Сканеры сети

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ  БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ  
ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ  
«МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ  
РАДИОТЕХНИКИ, ЭЛЕКТРОНИКИ И АВТОМАТИКИ»

 

 

 

 

 

 

 

РЕФЕРАТ

на тему

«Сканеры сети»

по дисциплине

«Информационная безопасность и защита информации»

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Выполнил студент группы

   ИТС-1-08  Шорыгин С.М.

 

 

 

Преподаватель консультант:

Дикарев С.А.

 

 

 

 

Москва 2012 год

Сканирование  сети - это процесс пробного подключения к портам TCP и UDP исследуемого компьютера(сканирование портов) или многих компьютеров(сканирование сети) с целью определения, какие службы на нем запущены и обслуживаются ли ими соответствующие порты. Средства, которыми можно осуществить данный процесс называются сетевыми сканерами.

Сетевые сканеры можно  разделить на 3 большие группы: CGI сканеры, Сканеры портов, Сканеры  безопасности.

CGI сканеры

Сканируют WEB сервер на наличие  уязвимых скриптов, директорий или ошибок WEB серверов. Сканирование заключается в посылке GET запроса к серверу и проверке его ответа. Особо продвинутые сканеры могут работать со списком серверов или диапазоном IP адресов. Базы уязвимостей обычно берутся из текстовых файлов и их можно легко найти в сети. Список уязвимостей обычно берется из текстового файла.

 
Сканеры портов

Это более обширная категория  сканеров объединенных одной целью - найти открытые TCP и UDP порты. Их можно  разделить на 2 подвида. Первые сканируют  список серверов или IP диапазон на открытость одного порта, а другие один хост на список известных портов или на все  возможные. Существуют сканеры объединяющие в себе оби эти возможности. В отдельную категорию можно выделить NetBIOS сканеры которые ищут открытые (share) ресурсы в сетях Microsoft т.к. они не только сканируют порты NetBIOS но и осуществляют другие операции (выяснение имен найденных машин, поиск открытых ресурсов, подбор паролей).

Сканеры безопасности

Это программы для удаленной  или локальной диагностики различных  элементов сети на предмет выявления  в них различных уязвимостей. По мимо обычного сканирования они различными средствами определяют версии ПО и проверяют по своей базе наличие известных уязвимостей и в случае их нахождения дают краткое описание и руководство к их устранению. Также выдается информация о степени опасности данной уязвимости.

Механизмы работы 

Существует два основных механизма, при помощи которых сканер проверяет наличие уязвимости - сканирование (scan) и зондирование (probe).

Сканирование - механизм пассивного анализа, с помощью которого сканер пытается определить наличие уязвимости без фактического подтверждения ее наличия - по косвенным признакам. Этот метод является наиболее быстрым и простым для реализации. В терминах компании ISS данный метод получил название "логический вывод" (inference). Согласно компании Cisco этот процесс идентифицирует открытые порты, найденные на каждом сетевом устройстве, и собирает связанные с портами заголовки (banner), найденные при сканировании каждого порта. Каждый полученный заголовок сравнивается с таблицей правил определения сетевых устройств, операционных систем и потенциальных уязвимостей. На основе проведенного сравнения делается вывод о наличии или отсутствии уязвимости.

Зондирование - механизм активного анализа, который позволяет убедиться, присутствует или нет на анализируемом узле уязвимость. Зондирование выполняется путем имитации атаки, использующей проверяемую уязвимость. Этот метод более медленный, чем "сканирование", но почти всегда гораздо более точный, чем он. В терминах компании ISS данный метод получил название "подтверждение" (verification). Согласно компании Cisco этот процесс использует информацию, полученную в процессе сканирования ("логического вывода"), для детального анализа каждого сетевого устройства. Этот процесс также использует известные методы реализации атак для того, чтобы полностью подтвердить предполагаемые уязвимости и обнаружить другие уязвимости, которые не могут быть обнаружены пассивными методами, например подверженность атакам типа "отказ в обслуживании" ("denial of service").

На практике указанные  механизмы реализуются следующими несколькими методами.

