І. Создание профиля для сканирования уязвимостей ОС Windows XP Professional.

 

1. Определите IP-адрес компьютера, на котором вы работаете.

2. Запустите программу XSpider.

3. В меню "Профиль" настроить базовый профиль (Default), для чего выполнить нижеприведенные действия.

4. В дереве настроек портов в пункте "Сканер портов" задать "Новый файл портов" под названием "LabWork ports".

5. Добавить порты: 80, 123, 135, 137, 139, 3306.

6. Новые порты сохранить как файл LabWork.prt.

7. Из списка файлов портов выбрать созданный файл портов.

8. В настройках задать функцию "Определение уязвимостей". Произвести проверку на новые Dos-атаки (эвристический метод).

9. Осуществить выполнение функции: "Сложная проверка прикладных скриптов".

10. Сохранить файл как LabWork.prf. Таким образом, профиль для последующего сканирования создан.

ІІ. Поиск уязвимостей ОС Windows XP Professional

 

Сначала нужно с помощью XSpider выполнить сканирование хоста с ОС Windows XP Professional для обнаружения имеющихся уязвимостей. Для этого:

1. Запустить программу XSpider.

2. Добавить хост для сканирования. Для чего введите IP-адрес или DNS-имя компьютера, на котором вы работаете.

3. Выбрать профиль для сканирования LabWork.prf.

4. Запустить сканирование. Разрешить использование проверок DoS-атаками.

5. По окончании сканирования снимите скриншот окна в отчет по лабораторной работе.

ІІІ. Просмотр и исправление обнаруженных уязвимостей

 

В этом упражнении вы просмотрите результаты сканирования хоста программой XSpider и исправите некоторые обнаруженные уязвимости.

1. Перейдите на вкладку "Уязвимости" главного окна программы XSpider. Вы увидите, что по умолчанию обнаруженные уязвимости упорядочены по степени их опасности. Серьезные уязвимости находятся вверху списка (красные), предупреждения - внизу (зеленые). Рассмотрим и примем меры к устранению некоторых обнаруженных уязвимостей.

2. Нажмите на заголовок столбца "Порт", чтобы упорядочить соответствующим образом все найденные уязвимости. Рассмотрим уязвимости сервиса NetBIOS, который работает через порт 139 / TCP.

3. Найдите в списке уязвимость (оранжевая) "Неочищаемая виртуальная память". Щелкните два раза левой кнопкой мыши на нее. Снимите скриншот данного окна в отчет по лабораторной работе.

4. Откроется окно с описанием уязвимости. Выполните действия по устранению данной уязвимости, описанные в области "Решение".

5. Повторите шаги 3, 4 для уязвимости "Слабое шифрование" (оранжевая) и "Scheduler Service" (зеленая). Снимите скриншот данных окон в отчет по лабораторной работе.

6. Далее найдите в списке уязвимость (красная) "Обновления Windows". Щелкните по ней два раза левой кнопкой мыши.

7. Откроется окно с описанием уязвимости. Вы увидите список обновлений, которые следует установить на данный компьютер.

8. Снимите скриншот данного окна в отчет по лабораторной работе.

 

Содержание отчета

 

1. В отчет включить скриншоты, снятые при выполнении пунктов І,ІІ,ІІІ.

2. Сделать выводы по выполнению этих пунктов задания.

ЛАБОРАТОРНАЯ РАБОТА №3

 

Исследование и анализ функционирования протокола ARP

 

Цель работы

 

Изучить назначение и основные принципы функционирования протокола ARP, получить практические знания по указанным вопросам путем анализа ARP-трафика и применения утилит ОС Windows 2000, ознакомиться с принципами защиты ARP от атак и взломов.

 

1.2 Методические указания по организации самостоятельной работы студентов

 

1.2.1 Основные понятия

 

Протокол ARP

В пределах локальной сети Ethernet МАС-адрес служит для идентификации сетевой карты. Его длина составляет 6 байт, он является уникальным во всемирном масштабе и хранится в постоянном запоминающем устройстве каждой сетевой карты. Однако приложения, выполняющиеся на отдельных хостах в локальной сети, используют для адресации известный им IP-адрес партнера по коммуникации. Сетевой протокол ARP в соответствии с эталонной моделью TCP/IP находится на межсетевом уровне. Зная IP-адрес партнера в той же подсети, хост, собирающийся начать передачу, может посредством ARP установить его МАС-адрес, чтобы в итоге сформировать кадр Ethernet с необходимыми данными.

В оптимальном случае хост определяет МАС-адрес желаемого партнера без дополнительных запросов по сети: каждый хост ведет собственную таблицу ARP, где содержится известное число пар IP-МАС. Эта таблица, как правило, изменяется динамически.

