Організація безпеки даних, при використанні засобів виявлення мережних атак
Лабораторна робота № 5
Мета роботи
Вивчити принцип роботи засобу виявлення мережних атак і сканерів портів (сніфферів) у комп'ютерній мережі, на прикладі утиліти APS.
Ключові положення
Програма відкриває описані в базі даних порти й працює в режимі, що чекає, виходячи з нього тільки в моменти звертання до порту, що прослуховується. Це відрізняє APS від Firewall, який аналізує кожний пакет, що приходить з мережі. У такий спосіб APS споживає малу кількість ресурсів, не навантажує процесор та практично не використовує системні ресурси.
Принцип роботи програми заснований на прослуховуванні портів, описаних у базі даних. Якщо адміністраторові відомий порт, використовуваний троянською або Backdoor програмою, існує можливість створити користувальницьку базу даних. При виявленні спроби підключення до порту, що прослуховується, програма фіксує факт підключення в протоколі, аналізує отримані після підключення дані й для деяких сервісів передає так званий банер, деякий набір текстових або бінарних даних переданих реальним сервісом після підключення.
Ключові питання
1. Для чого призначена утиліта APS?
2. Якими достоїнствами володіє утиліта APS?
3. Для чого служить фільтр утиліти APS?
4. Що містить закладка настроювання системи імітації сервісів UDP? Для організації яких атак, може застосовуватися відгук за UDP портами, при включенні імітації сервісів UDP?
5. Поясніть призначення користувальницької бази портів.
6. Які варіанти можливі при виборі протоколу у вікні редактора користувальницької бази портів?
7. Які динамічні елементи може містити текст «банера»?
Завдання до лабораторної роботи
1. Запустіть сканер портів XSpider на сканування сусідніх робочих станцій з виявленням можливості DoS-атак.
2. Запустіть утиліту APS для виявлення факту сканування портів за протоколами TCP, UDP і розсилання UDP broadcast пакетів для заданих портів.
3. Настройте утиліту APS. Для цього з пункту меню «Сервіс/Настроювання» викличте діалогове вікно «Настроювання».
4. Відкрийте вкладку «Загальні настроювання», категорію «Інтерфейс». Ознайомтесь з можливостями даного меню. Відключіть перемикач звукового сигналу при виявленні атаки й задайте опцію розкриття вікна при виявлені атаки. Включіть перемикач «Сортування списку портів після їхнього завантаження», для автоматичного сортування бази портів за номером порту. Задайте автоматичне стартування програми при старті системи.
5. Відкрийте вкладки «Оповіщення», «Звіти», «Протоколювання» призначені, відповідно, для настроювання оповіщення адміністраторів за мережею, що ведеться за допомогою відправлення повідомлень на mailslot з ім'ям «messngr» і є аналогом виконання команди NET SEND, для настроювання передачі інформації службі SysLog серверів, для передачі звітів електронною поштою, для настроювання системи протоколювання утиліти. Ознайомтесь з можливостями даного меню. Зробіть настроювання, відповідно до завдання.
6. Для зміни складу інформації повідомлень і листів, що відправляються утилітою APS, створіть шаблон, що формує звіт у форматі XML, з необхідними для вас даними; шаблон, що формує мінімальний за обсягом звіт для відправлення по SMS, з необхідними для вас даними; шаблон, що формує таблицю CSV формату для аналізу в Excel, з необхідними для вас даними. Шаблони зберігаються в текстовому файлі з розширенням etf у директорії template. Формат шаблона:
[Info]
Name=назва шаблона
[Header]
...
[Footer]
...
[HackerInfo]
...
[HackerPortInfo]
...
Додаткові відомості про параметри секцій шаблона.
Секція Info містить обов'язковий параметр Name=<назва шаблона> і параметр MaxRecCount, що задає максимальну кількість записів, виведених у лист. Секції Header і Footer містять дані, одноразового виведені на початку й наприкінці листа. У цих секціях, крім довільного тексту, припустимі макроси, замінні в момент генерації листи значеннями, ці макроси припустимі в будь-якій секції: #VERSION# – версія програми; #DB_VERSION# – дата відновлення й версія бази портів; #TIME# – час формування листа; #LOCAL_IP# – IP адреса комп'ютера, на якому спрацював APS; #LOCAL_HOST# – ім'я комп'ютера, на якому спрацював APS. Секція HackerInfo містить шаблон, за яким формуються дані кожного з атакуючих вузлів. У цій секції припустимі макроси, замінні в момент генерації листи значеннями: #HACKER_IP#, IP – адреса атакуючого комп'ютера; #HACKER_HOST# – ім'я вузла для атакуючого IP; #ATTACK_START_DATE# – дата початку атаки; #ATTACK_START_TIME# – час початку атаки; #ATTACK_END_DATE# – дата завершення атаки; #ATTACK_END_TIME# – час завершення атаки; #ATTACK_COUNT# – кількість атак; #ATTACK_DOS_COUNT# – кількість підозр DоS; #ATTACK_PORT_COUNT# – кількість атакованих портів; #ATTACK_PORT_COUNT# – кількість атакованих портів; #ATTACK_PORT_DETAIL# – деталізовані дані про порти; #ATTACK_EXPRESS_TEST# – результати експрес-оцінки, чи є DoS, Flood, сканування, виводиться в текстовому виді в три рядки. Секція HackerInfo містить шаблон, за яким формуються дані кожного з атакованих портів. У цій секції припустимі макроси, замінні в момент генерації листи значеннями: #HACKER_IP# – IP-адреса атакуючого комп'ютера; #HACKER_HOST# – ім'я вузла для атакуючого IP; #PORT_NUM# – номер порту; #PORT_PROTO# – протокол TCP або UDP; #PORT_ATTACK_COUNT# – кількість атак по даному порту; #PORT_DOS_COUNT# – кількість підозр DоS по даному порту; #PORT_DATA_SIZE# – обсяг даних, отриманих по даному порту від атакуючих; #PORT_FLOOD_INFO# – ознака флуда в текстовому виді.
