Лабораторна робота № 6

Організація безпеки локальної мережі при використанні утиліт, що реалізують моніторинг трафіку

 

Мета роботи

Виявлення вторгнень у мережі Windows, виявлення сканування портів, повідомлення про спроби вторгнень. Вивчити на практиці механізм захисту локальних мереж за допомогою моніторингу. Для цього вивчити основи роботи з утилітами моніторингу мережного трафіка в локальній мережі, на прикладі Network Monitor.

Вміти набудовувати фільтри даної утиліти. Навчитися реконструювати сеанси, вести статистики за протоколами, комп'ютерами, завантаження мережі, розміром пакетів, за допомогою аналізатора трафіка EEYE IRIS.

Ключові положення

Утиліта Network Monitor використовується для аналізу й виявлення проблем у мережі. Network Monitor записує дані, передані й отримані комп'ютерами мережі, для наступного перегляду й аналізу цих даних. Кадри й пакети канального рівня записуються через прикладний рівень і представляються в графічному виді. Кадри й пакети містять інформацію:

– адресу відправника й адресата;

– порядкові номери;

– контрольні суми.

Утиліта Network Monitor розшифровує цю інформацію, дозволяючи аналізувати мережний трафік і вести журнал мережної активності. Крім даних канального рівня, Network Monitor відображає деякі дані прикладного рівня, наприклад протоколи http або FTP.

Ключові питання

1. На якому рівні семирівневої моделі OSI виробляється збір даних в утиліті Network Monitor?

2. Для чого потрібна утиліта Microsoft Network Monitor?

3. Яку інформацію про передані й отримані дані за мережею бачить адміністратор за допомогою утиліти Network Monitor?

4. Для чого служить і яким чином настроюється фільтр запису утиліти Network Monitor?

5. Для чого служить і яким чином настроюється фільтр відображення утиліти Network Monitor?

6. Яким чином можливе виявлення утиліти Network Monitor і яка інформація видається при виявленні даної утиліти?

7. Для чого потрібна утиліта eEye Iris?

8. Які настроювання й фільтри можна застосовувати в утиліті eEye Iris?

9. Дайте порівняльну характеристику Network Monitor і eEye Iris?

10. Поясніть, яким чином можна одержати інформацію про зловмисника за допомогою утиліт Network Monitor і eEye Iris?

Завдання до лабораторної роботи

1. Запустіть утиліту Network Monitor. Ознайомтеся з основними механізмами моніторингу мережного трафіка, а також з настроюваннями, представленими в пунктах меню Вид (View), Фрейми (Frames), (Capture), Фільтр (Filter), Властивості (Tools).

2. Настройте й запустіть перехоплення трафіка, залежно від вашого варіанта. Для цього скористайтеся вікном редактора фільтра запису (Capture Filter) або фільтра перегляду (Display Filter), що відкривається з вікном Capture. Через деякий час зупиніть перехоплення заданого трафіка. Для цього у меню Capture виберіть меню зупинки перехоплення.

3. Проаналізуйте отриманий мережний трафік. Занесіть до протоколу правило фільтра, яке ви використовували.

4. Запустіть утиліту eEye Iris. Ознайомтеся з основними механізмами моніторингу трафіка, а також з настроюваннями, представленими в основних пунктах меню.

5. Запустіть сканування трафіка. Через деякий час зупиніть утиліту. Виберіть фільтри перегляду, залежно від завдання.

7. Зрівняйте роботу двох, вивчених вами в даній лабораторній роботі, утиліт. Опишіть у протоколі розходження, достоїнства й недоліки кожної з них.

Варіанти завдань для виконання лабораторної роботи(Настроювання параметрів фільтрів):

1. Настройте перехоплення трафіка між двома сусідніми робочими станціями.

2. Настройте перехоплення трафіка між локальною робочою станцією й сусідньою.

3. Настройте перехоплення за протоколом ARP.

4. Настройте запис кадрів, що містять певний тип даних.

5. Настройте перехоплення всього мережного трафіка.

6. Настройте перехоплення тільки зовнішнього трафіка.

7. Відфільтруйте кадри для відображення широкомовних пакетів у мережі.

8. Відфільтруйте кадри для відображення адреси відправника й приймача кадру для канального й мережного рівнів.

9. Відфільтруйте кадри щоб відобразити кадри, для відправлення яких використовувався протокол ftp.

10. Відфільтруйте кадри щоб відобразити кадри, передані за протоколом TCP.

11. Відфільтруйте кадри щоб відобразити кадри, передані за протоколом IP

12. Відфільтруйте кадри щоб відобразити весь мережний трафік, крім широкомовних повідомлень.

Зміст протоколу

Розберіть рядок записаних даних і структуру кадрів у кожній з утиліт.

До протоколу внесіть відомості за обраного сегменту мережі, залежно від вашого завдання. Відомості повинні містити інформацію:

– про використання мережі;

– про кількість отриманих байт у секунду;

– про кількість отриманих кадрів у секунду.

Відомості повинні включати наступну інформацію:

– статистику сеансу;

– статистику робочої станції;

– загальну статистику.

Ознайомтеся з типами фільтра відображення й занесіть до протоколу таблицю різних способів фільтрування.