Захист від сканування портів

У таблиці. 2.2 приведений перелік різних популярних утиліт сканування, а також типи сканування, які ці утиліти дозволяють виконувати.

Контрзаходи: захист від сканування портів

Виявлення факту сканування
Як правило, зломщики удаються до сканування TCP- і UDP-портов видаленого комп'ютера, щоб встановити, які з них знаходяться в стані очікування запитів. Тому виявити факт сканування — значить, встановити, в якому місці і ким буде зроблена спроба злому. Основні методи виявлення факту сканування полягають або у використанні спеціальної програми, призначеної для виявлення вторгнень на рівні мережі (IDS), такий як NFR, або у використанні механізму захисту на рівні окремого вузла.

Таблиця 2.2. Популярні утиліти сканування портів і їх можливості

Метод UDP-сканирования утиліти netcat не працює в операційній системі Windows NT, тому користувачам цієї ОС не варто довіряти отриманим результатам.

# Алгоритм виявлення факту сканування
# Автор - Стюарт Мак-клар (Stuart Mcclure)
# Даний алгоритм виявляє невдалі спроби сканування портів
# які приводять до генерації повідомлень Ack/rst.
В процесі налаштування
# можна поекспериментувати із значеннями
# maxcount і maxtime.
port_schema = library_schema:new( 1 ["time", "ip", "ip"
"int"],
scope() };
time = 0;
count = 0;
maxcount =2; t Максимально допустима кількість Ack/rst.
maxtime =5; tt Максимально допустимий час, в течію
# якого може досягатися значення maxcount.
source = 0; port = 0; target = 0;
filter portscan ip ( )
{
if (tcp.is)
(
# Перевірка АСЬК, RST і джерела надходження.
if ( byte(ip.blob, 13) == 20 )
# Встановлені прапори АСЬК, RST
{
count = count + 1;
source = ip.dest;
target = ip.source;
port = tcp.sport;
time = system.time;
} } on tick = timeout
( sec: maxtime, repeat )
call checkout;
}
func checkout {
if (count >= maxcount) {
echo("Спроба сканування порту
Час: ", time, "\n); record system.time, source, target
port to the_recorder_portscan; count = 0; }
else
count = 0;
}
the_recorder_portscan=recorder("
bin/histogram packages/sandbox/portscan.cfg",
"port_schema"
);

[**] spp_portscan: PORTSCAN DETECTED from 192.168.1.10 [**]
05/22-18:48:53.681227
[**] spp_portscan: portscan status from 192.168.1.10: 4 connections
across 1 hosts: TCP(O), UDP(4) [**]
05/22-18:49:14.180505
[**] spp_portscan: End of portscan from 192.168.1.10 [**]
05/22-18:49:34.180236

# New ipchain support for Linux kernel version 2.102+
 Kill_route="/sbin/ipchains -i input -s $TARGET$ -j DENY -1"

Ще одним детектором сканування для системи Windows, заслуговуючому окремої згадки, є програма BLACKICE (мал. 2.7) компанії Network ICE (http://www.-networkice.com). Дана програма представляє перший заснований на використанні агентів засіб виявлення вторгнень, яке можна використовувати як в Windows 9х, так і в NT. У момент написання даної книги цей програмний продукт був комерційним, хоча в найближчому майбутньому компанія обіцяє підготувати вільно поширювану версію. І нарешті, програма Zonealarm (http://www.zonelabs.com/zonealarm.htm ) добре підходить для платформи Windows і може застосовуватися як засіб IDS на рівні брандмауера.

Мал. 2.7. Окрім виявлення звичайного TCP-сканирования портів, програма BLACKICE може виявляти також VDP-сканирование, запити на відкриття нульових сеансів NT, pir.q-прослушивание за допомогою пакету pcanywhere, спроби злому за допомогою Winnuke, множинні запити, застосування утиліти tracerovte, Smurf-взломы і багато що інше

Запобігання скануванню

Навряд чи можна перешкодити кому-небудь зробити спробу сканування портів на вашому комп'ютері, проте цілком реально звести до мінімуму пов'язаний з цим ризик. Для цього потрібно заблокувати всі служби, в роботі яких немає необхідності. У середовищі UNIX дане завдання вирішується за допомогою додавання символів коментаря у відповідні рядки файлу /etc/inetd. corif, а також відключення автоматичного запуску непотрібних служб в сценарії початкового завантаження. Детальніше ці питання освітлені в розділі 8, "Хакинг UNIX".
У системі Windows NT також доцільно відключити всі непотрібні служби. Проте зробити це складніше, оскільки із-за мережевої архітектури Windows NT принаймні Порт 139 повинен працювати постійно. Проте, решту служб можна відключити, запустивши аплет Services панелі управління. Способи порушення безпеки системи Windows NT і контрзаходи, які можна зробити для їх запобігання, детальніше будуть розглянуті в розділі 5. Тут же варто згадати про те, що компанією Tiny Software (www.tinysoftware.com) розповсюджується модуль ядра, що дозволяє виконувати фільтрацію вхідних пакетів. За допомогою цього модуля можна захистити більшість важливих портів.
Що ж до інших операційних систем і пристроїв, то нам залишається лише порадити якомога уважніше прочитати відповідне довідкове керівництво. Постарайтеся знайти в них інформацію про те, які порти вам дійсно необхідні і як відключити останні, щоб звести ризик до мінімуму.

Активне визначення операційної системи

Отже, ми переконалися, що існує безліч різних прийомів і засобів сканування портів. Пригадаєте, що при скануванні портів переслідується дві основна мета. По-перше, потрібно встановити, які TCP- і UDP-порты на досліджуваному комп'ютері знаходяться в стані очікування запитів. По-друге, необхідно визначити тип операційної системи, використовуваної на видаленому вузлі. Інформація про операційну систему знадобиться на подальших етапах, при складанні схеми уразливих ділянок. Про це мова піде в подальших розділах. Важливо пам'ятати, що при цьому необхідно бути особливо точним і уважним до дрібниць. Саме тому дуже важливо абсолютно правильно встановити тип видаленої операційної системи. При визначенні типу ОС дуже корисною виявляється непряма інформація, що отримується, наприклад за допомогою збору маркерів, про які ми поговоримо в розділі 3. При цьому буде зібрана інформація про такі служби, як FTP, telnet, SMTP, HTTP, POP і інших. Збір маркерів — це один з найпростіших методів визначення типу операційної системи, а також версій служб, що працюють під її управлінням. Неважко здогадатися, що існують різні засоби, покликані допомогти в рішенні цієї задачі. Серед доступних можна відзначити дві утиліти, що дозволяють отримати найточніші результати, — вже добре нам відома nmар і утиліта queso. Точність результатів, що видаються обома утилітами, пояснюється, перш за все, тим, що обидві вони надають можливість дослідження стека протоколів Tcp/ip (stack fingerprinting).