Лабораторная работа «Обеспечение безопасности локальной сети»

Политику безопасности можно сравнить с пограничником, охраняющим границу страны. Ниже мы рассмотрим два способа улучшения безопасности работы нашей виртуальной сети за два приема.

Шаг 1. Меняем учетную запись администратора (Пользователь Администратор с пустым паролем — это уязвимость)

Часто при установке Windows пароль администратора пустой и этим может воспользоваться злоумышленник. Иначе говоря, при установке Windows XP в автоматическом режиме с настройками по умолчанию мы имеем пользователя Администратор с пустым паролем и любой User может войти в такой ПК с правами администратора. Чтобы решить проблему выполним команду Мой компьютер-Панель управления-Администрирование-Управление компьютером-Локальные пользователи-Пользователи (рис. 1).

10_01

Рис. 1.  Окно Управление компьютером

Здесь по щелчку правой кнопкой мыши на Администраторы зададим администратору пароль, например, 12345. Это плохой пароль, но лучше, чем ничего. Теперь в окне Администрирование зайдем в Локальную политику безопасности. Далее идем по веткам дерева: Локальные политики-Параметры безопасности-Учетные записи: Переименование учетной записи Администратор (рис..2).

10_02

Рис. 2.  Находим в системном реестре запись Переименование учетной записи Администратор

Здесь пользователя Администратор заменим на Admin (рис. 3).

10_03

Рис. 3.  Пользователю Администратор присваиваем новое имя

Перезагружаем ОС. После наших действий у нас получилась учетная запись Admin с паролем 12345 и правами администратора (рис. 4).

10_04

Рис. 4.  Окно входа в ОС Windows XP

Все, теперь мы имеем пользователя Администратор с паролем, одна из уязвимостей системы устранена.

Примечание

Операцию по изменению имени пользователя и заданию пароля мы также могли бы выполнить без использования системного реестра, использовав окно Учетные записи пользователей, что гораздо проще (рис. 5).

10_05

Рис. 5.  Окно Учетные записи пользователей

Примечание

Учетная запись Гость позволяет входить в ПК и работать на нем (например, в Интернет) без использования специально созданной учетной записи. Запись Гость не требует ввода пароля и по умолчанию блокирована. Гость не может устанавливать или удалять программы. Эту учетную запись можно отключить, но нельзя удалить.

Шаг 2. Делаем окно приветствия пустым (убираем уязвимость 2)

У нас окно входа в систему содержит подсказку Admin, давайте ее уберем, сделав окно пустым. Для начала в окне Учетные записи пользователей жмем на кнопку Изменение входа пользователей в систему и уберем флажок Использовать страницу приветствия (рис. 6 и рис. 7).

10_06

Рис. 6.  Окно Учетные записи пользователей

10_07

Рис. 7.  Убираем флажок Использовать страницу приветствия

Но, это только половина дела. Теперь повысим безопасность сети еще на одну условную ступень, сделав оба поля окна приветствия пустыми (рис. 8).

10_08

Рис. 8.  Обе строки данного окна сделаем пустыми

Выполним команду Панель управления-Администрирование – Локальные политики безопасности- Локальные политики-Параметры безопасностиИнтерактивный вход: не отображать последнего имени пользователя. Эту запись необходимо включить (рис. 9).

10_09

Рис. 9.  Активируем переключатель Включить

Теперь после завершения сеанса пользователь должен угадать не только пароль, но и имя пользователя (рис. 10).

10_10

Рис. 10.  Обе строки окна приветствия пусты

Выявление сетевых уязвимостей сканированием портов ПК

Злоумышленники используют сканирование портов ПК для того, чтобы воспользоваться ресурсами чужого ПК в Сети. При этом необходимо указать IP адрес ПК и открытый port, к примеру, 195.34.34.30:23. После этого происходит соединение с удаленным ПК с некоторой вероятностью входа в этот ПК.

  • TCP/IP port — это адрес определенного сервиса (программы), запущенного на данном компьютере в Internet. Каждый открытый порт — потенциальная лазейка для взломщиков сетей и ПК. Например, SMTP (отправка почты) — 25 порт, WWW — 80 порт, FTP —21 порт.
  • Хакеры сканируют порты для того, чтобы найти дырку (баг) в операционной системе. Пример ошибки, если администратор или пользователь ПК открыл полный доступ к сетевым ресурсам для всех или оставил пустой пароль на вход к компьютер.

