Безпека в мережах на базі ос windows

Володимир Молочков (В. Новгород)

Виявлення мережевих вразливостей скануванням портів ПК

Одна з функцій адміністратора мережі (сисадміна) - виявити недоліки у функціонуванні мережі і усунути їх. Для цього потрібно просканувати мережу і закрити (блокувати) всі необов'язкові (відкриті без необхідності) мережеві порти. Нижче, для прикладу, представлені служби TCP / IP, які можна відключити:

  • finger - отримання інформації про користувачів
  • talk - можливість обміну даними по мережі між користувачами
  • bootp - надання клієнтам інформації про мережу
  • systat - отримання інформації про систему
  • netstat - отримання інформації про мережу, такий як поточні з'єднання
  • rusersd - отримання інформації про користувачів, зареєстрованих в даний момент

Команда netstat має набір ключів для відображення портів, що знаходяться в активному і / або пасивному стані. З її допомогою можна отримати список серверних додатків, що працюють на даному комп'ютері. Більшість серверів знаходиться в режимі LISTEN - очікування запиту на з'єднання. Стан CLOSE_WAIT означає, що з'єднання розірвано. TIME_WAIT - з'єднання очікує розриву. Якщо з'єднання перебуває в стані SYN_SENT, то це означає наявність процесу, який намагається, встановити з'єднання з сервером. ESTABLISHED - з'єднання встановлено, тобто мережеві служби працюють (використовуються).
Отже, команда netstat показує вміст різних структур даних, пов'язаних з мережею, в різних форматах в залежності від зазначених опцій. Для сокетів (програмних інтерфейсів) TCP припустимі наступні значення стану:

  • CLOSED - Закритий. Сокет не використовується.
  • LISTEN - Чекає вхідних з'єднань.
  • SYN_SENT - Активно починає з'єднуватися.
  • SYN_RECEIVED - Йде початкова синхронізація з'єднання.
  • ESTABLISHED - З'єднання встановлено.
  • CLOSE_WAIT - Дистанційна сторона відключилася; очікування закриття сокета.
  • FIN_WAIT_1 - Сокет закритий; відключення з'єднання.
  • CLOSING - Сокет закритий, потім віддалена сторона відключилася; очікування підтвердження.
  • LAST_ACK - Дистанційна сторона відключилася, потім сокет закритий; очікування підтвердження.
  • FIN_WAIT_2 - Сокет закритий; очікування відключення віддаленої сторони.
  • TIME_WAIT - Сокет закритий, але очікує пакети, ще знаходяться в мережі для обробки

Виявлення відкритих на ПК портів утилітою Netstat
Для виконання практичного завдання на комп'ютері необхідно виконати команду Пуск> Виконати. Відкриється вікно Запуск програми, в ньому введіть команду cmd.

Запустіть на вашому ПК Інтернет і зайдіть, наприклад, на www.yandex.ru. Знову виконайте команду netstat. Як бачимо, додалося кілька нових активних портів з їх різними станами.

Команда netstat має наступні опції.

-p - Показати статистичну інформацію по протоколам. При використанні з опцією -r, показує статистику маршрутизації.

Програма NetStat Agent

Уявіть ситуацію: ваше Інтернет-з'єднання стало працювати повільно, комп'ютер постійно щось качає з Мережі. Вам допоможе програма NetStat Agent. З її допомогою ви зможете знайти причину проблеми і заблокувати її. Інакше кажучи, NetStat Agent - корисний набір інструментів для моніторингу Інтернет з'єднань і діагностики мережі. Програма дозволяє відстежувати TCP і UDP з'єднання на ПК, закривати небажані з'єднання, завершувати процеси, оновлювати і звільняти DHCP настройки адаптера, переглядати мережеву статистику для адаптерів і TCP / IP протоколів, а також будувати графіки для команд Ping і TraceRoute.

До складу програми NetStat Agent увійшли наступні утиліти:

Сканер портів Nmap (Zenmap)

Nmap - популярний сканер портів, який обстежує мережу і проводить аудит захисту. Використовувався у фільмі «Матриця: Перезавантаження» при зломі комп'ютера. Наша завдання не зламати, а захистити ПК, оскільки один і той же зброю можна використовувати як для захисту, так і для нападу. Інакше кажучи, сканером портів nmap можна визначити відкриті порти комп'ютера, а для безпеки мережі користувачам рекомендується закрити доступ до цих портів за допомогою брандмауера.

Монітор портів TCPView

TCPView показує всі процеси, що використовують Інтернет-з'єднання. Запустивши TCPView, можна дізнатися, який порт відкритий і який додаток його використовує, а при необхідності і негайно розірвати з'єднання.

Оcнове офісної політики безпеки

Інформаційна безпека - величезна тема, тут ми тільки трохи доторкнулися до неї. Ось тільки кілька положень з правил поведінки співробітників підприємств малого бізнесу.

Користувачам не дозволяється встановлювати на комп'ютерах і в мережі Компанії програмне забезпечення без дозволу системного адміністратора. Користувачі не повинні пересилати електронну пошту іншим особам і організаціям без дозволу відправника. Користувачам забороняється змінювати і копіювати файли, що належать іншим користувачам, без дозволу власників файлів. Користувач несе відповідальність за збереження своїх паролів для входу в систему. Забороняється роздруковувати, зберігати в мережі або передавати іншим особам індивідуальні паролі. І так далі…