7. Натисніть кнопку «Тестувати настроювання», для тестування вірного настроювання відправлення оповіщень за мережею. При натисканні на цю кнопку програма відправить тестове повідомлення відповідно до поточних настроювань.
8. Відкрийте вкладку «Імітація сервісів» для настроювання системи імітації сервісів TCP. Ознайомтесь з можливостями даного меню. Зробіть настроювання відповідно до завдання. Зробіть настроювання імітації сервісів UDP, настроївши передачу випадкових даних замість відгуку з бази даних.
9. Відкрийте вкладку «Редагування користувальницької бази портів». Ознайомтесь з можливостями функцій, представлених у вікні редактора бази портів. У стовпці «Переданий текст» утримується текст банера. Задана в цьому полі інформація передається атакуючому вузлу після підключення до порту. Ознайомтесь з призначенням динамічних елементів, що утримуються, у даному стовпці.
10. Після настроювання утиліти APS, запустіть її знову й переконайтеся, що настроювання утиліти працюють.
Варіанти завдань для виконання лабораторної роботи(Настроювання параметрів звітів, оповіщень, протоколювання системи APS; Настроювання параметрів імітації сервісів):
1. Включіть перемикач «Використовувати оповіщення по мережі NET SEND», для активування режиму оповіщення за мережею. Заповніть поле «ПК адміністраторів», включивши імена NetBios комп'ютерів адміністраторів; Задайте дії утиліти APS при з'єднанні з атакуючим портом для передачі відгуку з бази даних APS атакуючому.
2. Дозвольте доступ до убудованого Web сервера формувача звітів з IP-адрес сусідніх комп'ютерів; Виключіть систему імітації, для того, щоб не проводити активної взаємодії з атакуючим і негайно розривати з'єднання з ним.
3. Включіть перемикач «Використовувати запис в Syslog на зазначених серверах» для керування режимом відправлення інформації служби Syslog. Занесіть у поле «Адреси серверів» список IP-адрес серверів мережі; Задайте дії утиліти APS при з'єднанні з атакуючим портом, для передачі відгуку атакуючому з бази даних APS, плюс блок даних змінної довжини, від 100 до 500 байт, заповненого випадковими даними.
4. Настройте режим відправлення звіту електронною поштою; Настройте дії програми після обміну з атакуючим, утримуючи з'єднання відкритим при відсутності Flood і розриваючи, при його наявності (поріг становить більше 60 підключень у хвилину).
5. Настройте оповіщення «тривоги» електронною поштою; Настройте передачу відгуку, із заданою, за допомогою регулятора ймовірністі, щоб внести додатковий фактор випадковості й спотворити результати сканування.
6. Задайте відправлення повідомлення для кожної події; Настройте дії програми після обміну з атакуючим, розриваючи з'єднання, після обміну з атакуючим з ініціативи утиліти APS.
7. Настройте пункт меню «Оповіщення» таким чином, щоб адміністратор одержував повідомлення від програми, тільки на локальному комп'ютері; Включіть режим утримання з'єднання, для утримання з'єднання з атакуючим, що сповільнить роботу деяких сканерів мережної безпеки.
8. Включіть перемикач «Розкривати вікно програми при виявленні атаки», для автоматичного відображення головного вікна програми, при виявленні спроби сканування портів; Настройте дії APS при з'єднанні з атакуючим портом таким чином, щоб атакуючому передавався буфер, заповнений випадковими байтами.
9. Настройте деталізацію листів, указавши відправлення списку атакуючих і даних про порти; Настройте дії APS при з'єднанні з атакуючим портом для передачі текстового рядка, заповненого випадковими символами.
10. Задайте правила найменування й ротації протоколів; Настройте дії програми після обміну з атакуючим, утримуючи з'єднання відкритим тривалий час.
11. Настройте відправлення повідомлень для кожної події сканування портів, що містять не статистику про атакуючих, а дані про кожне конкретне сканування; За допомогою перемикача «Включити емуляцію сервісів TCP» виключіть систему імітації сервісів TCP для негайно розриву з'єднання з атакуючим вузлом без передачі атакуючому вузлу будь-якої інформації.
12. Задайте інтервал між повідомленнями з інформацією про атаку в числове поле «Відправляти повідомлення не частіше, ніж один раз в XXX хвилин»; Настройте режим передачі випадкових даних, тому що наявність у відповіді APS випадкової інформації вводить в обман сканери мережної безпеки, утруднює й сповільнює їхню роботу.
Зміст протоколу
Опишіть необхідність використання утиліти APS і результат її роботи, на прикладі завдань, виконаних у лабораторній роботі. У звіт необхідно включити опис призначення пунктів меню «Сервіс/Настроювання» і «Редагування користувальницької бази портів». Опишіть, у яких випадках корисні опції зазначені й застосовані вами, у вашім варіанті. Занесіть до протоколу формат створених вами шаблонів. Опишіть призначення використовуваних у шаблоні параметрів.