(1)Некоммерческое акционерное общество АЛМАТИНСКИЙ УНИВЕРСИТЕТ ЭНЕРГЕТИКИ И СВЯЗИ Кафедра инженерной кибернетики МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ В СИСТЕМАХ УПРАВЛЕНИЯ Методические указания по выполнению лабораторных работ для студентов специальности 5В070200 – А

(1)

Некоммерческое акционерное общество

АЛМАТИНСКИЙ УНИВЕРСИТЕТ ЭНЕРГЕТИКИ И СВЯЗИ

Кафедра инженерной кибернетики

МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ В СИСТЕМАХ УПРАВЛЕНИЯ

Методические указания по выполнению лабораторных работ для студентов специальности 5В070200 – Автоматизация и управление

Алматы 2017

(2)

СОСТАВИТЕЛИ: К.Т.Сауанова. Методы защиты информации в системах управления. Методические указания по выполнению лабораторных работ для студентов специальности 5В070200 – Автоматизация и управление.

– Алматы: АУЭС, 2017. – 38 с.

Методические указания содержат указания по выполнению лабораторных работ, в них приведены краткие теоретические сведения, задания и контрольные вопросы по каждой лабораторной работе, дана методика выполнения, приведен перечень рекомендуемой.

Методические указания предназначены для студентов всех форм обучения специальности 5В070200 –Автоматизация и управление.

Ил.__, табл. 2 , библиогр. – 7 назв.

Рецензент: доц.А.А.Аманбаев.

Печатается по плану издания некоммерческого акционерного общества

«Алматинский университет энергетики и связи» на 2017 г.

©НАО «Алматинский университет энергетики и связи», 2017 г.

(3)

Введение

Проведение лабораторных работ предусмотрено учебной программой подготовки специалистов направления 5В070200.

Основными задачами лабораторных работ по дисциплине «Методы защиты информации в системах управления» являются:

 закрепление теоретических знаний, полученных на лекционных занятиях по изучаемой дисциплине;

 изучение основных понятий и определений защиты компьютерной информации. Законодательно – правовые и организационные методы защиты компьютерной информации;

 изучение современных методов и средств защиты компьютерной информации, их использование в практической деятельности;

 обучение самостоятельной работе с нормативно-справочной литературой, проявляя при этом инициативу и стремление к получению новых знаний и навыков в области защиты компьютерной информации.

(4)

1 Лабораторная работа №1. Количественная оценка стойкости парольной защиты

Цель: реализация простейшего генератора паролей, обладающего требуемой стойкостью к взлому.

Теоретические сведения.

Подсистемы идентификации и аутентификации пользователя играют важную роль в системах защиты информации.

Стойкость подсистемы идентификации и аутентификации пользователя в системе защиты информации (СЗИ) во многом определяет устойчивость к взлому самой СЗИ. Данная стойкость определяется гарантией того, что злоумышленник не сможет пройти аутентификацию, присвоив чужой идентификатор или украв его.

Парольные системы идентификации/аутентификации являются одними из основных и наиболее распространенных в СЗИ методами пользовательской аутентификации. В данном случае информацией, аутентифицирующей пользователя, является некоторый секретный пароль, известный только легальному пользователю.

Парольная аутентификация пользователя, как правило, передний край обороны СЗИ. В связи с этим модуль аутентификации по паролю наиболее часто подвергается атакам со стороны злоумышленника. Цель последнего в данном случае – подобрать аутентифицирующую информацию (пароль) легального пользователя.

Методы парольной аутентификации пользователя наиболее просты и при несоблюдении определенных требований к выбору пароля являются достаточно уязвимыми.

Типы угроз безопасности парольных систем:

1) Разглашение параметров учетной записи через:

- подбор в интерактивном режиме;

- подсматривание;

- преднамеренную передачу пароля его владельцем другому лицу;

- захват базы данных парольной системы (если пароли не хранятся в базе в открытом виде, для их восстановления может потребоваться подбор или дешифрование);

- перехват переданной по сети информации о пароле;

- хранение пароля в доступном месте.

2) Вмешательство в функционирование компонентов парольной системы:

- внедрение программных закладок;

- обнаружение и использование ошибок, допущенных на стадии разработки;

- выведение из строя парольной системы.

(5)

Некоторые из перечисленных типов угроз связаны с наличием так называемого человеческого фактора.

Минимальные требования к подсистемам парольной аутентификации пользователя следующие:

К паролю:

1) Длина пароля не менее 6 символов.

2) Пароль содержит символы из различных групп символов (большие и маленькие латинские буквы, цифры, специальные символы и т.д).

3) В качестве пароля не должны использоваться осмысленные слова, имена родственников, фамилия и другая личная информация.

К подсистеме аутентификации:

1) Ограничение срока действия пароля.

2) Ограничение на количество попыток ввода пароля.

3) Временная задержка при вводе неправильного пароля.

4) Отправка сообщения на личный телефон при вводе неправильного пароля.

