А. Н. Андрончик, В. В. Богданов, Н. А. Домуховский, А. С. Коллеров, Н. И. Синадский, Д. А. Хорьков

203
− средства защиты ПК — возможность отключения программно- аппаратных систем защиты при физическом доступе к выключенным станци- ям; использование и надежность встроенных средств парольной защиты BIOS;
− состояние антивирусной защиты – наличие в АИС вредоносных про- грамм, возможность их внедрения через машинные носители, сеть Интернет;
− ОС — наличие требуемых настроек безопасности;
− парольная защита в ОС — возможность получения файлов с зашифро- ванными паролями и их последующего дешифрования; возможность подклю- чения с пустыми паролями, подбора паролей, в том числе по сети;
− система разграничения доступа пользователей АИС к ресурсам — фор- мирование матрицы доступа; анализ дублирования и избыточности в предос- тавлении прав доступа; определение наиболее осведомленных пользователей и уровней защищенности конкретных ресурсов; оптимальность формирования рабочих групп;
− сетевая инфраструктура — возможность подключения к сетевому обору- дованию для получения защищаемой информации путем перехвата и анализа сетевого трафика; настройки сетевых протоколов и служб;
− аудит событий безопасности — настройка и реализация политики аудита;
− прикладное ПО — надежность элементов защиты используемых АРМ; возможные каналы утечки информации; анализ версий используемого про- граммного обеспечения на наличие уязвимых мест;
− СЗИ: надежность и функциональность используемых СЗИ; наличие уяз- вимых мест в защите; настройка СЗИ.
На третьем этапе осуществляется внешний аудит АИС, оценивающий состояние защищенности информационных ресурсов организации от НСД, осуществляемого из внешних сетей, в том числе из Интернет. Последователь- но анализируются следующие возможности проникновения извне:
− получение данных о внутренней структуре АИС — наличие на web- серверах информации конфиденциального характера; выявление настроек
DNS- и почтового серверов, позволяющих получить информацию о внутрен- ней структуре АИС;
− выявление компьютеров, подключенных к сети и достижимых из Интер- нет — сканирование по протоколам ICMP, TCP, UDP; определение степени доступности информации об используемом в АИС ПО и его версиях; выявле- ние активных сетевых служб; определение типа и версии ОС, сетевых прило- жений и служб;
− получение информации об учетных записях, зарегистрированных в АИС с применением утилит, специфичных для конкретной ОС.
− подключение к доступным сетевым ресурсам — определение наличия доступных сетевых ресурсов и возможности подключения к ним;
− использование известных уязвимостей в программном обеспечении МЭ, выявление неверной конфигурации МЭ.

204
− выявление версий ОС и сетевых приложений, подверженных атакам типа
«отказ в обслуживании»;
− тестирование возможности атак на сетевые приложения — анализ защи- щенности web-серверов, тестирование стойкости систем удаленного управле- ния, анализ возможности проникновения через имеющиеся модемные соеди- нения.
По результатам тестирования оформляется экспертное заключение, опи- сывающее реальное состояние защищенности АИС от внутренних и внешних угроз, содержащее перечень найденных изъянов в настройках систем безопас- ности. На основании полученного заключения разрабатываются рекоменда- ции по повышению степени защищенности АИС, по администрированию сис- тем, по применению СЗИ.
Реализация методики требует постоянного обновления знаний об обна- руживаемых изъянах в системах защиты. Не все этапы методики могут быть автоматизированы. Во многих случаях требуется участие эксперта, обладаю- щего соответствующей квалификацией.
8.3. Постановка задачи для проведения инструментальных
проверок
Проведение инструментальной проверки предлагается отработать на ос- нове модели компьютерной сети в режиме «черного ящика». В моделируемой сети (рис. 8.2) используются:
− сервер OC Windows Server 2003 c развернутыми web-сервером IIS, кон- троллером домена и DNS-сервером,
− сервер ОС Debian Linux с установленными web-сервером Apache и поч- товым сервером,
− две рабочие станции ОС Windows XP,
− одна рабочая станция ОС Windows 2000.
Все программное обеспечение применяется без дополнительных на- строек безопасности. При развертывании модели сети в компьютерном классе применяются два рабочих места с ОС Windows XP, на один из которых с при- менением технологии виртуальных машин разворачиваются образы OC Win- dows Server 2003 и ОС Windows 2000, на другой — образ ОС Debian Linux.
DNS-сервер, функционирующий на сервере, должен разрешать IP-адреса мо- делируемой сети.
Таким образом, моделируемая сеть (192.168.10.0/24) будет содержать пять сетевых узлов (табл. 8.1).
Для проведения проверки аудитору предлагается диапазон, состоящий из IP-адресов узлов моделируемой сети — 192.168.10.0/24. Считается, что ко- личество узлов, тип и версии ОС и приложений не известны.

