Безопасность и Internet - статьи
Следующий шаг состоял в запуске утилиты traceroute, в качестве параметра которой последовательно фигурировал каждый из интересовавших нас IP-адресов. Как известно, программа traceroute может функционировать под управлением операционных систем UNIX и Windows NT и обычно используется сетевыми администраторами для отслеживания пакетов, передаваемых от источника к адресату. В ходе тестирования эта утилита сообщала, что маршрутизатор блокировал сгенерированные нами пакеты, т. е. позволяла убедиться в корректности его функционирования.
Тем не менее нам удалось пронаблюдать за исходящим трафиком, который был адресован на порт с определенным номером и служил для соединения сети заказчика с провайдером UUNET.
Теперь настало время обратиться к профессиональному инструментарию хакеров. В компании ParaProtect создано целое хранилище любимых программных "приспособлений" для сетевого взлома. Тем не менее для чистоты эксперимента Боб решил пойти по традиционному пути. Запустив одну из поисковых машин Internet и задав в качестве ключевых слов "hacker tools", он решил проверить, какая часть хакерского арсенала доступна любому желающему во Всемирной сети. Результаты поиска содержали ни много ни мало 2070 ссылок. Система обнаружила, в частности, такие программы, как пакет Shadow Advantis Administrator, позволяющий с требуемой периодичностью выдавать команды ping на заранее определенную группу портов. Эти команды могут следовать с невысокой частотой, а генерируемые ими пакеты столь малы, что обычно не регистрируются средствами защиты от внешних атак.
Мировой рынок услуг в области информационной безопасности
Однако Боб предпочитает использовать программу nmap, выполняющую практически те же функции. Эта утилита, также свободно доступная в Internet, исходно предназначалась для обнаружения IP-адресов. На самом же деле она является мощным средством сканирования трафика, проходящего через отдельные порты. Помимо выявления незащищенных портов, nmap способна изменять характеристики отправляемых пакетов с целью обхода установленного на маршрутизаторе IP-фильтра.
В течение дня Бобу пришлось несколько раз запустить утилиту nmap (относящаяся к ней техническая информация доступна на сервере www.insecure.org/nmap/) с различными опциями:
- SYN служит для установления сеанса TCP. Получив ответ на команду nmap с этим параметром, можно быть уверенным в том, что атакуемый хост-компьютер активен. Если же ответа на команду ping не поступает, хост заблокирован;
- FIN позволяет использовать пустой пакет в качестве зонда с целью определить, является порт открытым или закрытым. Зная параметры обычно используемых открытых портов, можно догадаться, какие из наиболее традиционных сервисов активны на атакуемом узле. Если же порт закрыт, он все равно обязан ответить на данную команду, отправив пакет RST. Если такой пакет поступит, значит, порт закрыт. Отсутствие ответа соответствует открытому порту;
- сканирование с использованием фрагментированных пакетов. Для анализа содержимого принятого пакета хост-компьютер должен предварительно собрать его из отдельных частей. Отправка на атакуемый сервер фрагментированных пакетов нарушает его работу и при определенных условиях позволяет обойти системы контроля доступа.
Первый запуск утилиты nmap с опцией SYN закончился неудачей, поскольку Боб задал в командной строке неверные параметры конфигурации; эту ошибку удалось исправить позднее. Тогда пришлось посетить сервер UUNET и при помощи подкоманды nslookup заставить систему доменных имен (DNS) этого сервера сообщить известные ему имена машин в атакуемой корпоративной сети. В ответ мы получили три доменных имени - "mail", "www" и еще одно, которое здесь не приводится, дабы не выдать название тестировавшейся фирмы.
Конечно, в атакуемой сети могли быть и другие компьютеры, однако в данном случае они нас не интересовали. Сервер DNS сообщил также, какой из известных нам трех IP-адресов относится к Web-узлу. С другой стороны, мы знали IP-адреса маршрутизатора, установленного на входе в корпоративную сеть. Отсюда нетрудно было догадаться, что третий адрес относится к proxy-серверу, отвечающему за обмен ключами.
Теперь уже можно было нарисовать диаграмму сети. Как мы и предполагали, маршрутизатор играл роль часового, охранявшего доступ к Web-серверу, proxy-серверу и еще одному серверу, который, по нашим прикидкам, отвечал за электронную почту. Оставалось выяснить, какие сетевые сервисы были запущены на каждом из серверов. Причина такого интереса проста: хакеры обычно ищут те сервисы, уязвимость которых неоднократно доказана на практике; они-то и подвергаются нападению в первую очередь.
Замаскировавшись под местного Internet-провайдера, Боб открыл сеанс telnet и выдал команду на порт 80. Хорошо известно, что этот порт открыт в 99 случаях из 100, поскольку именно его сетевые администраторы выделяют для Web-трафика. Команды сеанса telnet позволили узнать, какое программное обеспечение запущено на сервере HTTP. Им оказался пакет Internet Information Server 4.0 корпорации Microsoft. После этого не осталось никаких сомнений, что на сервере установлена операционная система Windows NT.
И тут зазвонил телефон. Администратор компании-клиента увидел в списке сообщений системы управления доступом предупреждение, выданное маршрутизатором. В нем фигурировал IP-адрес Internet-провайдера, подставленный Бобом в целях конспирации. Администратор решил удостовериться в том, что указанное предупреждение было вызвано нашими действиями, а не атакой настоящего хакера. Мы поспешили успокоить его.
Итак, наша жертва узнала, что кто-то настойчиво стучится в ее дверь. Боб решил не использовать стандартный метод последовательного сканирования портов, который в подобной ситуации мог отнять уйму времени. Вместо этого он запустил утилиту nmap с опцией FIN, распространив ее действие на все возможные порты - с номерами от 1 до 65 334.
"Подобная операция порождает множество данных, не относящихся к делу, - замечает Боб. - Однако чтобы последовательно "просканировать" все порты да еще миновать систему контроля доступа, придется убить несколько дней. Нам же дано всего двое суток, так что придется делать все сразу".
Сканирование не выявило ничего примечательного. На серверах работали только стандартные сервисы вроде FTP и HTTP, а это означало, что мы имеем дело с типичной конфигурацией. Тем не менее даже в этом простейшем случае любая ошибка администратора при настройке конфигурации FTP-сервера или иной стандартной службы может быть использована хакером в самых неблаговидных целях.
