Celem laboratorium jest zapoznanie się z zadaniami analizy sieci i narzędziami do ich monitorowania. W czasie laboratorium zostanie pobrana z sieci oraz zainstalowana aplikacja komercyjnego analizatora sieci w wersji demo. Aplikacja sniffera będzie przetestowana w lokalnej sieci LAN.
1. Podstawy
1.1. Czym jest „sniffing"?
„Sniffing” to termin oznaczający potocznie analizę sieci lub analizę protokołów. „Sniffery czyli programy do „sniffowania” służą przede wszystkim do analizowania ruchu w sieci, jako narzędzie administracyjne. Z drugiej jednak strony częściej „sniffing” utożsamiany jest z metodami podsłuchiwania (przechwytywania) danych w sieciach lokalnych. W wolnym tłumaczeniu z języka angielskiego słowo to „snif” oznacza „węszyć”.
1.2. Analizator sieci czy "packet sniffer"
Wyraz "sniffer" jest zastrzeżony przez Network Associates i odnosi się do ich produktu "Sniffer® Network Analyzer". Jednakże termin pochodzący od angielskiego słowa "snif" jest używany powszechnie przez wiele innych produktów komercyjnych, a termin sniffer, zarówno w języku polskim jak i angielskim zadomowił się już na stałe i jest częściej używany w języku potocznym, niż jego odpowiedniki takie, jak: „analizator protokołów" czy „analizator sieci".
Sniffery to nie tylko programy do podsłuchiwania. Służą one przede wszystkim do analizowania ruchu w sieci, jako narzędzie administracyjne.
1.2. Czemu służy analiza sieci?
Analizatory sieci możnaby, ze względu na przeznaczenie, podzielić na dwa główne rodzaje. Komercyjne produkty używane są w celach monitorowania i pomocy w utrzymaniu sieci. Natomiast sniffery wywodzące się z „podziemia” są zwykle używane do włamań do komputerów.
Zwykle działania tego typu programów zawierają:
Automatyczne filtrowanie i „wyciąganie” z sieci haseł i nazw użytkowników w formie czysto tekstowej. Używne przez hakerów/crakerów w celu późniejszego wykorzystania do włamań do systemów.
Przetwarzanie binarnych danych do postaci dającej się przeczytać przez człowieka, w celu analizy ruchu w sieci.
Analiza błędów w sieci mająca wykrywać problemy sieciowe, np. brak komunikacji pomiędzy jakimiś dwoma komputerami w sieci.
Analiza wykorzystania i wydajności sieci w celu odkrywania tzw. „wąskich gardeł”.
Wykrywanie intruzów w sieci w celu ochrony przed hakerami/crakerami.
Zapis ruchu i działalności w sieci, tworzenie logów i zabezpieczanie ich przed hakerami.
1.3. Jak działa analiza sieci?
Działanie snifera a ruch w sieci
Każdy komputer w sieci lokalnej Ethernet jest połączony z tą siecią za pomocą karty sieciowej. Ruch w sieciach Ehernet jest filtrowany przez sprzęt w taki sposób, że ignorowane są wszelkie informacje, które nie są dla nas przeznaczone. Odbywa się to poprzez ignorowanie wszystkich ramek, które mają inny adres fizyczny MAC niż te przeznaczone dla naszej maszyny. Aplikacja typu Sniffer wyłącza ten filtr i przełącza kartę sieciową w tryb tzw. mieszany (w języku angielskim określany jako "promiscuous mode"). Dzięki temu możliwe jest przechwytywanie wszystkich informacji krążących w sieci pomiędzy komputerami tak długo jak długo są one podpięte do tej samej fizycznej sieci.
W sieciach opartych o huby, sniffing jest bardzo prosty. Huby działają jak wzmacniacze. Odbierają informacje, wzmacniają je i rozsyłają je po wszystkich swoich portach, niewiedząc, do kogo jest adresowana ramka. Karta sieciowa sprawdza nagłówek otrzymanej ramki i jeśli była ona adresowana do niej, przyjmuje ja, jeśli nie to po prostu ja ignoruje. Sniffery przestawiają tryb pracy karty sieciowej w tryb mieszany, co oznacza ze taka karta sieciowa będzie przyjmowała wszystkie ramki, także te do niej nie adresowane.