Если соответствующая запись для желаемого IP-адреса отсутствует, то хост должен запросить сведения о нем в подсети: в обычном режиме любая сетевая карта обращает внимание только на кадры Ethernet, в заголовке которых имеется ее собственный МАС-адрес, пропуская все остальные. Для одновременной адресации сетевых карт всех хостов сегмента Ethernet хост использует так называемый широковещательный адрес Ethernet (FF-FF-FF-FF-FF-FF в шестнадцатеричной форме). Таким образом, вопрос относительно МАС-адреса у IP-адреса 192.168.1.3 звучит следующим образом: «Я, 192.168.1.2, с МАС-адресом 12-34-56-78-9А-01, хочу знать, кто такой 192.168.1.3?»

Этот запрос называется запросом ARP. Его просматривает каждая сетевая карта и каждый хост. При получении хостом запроса ARP, где содержится его IP-адрес, последний отсылает ответ — отклик ARP. Поскольку в пределах по крайней мере одного сегмента Ethernet один IP-адрес может использоваться единственным хостом, то теоретически ответ ARP также может отсылать только один хост. В ответе ARP он передает запрашивающему хосту свой МАС-адрес: «192.168.1.3 — это я, мой МАС-адрес 12-34-56-78-9А-01!»

Таблица ARP выглядит тогда следующим образом (флаг «С» означает, что запись закончена):

# arpIP-адрес МАС-адрес Флаги192.168.1.2 12-34-56-78-9А-01 С192.168.1.3 12-34-56-78-9А-02 С

 

Зная МАС-адрес получателя, передающий хост может теперь отправить первый инкапсулированный в кадр Ethernet пакет IP. Новый МАС-адрес он сохраняет в своей таблице ARP так же, как и получатель сохраняет у себя пару IP-МАС отправителя, если она не была известна ему до сих пор. Отправляя запросы ARP, хосты исходят из того, что отклик ARP правилен и аутентификации данных не производится.

Таблицы ARP организованы как кэш-память: если запись не используется на протяжении определенного времени (зависящего от реализации, но обычно — несколько минут), она становится недействительной и удаляется из таблицы. Кроме того, наиболее редко запрашиваемые записи переписываются также в числе первых.

ARP — протокол без учета состояния. Получив ответ ARP, хост его обрабатывает независимо от того, посылал ли он запрос ARP или нет. Такой образ действий — слабое место ARP, но он был реализован по причинам производительности.

Протоколы верхнего уровня не могут отличить случай повреждения в среде ethernet от случая отсутствия машины с искомым IP-адресом. Во многих реализациях в случае, если IP-адрес не принадлежит локальной сети, внешний порт сети (gateway) или маршрутизатор откликается, выдавая свой физический адрес (режим прокси-ARP).

Функционально формат пакета, ARP делится на две части. Одна - определяет физический адрес при посылке пакета, другая отвечает на запросы других машин. ARP-таблицы имеют динамический характер, каждая запись в ней "живет" определенное время после чего удаляется. Администратор сети может осуществить запись в ARP-таблицу, которая будет храниться "вечно". ARP-пакеты вкладываются непосредственно в ethernet-кадры. Формат arp-пакета показан на рисунке 3.1.

Рисунок 3.1 - Формат пакета ARP

 

HA-Len - длина аппаратного адреса; PA-Len – длина протокольного адреса (длина в байтах, например, для IP-адреса PA-Len=4). Тип оборудования - это тип интерфейса, для которого отправитель ищет адрес; код содержит 1 для Ethernet. Ниже представлена таблица 3.1 кодов оборудования и таблица 3.2 кодов протоколов.

 

Таблица 3.1 - Коды оборудования

Код типа оборудования	Описание
	Ethernet (10 Мбит/с)
	Экспериментальный Ethernet (3 Мбит/с)
	Радиолюбительская связь через X.25
	Proteon ProNET маркерная кольцевая сеть (Token Ring)
	Chaos
	Сети IEEE 802
	ARCNET

 

Таблица 3.2 - Коды протоколов (для IP это 0800H).

