tcpdump

Основним інструментом багатьох зборів мережевого трафіку є tcpdump . Ця програма з відкритим вихідним кодом, яка встановлюється практично у всіх Unix-подібних операційних системах. Tcpdump - відмінний інструмент для збору даних та поставляється з дуже потужним механізмом фільтрації. Важливо знати, як фільтрувати дані під час збору, щоб отримати керований фрагмент даних для аналізу. Захоплення всіх даних із мережного пристрою навіть у помірно завантаженій мережі може створити надто багато даних для простого аналізу.

У деяких поодиноких випадках tcpdump дозволяє виводити результат роботи безпосередньо на ваш екран, і цього може бути цілком достатньо, щоб знайти те, що ви шукаєте. Наприклад, при написанні статті було захоплено деякий трафік і помічено, що машина відправляє трафік на невідому IP-адресу. Виявляється, машина надсилала дані на IP-адресу Google 172.217.11.142. Оскільки не було запущено жодних продуктів Google, виникло питання, чому це відбувається.

Перевірка системи показала таке:

[~]$ps-ef | grep google

Залишіть свій коментар!

Утиліта CommViewслужить для збору та аналізу трафіку локальної мережі та інтернету. Програма захоплює і декодує до найнижчого рівня дані, включаючи список мережевих з'єднань і IP пакети більше 70 найбільш поширених мережевих протоколів. CommViewведе IP статистику, перехоплені пакети можна зберегти файл для подальшого аналізу. Використовуючи в програмі гнучку систему фільтрів, можна відкидати непотрібні. для захоплення пакетичи перехоплювати виключно необхідні. Модуль VoIP, що входить до складу програми, дозволяє проводити глибокий аналіз, запис і відтворення голосових повідомлень стандартів SIP і H.323. CommView дозволяє побачити докладну картину мережі, що проходить через мережеву карту або окремий сегмент мережі інформаційного трафіку.

Сканер інтернету та локальної мережі

Як мережевий сканер програма CommView стане в нагоді системним адміністраторам, людям, які працюють в галузі мережевої безпеки, програмістам, які розробляють програмне забезпечення, що використовує мережеві з'єднання. Утиліта підтримує російську мову, має дружній інтерфейс, включає докладну і зрозумілу довідкову систему за всіма реалізованими в програмі функціями і можливостями.

Основні можливості CommView

• Перехоплення інтернету або локального трафіку, що проходить через мережевий адаптер або dial-up контролер
• Детальна статистика IP з'єднань (адреси, порти, сесії, ім'я хоста, процеси тощо)
• Відтворення TCP сесії
• Налаштування попереджень про події
• Діаграми IP протоколів та протоколів верхнього рівня
• Перегляд захоплених та декодованих пакетів у режимі реального часу
• Пошук у вмісті перехоплених пакетів за рядками або HEX даними
• Збереження пакетів до архівів
• Завантаження та перегляд раніше збережених пакетів при вимкненому з'єднанні
• Експорт та імпорт архівів з пакетами в (із) форматів NI Observer або NAI Sniffer
• Отримання інформації про IP адресу
• Підтримка та декодування протоколів: ARP, BCAST, RTSP, SAP, SER, SIP, SMB, SMTP, SNA, SNMP, SNTP, BGP, BMP, CDP, DAYTIME, DDNS, DHCP, DIAG, DNS, EIGRP, FTP, G.723, GRE, H. 225, H.261, H.263, H.323, HTTP, HTTPS, 802.1Q, 802.1X, ICMP, ICQ, IGMP, IGRP, IMAP, IPsec, IPv4, IPv6, IPX, HSRP, LDAP, MS SQL, NCP , NDS, NetBIOS, NFS, NLSP, NNTP, NTP, OSPF, POP3, PPP, PPPoE, RARP, RADIUS, LDAP, MS SQL, NCP, NDS, NetBIOS, RDP, RIP, RIPX, RMCP, RPC, RSVP, RTP, RTCP, SOCKS, SPX, SSH, TCP, TELNET, TFTP, TIME, TLS, UDP, VTP, WDOG, YMSG.

У деяких випадках для виявлення проблем функціонування мережного стека вузла та сегментів мережі використовується аналіз мережного трафіку. Існують засоби, які дозволяють відобразити (прослухати) і проаналізувати роботу мережі на рівні кадрів, що передаються, мережевих пакетів, мережевих з'єднань, датаграм і прикладних протоколів.

Залежно від ситуації для діагностики може бути доступний як трафік вузла, на якому здійснюється прослуховування мережного трафіку, так і трафік мережного сегмента, порту маршрутизатора і т.д.. Розширені можливості для перехоплення трафіку засновані на "безладному" (promiscuous) режиміроботи мережевого адаптера: обробляються всі кадри (а не тільки ті, які призначені даній MAC-адресі та широкомовні, як у нормальному режимі функціонування).

У мережі Ethernet є такі основні можливості прослуховування трафіку:

• У мережі на основі концентраторів весь трафік домену колізій доступний будь-якій мережній станції.
• У мережах на основі комутаторів мережевої станції доступний її трафік, а також весь широкомовний трафік даного сегменту.
• Деякі керовані комутатори мають функцію копіювання трафіку даного порту на порт моніторингу("Дзеркалювання", моніторинг порту).
• Використання спеціальних засобів (відгалужувачів), що включаються в розрив мережного підключення та передають трафік підключення на окремий порт.
• "Трюк" із концентратором- порт комутатора, трафік якого необхідно прослухати, включають через концентратор, підключивши до концентратора також вузол-монітор (при цьому здебільшого зменшується продуктивність мережного підключення).

Існують програми ( мережеві монітори або аналізатори, sniffer), які реалізують функцію прослуховування мережного трафіку (в т.ч. у безладному режимі), відображення його або запису у файл . Додатково програмне забезпечення для аналізу може фільтрувати трафік на основі правил, декодувати (розшифрувати) протоколи, вважати статистику та діагностувати деякі проблеми.

Примітка: Хорошим вибором базового інструменту для аналізу мережевого трафіку графічне середовищеє безкоштовний пакет wireshark[ 43 ] , доступний для Windows та у репозиторіях деяких дистрибутивів Linux.

Утиліта tcpdump

Консольна утиліта tcpdump входить до складу більшості Unix-систем і дозволяє перехоплювати та відображати мережевий трафік [44]. Утиліта використовує libpcap, що переноситься C/C++ бібліотеку для перехоплення мережного трафіку.

