Плюсы и минусы сетевых анализаторов (часть 1)

Сетевые анализаторы представляют серьезную угрозу для любой сети, и их обнаружение представляет собой сложную задачу. Риск заключается в том, что злоумышленник злоупотребляет анализатором, позволяя злоумышленнику собирать конфиденциальную информацию, проходящую через сеть. Основное внимание уделяется тому, как работают сетевые анализаторы, их типичным характеристикам и потенциально опасным режимам.

Пришло время, и вы очень хотите познакомиться с вашей сетью. Вы знаете, как это выглядит на бумаге, когда нарисовали сетевые диаграммы. Вы знаете все оборудование, которое вы подключили к сети. Вы начинаете задаваться вопросом, как эта сеть выглядит внутри. Решением может стать сетевой «хирург», также известный как анализатор. Этот инструмент даст вам рентгеновское зрение в вашей сети. Благодаря сетевым анализаторам злоумышленнику невероятно сложно спрятаться от хорошо обученного глаза. При мониторинге вашей сети на предмет потенциальных атак на сетевую безопасность очень важно использовать протокол или сетевой анализатор. Эти продукты предназначены для анализа протоколов, работающих в вашей сети. Эти приложения можно найти в двух форматах либо в аппаратной, либо в программной форме.

Сетевые анализаторы, также называемые снифферами, служат инструментом для устранения неполадок в сети, построения исторических и статистических диаграмм для просмотра данных в режиме реального времени. Некоторые сетевые анализаторы имеют возможность предупреждать вас о потенциальных развивающихся проблемах или узких местах, возникающих в режиме реального времени. Некоторые сетевые анализаторы могут захватывать потоки пакетов и позволяют вам просматривать эти потоки пакетов и редактировать их. Это может представлять потенциальную угрозу безопасности, поскольку некоторые потенциальные злоумышленники или пользователи сети могут использовать анализаторы для проверки захваченных пакетов в автономном режиме в другом месте. Риски в этой области колоссальны, поскольку злоумышленник может читать пакеты, отправленные в виде чистого текста, который не был зашифрован. Электронная почта, документы Word, документы HTTP и любой текст, содержащий файлы.

Аппаратный сетевой анализатор.

Оба анализатора протоколов функционируют практически одинаково, главное отличие состоит в том, что аппаратная версия предназначена для функции анализа и имеет несколько интерфейсных портов для различных интерфейсов маршрутизатора и LAN. Анализаторы физического оборудования также могут разделять кабель и действовать как промежуточное устройство, которое проверяет каждый отдельный пакет, который покидает или входит в сеть. Аппаратная версия также имеет такие функции, как распечатка в реальном времени, ведение журнала и несколько буферов захвата, которые записываются непосредственно на жесткий диск анализатора. Аппаратные анализаторы также адаптируются к множеству топологий. Token Ring, оптоволокно, беспроводная связь и большинство других типов найденных топологий.

На приведенной выше диаграмме представлен типичный аппаратный сниффер и одна из его многочисленных областей размещения в корпоративной сети.

Программный сетевой анализатор.

Программные анализаторы сети обычно аналогичны программному обеспечению, установленному на аппаратной версии анализатора сети, но имеющиеся у вас интерфейсы представляют собой только интерфейсы RJ45 Ethernet или интерфейсы модема RJ11. Обычно это зависит от используемой сетевой карты и интерфейса, поддерживаемого программным обеспечением. Преимущество программных анализаторов заключается в более низкой стоимости по сравнению с аппаратными анализаторами, поскольку они не требуют затрат на оборудование, а программное обеспечение устанавливается непосредственно на ваш обычный рабочий стол.

На приведенной выше диаграмме представлен типичный сценарий программного сниффера. Я добавил красный ноутбук с оранжевым экраном, чтобы обозначить анализатор программного обеспечения. Сниффер типа программного обеспечения считается самым большим риском для безопасности в среде типа аналитической атаки. Злоумышленник может установить программное обеспечение для сниффера на любой компьютер, на котором есть сетевая карта с включенным неразборчивым режимом. Ноутбук станет идеальным местом для отдыха, поскольку он очень мобильный и универсальный, что позволяет легко спрятать его и оставить в помещении незамеченным.

Ключ к тому, чтобы сделать обнюхивание менее проницательным.

Шифровать, шифровать, шифровать. Если какая-либо информация отправляется по сети, которую можно перехватить, вам следует зашифровать эти данные. Это всегда было хорошей практикой, и ее следует использовать всякий раз, когда вы храните, передаете или делитесь данными, которые могут быть конфиденциальными.