При выдержке перечисленных выше требовании возможными способами несанкционированного доступа является подбор пароля методом перебора (brute forcing) и атака по словарю.

Защищенность пароля при его подборе зависит, в общем случае, от скорости проверки паролей и от размера полного множества возможных паролей, которое, с свою очередь, зависит от длины пароля и мощности алфавита символов. Количественная оценка стойкости парольной защиты.

Пусть A – мощность алфавита паролей (количество символов, которые могут быть использованы при составлении пароля: если пароль состоит только из малых английских букв, то A = 26); L – длина пароля; S = A^L – число всевозможных паролей длины L, которые можно составить из символов алфавита A; V – скорость перебора паролей злоумышленником; T – максимальный срок действия пароля.

Тогда, вероятность P подбора пароля злоумышленником в течение срока его действия V определяется по следующей формуле:

P = (V ∙ T) / S = (V ∙ T) / A^L. (1) Эту формулу можно использовать в обратную сторону для решения следующей задачи.

Задача. Определить минимальные мощность алфавита паролей A и длину паролей L, обеспечивающих вероятность подбора пароля злоумышленником не более заданной P, при скорости подбора паролей V, максимальном сроке действия пароля T.

Данная задача имеет неоднозначное решение. При исходных данных V, T, P однозначно можно определить лишь нижнюю границу S* числа всевозможных паролей. Целочисленное значение нижней границы вычисляется по формуле:

S*=[V ∙ P / T], (2) где [] – целая часть числа, взятая с округлением вверх.

(6)

После определения нижней границы S* необходимо выбрать такие A и L для формирования S = A^L, чтобы выполнялось следующее неравенство:

S* ≤ S = A^L. (3) При выборе S, удовлетворяющего неравенству (2), вероятность подбора пароля злоумышленника (при заданных V и T) будет меньше, чем заданная P.

Следует отметить, что при осуществлении вычислений по формулам (1) и (2), величины должны быть приведены к одним размерностям.

Пример. Исходные данные: P = 10^-6; T = 7 дней = 1 неделя; V = 10 (паролей / минуту) = 10 · 60·24·7 = 100800 паролей в неделю. Тогда, S* = [(10800 · 1) / 10^-6] = = 108 · 10⁸.

Условию S* ≤ A^L удовлетворяют, например, такие комбинации A и L, как A = 26, L = 8 (пароль состоит из восьми малых символов английского алфавита), A = 36, L = 6 (пароль состоит из шести символов, среди которых могут быть малые латинские буквы и произвольные цифры).

Задание для выполнения лабораторной работы:

1) В таблице 3 найти для указанного варианта значения характеристик P, V, T.

2) Вычислить по формуле (1) нижнюю границу S* для заданных P, V, T.

3) Выбрать некоторый алфавит с мощностью A и получить минимальную длину пароля L, при котором выполняется условие (2).

4) Реализовать программу для генерации паролей пользователей.

Программа должна формировать случайную последовательность символов длины L, при этом должен использоваться алфавит из A символов.

5) Оформить отчет по лабораторной работе.

Коды символов:

1) Коды английских символов: «A» = 65,.., «Z» = 90; «a» = 97,.., «z» = 122.

2) Коды цифр: «0» = 48,.., «9» = 57.

3) «!» = 33; «“» = 34; «#» = 35; «$» = 36; «%» = 37; «&» = 38; «‘» = 39.

4) Коды русских символов: «А» – 128, .,«Я» – 159; «а» – 160,…, «я» – 239.

Таблица 1- Варианты заданий

Вариант P V T

1 10^-4 15 паролей/мин 2 недели

2 10^-5 3 паролей/мин 10 дней

5 10^-4 100 паролей/день 12 дней

6 10^-5 10 паролей/день 1 месяц

9 10-4 3 паролей/мин 15 дней

Окончание таблицы 1

(7)

10 10^-5 10 паролей/мин 1 неделя

16 10^-7 3 паролей/мин 1 месяц

20 10^-7 10 паролей/день 1 неделя

26 10^-5 100 паролей/день 1 месяц

27 10^-6 10 паролей/день 3 недели

30 10^-5 3 паролей/мин 1 неделя

Контрольные вопросы

1. Чем определяется стойкость подсистемы идентификации и аутентификации?

2. Перечислить минимальные требования к выбору пароля.

3. Перечислить минимальные требования к подсистеме парольной аутен- тификации.

4. Как определить вероятность подбора пароля злоумышленником в течение срока его действия?

5. Выбором каких параметров можно повлиять на уменьшение вероятно- сти подбора пароля злоумышленником при заданной скорости подбора пароля злоумышленником и заданном сроке действия пароля?

(8)

2 Лабораторная работа №2. Симметричные алгоритмы шифрования данных

Цель: освоение методики работы симметричных алгоритмов шифрования.

Необходимо написать программу, реализующую шифрование и дешифрование текстового файла, используя один из симметричных алгоритмов. Программа должна обеспечить ввод имен файлов входных и выходных данных, ввод ключа, шифрование исходного файла, дешифрование.

