Анализаторы протоколов
настоящее время технология построения компьютерных сетей Ethernet стала самым распространенным решением. Сети Ethernet завоевали огромную популярность благодаря хорошей пропускной способности, простоте установки и приемлемой стоимости сетевого оборудования. Участки сетей для которых скорости передачи данных 10 Мбит/с недостаточно, можно довольно легко модернизировать, чтобы повысить эту скорость до 100 Мбит/с (Fast Ethernet) или даже до 1 Гбит/с (Gigabit Ethernet).
Однако технология Ethernet не лишена существенных недостатков. Основной из них — передаваемая информация не защищена. Компьютеры, подключенные к сети Ethernet, оказываются в состоянии перехватывать информацию, адресованную своим соседям. Основной причиной тому является
принятый в сетях Ethernet так называемый
широковещательный механизм обмена сообщениями.
Локальное широковещание
В сети типа Ethernet подключенные к ней компьютеры, как правило, совместно используют один и тот же кабель, который служит средой для пересылки сообщений между ними. Если в комнате одновременно громко говорят несколько людей, разобрать что-либо из сказанного ими будет очень трудно. Когда по сети начинают "общаться" сразу несколько компьютеров, выделить из их "цифрового гвалта" полезную информацию и понять, кому именно она предназначена, практически невозможно. В отличие от человека, компьютер не может поднять руку и попросить тишины, поэтому для решения данной проблемы требуются иные, более сложные действия.
Компьютер сети Ethernet, желающий передать какое-либо сообщение по общему каналу, должен удостовериться, что этот канал в данный момент свободен. В начале передачи компьютер прослушивает несущую частоту сигнала, определяя, не произошло ли искажения сигнала в результате возникновения коллизий с другими компьютерами, которые ведут передачу одновременно с ним. При наличии коллизии компьютер прерывает передачу и "замолкает". По истечении некоторого случайного периода времени он пытается повторить передачу.
Если компьютер, подключенный к сети Ethernet, ничего не передает сам, он, тем не менее, продолжает "слушать" все сообщения, передаваемые по сети другими компьютерами. Заметив в заголовке поступившей порции данных свой сетевой адрес, компьютер копирует эти данные в свою локальную память.
Существуют два основных способа объединения компьютеров в сеть Ethernet. В первом случае компьютеры соединяются при помощи
коаксиального
кабеля. Этот кабель черной змейкой вьется от компьютера к компьютеру, соединяясь с сетевыми адаптерами Т-образным разъемом. Такая топология на языке профессионалов называется
сетью Ethernet IOBase2.
Однако ее еще можно назвать сетью, в которой "все слышат всех". Любой компьютер, подключенный к сети, способен перехватывать данные, посылаемые по этой сети другим компьютером.
Во втором случае каждый компьютер соединен кабелем типа
витая пара
с отдельным портом центрального коммутирующего устройства — концентратора или с коммутатора. В таких сетях, которые называются
сетями Ethernet lOBaseT,
компьютеры поделены на группы, именуемые
доменами коллизий.
Домены коллизий определяются портами концентратора пли коммутатора. замкнутыми на общую шину. В результате коллизии возникают не между всеми компьютерами сети, а по отдельности — между теми из них, которые
входят в один и тот же домен коллизий, что повышает пропускную способность всей сети.
В последнее время в крупных сетях стали появляться коммутаторы нот но типа, которые не используют широковещание и не замыкают группы порки; между собой. Вместо этого все передаваемые по сети данные буферизуются в памяти и отправляются по мере возможности. Однако подобных сетей пока довольно мало — не более 10% от общего числа сетей типа Ethernet.
Таким образом, принятый в подавляющем большинстве Ethernet-сетей алгоритм передачи данных требует от каждого компьютера, подключенного к сети, непрерывного "прослушивания" всего без исключения сетевого трафика. Предложенные алгоритмы доступа, при использовании которых компьютеры отключались бы от сети на время передачи "чужих" сообщений, так и остались нереализованными из-за их чрезмерной сложности и малой эффективности.
Анализатор протоколов как он есть
Как уже было сказано, сетевой адаптер каждого компьютера в сети Ethernet как правило "слышит" все, о чем "толкуют" между собой его соседи по сегменту этой сети. Но обрабатывает и помещает в свою локальную память он ; только те порции (так называемые
кадры)
данных, которые содержат его уникальный сетевой адрес.
В дополнение к этому подавляющее большинство современных Ethernet-адаптеров допускают функционирование в особом режиме, называемом
беспорядочным
(promiscuous). При использовании данного режима адаптер копирует в локальную память компьютера все без исключения передаваемые по сети кадры данных.
