Stonesoft Evader: А насколько прочны ваши межсетевые экраны ?

Некоторое время назад я писал о поездке в Финляндию, которую организовала компания Stonesoft. Помимо всякой развлекухи вроде знакомства с красотами города и игры в хакеров в тестовой лаборатории в рамках данного мероприятия у нас была небольшая лекция от эксперта компании Stonesoft, Olli-Pekka Niemi, по поводу продвинутых техник обхода различных сетевых фильтров (AET). 

В качестве инструмента для моделирования подобных техник коллеги показали нам так называемый Predator. Конечно заполучить его очень хотелось, но нам сказали, что это секретное оружие Stonesoft, которое они никому не дают (ну под тем предлогом, чтобы не в те руки не попало). 

И вот на днях я натыкаюсь на интересный сайт - http://evader.stonesoft.com/.  Ба, да это же тот самый Predator.  

С указанного сайта можно скачать виртуалку, с уже предустановленным инструментарием, которая может использоваться для тестирования возможностей обхода ваших сетевых экранов. В самом простом варианте схема тестирования выглядит следующим образом:

На указанной схеме 1 - это атакующая машина, 2 - цель атаки.  Загруженная с сайта виртуалка может играть роль и атакующего и жерты. Т.е. задача атакующего направить трафик на цель атаки через тестируемое устройство, а виртуалка на целевом узле уже будет определять какие техники обхода оказались успешными. 

Техник там огромное количество, а если учесть, что их можно комбинировать, то вообще получается просто бездна возможных вариантов (конечно же работать будут далеко не все). Вот собственно как выглядит интерфейс системы:

Инструмент просто отличный и с точки зрения реального аудита сетевой безопасности просто крайне необходимый. Рад, что эксперты Stonesoft не зажали разместили его в свободном доступе. 

Удачного вам тестирования, коллеги. Думаю что результаты вас очень удивят.

Технический аудит - часть 3 (Маппинг сети)

Продолжаем тему проведения технического аудита своими силами. Предыдущий пост был посвящен вопросу сбора информации, доступной публично, а сегодня речь пойдет уже об анализе внутренних ресурсов. Прежде чем переходить к детальным техническим проверкам нужно составить достаточно подробную карту сети (провести т.н. маппинг) и здесь могут пригодится следующие инструменты:

Инструменты активного сканирования - это разного рода сканеры портов, среди которых я бы особо выделил:

Nmap - известнейший сканер портов (http://nmap.org/), для которого уже давно появилась еще и графическая оболочка Zenmap (http://nmap.org/zenmap/). Для поиска большей части узлов по наиболее часто встречаемым портам в сети можно использовать следующую команду:

# nmap -sP -PS21,22,23,25,53,80,110,139,389,443,445,1433,3389 < ip-адрес подсети > -oG <имя файл для вывода результатов>

Unicornscan - также довольно мощный сканер, меня он привлек удобным функционалом по сканированию UDP-портов (http://www.unicornscan.org/). Для сканирования по основным UDP-портам используется команда:

# unicornscan -mU -I -E < ip-адрес подсети >

Инструменты пассивного сканирования - это инструменты, которые используют данные, полученные путем перехвата сетевого трафика. Такие инструменты удобны в том случае, когда есть возможность перехватывать трафик (например, через SPAN-порт коммутатора) и когда есть подозрение, что в сети есть узлы, не отвечающие на активное сканирование, обнаружить которые можно только через анализ трафика.

Ntop - анализатор трафика (http://www.ntop.org/products/ntop/), позволяющий собрать массу различной информации о том, какого рода трафик циркулирует в сети. Одним из таких видов информации является IP-адрес и операционная система сетевого узла (как раз то, что нужно при проведении маппинга).

Результаты сканирования конечно же удобнее всего получать в виде карты, но вот здесь к сожалению мне не известно ни одной программы (даже платной), которая могла бы строить красивые карты на основании результатов сканирования. Полуавтоматическим способом является использование Microsoft Visio. Для версии 2010 это выглядит следующим образом:

1. Подготавливаем Excel-файл, содержащий результаты сканирования.

2. Открываем Visio и выбираем шаблон "Подробная схема сети"

3. Переходим на вкладку "Данные" и выбираем "Связать данные с фигурами"

4. Далее следуйте указаниям мастера загрузки данных.

Технический аудит - часть 2 (Общий алгоритм и первые шаги)

Итак, продолжая тему проведения технического аудита своими силами переходим непосредственно к алгоритму действий.

