сканер. 5. Сканер-ВС анализ защищенности Руководство пользователя. Руководство пользователя 2 аннотация

53
Рисунок 72 — Настройки аудита
Вызвать окно Настройки аудита можно альтернативным способом, выбрав в верхней части главного окна меню Аудит → Настройки аудита....
После выбора нужных настроек для анализа информации о системе необходимо нажать на кнопку Запуск аудита.
Результаты анализа представлены в тематических разделах: Операционные системы,
Система, Память, Хранилища, Периферия и Коммуникации (Рисунок 73).Каждый раздел содержит подробную информацией о конкретных системах и устройствах.
В разделе Операционные системы представлено количество установленных операционных систем и их характеристики, а также информация об установленном программном обеспечении, пользователях и их паролях.
В разделе Система (Рисунок 73) представлены характеристики основных системных устройств, таких как центральный процессор, материнская плата, мост (вкладки Центральный
процессор, Материнская плата, Мост соответственно).

54
Рисунок 73 — Отчет сканирования системного аудита
Раздел Память содержит информацию о виде и объеме оперативной памяти.
Раздел Накопители (Рисунок 74) содержит информацию об основных устройствах хранения данных и их свойствах. Во вкладках CD/DVD, USB, Жесткие диски, Тома приводятся основные данные соответствующих носителей информации.
Рисунок 74 — Раздел «Накопители»

55
Информация о USB-подключениях предоставляется в виде таблицы с подробными данными об обнаруженных USB-устройствах (Рисунок 75).
Рисунок 75 — Отчет об обнаруженных USB-устройствах
Раздел Периферия (Рисунок 76)содержит основную информацию о мультимедийных устройствах, видеокарте и USB-устройствах (вкладки Мультимедия, Видео и USB соответственно).
Рисунок 76 — Раздел «Периферия»

56
В разделе Коммуникации (Рисунок 77) приводятся данные о сетевых системных устройствах (беспроводных, Ethernet и т.д.).
Рисунок 77 — Раздел «Коммуникации»
3.7.5.3. Работа с отчетами системного аудита
Полученный отчет системного аудита можно сохранить в форматах HTML, XML и PDF.
Для сохранения отчета в формате HTML необходимо нажать на кнопку в верхней панели главного окна Сохранить html отчет как или воспользоваться меню Отчет → Сохранить html
отчет... и далее выбрать директорию сохранения отчета.
Чтобы сохранить отчет в формате XML, необходимо выбрать меню Отчет → Сохранить
xml отчет...
Для сохранения отчета в формате PDF, необходимо выбрать меню Отчет → Печатать html
отчета в pdf...
В модуле Системный аудитор реализована функция хранения и сравнения отчетов за различные периоды времени. Для этого необходимо задать месторасположение базы отчетов, выбрав подменю База отчетов → Открыть базу (Рисунок 73). В появившемся окне База отчетов
(Рисунок 78) необходимо нажать Задать базу и указать месторасположение базы в заранее созданном каталоге. Отчеты сохраняются в базе в формате XML.

57
Рисунок 78 — База отчетов
После задания базы для добавления текущего отчета необходимо выбрать подменю База
отчетов → Добавить отчет (Рисунок 73).
Для просмотра отчетов в указанной базе необходимо в окне База отчетов нажать
Загрузить отчеты (Рисунок 79).
Рисунок 79 — Список загруженных отчетов
Для просмотра выделенного отчета необходимо в окне База отчетов нажать Открыть
отчет. Отчет отображается в рабочем окне модуля.
Для удаления выделенного отчета необходимо в окне База отчетов нажать Удалить отчет.
Для сравнения отчетов в базе необходимо выбрать подменю База отчетов → Сравнить
отчеты. Появляется окно Сравнение отчетов (Рисунок 80).

