LXF94:Следим за сетью - История изменений

Lodger: /* Тактика защиты от вторжений */

2008-03-11T15:54:50Z

‎Тактика защиты от вторжений

Lodger: /* Послание в бутылке */

2008-03-11T15:53:17Z

‎Послание в бутылке

Lodger: /* Фильтр свирепствует */

2008-03-11T15:50:19Z

‎Фильтр свирепствует

Lodger: /* Часть 2: Анализ данных */

2008-03-11T14:01:44Z

‎Часть 2: Анализ данных

Lodger: /* Часть 1: Перехват данных */

2008-03-11T14:00:34Z

‎Часть 1: Перехват данных

Lodger: /* Wireshark: Ловите данные в сети */

2008-03-11T13:56:26Z

‎Wireshark: Ловите данные в сети

Lodger: Новая: == Wireshark: Ловите данные в сети == ''Исследуя вашу сеть, можно добыть массу полезной информации. '''Грэм Мор...

2008-03-11T13:48:20Z

Новая: == Wireshark: Ловите данные в сети == ''Исследуя вашу сеть, можно добыть массу полезной информации. '''Грэм Мор...

Новая страница

== Wireshark: Ловите данные в сети ==
''Исследуя вашу сеть, можно добыть массу полезной информации. '''Грэм Моррисон''' применит пакетный анализатор, чтобы продемонстрировать беззащитность ваших данных.''

=== Часть 1: Перехват данных ===

==== Надзор за устройствами ====

==== Захват без разбора ====

==== Внимание, эксперимент! ====

=== Часть 2: Анализ данных ===

==== Фильтр свирепствует ====

==== Послание в бутылке ====

----

== Тактика защиты от вторжений ==

← Предыдущая		Версия 15:54, 11 марта 2008
Строка 70:		Строка 70:

	== Тактика защиты от вторжений ==		== Тактика защиты от вторжений ==
		+
		+	Простые электронные письма, мгновенные сообщения, путешествие в Web, VNC, IRC, Telnet. Эти протоколы передают данные в простом текстовом формате, и данные легко прочтет любой, кто может запустить Wireshark в вашей сети и потратить время на сбор сотен передаваемых пакетов.
		+	Вот почему персональные данные, вроде деталей банковского счета и информации о кредитных картах, и даже ваше имя и адрес на самом деле
		+	не должны пересылаться через незащищенное интернет-соединение.
		+
		+	По этой причине и возникло множество шифрованных интернет-протоколов. Наиболее общим примером является HTTPS, безопасная версия протокола передачи гипертекста (HTTP), он используется везде: от интернет-банков до сетевых магазинов. То же делает VPN, обеспечивая туннель для удаленной сети через незащищенный уровень (Интернет) к локальному компьютеру – подробности см. на стр. 101 или в LXF93. Любой взломавший соединение увидит разве что зашифрованные пакеты VPN, и не сможет узнать что-либо без взлома ключа шифрования. А это уже совсем другая тема.
		+
		+	'''Советы по поддержанию безопасности'''
		+
		+	*Всегда используйте HTTPS для передачи важной информации через Web.
		+	*Используйте SSH для удаленных соединений, желательно с авторизацией по ключу.
		+	*Туннелируйте незащищенные протоколы, вроде VNC, через ваше SSH-соединение.
		+	*Переключитесь на протокол с шифрованием для отсылки и приема почты.

← Предыдущая		Версия 15:50, 11 марта 2008
Строка 49:		Строка 49:

