Сетевые анализаторы

Теперь вы в состоянии должным образом обезопасить и укрепить свои системы и проверить сеть на наличие уязвимостей с помощью превентивных средств, помогающих поддерживать нормальное функционирование и безопасность информационных систем. Мы приступаем к рассмотрению некоторых средств, которые позволяют действовать и реагировать, когда, вопреки всем вашим профилактическим мерам, в сети проявляются компьютерные атаки или проблемы безопасности. К этой категории средств относятся сетевые анализаторы, а также системы обнаружения вторжений и беспроводные анализаторы.

Грубо говоря, сетевой анализатор (network sniffer) прослушивает или "обнюхивает" ("sniffs") пакеты определенного физического сегмента сети. Это позволяет анализировать трафик на наличие некоторых шаблонов, исправлять определенные проблемы и выявлять подозрительную активность. Сетевая система обнаружения вторжений является ничем иным, как развитым анализатором, который сопоставляет каждый пакет в сети с базой данных известных образцов вредоносного трафика, аналогично тому, как антивирусная программа поступает с файлами в компьютере.

В отличие от средств, описанных ранее, анализаторы действуют на более низком уровне. Если обратиться к эталонной модели ВОС, то анализаторы проверяют два нижних уровня - физический и канальный.

Физический уровень - это реальная физическая проводка или иная среда, примененная для создания сети. На канальном уровне происходит первоначальное кодирование данных для передачи через конкретную среду. Сетевые стандарты канального уровня включают беспроводной 802.11, Arcnet, коаксиальный кабель, Ethernet, Token Ring и многое другое. Анализаторы обычно зависят от типа сети, в которой они работают. Например, для анализа трафика в сети Ethernet вы должны иметь анализатор Ethernet.

Существуют анализаторы коммерческого класса, от таких производителей, как Fluke, Network General и других. Обычно это специальные аппаратные устройства, которые могут стоить десятки тысяч долларов. Хотя эти аппаратные средства способны осуществлять более глубокий анализ, можно создать недорогой сетевой анализатор с помощью программного обеспечения с открытыми исходными текстами и недорогого ПК на Intel-платформе.

В данной лекции рассматриваются несколько сетевых анализаторов Ethernet с открытыми исходными текстами. Я решил остановиться в этой лекции на Ethernet, так как этот протокол наиболее употребителен в локальных сетях. Весьма вероятно, что ваша организация использует сеть Ethernet или она взаимодействует с подобными организациями.

Когда-то сетевой мир был очень фрагментированным в том, что касалось стандартов передачи физического и канального уровней; не существовало единого доминирующего стандарта для ЛВС. Корпорация IBM сделала свою топологию Token Ring стандартом для своих сетей ПК. Многие компании, которые первоначально использовали оборудование IBM, применяли Token Ring, потому что у них не было выбора. Arcnet, в силу своей дешевизны, был популярен в небольших компаниях. Ethernet доминировал в университетских и исследовательских средах. Существовало множество других протоколов, таких как AppleTalk компании Apple для компьютеров Macintosh. Эти протоколы обычно были специфичными для конкретного производителя. Однако с развитием Интернета стандарт Ethernet стал набирать все большую популярность. Поставщики оборудования начали стандартизацию и сосредоточились на дешевых платах Ethernet, концентраторах и коммутаторах. На сегодняшний день Ethernet стал фактическим стандартом для локальных сетей и Интернета. Большинство компаний и организаций выбрали его из-за невысокой стоимости и по соображениям совместимости.

