Мета роботи

Організація безпеки за допомогою утиліт, що виявляють уразливості локальної мережі

Лабораторна робота № 4

Вивчити методи захисту мережі. НавчитИся здійснювати моніторинг існуючих мережних з'єднань і відкритих портів у комп'ютерній мережі за допомогою утиліт TCPView і XSpider, під керуванням операційної системи сімейства Windows.

Ключові положення

TCPView - це утиліта, призначена для ОС Windows, яка виводить на екран списки кінцевих вузлів всіх установлених у системі з'єднань за протоколами TCP і UDP з докладними даними, у тому числі із вказівкою локальних і вилучених адрес і стану TCP-з'єднань, повідомляє ім'я процесу, якому належить кінцевий вузол. При запуску утиліта TCPView перераховує всі з'єднання TCP і UDP, конвертує всі IP-адреси в доменні назви.

XSpider – це засіб мережного аудита, призначений для пошуку уразливостей на серверах і робочих станціях. XSpider дозволяє виявляти уразливості на комп'ютерах, що працюють під керуванням різних операційних систем: AIX, Solaris, Unix-Системи, Windows і ін. Програма працює під керуванням MS Windows 95/98/Millenium/NT/2000/XP/.NET.

Ключові питання

1. Поясніть призначення утиліт TCPView і XSpider. У чому полягає принципова відмінність даних утиліт?

2. При яких факторах можливе перевантаження каналу утиліти XSpider? Яким чином можна боротися з даним перевантаженням?

3. Призначивши для кожного завдання певний розклад роботи, які переваги ви одержуєте?

4. Для чого бажано задати інтервал, протягом якого створюваний автоматичний розклад буде активним?

5. Які типи уразливостей можна виявити за допомогою утиліти XSpider?

6. За портами яких мережних служб ведеться спостереження за допомогою сканера безпеки XSpider?

7. Поясніть призначення сервісу «Перевизначення уразливості».

8. Де зберігається, за замовчуванням, файл портів утиліти XSpider і яким чином ви можете настроїти сканування тільки за певними портами?

9. Поясніть поняття евристичних методів пошуку уразливостей. У чому перевага даного методу?

10. Яким чином можна автоматизувати роботу утиліти XSpider?

Завдання до лабораторної роботи

1. Відкрийте утиліту TCPView. При запуску ви побачите список всіх активних кінцевих вузлів з'єднань за протоколами TCP і UDP. Ознайомтеся з основними пунктами меню. Змініть період відновлення інформації, за допомогою пункту «Період відновлення» (Refresh Rate» у меню «Параметри» Options). Якщо в період між відновленнями стан кінцевих вузлів мережі змінився, вони виділяються жовтим кольором, якщо вузол не знайдено, то червоним кольором, нові вузли мережі відображаються зеленим кольором.

2. Занесіть до протоколу результати сканування відкритих з'єднань.

3. Закрийте встановлені підключення за протоколами TCP/IP, з станом «Установлене» (ESTABLISHED), за допомогою пункту «Закрити підключення» (Close Connections) у меню «Файл» (File). Закрийте утиліту TCPView.

4. Відкрийте утиліту XSpider. Вивчіть основні пункти меню, скориставшись документацією з меню «Довідка».

5. Сформуйте завдання для сканування, для цього створіть нове робоче вікно XSpider і додайте список робочих станцій. Для цього виберіть команду меню «Виправлення/Додати». У вікні, що з’явилося, задайте IP-адресу,іменаабо діапазон комп'ютерів, згідно завданню. Обмежте одночасне сканування, тільки для двох робочих станцій.

6. Створіть свій профіль сканування, для цього виберіть пункти «Профіль», «Створення нового профілю». Визначте набір настроювань для сканування, виходячи з завдання. Для цього в діалозі, що з'явився, у дереві настроювань виберіть пункт «Сканер уразливостей/Визначення уразливостей». Збережіть створені вами завдання.

7. Запустіть сканування. Для цього виберіть відповідну команду з меню «Сканування».

