ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ Александр Юрьевич Каргин кандидат физико-математических наук, Microsoft Certified Systems Engineer (MCSE), Microsoft Certified Database Administrator (MCDBA), Certified Information Systems Auditor (CISA) Тема: Методика сетевой разведки (часть 1)

Сетевая разведка - предварительная фаза, в которой нападающий ищет и собирает всю доступную информацию об «Объекте оценки» (TOE – Target of Evaluation) перед тем, как начать саму атаку [Refers to the preparatory phase where an attacker seeks to gather as much information as possible about a target of evaluation prior to launching an attack.] Этап: 1. Рекогносцировка [Reconnaissanse]

Методика сетевой разведки Задача: Извлечь первоначальную информацию [Unearth initial information.] Задача: Определить сетевой диапазон [Locate the network range.] Задача: Установить, которые из компьютеров активны. [Ascertain active machines.] Задача: Обнаружить открытые порты и точки входа [Discover open ports / access points.] Задача: Обнаружить операционные системы [Detect operating systems.] Задача: Раскрыть сервисы на портах [Uncover services on ports.] Задача: Составить карту сети. [Map the Network.] Этап: 1. Рекогносцировка [Reconnaissanse]. Атака: 1.1. Получение отпечатка [Footprinting] Этап: 2. Сканирование [Scanning]. Атака: 2.1. Сканирование [Scanning] Атака: 2.2. Составление реестра для нападения [Enumeration]

Методика сетевой разведки Задача: Извлечь первоначальную информацию [Unearth initial information.] Задача: Определить сетевой диапазон [Locate the network range.] Задача: Установить, которые из компьютеров активны. [Ascertain active machines.] Задача: Обнаружить открытые порты и точки входа [Discover open ports / access points.] Задача: Обнаружить операционные системы [Detect operating systems.] Задача: Раскрыть сервисы на портах [Uncover services on ports.] Задача: Составить карту сети. [Map the Network.] Этап: 1. Рекогносцировка [Reconnaissanse]. Атака: 1.1. Получение отпечатка [Footprinting] Этап: 2. Сканирование [Scanning]. Атака: 2.1. Сканирование [Scanning] Атака: 2.2. Составление реестра для нападения [Enumeration]

❖ «Получение отпечатка» (Footprinting) – это процесс получения профиля безопасности организации, проводимый по специальной методике. [Footprinting is the blueprinting of the security profile of an organization, undertaken in a methodological manner.] ❖ «Получение отпечатка» (Footprinting) – одна из трех атак, предшествующих взлому компьютерной системы. Другие две – 2) «сканирование» (scanning) и 3) «составление реестра для нападения» (enumeration). ❖ Результат «Получения отпечатка» (Footprinting) – уникальный профиль компьютерной сети (Internet / Intranet / Extranet / Wireless) и информационных систем организации. [Footprinting results in a unique organization profile with respect to networks (Internet / Intranet / Extranet / Wireless) and systems involved.] Этап: 1. Рекогносцировка [Reconnaissanse] Атака: 1.1. Получение отпечатка [Footprinting]

Методика сетевой разведки Задача: Извлечь первоначальную информацию [Unearth initial information.] Задача: Определить сетевой диапазон [Locate the network range.] Задача: Установить, которые из компьютеров активны. [Ascertain active machines.] Задача: Обнаружить открытые порты и точки входа [Discover open ports / access points.] Задача: Обнаружить операционные системы [Detect operating systems.] Задача: Раскрыть сервисы на портах [Uncover services on ports.] Задача: Составить карту сети. [Map the Network.] Этап: 1. Рекогносцировка [Reconnaissanse]. Атака: 1.1. Получение отпечатка [Footprinting] Этап: 2. Сканирование [Scanning]. Атака: 2.1. Сканирование [Scanning] Атака: 2.2. Составление реестра для нападения [Enumeration]

Задача: Извлечение первоначальной информации [Unearth Initial Information] ❖ Обычно включает: ❖ Domain name lookup ❖ Местоположения ❖ Контакты (телефоны / ) ❖ Первоисточники информации: ❖ Открытые источники ❖ Whois ❖ Nslookup ❖ Инструмент хакера: ❖ Sam Spade

Интернет – служба Whois выдает подробную информация о домене, ip-адресах, регистраторе, владельце домена и т.п. лицо, подавшее заявление о регистрации

Утилита Nslookup ❖ Nslookup – это программа для запросов к серверам DNS в Интернете. Она показывает информацию, которую можно использовать для диагностики DNS- инфраструктуры. [Nslookup is a program to query Internet domain name servers. Displays information that can be used to diagnose Domain Name System (DNS) infrastructure.] ❖ Помогает найти дополнительные IP адреса по ссылке на DNS сервер, полученной с помощью Whois. [Helps find additional IP addresses if authoritative DNS is known from whois.] ❖ Запись типа MX показывает IP адрес сервера электронной почты. [MX record reveals the IP of the mail server.] ❖ Как ОС Unix, так и ОС Windows имеют встроенную утилиту Nslookup. [Both Unix and Windows come with a Nslookup client.] ❖ Можно также использовать утилиты третьих фирм, например, Sam Spade. [Third party clients are also available - E.g. Sam Spade.]