1) Алгоритм DES.

2) Отечественный стандарт шифрования.

3) Синхронные потоковые алгоритмы.

4) Блочный алгоритм.

5) Алгоритмы перестановки.

1. Цель и задачи криптографии.

2. Симметричные криптосистемы: шифры перестановки.

3. Симметричные криптосистемы: шифры простой замены.

4. Симметричные криптосистемы: шифры сложной замены.

5. Симметричные криптосистемы: гаммирование.

3 Лабораторная работа №3. Асимметричные алгоритмы шифрования данных

Цель: освоение методики работы ассиметричных алгоритмов шифрования, где существует два ключа – один для шифрования, другой для дешифрования.

Алгоритм RSA разработан в 1977 г. Роном Ривестом, Ади Шамиром и Леном Адлеманом и опубликован в 1978 г. С тех пор алгоритм Rivest-Shamir- Adleman (RSA) широко применяется практически во всех приложениях, использующих криптографию с открытым ключом.

Алгоритм RSA:

1) Вычисление ключей.

Важным моментом в этом криптоалгоритме является создание пары ключей: открытого и закрытого. Для алгоритма RSA этап создания ключей состоит из следующих операций:

(9)

1) Выбираются два простых различных числа p и q. Вычисляется их произведение n = p ∙ q, называемое модулем. Под простым числом будем понимать такое число, которое делится только на 1 и на само себя. Взаимно простыми числами будем называть такие числа, которые не имеют ни одного общего делителя, кроме единицы.

2) Вычисляется функция Эйлера Ф(n) = (p – 1) ∙ (q – 1).

3) Выбирается произвольное число e (e <n) такое, что 1 <e <Ф(n), и не имеет общих делителей, кроме 1 (взаимно простое) с числом (p – 1) ∙ (q – 1).

4) Вычисляется d методом Евклида таким образом, что (e ∙ d – 1) делится на (p – 1) ∙ (q – 1).

5) Два числа (е, n) публикуются как открытый ключ.

6) Число d хранится в секрете – закрытый ключ есть пара (d, n), который позволит читать все послания, зашифрованные с помощью пары чисел (е, n).

2) Шифрование.

Шифрование с помощью пары чисел производится следующим образом:

1) Отправитель разбивает своё сообщение M на блоки mi. Значение mi

<n, поэтому длина блока mi в битах не больше k = [log2(n)] бит, где квадратные скобки обозначают, взятие целой части от дробного числа.

Например, если n = 21, то максимальная длина блока k = [log2(21)] = [4.39…]= = 4 бита.

2) Подобный блок может быть интерпретирован как число из диапазона (0; 2^k– 1). Для каждого такого числа mi вычисляется выражение (ci – зашифро- ванное сообщение): ci = ((mi)^e) mod n.

Необходимо добавлять нулевые биты слева в двоичное представление блока ^сⁱ до размера k = [log2(n)] бит.

3) Дешифрование.

Чтобы получить открытый текст, необходимо каждый блок дешифровать отдельно: mi = ((ci)^d) mod n.

Пример:

Выбрать два простых числа: р = 7, q = 17.

Вычислить n = p ∙ q = 7 ∙ 17 = 119.

Вычислить Ф(n) = (p – 1) ∙ (q – 1) = 96.

Выбрать е так, чтобы е было взаимно простым с Ф(n) = 96 и меньше, чем Ф(n): е = 5.

Определить d так, чтобы d ∙ e ≡ 1 mod 96 и d < 96, d = 77, так как 77 ∙ 5 = 385 = 4 ∙ 96 + 1.

Результирующие ключи открытый {5, 119} и закрытый ключ {77, 119}.

Например, требуется зашифровать сообщение М = 19: 19⁵ = 66 (mod 119), С = = 66.

Для дешифрования вычисляется 66⁷⁷ (mod 119) = 19.

(10)

1) Разработать консольное приложение для шифрования/дешифрования произвольных файлов с помощью алгоритма RSA.

2) Разработать визуальное приложение для шифрования/дешифрования произвольных файлов.

4) Разработать клиент-серверное приложение для защищённой передачи файлов по сети.

5) Разработать клиент-серверное приложение для защищённого обмена сообщениями по сети.

6) Разработать визуальное приложение для шифрования/дешифрования чисел.

7) Разработать консольное приложение для генерации ключей.

8) Реализовать программу для шифрования / дешифрования текстов, работающую по алгоритму RSA. Программа должна уметь работать с текстом произвольной длины.

1. Дайте определение алгоритма с открытым ключом.

2. Сколько этапов содержит алгоритм RSA?

3. В чем заключается вычисление ключей алгоритма RSA?

4. Как происходит шифрование в алгоритме RSA?

5. Как происходит дешифрование в алгоритме RSA?

4 Лабораторная работа № 4. Антивирусная защита

Цель: знакомство с антивирусными программами и приобретение навыков работы с ними (проверка настроек антивирусов, сканирование файлов, папок и дисков, обновления антивирусной базы).

