Защита от сканирования

[Deementor]

защита от прослушивания сети
Поскольку прослушивание сети в лучшем случае может вызывать раздражение, то очень важно выявлять все попытки таких действий. В зависимости от принятой в организации политики обеспечения безопасности можно также заблокировать прохождение пакетов, передаваемых при ping-прослушивании. Давайте рассмотрим обе возможности.
Выявление факта прослушивания

Как уже говорилось, ICMP- и TCP-прослушивание является общепринятым методом исследования сети перед непосредственной попыткой проникновения в сеть. Поэтому выявление факта прослушивания очень важно с точки зрения возможности получения информации о потенциальном месте проникновения и источнике угрозы. Один из основных методов выявления прослушивания состоит в использовании сетевой программы выявления вторжений, такой как Network Flight Recorder (NFR), или программы, установленной на исследуемом взломщиком узле. Ниже приведен алгоритм, который можно реализовать в программе, предназначенной для выявления факта прослушивания.
# Обнаружение прослушивания с помощью ICMP/Ping
# Автор — Стюарт Мак-Клар (Stuart McClure)
# Эта программа предназначена для выявления
ping-сканера, изучающего вашу сеть
# Для получения наилучших результатов
# установите нужные значения maxtime и maxcount.
ping_schema = library_schema::new(1,["time", "ip",
"ip","ethmac", "ethmac" ],
scope());
count = 0;
maxtime =10; # Время в секундах
maxcount =5; # Количество ICMP-запросов ECHO или запросов ARP,
# которое рассматривается как допустимое
dest = 0;
source = 0;
ethsrc = 0;
ethdst = 0;
time = 0;
filter icmp_paskets icmp( )
{
if (icmp.type == 0x08) # Проверка на ICMP-пакеты ECHO.
{
if ((source == ip.src) && (dest != ip.dst)) # Попался!
{
count = count + 1;
time = system.time;
}
else
count = 1;
dest = ip.dest;
source = ip.src;
ethsrc = eth.src;
ethdst = eth.dst;
} .
on tick = timeout ( sec: maxtime, repeat) call checkit;
}
func checkit;
{
if (count >= maxcount)
{
echo ("Обнаружен.ping-сканнер! Время: ", time, "\n");
record system.time, source, dest, eth.src, eth.dst
to the_record_ping; count = 0; dest = 0;
} else
{
dest = 0; count = 0;
}
return;
}
the_record_ping=recorder("bin/histogram
packages/sandbox/pingscan.cfg",
"ping_schema" );
Что касается защиты на уровне отдельного узла, для этого можно с успехом применять утилиты UNIX, которые позволяют выявлять и регистрировать попытки прослушивания. Если, просматривая файл журнала, созданный такой утилитой, вы обнаружите массированные ICMP-запросы ECHO, исходящие из одной и той же сети или от одного и того же узла, это, скорее всего, означает, что вашу сеть кто-то исследует. На такие факты необходимо обращать самое пристальное внимание, так как после изучения сети обычно предпринимается реальная попытка проникновения.
К сожалению, найти аналогичные утилиты для платформы Windows достаточно сложно. Одним из немногих бесплатных или условно бесплатных пакетов, заслуживающих внимания, является Genius 3.1. Краткую информацию о новой версии этого программного продукта можно найти по адресу http://softseek.com/Internet/ General/Review_20507_index.html, а более подробные сведения о нем и загружаемый файл содержатся по адресу http: //www.indiesoft.com/. Эта программа не позволяет регистрировать попытки ping-прослушивания, а предназначена лишь для выявления TCP-сканирования определенного порта. Среди коммерческих пакетов аналогичного назначения можно отметить BlackICE от компании Network ICE (http://www.networkice.com). Этот программный продукт позволяет не только обнаруживать факты JCMP- и TCP-прослушивания, но и решать много
других задач
Предотвращение прослушивания

