Основной задаче данного мониторинга является составление полноценной картины ЛВС АКБ «Банк», выявление узких мест и возможных проблем способных привести к неработоспособности всей сети или ее части, потере критичных для бизнеса заказчика данных. Избежание неоправданных расходов на модернизацию. Выявить причины неудовлетворительной производительности работы сети, анализ антивирусной защиты сети и защищенности от НСД, а также общий анализ топологии и масштабируемости.
При разработке методики мониторинга сети, учитывая то, что основополагающим фактом успешного функционирования сети считалась ее стабильная работа, приоритетной учитывалась политика наименьшего вмешательства в ее работу и работу сетевого оборудования.
Для построения карты сети – схемы соединения коммутаторов и рабочих станций, скорость каналов – использовалась программа 3COM Network Director .
С помощью программы MRTG [ http://people.ee.ethz.ch/~oetiker/webtools/mrtg/ ]была снята статистика загруженности портов с корневого коммутатора сети.
Поскольку обе программы используют для получения необходимой информации протокол SNMP, то он был включен на коммутаторе Cisco 3750, на остальных коммутаторах SNMP уже был включен.
Анализ трафика производился с помощью программы Sniffer Pro [ http://www.mcafee.ru/products/sniffer/ ] установленной на компьютере подключенном к порту коммутатора Cisco 3750 настроенного в качестве порта SPAN.
При включении этой технологии пакеты проходящие через выбранные порты дублируются на порт к которому подключен сетевой анализатор.
На серверах были включены счетчики загруженности процессора памяти и жестких дисков.
Внешние IP адреса были просканированы на поиск возможных уязвимостей с помощью программы XSpider [ http://www.ptsecurity.ru/ ] .
Для описания состояния сети был выбран метод пороговых значений суть которого заключается в сравнении каждого измеряемого значения с табличным рекомендуемым значением.
* Рассчитывается по счетчику Memory: Commited bytes
п/н
Измеряемый параметр
Критичное значение
Удовлетворительное
1
Processor: % Processor Time
>75
<30
2
Memory: Available Bytes*
<4MB
>64MB
3
Memory: Fault Pages/sec
>120
<40
4
Physical Disk: Avg. Queue Length
>1
0
По результату сравнения состояние подсистемы признается удовлетворительны, неудовлетворительным или критичным.
Оценка различных компонентов ЛВС будет производится в результате интегральной оценки состояний ее подсистем. Весовые коэффициенты оценки здоровья подсистем будут выбираться в зависимости их значимости для выполняемых задач и критичности этих задач для бизнеса заказчика.
Диаграммы были построены на основе данных собранных Sniffer в течении рабочего дня и отражают процентное содержание различных протоколов в трафике.
Диаграмма показывает распределение протоколов между IP и IPX.
Процент распределения протоколов внутри IPX. Протокол NCP используется для служебной информации и печати.
Процент распределения протоколов внутри IP.
Из диаграмм можно сделать вывод, что печать занимает около 15%-20% процентов сетевого трафика.
HTTP – около 1 %
Почта – чуть более 0.5%
На графике изброжено отношение широковещательного трафика к общему.
Из графика можно сделать вывод, суммарный широковещательный трафик ничтожен и практически не занимает полосу пропускания.
Графическое изображение потоков трафика в локальной сети по устройствам.
Данные диаграммы построены с помощью программы Sniffer. С их помощью можно определить устройства создающие излишне большой трафик в сети (таких устройств не найдено), так же они позволяют полнее представить общую картину сети.
Имя сервиса устанавливаемого на этом порту по умолчанию : rtsp
Сервис
Wingate Engine
порт
808 / tcp
Информация
Имя сервиса : Wingate Remote Control Service - административная часть
Сервис
RPC mstask.exe
порт
1027 / tcp
Информация
Имя сервиса : Task Scheduler Engine
Доступна информация
Scheduler Service
Описание
Если вы не используете планировщик задач, то разумным будет отключить его, т.к. данный сервис часто используется атакующими для запуска вредоносного кода.
Решение
Заблокируйте сервис следующим ключём реестра:
HKEY_LOCAL_MACHINE
SYSTEM\CurrentControlSet\Services\Schedule
Start = 4
Сервис
?
порт
1720 / tcp
Информация
Сервис не определен
Имя сервиса устанавливаемого на этом порту по умолчанию : h323hostcall
Сервис
?
порт
1723 / tcp
Информация
Сервис разрывает соединение при попытке подключения к нему
Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
Сервис
?