Przyjmijmy, że ktoś logował się na swoje konto pocztowe. Wiadome jest, że musi on wysłać swój login i hasło. Z komputera dane te trafią do huba, który roześle je po całej sieci. Dane te dotrą także do naszego komputera i jeśli działa u nas sniffer przejmiemy je. Sieć może być także oparta o switche. Switch jest bardziej inteligentnym urządzeniem i już nie rozsyła bezmyślnie jak hub ramek po całej sieci. Dokonuje on analizy nagłówka ramki (szuka adresu karty sieciowej odbiorcy). Switch posiada w swojej pamięci tablice, w której zawarte są adresy kart sieciowych i nr portów, do których są dane karty podłączone. Informacja w rezultacie wysyłana jest tylko do określonego komputera. Switch może jednocześnie dokonywać transmisji miedzy kilkoma komputerami tworząc w ten sposób kilka kanałów informacyjnych. Czy można sniffowac w sieciach opartych na switchach? Można, ale jest to o wiele bardziej trudne niż w sieciach opartych na hubach. Można tak przeprogramować tablice switcha, ze ramka skierowana do danego komputera zostanie wysłana także na nasz komputer. Można zasypać switcha fałszywymi adresami MAC, co w rezultacie doprowadzi do zawieszenia się switcha (a i to nie zawsze działa w zależności od typu sprzętu) i przejścia w tryb pracy huba.
Podsłuchując dużą sieć może się zdarzyć ze przechwycimy dużą ilość danych, które są nam niepotrzebne i tylko zaśmiecą nam dysk. Należy wtedy nałożyć filtr. Sniffer odfiltruje informacje nam niepotrzebne.
Co się składa na sniffing
Sprzęt
Większość programów współpracuje ze standardowymi kartami sieciowymi, aczkolwiek niektóre wymagają specjalnego sprzętu. Przy użyciu takiego dedykowanego sprzętu można wykrywać i analizować także problemy sprzętowe, takie jak błędy CRC, problemy z napięciem, kablami, skoki i wahania prądu, itd…
Sterownik przechwytywania
To jest najważniejsza część systemu. Odpowiada on za przechwytywanie ruchu z sieci („z kabla”), filtruje go i przechowuje go w buforze.
Bufor
Po przechwyceniu, ramki przechowywane są w buforze. Zwykle użytkownik ma do dyspozycji parę trybów pracy: przechwytuj do momentu przepełnienia bufora lub używaj bufora w trybie ciągłym tak, żeby najnowsze dane były nadpisywane na danych najstarszych.
Niektóre produkty (np. BlackICE Sentry IDS firmy Network ICE) mogą utrzymać tryb pracy ciągłej bufora na dysku nawet z pełną prędkością 100-mbps. Oczywiście to skutkuje powstaniem setek gigabajtów danych w buforze.
Dekodowanie
Ta funkcja umożliwia wyświetlanie „zawartości” ruchu sieciowego z opisem tekstowym, aby ułatwić analizę.
Edycja/transmisja pakietów
Niektóre aplikacje umożliwiają edycję swoich własnych pakietów w celu własnoręcznego wysłania ich do sieci.
Sniffing a kodeks karny
UWAGA! BEZPRAWNE UZYSKANIE INFORMACJI, NARUSZENIE INTEGRALNOŚCI KOMPUTEROWEGO ZAPISU DANYCH, PODSŁUCH I SABOTAŻ KOMPUTEROWY, USZKODZENIE, USUNIĘCIE, ZMIANA DANYCH, A TAKŻE ZAPOZNANIE SIĘ Z TREŚCIĄ BEZPRAWNIE UZYSKANYCH INFORMACJI JEST KARALNE ZGODNIE Z ART.267 § 1 K.K. ART.267§ 2ART.268 § K.K. ART.269 K.K.
