Исследование. Обнаружение.
Процесс обнаружения сетевого устройства не имеет принципиальных различий с описанными в данной книге методами обнаружения любых других компьютерных систем. Скорее всего взломщик начнет со сканирования портов, пытаясь найти какие-то "зацепки". Обнаружив открытые порты, он выполнит сбор маркеров и инвентаризацию сетевых ресурсов с помощью утилиты netcat. Если открыт порт UDP 161, скорее всего тут же последует попытка использования протокола SNMP (Simple Network Management Protocol), поскольку неправильно настроенные SNМР-устройства очень часто "выбалтывают" самую сокровенную информацию о своей конфигурации любому, кто ею заинтересуется.
Обнаружение
На этом этапе применяется сканирование портов с использованием разнообразных инструментов, о которых мы уже довольно подробно говорили в предыдущих главах. В большинстве случаев для выполнения всех работ будет вполне достаточно таких утилит, как traceroute, netcat и nmap.
Прослеживание маршрута с помощью traceroute
С помощью утилит traceroute или tracert, входящих в комплект поставки UNIX и NT, соответственно, можно определить основные маршруты, по которым проходят пакеты от вашего узла к другому узлу Internet или внутренней сети TCP/IP. Обладая этой информацией, можно обнаружить очень важный элемент сетевой инфраструктуры – маршрутизатор. Именно маршрутизатор чаше всего становится "мишенью №1" в попытках злоумышленника обследовать структуру сети. Ниже приведен пример работы утилиты traceroute, из которого видно, как пакеты проходят от одного маршрутизатора (или брандмауэра) к другому.
[sm@tsunami sm]$ traceroute www.destination.com traceroute to www.destination.com (192.168.21.3),30 hops max,40 byte packets 1 happy (172.29.10.23) 6.809 ms 6.356 ms 6.334 ms 2 rtrl.internal.net (172.30.20.3) 36.488 ms 37.428 ms 34.300 ms 3 rtr2.internal.net (172.30.21.3) 38.720 ms 38.037 ms 35.077 ms 4 core.externalp.net (10.134.13.1) 49.188 ms 54.787 ms 72.094 ms 5 nj.externalp.net (10.134.14.2) 54.420 ms 64.554 ms 52.191 ms 6 sfo.externalp.net (10.133.10.2) 54.726 ms 57.647 ms 53.813 ms 7 lax-rtr.destination.com (192.168.0.1) 55.727 ms 57.039 ms 57.795 ms 8 www.destination.com (192.168.21.3) 56.182 ms 78.542 ms 64.155 ms
Зная, что перед представляющим интерес узлом находится узел 192.168.0.1, можно предположить, что он представляет собой не что иное, как маршрутизатор, управляющий распределением пакетов по узлам сети. Именно поэтому на это устройство (равно как и на другие, попавшие в выявленный маршрут прохождения пакетов), злоумышленник обратит внимание в первую очередь. (Строго говоря, скорее всего, что объектом его внимания станет вся подсеть, в которую входит данное устройство.) Однако знание IP-адреса маршрутизатора не влечет за собой автоматического получения сведений об изъянах в его архитектуре и настройке. Для того чтобы получить такие сведения, необходимо прибегнуть к сканированию портов, определению операционной системы, а также сбору любой дополнительной информации, которая может дать ключ к взлому системы зашиты устройства.
Контрмеры: защита от прослеживания маршрута
Для того чтобы запретить маршрутизатору Cisco отвечать на запросы со значением TTL больше допустимого, воспользуйтесь следующей командой.
access-list 101 deny icmp any any 11 0
Если же вы хотите разрешить прохождение ICMP-запросов, поступающих лишь с определенных доверенных сетей, и запретить маршрутизатору отвечать на запросы, отправляемые из других сетей, воспользуйтесь следующими командами.
access-list 101 permit icmp any 172.29.20.0 0.255.255.255 11 0 access-list 101 deny ip any any log