8. Перескануйте окремі сервіси. Це може знадобитися в деяких особливих ситуаціях, наприклад, для підтвердження наявності DoS-уразливості. Іноді, при поганій якості зв'язку перевіряється можливе помилкове визначення DoS-уразливості, коли зв'язок з вузлом перервався випадково, а XSpider зробив висновок, що пройшла DoS-атака. У цьому випадку можна провести повторне сканування відповідного сервісу й при повторному виявленні уразливості більш упевнено зробити висновок про її наявність.

9. Заплануйте запуск вашого завдання за допомогою планувальника. Для цього викличте з меню «Розклад/Створити» майстер створення розкладу. Виберіть ваше завдання для автоматизації зі списку збережених завдань у директорії Tasks або натисніть «Огляд», якщо потрібне завдання перебуває не в директорії Tasks. Виберіть інтервал періодичності перевірок, інтервал, протягом якого створюваний розклад буде активним. Задайте автоматичну генерацію й параметри звіту після кожного автоматичного виконання завдання.

10. За результатами кожного сканування згенеруйте звіт про поточне сканування. Для цього виберіть команду з меню «Сервіс/Створити звіт», у вікні «Майстер створення звіту». Виберіть формат звіту. RTF, потім виберіть варіант звіту.

11. Проаналізуйте результати сканування вашого завдання. Занесіть до протоколу результат сканування.

12. Занесіть до протоколу порівняльну характеристику отриманих вами результатів за допомогою утиліт TCPView і XSpider.

Варіанти завдань для виконання лабораторної роботи:

1. 172.16.1.11, Inet-2, Inet-5. Вам необхідно перевірити мережу на уразливість в «безпечному» режимі, без DoS-атак, у мережі немає сервера баз даних.

2. 172.16.1.66, Inet-3, Inet-4. Вам необхідно перевірити мережу на уразливість нових DoS-атак, за допомогою евристичного методу.

3. З 172.16.1.8 по 172.16.1.10. Вам необхідно перевірити мережу на уразливість за допомогою аналізатора скриптів, включивши складну перевірку всіх скриптів.

4. 172.16.1.33, Inet-7, Inet-10. Вам необхідно перевірити мережу на уразливість протоколів, для передачі/прийому пошти, використовуючи розширені словники логинів і паролів.

5. 172.16.1.77, Inet-1, Inet-6. Вам необхідно перевірити мережу на уразливість, збільшивши час пошуку одного вузла до 5 секунд.

6. 172.16.1.44, Inet-5, Inet-8. Вам необхідно перевірити мережу на уразливість, використовуючи весь діапазон портів, з 1 по 65535.

7. 172.16.1.55, Inet-2, Inet-9. Вам необхідно перевірити мережу на уразливість, визначаючи операційну систему вузлів, за допомогою Nmap.

8. З 172.16.1.5 по 172.16.1.8. Вам необхідно перевірити мережу на уразливість у полях запиту Cookie.

9. 172.16.1.99, Inet-1, Inet-4. Вам необхідно перевірити мережу на уразливість, збільшивши кількість директорій, що перевіряються, на підбір пароля до 10.

10. 172.16.1.88, Inet-7, Inet-6. Вам необхідно перевірити мережу на уразливість, якщо у вашій мережі немає поштового й ftp сервера, немає СУБД. Для прискорення роботи утиліти, відключіть невикористовувані параметри.

11. З 172.16.1.1 по 172.16.1.5. Вам необхідно перевірити мережу на уразливість, збільшивши кількість потоків для пошуку до 100.

12. 172.16.1.22, Inet- 3, Inet-9. Вам необхідно перевірити мережу на уразливість, збільшивши час очікування сканування портів.

Зміст протоколу

До протоколу внести звіт, докладну інформацію про всі робочі станції, сервіси, уразливості, які було скановано. Також потрібен звіт про статистику і перелік виявлених уразливостей, звіт про перелік виявлених портів і сервісів для кожного вузла, звіт про угруповання вузлів, із сортуванням за убування небезпек, звіт про угруповання за уразливостей, із сортуванням за убування небезпеки. Діаграму за історії сканування завдання.

Зробіть висновок про продуктивність розглянутих вами утиліт, з погляду забезпечення безпеки в локальних комп'ютерних мережах.