Для встановлення tcpdump у Debian можна використовувати команду:

# apt-get install tcpdump

Для запуску цієї утиліти необхідно мати права суперкористувача(зокрема, у зв'язку з необхідністю переведення мережного адаптера в "безладний" режим). У загальному вигляді формат команди має такий вигляд:

tcpdump<опции> <фильтр-выражение>

Для виведення на консоль опис заголовків(Розшифровані дані) перехоплених пакетів необхідно вказати інтерфейс для аналізу трафіку (опція -i):

# tcpdump -i eth0

Можна вимкнути перетворення IP адрес в доменні імена (бо при великих обсягах трафіку створюється велика кількість запитів до DNS-сервера) - опція -n:

# tcpdump -n -i eth0

Для виведення даних канального рівня (наприклад, mac адреси та інше) - опція -e:

# tcpdump -en -i eth0

Виведення додаткової інформації (наприклад, TTL , опції IP ) - опція -v :

# tcpdump -ven -i eth0

Збільшення розміру пакетів, що захоплюються (більше 68 байт за замовчуванням) - опція -s із зазначенням розміру (-s 0 - захоплювати пакети повністю):

Запис у файл (безпосередньо пакети - "дамп") - опція -w із зазначенням імені файлу:

# tcpdump -w traf.dump

Читання пакетів із файлу - опція - r із зазначенням імені файлу:

# tcpdump -r traf.dump

Типово tcpdump працює в безладному режимі. Ключ -p вказує tcpdump перехоплювати лише трафік, призначений даному вузлу.

Додаткову інформацію про ключі та формати фільтрів tcpdump можна отримати у довідковому посібнику (man tcpdump ).

Аналіз трафіку на рівні мережевих інтерфейсів та мережному рівні за допомогою tcpdump

Для виділення Ethernet-фреймів використовуються такі конструкції tcpdump (загальний вигляд):

tcpdump ether (src | dst | host) MAC_ADDRESS

де src - MAC-адреса джерела, dst- MAC-адреса призначення, host - src або dst, а також виділення широкомовного трафіку.

Міністерство освіти та наук Російської Федерації

ГОУ «Санкт-Петербурзький державний політехнічний університет»

Чебоксарський інститут економіки та менеджменту (філія)

Кафедра вищої математики та інформаційних технологій

РЕФЕРАТ

за курсом «Захист інформації».

на тему: «Мережеві аналізатори»

Виконав

студент 4 курсу з/о 080502-51М

за спеціальністю «Управління

на підприємстві машинобудування»

Павлов К.В.

Перевірив

Викладач

Чобоксари 2011

ВСТУП

Мережі Ethernet завоювали величезну популярність завдяки гарній пропускній спроможності, простоті установки та прийнятній вартості встановлення мережевого обладнання.
Однак технологія Ethernet не позбавлена ​​значних недоліків. Основний з них полягає в незахищеності інформації, що передається. Комп'ютери, підключені до мережі Ethernet, можуть перехоплювати інформацію, адресовану своїм сусідам. Причиною тому є прийнятий у мережах Ethernet так званий широкомовний механізм обміну повідомленнями.

Об'єднання комп'ютерів у мережі ламає старі аксіоми захисту. Наприклад, про статичність безпеки. У минулому вразливість системи могла бути виявлена ​​та усунена адміністратором системи шляхом встановлення відповідного оновлення, який міг лише за кілька тижнів чи місяців перевірити функціонування встановленої "латки". Однак ця "латка" могла бути видалена користувачем випадково або в процес роботи, або іншим адміністратором при інсталяції нових компонентів. Все змінюється, і зараз інформаційні технології змінюються настільки швидко, що статичні механізми безпеки не забезпечують повної захищеності системи.

Донедавна основним механізмом захисту корпоративних мереж були міжмережеві екрани (firewall). Проте міжмережові екрани, призначені захисту інформаційних ресурсів організації, часто самі виявляються вразливими. Це тому, що системні адміністратори створюють так багато спрощень у системі доступу, що у результаті кам'яна стіна системи захисту стає дірявою, як решето. Захист за допомогою міжмережевих екранів (МСЕ) може виявитися недоцільним для корпоративних мереж із напруженим трафіком, оскільки використання багатьох МСЕ істотно впливає на продуктивність мережі. У деяких випадках краще "залишити двері широко відчиненими", а основний упор зробити на методи виявлення вторгнення в мережу та реагування на них.

Для постійного (24 години на добу 7 днів на тиждень, 365 днів на рік) моніторингу корпоративної мережі щодо виявлення атак призначені системи "активного" захисту - системи виявлення атак. Дані системи виявляють атаки на вузли корпоративної мережі та реагують на них заданим адміністратором безпеки чином. Наприклад, переривають з'єднання з атакуючим вузлом, повідомляють адміністратору або заносять інформацію про напад у реєстраційні журнали.

1. МЕРЕЖЕВІ АНАЛІЗАТОРИ

1.1 IP - ALERT 1 АБО ПЕРШИЙ МЕРЕЖЕВИЙ МОНІТОР

Для початку слід сказати кілька слів про локальне широкомовлення. У мережі типу Ethernet підключені до неї комп'ютери, зазвичай, спільно використовують один і той самий кабель, який є середовищем для пересилання повідомлень з-поміж них.

Той, хто бажає передати будь-яке повідомлення по загальному каналу, повинен спочатку переконатися, що цей канал в даний момент часу вільний. Розпочавши передачу, комп'ютер прослуховує частоту сигналу, що несе, визначаючи, чи не сталося спотворення сигналу в результаті виникнення колізій з іншими комп'ютерами, які ведуть передачу своїх даних одночасно з ним. За наявності колізії передача переривається і комп'ютер замовкає на деякий інтервал часу, щоб спробувати повторити передачу трохи пізніше. Якщо комп'ютер, підключений до мережі Ethernet, нічого не передає сам, він продовжує "слухати" всі повідомлення, що передаються по мережі сусідніми комп'ютерами. Помітивши в заголовку порції даних свою мережеву адресу, комп'ютер копіює цю порцію в свою локальну пам'ять.

Існують два основні способи об'єднання комп'ютерів у мережу Ethernet. У першому випадку комп'ютери з'єднуються за допомогою коаксіального кабелю. Цей кабель прокладається від комп'ютера до комп'ютера, з'єднуючись із мережевими адаптерами Т-подібним роз'ємом і замикаючись по кінцях BNC-термінаторами. Така топологія мовою професіоналів називається мережею Ethernet 10Base2. Однак її ще можна назвати мережею, у якій "усі чують усіх". Будь-який комп'ютер, підключений до мережі, здатний перехоплювати дані, що надсилаються цією мережею іншим комп'ютером. У другому випадку кожен комп'ютер з'єднаний кабелем типу "кручена пара" з окремим портом центрального комутуючого пристрою - концентратором або з комутатором. У таких мережах, які називаються мережами Ethernet lOBaseT, комп'ютери поділені на групи, які називають доменами колізій. Домени колізій визначаються портами концентратора чи комутатора, замкнутими загальну шину. Внаслідок колізії виникають не між усіма комп'ютерами мережі. а окремо - між тими, які входять у той самий домен колізій, що підвищує пропускну спроможність мережі загалом.

