Організація безпеки механізму аутентифікації при перехопленні парольних хешей і їхньої розшифровки
Організація безпеки локальної мережі при використанні утиліт, що реалізують моніторинг трафіка
Network Monitor поставляється у двох версіях: спрощеній, котра включена в ОС Windowsі повній, що ввійшла до складу окремого продукту Systems Management Server. Спрощена версія може контролювати тільки локальний трафік, тобто тільки ті кадри, які приймаються мережним адаптером робочої станції, що відслідковується.
Повна версія програми фіксує повністю весь трафік у мережі, при підключенні до іншого сервера або робочої станції, на яких установлений Network Monitor і дозволяє контролювати вилучену систему.
В утиліту Network Monitor входять фільтри, що дозволяють виділити спеціальну інформацію при більших мережних потоках; фільтри захвата, що вибирають із всієї захопленої інформації ту, котра необхідна; і тригери, що дозволяють системі виконувати певні дії з даними, що утримуються в пакетах.
Після запуску програми, вибирається мережа, трафік якої буде контролюватися.
Вибір мережі робиться за допомогою меню Capture і пункту Networks. У панелі, що з'явилася, відображаються всі мережні інтерфейси, які є в даному комп'ютері, мережні адаптери, COM-порти служби RAS, якщо вона встановлена на комп'ютері.
Утиліта Iris The Network Traffic Analyzer, крім стандартних функцій збору, фільтрації й пошуку пакетів, побудови звітів, має можливість реконструювання даних. Iris The Network Traffic Analyzer допомагає відтворити сеанси роботи користувачів з різними ресурсами.
Технологія реконструювання даних, реалізована в модулі дешифрування (decode module), яка перетворює зібрані двійкові мережні пакети у вихідний вид, розширюючи можливості наявних засобів моніторингу й аудита.
Аналізатор пакетів, дозволяє зафіксувати різні деталі атаки, такі як дата й час, IP-адреси й DNS-імена комп'ютерів зловмисника, а також використані порти.
Аналізатор пакетів, може відтворити точну, аж до натискання клавіш і рухів миші, картину вторгнення, що необхідна для усунення наслідків атаки й посилення заходів безпеки. Аналізатор пакетів дозволить підсилити захист корпоративної мережі.
Основне завдання утиліти Cain&Abel – це відновлення паролів. Відновити можна паролі входу в систему, загальні паролі, паролі екранної заставки, паролі доступу до мережі й будь-які інші, кешируємі в системі, у зовнішньому PWL-Файлі або в системному реєстрі. Cain&Abel не використовує системних уразливостей, однак має досить потужні засоби дешифрування.
Програма Cain&Abel за принципом дії не ставиться до мережних сканерів, але демонструє одну з методик зловмисників, використовувану для збору інформації про атакуєму систему. У результаті успішно проведеної операції, названої розроблювачами Arp Poison Routing (APR), на обрані комп'ютери впроводжують сфальсифіковані зв'язки мережних і апаратних адрес комп'ютерних систем. У результаті весь трафік між атакованими комп'ютерами починає пересилатися через систему зловмисника. Утиліта Cain&Abel дозволяє виступати одночасно в якості ARP spoofer і перехоплювача RDP трафіка між обраними вузлами.