Компьютерный вирус– это вредоносная программа, которая самостоятельно может создавать свои копии и внедрять их в программы (исполняемые файлы), документы, загрузочные сектора носителей данных. В зависимости от среды обитания основными типами компьютерных вирусов являются: программные, загрузочные, макровирусы, сетевые вирусы.

Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации. По данным Международной Ассоциации за безопасность компьютеров (International Computer Security Assoсiation- ICSA) количество компьютеров, страдающих от вирусных атак, растет с каждым годом. Убытки, наносимые компьютерными вирусами, составляют астрономические суммы.

Основным источником вирусов на сегодняшний день является глобальная сеть Интернет. Выделяют следующие точки проникновения вирусов в сеть:

(11)

 получение вирусов на клиентские рабочие места через носители;

 получение их на уровне файл-серверов;

 получение через интернет и почтовые шлюзы.

По выполняемым функциям антивирусные программы подразделяют на следующие типы: детекторы; доктора; ревизоры; фильтры или сторожа;

вакцины или иммунизаторы.

Программы-ревизоры запоминают исходное состояние программ, каталогов и системных областей до заражения компьютера и периодически его сравнивают с текущим состоянием. При обнаружении несоответствия пользователю выдается предупреждение.

Программы-фильтры представляют собой резидентные программы, которые обеспечивают обнаружение подозрительных действий при работе компьютера, например, попыток изменения исполняемых файлов, изменения атрибутов файлов, записи в загрузочный сектор диска и др.

Программы-детекторы настроены на обнаружение заражения одним или несколькими известными вирусами. Большинство программ-детекторов выполняют также функцию «доктора», т.е. они пытаются вернуть зараженные файлы и области диска в исходное состояние, те файлы, которые не удалось восстановить, обычно делаются неработоспособными и удаляются.

Программы-доктора обнаруживают и лечат зараженные объекты путем

«выкусывания» тела вируса. Программы этого типа подразделяются на фаги и полифаги (обнаружение и уничтожение большого количества разнообразных вирусов).

Программы-вакцины выполняют модификацию файла или диска таким образом, чтобы это не отражалось на их работе, но вирус считал бы их уже зараженными. Вакцинация осуществляется только от известных вирусов.

Антивирусные программы:

1) Kaspersky Internet Security.

2) Kaspersky CRYSTAL.

3) Касперский Яндекс-версия.

4) ESET NOD32 Антивирус.

5) ESET NOD32 Smart Security.

6) ESET NOD32 Titan.

7) Web Security Space.

8) Антивирус Dr.Web для Windows.

9) Аvast Free Antivirus.

10) Аvast Internet Security.

11) Panda Cloud Antivirus Free.

12) Norton AntiVirus 2013.

13) Avira Free Antivirus.

14) Microsoft Security Essentials.

15) AVG AntiVirus FREE 2014.

16) Ad-Aware Free Antivirus.

(12)

17) Comodo Antivirus 2013.

1) Знакомство с Антивирусным обеспечением и утилитой согласно варианту, их письменное описание и ссылки для скачивания.

2) Проверьте дату и способы обновления антивирусных баз антивируса, способы настройки с пояснениями и скриншотами.

3) Выполните сканирование дисков (к примеру флэш) с пояснениями и скриншотами.

4) Выполните сканирование папок с файлами с пояснениями и скриншотами.

5 Запустите и опишите принцип работы заданной утилиты с пояснениями и скриншотами.

Предоставьте преподавателю результаты выполненной работы.

Оформите отчет. В отчете должны присутствовать:

1) Краткое описание.

2) Принципы настройки, установки, обновления.

3) Примеры сканирования папки, диска, флэшки.

4) Пример работы утилиты.

5) Ссылки на страницы для скачивания антивирусного ПО и утилиты.

5 Лабораторная работа №5. Анализаторы протоколов

Цель: получить практические навыки в использовании анализаторов протоколов.

Анализатор трафика, или сниффер (от англ. to sniff — нюхать) — сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, предназначенного для других узлов.

Во время работы сниффера сетевой интерфейс переключается в т. н.

режим прослушивания (Promiscuous mode), что и позволяет ему получать пакеты, адресованные другим интерфейсам в сети.

Перехват трафика может осуществляться:

 обычным прослушиванием сетевого интерфейса (метод эффективен при использовании в сегменте концентраторов (хабов) вместо коммутаторов (свитчей), в противном случае метод малоэффективен, поскольку на сниффер попадают лишь отдельные фреймы);

 подключением сниффера в разрыв канала;

 ответвлением (программным или аппаратным) трафика и направлением его копии на сниффер;

 через анализ побочных электромагнитных излучений и восстановление таким образом прослушиваемого трафика;

(13)

 через атаку на канальном (MAC-spoofing) или сетевом уровне (IP-spoofing), приводящую к перенаправлению трафика жертвы или всего трафика сегмента на сниффер с последующим возвращением трафика в надлежащий адрес.