58
Рисунок 80 — Сравнение отчетов
В данном окне необходимо нажать Загрузить отчеты, выбрать отчеты и нажать Сравнить.
В рабочем окне модуля будет отображена информация о сравнении отчетов. Результаты сравнения располагаются в тематических разделах, среди которых Операционные системы,
Программное обеспечение, Пользователи, USB носители, USB устройства (Рисунок 81).
Рисунок 81 — Результаты сравнения
3.7.5.4. Завершение работы с модулем
Для выхода из модуля необходимо воспользоваться кнопкой Выход
на панели инструментов в главном окне модуля.
3.7.6. Средство гарантированного уничтожения информации
Средство гарантированного уничтожения информации предназначено для удаления информации путем затирания файла случайным набором символов для предотвращения восстановления данных.
3.7.6.1. Запуск модуля

59
Модуль запускается из веб-интерфейса Гарантированное уничтожение информации или из подменю стартера приложений (red hat) → Остальные приложения → Прочее →
Гарантированное уничтожение информации.
После запуска средства появится рабочее окно модуля (Рисунок 82).
Рисунок 82 — Рабочее окно модуля
В верхней части рабочего окна находится панель инструментов. Кнопки, расположенные на панели инструментов, представлены в таблице ниже.
Таблица 3 — Описание кнопок модуля
Пиктограмма
Название
Описание
Домой
Программа возвращает пользователя в домашнюю директорию (домашнюю папку)
Обновить
При нажатии на кнопку обновляется список файлов

60
Продолжение таблицы 3
Пиктограмма
Название
Описание
Отображение
Возможные варианты отображения: показать все, показать все, кроме скрытого и показать только папки
Количество затираний
Количество затираний файла случайным набором символов что предотвращает возможность восстановления файла
Добавить в список
Добавление выбранного файла в список на уничтожение
Удалить из списка
Удаление выбранного файла из списка на уничтожение
Очистить список
Очистка списка на уничтожение
Старт/Стоп
Запуск/остановка процесса уничтожения информации
Выход
Выход из модуля
Журнал
При нажатии на кнопку в блокноте открывается журнал, содержащий имена удаленных файлов и результаты выполнения операции удаления
Загрузка отчета
При нажатии на кнопку появится окно, в котором необходимо выбрать папку с отчетом средства поиска остаточной информации (Рисунок 83)
Отчет
При нажатии на кнопку предлагается выбор форматов отчетов для сохранения
Помощь
При нажатии на кнопку отображается окно с информацией о модуле и о горячих клавишах

61
Рисунок 83 — Загрузка отчета
В нижней части рабочего окна находится строка состояния модуля. Если процесс уничтожения информации не запущен, то в строке отображается: «Добавьте файлы в список и нажмите 'Старт'».
Если процесс уничтожения информации запущен, то в строке отображается состояние выполнения процедуры уничтожения.
3.7.6.2. Работа с модулем
Чтобы запустить процесс уничтожения информации, необходимо выбрать файлы и добавить их в список с помощью значка Добавить в список
. Удалить из списка или очистить список можно с помощью кнопок Удалить из списка и Очистить список
Список выбранных файлов на уничтожение отображается в правой части рабочего окна модуля. (Рисунок 84).

62
Рисунок 84 — Выбранные для уничтожения файлы
Затем необходимо указать количество затираний в поле Количество затираний.
Примечание. Максимальное количество затираний – 35.
Для запуска процедуры гарантированного уничтожения информации необходимо воспользоваться кнопкой Старт/Стоп на панели инструментов модуля. Процесс уничтожения может быть остановлен в любой момент с помощью повторного нажатия на кнопку Старт/Стоп.
Перед началом процесса уничтожения появляется сообщение, требующее подтвердить удаление файлов (Рисунок 85).

63
Рисунок 85 — Сообщение
Примечание. При попытке уничтожения системных файлов, появится предупреждение, показанное на рисунке 86.

64
Рисунок 86 — Предупреждение
3.7.6.3. Завершение работы с модулем
Для выхода из модуля необходимо воспользоваться подменю Файл → Выход или нажать кнопку Выход на панели инструментов.
3.7.7. Средство аудита беспроводных сетей
Средство аудита беспроводных сетей предназначено для обнаружения, сканирования и проведения пассивных и активных атак на подбор паролей в беспроводных сетях с WEP, WPA,
WPA-2 шифрованием.
3.7.7.1. Запуск средства аудита беспроводных сетей
Модуль запускается из веб-интерфейса Аудит беспроводных сетей или из подменю стартера приложений (red hat) → Аудит беспроводных сетей → Аудит беспроводных сетей.
После запуска появится рабочее окно модуля (Рисунок 87).