Если обнаружение факта прослушивания имеет столь большое значение, то что тогда говорить о предупреждении таких попыток! Мы с lastmylove рекомендуем очень внимательно оценить, насколько важен для вашей организации обмен данными по протоколу ICMP между узлами вашей сети и Internet. Имеется много разнообразных типов сообщений ICMP, ECHO и ECHO_REPLY — лишь два из них. В большинстве случаев нет никакой необходимости разрешать обмен данными между узлами сети и Internet с использованием всех имеющихся типов сообщений. Практически все современные брандмауэры обладают возможностью отфильтровывать пакеты ICMP, поэтому единственная причина, по которой они могут проходить во внутреннюю сеть,— та или иная производственная необходимость. Даже если вы твердо убеждены в том, что нельзя полностью заблокировать протокол ICMP, обязательно заблокируйте те типы сообщений, которые вам не нужны для работы. Как правило, вполне достаточно, чтобы с зоной DMZ можно было взаимодействовать посредством сообщений ECHO_REPLY, HOST UNREACHABLE И TIME EXCEEDED. Кроме того, с помощью списка управления доступом (ACL — Access Control List) можно разрешить обмен сообщениями по протоколу ICMP только с несколькими IP-адресами, например, принадлежащими вашему провайдеру Internet. Это позволит провайдеру, при необходимости, проверить качество связи, но при этом проникновение посторонних извне в компьютеры, подключенные к Internet, будет значительно затруднено. Необходимо всегда помнить, что несмотря на удобство и мощь протокола ICMP с точки зрения диагностирования сетевых проблем, он с успехом может использоваться и для создания таких проблем. Разрешив неограниченный доступ по протоколу ICMP во внутреннюю сеть, вы тем самым предоставляете взломщикам возможность реализовать нападение типа DoS (например с помощью Smurf-метода). Более того, если взломщику удастся проникнуть в один из ваших компьютеров, он может через "потайной ход" в операционной системе с помощью таких программ, как loki, организовать скрытое тунеллирование данных, передаваемых по протоколу ICMP.
Другая интересная концепция, предложенная Томом Пташеком (Tom Ptacek) и перенесенная в среду Linux Майком Шифманом (Mike Schiffman) заключается в использовании процесса pingd. Демон pingd, запущенный на компьютере пользователя, обрабатывает все поступающие на данный компьютер запросы ICMP_ECHO и ICMP_ECHOREPLAY. Для реализации такого подхода нужно отказаться от поддержки обработки запроса ICMP_ECHO на уровне ядра и реализовать ее на уровне пользователя с помощью служебного процесса, обеспечивающего работу сокета ICMP. Таким образом, появляется возможность создания механизма управления доступом на уровне отдельного компьютера.
защита от ЮМР-запросов

Одним из самых лучших методов защиты является блокирование IOМР-запросов тех типов, которые способствуют разглашению информации о сети за ее пределами. Как минимум, на пограничном маршрутизаторе необходимо заблокировать прохождение во внутреннюю сеть пакетов TIMESTAMP (ICMP-сообщение тип 13) и ADDRESS MASK (тип 17). Например, если в качестве пограничного маршрутизатора используется маршрутизатор Cisco, запретите ему отвечать на указанные запросы, добавив следующие строки в список управления доступом.
access-list 101
deny icmp any any 13 ! timestamp request
access-list 101 deny icmp
any any 17 ! address mask request
Для выявления можно также воспользоваться сетевыми системами выявления вторжений V(NIDS), например, программой Марти Рош (Marty Roach) (http://www.snort.org/). При выявлении такого типа вторжений будет выведена следующая информация.
[**] PING-ICMP Timestamp [**]
05/29-12:04:40.535502 192.168.1.10 -> 192.168.1.1
ICMP TTL:255 TOS:0x0 ID:4321
TIMESTAMP REQUEST

