лабораторные по Методы и средства защиты компьютерной информации


Чтобы посмотреть этот PDF файл с форматированием и разметкой, скачайте его и откройте на своем компьютере.
ФЕДЕРАЛЬНОЕ АГЕНТСТВО СВЯЗИ

Федеральное государственное образовательное бюджетное учреждение

высшего профессионального образования

Московский технический университет связи и информатики

Кафедра «Информационная безопасность и автоматизация»


А.Г. Симонян,
Т.Б.К. Бен Режеб








Практикум


по дисциплине

МЕТОДЫ И СРЕДСТВА
ЗАЩИТЫ

КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ











Москва 2015

2


План УМД на 2015/16 уч. г.












Практикум


по дисциплине

МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ

КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ


Составители: Симонян
А.Г., к.т.н., доцент (МТУСИ)




Бен

Режеб Т.Б.К., ассистент (МТУСИ)


Рецензент: Андрюков

А.А., к.т.н., доцент (МТУСИ)







Рекомендовано к изданию кафедрой
«
ИБиА
»

Протокол № 2 от 28.10.2014 г.

3


Оглавление


Лабораторная работа №1

................................
................................
........................

4

Лабораторная работа №2

................................
................................
......................

11

Лабора
торная работа №3

................................
................................
......................

20

Лабораторная работа №4

................................
................................
......................

25

Лабораторная работа №5

................................
................................
......................

30

Лабораторная работа №7

................................
................................
......................

44

Список литературы

................................
................................
...............................

57

























4


Лабораторная работа №
1

«Защита электронной почты при использовании в качестве почтового
клиента программу
TheBat



Цель работы:

Изучить
методы шифрования и способы передачи зашифрован-
ных сообщений по незащищенным
каналам


1.

Краткие теоретические сведения

1.1.

Программа
The

Bat
!

TheBat
! поддерживает большое число кодировок, в том числе и кирил-
лических, включая
Windows
-
1251,
koi
8
-
r
,
ISO

8859
-
5 и т. д. Имеются меха-
низмы для фильтрации сообщений и их автоматической обработки, шаблоны
и возможности для организации списков рассылки.

Также в
TheBat
! имеется возможность резервного копирования почто-
вых сообщений (в общем резервном файле или в о
тдельном для каждого поч-
тового аккаунта) или папки, адресной книги и настроек по запросу пользова-
теля или в автоматическом режиме по расписанию. При этом возможна защита
резервной копии паролем и добавление комментариев, а начиная с версии
3.99.25
TheBat
!
делает попытку автоматически восстановить базу данных при
её повреждении или удалении из резервной копии. Функция парковки сообще-
ния позволяет защитить отдельное сообщение (или их группу) от удаления или
перемещения.

Программа может импортировать сообщения

и адресную книгу из баз
данных других приложений.

Имеет довольно развитую систему фильтрации и сортировки сообще-
ний, а также систему для подключения дополнительных модулей расширения
(плагинов), предназначенных (в случае, если это требуется) для интеграци
и
программ защиты от вирусов и спама различных производителей. Необходи-
мые плагины могут поставляться вместе с антивирусом (как например в случае
с
KAV
) или загружаться с сайта разработчиков этого модуля.

Поддерживает протоколы:
SMTP
,
POP
3,
IMAP
.
TheBat
! п
оддерживает
различные методы аутентификации


простым текстом,
NTLM
,
RPA
,
APOP
,
MD
5
-
CRAM
-
HMAC

(с программной и аппаратной реализацией). Шифрование
трафика с помощью
TLS

с выбором портов для поддерживаемых протоколов.


1.2.

Программа

5



(
PGP
)


это криптографическая (шифровальная) про-
грамма с высокой степенью надежности, которая позволяет пользователям об-
мениваться информацией в электронном виде в режиме полной конфиденци-
альности.


Главное преимущество этой программы с
остоит в том, что для обмена
зашифрованными сообщениями пользователям нет необходимости передавать
друг другу тайные ключи, т.к. эта программа построена на новом принципе
работы


публичной криптографии или обмене открытыми (публичными)
ключами, где пользо
ватели могут открыто посылать друг другу свои публич-
ные ключи с помощью сети "Интернет" и при этом не беспокоиться о возмож-
ности несанкционированного доступа каких
-
либо третьих лиц к их конфиден-
циальным сообщениям.

В
PGP

применяется принцип использования
двух взаимосвязанных клю-
чей: открытого и закрытого. К закрытому ключу имеете доступ только вы, а
свой открытый ключ вы распространяете среди своих корреспондентов.


Еще одно преимущество этой программы состоит также в том, что она
бесплатная и любой пол
ьзователь, имеющий доступ к Интернету, может ее за-
качать на свой компьютер в течение получаса.
PGP

шифрует сообщение таким
образом, что никто кроме получателя сообщения, не может ее расшифровать.
Создатель
PGP

Филипп Циммерман открыто опубликовал код прогр
аммы, ко-
торый неоднократно был исследован специалистами крипто
-
аналитиками вы-
сочайшего класса и ни один из них не нашел в программе каких
-
либо слабых
мест.

Когда пользователь шифрует сообщение с помощью PGP, то программа
сначала сжимает текст, что сокраща
ет время на отправку сообщения через мо-
дем и увеличивает надежность шифрования. Большинство приемов крипто-
анализа (взлома зашифрованных сообщений) основаны на исследовании ри-
сунков, присущих текстовым файлам, что помогает взломать ключ. Сжатие
ликвидирует
эти рисунки и таким образом повышает надежность зашифрован-
ного сообщения. Затем PGP генерирует сессионный ключ, который представ-
ляет собой случайное число, созданное за счет движений вашей мышки и
нажатий на клавиши клавиатуры.


Как только данные будут
зашифрованы, сессионный ключ зашифро-
вывается с помощью публичного ключа получателя сообщения, который от-
правляется к получателю вместе с зашифрованным текстом.

6



Расшифровка происходит в обратной последовательности. Программа
PGP получателя сообщения исп
ользует закрытый ключ получателя для извле-
чения временного сессионного ключа, с помощью которого программа затем
дешифрует зашифрованный текст.


1.3.

Стандарт


Secure

/
(
S
/
MIME
) ста
ндарт для шиф-
рования и подписи в электронной почте с помощью открытого ключа.

S
/
MIME

предназначена для обеспечения криптографической безопасно-
сти электронной почты. Обеспечиваются аутентификация, целостность сооб-
щения и гарантия сохране
ния авторства, безопасность данных (посредством
шифрования). Большая часть современных почтовых программ поддерживает
S
/
MIME
.

Для использования
S
/
MIME

необходимо получить и установить индиви-
дуальный ключ/сертификат от центра сертификации (ЦС). Лучше всего
ис-
пользовать различные ключи/сертификаты для цифровой подписи и шифрова-
ния, так как это позволит раскрыть при определенных условиях ключ шифро-
вания (например, по решению суда), не дискредитируя при этом цифровые
подписи. Для шифрования сообщения требуется
знать сертификат приемной
стороны, что обычно обеспечивается автоматически при получении письма с
сертификатом. Хотя технически возможно послать сообщение, зашифрован-
ное сертификатом получателя и не подписывать сообщение собственным,
например, из
-
за отсутс
твия оного, на практике, программы с поддержкой
S
/
MIME
потребуют установки сертификата отправителя перед тем как позво-
лить шифрование сообщений.

Обычный основной личный сертификат удостоверяет идентичность вла-
дельца только путем связывания воедино почтового

адреса и сертификата. Он
не удостоверяет ни имя, ни род деятельности. Более полное удостоверение
можно получить, обратившись к специализированным ЦС, которые предо-
ставляют дополнительные (нотариально эквивалентные) услуги или безопас-
ную инфраструктуру отк
рытого ключа.

В зависимости от политик ЦС, ваш сертификат и всё его содержимое
могут быть открыто опубликованы для ознакомления и проверки. В таком слу-
чае, ваше имя и почтовый адрес становятся доступными для всех, в том числе
и для поиска. Другие ЦС могут
публиковать только серийные номера и при-
знак отозванности. Это необходимый минимум для обеспечения целостности
инфраструктуры открытого ключа.

7


2.

Порядок выполнения
лабораторной работы

1.

Используя программу
The

Bat
! сгенерировать пару ключей.

2.

Распространить отк
рытый ключ всем группам в аудитории.

3.

Добавить полученные от всех групп ключи в кольцо ключей.

4.

Создать сообщение с произвольным текстом и зашифровать его с ис-
пользованием открытого ключа, разослать его каждой группе.

5.

Получить от каждой группы сообщение.

6.

Рас
шифровать полученные письма с помощью закрытого ключа.

7.

Создать сообщение произвольной формы, добавить к нему ЭЦП и разо-
слать всем группам.

8.

Получить подписанные сообщения от каждой группы, проверить под-
линность отправителей и целостность сообщения на основе

ЭЦП.


2.1.

Обязательные иллюстрации.

1.

Процесс создания ключей.

2.

Открытый ключ.

3.

Закрытый ключ.

4.

Кольцо ключей.

5.

Зашифрованное и расшифрованное сообщение.

6.

Сообщение с ЭЦП.

7.

Подлинность всех ЭЦП (история проверок цифровой подписи).


2.2.

Пример выполнения практической
части работы.

На рисунках 1.1
-

1.6 приведены примеры полученных результатов при
выполнении работы из программы
TheBat
!


Рис.1.1. Открытый ключ


8



Рис.1.2. Закрытый ключ



Рис.1.3. Окно управления ключами



Рис.1.4. Зашифрованное сообщение.


9






Рис.1.5. Сообщение без цифровой подписи.



Рис.1.5. Сообщение с цифровой подписью.

10



Рис.1.6. Результат проверки подлинности


3.

Контрольные вопросы

1.

Назовите классические методы шифрования.

2.

На какие два класса можно разделить методы шифрование, в чём их
от-
личие друг от друга?

3.

Перечислите параметры алгоритмов симметричного шифрования.

4.

Чем объясняются недостатки симметричного шифрования?

5.

В чём смысл шифра Цезаря?

6.

В чём смысл «магических квадратов»?

7.

Объясните понятие «лазейка».

8.

Поясните причину появления нек
оторых достоинств ассиметричного
шифрования перед симметричным.

9.

В чём состоит смысл метода экспоненциального обмена?

10.

Каковы основные элементы
PGP
?

11.

В чём отличие сертификата от ключа?

12.

В чём отличие
PGP

от
OpenPGP

(дайте развёрнутый ответ)?

13.

Каков порядок работы
PGP
?

14.

Что представляет собой
S
/
MIME
?

15.

В чём отличие
S
/
MIME

от
PGP
?