	==== Фильтр свирепствует ====		==== Фильтр свирепствует ====
		+
		+	Вся эта информация весьма объемна. Для работы с ней Wireshark имеет отличный фильтр, основанный на простом синтаксисе, для уменьшения путаницы на экране; он действительно выделяет пакеты, достойные интереса. Вы можете ввести фильтр напрямую в область поиска над списком пакетов, но для начала проще нажать кнопку Фильтр [Filter] слева от этого поля: здесь имеется несколько стандартных примеров фильтров, наряду с полезным мастером создания и сохранения собственных. Поэкспериментируйте с примерами. Набрав, допустим, ip.addr = = 192.168.0.1, вы получите список только тех пакетов, отправителем или получателем которых является адрес 192.168.0.1 (полезно, если вы хотите проверить отдельного клиента в вашей сети). ip.addr – это поле фильтра, и вы увидите полный список 44 185 возможных вариантов, поддерживаемых Wireshark, нажав Справка > Поддерживаемые протоколы [Help > Supported Protocols] и выбрав вкладку Отобразить поля фильтра [Display Filter Fields].
		+
		+	Но пока мы ограничимся одним протоколом, а именно, используемым MSN Messenger для связи с клиентами. Обычно Wireshark определяет используемые протоколы путем поиска по номеру порта в информации пакета, и вы можете увидеть список 820 распознаваемых протоколов, открыв Справка > Поддерживаемые протоколы [Help > Supported Protocols]. Тот, который нас интересует, обозначен как MSNMS – MSN Messenger Service. Можно отфильтровать список пакетов по этому протоколу, набрав в фильтре msnms. Вы заметите, что поле фильтра окрашивается красным, когда невозможно выполнить фильтр, и зеленым, когда основные ключевые слова распознаны.
		+
		+	Введите msnms и нажмите Применить [Apply]; список пакетов обновится, чтобы показать саму MSN-сессию, записанную в пакетах (для обзора выполняемого процесса, см. врезку «Шаг за шагом»). Щелчок на заголовке поля Номер пакета [Packet Number] отсортирует пакеты в порядке их получения, облегчив рассмотрение потока соединения. Первым делом в глаза бросается то, что сама передача представляет собой обмен данных между вашим локальным клиентом и различными MSN-серверами. Вы можете заметить это по перепрыгиванию вашего IP-адреса из поля Отправитель [Source] в поле Получатель [Destination], поскольку пакеты пересылаются и принимаются между двумя машинами.
		+
		+	Вы также можете увидеть ход транзакции. Сперва пакеты содержат очень мало информации: первые два просто проверяют версию MSN-протокола, используемую обеими машинами. Первый важный пакет в наших захваченных данных – это третий. Он высылается нашим клиентом и содержит передачу инициализации для MSN-соединения. В него включено имя пользователя, а для большинства MSN-записей это просто адрес на Hotmail. Хорошо уже и то, что не показывается пароль. Это потому, что большинство соединений для аутентификации MSN Messenger по умолчанию используют протокол с шифрованием – HTTPS, и эти данные не прочесть как обычный текст. Если же вы используете обычную HTTP-аутентификацию, то ваш пароль будет как на ладони.

	==== Послание в бутылке ====		==== Послание в бутылке ====

← Предыдущая		Версия 14:01, 11 марта 2008
Строка 42:		Строка 42:

	=== Часть 2: Анализ данных ===		=== Часть 2: Анализ данных ===
		+
		+	Сетевые данные – это двоичные данные; вы вряд ли что-либо поймете, загрузив их в текстовый редактор. Сила Wireshark в его способности
		+	декодировать информационные поля, содержащиеся в захваченных двоичных данных. Путем поиска определенных шаблонов в данных, Wireshark может точно определить тип используемого протокола, а по нему извлечь необходимую дополнительную информацию.
		+
		+	Главное окно данных в Wireshark (см. ниже) показывает разборку содержимого каждого пакета сетевых данных, которые Wireshark умеет распознавать. Первый левый столбец – порядковый номер пакета, в соответствии с его получением. Рядом находится время получения пакета. Справа от времени расположены IP-адреса отправителя и получателя, найденные в пакете – откуда пакет послан и куда направляется. Столбец Протокол [Protocol] отображает аббревиатуру найденного протокола для пакета, а в последнем столбце выводится ценная информация, извлеченная благодаря тому, что Wireshark распознал протокол, и какие данные в пакете наиболее полезны.

	==== Фильтр свирепствует ====		==== Фильтр свирепствует ====

@@ Строка 59: / Строка 59: @@
 ==== Послание в бутылке ====
 ----
 == Тактика защиты от вторжений ==

@@ Строка 13: / Строка 13: @@
 === Часть 1: Перехват данных ===
 ==== Надзор за устройствами ====
 ==== Захват без разбора ====
 ==== Внимание, эксперимент! ====
 === Часть 2: Анализ данных ===

@@ Строка 1: / Строка 1: @@
 == Wireshark: Ловите данные в сети ==
 ''Исследуя вашу сеть, можно добыть массу полезной информации. '''Грэм Моррисон''' применит пакетный анализатор, чтобы продемонстрировать беззащитность ваших данных.''
 === Часть 1: Перехват данных ===