8(495)909-90-01
8(964)644-46-00
pro@sio.su
Главная
Системы видеонаблюдения
Охранная сигнализация
Пожарная сигнализация
Система пожаротушения
Система контроля удаленного доступа
Оповещение и эвакуация
Контроль периметра
Система домофонии
Парковочные системы
Проектирование слаботочных сетей
Аварийный
контроль
Раздел: Документация

0 ... 111 112 113 114 115 116 117 ... 131

Утилита Netstat

Netstat — это утилита командной стэгхч, применяемая для выявления неполадок безопасности и подключений. Она позволял- определить конфигурацию портов ISA-сервера и все входящие и исходящие подключения компьютера.

Примечание Порты используются в протоколах Transmission Control Protocol (TCP) и User Datagram Protocol (UDP) для именования конечных пунктов логических подключений. Для номеров портов выделен интервал 0 -65535, он делится на три диапазона: общеизвестные порты (0-1023), зарегистрированные порты (1024—49151). динамические и/или частные порты (49152-65535). Подробнее о портах - на \Ь-странице http://www.isi.edu/in-notes/iana/ assignments/port-numbers.

Кроме списка всех активных подключений, ключ —г команды Netstat позволяет получить список всех прослушивающих портов. При указании ключа —е преобразование в имена всех адресов и номеров портов выполняется, что позволяет различить подключения к внешним и внутренним IP-адресам компьютера ISA-сервера и определить открытые порты в любой момент времени по определенному протоколу. Вы можете узнать об активных службах на каждом порту, сравнивая данные, полученные с применением команд netstat -an и

Объем информации, возвращаемый командой Netstat -an, можно ограничить, указав конкретные протоколы, для чего кслсльзуются аргументы - TCP или UDP. Например, команда Netstat —an -p TCP возвращает список всех активных ТСР-иолключепий и прослушивающих портов, команда Netstat -an -р UDP собирает информацию о состоянии портов только протокола

Данные о конфигурации портов позволяют исследовать неполадки и конфликты, возникающие при работе портов, и изъяны в защите. Например, когда не удается подключиться к удаленному серверу, утилита netstat поможет обнаружить, что причина неполадки не в локальной сети — простокомпьютер отклоняет попытки подключения. Дополнительным подтверждением является получениепротокола TCP или пакетов о недоступности порта при попытке подключения.

Наконец, Netstat применяется для обнаружения атак. Например, при выполнении атаки синхронизации (SYN) создается множество полуоткрытых TCP-соединений при попытке заблокировать сервер. В этом случае предоставляется ложный удаленный адрес,

причем номера портов в нем последовательны. Эта характерная особенность атаки синхронизации позволяет обнаружить ее i такой информации, возвращаемой Netstat:

С:\> netstat -a

C:\>netstat -n -p tcp

Active Connections

Local Address TCP 127.0.0.1:1030

Foreign AddressState

127.0.0.1:1(32 127.0.0.1:1C30

192.168.0,1:1025 192.168.0.1:1026

ESTABLISHED

TCP TCP TCP TCP

10.1.1.5:21 10.1.1.5:21 10.1.1.5:21

127.0.0.1:1032

192.168.0.1:1027

SYN RECEIVED SYN RECE1VED

ESTABLISHED SYN RECEIVED

TCP

10.1.1.5:21

192.168.0.1:1028

SYN RECEIVED

TCP

TCP

TCP TCP TCP

TCP

I

10.11,5:21

10.11.5:21

10.11.5:21 10.1. 1.5:21

10.11.5:21

10.1..1.5:21

10.1.1.5:21

192.168.0.11029

192.168.0.11030

192.168.0.1.1031

192.168.0.1:1032 192.168.0.1: 1033

192.168.0.11034

192.168.0.1:1035

SYN RECEIVED SYN RECEIVED

SYN RECEIVED

SYN RECEIVED SYNJECEIVED SYN RECEIVEO SYN RECEIVED

Примечание Подробнее об атаках синхронизации и конфигурировании Windows 2000 для защиты от них в книге «Wmdows2000 TCP/IP Protocols and Services Technical Reference* (Thomas Lee and Joseph Davies, Seattle, Microsoft Press, 2000).

Утилита Telnet

Указав номер порта после команды Telnet, вы определите, принимает ли на нем сервер команды. Например, команда Netstat -an -p TCP позволяет определить, прослушиваются ли входящие запросы на порту 3149. Далее можно узнать, предоставляет ли ISA-сервер доступ по протоколу Telnet, выполнив команду: telnet <внешний 1Р-адрес> 3149

где <внешний 1Р-адрес>- внешний IP-адрес ISA-сервера. Если ответа нет или он не сигнализирует об ошибке подключения, внешний пользователь теоретически может использовать назначенные порту службы, вводя команды напрямую. В общем случае это не свидетельствует об изъяне защиты, однако, если протокол Telnet недостаточно защищен, хакер непременно воспользуется этим.