11


Лабораторная работа №2

Изучение пакетов антивирусной защиты. Антивирус
Dr
.
Web


Цель работы:

Ознакомиться с распространенн
ой программой

антивирусной
защиты

Dr
.
Web
.
О
своить методы работы с антивирус
о
м.


1.

Краткие теоретические сведения

1.1.

Компьютерные вирусы
и проблемы антивирусной защиты

Существует много определений компьютерного вирусы. Исторически
первое определение было дано в 1984 году Фредом Коэном: «Компьютерный
вирус


это программа, которая может заражать другие программы, модифи-
цируя их посредством включения в них своей, возможно,

измененной копии,
причем последняя сохраняет способность к дальнейшему размножению».
Ключевыми понятиями в этом определении компьютерного вируса является
способность вируса к саморазмножению и способность к модификации вы-
числительного процесса
. Указанные
свойства компьютерного вируса анало-
гичны паразитированию биологического вируса в живой природе. С тех пор
острота проблемы вирусов многократно возросла


к концу 20
-
го века в мире
насчитывалось более 14300 модификаций вирусов. Разнообразие вирусов
столь ве
лико, что просто невозможно указать достаточные условия (перечис-
лить набор признаков, при выполнении которых программу можно одно-
значно отнести к вирусам)


всегда найдутся программы с данными призна-
ками, не являющимися вирусами.

В настоящее время под комп
ьютерным вирусом принято понимать про-
граммный код, обладающий следующими свойствами:

1.

Способностью к созданию собственных копий, необязательно совпада-
ющих с оригиналом, но обладающих свойствами оригинала (самовоспроизве-
дение).

2.

Наличие механизма, обеспечиваю
щего внедрение создаваемых копий в
исполняемые объекты вычислительной системы.

Следует отметить, что эти свойства являются необходимыми, но недо-
статочными. Указанные свойства необходимо дополнить свойствами деструк-
тивности и скрытности действий данной вред
оносной программы в вычисли-
тельной среде.



12


1.2.

Анти
вирусные программы и комплексы

Для защиты от компьютерных вирусов могут использоваться следую-
щие методы и средства:



Общие методы и средства защиты информации.



Специализированные программы для защиты от вирусо
в.



Профилактические меры позволяющие уменьшить вероятность зараже-
ния вирусов.


Общие средства защиты информации полезны не только для защиты от
вирусов. Они используются также как страховка от физической порчи дисков,
неправильно работающих программ или ош
ибочных действий пользователей.

Существует две основных разновидности этих средств:



Средства копирования информации

-


применяются для создания копии
файлов и системных областей дисков.



Средства разграничения доступа

-

предотвращают несанкционированное
использование информации, в частности обеспечивают защиту от изме-
нений программ и данных вирусами, неправильно работающими про-
граммами и ошибочными действиями пользователей.


При заражении компьютера вирусом важно его обнаружить. К внеш-
ним признакам
проявления деятельности вирусов можно отнести следующие:



Вывод на экран непредусмотренных сообщений или изображений;



Подача непредусмотренных звуковых сигналов;



Изменение даты и времени модификации файлов;



Исчезновение файлов и каталогов или искажение их с
одержимого;



Частые зависания и сбой в работе компьютера;



Медленная работы компьютера;



Невозможность загрузки операционной системы;



Существенное уменьшение размера свободной оперативной памяти;



Прекращение работы или неправильная работа ранее успешно функци-
онировавших программ;



Изменение размера файлов;



Неожиданное значительное увеличение количества файлов на диск
е
.


Однако следует заметить, что перечисленные выше явления необяза-
тельно вызываются действиями вирусов, они могут быть следствием и других
13


причин.

Поэтому правильная диагностика состояния компьютера всегда за-
труднена и обычно требует привлечения специализированных программ.

Для обнаружения и защиты от компьютерных вирусов разработано не-
сколько видов специальных программ, которые позволяют обнаружива
ть и
уничтожать компьютерные вирусы. Такие программы называются антивиру-
сами. Практически все антивирусные программы обеспечивают автоматиче-
ское восстановление зараженных программ и загрузочных секторов. Антиви-
русные программы используют различные методы о
бнаружения вирусов. К
основным методам обнаружения компьютерных вирусов можно отнести сле-
дующие:



Метод сравнения с эталоном;



Эвристический анализ;



Антивирусный мониторинг;



Метод обнаружения изменений;


1.3.

Пакет антивирусной защиты
Dr
.
Web

Антивирус Доктор Вэб


это семейство кроссплатформенных антиви-
русных продуктов.
Он имеет модульную структуру, ниже представлены его ос-
новные модульные компоненты:



Сканер Dr.Web

для Windows



антивирусный сканер с графиче-
ским интерфейсом, который запускается по запросу
пользователя или по рас-
писанию и производит антивирусную проверку компьютера с помощью ска-
нирования.



Антируткит Dr.Web

(Anti
-
rootkit API)


фоновое сканирование
на наличие руткитов. Начиная с версии 8.0 реализована подсистема фонового
сканирования и нейтр
ализации активных угроз.



Превентивная защита

-

возможность защиты компьютера поль-
зователя от заражения путем блокирования автоматической модификации
критических объектов Windows, а также контроля некоторых небезопасных
действий. Антивирус Dr.Web с помощью
превентивной защиты обеспечивает
контроль над следующими объектами: файл HOSTS; возможность низкоуров-
невого доступа к диску; возможность загрузки драйверов; доступ к Image File
Execution Options; доступ к User Drivers; параметры оболочки Winlogon; ноти-
фика
торы Winlogon; автозапуск оболочки Windows; ассоциации исполняемых
файлов; политики ограничения запуска программ (SRP); плагины Internet
Explorer (BHO); автозапуск программ; автозапуск политик; конфигурацию
безопасного режима; параметры Session Manager; си
стемные службы.

14




SpIDer Guard



антивирусный сторож, который постоянно нахо-
дится в оперативной памяти, осуществляя проверку файлов и памяти «на
лету», а также обнаруживая проявления вирусной активности.



SpIDer Mail



почтовый антивирусный сторож, который п
ерехва-
тывает обращения любых почтовых клиентов компьютера к почтовым серве-
рам по протоколам POP3/SMTP/IMAP4/NNTP, обнаруживает и обезвреживает
почтовые вирусы до получения писем почтовым клиентом с сервера или до
отправки письма на почтовый сервер. Почтовы
й сторож также может осу-
ществлять проверку корреспонденции на спам с помощью Антиспама Dr.Web.



Dr.Web Firewall



персональный межсетевой экран Антивируса
Dr.Web, предназначенный для защиты компьютера от несанкционированного
доступа извне и предотвращения
утечки важных данных по сети.



Модуль обновления
, который позволяет зарегистрированным
пользователям получать обновления вирусных баз и других файлов ком-
плекса, а также производит их автоматическую установку; незарегистрирован-
ным пользователям дает
возможность зарегистрироваться или получить де-
монстрационный ключ.


2.

Порядок выполнения лабораторной
работы

2.1.

Задание для выпол
нения практической части работы

1.

Установить программу
Dr
.
Web

и активировать месячную лицензию.
При
необходимости о
бновить
сигнатурные базы.

2.

Ознакомиться с модулями, входящими в состав пакета
Dr
.
Web

и зафикси-
ровать основные настройки каждого из них.

3.

Провести проверку на наличие угроз на компьютере и описать возможно-
сти, предоставляемые программой. Обнаружить хотя бы один виру
с, опи-
сать его.


2.2.

Об
язательные иллюстрации к работе

1.

Дать скриншоты
окон установки антивируса
Dr
.
Web
.

2.

Привести скриншоты основных модулей, входящих в состав антивируса
Dr
.
Web
, и основных его настроек.

3.

Привести скриншот процесса сканирования с обнаружением
вируса (или
нескольких вирусов).



15


2.3.

Пример выполнения практической части работы.

На рисунках 2.1
-

2.
6

приведены примеры полученных результатов при
выполнении работы из
антивируса
Dr
.
Web



Рис.2.1
. Первое окно установки антивируса Dr. Web.



Рис.2.
2
.
Обновление программы и сигнатур при установке антивируса Dr.
Web.

16



Рис.2.
3
. Сканирование на наличие вирусов при установке антивируса Dr.
Web.



Рис.2.
4
. Результат пр
оверки на наличие вирусов

при установке антивируса
Dr. Web.


17



Рис.2.
5
. Окно завершения у
становки антивируса Dr. Web.



Рис.2.
6
. Окно сведений об установленной версии антивируса Dr. Web и его
модулей.


2.4.

Пример о
пис
ания

найденного вируса

18


Технические детали
.

Троянская программа, которая без ведома пользо-
вателя загружает из сети Интернет другие вредоносные программы и запус-
кает их на выполнение. Программа является приложением Windows (PE EXE
-
файл). Имеет размер 113152 байта. Ничем не упакована. Написана на Vis
ual
Basic.

Инсталляция.
После запуска троянец копирует свое тело в каталог про-
грамм Windows под именем "lsass.exe":

%Program Files%
\
Microsoft Studio Files
\
lsass.exe

Для автоматического запуска при каждом следующем старте системы
троянец создает ссылку на
свой исполняемый файл в ключе автозапуска си-
стемного реестра:

[HKCU
\
Software
\
Microsoft
\
Windows
\
CurrentVersion
\
Run]

"lsass" = "%Program Files%
\
Microsoft Studio Files
\
lsass.exe"

Далее троянец в своем каталоге установки создает файл командного ин-
терпретатора

"vcdg.bat":

%Program Files%
\
Microsoft Studio Files
\
vcdg.bat

в который записывает следующие строки:

\
Mi-
crosoft Studio

Files
\
lsass.exe" NAME="Session Win32" MODE=ENABLE PROFILE=ALL

Таким образом,

троянец добавляет настройку в конфигурацию файер-
вола Windows XP, которая разрешает выполнение любой сетевой активности
для вредоносного процесса.

Затем файл "%Program Files%
\
Microsoft Studio Files
\
vcdg.bat" запуска-
ется на выполнение.

Деструктивная активн
ость.
После инсталляции троянец выполняет за-
грузку файлов, расположенных по следующим адресам:

http://www.club
-
vw.cl/*****/modules/subsmanager/api_apache.tar

http://www.*****
-

http://www.photo
-
*****.ru/images/exhibition_moll2005_file0031
.jpg

На момент создания описания указанные ссылки не работали.

http://www.cemm*****ac.at/img/nav/plus19a_RO.jpg

Данный файл имеет размер 2603325 байт и детектируется Антивирусом
Касперского, как Trojan
-
Spy.Win32.Banbra.bak.

Загруженные файлы сохраняются в
каталог установки троянской про-
граммы под случайными именами и запускаются на выполнение.

