Безопасность в сетях на базе ОС Windows

Владимир Молочков (В. Новгород)

Выявление сетевых уязвимостей сканированием портов ПК

Злоумышленники используют сканирование портов ПК для того, чтобы воспользоваться ресурсами чужого ПК в Сети. При этом необходимо указать IP адрес ПК и открытый port, к примеру, 195.34.34.30:23. После этого происходит соединение с удаленным ПК с некоторой вероятностью входа в этот ПК.

  • TCP/IP port — это адрес определенного сервиса (программы), запущенного на данном компьютере в Internet. Каждый открытый порт — потенциальная лазейка для взломщиков сетей и ПК. Например, SMTP (отправка почты) — 25 порт, WWW — 80 порт, FTP —21 порт.
  • Хакеры сканируют порты для того, чтобы найти дырку (баг) в операционной системе. Пример ошибки, если администратор или пользователь ПК открыл полный доступ к сетевым ресурсам для всех или оставил пустой пароль на вход в компьютер.

Одна из функций администратора сети (сисадмина) — выявить недостатки в функционировании сети и устранить их. Для этого нужно просканировать сеть и закрыть (блокировать) все необязательные (открытые без необходимости) сетевые порты. Ниже, для примера, представлены службы TCP/IP, которые можно отключить:

  • finger — получение информации о пользователях
  • talk — возможность обмена данными по сети между пользователями
  • bootp — предоставление клиентам информации о сети
  • systat — получение информации о системе
  • netstat — получение информации о сети, такой как текущие соединения
  • rusersd — получение информации о пользователях, зарегистрированных в данный момент

Просмотр активных подключений утилитой Netstat

Команда netstat обладает набором ключей для отображения портов, находящихся в активном и/или пассивном состоянии. С ее помощью можно получить список серверных приложений, работающих на данном компьютере. Большинство серверов находится в режиме LISTEN — ожидание запроса на соединение. Состояние CLOSE_WAIT означает, что соединение разорвано. TIME_WAIT — соединение ожидает разрыва. Если соединение находится в состоянии SYN_SENT, то это означает наличие процесса, который пытается, установить соединение с сервером. ESTABLISHED — соединения установлены, т.е. сетевые службы работают (используются).
Итак, команда netstat показывает содержимое различных структур данных, связанных с сетью, в различных форматах в зависимости от указанных опций. Для сокетов (программных интерфейсов) TCP допустимы следующие значения состояния:

  • CLOSED — Закрыт. Сокет не используется.
  • LISTEN — Ожидает входящих соединений.
  • SYN_SENT — Активно пытается установить соединение.
  • SYN_RECEIVED — Идет начальная синхронизация соединения.
  • ESTABLISHED — Соединение установлено.
  • CLOSE_WAIT — Удаленная сторона отключилась; ожидание закрытия сокета.
  • FIN_WAIT_1 — Сокет закрыт; отключение соединения.
  • CLOSING — Сокет закрыт, затем удаленная сторона отключилась; ожидание подтверждения.
  • LAST_ACK — Удаленная сторона отключилась, затем сокет закрыт; ожидание подтверждения.
  • FIN_WAIT_2 — Сокет закрыт; ожидание отключения удаленной стороны.
  • TIME_WAIT — Сокет закрыт, но ожидает пакеты, ещё находящиеся в сети для обработки

Обнаружение открытых на ПК портов утилитой Netstat
Для выполнения практического задания на компьютере необходимо выполнить команду Пуск > Выполнить. Откроется окно Запуск программы, в нем введите команду cmd.

Чтобы вывести все активные подключения TCP и прослушиваемые компьютером порты TCP/ UDP введите команду netstat. Мы видим, что с Локального адреса (это ваш ПК) прослушиваются 6 портов. Они нужны для поддержки сети. На двух портах мы видим режим ESTABLISHED — соединения установлены, т.е. сетевые службы работают (используются). Четыре порта используются в режиме TIME_WAIT — соединение ожидает разрыва.

Запустите на вашем ПК Интернет и зайдите, например, на www.yandex.ru. Снова выполните команду netstat. Как видим, добавилось несколько новых активных портов с их различными состояниями.

Команда netstat имеет следующие опции.

