ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

1. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ Тема: Методика сетевой разведки (часть 1) Александр Юрьевич Каргин кандидат физико-математических наук, Microsoft Certified Systems Engineer (MCSE), Microsoft Certified Database Administrator (MCDBA), Certified Information Systems Auditor (CISA)

3. Этап: 1. Рекогносцировка[Reconnaissanse] Сетевая разведка- предварительная фаза, в которой нападающий ищет и собирает всю доступную информацию об «Объекте оценки»(TOE – Target of Evaluation)перед тем, как начать саму атаку [Refers to the preparatory phase where an attacker seeks to gather as much information as possible about a target of evaluationprior to launching an attack.]

4. Методика сетевой разведки • Этап: 1. Рекогносцировка [Reconnaissanse]. • Атака: 1.1. Получение отпечатка[Footprinting] • Этап: 2. Сканирование [Scanning]. • Атака: 2.1. Сканирование [Scanning] • Атака: 2.2. Составление реестра для нападения [Enumeration] Задача: Извлечь первоначальную информацию[Unearth initial information.] Задача: Определить сетевой диапазон [Locate the network range.] Задача: Установить, которые из компьютеров активны. [Ascertain active machines.] Задача: Обнаружить открытые портыи точки входа [Discover open ports / access points.] Задача: Обнаружить операционные системы[Detect operating systems.] Задача: Раскрыть сервисы на портах [Uncover services on ports.] Задача: Составить карту сети. [Map the Network.]

5. Методика сетевой разведки • Этап: 1. Рекогносцировка [Reconnaissanse]. • Атака: 1.1. Получение отпечатка[Footprinting] • Этап: 2. Сканирование [Scanning]. • Атака: 2.1. Сканирование [Scanning] • Атака: 2.2. Составление реестра для нападения [Enumeration] Задача: Извлечь первоначальную информацию[Unearth initial information.] Задача: Определить сетевой диапазон [Locate the network range.] Задача: Установить, которые из компьютеров активны. [Ascertain active machines.] Задача: Обнаружить открытые портыи точки входа [Discover open ports / access points.] Задача: Обнаружить операционные системы[Detect operating systems.] Задача: Раскрыть сервисы на портах [Uncover services on ports.] Задача: Составить карту сети. [Map the Network.]

6. Этап: 1. Рекогносцировка[Reconnaissanse] Атака: 1.1. Получение отпечатка [Footprinting] ❖ «Получение отпечатка» (Footprinting) – это процесс получения профиля безопасности организации, проводимый по специальной методике. [Footprinting is the blueprinting of the security profile of an organization, undertaken in a methodological manner.]  ❖ «Получение отпечатка» (Footprinting) – одна из трех атак, предшествующих взлому компьютерной системы. Другие две – 2)«сканирование» (scanning)и 3)«составление реестра для нападения» (enumeration).  ❖ Результат «Получения отпечатка» (Footprinting) – уникальный профиль компьютерной сети (Internet / Intranet / Extranet / Wireless) и информационных систем организации. [Footprinting results in a unique organization profile with respect to networks (Internet / Intranet / Extranet / Wireless) and systems involved.]

7. Методика сетевой разведки • Этап: 1. Рекогносцировка [Reconnaissanse]. • Атака: 1.1. Получение отпечатка[Footprinting] • Этап: 2. Сканирование [Scanning]. • Атака: 2.1. Сканирование [Scanning] • Атака: 2.2. Составление реестра для нападения [Enumeration] Задача: Извлечь первоначальную информацию[Unearth initial information.] Задача: Определить сетевой диапазон [Locate the network range.] Задача: Установить, которые из компьютеров активны. [Ascertain active machines.] Задача: Обнаружить открытые портыи точки входа [Discover open ports / access points.] Задача: Обнаружить операционные системы[Detect operating systems.] Задача: Раскрыть сервисы на портах [Uncover services on ports.] Задача: Составить карту сети. [Map the Network.]

8. Задача: Извлечение первоначальной информации [Unearth Initial Information] ❖Обычно включает: ❖Domain name lookup ❖ Местоположения ❖ Контакты (телефоны / e-mail) ❖Первоисточники информации: ❖ Открытые источники ❖Whois ❖Nslookup ❖Инструмент хакера: ❖Sam Spade

9. Интернет – служба Whois выдает подробную информация о домене, ip-адресах, регистраторе, владельце домена и т.п. лицо, подавшее заявление о регистрации

10. УтилитаNslookup ❖Nslookup– это программа для запросов к серверам DNS в Интернете. Она показывает информацию, которую можно использовать для диагностики DNS- инфраструктуры. [Nslookup is a program to query Internet domain name servers. Displays information that can be used to diagnose Domain Name System (DNS) infrastructure.] ❖ Помогает найти дополнительные IP адреса по ссылке на DNS сервер, полученной с помощью Whois.[Helps find additional IP addresses if authoritative DNS is known from whois.] ❖ Запись типа MX показывает IP адрес сервера электронной почты. [MX record reveals the IP of the mail server.] ❖ Как ОС Unix, так и ОС Windows имеют встроенную утилиту Nslookup. [Both Unix and Windows come with a Nslookup client.] ❖ Можно также использовать утилиты третьих фирм, например, Sam Spade.[Third party clients are also available - E.g. Sam Spade.]

