НАЦІОНАЛЬНИЙ АВІАЦІЙНИЙ УНІВЕРСИТЕТ
Факультет кібербезпеки, комп’ютерної і програмної інженерії
Кафедра комп’ютеризованих систем захисту інформації
ЗВІТ
З ЛАБОРАТОРНОЇ РОБОТИ № 5
З дисципліни «Захищені мережеві протоколи»
«Засоби аналізу захищеності мереж (сканери уразливості)»
Виконав
студент групи БІ-443
Перевірив:
Сидоренко В.М.
КИЇВ 2022
Лабораторна робота №5
Тема: Засоби аналізу захищеності мереж (сканери уразливості)
Мета роботи: Вивчення можливих атак на мережеві компоненти і засобів аналізу захищеності мереж (сканери уразливості). Отримання навичок роботи з мережевими сканерами.
Виконання роботи
Дослідження сканера безпеки на прикладі Xspider 7.5 Demo version або більш пізнішої версії.
Встановив на робочу машину сканер уразливості Xspider 7.5 Demo version.
Додав хост за допомогою панелі інструментів.
Просканував робочу станцію на яку ви встановили Xspider 7.5 Demo version на наявність вразливостей.
Після зупинки сканера проаналізуйте отриману інформацію про вашій робочій станції.
Сканер виявив одну вразливість та дав рекомендації по виправленню
Створіть «Розгорнутий ієрархічний звіт» і звіт «Керівництво по усуненню вразливості».
Для цього необхідно в головному меню вибрати вкладку «Сервіс», пункт - «Створити звіт ...». Після вибору пункту «Створити звіт ...», з'явиться вікно показане на рисунку 9, де й слід вибрати необхідну форму звіту.
Ознайомтеся зі звітами, проаналізуйте запропоновані розробниками сканера рішення закриття вразливостей на вашій робочій станції. Збережіть звіти в свою папку.
Я перепробував 3 версії Xspider, але не одна з них не робила звіти. Після вибору кнопки «Просмотр» - нічого не відкривається, при виборі кнопки «Сохранить» - файл не з’являється в вибраній папці. Тому я проаналізував данні, які написані після сканування
Сканер пояснює у чому проблема та пропонує її вирішення
В наступних двох точках сканування сканер тільки визначив версію програм
На наступних трьох скріншотах сканер не виявив угрози, але надає рекомендації як це можливо виправити
Також є два не визначених порти:
Проскануйте діапазон IP-адрес вашої мережі.
Для цього в головному меню виберете вкладку «Правка» - пункт «Додати діапазон ...». Після вибору пункту з'явиться вікно, де слід вказати діапазон адрес сканованої мережі
Сканування діапазонів нічого не знайшло.
Встановив Angry IP Scanner 2.21
Я провів сканування діапазону IP
Із усього діапазону IP виявилося лише 3 активних
Також сканер показує інформацію про IP
Отже Angry IP Scanner — це дуже швидкий сканер IP-адрес і портів. Він може сканувати IP-адреси в будь-якому діапазоні, а також будь-які їхні порти. Сканер просто перевіряє кожну IP-адресу, щоб перевірити, чи вона жива, а потім, за бажанням, розпізнає її ім’я хоста, визначає MAC-адресу, сканує порти тощо. Результати сканування можна зберегти у CSV, TXT, XML або Файли списку IP-портів.
NetRecon
Мережевий сканер NetRecon є інструментом адміністратора безпеки, призначеним для дослідження структури мереж та мережевих сервісів та аналізу захищеності мережних середовищ. NetRecon дозволяє здійснювати пошук уразливостей у мережевих сервісах, ОС, МЕ, маршрутизаторах та інших мережевих компонентах.
Звіт після сканування NetRecon
NetRecon самостійно визначає конфігурацію мережі та дозволяє вибрати мережні ресурси для сканування. Може здійснюватися паралельне сканування всіх мережевих ресурсів, сканування діапазону мережевих адрес, сканування окремих систем чи підмереж.
Висновок: під час виконання лабораторної роботи я вивчив можливі атаки на мережеві компоненти і засоби аналізу захищеності мереж (сканери уразливості). Отримання навичок роботи з мережевими сканерами.
Контрольні питання
1) Які атаки реалізовує сканер вразливості?
"Перевірка заголовків" (banner check)
Зазначений механізм є рядом перевірок типу "сканування" і дозволяє робити висновок про вразливість, спираючись на інформацію в заголовку відповіді на запит сканера. Типовий приклад такої перевірки - аналіз заголовків програми Sendmail або FTP-сервера, що дозволяє дізнатися про їх версію і на основі цієї інформації зробити висновок про наявність у них вразливості.
"Активні зондувальні перевірки" (active probing check)
"Імітація атак" (exploit check)
2) На які мережеві компоненти спрямовані атаки сканерів?
Деякі вразливості не виявляють себе, поки їх не "підштовхнуть". Для цього проти підозрілого сервісу чи вузла запускаються реальні атаки. Перевірка методом "exploit check" дозволяє імітувати реальні атаки, тим самим з більшою ефективністю (але меншою швидкістю) виявляючи вразливості на вузлах, що скануються. Імітація атак є надійнішим способом аналізу захищеності, ніж перевірки заголовків, і зазвичай надійніші, ніж активні зондуючі перевірки.
3) Які існують механізми та методи роботи сканерів вразливостей?
Існує два основних механізми, за допомогою яких сканер перевіряє наявність уразливості – сканування (scan) та зондування (probe).