65
Рисунок 87 — Рабочее окно модуля
Примечание. Список поддерживаемых адаптеров приведен в таблице 2.1 приложения 2 к настоящему документу.
3.7.7.2. Прослушивание сети, использующей WEP шифрование
Для обнаружения точек доступа необходимо указать интерфейс в поле Выбрать
интерфейс и нажать кнопку Сканирование точек доступа. После сканирования в рабочем окне модуля будет отражена информация о количестве найденных точек доступа (Рисунок 88).
Рисунок 88 — Обнаруженные точки доступа

66
Для перехода к настройке атаки на точку доступа с WEP шифрованием нажмите кнопку
WEP. В открывшемся окне укажите точку доступа и вид атаки.
Чтобы указать дополнительные настройки атаки в рабочем окне модуля нажмите кнопку
Параметры WIFI атаки. В открывшемся окне укажите необходимые параметры (Рисунок 89).
Рисунок 89 — Параметры атаки
Для начала или остановки атаки нажмите кнопку Атака/Стоп, расположенную справа от точек доступа(Рисунок 90).
Рисунок 90 — Настройки атаки
После завершения атаки в нижней части окна настроек атаки будет отображен результат взлома (Рисунок 91).

67
Рисунок 91 — Результат взлома
Для просмотра взломанных паролей в рабочем окне модуля (Рисунок 87) нажмите кнопку База
ключей. В открывшемся окне отражена информация о найденных паролях в процессе аудита. Чтобы добавить новый ключ вручную, воспользуйтесь кнопкой Добавить новый ключ (Рисунок 92).
Рисунок 92 — База ключей

68 3.7.7.3. Прослушивание сети, использующей WPA шифрование
Для обнаружения точек доступа необходимо указать интерфейс в поле Выбрать
интерфейс и нажать кнопку Сканирование точек доступа. После сканирования в рабочем окне модуля будет отражена информация о количестве найденных точек доступа (Рисунок 88).
Для перехода к настройке атаки на точку доступа с WPА шифрованием нажмите кнопку
WPА. В открывшемся окне укажите точку доступа и вид атаки. Для осуществления атаки также необходимо загрузить файл с возможными комбинациями паролей. Для этого нажмите кнопку
Обзор и выберите необходимый файл. Чтобы указать дополнительные настройки атаки в рабочем окне модуля нажмите кнопку Параметры WIFI атаки. В открывшемся окне укажите необходимые параметры (Рисунок 89).
Для начала или остановки атаки нажмите кнопку Атака/Стоп, расположенную справа от точек доступа(Рисунок 93).
Рисунок 93 — Настройки атаки
После завершения атаки в нижней части окна настроек атаки будет отображен результат взлома (Рисунок 91).

69
Рисунок 94 — Результат взлома
Для просмотра взломанных паролей в рабочем окне модуля (Рисунок 88) нажмите кнопку
База ключей. В открывшемся окне отражена информация о найденных паролях в процессе аудита
(Рисунок 92).
3.7.7.4. Выход из средства аудита беспроводных сетей
Для выхода из модуля необходимо нажать в верхнем правом углу окна.
3.7.8. Сетевой анализатор
Модуль сетевого анализа предназначен для перехвата, анализа и фильтрации сетевого трафика.
3.7.8.1. Запуск модуля
Модуль запускается из веб-интерфейса Сетевой анализатор или из подменю стартера приложений (red hat) → Сниффинг и спуфинг → Сетевой анализатор.
После запуска модуля появляется рабочее окно модуля (Рисунок 95).

70
Рисунок 95 — Рабочее окно модуля
3.7.8.2. Начало работы с модулем
Для начала работы с модулем необходимо выбрать в пункте меню Мониторинг вид сети для анализа (Рисунок 96).
Рисунок 96 — Выбор сети для анализа

71
Для запуска процесса анализа сетевого трафика необходимо выбрать пункт меню Начало
→ Начать мониторинг (Рисунок 97).
Рисунок 97 — Начало мониторинга
Для начала анализа необходимо определить IP-адреса хостов сети. Для этого необходимо выбрать подменю Хосты → Сканирование хостов (Рисунок 98). В подменю Хосты → Список
хостов будет представлена информация о просканированных хостах сети (Рисунок 99).