11. Методика сетевой разведки • Этап: 1. Рекогносцировка [Reconnaissanse]. • Атака: 1.1. Получение отпечатка[Footprinting] • Этап: 2. Сканирование [Scanning]. • Атака: 2.1. Сканирование [Scanning] • Атака: 2.2. Составление реестра для нападения [Enumeration] Задача: Извлечь первоначальную информацию[Unearth initial information.] Задача: Определить сетевой диапазон[Locate the network range.] Задача: Установить, которые из компьютеров активны. [Ascertain active machines.] Задача: Обнаружить открытые портыи точки входа [Discover open ports / access points.] Задача: Обнаружить операционные системы[Detect operating systems.] Задача: Раскрыть сервисы на портах [Uncover services on ports.] Задача: Составить карту сети. [Map the Network.]

12. Задача: Определить сетевой диапазон[Locate the network range.] ❖Обычно включает: ❖Нахождение диапазона IP- адресов ❖Распознавание маски подсети ❖Первоисточники информации: ❖ARIN(Америка)/ RIPE(Европа) *) ❖Утилита Traceroute ❖Инструменты хакера: ❖NeoTrace ❖Visual Route *) Распределение IPадресов отдельным сетям и узлам координирует Интернет Корпорация по распределению адресов и имен (TheInternetCorporationforAssignedNamesandNumbers, ICANN). В Америке ICANN делегировал функции по распределению IP-адресов – Координационному центру ARIN (American Registry of Internet Numbers), а в Европе - Координационному центру RIPE (Reseaux IP Europeens) /www.ripe.net/. В свою очередь, эти центры делегирует часть своих функций региональным организациям. В частности, российских пользователей обслуживает Региональный сетевой информационный центр "RU-CENTER».

13. Интернет-службыARINиRIPE ❖ARIN allows search on the Whois database to locate information on networks Autonomous System Numbers (ASNs), network-related handles and other related Point of Contact (РОС). ❖ARIN Whois allows querying the IP address to help find information on the strategy used for subnet addressing.

14. Screenshot: ARINWhois Output

15. Утилита Traceroute ❖Traceroute works by exploiting a feature of the Internet Protocol called TTL, or Time To Live. ❖Traceroute reveals the path IP packets travel between two systems by sending out consecutive UDP packets with ever-increasing TTLs. ❖As each router processes a IP packet, it decrements the TTL. When the TTL reaches zero, it sends back a "TTL exceeded" message (using ICMP) to the originator. ❖Routers with DNS entries reveal the name of routers, network affiliation and geographic location.

16. Tool: NeoTrace(Now McAfee Visual Trace)

17. Tool: VisualRoute Trace

18. Tool: SmartWhois ❖SmartWhois – полезная сетевая утилита, позволяющая вам найти всю доступную информацию по IP адресу,имени хоста или домена,включающую страну, штат/область, город, название Интернет-провайдера, контактную информацию администратора или технической поддержки. ❖ В отличие от стандартных сервисов Whois, SmartWhoisможет найти информацию о компьютере, расположенном в любой части мира, запрашивая соответствующие базы и выдавая нужную информацию за несколько секунд.

19. Tool: VisualLookout VisualLookout provides high level views as well as detailed and historical views that provide traffic information in real-time or on a historical basis. In addition the user can request a "connections" window for any server, which provides a real-time view of all the active network connections showing ❖who is connected, ❖what service is being used, ❖whether the connection is inbound or outbound, and ❖howmany connections are active and how long they have been connected.

20. Tool: VisualRoute Mail Tracker(page 1 of 2)

21. Tool: VisualRoute Mail Tracker (page 2 of 2)

22. Tool: eMailTrackerPro eMailTrackerPro – инструмент для анализа электронной почты, который автоматически обрабатывает заголовки e-mail –сообщений и выдает результат в графическом виде.

23. Tool: Mail Tracking (mailtracking.com) Mail Tracking – сервис, отслеживающий когда, как долго и как много раз читали конкретной электронное сообщение. It also record forwards and passing of sensitive information (MS Office format).

24. Этап: 1. Рекогносцировка[Reconnaissanse] Атака: 1.1. Получение отпечатка [Footprinting] ИТАК, ❖ «Получение отпечатка» (Footprinting)выдает уникальный профиль информационной безопасности «Объекта оценки». [Footprinting renders a unique security profile of a target system.] ❖ Интернет - сервисы Whois, ARINмогут открыть хакеру официальную информацию, которую он может в дальнейшем использовать для атаки. [Whois, ARIN can reveal public information of a domain that can be leveraged further.] ❖ Утилиты Traceroute and трассировщик почты(mail tracking) могут быть использованы для определения искомого IP –адреса и позднее для «получения доступа, путем использования ложного IP- адреса» (spoofing).[Traceroute and mail tracking can be used to target specific IP and later for IP spoofing.] ❖ Утилита Nslookupможет открыть хакеру информацию об именах, входящих в домен и передаче зон DNS, которая может скомпрометировать безопасность (подорвать доверие к безопасности) службы Интернет-именDNS.[Nslookup can reveal specific users and zone transfers can compromise DNS security.]