Ключи для команды netstat:
-a — Показывать состояние всех сокетов; обычно сокеты, используемые серверными процессами, не показываются.
-A — Показывать адреса любых управляющих блоков протокола, связанных с сокетами; используется для отладки.
-i — Показывать состояние автоматически сконфигурированных (auto-configured) интерфейсов. Интерфейсы, статически сконфигурированные в системе, но не найденные во время загрузки, не показываются.
-n — Показывать сетевые адреса как числа. netstat обычно показывает адреса как символы. Эту опцию можно использовать с любым форматом показа.
-r — Показать таблицы маршрутизации. При использовании с опцией -s, показывает статистику маршрутизации.
-s — Показать статистическую информацию по протоколам. При использовании с опцией -r, показывает статистику маршрутизации.
-f семейство_адресов — Ограничить показ статистики или адресов управляющих блоков только указанным семейством_адресов, в качестве которого можно указывать:
inet Для семейства адресов AF_INET, или unix Для семейства адресов AF_UNIX.
-I интерфейс — Выделить информацию об указанном интерфейсе в отдельный столбец; по умолчанию (для третьей формы команды) используется интерфейс с наибольшим объёмом переданной информации с момента последней перезагрузки системы. В качестве интерфейса можно указывать любой из интерфейсов, перечисленных в файле конфигурации системы, например, emd1 или lo0.

-p — Показать статистическую информацию по протоколам. При использовании с опцией -r, показывает статистику маршрутизации.

Программа NetStat Agent

Представьте ситуацию: ваше Интернет-соединение стало работать медленно, компьютер постоянно что-то качает из Сети. Вам поможет программа NetStat Agent. С ее помощью вы сможете найти причину проблемы и заблокировать ее. Иначе говоря, NetStat Agent — полезный набор инструментов для мониторинга Интернет соединений и диагностики сети. Программа позволяет отслеживать TCP и UDP соединения на ПК, закрывать нежелательные соединения, завершать процессы, обновлять и освобождать DHCP настройки адаптера, просматривать сетевую статистику для адаптеров и TCP/IP протоколов, а также строить графики для команд Ping и TraceRoute.

В состав программы NetStat Agent вошли следующие утилиты:

  • NetStat — отслеживает TCP и UDP соединения ПК (отображает географическое положение удаленного сервера и имя хоста).
  • IPConfig — отображает свойства сетевых адаптеров и конфигурацию сети.
  • Ping — позволяет проверить доступность хоста в сети.
  • TraceRoute — определяет маршрут между вашим компьютером и конечным хостом, сообщая все IP-адреса маршрутизаторов.
  • DNS Query — подключается к DNS серверу и находит всю информацию о домене (IP адрес сервера, MX-записи (Mail Exchange) и др.).
  • Route — отображает и позволяет изменять IP маршруты на ПК.
  • ARP — отслеживает ARP изменения в локальной таблице.
  • Whois — позволяет получить всю доступную информацию об IP-адресе или домене.
  • HTTP Checker — помогает проверить, доступны ли Ваши веб-сайты.
  • Statistics — показывает статистику сетевых интерфейсов и TCP/IP протоколов.

Сканер портов Nmap (Zenmap)

Nmap — популярный сканер портов, который обследует сеть и проводит аудит защиты. Использовался в фильме «Матрица: Перезагрузка» при взломе компьютера. Наша задача не взломать, а защитить ПК, поскольку одно и то же оружие можно использовать как для защиты, так и для нападения. Иначе говоря, сканером портов nmap можно определить открытые порты компьютера, а для безопасности сети пользователям рекомендуется закрыть доступ к этим портам с помощью брандмауэра.

Обычно для того, чтобы просканировать все порты какого-либо компьютера в сети вводится команда nmap –p1-65535 IP-адрес_компьютера или nmap –sV IP-адрес компьютера, а для сканирования сайта — команда nmap –sS –sV –O -P0 адрес сайта.

Монитор портов TCPView

TCPView показывает все процессы, использующие Интернет-соединения. Запустив TCPView, можно узнать, какой порт открыт и какое приложение его использует, а при необходимости и немедленно разорвать соединение.

Просмотрите активные сетевые подключения локального ПК с помощью монитора портов tpiview. Определите потенциально возможные угрозы (какие порты открыты, и какие приложения их используют). При необходимости можно закрыть установленное приложением TCP-соединение или процесс правой кнопкой мыши

Оcновы офисной политики безопасности

Информационная безопасность – огромная тема, здесь мы только немного прикоснулись к ней. Вот только несколько положений из правил поведения сотрудников предприятий малого бизнеса.

Пользователям не разрешается устанавливать на компьютерах и в сети Компании программное обеспечение без разрешения системного администратора. Пользователи не должны пересылать электронную почту другим лицам и организациям без разрешения отправителя. Пользователям запрещается изменять и копировать файлы, принадлежащие другим пользователям, без разрешения владельцев файлов. Пользователь несет ответственность за сохранность своих паролей для входа в систему. Запрещается распечатывать, хранить в сети или передавать другим лицам индивидуальные пароли. И так далее…

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>