72
Рисунок 98 — Меню «Хосты»
Рисунок 99 — Список хостов

73
В меню Цели необходимо указать адреса хостов, которые будут проанализированы. Для выбора нового хоста необходимо нажать Выбор цели (целей) (Рисунок 100), далее указать IP- адрес. Или из списка хостов выбрать IP-адрес и нажать Добавить к цели 1 или Добавить к цели
2 (Рисунок 99). Для просмотра и редактирования списка текущих целей необходимо выбрать подменю Цели → Текущие цели (Рисунок 101).
Рисунок 100 — Меню «Цели»

74
Рисунок 101 — Список текущих целей
Для определения протокола по которому будет производиться анализ выбранных целей, необходимо выбрать подменю Цели→ Протокол... и в открывшемся окне (Рисунок 102) указать название протокола. Для использования всех протоколов необходимо вписать all.
Рисунок 102 — Выбор используемых протоколов

75
Для просмотра информации о параметрах установленных соединений необходимо выбрать подменю Вид → Соединения (Рисунок 103, Рисунок 104).
Рисунок 103 — Меню «Вид»

76
Рисунок 104 — Подменю «Соединения»
Подменю Вид → Профили содержит список IP-адресов анализируемой сети, который может быть преобразован в список хостов (Рисунок 105).
Рисунок 105 — Подменю «Профили»

77
В подменю Вид → Статистика отображена подробная информация о получении и передачи пакетов (Рисунок 106).
Рисунок 106 — Подменю «Статистика»
В подменю Вид → Способ визуализации… можно указать различные варианты отображения и форматирования пакетов и символов, а также установить кодировку, которую модуль сможет преобразовать в UTF8 (Рисунок 107).
Рисунок 107 — Способы визуализации
В подменю Вид → Регулярное выражение визуализации можно задать выражение для визуализации (Рисунок 108).

78
Рисунок 108 — Регулярное выражение визуализации
В подменю Вид → Установить ключ WEP… необходимо указать ключ WEP-шифрования, применяемый в анализируемой беспроводной сети (Рисунок 109).
Рисунок 109 — Ввод ключа WEP
Для сортировки информации, полученной в ходе анализа необходимо выбрать подменю
Фильтры → Загрузить фильтр… (Рисунок 110).
Рисунок 110 — Меню «Фильтры»

79
Оператор может вести журнал, в котором фиксируются запрашиваемые параметры. Для этого необходимо в меню Журналирование (Рисунок 111) указать тип журнала и его имя в открывшемся окне ввода файла журнала (Рисунок 112).
Рисунок 111 — Меню «Журналирование»
Рисунок 112 — Файл журнала
В модуле реализована функция использования различных плагинов для всестороннего анализа сети.
Для использования необходимого плагина следует загрузить его с помощью подменю
Плагины → Менеджер плагинов (Рисунок 113).

80
Рисунок 113 — Меню «Плагины»
В появившемся окне следует выбрать необходимые плагины из представленного списка с помощью двойного нажатия левой кнопки мыши на их именах (Рисунок 114).
Рисунок 114 — Выбор плагина arp_cop

81 3.7.8.3. Работа с модулем в обычной сети
Для запуска процесса анализа локальной сети необходимо выбрать пункт меню Мониторинг →
Обычная сеть… (Рисунок 96).
Далее в появившемся окне необходимо указать сетевой интерфейс и нажать OK (Рисунок 115).
Рисунок 115 — Ввод сетевого интерфейса
Для запуска процесса анализа сетевого трафика необходимо выбрать пункт меню Начало
→ Начать мониторинг (Рисунок 97).
3.7.8.4. Атаки типа MITM
Для начала анализа необходимо определить IP-адреса хостов сети. Для этого необходимо выбрать подменю Хосты → Сканирование хостов (Рисунок 98). В подменю Хосты → Список хостов будет представлена информация о просканированных хостах сети (Рисунок 99).
В меню Цели необходимо указать адреса хостов, которые будут проанализированы (Рисунок 100).
Для осуществления атаки ARP-poisoning необходимо выбрать подменю MITM → Атака ̎ARP
poisoning ̎… (Рисунок 116).

82
Рисунок 116 — Меню «MITM»
В результате атаки весь трафик от цели будет проходить через хост, на котором установлен
ПК «Сканер-ВС» (Рисунок 117).
Рисунок 117 — Результат атаки

83
Чтобы остановить атаку необходимо выбрать подменю MITM → Остановить MITM
атаку (Рисунок 116).
Для осуществления атаки ICMP redirect необходимо выбрать подменю