205
Рис. 8.2. Схема моделируемой сети
Таблица 8.1
Перечень сетевых узлов моделируемой сети
Наименование се- тевого узла
ОС IP
– адрес
Сетевые сервисы и до- полнительные утилиты
Сервер Windows
Server 2003 192.168.10.1 IIS, контроллер домена,
DNS-сервер
Рабочая станция 1 Windows 2000
Professional
192.168.10.2
Станция сканиро- вания Linux
Debian GNU
Linux
192.168.10.3 Apache, fping, icmpush, hping3, arping, tethereal, nmap, nessusd, и nikto
Станция сканиро- вания Windows
Windows XP
192.168.10.4 nessuswx, cgichk, AdRem
Netcrunch
Рабочая станция 2 Windows XP
192.168.10.5
Задачей является построение карты, инвентаризация ресурсов иссле- дуемой сети, а также выявление уязвимостей в программном обеспечении уз-

206
лов. В результате необходимо сформировать документ табличной формы, где должны быть приведены полученные сведения и характеристика степени за- щищенности сети.
Инструментальная проверка проводится в два этапа: на первом этапе выполняется идентификация сетевых ресурсов, на втором выявляются уязви- мости в ПО сетевых узлов с применением сканеров безопасности.
Выполнение этапа обнаружения и получения информации о сетевых уз- лах позволяет понять, насколько актуальны данные о состоянии сети, полу- ченные на этапе предварительного анализа, а также оценить, насколько быст- ро злоумышленник сможет произвести атаки, направленные на идентифика- цию сетевых ресурсов. На данном этапе аудитор должен получить следую- щую информацию:
− IP-адреса сетевых узлов и подсетей;
− открытые TCP- и UDP-порты на обнаруженных узлах;
− версии ОС и сетевых сервисов, работающих на обнаруженных сетевых узлах.
Эта информация может быть получена проведением пассивной и актив- ной сетевой разведки. Пассивная разведка предполагает получение информа- ции из общедоступных источников (web-сайт организации и иные web-сайты, новостные группы, базы whois и др.) и с применением методов социальной инженерии. Активная разведка включает:
− обнаружение сетевых узлов;
− обнаружение открытых TCP- и UDP-портов на обнаруженных узлах пу- тем сканирования портов;
− получение DNS-имен сетевых узлов;
− получение списка сетевых узлов организации, а также информации об их назначении с применением переноса зоны DNS;
− построение карты сети;
− идентификация ОС и ПО путем получения «отпечатков ОС».
На втором этапе применяются сканеры безопасности, позволяющие по известной им базе уязвимостей определить степень подверженности иссле- дуемых узлов сетевым атакам.
Результаты обследования оформляются в виде таблиц 8.2 и 8.3.
ВЫПОЛНИТЬ!
1. Включите все сетевые узлы моделируемой сети. Убедитесь в корректно- сти настройки IP-адресов и DNS-серверов. По необходимости произведите дополнительную настройку.
Примечание: Для задания сетевых параметров интерфейсов в ОС Linux можно воспользоваться командой: ifconfig eth0 192.168.10.3 netmask 255.255.255.0 up

