Analiza ruchu w sieci PDF Drukuj Email
Redaktor: Administrator   
10.02.2009.

Analiza ruchu w sieci jest w stanie dostarczyć wiele ważnych informacji. Programami powszechnie wykorzystywanymi do analizy ruchu w sieci komputerowej są tak zwane sniffer'y. Pojęcie "sniffing" z języka angielskiego oznacza wąchanie.

Sniffing nie powoduje zmian w normalnym przepływie danych ani też nie wprowadza żadnych danych do sieci, stanowi jednak zagrożenie dla poufności informacji, które w pewnych sytuacjach jest nie do zaakceptowania. Często również jest wstępem do ataku czynnego. Przykładem może tu być podsłuchiwanie haseł dających dostęp do określonych zasobów, co może być równoznaczne z modyfikacją lub utratą pewnych informacji. W najbardziej popularnych sieciach (na przykład Ethernet) budowa ramki sieciowej wygląda następująco. W nagłówku ramki znajdują się sześciobajtowe adresy przeznaczenia i źródła, dwa bajty typu ramki, od 46 do 1500 bajtów danych i na końcu cztery bajty sumy kontrolnej CRC. Adresami źródła i przeznaczenia są fizyczne adresy MAC (Medium Access Control) interfejsów sieciowych. Adresy te są unikalne w skali światowej i odmiennie do adresów IP są nadawane przez producenta w procesie produkcji. Unikalność uzyskuje się w ten sposób, że każdy producent ma przydzielony swój niepowtarzalny numer, tak zwany vendor number, który stanowi pierwszą połowę adresu MAC, zaś drugą połowę adresu nadaję samodzielnie dbając o unikalność numerowania dla każdej sztuki przez siebie wyprodukowanej. Proces komunikacji pomiędzy dwoma urządzeniami w jednym segmencie lokalnej sieci Ethernet wygląda następująco. Każdy interfejs sieciowy przyłączony do tego samego segmentu odbiera każdą wysłaną ramkę. Już na poziomie sprzętowym odczytywany jest adres przeznaczenia ramki i porównywany z własnym adresem. Jeżeli adresy są takie same, to zawartość ramki jest przekazywane dalej w górę stosu protokołów, jeżeli jest on różny to jest ignorowany. Właśnie w tym miejscu pojawia się pewien element, który umożliwia podsłuch. Większość interfejsów sieciowych można ustawić w tak zwany tryb mieszany (promiscuous), w którym to identyczność adresów celu i własnego nie jest sprawdzana a w związku z tym, wszystkie ramki docierające z sieci są dalej przetwarzane. Mechanizm podsłuchu nie jest zawsze używany do nieuprawnionego zapoznania się z ważnymi informacjami, które z racji swojego charakteru nie powinny być ujawnione. Przykładem urządzeń dokonujących sniffingu, są urządzenia sprzedawane jako analizatory sieci. Pomagają one administratorom w diagnozowaniu wielu ukrytych problemów, które mogą być niewidoczne z danego serwera. Problemy te zazwyczaj obejmują dziwne interakcje pomiędzy więcej niż jednym komputerem i czasem odnoszą się do wielu protokołów, oddziałujących na siebie w nietypowy sposób. Także większość systemów Intrusion Detection System (IDS) analizuje dane dostarczone przez moduły działające dokładnie jak sniffery. W rękach doświadczonego administratora sniffer jest nieocenionym pomocnikiem w ustalaniu przyczyn nieprawidłowego działania sieci. Dzięki analizatorowi można określić, jak wiele ruchu w sieci odbywa się przy użyciu jakich protokołów, które hosty są źródłami największej liczby danych. Można też badać dane przesyłane pomiędzy daną parą hostów, segregować je według protokołu i przechowywać do dalszej analizy. Gdy użyjemy wystarczająco silnego komputera analizę taką możemy dokonywać w czasie rzeczywistym. Urządzenia, które wykorzystują sniffing są użyteczne i potrzebne pod warunkiem, że nie będą wykorzystywane przez osoby ze złymi zamiarami. Dostęp do oprogramowania, które służy do sniffingu jest wielkim ułatwieniem dla administratorów. Dostępność tego oprogramowania oznacza jednak również, że inni użytkownicy mogą przechwytywać wszelkie dane płynące przez sieć i wykorzystać je do nieuprawnionych działań. Sniffing danych z sieci może prowadzić do utraty tajności kilku rodzajów informacji. Zaliczyć do nich można: hasła, numery kont bankowych, kart kredytowych czy dane prywatne. Najczęstszym rodzajem utraty tajności w systemach komputerowych jest ujawnienie haseł. W większości obecnie używanych protokołach sieciowych hasło nie jest szyfrowane, zatem jest możliwe by dowolny komputer umieszczony między klientem a serwerem, podsłuchał nazwę konta i hasło użytkownika. Jeśli zatem jesteśmy wyposażenie w odpowiednie oprogramowanie podsłuchiwanie staje się bardzo proste.

Ochrona
Jedną z metod obrony jest segmentowanie sieci, czyli używanie hubów przełączających (switchy), które często nazywane są routerami warstwy łącza. Umożliwiają one skonfigurowanie sieci w ten sposób, że określone ramki są kierowane tylko do znanego wcześniej segmentu. Można rozwijać koncepcję segmentacji sieci, aż do tak zwany mikrosegmentacji, w której nawet pojedyncza stacja robocza może mieć przydzielony samodzielny segment. Pomocna może być również wymiana we wszystkich komputerach kart sieciowych na takie, które nie pracują w trybie mieszanym (promiscous). Należy korzystać z kryptografii, gdyż nieuprawniony użytkownik będzie wstanie pozyskać tylko kilka nic nie znaczących znaków, których rozkodowanie będzie bardzo czasochłonne i kosztowne. Bardzo pomocne są antysniffery, czyli programy, których zadaniem jest wykrycie, czy do segmentu lokalnej sieci podłączone są interfejsy sieciowe (ustawione w tryb mieszany - promiscous), zbierające informacje które nie są dla nich przeznaczone. Jak nie zawsze obecność takiego interfejsu oznacza nielegalne podsłuchiwanie sieci. Mogą to być skanery sieciowe ustawione w celach diagnostycznych lub systemy IDS. Działanie antysnifferów polega na wysyłaniu specjalnie spreparowanym pakietów, które normalnie nie mogłyby być odebrane przez żadne inne urządzenie znajdujące się w sieci. Należy używać metody challenge/response w celu autoryzacji lub łączyć się przy użyciu bezpiecznych komunikacji takich jak VPN czy chociażby bezpiecznego połączenia SSL. Wskazane jest również używanie kart elektronicznych, w miejsce autoryzacji hasłem.
 
« poprzedni artykuł
Wstecz

Sonda

Gdzie najczęściej używasz komputera?
 

Gościmy

Odwiedza nas 16 gości
prawo - Informacje na temat wplywu gospodarki na biznes, zaleznosci gieldowe

wydruk dokumentów - czarnobiałych i kolorowych
wagi elektroniczne - tanie i nie zawodne
hp bladesystem - produkty do budowy funkcjonalnych systemów inform
projektowanie serwerowni - duże wyzwanie, lepsze perspektywy
biuro tłumaczeń - przetłumaczymy dla ciebie wszystko
zegarki - casio, gino rossi
druk cyfrowy - ulotki