Останнім часом у великих мережах стали з'являтися комутатори нового типу, які використовують широкомовлення і замикають групи портів між собою. Натомість усі дані, що передаються по мережі, буферизуються в пам'яті і відправляються в міру можливості. Однак подібних мереж поки що досить мало - не більше 5% від загальної кількості мереж типу Ethernet.

Таким чином, прийнятий у переважній більшості Ethernet-мереж алгоритм передачі даних вимагає від кожного комп'ютера, підключеного до мережі, безперервного "прослуховування" всього без винятку мережного трафіку. Запропоновані деякими людьми алгоритми доступу, при використанні яких комп'ютери відключалися від мережі на час передачі "чужих" повідомлень, так і залишилися нереалізованими через свою надмірну складність, дорожнечу впровадження та малу ефективність.

Що таке IPAlert-1 і звідки він узявся? Колись практичні та теоретичні дослідження авторів за напрямом, пов'язаним з дослідженням безпеки мереж, навели на таку думку: у мережі Internet, як і в інших мережах (наприклад, Novell NetWare, Windows NT), відчувалася серйозна нестача програмного засобу захисту, що здійснює комплексний контроль (моніторинг) на канальному рівні за всім потоком інформації, що передається по мережі, з метою виявлення всіх типів віддалених впливів, описаних у літературі. Дослідження ринку програмного забезпечення мережевих засобів захисту для Internet виявило той факт, що подібних комплексних засобів виявлення віддалених впливів не існувало, а ті, що були, були призначені для виявлення впливів одного конкретного типу (наприклад, ICMP Redirect або ARP). Тому і було розпочато розробку засобу контролю сегмента IP-мережі, призначеного для використання в мережі Internet і таку назву: мережевий монітор безпеки IP Alert-1.

Основне завдання цього засобу, що програмно аналізує мережевий трафік у каналі передачі, полягає не у відображенні здійснюваних по каналу зв'язку віддалених атак, а в їх виявленні, протоколюванні (веденні файлу аудиту з протоколюванням у зручній для подальшого візуального аналізу формі всіх подій, пов'язаних з віддаленими атаками на даний сегмент мережі) та негайному сигналізуванні адміністратору безпеки у разі виявлення віддаленої атаки. Основним завданням мережевого монітора безпеки IP Alert-1 є здійснення контролю над безпекою відповідного сегмента мережі Internet.

Мережевий монітор безпеки IP Alert-1 має наступні функціональні можливості і дозволяє шляхом мережевого аналізу виявити наступні віддалені атаки на контрольований сегмент мережі:

1. Контроль за відповідністю IP- та Ethernet-адрес у пакетах, що передаються хостами, що знаходяться всередині контрольованого сегмента мережі.

На хості IP Alert-1 адміністратор безпеки створює статичну ARP-таблицю, куди заносить відомості про відповідні IP- та Ethernet-адреси хостів, що знаходяться всередині контрольованого сегмента мережі.

Ця функція дозволяє виявити несанкціоновану зміну IP-адреси або її заміну (так званий IP Spoofing, спуфінг, іп-спуфінг (жарг.)).

2. Контроль за коректним використанням механізму віддаленого ARP-пошуку. Ця функція дозволяє, використовуючи статичну ARP-таблицю, визначити віддалену атаку "Помилковий ARP-сервер".

3. Контроль за коректним використанням механізму віддаленого DNS-пошуку. Ця функція дозволяє визначити всі можливі види віддалених атак на DNS

4. Контроль за коректністю спроб віддаленого підключення шляхом аналізу запитів, що передаються. Ця функція дозволяє виявити, по-перше, спробу дослідження закону зміни початкового значення ідентифікатора TCP-з'єднання - ISN, по-друге, віддалену атаку "відмова в обслуговуванні", що здійснюється шляхом переповнення черги запитів на підключення, і, по-третє, спрямована " шторм" помилкових запитів на підключення (як TCP, так і UDP), що призводить також до відмови в обслуговуванні.

Таким чином, мережевий монітор безпеки IP Alert-1 дозволяє виявити, оповістити та запротоколювати більшість видів віддалених атак. При цьому дана програма аж ніяк не є конкурентом для систем Firewall. IP Alert-1, використовуючи особливості віддалених атак на мережу Internet, служить необхідним доповненням - до речі, незрівнянно дешевшим, - до систем Firewall. Без монітора безпеки більшість спроб здійснення віддалених атак на сегмент мережі залишиться приховано від ваших очей. Жоден з відомих Firewall-ів не займається подібним інтелектуальним аналізом повідомлень, що проходять по мережі, на предмет виявлення різного роду віддалених атак, обмежуючись, у кращому випадку, веденням журналу, в який заносяться відомості про спроби підбору паролів, про сканування портів і про сканування мережі з використання відомих програм віддаленого пошуку. Тому якщо адміністратор IP-мережі не бажає залишатися байдужим і задовольнятися роллю простого статиста при віддалених атаках на його мережу, то йому бажано використовувати мережевий монітор безпеки IP Alert-1.

Отже, приклад IPAlert-1 показує, яке місце займають мережеві монітори у забезпеченні безпеки мережі.

Зрозуміло, сучасні мережеві монітори підтримують значно більше можливостей, їх і самих стало чимало. Є простіші системи, вартістю в межах 500 доларів, проте є й найпотужніші системи, забезпечені експертними системами, здатні проводити потужний евристичний аналіз, їх вартість у багато разів вища – від 75 тисяч доларів.

1.2 МОЖЛИВОСТІ СУЧАСНИХ МЕРЕЖЕВИХ АНАЛІЗАТОРІВ

Сучасні монітори підтримують безліч інших функцій, крім своїх основних за визначенням (які розглядалися мною для IP Alert-1). Наприклад, сканування кабелю.

Мережева статистика (коефіцієнт використання сегмента, рівень колізій, рівень помилок та рівень широкомовного трафіку, визначення швидкості поширення сигналу); роль всіх цих показників у тому, що з перевищенні певних порогових значень можна говорити проблемах сегменті. Сюди ж у літературі відносять перевірку легітимності мережевих адаптерів, якщо раптом з'являється «підозрілий» (перевірка МАС-адресою і т.п.).

Статистика хибних кадрів. Укорочені кадри (shortframes) - це кадри, що мають довжину менше допустимої, тобто менше 64 байт. Цей тип кадрів ділиться на два підкласи - короткі кадри з коректною контрольною сумою і коротун (runts), що не мають коректної контрольної суми. Найбільш імовірною причиною появи таких ось «мутантів» є несправність мережевих адаптерів. Подовжені кадри, які є наслідком затяжної передачі та говорять про проблеми в адаптерах. Кадри-привиди, які є наслідком наведень на кабель. Нормальний відсоток помилкових кадрів у мережі не повинен перевищувати 0,01%. Якщо він вищий, то або в мережі є технічні несправності, або здійснено несанкціоноване вторгнення.

