04 Mrezno izvidjanje

Извиђање и прикупљање података

Заштита у рачунарским мрежама

др Александар Јевремовић[email protected]

Факултет за Информатику и Рачунарство

Ова презентација се може слободно користити за личну и јавну употребу у свом комплетном, изворном и неизмењеном облику садржаја и изгледа.

Мрежно извиђање као тип напада

► Претходница нападу.

► Прикупљање података за извршење напада.

► Често пролази незапажено.

► Показатељ напада у припреми.

др Александар Јевремовић, [email protected] 2/21

Типови извиђања

► Хоризонтално извиђање:– проналажење активних чланова мреже

– коришћење ICMP протокола, пинг– приступ по портовима

► Вертикално извиђање:– проналажење отворених портова– активни сервиси

► Извиђање по дубини:– утврђивање карактеристика– оперативни систем

– софтвер на отвореним портовима– време од када је систем подигнут...


Употреба прикупљених података

► Добијање потребних информација– информације се налазе у снимљеном саобраћају

► Организација и извршавање напада– приступ подацима– преузимање контроле

– онемогућавање нормалног рада


Сцена из филма Матрица


Сцена из филма Матрица

ИЗВИЂАЊЕ # nmap -O 10.2.2.2 Port State Service 22/tcp open ssh No exact OS matches for host nmap run completed

НАПАД # sshnuke 10.2.2.2 -rootpw="Z10N0101" connecting to 10.2.2.2:ssh ... successful. attempting to exploit SSHv1 CRC32 ... successful. reseting root password to "Z10N0101". system open: Access Level <9>

КОНТРОЛА # ssh 10.2.2.2 -l root [email protected]'s password:

RTF-CONTROL> disable grid nodes 21 - 48 Warning: Disabling nodes 21-48 will disconnect sector 11 (27 nodes)


Алати за извиђање и прикупљање података

► Проналажење активних чланова мреже– Nmap

– пинг

► Утврђивање карактеристика чланова– Nmap (Network Mapper)

– Zenmap (Nmap GUI)

► Снимање мрежног саобраћаја– WireShark

– Xplico


Алат NMAP

► Један од најпопуларнијих алата мрежних администратора.

► Примена за хоризонтално, вертикално и дубинско скенирање.

► Ради на свим популарним оперативним системима.

► Подржан велики број техника за испитивање мреже.

► Конзолни кориснички интерфејс, ZenMap GUI.

► Слободно доступан на: http://nmap.org


Алат NMAP: откривање чланова мреже

bash-4.2# nmap -sP 192.168.1.*

Starting Nmap 5.51 ( http://nmap.org ) at 2012-08-28 11:11 CESTNmap scan report for 192.168.1.7Host is up (0.00012s latency).MAC Address: 00:0D:60:32:EA:3E (IBM)Nmap scan report for 192.168.1.10Host is up (0.00083s latency).MAC Address: 00:15:5D:6E:6B:00 (Microsoft)Nmap scan report for 192.168.1.12Host is up (0.00059s latency).MAC Address: 00:22:6B:EF:B1:2F (Cisco-Linksys)Nmap scan report for 192.168.1.15Host is up (0.00018s latency).MAC Address: 00:16:E6:D9:05:76 (Giga-byte Technology Co.)Nmap scan report for 192.168.1.20Host is up (0.00027s latency).MAC Address: 00:15:5D:6E:6B:04 (Microsoft)Nmap scan report for 192.168.1.34Host is up (0.00081s latency).Nmap scan report for 192.168.1.122Host is up (0.00017s latency).MAC Address: 00:1A:4D:93:54:8B (Giga-byte Technology Co.)Nmap done: 256 IP addresses (14 hosts up) scanned in 2.56 secondsbash-4.2#


Алат NMAP: откривање отворених портова

bash-4.2$ nmap 192.168.1.122 -p 1-65535

Starting Nmap 5.51 ( http://nmap.org ) at 2012-08-28 10:59 CESTNmap scan report for 192.168.1.122Host is up (0.00024s latency).Not shown: 65533 closed portsPORT STATE SERVICE22/tcp open ssh80/tcp open http

Nmap done: 1 IP address (1 host up) scanned in 336.15 secondsbash-4.2$


Алат NMAP: оперативни систем

bash-4.2# nmap -O 192.168.1.122

Starting Nmap 5.51 ( http://nmap.org ) at 2012-08-28 11:10 CESTNmap scan report for 192.168.1.122Host is up (0.00022s latency).Not shown: 998 closed portsPORT STATE SERVICE22/tcp open ssh80/tcp open httpDevice type: general purposeRunning: Linux 2.6.XOS details: Linux 2.6.19 - 2.6.36Network Distance: 1 hop

OS detection performed.Nmap done: 1 IP address (1 host up) scanned in 12.07 secondsbash-4.2#


Софтвер и верзија иза отвореног порта

bash-4.2# telnet 192.168.1.122 22Trying 192.168.1.122...Connected to 192.168.1.122.Escape character is '^]'.SSH-2.0-OpenSSH_5.9^]

telnet> quitConnection closed.bash-4.2#


Софтвер и верзија иза отвореног порта


Откривање напада извиђања

► Није довољна анализа појединачне комуникације.

► Препознавање атипичних захтева.

► Пример: отварање портова редом.

► Опасност да се при заштити не онемогући нормалан рад.


Заштита од напада извиђањем

► Искључивање одговора на захтеве преко ICMP протокола.

► Примена заштитног зида.

► Примена IDS/IPS система.


Заштита „куцањем на портове“

► Систем подразумевано не одговара ни на један захтев.

► Постоји тајни редослед портова (нпр. 1-42-85-7).

► Жељени порт се отвара тек после слања захтева редоследом.

► Није трајна заштита, посредници могу лако да открију редослед.

► Више варијација на основну идеју.


Снимање саобраћаја

► Од стране „посредника“ у комуникацији.

► Компромитујуће ЕМ зрачење.

► Старе имплементације Етернета - разводници.

► Бежичне мреже.


Мрежни прикључак за прислушкивање

► Физичко раздвајање комуникационог кабла.

► Постављање мрежног адаптера у промискуитетни режим.

► Снимање пакета који се преносе каблом.

др Александар Јевремовић, [email protected] 18/2118/21

fernandomagro.com

Алат WireShark

► Један од најпопуларнијих алата за снимање саобраћаја.

► Уграђена подршка за анализу протокола.

► Подршка за преко 1.300 протокола и 114.000 поља у пакетима.

► Наследник пројекта Ethereal, започетог 1998. године.

► Графички корисничи интерфејс и конзолни интерфејс.


Пример употребе алата WireShark


Потврђивање активних адреса за електронску пошту

► Листе адреса за слање спем порука.

► Адресе временом постају неактивне.

► Једино активне адресе имају вредност.

► Утврђивање да је порука отворена -> адреса активна.

► Утврђивање отварања -> специфичан URL:– линк ка спољним ресурсима (нпр. сликама)

– линк којим се реагује на поруку


04 Mrezno izvidjanje

Documents

Transcript of 04 Mrezno izvidjanje