1.4. Czym jest „spoofing”
Często wraz ze słowem „sniffing” pojawia się w parze słowo „spoofing”. Spofing definiuje się jako nadawanie danych w sieci w celu oszukania jej urządzeń i uzyskania dostępu, podszywanie się, fałszowanie pakietów, podrabianie adresu nadawcy. W wolnym tłumaczeniu z języka angielskiego spoofing to „zwodzenie”.
Spoofing oznacza podszywanie się pod inną maszynę w sieci. Narażone na to zjawisko są warstwy: sprzętowa, interfejsu danych, transportowa aplikacji. Wszystkie protokoły warstwy aplikacji są narażone na spoofing, jeżeli nie są spełnione odpowiednie wymogi bezpieczeństwa warstw niższych.
IP spoofing.
W wysyłanych datagramach zawarty jest wpis o adresie źródłowym IP. Jeżeli użytkownik potrafi zmodyfikować pakiet tak, aby zawierał on inny niż rzeczywisty adres IP, działanie takie zostanie zakwalifikowane jako spoofing IP.
Spoofing systemu routingu IP - polega na kierowaniu pakietów do innej maszyny, czy podsieci. Generalnie zmiana routingu powoduje zmianę dróg, jakimi są przesyłane pakiety w sieci. Spoofing routingu jest przez to podobny do spoofing ARP, który zakłada niepoprawne dostarczanie datagramów dostarczanych lokalnie. Jeżeli w sieci mamy ustawiony domyślny routing, atakujący może zmienić wpis w tablicy routingu i cały ruch przesyłać inną drogą, gdzie dane mogą być podsłuchiwane przez snifery. Jeżeli pakiety dalej będą dostarczane zgodnie z przeznaczeniem, dla użytkownika będzie to niezauważalne.
ARP spoofing.
ARP jest odopowiedzialny za tłumaczenie adresu IP na adresy sprzętowe. Adresy IP maszyn oraz skojarzone z nimi adresy sprzętowe są przechowywane w buforze (cache) ARP każdego hosta. Kiedy datagram jest przesyłany przez sieć, sprawdzana jest zawartość bufora ARP i, jeżeli istnieje tam wpis odpowiadający adresowi docelowego miejsca, gdzie ma dotrzeć datagram, nie ma potrzeby wysyłania zapytania ARP.
Zapisy w buforze ulegają przeterminowaniu po kilku minutach od ich stworzenia. Kiedy wpis ARP o danym hoście wygaśnie, wysyłane jest zapytanie ARP. Jeżeli komputer będzie wyłączony, zapytanie zostanie bez odpowiedzi. Zanim jednak wpis zostanie przeterminowany, datagramy są wysyłane, lecz nie odbierane. Klasycznym przykładem spoofingu ARP jest zmiana adresu IP na adres maszyny wyłączonej. Włamywacz może zorientować się, jaka maszyna w sieci jest wyłączona, lub samemu ją wyłączyć. Wtedy zmieniając konfigurację swojej maszyny może on skonfigurować ją tak, aby wskazywała IP odłączonej maszyny. Kiedy ponownie zostanie wysłane zapytanie ARP, jego system odpowie na nie, przesyłając nowy adres sprzętowy, który zostanie skojarzony z adresem IP wyłączonej maszyny. Jeżeli jakieś usługi w sieci były udostępniane na podstawie zaufania według danych wskazywanych przez ARP, będą one dostępne dla osoby niepowołanej.
Atak za pomocą spoofingu ARP jest również możliwy w przypadku, kiedy istnieją w sieci maszyny o dwóch takich samych adresach IP. Tak sytuacje powinna być niedopuszczalna, jednak często wystepuje takie zjawisko i nie zawsze jest one zamierzone. Dzieje się tak np. przez instalowanie jednej kopii oprogramowania na wielu maszynach z jedną konfiguracją. Kiedy jest wysyłane zapytanie ARP, to odpowie na nie każdy z hostów o danym IP. W zależności od systemu albo pierwsza albo ostatnia odpowiedź zostanie umieszczona w buforze. Niektóre systemy wykrywają taką sytuację i jest to oznaka możliwości wystąpienia spoofingu.