порт
1755 / tcp
Информация
Сервис разрывает соединение при попытке подключения к нему
Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
Сервис
?
порт
2000 / tcp
Информация
Сервис разрывает соединение при попытке подключения к нему
Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
Сервис
?
порт
6666 / tcp
Информация
Сервис разрывает соединение при попытке подключения к нему
Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
Сервис
?
порт
6667 / tcp
Информация
Сервис разрывает соединение при попытке подключения к нему.
Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
Сервис
?
порт
6668 / tcp
Информация
Сервис разрывает соединение при попытке подключения к нему. Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
Сервис
порт
7070 / tcp
Информация
Сервис разрывает соединение при попытке подключения к нему. Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
Сервис
?
порт
8081 / tcp
Информация
Сервис разрывает соединение при попытке подключения к нему. Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
Хост
195.210.129.70
Информация
Имя хоста (полученное при обратном DNS запросе):
Derzhava.access.comstar.ru
Время отклика:
156 мсек
TTL:
122
Параметры сканирования
Начало сканирования:
11:37:57 19.07.2004
Время сканирования:
00:52:37
Доступна информация
Windows NT 4.0
Описание
Вероятная версия операционной системы : Windows NT 4.0
Сервис
FTP выключенный
порт
2 / tcp
Информация
421 Service not available (The FTP server is not responding.)
Сервис
?
порт
33 / tcp
Информация
Сервис не определен.
Имя сервиса устанавливаемого на этом порту по умолчанию : dsp
Сервис
?
порт
97 / tcp
Информация
Сервис не определен
Имя сервиса устанавливаемого на этом порту по умолчанию : swift-rvf
** #24 B3200000000486d #13 #10 #17
Сервис
?
порт
98 / tcp
Информация
Сервис не определен.
Имя сервиса устанавливаемого на этом порту по умолчанию : tacnews
Сервис
?
порт
99 / tcp
Информация
Сервис разрывает соединение при попытке подключения к нему
Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
Сервис
Microsoft RPC
порт
135 / tcp
Информация
Имя сервиса : Microsoft Remote Procedure Call
Серьезная уязвимость
Удаленное выполнение команд (ms04-012)
Описание
Возможно получение удаленной командной строки с правами системы из-за переполнения буфера в DCOM RPC сервиса.
Имя сервиса : NetBIOS (Network Basic Input/Output System) Session Service Protocol
Сервис
NetBIOS
порт
139 / tcp
Информация
Имя сервиса : Network Basic Input/Output System
Уязвимость
Список ресурсов
Описание
Список ресурсов хоста
C – пользовательский
D – пользовательский
G – пользовательский
ADMIN$ (Remote Admin) - диск по умолчанию
IPC$ (Remote IPC) - pipe по умолчанию
C$ (Default share) - диск по умолчанию
D$ (Default share) - диск по умолчанию
G$ (Default share) - диск по умолчанию
Всегда следует чётко следить за теми данными, которые пользователь предоставляет для общего доступа.
Решение
Windows:
Отключить доступ по нулевой сессии (см. уязвимость "доступ по нулевой сессии")
Samba:
Разрешить доступ к серверу только зарегестрированным пользователям:
в файле smb.conf изменить ключ security= share на security= user (или security = server или security = domain ).
Уязвимость
Список пользователей ( 1 - 5 )
Описание
Список пользователей хоста :
пользователь : 902
привилегии : Администратор
входов : 1
время последнего подключения : Wed Jul 14 13:59:00 2004
с момента последней смены пароля прошло (дней) : 4
статус аккаунта : срок действия пароля неограничен
пользователь : Administrator
привилегии : Администратор
комментарий : Built-in account for administering the computer/domain
входов : 133
время последнего подключения : Wed Jul 14 23:11:53 2004
время последнего отключения : Tue Jun 29 16:41:32 2004
с момента последней смены пароля прошло (дней) : 278
статус аккаунта : срок действия пароля неограничен
пользователь : but
привилегии : Администратор
входов : 830
время последнего подключения : Sun Jul 18 04:02:13 2004
время последнего отключения : Mon Jul 19 12:20:37 2004
с момента последней смены пароля прошло (дней) : 354
статус аккаунта : срок действия пароля неограничен
пользователь : Guest
привилегии : Гость
комментарий: Built-in account for guest access to the computer/domain
входов : 0
с момента последней смены пароля прошло (дней) : 1180
статус аккаунта : отключен (disabled), срок действия пароля неограничен
пользователь : vvs
привилегии : Администратор
входов : 0
время последнего подключения : Tue Oct 21 12:18:48 2003
с момента последней смены пароля прошло (дней) : 361
статус аккаунта : срок действия пароля неограничен
Получение списка пользователей позволяет удалённому атакующему начать перебор паролей к существующим учётным записям.