Специализированные программы, переводящие сетевой адаптер в беспорядочный режим и собирающие весь трафик сети для последующего анализа, называются
анализаторами протоколов.
Администраторы сетей широко применяют анализаторы протоколов для осуществления контроля за работой этих сетей и определения их перегруженных участков, отрицательно влияющих на скорость передачи данных. К сожалению, анализаторы протоколов используются и злоумышленниками, которые с их помощью могут перехватывать чужие пароли и другую конфиденциальную информацию.
Надо отметить, что анализаторы протоколов представляют серьезную опасность. Само присутствие в компьютерной сети анализатора протоколов указывает на то, что в ее защитных механизмах имеется брешь. Установить анализатор протоколов мог посторонний человек, который проник в сеть извне (например, если сеть имеет выход в Internet). Но это могло быть и делом рук доморощенного злоумышленника, имеющего легальный доступ к сети. В любом случае к сложившейся ситуации нужно отнестись со веси серьезностью.
Специалисты в области компьютерной безопасности относят атаки на компьютеры при помощи анализаторов протоколов к так называемым
атакам второго уровня.
Это означает, что компьютерный взломщик уже сумел проникнуть сквозь защитные барьеры сети и теперь стремится развить свой успех.
При помощи анализатора протоколов он может попытаться перехватить регистрационные имена и пароли пользователей, их секретные финансовые данные (например, номера кредитных карточек) и конфиденциальные сообщения (к примеру, электронную почту). Имея в своем распоряжении достаточные ресурсы, компьютерный взломщик в принципе может перехватывать всю информацию, передаваемую по сети.
Анализаторы протоколов существуют для любой платформы. Но даже если окажется, что для какой-то платформы анализатор протоколов пока еще не написан, с угрозой, которую представляет атака на компьютерную систему при помощи анализатора протоколов, по-прежнему приходится считаться. Дело в том, что анализаторы протоколов исследуют не конкретный компьютер, а протоколы. Поэтому анализатор протоколов может обосноваться в любом узле сети и оттуда перехватывать сетевой трафик, который в результате широковещательных передач попадает в каждый компьютер, подключенный к сети.
Одна из первых атак, проведенных при помощи анализаторов протоколов, была зафиксирована в 1994 г. в США. Тогда неизвестный злоумышленник разместил анализатор протоколов на различных хостах и магистральных узлах сетей Internet и Milnet, в результате чего ему удалось перехватить более 100 тыс. регистрационных имен и паролей пользователей. Среди пострадавших от атаки оказались Калифорнийский государственный университет и Ракетная лаборатория министерства обороны США.
Наиболее частыми целями атак компьютерных взломщиков, которые те осуществляют, используя анализаторы протоколов, являются университеты. Хотя бы из-за огромного количества различных регистрационных имен и паролей, которые могут быть украдены в ходе такой атаки. Да и сами студенты отнюдь не брезгуют возможностями анализаторов протоколов. Нередким является случай, когда несколько студентов, заняв компьютер, подключенный к локальной сети университетской библиотеки, быстро устанавливают с нескольких дискет анализатор протоколов. Затем они просят ничего не подозревающую жертву, сидящую за соседним компьютером: "Вы не могли бы заглянуть в свой почтовый ящик, а то у нас почему-то электронная почта не работает?" Несколько минут спустя вся эта группа компьютерных взломщиков-любителей, перехватив регистрационное имя и пароль доступа соседа к почтовому серверу, с удовольствием знакомится с содержимым его почтового ящика и посылает письма от его имени.
Использование анализатора протоколов на практике не является такой уж легкой задачей, как это может показаться. Чтобы добиться от него хоть какой-
то пользы, компьютерный взломщик должен хорошо знать сетевые технологии. Просто установить и запустить анализатор протоколов нельзя, поскольку даже в небольшой локальной сети из пяти компьютеров трафик составляет тысячи и тысячи пакетов в час. И следовательно, за короткое время выходные данные анализатора протоколов заполнят жесткий диск полностью.
Поэтому компьютерный взломщик обычно настраивает анализатор протоколов так, чтобы он перехватывал только первые 200—300 байт каждого пикета, передаваемого по сети. Обычно именно в заголовке пакета размешается информация о регистрационном имени и пароле пользователя, которые, как правило, больше всего интересуют взломщика. Тем не менее, если в распоряжении взломщика имеется достаточно пространства на жестком диске, то увеличение объема перехватываемого трафика пойдет ему только на пользу. В результате он может дополнительно узнать много интересного.
На серверах в сети Internet есть множество анализаторов протоколов, которые отличаются лишь набором доступных функций. Например, поиск по запросам protocol analyzer и sniffer на сервере
www.softseek.com
сразу лает ссылки на добрый десяток программных пакетов.