Aby bronić się przed spoofingiem ARP, stosuje się wpisy permanentne w przypadku hostów o szczególnym znaczeniu.
Spoofing stosuje się np. dla uzyskania pewnych przywilejów (np. podszywajac sie pod jakis zaufany dla ofiary komputer), lub też dla ukrycia swojego prawdziwego adresu IP w celu zachowania anonimowości. Generalnie spoofing możemy podzielić na dwa rodzaje spoofingu:
non-blind spoofing (nie-ślepy spoofing) - łatwiejszy do przeprowadzenia, lecz możliwy tylko w obrębie własnej sieci lokalnej (lub nawet w podsieci). Jest to połączenie techniki spoofingu ze sniffingiem. W najprostszym przypadku można najpierw sprawdzić numer ISN czyli jakby "numer seryjny" pakietu danych przesyłany z jednego komputera do drugiego, który jest powiększany o 1 wraz z przesyłaniem kolejnych pakietów. Dopiero potem można podszyć się pod inny komputer wysyłając pakiet o numerze ISN powiększony o 1. W praktyce od kilku lat większość systemów sieciowych (Linux, WinNT, itp.) stosują mechanizm nadawania dowolnego (w znaczeniu losowo wybieranego) numeru ISN, co sprawia, że trudno jest go zgadnąć.
blind spoofing (ślepy spoofing) - w tym przypadku nie podglądamy adresu ofiary, lecz zdajemy się na nasze szczęście i zgadujemy numer ISN, co jest niełatwe.
Spoofing a kodeks karny
UWAGA: SPOFFING JEST PROCEDEREM NIELEGALNYM I JEGO PRAKTYKOWANIE GROZI POCIĄGNIĘCIEM DO ODPOWIEDZIALNOŚCI KARNEJ!
2. Anasil - programowy analizator sieci
Anasil to programowy analizator sieci lokalnych oraz dekoder protokołów, umożliwiający monitorowanie sieci, zarządzanie siecią i wykrywanie snifferów. Anasil jest zaawansowanym rozwiązaniem dla sieci Ethernet pracującym pod kontrolą systemu Windows 95/98/NT/2000/XP. Wykonywane przez Anasila analiza sieci, tworzenie profilu sieci, wykrywanie intruzów w sieci, pomiar obciążenia łącza, sprawiają, że Anasil to stabilne i wiarygodne narzędzie pomagające utrzymać bezpieczeństwo sieci.
Kluczowe funkcje Anasila to:
Diagnostyka sieci,
Pomiar obciążenia sieci,
Analiza ramek,
Pomiar aktywności poszczególnych komputerów w sieci,
Pomiar prędkości transmisji, wykrywanie programów sniffujących,
Lista i statystyki protokołów sieciowych,
Analiza połączeń z serwerami www,
Testy point to point,
Statystyki stacji sieciowych,
Statystyki połączeń pomiędzy poszczególnymi stacjami,
Statystyki typów ramek,
2.1. Instalacja
Wersja instalacyjna programu w wersji ANASIL DEMO jest udostępniona przez producenta w formie pojedynczego pliku archiwum typu .zip. Po pobraniu należy rozpakować archiwum w jednym katalogu i uruchomić plik setup.exe. Wersja DEMO działa przez 15 dni i ponowna instalacja po tym czasie nie jest możliwa. Pakiet instalacyjny zawiera 11,5 MB. W celu pobrania wersji instalacyjnej należy odwiedzić stronę producenta: http://www.anasil.net.
W trakcie laboratorium należy:
1. Pobrać wersję demo.
2. Rozpakować.
3. Zainstalować.
4. Korzystając z opisu udostępnionego przez producenta na stronie www lub instrukcji znajdującej się w zainstalowanej wersji aplikacji należy zapoznać się i przetestować najważniejsze funkcje programu.
Rysunek 1: Główne okno programu Anasil 2.2
.3. Testowanie
Przetestuj opcje i możliwości programu. Spróbuj analizować nie tylko swoje lokalne połączenia, ale także ruch generowany przez innych w sieci laboratoryjnej.
SKiSO, lab. 9 |
|
|
5 |
Wyszukiwarka