04 mrezno izvidjanje
DESCRIPTION
Zastita racunarskih mrezaTRANSCRIPT
Извиђање и прикупљање података
Заштита у рачунарским мрежама
др Александар Јевремовић[email protected]
Факултет за Информатику и Рачунарство
Ова презентација се може слободно користити за личну и јавну употребу у свом комплетном, изворном и неизмењеном облику садржаја и изгледа.
Мрежно извиђање као тип напада
► Претходница нападу.
► Прикупљање података за извршење напада.
► Често пролази незапажено.
► Показатељ напада у припреми.
др Александар Јевремовић, [email protected] 2/21
Типови извиђања
► Хоризонтално извиђање:– проналажење активних чланова мреже
– коришћење ICMP протокола, пинг– приступ по портовима
► Вертикално извиђање:– проналажење отворених портова– активни сервиси
► Извиђање по дубини:– утврђивање карактеристика– оперативни систем
– софтвер на отвореним портовима– време од када је систем подигнут...
др Александар Јевремовић, [email protected] 3/21
Употреба прикупљених података
► Добијање потребних информација– информације се налазе у снимљеном саобраћају
► Организација и извршавање напада– приступ подацима– преузимање контроле
– онемогућавање нормалног рада
др Александар Јевремовић, [email protected] 4/21
Сцена из филма Матрица
ИЗВИЂАЊЕ # nmap -O 10.2.2.2 Port State Service 22/tcp open ssh No exact OS matches for host nmap run completed
НАПАД # sshnuke 10.2.2.2 -rootpw="Z10N0101" connecting to 10.2.2.2:ssh ... successful. attempting to exploit SSHv1 CRC32 ... successful. reseting root password to "Z10N0101". system open: Access Level <9>
КОНТРОЛА # ssh 10.2.2.2 -l root [email protected]'s password:
RTF-CONTROL> disable grid nodes 21 - 48 Warning: Disabling nodes 21-48 will disconnect sector 11 (27 nodes)
др Александар Јевремовић, [email protected] 6/21
Алати за извиђање и прикупљање података
► Проналажење активних чланова мреже– Nmap
– пинг
► Утврђивање карактеристика чланова– Nmap (Network Mapper)
– Zenmap (Nmap GUI)
► Снимање мрежног саобраћаја– WireShark
– Xplico
др Александар Јевремовић, [email protected] 7/21
Алат NMAP
► Један од најпопуларнијих алата мрежних администратора.
► Примена за хоризонтално, вертикално и дубинско скенирање.
► Ради на свим популарним оперативним системима.
► Подржан велики број техника за испитивање мреже.
► Конзолни кориснички интерфејс, ZenMap GUI.
► Слободно доступан на: http://nmap.org
др Александар Јевремовић, [email protected] 8/21
Алат NMAP: откривање чланова мреже
bash-4.2# nmap -sP 192.168.1.*
Starting Nmap 5.51 ( http://nmap.org ) at 2012-08-28 11:11 CESTNmap scan report for 192.168.1.7Host is up (0.00012s latency).MAC Address: 00:0D:60:32:EA:3E (IBM)Nmap scan report for 192.168.1.10Host is up (0.00083s latency).MAC Address: 00:15:5D:6E:6B:00 (Microsoft)Nmap scan report for 192.168.1.12Host is up (0.00059s latency).MAC Address: 00:22:6B:EF:B1:2F (Cisco-Linksys)Nmap scan report for 192.168.1.15Host is up (0.00018s latency).MAC Address: 00:16:E6:D9:05:76 (Giga-byte Technology Co.)Nmap scan report for 192.168.1.20Host is up (0.00027s latency).MAC Address: 00:15:5D:6E:6B:04 (Microsoft)Nmap scan report for 192.168.1.34Host is up (0.00081s latency).Nmap scan report for 192.168.1.122Host is up (0.00017s latency).MAC Address: 00:1A:4D:93:54:8B (Giga-byte Technology Co.)Nmap done: 256 IP addresses (14 hosts up) scanned in 2.56 secondsbash-4.2#
