Поделиться
010. ПР по теме Обеспечение безопасности локальной сети.doc
Практическая работа по теме Обеспечение безопасности локальной сети
Шаг 1. Меняем учетную запись администратора (Пользователь Администратор с пустым паролем - это уязвимость)
Часто при установке Windows пароль администратора пустой и этим может воспользоваться злоумышленник. Иначе говоря, при установке Windows XP в автоматическом режиме с настройками по умолчанию мы имеем пользователя Администратор с пустым паролем и любой User может войти в такой ПК с правами администратора. Чтобы решить проблему выполним команду Мой компьютер-Панель управления-Администрирование-Управление компьютером-Локальные пользователи-Пользователи (рис. 1).
Рисунок 1 - Окно Управление компьютером
Здесь по щелчку правой кнопкой мыши на Администраторы зададим администратору пароль, например, 12345. Это плохой пароль, но лучше, чем ничего. Теперь в окне Администрирование зайдем в Локальную политику безопасности. Далее идем по веткам дерева: Локальные политики-Параметры безопасности-Учетные записи: Переименование учетной записи Администратор (рис. 2).
Рисунок 2 - Находим в системном реестре запись Переименование учетной записи Администратор
Здесь пользователя Администратор заменим на Admin (рис. 3).
Рисунок 3 - Пользователю Администратор присваиваем новое имя
Перезагружаем ОС. После наших действий у нас получилась учетная запись Admin с паролем 12345 и правами администратора (рис. 4).
Рисунок 4 - Окно входа в ОС Windows XP
Все, теперь мы имеем пользователя Администратор с паролем, одна из уязвимостей системы устранена.
Примечание
Операцию по изменению имени пользователя и заданию пароля мы также могли бы выполнить без использования системного реестра, использовав окно Учетные записи пользователей, что гораздо проще (рис. 5).
Рисунок 5 - Окно Учетные записи пользователей
Примечание
Учетная запись Гость позволяет входить в ПК и работать на нем (например, в Интернет) без использования специально созданной учетной записи. Запись Гость не требует ввода пароля и по умолчанию блокирована. Гость не может устанавливать или удалять программы. Эту учетную запись можно отключить, но нельзя удалить.
У нас окно входа в систему содержит подсказку Admin, давайте ее уберем, сделав окно пустым. Для начала в окне Учетные записи пользователей жмем на кнопку Изменение входа пользователей в систему и уберем флажок Использовать страницу приветствия (рис. 6 и рис. 7).
Рисунок 6 - Окно Учетные записи пользователей
Рисунок 7 - Убираем флажок Использовать страницу приветствия
Но, это только половина дела. Теперь повысим безопасность сети еще на одну условную ступень, сделав оба поля окна приветствия пустыми (рис. 8).
Рисунок 8 - Обе строки данного окна сделаем пустыми
Выполним команду Панель управления-Администрирование – Локальные политики безопасности- Локальные политики-Параметры безопасности-Интерактивный вход: не отображать последнего имени пользователя. Эту запись необходимо включить (рис. 9).
Рисунок 9 - Активируем переключатель Включить
Теперь после завершения сеанса пользователь должен угадать не только пароль, но и имя пользователя (рис. 10).
Рисунок 10 - Обе строки окна приветствия пусты
Злоумышленники используют сканирование портов ПК для того, чтобы воспользоваться ресурсами чужого ПК в Сети. При этом необходимо указать IP адрес ПК и открытый port, к примеру, 195.34.34.30:23. После этого происходит соединение с удаленным ПК с некоторой вероятностью входа в этот ПК.
· TCP/IP port — это адрес определенного сервиса (программы), запущенного на данном компьютере в Internet. Каждый открытый порт — потенциальная лазейка для взломщиков сетей и ПК. Например, SMTP (отправка почты) — 25 порт, WWW — 80 порт, FTP —21 порт.
· Хакеры сканируют порты для того, чтобы найти дырку (баг) в операционной системе. Пример ошибки, если администратор или пользователь ПК открыл полный доступ к сетевым ресурсам для всех или оставил пустой пароль на вход к компьютеру.