Типовой аудит состоит из следующих стадий:

- Сбор первичной информации

- Выявление уязвимостей

- Эксплуатация обнаруженных уязвимостей и получение доступа

- Фиксация результата и расширение полученных привилегий

Сегодня поговорим о первой стадии "Сбор первичной информации", а точнее о сборе информации, доступной в сети Интернет. К такой информации относится все то, что может быть использовано злоумышленником для проведения атаки: ip-адреса, адреса электронной почты, файлы конфигурации, логины и пароли и многое другое.

Для сбора этой информации есть ряд инструментов, с которыми и хотел бы вас познакомить:

1) Maltego - инструмент №1 для сбора публичной информации, он позволяет собирать множество сведений (ip-адреса, mx-записи, email и проч.) используя поисковые системы и механизм так называемых трансформаций, представляющий собой поиск сведений на основании уже полученных или внесенных в систему. Есть как бесплатный, так и платный варианты данного программного обеспечения.

Для тех, кто хочет освоить этот инструмент есть хорошие видео-инструкции здесь. Скачать Maltego можно здесь.

2) Google Hacking Diggity Project - инструмент для поиска разного рода информации, проиндексированной поисковыми системами (т.н Google Hacking). Не секрет, что в поисковые системы часто уходит множество интересной информации, это и файлы конфигурации, содержащие логины, пароли и другую информацию о внутренней архитектуре компании, и различные временные страницы, позволяющие определить версию веб-сервера, операционной системы, установленной на сервере, и многое другое.

Сам инструмент можно скачать здесь. Про Google Hacking можно прочитать здесь.

3) FOCA - инструмент для анализа мета-полей в файлах, выложенных на веб-сайте компании или любом другом публичном источнике. Такие файлы (в формате MS Office или PDF) могут стать источником полезной информации для злоумышленника, т.к. иногда содержат доменный аккаунт пользователя, составившего документ, сведения о программном обеспечении, использовавшемся для его создания и прочее.

Сам инструмент можно скачать здесь. Краткая статья о нем здесь.

4) netcraft.com - сайт, предоставляющий онлайн-инструменты для выявления различной информации (ip-адрес сайта, владелец блока ip-адресов, другие севера, относящиеся к домену и проч.). Также для выявления блоков ip-адресов, принадлежащих одной компании, могут использоваться базы данных региональных регистраторов:

ARIN (www.arin.net)

RIPE (www.ripe.net)

APNIC (www.apnic.net)

LACNIC (www.lacnic.net)

AFRNIC (www.afrinic.net)

На этом пока все. В следующий раз поговорим о сборе информации о внутренней сети.

Технический аудит - часть 1

Этим постом я бы хотел открыть серию публикаций, посвященную вопросам проведения технического аудита информационной безопасности. Под техническим аудитом я при этом НЕ подразумеваю тест на проникновение, т.к это более сложная работа, требующая серьезной экспертизы в программировании, понимании деталей работы операционных и прикладных систем и других навыков. Я буду говорить о более простых вещах, которые сможет выполнить практически любой специалист по информационной безопасности для того, чтобы оценить степень уязвимости вверенной ИТ-инфраструктуры.

Прежде чем бросится качать из интернета Metasploit или запускать хакерский livecd-дистрибутив полезно все же определить некоторую систему проведения технического аудита (методологию, алгоритм, как угодно). В этом нет ничего сложного, можно взять как уже готовую так и составить свою. Иначе без конкретной методологии все действия будут носить хаотичный характер, что в свою очередь скажется на качестве полученного результата.

Итак, если мы говорим про готовые методологии проведения технического аудита то тут могу порекомендовать:

Information systems security assessment framework (ISSAF) - методология проведения оценки состояния информационной безопасности. Хороша с теоретической точки зрения, т.к. уже много лет не обновляется, но все же систему проверок разработчики заложили неплохую (рассматривается оценка различных технологий - прикладных систем, сетевого оборудования, различных сервисов). Скачать материалы можно тут.

Penetration Testing Framework - довольно детальный фреймворк, содержащий описание конкретных программ/скриптов, которые могут использоваться для проверки тех или иных сервисов/систем. Фреймворк очень хорошо структурирован (можно кстати скачать его в виде майнд-карты в формате FreeMind) и я очень рекомендую с ним ознакомится. Лично я использовал данный фреймворк в качестве основы для разработки собственной системы проведения технического аудита.

The Open Source Security Testing Methodology Manual (OSSTMM) - интересная методология, предполагающая принципиально иной, экспериментальный подход к проведению оценки состояния информационной безопасности. В ней не упоминаются конкретные приемы, программы или скрипты, которые могут использоваться для оценки состояния ИБ, а дается именно общее описание того, какие проверки необходимо провести и как интерпретировать результаты.

На этом пока на сегодня все. В следующем посте уже подробнее поговорим о конкретном инструментарии для проведения технического аудита.