Слайд 112 Физический и канальный уровни Раздел 2 – Тема 5

Слайд 113 Физический и канальный уровни Канальный уровень Физический уровень Сетевой уровень Драйвер NIC

Слайд 114 Физический и канальный уровни для различных технологий Уровни OSI Технология ATM Технология X25 Технология Ethernet Технология Frame Relay Канальный Физический Уровень АТМ Подуровни ТС/РМ (стандарты ANSI T1.624) Протокол LAP-B X21, X21bis LLC/MAC Спецификации физического уровня Протокол LAP-F Интерфейсы BRI и PRI

Слайд 115 Канальный уровень Физический уровень Сетевой уровень Драйвер NIC LLC MAC Подуровни LLС и МАС

Слайд 116 Драйвер NIC Фреймы ДанныеКС Тип или Длина Адрес отправителя Адрес получателя Преамбула Заголовок LLC

Слайд 117 Драйвер NIC Адресация на канальном уровне ДанныеКС Тип или Длина Адрес отправителя Адрес получателя Преамбула Заголовок LLC Драйвер NIC

Слайд 118 Драйвер NIC ДанныеКС Тип или Длина Адрес отправителя Адрес получателя Преамбула Заголовок LLC 00 Идентификатор производителя (22 бита) Адрес узла (24 бита) МАС-адрес

Слайд Идентификатор производителя (22 бита) Адрес узла (24 бита) МАС-адрес и разграничение доступа ППЗУ (PROM)

Слайд 120 Изменение МАС-адреса (MAC Address Spoofing) На физическом уровне (перепрошивка) В момент считывания в память ОС На уровне ОС

Слайд 121 Изменение МАС-адреса на физическом уровне «Перепрошивка»

Слайд 122 Изменение МАС-адреса в момент считывания в память ОС 0xffffffff 0xfffffffe 0xfffffffd 0xfffffffc 0xfffffffb 0xfffffffa 0xfffffff9 0xfffffff8 00FDA12352E8

Слайд 123 Изменение МАС-адреса на уровне ОС Windows NT: Ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ \Parameters Значимые элементы NetworkAddress="xx-xx-xx-xx-xx-хх" SelectedID="xx-xx-xx-xx-xx-хх" ОС Windows: Значимый элемент реестра «NetworkAddress»

Слайд 124 Практическая работа 1 Изменение МАС-адреса в среде Windows 2000 Редактирование свойств сетевого адаптера Редактирование реестра Использование программы СМАС

Слайд 125 Выводы: когда требуется изменение МАС-адреса Тестирование систем на наличие уязвимостей аутентификации и авторизации на основе МАС-адресов. Резервирование узлов, при котором требуется точное совпадение имени, IP-адреса и МАС-адреса. При этом не требуется обновление ARP-таблиц узлов при вводе в строй резервного узла Разрешение проблем, связанных с маршрутизацией, работой протокола ARP и т. д. Тестирование систем обнаружения атак Установка приложений, привязанных к МАС-адресам Замена сетевого адаптера Подключение к кабельному модему (многие провайдеры услуг Интернет при выдаче IP-адреса по DHCP производят проверку МАС-адреса).

Слайд 126 Размер кадра Ethernet Данные Ethernet КС Данные Ethernet КС 46 байт - минимум 1500 байт - максимум Данные Ethernet КС Заполнитель ?

Слайд 127 Описание уязвимости CAN Multiple ethernet Network Interface Card (NIC) device drivers do not pad frames with null bytes, which allows remote attackers to obtain information from previous packets or kernel memory by using malformed packets, as demonstrated by Etherleak (Многие драйверы сетевых адаптеров не используют в качестве заполнителя нулевые байты, что позволяет нарушителю получить содержимое памяти ядра или предыдущих пакетов) Номер Описание

Слайд 128 Содержимое заполнителя Заголовок Данные Контрольная сумма 46 Заполнитель Dynamic kernel buffer (динамическая память ядра) Static device driver buffer (буфер драйвера сетевого адаптера) Hardware device transmit buffer (буфер сетевого адаптера)

Слайд 129 Switch Использование уязвимости Получение части трафика устройства, подключенного к коммутатору

Слайд 130 Тестирование на наличие уязвимости Ping -l 1 (ICMP – эхо запрос размером 1 байт)

Слайд 131 Драйверы из состава Windows 2003 Server Name: Etherleak information leak in Windows Server 2003 drivers Systems Affected: Windows Server 2003 (all versions) Severity: Low/Medium Risk Vendor URL: Author: Chris Paget Date: 9th June 2003Advisory URL: txt Advisory number: #NISR Уязвимые драйверы: VIA Rhine II Compatible (интегрированные с материнскими платами) AMD PCNet family (используются отдельными версиями VMWare)

Слайд 132 Сетевые анализаторы («снифферы»)