Защита от сканирования портов
Выявление факта сканирования
Как правило, взломщики прибегают к сканированию TCP- и UDP-портов удаленного компьютера, чтобы установить, какие из них находятся в состоянии ожидания запросов. Поэтому выявить факт сканирования — значит, установить, в каком месте и кем будет предпринята попытка взлома. Основные методы выявления факта сканирования состоят либо в использовании специальной программы, предназначенной для выявления вторжений на уровне сети (IDS), такой как NFR, либо в использовании механизма защиты на уровне отдельного узла.
Утилита PortSentry совместима с большинством версий UNIX, включая Solaris. Независимо от того, применяете ли вы какие-либо утилиты или нет, необходимо помнить, что массированные попытки сканирования портов, инициируемые каким-либо узлом или какой-нибудь сетью, могут означать, что кто-то изучает вашу сеть. Всегда обращайте самое пристальное внимание на такие действия, поскольку за ними может последовать полномасштабное вторжение. И наконец, не забывайте о том, что имеется возможность активного противостояния или блокирования попыток сканирования портов. Большинство брандмауэров не только могут, но и должны настраиваться на режим обнаружения попыток сканирования. Однако одни брандмауэры справляются с этой задачей лучше, другие хуже. Например, некоторые брандмауэры умеют выявлять скрытое сканирование. Однако многие из них, поддерживая режим выявления SYN-сканирования, абсолютно игнорируют FiN-сканирование. Самой большой проблемой при выявлении факта сканирования является задача анализа огромных системных журналов, накапливаемых при ежедневной работе серверов сети. Для упрощения решения этой задачи можно воспользоваться утилитой Psionic Logcheck (http: //www.-psionic.com/abacus/logcheck/). Кроме того, рекомендуем настроить утилиты таким образом, чтобы они реагировали на обнаруженные попытки сканирования в реальном времени, отсылая сообщения по электронной почте. Везде, где это только возможно, устанавливайте пороговые значения для количества регистрируемых событий (threshold logging), чтобы взломщик не завалил ваш почтовый ящик грудой сообщений, в которых будет так же трудно найти информацию, как и в системных журналах. Кроме того, в этом случае может также возникнуть условие DoS. При использовании пороговых значений все предупреждения будут группироваться, а не обрабатываться по одному. Как минимум необходимо настроить систему безопасности на выдачу отчетов о самом факте выявленной попытки сканирования. Для платформы Windows NT также имеется несколько утилит, предназначенных для выявления попыток сканирования. Прежде всего, необходимо отметить такую утилиту, как Genius, разработанную компанией Independent Software. Этот программный продукт предоставляет гораздо больше возможностей, чем простое средство обнаружения TCP-сканирования портов. Однако необходимо отметить, что даже с учетом этого, имеет смысл его использовать. Утилита Genius отслеживает многочисленные запросы к открытым портам и при обнаружении попыток сканирования отображает на экране предупреждающее диалоговое окно, в котором содержится IP-адрес взломщика и доменное имя его узла.
Утилита Genius позволяет выявлять как попытки обычного сканирования, т.е. с установлением TCP-соединения, так и SYN-сканирования.
Еще одним детектором сканирования для системы Windows, заслуживающем отдельного упоминания, является программа BlackICE компании Network ICE (http://www.-networkice.com). Данная программа представляет первое основанное на использовании агентов средство выявления вторжений, которое можно использовать как в Windows 9х, так и в NT. Кроме обнаружения обычного TCP-сканирования портов, программа BlackICE может выявлять также VDP-сканирование, запросы на открытие нулевых сеансов NT, pir.q-прослушивание с помощью пакета pcAnywhere, попытки взлома с помощью WinNuke, множественные запросы, применение утилиты tracerovte, Smurf-взломы и многое другое
И наконец, программа ZoneAlarm (http://www.zonelabs.com/zonealarm.htm) хорошо подходит для платформы Windows и может применяться в качестве средства IDS на уровне брандмауэра.
Предотвращение сканирования

Вряд ли можно помешать кому-либо предпринять попытку сканирования портов на вашем компьютере, однако вполне реально свести к минимуму связанный с этим риск. Для этого нужно заблокировать все службы, в работе которых нет необходимости. В среде UNIX данная задача решается с помощью добавления символов комментария в соответствующие строки файла /etc/inetd. corif, а также отключения автоматического запуска ненужных служб в сценарии начальной загрузки. В системе Windows NT также целесообразно отключить все ненужные службы. Однако сделать это сложнее, поскольку из-за сетевой архитектуры Windows NT по крайней мере Порт 139 должен работать постоянно. Тем не менее, остальные службы можно отключить, запустив аплет Services панели управления.