Для компьютеров, работающих под управлением операционных систем Windows, одними из лучших являются анатизаторы протоколов Lan Explorer компании Intellimax и NetXRay компании Network Associates. NetXRay (в переводе с английского — Сетевой рентген) обладает обширным набором функций, которые позволяют делать моментальный снимок "внутренностей" сети Ethernet, определять, какие ее узлы и сегменты несут наибольшую нагрузку, составлять отчеты и строить диаграммы на основе полученных данных. Бесплатная версия NetXRay доступна в Internet по адресу
http://www.nai.com/asp_set/products/tnv/smflerbasic intro.asp.
Анализатор протоколов Lan Explorer (в переводе с английского — Анализатор ЛВС) не уступает по своей функциональности NetXRay, имеет очень хороший пользовательский интерфейс, удобен и прост в использовании.
Пробная 15- дневная версия Lan Explorer доступна по адресу
http:// www.inteHimax.com/ftpsites.htm.
Анализатор протоколов Network Monitor входит в состав операционной системы Windows NT 4.0 Server корпорации Microsoft. Для его установки следует в
Панели управления
(Control Panel) дважды щелкнуть на
пиктограмме
Сеть
(Network), затем перейти на вкладку
Службы
(Sen ice-, к нажать кнопку
Добавить
(Add) и в появившемся диалоговом окне выбран, Network Monitor Tools and Agent. После установки Network Monitor можно запустить из папки Network Analysis Tools раздела
Администрирование
(Administrative Tools) в меню
Программы
(Programs).
Защита от анализаторов протоколов
Надо сразу оговориться, что в советах относительно того, как защищаться от анализатора протоколов, нуждаются только те, кто желает дать отпор компьютерным взломщикам, использующим анализаторы протоколов для организации атак на компьютерные системы, подключенные к сети. В руках сетевого администратора анализатор протоколов является весьма полезным инструментом, помогающим находить и устранять неисправности, избавляться от узких мест, снижающих пропускную способность сети, и обнаруживать проникновение в нее компьютерных взломщиков.
Посоветовать можно следующее:
Обзаведитесь сетевым адаптером, который принципиально не может функционировать в беспорядочном режиме. Такие адаптеры в природе существуют. Одни адаптеры не поддерживают беспорядочный режим на аппаратном уровне (их меньшинство), а остальные просто снабжаются
драйвером, не допускающим работу в беспорядочном режиме, хотя режим и реализован в них аппаратно. Чтобы отыскать адаптер, не поддерживающий беспорядочный режим, достаточно связаться со службой технической поддержки любой компании, торгующей анализаторами протоколов, и выяснить, с какими адаптерами их программные пакеты не работают.
Учитывая, что спецификация РС99, подготовленная по инициативе корпораций Microsoft и Intel, требует безусловного наличия в сетевой карте беспорядочного режима, приобретите современный сетевой интеллектуальный коммутатор, который буферизует каждое отправляемое по сети сообщение в памяти и отправляет его по мере возможности точно по адресу.
В результате надобность в "прослушивании" сетевым адаптером всего трафика для того, чтобы выбирать из него сообщения, адресатом которых является данный компьютер, отпадает.
Не допускайте несанкционированной установки анализаторов протоколов на компьютеры сети. Для этого следует применять средства из арсенала, который повсеместно используется для борьбы с программными закладками и, в частности, — с троянскими программами.
Шифруйте весь трафик сети. Имеется широкий спектр программных пакетов, которые позволяют делать это достаточно эффективно и надежно.
Возможность шифрования почтовых паролей предоставляется надстройкой над почтовым протоколом POP (Post Office Protocol) — протоколом АРОР (Authentication POP). При работе с АРОР по сети каждый раз передается новая зашифрованная комбинация, которая не позволяет злоумышленнику извлечь какую-либо практическую пользу из информации, перехваченной с помощью анализатора протоколов. Проблема только в том, что не все почтовые серверы и клиенты поддерживают АРОР.
Другой продукт под названием Secure Shell, или сокращенно — SSL, был изначально разработан финской компанией SSH Communications Security
(http://www.ssh.fi)
и в настоящее время имеет множество реализаций, доступных бесплатно через Internet. SSL представляет собой защищенный протокол для осуществления безопасной передачи сообщений по компьютерной сети с помощью шифрования.
Особую известность среди компьютерных пользователей приобрела серия программных пакетов, предназначенных для защиты передаваемых по сети данных путем шифрования и объединенных присутствием в их названии аббревиатуры PGP, которая означает Pretty Good Privacy. Бесплатно распространяемые версии программ шифрования из этой серии можно отыскать в Internet по адресу
http://www.pgpi.org.
|
|