Решение
Windows:
Отключить доступ по нулевой сессии (см. уязвимость "доступ по нулевой сессии")
Samba:
Разрешить доступ к серверу только зарегестрированным пользователям: в файле smb.conf изменить ключ security= share на security= user (или security = server или security = domain ).
Уязвимость
Список активных сессий
Описание
Список активных сессий:
хост :
пользователь :
длительность подключения : 00:00:31
Получение списка активных сессий позволяет удалённому атакующему атаковать менее защищенные хосты, с которых осуществляются подключения к серверу, с целью получения привилегий на сервере.
Решение
Отключить доступ по нулевой сессии (см. уязвимость "доступ по нулевой сессии") и/или отключить гостевой логин на сервере.
Доступна информация
Имя компьютера и домен
Описание
Имя компьютера : PROXY_CS
Домен : PROXY
Доступна информация
Список групп пользователей
Описание
Список групп пользователей:
Локальные группы пользователей :
группа : Administrators
комментарий : Members can fully administer the computer/domain
группа : Backup Operators
комментарий : Members can bypass file security to back up files
группа : Guests
комментарий : Users granted guest access to the computer/domain
группа : Power Users
комментарий : Members can share directories and printers
группа : Replicator
комментарий : Supports file replication in a domain
группа : Users
комментарий : Ordinary users
Глобальные группы пользователей :
группа : None
комментарий : Ordinary users
Решение
Отключить доступ по нулевой сессии (см. уязвимость "доступ по нулевой сессии") и/или отключить гостевой логин на сервере.
Доступна информация
Список транспортных протоколов
Описание
Список транспортных протоколов, установленных на хосте :
устройство (протокол) : \Device\NetBT_DE5282
имя сервера : PROXY_CS
сетевой адрес : 0050badc4b60
число подключенных пользователей : 0
домен : PROXY
устройство (протокол) : \Device\NetBT_DE5282
имя сервера : PROXY_CS
сетевой адрес : 0050badc4b60
число подключенных пользователей : 0
домен : PROXY
устройство (протокол) : \Device\NetBT_DE5281
имя сервера : PROXY_CS
сетевой адрес : 0050badc5542
число подключенных пользователей : 0
домен : PROXY
устройство (протокол) : \Device\NetBT_DE5281
имя сервера : PROXY_CS
сетевой адрес : 0050badc5542
число подключенных пользователей : 0
домен : PROXY
устройство (протокол) : \Device\NetBT_NdisWan5
имя сервера : PROXY_CS
сетевой адрес : 000000000000
число подключенных пользователей : 0
домен : PROXY
устройство (протокол) : \Device\NetBT_NdisWan5
имя сервера : PROXY_CS
сетевой адрес : 000000000000
число подключенных пользователей : 1
домен : PROXY
Решение
Отключить доступ по нулевой сессии (см. уязвимость "доступ по нулевой сессии") и/или отключить гостевой логин на сервере.
Доступна информация
Доступ по нулевой сессии
Описание
Эта уязвимость существует только в том случае, если Вы не являетесь Администратором
на проверяемом хосте
Доступ по нулевой сессии представляет собой возможность неавторизованного подключения к хосту с операционной системой основанной на Windows NT (или ОС семейства UNIX с установленным пакетом Samba) с пустым логином и паролем. При включенной нулевой сессии анонимный пользователь может получить большое количество информации о конфигурации системы (список расшаренных ресурсов, список пользователей, список рабочих групп и т.д.). Полученная информация в дальнейшем может быть использованна для попыток несанкционированного доступа.
установить значение параметра RestrictNullSessionAccess = 1 ( тип параметра –
REG_DWORD )
Перегрузить систему для вступления изменений в силу.
Samba:
Разрешить доступ к серверу только зарегестрированным пользователям: в файле smb.conf изменить ключ security= share на security= user (или security = server или security = domain ).
Сервис разрывает соединение при попытке подключения к нему. Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
Сервис
?
порт
554 / tcp
Информация
Сервис не определен.
Имя сервиса устанавливаемого на этом порту по умолчанию : rtsp
Сервис
Wingate Engine
порт
808 / tcp
Информация
Имя сервиса : Wingate Remote Control Service - административная часть
Сервис
?
