Сетевой мониторинг. Системный аудит


PoriadokSMSA-5b


Порядок осуществления сетевого мониторинга и системного аудита.


  1. Общие положения

1.1. Сетевой мониторинг осуществляется работниками Департамента информационных технологий с целью:

  • контроля использования средств защиты информации;
  • обеспечения доверенной загрузки операционной системы;
  • обеспечения анализа безопасности и обнаружения уязвимостей сетевых сервисов;
  • выполнения анализа стойкости парольной подсистемы;
  • удаленной идентификация операционных систем;
  • обеспечения оценки эффективности механизмов гарантированной очистки памяти и поиска остаточной информации на носителях информации;
  • проведения низкоуровневого анализа сетевого трафика.

1.2. Проверка безопасности сети осуществляется посредством сканирования хостов для определения уязвимостей, в том числе открытых портов. Используются следующие методы сканирования: UDP, TCP connect (), TCP SYN (полуоткрытое), FTP proxy (прорыв через ftp), Reverse-ident, ICMP (ping), FIN, ACK, Xmas tree, SYN и NULL-сканирование.

1.3. Для поиска уязвимостей в сетевых сервисах, предлагаемых операционными системами, межсетевыми экранами, маршрутизаторами и другими сетевыми компонентами используются средства тестирования и сбора информации о конфигурации и функционировании сети, и специальные средства, эмулирующие действия злоумышленника по проникновению в систему. Осуществляется проверка на уязвимости, с использованием базы плагинов, которые запускаются последовательно и эмулируют действия злоумышленника. После такой проверки плагин возвращает результат, который можно интерпретировать как отдельный отчет сканирования.

1.4. Локальный аудит паролей предназначен для поиска и выявления паролей, содержащих легко подбираемые символьные комбинации, непосредственно на рабочей станции. Сетевой аудит паролей предназначен для удаленного поиска и выявления паролей, содержащих легко подбираемые символьные комбинации. Аудит паролей имеет два вида взлома: словарём и полным перебором.

1.5. Системный аудит осуществляется с целью сканирования рабочей станции на предмет определения параметров установленных операционных систем, системных, коммуникационных и периферийных устройств, в том числе USB-устройств.

Сканирование осуществляется по следующим шагам:

а) Если среди параметров сканирования есть ОС:

— производится поиск командой «find» на наличие файлов определяющих операционные системы (Windows, GNU/Linux);

— если такие файлы найдены, то пути до этих файлов сохраняются в специальных переменных (wPaths, lPaths);

— если значение переменной lPaths не пустое, то считывается название ОС

GNU/Linux из файлов в lPaths;

— если значение переменной wPaths не пустое сканируем реестры ОС Windows.

Результатом этого этапа являются xml-документы linuxOS.xml и systemauditor.xml соответственно.

б) Если среди параметров сканирования есть usb-flash накопители, то считывается информацию о usb-flash накопителях.

в) Если среди параметров сканирования есть usb-устройства, то считывается информация о usb-устройствах.

г) Если среди параметров сканирования есть пользователи и пароли, сканируем SAM файл.

Результатом этого этапа является xml документ loginPaswd.xml;

д) Если среди параметров сканирования есть статистика посещения сайтов, производится поиск командой «find» на наличие файлов истории веб-браузера. Результатом этого этапа является xml-документ sites.xml.

е) Построение технической документации об аппаратной части машины. Это осуществляется с помощью команды «lshw». Команда «lshw» выводит полный структурированный список всего оборудования вместе с информацией об устройствах в формате xml. Результатом этого этапа является xml-документ lshw.xml.

ж) Сложение всех xml-документов, полученных за время текущего сканирования один systemauditor.xml.

1.6. Сетевой анализ используется для проверки и детальном анализе правильности конфигурации сетевого программного обеспечения.

«Сниффинг» — метод воровства данных в сети (паролей, имен пользователей, ключей и т.д.) посредством специального программного обеспечения (так называемых «снифферов»).

«Спуффинг» — подделывание исходного IP адреса.

«ARP poisoning based sniffing», применяется для «сниффинга» в сетях, а также для применения атак класса «mitm». В данном случае используется атака «arpoison», которая модифицирует ARP-таблицы заражаемых узлов таким образом, что все кадры данных с выбранного источника идут на наш узел, а затем уже на требуемый.

С помощью метода «сниффинга» можно видеть любой трафик сегмента, также можно проводить любые «mitm-атаки». На основе этого метода реализует перехват паролей протоколов ssh1 и https. Можно «сниффить» пароли в ssh версии 2, если подключить соответствующий фильтр, который будет «спуфить» версию ssh-сервера, поддерживающую только лишь первую версию протокола ssh.

1.7. Поиск по диску предназначен для поиска информации, по ключевым словам, на носителях данных (жестких дисках, дискетах, оптических дисках). Поиск по диску осуществляется следующим образом: программа последовательно анализирует кластеры сканируемого диска и проверяет их на наличие указанных сигнатур файлов. Если такая сигнатура найдена, то соответствующий результат заносится в таблицу и поиск продолжается дальше. 

  1. Входные данные

 2.1. Входными данными являются диапазон IP-адресов для сканирования, партиция для поиска файлов или данные для аутентификации в зависимости от используемого компонента.

2.2. Для средства поиска по диску входными данными является информация, расположенная на носителях. Ее формат определяется типом носителя. Считывание информации производится покластерно, информация подготавливается для последующего поиска информации в кодировках windows-1251 и utf-8.

2.3. Для системного аудита входными данными являются служебные файлы анализируемой операционной системы. Формат этих данных зависит от версии операционной системы и доступен в документации к ней.

2.4. Для сетевого анализатора, средства сетевого аудита паролей и сканера сети входными данными является сетевые пакеты, поступающие на сетевой Ethernet порт. Формат и метод кодирования этих пакетов определен в серии RFC документов. (RFC 2740, RFC 1122).

  1. Выходные данные

 3.1. Выходными данными является комплекс файлов отчетов. Выходные данные представляются в следующих форматах: html, txt, rtf.

3.2. Выходными данными для средства поиска остаточной информации является перечень найденных фрагментов с указанием их расположения на носителе информации.

3.3. Выходными данными для системного аудитора является html-отчет с детальным описанием параметров проанализированной операционной системы.

3.4. Выходными данными для локального аудитора паролей является список подобранных паролей к учетным записям пользователей анализированной операционной системы.

3.5. Выходными данными для сканера сети является текстовый отчет в формате xml, в котором указан перечень просканированных сетевых узлов и сетевых сервисов, а также их детальные характеристики.

3.6. Выходными данными для сканера безопасности является отчет в формате html, в котором приведен перечень обнаруженных угроз информационной безопасности.


Скачать - кнопка

Скачать ZIP файл (17621)


Пригодились документы — поставь «лайк» или поддержи сайт материально:

5+

Добавить комментарий

Свернуть меню