19


Рекомендации по удалению.
Если ваш компьютер не был защищен анти-
вирусом и оказался заражен данной вредоносной программой, то для её уда-
ления необходимо выполнить следу
ющие действия:

1.

При помощи (

"Диспетчера задач"
) завершить троянский процесс.

2.

Удалить параметр в ключе
системного реестра
:

[HKCU
\
Software
\
Microsoft
\
Windows
\
CurrentVersion
\
Run]

"lsass" = "%Program Files%
\
Microsoft Studio Files
\
lsass.exe"

3.

Удалить оригинальный файл
троянца (его расположение на зара-
женном компьютере зависит от способа, которым программа попала на ком-
пьютер).

4.

Удалить каталог со всем его содержимым:

%Program Files%
\
Microsoft Studio Files

5.

Очиститькаталог
%Temporary Internet Files%
.

6.

Произвести полную проверку компьютера Антивирусом Каспер-
ского с обновленными антивирусными базами (
скачать пробную версию
).


3.

Контрольные
вопросы

1.

Назовите основные признаки деления вирусов на классы.

2.

Файловые, сетевые ….


продолжите список вирусов.

3.

К вирусам какого признака можно отнести макровирусы?

4.

Термин «компаньон
-
вирусы» относятся к каким вирусам?

5.

Опишите правила работы загрузочных вир
усов.

6.

Как макровирусы получают управление?

7.

Какие вирусы называют программами типа «червь»?

8.

Как действуют вирусы, ориентированные на операционную систему?

9.

Опишите стадию жизненного цикла вируса, на которой он наиболее уяз-
вим со стороны антивирусной программ
ы.

10.

Перечислите этапы стадии исполнения вируса.

11.

На какой стадии вирус может шифровать исполняемый код?

12.

Перечислите приёмы модификации кода.

13.

Что представляет собой процесс загрузки вируса?

14.

Опишите поведение полиморфных вирусов.

15.

Опишите поведение стелс
-
вирусо
в.

16.

Охарактеризуйте невыгружаемые из основной памяти вирусы, приве-
дите пример.

17.

Опишите два способа поиска жертвы заражения.

18.

Что такое простейший случай заражения вирусом?

20


19.

Как создаётся новый инфицированный файл?

20.

Опишите первый способ внедрения вируса в
файл.

21.

Опишите второй способ внедрения вируса в файл.

22.

Опишите третий способ внедрения вируса в файл.

23.

Каким вирусам и почему приходится хранить часть своего кода на
диске? Назовите место, где должна находится другая часть кода этого
вируса.

24.

Классификация Кас
перского, описание.

25.

Процесс заражения для макровирусов.

26.

Какими могут быть вирусы по деструктивным свойствам?

27.

Какими бывают вирусы по отношению к программе
-
носителю?

28.

Чем отличается троянская программа от червей?

29.

Какова основная особенность логической бомбы?




Лабораторная работа №3

Изучение пакетов антивирусной защиты. Антивирус Касперского


Цель работы:

Ознакомиться с распространенн
ой программой

антивирусной
защиты

Антивирус Касперского
.
О
своить методы работы с антивирус
о
м
, вы-
полнить сравнительный анализ с антивирусным ПО
Dr
.
Web
.


1.

Краткие теоретические сведения

1.1.

Основные каналы распространения вирусов и других вредо-
носных программ

Для того чтобы создать эффективную систему антивирусной защиты
компьютеров и корпоративных
сетей, необходимо четко представлять себе,
откуда грозит опасность. Вирусы находят самые разные каналы распростране-
ния, причем к старым способам постоянно добавляются новые.



Классические способы распространения.
Файловые вирусы

рас-
пространяются вместе с фай
лами программ в результате обмена
носителями

и
программами, загрузки программ из
локальной или глобальной сетей
.
Загру-
зочные вирусы
может
попа
сть
в компьютер, когда пользователь забывает зара-
женную
носитель подключенный к компьютеру
, а затем перезагружают
ОС

21


(при этом разрешена загрузка с этого носителя)
. Загрузочный вирус также мо-
жет быть занесен на компьютер вирусами других типов.
Макрокомандные ви-
русы

распространяются в результате обмена зараженными файлами офисных
документов, такими как файлы
MicrosoftW
ord
,
Ex
с
el
,
Access
.

Если зараженный компьютер подключен к локальной сети, вирус легко
может оказаться на дисках файл
-
серверов, а оттуда через каталоги, доступные
для записи, попасть на все остальные компьютерные сети. Так начинается ви-
русная эпидемия. Сист
емному администратору следует помнить, что вирус
имеет в сети такие же права, что и пользователь, на компьютер которого этот
вирус пробрался. Поэтому он может попасть во все сетевые каталоги, доступ-
ные пользователю. Если же вирус завелся на рабочей станции

администратора
сети, последствия могут быть очень тяжелые.



Электронная почта.
В настоящее время глобальная сеть Интернет
является основным источником вирусов. Большое число заражения вирусами
происходит при обмене письмами по электронной почте. Электронная

почта
служит
одним из
канало
в

распространения вирусов, так как вместе с сообще-
ниями часто отправляются
, например
офисные документы.

Заражения вирусами могут осуществляться как непреднамеренно, так и
по злому умыслу. Например, пользователь зараженного макр
овирусом редак-
тора, сам того не подозревая, может рассылать зараженные письма адресатам,
которые, в свою очередь, отправляют новые зараженные письма и т.д. С дру-
гой стороны, злоумышленник может преднамеренно послать по электронной
почте вместе с вложенным
файлом исполняемый модель вирусной или «тро-
янской» программы, вредоносный программный сценарий
VisualBasic
, зара-
женную или «троянскую» программу

в виде
заставки экрана монитора, словом


любой опасный программный код.

Распространители вирусов часто пользую
тся для маскировки тем фак-
том, что диалоговая оболочка
MicrosoftWindows

по умолчанию не отображает
расширение зарегистрированных файлов. Например,
FreeCreditCart
.
txt
.
exe
, бу-
дет показан пользователю как
FreeCreditCart
.
txt
. если пользователь попытается
откры
ть такой файл, будет запущена вредоносная программа.

Сообщения электронной почты часто приходят в виде документов
HTML
, которые могут включать ссылки на элементы управления
ActiveX
, ап-
плеты
Java

и другие активные компоненты. Из
-
за ошибок в почтовых клиента
х
злоумышленники могут воспользоваться такими активными компонентами
для внедрения вирусов и «троянских» программ на компьютер пользователя.
При получении сообщения в формате
HTML

почтовый клиент показывает его
содержимое в своем окне. Если сообщение содер
жит вредоносные активные
22


компоненты, они сразу же запускаются и выполняют заложенные в них функ-
ции. Чаще всего таким способом распространяются «троянские» программы и
черви.



«Троянские»
Web
-
сайты.
Пользователи могут получить вирус
или «троянскую» программу
во время простой навигации по сайтам Интер-
нета, посетив «троянский»
Web
-
сайт. Ошибки в браузерах пользователей за-
частую приводят к тому, что активные компоненты «троянских»
Web
-
сайтов
(элементы управления
ActiveX

и апплеты
Java
) внедряют на компьютеры
пользователей вредоносные программы. Здесь используется тот же самый ме-
ханизм, что и при получении сообщений электронной почты в формате
HTML
.
Но заражение происходит незаметно: активные компоненты
Web
-
страниц мо-
гут внешне никак се
бя не проявлять. Приглашение посетить «троянский» сайт
пользователь может получить в обычном электронном письме.



Локальные сети.

Локальные сети также представляют собой путь
быстрого заражения. Если не принимать необходимых мер защиты, то зара-
женная рабоча
я станция при входе в локальную сеть заражает один или не-
сколько файлов на сервере
.
Пользователи при входе в эту сеть запускают за-
раженные файлы с сервера, и в результате вирус получает доступ на компью-
теры пользователей.



Другие каналы распространения вред
оносных программ.
Од-
ним из серьезных каналов распространения вирусов являются пиратские ко-
пии программного обеспечения. Часто нелегальные копии на
различных носи-
телях

содержат файлы, зараженные разнообразными типами вирусов. К источ-
никам распространения вир
усов следует отнести электронные конференции и
файл
-
серверы
FTP

часто авторы вирусов
вы
кладывают зараженные файлы
сразу на несколько файл
-
серверов
FTP

или рассылают одновременно по не-
скольким электронным конференциям, причем зараженные файлы обычно
маскиру
ют под новые версии программных продуктов и даже антивирусов.
Компьютеры, установленные в учебные заведения и интернет
-
кафе

и работа-
ющие в режиме общего пользования, также могут легко оказаться источни-
ками распространения вирусов. Если
такой

компьютер оказ
ался зараженным
вирусом с
внешнего носителято файлы

всех остальных пользователей, рабо-
тающих на этом компьютере,
могут оказаться

зараженными.

По мере развития компьютерных технологий совершенствуются и ком-
пьютерные вирусы, приспосабливаясь к новым для се
бя сферам обитания. В
любой момент может появиться компьютерный вирус, «троянская» программа
или червь нового, неизвестного типа, либо известного типа, но нацеленного на
23


новое компьютерное оборудование. Новые вирусы могут, использовать неиз-
вестные или не с
уществующие ранее каналы распространения, а также новые
технологии внедрения в компьютерные системы. Чтобы исключить угрозу ви-
русного заражения, системный администратор корпоративной сети должен не
только внедрять методики антивирусной защиты, но и постоян
но отслеживать
новости в мире компьютерных вирусов.


1.2.

Пакет антивирусной защиты Антивирус Касперского

Антивирус Касперского

(
англ.

Kaspersky Antivirus, KAV
)



антивирусное
программное обеспечение
, разрабатываемое

Лабораторией Касперского
.
Предоставляет
пользователю защиту от

вирусов
,

троянских программ
,

шпи-
онских программ
,

руткитов
,

adware
, а также неизвестных угроз.

Антивирус Касперского

предлагает следующие функции
базовой защиты
компьютера:



Защита от вирусов, троянских программ и червей



Защита от
шпионских и рекламных программ



Проверка файлов в автоматическом режиме и по требованию



Проверка почтовых сообщений (для любых почтовых клиентов)



Проверка интернет
-
трафика (для любых

интернет
-
браузеров)



Защита интернет
-
пейджеров (ICQ,

MSN)



Проактивная
защита от новых вредоносных программ



Проверка Java
-

и

Visual Basic
-
скриптов



Защита от скрытых и поврежденных ссылок



Постоянная проверка файлов в автономном режиме



Постоянная защита от фишинговых сайтов



2.

Порядок выполнения

лабораторной работы

1.

Установить
программу Антивирус Касперского. Обновить сигнатурные
базы.

2.

Ознакомиться с модулями, входящими в состав пакета Антивирус Кас-
перского и зафиксировать основные настройки каждого из них.