Код типа протокола	Описание
Десятичное значение	Hex
		XEROX PUP
		PUP трансляция адреса
		XEROX NS IDP
		DOD Internet протокол (IP)
		X.75 Internet
		NBS Internet
		ECMA Internet
		Chaosnet
		X.25 уровень 3
		Протокол трансляции адреса (ARP)
		XNS совместимость
	0A00	Xerox IEEE-802.3 PUP
		Bercley Trailer
		BBN Simnet
		DEC MOP Dump/Load
		DEC MOP удаленный терминал
		DEC DECnet фаза IV
		DEC LAT
		DEC
		DEC
		HP Probe
		Excelan
		Реверсивный протокол ARP (RARP)
		DEC LANbridge
		Appletalk
	814C	SNMP

 

Поле код операции определяет, является ли данный пакет ARP-запросом (код = 1), ARP-откликом (2), RARP-запросом (3), или RARP-откликом (4). Это поле необходимо, как поле тип кадра в Ethernet пакетах, они идентичны для ARP-запроса и отклика.

ARP-таблицы строятся согласно документу RFC-1213 и для каждого IP-адреса содержит четыре кода:

 

If_index	Физический порт (интерфейс), соответствующий данному адресу;
Физический адрес	MAC-адрес, например Ethernet-адрес;
IP-адрес	IP-адрес, соответствующий физическому адресу;
Тип адресного соответствия	Это поле может принимать 4 значения: 1 - вариант не стандартный и не подходит ни к одному из описанных ниже типов; 2 - данная запись уже не соответствует действительности; 3 - постоянная привязка; 4 - динамическая привязка;

 

Утилита ОС Windows для работы с arp-таблицами

 

C:\ arp

 

Отображение и изменение таблиц преобразования IP-адресов в физические, используемые протоколом разрешения адресов (ARP).

 

ARP -s inet_addr eth_addr [if_addr]

ARP -d inet_addr [if_addr]

ARP -a [inet_addr] [-N if_addr]

 

-a Отображает текущие ARP-записи, опрашивая текущие данные

протокола. Если задан inet_addr, то будут отображены IP и

и физический адреса только для заданного компьютера.

Если более одного сетевого интерфейса используют ARP,

то будут отображаться записи для каждой таблицы.

-g То же, что и ключ -a.

inet_addr Определяет IP-адрес.

-N if_addr Отображает ARP-записи для заданного в if_addr сетевого

интерфейса.

-d Удаляет узел, задаваемый inet_addr. inet_addr может содержать

символ шаблона * для удаления всех узлов.

-s Добавляет узел и связывает internet адрес inet_addr

с физическим адресом eth_addr. Физический адрес задается

6 байтами (в шестнадцатеричном виде), разделенных дефисом.

Эта связь является постоянной.

eth_addr Определяет физический адрес.

if_addr Если параметр задан, - он определяет интернет адрес интерфейса,

чья таблица преобразования адресов должна измениться.

Eсли не задан, - будет использован первый доступный интерфейс.

Пример:

> arp -s 157.55.85.212 00-aa-00-62-c6-09... Добавляет статическую запись.

> arp -a... Выводит ARP-таблицу.

 

Уязвимости и потенциальные точки атак.

По мнению многих администраторов, прослушивание невозможно, когда сегменты сети Ethernet связаны посредством коммутатора, т. е. имеют топологию «звезда» с выделенным соединением для каждого хоста: благодаря коммутатору хост видит лишь те пакеты данных, которые посланы именно ему. При этом коммутатору известно, какому из подключенных к его портам хостов он должен отправить кадр Ethernet в зависимости от МАС-адреса. Две следующие атаки называются спуфингом (подделкой).

Первый метод известен также как «отказ в обслуживании»: атакующий отправляет хосту поддельный ответ ARP, в результате IP-адресу маршрутизатора подсети ставится в соответствие несуществующий МАС-адрес. Доверившись этой информации, хост оказывается изолированным. Те кадры, которые он после этого отправляет в другой сегмент, не могут его покинуть.

Наиболее неприятные последствия для целостности передаваемых данных следует ожидать от атаки с промежуточной инстанцией Man in the Middle. В этом случае атакующему в локальной сети удается поставить МАС-адрес своего хоста в соответствие IP-адресу другого. Например, злоумышленник М собирается просматривать трафик между хостами А и В. IP-адрес участника х обозначим как IP-х, соответствующий МАС-адрес — как МАС-х. На основании предшествующего наблюдения за сетью атакующий М знает пары IP-МАС для А и В. М отсылает ответ ARP с IP-адресом В, но со своим МАС-адресом участнику А. Как уже упоминалось, ARP — протокол без учета состояния. А не замечает, что он не отсылал запроса ARP на МАС-адрес В путем широковещания в подсети и, не сомневаясь в подлинности пары запроса ARP, включает пару (IP-B, MAC-M), в свою таблицу ARP. Аналогичный поддельный ответ ARP (IP-адрес А и собственный МАС-адрес М) М посылает В. На Рисунке 3.2 представлена ситуация без спуфинга и с успешным спуфингом ниже.