порт
1025 / tcp
Информация
Сервис разрывает соединение при попытке подключения к нему. Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
Сервис
RPC mstask.exe
порт
1027 / tcp
Информация
Имя сервиса : Task Scheduler Engine
Доступна информация
Scheduler Service
Описание
Если вы не используете планировщик задач, то разумным будет отключить его, т.к. данный сервис часто используется атакующими для запуска вредоносного кода.
Решение
Заблокируйте сервис следующим ключём реестра:
HKEY_LOCAL_MACHINE
SYSTEM\CurrentControlSet\Services\Schedule
Start = 4
Сервис
?
порт
1720 / tcp
Информация
Сервис разрывает соединение при попытке подключения к нему. Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
Сервис
?
порт
1723 / tcp
Информация
Сервис разрывает соединение при попытке подключения к нему. Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
Сервис
?
порт
1755 / tcp
Информация
Сервис разрывает соединение при попытке подключения к нему. Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
Сервис
?
порт
2000 / tcp
Информация
Сервис разрывает соединение при попытке подключения к нему. Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
Сервис
?
порт
6666 / tcp
Информация
Сервис разрывает соединение при попытке подключения к нему. Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
Сервис
?
порт
6667 / tcp
Информация
Сервис разрывает соединение при попытке подключения к нему. Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
Сервис
?
порт
6668 / tcp
Информация
Сервис разрывает соединение при попытке подключения к нему. Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
Сервис
?
порт
7070 / tcp
Информация
Сервис разрывает соединение при попытке подключения к нему. Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
За время наблюдения не было замечено ни одной ошибки вызванной неправильной работой сетевого оборудования или неправильной конфигурацией сетевых протоколов. Внутренняя локальная сеть находится в отличном состоянии. Ширина канала подключения основных серверов превосходит агрегированную полосу пропускания клиентских компьютеров.
Но виду разнородности сетевого оборудования наблюдаются проблемы его объединение, что приводит к его нерациональному его использованию, как например коммутатор catalist1.
Сеть не обеспечивает избыточности каналов связи и вывод из строя любого коммутатора приведет к ее неработоспособности. В виду того, что конфигурация сети не включает в себя VLAN`ы и существует достаточное количество свободных портов, а загрузка магистрали такова, что роль центрального коммутатора можно временно возложить на другой, менее производительный. Прогнозируемый простой в результате выхода коммутатора из строя от 15 мин до 1 часа.
Анализ загруженности серверов показал, что конфигурации практически всех серверов удовлетворяют возложенным на них задачам по производительности.
Исключением является сервер Exchserv на котором наблюдается острая нехватка оперативной памяти. Рекомендуется ее увеличение до 1 Гб. Так же дисковая система сконфигурированная на этом сервере не обеспечивает устойчивость хранимых данных к сбоям (по сути дисковая система на сервере представляет простой набор дисков JBOD). Учитывая выполняемую сервером роль (Exchange Server) можно предполагать, что его важность в современной организации может только расти и в скором времени превратится в «критичный для бизнеса» (business critical). В настоящее время сервер не обеспечивает каких либо перспектив для роста возложенной на него задачи, ни по производительности процессора, ни по объему дисковых накопителей.
И сервер ADMIRAL. Неудовлетворительная работа которого при выходе из строя сервера Cruiser в большей степени связана с нехваткой памяти.
Нарекание вызывает так же конфигурация дисковых систем некоторых серверов (EXCHSERV, CONCORD, MAIN2K, NTERM, NTSERVER, PROXY_CS) которые не обеспечиваю избыточность хранения данных.
Сканирование внешних интерфейсов серверов доступа в Интернет выявил серьезные уязвимости в системе безопасности, устранение которых является срочной и первоочередной задачей.
Так же можно назвать следующие проблемы сетевой безопасности:
· Недостаточная защищенность серверов доступа в Интернет, наличие на них уязвимостей.
· Отсутствие системы обнаружения атак.
· Отсутствие документированной политики безопасности.
· Недостаточное внимание уделено защите от угрозы изнутри
Были найдены следующие серьезные уязвимости уязвимости:
Хост
194.84.236.131
Серьезная уязвимость
Удаленное выполнение команд (ms04-012)
Возможно получение удаленной командной строки с правами системы из-за переполнения буфера в DCOM RPC сервиса.