Пароли часто отправляются по сети в незашифрованном виде, будь то ваша локальная сеть, глобальная сеть или коммутируемое соединение с локальным интернет-провайдером. Когда вы инициируете процесс аутентификации, вы инициируете передачу учетных данных, и в зависимости от уровня безопасности, используемого приложением, которое вы можете использовать, уровень шифрования согласовывается как сервером, так и клиентом. Обычно используется самый низкий уровень шифрования, поддерживаемый любой из сторон. Если только вы не укажете на стороне сервера, что при передаче паролей необходим определенный уровень шифрования. Иногда используется открытый текст, а при использовании сетевого анализатора в режиме захвата пакетов иногда можно увидеть прокручивающиеся пароли в открытом тексте. Выбор буквенно-цифровых паролей и их частая смена не является достаточно надежной практикой, когда задействованы сетевые снифферы, поскольку эти приложения быстро захватывают и отображают ваши учетные данные, это если ваши методы аутентификации в сети остаются незашифрованными. На рынке есть несколько снифферов, предназначенных только для перехвата сетевых паролей. Рекомендация: попробуйте эти снифферы в локальной сети вашей локальной тестовой лаборатории и посмотрите, сколько паролей доступно вам при выполнении вашей повседневной работы. Вы будете поражены, увидев, сколько раз ваш пароль отправляется по сети.

Если злоумышленник завладеет вашим паролем, он может использовать его для пересылки писем счастья с почтового сервера, который может быть защищен стандартной аутентификацией. Аутентификация почтового ретранслятора работает, зная, что действительный пользователь, вошедший в домен, может отправлять сообщения. Ваш пароль также может быть использован для подделки электронной почты. Отправка электронной почты от имени кого-то важного — это то, что любят делать злоумышленники, и многие операции со спамом работают только по этому принципу. Злоумышленник также может захотеть использовать ваш пароль для атаки на компьютер другого пользователя после того, как он войдет в систему с действительным именем пользователя и перехваченным паролем. Этот метод популярен и используется, потому что злоумышленнику необходимо получить доступ к сети или к авторизованной учетной записи, которая может войти в домен. Причина, по которой смарт-карты имеют преимущество перед обычными незашифрованными паролями, заключается главным образом в том, что они подтверждают, что вы действительно входите в систему, и гарантируют, что ваш открытый текстовый пароль не будет перехвачен.

Анализ сети злоумышленника также может быть вызван жадностью. Чем больше учетных записей обнюхивает злоумышленник, тем больше у него шансов остаться незамеченным, поскольку он может переходить от одной учетной записи к другой.

Если у вас есть одна точка входа и после этого вам не нужно снова вводить пароль, то, скорее всего, вы используете более новую, более безопасную систему аутентификации, которую сложнее перехватить. По-прежнему рекомендуется запускать сетевой анализатор в режиме захвата и смотреть, какая информация отправляется.

Выключите рентген.

Kerberos обеспечивает безопасную аутентификацию, при использовании сетевых служб, поддерживающих Kerberos, передача вашего пароля не производится. Таким образом, снифферы не подвергаются воздействию. Использование SSH ( Secure Shell ) также скрывает ваш пароль, используя форму безопасного шифрования. Этот метод широко используется в Интернете, и некоторые администраторы используют его для администрирования брандмауэров по всему миру. В Интернете продаются приложения и сетевые анализаторы, которые действительно могут отслеживать и обнаруживать снифферы или машины, работающие в неразборчивом режиме. Если вы обеспокоены тем, что люди могут прослушивать ваши данные, рекомендуется установить одно из этих приложений для противодействия атаке.

Вы можете приобрести сетевые карты, которые нельзя перевести в неразборчивый режим, это предотвратит захват компьютеров и превращение их в снифферы. Рекомендуется использовать эти сетевые адаптеры на машинах, которые могут находиться в сети периметра, или на более уязвимых машинах. Хорошие коммутаторы сетевой инфраструктуры также могут переводить свои порты в «режим отсутствия прослушивания». Распределение портов позволяет реплицировать весь сетевой трафик на порт, где находится сетевой анализатор. Не забудьте включить охват портов, так как это гарантирует, что вы сможете прослушивать все пакеты, которые передаются в вашей сети.

Чтобы дать вам несколько примеров, вот список некоторых данных, которые должны быть зашифрованы.

1. Пароли
   
2. Эл. адрес
   
3. Конфиденциальный HTTP-трафик
   
4. SQL-запросы
   
5. ERP-запросы
   
6. Запросы репликации
   
7. FTP
   
8. POP-почта
   
9. телнет

MSIE (Microsoft Internet Explorer)

Microsoft Internet Explorer в полной мере использует протоколы безопасности, используемые защищенными веб-сайтами. Если вы посещаете защищенный веб-сайт, вам будет отправлен сертификат веб-сайта, а в строке состояния браузера отобразится значок замка. Сертификат является декларацией, проверкой и удостоверением личности или безопасностью веб-сайта. Если вы собираетесь отправить информацию (например, номер вашей кредитной карты) на небезопасный сайт, Internet Explorer может предупредить вас о том, что сайт небезопасен. Если сайт утверждает, что он безопасный, но его учетные данные безопасности вызывают подозрения, Internet Explorer может предупредить вас о том, что сайт мог быть подделан или мог представлять себя в ложном свете. Перед отправкой конфиденциальной информации по локальной сети, глобальной сети или Интернету всегда проверяйте, отображается ли значок замка в строке состояния. Это гарантирует, что шифрование используется для обеспечения безопасности данных при передаче.

Регистрация судебных доказательств.