Одна из функций администратора сети (сисадмина) - выявить недостатки в функционировании сети и устранить их. Для этого нужно просканировать сеть и закрыть (блокировать) все необязательные (открытые без необходимости) сетевые порты. Ниже, для примера, представлены службы TCP/IP, которые можно отключить:
· finger - получение информации о пользователях
· talk- возможность обмена данными по сети между пользователями
· bootp - предоставление клиентам информации о сети
· systat - получение информации о системе
· netstat - получение информации о сети, такой как текущие соединения
· rusersd - получение информации о пользователях, зарегистрированных в данный момент
Команда netstat обладает набором ключей для отображения портов, находящихся в активном и/или пассивном состоянии. С ее помощью можно получить список серверных приложений, работающих на данном компьютере. Большинство серверов находится в режиме LISTEN - ожидание запроса на соединение. Состояние CLOSE_WAIT означает, что соединение разорвано. TIME_WAIT - соединение ожидает разрыва. Если соединение находится в состоянии SYN_SENT, то это означает наличие процесса, который пытается, установить соединение с сервером. ESTABLISHED — соединения установлены, т.е. сетевые службы работают (используются).
Итак, команда netstat показывает содержимое различных структур данных, связанных с сетью, в различных форматах в зависимости от указанных опций. Для сокетов (программных интерфейсов) TCP допустимы следующие значения состояния
· CLOSED - Закрыт. Сокет не используется.
· LISTEN - Ожидает входящих соединений.
· SYN_SENT - Активно пытается установить соединение.
· SYN_RECEIVED - Идет начальная синхронизация соединения.
· ESTABLISHED - Соединение установлено.
· CLOSE_WAIT - Удаленная сторона отключилась; ожидание закрытия сокета.
· FIN_WAIT_1 - Сокет закрыт; отключение соединения.
· CLOSING - Сокет закрыт, затем удаленная сторона отключилась; ожидание подтверждения.
· LAST_ACK - Удаленная сторона отключилась, затем сокет закрыт; ожидание подтверждения.
· FIN_WAIT_2 - Сокет закрыт; ожидание отключения удаленной стороны.
· TIME_WAIT - Сокет закрыт, но ожидает пакеты, ещё находящиеся в сети для обработки
Примечание
Что такое "сокет" поясняет рис. 11. Пример сокета – 194.86.6..54:21
Рисунок 11 - Сокет это № порта + IP адрес хоста
Для выполнения практического задания на компьютере необходимо выполнить команду Пуск-Выполнить. Откроется окно Запуск программы, в нем введите команду cmd (рис. 12).
Рисунок 12 - Окно Запуск программы
Чтобы вывести все активные подключения TCP и прослушиваемые компьютером порты TCP/ UDP введите команду netstat (рис. 13). Мы видим Локального адреса (это ваш ПК) прослушиваются 6 портов. Они нужны для поддержки сети. На двух портах мы видим режим ESTABLISHED — соединения установлены, т.е. сетевые службы работают (используются). Четыре порта используются в режиме TIME_WAIT - соединение ожидает разрыва.
Рисунок 13 - Список активных подключений на тестируемом ПК
Запустите на вашем ПК Интернет и зайдите, например, на www.yandex.ru. Снова выполните команду netstat (рис. 14). Как видим, добавилось несколько новых активных портов с их различными состояниями.
Рисунок 14 - Активные подключения при работе ПК в Интернет
Команда netstat имеет следующие опции – табл. 1.
|
Таблица 1 - Ключи для команды netstat |
|
|
Опция (ключ) |
Назначение |
|
-a |
Показывать состояние всех сокетов; обычно сокеты, используемые серверными процессами, не показываются. |
|
-A |
Показывать адреса любых управляющих блоков протокола, связанных с сокетами; используется для отладки. |
|
-i |
Показывать состояние автоматически сконфигурированных (auto-configured) интерфейсов. Интерфейсы, статически сконфигурированные в системе, но не найденные во время загрузки, не показываются. |
|
-n |
Показывать сетевые адреса как числа. netstat обычно показывает адреса как символы. Эту опцию можно использовать с любым форматом показа. |
|
-r |
Показать таблицы маршрутизации. При использовании с опцией -s, показывает статистику маршрутизации. |
|
-s |
Показать статистическую информацию по протоколам. При использовании с опцией -r, показывает статистику маршрутизации. |
|
-f семейство_адресов |
Ограничить показ статистики или адресов управляющих блоков только указанным семейством_адресов, в качестве которого можно указывать: inet Для семейства адресов AF_INET, или unix Для семейства адресов AF_UNIX. |
|
-I интерфейс |
Выделить информацию об указанном интерфейсе в отдельный столбец; по умолчанию (для третьей формы команды) используется интерфейс с наибольшим объёмом переданной информации с момента последней перезагрузки системы. В качестве интерфейса можно указывать любой из интерфейсов, перечисленных в файле конфигурации системы, например, emd1 или lo0. |
|
-p |
Отобразить идентификатор/название процесса создавшего сокет (-p, --programs display PID/Program name for sockets) |
Представьте ситуацию: ваше Интернет-соединение стало работать медленно, компьютер постоянно что-то качает из Сети. Вам поможет программа NetStat Agent. С ее помощью вы сможете найти причину проблемы и заблокировать ее. Иначе говоря, NetStat Agent - полезный набор инструментов для мониторинга Интернет соединений и диагностики сети. Программа позволяет отслеживать TCP и UDP соединения на ПК, закрывать нежелательные соединения, завершать процессы, обновлять и освобождать DHCP настройки адаптера, просматривать сетевую статистику для адаптеров и TCP/IP протоколов, а также строить графики для команд Ping и TraceRoute (рис. 15).
