Носов В.В. "Технології аудиту інформаційних систем"

Лекція 3. Методи і засоби попереднього збору інформації про комп'ютерну мережу: відкриті джерела, база whois

Навчальні питання

1. Модель порушника

2. Загальна характеристика попереднього збору даних

3. Відкриті джерела про комп’ютерну мережу

4. Запити к базі whois

Час: 2 акад. ч.

Література

1. Лепихин В.Б. Сравнительный анализ сканеров безопасности. Часть 1. Тест на проникновение. http://www.itsecurity.ru/edu/actions/2008-pentest.zip

2. Мак-Клар Стюарт, Скрембрей Джоел, Курц Джордж. Секреты хакеров. Безопасность сетей – готовые решения. : Пер. с англ. – М.: Издательский дом "Вильямс", 2002. с. 29 – 52.

Вступ

Типовая схема «Penetration Testing»

Основным мероприятием внешнего аудита является так называемый тест на проникновение или на устойчивость к взлому.

Методология тестирования сети на устойчивость к взлому (Тестирование на проникновение, Penetration Testing или Ethical hacking) подразумевает, что субъект, выполняющий аудит, опирается на собственное понимание того, как реализована тестируемая система. Он владеет минимумом информации об объекте тестирования, поэтому иногда такой тест называют «методом черного ящика». Цель такого теста – поиск способов получения доступа к системе с помощью инструментов и приемов, используемых злоумышленниками.

В процессе планирования определяются цели и задачи теста. Оговариваются условия, список допустимых техник, формируется перечень объектов тестирования.

Следующий этап – сбор информации. На этом этапе используются различные методы сбора информации о сети, например, идентификация доступных сетевых устройств, идентификация топологии сети, идентификация открытых портов и т. д.

Далее следует процесс идентификации уязвимостей. Здесь используется собранная ранее информация об узлах, операционных системах, сервисах, приложениях. Главным образом используется информация о сервисах, их версиях, а также о приложениях, реализующих указанные сервисы. Эта информация сопоставляется с информацией об известных уязвимостях, т. е. с какими-либо базами уязвимостей.

Последний этап – подтверждение (верификация) уязвимостей, о наличии которых были сделаны предположения на предыдущем этапе. Этот этап можно назвать основным. По сути, на этом этапе иллюстрируется возможность получения доступа к системе.

Далее будет использоваться оценка рассматриваемых действий аудита по таким показателям:

Популярность ‑	частота использования против реальных целей: 1 - очень редко, 10 - широко распространено
Простота ‑	уровень знаний, необходимый для проведения атаки: 1 -отсутствие навыков, 10 - опытный программист
Опасность ‑	потенциальный ущерб от атаки: 1 - потеря незначительной информации, 10 - получения прав суперпользователя
Степень риска ‑	среднее от вышеуказанных показателей

1. Модель порушника

В качестве потенциального нарушителя информационной безопасности объекта защиты будем рассматривать лицо или группу лиц, состоящих или не состоящих в сговоре, которые в результате умышленных или неумышленных действий могут реализовать разнообразные угрозы информационной безопасности, направленные на информационные ресурсы компьютерной сети и нанести моральный и/или материальный ущерб интересам владельцу информации.

В качестве угроз информационной безопасности рассматриваются базовые угрозы нарушения конфиденциальности и целостности информации, а также угроза отказа в обслуживании инфраструктуры информационной системы. Сводная характеристика вероятного нарушителя приведена в таблице 1.

Таблица.1. Характеристика вероятного нарушителя

Классификация	Характеристика
По мотиву нарушения информационной системы	Нарушение угрозы целостности, конфиденциальности, доступности в корыстных или иных целях
По уровню информированности и квалификации нарушителя	Нарушитель обладает высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем
	Нарушитель обладает достаточными знаниями для сбора информации, применения известных эксплоитов1 и написания собственного программного обеспечения для осуществления атаки
	Нарушитель не является авторизованным пользователем информационной системы
По месту действия	Без непосредственного (физического) доступа на территорию объекта (внешний нарушитель). Нарушитель действует удаленно, через сеть Интернет

2. Загальна характеристика попереднього збору даних

Прежде чем приступить к НСД злоумышленник должен выполнить ряд подготовительных мероприятий. Рассмотрим первый этап подготовки, заключающийся в предварительном сборе данных (footprinting) о представляющей интерес сети (компьютере).