Сканування – механізм пасивного аналізу, за допомогою якого сканер намагається визначити наявність уразливості без фактичного підтвердження її наявності – за непрямими ознаками. Цей метод є найшвидшим і найпростішим для реалізації. У термінах компанії ISS цей метод отримав назву "логічний висновок" (inference). Відповідно до компанії Cisco, цей процес ідентифікує відкриті порти, знайдені на кожному мережевому пристрої, і збирає пов'язані з портами заголовки (banner), знайдені при скануванні кожного порту. Кожен отриманий заголовок порівнюється з таблицею правил визначення мережевих пристроїв, операційних систем та потенційних уразливостей. На основі проведеного порівняння робиться висновок про наявність чи відсутність уразливості.
Зондування - механізм активного аналізу, який дозволяє переконатися, чи присутня на аналізованому вузлі вразливість. Зондування виконується шляхом імітації атаки, що використовує вразливість, що перевіряється. Цей метод повільніший, ніж "сканування", але майже завжди набагато точніший, ніж він. У термінах компанії ISS цей метод отримав назву "підтвердження" (verification). Згідно компанії Cisco, цей процес використовує інформацію, отриману в процесі сканування ("логічного висновку"), для детального аналізу кожного мережного пристрою. Цей процес також використовує відомі методи реалізації атак для того, щоб повністю підтвердити передбачувані вразливості та виявити інші вразливості, які не можуть бути виявлені пасивними методами, наприклад схильність атак типу "відмова в обслуговуванні" ("denial of service").
Насправді зазначені механізми реалізуються такими кількома методами.
"Перевірка заголовків" (banner check)
"Активні зондувальні перевірки" (active probing check)
"Імітація атак" (exploit check)
4) Які етапи сканування виділяють в роботі сканерів вразливостей?
Практично будь-який сканер проводить аналіз захищеності у кілька етапів:
Збір інформації про мережу. На даному етапі ідентифікуються всі активні пристрої в мережі та визначаються запущені на них послуги та демони. У разі використання систем аналізу захищеності на рівні операційної системи цей етап пропускається, оскільки на кожному аналізованому вузлі встановлені відповідні агенти системного сканера.
Виявлення потенційних уразливостей. Сканер використовує описану вище базу даних для порівняння зібраних даних з відомими вразливими за допомогою перевірки заголовків або активних зондувальних перевірок. У деяких системах уразливості ранжуються за рівнем ризику. Наприклад, у системі NetSonar уразливості поділяються на два класи: мережеві та локальні вразливості. Мережеві вразливості (наприклад, що впливають на маршрутизатори) вважаються більш серйозними порівняно з уразливістю, характерними лише робочих станцій. Аналогічним чином "надходить" і Internet Scanner. Всі вразливості в ньому поділяються на три ступені ризику: високий (High), середній (Medium) та низький (Low).
Підтвердження вибраних уразливостей. Сканер використовує спеціальні методи та моделює (імітує) певні атаки для підтвердження факту наявності вразливостей на вибраних вузлах мережі.
Генерація звітів. За підсумками зібраної інформації система аналізу захищеності створює звіти, що описують виявлені вразливості. У деяких системах (наприклад, Internet Scanner та NetSonar) звіти створюються для різних категорій користувачів, починаючи від адміністраторів мережі та закінчуючи керівництвом компанії. Якщо перших насамперед цікавлять технічні деталі, то для керівництва компанії необхідно подати красиво оформлені із застосуванням графіків та діаграм звіти з мінімумом подробиць. Важливим аспектом є наявність рекомендацій щодо усунення виявлених проблем. І тут по праву лідером є система Internet Scanner, яка кожної вразливості містить покрокові інструкції усунення вразливостей, специфічні кожної операційної системи. У багатьох випадках звіти також містять посилання на FTP- або Web-сервера, що містять patch і hotfix, що усувають виявлені вразливості.
Автоматичне усунення уразливостей. Цей етап дуже рідко реалізується в мережевих сканерах, але широко застосовується у системних сканерах (наприклад, System Scanner). При цьому ця можливість може реалізовуватися по-різному. Наприклад, System Scanner створює спеціальний сценарій (fix script), який адміністратор може запустити для усунення вразливості. Одночасно зі створенням цього сценарію створюється і другий сценарій, що скасовує зроблені зміни. Це необхідно в тому випадку, якщо після усунення проблеми нормальне функціонування вузла було порушено. В інших системах можливості "відкату" не існує.
5) Які існують типи сканування портів? Що передує процесу сканування портів?
Перевірка доступності
Перш ніж почати комплексне сканування корисно буде впевнитись, що за цільовою адресою знаходиться працюючий пристрій.
Ця задача вирішується шляхом надсилання Echo-повідомлень протоколу ICMP за допомогою утиліти ping з послідовним перебором усіх ip-адрес мережі
Аналізуючи трафік і відстежуючи Echo-повідомлення, що надсилаються за короткий проміжок часу до всіх хостів, можна виявити спроби сканування
SYN-сканування
Сканер портів генерує IP-пакети і відслідковує відповіді на них. Цю техніку називають скануванням із використанням напіввідкритих з'єднань, оскільки повна TCP/IP-сесія повністю ніколи не відкривається. Сканер портів генерує пакет SYN. Якщо порт на кінцевому хості відкритий, то з нього прийде пакет SYN-ACK. У відповідь сканер відправляє пакет RST, який закриває з'єднання ще до того як завершується встановлення сесії