea analüsaator võimaldab teil mõista võrgusegmendi seisundit ja määrata liikluse mahtu, samuti teha kindlaks, kuidas see maht päeva jooksul muutub, millised kasutajad loovad kõige suurema koormuse ning millistes olukordades on probleeme liikluse jaotusega või ribalaiuse nappus. Tänu analüsaatori kasutamisele on võimalik hankida ja analüüsida kõiki võrgusegmendi andmeid antud perioodi kohta.
Võrguanalüsaatorid on aga kallid. Kui plaanite seda osta, tehke kõigepealt selgeks, mida sellelt ootate.
Võrguanalüsaatorite kasutamise omadused
Võrguanalüsaatorite eetiliseks ja produktiivseks kasutamiseks tuleb järgida järgmisi juhiseid.
Luba on alati vaja
Võrguanalüüsil, nagu paljudel muudel turvafunktsioonidel, on võimalik väärkasutamine. Kõige pealtkuulamine Võrgu kaudu edastatavate andmete põhjal saate luurata erinevate süsteemide paroole, meilisõnumite sisu ja muid olulisi andmeid, nii sisemisi kui ka väliseid, kuna enamik süsteeme ei krüpteeri oma liiklust kohalikus võrgus. Kui sellised andmed satuvad valedesse kätesse, võib see ilmselgelt kaasa tuua tõsiseid turvarikkumisi. See võib olla ka töötajate privaatsuse rikkumine. Esiteks peaksite enne sellise tegevuse alustamist saama juhtkonnalt, eelistatavalt kõrgema juhtkonna kirjaliku loa. Samuti peaksite kaaluma, mida teha andmetega pärast nende kättesaamist. Lisaks paroolidele võivad need olla muud tundlikud andmed. Üldreeglina tuleks võrguanalüüsi logid süsteemist kustutada, välja arvatud juhul, kui neid on vaja kriminaal- või tsiviilsüüdistuse esitamiseks. On dokumenteeritud pretsedente, kus heatahtlikud süsteemiadministraatorid on volitamata andmete pealtkuulamise tõttu vallandatud.
Peate mõistma võrgu topoloogiat
Enne analüsaatori seadistamist on vaja täielikult mõista selle võrgu füüsilist ja loogilist korraldust. Tehes analüüsi vales kohas võrgus, saate ekslikud tulemused või lihtsalt ei leia seda, mida vajate. Tuleb kontrollida, et analüüsiva tööjaama ja vaatluskoha vahel ei oleks ruutereid. Ruuterid suunavad liiklust võrgusegmendile ainult siis, kui seal asuvale sõlmele helistatakse. Samamoodi peate kommuteeritud võrgus konfigureerima pordi, millega ühendate, "monitori" või "peegli" pordina. Erinevad tootjad kasutavad erinevat terminoloogiat, kuid sisuliselt peab port toimima pigem jaoturi kui kommutaatorina, kuna see peab nägema kogu kommutaatori kaudu kulgevat liiklust, mitte ainult seda, mis on suunatud tööjaama. Ilma selle sätteta näeb monitori port ainult seda, mis on suunatud porti, millega see on ühendatud, ja võrguedastusliiklust.
Peab kasutama rangeid otsingukriteeriume
Sõltuvalt sellest, mida soovite leida, muudab avatud filtri kasutamine (st kõike näitamine) väljundi suureks ja raskesti analüüsitavaks. Analüsaatori väljundi vähendamiseks on parem kasutada spetsiaalseid otsingukriteeriume. Isegi kui te ei tea täpselt, mida otsida, saate ikkagi kirjutada otsingutulemuste piiramiseks filtri. Kui teil on vaja leida sisemine masin, on õige seada kriteeriumid, et vaadata ainult antud võrgu lähteaadresse. Kui teil on vaja jälgida teatud tüüpi liiklust, näiteks FTP-liiklust, saate piirata tulemusi ainult sellega, mis jõuab rakenduse kasutatavasse porti. Seda tehes on võimalik saavutada oluliselt paremaid analüüsitulemusi.
Võrgu võrdlusoleku määramine
Võrguanalüsaatori kasutamine tavatöö ajal , ning lõpptulemuste salvestamisega saavutatakse võrdlusseisund, mida saab võrrelda probleemi eraldamise katsete käigus saadud tulemustega. Allpool käsitletav Ethereal analüsaator koostab selle jaoks mõned käepärased aruanded. Teatud andmed saadakse ka võrgu kasutamise jälgimiseks aja jooksul. Nende andmete abil saate kindlaks teha, millal võrk on küllastunud ja mis on selle peamised põhjused - ülekoormatud server, kasutajate arvu kasv, liikluse tüübi muutus jne. Kui lähtepunkt on olemas, on lihtsam aru saada, kes milles süüdi on.