3.

Провести проверку на наличие угроз на компьютере и описать возмож-
ности,
предоставляемые программой. Обнаружить хотя бы один вирус,
описать его.

24


4.

Выполнить сравнение антивирусных программ Антивирус Касперского
и
Dr
.
Web
.


2.1.

Об
язательные иллюстрации к работе

1.

Дать скриншоты окон установки антивируса Антивирус Касперского.

2.

Привести
скриншоты основных модулей, входящих в состав антивируса
Антивирус Касперского, и основных его настроек.

3.

Привести скриншот процесса сканирования с обнаружением вируса
(или нескольких вирусов).


2.2.

Пример выпол
нения практической части работы

На рисунках 2.1
-
2.
6

лабораторной работы 2 приведены примеры полу-
ченных результатов при выполнении работы из антивируса
Dr
.
Web


3.

Контрольные вопросы

1.

В чём заключаются классические методы распространения файловых ви-
русов?

2.

В чём заключаются классические методы распространения
загрузочных
вирусов?

3.

В чём заключаются классические методы распространения макрокоманд-
ных вирусов?

4.

Каков основной принцип заражения по электронной почте?

5.

Что зачастую приводит к внедрению вредоносных программ на компьютер
через активные компоненты? К каком
у методу распространения вредонос-
ного ПО это относится?

6.

Существует ли жертва
-
посредник при заражении через локальную сеть
между жертвой
-
источником и незаражёнными компьютерами?

7.

Назовите другие каналы распространения вредоносных программ, кроме
классических

способов, электронной почты, сайтов, локальных сетей.

8.

Перечислите методы и средства защиты информации.

9.

Что такое маска вируса?

10.

Каков основной недостаток метода сравнения с эталоном?

11.

Какова методика работы эвристического анализа?

12.

Антивирусный мониторинг,
суть метода.

13.

Чем отличается проактивная защита от эвристического анализа?

14.

На чём основан метод обнаружения изменений?

25


15.

Что такое программы с автоматическим дозвоном?

16.

Против какого типа вирусов направлены встраиваемые в
BIOS

антиви-
русы?

17.

Какие методы защиты и
спользуют программы
-
фаги?

18.

Категории фагов, описание?

19.

Методика работы программ
-
фагов?

20.

Какие программы
-
фаги обеспечивают более надёжную защиту, почему?

21.

Что такое
CRC
-
сканеры?

22.

Назовите плюсы и минусы программ
-
ревизоров.

23.

На чём основана работа программ
-
ревизор
ов?

24.

Что такое вирусоопасные ситуации, какие антивирусные программы реа-
гируют на них?

25.

Лечение поражённых файлов программами
-
блокировщиками.

26.

Какова основная функция программ
-
блокировщиков? Каковы их минусы?

27.

Чем программы
-
иммунизаторы отличаются от
CRC
-
сканер
ов?

28.

Сколько типов иммунизаторов можно выделить, чем они отличаются?

29.

Перечислите критерии качества антивирусной программы.

30.

Назовите основные компоненты антивирусного комплекса, который обес-
печит приемлемую защиту от вирусов, не перегружая и затормаживая си-
с
тему. Обращаем внимание, что вариантов может быть несколько.

31.

К каким вирусам относятся не имеющие сигнатур?

32.

Какие вирусы способны перехватить запросы операционной системы на
чтение/запись заражённых файлов? С какой целью они это делают?

33.

Могут ли макровирус
ы являться стелс
-
вирусами?

34.

Каким образом вирус может «обмануть» операционную систему так, что
она будет считать место его расположения как свободный сектор?

35.

Вирусы, построенные для работы на какой платформе, обладают неогра-
ниченными потенциальными
возможностями?




Лабораторная работа №4

Изучение межсетевых экранов.
Zone

Alarm
.


Цель работы:

Ознакомиться с
принципами работы межсетевых экранов
.

О
своить методы работы с распространенн
ой программой межсетевого экрани-
рования
Zone

Alarm
.

26



1.

Краткие
теоретические сведения

1.1.

Сетевые экраны

Любой персональный компьютер (ПК), подключенный к Internet
-

потен-
циальная цель. Как только обнаружен открытый порт, хакер может взломать
ПК с помощью

Троянско
й программы
, spyware или злонамеренного червя.

Существуют
несколько типов атак на удаленные системы, простейшей
из которой является атака троян
ской програмой
. Чаще всего пользователь
по-
лучает ее
по электронной почте или через icq, skype (пользователю посылают
файл, обещая что
-
нибудь). Попавшись на
эту уловку
, по
льзователь запускает
его и вирус поселяется на ПК.

Есть несколько средств борьбы с вирусами. Простейшим способом яв-
ляется использование антивируса, но часто бывает, что антивирусная про-
грамма не может определить

или противодействовать вредоносной про-
грамме, например отправляющей с компьютера пользователя различными
способами информацию или личные данные
.
В этом случае

на помощь
может
придти

файервол

-

программа, позволяющая ограничить доступ приложений к
локальны
м и глобальным сетям
. Ярким примером работы файервола может
служить такой
пример
: на ПК появил
а
сь

-

программа, собирающая пароли и
всевозможную информацию, а затем отсылающая ее
компьютер злоумышлен-
ника
. Но

поскольку
на компьютере
установлена программа
-
фай
ервол,
то при
попытке отосылки
, файервол сообщает пользователю, что программа X пыта-
ется
получить доступ к интернету
. Пользователю остается только запретить
такой
доступ, а также попытаться вычислить
злоумышленника по ip
-
адресу
,
на который была сделана поп
ытка отправления данных
. В качестве файервола
можно
на пример
использовать,
программу

Zone

Alarm
.


1.2.

Zone

Alarm

Zone

Alarm

является брандмауэром,
разработанным

для использования
на домашнем компьютере или рабочем месте в организации. На основании вы-
бранного уровня безопасности, ZoneAlarm блокирует или разрешает установ-
ление соединений с локальной сетью и Интернетом, предупреждает о попыт-
ках установить несанкцион
ированные соединения и
предотвращает

их.

Zone

Alarm содержит

следующие модули
: файервол, контроллер работы
программ, «замок» для программ, имеющих выход в Интернет, инструменты
27


для установления уровней
безопасности и зон безопасности, функцию
MailSafe для проверки
вложений

к почтовым сообщениям.

В Zone

Alarm предусмотрен режим работы Stealth, позволяющий поль-
зователю оставаться невидимым из Сети; контроллер работы программ не поз-
волит
отправить
информаци
ю

с ПК в Интернет
без ведома пользователя
, даже,
если пользователь «прозевал» троянск
ую программу
; «замок» закроет доступ
посторонним к программам по команде или синхронно с началом работы
скринсейвера и т.д.

Программа проста в установке.
Сразу после уст
ановки она
уже настро-
ен
а
. По умолчанию стоит высший уровень защищенности для интернета и
средний для локальной сети. Третий уровень защиты просто
с
прячет
компью-
тер в сети
от
различных
атак, т.е. пользователь становится практически неви-
димым для хакеров и о
стальных «охотников за информацией».
Zone

Alarm

позволяет заблокировать

использование сервисов Windows (
открытие на до-
ступ папок
и принтеров) и запрещает использование
"неправильных"

портов.
Поскольку все программы, обращающиеся к сети, выполняются на том же
компьютере, что и брандмауэр, появляется дополнительная возможность кон-
троля, недоступная при использовании брандмауэров, установленных
на дру-
гих узлах
в локальной сети.
Т.е. Zon
e

Alarm позволяет осуществлять

контроль
использования сети различными приложениями

С помощью Zone

Alarm к
аждому приложению на компьютере можно
разрешить или запретить обращаться к локальной сети и сети Интернет. О по-
пытках нового приложения обратиться к с
ети пользователь извещается мгно-
венно, при этом ему предлагается выбор
-

разрешить доступ к сети или нет.
Таким образом,
при совместном использовании антивируса и фаервола
у вре-
доносных программ
практически
не остается никаких шансов. Более того,
можно за
блокировать, например, попытки электронной регистрации каких
-
либо приложений, сохранив таким образом конфиденциальность
, при работе
с

личной информаци
ей
. Все всплывающие сигнализаторы неопознанной сете-
вой активности будут понятны самым неопытным пользоват
елям и предла-
гают всего два
варианта

-

допустить соединение или отказаться от него. Как
уже говорилось, Zone Alarm спросит, хочет ли пользователь, чтобы программа
запомнила этот его выбор на будущее. Все без исключения обращения к
с
ети
протоколируются, даж
е если пользователь отключит вывод информационных
сообщений о детектировании разрешенных соединений.

Настройка программы
Zone

Alarm
.

Настройк
а

программы рассчитан
а

даже на неопытного пользователя. Обычный брандмауэр работает на основе
28


списка заданных пользователем правил
-

какие виды соединений с сетью яв-
ляются допустимыми и как реагировать на недопустимые соединения. Это
наиболее универсальный подход, позволяющий н
ейтрализовать большую
часть сетевых атак, не затрудняя работу пользователю.

Даже опытные сетевые администраторы нередко допускают ошибки в конфи-
гурировании, от чего резко снижается эффективность защиты.

В

Zone

Alarm используется
достаточно

простой подход
-

пользователь выби-
рает нужный ему «уровень безопасности» для работы в Интернет и для локаль-
ной сети. На основе этого выбора Zone

Alarm самостоятельно определяет пра-
вила работы.

Разработчики
данного

файерволла также позаботились и об удобст
ве пользо-
вателя, позволяя простым перемещением движка
-
регулятора задавать любой
из трех предустановленных уровней защиты, причем отдельно настраиваются
две зоны
-

локальная сеть и интернет. Характеристики этих установок легко
изменить, если вас в них что
-
т
о не устраивает.

Zone Alarm использует STEALTH
-
режим, который «прячет» все неис-
пользуемые порты, предотвращая ответы о текущем статусе порта, запраши-
ваемые, например, при сканировании
ПК

в поисках
бреши
. Несмотря на кажу-
щуюся простоту программы, она способ
на блокировать множество потенци-
альных

угро
здля
систем
ы

из интернета. При активизации экранной заставки
или во время простоя ПК программа может
при необходимости
полностью
за-
крывать

выход в интернет, что повышает уровень безопасности забывчивых
пользователей, особенно при постоянном подключении к Сети.

Для локальной зоны лучше установить среднюю степень защиты, чтобы
сохранить сетевой доступ к
открытым на доступ ресурсам сети

-

нем
ало-
важно, что при этом пользователь сам определяет, что относится к локальной
зоне. К счастью, в этом случае не нужно вводить IP
-
адрес каждого ПК в ло-
кальной сети
-

достаточно задать диапазон адресов или маску.