В начале 1990-х широко применялся хакерами для захвата пользовательских логинов и паролей, которые в ряде сетевых протоколов передаются в незашифрованном или слабозашифрованном виде. Широкое распространение хабов позволяло захватывать трафик без больших усилий в больших сегментах сети практически без риска быть обнаруженным.

Снифферы применяются как в благих, так и в деструктивных целях.

Анализ прошедшего через снифер трафика позволяет:

1) Обнаружить паразитный, вирусный и закольцованный трафик, наличие которого увеличивает загрузку сетевого оборудования и каналов связи.

2) Выявить в сети вредоносное и несанкционированное ПО, например, сетевые сканеры, флудеры, троянские программы, клиенты пиринговых сетей и другие (это обычно делают при помощи специализированных снифферов - мониторов сетевой активности).

3) Перехватить любой незашифрованный (а порой и зашифрованный) пользовательский трафик с целью получения паролей и другой информации.

4) Локализовать неисправность сети или ошибку конфигурации сетевых агентов (для этой цели снифферы часто применяются системными администраторами).

Поскольку в классическом сниффере анализ трафика происходит вручную, с применением лишь простейших средств автоматизации (анализ протоколов, восстановление TCP-потока), то он подходит для анализа лишь небольших его объёмов.

Снифферы для ОС MS Windows:

 CommView – www.tamos.com;

 SpyNet – packetstorm.securify.com;

 Analyzer – neworder.box.sk;

 IRIS – www.eeye.com;

 WinDUMP – аналог tcpdump for Unix;

 SniffitNT;

 ButtSniff;

 Wireshark;

 LanExplorer;

 Net Analyzer.

 IP Sniffer.

Снифферы для ОС Unix/Linux:

 Linsniffer;

 linux_sniffer;

 Sniffit;

(14)

 HUNT;

 READSMB;

 Tcpdump;

 Dsniff;

 Wireshark;

 Ksniffer.

Используя программу Wireshark, выполните анализ трафика. В отчете представить результаты выполнения по всем пунктам в виде:

1) № задания.

2) Текст задания.

3) Результат работы программы.

Варианты заданий:

1) Изучить интерфейс программы Wireshark

(\\ corp . mgkit . ru \ dfs \ work \ wireshark).

2) Захватить 100 произвольных пакетов. Определить статистические данные:

 процентное соотношение трафика разных протоколов в сети;

 среднюю скорость кадров/сек;

 среднюю скорость байт/сек;

 минимальный, максимальный и средний размеры пакета;

 степень использования полосы пропускания канала (загрузку сети).

3) Зафиксировать 20 IP-пакетов. Определить статистические данные:

процентное соотношение трафика разных протоколов стека tcp/ip в сети;

средний, минимальный, максимальный размеры пакета.

4) Выполнить анализ ARP-протокола по примеру из методических указаний.

5) На примере любого IP-пакета указать структуры протоколов Ethernet и IP, отметить поля заголовков и описать их.

6) Проанализировать и описать принцип работы утилиты ping.

При этом описать все протоколы, используемые утилитой. Описать все поля протоколов. Составить диаграмму взаимодействия машин при работе утилиты ping.

7) Режим захвата всех пакетов, проходящих по сети. Количество захватываемых пакетов ограничить 10.

8) Режим перехвата только пакетов, отправленных на определенный IP-адрес.

Количество захватываемых пакетов ограничить 5.

9) Режим перехвата только пакетов, полученных с определенного IP-адреса.

10) Режим перехвата только пакетов протокола ICMP, отправленных на определенный IP-адрес. Количество захватываемых пакетов ограничить 3.

(15)

11) Режим захвата ARP-запроса с ПК студента на заданный преподавателем ПК и ARP-ответ на этот запрос. Количество захватываемых пакетов ограничить 2. Результат работы программы писать в файл.

12) Режим сохранения данных в двоичном режиме так, чтобы он перехватывал только пакеты, отправленные с ПК студента или пришедшие на него.

Количество захватываемых пакетов ограничить.

13) Режим перехвата только пакетов, полученных с определенного IP-адреса.

14) Режим перехвата только пакетов протокола ICMP, отправленных на определенный IP-адрес. Количество захватываемых пакетов ограничить 4.

Результат работы программы записать в файл.

1. Каковы основные цели мониторинга сетевого трафика?

2. Чем отличается мониторинг трафика от фильтрации?

3. Каково назначении класса программ-снифферов?

4. Какие основные функции выполняют снифферы?

5. Зачем используются фильтры отображения и фильтры захвата сниффера Wireshark? В чем их отличие?

6. Какие базовые функции статистической обработки захваченных пакетов имеет сниффер Wireshark?

7. Какие задачи рассчитан решать протокол ARP?

6 Лабораторная работа №6. Сбор информации о веб-приложении Цель: обучение методам и средствам сбора информации об анализируемом веб-приложении.