Статистика з колізій. Вказує на кількість та види колізій на сегменті мережі та дозволяє визначити наявність проблеми та її місцезнаходження. Колізії бувають локальні (в одному сегменті) та віддалені (в іншому сегменті по відношенню до монітора). Зазвичай усі колізії в мережах типу Ethernet є віддаленими. Інтенсивність колізій не повинна перевищувати 5%, а вершини вище 20% говорять про серйозні проблеми.

Існує ще дуже багато можливих функцій, усі їх перерахувати просто немає можливості.

Хочу наголосити, що монітори бувають як програмні, так і апаратні. Однак вони, як правило, відіграють більше статистичну функцію. Наприклад, мережевий монітор LANtern. Він являє собою апаратний пристрій, що легко монтується, що допомагає супервізорам і обслуговуючим організаціям централізовано обслуговувати і підтримувати мережі, що складаються з апаратури різних виробників. Воно збирає статистичні дані та виявляє тенденції, що дозволяє оптимізувати продуктивність мережі та її розширення. Інформація про мережу відображається на центральній керуючій консолі мережі. Таким чином, апаратні монітори не забезпечують належного захисту інформації.

У ОС Microsoft Windows міститься мережевий монітор (NetworkMonitor), проте він містить серйозні вразливості, про які я розповім нижче.

Мал. 1. Мережевий монітор ОС WINDOWS класу NT.

Інтерфейс програми складний для освоєння «на льоту».

Мал. 2. Перегляд кадрів у моніторі WINDOWS.

Більшість виробників нині прагнуть зробити у своїх моніторах простий та зручний інтерфейс. Ще один приклад - монітор NetPeeker (не так багатий додатковими можливостями, але все ж таки):

Мал. 3. Дружній інтерфейс монітора NetPeeker.

Наведу приклад інтерфейсу складної та дорогої програми NetForensics (95000 $):

Рис.4. Інтерфейс NetForensics.

Існує якийсь обов'язковий набір «умінь», яким монітори обов'язково повинні мати, відповідно до тенденцій сьогоднішнього дня:

1. Як мінімум:

• завдання шаблонів фільтрації трафіку;
• централізоване керування модулями стеження;
• фільтрація та аналіз великої кількості мережевих протоколів, у т.ч. TCP, UDP та ICMP;
• фільтрація мережевого трафіку за протоколом, портами та IP-адресами відправника та одержувача;
• аварійне завершення з'єднання з атакуючим вузлом;
• управління міжмережевими екранами та маршрутизаторами;
• завдання сценаріїв із обробки атак;
• запис атаки для подальшого відтворення та аналізу;
• підтримка мережевих інтерфейсів Ethernet, Fast Ethernet та Token Ring;
• відсутність вимог використання спеціального апаратного забезпечення;
• встановлення захищеного з'єднання між компонентами системи, а також іншими пристроями;
• наявність всеосяжної бази даних по всіх атаках, що виявляються;
• мінімальне зниження продуктивності мережі;
• робота з одним модулем стеження з кількох консолей керування;
• потужна система створення звітів;
• простота використання та інтуїтивно зрозумілий графічний інтерфейс;
• невисокі системні вимоги до програмного та апаратного забезпечення.

2. Вміти створювати звіти:

• Розподіл трафіку користувачам;
• Розподіл трафіку за IP-адресами;
• розподіл трафіку по сервісах;
• Розподіл трафіку за протоколами;
• розподіл трафіку за типом даних (картинки, відео, тексти, музика);
• Розподіл трафіку за програмами, що використовуються користувачами;
• Розподіл трафіку за часом доби;
• Розподіл трафіку днями тижня;
• Розподіл трафіку за датами та місяцями;
• Розподіл трафіку сайтами, якими ходив користувач;
• Помилки авторизації у системі;
• Входи та виходи із системи.

Приклади конкретних атак, які можуть розпізнавати мережеві монітори:

"Відмова в обслуговуванні" (Denial of service). Будь-яка дія або послідовність дій, яка приводить будь-яку частину системи, що атакується до виходу з ладу, при якому та перестають виконувати свої функції. Причиною може бути несанкціонований доступ, затримка обслуговування і т.д. Прикладом можуть бути атаки SYN Flood, Ping Flood, Windows Out-of-Band (WinNuke) і т.п.

" Неавторизований доступ (Unauthorized access attempt).Будь-яка дія або послідовність дій, яка призводить до спроби читання файлів або виконання команд, оминаючи встановлену політику безпеки. Також включає спроби зловмисника отримати привілеї більші, ніж встановлені адміністратором системи. Прикладом можуть бути атаки FTP Root, E-mail WIZ і т.п.

"Попередні дії перед атакою" (Pre-attack probe)
Будь-яка дія або послідовність дій щодо отримання інформації З або Про мережу (наприклад, імена та паролі користувачів), які використовуються в подальшому для здійснення неавторизованого доступу. Прикладом може бути сканування портів (Port scan), сканування з допомогою програми SATAN (SATAN scan) тощо.

"Підоглядна активність" (Suspicious activity)
Мережевий трафік, що виходить за рамки визначення стандартного трафіку. Може вказувати на підозрілі дії в мережі. Прикладом можуть бути події Duplicate IP Address, IP Unknown Protocol тощо.

"Аналіз протоколу" (Protocol decode).Мережева активність, яка може бути використана для здійснення однієї з атак вищезгаданих типів. Може вказувати на підозрілі дії в мережі. Прикладом можуть бути події FTP User decode, Portmapper Proxy decode тощо.

1.3 НЕБЕЗПЕКИ ЗАСТОСУВАННЯ МЕРЕЖЕВИХ МОНІТОРІВ

Застосування мережевих моніторів також таїть у собі потенційну небезпеку. Хоча б тому, що через них проходить величезна кількість інформації, зокрема й конфіденційної. Розглянемо приклад вразливості з прикладу вищезгаданого NetworkMonitor, що входить у постачання Windows сімейства NT. У цьому моніторі існує так звана HEX-панель (див. рис. 2), яка дозволяє побачити дані кадру як тексту ASCII. Тут, наприклад, можна побачити незашифровані паролі, що гуляють по мережі. Наприклад, можна спробувати прочитати пакети поштової програми Eudora. Витративши трохи часу, можна спокійно побачити їх у відкритому вигляді. Втім, треба бути завжди, оскільки і шифрування не рятує. Тут можливі два випадки. У літературі є жаргонний термін «похабник» - це сусід певної машини в тому самому сегменті, на тому ж хабі, або, як це називається зараз, світче. Так от, якщо «просунутий» «похабник» вирішив просканувати трафік мережі та підвищувати паролі, то адміністратор з легкістю обчислить такого зловмисника, оскільки монітор підтримує ідентифікацію користувачів, які його використовують. Достатньо натиснути кнопку – і перед адміністратором відкривається список «хакерів-поголярів». Набагато складнішою є ситуація, коли відбувається атака ззовні, наприклад, з мережі Інтернет. Відомості, надані монітором, є надзвичайно інформативними. Показується список усіх захоплених кадрів, порядкові номери кадрів, часи їхнього захоплення, навіть МАС-адреси мережевих адаптерів, що дозволяє ідентифікувати комп'ютер цілком конкретно. Панель детальної інформації містить «начинки» кадру - опис його заголовків і т.д. Навіть цікавому новачкові багато тут здасться знайомим.

