Лекции по защите информации / ИБ3
.DOCОсновы сетевой безопасности.
Порядок аудита сетевой безопасности.
Под сетевым аудитом принято понимать производимой службой информационной безопасности организации тестовое несанкционированное проникновение в систему.
Аудит проводится как часть комплексных мероприятий по оценке эффективности реализуемых средств защиты информации.
1. Предварительный сбор информации.
На этапе предварительного сбора информации производится попытка получения:
-
Диапазонов IP-адресов организации.
-
Точные IP-адреса ПК.
-
Имена ПК (NetBIOS).
-
Информация об аппаратно-программной платформе.
-
Используемые межсетевые экраны.
-
Используемый стек протоколов.
-
Телефонные номера, протоколы.
-
Имена пользователей.
-
Топология системы.
-
Типы используемых средств удалённого администрирования.
-
Механизмы аутентификации удалённых пользователей.
Источники предварительной информации:
-
Официальные интернет-ресурсы.
-
Домашние странички сотрудников (неофициальные).
-
Публикации в прессе, по TV.
www.nic.ru
Информация, полученная с помощью сервиса Whois-сервис.
www.s3r.ru
2. Социальная инженерия (Social Engineering).
Информация, полученная без технических средств (с участием людей – ошибки людей).
3. Прослушивание серверов DNS.
Информация о настоящей топологии системы. Защита от переноса зон DNS осуществляется ограничением по на перенос зоны для сторонних серверов, а также блокированием всех входящих соединений на порт 53 TCP.
4. Определение топологии сети.
Осуществляется попытка определения топологии сети на базе имеющейся информации об IP-адресах и именах ПК. Средства утилита Traceroute для отслеживания маршрутов (для зондирования сети). Visual Route.
Получить ещё более подробную информацию о структуре сети (утилита Ping).
Сканирование портов (утилита Tracert).
Осуществляется попытка выявления открытых портов, то есть портов, соединённых извне и выявление наличия активных сетевых служб. Поскольку традиционное сканирование легко обнаруживается любыми средствами IDS, на практике применяют усложнённые варианты сканирования портов, чаще всего основанное на не завершённом соединении.
XSpider – для сканирования портов.
Nmap, Netcat.
Не должно быть много открытых портов (система IDS).
5. Анализ обнаруженных уязвимостей.
Попытка установления соединения без привлечения дополнительных средств.
Net use <компьютер> _ ipc $ ” ” /U:” ’ (нулевое соединение).
ipc – межпроцессорного взаимодействия.
Проверка работоспособности Exploit (уязвимость). Своевременная установка обновлений ПО.
(LopthCrack) @ Stake.
Elcomsoft (Security Explorer).
Подобрать пароли для пользователей.
На этапе анализа защищённости парольной подсистемы целесообразно осуществлять попытки вскрытия паролей с целью выявления слабых паролей.
6. Сокрытие следов.
Осуществляется удаление записей, связанных с осуществлённым проникновением из системных журналов (через Proxy-сервер «кэш-сервер»).
7. Анализ безопасности модемных соединений.
Осуществляется прозвон телефонных номеров из диапазона исследуемой организации с целью выявления несанкционированных соединений.
8. Анализ безопасности сетевой инфраструктуры.
В основном анализируются кабельные системы.