Одним из первых этапов анализа защищенности любой компьютерной системы является сбор информации. В зависимости от используемой методологии анализа защищенности веб-приложения могут применяться различные методы и средства сбора информации. Стоит отметить, что сбор информации, как правило, не характерен для методологии инструментального анализа защищенности (сканирования), а характерен для методологии тестирования на возможность проникновения.

Методы сбора информации делятся на активные и пассивные. Активные методы требуют непосредственного взаимодействия с исследуемым приложением путем отправки ему запросов и анализа соответствующих ответов, а пассивные методы используют информацию, отправляемую сервером веб-приложения его клиентам (например, HTTP-заголовки X-Frame- Options, Strict-Transport-Security и т.д.) без отправки запросов. При анализе веб-приложений, как правило, используются только активные методы.

Активные методы делятся на методы с подключением к приложению

(16)

(например, идентификация веб-сервера с помощью сканера Httprint) и методы без подключения (например, сбор информации о приложении поисковыми роботами, сканерами Интернет, и т.д.).

В результате проведения сбора информации о веб-приложении могут быть получены:

 имена и IP-адреса сетевых узлов, на которых размещены веб-приложение и его компоненты;

 логины и пароли технологических учетных записей;

 данные о системном и прикладном ПО, применяемых средств защиты и конфигурации веб-приложения;

 адреса электронной почты разработчиков приложения;

 исходный код серверной части веб-приложения;

 конфиденциальные файлы.

Программными средствами получения необходимой информации являются:

 поисковые системы (например, Google, Shodan, Bing);

 специализированные сканеры уязвимостей Интернет (например, http://un1c0rn.net/);

 инструментальные средства анализа защищенности сетей общего назначения (Nmap, Xprobe2, XSpider);

 инструментальные средства анализа защищенности сетей веб-приложений (AppScan, Acunetix, Burp Suite, ZAP, W3AF и т.д.).

Выполнить сбор информации об анализируемом веб-приложении www.test.app.com.

Последовательность действий.

Будем рассматривать сбор информации на примере веб-приложения с условным именем www.test.app.com:

1) В адресной строке браузера перейти по адресу www.test.app.com/robots.txt.

Проанализировать содержимое файла. Сделать выводы о наличии «скрытых»

директорий.

2) В адресной строке браузера перейти по адресу

http://www.test.app.com/crossdomain.xml и затем по адресу http://www.test.app.com/clientaccesspolicy.xml. Проанализировать содержимое файлов. Сделать выводы о корректности конфигурации политики междоменного взаимодействия RIA.

3) Перейти по адресу http://www.google.com. Задать поисковые запросы, определяемые анализируемым приложением, например:

 site:www.test.app.com filetype:docx confidential;

 site:www.test.app.com filetype:doc secret;

 site:www.test.app.com inurl:admin;

(17)

 site:www.test.app.com filetype:sql;

 site:www.test.app.com intext: "Access denied".

Проанализировать логику запросов и полученные данные. Построить свои запросы, используя примеры из базы запросов.

4) Перейти по адресу http://www.shodanhq.com. Используя бесплатную версию монитора сетевой безопасности (Monitor Network Security), задайте следующий поисковый запрос:

 hostname:www.test.app.com

Построить свои запросы для приложения www.test.app.com.

5) Данный тест выполняется только для приложений, размещенных в лабораторной сети. С помощью сетевых сканеров Nmap и Xprobe выполнить идентификацию ОС веб-сервера:

# nmap –O www.test.app.com –vv

# xprobe2 www.test.app.com

6) Подключиться к веб-серверу, используя утилиту Netcat:

# nc www.test.app.com 80

Отправить следующий GET запрос:

GET / HTTP/1.1

Host: www.test.app.com \r\n

По заголовкам Server и X-Powered-By определить программное обеспечение, реализующее веб-сервер и фрэймворк веб-приложения.

В браузере установить расширение Wappalyzer, перейти по адресу веб- приложения и проанализировать информацию о компонентах веб-приложения, полученного через Wappalyzer.

7) С помощью сканера веб-серверов Httprint (дистрибутив Backtrack) или Httprecon (ОС Windows) выполнить идентификацию веб-сервера:

# cd /pentest/enumeration/web/httprint/linux

# ./httprint –h www.test.app.com –s signatures.txt

С помощью сканера Wafw00f проверить наличие у веб-приложения подсистемы WAF:

# cd /pentest/web/waffit

# python ./wafw00f.py http://www.test.app.com

# python ./wafw00f.py https://www.test.app.com

8) Выполнить тесты по идентификации поддерживаемых веб-сервером HTTP- методов. Для этого необходимо отправить с помощью Burp Suite или Netcat запрос следующего вида:

ОPTIONS / HTTP/1.1

Проверить, поддерживает ли сервер обработку запросов с произвольными методами:

DOGS / HTTP/1.1

(18)

Если веб-сервер поддерживает метод TRACE, то это может привести к уязвимости к атаке Cross-Site Tracing (XST). Для проверки поддержки веб- сервером методы TRACE отправить запрос

TRACE / HTTP/1.1

Веб-сервер поддерживает метод TRACE и потенциально уязвим к атаке XST, если получен ответа вида

HTTP/1.1 200 OK Connection: close Content-Length: 39 TRACE / HTTP/1.1 Host: www.test.app.com

1. Какую информацию вам дает анализ защищенности веб-приложений?

