Что такое предварительный сбор данных
Прежде чем приступить к столь увлекательному занятию, как хакинг, необходимо выполнить рад подготовительных мероприятий. В этой главе рассматривается первый этап подготовки, заключающийся в предварительном сборе данных о представляющей интерес сети. Именно так и поступают настоящие преступники, решившие ограбить банк. Они не вваливаются в операционный зал и не начинают требовать денег (за исключением разве что самых примитивных грабителей). Любая по-настоящему опасная группировка, замышляющая ограбление посвятит немало времени сбору информации об этом банке. Они изучат маршруты передвижения бронеавтомобилей, время доставки наличных денег, места расположения видеокамер и служебных выходов, а также все, что может им пригодиться для реализации их преступных замыслов.
То же самое необходимо проделать и взломщику компьютерной сети, если он хочет добиться успеха. Для того чтобы нанести точный и своевременный удар и при этом не быть пойманным, он должен собрать как можно больше информации. Поэтому взломщики обычно пытаются разведать все, что только может иметь хоть какое-то отношение к системе обеспечения безопасности организации. После завершения этого процесса в руках хакера может оказаться целое "досье", или профиль, в котором содержится описание способов подключения организации к Internet, возможностей удаленного доступа к ее сети, а также конфигурации внутренней сети. Следуя хорошо структурированной методологии, из самых разных источников хакер по крупинкам может собрать досье практически на любую организацию.
В результате систематизированного сбора информации хакеры могут получить в свое распоряжение полный профиль системы защиты организации. Начав "с нуля" (например, имея лишь общие сведения о подключении к Internet) и применяя различные средства и технические приемы, взломщик может получить в конце концов совершенно определенный набор доменных имен, адресов подсетей и отдельных компьютеров этой организации, подключенных к Internet. Методов сбора подобной информации очень много, однако все они сводятся к одному – получению информации, имеющей отношение к технологиям Internet, корпоративным сетям (intranet), удаленному доступу (remote access) и экстрасетям (extranet). Все эти технологии, а также важные данные которые взломщики пытаются получить, перечислены в Табл. 1.1.
Таблица 1.1. Важная информация, которую могут определить взломщики об используемых технологиях.
| Технология | Идентифицирующие сведения |
|---|---|
| Internet | Имена доменов;. адреса подсетей; точные IP-адреса компьютеров, подключенных к Internet; TCP- и UDP-службы; работающие на каждом из обнаруженных компьютеров; архитектура системы (например, SPARC X86); механизмы управления доступом и соответствующие списки управления доступом (ACL – Access Control List); системы выявления вторжений (IDS); регистрационная информация (имена пользователей и групп, системные маркеры, таблицы маршрутизации, информация о протоколе SNMP) |
| интрасети | Используемые сетевые протоколы (например, IP, IPX, DecNET и т.д.); имена внутренних доменов; адреса подсетей; точные IP-адреса компьютеров, подключенных к Internet; TCP- и UDP-службы; работающие на каждом из обнаруженных компьютеров; архитектура системы (например, SPARC X86); механизмы управления доступом и соответствующие списки управления доступом (ACL – Access Control List); системы выявления вторжений (IDS); регистрационная информация (имена пользователей и групп, системные маркеры, таблицы маршрутизации, информация о протоколе SNMP) |
| удаленный доступ | Телефонные номера, используемые для удаленного доступа, а также тип АТС (аналоговая или цифровая); тип удаленной операционной системы; механизм аутентификации |
| экстрасети | Исходящая и входящая точки соединения; тип соединения; механизм управления доступом |
Для чего необходим предварительный сбор данных
Предварительный сбор данных необходим для того, чтобы систематически и методологически гарантировать получение всей информации, имеющей отношение ко всем из вышеперечисленных технологий, используемых в конкретной организации. Без четко определенной методики выполнения этой работы высока вероятность того, что какая-нибудь часть важной информации не будет получена. Предварительный cбор данных о системе безопасности организации зачастую оказывается одной из наиболее трудных задач, однако в то же время этот процесс является наиболее важным. Его успешное завершение можно обеспечить лишь при четком следовании определенной методике и его контроле.
Сбор данных о подключении к Internet
Для сбора данных о различных технологиях применяются схожие методы (это справедливо, например, по отношению к Internet и корпоративным сетям), поэтому в этой главе подробно рассматриваются лишь методы сбора необходимой информации о подключении организации к Internet. Вопросы сбора данных об удаленном доступе будут подробно рассмотрены в главе 9, "Хакинг удаленных соединений, РВХ, Voice-mail и виртуальных частных сетей".
Строго говоря, сложно дать четкие рекомендации по выполнению процесса сбора информации, поскольку осуществить это можно по-разному. Тем не менее, в данной главе предпринята попытка описать основные этапы, которые обязательно должны быть проведены при анализе информации для создания профиля организации. Многие из описанных приемов можно с успехом применять и для сбора данных о других технологиях, упоминавшихся выше.