Хост
195.210.129.70
Имя хоста (полученное при обратном DNS запросе):
Derzhava.access.comstar.ru
Серьезная уязвимость
Удаленное выполнение команд (ms04-012)
Возможно получение удаленной командной строки с правами системы из-за переполнения буфера в DCOM RPC сервиса.
Уязвимость
Список ресурсов
Список ресурсов хоста :
C – пользовательский
D – пользовательский
G – пользовательский
ADMIN$ (Remote Admin) - диск по умолчанию
IPC$ (Remote IPC) - pipe по умолчанию
C$ (Default share) - диск по умолчанию
D$ (Default share) - диск по умолчанию
G$ (Default share) - диск по умолчанию
Всегда следует чётко следить за теми данными, которые пользователь предоставляет для общего доступа.
Уязвимость
Список пользователей ( 1 - 5 )
Список пользователей хоста :
пользователь : 902
привилегии : Администратор
входов : 1
время последнего подключения : Wed Jul 14 13:59:00 2004
с момента последней смены пароля прошло (дней) : 4
статус аккаунта : срок действия пароля неограничен
пользователь : Administrator
привилегии : Администратор
комментарий : Built-in account for administering the computer/domain
входов : 133
время последнего подключения : Wed Jul 14 23:11:53 2004
время последнего отключения : Tue Jun 29 16:41:32 2004
с момента последней смены пароля прошло (дней) : 278
статус аккаунта : срок действия пароля неограничен
пользователь : but
привилегии : Администратор
входов : 830
время последнего подключения : Sun Jul 18 04:02:13 2004
время последнего отключения : Mon Jul 19 12:20:37 2004
с момента последней смены пароля прошло (дней) : 354
статус аккаунта : срок действия пароля неограничен
пользователь : Guest
привилегии : Гость
комментарий : Built-in account for guest access to the computer/domain
входов : 0
с момента последней смены пароля прошло (дней) : 1180
статус аккаунта : отключен (disabled), срок действия пароля неограничен
пользователь : vvs
привилегии : Администратор
входов : 0
время последнего подключения : Tue Oct 21 12:18:48 2003
с момента последней смены пароля прошло (дней) : 361
статус аккаунта: срок действия пароля неограничен
Получение списка пользователей позволяет удалённому атакующему начать перебор паролей к существующим учётным записям.
Найденные уязвимости позволяют получить полный контроль над пограничными серверами (Proxy_CS и NTerm), контроль над этими серверами даст атакующему следующие возможности:
- полный контроль над системой электронной почты
- возможность перехвата конфиденциальной информации от клиентов банка подключающихся через систему Клиент-Банк
- данные узлы могут быть использованы в качестве плацдарма для атаки на внутреннюю сеть банка.
В качестве временного решения может быть установка на существующие сервера файрволла (например Kerio WinRoute Firewall), однако для более полноценной защиты рекомендуется использовать Microsoft Internet Security and Acceleration Server.
Наличие внутреннего протокола IPX затрудняет организацию внутренней безопасности сети в веду большой дороговизны маршрутизирующих устройств и невозможности организовать защиту конфиденциальной информации без разделения сети на широковещательные домены. И хотя протокол IPX затруднен для анализа при перехвате это не может быть хорошей защитой при целенаправленной атаке. Рекомендуется отказ от протокола IPX в пользу IP, что позволит реализовать следующие преимущества
- разделение внутренней локальной сети на широковещательные домены, возможность фильтрации трафика
В целом состояние сети можно характеризовать как «хорошее», однако проблемы в организации безопасности довольно серьезны и требуют серьезного и целостного подхода к данной проблеме.
Нет комплексного подхода в выборе типа оборудования и его производителя. Можно наблюдать большой выбор однотипного оборудования от разных производителей, как серверного так и сетевого. Отсутствие единых корпоративных стандартов в этом вопросе увеличивает издержки на поддержание и сопровождение, в тоже время снижая надежность всей сети в целом и качество ее сопровождения (знание персоналом нескольких типов одного оборудования, не способствует его глубокому знанию, в тоже время затраты на обучение возрастают).
Нельзя не отметить высокую подготовку технического персонала. Однако можно порекомендовать следующие курсы:
· М2273 Управление и поддержка среды Microsoft Windows Server 2003 ($525)
· М2823 Настройка и администрирование безопасности в сетях Microsoft Windows Server 2003 ($511)
· М2400 Внедрение и поддержка Microsoft Exchange Server 2003 ($511)
· 10842/U3965S Управление системами на базе hp ProLiant ($620)
· CCNP: Поиск и устранение неисправностей в сетях Cisco (от $640)