Одна из функций администратора сети (сисадмина) — выявить недостатки в функционировании сети и устранить их. Для этого нужно просканировать сеть и закрыть (блокировать) все необязательные (открытые без необходимости) сетевые порты. Ниже, для примера, представлены службы TCP/IP, которые можно отключить:

  • finger — получение информации о пользователях
  • talk— возможность обмена данными по сети между пользователями
  • bootp — предоставление клиентам информации о сети
  • systat — получение информации о системе
  • netstat — получение информации о сети, такой как текущие соединения
  • rusersd — получение информации о пользователях, зарегистрированных в данный момент

Просмотр активных подключений утилитой Netstat

Команда netstat обладает набором ключей для отображения портов, находящихся в активном и/или пассивном состоянии. С ее помощью можно получить список серверных приложений, работающих на данном компьютере. Большинство серверов находится в режиме LISTEN — ожидание запроса на соединение. Состояние CLOSE_WAIT означает, что соединение разорвано. TIME_WAIT — соединение ожидает разрыва. Если соединение находится в состоянии SYN_SENT, то это означает наличие процесса, который пытается, установить соединение с сервером. ESTABLISHED — соединения установлены, т.е. сетевые службы работают (используются).

Итак, команда netstat показывает содержимое различных структур данных, связанных с сетью, в различных форматах в зависимости от указанных опций. Для сокетов (программных интерфейсов) TCP допустимы следующие значения состояния

  • CLOSED — Закрыт. Сокет не используется.
  • LISTEN — Ожидает входящих соединений.
  • SYN_SENT — Активно пытается установить соединение.
  • SYN_RECEIVED — Идет начальная синхронизация соединения.
  • ESTABLISHED — Соединение установлено.
  • CLOSE_WAIT — Удаленная сторона отключилась; ожидание закрытия сокета.
  • FIN_WAIT_1 — Сокет закрыт; отключение соединения.
  • CLOSING — Сокет закрыт, затем удаленная сторона отключилась; ожидание подтверждения.
  • LAST_ACK — Удаленная сторона отключилась, затем сокет закрыт; ожидание подтверждения.
  • FIN_WAIT_2 — Сокет закрыт; ожидание отключения удаленной стороны.
  • TIME_WAIT — Сокет закрыт, но ожидает пакеты, ещё находящиеся в сети для обработки

Примечание

Что такое «сокет» поясняет рис. 11. Пример сокета – 194.86.6..54:21

10_11

Рис. 11.  Сокет это № порта + IP адрес хоста

Практический пример. Обнаружение открытых на ПК портов утилитой Netstat

Для выполнения практического задания на компьютере необходимо выполнить команду Пуск-Выполнить. Откроется окно Запуск программы, в нем введите команду cmd (рис. 12).

10_12

Рис. 12.  Окно Запуск программы

Чтобы вывести все активные подключения TCP и прослушиваемые компьютером порты TCP/ UDP введите команду netstat (рис. 13). Мы видим Локального адреса (это ваш ПК) прослушиваются 6 портов. Они нужны для поддержки сети. На двух портах мы видим режим ESTABLISHED — соединения установлены, т.е. сетевые службы работают (используются). Четыре порта используются в режиме TIME_WAIT — соединение ожидает разрыва.

10_13

Рис. 13.  Список активных подключений на тестируемом ПК

Запустите на вашем ПК Интернет и зайдите, например на www.yandex.ru. Снова выполните команду netstat (рис. 14). Как видим, добавилось несколько новых активных портов с их различными состояниями.

10_14

Рис. 14.  Активные подключения при работе ПК в Интернет

Команда netstat имеет следующие опции – табл. 1.