207
где 192.168.10.3 — IP-адрес, который будет установлен на сетевом интерфей- се, ключевое слово netmask используется для задания маски сети, ключевое слово up принуждает ОС активизировать интерфейс. Для задания адреса DNS- сервера необходимо отредактировать файл «/etc/resolv» (параметр search уста- новить в alpha.local, nameserver в 192.168.10.1)
Таблица 8.2
Перечень сетевых узлов исследуемой сети
№ Наименование
Выводимые результаты
1
Обследуемый сегмент сети
Сканируемый диапазон IP-адресов
2
Характер обнаружен- ных узлов в сегменте
Рабочие станции, web-серверы, контроллеры до- мена и т.п.
3
Возможность иденти- фикации сетевых уз- лов
Результаты использования Ping-разведки.
Результаты, полученные с использованием других
ICMP сообщений.
Результаты, полученные при использовании пере- носа зоны DNS.
IP
Назначе- ние узла
Тип и вер- сия ОС
Представленные сетевые сервисы и их версии, откры- тые порты
4
Выявленные узлы
5
Карта сетевого сег- мента и его подклю- чения к другим сетям
Карта сети в графическом или табличном варианте
2. На станцию сканирования Windows установите ПО AdRem Netcrunch (де- монстрационную версию программы можно загрузить по адресу
«http://www.adremsoft.com/netcrunch/»). Утилиты cgichk и nessuswx не имеют автоматического установщика, их необходимо скопировать в ка- кую-либо папку на жёсткий диск станции сканирования Windows.
8.4. Обнаружение сетевых узлов
Стандартным способом обнаружения сетевых узлов при заданном диа- пазоне IP-адресов является применение утилиты Ping, которая входит в состав практически любой ОС. Такой способ обнаружения активных сетевых узлов

208
называется Ping-разведкой (Ping sweep). Утилита Ping использует протокол
ICMP для проверки доступности сетевого узла: на исследуемый сетевой узел посылается ICMP-запрос (тип 8), в случае доступности сетевого узла будет получен ICMP-ответ (тип 0). Существует большое количество утилит, кото- рые позволяют ускорить и автоматизировать этот процесс, например fping, hping3 и IP-Tools.
Сканирование подсети можно выполнять с помощью утилиты fping, ис- пользуя команду: fping -g 192.168.10.0 192.168.10.254 2>/dev/null | grep ‘is alive’ где ключ -g позволяет указать список тестируемых узлов
Использование
2>/dev/null позволяет не выводить на экран служебные сообщения утили- ты fping. Дополнительная обработка утилитой grep (поиск текста с использо- ванием регулярных выражений Perl) позволяет вывести на консоль только доступные сетевые узлы, так как будут выведены только строки, содержащие подстроку «is alive»:
192.168.10.1 is alive
192.168.10.2 is alive
192.168.10.3 is alive
192.168.10.4 is alive
192.168.10.5 is alive
В приведенном примере в результате выполнения команды fping, запу- щенной со станции сканирования Linux, получены сведения о том, что в за- данном диапазоне адресов тестировались все возможные адреса узлов сети
192.168.10.0/24, и среди них только узлы с адресами 192.168.10.1,…,
192.168.10.5 присутствуют в сети и отвечают на запросы.
Метод Ping-разведки является наиболее универсальным методом обна- ружения сетевых узлов, однако по ряду причин данный метод может оказать- ся неэффективным. Например, в случае, когда обследуемая сеть защищена межсетевыми экранами, блокирующими ICMP-сообщения, или если пользова- тели защищены персональными межсетевыми экранами.
Кроме Ping-разведки существуют другие методы получения списка се- тевых узлов. Рассмотрим некоторые из них более подробно.
Использование широковещательной посылки ICMP-запроса. Данный метод заключается в использовании широковещательных адресов назначения при осуществлении Ping-разведки. Протокол ICMP предполагает, что при по- лучении пакета, содержащего ICMP-запрос с широковещательным адресом назначения, требуется ответ. Однако, в соответствии с RFC 1122, на приходя- щий ICMP-пакет с широковещательным адресом назначения можно не реаги- ровать, что и делают многие современные ОС в целях безопасности.