Интересной особенностью программы является во
зможность блокиро-
вания доступа в интернет с использованием всего одной кнопки.

Применение брандмауэра
.

Zone

Alarm реализует один из наиболее
сложных и эффективных методов защиты от сетевых атак
-

брандмауэр. При
этом ошибиться в его установке и
настройке довольно трудно. Поэтому ис-
пользование программы будет весьма эффективным для защиты от
троянских
программ и

несанкционированного доступа к ресурсам. Стоит отметить, что
блокирование несанкционированных соединений из сети происходит путем
"прогла
тывания" пакетов. Это создает у атакующего иллюзию, что по данному
IP
-
адресу вообще не существует компьютера, подключенного к сети.

29


Кроме того, Zone

Alarm может осуществлять контроль содержимого, переда-
ваемого через сетевые соединения. Это защита от вирусо
в, баннеров, всплы-
вающих окошек, различного "мусора" и нежелательных активных элементов
веб
-
страниц.

Опция MailSafe, предотвращающая запуск потенциально опасных
скриптов,
полученных по электронной почте
. В отличие от антивирусных про-
грамм, эта функция не д
аст пользователю запустить нов
ые
, неизвестны
е

анти-
вирусам деструктивны
е

скрипт
ы
.

Главной
особенностью

Zone

Alarm является криптографическая подпись
для тех приложений, которым пользователь доверяет выход в сеть. Эта функ-
ция делает невозможным маскировку
одной программы под другую (как часто
делают троян
ские программы
). Например,
"
троян
"
, попавший на компьютер,
пытается получить доступ в сеть, но на ПК стоит файервол. Тогда он пытается
сделать себе «липовое» разрешение на доступ в сеть, т.е. программа може
т
«замаскироваться» под Internet Explorer и без проблем пользоваться интернет.
Но при использовании Zone

Alarm такого произойти не может из
-
за того, что
программа подписывает ВСЕ приложения, получающие доступ в сеть. Проще
говоря, каждая программа получает

свой идентификационный номер, кото-
рый, к тому же, шифруется.



2.

Порядок выполнения
лабораторной работы

1.

Установить программу
Zone

Alarm
.
Проверить и при необходимости о
б-
новить.

2.

Ознакомиться
и зафиксировать основные настройки
различных пунктов
меню
.

3.

Настроить должным образом программу
Zone

Alarm
.

4.

Обнаружить хотя бы
одну попытку доступа на компьютер
, зафиксиро-
вать реакцию фаервола
Zone

Alarm
.

5.

Про
вести попытку войти
на доступный сетевой ресурс и на другие ком-
пьютеры локальной сети
, зафиксировать реакцию фаервола
Zone

Alarm
.


Об
язательные иллюстрации к работе

1.

Дать скриншоты окон установки
программы
ZoneAlarm
.

2.

Привести скриншоты основных
настроек программы
ZoneAlarm
.

3.

Привести скриншот процесса
обнаружения атаки

30


4.

Привести скриншот
процесса обнаружения попытки программ получить
исходящее соединение
.

5.

Привести скриншот
окна правил для программ


3.

Контрольные вопросы.

1.

Какие виды межсетевых экранов вы знаете?

2.

В каких узлах локальной сети следует устанавливать межсетевые экраны
?

3.

Почему при

создании правил фильтрации в случае, если пользователем
отмечен протокол IP, блокируется доступ к указанию порта ?

4.

Работу каких протоколов нужно разрешить в фаерволе, если необходимо
предоставить возможность выхода в Интернет ?

5.

Работу каких протоколов нуж
но разрешить в фаерволе, если необходимо
предоставить возможность работы с электронной почтой ?

6.

Какая политика по умолчанию более надежна с точки зрения безопасно-
сти ?

7.

Для каких атак могут быть использованы широковещательные сообще-
ния?

8.

Зачем нужен пакетный

фильтр?

9.

На каком уровне модели OSI/ISO работает пакетный фильтр?

10.

Что такое трансляция адресов (NAT)? Зачем она используется?


Лабораторная работа №5

«Изучение программного пакета анализа сетевого трафика
Wireshark
»


Цель работы:
Получение навыков анализа протоколов с помощью программ-
ного обеспечения
Wireshark


1.

Основные теоретические сведения

Анализ сетевого трафика является одной из задачей управления и адми-
нистрирования компьютерной сетью.
Анализатор трафика, или сниффер (от
анг
л. to sniff
-

нюхать)
-

сетевой анализатор трафика, программа или програм-
мно
-
аппаратное устройство, предназначенное для перехвата и последующего
анализа сетевого трафика для всех узлов сети. Во время работы сниффера се-
тевой интерфейс переключается в режим
прослушивания, что и позволяет ему
31


получать пакеты, адресованные другим интерфейсам в сети.

Перехват трафика может осуществляться:



обычным "прослушиванием" сети, что эффективно при использовании в
сегменте концентраторов (хабов), но малоэффективно при
использова-
нии коммутаторов (свитчей), поскольку на сниффер попадают лишь от-
дельные фреймы;



подключением сниффера в разрыв канала;



ответвлением (программным или аппаратным) трафика и направлением
его копии на сниффер;



через анализ побочных электромагнитных
излучений и восстановление,
таким образом, прослушиваемого трафика;



через атаку на канальном (МАС) или сетевом (IP) уровне, приводящую
к перенаправлению трафика на сниффер с последующим возвращением
трафика в надлежащий адрес.

В начале 1990
-
х снифферы широ
ко применялись хакерами для захвата поль-
зовательских логинов и паролей, которые в ряде протоколов передаются в не-
зашифрованном или слабо зашифрованном виде, а использование хабов поз-
воляло захватывать трафик в больших сегментах сети практически без риска
б
ыть обнаруженным.

В наше время снифферы находят применение в сетевом администрирова-
нии. Анализ прошедшего через сниффер трафика позволяет:



Обнаружить паразитный, вирусный и закольцованный трафик, наличие
которого увеличивает загрузку сетевого оборудования
и каналов связи.
Однако снифферы для этих целей являются не очень эффективными.
Для этих целей используют сбор разнообразной статистики серверами и
активным сетевым оборудованием.



Выявить в сети вредоносное и несанкционированное ПО, например, се-
тевые скане
ры, флудеры, трояны, клиенты пиринговых сетей и другие
(для этого используют специализированные снифферы
-

мониторы сете-
вой активности).



Локализовать неисправность сети или ошибку конфигурации сетевых
агентов, что особенно важно при работе сетевых админист
раторов.

Одним из простых и свободно распространяемых программных продуктов
этого класса является Wireshark. Программа распространяется под свободной
лицензией GNU GPL. Существуют версии для большинства типов UNIX, в том
числе GNU/Linux, FreeBSD, OpenBSD,
Mac OS X, а также для Windows
(
http://www.wireshark.org
).

32


Как и большинство программ такого класса,
Wireshark

содержит следую-
щие основные компоненты: фильтр захвата, буфер кадров, декодер протоко-
лов, фильтр отображения захваченных кадров и модуль статистики с элемен-
тами экспертно
й

с
истемы. К несомненным достоинствам
Wireshark

относятся:



наличие реализаци
й

для
Unix

и
Wind
ows
;



наличие исходного кода программы;



возможность захвата трафика в сетевых сегментах различных базовых
технологи
й
;



возможность анализа огромного числа протоколов (более 700);



возможность экспорта/импорта фа
й
л
ов данных в формат распространен-
ных анализаторов (несколько десятков форматов);



мощная и удобная система поиска и фильтрации информации в буфере
пакетов;



наличие элементов экспертно
й

сист
емы;



возможность сохранения на
диск выделенного фрагмента пакета;



наличие полезных утилит командно
й

с
троки для осуществления захвата
трафика и обработки сохраненных фа
й
л
ов.


2.

Порядок выполнения лабораторной работы

1.

Установите программное обеспечение Wireshark и библиотеку
WinPCap. Инс
таллятор требуемой версии библиотеки WinPCap содер-
жится в дистрибутиве Wireshark.

2.

Запустите установленное ПО
Wireshark
.

3.

Выполните команду меню
«
Capture

-

Options
»
, после чего выберите в от-
крывшемся окне сетевое подключение компьютера для анализа трафика.

4.

Уберите маркер напротив опции «Capture packets in promiscuous mode»
для захвата только пакетов адресованных вашему компьютеру (кадры с
широковещательным адресом также будут захватываться). В таком ре-
жиме работы число захваченных пакетов будет существенно м
еньше,
что облегчит выполнение заданий.


33



Рис. 5.1.
Окно настроек интерфейсов для захвата трафика
.

5.

Выполните в командной строке
Windows

команду «arp

d» для очистки
кэша протокола
ARP
.

6.

Запустите процесс захвата сетевого трафика, нажав кнопку «Capture».

7.

В командной строке выполните команду ping 8.8.8.8 (в качестве пара-
метра команды можно использовать IP
-
адрес сервера). По завершении
команды Ping остановите захват сетевого трафика, нажав кнопку «Stop»
в рабочем окне
Wireshark
.

8.

Для отображения только ICMP
-
п
акетов в строке ввода «Filter» введите
значение «icmp» и нажмите на кнопку «Apply».


Рис. 5.2. Строка ввода фильтра.


9.

Используйте значение фильтра «
frame
.
number
> 20» и отобразите скрин-
шотом полученный результат.

10.

Выясните в чем разница между значениями фил
ьтров «
!(ip.addr ==
X.X.X.X)» и «ip.addr != X.X.X.X
».

11.

Отобразите только
ICMP
-
запросы. Для этого выберите
ICMP
-
пакет и,
нажав на строку
Type

правой кнопкой, примените поле
Type

как фильтр.


34



Рис. 5.3. Опция создания фильтра.

12.

Отобразите все кадры переданные узлом, исключая
ICMP
-
пакеты. Для
этого в строке фильтра введите значение «!
icmp
» и примените фильтр.

13.

Найдите все пакеты с помощью выражения фильтрации «
icmp
.
type
==0»


Рис. 5.4. Окно поиска пакета.


После данного действия в
Wireshark

выделится найденная строка

14.

Найдите все пакеты по строке «
reply
» в строке общей информации о па-
кете.

35



Рис. 5.5. Окно поиска по пакетам

15.

Найдите все пакеты по строке «
reply
» в панели декодера протоколов.


Рис. 5.6. Окно поиска по содержимому пакет
а

16.

Проанализируйте результаты поиска в пунктах 14
-
15.

17.

Пометьте первый и последний пакет, относящийся к команде
Ping
. Для
этого примените фильтр «
icmp
», выбрав первый пакет правой кнопкой
мыши и выбрав пункт «
». Аналогичные действия необхо-
димо про
извести с последним пакетом.

18.