Краткая история Ethernet

Боб Меткалф изобрел Ethernet в 1973 году в исследовательском центре Xerox в Пало Альто. (Из того же "инкубатора изобретений" вышли лазерный принтер и графический пользовательский интерфейс.) Боб и его группа разработали и запатентовали "многоточечную систему связывания данных с обнаружением коллизий", которая позже стала известна как Ethernet. Затем Боб организовал компанию, специализирующуюся на создании оборудования для этого нового протокола. Со временем она превратилась в 3Com - одну из крупнейших сетевых компаний в мире. К счастью, Ethernet был выпущен как общественное достояние, поэтому другие компании могли вносить свой вклад в эти спецификации. Для Token Ring и большинства других сетевых протоколов того времени это было не так. Если бы Ethernet остался в частной собственности или был ограничен оборудованием только одной компании, то, возможно, он не превратился бы в доминирующий сегодня стандарт. Со временем он был принят как официальный стандарт IEEE (International Electrical and Electronic Engineers - Институт инженеров по электротехнике и электронике), что практически гарантировало его широкое признание корпоративными и правительственными пользователями во всем мире. На основе Ethernet были разработаны другие стандарты, такие как Fast Ethernet, Gigabit Ethernet и Wi-Fi.

Ethernet регламентирует как управление физической средой, так и программное кодирование данных, передаваемых по сети. Так как Ethernet имеет широковещательную топологию и все компьютеры потенциально могут "говорить" одновременно, в нем предусмотрен механизм обработки коллизий - когда два компьютера одновременно посылают пакеты данных. Если обнаруживается коллизия, то обе стороны повторно посылают данные после задержки со случайной длительностью. В большинстве случаев это работает вполне успешно. Однако это также является недостатком архитектуры Ethernet. Все компьютеры, подключенные к сети Ethernet, пересылают данные по одному и тому же физическому кабелю, и плата Ethernet видит весь проходящий трафик. Плата Ethernet предназначена для обработки только тех пакетов, которые ей адресованы, но вы легко можете заметить здесь потенциальные проблемы безопасности.

Представьте себе, что почтальоны, вместо того, чтобы раскладывать корреспонденцию по почтовым ящикам адресатов, просто вываливали бы ее посреди улицы, так что каждый житель должен копаться в этой куче в поисках адресованной ему почты, оставляя другую корреспонденцию на месте. (Было бы любопытно взглянуть на подписчиков "Плейбоя" и на получателей повесток о просрочке налоговых платежей.) Подобная вымышленная система не слишком безопасна, да и время получателей расходуется не особенно эффективно, но, в сущности, именно так спроектирован Ethernet.

В наше время для повышения эффективности большинство сетей Ethernet являются коммутируемыми. Это означает, что каждый порт Ethernet видит не весь трафик, а только тот, что предназначен для подключенной к нему машины. Это помогает сгладить некоторые проблемы приватности и перегрузки, но в каждый порт все же приходит много широковещательного трафика. Обычно широковещательный трафик направляется во все порты сети с целью обнаружения или для информации. Это относится к таким протоколам, как DHCP, где машина посылает широковещательное сообщение, разыскивая в сети какой-либо из серверов DHCP, чтобы получить у него адрес. Машины под управлением Microsoft Windows также известны тем, что генерируют обильный широковещательный трафик.

В локальных сетях Ethernet присутствуют и другие типы широковещательного трафика. Одним из них является протокол разрешения адресов (Address Resolution Protocol - ARP), который используется, когда машина впервые пытается узнать, какой адрес уровня доступа к среде передачи (MAC-адрес) соответствует определенному IP-адресу (см. врезку об IP-адресах в "Межсетевые экраны" ). В сетях Ethernet MAC-адреса являются 12-значными шестнадцатеричными числами и присваиваются платам при производстве. Каждый производитель имеет собственный диапазон чисел, поэтому обычно по MAC-адресу можно узнать, кто сделал плату. Если машина знает IP-адрес, но не адрес Ethernet, она посылает пакеты ARP, спрашивая: "Кому принадлежит этот адрес?" Получив ответ, машина сможет затем послать остальную часть сообщения по правильному MAC-адресу. Именно этот тип трафика оставляет локальные сети Ethernet восприимчивыми для атак анализатора, даже если они используют коммутацию вместо широковещания всего трафика во все порты. Кроме того, если хакерам удастся получить доступ к коммутатору (эти устройства зачастую плохо защищены), они могут превратить свой собственный порт в порт "монитора" или "зеркала", который показывает трафик других портов.