др Александар Јевремовић, [email protected] 9/21
Алат NMAP: откривање отворених портова
bash-4.2$ nmap 192.168.1.122 -p 1-65535
Starting Nmap 5.51 ( http://nmap.org ) at 2012-08-28 10:59 CESTNmap scan report for 192.168.1.122Host is up (0.00024s latency).Not shown: 65533 closed portsPORT STATE SERVICE22/tcp open ssh80/tcp open http
Nmap done: 1 IP address (1 host up) scanned in 336.15 secondsbash-4.2$
др Александар Јевремовић, [email protected] 10/21
Алат NMAP: оперативни систем
bash-4.2# nmap -O 192.168.1.122
Starting Nmap 5.51 ( http://nmap.org ) at 2012-08-28 11:10 CESTNmap scan report for 192.168.1.122Host is up (0.00022s latency).Not shown: 998 closed portsPORT STATE SERVICE22/tcp open ssh80/tcp open httpDevice type: general purposeRunning: Linux 2.6.XOS details: Linux 2.6.19 - 2.6.36Network Distance: 1 hop
OS detection performed.Nmap done: 1 IP address (1 host up) scanned in 12.07 secondsbash-4.2#
др Александар Јевремовић, [email protected] 11/21
Софтвер и верзија иза отвореног порта
bash-4.2# telnet 192.168.1.122 22Trying 192.168.1.122...Connected to 192.168.1.122.Escape character is '^]'.SSH-2.0-OpenSSH_5.9^]
telnet> quitConnection closed.bash-4.2#
др Александар Јевремовић, [email protected] 12/21
Откривање напада извиђања
► Није довољна анализа појединачне комуникације.
► Препознавање атипичних захтева.
► Пример: отварање портова редом.
► Опасност да се при заштити не онемогући нормалан рад.
др Александар Јевремовић, [email protected] 14/21
Заштита од напада извиђањем
► Искључивање одговора на захтеве преко ICMP протокола.
► Примена заштитног зида.
► Примена IDS/IPS система.
др Александар Јевремовић, [email protected] 15/21
Заштита „куцањем на портове“
► Систем подразумевано не одговара ни на један захтев.
► Постоји тајни редослед портова (нпр. 1-42-85-7).
► Жељени порт се отвара тек после слања захтева редоследом.
► Није трајна заштита, посредници могу лако да открију редослед.
► Више варијација на основну идеју.
др Александар Јевремовић, [email protected] 16/21
Снимање саобраћаја
► Од стране „посредника“ у комуникацији.
► Компромитујуће ЕМ зрачење.
► Старе имплементације Етернета - разводници.
► Бежичне мреже.
др Александар Јевремовић, [email protected] 17/21
Мрежни прикључак за прислушкивање
► Физичко раздвајање комуникационог кабла.
► Постављање мрежног адаптера у промискуитетни режим.
► Снимање пакета који се преносе каблом.
др Александар Јевремовић, [email protected] 18/2118/21
fernandomagro.com
Алат WireShark
► Један од најпопуларнијих алата за снимање саобраћаја.
► Уграђена подршка за анализу протокола.
► Подршка за преко 1.300 протокола и 114.000 поља у пакетима.
► Наследник пројекта Ethereal, започетог 1998. године.
► Графички корисничи интерфејс и конзолни интерфејс.
др Александар Јевремовић, [email protected] 19/21
Потврђивање активних адреса за електронску пошту
► Листе адреса за слање спем порука.
► Адресе временом постају неактивне.
► Једино активне адресе имају вредност.
► Утврђивање да је порука отворена -> адреса активна.
► Утврђивање отварања -> специфичан URL:– линк ка спољним ресурсима (нпр. сликама)
– линк којим се реагује на поруку
др Александар Јевремовић, [email protected] 21/21