[monos]

Спасибо большое - с точки зрения теории познавательно , но на практике что имеем. конкретно защита от прослушивания сводится на то, что бы не использовать протоколы, которые передают данные в явном виде. Ну и во первых - прослушать внутренню сеть снаружи достаточно проблематично - во первых сложно поймать нужные пакеты - ну и трафику скажем если проходит до фига кто это дозволит. А от прослушки внутри сеть скажем где стоит нормальный коммутатор с ос, настроить так, что с ним реально может работать только определенного рода сетевые карты, т.е. контроль по мас. а на шлюзе арпWатч и аналогично все логировать. если конечно сеть более маленькая - то на FreeBSD было бы очень удобно поднимать DHCP && MAC. Т.е. получать адрес и работать с интерфейсом сервера может только определенная сетевуха. Хотя тут вероятность подключения ноутбука сильно увеличивается. Прохождение ицмп скажем так не всегда обязательно и простым юзерам не надо. следовательно включать его имеет смысл только для скажем админов. Возможно я конечно дятел, но скажем аунтефикация простым текстом разного рода важных вопросов почта для начала это реально прошлый век - так что если уж есть желание озадачится - надо юзать нормальные протоколы с шифрованием. Sftp .. ssh .. ftp over ssl. Да и вобще взлом нормальной сетки через снифер что-то мне струдом верится. Скорее уж если бы я был на месте взломщика при помощи nmapa определил бы какие внешние сервисы запущены, и уже к ним искал бы новые уязвимости, если реально надо было бы что-либо сломать. вобщем снифером реально только админу пароли от асио и почты тырить на своем же серевере( а внутри нета что ? Однозначно ломаютй не так))0 ну а те бедные и несчастные люди, которые используют для защиты из вне и в качестве роутера фиревалл виндовс - могу им только посочувствовать. Ну надо же так - заплатить не хилые бабки и еще наслаждаться таким качеством((9 реально винда годится только для файл-сервера домен контроллера - лучше на чем на ней протокол SMB все же нигде пожалуй не реализован.

[Deementor]

monos, ты прав, на данный момент готовлю серию статей про взлом, постараюсь рассмотреть все аспекты, в том числе и обход систем защиты, а то, что ты знаешь nmap - респект и уважжуха, мало кто знает реальные возможности данной проги. К великому сожалению, производители защитных программ не публикуют алгоритмы, на которых построенна их система защиты, целиком и полностью приходится расчитывать на себя и на "коллег". ИМХО: Полностью защитить себя ни когда не удастся. Например, как защитить от "активного исследования стека" система тебе только сообщит, что было произведено сканирование с установкой флага SYN и все. Конечно, казалось бы, что может дать точное знание ОС, да многое, начиная с использования уязвимостей и заканчивая применением эксплойтов. Или как можно защитить себя от инвентаризации доменов? ИМХО: Никак, если вы дали слушать и исследовать ваши порты. Это все равно что подпустить грабителя к дверям вашего дома, или рассказать ему про ваш сейф.
Все эти пути дает простое прослушивание портов.

[OdinASB]

Теория и PortSentry конечно хорошо, но есть несколько практических советов:
Что касается ping, то в фаерволе (например ipfw) легко сделать такой финт:
ipfw add 10 allow icmp from any to any icmptypes 8,3 out via внешний интерфейс
ipfw add 20 allow icmp from any to any icmptypes 0 in via векшний интерфейс
В итоге получаем - вы пинговать можете кого угодно, а вот вас уже никто.

По поводу сниферов... Тут тоже просто... Слушать трафик можно находясь в вашей сети - внутренней или внешней.
Во внутренней очень просто - либо реальный отлов такого "любопытного" с ноутбуком с последующем ломанием девайса об его голову, либо использование управляемого свича в котором порты открываются только на шлюз и сервер и чужие пакеты уже не посмотришь... Ну или настроить VPN соединения.
Во внешней сети уже сложнее. Нужно во-первых выбирать надежного провайдера и который использует не самое дешевое оборудование ( Если вы через свой внешний интерфейс видите пакеты других его клиентов, значит и они могут видеть ваши ). Если сеть домашняя, то не связываться с провайдерами которые дают доступ в инет по мак-адресу сетевой карты без VPN.
Если вы в интернет-кафе, то не стоит пользоваться нешифрованными соединениями... Почту и асю лучше открывать через веб-интерфейс по https (SMTP и POP3 легко перехватываются с паролями и содержимым)