Зовнішні атаки значно небезпечніші, оскільки, як правило, обчислити зловмисника дуже і дуже складно. Для захисту в цьому випадку необхідно використовувати на моніторі парольний захист. Якщо драйвер мережного монітора встановлено, а пароль не заданий, будь-хто, хто використовує на іншому комп'ютері мережевий монітор з тієї ж поставки (та сама програма), може приєднатися до першого комп'ютера і використовувати його для перехоплення даних у мережі. Крім того, мережевий монітор повинен забезпечувати можливість виявлення інших інсталяцій у локальному сегменті мережі. Однак тут також є своя складність. У деяких випадках архітектура мережі може придушити виявлення однієї встановленої копії монітора іншого. Наприклад, якщо встановлена ​​копія мережного монітора відокремлюється від другої копії маршрутизатором, який не пропускає багатоадресні посилки, друга копія мережного монітора не зможе виявити першу.

Хакери та інші зловмисники не втрачають часу задарма. Вони постійно шукають нові і нові способи виведення з ладу мережевих моніторів. Виявляється, способів багато, починаючи від виведення монітора з ладу переповненням його буфера, закінчуючи тим, що можна змусити монітор виконати будь-яку команду, надіслану зловмисником.

Існують спеціальні лабораторії, що аналізують безпеку програмного забезпечення. Їхні звіти вселяють тривогу, оскільки серйозні проломи досить часто. Приклади реальних проломів у реальних продуктах:

1. RealSecure – комерційна Система Виявлення Вторгнення (IDS) від ISS.

RealSecure веде себе нестабільно під час обробки деяких DHCP сигнатур (DHCP_ACK - 7131, DHCP_Discover - 7132, і DHCP_REQUEST - 7133), що поставляються із системою. Надсилаючи зловмисний DHCP трафік, вразливість дозволяє віддаленому нападнику порушити роботу програми. Вразливість виявлено в Internet Security Systems RealSecure Network Sensor 5.0 XPU 3.4-6.5

2. Програма: RealSecure 4.9 network-monitor

Небезпека: Висока; наявність експлоїту: Ні.

Опис: Декілька вразливостей виявлено в RS. Видалений користувач може визначити місцезнаходження пристрою. Видалений користувач може також визначити та змінити конфігурацію пристрою.

Рішення: Встановіть оновлену версію програми. Зверніться до виробника.

1.4 АНАЛІЗАТОРИ ПРОТОКОЛОВ, ЇЇ ГІДНОСТІ, НЕБЕЗПЕКИ І МЕТОДИ ЗАХИСТУ ВІД НЕБЕЗПЕОК

Аналізатори протоколів є окремим класом програмного забезпечення, хоча вони, насправді, є частиною мережевих моніторів. Кожен монітор вбудовано щонайменше кілька аналізаторів протоколів. Навіщо тоді їх застосовувати, якщо можна реалізувати більш гідну систему на мережевих моніторах? По-перше, встановлювати потужний монітор не завжди доцільно, а по-друге, далеко не кожна організація може дозволити собі придбати його за тисячі доларів. Іноді постає питання про те, чи не буде монітор сам по собі дорожчий за ту інформацію, захист якої він покликаний забезпечити? Ось у таких (або подібних) випадках і застосовуються аналізатори протоколів у чистому вигляді. Роль їх схожа з участю моніторів.

Мережевий адаптер кожного комп'ютера в мережі Ethernet, як правило, "чує" все, про що "тлумачать" його сусіди по сегменту цієї мережі. Але обробляє і поміщає у свою локальну пам'ять лише ті порції (так звані кадри) даних, які містять унікальну адресу, присвоєну йому в мережі. На додаток до цього переважна більшість сучасних Ethernet-адаптерів допускають функціонування в особливому режимі, званому безладним (promiscuous), при використанні якого адаптер копіює в локальну пам'ять комп'ютера всі без винятку кадри даних, що передаються по мережі. Спеціалізовані програми, що переводять мережевий адаптер в безладний режим і збирають весь трафік мережі для подальшого аналізу, називають аналізаторами протоколів.

Останні широко застосовуються адміністраторами мереж реалізації контролю над роботою цих мереж. На жаль, аналізатори протоколів використовуються і зловмисниками, які з їх допомогою можуть налагодити перехоплення чужих паролів та іншої конфіденційної інформації.

Слід зазначити, що аналізатори протоколів становлять серйозну небезпеку. Встановити аналізатор протоколів могла стороння людина, який проник у мережу ззовні (наприклад, якщо мережа має вихід у Internet). Але це могло бути і справою рук "доморощеного" зловмисника, який має легальний доступ до мережі. У будь-якому випадку, до ситуації, що склалася, слід поставитися з усією серйозністю. Фахівці в галузі комп'ютерної безпеки відносять атаки на комп'ютери за допомогою аналізаторів протоколів до так званих атак другого рівня. Це означає, що комп'ютерний хакер вже зумів проникнути крізь захисні бар'єри мережі і тепер прагне розвинути свій успіх. За допомогою аналізатора протоколів він може спробувати перехопити реєстраційні імена та паролі користувачів, їх секретні фінансові дані (наприклад, номери кредитних карток) та конфіденційні повідомлення (наприклад, електронну пошту). Маючи у своєму розпорядженні достатні ресурси, комп'ютерний зломщик, в принципі, може перехоплювати всю інформацію, що передається по мережі.

Аналізатори протоколів є для будь-якої платформи. Але навіть якщо виявиться, що для якоїсь платформи аналізатор протоколів поки не написаний, з загрозою, яку представляє атака на комп'ютерну систему за допомогою аналізатора протоколів, як і раніше, доводиться рахуватися. Справа в тому, що аналізатори протоколів аналізують не конкретний комп'ютер, а протоколи. Тому аналізатор протоколів може бути інстальований у будь-який сегмент мережі та звідти здійснювати перехоплення мережного трафіку, який в результаті широкомовних передач потрапляє до кожного комп'ютера, підключеного до мережі.