Некоторые сетевые анализаторы могут быть настроены с помощью шаблонов, которые сравнивают политики с зарегистрированными данными, и если происходят определенные события, соответствующие этим фильтрам, вы получаете предупреждение. Эти доказательства могут быть захвачены и использованы в качестве дополнительных оснований для принятия дисциплинарных или юридических мер против злоумышленника или потенциального злоумышленника, пытающегося нарушить систему безопасности. Если вы работаете в чрезвычайно чувствительных средах, рекомендуется регистрировать любой транзакционный сетевой трафик. Такой подход будет иметь неоценимое значение.

Понимание через нюхание.

Сниффинг делает больше, чем просто позволяет вам перехватывать пакеты и статистику протокола для просмотра на более позднем этапе, он дает вам окно, которое заглядывает глубоко в область сетевой безопасности, позволяя вам увидеть матричную сетку такой, какая она есть. Анализ пакетов позволяет установить базовые уровни и шаблоны, которые помогают визуализировать вашу сеть, благодаря чему самые сложные сети кажутся простыми. Большинство хороших анализаторов протоколов имеют функции фильтрации и пост-захвата, которые помогают определить, какие машины заражены такими червями, как Nmidia или Code red. Сетевые вирусы обычно имеют шаблоны, характерно уникальные для этого конкретного типа вируса. Хорошие сетевые анализаторы легко декодируют их и сообщают вам, что вы потенциально можете быть заражены этими вирусами. Хорошо обученный специалист по безопасности также сможет обнаружить это при просмотре журналов или анализе шаблонов трафика. Особенно важно следить за тем, как машины взаимодействуют друг с другом и через какие порты они могут разговаривать. У вирусов иногда есть определенные порты, которые они используют, чтобы реплицировать себя по сети.

Сетевые анализаторы можно использовать для оценки и исправления сетевых условий, которые могут возникнуть. Убедитесь, что ваш сетевой анализатор поддерживает сопоставление имен логических узлов. Эта функция гарантирует, что все ваши MAC-адреса сопоставляются с IP-адресами, а затем преобразуются в имена машин. Эта небольшая функция значительно упрощает решение проблем безопасности, поскольку вы можете определить машины, которые должны или не должны быть в вашей сети.

Режимы сетевой карты

Прежде чем неразборчивый режим заработает, вы должны убедиться, что неразборчивый режим поддерживается каждым сетевым адаптером и драйвером ввода/вывода той операционной системы, которую вы хотите отслеживать. Некоторые сетевые карты имеют возможность отключить неразборчивый режим; убедитесь, что режим включен при мониторинге этой машины.

Неразборчивый режим включает возможности приема сетевых карт. Этот режим позволяет адаптеру получать все пакеты или кадры в сети, даже если кадры и пакеты не адресованы адаптеру. Когда вы устанавливаете сетевой анализатор в своей сети, сетевая карта этой машины будет настроена на неразборчивый режим, это настроит сетевую карту на «частоту» каждого компьютера, перехватывая и читая все передаваемые пакеты и кадры.

В некоторых компаниях есть машины, предназначенные для функции перехвата пакетов. В таких организациях, как банки и военные концерны, где судебные доказательства могут иметь решающее значение, каждый кадр пакета и передаваемые данные могут регистрироваться. Затем эта информация сохраняется на сетевых устройствах хранения и будет рассматриваться как квитанция обо всех транзакциях данных, которые имели место в сети. Космические разветвления этого типа регистрации велики. Должны быть предусмотрены условия для каталогизации этих данных, поскольку перехват пакетов может составлять гигабайты журналов в течение нескольких часов. К этим журналам можно применять фильтры, которые удаляют генерируемый системой трафик, а некоторые сетевые анализаторы имеют встроенную интеллектуальную функцию, позволяющую различать трафик, который можно отбросить. Большинство хороших сетевых анализаторов позволяют указать, что вы хотите регистрировать. Затем вы можете позже получить необходимые отчеты из журналов и посмотреть, были ли предприняты какие-либо попытки нарушения целостности вашей сети. Это принцип, который используют некоторые приложения IDS, и основное отличие состоит в том, что IDS работает в режиме реального времени, а сетевой анализатор не настроен и не предназначен для того типа предупреждений, который делает IDS. Если вы используете Y-кабель на интерфейсе WAN, пакеты сначала передаются на сетевой анализатор, а затем на маршрутизатор, NTU или модем выделенной линии. Таким образом, сетевой анализатор перехватывает весь трафик, отправляемый через WAN-соединение.

ИТ-специалистам рекомендуется использовать аппаратное решение, если вам нужно быть на 100 % уверенным в том, что все пакеты будут перехвачены, поскольку некоторые коммутаторы и маршрутизаторы могут не пересылать пакеты во всю сеть. Если связующее дерево включено, проблем с прослушиванием быть не должно.

Резюме

В этой статье я сосредоточился на работе сниффера и на том, как и где следует планировать размещение такого устройства или программного обеспечения в корпоративной сети. Снифферы являются важными инструментами, с которыми нужно обращаться осторожно, и в следующей статье я подчеркиваю важность того, какие возможности следует использовать при выборе правильного сниффера для вашей сети.