Telnet также применяется для определения активности тех или иных служб. Например, доступность порта 25 ISA-сервера свидетельствует об активности и доступности службы SMTP (Simple Mail Transfer Protocol) внешним пользователям. Существует несколько способов блокировки доступа удаленных пользователей к службе SMTP: отключение службы SMTP, включение фильтрации пакетов ISA-сервера и/или удаления всех существующих фильтров, которые разрешают прохождение входящего трафика через порт 25. Если

же вы публикуете сервер и требуется проверить доступ к нему извне, воспользуйтесь командой Telnet для проверки состояния порта. Например, публикуя Web-сервер на порту 9999 ISA-сервера, для проверки возможности подключения к данному порту воспользуйтесь командой telnet <внешний 1Р~адрес>.

Компонент Network Monitor

Network Monitor (Сетевой монитор), или Netmon, применяется для перехвата и отображения содержимого кадров, поступающих на компьютер с локальной сети. Для облегчения процедуры анализа сетевого трафика Network Monitor предоставляет подробные сведения

и отображает сведения о работе 40 наиболее популярных сетевых протоколов. Другими словами, Network Monitor отображает практически всю информацию, относящуюся к сетевым сессиям, в том числе порты источника и приемника, адреса, ответы сервера, полезную нагрузку трафика.

Вот пример содержимого кадра, перехваченного средствами Network Monitor

Network Monitor trace Wed 03/07/2001 08:55:17 AM ZwUf b:t + Frame: Base frame properties

+ ETHERNET: ETYPE = 0x0800 : Protocol = IP: DOD Internet Protocol

+ IP; = 0чА;)6; Proto = TCP;327

+ TCP: .АР..., len: 287, seq:3184161250-3184161537, ack:4040781620,

win;17520, src: 1225 dst: 80

+ HTTP: GET Request (from client using port 1225)

Для каждого кадра отображаются сведения об инкапсулированных протоколах, которые перечислены, начиная с внешней оболочки кадра или, с точки зрения сетевых технологий, — с самого низкого сетевого уровня. Щелкнув значок в начале строки, вы получите более подробную информацию, относящуюся к данному протоколу. Первая строка с названием Frame добавлена сетевым монитором для представления cZv.ii:ж сведений о перехваченном кадре. Следующая строка содержит данные о протоколе канального уровня, по которому кадр пересылается через сеть (в данном случае Ethernet). Этот протокол представляет собой самый низкий уровень кадра, соответствующий уровню 2 модели OSE Далее следует протокол сетевого уровня, или уровня 3; в данном случае это протокол IP. Следующий — протокол транспортного уровня, или уровня 4; в данном кадре это протокол TCP. Протокол HTTP — это протокол самого высокого уровня в данном кадре.

Каждый уровень содержит сведения, относящиеся к текущему подключению или передаче. Например, в строке TCP параметры src и dst указывают на порты источника и приемника TCP-подключения, соответствующего кадру или пакету. В данном пакете источником является порт 1225, а приемником — TCP-порт 80, Строки протоколов TCP или захваченного сетевым монитором кадра практически всегда позволяют определить источник и приемник трафика в сети. Эта возможность чрезвычайно важна для настройки и мониторинга брандмауэров.

Трассировка сетевой активности позволяет анализировать трафик и определять причиныв сети. Допустим, что пользователи жалуются на задержки при входе в систему через VPN-подключение. Сетаюл монитор позволил выявить, что во время входа в систему присутствует трафик обоих протоколов — L2TP и РРТР. Это означает, что средствами мастера Local ISA VPN для подключения к удаленной сети сконфигурирован протокол L2TP, а при его недоступности применяется РРТР. Если на удаленном VPN сервере протокол L2TP недоступен, пользователи испытывают задержку приподключения по обоим протоколам. Сетевой монитор позволяет выявить нерабочее 1.2ТР-полкл!о-чение. Настройка ISA-сервера на подключение к удаленному VPN-серверу только по РРТР позволит устранить задержки при к<»д<. в систему.

Сетевой монитор помогает выявить протоколы, которые не используются, однако замедляют работу сети. Например, при подключении к частным ЛВС, в которых не применяется технология VPN, туннельный протокол РРТР не нужен.

Таблицы маршрутизации

Все компьютеры, поддерживающие сетевой протокол TCP/IP,маршрути-

зации. Путь IP-пакета определяется таблицей маршрутизации компьютера, отправляющего сетевой пакет.

Для просмотра и изменения таблицы маршрутизации применяется утилита командной строки Route. Для просмотра таблицы маршрутизации локального компьютера выполните в командной строке команду route print (рис. 10-2).



0 ... 111 112 113 114 115 116 117 ... 131