Опубликован: 20.02.2006 | Доступ: свободный | Студентов: 2942 / 490 | Оценка: 4.22 / 3.75 | Длительность: 33:08:00
ISBN: 978-5-9556-0087-1
Лекция 4:

Сканеры портов

Интересные применения Nlog и Nmap

Теперь вы умеете сканировать порты с помощью Nmap, а также сортировать и анализировать результаты с помощью Nlog. Что же можно делать с этими новыми игрушками? Существует несколько интересных приложений сканеров портов. Приведем несколько реальных примеров, которые есть смысл попробовать в вашей сети (или в чьей-нибудь еще, с разрешения хозяев, конечно!) Возможно, полученные результаты вас удивят.

Выявление малоупотребительных сервисов

Если имеется сервис или номер порта, который виден только на одной или двух машинах, то, вполне возможно, это нечто чужеродное для вашей сети. Это может быть троянская программа или запрещенный сервис (например, Kazaa, ICQ или MSN) или неверно сконфигурированная машина, выполняющая сервер FTP или иной сервер общего доступа. Можно настроить Nlog, чтобы сгенерировать список интересующих вас сущностей в порядке возрастания числа их вхождений, от самых редких к самым частым. Вероятно, вы не захотите включать в это сканирование серверы своей организации, так как на них будет обнаружено множество сервисов с одиночными вхождениями. Однако не вредно просканировать эти серверы отдельно, либо для тонкой настройки, либо для исключения посторонних сервисов.

Охота на незаконные/неизвестные Web-серверы

Вероятно, если в вашей организации поддерживается несколько web-серверов, то при сканировании сети несколько раз проявится сервис HTTP. Однако, вполне возможно, что он проявится не только там, где вы ожидали его увидеть. Некоторые производители настольных компьютеров по умолчанию загружают теперь на свои машины небольшие web-серверы для использования персоналом технической поддержки. К сожалению, зачастую эти web-серверы являются убогими программами с дырами в безопасности. web-серверы можно также обнаружить на принтерах, маршрутизаторах, межсетевых экранах и даже на коммутаторах и другом специализированном оборудовании. Эти серверы могут понадобиться для настройки оборудования, но если они не используются, их необходимо отключить. По умолчанию подобные мини-серверы сконфигурированы без парольной защиты и могут предоставить хакеру плацдарм на данной машине. Они могут также открыть доступ к файлам на машинах, если нарушитель знает, как ими манипулировать. Проведите сканирование с целью выявления скрытых web-серверов и либо выключите их, либо защитите как следует. Необходимо также поискать порты, отличные от 80, которые обычно используются для HTTP. В табл. 4.10 содержится краткий список номеров портов для web-сервиса.

Таблица 4.10. Употребительные альтернативные порты web-серверов
Употребительный номер порта Протокол
81 Альтернативный web-сервис
88 web-сервис
443 Https, защищенный web-сервис
8000-8002 web-сервис
8080 Web-сервис
8888 Web-сервис

Сканирование с целью выявления серверов, выполняющихся на настольных системах

Развивая предыдущий пример, ограничим диапазон IP-адресов несерверными машинами и зададим диапазон портов от 1 до 1024. В результате будут выявляться настольные машины с сервисами, которые обычно выполняются на серверах, например, электронная почта, Web и FTP. Если для этого нет уважительной причины (например, PCAnywhere), подобные сервисы на настольных машинах запускаться не должны.

Охота на "троянские" программы

Чтобы устроить в сети охоту на "троянские" программы, выполните сканирование сети и преобразуйте результаты в формат базы данных Nlog. Откройте страницу поиска Nlog, выберите порты и задайте диапазон от 30000 до 65400. Это излюбленный диапазон для троянских программ, так как он находится в стороне от обычных сервисов и поэтому троянцы зачастую остаются незамеченными - если, конечно, вы не прибегаете к сканированию портов сети. Сам по себе факт использования сервисами портов с большими номерами не доказывает, что это троянские программы, но обратить внимание на них, безусловно, стоит. Сужая поиск до машины и номера порта, можно определиться с ними, проверяя сервисы, запущенные на этих машинах, или подключаясь посредством telnet к этим портам и проверяя, выдается ли приветственная информация сервиса.

Проверка внешнего представления сети

Поместите машину с Nmap вне вашей сети, используя коммутируемое или домашнее широкополосное соединение, и попробуйте просканировать общедоступные IP-адреса организации. Проделав это, вы увидите, какие сервисы доступны из Интернета (и, таким образом, видны для любого человека, умеющего обращаться со сканером портов). Это наиболее уязвимая часть сети, и для общедоступных сервисов следует принять дополнительные меры безопасности, используя сканер уязвимостей, например, описанный в следующей лекции. Внешнее сканирование покажет также, правильно ли межсетевой экран фильтрует порты, которые он переправляет по адресам во внутренней ЛВС.

Итак, вы познакомились с замечательными возможностями, которые предоставляют сканеры портов, в частности Nmap. С их помощью можно определить, что выполняется в сети, и какие места остаются открытыми. Но как узнать, уязвимы ли эти открытые точки? На самом ли деле безопасны сервисы, которые сознательно сделаны открытыми и, как предполагается, защищенными? Это выходит за рамки функций сканера портов и попадает в область сканирования уязвимостей - предмет следующей лекции.

Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Александр Путятинский
Александр Путятинский

Добрый день по окончании данного курса выдается сертификат?