Слайд 133 Сетевые анализаторы («снифферы») Hub

Слайд 134 Сетевые адаптеры фильтруют сообщения и не принимают те, которые не предназначены данному узлу Такой режим работы сетевого адаптера называется селективным или режим non-promiscuous Сетевой адаптер Селективный режим работы сетевого адаптера

Слайд 135 Сетевой адаптер Неселективный режим работы сетевого адаптера Однако если сетевой адаптер перевести в режим приёма всех проходящих сообщений, то в руках злоумышленника окажется весь сетевой трафик данного сегмента Такой режим работы сетевого адаптера называется неселективным или promiscuous - режим

Слайд 136 Прослушивание среды передачи Процесс приёма данных Преамбула ? Чтение фрейма Контроль целостности Игнорирование Чтение адреса получателя Широковеща- тельный ? Правильно? Мой адрес ? Нет Да Нет Да Нет Игнорирование Передача данных на уровень выше Конец фрейма? Нет Да

Слайд 137 Селективный режим 1 32 NIC Адрес получателя совпадает с адресом узла или Адрес получателя широковещательный и Пакет прошёл проверку целостности

Слайд 138 Неселективный режим 1 32 NIC Пакет прошёл проверку целостности

Слайд 139 SnifferPro Microsoft Network Monitor (SMS) Real Secure Network Sensor Сетевые анализаторы

Слайд 140 Обнаружение снифферов Шифрование трафика Меры защиты Использование сетевых адаптеров, не поддерживающих неселективный режим Применение коммутаторов

Слайд 141 Применение коммутаторов Hub Узел 1 Узел 2 Узел 3 Switch Узел 1 Узел 2 Узел 3

Слайд 142 Switch Уязвимости коммутаторов Переполнение адресной таблицы Большое число пакетов с различными МАС-адресами источника Переполнение адресной таблицы Hub

Слайд 143 Switch Уязвимости коммутаторов Очистка адресной таблицы Hub

Слайд 144 Обнаружение снифферов по косвенным признакам (Network Monitor) NIC nbtstat -a Name Type Status NT-IIS UNIQUE Registered EDUDOMAIN GROUP Registered EDUDOMAIN UNIQUE Registered..__MSBROWSE__ GROUP Registered ADMINISTRATOR UNIQUE Registered NT-IIS UNIQUE Registered

Слайд 145 Технология обнаружения снифферов (UNIX) NIC MACIPICMP корректный некорректный (несуществующий) МАС-адрес получателя 00 1

Слайд 146 Технология обнаружения снифферов (Windows) NIC MACIPICMP корректный некорректный широковещательный МАС-адрес получателя ff : ff : ff : ff : ff : ff ff : 00 : 00 : 00 : 00 : 00

Слайд 147 Технология обнаружения снифферов (DNS-тест) NIC MACIPДанные некорректный IP-адрес отправителя (получателя) Обратный DNS- запрос

Слайд 148 Технология обнаружения снифферов (анализ задержек) NIC Обычный трафик

Слайд 149 Технология обнаружения снифферов (анализ задержек) NIC Увеличенный трафик

Слайд 150 Технология обнаружения снифферов (анализ задержек) NIC Увеличенный трафик MACIPICMP

Слайд 151 Технология обнаружения снифферов (анализ задержек) NIC Увеличенный трафик MACIPICMP

Слайд 152 Протокол РРР Канальный уровень Физический уровень Сетевой уровень Транспортный уровень Уровень соединения Уровень представления Уровень приложения Сетевой уровень Link and Network Control Protocol Full-Duplex Physical Link RFC1331

Слайд 153 Протокол РРР Канальный уровень Физический уровень Сетевой уровень Транспортный уровень Уровень соединения Уровень представления Уровень приложения Сетевой уровень Link and Network Control Protocol Full-Duplex Physical Link RFC1331 Link Control Protocol Установление соединения Network Control Protocol Взаимодействие с IP, IPX

Слайд 154 Конфигурация сети (попарная) Рабочие места слушателей Внутренний сервер FTP,WWW Внутренний узел Маршрутизатop, FireWall`-1 NT, Linux y.x x... NT, IIS

Слайд 155 Конфигурация сети (обычная) Рабочие места слушателей Внутренний сервер FTP,WWW NT, Linux y... NT, IIS

Слайд 156 Практическая работа 2 Сетевые анализаторы Установка SnifferPro 1.5 Основные приёмы работы с программой Фильтрация по различным критериям Работа с триггерами (пояснения далее)

Слайд 157 Триггеры для сетевых анализаторов Анализатор с настроенным триггером Пакет с определенным содержимым Прекращение сбора трафика

Слайд 158 Назначение триггеров Анализатор с настроенным триггером Обнаружение однопакетных атак ООВ Port=139 Атака WinNuke

Слайд 159 Назначение триггеров Анализатор с настроенным триггером Взаимодействие с системами обнаружения атак Система Обнаружения атак Попытка атаки Обнаружена атака Пакет с определенным содержимым (требуется настройка) Прекращение сбора трафика