Сохраните все захваченные кадры в файле с названием «
arp
-
ping
».
Дляэтоговыберитепункт

«File»


«Export Specified Packets…».

19.

Сохраните в файле с именем «
Ping
» только трафик команды
Ping
. Для
этого примените фильтр «
icmp
» и
сохраните только отображаемые па-
кеты.

20.

Сохраните первый пакет из типов пакетов
ICMP
-
запрос. Для

этого

вы-
беритеданный

пакет

и

нажмите

«File»


«Export Packet Dissection»


«as Plain_Text file».


36



Рис. 5.7. Сохранение файла отчета


Далее введите название
файла и выберите нужные параметры.


Рис. 5.8. Окно сохранения файла отчета


Выясните, как взаимосвязаны выбранные вами пакеты.

37



Рис. 5.9. Иллюстрация выбранных пакетов в отдельном окне

21.

Отключите анализ заголовка
IP
. Для этого нажмите «
Analyze
»


«
Enableprotocols
…», снимите галочку напротив пункта
IPv
4 и нажмите
на кнопку «
Apply
».


Рис. 5.10. Опции настройки протоколов

22.

Отобразите два пакета
ARP

(
reply

и
request
) и ответьте на контрольные
вопросы.

38



Рис. 5.11. Сравнение пакетов ответа и запроса.


3.

К
онтрольные вопросы

1.

Какое значение поля «тип протокола» в кадре

указывает на про-
токол
ARP
?

2.

По какому
MAC
-
адресу отправлен запрос
ARP
?

3.

По какому
MAC
-
адресу отправлен ответ
ARP
?

4.

Каким полем идентифицируются запрос и ответ
ARP
?

5.

В каких полях заголовка
ARP

передан запрос вашего узла?

6.

В каких полях заголовка
ARP

передан ответ вашему узлу?
















39


Лабораторная работа №6

«Изучение системы обнаружения атак
Snort
»


Цель работы:
Получение навыков работы с программой
Snort
,
изучение
принципов создания правил обработки трафика


1.

Основные сведения о системе обнаружения атак
Snort

Snort



бесплатная система обнаружения атак с открытым кодом, разра-
ботанная Мартином Рошем. Программное обеспечение
Snort

является сетевой
системой обн
аружения атак, основанной на сигнатурном анализе. Сигнатуры
атак описываются при помощи правил, позволяющих выявлять интересую-
щую администратора информацию в полях заголовков и содержимом переда-
ваемых по сети пакетов. Также в
Snort
реализовано несколько пре
процессоров,
выполняющих более сложные операции по анализу трафика.

Взаимодействие с ПО
Snort
происходит с помощью команд, составленных
по определенным правилам. Правила составления команд состоят из двух ча-
стей: заголовка и набора атрибутов. Заголовок, в с
вою очередь, состоит из:

1.

Указания действия, которое необходимо выполнить (
alert
,
log
,
pass

и др.).

Действие
alert
позволяет создать предупреждающее событие и со-
хранить содержимое пакета для дальнейшего анализа. Действие
log
позволяет сохранить содержимое пак
ета для дальнейшего ана-
лиза. Действие
pass
используется для игнорирования определенных
пакетов.

2.

Протокола (
tcp
,
udp
,
icmp
,
ip
).

3.

IP
-
адреса и маски подсети источника и приемника информации, а
также информации о портах источника и приемника.

Запуск и дальнейшая работа с ПО
Snort
осуществляется с помощь
ю командной
строки. В таблице 1

приведен список основных флагов для запуска про-
граммы.

Таблица 1
. Список параметров СОА
Snort

Параметр

Описание

-
&#xrule;&#xs000;c rules

Использовать файл правил
&#xrule;&#xs000;rules

40


-
E

Добавлять предупреждения в журнал регистрации событий
Windows

(не создавая
log
-
файла)

-
&#xhn00;h hn

Задать домашнюю сеть (
)

hn


-
&#xif00;i if

Подключиться к сетевому интерфейсу номер

if


-
I

Добавлять к предупреждению наименование интерфейса

-
&#xmode;K mode

Режим регистрации предупреждений:
pcap

(по умолча-
нию)


в двоичном формате,
ascii


в текстовом фор-
мате,
none


без регистрации

-
&#xld00;l ld

Сохранять результаты регистрации в каталог

ld


-
ile;L file

Сохранять результаты регистрации в указанный файл фор-
мата
tcpdump

-
nt0;n cnt

Завершить работу программы после получения

cnt


па-
кетов

-
N

Не сохранять в файлах регистрации содержимого пакетов

-
p

Анализировать только пакеты, отправленные на локальный
адрес, и широковещательные пакеты

-
&#xtf00;r tf

Прочитать и обработа
ть файл

tf

, записанный в формате
tcpdump

-
&#xn=v0;S n=v

Установить значение переменной
n
файла правил, равной
v

-
U

Записывать временны
e

метки в универсальном скоордини-
рованном времени (
UTC
)

-
v

Отображать на экране заголовки всех перехваченных паке-
тов

-
V

Показать версию
Snort

-
W

Показать доступные сетевые интерфейсы

-
X

Сохранять в файле журнала регистрации событий содержи-
мое перехваченных пакетов в «сыром» виде, начиная с ка-
нального уровня модели
OSI

-
y

Добавить месяц, день и год в отображаемые и сохран
яемые
временные отметки

-
?

Показать помощь по параметрам командной строки

Для запуска
Snort

необходимо выполнить следующую команду:

snort


i
<интерфейс>
-
c
<файл конфигурации>
-
l
<расположе-
ние
log
-
файла>

где

41


<интерфейс>



порядковый номер интерфейса, полученный с помощью
команды «
snort

-
W
»;


файл конфигурации



путь к файлу, в котором хранятся правила;


расположение
log
-
файла



путь к папке, где находится
log
-
файл
программы.

Пример команды:

snort
-
i 3
-

-
l ../log

Примечание: при записи команд используются именно черты «/» для указа-
ния пути файла.

Таблица 2.

Примеры правил СОА
Snort



Описание

Правило

1

Обнаружение входя-
щих эхо
-
запросов

-


ECHO

REQUEST"; itype: 8;)

2

Обнаружение исходя-
щих эхо
-
запросов

-


ECHO

REPLY"; itype: 0;)

3

Обнаружение боль-
ших
ICMP
-
пакетов

-


large

ICMP pa

4

DoS
-
атака
Winnuke

-


nuke

attack"; flags: U+;)

5

Запрос на подключе-
ние к 139 порту
(
SMB
)из внешней
сети

-


IPC$

share access"; flags: A+; con-
tent:

tent:

42


5;

content: "
\
\
IPC$|00|"; nocase;)

6

Обнаружение скани-
рования портов мето-
дом
NULL

-



scanning"; flags:!FSRPAU;)

7

Обнаружение скани-
рования портов мето-
дом
XMAS

-



scanning"; flags:FPU+;)

2.

Порядок выполнения лабораторной работы

1.

Установите
COA Snort

2.

Откройте окно командной строки
Windows

и с помощью команды «
cd
»
перейдите в директорию, где установлено ПО
Snort
.

3.

Перейдите в папку
bin
.

4.

Отобразите список доступных сетевых интерфейсов командой:

snort


W


Рис. 6.1. Отображение сетевых интерфейсов.

5.

Запустите
Snort

на выбранном интерфейсе в режиме анализатора паке-
тов, указав параметры завершения работы программы после приема тре-
тьего пакета.

snort

v

i 1

n 3

6.

Произведите отправку или прием пакетов. Например, откройте браузер
или выполнить в командной строке эхо
-
зап
рос на любой узел сети ко-
мандой «
ping
».

43



Рис. 6.2. Генерация эхо
-
запроса.

7.

Убедитесь в том, что передаваемые (принимаемые) пакеты перехваты-
ваются и отображаются в окне программы
Snort
.

8.

Создайте в каталоге
Snort
\
etc
\

файл с именем «
my
»и расширением .
conf
,
с
одержащий следующие строки:

varHOME
_

IP
-
адрес вашего компьютера>


9.

Добавьте в созданный файл «
my
.
conf
» одно из перечисленных в
таблице
2

правил, например, правило обнаружение входящих эхо
-
запросов.

alert icmp $EXTERNAL_NET any
-
� $HOME_NET any (msg:
"Incoming ECHO request"; sid: 1; itype: 8;)

В случае если в файле конфигурации указано несколько правил, необ-
ходимо указать параметр «
sid
», указывающий на порядок применения
правила.

10.

Запустите СОА
Snort
, указав необходимый сетевой и
нтерфейс, файл
конфигурации, а также расположение
log
-
файла программы.

snort

i
интерфейс

-

l ../log

11.

Выполните несколько эхо
-
запросов с помощью другого компьютера
сети.

ping

IP
-
адрес вашего компьютера>

12.

Зафиксируйте обнаружение
icmp
-
пакет
ов программой
Snort
.

13.

Дополните файл «
my
.
conf
» строками:

preprocessor flow: stats_interval 0 hash 2

preprocessor sfportscan: proto { all } scan_type {
all } sense_level { medium } logfile { portscan.log
}

44


для настройки препроцессора
sfPortscan
.

14.

Используйте
утилиту
nmap

для проверки обнаружения сканирования
портов программой
Snort
. Используйте следующие команды для запуска
сканирования:

n
map


IP
-
адрес вашего компьютера>
-
v


sT


p

<диапазон
портов>



для сканирования методом с полным циклом подключения
(метод
Connect
);

nmap


IP
-
адрес вашего компьютера>
-
v


sS


p

<диапазон
портов>



для сканирования с неполным циклом подключения (метод
SYN
);

nmap


IP
-
адрес вашего компьютера>
-
v


sN


p

<диапазон
портов>



для сканирования при помощи
TCP
-
пакета со сброшен-
ными флагами (метод
NULL
);

nmap


IP
-
адрес вашего компьютера>
-
v


sX


p

<диапазон
портов>



для сканирования при помощи
TCP
-
пакета со всеми уста-
новленными флагами (метод
XMAS
);

15.

Выясните, какие методы сканирования позволяют практически
выяв-
лять наличие открытых портов.



Лабораторная работа №7

«Создание защищенной компьютерной сети»

Цель работы:
Получение навыков защиты компьютерной сети с помощью
операционной системы Cisco
IOS

1.

Установка и начальная настройка эмулятора


Так как
актуальная версия эмулятора (0.8.7) распространяется и является
переносной (
Portable
) версией, то для немедленного использования про-
граммы достаточно скачать её с официального сайта:
http://www.gns3.net/download/ и запустить от имени администратора.

45



Рис.