Рисунок 15 - Главное окно программы NetStat Agent
В состав программы NetStat Agent вошли следующие утилиты:
· NetStat - отслеживает TCP и UDP соединения ПК (при этом отображается географическое местоположение удаленного сервера и имя хоста).
· IPConfig - отображает свойства сетевых адаптеров и конфигурацию сети.
· Ping - позволяет проверить доступность хоста в сети.
· TraceRoute - определяет маршрут между вашим компьютером и конечным хостом, сообщая все IP-адреса маршрутизаторов.
· DNS Query - подключается к DNS серверу и находит всю информацию о домене (IP адрес сервера, MX-записи (Mail Exchange) и др.).
· Route - отображает и позволяет изменять IP маршруты на ПК.
· ARP - отслеживает ARP изменения в локальной таблице.
· Whois - позволяет получить всю доступную информацию об IP-адресе или домене.
· HTTP Checker - помогает проверить, доступны ли Ваши веб-сайты.
· Statistics - показывает статистику сетевых интерфейсов и TCP/IP протоколов.
Nmap - популярный сканер портов, который обследует сеть и проводит аудит защиты. Использовался в фильме "Матрица: Перезагрузка" при взломе компьютера. Наша задача не взломать, а защитить ПК, поскольку одно и то же оружие можно использовать как для защиты, так и для нападения. Иначе говоря, сканером портов nmap можно определить открытые порты компьютера, а для безопасности сети пользователям рекомендуется закрыть доступ к этим портам с помощью брандмауэра (рис. 16).
Рисунок 16 - Интерфейс программы Nmap
Обычно для того, чтобы просканировать все порты какого-либо компьютера в сети вводится команда nmap –p1-65535 IP-адрес_компьютера или nmap –sV IP-адрес компьютера, а для сканирования сайта - команда nmap –sS –sV –O -P0 адрес сайта.
Монитор портов TCPView
TCPView - показывает все процессы, использующие Интернет-соединения. Запустив TCPView, можно узнать, какой порт открыт и какое приложение его использует, а при необходимости и немедленно разорвать соединение – рис. 17.
Рисунок 17 - Главное окно программы TCPView
Просмотрите активные сетевые подключения локального ПК с помощью монитора портов tpiview. Определите потенциально возможные угрозы (какие порты открыты, и какие приложения их используют). При необходимости можно закрыть установленное приложением TCP-соединение или процесс правой кнопкой мыши
Информационная безопасность – огромная тема, здесь мы только немного прикоснулись к ней. Вот только несколько положений из правил поведения сотрудников предприятий малого бизнеса (рис. 18) .
Рисунок 18 - Список документов по информационной безопасности для малого бизнеса
Пользователям не разрешается устанавливать на компьютерах и в сети Компании программное обеспечение без разрешения системного администратора. Пользователи не должны пересылать электронную почту другим лицам и организациям без разрешения отправителя. Пользователям запрещается изменять и копировать файлы, принадлежащие другим пользователям, без разрешения владельцев файлов. Пользователь несет ответственность за сохранность своих паролей для входа в систему. Запрещается распечатывать, хранить в сети или передавать другим лицам индивидуальные пароли. И так далее…
В практической работе мы научились убирать две уязвимости ОС Меняем учетную запись администратора (Пользователь Администратор с пустым паролем - это уязвимость) скринкаст 1
Шаг 2. Делаем окно приветствия пустым (убираем уязвимость 2) скринкаст 4
Выявление сетевых уязвимостей сканированием портов ПК 9
Просмотр активных подключений утилитой Netstat 9
Пример 1. Обнаружение открытых на ПК портов утилитой Netstat 10
Программа NetStat Agent 12
Сканер портов Nmap (Zenmap) 14
Монитор портов TCPView 15
Образец офисной политики безопасности
Скачано с www.znanio.ru
Материалы на данной страницы взяты из открытых источников либо размещены пользователем в соответствии с договором-офертой сайта. Вы можете сообщить о нарушении.
