Лекции по защите информации / ИБ3

Основы сетевой безопасности.

Порядок аудита сетевой безопасности.

Под сетевым аудитом принято понимать производимой службой информационной безопасности организации тестовое несанкционированное проникновение в систему.

Аудит проводится как часть комплексных мероприятий по оценке эффективности реализуемых средств защиты информации.

1. Предварительный сбор информации.

На этапе предварительного сбора информации производится попытка получения:

• Диапазонов IP-адресов организации.

• Точные IP-адреса ПК.

• Имена ПК (NetBIOS).

• Информация об аппаратно-программной платформе.

• Используемые межсетевые экраны.

• Используемый стек протоколов.

• Телефонные номера, протоколы.

• Имена пользователей.

• Топология системы.

• Типы используемых средств удалённого администрирования.

• Механизмы аутентификации удалённых пользователей.

Источники предварительной информации:

• Официальные интернет-ресурсы.

• Домашние странички сотрудников (неофициальные).

• Публикации в прессе, по TV.

www.nic.ru

Информация, полученная с помощью сервиса Whois-сервис.

www.s3r.ru

2. Социальная инженерия (Social Engineering).

Информация, полученная без технических средств (с участием людей – ошибки людей).

3. Прослушивание серверов DNS.

Информация о настоящей топологии системы. Защита от переноса зон DNS осуществляется ограничением по на перенос зоны для сторонних серверов, а также блокированием всех входящих соединений на порт 53 TCP.

4. Определение топологии сети.

Осуществляется попытка определения топологии сети на базе имеющейся информации об IP-адресах и именах ПК. Средства утилита Traceroute для отслеживания маршрутов (для зондирования сети). Visual Route.

Получить ещё более подробную информацию о структуре сети (утилита Ping).

Сканирование портов (утилита Tracert).

Осуществляется попытка выявления открытых портов, то есть портов, соединённых извне и выявление наличия активных сетевых служб. Поскольку традиционное сканирование легко обнаруживается любыми средствами IDS, на практике применяют усложнённые варианты сканирования портов, чаще всего основанное на не завершённом соединении.

XSpider – для сканирования портов.

Nmap, Netcat.

Не должно быть много открытых портов (система IDS).

5. Анализ обнаруженных уязвимостей.

Попытка установления соединения без привлечения дополнительных средств.

Net use <компьютер> _ ipc $ ” ” /U:” ’ (нулевое соединение).

ipc – межпроцессорного взаимодействия.

Проверка работоспособности Exploit (уязвимость). Своевременная установка обновлений ПО.

(LopthCrack) @ Stake.

Elcomsoft (Security Explorer).

Подобрать пароли для пользователей.

На этапе анализа защищённости парольной подсистемы целесообразно осуществлять попытки вскрытия паролей с целью выявления слабых паролей.

6. Сокрытие следов.

Осуществляется удаление записей, связанных с осуществлённым проникновением из системных журналов (через Proxy-сервер «кэш-сервер»).

7. Анализ безопасности модемных соединений.

Осуществляется прозвон телефонных номеров из диапазона исследуемой организации с целью выявления несанкционированных соединений.

8. Анализ безопасности сетевой инфраструктуры.

В основном анализируются кабельные системы.