7.
1. Главное окно программы

Для начальной настройки эмулятора необходимо пройти по вкладке
«Редак-
тировать
-

Настройки
»

(
Edit

-

Preferences
), где во вкладке «Основ-
ное(
General
)» и выбрать язык, а также указать папку проекта и папку для об-
разов. Далее, во вк
ладке «
Dynamips
» указать путь для запуска и рабочую
папку. Затем, перейдя по вкладке «Образы
IOS

и гипервизоры», указываем
файл образа, платформу и модель для последующей работы с маршрутизато-
ром (рис.
7.
2). В данном примере будет рассматриваться модель маршрутиза-
тора
Cisco

c
7200.

46



Рис.
7.
2. Окно «Образы
IOS

и гипервизоров»

2.

Работа с маршрутизатором


Существует множество контекстов конфигурирования при работе с кон-
солью маршрутизатора. Ниже перечислены встречающиеся наиболее часто:



router (config)#
-

глобальный



router (config
-
if)#
-

интерфейса



router

(
config
-
router
)#
-

динамической маршрутизации



rout
er (config
-
line)#
-

терминальной линии


Команды для перехода в данные контексты будут показаны дальше
непосредственно на примере. Выход из контекстов производится командой
exit
.


Имена сетевых интерфейсов также могут быть сокращены, например, вместо
«ether
net 1/0» достаточно написать «e1/0».





47


2.1.

Начальная конфигурация маршрутизатора


Для начала необходимо установить имя маршрутизатора. Для этого
необходимо перейти из пользовательского режима в режим администратора,
открываемый командой enable, а затем в гло
бальный режим:

router# config terminal (config ter
всокращенномварианте
)

router(config)#hostname
имя
_
маршрутизатора


Далее необходимо установить пароль администратора (пароль будет требо-
ваться для выполнения команды enable):

пароль


Отключить обращения в DNS (в том случае, если DNS
-
сервер не использует
-
ся в лабораторной сети):

lab1(config)#no ip domain
-
lookup

Сконфигурировать консоль и виртуальные терминалы: отключить тай-
мер неактивности, отключить интерпретацию неизвестных команд как указа-
ний открыть сеанс Telnet, включить режим синхронной регистрации:

lab1(config)#line con 0

lab1(config
-
line)#exec
-
timeout 0

0

lab1(config
-
line)#transport preferred none

lab1(config
-
line)#logging synchronous

Обратите внимание, что по умолчанию маршрутизатор выводит сообще-
ния на консоль поверх ввода оператора, и чтобы продолжить ввод команды,
оператор должен помнить, в каком
месте его прервали. После указания logging
synchronous после каждого выведенного сообщения маршрутизатор будет за-
ново выводить часть команды, уже введенной оператором к моменту появле-
ния сообщения, и оператор может легко продолжить ввод.

Виртуальный терми
нал назначается оператору, подключившемуся к
маршрутизатору по протоколу Telnet. На доступ через
виртуальный терминал
следует на
значить пароль. Это делается командами:

lab1(config
-
line)#line vty 0 4

lab1(config
-
line)#login

lab1(config
-
line)#password
password

48



Из соображений безопасности, если маршрутизатор напрямую подклю-
чен к публичным сетям, например, Интернет, виртуальные терминалы реко-
мендуется заблокировать, а доступ к маршрутизатору осуществлять только по
консольной линии.

2.2.

Настройка интерфейсов

Для перехода в режим настройки необходимого интерфейса следует,
находясь в глобальном режиме, выполнить команду:

lab1(config)#interface Ethernet 1/0

По умолчанию все интерфейсы выключены. Интерфейс включается ко-
мандой:

lab1(config
-
if)#no shutdown

Рабо
тоспособность настроек физического и канального уровней можно
проверить командой в контексте администратора:

lab1#show interface
имя
_
интерфейса


Сообщения об изменении состояния физического и канального уровней
любого интерфейса выводятся маршрутизатором

на консоль. Команда show
interface также выводит сведения об используемом протоколе канального
уровня, IP
-
адресе и статистику отправленных и полученных данных и ошибок.

Настройка IP
-
адреса интерфейса (рис.
7.
3) производится командой:

lab1(config
-
if)#ip
address
адрес

маска



Рис.
7.
3. Настройка
IP
-
адреса маршрутизатора

Подробная информация о параметрах протокола IP доступна в контексте
администратора по команде:

49


lab1#show ip interface
имя
_
интерфейса


Краткая сводная таблица состояний IP
-
интерфейсов:

lab1#show ip interface brief

2.3.

Назначение статических маршрутов

Маршруты, ведущие в сети, к которым маршрутизатор подключен непо-
средственно, автоматически добавляются в маршрутную таблицу после кон-
фигурирования интерфейса при условии, что интерфейс работосп
особен («line
protocol up»). Для назначения дополнительных статических маршрутов в кон-
тексте глобальной конфигурации вводится команда (одна строка):

router(config)#ip route IP
-
адрес><маска><интерфейс>-
адрес следую-
щего_маршрутизатора>

Маршрут активен т
олько тогда, когда следующий маршрутизатор дости-
жим


то есть существует маршрут в сеть, где находится следующий марш-
рутизатор. Напротив, статический маршрут будет неактивен, если следующий
маршрутизатор не достижим по разным причинам, если, например, его
интер-
фейс находится в нерабочем состоянии.

Управление таблицей маршрутизации на маршрутизаторах в большой
распределенной сети является сложной задачей. Поэтому часто используют
специальные протоколы маршрутизации. Маршрут по умолчанию назначается
командой
:

router(config)#ip route 0.0.0.0 0.0.0.0 fastethernet 1/1 IP
-
адрес следующего
маршрутизатора>

Просмотреть таблицу маршрутов можно в контексте администратора по
команде:

router#show ip route

2.4.

Регистрация событий

Диагностические сообщения выводятся маршру
тизатором на консоль-
ную линию. Для того чтобы эти сообщения дублировались в виртуальные тер-
миналы (то есть в telnet
-
соединения), в контексте администратора в соответ-
ствующем терминале подается команда

lab1#teminal monitor 14

Закрепить это положение в кон
фигурации можно следующим образом:

lab1(config)#linevty 0 4

lab1(config
-
line)#monitor

50


Вывод сообщений можно направить также во внутренний буфер или на
syslog
-
сервер Unix. Направление в буфер:

lab1(config)#logging buffered [размер]

Буфер организован в виде очереди указанного размера в байтах, самые
старые сообщения выбывают по прибытии новых. Размер буфера по умолча-
нию


4096 байт. Просмотр буфера (и параметров регистрации):

lab1#show logging

Очистка буфера:

lab1#clear logging

От
правка сообщений на syslog
-
сервер:

lab1(config)#logging IP
-
адрес

lab1(config)#logging facility local7

lab
1(
config
)#
logging

trap

debugging


Последние две команды устанавливают источник сообщений (facility в
терминах syslog) и минимальный уровень серьезнос
ти (level=debugging).

По умолчанию диагностические сообщения снабжаются метками вре-
мени, которые отсчитываются с момента загрузки маршрутизатора (system
uptime). Для того чтобы время выводилось в обычном формате (дата, время
суток), в конфигурации необход
имо указать (рис.
7.
4):




Рис.
7.
4. Регистрация событий

51




2.5.

Списки доступа


Списки доступа (access lists) представляют собой общие критерии от-
бора, которые можно впоследствии применять при фильтрации дейтаграмм,
для отбора маршрутов, определения приоритетного трафика и в других зада-
чах.


2.5.1.

Стандартные списки доступа

Списки доступа,

производящие отбор по IP
-
адресам, создаются коман-
дами access
-
list в режиме глобальной конфигурации, каждый список опреде-
ляется номером


числом в диапазоне 0
-
99. Каждая такая команда добавляет
новый критерий отбора в список:

router(config)# access
-
list
номер_списка><{deny | permit}>-
адрес>
[маска_шаблона]

IP
-
адрес и маска шаблона записываются в десятично
-
точечной нотации,
при этом в маске шаблона устанавливаются биты, значение которых в адресе
следует игнорировать, остальные биты сбрасываются. При эт
ом сетевая маска
(netmask) и маска шаблона (wildcard)


это разные вещи. Например, чтобы
строка списка сработала для всех узлов с адресами 1.16.124.ххх, адрес должен
быть 1.16.124.0, а маска


0.0.0.255, поскольку значения первых 24 бит жестко
заданы, а зн
ачения последних 8 бит могут быть любыми. Как видно в этом
случае маска шаблона является инверсией соответствующей сетевой маски.
Однако маска шаблона в общем случае не связана с сетевой маской и даже
может быть разрывной (содержать чере
-
дования нулей и ед
иниц). Например,
строка списка должна сработать для всех нечетных адресов в сети 1.2.3.0/24.
Соответствующая комбинация адреса и маски шаблона: 1.2.3.1 0.0.0.254.

Комбинация «адрес


маска шаблона» вида 0.0.0.0 255.255.255.255 (то
есть соответствующая вс
ем возможным адресам) может быть записана в виде
одного ключевого слова any. Если маска отсутствует, то речь идет об IP
-
адресе
одного узла.

Операторы p
ermit и deny определяют
положительное (принять, пропу-
с
тить, отправить, отобрать) и

отрицательное (отброс
ить, отказать, игнориро-
вать) будет принято решение при срабатывании данного критерия отбора.
Например, если список используется при фильтрации дейтаграмм по адресу
52


источника, то эти операторы определяют, пропустить или отбросить дейта-
грамму, адрес источник
а которой удовлетворяет комбинации «адрес


маска
шаблона». Если же список применяется для идентификации какой
-
либо кате-
гории трафика, то оператор allow отбирает трафик в эту категорию, а deny


нет.

Список доступа представляет собой последовательность из

одного и бо-
лее критериев отбора, имеющих одинаковый номер списка. Последователь-
ность критериев имеет значение: маршрутизатор просматривает их по по-
рядку; срабатывает первый критерий, в котором обнаружено соответствие об-
разцу; оставшаяся часть списка игнор
ируется. Любые новые критерии добав-
ляются только в конец списка. Удалить критерий нельзя, можно удалить
только весь список. В конце списка неявно подразумевается критерий «отка-
зать в любом случае» (deny any)


он срабатывает, если ни одного соответ-
ствия об
наружено не было.

Для аннулирования списка доступа следует ввести команду:

router(config)# no access
-
list
номер
_
списка


Чтобы применить список доступа для фильтрации пакетов, проходящих
через определенный интерфейс, нужно в режиме конфигурации этого инт
ер-
фейса ввести команду

router(config
-
if)# ip access
-
group
номер
_
списка
�{in | out}&#x{10i;&#x-3n-; |6;&#x o6u;t-3;&#x}100;

Ключевое слово in или out определяет, будет ли список применяться к
входящим или исходящим пакетам соответственно. Входящими считаются па-
кеты, поступающие к интерфейсу из

сети. Исходящие пакеты движутся в об-
ратном направлении.