2. Перечислите активные методы сбора информации.

3. Перечислите пассивные методы сбора информации.

4. Какую уязвимость имеет метод TRACE?

5. Как лечат такую уязвимость?

6. Найти административные интерфейсы коммуникационного и сетевого оборудования (видеокамеры, коммутаторы ЛВС, домашние Wi-Fi маршрутизаторы, и т.д.), подключенные к сети Интернет.

7. Известно, что адрес веб-интерфейса системы VMWare Horizon View HTML Access содержит строку portal/webclient/views/mainUI.html.

Найти такие системы, доступные из сети Интернет.

8. Оценить количество коммутаторов Cisco Catalyst с административным веб- интерфейсом, подключенным к сети Интернет.

7 Лабораторная работа №7. Защита от копирования. Привязка к аппаратному обеспечению. Использование реестра

Цель: ознакомление с возможностями «привязки» к характеристикам компьютера.

В качестве анализируемых характеристик компьютера могут использоваться:

1) Информация об используемой операционной системе.

2) Имя пользователя.

3) Имя компьютера.

4) Наличие звуковой карты.

5) Наличие подключенных принтера, сканера и т.д.

(19)

6) Дата создания BIOS.

7) Серийный номер диска.

8) Характеристики процессора.

Для получения подобных характеристик в операционной системе Windows используются API-функции и информация из реестра.

API-функции.

API сокращено от Application Programming Interface (интерфейс прикладного программирования). API – набор функций, которые операционная система предоставляет программисту. API обеспечивает относительно простой путь для программистов при использовании полных функциональных возможностей аппаратных средств или операционной системы.

32-разрядные версии Windows обычно используют один и тот же набор функций API, хотя имеются некоторые различия между платформами.

Почти все функции, которые составляют Windows API, находятся внутри DLL (Dynamic Link Library). Эти dll-файлы находятся в системной папке Windows. Существует свыше 1000 функций API, которые условно делятся на четыре основные категории:

a) работа с приложениями – запуск и закрытие приложений, обработка команд меню, перемещения и изменения размера окон;

б) графика – создание изображений;

в) системная информация – определение текущего диска, объема памяти, имя текущего пользователя и т.д.

г) работа с реестром – манипуляции с реестром Windows.

Реестр Windows.

Реестр – база данных операционной системы, содержащая конфигурационные сведения. По замыслу Microsoft, реестр должен был полностью заменить файлы ini, которые были оставлены только для совместимости со старыми программами, ориентированными на более ранние версии операционной системы.

Переход от ini файлов к реестру произошел по той причине, что на эти файлы накладывается ряд серьезных ограничений, и главное из них состоит в том, что предельный размер такого файла составляет 64Кб.

Предупреждение: никогда не удаляйте или не меняйте информацию в реестре, если Вы не уверены, что это именно то, что нужно. В противном случае некорректное изменение данных может привести к сбоям в работе Windows, и, в лучшем случае, информацию придется восстанавливать из резервной копии.

Реестр имеет следующую структуру:

1) HKEY_CLASSES_ROOT. В этом разделе содержится информация о зарегистрированных в Windows типах файлов, что позволяет открывать их по двойному щелчку мыши, а также информация для OLE и операций drag-and- drop.

(20)

2) HKEY_CURRENT_USER. Здесь содержатся настройки оболочки пользователя (например, Рабочего стола, меню "Пуск", ...), вошедшего в Windows. Они дублируют содержимое подраздела HKEY_USER\name, где name – имя пользователя, вошедшего в Windows. Если на компьютере работает один пользователь и используется обычный вход в Windows, то значения раздела берутся из подраздела HKEY_USERS\.DEFAULT.

3) HKEY_LOCAL_MACHINE. Этот раздел содержит информацию, относящуюся к компьютеру: драйверы, установленное программное обеспечение и его настройки.

4) HKEY_USERS. Содержит настройки оболочки Windows для всех пользователей. Как было сказано выше, именно из этого раздела информация копируется в раздел HKEY_CURRENT_USER. Все изменения в HKCU (сокращенное название раздела HKEY_CURRENT_USER) автоматически переносятся в HKU.

5) HKEY_CURRENT_CONFIG. В этом разделе содержится информация о конфигурации устройств Plug&Play и сведения о конфигурации компьютера с переменным составом аппаратных средств.

6) HKEY_DYN_DATA. Здесь хранятся динамические данные о состоянии различных устройств, установленных на компьютере пользователя.