"Проверка заголовков" (banner check)

Указанный механизм представляет собой ряд проверок типа "сканирование" и позволяет делать вывод об уязвимости, опираясь на информацию в заголовке  ответа на запрос сканера. Типичный пример такой проверки - анализ заголовков программы Sendmail или FTP-сервера, позволяющий узнать их версию и на основе этой информации сделать вывод о наличии в них уязвимости.

 

"Активные зондирующие  проверки" (active probing check)

Также относятся к механизму "сканирования". Однако они основаны не на проверках версий программного обеспечения в заголовках, а на сравнении "цифрового слепка" (fingerprint) фрагмента программного обеспечения со слепком известной уязвимости. Аналогичным образом поступают антивирусные системы, сравнивая фрагменты сканируемого программного обеспечения с сигнатурами вирусов, хранящимися в специализированной базе данных. Разновидностью этого метода являются проверки контрольных сумм или даты сканируемого программного обеспечения, которые реализуются в сканерах, работающих на уровне операционной системы.

"Имитация атак" (exploit check)

Данные проверки относятся  к механизму "зондирования" и  основаны на эксплуатации различных  дефектов в программном обеспечении.

Некоторые уязвимости не обнаруживают себя, пока вы не "подтолкнете" их. Для этого против подозрительного  сервиса или узла запускаются  реальные атаки. Проверки заголовков осуществляют первичный осмотр сети, а метод "exploit check", отвергая информацию в заголовках, позволяет имитировать реальные атаки, тем самым с большей эффективностью (но меньшей скоростью) обнаруживая уязвимости на сканируемых узлах. Имитация атак является более надежным способом анализа защищенности, чем проверки заголовков, и обычно более надежны, чем активные зондирующие проверки.

Этапы сканирования

Практически любой сканер проводит анализ защищенности в несколько  этапов:

• Сбор информации о сети. На данном этапе идентифицируются все активные устройства в сети и определяются запущенные на них сервисы и демоны. В случае использования систем анализа защищенности на уровне операционной системы данный этап пропускается, поскольку на каждом анализируемом узле установлены соответствующие агенты системного сканера.
• Обнаружение потенциальных уязвимостей. Сканер использует описанную выше базу данных для сравнения собранных данных с известными уязвимостями при помощи проверки заголовков или активных зондирующих проверок. В некоторых системах все уязвимости ранжируются по степени риска. Например, в системе NetSonar уязвимости делятся на два класса: сетевые и локальные уязвимости. Сетевые уязвимости (например, воздействующие на маршрутизаторы) считаются более серьезными по сравнению с уязвимостями, характерными только для рабочих станций. Аналогичным образом "поступает" и Internet Scanner. Все уязвимости в нем делятся на три степени риска: высокая (High), средняя (Medium) и низкая (Low).
• Подтверждение выбранных уязвимостей. Сканер использует специальные методы и моделирует (имитирует) определенные атаки для подтверждения факта наличия уязвимостей на выбранных узлах сети.
• Генерация отчетов. На основе собранной информации система анализа защищенности создает отчеты, описывающие обнаруженные уязвимости. В некоторых системах (например, Internet Scanner и NetSonar) отчеты создаются для различных категорий пользователей, начиная от администраторов сети и заканчивая руководством компании. Если первых в первую очередь интересуют технические детали, то для руководства компании необходимо представить красиво оформленные с применением графиков и диаграмм отчеты с минимумом подробностей. Немаловажным аспектом является наличие рекомендаций по устранению обнаруженных проблем. И здесь по праву лидером является система Internet Scanner, которая для каждой уязвимости содержит пошаговые инструкции для устранения уязвимостей, специфичные для каждой операционной системы. Во многих случаях отчеты также содержат ссылки на FTP- или Web-сервера, содержащие patch'и и hotfix'ы, устраняющие обнаруженные уязвимости.
• Автоматическое устранение уязвимостей. Этот этап очень редко реализуется в сетевых сканерах, но широко применяется в системных сканерах (например, System Scanner). При этом данная возможность может реализовываться по-разному. Например, в System Scanner создается специальный сценарий (fix script), который администратор может запустить для устранения уязвимости. Одновременно с созданием этого сценария, создается и второй сценарий, отменяющий произведенные изменения. Это необходимо в том случае, если после устранения проблемы, нормальное функционирование узла было нарушено. В других системах возможности "отката" не существует.