Только один список доступа может быть применен на конкретном ин-
терфейсе для фильтрации входящих пакетов, и один


для исходящих. Соот-
ветственно, все необходимые критерии фильтрации должны быть сфор
мули-
рованы администратором внутри одного списка. В стандартных списках до-
ступа отбор пакетов производится по IP
-
адресу источника пакета (рис.
7.
5).


Рис.
7.
5. Стандартные списки доступа

2.5.2.

Расширенные списки доступа

53


Расширенные списки доступа создаются также с помощью команды
access
-
list в режиме глобальной конфигурации, но номера этих списков лежат
в диапазоне 100
-
199. Пример синтаксиса команды создания строки расширен-
ного списка для контроля TCP
-
соединений:

router(
config)# access
-
list <номер_списка><{deny | permit}> tcp -
адрес_ис-
точника><маска_шаблона> [оператор порт [порт]] -
адрес_получа-
теля><маска_шаблона> [оператор порт [порт]] [estab
-
lished]

Маски шаблона для адреса источника и узла назначения определяютс
я
так же, как и в стандартных списках.

Оператор при значении порта должен иметь одно из следующих значе-
ний: lt (строго меньше), gt (строго больше), eq (равно), neq (не равно), range
(диапазон включительно). После оператора следует номер порта (или два но-
м
ера порта в случае оператора range), к которому этот оператор применяется.
Комбинация опера
-
тор
-
порт, следующая сразу же за адресом источника, отно-
сится к портам источника. Соответственно, комбинация оператор
-
порт, кото-
рая следует сразу же за адресом получ
ателя, относится к портам узла
-
получа-
теля.


Применение этих комбинаций позволяет отбирать пакеты не только по
адресам мест отправки и назначения, но и по номерам TCP
-

или UDP
-
портов.
Кроме того, ключевое слово established определяет сегменты TCP, передава
е-
мые в состоянии установленного соединения. Это значит, что строке, в кото-
рую включен пара
-
метр established, будут соответствовать только сегменты с
установленным флагом ACK (или RST).

Пример: «запретить установление соединений с помощью протокола
Telnet с
о всеми узлами сети 22.22.22.0 netmask 255.255.255.0 со стороны всех
узлов Интернета, причем в обратном направлении все соединения должны
устанавливаться; остальные TCP
-
соединения разрешены». Фильтр устанавли-
вается для входящих сегментов со стороны Интерне
та (предположим, к Ин-
тернету маршрутизатор подключен через интерфейс FastEthernet 1/0).

router(config)# access
-
list 101 permit tcp any 22.22.22.0 0.0.0.255 eq 23 estab-
lished

router(config)# access
-
list 101 deny tcp any 22.22.22.0 0.0.0.255 eq 23

router(
config)# access
-
list 101 permit ip any any

router(config)# interface FastEthernet 1/0

router(config
-
if)# ip access
-
group 101 in


Указание ip вместо tcp в команде access
-
list означает «все протоколы».
Отметим, что в конце каждого списка доступа подразуме
вается deny ip any any,
54


поэтому в предыдущем примере мы указали permit ip any any для разрешения
произвольных пакетов, не попавших под предшествующие критерии.

Вообще, в расширенных списках можно работать с пакетами любого IP
-
протокола. Для этого после опе
ратора deny/permit надо указать название про-
токола (ahp, esp, eigrp, gre, icmp, igmp, igrp, ipinip, ospf, tcp, udp) или его номер,
которым он кодируется в поле Protocol заголовка пакета. Далее указываются
адреса источника и узла назначения с масками и, воз
можно, дополнительные
параметры, специфичные для данного протокола.

В конце команды access
-
list (расширенный) можно указать параметр log,
тогда все случаи срабатывания данного критерия (то есть обнаружения пакета,
соответствующего критерию), будут протоко
лироваться на консоль или как
указано командой logging. После того, как протоколируется первый случай
срабатывания, дальше сообщения посылаются каждые 5 минут с указанием
числа срабатываний за отчетный период.

Просмотр имеющихся списков доступа (c указыва
нием числа срабаты-
ваний каждого критерия):

router# show access
-
lists

Более подробную статистику работы списков доступа можно получить,
включив режим ip accounting. Режим включается в контексте конфигурирова-
ния интерфейса. Следующая команда включает режим

учета случаев наруше-
ния (то есть, пакетов, которые не были пропущены списком доступа на данном
интерфейсе):

router(config
-
if)# ip accounting access
-
violations

Просмотр накопленной статистики (с указанием адресов отправителей и
получателей пакетов):

rou
ter# show ip accounting access
-
violations


При конфигурировании запрещающих фильтров (в конце которых под-
разумевается deny all) администратор должен не забыть оставить «дверь» для
сообщений протоколов маршрутизации, если они используются на конфигу-
рируемом интерфейсе (рис.
7.
6).


Рис.
7.
6.
Расширенные списки доступа

2.5.3.

Динамические обратные списки доступа

55



Недостатком списков доступа, применяемых для фильтрации трафика,
является то, что они формируются администратором статически до начала ра-
боты. В итоге администратор вынужден закладывать в них

разрешения «на все
случаи жизни».

Динамические обратные списки (reflexive access lists) предлагают способ
решения проблемы. Они служат для автоматической фильтрации пакетов, сле-
дующих в обратном направлении относительно пакетов, пропущенных неко-
торым ста
тическим списком. Динамические обратные списки открывают
только те «двери», которые необходимо открыть для обслуживания данного
конкретного сеанса обмена пакетами. В этом случае заранее формируется
только один список


например, список 120 «пропускать UDP
-
пакеты с лю-
бого порта внутри на порт 53 снаружи», а для пропуска пакетов в обратном
направлении список 121 формируется динамически:

router(config)# access
-
list 120 permit udp any any eq 53 reflect DNS_REPLIES

router(config)# access
-
list 121 evaluate DNS_
REPLIES

router(config)# interface FastEthernet 1/0

router(config
-
if)# ip access
-
group 120 out

router(config
-
if)# ip access
-
group 121 in

Приведенный выше пример работает следующим образом. Когда внут-
ренний узел А посылает сообщение с клиентского порта 34
56 на порт 53 неко-
торого внешнего узла В, то соответствующий сегмент пропускается в узел В
согласно списку 120. Кроме того, узел А ожидает, что и ответное сообщение
от В с порта 53 на А порт 3456 будет пропущено маршрутизатором. Для этого
маршрутизатор дин
амически создает (дополняет) список доступа 121 обрат-
ный к списку 120. Точнее, критерий отбора, содержащий указание evaluate
DNS_REPLIES, будет обратным кри
терию отбора, содержащему указание
reflect DNS_REPLIES с учетом параметров данного конкретного сеанс
а


ад-
ресов А и В и номера порта 3456. Иными словами, список 121 будет выглядеть:
"пропускать UDP
-
пакеты с порта 53 узла В на порт 3456 узла А".

Динамически сформированный критерий отбора в списке 121 будет дей-
ствовать до завершения сеанса между А и В. За
вершение сеанса определяется
таймером неактивности; кроме того, в TCP
-
сеансах отслеживаются сегменты
с флагами FIN и RST. Таймер неактивности для всех динамических обратных
списков устанавливается командой

router(config)# ip reflexive
-
list timeout <число_
секунд>

Кроме того, таймер для конкретного критерия может быть установлен с
помощью параметра timеout:

56


router(config)# access
-
list 120 permit udp any any eq 53 reflect DNS_REPLIES
timeout 120

Если одновременно с сеансом А


В будет установлен сеанс между

уз-
лами С и D, то в список 121 будет добавлен еще один критерий отбора, учиты-
вающий параметры этого нового сеанса


адреса С и D и клиентский порт на
узле С.

Необходимо понимать, что использование динамических обратных
списков доступа не совместимо с прил
ожениями, которые изменяют номера
портов в процессе своей работы.

В заключение обсуждения списков доступа необходимо отметить такой оче
-
видный факт, что использование списков доступа замедляет работу маршру-
тизатора. Чем больше и сложнее списки, тем меньше

производительность
маршрутизатора. То же относится и к фиксации событий в журналах.

3.

Контрольные вопросы

1.

Установите имя и пароль маршрутизатора. Отключите обращения в DNS,
таймера неактивности и интерпретацию неизвестных команд. Включите
режим синхронной р
егистрации. Назначьте пароль на доступ к маршру-
тизатору через виртуальный терминал.

2.

Произведите настройку интерфейсов FastEthernet 1/0 и FastEthernet 1/1.
Просмотрите информацию о состоянии IP
-
интерфейсов.

3.

Назначьте для интерфейса FastEthernet 1/1 маршру
т по умолчанию. Про-
смотрите таблицу маршрутов.

4.

Создайте стандартный список доступа.

5.

Создайте расширенный список доступа.

6.

Создайте динамический обратный список дост
упа.













57




Список литературы

1.

Е. Баранова, А. Бабаш, Информационная безопасность и
защита информа-
ции, Издательство: РИОР, Инфра
-
М, 2014.

2.

Н. Милославская, М. Сенаторов, А. Толстой, Управление рисками инфор-
мационной безопасности, Издательство: Горячая Линия
-

Телеком, 2014.

3.

В. Ищейнов, М. Мецатунян, Организационное и техническое обеспечени
е
информационной безопасности. Защита конфиденциальной информации.
Учебное пособие, Издательство: Форум, Инфра
-
М, 2014.

4.

П. Девянин, Модели безопасности компьютерных систем. Управление до-
ступом и информационными потоками. Издательство: Горячая Линия
-

Те-
л
еком, 2013.

5.

Мельников, В. П. Информационная безопасность и защита инфо
рмации /
В. П. Мельников.


М.
: Академия, 2011.

6.

Шаньгин В. Ф. Комплексная защита информации в корпоративных систе-
мах / М.: ИД "ФОРУМ"
-

ИНФРА
-
М, 2010.

7.

А. Н. Андрончик, М. Л. Борисенко,

А. С. Коллеров, Н. И. Синадски
й
,

Д. А.
Хорьков. Защита информации в компьютерных сетях. Практический курс:
учебное пособие, под ред. Н. И. Синадского.


3
-
е изд., перераб. и доп.


Екатеринбург: 2012.


333 с.

















58




План УМД на 2015/16 уч. г.





Айрапет Генрикович Симонян

Тауфик Бен Камель Бен Режеб






МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ

КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ

Практикум








Подписано в печать . . г. Формат 60
x
90 1/16

Объем усл. п.л. Тираж 100 экз. Изд. № . Заказ № .

59



ООО «». Москва,

ул. , д..


Приложенные файлы

  • pdf 8890298
    Размер файла: 2 MB Загрузок: 1

Добавить комментарий