Найчастішими цілями атак комп'ютерних зломщиків, які здійснюють за допомогою використання аналізаторів протоколів, є університети. Хоча б через величезну кількість різних реєстраційних імен та паролів, які можуть бути вкрадені під час такої атаки. Використання аналізатора протоколів на практиці не є таким вже й легким завданням, як це може здатися. Щоб досягти користі від аналізатора протоколів, комп'ютерний зломщик повинен мати достатні знання в галузі мережевих технологій. Просто встановити та запустити аналізатор протоколів на виконання не можна, оскільки навіть у невеликій локальній мережі з п'яти комп'ютерів за годину трафік складає тисячі та тисячі пакетів. Отже, за короткий час вихідні дані аналізатора протоколів заповнять доступну пам'ять "під зав'язку". Тому комп'ютерний зломщик зазвичай налаштовує аналізатор протоколів те щоб він перехоплював лише перші 200-300 байт кожного пакета, передається по мережі. Зазвичай саме в заголовку пакета розміщується інформація про реєстраційне ім'я та пароль користувача, які, як правило, найбільше цікавлять зломщика. Тим не менш, якщо в розпорядженні зломщика достатньо простору на жорсткому диску, то збільшення обсягу трафіку, що перехоплюється ним, піде йому тільки на користь і дозволить додатково дізнатися багато цікавого.

У руках мережевого адміністратора аналізатор протоколів є дуже корисним інструментом, який допомагає йому знаходити і усувати несправності, позбавлятися вузьких місць, що знижують пропускну спроможність мережі, і своєчасно виявляти проникнення комп'ютерних зломщиків. А як уберегтися від зловмисників? Порадити можна таке. Взагалі, ці поради відносяться не лише до аналізаторів, а й до моніторів. По-перше, спробувати придбати мережний адаптер, який принципово не може функціонувати в безладному режимі. Такі адаптери у природі існують. Деякі з них не підтримують безладний режим на апаратному рівні (таких меншість), а інші просто постачаються спецдрайвером, який не допускає роботу в безладному режимі, хоча цей режим і реалізований апаратно. Щоб знайти адаптер, який не має безладного режиму, достатньо зв'язатися зі службою технічної підтримки будь-якої компанії, що торгує аналізаторами протоколів, і з'ясувати, з якими адаптерами їх програмні пакети не працюють. По-друге, враховуючи, що специфікація РС99, підготовлена ​​в надрах корпорацій Microsoft і Intel, вимагає безумовної наявності в мережній карті безладного режиму, придбати сучасний мережевий інтелектуальний комутатор, який буферизує повідомлення, що передається по мережі, в пам'яті і відправляє його по мірі можливості . Тим самим, потреба в "прослуховуванні" адаптером всього трафіку для того, щоб вивужувати з нього повідомлення, адресатом яких є даний комп'ютер, відпадає. По-третє, не допускати несанкціонованого застосування аналізаторів протоколів на комп'ютери мережі. Тут слід застосовувати засоби з арсеналу, який використовується для боротьби із програмними закладками і зокрема – з троянськими програмами (установка брандмауерів). По-четверте, шифрувати весь трафік мережі. Є широкий спектр програмних пакетів, які дозволяють робити це досить ефективно та надійно. Наприклад, можливість шифрування поштових паролів надається надбудовою над поштовим протоколом POP (Post Office Protocol) – протоколом APOP (Authentication POP). При роботі з APOP через мережу щоразу передається нова шифрована комбінація, яка не дозволяє зловмисникові отримати будь-яку практичну користь з інформації, перехопленої за допомогою аналізатора протоколів. Проблема лише в тому, що сьогодні не всі поштові сервери та клієнти підтримують APOP.

Інший продукт під назвою Secure Shell, або скорочено SSL, був спочатку розроблений легендарною фінською компанією SSH Communications Security (http://www.ssh.fi) і в даний час має безліч реалізацій, доступних безкоштовно через Internet. SSL являє собою захищений протокол для здійснення безпечної передачі повідомлень через комп'ютерну мережу за допомогою шифрування.

Особливу популярність набули програмні пакети, призначені для захисту даних, що передаються по мережі, шляхом шифрування і об'єднані присутністю в їх назві абревіатури PGP, що означає Pretty Good Privacy.

Примітно, що у сімействі протокольних аналізаторів є гідні вітчизняні розробки. Яскравий приклад – багатофункціональний аналізатор Observer (розробка компанії ProLAN).

Мал. 5. Інтерфейс російського аналізатора Observer.

Але, як правило, більшість аналізаторів мають набагато простіший інтерфейс і меншу кількість функцій. Наприклад, програма Ethereal.

Мал. 6. Інтерфейс закордонного аналізатора Ethereal.

ВИСНОВОК

Мережеві монітори, як і аналізатори протоколів, є потужним і ефективним засобом адміністрування комп'ютерних мереж, оскільки дозволяють з великою точністю оцінити багато параметрів роботи мережі, такі як швидкості проходження сигналів, ділянки накопичення колізій тощо. Однак головне їхнє завдання, з яким вони успішно справляються – це виявлення атак на комп'ютерні мережі та оповіщення адміністратора про них на основі аналізу трафіку. Разом з тим, застосування цих програмних засобів таїть у собі потенційну небезпеку, оскільки, зважаючи на те, що інформація проходить через монітори та аналізатори, може бути здійснено несанкціоноване знімання цієї інформації. Системному адміністратору потрібно приділяти належну увагу захисту своєї мережі та пам'ятати про те, що комбінований захист набагато ефективніший. Слід уважно ставитись до вибору програмного засобу аналізу трафіку, виходячи з реальної вартості інформації, яку передбачається охороняти, ймовірності вторгнення, цінності інформації для третіх осіб, наявність готових захисних рішень, можливості бюджету організації. Грамотний вибір рішення сприятиме зменшенню ймовірності несанкціонованого доступу та не буде надто «важким» щодо фінансування. Завжди слід пам'ятати, що на сьогоднішній день немає досконалого засобу безпеки, і це стосується, звичайно ж, моніторів та аналізаторів. Завжди слід пам'ятати, що яким би досконалим не був монітор, він виявиться не готовим до нових видів загроз, розпізнавання яких не програмувалося. Відповідно, слід не тільки грамотно спланувати захист мережевої інфраструктури підприємства, а й постійно стежити за оновленнями програмних продуктів, що використовуються.

ЛІТЕРАТУРА

1. Атака в Інтернет. І.Д. Медведковський, П.В. Сем'янов, Д.Г. Леонів. - 3-тє вид., Стер. - М.: ДМК, 2000

2. Microsoft Windows 2000. Довідник адміністратора. Серія "ITProfessional" (пер. з англ.). У.Р. Станек. - М.: Видавничо-торговельний будинок «Російська Редакція», 2002.

