[WikiDyd] [TitleIndex] [WordIndex

Cel zajęć

Poznanie narzędzi pozwalających monitorować ruch i szukać zagrożeń w sieci.

Wprowadzenie

Większość zagrożeń bezpieczeństwa systemu wynika z podłączenia go do sieci Internet. Dlatego ważna umiejętnością, każdego specjalisty od bezpieczeństwa jest umiejętność śledzenie ruchu sieciowego oraz dokładna jego analiza.

Podstawowym narzędziem umożliwiającym podsłuch sieciowy jest program tcpdump. Pozwala on przechwycić wszystkie dane pojawiające się na wejściu karty sieciowej. Strumień danych jest często zbyt duży, aby móc go analizować, dlatego tcpdump posiada rozbudowane możliwości filtrowania pakietów. Na przykład możemy chcieć obejrzeć cały ruch adresowany do serwera www.pw.edu.pl:

tcpdump -i lnc0 dst host www.pw.edu.pl

Domyślnie tcpdump prezentuje tylko nagłówki pakietów, ale możemy obejrzeć także pełną treść transmisji przy pomocy opcji -X, np.

tcpdump -i lnc0 -X port 25

Istnieje oczywiście wiele innych programów słuchających i analizujących dane w sieci (przykładem może być tutaj znacznie efektowniejszy ettercap).

Sama analiza ruchu sieciowego czasami nie wystarcza, konieczne jest wtedy aktywne badanie sieci. Klasycznym programem tego typu jest nmap, którego głównym celem jest rozpoznanie infrastruktury sieciowej. Możemy wykorzystać go do określenia, jakie porty są otwarte na serwerze, jakie usługi są uruchomione, a nawet jaki system operacyjny jest zainstalowany.

nmap -O localhost

Powyższe przykładowe wywołanie pokazuje w jaki sposób można sprawdzić jaki system zainstalowany jest na naszym serwerze (chwilowo pomińmy sens takiego zadania).

Snort to bardzo popularny system wykrywania zagrożeń pojawiających się w sieci. Systemy tego typu nazywane są z angielskiego IDS (Intrusion Detection System). Analizują one cały ruch sieciowy pod kątem wewnętrzej bazy sygnatur różnego rodzaju ataków. Po dopasowaniu sygnatury to ruchu, wszczynany jest alarm.

Kolejnym ciekawym przykładem jest program Nessus, który aktywnie wyszukuje i wskazuje słabości w systemie. Za jego pomocą administrator może w sposób kontrolowany atakować sam siebie i tą metodą sprawdzać odporność swoich systemów.

Potrzebna wiedza

Dodatkowe informacje

Hasła dla Google: tcpdump, nmap

Przykładowe zadania

  1. Podsłuchaj ruch programem tcpdump - filtrując po zadanym numerze portu, czy adresie.
  2. Przy pomocy programu tcpdump podsłuchaj połączenie z serwerem POP3, znajdź hasło użytkownika.
  3. Tworząc tunel SSH zabezpiecz połączenie z serwerem POP3. Sprawdź czy kanał jest bezpieczny.
  4. Wykorzystując tcpdump porównaj ruch przesyłany protokołami http i https.
  5. Zainstaluj program ettercap i przy jego pomocy podsłuchaj wybrane połączenie.
  6. Wykorzystując program nmap przeskanuj wybrany komputer w sieci lokalnej. Określ jaki jest tam system operacyjny i jakie są dostępne usługi.
  7. Programem nmap sprawdź, które komputery w sieci VMware są włączone. Zrób to możliwie najciszej.
  8. Programem tcpdump prześledź w jaki sposób działa nmap -sF.

  9. Uruchom system wykrywania zagrożeń Snort i przetestuj jego reakcje na proste skanowania.

  10. Uruchom system Snort i włącz powiadamiania administratora o zagrożeniach.

Reguły do Snorta: snortrules-snapshot-CURRENT.tar.gz


2015-09-23 06:44