Именно сведения этой ветви отображаются в окне «Свойства: Система» на вкладке «Устройства», вызываемого из Панели управления. Данные этого раздела изменяются самой операционной системой, так что редактировать что-либо вручную не рекомендуется.

Примеры процедур и функций, определяющих параметры компьютера.

Определение серийного номера раздела диска.

TCHAR szVolName[256];

DWORD dwNum;

DWORD dwMaxComSize;

DWORD dwFlags;

TCHAR szFS[256];

BOOL bRes;

bRes = GetVolumeInformation ( "c:\\", szVolName, sizeof(szVolName),

&dwNum, &dwMaxComSize, &dwFlags, szFS, sizeof(szFS));

Определение имени компьютера.

const int WSVer = 0x101;

WSADATA wsaData;

char Buf[128];

if (WSAStartup(WSVer, &wsaData) == 0) {

gethostname(&Buf[0], 128);

MessageBox(0, Buf,0,0);

WSACleanup;

}

Определение имени пользователя.

char buffer[UNLEN+1];

DWORD size;

size=sizeof(buffer);

GetUserName(buffer,&size);

Определение частоты процессора (способ №1).

double CPUSpeed(void) {

(21)

DWORD dwTimerHi, dwTimerLo;

asm {

DW 0x310F

mov dwTimerLo, EAX mov dwTimerHi, EDX }

Sleep (500);

asm {

DW 0x310F

sub EAX, dwTimerLo sub EDX, dwTimerHi mov dwTimerLo, EAX mov dwTimerHi, EDX }

return dwTimerLo/(1000.0*500);

}

Разработать программу, реализующую привязку к компьютеру, используя совокупность характеристик согласно варианту задания. Добиться того, чтобы программа не запускалась на другом компьютере.

Таблица 2- Варианты заданий

№ варианта

Характеристики

1 Серийный номер раздела жесткого диска, MAC-адрес сетевой карты

2 Информация из реестра, тактовая частота процессора 3 Версия операционной системы, MAC-адрес сетевой карты 4 Имя пользователя, серийный номер раздела жесткого диска 5 Название компьютера, информация из реестра

6 Версия БИОС, имя пользователя

7 Серийный номер раздела жесткого диска, имя пользователя 8 Имя пользователя, тактовая частота процессора

9 MAC-адрес сетевой карты, тактовая частота процессора

1. Что понимается под «привязкой» к компьютеру?

2. Какие характеристики обычно используются для идентификации компьютера?

3. Перечислите основные API-функции для определения индивидуаль- ных характеристик компьютера.

4. Что представляет собой реестр Windows?

5. Какую структуру имеет реестр?

6. Как определить серийный номер диска?

7. Как определить имя компьютера?

(22)

8 Лабораторная работа № 8. Обеспечение безопасности компьютерной системы

Цель: знакомство с методами защиты от вторжений, навыками настройки брандмауэров, средствами защиты от спама и вредоносных программ и вирусов.

1. Защита от вторжений. Брандмауэры.

Атаки на операционные системы, важнейшая проблема обеспечение безопасности компьютера.

Поскольку взаимодействие компьютера с внешним миром осуществляется через порты, а их достаточно много (65536 в IBM- совместимом компьютере), то целесообразна идея закрытия большинства из них, кроме немногих (одного-двух), абсолютно необходимых. Определить, насколько компьютер открыт для внешнего мира, можно с помощью специальных тестов, позволяющих оценить уровень уязвимости компьютера.

Следующие сайты могут помочь в решении этой задачи:

1) Symantec Security Check (http://security.symantec.com).

2) Sygate Online Services (http://users.telenet.be/visvoer/audit/disndag

%20linux/scanudpsygate.html).

3) Gipson Research Shields Up (www.grc.com).

4) DSL Reports (www.dslreports.com/scan).

Для проверки компьютера нужно зайти на один из этих сайтов и выполнить представленные там инструкции.

Идеальных операционных систем не существует, в их числе и Windows XP. Поэтому Microsoft выпускает ежемесячные обновления безопасности, а также срочные внеплановые обновления. Веб-сайт Windows Update позволяет познакомиться со всеми критически важными обновлениями (critical update) и обновлениями механизмов операционной системы (features updates).

Критически важные обновления призваны решать проблемы, связанные с безопасностью, например, проблему защиты от широко распространенного эксплойта для Windows XP, известного под именем червя W32. Blaster.Worm.

Этот червь распространялся через уязвимость в системе RPC (вызов удаленных процедур).

В Windows XP имеется полезная служба автоматического обновления:

установив расписание для ежедневной автоматической проверки и установки новых обновлений, можно отказаться от интерактивных посещений веб-сайта Windows Update. Для настройки параметров автоматического обновления нужно щелкнуть правой кнопкой мыши по значку Мой компьютер и выбрать в контекстном меню строку Свойства, а затем перейти на вкладку Автоматическое обновление.

Установив открытые порты компьютера, как это рассмотрено выше, можно их заблокировать, оставив минимальное количество открытых, с