3. Networking Essentials. Еге. Тіттел, До. Хадсон, Дж.М. Стюарт. Пров. з англ. - СПб.: Видавництво «Пітер», 1999

4. Інформація про брешах у програмних продуктах взята з бази даних сервера SecurityLab (www.securitylab.ru)

5. Обчислювальні мережі. Теорія та практика. http://network-journal.mpei.ac.ru/cgi-bin/main.pl?l=ru&n=3&pa=9&ar=1

6. Мережевий Аналіз. Стаття у 2-х частинах. http://www.ru-board.com/new/article.php?sid=120

7. Електронний словник телекомунікаційних термінів. http://europestar.ru/info/

8. Програмно-апаратні методи захисту від віддалених атак у мережі Інтернет. http://personal.primorye.ru/desperado/Xattack/7.2.htm

9. Безпека в мережевому моніторі. Самовчитель з Windows XP. http://www.soft32.ru/literature.shtml?topic=windows&book=WinXP&page=Glava16/Index0.htm&subpage=Glava16/Index52.htm

10. Документація на монітор RealSecure. Надано виробником в електронному вигляді на запит.

11. Безпека комп'ютерних систем. Аналізатори протоколів. http://kiev-security.org.ua/box/12/130.shtml

12. Інтернет-сервер російського розробника аналізаторів - компанії "ProLAN" http://www.prolan.ru/

Загальні відомості

Інструментальні засоби, які називають мережевими аналізаторами, отримали своє ім'я на честь Sniffer Network Analyzer. Цей продукт був випущений в 1988 році компанією Network General (тепер - Network Associates) і став одним із перших пристроїв, що дозволяють менеджерам буквально не виходячи з-за столу дізнатися про те, що відбувається у великій мережі. Перші аналізатори зчитували заголовки повідомлень у пакетах даних, що пересилаються по мережі, надаючи таким чином адміністраторам інформацію про адреси відправників та одержувачів, розмір файлів та інші відомості низького рівня. Причому все це - на додаток до перевірки коректності передачі пакетів. За допомогою графів та текстових описів аналізатори допомагали мережевим адміністраторам провести діагностику серверів, мережевих каналів, концентраторів та комутаторів, а також додатків. Грубо кажучи, мережевий аналізатор прослуховує чи "обнюхує" ("sniffs") пакети певного фізичного сегмента мережі. Це дозволяє аналізувати трафік на наявність деяких шаблонів, виправляти певні проблеми та виявляти підозрілу активність. Мережева система виявлення вторгнень є нічим іншим, як розвиненим аналізатором, який зіставляє кожен пакет у мережі з базою даних відомих зразків шкідливого трафіку, аналогічно до того, як антивірусна програма надходить із файлами в комп'ютері. На відміну від засобів, описаних раніше, аналізатори діють нижчому рівні.

Якщо звернутися до еталонної моделі ВОС, то аналізатори перевіряють два нижні рівні – фізичний та канальний.

Номер рівня моделі ВОС	Назва рівня	Приклади протоколів
Рівень 7	Прикладний рівень	DNS, FTP, HTTP, SMTP, SNMP, Telnet
Рівень 6	Рівень вистави
Рівень 5	Рівень сеансу
Рівень 4	Транспортний рівень	NetBIOS, TCP, UDP
Рівень 3	Мережевий рівень	ARP, IP, IPX, OSPF
Рівень 2	Канальний рівень	Arcnet, Ethernet, Token ring
Рівень 1	Фізичний рівень	Коаксіальний кабель, оптоволокно, кручена пара

Фізичний рівень - це реальне фізичне проведення або інше середовище, застосоване для створення мережі. На канальному рівні відбувається початкове кодування даних передачі через конкретне середовище. Мережеві стандарти канального рівня включають бездротовий 802.11, Arcnet, коаксіальний кабель, Ethernet, Token Ring та багато іншого. Аналізатори зазвичай залежать від типу мережі, де вони працюють. Наприклад, для аналізу трафіку в мережі Ethernet необхідно мати аналізатор Ethernet.

Існують аналізатори комерційного класу від таких виробників, як Fluke, Network General та інших. Зазвичай, це спеціальні апаратні пристрої, які можуть коштувати десятки тисяч доларів. Хоча ці апаратні засоби здатні здійснювати більш глибокий аналіз, можна створити недорогий мережевий аналізатор за допомогою програмного забезпечення з відкритими вихідними текстами та недорогого ПК на Intel-платформі.

Види аналізаторів

Зараз випускається безліч аналізаторів, які поділяються на два види. До першого відносяться автономні продукти, які встановлюються на мобільному комп'ютері. Консультант може брати його з собою під час відвідування офісу клієнта та підключати до мережі, щоб зібрати дані діагностики.

Спочатку портативні пристрої, призначені для тестування роботи мереж, були розраховані виключно на перевірку технічних параметрів кабелю. Однак згодом виробники наділили своє обладнання рядом функцій аналізаторів протоколів. Сучасні мережеві аналізатори здатні виявляти найширший спектр можливих неполадок - від фізичного пошкодження кабелю до навантаження мережевих ресурсів.

Другий вид аналізаторів є частиною ширшої категорії апаратного та програмного забезпечення, призначеного для моніторингу мережі та дозволяє організаціям контролювати свої локальні та глобальні мережеві служби, у тому числі Web. Ці програми дають адміністраторам цілісне уявлення про стан мережі. Наприклад, за допомогою таких продуктів можна визначити, які з програм виконуються в даний момент, які користувачі зареєструвалися в мережі та хто з них генерує основний обсяг трафіку.

Крім виявлення низькорівневих характеристик мережі, наприклад, джерело пакетів і пункт їх призначення, сучасні аналізатори декодують отримані відомості на всіх семи рівнях мережевого стеку Open System Interconnection (OSI) і часто видають рекомендації щодо усунення проблем. Якщо аналіз на рівні програми не дозволяє дати адекватну рекомендацію, аналізатори проводять дослідження на нижчому, мережному рівні.

Сучасні аналізатори зазвичай підтримують стандарти віддаленого моніторингу (Rmon та Rmon 2), які забезпечують автоматичне отримання основних даних про продуктивність, таких як інформація про навантаження на доступні ресурси. Аналізатори, що підтримують Rmon, можуть регулярно перевіряти стан мережевих компонентів та порівнювати отримані дані з накопиченими раніше. Якщо необхідно, вони передадуть попередження, що рівень трафіку або продуктивність перевищує обмеження, встановлені мережевими адміністраторами.

Компанія NetScout Systems представила систему nGenius Application Service Level Manager, призначену для контролю часу реакції на окремих ділянках каналу доступу до Web-сайту та визначення поточної продуктивності серверів. Ця програма може аналізувати продуктивність у загальнодоступній мережі, щоб відтворювати загальну картину на комп'ютері користувача. Данська фірма NetTest (колишня GN Nettest) почала пропонувати Fastnet - систему мережевого моніторингу, яка допомагає компаніям, які займаються електронним бізнесом, планувати ємність каналів, шукати та усувати несправності в мережі.