209
Для использования этого метода можно воспользоваться стандартной утилитой ping (в ОС Linux необходимо дополнительно использовать ключ -b)
Пример широковещательной посылки ICMP-запроса:
[bvv@srv181 bvv]$ ping -b 10.110.18.255
WARNING: pinging broadcast address
PING 10.110.18.255 (10.110.18.255) 56(84) bytes of data.
64 bytes from 10.110.18.2: icmp_seq=0 ttl=64 time=0.025 ms
64 bytes from 10.110.18.10: icmp_seq=0 ttl=255 time=0.355 ms (DUP!)
64 bytes from 10.110.18.11: icmp_seq=0 ttl=255 time=0.440 ms (DUP!)
64 bytes from 10.110.18.1: icmp_seq=0 ttl=255 time=0.904 ms (DUP!)
64 bytes from 10.110.18.9: icmp_seq=0 ttl=64 time=0.960 ms (DUP!)
64 bytes from 10.110.18.239: icmp_seq=0 ttl=255 time=0.991 ms (DUP!)
64 bytes from 10.110.18.3: icmp_seq=0 ttl=255 time=1.33 ms (DUP!)
--- 10.110.18.255 ping statistics ---
1 packets transmitted, 1 received, +6 duplicates, 0% packet loss, time 0ms rtt min/avg/max/mdev = 0.025/0.716/1.337/0.420 ms, pipe 2
В приведенном примере показано, что при сканировании сети
10.110.18.0/24 широковещательными ICMP-сообщениями ответы были полу- чены от семи узлов. Следовательно, эти узлы присутствуют в сети. Кроме то- го, можно сделать вывод, что указанные узлы используют ОС, отличную от
ОС семейства Windows, так как эти ОС не отвечают на широковещательные
ICMP-запросы.
Применение ICMP-пакетов, отличных от ECHO-запросов. Данный ме- тод заключается также в использовании протокола ICMP, но применяются не
ECHO-запросы, а иные типы пакетов (например, тип 13 — TIMESTAMP или
17 — ADDRESS MASK REQUEST). ICMP-пакет TIMESTAMP позволяет за- прашивать метку системного времени удаленной системы. Запрос и ответ
ADDRESS MASK предназначен для получения сетевой маски бездисковыми системами (тонкими клиентами) в процессе загрузки. Данный тип запроса может быть использован для получения сетевой маски конкретного устройст- ва. Метод обнаружения сетевых узлов может быть реализован, например, с помощью утилиты icmpush. Запуск утилиты icmpush с ключом -tstamp позво- ляет послать на выбранный сетевой узел ICMP-сообщение TIMESTAMP. v-3:/home/bvv# icmpush -tstamp server.alpha.local server.alpha.local -> 21:58:52
Из приведенного примера видно, что сетевой узел «server.alpha.local» доступен, кроме того, можно определить время, которое показывают систем- ные часы на удаленной системе. При недоступности сетевого узла или при от- ключенной на удаленном узле функции ответа на запросы TIMESTAMP ути- лита icmpush ответ не возвращает.
Использование многоадресных рассылок IP-пакетов (IP Multicast). Мно- гоадресные рассылки представляют собой технологию доставки трафика не- скольким потребителям с экономией полосы пропускания. Существует ряд

210
множественных адресов, на которые по умолчанию должны отвечать сетевые узлы, которые поддерживают многоадресные рассылки. Среди них адрес
224.0.0.1 — все системы в текущей подсети, 224.0.0.2 — все маршрутизаторы в текущей подсети. Другие интересные множественные адреса можно найти по адресу «http://www.iana.org/assignments/multicast-addresses».
Метод можно применить с помощью команды Ping.
[bvv@srv181 bvv]$ ping 224.0.0.1
PING 224.0.0.1 (224.0.0.1) 56(84) bytes of data.
64 bytes from 10.101.18.2: icmp_seq=0 ttl=64 time=0.031 ms
64 bytes from 10.101.18.241: icmp_seq=0 ttl=64 time=0.113 ms (DUP!)
64 bytes from 10.101.18.10: icmp_seq=0 ttl=255 time=0.357 ms (DUP!)
64 bytes from 10.101.18.9: icmp_seq=0 ttl=64 time=1.03 ms (DUP!)
--- 224.0.0.1 ping statistics ---
1 packets transmitted, 1 received, +3 duplicates, 0% packet loss, time 0ms rtt min/avg/max/mdev = 0.031/0.383/1.033/0.394 ms, pipe 2
В приведенном примере показано, что при сканировании сети многоад- ресными ICMP-сообщениями ответы были получены от четырех узлов, при- сутствующих в сети и поддерживающих многоадресные рассылки.
При отсутствии многоадресных адресов в системной таблице маршру- тизации можно воспользоваться ключом -i утилиты Ping для указания интер- фейса, с которого будет происходить отправка пакетов.
ARP-разведка. Для обнаружения сетевых узлов, находящихся в одном сетевом сегменте (в одном широковещательном домене), можно использовать протокол ARP. Метод заключается в посылке ARP-запроса на получение
MAС-адреса узла по известному IP-адресу. В случае доступности сетевого уз- ла будет получен ответ.
Рассмотрим реализацию данного метода на примере утилиты arping.
Используя команду arping –i eth1 –c 1 192.168.10.1, можно про- верить доступность сетевого узла с IP-адресом 192.168.10.1,ключ -i позволя- ет указать сетевой интерфейс для выполнения ARP-запроса, ключ -c опреде- ляет количество посылаемых запросов. v-3:/home/bvv#