Таблица 1. Ключи для команды netstat
Опция (ключ) Назначение
-a Показывать состояние всех сокетов; обычно сокеты, используемые серверными процессами, не показываются.
-A Показывать адреса любых управляющих блоков протокола, связанных с сокетами; используется для отладки.
-i Показывать состояние автоматически сконфигурированных (auto-configured) интерфейсов. Интерфейсы, статически сконфигурированные в системе, но не найденные во время загрузки, не показываются.
-n Показывать сетевые адреса как числа. netstat обычно показывает адреса как символы. Эту опцию можно использовать с любым форматом показа.
-r Показать таблицы маршрутизации. При использовании с опцией -s, показывает статистику маршрутизации.
-s Показать статистическую информацию по протоколам. При использовании с опцией -r, показывает статистику маршрутизации.
-f семейство_адресов Ограничить показ статистики или адресов управляющих блоков только указанным семейством_адресов, в качестве которого можно указывать:inet Для семейства адресов AF_INET,или unix Для семейства адресов AF_UNIX.
-I интерфейс Выделить информацию об указанном интерфейсе в отдельный столбец; по умолчанию (для третьей формы команды) используется интерфейс с наибольшим объёмом переданной информации с момента последней перезагрузки системы. В качестве интерфейса можно указывать любой из интерфейсов, перечисленных в файле конфигурации системы, например, emd1 или lo0.
-p Отобразить идентификатор/название процесса создавшего сокет (-p, —programs display PID/Program name for sockets)

Программа NetStat Agent

Представьте ситуацию: ваше Интернет-соединение стало работать медленно, компьютер постоянно что-то качает из Сети. Вам поможет программа NetStat Agent. С ее помощью вы сможете найти причину проблемы и заблокировать ее. Иначе говоря, NetStat Agent — полезный набор инструментов для мониторинга Интернет соединений и диагностики сети. Программа позволяет отслеживать TCP и UDP соединения на ПК, закрывать нежелательные соединения, завершать процессы, обновлять и освобождать DHCP настройки адаптера, просматривать сетевую статистику для адаптеров и TCP/IP протоколов, а также строить графики для команд Ping иTraceRoute (рис. 15).

10_15

Рис. 15.  Главное окно программы NetStat Agent

В состав программы NetStat Agent вошли следующие утилиты:

  • NetStat — отслеживает TCP и UDP соединения ПК (при этом отображается географическое местоположение удаленного сервера и имя хоста).
  • IPConfig — отображает свойства сетевых адаптеров и конфигурацию сети.
  • Ping — позволяет проверить доступность хоста в сети.
  • TraceRoute — определяет маршрут между вашим компьютером и конечным хостом, сообщая все IP-адреса маршрутизаторов.
  • DNS Query — подключается к DNS серверу и находит всю информацию о домене (IP адрес сервера, MX-записи (Mail Exchange) и др.).
  • Route — отображает и позволяет изменять IP маршруты на ПК.
  • ARP — отслеживает ARP изменения в локальной таблице.
  • Whois — позволяет получить всю доступную информацию об IP-адресе или домене.
  • HTTP Checker — помогает проверить, доступны ли Ваши веб-сайты.
  • Statistics — показывает статистику сетевых интерфейсов и TCP/IP протоколов.

Сканер портов Nmap (Zenmap)

Nmap — популярный сканер портов, который обследует сеть и проводит аудит защиты. Использовался в фильме «Матрица: Перезагрузка» при взломе компьютера. Наша задача не взломать, а защитить ПК, поскольку одно и то же оружие можно использовать как для защиты, так и для нападения. Иначе говоря, сканером портов nmap можно определить открытые порты компьютера, а для безопасности сети пользователям рекомендуется закрыть доступ к этим портам с помощью брандмауэра (рис. 16).

10_16

Рис. 16.  Интерфейс программы Nmap

Обычно для того, чтобы просканировать все порты какого-либо компьютера в сети вводится команда nmap –p1-65535 IP-адрес_компьютера или nmap –sV IP-адрес компьютера, а для сканирования сайта — командаnmap –sS –sV –O -P0 адрес сайта.

Монитор портов TCPView

TCPView — показывает все процессы, использующие Интернет-соединения. Запустив TCPView, можно узнать, какой порт открыт и какое приложение его использует, а при необходимости и немедленно разорвать соединение – рис. 17.

10_17

Рис. 17.  Главное окно программы TCPView

Просмотрите активные сетевые подключения локального ПК с помощью монитора портов tpiview. Определите потенциально возможные угрозы (какие порты открыты, и какие приложения их используют). При необходимости можно закрыть установленное приложением TCP-соединение или процесс правой кнопкой мыши.

Контрольные вопросы:

  1. Какие уязвимости ОС Windows были устранены в данной лабораторной работе и какими путями?
  2. Для чего используется утилита утилитой Netstat?
  3. Перечислите какие утилиты вошли в состав программы  NetStat Agent? Для чего используется каждая из утилит?
  4. Для чего используется программа Nmap? TCPView?

Добавить комментарий

Яндекс.Метрика