Методика сетевой разведки Задача: Извлечь первоначальную информацию [Unearth initial information.] Задача: Определить сетевой диапазон [Locate the network range.] Задача: Установить, которые из компьютеров активны. [Ascertain active machines.] Задача: Обнаружить открытые порты и точки входа [Discover open ports / access points.] Задача: Обнаружить операционные системы [Detect operating systems.] Задача: Раскрыть сервисы на портах [Uncover services on ports.] Задача: Составить карту сети. [Map the Network.] Этап: 1. Рекогносцировка [Reconnaissanse]. Атака: 1.1. Получение отпечатка [Footprinting] Этап: 2. Сканирование [Scanning]. Атака: 2.1. Сканирование [Scanning] Атака: 2.2. Составление реестра для нападения [Enumeration]

Задача: Определить сетевой диапазон [Locate the network range.] ❖ Обычно включает: ❖ Нахождение диапазона IP- адресов ❖ Распознавание маски подсети ❖ Первоисточники информации: ❖ ARIN (Америка) / RIPE (Европа) *) ❖ Утилита Traceroute ❖ Инструменты хакера: ❖ NeoTrace ❖ Visual Route *) Распределение IP адресов отдельным сетям и узлам координирует Интернет Корпорация по распределению адресов и имен (The Internet Corporation for Assigned Names and Numbers, ICANN). В Америке ICANN делегировал функции по распределению IP-адресов – Координационному центру ARIN (American Registry of Internet Numbers), а в Европе - Координационному центру RIPE (Reseaux IP Europeens) / В свою очередь, эти центры делегирует часть своих функций региональным организациям. В частности, российских пользователей обслуживает Региональный сетевой информационный центр "RU-CENTER».

Интернет-службы ARIN и RIPE ❖ ARIN allows search on the Whois database to locate information on networks Autonomous System Numbers (ASNs), network-related handles and other related Point of Contact (РОС). ❖ ARIN Whois allows querying the IP address to help find information on the strategy used for subnet addressing.

Screenshot: ARIN Whois Output

Утилита Traceroute ❖ Traceroute works by exploiting a feature of the Internet Protocol called TTL, or Time To Live. ❖ Traceroute reveals the path IP packets travel between two systems by sending out consecutive UDP packets with ever-increasing TTLs. ❖ As each router processes a IP packet, it decrements the TTL. When the TTL reaches zero, it sends back a "TTL exceeded" message (using ICMP) to the originator. ❖ Routers with DNS entries reveal the name of routers, network affiliation and geographic location.

Tool: NeoTrace (Now McAfee Visual Trace)

Tool: VisualRoute Trace

Tool: SmartWhois ❖ SmartWhois – полезная сетевая утилита, позволяющая вам найти всю доступную информацию по IP адресу, имени хоста или домена, включающую страну, штат/область, город, название Интернет-провайдера, контактную информацию администратора или технической поддержки. ❖ В отличие от стандартных сервисов Whois, SmartWhois может найти информацию о компьютере, расположенном в любой части мира, запрашивая соответствующие базы и выдавая нужную информацию за несколько секунд.

Tool: VisualLookout VisualLookout provides high level views as well as detailed and historical views that provide traffic information in real-time or on a historical basis. In addition the user can request a "connections" window for any server, which provides a real-time view of all the active network connections showing ❖ who is connected, ❖ what service is being used, ❖ whether the connection is inbound or outbound, and ❖ how many connections are active and how long they have been connected.

Tool: VisualRoute Mail Tracker (page 1 of 2)

Tool: VisualRoute Mail Tracker (page 2 of 2)

Tool: TrackerPro TrackerPro – инструмент для анализа электронной почты, который автоматически обрабатывает заголовки – сообщений и выдает результат в графическом виде.

Tool: Mail Tracking (mailtracking.com) Mail Tracking – сервис, отслеживающий когда, как долго и как много раз читали конкретной электронное сообщение. It also record forwards and passing of sensitive information (MS Office format).

ИТАК, ❖ «Получение отпечатка» (Footprinting) выдает уникальный профиль информационной безопасности «Объекта оценки». [Footprinting renders a unique security profile of a target system.] ❖ Интернет - сервисы Whois, ARIN могут открыть хакеру официальную информацию, которую он может в дальнейшем использовать для атаки. [Whois, ARIN can reveal public information of a domain that can be leveraged further.] ❖ Утилиты Traceroute and трассировщик почты (mail tracking) могут быть использованы для определения искомого IP –адреса и позднее для «получения доступа, путем использования ложного IP- адреса» (spoofing). [Traceroute and mail tracking can be used to target specific IP and later for IP spoofing.] ❖ Утилита Nslookup может открыть хакеру информацию об именах, входящих в домен и передаче зон DNS, которая может скомпрометировать безопасность (подорвать доверие к безопасности) службы Интернет-имен DNS. [Nslookup can reveal specific users and zone transfers can compromise DNS security.] Этап: 1. Рекогносцировка [Reconnaissanse] Атака: 1.1. Получение отпечатка [Footprinting]