Аналіз конвергентних (мультисервісних) мереж

Розповсюдження мультисервісних мереж (converged networks) може вплинути на розвиток телекомунікаційних систем і систем передач даних у майбутньому. Ідея об'єднати в єдиній мережній інфраструктурі, заснованій на пакетному протоколі, можливість передачі і даних, і голосових потоків, і відеоінформації - виявилася дуже привабливою для провайдерів, що спеціалізуються на наданні телекомунікаційних сервісів, адже вона в одну мить здатна суттєво розширити спектр послуг, які вони надають.

У міру того, як корпорації починають усвідомлювати ефективність та цінові переваги конвергентних мереж на базі протоколу IP, виробники мережевих інструментальних засобів активно розробляють відповідні аналізатори. У першій половині року багато фірм представили компоненти для своїх продуктів мережевого адміністрування, розраховані на передачу голосу IP-мережами.

«Конвергенція породила нові складнощі, з якими доводиться мати справу мережевим адміністраторам, – зауважив Глен Гроссман, директор з управління продуктами компанії NetScout Systems. - Голосовий трафік дуже чутливий до тимчасових затримок. Аналізатори можуть переглядати кожен біт і байт, що передається по проводах, інтерпретувати заголовки та автоматично визначати пріоритет даних».

Використання технологій конвергенції голосу та даних може пробудити нову хвилю інтересу до аналізаторів, оскільки підтримка пріоритетності трафіку на рівні IP-пакетів стає суттєвою для функціонування голосових та відеослужб. Наприклад, фірма Sniffer Technologies випустила Sniffer Voice – інструментарій, призначений для адміністраторів мультисервісних мереж. Цей продукт не лише надає традиційні служби діагностики для керування трафіком електронної пошти, Internet та баз даних, але й виявляє мережеві проблеми, а також дає рекомендації щодо їх усунення, щоб забезпечити коректну передачу голосового трафіку IP-мережами.

Зворотний бік використання аналізаторів

Слід пам'ятати, що з аналізаторами пов'язані дві сторони медалі. Вони допомагають підтримувати мережу в робочому стані, але їх можуть застосовувати хакери для пошуку в пакетах даних імен користувачів і паролів. Для запобігання перехопленню паролів за допомогою аналізаторів слугує шифрування заголовків пакетів (наприклад, за допомогою стандарту Secure Sockets Layer).

Зрештою, поки що не існує альтернативи мережному аналізатору в тих ситуаціях, коли необхідно зрозуміти, що ж відбувається у глобальній чи корпоративній мережі. Хороший аналізатор дозволяє розібратися в стані мережного сегмента і визначити обсяг трафіку, а також встановити, як цей обсяг варіюється протягом дня, які користувачі створюють найбільше навантаження, в яких ситуаціях виникають проблеми з поширенням трафіку або нестача смуги пропускання. Завдяки застосуванню аналізатора можна отримати та проаналізувати всі фрагменти даних у мережному сегменті за даний період.

Проте мережеві аналізатори коштують дорого. Якщо ви плануєте придбати його, то перш за все чітко сформулюйте, чого ви від нього очікуєте.

Особливості застосування мережевих аналізаторів

Щоб застосовувати мережеві аналізатори етично та продуктивно, необхідно виконувати такі рекомендації.

Завжди потрібен дозвіл

Аналіз мережі, як і багато інших функцій безпеки, має потенціал для неналежного використання. Перехоплюючи все дані, що передаються по мережі, можна підглянути паролі для різних систем, вміст поштових повідомлень та інші критичні дані, як внутрішні, так і зовнішні, оскільки більшість систем не шифрує свій трафік у локальній мережі. Якщо такі дані потраплять у погані руки, це, мабуть, може призвести до серйозних порушень безпеки. Крім того, це може стати порушенням приватності службовців. Насамперед, слід отримати письмовий дозвіл керівництва, бажано вищого, перш ніж розпочинати подібну діяльність. Слід також передбачити, що робити з даними після отримання. Крім паролів це можуть бути інші критичні дані. Як правило, протоколи мережного аналізу повинні вичищатися із системи, якщо вони не потрібні для кримінального чи цивільного переслідування. Існують документовані прецеденти, коли благонамірних системних адміністраторів звільняли за несанкціоноване перехоплення даних.

Потрібно розуміти топологію мережі

Перш ніж налаштовувати аналізатор, необхідно повністю розібратися у фізичній та логічній організації цієї мережі. Проводячи аналіз у неправильному місці мережі, можна отримати ь помилкові результати або просто не знайти те, що потрібно. Необхідно перевірити відсутність маршрутизаторів між робочою станцією, що аналізує, і місцем спостереження. Маршрутизатори надсилатимуть трафік у сегмент мережі, тільки якщо відбувається звернення до розташованого там вузла. Аналогічно, в мережі, що комутується, потрібно конфігурувати порт, з яким встановлено підключення, як порт "монітора" або "дзеркала". Різні виробники використовують різну термінологію, але, по суті, необхідно, щоб порт діяв як концентратор, а не як комутатор, тому що він повинен бачити весь трафік, що йде через комутатор, а не тільки те, що спрямоване на робочу станцію. Без такого налаштування порт монітора бачитиме лише те, що направлено до порту, з яким встановлено підключення, та мережевий широкомовний трафік.

Необхідно використовувати жорсткі критерії пошуку

Залежно від того, що потрібно знайти, використання відкритого фільтра (тобто показ всього) зробить виведення даних об'ємним та важким для аналізу. Найкраще використовувати спеціальні критерії пошуку, щоб скоротити висновок, який видає аналізатор. Навіть якщо не відомо точно, що потрібно шукати, можна написати фільтр для обмеження результатів пошуку. Якщо потрібно знайти внутрішню машину, правильно буде задати критерії для перегляду лише вихідних адрес усередині цієї мережі. Якщо потрібно відстежити певний тип трафіку, скажімо, трафік FTP, можна обмежити результати лише тим, що надходить у порт, використовуваний додатком. Вчиняючи таким чином, можна досягти значно кращих результатів аналізу.

Встановлення еталонного стану мережі

Застосувавши мережевий аналізатор під час нормальної роботи , та записавши підсумкові результати, досягається еталонний стан, який можна порівнювати з результатами, отриманими під час спроб виділення проблеми. Аналізатор Ethereal, що розглядається нижче, створює кілька зручних звітів. Також будуть отримані деякі дані для відстеження використання мережі залежно від часу. За допомогою цих даних можна визначити, коли мережа насичується і які основні причини цього – перевантажений сервер, зростання кількості користувачів, зміна типу трафіку тощо. Якщо є точка відліку, простіше зрозуміти, хто й у чому винен.