.

Рисунок 3.2 - а) ситуация до спуфинга, b) после нападения.

 

Теперь любая коммуникация между А и В проходит через М. Пока М не предпринимает никаких действий, эта ситуация не заметна ни для А, ни для В. Если А и В не являются обычными хостами в сети, т. е., к примеру, А — это персональный компьютер, а В — маршрутизатор подсети, создается пикантное положение, когда М может читать трафик А в полном объеме, включая трафик Internet. Это прослушивание распространяется на все — от паролей до персональных данных. Предположительно безопасные соединения по протоколу SSL, который в случае защищенных страниц Web используется, в частности, при интерактивных банковских операциях, или по протоколу SSH — для организации шифруемого сеанса с сервером — при определенных обстоятельствах также могут просматриваться атакующим.

Контрмеры.

Превентивным методом является статичный ARP. В этом случае каждому хосту приписывается пара адресов IP-MAC, которая в таблице ARP определяется как «статичная» (в приведенной таблице ARP у каждой такой записи в столбце «Флаги» стояла бы буква «М»). Указанные записи больше не изменяются при получении запросов и ответов ARP. Однако подобная мера влечет за собой чрезмерные издержки на администрирование и потому неприемлема в крупных сетях. Кроме того, в Microsoft Windows версий 9x, NT и 2000 статические записи ARP все равно можно изменять при помощи соответствующих запросов ARP.

Простое решение для обнаружения злоумышленников предлагает программа ARPwatch: она наблюдает за сегментом локальной сети и ведет собственную таблицу пар адресов IP-МАС. При появлении отклика ARP с известным IP-адресом, но с МАС-адресом, не содержащимся в ее внутренней таблице, ARPwatch извещает системного администратора по электронной почте.

Система обнаружения вторжения Snort также обладает препроцессором arpspoof, функциональность которого соответствует ARPwatch. Правда, администратор должен сам задавать действительную таблицу ARP.

Против перечисленных контрмер говорят ошибки при реализации (статический ARP в Microsoft Windows) или слишком высокие издержки администрирования, когда администратору приходится самому составлять фиксированные пары адресов IP-МАС. Средние и крупные предприятия с сотнями и тысячами хостов уже не смогут воспользоваться этим методом. ARPwatch лучше всего подходит для небольших сетевых сред. Однако в современных сетях в качестве основного нокаут-критерия выступает протокол динамической конфигурации хоста (Dynamic Host Configuration Protocol, DHCP), который используется для динамического распределения IP-адресов между хостами. ARPwatch отреагировал бы на него множеством сообщений о псевдоатаках.

Решение ARP Guard компании ISL призвано ликвидировать опасность спуфинга ARP и восполнить недостающие звенья в семействе продуктов для распознавания. Система ARP Guard состоит из датчиков для определения атак спуфинга ARP и системы управления для оценки и дальнейшей обработки сообщений от этих датчиков. В случае нападения система управления автоматически оповещает о случившемся лиц, ответственных за безопасность. Датчики ARP Guard анализируют сообщения ARP в отдельных сетевых сегментах, для чего подключаются к каждому коммутатору локальной сети через имеющийся зеркальный порт. Датчики ARP Guard для локальных сетей могут устанавливаться на отдельных персональных компьютерах и на любых не слишком загруженных рабочих станциях. Каждый из них может наблюдать за восемью коммутаторами. В более крупных сетях датчики каскадируются и распределяются по отдельным сетевым сегментам (см. рисунок 3.3). Для еще более крупных сетей, где повсеместное наблюдение при помощи датчиков слишком дорого, ISL разработала решение, где их функции возлагаются на маршрутизаторы с поддержкой SNMP. Один датчик SNMP обеспечивает наблюдение за таблицами ARP нескольких сотен маршрутизаторов и информирует обо всех происходящих изменениях с помощью средств управления.

 

 

Рисунок 3.3 - Датчики системы ARP Guard распознают смену отношений IP-MAC.

 

Отдельные датчики ARP Guard взаимодействуют с системой управления ARP Guard посредством шифруемых соединений IP. Система управления анализирует сообщения и готовит их для сетевого администратора, которого она оповещает по SMS или электронной почте. Кроме того, все изменения в таблицах ARP протоколируются и доступны для просмотра через внешний интерфейс Web. С помощью этого интерфейса администратор может конфигурировать систему. Кроме того, ARP Guard работает с DHCP и учитывает смену пар адресов IP-MAC вследствие динамического распределения IP-адресов. Сама система защищена от атак спуфинга ARP.