Именно так и поступают настоящие преступники, решившие ограбить банк. Они не вваливаются в операционный зал и не начинают требовать денег (за исключением разве что самых примитивных грабителей). Любая по-настоящему опасная группировка, замышляющая ограбление, посвятит немало времени сбору информации об этом банке. Они изучат маршруты передвижения бронеавтомобилей, время доставки наличных денег, места расположения видеокамер и служебных выходов, число банковских служащих, а также все, что может им пригодиться для реализации их преступных замыслов.

То же самое необходимо проделать и взломщику компьютерной сети, если он хочет добиться успеха. Для того чтобы нанести точный и своевременный удар и при этом не быть пойманным, он должен собрать как можно больше информации. Поэтому взломщики обычно пытаются разведать все, что только может иметь хоть какое-то отношение к системе обеспечения безопасности организации. После завершения этого процесса в руках хакера может оказаться целое "досье", или профиль, в котором содержится описание способов подключения организации к Internet, возможностей удаленного доступа к ее сети, а также конфигурации внутренней сети. Следуя хорошо структурированной методологии, из самых разных источников хакер по крупицам может собрать досье практически на любую организацию.

Предварительный сбор данных — это процесс сбора сведений для создания наиболее полного представления об информационных технологиях объекта несанкционированного доступа.

В результате систематизированного сбора информации хакеры могут получить в свое распоряжение полный профиль системы защиты организации. Начав "с нуля" (например, имея лишь общие сведения о подключении к Internet) и применяя различные средства и технические приемы, взломщик может получить, в конце концов, совершенно определенный набор доменных имен, адресов подсетей и отдельных компьютеров этой организации, подключенных к Internet. Методов сбора подобной информации очень много, однако, все они сводятся к одному ‑ получению информации, имеющей отношение к:

• технологиям Internet,

• корпоративным сетям (intranet),

• удаленному доступу (remote access)

• и экстрасетям (extranet).

Все эти технологии, а также данные, которые взломщики пытаются получить, перечислены в табл. 2.

Таблица 2. Информация, которую могут получить злоумышленники об используемых технологиях

Технология	Идентифицирующие сведения
Internet	имена доменов; адреса подсетей; IP-адреса компьютеров, подключенных к Internet; TCP- и UDP-службы, работающие на каждом из обнаруженных компьютеров; архи­тектура системы (например, SPARC или Х86); механизмы управления доступом и соот­ветствующие списки управления доступом (ACL — Access Control List); наличие систем выявления вторжений (IDS); регистрационная информация (имена пользователей и групп, системные маркеры, таблицы маршрутизации, информация о протоколе SNMP).
Корпоративные сети	то же, что и для Internet + используемые сетевые протоколы (например, IP, IPX, DecNET и т.д.); имена внутренних доменов;
Удаленный доступ	телефонные номера, используемые для удаленного доступа, а также тип АТС (аналоговая или цифровая); тип удаленной операционной системы; механизм аутентификации и используемые протоколы (IPSEC, РРТР)
Экстрасети	исходящая и входящая точки соединения; тип соединения; механизм управления доступом

Для чего необходим предварительный сбор данных

Предварительный сбор данных необходим для того, чтобы систематически и методологически гарантировать получение всей информации, имеющей отношение ко всем из вышеперечисленных технологий, используемых в конкретной организации. Без четко определенной методики выполнения этой работы высока вероятность того, что какая-нибудь часть важной информации не будет получена. Предварительный сбор данных о системе безопасности организации зачастую оказывается одной из наиболее трудных задач, однако в то же время этот процесс является наиболее важным. Его успешное завершение можно обеспечить лишь при четком следовании определенной методике и его контроле.

Сбор данных о подключении к Internet

Для сбора данных о различных технологиях применяются схожие методы (это справедливо, например, по отношению к Internet и корпоративным сетям).

Строго говоря, сложно дать четкие рекомендации по выполнению процесса сбора информации, поскольку осуществить это можно по-разному. Тем не менее, опишем основные этапы, которые обязательно должны быть проведены при анализе информации для создания профиля организации. Многие из описанных приемов можно с успехом применять и для сбора данных о других технологиях, упоминавшихся выше.

Сбор информации может проводить не только злоумышленник, но и специалист по аудиту информационной безопасности, поэтому далее и будем иметь в виду действия именно этого лица.